Cobit Ok PDF

SEDE GUAYAQUIL
FACULTAD DE INGENIERAS

CARRERA:
INGENIERA EN SISTEMAS

Tesis previa a la obtencin del ttulo de:
Ingeniero en Sistemas con mencin en Informtica para
la Gestin

Tema:
Diagnstico para la Implantacin de COBIT en una
Empresa de Produccin
rea Piloto: Departamento de Sistemas

Tesistas:
Martha Elizabeth de la Torre Morales
Ingrid Kathyuska Giraldo Martnez
Carmen Azucena Villalta Gmez

Director:
Ing. Bertha Alice Naranjo Snchez, MSC

Septiembre 2012
2

DECLARACIN

Nosotras; Martha Elizabeth de la Torre Morales, Ingrid Kathyuska Giraldo Martnez
y Carmen Azucena Villalta Gmez, declaramos bajo juramento que este trabajo es de
nuestra autora y que hemos consultado las referencias bibliogrficas incluidas en
este documento.

Dejamos constancia que cedemos los derechos de propiedad intelectual a la
Universidad Politcnica Salesiana Sede Guayaquil segn lo establecido por la ley
de Propiedad Intelectual, por su Reglamento y por la Normativa institucional vigente.

__________________________________
MARTHA E. DE LA TORRE MORALES

______________________________
INGRID K. GIRALDO MARTNEZ

_____________________________
CARMEN A. VILLALTA GMEZ

3

AGRADECIMIENTO Y DEDICATORIA

Primero a Dios, el centro de mi vida y mi fortaleza.
A Santiago y Hayde, mis padres, mi inspiracin, por su eterno
apoyo.
A ngel Santiago, mi amado hijo, por soportar y comprender mis
ausencias mientras recorra este largo camino.
A Gustavo, mi partner, por su solidaridad y complicidad en esta
travesa.
A mi familia en general, por estar siempre conmigo.
A mis amigos, por su incondicionalidad.
Sin ustedes no podra avanzar en mis propsitos.
Gracias. Los amo infinitamente.

Un agradecimiento especial, a la Ing. Lilia Santos.

Martha E. de la Torre Morales

4


Principalmente a Dios.
A mi madre y mi to, porque creyeron en m y porque me sacaron
adelante, dndome ejemplos dignos de superacin y entrega. Gracias
a ellos, hoy puedo ver alcanzada esta meta, ya que siempre estuvieron
impulsndome en los momentos ms difciles y porque el orgullo que
sienten por m, fue lo que me hizo ir hasta el final. Esto es por ustedes,
por lo que significan para m, y porque admiro su esfuerzo a pesar de
las dificultades.
A mis hermanas, primos, abuelos y amigos. Gracias por haber
fomentado en m el deseo de superacin y el anhelo de triunfo en la
vida. Sin ustedes este trabajo no hubiera podido ser realizado.
No me alcanzaran las palabras para agradecerles su apoyo y sus
consejos.
A todos, espero no defraudarlos y contar siempre con su valioso
apoyo, sincero e incondicional.

Ingrid Giraldo Martnez

5


Quiero dar gracias a:

DIOS: Por haberme dado la vida, sabidura y su infinita misericordia.
MI ESPOSO: Por su amor, comprensin y apoyo; brindados en los momentos ms
difciles de mi vida.
MIS PADRES: Por brindarme su ejemplo, amor y tiempo para ser una persona de
bien.
MIS HERMANOS: Porque juntos formamos un futuro mejor para nuestra familia.
MI FAMILIA: Por fomentar los buenos valores y principios morales.
MIS AMIGOS: Por su apoyo incondicional a lo largo de mi carrera.

A todas las personas que hicieron que hoy cumpla mi meta mil gracias. Dios los
bendiga

Carmen Villalta Gmez

6

CERTIFICADO

Certifico que el presente trabajo fue realizado por las estudiantes Ingrid Kathyuska
Giraldo Martnez, Martha Elizabeth de la Torre Morales y Carmen Azucena Villalta
Gmez; bajo mi direccin.

Guayaquil, Septiembre del 2012.

-----------------------------------------------
Ing. Bertha Naranjo Snchez, MSC
DIRECTORA DE TESIS

7

NDICE
CAPTULO 1 18
1.1 PLANTEAMIENTO DEL PROBLEMA 18
1.1.1 FORMULACIN DEL PROBLEMA DE INVESTIGACIN 19
1.1.2 PREGUNTAS DEL PROBLEMA DE INVESTIGACIN 19
1.2 OBJETIVOS 20
1.2.1 OBJ ETIVO GENERAL 20
1.2.2 OBJ ETIVOS ESPECFICOS 20
1.3 ALCANCE 20
1.4 VARIABLES E INDICADORES 21
1.5 MATRIZ CAUSA EFECTO 22

CAPTULO 2 23
2.1 MARCO TERICO 23
2.1.1 INTRODUCCIN COBIT 23
2.1.1.1 DOMINIOS EN LA UTILIZACIN DE COBIT 4.1 23
2.1.1.1.1 DOMINIO PLANEAR Y ORGANIZAR (PO) 31
2.1.1.1.2 DOMINIO ADQUIRIR E IMPLEMENTAR (AI) 45
2.1.1.1.3 DOMINIO ENTREGAR Y DAR SOPORTE (DS) 53
2.1.1.1.4 DOMINIO MONITOREAR Y EVALUAR (ME) 67
2.1.1.2 MISIN DE COBIT 72
2.1.1.2.1 REAS DE ENFOQUE DEL GOBIERNO DE TI 72
2.1.1.2.2 CRITERIOS DE INFORMACIN DE COBIT 74
2.1.1.2.3 RECURSOS DE TI 76
2.1.1.2.4 MODELO DE MADUREZ COBIT 77
2.1.2 BENEFICIOS PARA LA EMPRESA EN APLICAR LA METODOLOGA
COBIT 79

8

CAPTULO 3 80
3.1 ASPECTOS METODOLGICOS DE LA INVESTIGACIN 80
3.1.1 TIPO DE INVESTIGACIN 80
3.1.2 MTODO DE INVESTIGACIN 80
3.1.3 FUENTES Y TCNICAS PARA LA RECOLECCIN DE
INFORMACIN 81
3.1.4 LIBROS DE COBIT UTILIZADOS PARA EL DIAGNSTICO 81
3.1.5 MTODO MATRICIAL PARA EL ANLISIS DE RIESGOS 82
3.1.5.1 DEFINICIONES PARA EL ANLISIS DE RIESGOS 82
3.1.6 ANLISIS FODA 83

CAPITULO 4 86
4.1 DIAGNSTICO DEL DEPARTAMENTO DE SISTEMAS DE LA
EMPRESA EP 86
4.1.1 BREVE DESCRIPCIN DE LA EMPRESA EP 86
4.1.1.1 HISTORIA 86
4.1.1.2 PRODUCTOS FABRICADOS POR LA EMPRESA EP 87
4.1.1.3 SERVICIOS QUE OFRECE LA EMPRESA EP 87
4.1.1.4 PROMOCIONES DISPONIBLES EN LA EMPRESA EP 88
4.1.1.5 ESTRUCTURA ORGNICA ACTUAL DE LA EMPRESA EP 89
4.1.1.6 ORGANIGRAMA FUNCIONAL DE LAS TECNOLOGAS DE
INFORMACIN EN LA EMPRESA EP 90
4.1.1.7 ORGANIGRAMA ESTRUCTURAL DE LAS TECNOLOGAS DE
INFORMACIN EN LA EMPRESA EP 91
4.1.1.8 ANLISIS FODA DEL DEPARTAMENTO DE TECNOLOGAS DE
INFORMACIN 92
4.1.2 DISEO DEL MODELO DE EVALUACIN 93
4.1.2.1 EVALUACIN DEL DEPARTAMENTO DE SISTEMAS DE LA
EMPRESA EP APLICANDO LA METODOLOGA COBIT 4.1 117
4.1.2.1.1 RESULTADOS FINALES OBTENIDOS 117
4.1.2.1.1.1 RESULTADO DE LA EVALUACIN DEL CUMPLIMIENTO A
NIVEL GENERAL 117
4.1.2.1.1.2 RESULTADO FINAL DE LA EVALUACIN POR DOMINIO 119
9

4.1.2.1.1.3 RESULTADO FINAL DE LA EVALUACIN POR PROCESO 120
4.1.2.1.1.4 RESULTADO FINAL DE LA EVALUACIN POR OBJ ETIVOS
DE CONTROL 127
4.1.2.1.1.5 RESULTADO FINAL DE LA EVALUACIN POR OBJ ETIVOS
DE CONTROL DE MENOR CUMPLIMIENTO 172
4.1.3 EVALUACIN DE RIESGOS DE TI 174
4.1.4 ELABORACIN DE POLTICAS A APLICAR ACORDE A LOS
OBJ ETIVOS DE CONTROL CRTICOS 180
CONCLUSIONES y RECOMENDACIONES 188
BIBLIOGRAFA 211
DEFINICIONES DE TRMINOS 212

10

NDICE DE ILUSTRACIONES

ILUSTRACIN 1: MARCO DE TRABAJ O COMPLETO DE COBIT 4.1 ............ 24
ILUSTRACIN 2: DOMINIOS COBIT 4.1 ............................................................. 31
ILUSTRACIN 3: PROCESOS DEL DOMINIO PLANEAR Y ORGANIZAR .... 32
ILUSTRACIN 4: OBJ ETIVOS DE CONTROL DEL PROCESO
PO1- DEFINIR UN PLAN ESTRATGICO DE TI ................................................. 33
PO2- DEFINIR LA ARQUITECTURA DE LA INFORMACIN .......................... 34
PO3 - DETERMINAR LA DIRECCIN TECNOLGICA .................................... 35
PO4 - DEFINIR LOS PROCESOS, ORGANIZACIN Y RELACIONES DE TI .. 37
PO5 ADMINISTRAR LA INVERSIN DE TI .................................................... 38
PO6 COMUNICAR LAS ASPIRACIONES Y LA DIRECCIN DE LA
GERENCIA ............................................................................................................... 39
PO7 ADMINISTRAR RECURSOS HUMANOS DE TI ........................................ 40
PO8 - ADMINISTRAR LA CALIDAD .................................................................... 42
PO9 - EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI ................................ 43
PO10 - ADMINISTRAR PROYECTOS ................................................................... 44
ILUSTRACIN 14: PROCESOS DEL DOMINIO ADQUIRIR E
IMPLEMENTAR ....................................................................................................... 45
AI1 IDENTIFICAR SOLUCIONES AUTOMATIZADAS .................................... 46
11

AI2 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO ............................ 47
AI3 ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLGICA ...... 48
AI4 FACILITAR LA OPERACIN Y EL USO .................................................... 49
AI5 ADQUIRIR RECURSOS DE TI ..................................................................... 50
AI6 ADMINISTRAR CAMBIOS .......................................................................... 51
AI7 INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS ......................... 52
ILUSTRACIN 22: PROCESOS DEL DOMINIO ENTREGAR Y
DAR SOPORTE ........................................................................................................ 53
DS1 DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIO .................... 54
DS2 ADMINISTRAR LOS SERVICIOS DE TERCEROS ................................... 55
DS3 ADMINISTRAR EL DESEMPEO Y LA CAPACIDAD ........................... 56
DS4 GARANTIZAR LA CONTINUIDAD DEL SERVICIO ............................... 57
DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS ............................. 58
DS6 IDENTIFICAR Y ASIGNAR COSTOS ........................................................ 59
DS7 EDUCAR Y ENTRENAR A LOS USUARIOS ............................................ 60
DS8 ADMINISTRAR LA MESA DE SERVICIO Y LOS INCIDENTES ............ 61
DS9 ADMINISTRAR LA CONFIGURACIN .................................................... 62
12

DS10 ADMINISTRAR LOS PROBLEMAS ......................................................... 63
DS11 ADMINISTRAR LOS DATOS .................................................................... 64
ILUSTRACIN 34: OBJ ETIVOS DE CONTROL DEL PROCESO ....................... 65
DS13 ADMINISTRAR LAS OPERACIONES ...................................................... 66
ILUSTRACIN 36: PROCESOS DEL DOMINIO MONITOREAR Y
EVALUAR ................................................................................................................. 67
ME1 - MONITOREAR Y EVALUAR EL DESEMPEO DE TI ............................ 68
ME2 MONITOREAR Y EVALUAR EL CONTROL INTERNO ......................... 69
ME3 GARANTIZAR EL CUMPLIMIENTO CON REQUERIMIENTOS
EXTERNOS ............................................................................................................... 70
M4 - PROPORCIONAR GOBIERNO DE TI .......................................................... 71
ILUSTRACIN 41: REAS DE ENFOQUE DEL GOBIERNO DE TI ................. 72
ILUSTRACIN 42: CRITERIOS DE INFORMACIN .......................................... 74
ILUSTRACIN 43: RECURSOS DE TI .................................................................. 76
ILUSTRACIN 44: ANLISIS FODA .................................................................... 84
ILUSTRACIN 45: MATRIZ FODA ....................................................................... 85
ILUSTRACIN 46: ESTRUCTURA ORGNICA ACTUAL DE
LA EMPRESA EP ..................................................................................................... 89
ILUSTRACIN 47: ORGANIGRAMA FUNCIONAL DE LAS TI
EN LA EMPRESA EP ............................................................................................... 90
ILUSTRACIN 48: ORGANIGRAMA ESTRUCTURAL DE LAS TI
EN LA EMPRESA EP ............................................................................................... 91

13

NDICE DE TABLAS

TABLA 1: VARIABLES E INDICADORES ........................................................... 21
TABLA 2: MATRIZ CAUSA EFECTO ................................................................ 22
TABLA 3: MARCO DE TRABAJ O COMPLETO DE COBIT 4.1 ......................... 25
TABLA 4: ANLISIS FODA REA TI................................................................ 92
TABLA 5: MATRIZ GENERAL COBIT 4.1 ........................................................... 94
TABLA 6: EVALUACIN DEL CUMPLIMIENTO DEL
DEPARTAMENTO DE SISTEMAS A NIVEL GENERAL .................................. 118
TABLA 7: EVALUACIN POR DOMINIO.......................................................... 119
TABLA 8: LISTADO DE AMENAZAS/OBJ ETOS DEFINIDOS POR EL
DEPARTAMENTO DE SISTEMAS ...................................................................... 174
TABLA 9: COMPARACIN DE CATEGORAS DE RIESGOS
POR AMENAZAS ................................................................................................... 175
TABLA 10: COMPARACIN DE CATEGORAS DE RIESGOS
POR OBJ ETOS ........................................................................................................ 176
TABLA 11: MATRIZ RESULTADO AMENAZAS/OBJ ETOS ............................ 177
TABLA 12: DEFINICIN DE LOS NIVELES DE RIESGO/SENSIBILIDAD
DE TI ........................................................................................................................ 178
TABLA 13: MATRIZ IDENTIFICACIN DE LOS NIVELES DE RIESGO ...... 179

14

NDICE DE GRFICOS

GRFICO 1: EVALUACIN DEL CUMPLIMIENTO DEL DEPARTAMENTO
DE SISTEMAS A NIVEL GENERAL ................................................................... 118
GRFICO 2: EVALUACIN POR DOMINIO ..................................................... 119
GRFICO 3: PROCESOS DEL DOMINIO PLANEAR Y ORGANIZAR ........... 120
GRFICO 4: PROCESOS DEL DOMINIO ADQUIRIR E IMPLEMENTAR ..... 122
GRFICO 5: PROCESOS DEL DOMINIO ENTREGAR Y DAR SOPORTE ..... 123
GRFICO 6: PROCESOS DEL DOMINIO MONITOREAR Y EVALUAR ........ 126
GRFICO 7: OBJ ETIVOS DE CONTROL DEL PROCESO
PO1 DEFINIR UN PLAN ESTRATGICO DE TI ............................................. 127
PO2 DEFINIR LA ARQUITECTURA DE TI ..................................................... 128
PO3 - DETERMINAR LA DIRECCIN TECNOLGICA .................................. 129
PO4 - DEFINIR LOS PROCESOS, ORGANIZACIN Y RELACIONES DE TI 130
PO5 - ADMINISTRAR LA INVERSION DE TI ................................................... 132
PO6 - COMUNICAR LAS ASPIRACIONES Y LA DIRECCIN DE LA
GERENCIA ............................................................................................................. 133
PO7 - ADMINISTRAR RECURSOS HUMANOS DE TI ..................................... 134
PO8 - ADMINISTRAR LA CALIDAD .................................................................. 135
PO9 - EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI .............................. 137
PO10 - ADMINISTRAR PROYECTOS ................................................................. 139
15

AI1 - IDENTIFICAR SOLUCIONES AUTOMATIZADAS.................................. 140
AI2 - ADQUIRIR Y MANTENER SOFTWARE APLICATIVO .......................... 141
AI3 - ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLGICA ..... 142
AI4 - FACILITAR LA OPERACIN Y EL USO .................................................. 143
AI5 - ADQUIRIR RECURSOS DE TI .................................................................... 144
AI6 - ADMINISTRAR CAMBIOS ......................................................................... 145
AI7 - INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS ........................ 146
DS1 DEFININIR Y ADMINISTRAR LOS NIVELES DE SERVICIO .............. 148
DS2 ADMINISTRAR LOS SERVICIOS DE TERCEROS ................................. 150
DS3 ADMINISTRAR EL DESEMPEO Y LA CAPACIDAD ......................... 151
DS4 GARANTIZAR LA CONTINUIDAD DEL SERVICIO ............................. 153
DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS ........................... 155
DS6 IDENTIFICAR Y ASIGNAR COSTOS ...................................................... 157
DS7 EDUCAR Y ENTRENAR A LOS USUARIOS .......................................... 158
DS8 ADMINISTRAR LA MESA DE SERVICIO Y LOS INCIDENTES .......... 159
DS9 ADMINISTRAR LA CONFIGURACIN .................................................. 160
16

DS10 ADMINISTRAR LOS PROBLEMAS ....................................................... 162
DS11 ADMINISTRAR LOS DATOS .................................................................. 163
DS12 ADMINISTRAR EL AMBIENTE FSICO ................................................ 165
DS13 ADMINISTRAR LAS OPERACIONES .................................................... 166
ME1 - MONITOREAR Y EVALUAR EL DESEMPEO DE TI .......................... 168
ME2 - MONITOREAR Y EVALUAR EL CONTROL INTERNO ....................... 169
ME3 - GARANTIZAR EL CUMPLIMIENTO REGULATORIO ......................... 170
ME4 - PROPORCIONAR GOBIERNO DE TI ....................................................... 171
GRFICO 41: RESUMEN DE LOS OBJ ETIVOS DE CONTROL DE
MENOR CUMPLIMIENTO .................................................................................... 172
GRFICO 42: EVALUACIN DE OBJ ETIVOS DE CONTROL CRTICOS ..... 173

17

ANEXOS

ANEXO 1: EVALUACIN POR PROCESOS ...................................................... 190
ANEXO 2: EVALUACIN POR OBJ ETIVOS DE CONTROL ........................... 191
ANEXO 3: RESUMEN DE OBJ ETIVOS DE CONTROL DE MENOR
CUMPLIMIENTO ................................................................................................... 202
ANEXO 4: EVALUACIN DE OBJ ETIVOS DE CONTROL CRTICOS .......... 204
ANEXO 5: FORMATO DE APLICACIN ANLISIS DE RIESGOS DE
TI (A) ....................................................................................................................... 205
ANEXO 6: FORMATO DE APLICACIN ANLISIS DE RIESGOS DE
TI (B) ........................................................................................................................ 206
ANEXO 7: APLICACIN ANLISIS DE RIESGOS EN EL
DEPARTAMENTO DE SISTEMAS (1) ................................................................. 207

18

CAPTULO 1

1.1 PLANTEAMIENTO DEL PROBLEMA

Las empresas ecuatorianas evolucionan constantemente en el crecimiento general de
sus economas, se van creando nuevas oportunidades de negocios que demandan
controles ms estrictos para que el desarrollo organizacional vaya continuamente por
el camino de la eficiencia y la pro-actividad de quienes conforman la organizacin.
La orientacin del crecimiento institucional suele ser un problema centrado en las
preocupaciones sin medir las reglas claras y normas conscientes que permitan buscar
certificaciones internacionales para el eficiente progreso de la organizacin donde se
detalla la importancia del actuar empresarial. Es motivo de consideracin el manejo
correcto de la informacin en base a las nuevas metodologas y estndares que
beneficia en tiempo y costo a las organizaciones y de esa forma se logra un mayor
entendimiento claro y bsico en una direccin sistemtica.
La tecnologa implica mucho riesgo, siendo un problema constante el manejo de las
tecnologas de Informacin reales y progresivas con estndares de control adecuados
para ser eficientes en el desarrollo de la informacin, la mayor parte de empresas se
desplazan en la despreocupacin de controlar sus tcnicas de informacin y evalan
solo los procedimientos y no aplican los indicadores secuenciales de control.
COBIT es una metodologa que garantiza el indicador de despliegue de la
informacin con el uso de materiales tecnolgicos, siendo prctico y responsable en
las plataformas de comunicacin establecidas. COBIT analiza los procedimientos de
informacin y ayuda a determinar qu sector o espacio est fallando y promueve los
controles para mejorar la actividad eficiente de la informacin.
La inversin en sistemas de control contribuye a descubrir que podemos mejorar a
travs del desglose y transformacin de los medios y recursos de tecnologas de
informacin aplicada. Por lo tanto, se debera de emplear en las organizaciones
dominios en base a la planificacin, la parte organizativa en manejo de los
requerimientos y la entrega de tales requerimientos con soportes fsicos y digitales.
19

As mismo deberan tomar como recomendacin el uso de metodologas o estndares
que les permitan determinar procesos crticos a nivel de la empresa o departamento.

1.1.1 FORMULACIN DEL PROBLEMA DE INVESTIGACIN

Cules son los principales aspectos de concienciacin en los procesos aplicados
para la implementacin del uso de COBIT en el departamento de sistemas de la
empresa EP
1
?

1.1.2 PREGUNTAS DEL PROBLEMA DE INVESTIGACIN

Con la aplicacin de la metodologa COBIT Cules seran los principales problemas
resueltos en el departamento de sistemas de las diferentes empresas ecuatorianas?

Con la aplicacin de la metodologa COBIT los empleados del departamento de
sistemas podrn realizar mejor su trabajo en la empresa EP?

Es voluntaria la aplicacin de una metodologa de calidad de la informacin en las
industrias pblicas y privadas, pero a nuestro criterio todo departamento de TI
debera considerar obligatoria su implementacin en aras de mejorar en su calidad.

1 El nombre de la Empresa se lo mantiene en reserva para proteger su informacin

20

1.2 OBJETIVOS

1.2.1 OBJETIVO GENERAL

Contribuir a mejorar los procesos del departamento de sistemas mediante el
diagnstico con la metodologa COBIT aplicada en la empresa EP.

1.2.2 OBJETIVOS ESPECFICOS

Estudiar los treinta y cuatro procesos de COBIT para poder evaluar la
situacin del departamento de sistemas de la empresa EP.
Realizar el Diagnstico de los Procesos y Objetivos de Control de COBIT en
el departamento de sistemas.
Determinar los riesgos relacionados con la prestacin de servicios de TI en el
departamento de sistemas.
Evaluar el resultado del diagnstico realizado en el departamento de sistemas
considerando los procesos crticos y las falencias de los controles para
extender las recomendaciones respectivas.
Definir polticas a desarrollar de cinco de los objetivos crticos para el control
de TI en el departamento de sistemas de la empresa EP.

1.3 ALCANCE

El proyecto ser desarrollado en la matriz de la empresa EP ubicada al sur de la
ciudad de Guayaquil, comprende un diagnstico de sus procesos para determinar el
grado de cumplimiento de los procesos y objetivos de control planteados en el
modelo metodolgico de COBIT 4.1 e identificar los ms crticos de la organizacin.
21

1.4 VARIABLES E INDICADORES

En la tabla siguiente se determinan las variables dependiente e independiente con sus
respectivos indicadores a utilizarse en el desarrollo del proyecto. Como variable
dependiente se define la mejora de los procesos del departamento de sistemas de la
empresa EP que dependera de la metodologa COBIT la que se constituye por lo
tanto en variable independiente.

TABLA 1: VARIABLES E INDICADORES
VARIABLES INDICADORES
Independiente
Metodologa COBIT 4.1
Grado de utilizacin
Nivel de satisfaccin de usuario final
Toma de decisiones
Optimizacin de recursos
Dependiente
Mejorar procesos
Control
Polticas
Anlisis de Riesgos

Elaborado: Las Autoras

22

1.5 MATRIZ CAUSA EFECTO

Se identifica el problema, las causas y las soluciones viables que se deberan aplicar
en el departamento de sistemas de la empresa EP, detallados en la tabla 2.

TABLA 2: MATRIZ CAUSA EFECTO
Problema general Objetivo general Hiptesis general
Cules son los
principales aspectos de
concienciacin en los
procesos aplicados para
la implementacin del
uso de COBIT en el
departamento de sistemas
de la empresa EP?
Contribuir a mejorar los
procesos del departamento
de sistemas mediante el
diagnstico de la
metodologa COBIT
aplicada en la empresa EP.
Con COBIT, la
organizacin podr
controlar sus procesos de
TI y sus ejecutivos
tomarn decisiones
oportunas y efectivas en el
en la empresa EP.
Sus Problemas
especficos
Objetivos especficos Hiptesis particulares
Estudiar los treinta y
cuatro procesos de
COBIT 4.1 para poder
evaluar la situacin del
de la empresa EP.
Realizar el Diagnstico de
los Procesos y Objetivos
de Control de COBIT en el
El departamento de
sistemas de la empresa EP
aplica los procesos de
COBIT para alcanzar los
objetivos del negocio.
Determinar los riesgos
relacionados con la
prestacin de servicios de
TI en el departamento de
sistemas.
Evaluar los resultados de
los diagnsticos realizados
en el departamento de
sistemas considerando los
procesos crticos y las
falencias de los controles
para extender las
recomendaciones
respectivas.
Definir polticas a
desarrollar para el control
de TI en el departamento
de sistemas en la empresa
EP.
Definiendo polticas se
mejoran los controles y los
procesos crticos en el

23

CAPTULO 2

2.1 MARCO TERICO

2.1.1 INTRODUCCIN COBIT

DEFINICIN DE COBIT
Objetivos de Control para Tecnologas de informacin y
relacionadas (COBIT, en ingls: Control Objetives for Information and
related Technology) es un conjunto de mejores prcticas para el manejo de
informacin creado por la Asociacin para la Auditora y Control de Sistemas
de Informacin,(ISACA, en ingls: Information Systems Audit and Control
Association), y el Instituto de Administracin de las Tecnologas de la
Informacin (IT Governance Institute) en 1992. (Fundacin Wikimedia,
2012)

COBIT fue creado para ayudar a la alta direccin a garantizar el logro de objetivos
de los negocios mediante la direccin y control adecuado de las TI, sin embargo la
aplicacin de COBIT se debera de dar en todos los niveles organizativos de la
empresa y no tan solo concentrarse en la tecnologa de la informacin. COBIT est
involucrado en reflejar las principales directrices jerrquicas que permitan el control
de la tecnologa de informacin aplicada en la empresa.

2.1.1.1 DOMINIOS EN LA UTILIZACIN DE COBIT 4.1

En la ilustracin siguiente se resume cmo los distintos elementos del marco de
trabajo COBIT 4.1 se relacionan con las reas de Gobierno de TI.

24

ILUSTRACIN 1: MARCO DE TRABAJO COMPLETO DE COBIT 4.1

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)

Para la realizacin de la siguiente tabla nos hemos basado en el Manual COBIT 4.1
cuya clasificacin por dominio, procesos y objetivos de control servir de gua en la
ejecucin del diagnstico de este proyecto.
25

TABLA 3: MARCO DE TRABAJO COMPLETO DE COBIT 4.1
COBIT 4.1
DOMINIO PROCESOS OBJETIVOS DE CONTROL
P
L
A
N
E
A
R

Y

O
R
G
A
N
I
Z
A
R

PO1 - Definir un Plan Estratgico
de TI
PO1.1 - Administracin del Valor de TI
PO1.2 - Alineacin de TI con el Negocio
PO1.3 - Evaluacin del Desempeo y la Capacidad
Actual
PO1.4 - Plan Estratgico de TI
PO1.5 - Planes Tcticos de TI
PO1.6 - Administracin del Portafolio de TI
PO2 - Definir la Arquitectura de la
Informacin
PO2.1 - Modelo de Arquitectura de Informacin
Empresarial
PO2.2 - Diccionario de Datos Empresarial y Reglas de
Sintaxis de Datos
PO2.3 - Esquema de Clasificacin de Datos
PO2.4 - Administracin de Integridad
PO3 - Determinar la Direccin
Tecnolgica
PO3.1 - Planeacin de la Direccin Tecnolgica
PO3.2 - Plan de Infraestructura Tecnolgica
PO3.3 - Monitoreo de Tendencias y Regulaciones
Futuras
PO3.4 - Estndares Tecnolgicos
PO3.5 - Consejo de Arquitectura de TI
PO4 - Definir los Procesos,
Organizacin y Relaciones de TI
PO4.1 - Marco de Trabajo de Procesos de TI
PO4.2 - Comit Estratgico de TI
PO4.3 - Comit Directivo de TI
PO4.4 - Ubicacin Organizacional de la Funcin de TI
PO4.5 - Estructura Organizacional
PO4.6 - Establecimiento de Roles y Responsabilidades
PO4.7 - Responsabilidad de Aseguramiento de Calidad
de TI
PO4.8 - Responsabilidad sobre el Riesgo, la Seguridad
y el Cumplimiento
PO4.9 - Propiedad de Datos y de Sistemas
PO4.10 - Supervisin
PO4.11 - Segregacin de Funciones
PO4.12 - Personal de TI
PO4.13 - Personal Clave de TI
PO4.14 - Polticas y Procedimientos para Personal
Contratado
PO4.15 - Relaciones
PO5 - Administrar la Inversin en
TI
PO5.1 - Marco de Trabajo para la Administracin
Financiera
PO5.2 - Prioridades dentro del Presupuesto de TI
PO5.3 - Proceso Presupuestal
PO5.4 - Administracin de Costos de TI
PO5.5 - Administracin de Beneficios
26

COBIT 4.1
P
L
A
N
E
A
R

Y

O
R
G
A
N
I
Z
A
R

PO6 - Comunicar las Aspiraciones y
la Direccin de la Gerencia
PO6.1 - Ambiente de Polticas y de Control
PO6.2 - Riesgo Corporativo y Marco de Referencia de
Control Interno de TI
PO6.3 - Administracin de Polticas para TI
PO6.4 - Implantacin de Polticas de TI
PO6.5 - Comunicacin de los Objetivos y la Direccin de
TI
PO7 - Administrar Recursos
Humanos de TI
PO7.1 - Reclutamiento y Retencin del Personal
PO7.2 - Competencias del Personal
PO7.3 - Asignacin de Roles
PO7.4 - Entrenamiento del Personal de TI
PO7.5 - Dependencia Sobre los Individuos
PO7.6 - Procedimientos de Investigacin del Personal
PO7.7 - Evaluacin del Desempeo del Empleado
PO7.8 - Cambios y Terminacin de Trabajo
PO8 - Administrar la Calidad
PO8.1 - Sistema de Administracin de Calidad
PO8.2 - Estndares y Prcticas de Calidad
PO8.3 - Estndares de Desarrollo y de Adquisicin
PO8.4 - Enfoque en el Cliente de TI
PO8.5 - Mejora Continua
PO8.6 - Medicin, Monitoreo y Revisin de la Calidad
PO9 - Evaluar y Administrar los
Riesgos de TI
PO9.1 - Marco de Trabajo de Administracin de Riesgos
PO9.2 - Establecimiento del Contexto del Riesgo
PO9.3 - Identificacin de Eventos
PO9.4 - Evaluacin de Riesgos de TI
PO9.5 - Respuesta a los Riesgos
PO9.6 - Mantenimiento y Monitoreo de un Plan de Accin
de Riesgos

PO10 - Administrar Proyectos
PO10.1 - Marco de Trabajo para la Administracin de
Programas
PO10.2 - Marco de Trabajo para la Administracin de
Proyectos
PO10.3 - Enfoque de Administracin de Proyectos
PO10.4 - Compromiso de los Interesados
PO10.5 - Declaracin de Alcance del Proyecto

PO10.6 - Inicio de las Fases del Proyecto

PO10.7 - Plan Integrado del Proyecto

PO10.8 - Recursos del Proyecto

PO10.9 - Administracin de Riesgos del Proyecto

PO10.10 - Plan de Calidad del Proyecto

PO10.11 - Control de Cambios del Proyecto

PO10.12 - Planeacin del Proyecto y Mtodos de
Aseguramiento

PO10.13 - Medicin del Desempeo, Reporte y Monitoreo
del Proyecto

PO10.14 - Cierre del Proyecto

27

COBIT 4.1
A
D
Q
U
I
R
I
R

E

I
M
P
L
E
M
E
N
T
A
R

AI1 - Identificar soluciones
automatizadas
AI1.1 - Definicin y Mantenimiento de los Requerimientos
Tcnicos y Funcionales del Negocio
AI1.2 - Reporte de Anlisis de Riesgos
AI1.3 - Estudio de Factibilidad y Formulacin de Cursos
de Accin Alternativos.
AI1.4 - Requerimientos, Decisin de Factibilidad y
Aprobacin
AI2 - Adquirir y mantener software
aplicativo
AI2.1 - Diseo de Alto Nivel
AI2.2 - Diseo Detallado
AI2.3 - Control y Posibilidad de Auditar las Aplicaciones
AI2.4 - Seguridad y Disponibilidad de las Aplicaciones
AI2.5 - Configuracin e Implantacin de Software
Aplicativo Adquirido
AI2.6 - Actualizaciones Importantes en Sistemas
Existentes
AI2.7 - Desarrollo de Software Aplicativo
AI2.8 - Aseguramiento de la Calidad del Software
AI2.9 - Administracin de los Requerimientos de
Aplicaciones
AI2.10 - Mantenimiento de Software Aplicativo
AI3 - Adquirir y mantener
infraestructura tecnolgica
AI3.1 - Plan de Adquisicin de Infraestructura Tecnolgica
AI3.2 - Proteccin y Disponibilidad del Recurso de
Infraestructura
AI3.3 - Mantenimiento de la Infraestructura
AI3.4 - Ambiente de Prueba de Factibilidad
AI4 - Facilitar la operacin y el uso
AI4.1 - Plan para Soluciones de Operacin
AI4.2 - Transferencia de Conocimiento a la Gerencia del
Negocio
AI4.3 - Transferencia de Conocimiento a Usuarios Finales
AI4.4 - Transferencia de Conocimiento al Personal de
Operaciones y Soporte
AI5 - Adquirir recursos de TI
AI5.1 - Control de Adquisicin
AI5.2 - Administracin de Contratos con Proveedores
AI5.3 - Seleccin de Proveedores
AI5.4 - Adquisicin de Recursos de TI
AI6 - Administrar cambios
AI6.1 - Estndares y Procedimientos para Cambios
AI6.2 - Evaluacin de Impacto, Priorizacin y
Autorizacin
AI6.3 - Cambios de Emergencia
AI6.4 - Seguimiento y Reporte del Estatus de Cambio
AI6.5 - Cierre y Documentacin del Cambio
AI7 - Instalar y acreditar soluciones
y cambios
AI7.1 - Entrenamiento
AI7.2 - Plan de Prueba
AI7.3 - Plan de Implantacin
AI7.4 - Ambiente de Prueba
AI7.5 - Conversin de Sistemas y Datos
AI7.6 - Pruebas de Cambios
AI7.7 - Prueba de Aceptacin Final
AI7.8 - Promocin a Produccin
AI7.9 - Revisin Posterior a la Implantacin

28

COBIT 4.1
E
N
T
R
E
G
A
R

Y

D
A
R

S
O
P
O
R
T
E

DS1 Definir y administrar los
niveles de servicio
DS1.1 - Marco de Trabajo de la Administracin de los
Niveles de Servicio
DS1.2 - Definicin de Servicios
DS1.3 - Acuerdos de Niveles de Servicio
DS1.4 - Acuerdos de Niveles de Operacin
DS1.5 - Monitoreo y Reporte del Cumplimento de los
Niveles de Servicio
DS1.6 - Revisin de los Acuerdos de Niveles de Servicio y
de los Contratos
DS2 Administrar los servicios de
terceros
DS2.1 - Identificacin de Todas las Relaciones con
Proveedores
DS2.2 - Gestin de Relaciones con Proveedores
DS2.3 - Administracin de Riesgos del Proveedor
DS2.4 - Monitoreo del Desempeo del Proveedor
DS3 Administrar el desempeo y la
capacidad
DS3.1 - Planeacin del Desempeo y la Capacidad
DS3.2 - Capacidad y Desempeo Actual
DS3.3 - Capacidad y Desempeo Futuros
DS3.4 - Disponibilidad de Recursos de TI
DS3.5 - Monitoreo y Reporte
DS4 Garantizar la continuidad del
servicio
DS4.1 - Marco de Trabajo de Continuidad de TI
DS4.2 - Planes de Continuidad de TI
DS4.3 - Recursos Crticos de TI
DS4.4 - Mantenimiento del Plan de Continuidad de TI
DS4.5 - Pruebas del Plan de Continuidad de TI
DS4.6 - Entrenamiento del Plan de Continuidad de TI
DS4.7 - Distribucin del Plan de Continuidad de TI
DS4.8 - Recuperacin y Reanudacin de los Servicios de
TI
DS4.9 - Almacenamiento de Respaldos Fuera de las
Instalaciones
DS4.10 - Revisin Post Reanudacin.

DS5 Garantizar la seguridad de los
sistemas
DS5.1 - Administracin de la Seguridad de TI
DS5.2 - Plan de Seguridad de TI
DS5.3 - Administracin de Identidad
DS5.4 - Administracin de Cuentas del Usuario
DS5.5 - Pruebas, Vigilancia y Monitoreo de la Seguridad
DS5.6 - Definicin de Incidente de Seguridad
DS5.7 - Proteccin de la Tecnologa de Seguridad
DS5.8 - Administracin de Llaves Criptogrficas
DS5.9 - Prevencin, Deteccin y Correccin de Software
Malicioso
DS5.10 - Seguridad de la Red
DS5.11 - Intercambio de Datos Sensitivos

29

COBIT 4.1
E
N
T
R
E
G
A
R

Y

D
A
R

S
O
P
O
R
T
E

DS6 Identificar y asignar costos
DS6.1 - Definicin de Servicios
DS6.2 - Contabilizacin de TI
DS6.3 - Modelacin de Costos y Cargos
DS6.4 - Mantenimiento del Modelo de Costos
DS7 Educar y entrenar a usuarios
DS7.1 - Identificacin de Necesidades de Entrenamiento y
Educacin
DS7.2 - Imparticin de Entrenamiento y Educacin
DS7.3 - Evaluacin del Entrenamiento Recibido
DS8 Administrar la mesa de
servicio y los incidentes
DS8.1 - Mesa de Servicios
DS8.2 - Registro de Consultas de Clientes
DS8.3 - Escalamiento de Incidentes
DS8.4 - Cierre de Incidentes
DS8.5 - Anlisis de Tendencias
DS9 Administrar la configuracin
DS9.1 - Repositorio y Lnea Base de Configuracin
DS9.2 - Identificacin y Mantenimiento de Elementos de
Configuracin
DS9.3 - Revisin de Integridad de la Configuracin
DS10 Administrar los problemas
DS10.1 - Identificacin y Clasificacin de Problemas
DS10.2 - Rastreo y Resolucin de Problemas
DS10.3 - Cierre de Problemas
DS10.4 - Integracin de las Administraciones de Cambios,
Configuracin y Problemas
DS11 Administrar los datos
DS11.1 - Requerimientos del Negocio para Administracin
de Datos
DS11.2 - Acuerdos de Almacenamiento y Conservacin
DS11.3 - Sistema de Administracin de Libreras de
Medios
DS11.4 - Eliminacin
DS11.5 - Respaldo y Restauracin
DS11.6 - Requerimientos de Seguridad para la
Administracin de Datos
DS12 Administrar el ambiente
fsico
DS12.1 - Seleccin y Diseo del Centro de Datos
DS12.2 - Medidas de Seguridad Fsica
DS12.3 - Acceso Fsico
DS12.4 - Proteccin Contra Factores Ambientales
DS12.5 - Administracin de Instalaciones Fsicas

DS13 Administrar las operaciones

DS13.1 - Procedimientos e Instrucciones de Operacin
DS13.2 - Programacin de Tareas.
DS13.3 - Monitoreo de la Infraestructura de TI
DS13.4 - Documentos Sensitivos y Dispositivos de Salida
DS13.5 - Mantenimiento Preventivo del Hardware

30

COBIT 4.1
M
O
N
I
T
O
R
E
A
R

Y

E
V
A
L
U
A
R

ME1 - Monitorear y Evaluar el
Desempeo de TI
ME1.1 - Enfoque del Monitoreo
ME1.2 - Definicin y Recoleccin de Datos de Monitoreo
ME1.3 - Mtodo de Monitoreo
ME1.4 - Evaluacin del Desempeo
ME1.5 - Reportes al Consejo Directivo y a Ejecutivos
ME1.6 - Acciones Correctivas
ME2 - Monitorear y Evaluar el
Control Interno
ME2.1 - Monitorizacin del Marco de Trabajo de Control
Interno
ME2.2 - Revisiones de Auditora
ME2.3 - Excepciones de Control
ME2.4 - Control de Auto Evaluacin
ME2.5 - Aseguramiento del Control Interno
ME2.6 - Control Interno para Terceros
ME2.7 - Acciones Correctivas
ME3 - Garantizar el Cumplimiento
Regulatorio
ME3.1 - Identificar los Requerimientos de las Leyes,
Regulaciones y Cumplimientos Contractuales
ME3.2 - Optimizar la Respuesta a Requerimientos Externos
ME3.3 - Evaluacin del Cumplimiento con Requerimientos
Externos
ME3.4 - Aseguramiento Positivo del Cumplimiento
ME3.5 - Reportes Integrados
ME4 - Proporcionar Gobierno de TI
ME4.1 - Establecimiento de un Marco de Gobierno de TI
ME4.2 - Alineamiento Estratgico
ME4.3 - Entrega de Valor
ME4.4 - Administracin de Recursos
ME4.5 - Administracin de Riesgos
ME4.6 - Medicin del Desempeo
ME4.7 - Aseguramiento Independiente

31

COBIT se centra en un modelo de gestin basada en cuatro dominios que se
presentan en la siguiente ilustracin para luego dar una breve explicacin de cada
uno:
ILUSTRACIN 2: DOMINIOS COBIT 4.1
Planear Y
Organizar
Adquirir e
Implementar
Entregar y
Dar Soporte
Monitorear y
Evaluar


2.1.1.1.1 DOMINIO PLANEAR Y ORGANIZAR (PO)

Este dominio cubre la estrategia y las tcticas, se refiere a la identificacin de
la forma en que la tecnologa de informacin puede contribuir de la mejor
manera al logro de los objetivos del negocio. Adems, la consecucin de la
visin estratgica necesita ser planeada, comunicada y administrada desde
diferentes perspectivas. Finalmente, debern establecerse una organizacin y
una infraestructura tecnolgica apropiadas. Basado en procesos y estos a su
vez subdivididos en objetivos de control que se muestran en cada ilustracin.
(IT Governance Institute, COBIT 4.1, Pg.12, 2007)

32

El dominio planear y organizar est compuesto de 10 procesos que se detallan en la
ilustracin siguiente:
ILUSTRACIN 3: PROCESOS DEL DOMINIO PLANEAR Y ORGANIZAR
PO1 Definir un Plan
Estratgico de TI
PO5
Administrar la
Inversin en TI
PO2
Definir la
Arquitectura de la
Informacin
PO6 Comunicar
las Aspiraciones y
la Direccin de la
Gerencia
PO3 Determinar la
Direccin
Tecnolgica
PO7
Administrar
Recursos Humanos
de TI
PO4
Definir los
Procesos,
Organizacin y
Relaciones de TI
PO8 Administrar la
Calidad
PO9
Evaluar y
Administrar los
riesgos de TI
PO10
Administrar
Proyectos


33

PROCESO PO1- DEFINIR UN PLAN ESTRATGICO DE TI
Segn COBIT 4.1 La planeacin estratgica de TI es necesaria para gestionar y
dirigir todos los recursos de TI en lnea con la estrategia y prioridades del negocio.
En la siguiente ilustracin se detallan los 6 objetivos de control que componen el
proceso definir un plan estratgico de TI.
ILUSTRACIN 4: OBJETIVOS DE CONTROL DEL PROCESO
PO1- DEFINIR UN PLAN ESTRATGICO DE TI

ANLISIS GENERAL DE LOS OBJETIVOS DE CONTROL:
La viabilidad de todo proceso implica una conjugacin de pasos estratgicos que
amerita la concertacin de actividades para la bsqueda de beneficios ptimos en
eficiencia de los objetivos de un proceso organizacional. La consecucin de los
objetivos depende directamente de los pasos secuenciales difundidos dentro de la
empresa para la correcta administracin de los objetivos que inciden en los valores
implementados en la alineacin estratgica de la misma, buscan incurrir en las
evaluaciones constantes y perennes para conseguir el plan estratgico institucional
que permita describir los planes tcticos a implementar a la realizacin del tema.
34

PROCESO PO2 - DEFINIR LA ARQUITECTURA DE LA INFORMACIN
La descripcin del proceso de COBIT detalla lo siguiente La funcin de sistemas de
informacin debe crear y actualizar de forma regular un modelo de informacin del
negocio y definir los sistemas apropiados para optimizar el uso de esta informacin.
Los 4 objetivos de control que abarca el proceso definir la arquitectura de la
informacin se detallan en la siguiente ilustracin:
PO2- DEFINIR LA ARQUITECTURA DE LA INFORMACIN

Cuando los objetivos implican el manejo de una infraestructura basada en la
informacin es necesario respetar un modelo de tendencia para que los objetivos
incurran en un proceso pro-activo de gestin ilimitada para que con una base
informativa a travs de diccionarios de valores y elementos ejecutables dentro de la
organizacin mantengan las reglas claras en el desarrollo de los datos, realizando una
esquematizacin que busca integrar la confianza y la responsabilidad de todos
35

quienes conforman las actividades de la TI en su completa y extensa calidad en la
empresa.

PROCESO PO3 - DETERMINAR LA DIRECCIN TECNOLGICA
El marco de trabajo COBIT indica:
La funcin de servicios de informacin debe determinar la direccin
tecnolgica para dar soporte al negocio. Esto requiere de la creacin de un
plan de infraestructura tecnolgica y de un comit de arquitectura que
establezca y administre expectativas realistas y claras de lo que la tecnologa
puede ofrecer en trminos de productos, servicios y mecanismos de
aplicacin. (IT Governance Institute, COBIT 4.1, Pg.37, 2007)
El proceso determinar la direccin tecnolgica est compuesto de 5 objetivos de
control que se muestran en la siguiente ilustracin:
PO3 - DETERMINAR LA DIRECCIN TECNOLGICA

La direccin tecnolgica involucra la planificacin estratgica y la creacin de un
consejo de arquitectura con la finalidad de responder oportunamente a los cambios
36

sistemticos y adems permitan planificar de forma eficaz las tendencias y
regulaciones que se presenten en el tiempo y que acojan como prioridad el monitoreo
y la evaluacin de sistemas aplicativos as como recursos y capacidades que permitan
aprovechar las oportunidades tecnolgicas.

PROCESO PO4 - DEFINIR LOS PROCESOS, ORGANIZACIN Y
RELACIONES DE TI

Se define en COBIT este proceso como:
Una organizacin de TI se debe definir tomando en cuenta los requerimientos
de personal, funciones, rendicin de cuentas, autoridad, roles,
responsabilidades y supervisin. La organizacin est embebida en un marco
de trabajo de procesos de TI que asegure la transparencia y el control, as
como el involucramiento de los altos ejecutivos y de la gerencia del negocio.
Se detallan los 15 objetivos de control que comprende el proceso definir los
procesos, organizacin y relaciones de TI en la siguiente ilustracin:

37

PO4 - DEFINIR LOS PROCESOS, ORGANIZACIN Y RELACIONES DE TI

Las relaciones de TI responden a las responsabilidades de entregar calidad en cada
proceso, con la informacin y los datos que deben de estar adecuadamente
supervisados para que la segregacin de funciones sean lo ms efectivo posible y el
personal involucrado en la consecucin de los objetivos elaboren un marco de trabajo
estratgico que ample los constantes esfuerzos por alcanzar nuevas metas en la
infraestructura, las tendencias organizativas incitan a un entorno slido y
caracterstico para alcanzar roles relativamente responsables en cada meta trazada.

38

PROCESO PO5 - ADMINISTRAR LA INVERSIN EN TI
COBIT indica que el proceso debe: Establecer y mantener un marco de trabajo para
administrar los programas de inversin en TI que abarquen costos, beneficios,
prioridades dentro del presupuesto, un proceso presupuestal formal y administracin
contra ese presupuesto. (IT Governance Institute, COBIT 4.1, Pg.47, 2007)
En la siguiente ilustracin se detallan los 5 objetivos de control que conforman el
proceso administrar la inversin en TI.
PO5 ADMINISTRAR LA INVERSIN DE TI

Los objetivos se basan en la meta alcanzada y a mejorar los procesos en las distintas
reas, sin embargo la inversin consiste en medir el esfuerzo, la eficiencia y
optimizar los recursos con una adecuada gestin financiera, que permita difundir
habilidades de comunicacin integradoras para la correcta consecucin de beneficios.
El manejo adecuado y garantizado del proceso implica cambios sustanciales que
garanticen beneficios y nuevos objetivos trazados.
39

PROCESO PO6 - COMUNICAR LAS ASPIRACIONES Y LA DIRECCIN
DE LA GERENCIA

Lo que menciona COBIT para este proceso es: La direccin debe elaborar un marco
de trabajo de control empresarial para TI, y definir y comunicar las polticas. El
proceso debe garantizar el cumplimiento de las leyes y reglamentos relevantes. (IT
Governance Institute, COBIT 4.1, Pg.51, 2007)
En la siguiente ilustracin se detallan los 5 objetivos de control que abarca el proceso
comunicar las aspiraciones y la direccin de la gerencia.
PO6 COMUNICAR LAS ASPIRACIONES Y LA DIRECCIN DE LA
GERENCIA

El principal elemento para la consecucin de los objetivos es el control siendo
prioridad en las actividades integradoras que aplica la empresa en su proceso de
enlazar la TI con el contorno de comunicacin existente en los diferentes
departamentos de la empresa, generando la elaboracin y administracin de polticas
con el objeto de tener una direccin ms efectiva.
40

El efecto comunicacin garantiza un sntoma de creer que se pueden hacer las cosas
mejor de lo que se est haciendo, creando un clima de constante motivacin y deseo
por alcanzar las metas definidas.

PROCESO PO7 - ADMINISTRAR RECURSOS HUMANOS DE TI
COBIT indica para este proceso:
Adquirir, mantener y motivar una fuerza de trabajo para la creacin y entrega
de servicios de TI para el negocio. Esto se logra siguiendo prcticas definidas
y aprobadas que apoyan el reclutamiento, entrenamiento, la evaluacin del
desempeo, la promocin y la terminacin. Este proceso es crtico, ya que las
personas son activos importantes, y el ambiente de gobierno y de control
interno depende fuertemente de la motivacin y competencia del personal.
Los 8 objetivos de control comprendidos en el proceso administrar recursos humanos
de TI se muestran en la siguiente ilustracin:
PO7 ADMINISTRAR RECURSOS HUMANOS DE TI

41

El factor o talento humano implica la correcta aplicacin de las competencias en
relacin al desempeo de las funciones del recurso ms importante para los objetivos
estratgicos de la empresa. Un manejo adecuado en el reclutamiento involucra un
proceso de estudio y anlisis de competencias para la asignacin de cargos y
ejecucin de roles, de esto depender que el recurso humano sea proactivo y no se
cree dependencia en cada una de las actividades.
El objetivo es enmarcar una eficiencia de al menos un 90% del personal de toda la
empresa, sin embargo el indicador influye para mejorar y mantener el equilibrio en
las distintas actividades del personal, por eso es necesaria la proactividad, la
evaluacin y el desempeo de las actividades grupales.

PROCESO PO8 - ADMINISTRAR LA CALIDAD
Para el cumplimiento del proceso, COBIT indica:
Se debe elaborar y mantener un sistema de administracin de calidad, el cual
incluya procesos y estndares probados de desarrollo y de adquisicin. La
administracin de calidad es esencial para garantizar que TI est dando valor al
negocio, mejora continua y transparencia para los interesados. (IT Governance
Institute, COBIT 4.1, Pg.59, 2007)
El proceso administrar la calidad est conformado por 6 objetivos de control que se
presentan en la siguiente ilustracin:

42

PO8 - ADMINISTRAR LA CALIDAD

Un servicio es considerado como tal cuando la calidad envuelve el soporte de toda
accin ejecutada por el personal de la empresa, sin embargo la medicin de la calidad
est reflejada en las actividades ampliadas y en el desarrollo de nuevas tecnologas
que involucra un proceso de cambio y mejoras para con los clientes internos y
externos de la organizacin. La calidad forma parte de la planeacin, control y
evaluacin por lo que refiere varios objetivos enlazados para encontrar los estndares
de calidad y desarrollo, adems su enfoque en los clientes internos y externos refleja
una integracin en base a la responsabilidad y confianza prescrita en cada analoga
de los objetivos de control que mantiene COBIT.

43

PROCESO PO9 - EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI
De acuerdo con COBIT para este proceso se debe:
Crear y dar mantenimiento a un marco de trabajo de administracin de
riesgos. El marco de trabajo documenta un nivel comn y acordado de riesgos
de TI, estrategias de mitigacin y riesgos residuales. Cualquier impacto
potencial sobre las metas de la organizacin, causado por algn evento no
planeado se debe identificar, analizar y evaluar. El resultado de la evaluacin
debe ser entendible para los Interesados (Stakeholders) y se debe expresar en
trminos financieros, para permitirles alinear los riesgos a un nivel aceptable
de tolerancia. (IT Governance Institute, COBIT 4.1, Pg.63, 2007)
En la siguiente ilustracin se detallan los 6 objetivos de control comprendidos en el
proceso evaluar y administrar los riesgos de TI.
PO9 - EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI

La administracin del riesgo de TI est basada en los indicadores de control que
ayudan en la identificacin de eventos, su posterior evaluacin y elaboracin de
respuestas estratgicas y oportunas que permitan un efectivo control de las amenazas
y disminucin del impacto, todo esto encuadrado en un marco de trabajo y
considerado en un plan de accin de riesgo debidamente evaluado y monitoreado
peridicamente.
44

PROCESO PO10 - ADMINISTRAR PROYECTOS
Para COBIT se debe:
Establecer un marco de trabajo de administracin de programas y proyectos
para la administracin de todos los proyectos de TI establecidos. El marco de
trabajo debe garantizar la correcta asignacin de prioridades y la coordinacin
de todos los proyectos. Este enfoque reduce el riesgo de costos inesperados y
de cancelacin de proyectos, mejora la comunicacin y el involucramiento
del negocio y de los usuarios finales, asegura el valor y la calidad de los
entregables de los proyectos, y maximiza la contribucin a los programas de
inversin facilitados por TI. (IT Governance Institute, COBIT 4.1, Pg.67)
Se muestran los 14 objetivos de control que comprende el proceso administrar
proyectos en la siguiente ilustracin:
PO10 - ADMINISTRAR PROYECTOS

Estos objetivos de control se relacionan con el manejo adecuado de los proyectos
desde su inicio hasta su culminacin, midiendo el desempeo, reportando y
monitoreando su desenvolvimiento, vigilando de esta manera la utilizacin apropiada
de los recursos para que la calidad del proyecto sea la ms efectiva.
45

2.1.1.1.2 DOMINIO ADQUIRIR E IMPLEMENTAR (AI)

Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas,
desarrolladas o adquiridas, as como implementadas e integradas dentro del proceso
del negocio. Adems, este dominio cubre los cambios y el mantenimiento realizados
a sistemas existentes. (IT Governance Institute, COBIT 4.1, Pg.12, 2007)
Esta definicin trata de incursionar en las soluciones eficientes que detalla la
metodologa COBIT en los procesos de calidad del negocio, situacin que pretende
dar cambios y soportes a los proyectos que se vincula con base al esfuerzo de los
recursos, siendo imprescindible el mantenimiento de los sistemas. Las TI garantizan
que los procesos se ejecuten adecuadamente identificando los inconvenientes o
riesgos para luego poder sistematizar la realizacin de los nuevos procesos, la
adquisicin de un software que permita mantener una mejor infraestructura
tecnolgica que agilite las operaciones de la empresa.
En la siguiente ilustracin se detallan los 7 procesos del dominio Adquirir e
Implementar.
ILUSTRACIN 14: PROCESOS DEL DOMINIO ADQUIRIR E
IMPLEMENTAR
AI1 Identificar
soluciones
automatizadas
AI2 Adquirir y
mantener
software
aplicativo
AI3 Adquirir y
mantener
infraestructura
tecnolgica
AI4 Facilitar la
operacin y el
uso
AI5 Adquirir
recursos de TI
AI6
Administrar
cambios
AI7 Instalar y
acreditar
soluciones y
cambios

46

PROCESO AI1 IDENTIFICAR SOLUCIONES AUTOMATIZADAS
La necesidad de una nueva aplicacin o funcin requiere de anlisis antes de
la compra o desarrollo para garantizar que los requisitos del negocio se
satisfacen con un enfoque efectivo y eficiente, que permiten a las
organizaciones minimizar el costo para Adquirir e Implementar soluciones,
mientras que al mismo tiempo facilitan el logro de los objetivos del negocio.
Este primer proceso de identificar soluciones automatizadas se compone de 4
objetivos de control que se detallan en la siguiente ilustracin:
AI1 IDENTIFICAR SOLUCIONES AUTOMATIZADAS

Los objetivos de control de este proceso permiten identificar en las soluciones
automatizadas su efectividad y eficiencia, mediante la definicin de los
requerimientos tcnicos del negocio, el anlisis de los riesgos, y la aprobacin de los
estudios que se realicen de factibilidad y cursos de accin alternativos.

47

PROCESO AI2 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO
Este proceso cubre el diseo de las aplicaciones, la inclusin apropiada de
controles aplicativos y requerimientos de seguridad, y el desarrollo y la
configuracin en s de acuerdo a los estndares. Esto permite a las
organizaciones apoyar la operatividad del negocio de forma apropiada con las
aplicaciones automatizadas correctas. (IT Governance Institute, COBIT 4.1,
Pg.77, 2007)
Con la siguiente ilustracin se muestran los 10 objetivos de control que conforman
el proceso adquirir y mantener software aplicativo.

AI2 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO

Con estos objetivos de control se contribuye a mantener aplicaciones acordes a los
requerimientos del negocio, garantizando su calidad, seguridad, disponibilidad y
confiabilidad as como la satisfaccin de los usuarios, convirtiendo el proceso en
oportuno y rentable si est basado en buenas prcticas de adquisicin y
mantenimiento de software aplicativo.
48

PROCESO AI3 ADQUIRIR Y MANTENER INFRAESTRUCTURA
TECNOLGICA
Las organizaciones deben contar con procesos para adquirir, Implementar y
actualizar la infraestructura tecnolgica. Esto requiere de un enfoque
planeado para adquirir, mantener y proteger la infraestructura de acuerdo con
las estrategias tecnolgicas convenidas y la disposicin del ambiente de
desarrollo y pruebas. Esto garantiza que exista un soporte tecnolgico
continuo para las aplicaciones del negocio. (IT Governance Institute, COBIT
4.1, Pg.81, 2007)
Con la siguiente ilustracin se detallan los 4 objetivos de control que comprende el
proceso adquirir y mantener infraestructura tecnolgica:
AI3 ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLGICA

La infraestructura tecnolgica es un elemento primordial en el desarrollo integrado
de la empresa por lo que su adquisicin y mantenimiento debe estar basado en un
plan que considere aspectos tales como costos, riesgos, vulnerabilidad, vida til, etc.
Con estos objetivos se puede proporcionar una infraestructura tecnolgica confiable
y segura.

49

PROCESO AI4 FACILITAR LA OPERACIN Y EL USO
Este proceso requiere la generacin de documentacin y manuales para usuarios y
para TI, y proporciona entrenamiento para garantizar el uso y la operacin correctos
de las aplicaciones y la infraestructura. (IT Governance Institute, COBIT 4.1,
Pg.85, 2007)
El proceso facilitar la operacin y el uso se compone de 4 objetivos de control que se
muestran en la ilustracin siguiente:
AI4 FACILITAR LA OPERACIN Y EL USO

Estos controles contribuyen en la planificacin de soluciones operativas que
comprenden la transferencia de competencias y conocimientos al recurso humano
para el soporte de las actividades de las TI y la utilizacin efectiva y eficiente de los
sistemas que sirven de apoyo a los procesos del negocio. La documentacin, el
entrenamiento as como la adopcin de herramientas y mtodos se mantiene en
forma continua y reflejan el apoyo a los requerimientos de la organizacin.

50

PROCESO AI5 ADQUIRIR RECURSOS DE TI
Se deben suministrar recursos TI, incluyendo personas, hardware, software y
servicios. Esto requiere de la definicin y ejecucin de los procedimientos de
adquisicin, la seleccin de proveedores, el ajuste de arreglos contractuales y
la adquisicin en s. El hacerlo as garantiza que la organizacin tenga todos
los recursos de TI que se requieren de una manera oportuna y rentable. (IT
En la siguiente ilustracin se detallan los 4 objetivos de control que abarca en el
proceso adquirir recursos de TI.
AI5 ADQUIRIR RECURSOS DE TI

El adquirir recursos de TI involucra su control mediante el desarrollo de
procedimientos de adquisicin, la administracin de contratos con los proveedores
para su correcta seleccin consiguiendo con estos objetivos de control el
cumplimiento de los intereses del negocio y la optimizacin de los recursos en
trminos monetarios.

51

PROCESO AI6 ADMINISTRAR CAMBIOS
Segn COBIT:
Todos los cambios, incluyendo el mantenimiento de emergencia y parches,
relacionados con la infraestructura y las aplicaciones dentro del ambiente de
produccin, deben administrarse formalmente y controladamente. Los
cambios (incluyendo procedimientos, procesos, sistema y parmetros del
servicio) se deben registrar, evaluar y autorizar previo a la implantacin y
revisar contra los resultados planeados despus de la implantacin. Esto
garantiza la reduccin de riesgos que impactan negativamente la estabilidad o
integridad del ambiente de produccin. (IT Governance Institute, COBIT 4.1,
Pg.93, 2007)
Los 5 objetivos de control comprendidos en el proceso administrar cambios se
muestran en la siguiente ilustracin:
AI6 ADMINISTRAR CAMBIOS

Los objetivos de control de este proceso permiten seguir los pasos secuenciales para
la adecuada administracin de cambios definiendo y comunicando oportunamente los
procedimientos a cumplir para realizarlos. El monitoreo y evaluacin de los cambios
minimiza errores e interrupciones y agrega valor a la informacin garantizando que
TI sea un factor que hace posible un incremento en la productividad y crea nuevas
oportunidades de negocio para la organizacin.
52

PROCESO AI7 INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS
Para el proceso se define que:
Los nuevos sistemas necesitan estar funcionales una vez que su desarrollo se
completa. Esto requiere pruebas adecuadas en un ambiente dedicado con
datos de prueba relevantes, definir la transicin e instrucciones de migracin,
planear la liberacin y la transicin en s al ambiente de produccin, y revisar
la post-implantacin. Esto garantiza que los sistemas operativos estn en lnea
con las expectativas convenidas y con los resultados. (IT Governance
Los 9 objetivos de control que conforman el proceso instalar y acreditar soluciones y
cambios, se detallan en la siguiente ilustracin.
AI7 INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS

Iniciando con el entrenamiento del personal de operaciones de la funcin de TI,
pasando por las pruebas de ambiente, de cambios, de aceptacin, realizar el
monitoreo posterior a la implementacin, evaluar los resultados, medir la satisfaccin
del usuario de los sistemas nuevos o modificados, todo esto forma parte de los
objetivos de control de este proceso para garantizar el rendimiento y desarrollo de los
nuevos recursos y asegurar el mejoramiento continuo de la calidad.
53

2.1.1.1.3 DOMINIO ENTREGAR Y DAR SOPORTE (DS)

En este dominio se hace referencia a la entrega de los servicios requeridos,
que abarca desde las operaciones tradicionales hasta el entrenamiento,
pasando por seguridad y aspectos de continuidad. Con el fin de proveer
servicios, debern establecerse los procesos de soporte necesarios. Este
dominio incluye el procesamiento de los datos por sistemas de aplicacin,
frecuentemente clasificados como controles de aplicacin. (IT Governance
El dominio Entregar y Dar soporte est compuesto de 13 procesos identificados en la
siguiente ilustracin.
ILUSTRACIN 22: PROCESOS DEL DOMINIO ENTREGAR Y DAR
SOPORTE
DS1 Definir y
administrar
los niveles de
servicio
DS2
Administrar
los servicios
de terceros
DS3
Administrar el
desempeo y
la capacidad
DS5
Garantizar la
seguridad de
los sistemas

DS6
Identificar y
asignar
costos
DS7 Educar y
entrenar a los
usuarios
DS8
Administrar la
Mesa de
servicio y los
incidentes
DS11
Administrar
los datos
DS12
Administrar el
ambiente
fsico
DS13
Administrar
las
operaciones
DS10
Administrar los
Problemas
DS4
Garantizar la
continuidad
del servicio
DS9
Administrar la
configuracin


54

PROCESO DS1 DEFINIR Y ADMINISTRAR LOS NIVELES DE
SERVICIO

Contar con una definicin documentada y un acuerdo de servicios de TI y de
niveles de servicio, hace posible una comunicacin efectiva entre la gerencia
de TI y los clientes de negocio respecto de los servicios requeridos. Este
proceso tambin incluye el monitoreo y la notificacin oportuna a los
Interesados sobre el cumplimiento de los niveles de servicio. Este proceso
permite la alineacin entre los servicios de TI y los requerimientos de negocio
relacionados. (IT Governance Institute, COBIT 4.1, Pg.101, 2007)
Se detallan los 6 objetivos de control del proceso definir y administrar los niveles de
servicio en la siguiente ilustracin:
DS1 DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIO

COBIT relaciona los objetivos de control en base directa de un marco de trabajo
como la estrategia ms significativa para la administracin de los niveles de servicio
que incluye acuerdo de niveles de servicio (SLA) y de operaciones (OLA). El
monitoreo continuo del cumplimiento de los niveles de servicio y el anlisis de los
resultados permite identificar tendencias positivas y negativas consiguiendo asegurar
la alineacin de los servicios claves de TI con la estrategia del negocio.
55

PROCESO DS2 ADMINISTRAR LOS SERVICIOS DE TERCEROS
Este proceso se logra por medio de una clara definicin de roles,
responsabilidades y expectativas en los acuerdos con los terceros, as como
con la revisin y monitoreo de la efectividad y cumplimiento de dichos
acuerdos. Una efectiva administracin de los servicios de terceros minimiza
los riesgos del negocio asociados con proveedores que no se desempean de
forma adecuada. (IT Governance Institute, COBIT 4.1, Pg.105, 2007)
En la siguiente ilustracin se muestran los 4 objetivos de control que conforman el
proceso administrar los servicios de terceros.
DS2 ADMINISTRAR LOS SERVICIOS DE TERCEROS

Utilizando los objetivos de control de este proceso se identifica y categoriza los
servicios con los proveedores y se mide el grado de calidad, confianza y
transparencia existente con ellos empleando SLAs. Con la identificacin y
mitigacin del riesgo del proveedor y el monitoreo de su desempeo se asegura el
cumplimiento de la calidad del servicio que debe estar acorde con los requerimientos
y acuerdos definidos en los contratos y SLAs.

56

PROCESO DS3 ADMINISTRAR EL DESEMPEO Y LA CAPACIDAD
Este proceso incluye el pronstico de las necesidades futuras, basadas en los
requerimientos de carga de trabajo, almacenamiento y contingencias. Este proceso
brinda la seguridad de que los recursos de informacin que soportan los
requerimientos del negocio estn disponibles de manera continua. (IT Governance
Con la siguiente ilustracin se muestran los 5 objetivos de control que comprende el
proceso administrar el desempeo y la capacidad.
DS3 ADMINISTRAR EL DESEMPEO Y LA CAPACIDAD

Los objetivos de control de este proceso apuntan a la planeacin para revisar la
capacidad y el desempeo de los recursos de TI actuales y determinar pronsticos de
los recursos futuros cuando el actual sea insuficiente. El monitoreo continuo
contribuye a tomar acciones correctivas que permiten la disponibilidad de los
servicios y optimizacin de su capacidad acordes a los SLAs establecidos en
respuesta a las necesidades del negocio.
57

PROCESO DS4 GARANTIZAR LA CONTINUIDAD DEL SERVICIO
La necesidad de brindar continuidad en los servicios de TI requiere
desarrollar, mantener y probar planes de continuidad de TI, almacenar
respaldos fuera de las instalaciones y entrenar de forma peridica sobre los
planes de continuidad. Un proceso efectivo de continuidad de servicios,
minimiza la probabilidad y el impacto de interrupciones mayores en los
servicios de TI, sobre funciones y procesos claves del negocio. (IT
Con la siguiente ilustracin se muestra los 10 objetivos de control contenidos en el
proceso garantizar la continuidad del servicio.
DS4 GARANTIZAR LA CONTINUIDAD DEL SERVICIO

Generar un marco de trabajo ptimo que incluya planes de continuidad que considere
entre otras cosas la estructura organizacional, roles y responsabilidades,
identificacin de recursos crticos, etc. Considerar el mantenimiento, prueba,
entrenamiento y distribucin de los planes de continuidad asegura la recuperacin y
reanudacin de los servicios de TI con un impacto mnimo. Los objetivos de control
tambin contemplan una revisin posterior a la reanudacin de las funciones de TI
validando la efectividad de los planes de continuidad.
58

PROCESO DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS
Este proceso incluye el establecimiento y mantenimiento de roles y
responsabilidades de seguridad, polticas, estndares y procedimientos de TI.
La administracin de la seguridad tambin incluye realizar monitoreos de
seguridad y pruebas peridicas as como realizar acciones correctivas sobre
las debilidades o incidentes de seguridad identificados. Una efectiva
administracin de la seguridad protege todos los activos de TI para minimizar
el impacto en el negocio causado por vulnerabilidades o incidentes de
seguridad. (IT Governance Institute, COBIT 4.1, Pg.117, 2007)
El proceso garantizar la seguridad de los sistemas est compuesto por 11 objetivos de
control que se presentan en la siguiente ilustracin:
DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS

La seguridad de los sistemas de TI debe estar alineada con los objetivos de seguridad
del negocio. Desarrollar un plan de seguridad que contemple los requerimientos de
negocio, riesgos y cumplimiento. Implementar mecanismos de autenticacin para
usuarios de las TI, y los permisos de accesos a informacin crtica y sensible debe
contar con la debida aprobacin. El monitoreo y las pruebas peridicas garantizan
que se mantiene el nivel de seguridad aprobado.
59

PROCESO DS6 IDENTIFICAR Y ASIGNAR COSTOS
Este proceso incluye la construccin y operacin de un sistema para capturar,
distribuir y reportar costos de TI a los usuarios de los servicios. Un sistema
equitativo de costos permite al negocio tomar decisiones ms informadas respectos al
uso de los servicios de TI. (IT Governance Institute, COBIT 4.1, Pg.121, 2007)
Los 4 objetivos de control que comprendidos en el proceso identificar y asignar
costos se detallan en la ilustracin siguiente:
DS6 IDENTIFICAR Y ASIGNAR COSTOS

Los costos de TI deben asignarse en forma justa y equitativa a los consumidores de
TI mediante una modelacin adecuada de costos y cargos. Se requiere un monitoreo
y evaluacin oportuna para detectar desviaciones que permitan la constante
optimizacin del costo de los recursos de TI y la toma de decisiones rentable con
respecto al uso de los servicios.

60

PROCESO DS7 EDUCAR Y ENTRENAR A LOS USUARIOS
Este proceso incluye la definicin y ejecucin de una estrategia para llevar a
cabo un entrenamiento efectivo y para medir los resultados. Un programa
efectivo de entrenamiento incrementa el uso efectivo de la tecnologa al
disminuir los errores, incrementando la productividad y el cumplimiento de
los controles clave tales como las medidas de seguridad de los usuarios. (IT
Con la siguiente ilustracin se muestra los 3 objetivos de control contenidos en el
proceso educar y entrenar a los usuarios.
DS7 EDUCAR Y ENTRENAR A LOS USUARIOS

Estos objetivos de control establecen la identificacin de las necesidades de
entrenamiento y educacin mediante el desarrollo de un plan de entrenamiento para
cada grupo objetivo de empleados, garantizando con ello el uso apropiado de los
recursos de TI y optimizando su desempeo.
La creacin de una cultura moderada en el recurso humano ayuda a apaciguar los
riesgos crticos que se podran manifestar, mejor respuesta en la entrega de servicios
y un incremento en la productividad.
61

PROCESO DS8 ADMINISTRAR LA MESA DE SERVICIO Y LOS
INCIDENTES

Este proceso incluye la creacin de una funcin de mesa de servicio con
registro, escalamiento de incidentes, anlisis de tendencia, anlisis causa-raz
y resolucin. Los beneficios del negocio incluyen el incremento en la
productividad gracias a la resolucin rpida de consultas. Adems, el negocio
puede identificar la causa raz (tales como un pobre entrenamiento a los
usuarios) a travs de un proceso de reporte efectivo. (IT Governance Institute,
COBIT 4.1, Pg.129, 2007)
En la siguiente ilustracin se detallan los 5 objetivos de control contemplados en el
proceso administrar la mesa de servicio y los incidentes.
DS8 ADMINISTRAR LA MESA DE SERVICIO Y LOS INCIDENTES

Con estos objetivos de control se puede conformar una mesa de servicio bien
diseada que atienda en forma oportuna y efectiva los requerimientos y problemas de
los usuarios. Establecer procedimientos para el monitoreo y escalamientos de
incidentes, priorizando la resolucin de los ms crticos corresponde a una adecuada
administracin de la mesa de servicio que permite mantener un control apropiado
sobre los incidentes e identificar las tendencias de problemas recurrentes para
mejorar el servicio de manera continua.
62

PROCESO DS9 ADMINISTRAR LA CONFIGURACIN
Este proceso incluye la recoleccin de informacin de la configuracin
inicial, el establecimiento de normas, la verificacin y auditora de la
informacin de la configuracin y la actualizacin del repositorio de
configuracin conforme se necesite. Una efectiva administracin de la
configuracin facilita una mayor disponibilidad, minimiza los problemas de
produccin y resuelve los problemas ms rpido. (IT Governance Institute,
COBIT 4.1, Pg.133, 2007)
Los 3 objetivos de control que constituyen el proceso administrar la configuracin se
presentan en la ilustracin siguiente:
DS9 ADMINISTRAR LA CONFIGURACIN

Administrar la configuracin permite establecer los parmetros que deben de
ejecutarse en cualquier tipo de conflicto en donde podra manifestarse una amenaza,
los objetivos de control sealan los lineamientos a seguir para la optimizacin de la
infraestructura, recursos y capacidades de TI, con el establecimiento y
mantenimiento de un repositorio central de todos los elementos de configuracin y la
revisin peridica de los datos de configuracin para verificar su integridad.
63

PROCESO DS10 ADMINISTRAR LOS PROBLEMAS
El proceso administrar los problemas tambin incluye la identificacin de
recomendaciones para la mejora, el mantenimiento de registros de problemas
y la revisin del estatus de las acciones correctivas. Un efectivo proceso de
administracin de problemas mejora los niveles de servicio, reduce costos y
mejora la conveniencia y satisfaccin del usuario. (IT Governance Institute,
COBIT 4.1, Pg.137, 2007)
Los 4 objetivos de control incluidos en el proceso administrar los problemas se
detallan en la ilustracin siguiente:
DS10 ADMINISTRAR LOS PROBLEMAS

Luego de la identificacin y clasificacin del problema, procede calificarlo acorde a
la prioridad de exigencias y categorizacin. Identificar la causa raz, definir
soluciones sostenibles y monitorear el avance de estas soluciones contra los SLAs
acordados. Una vez que se resuelve el problema el cierre del mismo amerita la
integracin con los procesos interrelacionados como el de administracin de
incidentes, de cambios y de configuracin. Con la aplicacin de estos objetivos se
puede anticipar y prevenir los problemas garantizando la satisfaccin de los usuarios
finales.
64

PROCESO DS11 ADMINISTRAR LOS DATOS
El proceso administrar los datos tambin incluye el establecimiento de
procedimientos efectivos para administrar la librera de medios, el respaldo y
la recuperacin de datos y la eliminacin apropiada de medios. Una efectiva
administracin de datos ayuda a garantizar la calidad, oportunidad y
disponibilidad de la informacin del negocio. (IT Governance Institute,
COBIT 4.1, Pg.141, 2007)
Un detalle de los 6 objetivos de control que conforman el proceso administrar los
datos se presenta en la ilustracin siguiente:
DS11 ADMINISTRAR LOS DATOS

Los objetivos de control se plantean en base a un requerimiento del negocio para la
correcta gestin de los datos, dirigida a mantener la integridad, exactitud,
disponibilidad y proteccin de los mismos. Para esto se requiere el desarrollo de
polticas y procedimientos para el almacenamiento, de inventario, de eliminacin, de
respaldos y de seguridad de los datos. Establecer en forma clara las responsabilidades
sobre la propiedad y administracin de los datos y son conocidas y actualizadas
peridicamente.
65

PROCESO DS12 ADMINISTRAR EL AMBIENTE FSICO
El proceso de administrar el ambiente fsico incluye la definicin de los
requerimientos fsicos del centro de datos, la seleccin de instalaciones
apropiadas y el diseo de procesos efectivos para monitorear factores
ambientales y administrar el acceso fsico. La administracin efectiva del
ambiente fsico reduce las interrupciones del negocio ocasionadas por daos
al equipo de cmputo y al personal. (IT Governance Institute, COBIT 4.1,
Pg.145, 2007)
En la siguiente ilustracin se detallan los 5 objetivos de control que conforman el
proceso administrar el ambiente fsico.
DS12 ADMINISTRAR EL AMBIENTE FSICO

El ambiente fsico tambin debe ser administrado de acuerdo a leyes y reglamentos
as como requerimientos tcnicos del negocio y especificaciones de seguridad para
proteger tanto los activos de TI como la informacin del negocio, y minimizar el
riesgo por interrupciones del servicio. Aplicar los objetivos de control de este
proceso permite una seleccin y diseo adecuada del centro de datos, adoptar
medidas de seguridad, definir procedimientos para otorgar permisos de acceso a
instalaciones, disear e implementar medidas de proteccin contra factores
ambientales, todo esto brinda un ambiente fsico apropiado para los recursos e
infraestructura de TI.
66

PROCESO DS13 ADMINISTRAR LAS OPERACIONES
Este proceso incluye la definicin de polticas y procedimientos de operacin
para una administracin efectiva del procesamiento programado, proteccin
de datos de salida sensitivos, monitoreo de infraestructura y mantenimiento
preventivo de hardware. Una efectiva administracin de operaciones ayuda a
mantener la integridad de los datos y reduce los retrasos en el trabajo y los
costos operativos de TI. (IT Governance Institute, COBIT 4.1, Pg.149, 2007)
El proceso administrar las operaciones cuenta con 5 objetivos de control que se
muestran en la siguiente ilustracin:
DS13 ADMINISTRAR LAS OPERACIONES

Establecer polticas y procedimientos para la correcta administracin de las
operaciones de TI. Estos procedimientos deben extenderse para la programacin de
tareas, monitoreo de la infraestructura de TI y para el mantenimiento preventivo del
hardware, todo esto complementado con la proteccin de datos sensitivos garantiza
la continuidad de las operaciones y contribuyen a un ambiente estable.
67

2.1.1.1.4 DOMINIO MONITOREAR Y EVALUAR (ME)

Todos los procesos necesitan ser evaluados regularmente a travs del tiempo para
verificar su calidad y cumplimiento en cuanto a los requerimientos de control. (IT
El dominio Monitorear y Evaluar est basado en 4 procesos que se muestran a
continuacin:
ILUSTRACIN 36: PROCESOS DEL DOMINIO MONITOREAR Y
EVALUAR

ME1
Monitorear y
Evaluar el
Desempeo
de TI
ME2
Monitorear y
Evaluar el
Control
Interno
ME3
Garantizar el
Cumplimiento
Regulatorio
ME4
Proporcionar
Gobierno de
TI
TI


68

PROCESO ME1 - MONITOREAR Y EVALUAR EL DESEMPEO DE TI

El proceso incluye la definicin de indicadores de desempeo relevantes, reportes
sistemticos y oportunos de desempeo y tomar medidas expeditas cuando existan
desviaciones. El monitoreo se requiere para garantizar que las cosas correctas se
hagan y que estn de acuerdo con el conjunto de direcciones y polticas. (IT
Los 6 objetivos de control que comprende el proceso monitorear y evaluar el
desempeo de TI se muestran en la ilustracin siguiente:
ME1 - MONITOREAR Y EVALUAR EL DESEMPEO DE TI

Un proceso de control que monitoree y evale peridicamente el desempeo de las
TI comparndolo contra las metas acordadas es lo que recomienda Cobit mediante
los objetivos de control. Los servicios proporcionados debern ser medidos
definiendo indicadores claves de desempeo (KPIs) para actividades internas y
externas, los resultados de estas evaluaciones se reportan a la Gerencia para que esta
disponga las medidas correctivas necesarias para el mejoramiento del desempeo.
69

PROCESO ME2 MONITOREAR Y EVALUAR EL CONTROL INTERNO
Este proceso incluye el monitoreo y el reporte de las excepciones de control,
resultados de las auto-evaluaciones y revisiones por parte de terceros. Un
beneficio clave del monitoreo del control interno es proporcionar seguridad
respecto a las operaciones eficientes y efectivas y el cumplimiento de las
leyes y regulaciones aplicables. (IT Governance Institute, COBIT 4.1,
Pg.157, 2007)
En la siguiente ilustracin se detallan los 7 objetivos de control que abarca el proceso
monitorear y evaluar el control interno.
ME2 MONITOREAR Y EVALUAR EL CONTROL INTERNO

Un marco de trabajo con sistemas de controles internos definidos, monitorear la
eficiencia y efectividad de los controles internos para los procesos de TI y de ser
necesario someterlos a revisin de terceros para asegurar su completitud, identificar
excepciones y analizar sus causas para establecer correctivos, desarrollar y evaluar
controles internos para proveedores de servicios externos, contar con un equipo de
trabajo calificado para la evaluacin de los controles, son parmetros contemplados
en los objetivos de control de este proceso y representan una garanta de seguridad
operacional.
70

PROCESO ME3 GARANTIZAR EL CUMPLIMIENTO CON
REQUERIMIENTOS EXTERNOS

Este proceso incluye la definicin de una declaracin de auditora,
independencia de los auditores, tica y estndares profesionales, planeacin,
desempeo del trabajo de auditora y reportes y seguimiento a las actividades
de auditora. El propsito de este proceso es proporcionar un aseguramiento
positivo relativo al cumplimiento de TI de las leyes y regulaciones. (IT
Con la ilustracin siguiente detallamos los 5 objetivos de control que abarca el
proceso garantizar el cumplimiento con requerimientos externos.
ME3 GARANTIZAR EL CUMPLIMIENTO CON REQUERIMIENTOS
EXTERNOS

Con la consecucin de estos objetivos de control se consigue alinear las polticas,
procedimientos, estndares y metodologas de TI de la organizacin con las leyes y
regulaciones locales e internacionales con lo cual se minimiza el riesgo por el no
cumplimiento y se optimizan los procesos de TI adems la organizacin adquiere una
cultura administrativa que la proyecta a niveles competitivos.

71

PROCESO M4 - PROPORCIONAR GOBIERNO DE TI
El establecimiento de un marco de trabajo de gobierno efectivo, incluye la
definicin de estructuras, procesos, liderazgo, roles y responsabilidades
organizacionales para garantizar as que las inversiones empresariales en TI estn
alineadas y de acuerdo con las estrategias y objetivos empresariales. (IT
Los 7 objetivos de control que componen el proceso proporcionar gobierno de TI se
presentan en la ilustracin siguiente:
M4 - PROPORCIONAR GOBIERNO DE TI

Estos objetivos de control contemplan la elaboracin de informes oportunos al
consejo directivo sobre la estrategia, el desempeo y los riesgos de TI. Establece un
marco de trabajo para el gobierno de TI integrado al gobierno corporativo. El
gobierno de la empresa y el gobierno de TI estn ligados estratgicamente utilizando
recursos financieros, humanos y tecnolgicos para aumentar la ventaja competitiva
de la empresa.
72

2.1.1.2 MISIN DE COBIT

Investigar, desarrollar, hacer pblico y promover un marco de control de Gobierno
de TI autorizado, actualizado, aceptado internacionalmente para la adopcin por
parte de las empresas y el uso diario por parte de gerentes de negocio, profesionales
de TI y profesionales de aseguramiento. (IT Governance Institute, COBIT 4.1,
Pg.9, 2007)

2.1.1.2.1 REAS DE ENFOQUE DEL GOBIERNO DE TI

El conjunto de acciones coordinadas entre la alta direccin y el rea de TI permiten
proporcionar servicios optimizados y administrar los riesgos en forma efectiva para
alcanzar los objetivos estratgicos definidos de la organizacin.
Por medio de la siguiente ilustracin se indica las reas de enfoque del Gobierno de
TI dentro de la organizacin.
ILUSTRACIN 41: REAS DE ENFOQUE DEL GOBIERNO DE TI


73

ALINEACIN ESTRATGICA
Garantiza la alineacin entre los planes de negocio y de TI; definiendo,
manteniendo y validando la propuesta de valor de TI; y alineando las operaciones de
TI con las operaciones de la empresa. (IT Governance Institute, COBIT 4.1, Pg.6,
2007)

ENTREGA DE VALOR
Ejecuta la propuesta de valor a todo lo largo del ciclo de entrega, asegurando que TI
genere los beneficios prometidos en la estrategia, concentrndose en optimizar los
costos y en brindar el valor intrnseco de la TI. (IT Governance Institute, COBIT
4.1, Pg.6, 2007)

ADMINISTRACIN DE LOS RECURSOS
Se trata de la inversin ptima, as como la administracin adecuada de los recursos
crticos de TI: aplicaciones, informacin, infraestructura y personas. Los temas
claves se refieren a la optimizacin de conocimiento y de infraestructura. ((IT

ADMINISTRACIN DEL RIESGO
Requiere conciencia de los riesgos por parte de los altos ejecutivos de la empresa,
un claro entendimiento del apetito de riesgo que tiene la empresa, comprender los
requerimientos de cumplimiento, transparencia de los riesgos significativos para la
empresa, y la inclusin de las responsabilidades de administracin de riesgos dentro
de la organizacin. (IT Governance Institute, COBIT 4.1, Pg.6, 2007)

MEDICIN DEL DESEMPEO
Rastrea y monitorea la estrategia de implementacin, la terminacin del proyecto, el
uso de los recursos, el desempeo de los procesos y la entrega del servicio, con el
uso, por ejemplo, de balanced scorecards que traducen la estrategia en accin para
74

lograr las metas medibles ms all del registro convencional. (IT Governance

2.1.1.2.2 CRITERIOS DE INFORMACIN DE COBIT

Las metas de los negocios dependen del desenvolvimiento de la informacin que
genera TI que debe estar adaptada a criterios de control. COBIT ha definido los
siguientes criterios:
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento y
Confiabilidad
Los siete criterios de informacin que permiten satisfacer los objetivos del negocio
se muestran en la ilustracin siguiente:
ILUSTRACIN 42: CRITERIOS DE INFORMACIN
Efectividad Confidencialidad
Integridad
DIsponibilidad
Cumplimiento
Confiabilidad
Eficiencia
CRITERIOS DE INFORMACIN

75

Efectividad:
Es la informacin pertinente en los procesos del negocio, que se proporciona en
forma segura, oportuna, consistente, relevante y utilizable.

Eficiencia:
Es la informacin generada con el ptimo uso de los recursos.

Confidencialidad:
La informacin sensible debe estar protegida contra revelacin no autorizada.

Integridad:
La completitud y la precisin de la informacin y la validez que est acorde a las
expectativas de la empresa.

Disponibilidad:
La informacin que se desarrolle dentro de la organizacin est disponible en todo
momento, tambin involucra la proteccin de los recursos y las capacidades
necesarias asociadas.

Cumplimiento:
Se relaciona con el acatamiento de leyes, reglamentos y acuerdos a los cuales est
sujeto el negocio, es decir criterios de negocios externos, as como polticas internas.

76

Confiabilidad:
Consiste en proporcionar la informacin apropiada para que la gerencia administre la
entidad y ejerza sus responsabilidades fiduciarias y de gobierno.

2.1.1.2.3 RECURSOS DE TI

Las organizaciones invierten en recursos para poder atender a los requerimientos de
TI y garantizar que los procesos se desarrollen acordes a las metas trazadas:
Los recursos de TI se identifican en la siguiente ilustracin:
ILUSTRACIN 43: RECURSOS DE TI
TI
APLICACIONES
Informacin
Infraestructura
PERSONAS
Informacin para la
Gestin correcta en
la organizacion

Aplicaciones:
Se relaciona a los sistemas automatizados as como los procedimientos manuales que
procesan informacin.
77

Informacin:
Consiste en los datos generados por los sistemas de informacin y utilizados por el
negocio en cualquiera de sus formas.
Infraestructura:
Comprende el software, el hardware adems de los perifricos y las instalaciones as
como el sitio y ambiente que soporta la tecnologa de informacin.
Personas:
Representan el recurso humano requerido para la ejecucin de los procesos de TI.
Estas pueden ser internas, por outsourcing o contratadas segn como se requiera.

2.1.1.2.4 MODELO DE MADUREZ COBIT

Un modelo de madurez permite a la organizacin ir creciendo gradualmente y de
forma equilibrada.
COBIT plantea en su modelo de madurez las escalas siguientes:
0 - Inexistente: Carencia completa de cualquier proceso reconocible. La empresa
no ha reconocido siquiera que existe un problema a resolver. (IT Governance
1 - Ad hoc, inicial: Existe evidencia que la empresa ha reconocido que los
problemas existen y requieren ser resueltos. Sin embargo; no existen procesos
estndar en su lugar existen enfoques ad hoc que tienden a ser aplicados de forma
individual o caso por caso. El enfoque general hacia la administracin es
desorganizado. (IT Governance Institute, COBIT 4.1, Pg.19, 2007)
2 - Repetible pero intuitivo: Se han desarrollado los procesos hasta el punto en que
se siguen procedimientos similares en diferentes reas que realizan la misma tarea.
No hay entrenamiento o comunicacin formal de los procedimientos estndar, y se
deja la responsabilidad al individuo. Existe un alto grado de confianza en el
78

conocimiento de los individuos y, por lo tanto, los errores son muy probables. (IT
3 Definido: Los procedimientos se ha estandarizado y documentado, y se han
difundido a travs de entrenamiento. Sin embargo, se deja que el individuo decida
utilizar estos procesos, y es poco probable que se detecten desviaciones. Los
procedimientos en si no son sofisticados pero formalizan las prcticas existentes.
4 - Administrado y medido: Es posible monitorear y medir el cumplimiento de los
procedimientos y tomar medidas cuando los procesos no estn trabajando de forma
efectiva. Los procesos estn bajo constante mejora y proporcionan buenas prcticas.
Se usa la automatizacin y herramientas de una manera limitada o fragmentada. (IT
5 Optimizado: Los procesos se han refinado hasta un nivel de mejor prctica, se
basan en los resultados de mejoras continuas y en un modelo de madurez con otras
empresas. TI se usa de forma integrada para automatizar el flujo de trabajo,
brindando herramientas para mejorar la calidad y la efectividad, haciendo que la
empresa se adapte de manera rpida. (IT Governance Institute, COBIT 4.1, Pg.19,
2007)
Esta herramienta de evaluacin le permite a una empresa reconocer su evolucin as
como su situacin actual y futura teniendo una perspectiva clara del nivel que quiere
alcanzar:
a) El desempeo actual de la empresa - Dnde la empresa est hoy en da.
El nivel que obtiene en la evaluacin da la pauta a los ejecutivos de las
medidas correctivas a tomar para cada uno de los procesos y conseguir subir a
la siguiente escala en caso de que no cumpla la ideal que es la de optimizado.
b) El estado actual de la empresa - La comparacin.
La empresa podr comparar su situacin con respecto al nivel en el que se
encuentran otras organizaciones similares y servir igualmente para fijar la
direccin hacia nuevos objetivos.
79

c) El objetivo de la empresa para mejorar - Dnde la empresa quiere estar.
La situacin de la empresa amerita un balance en la incorporacin de la visin
motivadora con la que establecer planes, proyectos, mejoras tecnolgicas
necesarias que le permitan alcanzar un desarrollo eficaz y posicionarse en el
lugar que desea estar.
d) El camino a recorrer entre la situacin actual y el objetivo.
Establecer en el trayecto los cambios necesarios que permitan tener una
visin ms optimista en el logro para el alcance de los objetivos y que
contribuyan en la gestin de crecimiento y evolucin de la empresa.
Con este modelo de madurez es ms sencillo establecer que parmetros se cumplen
y cules no. As mismo definir para el cumplimiento, cmo se lo est haciendo.

2.1.2 BENEFICIOS PARA LA EMPRESA EN APLICAR LA
METODOLOGA COBIT

La adopcin eficaz de las mejores prcticas ayudar a obtener valor de las
inversiones de TI y los servicios de TI, sus principales beneficios son:
Optimizar la calidad, la respuesta y la fiabilidad de las soluciones y los
servicios de TI.
Reformar la viabilidad, previsibilidad y repetitividad de resultados de
negocios exitosos.
Generar la confianza y el progresivo involucramiento de beneficiarios y
favorecedores del negocio.
Reducir peligros, sucesos y fracasos en los proyectos.
80

CAPTULO 3
3.1 ASPECTOS METODOLGICOS DE LA INVESTIGACIN

3.1.1 TIPO DE INVESTIGACIN

La investigacin consiste en la recopilacin de datos o informacin suficiente que
contribuye a la solucin de un problema determinado.

A continuacin se detallan los tipos de investigacin a considerar para el desarrollo
de este proyecto:

Investigacin de campo o directa: Es de campo porque se realiz en el ambiente en
el que se desarrollan las actividades de las personas consultadas quienes
proporcionarn los datos relevantes que sern analizados.

Investigacin no experimental: Es no experimental porque los datos de inters son
recogidos en forma directa de la realidad para hacer un anlisis sistemtico del
problema, con la finalidad de interpretarlo, explicar su causa y efecto y recomendar
una solucin.

3.1.2 MTODO DE INVESTIGACIN

En la ejecucin de este proyecto se utiliz como mtodo de investigacin, el mtodo
de entrevista, el mtodo de anlisis, el mtodo comparativo, en los cuales
apoyaremos la relacin causa-efecto del problema as como las recomendaciones
para su solucin.
La entrevista y cuestionamiento a las personas que laboran en el departamento de
Sistemas se la realiza con la finalidad de reunir los datos necesarios para el anlisis
de la situacin y efectuar el diagnstico comparando los resultados con lo que
recomienda COBIT.
81

3.1.3 FUENTES Y TCNICAS PARA LA RECOLECCIN DE
INFORMACIN

Para el desarrollo de nuestro proyecto se elabor una matriz en la herramienta Excel
donde se elaboraron las preguntas basadas en el detalle de cada objetivo de control
por lo tanto se utiliz el mtodo de entrevista.
Los pasos que se siguieron para obtener la informacin son:
1. Obtencin del Marco de trabajo de COBIT.
2. Diseo de la matriz en Excel del Marco de Trabajo de COBIT.
3. Entrevistas.
4. Calificacin y ponderacin de los resultados.

3.1.4 LIBROS DE COBIT UTILIZADOS PARA EL DIAGNSTICO

Para la evaluacin del marco de control de TI hemos considerado el detalle de los
objetivos de control del manual COBIT 4.1 debido a que se investig que al
momento no hay la gua de aseguramiento de TI por lo que se utiliz la tercera
edicin de las directrices de auditora y la segunda edicin de los objetivos de
control, a partir de lo cual se realiz un anlisis con las referencias cruzadas que
aparecen en el Apndice V del manual COBIT 4.1 y se lleg a la conclusin de que
hay una relacin de estas versiones con el detalle del objetivo de control de COBIT
4.1.
El diagnstico realizado en la empresa EP hace nfasis en el control que se debe de
aplicar en los diferentes procesos del departamento de sistemas para el
mantenimiento, distribucin y el almacenaje de la informacin y en el grado de
efectividad de los mismos con relacin a lo que COBIT recomienda.

82

3.1.5 MTODO MATRICIAL PARA EL ANLISIS DE RIESGOS

La seguridad y los controles en los sistemas de informacin ayudan a disminuir los
riesgos sin deshacerse de ellos por completo, puesto que siempre en toda empresa
existir un grado de incertidumbre.

Es necesario conocer el grado de riesgo o nivel que la organizacin est dispuesta a
aceptar para considerar un estndar, especialmente lo relacionado al anlisis del
costo-beneficio para aplicar las tcnicas generalmente aceptadas de control y
seguridad en tecnologa de informacin.

3.1.5.1 DEFINICIONES PARA EL ANLISIS DE RIESGOS

Riesgo Informtico: Un riesgo informtico se podra definir como la
ausencia de seguridad en el procesamiento automtico de datos. (Fundacin
Wikimedia I. , 2012)
Riesgos de Tecnologa de Informacin: El concepto de riesgo de TI puede
definirse como el efecto de una causa multiplicado por la frecuencia probable
de ocurrencia dentro del entorno de TI. Surge as, entonces la necesidad del
control que acte sobre la causa del riesgo para minimizar sus efectos.
Cuando se dice que los controles minimizan los riesgos, lo que en verdad
hacen es actuar sobre las causas de los riesgos, para minimizar sus efectos.
Utilidad del Mtodo Matricial para el anlisis de Riesgos: Este mtodo
utiliza una matriz para mostrar grficamente tanto las amenazas a que estn
expuestos los sistemas computarizados como los objetos que comprenden el
sistema. Dentro de cada celda se muestran los controles que atacan a las
amenazas. (J os Dagoberto Pinilla Forero, 1992)

83

El mtodo se desarroll de la siguiente manera:
1. Crear la matriz de amenazas (causas de riesgo) y de objetos del
sistema a analizar.
2. Identificar los controles necesarios.
3. Registrar los controles dentro de la matriz.
4. Categorizar los riesgos.
5. Disear los controles definitivos.
6. Resultados del anlisis de riesgos.
7. Verificar por parte de sistemas y de auditora, la incorporacin de los
controles.

3.1.6 ANLISIS FODA

Segn (Talancn, 2006) se define que: El anlisis FODA consiste en realizar una
evaluacin de los factores fuertes y dbiles que en su conjunto diagnostican la
situacin interna de una organizacin, as como su evaluacin externa

Las evaluaciones deben estar enfocadas en los factores relevantes para el xito del
negocio, resaltando las fortalezas y debilidades que son internas y contrastndolas
con las oportunidades y amenazas que son externas.
Un anlisis crtico y objetivo permite determinar la situacin de la empresa con
respecto a su entorno y descubrir los aspectos en los cuales se necesita trabajar para
mejorar y ser ms competitivo.

84

A continuacin se detalla en la ilustracin la aplicacin del anlisis Foda en una
organizacin.
ILUSTRACIN 44: ANLISIS FODA

Fuente: (Annie, 2010)
La matriz FODA permite reconocer los errores y aprovechar las ventajas para poder
elaborar las estrategias que contribuyan a ampliar los objetivos y planificar los
procesos en base a los avances sistemticos de la organizacin.

Estrategias FO FA DO DA

Segn (Rosas Vzquez, 2007) Algunos modelos de Administracin Estratgica se
encontr que son complejos, difciles de implantar en las personas, grupos y
pequeas empresas, para procurar un cambio deliberado que promueva el xito de
dichas instancias.

Estrategia FO. Se basa en la combinacin de las fortalezas que posee la
organizacin con las oportunidades que se presenten, para que con el uso estratgico
de cada uno de ellas alcanzar los objetivos.

85

Estrategia FA. Disminuye al mnimo la situacin de los factores externos que se
presentan como amenazas, aprovechando las fortalezas con la que la organizacin
cuenta. Esto no implica que siempre se deba afrontar las amenazas del entorno de
una forma tan directa, ya que a veces puede resultar ms problemtico para la
institucin.

Estrategia DO. Las oportunidades que tiene la organizacin es el detonador para
tratar de disminuir las debilidades, logrando un equilibrio o transformndolas en
fortalezas.

Estrategia DA. Consiste en aplicar estrategias muy bien diseadas para contrarrestar
las amenazas del entorno y a la vez disminuir las debilidades para la supervivencia
de la organizacin.
A continuacin se muestra la matriz FODA con la combinacin de las estrategias:
ILUSTRACIN 45: MATRIZ FODA

Fuente: (Rico, 2010)
86

CAPITULO 4
4.1 DIAGNSTICO DEL DEPARTAMENTO DE SISTEMAS DE LA
EMPRESA EP

4.1.1 BREVE DESCRIPCIN DE LA EMPRESA EP

Por razones de seguridad nos referiremos a la empresa como la empresa EP.

La empresa EP pertenece al sector siderrgico, y se dedica a la fabricacin y
comercializacin de acero a nivel nacional. Su cartera de productos se orienta a
satisfacer las necesidades del mercado de la construccin. La Empresa trabaja con los
procedimientos de Calidad Total y las Normas ISO 9001:2008.

VISIN: Fabricar y entregar oportunamente productos de acero de alta calidad a
precios competitivos.

MISIN: Lderes en la industria siderrgica para satisfacer las necesidades de acero
en el mercado nacional e incursionar en el mercado internacional con calidad,
servicio y proteccin al medio ambiente.

4.1.1.1 HISTORIA

El crecimiento del sector de la construccin en el Ecuador -a finales de los aos 60-,
estaba en pleno auge y demandaba la provisin de hierro de ptima calidad, por lo
que se crea la empresa EP el 19 de octubre de 1969, empresa que instala la primera
planta laminadora ecuatoriana, para abastecer de material al mercado local.

87

El 31 de julio de 2003, la familia de la empresa EP, recibe la Certificacin ISO
9001: 2000 al Sistema de Gestin de Calidad. A todos estos logros alcanzados por la
empresa se suma la mano de obra calificada, tcnica y tecnologa adecuada, manejo
de los recursos residuales, que transforman a la empresa en la primera industria
siderrgica en el Ecuador con Certificacin Internacional a la Calidad.

La empresa EP cuenta con un rea destinada exclusivamente a la vigilancia del ISO
9000 que realiza permanentes auditoras internas para mantener el sistema de calidad
y entregar acero altamente confiable a sus clientes y distribuidores.

4.1.1.2 PRODUCTOS FABRICADOS POR LA EMPRESA EP

Armaduras Conformadas
Alambre Trefilado
Varillas Soldables
ngulos
Alambrn
Alambre Grafilado
Mallas Electro Soldadas
Barras Cuadradas

4.1.1.3 SERVICIOS QUE OFRECE LA EMPRESA EP

Satisfacer la demanda con un equipo de asesores de ventas.
El equipo de ventas mide la conformidad cliente producto precio.
La transportacin y distribucin de un punto a otro dentro y fuera del pas.
La empresa EP despliega sus procesos productivos y las caractersticas
tcnicas a los diferentes segmentos del mercado mediante:

88

a) Capacitacin a los maestros de obra, a fin de explicar las ventajas de los
productos.
b) Charlas y seminarios a los clientes y distribuidores a nivel nacional, cada
ao, para exponer las potencialidades de los productos.
c) Auspicios de eventos a los diversos cuerpos colegiados afines: Colegio de
Ingenieros, de Arquitectos, etc.
d) Visitas de los estudiantes de colegios tcnicos y universidades del pas a
la planta industrial de Acera y Laminacin en la empresa EP con el
objetivo de reforzar su formacin acadmica.

4.1.1.4 PROMOCIONES DISPONIBLES EN LA EMPRESA EP

La empresa EP participa en ferias de la construccin y afines.
Auspicia a revistas especializadas de la construccin y capacita a organismos

En el estudio de la empresa EP se puede determinar que es una de las productoras de
acero ms importante a nivel nacional debido a su amplio recorrido en el mercado y
ms an con la calidad del producto que entrega a sus usuarios a nivel de
construccin.
La adopcin de la metodologa COBIT por parte del departamento de sistemas,
facilitara el control y efectiva administracin de sus procesos y de manera general
de las funciones de TI.

89

4.1.1.5 ESTRUCTURA ORGNICA ACTUAL DE LA EMPRESA EP

La empresa EP cuenta con una estructura conformada por varios departamentos
siendo el departamento de sistemas uno de sus principales ya que depende
directamente de la Gerencia. La ilustracin siguiente muestra en detalle la estructura
de la empresa:
ILUSTRACIN 46: ESTRUCTURA ORGNICA ACTUAL DE LA
EMPRESA EP

Fuente: EMPRESA EP

90

4.1.1.6 ORGANIGRAMA FUNCIONAL DE LAS TECNOLOGAS DE
INFORMACIN EN LA EMPRESA EP

En la ilustracin que se presenta bajo este texto, se muestra el organigrama funcional
de las TI en la empresa EP. El departamento, est conformado por cinco personas; el
jefe de TI y cuatro responsables que ellos denominan especialistas de los procesos.
Estos tienen a su cargo tareas especficas, las cuales se ejecutan en coordinacin con
el jefe de TI y que en conjunto brindan los servicios que necesita la empresa.

ILUSTRACIN 47: ORGANIGRAMA FUNCIONAL DE LAS TI EN LA
EMPRESA EP

Fuente: EMPRESA EP

91

4.1.1.7 ORGANIGRAMA ESTRUCTURAL DE LAS TECNOLOGAS DE
INFORMACIN EN LA EMPRESA EP

La gestin del departamento de sistemas de la empresa EP est conformada por
niveles como se muestra en el grfico siguiente:
ILUSTRACIN 48: ORGANIGRAMA ESTRUCTURAL DE LAS TI EN LA
EMPRESA EP

Fuente: EMPRESA EP

NIVEL OPERATIVO: Se encarga del anlisis de los resultados respecto a los
recursos utilizados en los procesos para la toma de decisiones a corto plazo.
NIVEL TCTICO: Se encarga de mejorar el rendimiento de la empresa EP con la
asignacin de los recursos a medio plazo.
NIVEL ESTRATGICO: En este nivel se toman las decisiones que la empresa
debe seguir a futuro.
92

4.1.1.8 ANLISIS FODA DEL DEPARTAMENTO DE TECNOLOGAS DE
INFORMACIN

La empresa EP para mantener su competitividad en el mercado analiza sus fortalezas
y debilidades as como sus oportunidades y amenazas en la siguiente tabla.
TABLA 4: ANLISIS FODA REA TI

Fuente: EMPRESA EP
FORTALEZAS DEBILIDADES
1.- Buena imagencorporativa 1.- Insuficientes contactos conempresas
2.- Cultura decalidad Similares enel exterior
3.- nico complejo siderrgico del pas 2.- Falta decentralizacindeinformacinde
3.- Fuerza laboral tcnica connivel medio la competencia
y Superior 3.- Falta deoptimizacinenlos sistemas de
4.- Pertenecer al grupo DINE informacin
5.- Certificaciny sello decalidad INEN
6.- Diversidad demedidas deproductos
7.- Ubicacingeogrfica dela empresa
8.- CertificacinISO 9002
9.- Planta operativa dealta tecnologa
AMENAZAS FA DA
1.- Competencia Nacional 1.1. Mantener y difundir buena imagen 1.1. Tomar contactos tcnicos enel exterior
2.- Crecimiento deImportaciones corporativa. 2.2. Evitar Organizaciones Sindicales
3.- Inestabilidad Socio-econmical del Pas 2.2. Mantener CertificacinISO 9002 3.3. Anlisis decompetencia
4.- Alto Costo deenerga elctrica 3.3. Aprovechar coyuntura conFF.AA.
4.4. Proyecto deahorro energa elctrica
OPORTUNIDADES FO DO
1.- Posibilidad deexportar 1.1. Preparacinpara globalizacindel 1.1. Acuerdos conempresas del exterior que
2.- Apertura a la inversinNacional e mercado. proveanproductos afines a la construccion
Internacional 2.2. Aprovechar ubicacingeogrfica 2.2. Apoyar a la especializacintcnica del
3.- Diversificacindela demanda del 3.3. Brindar al clienteunvalor agregado. personal.
producto 4.4. Categorizar a los clientes 3.3. Mantener unbuennivel deabastecimiento
4.- Acercamiento conlos centros de 5.5. Adoptar medidas para enfrentar 4.4. Actualizacindeinformacindecompe-
Educacinsuperior competencia nacional eimportaciones. tencia.
5.- Conyuntura conlas Fuerzas Armadas
ACERIAS NACIONALES DEL ECUADOR S.A. "ANDEC"
MATRIZ DEL FODA
93

4.1.2 DISEO DEL MODELO DE EVALUACIN

Los datos para el diagnstico son tomados del manual COBIT 4.1, se dise una
tabla en Excel considerando los dominios, procesos, actividades de los procesos,
objetivos de control y detalle de los objetivos de control, adems de realizar un
cuestionario de preguntas por cada objetivo tomando como referencia la 2da edicin
de los Objetivos de Control y la 3 Edicin de las Directrices de Auditora para
identificar el cumplimiento de los procesos del departamento de sistemas con
relacin a lo que indica la metodologa COBIT.

Se coordin con anticipacin entrevistas con los encargados de cada proceso del
departamento de sistemas, as como con el jefe del departamento para obtener la
informacin necesaria de esta investigacin en base al cuestionario de preguntas
previamente elaborado, para posteriormente calificar las respuestas obtenidas.

Se determin a nivel grupal una puntuacin de 1(uno) y 0(cero) en donde las
declaraciones de afirmacin estaban representadas por el 1 y las de negacin por el 0
para cada respuesta, cabe recalcar que dentro de la calificacin existen respuestas con
una puntuacin intermedia de 0 a 1 de acuerdo al anlisis realizado.

A continuacin se muestra la tabla que recopila la informacin del resultado de las
entrevistas realizadas en el departamento de sistemas de la empresa EP.

94

TABLA 5: MATRIZ GENERAL COBIT 4.1
D
O
M
I
N
I
O
P
R
O
C
E
S
O
S
A
C
T
I
V
I
D
A
D
E
S

D
E
L

P
R
O
C
E
S
O
O
B
J
E
T
I
V
O
S

D
E

C
O
N
T
R
O
L
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
C
A
L
I
F
I
C
A
C
I
N
1.- El portafol i o de i nversi ones de TI conti ene programas con casos de
negoci o sl i dos?
El portafol i o cubre el 3%de l os procesos de l a
empresa en l a actual i dad basado en el
presupuesto anual . Ti enen al gunos proyectos
en curso como proyecto de seguri dad
i nformti cas, i mpl ementaci n de estandares,
i ntegraci n de cl i ente y proveedores a l a
cadena de val or., Adqui ri r software para l as
reas de manteni mi ento y proyectos.
1,00
2.- Los procesos de TI proporci onan una entrega efecti va de l os
componentes TI de l os programas?
Se revi sa mensual mente l o presupuestado vs.
l o real cada gerenci a hace segui mi ento
medi ante reuni ones y se veri fi ca l as
desvi aci ones en cuanto a di nero. Hay
procedi mi entos para establ ecer l os control es
sobre l os datos o resul tados que se generan
en l os si stemas. En cada area hay moni toreo.
Si hay herrami entas que dan i nformaci n a
l os gerentes (tabl eros gerenci al es) para toma
de deci si ones, A ni vel operati vo l os reportes
sobre transacci ones. A ni vel estratgi co el
bal ance score card o cuadro de mano
i ntegral .
1,00
3.- Los procesos de TI proporci onan una entrega efi ci ente de l os
componentes TI de l os programas?
Ver respuesta anteri or.
1,00
4.- Los procesos de TI advi erten oportunamente sobre l as desvi aci ones
del pl an, i ncl uyendo costo, cronograma o funci onal i dad, que pudi eran
i mpactar l os resul tados esperados de l os programas?
1,00
5.- Los servi ci os de TI se ejecutan contra acuerdos de ni vel es de servi ci os
equi tati vos?
Si se ti ene acuerdos de ni vel es de servi ci o. Es
un contrato coorporati vo por l o que si son
equi tati vos y exi gi bl es.
1,00
6.- Los servi ci os de TI se ejecutan contra acuerdos de ni vel es de servi ci os
exi gi bl es?
1,00
7.- La rendi ci n de cuentas del l ogro de l os benefi ci os y del control de l os
costos est cl aramente asi gnada?
Si est asi gnada porque se basan en
presupuesto, y moni toreada porque es
audi tada de manera i nterna y externa. Es
corporati va.
1,00
8.- La rendi ci n de cuentas del l ogro de l os benefi ci os y del control de l os
costos est cl aramente moni toreada?
Si .
1,00
9.- Se eval a el ri esgo de no cumpl i r con una capaci dad para obtener l os
benefi ci os esperados?
Si saben l os ri esgos a l os que estn expuestos
pero no hay una eval uaci n del i mpacto, se
est trabajando en un proyecto de seguri dad
i nformti ca.
0,50
10.- Se eval a el ri esgo de no materi al i zar l os benefi ci os esperados? Ver respuesta anteri or.
0,50
1. Los ejecuti vos reci ben capaci taci n tecnol gi ca actual ? Reci ben l a especi fi ca al caso por herrami enta
adqui ri da. No hay capaci taci n.
Impl ementarn programas de capaci taci on en
todos l os ni vel es para l as personas que van a
trabajar y el aborarn pl anes de capaci taci n
en base al anl i si s de l as necesi dades de l os
usuari os. Si se l o haci a por el ao 2001 y l o
pi ensan retomar.
0,50
2.- Los ejecuti vos saben l o que debe hacer el negoci o para capi tal i zar l as
oportuni dades que ofrece TI?
No saben como hacerl o porque ya l o
hubi eran exi gi do.
0,00
3.- Est bi en entendi do el rumbo del negoci o al cual est al i neado TI La parte admi ni strati va si est bi en atendi da,
pero l a parte operati va no. No hay en pl anta.
Ti enen que l evantar i nformaci n y hacer un
di agnosti co para el aborar l os pl anes de
acci n y asi gnar pri ori dades.
0,50
4.- Las estrategi as de negoci o y de TI estn i ntegradas? Si estn i ntegradas. Toda l a gesti n de Ti esta
al i neada con el pl an estratgi co de TI que
est hecho en base al pl an estratgi co de l a
empresa.
1,00
5.- Cul es son l as reas en que el negoci o (estrategi a) depende de forma
crti ca de TI?
Todas l as reas. Pri mero hay que garanti ar l a
conti nui dad del negoci o medi ante un buen
pl an de conti ngenci a, i mpl ementar pol ti cas
de seguri dad y de seguri dad i nformti ca.
0,00
6.- Entre l os i mperati vos del negoci o y l a tecnol oga, estn establ eci das
pri ori dades concertadas?
Si est pri ori zado. Los proyectos estn hechos
en base a l as necesi dades del negoci o.
1,00
1.- En el desempeo de l os pl anes exi stentes se eval a l a funci onal i dad? Si se eval un.
1,00
2.- En el desempeo de l os pl anes exi stentes se eval a l a estabi l i dad? Si se eval un.
1,00
3.- En el desempeo de l os pl anes exi stentes se eval a l a compl eji dad? Si se eval un.
1,00
4.- En el desempeo de l os pl anes exi stentes se eval a l os costos? Si se eval un. 1,00
5.- En el desempeo de l os pl anes exi stentes se eval a l a fortal eza? Si se eval un. 1,00
6.- En el desempeo de l os pl anes exi stentes se eval a l a debi l i dad? Si se eval un.
1,00
1.- Exi ste un pl an estratgi co? Si hay PETI. 1,00
2.- Este pl an defi ne cmo TI contri bui r a l os objeti vos estratgi cos de l a
empresa?
Si , contempl a todo.
1,00
3.- En este pl an estn defi ni dos l os costos rel aci onados? Ver respuesta anteri or. 1,00
4.- En este pl an estn defi ni dos l os ri esgos rel aci onados? Ver respuesta anteri or.
1,00
5.- En el pl an i ncl uye cmo TI dar soporte a l os programas de i nversi n? Si . Hi ci eron un anal i si s FODA.
1,00
6.- En el pl an i ncl uye cmo TI dar soporte a l a entrega de l os servi ci os
operati vos?
1,00
7.- El pl an defi ne cmo se cumpl i rn l os objeti vos? Si . 1,00
8.- El pl an defi ne cmo se medi rn l os objeti vos? Si . 1,00
9.- El pl an es l o sufi ci entemente detal l ado para permi ti r l a defi ni ci n de
pl anes tcti cos de TI?
Si .
1,00
P
L
A
N
E
A
R

Y

O
R
G
A
N
I
Z
A
R
Eval uar el desempeo de l os pl anes exi stentes y de l os
si stemas de i nformaci n en trmi nos de su contri buci n a l os
objeti vos de negoci o, su funci onal i dad, su estabi l i dad, su
compl eji dad, sus costos, sus fortal ezas y debi l i dades.
C
o
n
s
t
r
u
i
r

u
n

p
l
a
n

e
s
t
r
a
t
g
i
c
o

p
a
r
a

T
I
.
P
O
1
.
4

-

P
l
a
n

E
s
t
r
a
t
g
i
c
o

d
e

T
I
.
Crear un pl an estratgi co que defi na, en cooperaci n con l os
i nteresados rel evantes, cmo TI contri bui r a l os objeti vos
estratgi cos de l a empresa (metas) as como l os costos y
ri esgos rel aci onados. Incl uye cmo TI dar soporte a l os
programas de i nversi n faci l i tados por TI y a l a entrega de
l os servi ci os operati vos. Defi ne cmo se cumpl i rn y medi rn
l os objeti vos y reci bi rn una autori zaci n formal de l os
i nteresados. El pl an estratgi co de TI debe i ncl ui r el
presupuesto de l a i nversi n / operati vo, l as fuentes de
fi nanci ami ento, l a estrategi a de obtenci n, l a estrategi a de
adqui si ci n, y l os requeri mi entos l egal es y regul atori os. El
pl an estratgi co debe ser l o sufi ci entemente detal l ado para
permi ti r l a defi ni ci n de pl anes tcti cos de TI.
C O B I T
P
O
1

-

D
e
f
i
n
i
r

u
n

P
l
a
n

E
s
t
r
a
t
g
i
c
o

d
e

T
I
.
R
e
l
a
c
i
o
n
a
r

l
a
s

m
e
t
a
s

d
e
l

n
e
g
o
c
i
o

c
o
n

l
a
s

d
e

T
I
.
P
O
1
.
1

-

A
d
m
i
n
i
s
t
r
a
c
i
n

d
e
l

V
a
l
o
r

d
e

T
I
.
Trabajar con el negoci o para garanti zar que el portafol i o de
i nversi ones de TI de l a empresa contenga programas con
casos de negoci o sl i dos. Reconocer que exi sten i nversi ones
obl i gatori as, de sustento y di screci onal es que di fi eren en
compl eji dad y grado de l i bertad en cuanto a l a asi gnaci n de
fondos. Los procesos de TI deben proporci onar una entrega
efecti va y efi ci ente de l os componentes TI de l os programas y
advertenci as oportunas sobre l as desvi aci ones del pl an,
i ncl uyendo costo, cronograma o funci onal i dad, que pudi eran
i mpactar l os resul tados esperados de l os programas. Los
servi ci os de TI se deben ejecutar contra acuerdos de ni vel es
de servi ci os equi tati vos y exi gi bl es. La rendi ci n de cuentas
del l ogro de l os benefi ci os y del control de l os costos es
cl aramente asi gnada y moni toreada. Establ ecer una
eval uaci n de l os casos de negoci o que sea justa,
transparente, repeti bl e y comparabl e, i ncl uyendo el val or
fi nanci ero, el ri esgo de no cumpl i r con una capaci dad y el
ri esgo de no materi al i zar l os benefi ci os esperados.
R
e
l
a
c
i
o
n
a
r

l
a
s

m
e
t
a
s

d
e
l

n
e
g
o
c
i
o

c
o
n

l
a
s

d
e

T
I
.
P
O
1
.
2

-

A
l
i
n
e
a
c
i
n

d
e

T
I

c
o
n

e
l

N
e
g
o
c
i
o
.
Educar a l os ejecuti vos sobre l as capaci dades tecnol gi cas
actual es y sobre el rumbo futuro, sobre l as oportuni dades
que ofrece TI, y sobre qu debe hacer el negoci o para
capi tal i zar esas oportuni dades. Asegurarse de que el rumbo
del negoci o al cual est al i neado TI est bi en entendi do. Las
estrategi as de negoci o y de TI deben estar i ntegradas,
rel aci onando de manera cl ara l as metas de l a empresa y l as
metas de TI y reconoci endo l as oportuni dades as como l as
l i mi taci ones en l a capaci dad actual , y se deben comuni car de
manera ampl i a. Identi fi car l as reas en que el negoci o
(estrategi a) depende de forma crti ca de TI, y medi ar entre l os
i mperati vos del negoci o y l a tecnol oga, de tal modo que se
puedan establ ecer pri ori dades concertadas.
I
d
e
n
t
i
f
i
c
a
r

d
e
p
e
n
d
e
n
c
i
a
s

c
r
t
i
c
a
s

y

d
e
s
e
m
p
e
o

a
c
t
u
a
l
.
P
O
1
.
3

-

E
v
a
l
u
a
c
i
n

d
e
l

D
e
s
e
m
p
e
o

y

l
a

C
a
p
a
c
i
d
a
d

A
c
t
u
a
l
.

95

D
O
M
I
N
I
O
P
R
O
C
E
S
O
S
A
C
T
I
V
I
D
A
D
E
S

D
E
L

P
R
O
C
E
S
O
O
B
J
E
T
I
V
O
S

D
E

C
O
N
T
R
O
L
C
A
L
I
F
I
C
A
C
I
N
1.- Exi ste un portafol i o de pl anes tcti cos de TI deri vados del pl an
estratgi co de TI?
Si exi ste.
1,00
2.- Estos pl anes tcti cos descri ben l os recursos requeri dos por TI? Si , i ncl uye todo. 1,00
3.- Estos pl anes tcti cos descri ben como se moni torean l os recursos? Si . 1,00
4.- Estos pl anes tcti cos descri ben como se admi ni stran l os recursos? Si . 1,00
5.- Estos pl anes tcti cos descri ben como se moni torean l os benefi ci os
obteni dos?
Si .
1,00
6.- Estos pl anes tcti cos descri ben como se admi ni stran l os benefi ci os
obteni dos?
Si .
1,00
7.- Los pl anes tcti cos permi ten l a defi ni ci n de pl anes de proyectos? Si (pl anes de acci n). 1,00
8.- Se admi ni stran l os pl anes tcti cos medi ante el anl i si s de l os
portafol i os de proyectos y servi ci os?
Si se admi ni stran.
1,00
9.- El equi l i bi o de recursos se compara con el l ogro de metas
estratgi cas?
Si se compara.
1,00
10.- El equi l i bi o de recursos se compara con l os benefi ci os esperadps? Si se compara. 1,00
11.- Se toman l as medi das necesari as en caso de desvi aci ones? Si . 1,00
1.- Sobre l os programas de i nversi n de TI(proyectos):
a. Se admi ni stran de forma acti va l a i nversi n?
Si .
1,00
b. Se i denti fi can nuevos proyectos? Si , al gunos surgen de l as necesi dades de l os
cl i entes y otros surgen aqu.
1,00
c. Se defi nen nuevos proyectos? Si . 1,00
d. Se eval an l os nuevos proyectos? Si . 1,00
e. Se pri ori zan l os proyectos? Si . 1,00
f. Se sel ecci onan proyectos? Si . 1,00
g. Se admi ni stran l os proyectos? Si . 1,00
h. Se control an l os proyectos? Si .
1,00
1.- El model o de i nformaci n empresari al faci l i ta el desarrol l o de
apl i caci ones consi stente con l os pl anes de TI?
Baan funci ona mas como reposi tori o de datos
que como resul tado. TI hace un l evantami ento
de i nformaci n por cada necesi dad que surge
. El model o contri buye un 70% a proporci onar
l a i nformaci on que TI necesi ta para real i zar
el trabajo. Se trabaja con reporteadores para
uni fi car l a i nformaci n de l os procesos y que
de i nformaci on necesari a para l as di ferentes
areas sobre si tuaci ones crti cas.
0,70
2.- El model o de i nformaci n empresari al faci l i ta l as acti vi dades de
soporte a l a toma de deci si ones, consi stente con l os pl anes de TI?
0,70
3.- El model o faci l i ta l a creaci n l a i nformaci n? Sol o un 70%. 0,70
4.- El model o faci l i ta el uso de l a i nformaci n? Si en un 70%. 0,70
5.- El model o faci l i ta el comparti r en forma pti ma l a i nformaci n? Si en un 70%. 0,70
6.- El model o permi te que l a i nformaci n se mantenga i ntegra? En parte. No tanto i ntegra por el tema de l a
seguri dad i nformati ca.
0,30
7.- El model o permi te que l a i nformaci n se mantenga fl exi bl e? En cuanto a model o de i nformaci on se pl anea
l a capaci taci n con usuari os back up o
segundo a bordo para que l a i nformaci n no
est concentrada en personas especfi cas. Se
tendr una base de conoci mi entos.
0,30
8.- El model o permi te que l a i nformaci n se mantenga funci onal ? En parte. 0,30
9.- El model o permi te que l a i nformaci n se mantenga rentabl e? Es rentabl e en parte aunque no han medi do el
benefi ci o que se ha obteni do en tener este
model o. No esta todo, hay que trabajar.
0,30
10.- El model o permi te que l a i nformaci n se mantenga oportuna? En parte. 0,30
11.- El model o permi te que l a i nformaci n se mantenga segura? En parte estn en el proceso de i mpl ementar
un proyecto de seguri dad de l a i nformaci n.
0,30
12.- El model o permi te que l a i nformaci n se mantenga tol erante a
fal l os?
Es rentabl e en parte aunque no han medi do el
benefi ci o que se ha obteni do en tener este
model o. No esta todo, hay que trabajar.
0,30
1.-El di cci onari o de datos i ncl uye regl as de si ntaxi s de datos de l a
organi zaci n?
No i ncl uye. El Baan si ti ene, el Adam no ti ene,
el Hol di ng tampoco.
0,00
2.-El di cci onari o faci l i ta comparti r el ementos de datos entre l as
apl i caci ones?
Es una uti l i dad para el Baan pero si qui eren
uni rl o a ni vel empresari al no se puede. a) No
han obteni do a ni vel de Baan l as fuentes. b)
Tecnol ogi a no ha reci bi do capaci taci n
tcni ca sobre l a BD y l as rel aci ones de l os
el ementos de l a BD. Pero si se puede sol i ci tar
capaci taci n tcni ca a l os proveedores de l os
apl i cati vos y otra al ternati va es el
autoaprendi zaje.
0,00
3.-El di cci onari o faci l i ta comparti r el ementos de datos entre l os
si stemas?
0,00
4.- El di cci onari o fomenta un entendi mi ento comn de datos entre l os
usuari os de TI y del negoci o?
0,00
5.- El di cci onari o previ ene l a creaci n de el ementos de datos
i ncompati bl es?
0,00
1.- El esquema de cl asi fi caci n de datos apl i ca a toda l a empresa? Es empri ri co. Como TI, no est establ eci do un
procedi mi ento. En ISO 9000 l es di cen como
generar l os documentos pero no l os
categori za. No l o ti enen contempl ado. Ti enen
proyecto de i mpl ementar ISO 27000 y asumen
que en este estandar estar contempl ado
esto.
0,00
2.- Est basado en que tan crti ca es l a i nformaci n (pbl i ca,
confi denci al , secreta) de l a empresa?
0,00
3.- Est basado en que tan sensi bl e es l a i nformaci n (pbl i ca,
confi denci al , secreta) de l a empresa?
0,00
4.- Este esquema i ncl uye detal l es cmo l a propi edad de datos? Ver respuesta anteri or. 0,00
5.- Este esquema defi ne l os ni vel es apropi ados de seguri dad? Ver respuesta anteri or. 0,00
6.- Este esquema defi ne l os ni vel es apropi ados de control es de
protecci n?
0,00
7.- Este esquema descri be l os requeri mi entos de retenci n de datos? Ver respuesta anteri or. 0,00
8.- Este esquema descri be l os requeri mi entos de destrucci n de datos? Ver respuesta anteri or. 0,00
9.- Este esquema descri be que tan crti cos son l os datos? Ver respuesta anteri or. 0,00
10.- Este esquema descri be que tan sensi bl es son l os datos? Ver respuesta anteri or. 0,00
11.- Este esquema se uti l i za como base para apl i car control es como el de
acceso, archi vo o ci frado?
0,00
P
L
A
N
E
A
R

Y

O
R
G
A
N
I
Z
A
R
P
O
2
.
2

-

D
i
c
c
i
o
n
a
r
i
o

d
e

D
a
t
o
s

E
m
p
r
e
s
a
r
i
a
l

y

R
e
g
l
a
s

d
e

S
i
n
t
x
i
s

d
e

D
a
t
o
s
.
Mantener un di cci onari o de datos empresari al que i ncl uya
l as regl as de si ntaxi s de datos de l a organi zaci n. El
di cci onari o faci l i ta comparti r el ementos de datos entre l as
apl i caci ones y l os si stemas, fomenta un entendi mi ento
comn de datos entre l os usuari os de TI y del negoci o, y
previ ene l a creaci n de el ementos de datos i ncompati bl es.
C O B I T
*
E
s
t
a
b
l
e
c
e
r

y

m
a
n
t
e
n
e
r

e
s
q
u
e
m
a

d
e

c
l
a
s
i
f
i
c
a
c
i
n

d
e

d
a
t
o
s
.

*
B
r
i
n
d
a
r

a

l
o
s

d
u
e
o
s

p
r
o
c
e
d
i
m
i
e
n
t
o
s

y

h
e
r
r
a
m
i
e
n
t
a
s

p
a
r
a

c
l
a
s
i
f
i
c
a
r

l
o
s

s
i
s
t
e
m
a
s

d
e

i
n
f
o
r
m
a
c
i
n
.

P
O
2
.
3

-

E
s
q
u
e
m
a

d
e

C
l
a
s
i
f
i
c
a
c
i
n

d
e

D
a
t
o
s
.
Establ ecer un esquema de cl asi fi caci n que apl i que a toda l a
empresa, basado en que tan crti ca y sensi bl e es l a
i nformaci n (esto es, pbl i ca, confi denci al , secreta) de l a
empresa. Este esquema i ncl uye detal l es acerca de l a
propi edad de datos, l a defi ni ci n de ni vel es apropi ados de
seguri dad y de control es de protecci n, y una breve
descri pci n de l os requeri mi entos de retenci n y destrucci n
de datos, adems de qu tan crti cos y sensi bl es son. Se usa
como base para apl i car control es como el control de acceso,
archi vo o ci frado.
P
O
2

-

D
e
f
i
n
i
r

l
a

A
r
q
u
i
t
e
c
t
u
r
a

d
e

l
a

I
n
f
o
r
m
a
c
i
n
.
P
O
1

-

D
e
f
i
n
i
r

u
n

P
l
a
n

E
s
t
r
a
t
g
i
c
o

d
e

T
I
.
C
o
n
s
t
r
u
i
r

p
l
a
n
e
s

t
c
t
i
c
o
s

p
a
r
a

T
I
.
P
O
1
.
5

-

P
l
a
n
e
s

T
c
t
i
c
o
s

d
e

T
I
.
Crear un portafol i o de pl anes tcti cos de TI que se deri ven del
pl an estratgi co de TI. Estos pl anes tcti cos deben descri bi r
l as i ni ci ati vas y l os requeri mi entos de recursos requeri dos
por TI, y cmo el uso de l os recursos y el l ogro de l os
benefi ci os sern moni toreados y admi ni strados. Los pl anes
tcti cos deben tener el detal l e sufi ci ente para permi ti r l a
defi ni ci n de pl anes de proyectos. Admi ni strar de forma
acti va l os pl anes tcti cos y l as i ni ci ati vas de TI establ eci das
por medi o del anl i si s de l os portafol i os de proyectos y
servi ci os. Esto i ncl uye el equi l i bri o de l os requeri mi entos y
recursos de forma regul ar, comparndol os con el l ogro de
metas estratgi cas y tcti cas y con l os benefi ci os esperados,
y tomando l as medi das necesari as en caso de desvi aci ones.
A
n
a
l
i
z
a
r

p
o
r
t
a
f
o
l
i
o
s

d
e

p
r
o
g
r
a
m
a
s

y

a
d
m
i
n
i
s
t
r
a
r

p
o
r
t
a
f
o
l
i
o
s

d
e

s
e
r
v
i
c
i
o
s

y

p
r
o
y
e
c
t
o
s
.
P
O
1
.
6

-

A
d
m
i
n
i
s
t
r
a
c
i
n

d
e
l

P
o
r
t
a
f
o
l
i
o

d
e

T
I
.Admi ni strar de forma acti va, junto con el negoci o, el
portafol i o de programas de i nversi n de TI requeri do para
l ograr objeti vos de negoci o estratgi cos especfi cos por
medi o de l a i denti fi caci n, defi ni ci n, eval uaci n, asi gnaci n
de pri ori dades, sel ecci n, i ni ci o, admi ni straci n y control de
l os programas. Esto i ncl uye cl ari fi car l os resul tados de
negoci o deseados, garanti zar que l os objeti vos de l os
programas den soporte al l ogro de l os resul tados, entender el
al cance compl eto del esfuerzo requeri do para l ograr l os
resul tados, defi ni r una rendi ci n de cuentas cl ara con
medi das de soporte, defi ni r proyectos dentro del programa,
asi gnar recursos y fi nanci ami ento, del egar autori dad, y
comi si onar l os proyectos requeri dos al momento de l anzar el
programa.
C
r
e
a
r

y

m
a
n
t
e
n
e
r

m
o
d
e
l
o

d
e

i
n
f
o
r
m
a
c
i
n

c
o
r
p
o
r
a
t
i
v
o
/
e
m
p
r
e
s
a
r
i
a
l
.
P
O
2
.
1

-

M
o
d
e
l
o

d
e

A
r
q
u
i
t
e
c
t
u
r
a

d
e

I
n
f
o
r
m
a
c
i
n

E
m
p
r
e
s
a
r
i
a
l
.
Establ ecer y mantener un model o de i nformaci n empresari al
que faci l i te el desarrol l o de apl i caci ones y l as acti vi dades de
soporte a l a toma de deci si ones, consi stente con l os pl anes
de TI como se descri ben en P01. El model o debe faci l i tar l a
creaci n, uso y el comparti r en forma pti ma l a i nformaci n
por parte del negoci o de tal manera que se mantenga su
i ntegri dad, sea fl exi bl e, funci onal , rentabl e, oportuna, segura
y tol erante a fal l os.
C
r
e
a
r

y

m
a
n
t
e
n
e
r

d
i
c
c
i
o
n
a
r
i
o

d
e

d
a
t
o
s

c
o
r
p
o
r
a
t
i
v
o
.

96

D
O
M
I
N
I
O
P
R
O
C
E
S
O
S
A
C
T
I
V
I
D
A
D
E
S

D
E
L

P
R
O
C
E
S
O
O
B
J
E
T
I
V
O
S

D
E

C
O
N
T
R
O
L
C
A
L
I
F
I
C
A
C
I
N
1.- Exi sten procedi mi entos que garanti cen l a i ntegri dad de l os datos
al macenados en formato el ectrni co, tal es como bases de datos,
al macenes de datos y archi vos?
En un pequeo porcentaje, a ni vel de
respal do. Los procedi mi entos no estan en su
mayori a documentados. Se l o pi ensa hacer.
0,25
2.- Exi sten procedi mi entos que garanti cen l a consi stenci a de todos l os
datos al macenados en formato el ectrni co, tal es como bases de datos,
al macenes de datos y archi vos?
0,25
1.- Se anal i zan l as tecnol ogas exi stentes? Si . Los proveedores vi enen a que l es enseen.
1,00
2.- Se anal i zan l as tecnol ogas emergentes? Si .
1,00
3.- Se pl anea cul di recci n tecnol gi ca es apropi ada tomar para
materi al i zar l a estrategi a de TI?
Si .
1,00
4.- Se pl anea cul di recci n tecnol gi ca es apropi ada tomar para
materi al i zar l a arqui tectura de si stemas del negoci o?
Si .
1,00
5.- Estn i denti fi cadas en el pl an l as tecnol ogas que ti enen el potenci al
de crear oportuni dades de negoci o?
No, a l o mucho el i nternet, por l as
exportaci ones.
0,00
6.- El pl an abarca l a arqui tectura de si stemas? El pl an de TI abarca todo eso, conti ngenci a,
ri esgo, pero en un porcentaje. Fal ta crear
(ti enen seguri dad, ri esgos, capaci taci on).
0,50
7.- El pl an abarca l a di recci n tecnol gi ca? En parte. 0,50
8.- El pl an abarca l as estrategi as de mi graci n? En parte. 0,50
9.- El pl an abarca l os aspectos de conti ngenci a de l os componentes de l a
i nfraestructura?
En parte.
0,50
1.- Exi ste un pl an de i nfraestructura tecnol gi ca? En l a actual i dad no. Se estn haci endo
di agnosti cos en base de datos, servi dores ,
SO. y estandares (ITIL, Cobi t, ISO 27000 y
seguri dad i nformti ca). En base a ese
di agnosti co (3 empresas l o hacen) se
el aborar el pl an estratgi co.
0,00
2.- El pl an de i nfraestructura tecnol gi ca est acorde con l os pl anes
estratgi cos de TI?
0,00
3- Ti enen pl anes tcti cos de TI? Ver respuesta anteri or.
0,00
4- El pl an de i nfraestructura tecnol gi ca est acorde con l os pl anes
tcti cos de TI?
0,00
5.- El pl an est basado en l a di recci n tecnol gi ca? Si est basado en l a di recci n tecnol gi ca.
1,00
6.- El pl an i ncl uye acuerdos para conti ngenci as? Si . 1,00
7.- El pl an i ncl uye l a ori entaci n para l a adqui si ci n de recursos
tecnol gi cos?
Si .
1,00
8.- El pl an consi dera l os cambi os en el ambi ente competi ti vo? Si consi dera l os cambi os en el ambi ente
competi ti vo.
1,00
9.- El pl an consi dera l as economas de escal a para i nversi ones? Ver respuesta anteri or. 1,00
10.- El pl an consi dera al personal en si stemas de i nformaci n? Ver respuesta anteri or. 1,00
11.- El pl an consi dera l a mejora en l a i nteroperabi l i dad de l as
pl ataformas?
1,00
12.- El pl an consi dera l a mejora en l a i nteroperabi l i dad de l as
apl i caci ones?
1,00
1.- Exi ste un proceso para moni torear l as tendenci as ambi ental es del
sector/i ndustri a?
No exi ste un proceso cl aro. Se l o hace en base
a l os requeri mi entos del usuari o, no es
conti nuo y por el momento el usuari o sol i ci ta
al go que est vi gente en el mercado. (Software
para bi bl i oteca de pl anos, PDA. Integraci n
del Baan con el BSC).
0,00
2.- Exi ste un proceso para moni torear l as tendenci as tecnol gi cas? Ver respuesta anteri or. 0,00
3.- Exi ste un proceso para moni torear l as tendenci as de i nfraestructura? Ver respuesta anteri or.
0,00
4.- Exi ste un proceso para moni torear l as tendenci as l egal es? Ver respuesta anteri or. 0,00
5.- Exi ste un proceso para moni torear l as tendenci as regul atori as? Ver respuesta anteri or. 0,00
6.- Estn i ncl ui das l as consecuenci as de estas tendenci as en el
desarrol l o del pl an de i nfraestructura tecnol gi ca de TI?
No estn i ncl ui das l as consecuenci as porque
no hay pl an.
0,00
1.- Se proporci onan sol uci ones tecnol gi cas consi stentes para toda l a
empresa?
Si se proporci onan sol uci ones.
1,00
2.- Se proporci onan sol uci ones tecnol gi cas efecti vas para toda l a
empresa?
1,00
3.- Se proporci onan sol uci ones tecnol gi cas seguras para toda l a
empresa?
1,00
4.- Se bri ndan di rectri ces tecnol gi cas sobre l os productos de l a
i nfraestructura?
Si se bri ndan. El departamento de Logsti ca
envi a l os requeri mi entos de l os usuari os para
hacer el anl i si s tecni co y en base a esto se
compra o se contrata el servi ci o.
1,00
5.- Se bri nda asesora sobre l os productos de l a i nfraestructura? Ver respuesta anteri or. 1,00
6.- Se bri ndan guas sobre l a sel ecci n de l a tecnol oga? Ver respuesta anteri or. 1,00
7.- Se mi de el cumpl i mi ento de l os estndares tecnol gi cos? Si se l o hace por medi o de l as audi toras de
cal i dad.
1,00
8.- Se mi de el cumpl i mi ento de l as di rectri ces tecnol gi cas? Si . 1,00
9.- Se i mpul sa l os estndares con base en su i mportanci a y ri esgo para el
negoci o y en el cumpl i mi ento de requeri mi entos externos?
No se l o ha hecho, con este proyecto y otros
(di agnosti co de ITIL, pol i ti cas de cal i dad para
certi fi carse en ISO 27000) se l o est
i mpul sando.
0,00
10.- Se i mpul sa l as prcti cas tecnol gi cas con base en su i mportanci a y
ri esgo para el negoci o y en el cumpl i mi ento de requeri mi entos externos?
0,00
1.- Exi ste un comi t de arqui tectura de TI que proporci one di rectri ces
sobre l a arqui tectura?
No hay comi t de arqui tectura. (Se l o pi ensa
crear en aproxi madamente 8 meses porque
l es fal ta asentarse como departamento).
0,00
2.- Exi ste un comi t de arqui tectura de TI que proporci one asesora sobre
su apl i caci n?
0,00
3.- Exi ste un comi t de arqui tectura de TI que veri fi que el cumpl i mi ento? Ver respuesta anteri or. 0,00
4.- Esta enti dad ori enta el di seo de l a arqui tectura de TI garanti zando
que faci l i te l a estrategi a del negoci o?
No hay comi t de arqui tectura.
0,00
5.- Esta enti dad tome en cuenta el cumpl i mi ento regul atori o? Ver respuesta anteri or. 0,00
6.- Esta enti dad tome en cuenta l os requeri mi entos de conti nui dad? Ver respuesta anteri or. 0,00
P
O
3

-

D
e
t
e
r
m
i
n
a
r

l
a

D
i
r
e
c
c
i
n

T
e
c
n
o
l
g
i
c
a
.
C
r
e
a
r

y

m
a
n
t
e
n
e
r

u
n

p
l
a
n

d
e

i
n
f
r
a
e
s
t
r
u
c
t
u
r
a

t
e
c
n
o
l
g
i
c
a
.
P
O
3
.
1

-

P
l
a
n
e
a
c
i
n

d
e

l
a

D
i
r
e
c
c
i
n

T
e
c
n
o
l
g
i
c
a
.
Anal i zar l as tecnol ogas exi stentes y emergentes y pl anear
cul di recci n tecnol gi ca es apropi ada tomar para
materi al i zar l a estrategi a de TI y l a arqui tectura de si stemas
del negoci o. Tambi n i denti fi car en el pl an qu tecnol ogas
ti enen el potenci al de crear oportuni dades de negoci o. El pl an
debe abarcar l a arqui tectura de si stemas, l a di recci n
tecnol gi ca, l as estrategi as de mi graci n y l os aspectos de
conti ngenci a de l os componentes de l a i nfraestructura.
C
r
e
a
r

y

m
a
n
t
e
n
e
r

e
s
t
n
d
a
r
e
s

t
e
c
n
o
l
g
i
c
o
s
.
P
O
3
.
2

-

P
l
a
n

d
e

I
n
f
r
a
e
s
t
r
u
c
t
u
r
a

T
e
c
n
o
l
g
i
c
a
.
Crear y mantener un pl an de i nfraestructura tecnol gi ca que
est de acuerdo con l os pl anes estratgi cos y tcti cos de TI. El
pl an se basa en l a di recci n tecnol gi ca e i ncl uye acuerdos
para conti ngenci as y ori entaci n para l a adqui si ci n de
recursos tecnol gi cos. Tambi n toma en cuenta l os cambi os
en el ambi ente competi ti vo, l as economas de escal a para
i nversi ones y personal en si stemas de i nformaci n, y l a
mejora en l a i nteroperabi l i dad de l as pl ataformas y l as
apl i caci ones.
P
u
b
l
i
c
a
r

e
s
t
n
d
a
r
e
s

t
e
c
n
o
l
g
i
c
o
s
.
P
O
3
.
3

-

M
o
n
i
t
o
r
e
o

d
e

T
e
n
d
e
n
c
i
a
s

y

R
e
g
u
l
a
c
i
o
n
e
s

F
u
t
u
r
a
s
.
Establ ecer un proceso para moni torear l as tendenci as
ambi ental es del sector / i ndustri a, tecnol gi cas, de
i nfraestructura, l egal es y regul atori as. Incl ui r l as
consecuenci as de estas tendenci as en el desarrol l o del pl an
de i nfraestructura tecnol gi ca de TI.
C O B I T
U
s
a
r

e
l

m
o
d
e
l
o

d
e

i
n
f
o
r
m
a
c
i
n
,

e
l

d
i
c
c
i
o
n
a
r
i
o

d
e

d
a
t
o
s

y

e
l

e
s
q
u
e
m
a

d
e

c
l
a
s
i
f
i
c
a
c
i
n

p
a
r
a

p
l
a
n
e
a
r

l
o
s

s
i
s
t
e
m
a
s

P
O
2
.
4

-

A
d
m
i
n
i
s
t
r
a
c
i
n

d
e

I
n
t
e
g
r
i
d
a
d
.
Defi ni r e Impl ementar procedi mi entos para garanti zar l a
i ntegri dad y consi stenci a de todos l os datos al macenados en
formato el ectrni co, tal es como bases de datos, al macenes de
datos y archi vos.
P
L
A
N
E
A
R

Y

O
R
G
A
N
I
Z
A
R
P
O
2

-

D
e
f
i
n
i
r

l
a

A
r
q
u
i
t
e
c
t
u
r
a

d
e

l
a

I
n
f
o
r
m
a
c
i
n
.
D
e
f
i
n
i
r

e
l

u
s
o

(
f
u
t
u
r
o
)

(
e
s
t
r
a
t
g
i
c
o
)

d
e

l
a

n
u
e
v
a

t
e
c
n
o
l
o
g
a
.
P
O
3
.
5

-

C
o
n
s
e
j
o

d
e

A
r
q
u
i
t
e
c
t
u
r
a

d
e

T
I
.
Establ ecer un comi t de arqui tectura de TI que proporci one
di rectri ces sobre l a arqui tectura y asesora sobre su
apl i caci n, y que veri fi que el cumpl i mi ento. Esta enti dad
ori enta el di seo de l a arqui tectura de TI garanti zando que
faci l i te l a estrategi a del negoci o y tome en cuenta el
cumpl i mi ento regul atori o y l os requeri mi entos de
conti nui dad. Estos aspectos se vi ncul an con el PO2 (Defi ni r
arqui tectura de l a i nformaci n).
M
o
n
i
t
o
r
e
a
r

l
a

e
v
o
l
u
c
i
n

t
e
c
n
o
l
g
i
c
a
.
P
O
3
.
4

-

E
s
t
n
d
a
r
e
s

T
e
c
n
o
l
g
i
c
o
s
.
Proporci onar sol uci ones tecnol gi cas consi stentes, efecti vas
y seguras para toda l a empresa, establ ecer un foro
tecnol gi co para bri ndar di rectri ces tecnol gi cas, asesora
sobre l os productos de l a i nfraestructura y guas sobre l a
sel ecci n de l a tecnol oga, y medi r el cumpl i mi ento de estos
estndares y di rectri ces. Este foro i mpul sa l os estndares y
l as prcti cas tecnol gi cas con base en su i mportanci a y
ri esgo para el negoci o y en el cumpl i mi ento de
requeri mi entos externos.

97

D
O
M
I
N
I
O
P
R
O
C
E
S
O
S
A
C
T
I
V
I
D
A
D
E
S

D
E
L

P
R
O
C
E
S
O
O
B
J
E
T
I
V
O
S

D
E

C
O
N
T
R
O
L
C
A
L
I
F
I
C
A
C
I
N
1.- Est defi ni do un marco de trabajo para el proceso de TI para ejecutar
el pl an estratgi co de TI?
Si est defi ni do.
1,00
2.- El marco de trabajo de procesos de TI est i ntegrado en un si stema de
admi ni straci n de cal i dad?
Si est i ntegrado.
1,00
3.- El marco de trabajo de procesos de TI est i ntegrado en un marco de
trabajo de control i nterno?
Si .
1,00
1.- Se cuenta con un comi t estratgi co de TI a ni vel del consejo? No exi ste comi t estratgi co. 0,00
2.- Este comi t asegura que el gobi erno de TI, como parte del gobi erno
corporati vo, se maneja de forma adecuada, asesora sobre l a di recci n
estratgi ca y revi sa l as i nversi ones pri nci pal es a nombre del consejo
compl eto?
No exi ste comi t estratgi co (Si se pi ensa
crear el comi t y nosotros debemos
asesorarl os como formar el comi t.
0,00
1.- Se cuenta con un comi t estratgi co de TI a ni vel del consejo? No exi ste comi t estratgi co (Si se pi ensa
crear el comi t y nosotros debemos
asesorarl os como formar el comi t.
0,00
2.- Este comi t asegura que el gobi erno de TI, como parte del gobi erno
corporati vo, se maneja de forma adecuada?
0,00
3.- Este comi t asesora sobre l a di recci n estratgi ca? Ver respuesta anteri or. 0,00
4.- Este comi t evi sa l as i nversi ones pri nci pal es a nombre del consejo
compl eto?
ver respuesta anteri or.
0,00
I
d
e
n
t
i
f
i
c
a
r

d
u
e
o
s

d
e

s
i
s
t
e
m
a
s
.
P
O
4
.
4

-
U
b
i
c
a
c
i
n

O
r
g
a
n
i
z
a
c
i
o
n
a
l

d
e

l
a

F
u
n
c
i
n

d
e

T
I
.
Ubi car a l a funci n de TI dentro de l a estructura
organi zaci onal general con un model o de negoci os
supedi tado a l a i mportanci a de TI dentro de l a empresa, en
especi al en funci n de que tan crti ca es para l a estrategi a
del negoci o y el ni vel de dependenci a operati va sobre TI. La
l nea de reporte del CIO es proporci onal con l a i mportanci a
de TI dentro de l a empresa.
1.- La funci n de TI est ubi cada dentro de l a estructura organi zaci onal
general con un model o de negoci os supedi tado a l a i mportanci a de TI
dentro de l a empresa?
Si , porque est como una jefatura y se
reporta di rectamente a l a Gerenci a General .
1,00
1.- Est establ eci da una estructura organi zaci onal de TI i nterna que
refl eje l as necesi dades del negoci o?
Si se cuenta. En el Hol di ng Di ne hay una
Gerenci a de TI y bajo esta gerenci a estn l as
jefaturas de TI de cada una de l as empresas.
Con el l os se coordi na l a adopci n de
estandares o cual qui er otro requeri mi ento
que se necesi te.
1,00
2.- Est establ eci da una estructura organi zaci onal de TI externa que
refl eje l as necesi dades del negoci o?
1,00
3.- Exi ste un proceso que revi se l a estructura organi zaci onal de TI de
forma peri di ca para ajustar l os requeri mi entos de personal ?
Esto se coordi na con l a gerenci a de TI del
Hol di ng Di ne
1,00
4.- Exi ste un proceso que revi se l as estrategi as i nternas para sati sfacer
l os objeti vos de negoci o esperados y l as ci rcunstanci as cambi antes?
1,00
1.- Se defi nen l os rol es y l as responsabi l i dades para el personal de TI? Si se defi nen. 1,00
2.- Se comuni can l os rol es y l as responsabi l i dades para el personal de
TI?
Si se comuni can.
1,00
3.- Estn defi ni das l as responsabi l i dades para al canzar l as necesi dades
del negoci o?
Si se defi nen medi ante el pl an de acti vi dades
y de acuerdo a l os requeri mi entos
pri ori zados por l a al ta gerenci a.
1,00
4.- Est defi ni da l a rendi ci n de cuentas para al canzar l as necesi dades
del negoci o?
1,00
1.- Est asi gnada l a responsabi l i dad para el desempeo de l a funci n de
asegurami ento de cal i dad (QA)?
No hay i mpl ementado un asegurami ento de
cal i dad de TI. Se esta defi ni endo todos l os
procesos, i ndi cadores y procedi mi entos y se
l os va a montar en una pl ataforma. Adems
se reci bi r l a capaci taci n de ISO 9000 para
saber que fal ta para l a certi fi caci n y se
contratar a una empresa para
asesorami ento y l ogro del objeti vo.
0,00
2.- El grupo de QA cuenta con l os si stemas de QA, l os control es y l a
experi enci a para comuni carl os?
No hay i mpl ementado asegurami ento de
cal i dad.
0,00
3.- La ubi caci n organi zaci onal del grupo de QA sati sfacen l os
requeri mi entos de l a organi zaci n?
cal i dad.
0,00
4.- Las responsabi l i dades del grupo de QA sati sfacen l os requeri mi entos
de l a organi zaci n?
cal i dad.
0,00
5.- El tamao del grupo de QA sati sfacen l os requeri mi entos de l a
organi zaci n?
cal i dad.
0,00
1.- Est establ eci da l a responsabi l i dad de l os ri esgos rel aci onados con
TI a un ni vel superi or apropi ado?
Si se establ ece pero, an fal ta eval uaci n con
respecto a l os i nci dentes.
0,50
2.- Estn asi gnados l os rol es crti cos para admi ni strar l os ri esgos de TI? Se ti ene al go bsi co. Se est trabajando en l a
pol i ti ca de seguri dad, se est el aborando
una pol ti ca de cal i dad, estn en l a etapa de
revi si n de esa pol ti ca, cada especi al i sta,
b.d. , apl i cati vos y hel p desk debe el aborar
procedi mi entos que exi ge esta pol ti ca.
0,50
3.- Est establ eci da l a responsabi l i dad sobre l a admi ni straci n del
ri esgo?
No est establ eci do formal mente. En cuanto
se tenga l os procedi mi ento se va a establ ecer.
0,00
4.- Est establ eci da l a seguri dad para manejar l os probl emas a ni vel de
toda l a empresa?
0,00
5.- Estn asi gnadas responsabi l i dades adi ci onal es de admi ni straci n de
l a seguri dad a ni vel de si stema especfi co?
No.
0,00
6.- La al ta di recci n ori enta con respecto al apeti to de ri esgo de TI? No. 0,00
7.- La al ta di recci n aprueba cual qui er ri esgo resi dual de TI? No. 0,00
1.- Exi sten procedi mi entos y herrami entas que permi tan enfrentar l as
responsabi l i dades de propi edad sobre l os datos y l os si stemas de
i nformaci n?
Si , l os usuari os di sponen de una pl ataforma
tecnol gi ca que soportan l os procesos
defi ni dos en l a empresa en base a sus
necesi dades, dependi endo de l as funci ones
establ eci dad por RR HH.
1,00
2.- Los dueos toman deci si ones sobre l a cl asi fi caci n de l a i nformaci n
para protegerl os de acuerdo a esta cl asi fi caci n?
No, pero se debe hacer. Fal ta hacer un
l evantami ento de i nformaci on de cada
proceso y categori zarl o segn l a cri ti ci dad de
l a i nformaci n.
0,00
3.- Los dueos toman deci si ones para proteger l os si stemas? Ver respuesta anteri or. 0,00
1.- Se ti enen i mpl ementadas prcti cas adecuadas de supervi si n dentro
de l a funci n de TI para garanti zar que l os rol es y l as responsabi l i dades
se ejerzan de forma apropi ada?
Si se ti ene i mpl ementada. Hay i ndi cadores .
1,00
2.- Se revi san en forma general l os i ndi cadores cl aves de desempeo? Ver respuesta anteri or. 1,00
1.- Se ti ene i mpl ementado una di vi si n de rol es y responsabi l i dades que
reduzca l a posi bi l i dad de que un sol o i ndi vi duo afecte negati vamente un
proceso crti co?
Si , por medi o de l as funci ones de RRHH.
1,00
2.- La gerenci a se asegura de que el personal real i ce sl o l as tareas
autori zadas rel evantes a sus puestos?
Si , al i gual que l o anteri or por l as funci ones
defi ni das por RRHH.
1,00 E
s
t
a
b
l
e
c
e
r

e

i
m
p
l
a
n
t
a
r

r
o
l
e
s

y

r
e
s
p
o
n
s
a
b
i
l
i
d
a
d
e
s

d
e

T
I
,

i
n
c
l
u
i
d
a

l
a

s
u
p
e
r
v
i
s
i
n

y

s
e
g
r
e
g
a
c
i
n

d
e

f
u
n
c
i
o
n
e
s
.
P
O
4
.
1
1

-

S
e
g
r
e
g
a
c
i
n

d
e

F
u
n
c
i
o
n
e
s
.
Impl ementar una di vi si n de rol es y responsabi l i dades que
reduzca l a posi bi l i dad de que un sol o i ndi vi duo afecte
negati vamente un proceso crti co. La gerenci a tambi n se
asegura de que el personal real i ce sl o l as tareas
autori zadas, rel evantes a sus puestos y posi ci ones
respecti vas.
P
O
4

-
D
e
f
i
n
i
r

l
o
s

P
r
o
c
e
s
o
s
,

O
r
g
a
n
i
z
a
c
i
n

y

R
e
l
a
c
i
o
n
e
s

d
e

T
I
.
P
L
A
N
E
A
R

Y

O
R
G
A
N
I
Z
A
R
E
s
t
a
b
l
e
c
e
r

e

i
m
p
l
a
n
t
a
r

r
o
l
e
s

y

r
e
s
p
o
n
s
a
b
i
l
i
d
a
d
e
s

d
e

T
I
,

i
n
c
l
u
i
d
a

l
a

s
u
p
e
r
v
i
s
i
n

y

s
e
g
r
e
g
a
c
i
n

d
e

f
u
n
c
i
o
n
e
s
.
P
O
4
.
9

-

P
r
o
p
i
e
d
a
d

d
e

D
a
t
o
s

y

d
e

S
i
s
t
e
m
a
s
.
Proporci onar al negoci o l os procedi mi entos y herrami entas
que l e permi tan enfrentar sus responsabi l i dades de
propi edad sobre l os datos y l os si stemas de i nformaci n. Los
dueos toman deci si ones sobre l a cl asi fi caci n de l a
i nformaci n y de l os si stemas y sobre cmo protegerl os de
acuerdo a esta cl asi fi caci n.
E
s
t
a
b
l
e
c
e
r

e

i
m
p
l
a
n
t
a
r

r
o
l
e
s

y

r
e
s
p
o
n
s
a
b
i
l
i
d
a
d
e
s

d
e

T
I
,

i
n
c
l
u
i
d
a

l
a

s
u
p
e
r
v
i
s
i
n

P
O
4
.
1
0

-

S
u
p
e
r
v
i
s
i
n
.
Impl ementar prcti cas adecuadas de supervi si n dentro de
l a funci n de TI para garanti zar que l os rol es y l as
responsabi l i dades se ejerzan de forma apropi ada, para
eval uar si todo el personal cuenta con l a sufi ci ente

P
O
4
.
2

-
C
o
m
i
t

E
s
t
r
a
t
g
i
c
o

d
e

T
I
.
Establ ecer un comi t estratgi co de TI a ni vel del consejo.
Este comi t deber asegurar que el gobi erno de TI, como
parte del gobi erno corporati vo, se maneja de forma
adecuada, asesora sobre l a di recci n estratgi ca y revi sa l as
i nversi ones pri nci pal es a nombre del consejo compl eto.
E
s
t
a
b
l
e
c
e
r

e
s
t
r
u
c
t
u
r
a

o
r
g
a
n
i
z
a
c
i
o
n
a
l

d
e

T
I
,

i
n
c
l
u
y
e
n
d
o

c
o
m
i
t
s

y

l
i
g
a
s

a

l
o
s

i
n
t
e
r
e
s
a
d
o
s

y

p
r
o
v
e
e
d
o
r
e
s
.
P
O
4
.
3

-
C
o
m
i
t

D
i
r
e
c
t
i
v
o

d
e

T
I
.
Establ ecer un comi t di recti vo de TI (o su equi val ente)
compuesto por l a gerenci a ejecuti va, del negoci o y de TI para:
Determi nar l as pri ori dades de l os programas de i nversi n
de TI al i neadas con l a estrategi a y pri ori dades de negoci o de
l a empresa, Dar segui mi ento al estatus de l os proyectos y
resol ver l os confl i ctos de recursos, Moni torear l os ni vel es de
servi ci o y l as mejoras del servi ci o.
E
s
t
a
b
l
e
c
e
r

e
s
t
r
u
c
t
u
r
a

o
r
g
a
n
i
z
a
c
i
o
n
a
l

d
e

T
I
,

i
n
c
l
u
y
e
n
d
o

c
o
m
i
t
s

y

l
i
g
a
s

a

l
o
s

i
n
t
e
r
e
s
a
d
o
s

y

p
r
o
v
e
e
d
o
r
e
s
.
P
O
4
.
5

-

E
s
t
r
u
c
t
u
r
a

O
r
g
a
n
i
z
a
c
i
o
n
a
l
.
Establ ecer una estructura organi zaci onal de TI i nterna y
externa que refl eje l as necesi dades del negoci o. Adems
i mpl ementar un proceso para revi sar l a estructura
organi zaci onal de TI de forma peri di ca para ajustar l os
requeri mi entos de personal y l as estrategi as i nternas para
sati sfacer l os objeti vos de negoci o esperados y l as
ci rcunstanci as cambi antes.
E
s
t
a
b
l
e
c
e
r

e

i
m
p
l
a
n
t
a
r

r
o
l
e
s

y

r
e
s
p
o
n
s
a
b
i
l
i
d
a
d
e
s

d
e

T
I
,

i
n
c
l
u
i
d
a

l
a

s
u
p
e
r
v
i
s
i
n

y

s
e
g
r
e
g
a
c
i
n

d
e

f
u
n
c
i
o
n
e
s
.
P
O
4
.
8

-

R
e
s
p
o
n
s
a
b
i
l
i
d
a
d

s
o
b
r
e

e
l

R
i
e
s
g
o
,

l
a

S
e
g
u
r
i
d
a
d

y

e
l

C
u
m
p
l
i
m
i
e
n
t
o
.
Establ ecer l a propi edad y l a responsabi l i dad de l os ri esgos
rel aci onados con TI a un ni vel superi or apropi ado. Defi ni r y
asi gnar rol es crti cos para admi ni strar l os ri esgos de TI,
i ncl uyendo l a responsabi l i dad especfi ca de l a seguri dad de
l a i nformaci n, l a seguri dad fsi ca y el cumpl i mi ento.
Establ ecer responsabi l i dad sobre l a admi ni straci n del
ri esgo y l a seguri dad a ni vel de toda l a organi zaci n para
manejar l os probl emas a ni vel de toda l a empresa. Puede ser
necesari o asi gnar responsabi l i dades adi ci onal es de
admi ni straci n de l a seguri dad a ni vel de si stema especfi co
para manejar probl emas rel aci onados con seguri dad.
Obtener ori entaci n de l a al ta di recci n con respecto al
apeti to de ri esgo de TI y l a aprobaci n de cual qui er ri esgo
resi dual de TI.
E
s
t
a
b
l
e
c
e
r

e

i
m
p
l
a
n
t
a
r

r
o
l
e
s

y

r
e
s
p
o
n
s
a
b
i
l
i
d
a
d
e
s

d
e

T
I
,

i
n
c
l
u
i
d
a

l
a

s
u
p
e
r
v
i
s
i
n

y

s
e
g
r
e
g
a
c
i
n

d
e

f
u
n
c
i
o
n
e
s
.
P
O
4
.
7

-

R
e
s
p
o
n
s
a
b
i
l
i
d
a
d

d
e

A
s
e
g
u
r
a
m
i
e
n
t
o

d
e

C
a
l
i
d
a
d

d
e

T
I
.
Asi gnar l a responsabi l i dad para el desempeo de l a funci n
de asegurami ento de cal i dad (QA) y proporci onar al grupo de
QA si stemas de QA, l os control es y l a experi enci a para
comuni carl os. Asegurar que l a ubi caci n organi zaci onal , l as
responsabi l i dades y el tamao del grupo de QA sati sfacen
l os requeri mi entos de l a organi zaci n.
E
s
t
a
b
l
e
c
e
r

e

i
m
p
l
a
n
t
a
r

r
o
l
e
s

y

r
e
s
p
o
n
s
a
b
i
l
i
d
a
d
e
s

d
e

T
I
,

i
n
c
l
u
i
d
a

l
a

s
u
p
e
r
v
i
s
i
n

y

s
e
g
r
e
g
a
c
i
n

d
e

f
u
n
c
i
o
n
e
s
.
P
O
4
.
6

-

E
s
t
a
b
l
e
c
i
m
i
e
n
t
o

d
e

R
o
l
e
s

y

R
e
s
p
o
n
s
a
b
i
l
i
d
a
d
e
s
.
Defi ni r y comuni car l os rol es y l as responsabi l i dades para el
personal de TI y l os usuari os que del i mi ten l a autori dad
entre el personal de TI y l os usuari os fi nal es y defi nan l as
responsabi l i dades y rendi ci n de cuentas para al canzar l as
necesi dades del negoci o.
D
i
s
e
a
r

M
a
r
c
o

d
e

T
r
a
b
a
j
o

p
a
r
a

e
l

p
r
o
c
e
s
o

d
e

T
I
.
P
O
4
.
1

-

M
a
r
c
o

d
e

T
r
a
b
a
j
o

d
e

P
r
o
c
e
s
o
s

d
e

T
I
.
Defi ni r un marco de trabajo para el proceso de TI para
ejecutar el pl an estratgi co de TI. Este marco i ncl uye
estructura y rel aci ones de procesos de TI admi ni strando
brechas y superposi ci ones de procesos), propi edad,
medi ci n del desempeo, mejoras, cumpl i mi ento, metas de
cal i dad y pl anes para al canzarl as. Proporci ona i ntegraci n
entre l os procesos que son especfi cos para TI,
admi ni straci n del portafol i o de l a empresa, procesos de
negoci o y procesos de cambi o del negoci o. El marco de
trabajo de procesos de TI debe estar i ntegrado en un si stema
de admi ni straci n de cal i dad y en un marco de trabajo de
control i nterno.
E
s
t
a
b
l
e
c
e
r

e
s
t
r
u
c
t
u
r
a

o
r
g
a
n
i
z
a
c
i
o
n
a
l

d
e

T
I
,

i
n
c
l
u
y
e
n
d
o

c
o
m
i
t
s

y

l
i
g
a
s

a

l
o
s

i
n
t
e
r
e
s
a
d
o
s

y

p
r
o
v
e
e
d
o
r
e
s
C O B I T

98

D
O
M
I
N
I
O
P
R
O
C
E
S
O
S
A
C
T
I
V
I
D
A
D
E
S

D
E
L

P
R
O
C
E
S
O
O
B
J
E
T
I
V
O
S

D
E

C
O
N
T
R
O
L
C
A
L
I
F
I
C
A
C
I
N
1.- Se eval an l os requeri mi entos de personal de forma regul ar para
garanti zar que l a funci n de TI cuente con un nmero sufi ci ente de
recursos para soportar adecuada y apropi adamente l as metas del
negoci o?
Si , de acuerdo a l os requeri mi entos, si es
al go pequeo se usan el recurso humano con
que se cuenta y si es al go grande se l o busca
en el mercado. Dependi endo del al cance de
requeri mi ento se l o busca i nternamente o
externamente.
1,00
2.- Se eval an l os requeri mi entos de personal de forma regul ar para
garanti zar que l a funci n de TI cuente con un nmero sufi ci ente de
recursos para soportar adecuada y apropi adamente l os objeti vos del
negoci o?
Si .
1,00
1.- Se defi ne al personal cl ave de TI para mi ni mi zar l a dependenci a en un
sol o i ndi vi duo desempeando una funci n de trabajo crti ca?
Si . Se busca que el conoci mi ento cri ti co para
el desarrol l o o desempeo de TI no se
concentre en un sol o i ndi vi duo o en un sol o
usuari o, medi ante l a formaci n de usuari os y
especi al i stas de Ti (Backups) qui enes l uego
de l a capaci taci n trabajarn en l a
actual i zaci n de manual es de procedi mi ento
de cada proceso.
1,00
2.- Se i denti fi ca al personal cl ave de TI para mi ni mi zar l a dependenci a
en un sol o i ndi vi duo desempeando una funci n de trabajo crti ca?
Si .
1,00
1.- Se asegura que l os consul tores cumpl an con l as pol ti cas
organi zaci onal es de protecci n de l os acti vos de i nformaci n de l a
empresa de tal manera que se l ogren l os requeri mi entos contractual es
acordados?
Si , medi ante l a fi rma de contratos con
cl ausul as especfi cas sobre esto.
1,00
2.- Se asegura que el personal contratado que soporta l a funci n de TI
cumpl an con l as pol ti cas organi zaci onal es de protecci n de l os acti vos
de i nformaci n de l a empresa?
1,00
1.- Exi ste una estructura pti ma de enl ace entre l a funci n de TI y otros
i nteresados dentro y fuera de l a funci n de TI?
Si exi ste, pero fal ta ms. Hay una defi ni ci n
cl ara para hacer un requeri mi ento pero fal ta
mayor acercami ento, como por ejempl o: Se
ti enen reuni ones con cada gerente para saber
que fal ta o que no se ha atendi do en cada
rea.
0,50
2.- Exi ste una estructura pti ma de comuni caci n entre l a funci n de TI
y otros i nteresados dentro y fuera de l a funci n de TI?
0,50
3.- Exi ste una estructura pti ma de coordi naci n entre l a funci n de TI y
otros i nteresados dentro y fuera de l a funci n de TI?
0,50
4.- Se manti enen estas estructuras pti mas? Ver respuesta anteri or. 0,50
1.- Exi ste un marco de trabajo fi nanci ero para admi ni strar l as
i nversi ones de TI a travs del portafol i os de i nversi ones y presupuestos
de TI?
Se ti ene establ eci do que en i nversi ones
mayores a $10.000, estas deben ser
anal i zadas por tecni cos o especi al i stas de TI,
se el abora un i nforme tecni co que pasa por
el comi t de adqui si ci ones de l a empresa. En
i nversi ones de hasta $150, se l o adqui ere
di rectamente y no pasa por el comi t. En
i nversi ones de $150 a $10.000 se el abora un
i nforme tecni co en base a coti zaci ones y se l o
adqui ere.
1,00
2.- Exi ste un marco de trabajo fi nanci ero para admi ni strar el costo de
l os acti vos de TI?
1,00
3.- Exi ste un marco de trabajo fi nanci ero para admi ni strar l os servi ci os
de TI?
1,00
4.- Se manti ene este marco de trabajo fi nanci ero? Ver respuesta anteri or. 1,00
1.- Exi ste un proceso de toma de deci si ones para dar pri ori dades a l a
asi gnaci n de recursos a TI?
Si , l as deci si ones se basan en l a pri ori dad de
l os proyectos que afecten al tamente a l a
operati vi dad del negoci o.
1,00
2.- Este proceso opti mi za el retorno del portafol i o empresari al de
programas de i nversi n en TI y otros servi ci os?
No se ha hecho un anl i si s i nterno, pero se
debera hacer. Las i mpl ementaci ones del ERP,
BSC fueron hechas por medi o del Hol di ng.
0,00
3.- Este proceso opti mi za el retorno del portafol i o empresari al de acti vos
de TI?
0,00
1.- Exi ste un proceso para el aborar un presupuesto que refl eje l as
pri ori dades establ eci das en el portafol i o empresari al de programas de
i nversi n en TI, que i ncl uya l os costos recurrentes de operar y mantener
l a i nfraestructura actual ?
Si , este i ncl uye todo, como por ejempl o l o que
se paga por el manteni mi ento del Erp, de
l i cenci as, etc.
1,00
2.- Exi ste un proceso para admi ni strar este presupuesto? Ver respuesta anteri or.
1,00
3.- El proceso soporta al desarrol l o de un presupuesto general de TI as
como al desarrol l o de presupuestos para programas i ndi vi dual es, con
nfasi s especi al en l os componentes de TI de esos programas?
Si .
1,00
4.- El proceso permi te l a revi si n, el refi nami ento y l a aprobaci n
constante del presupuesto general ?
Si .
1,00
5.- El proceso permi te l a revi si n, el refi nami ento y l a aprobaci n
constante de l os presupuestos de programas i ndi vi dual es?
Si .
1,00
1.- Exi ste un proceso de admi ni straci n de costos que compare l os
costos real es con l os presupuestados?
Si .
1,00
2.- Se moni torean l os costos? Si . Ti enen un proceso de opti mi zaci n de
costos, estos son moni toreados por el rea
de Costos y Presupuestos.
1,00
3.- Se reportan l os costos? Ver respuesta anteri or. 1,00
4.- Se i denti fi can de forma oportuna si exi sten desvi aci ones? Si , mes a mes. Ti enen como objeti vo,
opti mi zar costos del rea ya que no cuenta
con una persona (Asi stente).
1,00
5.- El i mpacto de l as desvi aci ones sobre l os programas se eval an? Si se corri ge apropi adamente. 1,00
6.- Junto con el patroci nador del negoci o para estos programas, se
toman medi das correcti vas apropi adas?
1,00
7.- Se actual i za el caso de negoci o del programa de i nversi n? Cada tres meses se hace un Fore Cast, que es
como un ajuste al presupuesto, pero hasta
ahora no se ha afectado el presupuesto.
1,00
1.- Se cuenta con un proceso de moni toreo de benefi ci os? No. Se pi ensa i mpl ementar con nuestra ayuda.
0,00
2.- Se reportan estos benefi ci os? Ver respuesta anteri or. 0,00
3.- Se toman medi das apropi adas para mejorar l a contri buci n de TI? Si . Como por ejempl o: Reestructuraci n de
funci ones dentro del rea y recursos como
mobi l i ari o y ambi ente de trabajo.
1,00
P
O
5
.
5

-

A
d
m
i
n
i
s
t
r
a
c
i
n

d
e

B
e
n
e
f
i
c
i
Impl ementar un proceso de moni toreo de benefi ci os. La
contri buci n esperada de TI a l os resul tados del negoci o, ya
sea como un componente de programas de i nversi n en TI o
como parte de un soporte operati vo regul ar, se debe
i denti fi car, acordar, moni torear y reportar. Los reportes se
deben revi sar y, donde exi stan oportuni dades para mejorar
l a contri buci n de TI, se deben defi ni r y tomar l as medi das
apropi adas. Si empre que l os cambi os en l a contri buci n de
TI tengan i mpacto en el programa, o cuando l os cambi os a
otros proyectos rel aci onados i mpacten al programa, el caso
de negoci o deber ser actual i zado.
P
L
A
N
E
A
R

Y

O
R
G
A
N
I
Z
A
R
P
O
5

-

A
d
m
i
n
i
s
t
r
a
r

l
a

I
n
v
e
r
s
i
n

e
n

T
I
.
D
a
r

m
a
n
t
e
n
i
m
i
e
n
t
o

a
l

p
o
r
t
a
f
o
l
i
o

d
e

p
r
o
g
r
a
m
a
s

d
e

i
n
v
e
r
s
i
n
.
P
O
5
.
1

-

M
a
r
c
o

d
e

T
r
a
b
a
j
o

p
a
r
a

l
a

A
d
m
i
n
i
s
t
r
a
c
i
n

F
i
n
a
n
c
i
e
r
a
.
Establ ecer y mantener un marco de trabajo fi nanci ero para
admi ni strar l as i nversi ones y el costo de l os acti vos y
servi ci os de TI a travs del portafol i os de i nversi ones
habi l i tadas por TI, casos de negoci o y presupuestos de TI.
D
a
r

m
a
n
t
e
n
i
m
i
e
n
t
o

a
l

p
o
r
t
a
f
o
l
i
o

d
e

p
r
o
y
e
c
t
o
s
.
P
O
5
.
2

P
r
i
o
r
i
d
a
d
e
s

d
e
n
t
r
o

d
e
l

P
r
e
s
u
p
u
e
s
t
o

d
e

T
I
.
Impl ementar un proceso de toma de deci si ones para dar
pri ori dades a l a asi gnaci n de recursos a TI para
operaci ones, proyectos y manteni mi ento, para maxi mi zar l a
contri buci n de TI a opti mi zar el retorno del portafol i o
empresari al de programas de i nversi n en TI y otros
servi ci os y acti vos de TI.
D
a
r

m
a
n
t
e
n
i
m
i
e
n
t
o

a
l

p
o
r
t
a
f
o
l
i
o

d
e

s
e
r
v
i
c
i
o
s
.
P
O
5
.
3

-

P
r
o
c
e
s
o

P
r
e
s
u
p
u
e
s
t
a
l
.
Establ ecer un proceso para el aborar y admi ni strar un
presupuesto que refl eje l as pri ori dades establ eci das en el
portafol i o empresari al de programas de i nversi n en TI,
i ncl uyendo l os costos recurrentes de operar y mantener l a
i nfraestructura actual . El proceso debe dar soporte al
desarrol l o de un presupuesto general de TI as como al
desarrol l o de presupuestos para programas i ndi vi dual es,
con nfasi s especi al en l os componentes de TI de esos
programas. El proceso debe permi ti r l a revi si n, el
refi nami ento y l a aprobaci n constantes del presupuesto
general y de l os presupuestos de programas i ndi vi dual es.
P
O
4
.
1
4

-

P
o
l
t
i
c
a
s

y

P
r
o
c
e
d
i
m
i
e
n
t
o
s

p
a
r
a

P
e
r
s
o
n
a
l

C
o
n
t
r
a
t
a
d
o
.Asegurar que l os consul tores y el personal contratado que
soporta l a funci n de TI cumpl an con l as pol ti cas
organi zaci onal es de protecci n de l os acti vos de
i nformaci n de l a empresa de tal manera que se l ogren l os
requeri mi entos contractual es acordados.
E
s
t
a
b
l
e
c
e
r

e

i
m
p
l
a
n
t
a
r

r
o
l
e
s

y

r
e
s
p
o
n
s
a
b
i
l
i
d
a
d
e
s

d
e

T
I
,

i
n
c
l
u
i
d
a

l
a

s
u
p
e
r
v
i
s
i
n

y

s
e
g
r
e
g
a
c
i
n

d
e

f
u
n
c
i
o
n
e
s
.
P
O
4
.
1
5

-

R
e
l
a
c
i
o
n
e
s
.
Establ ecer y mantener una estructura pti ma de enl ace,
comuni caci n y coordi naci n entre l a funci n de TI y otros
i nteresados dentro y fuera de l a funci n de TI, tal es como el
consejo di recti vo, ejecuti vos, uni dades de negoci o, usuari os
i ndi vi dual es, proveedores, ofi ci al es de seguri dad, gerentes
de ri esgo, el grupo de cumpl i mi ento corporati vo, l os
contrati stas externos y l a gerenci a externa (offsi te).
E
s
t
a
b
l
e
c
e
r

e

i
m
p
l
a
n
t
a
r

r
o
l
e
s

y

r
e
s
p
o
n
s
a
b
i
l
i
d
a
d
e
s

d
e

T
I
,

i
n
c
l
u
i
d
a

l
a

s
u
p
e
r
v
i
s
i
n

y

s
e
g
r
e
g
a
c
i
n

d
e

f
u
n
c
i
o
n
e
s
.
P
O
4
.
1
2

-

P
e
r
s
o
n
a
l

d
e

T
I
.
Eval uar l os requeri mi entos de personal de forma regul ar o
cuando exi stan cambi os i mportantes en el ambi ente de
negoci os, operati vo o de TI para garanti zar que l a funci n de
TI cuente con un nmero sufi ci ente de recursos para soportar
adecuada y apropi adamente a l as metas y objeti vos del
negoci o.
C O B I T
P
O
4

-

D
e
f
i
n
i
r

l
o
s

P
r
o
c
e
s
o
s
,

O
r
g
a
n
i
z
a
c
i
n

y

R
e
l
a
c
i
o
n
e
s

d
e

T
I
.
E
s
t
a
b
l
e
c
e
r

y

m
a
n
t
e
n
e
r

p
r
o
c
e
s
o

p
r
e
s
u
p
u
e
s
t
a
l

d
e

T
I
.
P
O
5
.
4

-

A
d
m
i
n
i
s
t
r
a
c
i
n

d
e

C
o
s
t
o
s

d
e

T
I
.
Impl ementar un proceso de admi ni straci n de costos que
compare l os costos real es con l os presupuestados. Los
costos se deben moni torear y reportar. Cuando exi stan
desvi aci ones, stas se deben i denti fi car de forma oportuna y
el i mpacto de esas desvi aci ones sobre l os programas se debe
eval uar y, junto con el patroci nador del negoci o para estos
programas, se debern tomar l as medi das correcti vas
apropi adas y, en caso de ser necesari o, el caso de negoci o
del programa de i nversi n se deber actual i zar.
I
d
e
n
t
i
f
i
c
a
r
,

c
o
m
u
n
i
c
a
r

y

m
o
n
i
t
o
r
e
a
r

l
a

i
n
v
e
r
s
i
n
,

c
o
s
t
o

y

v
a
l
o
r

d
e

T
I

p
a
r
a

e
l

n
e
g
o
c
i
o
.
E
s
t
a
b
l
e
c
e
r

e

i
m
p
l
a
n
t
a
r

r
o
l
e
s

y

r
e
s
p
o
n
s
a
b
i
l
i
d
a
d
e
s

d
e

T
I
,

i
n
c
l
u
i
d
a

l
a

s
u
p
e
r
v
i
s
i
n

y

s
e
g
r
e
g
a
c
i
n

d
e

f
u
n
c
i
o
n
e
s
.
P
O
4
.
1
3

-

P
e
r
s
o
n
a
l

C
l
a
v
e

d
e

T
I
.
Defi ni r e i denti fi car al personal cl ave de TI y mi ni mi zar l a
dependenci a en un sol o i ndi vi duo desempeando una
funci n de trabajo crti ca.
E
s
t
a
b
l
e
c
e
r

e

i
m
p
l
a
n
t
a
r

r
o
l
e
s

y

r
e
s
p
o
n
s
a
b
i
l
i
d
a
d
e
s

d
e

T
I
,

i
n
c
l
u
i
d
a

l
a

s
u
p
e
r
v
i
s
i
n

y

s
e
g
r
e
g
a
c
i
n

d
e

f
u
n
c
i
o
n
e
s
.

99

D
O
M
I
N
I
O
P
R
O
C
E
S
O
S
A
C
T
I
V
I
D
A
D
E
S

D
E
L

P
R
O
C
E
S
O
O
B
J
E
T
I
V
O
S

D
E

C
O
N
T
R
O
L
C
A
L
I
F
I
C
A
C
I
N
1.- Estn defi ni dos l os el ementos de un ambi ente de control para TI? Si , medi ante l os i ndi cadores del BSC.
1,00
2.- Estos el ementos estn al i neados con el esti l o operati vo de l a
empresa?
Si , admi ni straci n basada en procesos y en
estandar ISO 9000, 14000 y 18000
1,00
1.- Exi ste un marco de trabajo que establ ezca el enfoque empresari al
general haci a l os ri esgos?
Se ti enen i denti fi cados l os ri esgos pero no en
su total i dad, sol o l os ms rel evantes. Se
pi ensa mejorar medi ante l a i mpl ementaci n
de un si stema de seguri dad.
0,50
2.- Exi ste un control que se al i nee con l a pol ti ca de TI? Si , medi ante l as audi tori as. 1,00
1.- Exi sten pol ti cas que apoyen l a estrategi a de TI? Si , pol ti ca de cal i dad. 1,00
2.- Estas pol ti cas i ncl uyen l os rol es y responsabi l i dades? Si . 1,00
3.- Estas pol ti cas i ncl uyen procesos de excepci n? Si . 1,00
4.- Estas pol ti cas i ncl uyen un enfoque de cumpl i mi ento? Si . 1,00
5.- Estas pol ti cas hacen referenci as a procedi mi entos? Si . 1,00
6.- Estas pol ti cas hacen referenci as a estndares? Si . 1,00
7.- Estas pol ti cas hacen referenci as a di rectri ces? Si . 1,00
8.- Estas pol ti cas se aprueban en forma regul ar? Si , l o hace l a al ta gerenci a. 1,00
1.- Se asegura que l as pol ti cas de TI se i mpl anten? Si . 1,00
2.- Se asegura que l as pol ti cas de TI se comuni quen a todo el personal
rel evante?
Si .
1,00
3.- Las pol ti cas estn i ncl ui das y son parte i ntegral de l as operaci ones
empresari al es?
Si .
1,00
1.- Se comuni ca a l os usuari os de toda l a organi zaci n l os objeti vos de
TI?
No. Se ti ene pensado tener un acercami ento
con l as gerenci as de l a empresa.
0,00
2.- Los usuari os estn conci entes de l os objeti vos de TI? Si . Medi ante el anl i si s del i mpacto de l os
pl anes operati vos en el l ogro de l os objeti vos
estratgi cos de l a empresa.
1,00
1.- Los procesos de recl utami ento del personal de TI estn acordes a l as
pol ti cas y procedi mi entos general es de personal de l a organi zaci n (Ej.
contrataci n, un ambi ente posi ti vo de trabajo y ori entaci n)?
Si , es comparti da l a responsabi l i dad del
recl utami ento con RRHH.
1,00
2.- Exi ste un proceso que garanti ce que l a organi zaci n cuente con una
fuerza de trabajo apropi ada?
En parte. Fal ta un pl an de carrera. Recursos
Humanos consi dera i mpl ementar un pl an de
carrera. 0,50
1.- Se veri fi ca en forma peri di ca que el personal tenga l as habi l i dades
para cumpl i r sus rol es?
Si , se veri fi ca medi ante audi tora externa.
Del oi tte, Pri ce y de Hol di ng Di ne.
1,00
2.- Se defi ne l os requeri mi entos esenci al es de habi l i dades para TI? Si , Recursos humanos l o hace de acuerdo al
cargo.
1,00
3.- Se veri fi ca que se l es d manteni mi ento, usando programas de
cal i fi caci n segn sea el caso?
Si se veri fi ca pero no se hace nada por
mejorar. El pri mer paso, i mpl ementar
capaci taci n de acuerdo a l a pl ataforma de
l a empresa para que el personal obtenga
certi fi caci ones de acuerdo a su cargo. El
segundo paso, que tengan maestri as o ttul os
de cuarto ni vel dependi endo de su
especi al i dad.
1,00
4.- Se veri fi ca que se l es d manteni mi ento, usando programas de
certi fi caci n segn sea el caso?
Si .
1,00
1.- El marco de trabajo para l a asi gnaci n de l os rol es,
responsabi l i dades y compensaci n del personal est defi ni do?
Si . Lo hace Recursos Humanos.
1,00
responsabi l i dades y compensaci n del personal est moni toreado?
Si .
1,00
responsabi l i dades y compensaci n del personal est supervi sado?
Si
1,00
4.- El ni vel de supervi si n es acorde con l a sensi bi l i dad del puesto y l as
responsabi l i dades asi gnadas?
Si .
1,00
E
j
e
c
u
t
a
r

l
a
s

p
o
l
t
i
c
a
s

y

p
r
o
c
e
d
i
m
i
e
n
t
o
s

r
e
l
e
v
a
n
t
e
s

d
e

R
H

p
a
r
a

T
I
(
r
e
c
l
u
t
a
r
,

c
o
n
t
r
a
t
a
r
,

i
n
v
e
s
t
i
g
a
r
,

c
o
m
p
e
n
s
a
r
,

e
n
t
r
e
n
a
r

P
O
7
.
4

-

E
n
t
r
e
n
a
m
i
e
n
t
o

d
e
l

P
e
r
s
o
n
a
l

d
e

T
I
.
Proporci onar a l os empl eados de TI l a ori entaci n necesari a
al momento de l a contrataci n y entrenami ento conti nuo
para conservar su conoci mi ento, apti tudes, habi l i dades,
control es i nternos y conci enci a sobre l a seguri dad, al ni vel
requeri do para al canzar l as metas organi zaci onal es.
1.- Se proporci ona a l os empl eados de TI entrenami ento conti nuo? Actual mente no, pero se ti ene el aborado un
pl an de capaci taci n de acuerdo a l a
pl ataforma que se ti ene.
0,00
I
d
e
n
t
i
f
i
c
a
r

l
a
s

h
a
b
i
l
i
d
a
d
e
s

d
e

T
I
,

b
e
n
c
h
m
a
r
k
s

s
o
b
r
e

d
e
s
c
r
i
p
c
i
o
n
e
s

d
e

p
u
e
s
t
o
,

r
a
n
g
o

d
e

P
O
7
.
5

-

D
e
p
e
n
d
e
n
c
i
a

S
o
b
r
e

l
o
s

I
n
d
i
v
i
d
u
o
s
.
Mi ni mi zar l a exposi ci n a dependenci as crti cas sobre
i ndi vi duos cl ave por medi o de l a captura del conoci mi ento
(documentaci n), comparti r el conoci mi ento, pl aneaci n de
l a sucesi n y respal dos de personal .
1.- Se mi ni mi za l as dependenci as crti cas sobre i ndi vi duos cl ave? Reci n se l o ha i ni ci ado, est en proceso.
0,50
1.- Se veri fi can l os antecedentes en el proceso de recl utami ento de TI? Si , l o hace Recursos Humanos y el perfi l es
actual i zado constantemente.
1,00
2.- Se veri fi can con frecuenci a estos antecedentes? Si . 1,00
3.- Las veri fi caci ones se apl i can a empl eados? Si , por medi o de ISO 9000 1,00
4.- Las veri fi caci ones se apl i can a contrati stas? Ver respuesta anteri or. 1,00
5.- Las veri fi caci ones se apl i can a proveedores? Ver respuesta anteri or.
1,00
P
O
7
.
6

-

P
r
o
c
e
d
i
m
i
e
n
t
o
s

d
e

I
n
v
e
s
t
i
g
a
c
i
n

d
e
l

P
e
r
s
o
n
a
l
.
Incl ui r veri fi caci ones de antecedentes en el proceso de
recl utami ento de TI. El grado y l a frecuenci a de estas
veri fi caci ones dependen de que tan del i cada crti ca sea l a
funci n y se deben apl i car a l os empl eados, contrati stas y
proveedores.
P
L
A
N
E
A
R

Y

O
R
G
A
N
I
Z
A
R
P
O
7

-

A
d
m
i
n
i
s
t
r
a
r

l
o
s

R
e
c
u
r
s
o
s

H
u
m
a
n
o
s

d
e

T
I
I
d
e
n
t
i
f
i
c
a
r

l
a
s

h
a
b
i
l
i
d
a
d
e
s

d
e

T
I
,

b
e
n
c
h
m
a
r
k
s

s
o
b
r
e

d
e
s
c
r
i
p
c
i
o
n
e
s

d
e

p
u
e
s
t
o
,

r
a
n
g
o

d
e

s
a
l
a
r
i
o
s

y

d
e
s
e
m
p
e
o

d
e
l

p
e
r
s
o
n
a
l
.
P
O
7
.
2

-

C
o
m
p
e
t
e
n
c
i
a
s

d
e
l

P
e
r
s
o
n
a
l
.
Veri fi car de forma peri di ca que el personal tenga l as
habi l i dades para cumpl i r sus rol es con base en su
educaci n, entrenami ento y/o experi enci a. Defi ni r l os
requeri mi entos esenci al es de habi l i dades para TI y veri fi car
que se l es d manteni mi ento, usando programas de
cal i fi caci n y certi fi caci n segn sea el caso.
I
d
e
n
t
i
f
i
c
a
r

l
a
s

h
a
b
i
l
i
d
a
d
e
s

d
e

T
I
,

b
e
n
c
h
m
a
r
k
s

s
o
b
r
e

d
e
s
c
r
i
p
c
i
o
n
e
s

d
e

p
u
e
s
t
o
,

r
a
n
g
o

d
e

s
a
l
a
r
i
o
s

y

d
e
s
e
m
p
e
o

d
e
l

p
e
r
s
o
n
a
l
.
P
O
7
.
3

-

A
s
i
g
n
a
c
i
n

d
e

R
o
l
e
s
.
Defi ni r, moni torear y supervi sar l os marcos de trabajo para
l os rol es, responsabi l i dades y compensaci n del personal ,
i ncl uyendo el requeri mi ento de adheri rse a l as pol ti cas y
procedi mi entos admi ni strati vos, as como al cdi go de ti ca
y prcti cas profesi onal es. El ni vel de supervi si n debe estar
de acuerdo con l a sensi bi l i dad del puesto y el grado de
responsabi l i dades asi gnadas.
C
o
m
u
n
i
c
a
r

e
l

m
a
r
c
o

d
e

c
o
n
t
r
o
l

y

l
o
s

o
b
j
e
t
i
v
o
s

y

d
i
r
e
c
c
i
n

d
e

T
I
.
P
O
6
.
5

-

C
o
m
u
n
i
c
a
c
i
n

d
e

l
o
s

O
b
j
e
t
i
v
o
s

y

l
a

D
i
r
e
c
c
i
n

d
e

T
I
.
Asegurarse de que l a conci enci a y el entendi mi ento de l os
objeti vos y l a di recci n del negoci o y de TI se comuni can a
l os i nteresados apropi ados y a l os usuari os de toda l a
organi zaci n.
I
d
e
n
t
i
f
i
c
a
r

l
a
s

h
a
b
i
l
i
d
a
d
e
s

d
e

T
I
,

b
e
n
c
h
m
a
r
k
s

s
o
b
r
e

d
e
s
c
r
i
p
c
i
o
n
e
s

d
e

p
u
e
s
t
o
,

r
a
n
g
o

d
e

s
a
l
a
r
i
o
s

y

d
e
s
e
m
p
e
o

d
e
l

p
e
r
s
o
n
a
l
.
P
O
7
.
1

-

R
e
c
l
u
t
a
m
i
e
n
t
o

y

R
e
t
e
n
c
i
n

d
e
l

P
e
r
s
o
n
a
l
.
Asegurarse que l os procesos de recl utami ento del personal
de TI estn de acuerdo a l as pol ti cas y procedi mi entos
general es de personal de l a organi zaci n (Ej. contrataci n,
un ambi ente posi ti vo de trabajo y ori entaci n). La gerenci a
i mpl ementa procesos para garanti zar que l a organi zaci n
cuente con una fuerza de trabajo posi ci onada de forma
apropi ada, que tenga l as habi l i dades necesari as para
al canzar l as metas organi zaci onal es.
P
O
6

-

C
o
m
u
n
i
c
a
r

l
a
s

A
s
p
i
r
a
c
i
o
n
e
s

y

l
a

D
i
r
e
c
c
i
n

d
e

l
a

G
e
r
e
n
c
i
a
.
E
l
a
b
o
r
a
r

y

m
a
n
t
e
n
e
r

u
n

a
m
b
i
e
n
t
e

y

m
a
r
c
o

d
e

c
o
n
t
r
o
l

d
e

T
I
.
P
O
6
.
1

-

A
m
b
i
e
n
t
e

d
e

P
o
l
t
i
c
a
s

y

d
e

C
o
n
t
r
o
l
.
Defi ni r l os el ementos de un ambi ente de control para TI,
al i neados con l a fi l osofa admi ni strati va y el esti l o operati vo
de l a empresa. Estos el ementos i ncl uyen l as expectati vas /
requeri mi entos respecto a l a entrega de val or proveni ente de
l as i nversi ones en TI, el apeti to de ri esgo, l a i ntegri dad, l os
val ores ti cos, l a competenci a del personal , l a rendi ci n de
cuentas y l a responsabi l i dad. El ambi ente de control se basa
en una cul tura que apoya l a entrega de val or, mi entras
admi ni stra ri esgos si gni fi cati vos, fomenta l a col aboraci n
entre di vi si ones y el trabajo en equi po, promueve el
cumpl i mi ento y l a mejora conti nua de procesos, y maneja l as
desvi aci ones (i ncl uyendo l as fal l as) de forma adecuada.
E
l
a
b
o
r
a
r

y

m
a
n
t
e
n
e
r

u
n

a
m
b
i
e
n
t
e

y

m
a
r
c
o

d
e

c
o
n
t
r
o
l

d
e

T
I
.
P
O
6
.
2

-

R
i
e
s
g
o

C
o
r
p
o
r
a
t
i
v
o

y

M
a
r
c
o

d
e

R
e
f
e
r
e
n
c
i
a

d
e

C
o
n
t
r
o
l

I
n
t
e
r
n
o

d
e

T
I
.El aborar y dar manteni mi ento a un marco de trabajo que
establ ezca el enfoque empresari al general haci a l os ri esgos y
el control que se al i nee con l a pol ti ca de TI, el ambi ente de
control y el marco de trabajo de ri esgo y control de l a
empresa.
E
l
a
b
o
r
a
r

y

m
a
n
t
e
n
e
r

p
o
l
t
i
c
a
s

d
e

T
I
.
P
O
6
.
3

-

A
d
m
i
n
i
s
t
r
a
c
i
n

d
e

P
o
l
t
i
c
a
s

p
a
r
a

T
I
.El aborar y dar manteni mi ento a un conjunto de pol ti cas que
apoyen l a estrategi a de TI. Estas pol ti cas deben i ncl ui r su
i ntenci n, rol es y responsabi l i dades, procesos de excepci n,
enfoque de cumpl i mi ento y referenci as a procedi mi entos,
estndares y di rectri ces. Su rel evanci a se debe confi rmar y
aprobar en forma regul ar.
C O B I T
E
l
a
b
o
r
a
r

y

m
a
n
t
e
n
e
r

p
o
l
t
i
c
a
s

d
e

T
I
.
P
O
6
.
4

-

I
m
p
l
a
n
t
a
c
i
n

d
e

P
o
l
t
i
c
a
s

d
e

T
I
.
Asegurarse de que l as pol ti cas de TI se i mpl antan y se
comuni can a todo el personal rel evante, y se refuerzan, de tal
forma que estn i ncl ui das y sean parte i ntegral de l as
operaci ones empresari al es.
E
j
e
c
u
t
a
r

l
a
s

p
o
l
t
i
c
a
s

y

p
r
o
c
e
d
i
m
i
e
n
t
o
s

r
e
l
e
v
a
n
t
e
s

d
e

R
H

p
a
r
a

T
I
(
r
e
c
l
u
t
a
r
,

c
o
n
t
r
a
t
a
r
,

i
n
v
e
s
t
i
g
a
r
,

c
o
m
p
e
n
s
a
r
,

e
n
t
r
e
n
a
r
,

e
v
a
l
u
a
r
,

p
r
o
m
o
v
e
r
,

y

t
e
r
m
i
n
a
r
)
.

100

D
O
M
I
N
I
O
P
R
O
C
E
S
O
S
A
C
T
I
V
I
D
A
D
E
S

D
E
L

P
R
O
C
E
S
O
O
B
J
E
T
I
V
O
S

D
E

C
O
N
T
R
O
L
C
A
L
I
F
I
C
A
C
I
N
1.- Las eval uaci ones de desempeo se real i zan peri di camente? Si , cada 6 meses.
1,00
2.- Las eval uaci ones se comparan contra l os objeti vos i ndi vi dual es
deri vados de l as metas organi zaci onal es?
Si .
1,00
3.- Las eval uaci ones se comparan contra l os estandares establ eci dos? Si . 1,00
4.- Las eval uaci ones se comparan contra l as responsabi l i dades
especfi cas del puesto?
Si .
1,00
5.- Los empl eados reci ben adi estrami ento sobre su desempeo? Sobre el desempeo si , por medi o de l a
capaci taci n.
1,00
6.- Los empl eados reci ben adi estrami ento sobre su conducta? De conducta no. 0,50
1.- Se toman medi das expedi tas respecto a l os cambi os en l os puestos,
en especi al l as termi naci ones?
Si por medi o de RRHH.
1,00
2.- Se real i za l a transferenci a del conoci mi ento? Si . 1,00
3.- Se reasi gna responsabi l i dades? Si . 1,00
4.- Se el i mi nan l os pri vi l egi os de acceso, de tal modo que l os ri esgos se
mi ni mi cen?
Si .
1,00
5.- Se el i mi nan l os pri vi l egi os de acceso, de tal modo que se garanti ce l a
conti nui dad de l a funci n?
Si .
1,00
1.- Se cuenta con un QMS de TI al i neados con l os requeri mi entos del
negoci o?
No hay un QMS de TI, pero si en forma
general . Ti enen ISO 9000 y ti enen proyectado
i mpl ementar ISO 27000.
0,50
2.- Este QMS proporci ona un enfoque estndar, formal y conti nuo con
respecto a l a admi ni straci n de l a cal i dad?
0,50
3.- El QMS i denti fi ca l os requeri mi entos? Ver respuesta anteri or. 0,50
4.- El QMS i denti fi ca l os cri teri os de cal i dad? Ver respuesta anteri or. 0,50
5.- El QMS i denti fi ca l os procesos cl aves de TI? Ver respuesta anteri or. 0,50
6.- El QMS i denti fi ca l as pol ti cas para defi ni r, detectar, corregi r y prever
l as no conformi dades?
0,50
7.- El QMS i denti fi ca l os cri teri os para defi ni r, detectar, corregi r y prever
0,50
8.- El QMS i denti fi ca l os mtodos para defi ni r, detectar, corregi r y prever
0,50
9.- El QMS defi ne l a estructura organi zaci onal para l a admi ni straci n de
l a cal i dad, cubri endo l os rol es, l as tareas y l as responsabi l i dades?
0,50
10.- Las reas cl ave desarrol l an sus pl anes de cal i dad de acuerdo a l os
cri teri os y pol ti cas, y regi stran l os datos de cal i dad?
0,50
11.- Se moni torea l a efecti vi dad del QMS? Ver respuesta anteri or. 0,50
12.- Se mi de l a efecti vi dad del QMS? Ver respuesta anteri or. 0,50
13.- Se moni torea l a aceptaci n del QMS? Ver respuesta anteri or. 0,50
14.- Se mi de l a aceptaci n del QMS? Ver respuesta anteri or. 0,50
15.- Se l o mejora cuando es necesari o? Ver respuesta anteri or. 0,50
1.- Se i denti fi ca estndares para l os procesos cl ave de TI? Ver respuesta anteri or. 0,50
2.- Se i denti fi ca procedi mi entos para l os procesos cl ave de TI? Ver respuesta anteri or. 0,50
3.- Se i denti fi ca prcti cas para l os procesos cl ave de TI? Ver respuesta anteri or. 0,50
4.- Se usan l as buenas prcti cas de l a i ndustri a como referenci a al
mejorar y adaptar l as prcti cas de cal i dad de l a organi zaci n?
0,50
1.- Se adoptan estndares para todo desarrol l o y adqui si ci n que si ga el
ci cl o de vi da, hasta el l ti mo entregabl e?
Los l i neami entos l os da el Hol di ng Di ne.
1,00
2.- Se manti enen estndares para todo desarrol l o y adqui si ci n que si ga
el ci cl o de vi da, hasta el l ti mo entregabl e?
Si .
1,00
3.- Se i ncl uyen estndares de codi fi caci n de software? No se ti ene. Se estn establ eci endo
estandares para todos l os apl i cati vos y se va
a tener todo en l a pl ataforma Oracl e, Power
Bui l der y Ql i k Vi ew.
0,00
4.- Se i ncl uyen normas de nomencl atura? Ver respuesta anteri or. 0,00
5.- Se i ncl uyen formatos de archi vos? Ver respuesta anteri or. 0,00
6.- Se i ncl uyen estndares de di seo para esquemas y di cci onari o de
datos?
0,00
7.- Se i ncl uyen estndares para l a i nterfaz de usuari o? Ver respuesta anteri or. 0,00
8.- Se i ncl uye i nter operabi l i dad? Ver respuesta anteri or. 0,00
9.- Se i ncl uye efi ci enci a de desempeo de si stemas? Ver respuesta anteri or. 0,00
10.- Se i ncl uyen escal abi l i dad? Ver respuesta anteri or. 0,00
11.- Se i ncl uyen estndares para desarrol l o y pruebas? Ver respuesta anteri or. 0,00
12.- Se i ncl uyen val i daci n contra requeri mi entos? Ver respuesta anteri or. 0,00
13.- Se i ncl uyen pl anes de pruebas? Ver respuesta anteri or. 0,00
14.- Se i ncl uyen pruebas uni tari as de regresi n? Ver respuesta anteri or. 0,00
15.- Se i ncl uyen pruebas uni tari as de i ntegraci n? Ver respuesta anteri or. 0,00
1.- Est enfocada l a admi ni straci n de cal i dad en l os cl i entes? No se ti ene un si stema de cal i dad pero, si se
enfocan en l as necesi dades del usuari o.
0,50
2.- Estn defi ni dos l os rol es respecto a l a resol uci n de confl i ctos entre
el usuari o/cl i ente y l a organi zaci n de TI?
Si se sabe que datos corri ge el usuari o y l a
organi zaci n en l o que respecta a errores del
apl i cati vo.
1,00
3.- Estn defi ni dos l as responsabi l i dades respecto a l a resol uci n de
confl i ctos entre el usuari o/cl i ente y l a organi zaci n de TI?
Si .
1,00
1.- Se manti ene un pl an gl obal de cal i dad que promueva l a mejora
conti nua?
No en l o rel aci onado a TI. A ni vel de ISO 9000
se l a ti ene en forma gl obal como
departamento, se pl anea, se hace y se
control a y se toma medi das correcti vas o
preventi vas. Ci cl o DEMI.
0,00
2.- Se comuni ca regul armente el pl an gl obal de cal i dad? No. 0,00
1.- Estn defi ni das medi ci ones para moni torear el cumpl i mi ento
conti nuo del QMS?
0,00
2.- Estn pl aneadas medi ci ones para moni torear el cumpl i mi ento
conti nuo del QMS?
0,00
3.- Estn i mpl ementadas medi ci ones para moni torear el cumpl i mi ento
conti nuo del QMS?
0,00
4.- Est defi ni do el val or que el QMS proporci ona? Ver respuesta anteri or.
0,00
5.- Est pl aneado el val or que el QMS proporci ona? Ver respuesta anteri or. 0,00
6.- Est i mpl ementado el val or que el QMS proporci ona? Ver respuesta anteri or. 0,00
7.- Esta medi ci n, moni toreo y regi stro de l a i nformaci n son usados por
el dueo del proceso para tomar l as medi das correcti vas apropi adas?
0,00
8.- Esta medi ci n, moni toreo y regi stro de l a i nformaci n son usados por
el dueo del proceso para tomar l as medi das preventi vas apropi adas?
0,00
C
r
e
a
r

y

c
o
m
u
n
i
c
a
r

e
s
t
n
d
a
r
e
s

d
e

c
a
l
i
d
a
d

a

t
o
d
a

l
a

o
r
g
a
n
i
z
a
c
i
n
.
P
O
8
.
4

-

E
n
f
o
q
u
e

e
n

e
l

C
l
i
e
n
t
e

d
e

T
I
.
Enfocar l a admi ni straci n de cal i dad en l os cl i entes,
determi nando sus requeri mi entos y al i nendol os con l os
estndares y prcti cas de TI. Defi ni r rol es y
responsabi l i dades respecto a l a resol uci n de confl i ctos
entre el usuari o/cl i ente y l a organi zaci n de TI.
C
r
e
a
r

y

a
d
m
i
n
i
s
t
r
a
r

e
l

p
l
a
n

d
e

c
a
l
i
d
a
d

p
a
r
a

l
a

m
e
j
o
r
a

c
o
n
t
i
n
u
a
.
P
O
8
.
5

-

M
e
j
o
r
a

C
o
n
t
i
n
u
a
.
Mantener y comuni car regul armente un pl an gl obal de
cal i dad que promueva l a mejora conti nua.
E
j
e
c
u
t
a
r

l
a
s

p
o
l
t
i
c
a
s

y

p
r
o
c
e
d
i
m
i
e
n
t
o
s

r
e
l
e
v
a
n
t
e
s

d
e

R
H

p
a
r
a

T
I
(
r
e
c
l
u
t
a
r
,

c
o
n
t
r
a
t
a
r
,

i
n
v
e
s
t
i
g
a
r
,

c
o
m
p
e
n
s
a
r
,

e
n
t
r
e
n
a
r
,

e
v
a
l
u
a
r
,

p
r
o
m
o
v
e
r
,

y

t
e
r
m
i
n
a
r
)
.
P
O
7
.
8

-

C
a
m
b
i
o
s

y

T
e
r
m
i
n
a
c
i
n

d
e

T
r
a
b
a
j
o
.
Tomar medi das expedi tas respecto a l os cambi os en l os
puestos, en especi al l as termi naci ones. Se debe real i zar l a
transferenci a del conoci mi ento, reasi gnar responsabi l i dades
y se deben el i mi nar l os pri vi l egi os de acceso, de tal modo
que l os ri esgos se mi ni mi cen y se garanti ce l a conti nui dad de
l a funci n.
P
O
8

-

A
d
m
i
n
i
s
t
r
a
r

l
a

C
a
l
i
d
a
d
D
e
f
i
n
i
r

u
n

s
i
s
t
e
m
a

d
e

a
d
m
i
n
i
s
t
r
a
c
i
n

d
e

c
a
l
i
d
a
d
.
P
O
8
.
1

-

S
i
s
t
e
m
a

d
e

A
d
m
i
n
i
s
t
r
a
c
i
n

d
e

C
a
l
i
d
a
d
.
Establ ecer y mantener un QMS que proporci one un enfoque
estndar, formal y conti nuo, con respecto a l a
admi ni straci n de l a cal i dad, que est al i neado con l os
requeri mi entos del negoci o. El QMS i denti fi ca l os
requeri mi entos y l os cri teri os de cal i dad, l os procesos cl aves
de TI, y su secuenci a e i nteracci n, as como l as pol ti cas,
cri teri os y mtodos para defi ni r, detectar, corregi r y prever
l as no conformi dades. El QMS debe defi ni r l a estructura
organi zaci onal para l a admi ni straci n de l a cal i dad,
cubri endo l os rol es, l as tareas y l as responsabi l i dades.
Todas l as reas cl ave desarrol l an sus pl anes de cal i dad de
acuerdo a l os cri teri os y pol ti cas, y regi stran l os datos de
cal i dad. Moni torear y medi r l a efecti vi dad y aceptaci n del
QMS y mejorarl a cuando sea necesari o.
E
s
t
a
b
l
e
c
e
r

y

m
a
n
t
e
n
e
r

u
n

s
i
s
t
e
m
a

d
e

a
d
m
i
n
i
s
t
r
a
c
i
n

d
e

c
a
l
i
d
a
d
.
P
O
8
.
2

-

E
s
t
n
d
a
r
e
s

y

P
r
c
t
i
c
a
s

d
e

C
a
l
i
d
a
d
.
Identi fi car y mantener estndares, procedi mi entos y
prcti cas para l os procesos cl ave de TI para ori entar a l a
organi zaci n haci a el cumpl i mi ento del QMS. Usar l as
buenas prcti cas de l a i ndustri a como referenci a al mejorar
y adaptar l as prcti cas de cal i dad de l a organi zaci n.
C O B I T
E
j
e
c
u
t
a
r

l
a
s

p
o
l
t
i
c
a
s

y

p
r
o
c
e
d
i
m
i
e
n
t
o
s

r
e
l
e
v
a
n
t
e
s

d
e

R
H

p
a
r
a

T
I
(
r
e
c
l
u
t
a
r
,

c
o
n
t
r
a
t
a
r
,

i
n
v
e
s
t
i
g
a
r
,

c
o
m
p
e
n
s
a
r
,

e
n
t
r
e
n
a
r
,

e
v
a
l
u
a
r
,

p
r
o
m
o
v
e
r
,

y

t
e
r
m
i
n
a
r
)
.
P
O
7
.
7

-

E
v
a
l
u
a
c
i
n

d
e
l

D
e
s
e
m
p
e
o

d
e
l

E
m
p
l
e
a
d
o
.
Es necesari o que l as eval uaci ones de desempeo se real i cen
peri di camente, comparando contra l os objeti vos
i ndi vi dual es deri vados de l as metas organi zaci onal es,
estndares establ eci dos y responsabi l i dades especfi cas del
puesto. Los empl eados deben reci bi r adi estrami ento sobre su
desempeo y conducta, segn sea necesari o.
P
L
A
N
E
A
R

Y

O
R
G
A
N
I
Z
A
R
P
O
7

-

A
d
m
i
n
i
s
t
r
a
r

l
o
s

R
e
c
u
r
s
o
s

H
u
m
a
n
o
s

d
e

T
I
M
e
d
i
r
,

m
o
n
i
t
o
r
e
a
r

y

r
e
v
i
s
a
r

e
l

c
u
m
p
l
i
m
i
e
n
t
o

d
e

l
a
s

m
e
t
a
s

d
e

c
a
l
i
d
a
d
.
P
O
8
.
6

-

M
e
d
i
c
i
n
,

M
o
n
i
t
o
r
e
o

y

R
e
v
i
s
i
n

d
e

l
a

C
a
l
i
d
a
d
.
Defi ni r, pl anear e i mpl ementar medi ci ones para moni torear
el cumpl i mi ento conti nuo del QMS, as como el val or que el
QMS proporci ona. La medi ci n, el moni toreo y el regi stro de
l a i nformaci n deben ser usados por el dueo del proceso
para tomar l as medi das correcti vas y preventi vas
apropi adas.
C
r
e
a
r

y

c
o
m
u
n
i
c
a
r

e
s
t
n
d
a
r
e
s

d
e

c
a
l
i
d
a
d

a

t
o
d
a

l
a

o
r
g
a
n
i
z
a
c
i
n
.
P
O
8
.
3

-

E
s
t
n
d
a
r
e
s

d
e

D
e
s
a
r
r
o
l
l
o

y

d
e

A
d
q
u
i
s
i
c
i
n
.
Adoptar y mantener estndares para todo desarrol l o y
adqui si ci n que si ga el ci cl o de vi da, hasta el l ti mo
entregabl e e i ncl ui r l a aprobaci n en puntos cl ave con base
en cri teri os de aceptaci n acordados. Los temas a consi derar
i ncl uyen estndares de codi fi caci n de software, normas de
nomencl atura; formatos de archi vos, estndares de di seo
para esquemas y di cci onari o de datos; estndares para l a
i nterfaz de usuari o; i nter operabi l i dad; efi ci enci a de
desempeo de si stemas; escal abi l i dad; estndares para
desarrol l o y pruebas; val i daci n contra requeri mi entos;
pl anes de pruebas; y pruebas uni tari as, de regresi n y de
i ntegraci n.

101

D
O
M
I
N
I
O
P
R
O
C
E
S
O
S
A
C
T
I
V
I
D
A
D
E
S

D
E
L

P
R
O
C
E
S
O
O
B
J
E
T
I
V
O
S

D
E

C
O
N
T
R
O
L
C
A
L
I
F
I
C
A
C
I
N
1.- Est establ eci do un marco de trabajo de admi ni straci n de ri esgos de
TI?
Se l o ti ene en parte. Se est trabajando en l a
seguri dad para mi ni mi zar l os ri esgos.
0,50
2.- El marco de trabajo de admi ni straci n de ri esgos de TI est al i neado
al marco de trabajo de admi ni straci n de ri esgos de l a organi zaci n?
En parte.
0,50
1.- El marco de trabajo de eval uaci n de ri esgos se apl i ca para
garanti zar resul tados apropi ados?
Actual mente no.
0,00
2.- Est i ncl ui da l a determi naci n del contexto i nterno de cada
eval uaci n de ri esgos?
No. Se va a actual i zar el pl an de
conti ngenci a y revi sar l a matri z de ri esgos.
0,00
3.- Est i ncl ui da l a determi naci n del contexto externo de cada
eval uaci n de ri esgos?
0,00
4.- Est i ncl ui da l a meta de l a eval uaci n contra l os cual es se eval an
l os ri esgos?
0,00
5.- Estn i ncl ui dos l os cri teri os contra l os cual es se eval an l os ri esgos? Ver respuesta anteri or.
0,00
1.- Estn i denti fi cadas l as amenazas i mportantes con i mpacto potenci al
negati vo sobre l as metas o l as operaci ones de l a empresa?
En parte. Se anal i zan l os ri esgos potenci al es
de cri ti ci dad medi a, frente a l os cual es ti enen
ti empos de respuesta adecuados. Para l os
ri esgos de cri ti ci dad al ta como perdi da del
centro de cmputo, perdi da de servi dores, no
se ti ene una eval uaci n real del ti empo de
respuesta.
0,50
2.- Se determi na l a natural eza del i mpacto? Se l o est haci endo aproxi madamente desde
hace un mes. Antes no se l o regi straba.
0,50
3.- Se manti ene esta i nformaci n? Ver respuesta anteri or.
0,50
4.- Se regi stran l os ri esgos rel evantes en un regi stro de ri esgos? Se l o est haci endo aproxi madamente desde
hace un mes. Antes no se l o regi straba.
0,50
5.- Se manti enen l os ri esgos rel evantes en un regi stro de ri esgos? Ver respuesta anteri or.
0,50
1.- Se eval a en forma recurrente l a probabi l i dad e i mpacto de todos l os
ri esgos i denti fi cados?
No.
0,00
2.- Se usan mtodos cual i tati vos? No.
0,00
3.- Se usan mtodos cuanti tati vos? No.
0,00
4.- Se determi na de forma i ndi vi dual l a probabi l i dad e i mpacto
asoci ados a l os ri esgos i nherentes y resi dual es?
Si .
1,00
5.- Se determi na por categora l a probabi l i dad e i mpacto asoci ados a l os
ri esgos i nherentes y resi dual es?
Si .
1,00
6.- Se determi na con base en el portafol i o l a probabi l i dad e i mpacto
asoci ados a l os ri esgos i nherentes y resi dual es?
Si .
1,00
1.- Se cuenta con un proceso de respuesta a ri esgos di seado para
asegurar que control es efecti vos en costo mi ti gan l a exposi ci n en forma
conti nua?
En parte por medi o del pl an de conti ngenci a,
pero fal ta. 0,50
2.- El proceso de respuesta a ri esgos i denti fi ca estrategi as tal es como
evi tar, reduci r, comparti r o aceptar ri esgos?
No.
0,00
3.- El proceso de respuesta a ri esgos consi dera l os ni vel es de tol eranci a
a ri esgos?
0,00
1.- Se pri ori za l as acti vi dades de control a todos l os ni vel es para
i mpl ementar l as respuestas a l os ri esgos?
No.
0,00
2.- Se obti ene l a aprobaci n para l as acci ones recomendadas de
cual qui er ri esgo resi dual ?
Si , pero no l o han propuesto. La gerenci a si
ti ene apertura para esto.
1,00
3.- Se obti ene l a aceptaci nde l as acci ones recomentadas de cual qui er
i i d l ?
Si .
1,00
4.- Se asegura que l as acci ones comprometi das estn a cargo del dueo
( ) d l f d ?
No.
0,00
5.- Se moni torea l a ejecuci n de l os pl anes? No.
0,00
6.- Se reporta cual qui er desvi aci n a l a al ta di recci n? Si .
1,00
1.- Se manti ene un programa de proyectos, rel aci onados con el
portafol i o de programas de i nversi ones faci l i tadas por TI?
Si .
1,00
2.- Se asegura que l os proyectos apoyen l os objeti vos del programa? Si .
1,00
3.- Se coordi na l as acti vi dades e i nterdependenci as de ml ti pl es
proyectos?
Si .
1,00
4.- Se admi ni stra l a contri buci n de todos l os proyectos dentro del
programa hasta obtener l os resul tados esperados?
Si .
1,00
5.- Se resuel ven l os requeri mi entos y confl i ctos de recursos? Si .
1,00
1.- Exi ste un marco de trabajo para l a admi ni straci n de proyectos que
defi na el al cance?
Si .
1,00
2.- Este marco de trabajo defi na l os l mi tes de l a admi ni straci n de
proyectos?
Si .
1,00
3.- Este marco de trabajo defi ne l as metodol ogas a ser adoptadas y
apl i cadas en cada proyecto emprendi do?
Si .
1,00
4.- El marco de trabajo y l os mtodos de soporte estn i ntegrados con
l os procesos de admi ni straci n de programas?
Si .
1,00
1.- Est establ eci do un enfoque de admi ni straci n de proyectos que
corresponda al tamao de cada proyecto?
Si . Hay una Uni dad de Proyectos y Uni dad de
Desarrol l o Organi zaci onal pero fal ta reforzar
l a metodol oga para l a generaci n de
proyectos.
1,00
corresponda a l a compl eji dad de cada proyecto?
1,00
corresponda a l os requeri mi entos regul atori os de cada proyecto?
1,00
4.- La estructura de gobi erno de proyectos i ncl uye l os rol es del
patroci nador del programa, patroci nadores de proyectos, comi t de
di recci n, ofi ci na de proyectos, y gerente del proyecto?
1,00
5.- La estructura de gobi erno de proyectos i ncl uye l as responsabi l i dades
del patroci nador del programa, patroci nadores de proyectos, comi t de
di recci n, ofi ci na de proyectos, y gerente del proyecto?
1,00
6.- La estructura de gobi erno de proyectos i ncl uye l a rendi ci n de
cuentas del patroci nador del programa, patroci nadores de proyectos,
comi t de di recci n, ofi ci na de proyectos, y gerente del proyecto?
1,00
7.- La estructura de gobi erno de proyectos i ncl uye l os mecani smos por
medi o de l os cual es pueden sati sfacer esas responsabi l i dades (tal es
como reportes y revi si ones por etapa)?
1,00
8.- Se asegura que todos l os proyectos de TI cuenten con patroci nadores
con sufi ci ente autori dad para apropi arse de l a ejecuci n del proyecto
dentro del programa estratgi co gl obal ?
Si .
1,00
P
O
1
0

-

A
d
m
i
n
i
s
t
r
a
r

P
r
o
y
e
c
t
o
s
.
P
L
A
N
E
A
R

Y

O
R
G
A
N
I
Z
A
R
P
O
1
0
.
1

-

M
a
r
c
o

d
e

T
r
a
b
a
j
o

p
a
r
a

l
a

A
d
m
i
n
i
s
t
r
a
c
i
n

d
e

P
r
o
g
r
a
m
a
s
.
Mantener el programa de l os proyectos, rel aci onados con el
portafol i o de programas de i nversi ones faci l i tadas por TI,
por medi o de l a i denti fi caci n, defi ni ci n, eval uaci n,
otorgami ento de pri ori dades, sel ecci n, i ni ci o,
admi ni straci n y control de l os proyectos. Asegurarse de que
l os proyectos apoyen l os objeti vos del programa. Coordi nar
l as acti vi dades e i nterdependenci as de ml ti pl es proyectos,
admi ni strar l a contri buci n de todos l os proyectos dentro
del programa hasta obtener l os resul tados esperados, y
resol ver l os requeri mi entos y confl i ctos de recursos.
E
s
t
a
b
l
e
c
e
r

y

m
a
n
t
e
n
e
r

u
n

M
a
r
c
o

d
e

T
r
a
b
a
j
o

p
a
r
a

l
a

a
d
m
i
n
i
s
t
r
a
c
i
n

d
e

p
r
o
y
e
c
t
o
s

d
e

T
I
.
P
O
1
0
.
2

-

M
a
r
c
o

d
e

T
r
a
b
a
j
o

p
a
r
a

l
a

A
d
m
i
n
i
s
t
r
a
c
i
n

d
e

P
r
o
y
e
c
t
o
s
.
Establ ecer y mantener un marco de trabajo para l a
admi ni straci n de proyectos que defi na el al cance y l os
l mi tes de l a admi ni straci n de proyectos, as como l as
metodol ogas a ser adoptadas y apl i cadas en cada proyecto
emprendi do. El marco de trabajo y l os mtodos de soporte se
deben i ntegrar con l os procesos de admi ni straci n de
programas.
*
E
s
t
a
b
l
e
c
e
r

y

m
a
n
t
e
n
e
r

u
n

s
i
s
t
e
m
a

d
e

m
o
n
i
t
o
r
e
o
,

m
e
d
i
c
i
n

y

a
d
m
i
n
i
s
t
r
a
c
i
n

d
e

s
i
s
t
e
m
a
s
.

*
E
l
a
b
o
r
a
r

e
s
t
a
t
u
t
o
s
,

c
a
l
e
n
d
a
r
i
o
s
,

p
l
a
n
e
s

d
e

c
a
l
i
d
a
d
,

p
r
e
s
u
p
u
e
s
t
o
s

y

p
l
a
n
e
s

d
e

c
o
m
u
n
i
c
a
c
i
n

y

d
e

a
d
m
i
n
i
s
t
r
a
c
i
n

d
e

r
i
e
s
g
o
s
.
P
O
1
0
.
3

-

E
n
f
o
q
u
e

d
e

A
d
m
i
n
i
s
t
r
a
c
i
n

d
e

P
r
o
y
e
c
t
o
s
.
Establ ecer un enfoque de admi ni straci n de proyectos que
corresponda al tamao, compl eji dad y requeri mi entos
regul atori os de cada proyecto. La estructura de gobi erno de
proyectos puede i ncl ui r l os rol es, l as responsabi l i dades y l a
rendi ci n de cuentas del patroci nador del programa,
patroci nadores de proyectos, comi t de di recci n, ofi ci na de
proyectos, y gerente del proyecto, as como l os mecani smos
por medi o de l os cual es pueden sati sfacer esas
responsabi l i dades (tal es como reportes y revi si ones por
etapa). Asegurarse que todos l os proyectos de TI cuenten con
patroci nadores con l a sufi ci ente autori dad para apropi arse
de l a ejecuci n del proyecto dentro del programa estratgi co
gl obal .
E
v
a
l
u
a
r

y

s
e
l
e
c
c
i
o
n
a
r

r
e
s
p
u
e
s
t
a
s

a

r
i
e
s
g
o
.
P
O
9
.
5

-

R
e
s
p
u
e
s
t
a

a

l
o
s

R
i
e
s
g
o
s
.
Desarrol l ar y mantener un proceso de respuesta a ri esgos
di seado para asegurar que control es efecti vos en costo
mi ti gan l a exposi ci n en forma conti nua. El proceso de
respuesta a ri esgos debe i denti fi car estrategi as tal es como
evi tar, reduci r, comparti r o aceptar ri esgos; determi nar
responsabi l i dades y consi derar l os ni vel es de tol eranci a a
ri esgos.
*
P
r
i
o
r
i
z
a
r

y

P
l
a
n
e
a
r

a
c
t
i
v
i
d
a
d
e
s

d
e

c
o
n
t
r
o
l
.

*
A
p
r
o
b
a
r

y

a
s
e
g
u
r
a
r

f
o
n
d
o
s

p
a
r
a

p
l
a
n
e
s

d
e

a
c
c
i
n

d
e

r
i
e
s
g
o
s
.

*
M
a
n
t
e
n
e
r

y

m
o
n
i
t
o
r
e
a
r

u
n

p
l
a
n

d
e

a
c
c
i
n

d
e

r
i
e
s
g
o
s
.

P
O
9
.
6

-

M
a
n
t
e
n
i
m
i
e
n
t
o

y

M
o
n
i
t
o
r
e
o

d
e

u
n

P
l
a
n

d
e

A
c
c
i
n

d
e

R
i
e
s
g
o
s
.
Pri ori zar y pl anear l as acti vi dades de control a todos l os
ni vel es para i mpl ementar l as respuestas a l os ri esgos,
i denti fi cadas como necesari as, i ncl uyendo l a i denti fi caci n
de costos, benefi ci os y l a responsabi l i dad de l a ejecuci n.
Obtener l a aprobaci n para l as acci ones recomendadas y l a
aceptaci n de cual qui er ri esgo resi dual , y asegurarse de que
l as acci ones comprometi das estn a cargo del dueo (s) de
l os procesos afectados. Moni torear l a ejecuci n de l os
pl anes y reportar cual qui er desvi aci n a l a al ta di recci n.
*
E
n
t
e
n
d
e
r

l
o
s

o
b
j
e
t
i
v
o
s

d
e

n
e
g
o
c
i
o

e
s
t
r
a
t
g
i
c
o
s

r
e
l
e
v
a
n
t
e
s
.

*
E
n
t
e
n
d
e
r

l
o
s

o
b
j
e
t
i
v
o
s

d
e

l
o
s

p
r
o
c
e
s
o
s

d
e

n
e
g
o
c
i
o
s

r
e
l
e
v
a
n
t
e
s
.
P
O
9
.
3

-

I
d
e
n
t
i
f
i
c
a
c
i
n

d
e

E
v
e
n
t
o
s
.
Identi fi car eventos (una amenaza i mportante y real i sta que
expl ota una vul nerabi l i dad apl i cabl e y si gni fi cati va) con un
i mpacto potenci al negati vo sobre l as metas o l as
operaci ones de l a empresa, i ncl uyendo aspectos de negoci o,
regul atori os, l egal es, tecnol gi cos, de soci edad comerci al , de
recursos humanos y operati vos. Determi nar l a natural eza del
i mpacto y mantener esta i nformaci n. Regi strar y mantener
l os ri esgos rel evantes en un regi stro de ri esgos.
*
I
d
e
n
t
i
f
i
c
a
r

l
o
s

o
b
j
e
t
i
v
o
s

i
n
t
e
r
n
o
s

d
e

T
I

y

e
s
t
a
b
l
e
c
e
r

e
l

c
o
n
t
e
x
t
o

d
e
l

r
i
e
s
g
o
.

*
I
d
e
n
t
i
f
i
c
a
r

e
v
e
n
t
o
s

a
s
o
c
i
a
d
o
s

c
o
n

o
b
j
e
t
i
v
o
s
,

a
l
g
u
n
o
s

e
v
e
n
t
o
s

e
s
t
n

o
r
i
e
n
t
a
d
o
s

a

n
e
g
o
c
i
o

(
n
e
g
o
c
i
o

e
s

A
)
;

a
l
g
u
n
o
s

e
s
t
n

o
r
i
e
n
t
a
d
o
s

a

T
I

(
T
I

e
s

A
,

n
e
g
o
c
i
o

e
s

C
)
.

*
A
s
e
s
o
r
a
r

e
l

r
i
e
s
g
o

c
o
n

l
o
s

e
v
e
n
t
o
s
.
P
O
9
.
4

-

E
v
a
l
u
a
c
i
n

d
e

R
i
e
s
g
o
s

d
e

T
I
.
Eval uar de forma recurrente l a probabi l i dad e i mpacto de
todos l os ri esgos i denti fi cados, usando mtodos cual i tati vos
y cuanti tati vos. La probabi l i dad e i mpacto asoci ados a l os
ri esgos i nherentes y resi dual es se debe determi nar de forma
i ndi vi dual , por categora y con base en el portafol i o.
P
O
9

-

E
v
a
l
u
a
r

y

A
d
m
i
n
i
s
t
r
a
r

l
o
s

R
i
e
s
g
o
s

d
e

T
I
D
e
t
e
r
m
i
n
a
r

l
a

a
l
i
n
e
a
c
i
n

d
e

l
a

a
d
m
i
n
i
s
t
r
a
c
i
n

d
e

r
i
e
s
g
o
s

(
e
j
:

E
v
a
l
u
a
r

r
i
e
s
g
o
)
.
P
O
9
.
1

-

M
a
r
c
o

d
e

T
r
a
b
a
j
o

d
e

A
d
m
i
n
i
s
t
r
a
c
i
n

d
e

R
i
e
s
g
o
s
.
Establ ecer un marco de trabajo de admi ni straci n de ri esgos
de TI que est al i neado al marco de trabajo de
admi ni straci n de ri esgos de l a organi zaci n.
D
e
t
e
r
m
i
n
a
r

l
a

a
l
i
n
e
a
c
i
n

d
e

l
a

a
d
m
i
n
i
s
t
r
a
c
i
n

d
e

r
i
e
s
g
o
s

(
e
j
:

E
v
a
l
u
a
r

r
i
e
s
g
o
)
.
P
O
9
.
2

-

E
s
t
a
b
l
e
c
i
m
i
e
n
t
o

d
e
l

C
o
n
t
e
x
t
o

d
e
l

R
i
e
s
g
o
.
Establ ecer el contexto en el cual el marco de trabajo de
eval uaci n de ri esgos se apl i ca para garanti zar resul tados
apropi ados. Esto i ncl uye l a determi naci n del contexto
i nterno y externo de cada eval uaci n de ri esgos, l a meta de
l a eval uaci n y l os cri teri os contra l os cual es se eval an l os
ri esgos.
D
e
f
i
n
i
r

u
n

m
a
r
c
o

d
e

a
d
m
i
n
i
s
t
r
a
c
i
n

d
e

p
r
o
g
r
a
m
a
s
/
p
o
r
t
a
f
o
l
i
o

p
a
r
a

i
n
v
e
r
s
i
o
n
e
s

e
n

T
I
.
C O B I T

102

D
O
M
I
N
I
O
P
R
O
C
E
S
O
S
A
C
T
I
V
I
D
A
D
E
S

D
E
L

P
R
O
C
E
S
O
O
B
J
E
T
I
V
O
S

D
E

C
O
N
T
R
O
L
C
A
L
I
F
I
C
A
C
I
N
1.- Exi ste el compromi so de l os i nteresados afectados en l a defi ni ci n y
ejecuci n del proyecto dentro del contexto del programa gl obal de
i nversi ones faci l i tadas por TI?
Si .
1,00
2.- Se cuenta con l a parti ci paci n de l os i nteresados afectados en l a
defi ni ci n y ejecuci n del proyecto dentro del contexto del programa
gl obal de i nversi ones faci l i tadas por TI?
Si .
1,00
1.- Est defi ni da l a natural eza del proyecto para confi rmar y desarrol l ar
entre l os i nteresados, un entendi mi ento comn del al cance del proyecto?
Si .
1,00
2.- Est documentada l a natural eza del proyecto? Si . 1,00
3.- Est defi ni do el al cance del proyecto? Si . 1,00
4.- Est documentado el al cance del proyecto? Si . 1,00
5.- Est defi ni d como se rel aci ona con otros proyectos dentro del
programa gl obal de i nversi ones faci l i tadas por TI?
Si .
1,00
6.- La defi ni ci n se aprueba de manera formal por parte de l os
patroci nadores del proyecto antes de i ni ci ar el proyecto?
Si .
1,00
1.- Se aprueba el i ni ci o de l as etapas i mportantes del proyecto? Si .
1,00
2.- Se comuni ca a todos l os i nteresados? Si . 1,00
3.- La aprobaci n de l a fase i ni ci al est basada en l as deci si ones de
gobi erno del programa?
Si .
1,00
4.- La aprobaci n de l as fases subsi gui entes estn basadas en l a
revi si n y aceptaci n de l os entregabl es de l a fase previ a?
Si .
1,00
5.- En fases trasl apadas, est establ eci do un punto de aprobaci n por
parte de l os patroci nadores del programa y del proyecto, para autori zar
as el avance del proyecto?
Si .
1,00
1.- Exi ste un pl an aprobadp para el proyecto que gui e l a ejecuci n y el
control del proyecto a l o l argo de l a vi da de ste?
Si .
1,00
2.- Estn entendi das l as acti vi dades e i nterdependenci as de ml ti pl es
proyectos dentro de un mi smo programa?
Si . Antes no haba una pl ani fi caci n, pero
hoy exi ste un pl an de apl i caci n generada
por cada especi al i sta que se consol i da en un
pl an i ntegrado.
1,00
3.- Estn documentadas l as acti vi dades e i nterdependenci as de
ml ti pl es proyectos dentro de un mi smo programa?
Si . Antes no haba una pl ani fi caci n, pero
hoy exi ste un pl an de apl i caci n generada
por cada especi al i sta que se consol i da en un
pl an i ntegrado.
1,00
4.- El pl an del proyecto se manti ene a l o l argo de l a vi da del mi smo? Si . 1,00
5.- El pl an del proyecto, y l as modi fi caci ones a ste, se aprueban de
acuerdo al marco de trabajo de gobi erno del programa y del proyecto?
Si .
1,00
1.- Estn defi ni das l as responsabi l i dades, rel aci ones, autori dades y
cri teri os de desempeo de l os mi embros del equi po del proyecto?
Si .
1,00
2.- Se especi fi ca l as bases para adqui ri r y asi gnar a l os mi embros
competentes del equi po y/o a l os contrati stas al proyecto?
Si .
1,00
3.- Se pl anea y admi ni stra l a obtenci n de productos y servi ci os
requeri dos para cada proyecto?
Si .
1,00
4.- Se uti l i zan l as prcti cas de adqui si ci n de l a organi zaci n? Si .
1,00
1.- Exi ste un proceso si stemti co que el i mi ne o mi ni mi ce ri esgos
especi fi cos asoci ados con l os proyectos i ndi vi dual es?
Si .
1,00
2.- Estn establ eci dos y regi strados de forma central l os ri esgos
afrontados por el proceso de admi ni straci n de proyectos y el producto
entregabl e del proyecto?
Si . Se el abora un contrato en el que se
i ncl uyen cl ausul as que contempl e esto y se l o
supervi sa medi ante actas de trabajo hasta el
cumpl i mi ento fi nal del mi smo.
1,00
1.- Se cuenta con un pl an de admi ni straci n de l a cal i dad que descri ba
el si stema de cal i dad del proyecto y cmo ser i mpl antado?
Si .
1,00
2.- Se revi sa este pl an y se acuerda de manera formal por todas l as
partes i nteresadas para l uego ser i ncorporado en el pl an i ntegrado del
proyecto?
Si .
1,00
1.- Exi ste un si stema de control de cambi os para cada proyecto? Si . Si cambi a el escenari o antes de l a
pl ani fi caci n como al go i mpredeci bl e.
1,00
2.- Estos cambi os (Ej. costos, cronograma, al cance y cal i dad) se revi san,
aprueben e i ncorporan apropi adamente al pl an i ntegrado del proyecto?
Si .
1,00
1.- Estn i denti fi cadas l as tareas de asegurami ento requeri das para
apoyar l a acredi taci n de si stemas nuevos o modi fi cados durante l a
pl aneaci n del proyecto?
Si .
1,00
2.- Estn i ncl ui dos en el pl an i ntegrado? Si . 1,00
3.- Las tareas proporci onan l a seguri dad de que l os control es i nternos y
l as caractersti cas de seguri dad sati sfagan l os requeri mi entos defi ni dos?
Si .
1,00
1.- Se mi de el desempeo del proyecto contra l os cri teri os cl ave del
proyecto (Ej. al cance, cronograma, cal i dad, costos y ri esgos)?
Si , medi ante actas de trabajo.
1,00
2.- Se i denti fi ca l as desvi aci ones con respecto al pl an? Si . 1,00
3.- Se eval a su i mpacto sobre el proyecto? Si . 1,00
4.- Se eval a su i mpacto sobre el programa gl obal ? Si . 1,00
5.- Se reportan l os resul tados a l os i nteresados cl ave? Si . 1,00
6.- Se recomi enda l as medi das correcti vas, segn sea requeri do, de
acuerdo con el marco de trabajo de gobi erno del proyecto?
Si .
1,00
7.- Se i mpl ementa l as medi das correcti vas? Si . 1,00
8.- Se moni torea l as medi das correcti vas? Si . 1,00
1.- Al fi nal de cada proyecto, l os i nteresados se cerci oran de que el
proyecto haya proporci onado l os resul tados y l os benefi ci os esperados?
Si . Se l o hace medi ante l a fi rma de un acta de
entrega-recepci on provi si onal , despues de 30
di as si no hay probl emas se el abora el acta
de entrega-recepci on defi ni ti va y se paga por
medi o del departamento l egal .
1,00
2.- Se comuni ca cual qui er acti vi dad requeri da para al canzar l os
resul tados pl aneados del proyecto y l os benefi ci os del programa?
Si .
1,00
3.- Se documenta l as l ecci ones aprendi das para ser usadas en futuros
proyectos y programas?
No se documenta, pero si pi ensan que deben
hacerl o.
0,00
Identi fi car l as tareas de asegurami ento requeri das para
apoyar l a acredi taci n de si stemas nuevos o modi fi cados
durante l a pl aneaci n del proyecto e i ncl ui rl os en el pl an
i ntegrado. Las tareas deben proporci onar l a seguri dad de
que l os control es i nternos y l as caractersti cas de seguri dad
sati sfagan l os requeri mi entos defi ni dos.
D
e
f
i
n
i
r

e

i
m
p
l
e
m
e
n
t
a
r

m
t
o
d
o
s

d
e

a
s
e
g
u
r
a
m
i
e
n
t
o

y

r
e
v
i
s
i
n

d
e

p
r
o
y
e
c
t
o
s
.
P
O
1
0
.
1
3

-

M
e
d
i
c
i
n

d
e
l

D
e
s
e
m
p
e
o
,

R
e
p
o
r
t
e

y

M
o
n
i
t
o
r
e
o

d
e
l

P
r
o
y
e
c
t
o
.
Medi r el desempeo del proyecto contra l os cri teri os cl ave
del proyecto (Ej. al cance, cronograma, cal i dad, costos y
ri esgos); i denti fi car l as desvi aci ones con respecto al pl an;
eval uar su i mpacto sobre el proyecto y sobre el programa
gl obal ; reportar l os resul tados a l os i nteresados cl ave; y
recomendar, Impl ementar y moni torear l as medi das
correcti vas, segn sea requeri do, de acuerdo con el marco de
trabajo de gobi erno del programa y del proyecto.
D
e
f
i
n
i
r

e

i
m
p
l
e
m
e
n
t
a
r

m
t
o
d
o
s

d
e

a
s
e
g
u
r
a
m
i
e
n
t
o

y

r
e
v
i
s
i
n

d
e

p
r
o
y
e
c
t
o
s
.
P
O
1
0
.
1
4

-

C
i
e
r
r
e

d
e
l

P
r
o
y
e
c
t
o
.
Sol i ci tar que al fi nal i zar cada proyecto, l os i nteresados del
proyecto se cerci oren de que el proyecto haya proporci onado
l os resul tados y l os benefi ci os esperados. Identi fi car y
comuni car cual qui er acti vi dad rel evante requeri da para
al canzar l os resul tados pl aneados del proyecto y l os
benefi ci os del programa, e i denti fi car y documentar l as
l ecci ones aprendi das a ser usadas en futuros proyectos y
programas.
P
L
A
N
E
A
R

Y

O
R
G
A
N
I
Z
A
R
P
O
1
0

-

A
d
m
i
n
i
s
t
r
a
r

P
r
o
y
e
c
t
o
s
.
*
A
s
e
g
u
r
a
r

l
a

p
a
r
t
i
c
i
p
a
c
i
n

y

c
o
m
p
r
o
m
i
s
o

d
e

l
o
s

i
n
t
e
r
e
s
a
d
o
s

d
e
l

p
r
o
y
e
c
t
o
.

*
A
s
e
g
u
r
a
r

e
l

c
o
n
t
r
o
l

e
f
e
c
t
i
v
o

d
e

l
o
s

p
r
o
y
e
c
t
o
s

y

d
e

l
o
s

c
a
m
b
i
o
s

a

p
r
o
y
e
c
t
o
s
.
P
O
1
0
.
4

-

C
o
m
p
r
o
m
i
s
o

d
e

l
o
s

I
n
t
e
r
e
s
a
d
o
s
.
Obtener el compromi so y l a parti ci paci n de l os i nteresados
afectados en l a defi ni ci n y ejecuci n del proyecto dentro del
contexto del programa gl obal de i nversi ones faci l i tadas por
TI.
C O B I T
P
O
1
0
.
9

-

A
d
m
i
n
i
s
t
r
a
c
i
n

d
e

R
i
e
s
g
o
s

d
e
l

P
r
o
y
e
c
t
o
.
El i mi nar o mi ni mi zar l os ri esgos especfi cos asoci ados con
l os proyectos i ndi vi dual es por medi o de un proceso
si stemti co de pl aneaci n, i denti fi caci n, anl i si s,
respuesta, moni toreo y control de l as reas o eventos que
tengan el potenci al de ocasi onar cambi os no deseados. Los
ri esgos afrontados por el proceso de admi ni straci n de
proyectos y el producto entregabl e del proyecto se deben
establ ecer y regi strar de forma central .
D
e
f
i
n
i
r

e

i
m
p
l
e
m
e
n
t
a
r

m
t
o
d
o
s

d
e

a
s
e
g
u
r
a
m
i
e
n
t
o

y

r
e
v
i
s
i
n

d
e

p
r
o
y
e
c
t
o
s
.
P
O
1
0
.
1
0

-

P
l
a
n

d
e

C
a
l
i
d
a
d

d
e
l

P
r
o
y
e
c
t
o
.
Preparar un pl an de admi ni straci n de l a cal i dad que
descri ba el si stema de cal i dad del proyecto y cmo ser
i mpl antado. El pl an debe ser revi sado y acordado de manera
formal por todas l as partes i nteresadas para l uego ser
i ncorporado en el pl an i ntegrado del proyecto.
D
e
f
i
n
i
r

e

i
m
p
l
e
m
e
n
t
a
r

m
t
o
d
o
s

d
e

a
s
e
g
u
r
a
m
i
e
n
t
o

y

r
e
v
i
s
i
n

d
e

p
r
o
y
e
c
t
o
s
.
P
O
1
0
.
1
1

-

C
o
n
t
r
o
l

d
e

C
a
m
b
i
o
s

d
e
l

P
r
o
y
e
c
t
o
.
Establ ecer un si stema de control de cambi os para cada
proyecto, de tal modo que todos l os cambi os a l a l nea base
del proyecto (Ej. costos, cronograma, al cance y cal i dad) se
revi sen, aprueben e i ncorporen de manera apropi ada al pl an
i ntegrado del proyecto, de acuerdo al marco de trabajo de
gobi erno del programa y del proyecto.
D
e
f
i
n
i
r

e

i
m
p
l
e
m
e
n
t
a
r

m
t
o
d
o
s

d
e

a
s
e
g
u
r
a
m
i
e
n
t
o

y

r
e
v
i
s
i
n

d
e

p
r
o
y
e
c
t
o
s
.
P
O
1
0
.
5

-

D
e
c
l
a
r
a
c
i
n

d
e

A
l
c
a
n
c
e

d
e
l

P
r
o
y
e
c
t
o
.
Defi ni r y documentar l a natural eza y al cance del proyecto
para confi rmar y desarrol l ar, entre l os i nteresados, un
entendi mi ento comn del al cance del proyecto y cmo se
rel aci ona con otros proyectos dentro del programa gl obal de
i nversi ones faci l i tadas por TI. La defi ni ci n se debe aprobar
de manera formal por parte de l os patroci nadores del
programa y del proyecto antes de i ni ci ar el proyecto.
D
e
f
i
n
i
r

e

i
m
p
l
e
m
e
n
t
a
r

m
t
o
d
o
s

d
e

a
s
e
g
u
r
a
m
i
e
n
t
o

y

r
e
v
i
s
i
n

d
e

p
r
o
y
e
c
t
o
s
.
P
O
1
0
.
6

-

I
n
i
c
i
o

d
e

l
a
s

F
a
s
e
s

d
e
l

P
r
o
y
e
c
t
o
.
Aprobar el i ni ci o de l as etapas i mportantes del proyecto y
comuni carl o a todos l os i nteresados. La aprobaci n de l a
fase i ni ci al se debe basar en l as deci si ones de gobi erno del
programa. La aprobaci n de l as fases subsi gui entes se debe
basar en l a revi si n y aceptaci n de l os entregabl es de l a
fase previ a, y l a aprobaci n de un caso de negoci o
actual i zado en l a prxi ma revi si n i mportante del programa.
En el caso de fases trasl apadas, se debe establ ecer un punto
de aprobaci n por parte de l os patroci nadores del programa
y del proyecto, para autori zar as el avance del proyecto.
D
e
f
i
n
i
r

e

i
m
p
l
e
m
e
n
t
a
r

m
t
o
d
o
s

d
e

a
s
e
g
u
r
a
m
i
e
n
t
o

y

r
e
v
i
s
i
n

d
e

p
r
o
y
e
c
t
o
s
.
P
O
1
0
.
1
2

-

P
l
a
n
e
a
c
i
n

d
e
l

P
r
o
y
e
c
t
o

y

M
t
o
d
o
s

d
e

A
s
e
g
u
r
a
m
i
e
n
t
o
.
D
e
f
i
n
i
r

e

i
m
p
l
e
m
e
n
t
a
r

m
t
o
d
o
s

d
e

a
s
e
g
u
r
a
m
i
e
n
t
o

y

r
e
v
i
s
i
n

d
e

p
r
o
y
e
c
t
o
s
.
P
O
1
0
.
8

-

R
e
c
u
r
s
o
s

d
e
l

P
r
o
y
e
c
t
o
.
Defi ni r l as responsabi l i dades, rel aci ones, autori dades y
cri teri os de desempeo de l os mi embros del equi po del
proyecto y especi fi car l as bases para adqui ri r y asi gnar a l os
mi embros competentes del equi po y/o a l os contrati stas al
proyecto. La obtenci n de productos y servi ci os requeri dos
para cada proyecto se debe pl anear y admi ni strar para
al canzar l os objeti vos del proyecto, usando l as prcti cas de
adqui si ci n de l a organi zaci n.
D
e
f
i
n
i
r

e

i
m
p
l
e
m
e
n
t
a
r

m
t
o
d
o
s

d
e

a
s
e
g
u
r
a
m
i
e
n
t
o

y

r
e
v
i
s
i
n

d
e

p
r
o
y
e
c
t
o
s
.
D
e
f
i
n
i
r

e

i
m
p
l
e
m
e
n
t
a
r

m
t
o
d
o
s

d
e

a
s
e
g
u
r
a
m
i
e
n
t
o

y

r
e
v
i
s
i
n

d
e

p
r
o
y
e
c
t
o
s
.
P
O
1
0
.
7

-

P
l
a
n

I
n
t
e
g
r
a
d
o

d
e
l

P
r
o
y
e
c
t
o
.
Establ ecer un pl an i ntegrado para el proyecto, aprobado y
formal (que cubra l os recursos de negoci o y de l os si stemas
de i nformaci n) para gui ar l a ejecuci n y el control del
proyecto a l o l argo de l a vi da del ste. Las acti vi dades e
i nterdependenci as de ml ti pl es proyectos dentro de un
mi smo programa se deben entender y documentar. El pl an del
proyecto se debe mantener a l o l argo de l a vi da del mi smo. El
pl an del proyecto, y l as modi fi caci ones a ste, se deben
aprobar de acuerdo al marco de trabajo de gobi erno del
programa y del proyecto.

103

D
O
M
I
N
I
O
P
R
O
C
E
S
O
S
A
C
T
I
V
I
D
A
D
E
S

D
E
L

P
R
O
C
E
S
O
O
B
J
E
T
I
V
O
S

D
E

C
O
N
T
R
O
L
C
A
L
I
F
I
C
A
C
I
N
1.- Se i denti fi ca l os requeri mi entos funci onal es del negoci o que cubran
el al cance compl eto de l os programas de i nversi n en TI?
Si . Lo hace l a persona que reci be l as
l l amadas, i denti fi ca si l o cumpl en. Se basa en
el presupuesto que se el abora en Novi embre
de cada ao para el si gui ente ao, en el se
i ncl uyen todos l os requeri mi entos de TI (tanto
de i nversi n como de operaci n).
1,00
2.- Se i denti fi ca l os requeri mi entos tcni cos del negoci o que cubran el
al cance compl eto de l os programas de i nversi n en TI?
Si .
1,00
3.- Se pri ori za l os requeri mi entos funci onal es del negoci o que cubran el
Si esta pri ori zado en base a un estudi o para
l a el aboraci n del presupuesto.
1,00
4.- Se pri ori za l os requeri mi entos tcni cos del negoci o que cubran el
Si .
1,00
5.- Se especi fi ca l os requeri mi entos funci onal es del negoci o que cubran
el al cance compl eto de l os programas de i nversi n en TI?
Si .
1,00
6.- Se especi fi ca l os requeri mi entos tcni cos del negoci o que cubran el
Si .
1,00
7.- Se acorda l os requeri mi entos funci onal es del negoci o que cubran el
Si cubren todo el al cance.
1,00
8.- Se acorda l os requeri mi entos tcni cos del negoci o que cubran el
Si .
1,00
1.- Se Identi fi ca l os ri esgos asoci ados con l os requeri mi entos del negoci o
como parte de l os procesos organi zaci onal es para el desarrol l o de l os
requeri mi entos?
Si . Se regi stra en una base de datos , se
i mpri me y se ati ende. Se eval ua el ri esgo
antes de hacer el presupuesto.
1,00
2.- Se i denti fi ca l os ri esgos asoci ados con el di seo de sol uci ones como
parte de l os procesos organi zaci onal es para el desarrol l o de l os
requeri mi entos?
Si .
1,00
3.- Se documenta l os ri esgos asoci ados con l os requeri mi entos del
negoci o?
Si .
1,00
4.- Se anal i za l os ri esgos asoci ados con l os requeri mi entos del negoci o? Si . 1,00
1.- Se desarrol l a un estudi o de facti bi l i dad que exami ne l a posi bi l i dad de
i mpl ementar l os requeri mi entos?
No por el momento. Lo van a i mpl ementar.
Los proyectos no han estado sal i endo con un
formato de anl i si s. Se establ ece en el
momento el ri esgo, l a uti l i dad, etc.
0,00
2.- La admi ni straci n del negoci o, apoyada por l a funci n de TI eval a l a
facti bi l i dad?
Desde Marzo se est haci endo l evantami ento
de funci ones. Hay cambi os en l a actual i dad y
an no estn establ eci dos procedi mi entos
defi ni dos.
0,00
3.- La admi ni straci n del negoci o, apoyada por l a funci n de TI eval a
l os cursos al ternati vos de acci n?
No.
0,00
4.- La admi ni straci n del negoci o, apoyada por l a funci n de TI real i za
recomendaci ones al patroci nador del negoci o?
No.
0,00
1.- El patroci nador del negoci o aprueba l os requi si tos funci onal es de
negoci o?
Como rea de tecnol oga se est bajo l a
Gerenci a General . No se hace nada si no est
aprobado en al gn i nforme o comuni cado de
l a gerenci a.
1,00
2.- El patroci nador del negoci o aprueba l os requi si tos tcni cos de
negoci o?
Si .
1,00
3.- El patroci nador del negoci o autori za l os requi si tos funci onal es de
negoci o?
Si .
1,00
4.- El patroci nador del negoci o autori za l os requi si tos tcni cos de
negoci o?
Si .
1,00
5.- El patroci nador del negoci o aprueba l os reportes del estudi o de
facti bi l i dad en l as etapas cl ave predetermi nadas?
Si , ver respuesta anteri or
1,00
6.- El patroci nador del negoci o autori za l os reportes del estudi o de
facti bi l i dad en l as etapas cl ave predetermi nadas?
Si , ver respuesta anteri or
1,00
1.- Se traduce l os requeri mi entos del negoci o a una especi fi caci n de
di seo de al to ni vel para l a adqui si ci n de software?
No hay formato, no hay documento.
0,00
2.- Las especi fi caci ones de di seo son aprobadas por l a Gerenci a? Sol o a traves de comuni cados o i nformes de
l a gerenci a general .
0,50
3.- Se reeval a l os requeri mi entos cuando sucedan di screpanci as
si gni fi cati vas tcni cas durante el desarrol l o o manteni mi ento.?
Si , se reeval a l os requeri mi entos aunque si n
procedi mi entos, sol o l eyendo l os pedi dos.
Ejempl o, pi den Autocad para el rea de
despacho, se eval ua si real mente l o necesi tan
o no, se l o hace de manera i nformal porque
no hay cumpl i mi ento de procedi mi entos en
general para todas l as cosas.
0,50
4.- Se reeval a l os requeri mi entos cuando sucedan di screpanci as
si gni fi cati vas l gi cas durante el desarrol l o o manteni mi ento.?
Si .
0,50
1. Se prepara el di seo detal l ado del software de apl i caci n? Los requeri mi ento son sol i ci tados por l os
usuari os, el departamento de TI anal i za l a
facti bi l i dad tcni ca de esos requeri mi entos y
se asi entan en un acta de requeri mi ento que
son fi rmadas por l os usuari os i nvol ucrados.
1,00
2. Se prepara l os requeri mi entos tcni cos del software de apl i caci n? Si . 1,00
3.- Se defi ne el cri teri o de aceptaci n de l os requeri mi entos? Se defi ne en parte a trves del mdul o de
soporte y medi ante el acta.
0,50
4.- Se aprueba l os requeri mi entos para garanti zar que corresponden al
di seo de al to ni vel ?
Si . Son aprobados por l os usuari os y por el
departamento de TI, (El especi al i sta en
apl i cati vos y l a Especi al i sta en base de datos
y apl i cati vos).
1,00
5.- Se real i za reeval uaci ones cuando sucedan di screpanci as
si gni fi cati vas tcni cas durante el desarrol l o o manteni mi ento del Software
de apl i caci n?
Si se real i zan reeval uaci ones, en el caso de
adqui si ci n de sofware hay contratos con
parmetros hay una base tcni ca y de l o
contrari o se l o hace con el personal i nterno
en base a procedi mi entos establ eci dos con
soporte tcni co coordi nado con l ogsti ca.
1,00
6.- Se real i za reeval uaci ones cuando sucedan di screpanci as
si gni fi cati vas l gi cas durante el desarrol l o o manteni mi ento del Software
de apl i caci n?
Si .
1,00
1.- Se i mpl ementa control es de negoci o cuando apl i que, en control es de
apl i caci n automati zados?
Se real i zan audi toras al departamento,
(audi tora i nterna) medi ante documentos se
l as anal i za y se l as i mpl ementa.
1,00
2.-El procesami ento de l os control es de negoci o son exactos? Si son exactos. 1,00
3.- El procesami ento de l os control es de negoci o son compl etos? Si son compl etas. Real i zan audi tori as
compl etas tres veces al ao.
1,00
4.- El procesami ento de l os control es de negoci o son oportunos? Si son oportunos. (audi tori a bases, procesos,
etc.).
1,00
5.- El procesami ento de l os control es de negoci o son autori zados? Si son autori zados por el audi tor i nterno de l a
empresa junto con el departamento de TI a
ni vel de l a Empresa de Producci n. Para el
Baan l o hacen a ni vel corporati vo desde
Qui to as como l o rel aci onado a base de
datos o cual qui er contrato o proceso que se
maneje corporati vamente.
1,00
6.- El procesami ento de l os control es de negoci o son audi tabl es? Si son audi tabl es. 1,00
T
r
a
d
u
c
i
r

l
o
s

r
e
q
u
e
r
i
m
i
e
n
t
o
s

d
e
l

n
e
g
o
c
i
o

e
n

e
s
p
e
c
i
f
i
c
a
c
i
o
n
e
s

d
e

d
i
s
e
o

d
e

a
l
t
o

n
i
v
e
l
.
A
I
2
.
1

-

D
i
s
e
o

d
e

A
l
t
o

N
i
v
e
l
.
Traduci r l os requeri mi entos del negoci o a una especi fi caci n
de di seo de al to ni vel para l a adqui si ci n de software,
teni endo en cuenta l as di recti vas tecnol gi cas y l a
arqui tectura de i nformaci n dentro de l a organi zaci n. Tener
aprobadas l as especi fi caci ones de di seo por gerenci a para
garanti zar que el di seo de al to ni vel responde a l os
requeri mi entos. Reeval uar cuando sucedan di screpanci as
si gni fi cati vas tcni cas o l gi cas durante el desarrol l o o
manteni mi ento.
P
r
e
p
a
r
a
r

d
i
s
e
o

d
e
t
a
l
l
a
d
o

y

l
o
s

r
e
q
u
e
r
i
m
i
e
n
t
o
s

t
c
n
i
c
o
s

d
e
l

s
o
f
t
w
a
r
e

a
p
l
i
c
a
t
i
v
o
.
A
I
2
.
2

-

D
i
s
e
o

D
e
t
a
l
l
a
d
o
.
Preparar el di seo detal l ado y l os requeri mi entos tcni cos
del software de apl i caci n. Defi ni r el cri teri o de aceptaci n
de l os requeri mi entos. Aprobar l os requeri mi entos para
garanti zar que corresponden al di seo de al to ni vel . Real i zar
reeval uaci ones cuando sucedan di screpanci as si gni fi cati vas
tcni cas o l gi cas durante el desarrol l o o manteni mi ento.
P
r
e
p
a
r
a
r

d
i
s
e
o

d
e
t
a
l
l
a
d
o

y

l
o
s

r
e
q
u
e
r
i
m
i
e
n
t
o
s

t
c
n
i
c
o
s

d
e
l

s
o
f
t
w
a
r
e

a
p
l
i
c
a
t
i
v
o
.
A
I
2
.
3

-

C
o
n
t
r
o
l

y

P
o
s
i
b
i
l
i
d
a
d

d
e

A
u
d
i
t
a
r

l
a
s

A
p
l
i
c
a
c
i
o
n
e
s
.
Impl ementar control es de negoci o, cuando apl i que, en
control es de apl i caci n automati zados tal que el
procesami ento sea exacto, compl eto, oportuno, autori zado y
audi tabl e.
C O B I T
A
I
1

-

I
d
e
n
t
i
f
i
c
a
r

s
o
l
u
c
i
o
n
e
s

a
u
t
o
m
a
t
i
z
a
d
a
s
.
D
e
f
i
n
i
r

l
o
s

r
e
q
u
e
r
i
m
i
e
n
t
o
s

f
u
n
c
i
o
n
a
l
e
s

y

t
c
n
i
c
o
s

d
e
l

n
e
g
o
c
i
o
.

*
E
s
t
a
b
l
e
c
e
r

p
r
o
c
e
s
o
s

p
a
r
a

l
a

i
n
t
e
g
r
i
d
a
d
/
v
l
i
d
e
z

d
e

l
o
s

r
e
q
u
e
r
i
m
i
e
n
t
o
s
.

A
I
1
.
1

-

D
e
f
i
n
i
c
i
n

y

M
a
n
t
e
n
i
m
i
e
n
t
o

d
e

l
o
s

R
e
q
u
e
r
i
m
i
e
n
t
o
s

T
c
n
i
c
o
s

y

F
u
n
c
i
o
n
a
l
e
s

d
e
l

N
e
g
o
c
i
o
.
Identi fi car, dar pri ori dades, especi fi car y acordar l os
requeri mi entos de negoci o funci onal es y tcni cos que cubran
el al cance compl eto de todas l as i ni ci ati vas requeri das para
l ograr l os resul tados esperados de l os programas de
i nversi n en TI.
I
d
e
n
t
i
f
i
c
a
r
,

d
o
c
u
m
e
n
t
a
r

y

a
n
a
l
i
z
a
r

e
l

r
i
e
s
g
o

d
e
l

p
r
o
c
e
s
o

d
e

n
e
g
o
c
i
o
.
A
I
1
.
2

-

R
e
p
o
r
t
e

d
e

A
n
l
i
s
i
s

d
e

R
i
e
s
g
o
s
.
Identi fi car, documentar y anal i zar l os ri esgos asoci ados con
l os requeri mi entos del negoci o y di seo de sol uci ones como
parte de l os procesos organi zaci onal es para el desarrol l o de
l os requeri mi entos.
E
v
a
l
u
a
r

l
o
s

b
e
n
e
f
i
c
i
o
s

d
e

n
e
g
o
c
i
o

d
e

l
a
s

s
o
l
u
c
i
o
n
e
s

p
r
o
p
u
e
s
t
a
s
.
A
I
1
.
3

-

E
s
t
u
d
i
o

d
e

F
a
c
t
i
b
i
l
i
d
a
d

y

F
o
r
m
u
l
a
c
i
n

d
e

C
u
r
s
o
s

d
e

A
c
c
i
n

A
l
t
e
r
n
a
t
i
v
o
s
.
Desarrol l ar un estudi o de facti bi l i dad que exami ne l a
posi bi l i dad de Impl ementar l os requeri mi entos. La
admi ni straci n del negoci o, apoyada por l a funci n de TI,
debe eval uar l a facti bi l i dad y l os cursos al ternati vos de
acci n y real i zar recomendaci ones al patroci nador del
negoci o.
C
o
n
d
u
c
i
r

u
n

e
s
t
u
d
i
o

d
e

f
a
c
t
i
b
i
l
i
d
a
d
/
e
v
a
l
u
a
c
i
n

d
e

i
m
p
a
c
t
o

c
o
n

r
e
s
p
e
c
t
o

a

l
a

i
m
p
l
a
n
t
a
c
i
n

d
e

l
o
s

r
e
q
u
e
r
i
m
i
e
n
t
o
s

d
e

n
e
g
o
c
i
o

p
r
o
p
u
e
s
t
o
s
.

*
E
l
a
b
o
r
a
r

u
n

p
r
o
c
e
s
o

d
e

a
p
r
o
b
a
c
i
n

d
e

r
e
q
u
e
r
i
m
i
e
n
t
o
s
.

*
A
p
r
o
b
a
r

y

A
u
t
o
r
i
z
a
r

s
o
l
u
c
i
o
n
e
s

p
r
o
p
u
e
s
t
a
s
.
A
I
1
.
4

-

R
e
q
u
e
r
i
m
i
e
n
t
o
s
,

D
e
c
i
s
i
n

d
e

F
a
c
t
i
b
i
l
i
d
a
d

y

A
p
r
o
b
a
c
i
n
.
Veri fi car que el proceso requi ere al patroci nador del negoci o
para aprobar y autori za l os requi si tos de negoci o, tanto
funci onal es como tcni cos, y l os reportes del estudi o de
facti bi l i dad en l as etapas cl ave predetermi nadas. El
patroci nador del negoci o ti ene l a deci si n fi nal con respecto
a l a el ecci n de l a sol uci n y al enfoque de adqui si ci n.
A
D
Q
U
I
R
I
R

E

I
M
P
L
E
M
E
N
T
A
R
A
I
2

-

A
d
q
u
i
r
i
r

y

m
a
n
t
e
n
e
r

s
o
f
t
w
a
r
e

a
p
l
i
c
a
t
i
v
o
.

104

D
O
M
I
N
I
O
P
R
O
C
E
S
O
S
A
C
T
I
V
I
D
A
D
E
S

D
E
L

P
R
O
C
E
S
O
O
B
J
E
T
I
V
O
S

D
E

C
O
N
T
R
O
L
C
A
L
I
F
I
C
A
C
I
N
1.- Se aborda l a seguri dad de l as apl i caci ones? Si se aborda. Los audi tores ti enen su propi a
metodol oga, veri fi can l os rol es que ti enen l os
usuari os, apl i caci ones, nmero de
conexi ones y accesi bi l i dad. El l os ti enen
pol i ti cas de manejo de cl aves para todos l os
apl i cati vos.
1,00
2.- Se aborda l os requeri mi entos de di sponi bi l i dad en respuesta a l os
ri esgos i denti fi cados?
Si ,Los audi tores eval an que l as
recomendaci ones hayan si do i mpl ementadas. 1,00
3.- Se aborda l os requeri mentos en l nea con l a cl asi fi caci n de datos? Si , l o hacen en l i nea. 1,00
4.- Se aborda l a arqui tectura de l a i nformaci n? Eso l o hacen poco. No audi tan model o de
datos, i ntegri dad referenci al , a ese ni vel no
l l egan l as audi toras.
0,00
5.- Se aborda l a arqui tectura de seguri dad de l a i nformaci n? No. 0,00
6.- Se aborda l a tol eranci a a ri esgos de l a organi zaci n.? Si l o audi tan. 1,00
1.- Se confi gura el software de apl i caci ones adqui ri das para consegui r
l os objeti vos de negoci o?
Si , todos l os si stemas son parametri zabl es,
una vez comprado,se personal i za y
parametri za de acuerdo a l as necesi dades de
l a empresa, tanto software como hardware.
Se l o real i za en el rea tcni ca pero a travs
de l os especi al i stas de l os apl i cati vos y bases
de datos. El l os di sponen y el rea ejecuta.
1,00
2.- Se i mpl ementa software de apl i caci ones adqui ri das para consegui r
l os objeti vos de negoci o?
Si . Por ejempl o el BAAN es una apl i caci n
adqui ri da. Los especi al i stas de l os
apl i cati vos y bases de datos tambi en
i mpl ementan.
1,00
1.- Se real i zan cambi os i mportantes a l os si stemas exi stentes que
resul ten cambi os si gni fi cati vos al di seo actual ?
Si se real i zan mejoras. Estas van de acuerdo a
l as necesi dades de cada departamento y que
adems ayuden a mejorar el negoci o. Los
especi al i stas de l os apl i cati vos y bases de
datos coordi nan y anal i zan l os cambi os
i mportantes a l os si stemas.
1,00
2.- Se real i zan cambi os i mportantes a l os si stemas exi stentes que
resul ten cambi os si gni fi cati vos en su funci onal i dad?
Ver respuesta anteri or
1,00
3.- Se si gue un proceso de desarrol l o si mi l ar al empl eado en l os si stemas
exi stentes para el desarrol l o de si stemas nuevos?
Si . Usan el ci cl o de vi da cl si co para l a
i mpl ementaci n de todos l os si stemas.
1,00
1.- Se garanti za que l a funci onal i dad de automati zaci n se desarrol l a de
acuerdo con l as especi fi caci ones de di seo?
Si , est supervi sado por el Hol di ng Di nner.
El l os real i zan audi toras y constantemente
moni torean por medi o de actas de trabajo y
actas de requeri mi ento en donde l os usuari os
dan l as especi fi caci ones de l o que desean y
esto se pl asma en un documento opci n x
opci n y se fi rma usuari os, gerentes de reas,
jefes i nvol ucrados y tecnol oga.
1,00
acuerdo l os estndares de desarrol l o y documentaci n?
La jefatura de TI se encarga de l a
admi ni straci on de Power Bui l der y Mi crosoft
y Autocad son admi ni strados por l os
tecni cos de soporte. Los especi al i stas de
apl i cati vos y base de datos se encargan del
desarrol l o de 4ta. generaci n y l a
programaci on ori entado a objetos.
1,00
acuerdo a l os requeri mi entos de cal i dad y estndares de aprobaci n.?
Las pruebas se hacen de cal i dad y de
rendi mi entos pero no estan regi das a ni ngn
standar o a metodol oga reconoci da.
0,50
4.- Se asegura que todos l os aspectos l egal es se i denti fi can y di recci onan
para el software apl i cati vo desarrol l ado por terceros.?
Si , medi ante contrato establ eci do por medi o
de asesori a juri di ca en caso de compra de
sofware, en el contrato se especi fi ca ti empo,
entregabl es en conjunto con TI, en el caso de
desarrol l o, l o que hace es de 3 maneras,
actas de requeri mi ento, entrega
(provi si onal es y defi ni ti vas) todas fi rmadas
por ambas partes ese es el respal do.
1,00
5.- Se asegura que todos l os aspectos contractual es se i denti fi can y
di recci onan para el software apl i cati vo desarrol l ado por terceros.?
Si .
1,00
1.- Se desarrol l a un pl an de asegurami ento de cal i dad del software? No ti enen pl an, hay pl anes de prueba, se
cogen casos cri ti cos y con eso se hace l a
prueba, pero pl an de cal i dad con
procedi nmi entos establ eci dos no hay.
0,00
2.- Se Impl ementa l os recursos de un pl an de asegurami ento de cal i dad
del software?
ver respuesta anteri or
0,00
3.- Se ejecuta un pl an de asegurami ento de cal i dad del software? ver respuesta anteri or 0,00
1. Se si gue el estado de l os requeri mi entos i ndi vi dual es durante el
di seo, desarrol l o e i mpl ementaci n?
Si se l o si gue, se ha creado un si stema de
soporte tcni co, se regi stra el requerti mi ento,
se hace el segui mi ento y l a sol uci n,
si gui endo l os 3 ni vel es de servi ci o que ITIL
recomi enda, tel efoni co, correo y personal .
1,00
2.- Se si gue el estado de todos l os requeri mi entos rechazados durante el
di seo, desarrol l o e i mpl ementaci n.?
No se hace segui mi ento de l o rechazado.
0,00
3.- Se aprueba l os cambi os a l os requeri mi entos a travs de un proceso
de gesti n de cambi os establ eci do?
Si hay un proceso de gesti n, cuando un
si stema est en marcha si ti enen un
procedi mi ento. medi ante acta de
modi fi caci ones se establ ece cual es el
requeri mi ento que va a cambi ar y en que
afecta.
1,00
1.- Se desarrol l a una estrategi a para el manteni mi ento de apl i caci ones
de software?
Apl i can el mi smo ci cl o de vi da, desde
anal i zar hasta apl i car l a sol uci n.
1,00
2.-Se desarrol l a un pl an para el manteni mi ento de apl i caci ones de
software.?
No hay pl an.
0,00
A
D
Q
U
I
R
I
R

E

I
M
P
L
E
M
E
N
T
A
R
D
e
s
a
r
r
o
l
l
a
r

u
n

p
l
a
n

p
a
r
a

e
l

m
a
n
t
e
n
i
m
i
e
n
t
o

d
e

a
p
l
i
c
a
c
i
o
n
e
s

d
e

s
o
f
t
w
a
r
e
.
A
I
2
.
1
0

-

M
a
n
t
e
n
i
m
i
e
n
t
o

d
e

S
o
f
t
w
a
r
e

A
p
l
i
c
a
t
i
v
o
.
Desarrol l ar una estrategi a y un pl an para el manteni mi ento
de apl i caci ones de software.
A
I
2

-

A
d
q
u
i
r
i
r

y

m
a
n
t
e
n
e
r

s
o
f
t
w
a
r
e

a
p
l
i
c
a
t
i
v
o
.
D
e
s
a
r
r
o
l
l
a
r

l
a
s

m
e
t
o
d
o
l
o
g
a
s

y

p
r
o
c
e
s
o
s

f
o
r
m
a
l
e
s

p
a
r
a

a
d
m
i
n
i
s
t
r
a
r

e
l

p
r
o
c
e
s
o

d
e

d
e
s
a
r
r
o
l
l
o

d
e

l
a

a
p
l
i
c
a
c
i
n
.
A
I
2
.
7

-

D
e
s
a
r
r
o
l
l
o

d
e

S
o
f
t
w
a
r
e

A
p
l
i
c
a
t
i
v
o
.
Garanti zar que l a funci onal i dad de automati zaci n se
desarrol l a de acuerdo con l as especi fi caci ones de di seo, l os
estndares de desarrol l o y documentaci n, l os
requeri mi entos de cal i dad y estndares de aprobaci n.
Asegurar que todos l os aspectos l egal es y contractual es se
i denti fi can y di recci onan para el software apl i cati vo
desarrol l ado por terceros.
C
r
e
a
r

u
n

p
l
a
n

d
e

a
s
e
g
u
r
a
m
i
e
n
t
o

d
e

l
a

c
a
l
i
d
a
d

d
e
l

s
o
f
t
w
a
r
e

p
a
r
a

e
l

p
r
o
y
e
c
t
o
.
A
I
2
.
8

-

A
s
e
g
u
r
a
m
i
e
n
t
o

d
e

l
a

C
a
l
i
d
a
d

d
e
l

S
o
f
t
w
a
r
e
.
Desarrol l ar, Impl ementar l os recursos y ejecutar un pl an de
asegurami ento de cal i dad del software, para obtener l a
cal i dad que se especi fi ca en l a defi ni ci n de l os
requeri mi entos y en l as pol ti cas y procedi mi entos de cal i dad
de l a organi zaci n.
D
a
r

s
e
g
u
i
m
i
e
n
t
o

y

a
d
m
i
n
i
s
t
r
a
r

l
o
s

r
e
q
u
e
r
i
m
i
e
n
t
o
s

d
e

l
a

a
p
l
i
c
a
c
i
n
.
A
I
2
.
9

-

A
d
m
i
n
i
s
t
r
a
c
i
n

d
e

l
o
s

R
e
q
u
e
r
i
m
i
e
n
t
o
s

d
e

A
p
l
i
c
a
c
i
o
n
e
s
.
Segui r el estado de l os requeri mi entos i ndi vi dual es
(i ncl uyendo todos l os requeri mi entos rechazados) durante el
di seo, desarrol l o e i mpl ementaci n, y aprobar l os cambi os
a l os requeri mi entos a travs de un proceso de gesti n de
cambi os establ eci do.
C O B I T
E
s
p
e
c
i
f
i
c
a
r

l
o
s

c
o
n
t
r
o
l
e
s

d
e

a
p
l
i
c
a
c
i
n

d
e
n
t
r
o

d
e
l

d
i
s
e
o
.
A
I
2
.
4

-

S
e
g
u
r
i
d
a
d

y

D
i
s
p
o
n
i
b
i
l
i
d
a
d

d
e

l
a
s

A
p
l
i
c
a
c
i
o
n
e
s
.
Abordar l a seguri dad de l as apl i caci ones y l os
requeri mi entos de di sponi bi l i dad en respuesta a l os ri esgos
i denti fi cados y en l nea con l a cl asi fi caci n de datos, l a
arqui tectura de l a i nformaci n, l a arqui tectura de seguri dad
de l a i nformaci n y l a tol eranci a a ri esgos de l a
organi zaci n.
P
e
r
s
o
n
a
l
i
z
a
r

e

i
m
p
l
e
m
e
n
t
a
r

l
a

f
u
n
c
i
o
n
a
l
i
d
a
d

a
u
t
o
m
a
t
i
z
a
d
a

a
d
q
u
i
r
i
d
a
.
A
I
2
.
5

-

C
o
n
f
i
g
u
r
a
c
i
n

e

I
m
p
l
a
n
t
a
c
i
n

d
e

S
o
f
t
w
a
r
e

A
p
l
i
c
a
t
i
v
o

A
d
q
u
i
r
i
d
o
.
Confi gurar e i mpl ementar software de apl i caci ones
adqui ri das para consegui r l os objeti vos de negoci o.
P
e
r
s
o
n
a
l
i
z
a
r

e

i
m
p
l
e
m
e
n
t
a
r

l
a

f
u
n
c
i
o
n
a
l
i
d
a
d

a
u
t
o
m
a
t
i
z
a
d
a

a
d
q
u
i
r
i
d
a
.
A
I
2
.
6

-

A
c
t
u
a
l
i
z
a
c
i
o
n
e
s

I
m
p
o
r
t
a
n
t
e
s

e
n

S
i
s
t
e
m
a
s

E
x
i
s
t
e
n
t
e
s
.
En caso de cambi os i mportantes a l os si stemas exi stentes que
resul ten en cambi os si gni fi cati vos al di seo actual y/o
funci onal i dad, segui r un proceso de desarrol l o si mi l ar al
empl eado para el desarrol l o de si stemas nuevos.

105

D
O
M
I
N
I
O
P
R
O
C
E
S
O
S
A
C
T
I
V
I
D
A
D
E
S

D
E
L

P
R
O
C
E
S
O
O
B
J
E
T
I
V
O
S

D
E

C
O
N
T
R
O
L
C
A
L
I
F
I
C
A
C
I
N
1.- Se genera un pl an para adqui ri r l a i nfraestructura tecnol gi ca? No cuentan con un pl an para reuni rse y
veri fi car el requeri mi ento del usuari o. Por
pol ti ca del rea TI cada 2 Aos se cambi an
l os equi pos, se puede deci r que con este
anl i si s aproxi madamente el 20% del parte
tecnol gi co es candi dato a cambi o, en esta
pl ani fi caci n puede haber di sti nci n en
ti empo ya que se depende de otras reas y de
proveedores.
0,00
2.- Se i mpl ementa el pl an para adqui ri r l a i nfraestructura tecnol gi ca? Si .
1,00
3.- Se manti ene el pl an para adqui ri r l a i nfraestructura tecnol gi ca que
sati sfaga l os requeri mi entos establ eci dos funci onal es del negoci o, y que
est de acuerdo con l a di recci n tecnol gi ca de l a organi zaci n?
Si se eval a, se real i za una coti zaci n y el
departamento de adqui si ci ones aprueba l a
compra a travs de un cmi te.
1,00
4.- Se manti ene el pl an para adqui ri r l a i nfraestructura tecnol gi ca que
sati sfaga l os requeri mi entos establ eci dos tcni cos del negoci o, y que est
de acuerdo con l a di recci n tecnol gi ca de l a organi zaci n?
S.
1,00
5.- El pl an consi dera extensi ones futuras para adi ci ones de capaci dad,
costos de transi ci n, ri esgos tecnol gi cos y vi da ti l de l a i nversi n para
actual i zaci ones de tecnol oga?
No hay un documento de pl ani fi caci n que
abarque estos temas. 0,00
6.- Se eval a l os costos de compl eji dad del proveedor? Es i ndependi ente del proceso de l a compra, el
rea de TI no eval a al proveedor, este es un
proceso de l ogi sti ca.
1,00
7.- Se eval a l os costos de l a vi abi l i dad comerci al del proveedor y el
producto al aadi r nueva capaci dad tcni ca?
1,00
1.- Se Impl ementa medi das de control i nterno, seguri dad y audi tabi l i dad
durante l a confi guraci n de l a i nfraestructura para proteger l os recursos
y garanti zar su di sponi bi l i dad e i ntegri dad?
Si se l o hace a ni vel de desarrol l o y de
producci n, cuando es necesari o se crea base
de datos para hacer pruebas a l os apl i cati vos
para no afectar el proceso en l i nea una vez
probado se envi a l os apl i cati vos al Ing.
Orel l ana encargado de l os servi dores para
que l os pase a l os servi dores de producci n.
Del hardware no se hace, el software
desarrol l adores de apl i cati vos y Base de
Datos.
1,00
durante l a i ntegraci n de l a i nfraestructura para proteger l os recursos y
garanti zar su di sponi bi l i dad e i ntegri dad?
1,00
durante el manteni mi ento del hardware y del software de l a
i nfraestructura para proteger l os recursos y garanti zar su di sponi bi l i dad
e i ntegri dad?
1,00
4.- Se defi ne cl aramente l as responsabi l i dades al uti l i zar componentes
de i nfraestructura sensi ti vos por todos aquel l os que desarrol l an e
i ntegran l os componentes de i nfraestructura?
Si cada especi al i sta es reponsabl e del manejo
del componente de i nfraestructura sensi ti vo
de cada uno de l os procesos.
1,00
5.- Se comprende cl aramente l as responsabi l i dades al uti l i zar
componentes de i nfraestructura sensi ti vos por todos aquel l os que
desarrol l an e i ntegran l os componentes de i nfraestructura?
S cada especi al i sta ti ene asi gnado l as
responsabi l i dades de sus procesos. 1,00
6.- Se moni torea el uso del recurso de i nfraestructura? Se moni torea, se hace un manteni mi ento
preventi vo, mas o menos cada 4 meses a l os
equi pos, (servi dores, equi pos de
usuari os,etc).
1,00
7.- Se eval a el uso del recurso de i nfraestructura? No se eval a. 0,00
1.- Se desarrol l a una estrategi a para el manteni mi ento de l a
i nfraestrucutura?
Si se desarrol l a, cumpl en un cronograma de
acuerdo el reporte de Hel p Desk.
1,00
2.- Se desarrol l a un pl an de manteni mi ento de l a i nfraestructura? A Ni vel de equi pos de computaci n. Son
servi ci os que estan terceri zados.
1,00
3.- La estrategi a desarrol l ada para el manteni mi ento de l a
i nfraestructura garanti za que se control an l os cambi os, de acuerdo con el
procedi mi ento de admi ni straci n de cambi os de l a organi zaci n?
Si se garanti za pero no hay documentaci n
pero si hay anl i si s. 0,50
4.- El pl an desarrol l ado para el Manteni mi ento de l a Infraestructura
garanti za que se control an l os cambi os, de acuerdo con el procedi mi ento
de admi ni straci n de cambi os de l a organi zaci n?
0,50
5.- El pl an de Manteni mi ento de l a Infraestructura i ncl uye una revi si n
peri di ca contra l as necesi dades del negoci o?
No hay.
0,00
peri di ca contra l a admi ni straci n de parches?
Desarrol l adores de apl i cati vos y Base de
Datos se encargan en que versi ones estan
desarrol l adas l as apl i caci ones, Si hay
actual i zaci ones, todo es con l i cenci a no hay
nada pi rata.
1,00
peri di ca contra l as estrategi as de actual i zaci n?
Se hace un moni tori eo preventi vo, se hace un
di agnosti co para ver prosi bl es probl emas e
i mpl ementar al guna mejora.
1,00
peri di ca contra l os ri esgos?
No se l o hace, no manejan matri z de ri esgo
0,00
peri di ca contra l a eval uaci n de vul nerabi l i dades?
No hay pl an, l o hacen obl i gados por audi tori a
por l os eventos que se presentan para i r
sol uci onando l as cosas.
0,00
peri di ca contra l os requeri mi entos de seguri dad?
No.
0,00
1.- Se establ ece el ambi ente de desarrol l o de l as apl i caci ones? Si cumpl en,cuando se adqui ere un apl i cati vo
o un software real i zan un peri odo de prueba,
Carl os Orel l ana, Davi d Gui l l en y soporte.
1,00
2.- Se establ ece el ambi ente de pruebas de l as apl i caci ones? Si se cumpl e. 1,00
3.- Se consi dera l a funci onal i dad de l as apl i caci ones en el ambi ente de
adqui si ci n y desarrol l o?
Si se consi dera cuando hay cambi os l o hacen
en un sol o reposi tori o y es fci l porque toda
l a empresa se actual i za, en l os cambi os de
versi ones es i gual .
1,00
4.- Se consi dera l a i ntegraci n de l as apl i caci ones en el ambi ente de
Si .
1,00
5.- Se consi dera el desempeo de l as apl i caci ones en el ambi ente de
Si .
1,00
6.- Se consi dera l a mi graci n entre ambi entes de l as apl i caci ones en el
ambi ente de adqui si ci n y desarrol l o?
Si .
1,00
7.- Se consi dera el control de l a versi ones de l as apl i caci ones en el
ambi ente de adqui si ci n y desarrol l o?
Si .
1,00
8.- Se consi dera l os datos y herrami entas de prueba de l as apl i caci ones
en el ambi ente de adqui si ci n y desarrol l o?
Si .
1,00
9.- Se consi dera l a seguri dad de l as apl i caci ones en el ambi ente de
Si .
1,00
10.- Se consi dera l a confi guraci n de hardware y software de l a
i nfraestructura en el ambi ente de adqui si ci n y desarrol l o?
Si se consi dera Cuando hay cambi os l o hacen
en un sol o reposi tori o y es faci l porque toda
l a empresa se actual i za, en l os cambi os de
versi ones es i gual .
1,00
C
o
n
f
i
g
u
r
a
r

c
o
m
p
o
n
e
n
t
e
s

d
e

l
a

i
n
f
r
a
e
s
t
r
u
c
t
u
r
a
.
A
I
3
.
4

-

A
m
b
i
e
n
t
e

d
e

P
r
u
e
b
a

d
e

F
a
c
t
i
b
i
l
i
d
a
d
.
Establ ecer el ambi ente de desarrol l o y pruebas para soportar
l a efecti vi dad y efi ci enci a de l as pruebas de facti bi l i dad e
i ntegraci n de apl i caci ones e i nfraestructura, en l as pri meras
fases del proceso de adqui si ci n y desarrol l o. Hay que
consi derar l a funci onal i dad, l a confi guraci n de hardware y
software, pruebas de i ntegraci n y desempeo, mi graci n
entre ambi entes, control de l a versi ones, datos y
herrami entas de prueba y seguri dad.
A
I
3

-

A
d
q
u
i
r
i
r

y

m
a
n
t
e
n
e
r

i
n
f
r
a
e
s
t
r
u
c
t
u
r
a

t
e
c
n
o
l
g
i
c
a
.
A
D
Q
U
I
R
I
R

E

I
M
P
L
E
M
E
N
T
A
R
D
e
f
i
n
i
r

e
l

p
r
o
c
e
d
i
m
i
e
n
t
o
/

p
r
o
c
e
s
o

d
e

a
d
q
u
i
s
i
c
i
n
.
A
I
3
.
2

-

P
r
o
t
e
c
c
i
n

y

D
i
s
p
o
n
i
b
i
l
i
d
a
d

d
e
l

R
e
c
u
r
s
o

d
e

I
n
f
r
a
e
s
t
r
u
c
t
u
r
a
.
Impl ementar medi das de control i nterno, seguri dad y
audi tabi l i dad durante l a confi guraci n, i ntegraci n y
manteni mi ento del hardware y del software de l a
i nfraestructura para proteger l os recursos y garanti zar su
di sponi bi l i dad e i ntegri dad. Se deben defi ni r y comprender
cl aramente l as responsabi l i dades al uti l i zar componentes de
i nfraestructura sensi ti vos por todos aquel l os que desarrol l an
e i ntegran l os componentes de i nfraestructura. Se debe
moni torear y eval uar su uso.
D
e
f
i
n
i
r

e
s
t
r
a
t
e
g
i
a

y

p
l
a
n
e
a
r

e
l

m
a
n
t
e
n
i
m
i
e
n
t
o

d
e

i
n
f
r
a
e
s
t
r
u
c
t
u
r
a
.

A
I
3
.
3

-

M
a
n
t
e
n
i
m
i
e
n
t
o

d
e

l
a

I
n
f
r
a
e
s
t
r
u
c
t
u
r
a
.
Desarrol l ar una estrategi a y un pl an de manteni mi ento de l a
i nfraestructura y garanti zar que se control an l os cambi os, de
acuerdo con el procedi mi ento de admi ni straci n de cambi os
de l a organi zaci n. Incl ui r una revi si n peri di ca contra l as
necesi dades del negoci o, admi ni straci n de parches y
estrategi as de actual i zaci n, ri esgos, eval uaci n de
vul nerabi l i dades y requeri mi entos de seguri dad.
N
e
g
o
c
i
a
r

l
a

c
o
m
p
r
a

y

a
d
q
u
i
r
i
r

l
a

i
n
f
r
a
e
s
t
r
u
c
t
u
r
a

r
e
q
u
e
r
i
d
a

c
o
n

p
r
o
v
e
e
d
o
r
e
s
(
a
p
r
o
b
a
d
o
s
)
.
A
I
3
.
1

-

P
l
a
n

d
e

A
d
q
u
i
s
i
c
i
n

d
e

I
n
f
r
a
e
s
t
r
u
c
t
u
r
a

T
e
c
n
o
l
g
i
c
a
.
Generar un pl an para adqui ri r, Impl ementar y mantener l a
i nfraestructura tecnol gi ca que sati sfaga l os requeri mi entos
establ eci dos funci onal es y tcni cos del negoci o, y que est de
acuerdo con l a di recci n tecnol gi ca de l a organi zaci n. El
pl an debe consi derar extensi ones futuras para adi ci ones de
capaci dad, costos de transi ci n, ri esgos tecnol gi cos y vi da
ti l de l a i nversi n para actual i zaci ones de tecnol oga.
Eval uar l os costos de compl eji dad y l a vi abi l i dad comerci al
del proveedor y el producto al aadi r nueva capaci dad
tcni ca.
C O B I T

106

D
O
M
I
N
I
O
P
R
O
C
E
S
O
S
A
C
T
I
V
I
D
A
D
E
S

D
E
L

P
R
O
C
E
S
O
O
B
J
E
T
I
V
O
S

D
E

C
O
N
T
R
O
L
C
A
L
I
F
I
C
A
C
I
N
1.- Se desarrol l a un pl an donde se i denti fi que todos l os aspectos
tcni cos, l a capaci dad de operaci n y l os ni vel es de servi ci o requeri dos
en l as apl i caci ones?
No cuentan con un pl an, A ni vel de apl i cati vos
se hace manual de usuari os y manual tecni co,
se esta trabajando en una base de
conoci mi ento en un servi dor para en caso de
ausenci a todos tengan acceso y puedan
sol uci onar cual qui er i nconveni ente que
normal mente l o hara l a persona ausente.
0,50
2.- Se desarrol l a un pl an donde se documente todos l os aspectos
en l as apl i caci ones?
Si , ver respuesta anteri or.
0,50
3.- Se desarrol l a un pl an donde se i denti fi que todos l os aspectos
en l a i nfraestructura?
0,50
4.- Se desarrol l a un pl an donde se documente todos l os aspectos
en l a i nfraestructura?
0,50
1.- Se transfi ere el conoci mi ento de l os si stemas a l a gerenci a de l a
empresa?
Se entrega en forma general a l a gerenci a l o
que es benefi ci o. Si se entrega, el pl an
estrategi co de si stemas est hecho en base al
pl an estratgi co de l a empresa.
1,00
2.- Se transfi ere el conoci mi ento de l os datos de l a apl i caci n a l a
gerenci a de l a empresa?
Si .
1,00
3.- Se i ncl uye en l a transferenci a del conoci mi ento l a aprobaci n de
acceso de l as apl i caci ones e i nfraestructura?
Si guen l a l i nea de Hol di ng Di ne pero basadas
en l as necesi dades de Empresa. Cada 15 das,
se l e i nforma a l a GG sobre equi pos, permi sos
para i nversi n. proyectos, permi sos para
ci ertos pri vi l egi os.
1,00
4.- Se i ncl uye en l a transferenci a del conoci mi ento l a admi ni straci n de
pri vi l egi os de l as apl i caci ones e i nfraestructura?
Si .
1,00
5.- Se i ncl uye en l a transferenci a del conoci mi ento l a segregaci n de
tareas de l as apl i caci ones e i nfraestructura?
Si .
1,00
6.- Se i ncl uye en l a transferenci a del conoci mi ento l os control es
automati zados del negoci o de l as apl i caci ones e i nfraestructura?
Si .
1,00
7.- Se i ncl uye en l a transferenci a del conoci mi ento el
respal do/recuperaci n de l as apl i caci ones e i nfraestructura?
Si .
1,00
8.- Se i ncl uye en l a transferenci a del conoci mi ento l a seguri dad fsi ca de
l as apl i caci ones e i nfraestructura?
Si .
1,00
9.- Se i ncl uye en l a transferenci a del conoci mi ento el archi vo de l a
documentaci n fuente de l as apl i caci ones e i nfraestructura?
Si .
1,00
1.- Se mejora l a transferenci a de conoci mi ento para permi ti r que l os
usuari os fi nal es uti l i cen con efecti vi dad y efi ci enci a el si stema de
apl i caci n como apoyo a l os procesos del negoci o?
Si real i zan a traves de l a capaci taci on del jefe
y el a su vez transmi te al resto del personal . 1,00
2.- Se mejora l as habi l i dades para permi ti r que l os usuari os fi nal es
uti l i cen con efecti vi dad y efi ci enci a el si stema de apl i caci n como apoyo
a l os procesos del negoci o.?
Si .
1,00
3.- Se i ncl uye en l a transferenci a de conoci mi ento el desarrol l o de un
pl an de entrenami ento?
Si real i zan en l i nea vi a remota con vi rtual
network conecti on , manual es de
usuari o,procedi mi ento no, asi stenci a a
usuari os y son dadas por el personal de TI.
1,00
1.- Se capaci ta al personal de operaci ones en rel aci n a l as apl i caci ones
e i nfraestructura atendi endo a l os requeri mi entos de l os usuari os de
manera efecti va y efi ci ente?
Se l o hace de forma verbal , no hay
procedi mi entos. Estan retomando o queri endo
formal i zar el proceso establ eci endo el
procedi mi ento.
0,50
2.- Se capaci ta al personal tcni co en rel aci n a l as apl i caci ones e
i nfraestructura atendi endo a l os requeri mi entos de l os usuari os de
manera efecti va y efi ci ente?
Si , en parte.
0,50
3.- Se i ncl uye en el entrenami ento i ni ci al y conti nuo, el desarrol l o de l as
habi l i dades del personal de soporte tcni co y de operaci ones?
Si .
1,00
4.- Se i ncl uye en el entrenami ento i ni ci al y conti nuo, l os materi al es de
entrenami ento en el desarrol l o de l as habi l i dades del personal de soporte
tcni co y de operaci ones?
Si .
1,00
5.- Se i ncl uye en el entrenami ento i ni ci al y conti nuo, l os manual es de
operaci n en el desarrol l o de l as habi l i dades del personal de soporte
tcni co y de operaci ones?
No.
0,00
5.- Se i ncl uye en el entrenami ento i ni ci al y conti nuo, l os manual es de
procedi mi entos en el desarrol l o de l as habi l i dades del personal de
soporte tcni co y de operaci ones?
No hay procedi mi ento.
0,00
7.- Se i ncl uye en el entrenami ento i ni ci al y conti nuo, l os escenari os de
atenci n al usuari o en el desarrol l o de l as habi l i dades del personal de
soporte tcni co y de operaci ones?
Si .
1,00
1.- Se adqui ere i nstal aci ones para el rea de TI? Si , (presupuesto) 1,00
2.- Se adqui ere hardware para el rea de TI? Si . 1,00
3.- Se adqui ere software para el rea de TI? Si . 1,00
4.- Se adqui ere servi ci os necesari os por el negoci o para el rea de TI? Si . 1,00
5.- Se desarrol l a y se si gue un conjunto de procedi mi entos y estndares
consi stente con el proceso general de adqui si ci ones de l a organi zaci n?
No
0,00
6.- Se desarrol l a y se si gue un conjunto de procedi mi entos y estndares
consi stente con l a estrategi a de adqui si ci n?
No
0,00
1.- Se formul a un procedi mi ento para establ ecer contratos para todos l os
proveedores?
Sal i r a convocatori a, se defi ne l o que se va a
generar el contrato, l as ofertas y documentos,
adi ci onal deben presentarse a sobre cerrado,
mi ni mo tres propuesta de oferta. Es facti bl e
tener mas proveedores, mi den l a parte
soci al (todos l os trabajadores q esten
gozando el seguro), medi o ambi ente(dentro de
sus proceso cumpl an con el medi o ambi ente.)
fi nanci era(i nforme de l os estados de cuenta
bal ance), l as ofertas pueden haber
excepci ones de modi fi caci on en ese caso el
gerente general l l ega a un acuerdo con l a
responsabi l i dad de l a jefe de area, se
contacta al proveedor ganador y a l os que no
ganaron i gual se l os comuni ca.
1,00
2.- Se formul a un procedi mi ento para modi fi car contratos para todos l os
proveedores?
Si .
1,00
3.- Se formul a un procedi mi ento para concl ui r contratos para todos l os
proveedores?
Si .
1,00
4.- El procedi mi ento cubre l as responsabi l i dades y obl i gaci ones l egal es? Si cumpl en con todos l os parametros pi den
una pol i za de anti ci paci on el 10% del val or
del contrato.
1,00
5.- El procedi mi ento cubre l as responsabi l i dades y obl i gaci ones
fi nanci eras?
Si .
1,00
organi zaci onal es?
Si .
1,00
documental es?
Si .
1,00
8.- El procedi mi ento cubre l as responsabi l i dades y obl i gaci ones de
desempeo?
Si .
1,00
seguri dad?
Si .
1,00
propi edad i ntel ectual ?
Si .
1,00
11.- El procedi mi ento cubre l as responsabi l i dades de concl usi n? Si . 1,00
12.- Los contratos l as revi san l os asesores l egal es? Si pero l o hacen soportando con l os tecni cos
usuari o o supervi sores del contrato.
1,00
13.- Las modi fi caci ones a contratos l as revi san l os asesores l egal es? Si . 1,00
D
e
s
a
r
r
o
lla
r
p
o
lt
ic
a
s
y

p
r
o
c
e
d
im
ie
n
t
o
s
d
e

a
d
q
u
is
ic
i
n
d
e
T
I d
e

a
c
u
e
r
d
o
c
o
n
la
s
p
o
lit
ic
a
s

d
e
a
d
q
u
is
ic
io
n
e
s
a
n
iv
e
l
c
o
r
p
o
r
a
t
iv
o
.
A
I5
.1
-
C
o
n
t
r
o
l d
e

A
d
q
u
is
ic
i
n
.
Desarrol l ar y segui r un conjunto de procedi mi entos y
estndares consi stente con el proceso general de
adqui si ci ones de l a organi zaci n y con l a estrategi a de
adqui si ci n para adqui ri r i nfraestructura rel aci onada con TI,
i nstal aci ones, hardware, software y servi ci os necesari os por
el negoci o.
E
s
t
a
b
le
c
e
r
/
m
a
n
t
e
n
e
r
u
n
a
lis
t
a
d
e
p
r
o
v
e
e
d
o
r
e
s
a
c
r
e
d
it
a
d
o
s
.
A
I5
.2
-
A
d
m
in
is
t
r
a
c
i
n
d
e
C
o
n
t
r
a
t
o
s
c
o
n
P
r
o
v
e
e
d
o
r
e
s
.
Formul ar un procedi mi ento para establ ecer, modi fi car y
concl ui r contratos para todos l os proveedores. El
procedi mi ento debe cubri r, como mni mo, responsabi l i dades
y obl i gaci ones l egal es, fi nanci eras, organi zaci onal es,
documental es, de desempeo, de seguri dad, de propi edad
i ntel ectual y responsabi l i dades de concl usi n, as como
obl i gaci ones (que i ncl uyan cl usul as de penal i zaci n). Todos
l os contratos y l as modi fi caci ones a contratos l as deben
revi sar asesores l egal es.
A
I
5

-

A
d
q
u
i
r
i
r

r
e
c
u
r
s
o
s

d
e

T
I
.
D
e
s
a
r
r
o
lla
r
m
e
t
o
d
o
lo
g
a
d
e
t
r
a
n
s
f
e
r
e
n
c
ia
d
e
c
o
n
o
c
im
ie
n
t
o
.
A
I4
.2
-
T
r
a
n
s
f
e
r
e
n
c
ia
d
e
C
o
n
o
c
im
ie
n
t
o
a
la
G
e
r
e
n
c
ia
d
e
l N
e
g
o
c
io
.
Transferi r el conoci mi ento a l a gerenci a de l a empresa para
permi ti rl es tomar posesi n del si stema y l os datos y ejercer
l a responsabi l i dad por l a entrega y cal i dad del servi ci o, del
control i nterno, y de l os procesos admi ni strati vos de l a
apl i caci n. La transferenci a de conoci mi ento i ncl uye l a
aprobaci n de acceso, admi ni straci n de pri vi l egi os,
segregaci n de tareas, control es automati zados del negoci o,
respal do/recuperaci n, seguri dad fsi ca y archi vo de l a
documentaci n fuente.
D
e
s
a
r
r
o
lla
r
m
a
n
u
a
le
s
d
e

p
r
o
c
e
d
im
ie
n
t
o
d
e
l u
s
u
a
r
io

f
in
a
l. *
E
v
a
lu
a
r
lo
s

r
e
s
u
lt
a
d
o
s
d
e
l e
n
t
r
e
n
a
m
ie
n
t
o

y
a
m
p
lia
r
la
d
o
c
u
m
e
n
t
a
c
i
n

c
o
m
o
s
e
r
e
q
u
ie
r
a
.
A
I4
.3
-
T
r
a
n
s
f
e
r
e
n
c
ia
d
e

C
o
n
o
c
im
ie
n
t
o
a
U
s
u
a
r
io
s

F
in
a
le
s
.
Transferenci a de conoci mi ento y habi l i dades para permi ti r
que l os usuari os fi nal es uti l i cen con efecti vi dad y efi ci enci a
el si stema de apl i caci n como apoyo a l os procesos del
negoci o. La transferenci a de conoci mi ento i ncl uye el
desarrol l o de un pl an de entrenami ento que aborde al
entrenami ento i ni ci al y al conti nuo, as como el desarrol l o de
habi l i dades, materi al es de entrenami ento, manual es de
usuari o, manual es de procedi mi ento, ayuda en l nea,
asi stenci a a usuari os, i denti fi caci n del usuari o cl ave, y
eval uaci n.
D
e
s
a
r
r
o
lla
r
d
o
c
u
m
e
n
t
a
c
i
n
d
e
s
o
p
o
r
t
e
t
c
n
ic
a
p
a
r
a

o
p
e
r
a
c
io
n
e
s
y
p
e
r
s
o
n
a
l d
e
s
o
p
o
r
t
e
. *
D
e
s
a
r
r
o
lla
r
y
d
a
r

e
n
t
r
e
n
a
m
ie
n
t
o
.
A
I4
.4
-
T
r
a
n
s
f
e
r
e
n
c
ia
d
e
C
o
n
o
c
im
ie
n
t
o
a
l P
e
r
s
o
n
a
l d
e

O
p
e
r
a
c
io
n
e
s
y
S
o
p
o
r
t
e
.
Transferi r el conoci mi ento y l as habi l i dades para permi ti r al
personal de soporte tcni co y de operaci ones que entregue,
apoyen y mantenga l a apl i caci n y l a i nfraestructura
asoci ada de manera efecti va y efi ci ente de acuerdo a l os
ni vel es de servi ci o requeri dos. La transferenci a del
conoci mi ento debe i ncl ui r al entrenami ento i ni ci al y
conti nuo, el desarrol l o de l as habi l i dades, l os materi al es de
entrenami ento, l os manual es de operaci n, l os manual es de
procedi mi entos y escenari os de atenci n al usuari o.
D
e
s
a
r
r
o
lla
r
e
s
t
r
a
t
e
g
ia
p
a
r
a
q
u
e
la
s
o
lu
c
i
n
s
e
a

o
p
e
r
a
t
iv
a
.
A
I4
.1
-
P
la
n
p
a
r
a
S
o
lu
c
io
n
e
s
d
e
O
p
e
r
a
c
i
n
.
Desarrol l ar un pl an para i denti fi car y documentar todos l os
aspectos tcni cos, l a capaci dad de operaci n y l os ni vel es de
servi ci o requeri dos, de manera que todos l os i nteresados
puedan tomar l a responsabi l i dad oportunamente por l a
producci n de procedi mi entos de admi ni straci n, de usuari o
y operati vos, como resul tado de l a i ntroducci n o
actual i zaci n de si stemas automati zados o de
i nfraestructura.
C O B I T
A
I
4

-

F
a
c
i
l
i
t
a
r

l
a

o
p
e
r
a
c
i
n

y

e
l

u
s
o
.
A
D
Q
U
I
R
I
R

E

I
M
P
L
E
M
E
N
T
A
R

107

D
O
M
I
N
I
O
P
R
O
C
E
S
O
S
A
C
T
I
V
I
D
A
D
E
S

D
E
L

P
R
O
C
E
S
O
O
B
J
E
T
I
V
O
S

D
E

C
O
N
T
R
O
L
C
A
L
I
F
I
C
A
C
I
N
1.- Se sel ecci ona proveedores de acuerdo a una prcti ca justa y formal ? Si .
1,00
2.- Se sel ecci ona proveedores de acuerdo a una prcti ca formal ? Si . 1,00
3.- Los requeri mi entos estan opti mi zados con l as entradas de l os
proveedores potenci al es?
Si .
1,00
1.- Se protege l os i ntereses de l a organi zaci n en todo l os contratos de
adqui si ci ones de software?
Si .
1,00
adqui si ci ones de recursos de desarrol l o?
Si .
1,00
adqui si ci ones de i nfraestructura?
Si .
1,00
adqui si ci ones de servi ci os?
Si .
1,00
5.- Se hace cumpl i r l os i ntereses de l a organi zaci n en todo l os contratos
de adqui si ci ones de software?
Si .
1,00
de adqui si ci ones de recursos de desarrol l o?
Si .
1,00
de adqui si ci ones de i nfraestructura?
Si .
1,00
de adqui si ci ones de servi ci os?
Si .
1,00
1.- Se maneja de manera estndar todas l as sol i ci tudes para cambi os a
l as apl i caci ones?
Si se l o hace. El requeri mi ento l l ega a TI y se
l o resuel ve en unos casos y en otros se
contacta con el proveedor del apl i cati vo, l e
ponen fecha de entrega y se da el soporte.
1,00
l os procedi mi entos?
Si .
1,00
l os procesos?
Si .
1,00
l os parmetros de si stema?
Si .
1,00
l os servi ci os?
Si .
1,00
6.- En l as pl ataformas fundamental es se establ ecen procedi mi entos de
admi ni straci n de cambi o formal es?
No hay procedi mi entos.
0,00
1.- Se garanti za que todas l as sol i ci tudes de cambi o se eval an l os
i mpactos en el si stema operaci onal ?
Si se eval an.
1,00
2.- Se garanti za que todas l as sol i ci tudes de cambi o se eval an l os
i mpactos en el si stema en su funci onal i dad?
Si .
1,00
3.- La eval uaci n i ncl uye l a categori zaci n de l os cambi os? Si . 1,00
4.- La eval uaci n i ncl uye l a pri ori zaci n de l os cambi os? Si . 1,00
5.- Se autori zan l os cambi os en l a mi graci n haci a l a producci n de l as
apl i caci ones por l os i nteresados?
Si . Si el l os no fi rman, TI no procede a real i zar
l os cambi os.
1,00
1.- Se establ ece un proceso para defi ni r l os cambi os de emergenci a que
no si gan el proceso de cambi o establ eci do?
No hay procedi mi ento para emergenci as.
0,00
2.- Se establ ece un proceso para pl antear l os cambi os de emergenci a que
No.
0,00
3.- Se establ ece un proceso para eval uar l os cambi os de emergenci a que
No.
0,00
4.- Se establ ece un proceso para autori zar l os cambi os de emergenci a
que no si gan el proceso de cambi o establ eci do?
No.
0,00
5.- Se real i za l a documentaci n despus de l a i mpl antaci n del cambi o
de emergenci a?
Si .
1,00
6.- Se real i za l as pruebas despus de l a i mpl antaci n del cambi o de
emergenci a?
Si .
1,00
1.- Se establ ece un si stema de segui mi ento para mantener actual i zados a
l os sol i ci tantes de cambi o y a l os i nteresados rel evantes?
No se l o hace, pero se est trabajando para
que a travs del si stema el l os conozcan el
estado en el que se encuentra su
requeri mi ento.
0,00
2.- Se establ ece un si stema de reporte para mantener actual i zados a l os
sol i ci tantes de cambi o y a l os i nteresados rel evantes?
No.
0,00
1.- Se actual i za l os cambi os en l os si stemas? Si se actual i za el si stema asoci ado. 1,00
2.- Se actual i za l a documentaci n de usuari o? No, a veces se l o hace y otras no 0,50
3.- Se establ ece un proceso de revi si n para garanti zar l a i mpl antaci n
compl eta de l os cambi os?
Si . Se hace una revi si n presenci al en l a
prueba y una vez aprobado por el usuari o, se
efectua el cambi o y se l o envi a a producci on
por medi o del especi al i sta de i nfraestructura.
1,00
1.- Se entrena al personal de l os departamentos de usuari o afectados de
acuerdo con el pl an defi ni do de entrenami ento e i mpl antaci n de casa
proyecto de si stemas?
No hay pl an y no se l os entrena pero se dan
i ndi caci ones bsi cas de acuerdo al
requeri mi ento.
0,30
2.- Se entrena al grupo de operaci ones de l a funci n de TI de acuerdo con
el pl an defi ni do de entrenami ento e i mpl antaci n de cada proyecto de
si stemas?
No.
0,30
1.- Se establ ece un pl an de pruebas basado en l os estndares de l a
organi zaci n?
No cuentan con un pl an pero si se real i zan
pruebas.
0,50
2.- Dentro de l os estndares de l a organi zaci n se defi nen l os rol es? No hay estandares. 0,00
3.- Dentro de l os estndares de l a organi zaci n se defi nen l as
responsabi l i dades?
No.
0,00
4.- Dentro de l os estndares de l a organi zaci n se defi nen l os cri teri os
de entrada y sal i da?
No.
0,00
5.- Se asegura que el pl an est aprobado por l as partes rel evantes? Si se aprueban por l as partes. 1,00
1.- Se establ ece un pl an de i mpl antaci n y respal do y vuel ta atrs? Hay un cronograma de trabajo aprobado por
l os usuari os en el que se establ ece el ti empo
que l es va a tomar echar a andar el si stema.
En cuanto a respal do no hay procedi mi ento
establ eci do, se l o hace de manera i nformal ,
no est documentado el procedi mi ento. En l o
referente a base de datos y apl i cati vos se l o
hace pero no se documenta.
0,50
2.- Se obti ene l a aprobaci n de l as partes rel evantes? Si se l o hace. 1,00
1.- Se defi ne un entorno seguro de pruebas representati vo del entorno de
operaci ones?
Si se asegura de no afectar el entorno. Se l o
hace en un ambi ente de prueba y este no esta
basado en un estandar pero si cui dan de no
afectar l os datos.
0,50
2.- Se establ ece un entorno seguro de pruebas representati vo del entorno
de operaci ones?
En parte.
0,50
1.- Cuentan con un Pl an de conversi n de datos como parte de l os
mtodos de desarrol l o de l a organi zaci n?
No ti enen.
0,00
2.- Cuentan con una mi graci n de i nfraestructuras como parte de l os
mtodos de desarrol l o de l a organi zaci n?
No.
0,00
1.- Las Pruebas de cambi os i ndependi entemente estn de acuerdo con l os
pl anes de pruebas defi ni dos antes de l a mi graci n al entorno de
operaci ones?
No ti enen pl an de pruebas.
0,00
2.- Se asegura que el pl an de pruebas consi dera l a seguri dad? Si pero no cuentan con un pl an. 0,50
3.- Se asegura que el pl an de pruebas consi dera el desempeo? Si l o hacen pero no cuentan con el pl an. 0,50
A
I
5

-

A
d
q
u
i
r
i
r

r
e
c
u
r
s
o
s

d
e

T
I
.
A
I
6

-

A
d
m
i
n
i
s
t
r
a
r

c
a
m
b
i
o
s
.
A
I
7

-

I
n
s
t
a
l
a
r

y

a
c
r
e
d
i
t
a
r

s
o
l
u
c
i
o
n
e
s

y

c
a
m
b
i
o
s
.
E
j
e
c
u
t
a
r

l
a

c
o
n
v
e
r
s
a
c
i
n

d
e
l

s
i
s
t
e
m
a

y

l
a
s

p
r
u
e
b
a
s

d
e

i
n
t
e
g
r
a
c
i
n

e
n

a
m
b
i
e
n
t
e

A
I
7
.
5

-

C
o
n
v
e
r
s
i
n

d
e

S
i
s
t
e
m
a
s

y

D
a
t
o
s
.Pl an de conversi n de datos y mi graci n de i nfraestructuras
como parte de l os mtodos de desarrol l o de l a organi zaci n,
i ncl uyendo pi stas de audi tori a, respal do y vuel ta atrs.
E
s
t
a
b
l
e
c
e
r

a
m
b
i
e
n
t
e

d
e

p
r
u
e
b
a

y

c
o
n
d
u
c
i
r

p
r
u
e
b
a
s

d
e

a
c
e
p
t
a
c
i
n

f
i
n
a
l
e
s
.
A
I
7
.
6

-

P
r
u
e
b
a
s

d
e

C
a
m
b
i
o
s
.
Pruebas de cambi os i ndependi entemente en acuerdo con l os
pl anes de pruebas defi ni dos antes de l a mi graci n al entorno
de operaci ones. Asegurar que el pl an consi dera l a seguri dad
y el desempeo.
D
e
f
i
n
i
r

y

r
e
v
i
s
a
r

u
n
a

e
s
t
r
a
t
e
g
i
a

d
e

p
r
u
e
b
a

(
c
r
i
t
e
r
i
o

d
e

e
n
t
r
a
d
a

y

s
l
i
d
a
)

y

l
a

m
e
t
o
d
o
l
o
g
a

d
e

p
l
a
n

d
e

p
r
u
e
b
a

o
p
e
r
a
c
i
o
n
a
l
.
A
I
7
.
2

-

P
l
a
n

d
e

P
r
u
e
b
a
.
Establ ecer un pl an de pruebas basado en l os estndares de l a
organi zaci n que defi ne rol es, responsabi l i dades, y cri teri os
de entrada y sal i da. Asegurar que el pl an esta aprobado por
l as partes rel evantes.
C
o
n
s
t
r
u
i
r

y

m
a
n
t
e
n
e
r

u
n

r
e
p
o
s
i
t
o
r
i
o

d
e

r
e
q
u
i
r
i
m
i
e
n
t
o
s

d
e

n
e
g
o
c
i
o

y

t
c
n
i
c
o
s

y

c
a
s
o
s

d
e

p
r
u
e
b
a

p
a
r
a

s
i
s
t
e
m
a
s

a
c
r
e
d
i
t
a
d
o
s
.
A
I
7
.
3

-

P
l
a
n

d
e

I
m
p
l
a
n
t
a
c
i
n
.
Establ ecer un pl an de i mpl antaci n y respal do y vuel ta atrs.
Obtener aprobaci n de l as partes rel evantes.
E
s
t
a
b
l
e
c
e
r

a
m
b
i
e
n
t
e

d
e

p
r
u
e
b
a

y

c
o
n
d
u
c
i
r

p
r
u
e
b
a
s

d
e

a
c
e
p
t
a
c
i
n

f
i
n
a
l
e
s
.
A
I
7
.
4

-

A
m
b
i
e
n
t
e

d
e

P
r
u
e
b
a
.
Defi ni r y establ ecer un entorno seguro de pruebas
representati vo del entorno de operaci ones pl aneado rel ati vo
a seguri dad, control es i nternos, practi cas operati vos, cal i dad
de l os datos y requeri mi entos de pri vaci dad, y cargas de
trabajo.
A
u
t
o
r
i
z
a
r

c
a
m
b
i
o
s
.
A
I
6
.
4

-

S
e
g
u
i
m
i
e
n
t
o

y

R
e
p
o
r
t
e

d
e
l

E
s
t
a
t
u
s

d
e

C
a
m
b
i
o
.
Establ ecer un si stema de segui mi ento y reporte para
mantener actual i zados a l os sol i ci tantes de cambi o y a l os
i nteresados rel evantes, acerca del estatus del cambi o a l as
apl i caci ones, a l os procedi mi entos, a l os procesos,
parmetros del si stema y del servi ci o y l as pl ataformas
fundamental es.
A
d
m
i
n
i
s
t
r
a
r

y

d
i
s
e
m
i
n
a
r

l
a

i
n
f
o
r
m
a
c
i
n

r
e
l
e
v
a
n
t
e

r
e
f
e
r
e
n
t
e

a

c
a
m
b
i
o
s
.
A
I
6
.
5

-

C
i
e
r
r
e

y

D
o
c
u
m
e
n
t
a
c
i
n

d
e
l

C
a
m
b
i
o
.Si empre que se i mpl antan cambi os al si stema, actual i zar el
si stema asoci ado y l a documentaci n de usuari o y
procedi mi entos correspondi entes. Establ ecer un proceso de
revi si n para garanti zar l a i mpl antaci n compl eta de l os
cambi os.
C
o
n
s
t
r
u
i
r

y

r
e
v
i
s
a
r

p
l
a
n
e
s

d
e

i
n
v
e
s
t
i
g
a
c
i
n
.
A
I
7
.
1

-

E
n
t
r
e
n
a
m
i
e
n
t
o
.Entrenar al personal de l os departamentos de usuari o
afectados y al grupo de operaci ones de l a funci n de TI de
acuerdo con el pl an defi ni do de entrenami ento e
i mpl antaci n y a l os materi al es asoci ados, como parte de
cada proyecto de si stemas de l a i nformaci n de desarrol l o,
i mpl ementaci n o modi fi caci n.
D
e
s
a
r
r
o
l
l
a
r

e

i
m
p
l
e
m
e
n
t
a
r

u
n

p
r
o
c
e
s
o

p
a
r
a

r
e
g
i
s
t
r
a
r
,

e
v
a
l
u
a
r

y

d
a
r

p
r
i
o
r
i
d
a
d

e
n

f
o
r
m
a

c
o
n
s
i
s
t
e
n
t
e

a

l
a
s

s
o
l
i
c
i
t
d
e
s

d
e

c
a
m
b
i
o
.
A
I
6
.
1

-

E
s
t
n
d
a
r
e
s

y

P
r
o
c
e
d
i
m
i
e
n
t
o
s

p
a
r
a

C
a
m
b
i
o
s
.
Establ ecer procedi mi entos de admi ni straci n de cambi o
formal es para manejar de manera estndar todas l as
sol i ci tudes (i ncl uyendo manteni mi ento y parches) para
cambi os a apl i caci ones, procedi mi entos, procesos,
parmetros de si stema y servi ci o, y l as pl ataformas
fundamental es.
E
v
a
l
u
a
r

i
m
p
a
c
t
o

y

d
a
r

p
r
i
o
r
i
d
a
d

a

c
a
m
b
i
o
s

e
n

b
a
s
e

a

l
a
s

n
e
c
e
s
i
d
a
d
e
s

d
e
l

n
e
g
o
c
i
o
.
A
I
6
.
2

-

E
v
a
l
u
a
c
i
n

d
e

I
m
p
a
c
t
o
,

P
r
i
o
r
i
z
a
c
i
n

y

A
u
t
o
r
i
z
a
c
i
n
.
Garanti zar que todas l as sol i ci tudes de cambi o se eval an de
una estructurada manera en cuanto a i mpactos en el si stema
operaci onal y su funci onal i dad. Esta eval uaci n deber
i ncl ui r categori zaci n y pri ori zaci n de l os cambi os. Previ o a
l a mi graci n haci a producci n, l os i nteresados
correspondi entes autori zan l os cambi os.
G
a
r
a
n
t
i
z
a
r

q
u
e

c
u
a
l
q
u
i
e
r

c
a
m
b
i
o

c
r
t
i
c
o

y

d
e

e
m
e
r
g
e
n
c
i
a

s
i
g
u
e

e
l

p
r
o
c
e
s
o

a
p
r
o
b
a
d
o
.
A
I
6
.
3

-

C
a
m
b
i
o
s

d
e

E
m
e
r
g
e
n
c
i
a
.
Establ ecer un proceso para defi ni r, pl antear, eval uar y
autori zar l os cambi os de emergenci a que no si gan el proceso
de cambi o establ eci do. La documentaci n y pruebas se
real i zan, posi bl emente, despus de l a i mpl antaci n del
cambi o de emergenci a.
E
v
a
l
u
a
r

y

s
e
l
e
c
c
i
o
n
a
r

p
r
o
v
e
e
d
o
r
e
s

a

t
r
a
v
s

d
e

u
n

p
r
o
c
e
s
o

d
e

s
o
l
i
c
i
t
u
d

d
e

p
r
o
p
u
e
s
t
a

(
R
F
P
)
.
A
I
5
.
3

-

S
e
l
e
c
c
i
n

d
e

P
r
o
v
e
e
d
o
r
e
s
.
Sel ecci onar proveedores de acuerdo a una prcti ca justa y
formal para garanti zar l a mejor vi abl e y encajabl e segn l os
requeri mi entos especi fi cados. Los requeri mi entos deben estar
opti mi zados con l as entradas de l os proveedores potenci al es.
D
e
s
a
r
r
o
l
l
a
r

c
o
n
t
r
a
t
o
s

q
u
e

p
r
o
t
e
j
a
n

l
o
s

i
n
t
e
r
e
s
e
s

d
e

l
a

o
r
g
a
n
i
z
a
c
i
n
.

*
R
e
a
l
i
z
a
r

a
d
q
u
i
s
i
c
i
o
n
e
s

d
e

c
o
n
f
o
r
m
i
d
a
d

c
o
n

l
o
s

p
r
o
c
e
d
i
m
i
e
n
t
o
s

e
s
t
a
b
l
e
c
i
d
o
s
.
A
I
5
.
4

-

A
d
q
u
i
s
i
c
i
n

d
e

R
e
c
u
r
s
o
s

d
e

T
I
.
Proteger y hacer cumpl i r l os i ntereses de l a organi zaci n en
todo l os contratos de adqui si ci ones, i ncl uyendo l os derechos
y obl i gaci ones de todas l as partes en l os trmi nos
contractual es para l a adqui si ci n de software, recursos de
desarrol l o, i nfraestructura y servi ci os.
C O B I T
A
D
Q
U
I
R
I
R

E

I
M
P
L
E
M
E
N
T
A
R

108

D
O
M
I
N
I
O
P
R
O
C
E
S
O
S
A
C
T
I
V
I
D
A
D
E
S

D
E
L

P
R
O
C
E
S
O
O
B
J
E
T
I
V
O
S

D
E

C
O
N
T
R
O
L
C
A
L
I
F
I
C
A
C
I
N
1.- Se asegura que el dueo de proceso de negoci o eval a l os resul tados
de l os procesos de pruebas como determi na el pl an de pruebas?
No hay pl an pero si l o hacen
0,50
2.- Se asegura que l os i nteresados de TI eval an l os resul tados de l os
procesos de pruebas como determi na el pl an de pruebas?
Si se l o real i za empi ri camente.
0,50
3.- Se remedi a l os errores si gni fi cati vos i denti fi cados en el proceso de
pruebas?
Si .
1,00
4.- Se moni torea l a eval uaci n de l os procesos de prueba? Si . 1,00
5.- Se moni torea l a aprobaci n de l os procesos de prueba? Si . 1,00
1.- Se control a l a entrega de l os si stemas cambi ados a operaci ones,
manteni ndol o en l nea con el pl an de i mpl antaci n.?
Si .
1,00
2.- Se obti ene l a aprobaci n de l os i nteresados cl ave, tal es como
usuari os, dueo de si stemas y gerente de operaci ones cuando sea
apropi ado?
Si .
1,00
3.- Se ejecuta el si stema en paral el o con el vi ejo si stema por un ti empo? Si .
1,00
4.- Se compara el comportami ento y l os resul tados? Si . 1,00
1.- Se establ ece procedi mi entos en l nea con l os estndares de gesti n de
cambi os organi zaci onal es?
No cuentan con un software. Cuando el
usuari o presenta i nconveni entes y l o reporta,
l o ati enden.
0,50
2.- Se requi ere una revi si n posteri or a l a i mpl antaci n como conjunto
de sal i da en el pl an de i mpl ementaci n?
Si se hace.
1,00
1.- El marco de trabajo bri nda un proceso formal de admi ni straci n de
ni vel es de servi ci o entre el cl i ente y el prestador de servi ci o?
Si exi sten pero no es formal . Se ti ene pensado
i mpl ementar ITIL para real i zar procesos de
mejora, ya que l as reas no estan conformes
con el resul tado.
0,50
2.- El marco de trabajo manti ene una al i neaci n conti nua con l os
requeri mi entos y l as pri ori dades de negoci o?
No cuentan con un marco de trabajo.
0,00
3.- El marco de trabajo faci l i ta el entendi mi ento comn entre el cl i ente y
el (l os) prestador(es) de servi ci o?
No cuentan con un marco de trabajo.
0,00
4.- El marco de trabajo i ncl uye procesos para l a creaci n de
requeri mi entos de servi ci o?
No cuentan con marco de trabajo pero si con
SLAs.
0,50
5.- El marco de trabajo manti ene acuerdos de ni vel es de servi ci o (SLAs),
acuerdos de ni vel es de operaci n (OLAs) y l as fuentes de fi nanci ami ento?
No cuentan con Marco de Trabajo.
0,25
6.- El marco de trabajo defi ne l a estructura organi zaci onal para l a
admi ni straci n del ni vel de servi ci o i ncl uyendo l os rol es, tareas y
responsabi l i dades de l os proveedores externos e i nternos y de l os
cl i entes?
No cuentan con Marco de Trabajo.
0,00
C
o
n
s
t
r
u
i
r

u
n

c
a
t
l
o
g
o

d
e

s
e
r
v
i
c
i
o
s

d
e

T
I
.
D
S
1
.
2

-

D
e
f
i
n
i
c
i
n

d
e

S
e
r
v
i
c
i
o
s
.
Defi ni ci ones base de l os servi ci os de TI sobre l as
caractersti cas del servi ci o y l os requeri mi entos de negoci o,
organi zados y al macenados de manera central i zada por
medi o de l a i mpl antaci n de un enfoque de
catl ogo/portafol i o de servi ci os.
1.- Se defi nen l os servi ci os de TI sobre l as caractersti cas del servi ci o y
l os requeri mi entos de negoci o?
Si l o defi nen. Ti enen un sofware de soporte
donde regi stran en base de datos l os
requeri mi entos de l os usuari os as como l os
probl emas que el l os detectan. Hacen
segui mi ento de cada regi stro y de l as
sol uci ones y sacan reportes.
1,00
D
e
f
i
n
i
r

l
o
s

c
o
n
v
e
n
i
o
s

d
e

n
i
v
e
l
e
s

d
e

s
e
r
v
i
c
i
o

(
S
L
A
s
)

p
a
r
a

l
o
s

s
e
r
v
i
c
i
o
s

c
r
t
i
c
o
s

d
e

T
I
.
D
S
1
.
3

-

A
c
u
e
r
d
o
s

d
e

N
i
v
e
l
e
s

d
e

S
e
r
v
i
c
i
o
.
Defi ni r y acordar conveni os de ni vel es de servi ci o para todos
l os procesos crti cos de TI con base en l os requeri mi entos del
cl i ente y l as capaci dades en TI. Esto i ncl uye l os compromi sos
del cl i ente, l os requeri mi entos de soporte para el servi ci o,
mtri cas cual i tati vas y cuanti tati vas para l a medi ci n del
servi ci o fi rmado por l os i nteresados, en caso de apl i car, l os
arregl os comerci al es y de fi nanci ami ento, y l os rol es y
responsabi l i dades, i ncl uyendo l a revi si n del SLA. Los puntos
a consi derar son di sponi bi l i dad, confi abi l i dad, desempeo,
capaci dad de creci mi ento, ni vel es de soporte, pl aneaci n de
conti nui dad, seguri dad y restri cci ones de demanda.
1.- Exi sten acuerdos de conveni os de ni vel es de servi ci o para todos l os
procesos crti cos de TI?
1.- No exi ste un acuerdo de ni vel es de servi ci o
con el usuari o, si cuentan con SLAs
i mpl ementado por el especi al i sta en
apl i caci ones, pero fal ta i mpl ementar l os
parmetros al 100%. Esto est en proyecto.
0,50
1.- Se asegura que l os acuerdos de ni vel es de operaci n expl i quen cmo
sern entregados tcni camente l os servi ci os para soportar el (l os) SLA(s)
de manera pti ma?
Se l o hace pero si n consi derar ni ngn
estandar. 0,50
2.- Los OLAs especi fi can l os procesos tcni cos en trmi nos entendi bl es
para el proveedor?
No en su total i dad, sol o una parte.
0,50
3.- Los OLAs pueden soportar di versos SLAs? No tecni camente, l os soportan empri camente.
0,50
1.- Se moni torean conti nuamente l os cri teri os de desempeo
especi fi cados para el ni vel de servi ci o?
No se moni torean, sl o en el si stema se
veri fi can l os nuevos requeri mi entos.
0,50
2.- Los reportes sobre el cumpl i mi ento de l os ni vel es de servi ci o se
emi ten en un formato que sea entendi bl e para l os i nteresados?
Por ahora si , desde hace dos meses se emi ten
i nformes pero l os responsabes no i ngresan
i nformaci n.
1,00
3.- Las estadsti cas de moni toreo son anal i zadas para i denti fi car
tendenci as posi ti vas y negati vas tanto de servi ci os i ndi vi dual es como de
l os servi ci os en conjunto?
Todavi a no.
0,00
1.- Se revi san regul armente con l os proveedores i nternos l os acuerdos de
l os ni vel es de servi ci o y l os control es de apoyo?
No, una parte con l os proveedores externos
pero no formal mente.
0,50
2.- Se revi san regul armente con l os proveedores externos l os acuerdos de
l os ni vel es de servi ci o y l os control es de apoyo?
En parte.
0,50
1.- Se i denti fi can todos l os servi ci os de l os proveedores? Si , pero fal ta estructurar. Tener una sol a
matri z de tal forma que una persona pueda
saber a qui en l l amar cuando se presente un
i nconveni ente.
0,50
2.- Se categori zan l os de acuerdo al ti po de proveedor, si gni fi cado y
cri ti ci dad?
No.
0,00
3.- Se manti ene una documentaci n formal de rel aci ones tcni cas? No. 0,00
4.- Se manti ene una documentaci n formal de rel aci ones
No hay.
0,00
1.- Se formal i za el proceso de gesti n de rel aci ones con proveedores para
cada proveedor?
Habra que revi sar el requeri mento de
cal i fi caci n de proveedores. Logi sti ca debe de
eval uar l os proveedores, l o maneja a traves
del correo el ectrni co o por l l amadas
tel efni cas y si hay probl emas tratan de
habl ar con el gerente. Cuando es un nuevo
proveedor en el si stema BAAN se al macena
l os datos del proveedor, caso contrari o por
i nternet, otra opci n es por pagi nas amari l l as
o contactar a travs de otros ami gos de otras
empresas.
1,00
2.- Los dueos de l as rel aci ones enl azan l as cuesti ones del cl i ente y
proveedor?
Si .
1,00
3.-aseguran l a cal i dad de l as rel aci ones basadas en l a confi anza y
transparenci a?
Si .
1,00
A
I
7

-

I
n
s
t
a
l
a
r

y

a
c
r
e
d
i
t
a
r

s
o
l
u
c
i
o
n
e
s

y

c
a
m
b
i
o
s
.
D
S
2

A
d
m
i
n
i
s
t
r
a
r

l
o
s

s
e
r
v
i
c
i
o
s

d
e

t
e
r
c
e
r
o
s
A
D
Q
U
I
R
I
R

E

I
M
P
L
E
M
E
N
T
A
R
E
N
T
R
E
G
A
R

Y

D
A
R

S
O
P
O
R
T
E
I
d
e
n
t
i
f
i
c
a
r

y

c
a
t
e
g
o
r
i
z
a
r

l
a
s

r
e
l
a
c
i
o
n
e
s

d
e

l
o
s

s
e
r
v
i
c
i
o
s

d
e

t
e
r
c
e
r
o
s
.
D
S
2
.
1

-

I
d
e
n
t
i
f
i
c
a
c
i
n

d
e

T
o
d
a
s

l
a
s

R
e
l
a
c
i
o
n
e
s

c
o
n

P
r
o
v
e
e
d
o
r
e
s
.
Identi fi car todos l os servi ci os de l os proveedores, y
categori zar l os de acuerdo al ti po de proveedor, si gni fi cado y
cri ti ci dad. Mantener documentaci n formal de rel aci ones
tcni cas y organi zaci onal es que cubren l os rol es y
responsabi l i dades, metas, entregabl es esperados, y
credenci al es de l os representantes de estos proveedores.
D
e
f
i
n
i
r

y

d
o
c
u
m
e
n
t
a
r

l
o
s

p
r
o
c
e
s
o
s

d
e

a
d
m
i
n
i
s
t
r
a
c
i
n

d
e
l

p
r
o
v
e
e
d
o
r
.
D
S
2
.
2

-

G
e
s
t
i
n

d
e

R
e
l
a
c
i
o
n
e
s

c
o
n

P
r
o
v
e
e
d
o
r
e
s
.Formal i zar el proceso de gesti n de rel aci ones con
proveedores para cada proveedor. Los dueos de l as
rel aci ones deben enl azar l as cuesti ones del cl i ente y
proveedor y asegurar l a cal i dad de l as rel aci ones basadas en
l a confi anza y transparenci a. (Ej.: a travs de SLAs).
D
S
1

D
e
f
i
n
i
r

y

a
d
m
i
n
i
s
t
r
a
r

l
o
s

n
i
v
e
l
e
s

d
e

s
e
r
v
i
c
i
o
C
r
e
a
r

u
n

m
a
r
c
o

d
e

t
r
a
b
a
j
o

p
a
r
a

l
o
s

s
e
r
v
i
c
i
o
s

d
e

T
I
.
D
S
1
.
1

-

M
a
r
c
o

d
e

T
r
a
b
a
j
o

d
e

l
a

A
d
m
i
n
i
s
t
r
a
c
i
n

d
e

l
o
s

N
i
v
e
l
e
s

d
e

S
e
r
v
i
c
i
o
.
Defi ni r un marco de trabajo que bri nde un proceso formal de
admi ni straci n de ni vel es de servi ci o entre el cl i ente y el
prestador de servi ci o. El marco de trabajo manti ene una
al i neaci n conti nua con l os requeri mi entos y l as pri ori dades
de negoci o y faci l i ta el entendi mi ento comn entre el cl i ente y
el (l os) prestador(es) de servi ci o. El marco de trabajo i ncl uye
procesos para l a creaci n de requeri mi entos de servi ci o,
defi ni ci ones de servi ci o, acuerdos de ni vel es de servi ci o
(SLAs), acuerdos de ni vel es de operaci n (OLAs) y l as fuentes
de fi nanci ami ento. Estos atri butos estn organi zados en un
catl ogo de servi ci os. El marco de trabajo defi ne l a
estructura organi zaci onal para l a admi ni straci n del ni vel de
servi ci o, i ncl uyendo l os rol es, tareas y responsabi l i dades de
l os proveedores externos e i nternos y de l os cl i entes.
D
e
f
i
n
i
r

l
o
s

c
o
n
v
e
n
i
o
s

d
e

n
i
v
e
l
e
s

d
e

o
p
e
r
a
c
i
n

(
O
L
A
s
)

p
a
r
a

s
o
p
o
r
t
a
r

l
a
s

S
L
A
s
.
D
S
1
.
4

-

A
c
u
e
r
d
o
s

d
e

N
i
v
e
l
e
s

d
e

O
p
e
r
a
c
i
n
.
Asegurar que l os acuerdos de ni vel es de operaci n expl i quen
cmo sern entregados tcni camente l os servi ci os para
soportar el (l os) SLA(s) de manera pti ma. Los OLAs
especi fi can l os procesos tcni cos en trmi nos entendi bl es
para el proveedor y pueden soportar di versos SLAs.
M
o
n
i
t
o
r
e
a
r

y

r
e
p
o
r
t
a
r

e
l

d
e
s
e
m
p
e
o

d
e
l

s
e
r
v
i
c
i
o

d
e

p
u
n
t
a

a

p
u
n
t
a
.

*
R
e
v
i
s
a
r

y

a
c
t
u
a
l
i
z
a
r

e
l

c
a
t
l
a
g
o

d
e

s
e
r
v
i
c
i
o
s

d
e

T
I
.
D
S
1
.
5

-

M
o
n
i
t
o
r
e
o

y

R
e
p
o
r
t
e

d
e
l

C
u
m
p
l
i
m
e
n
t
o

d
e

l
o
s

N
i
v
e
l
e
s

d
e

S
e
r
v
i
c
i
o
.Moni torear conti nuamente l os cri teri os de desempeo
especi fi cados para el ni vel de servi ci o. Los reportes sobre el
cumpl i mi ento de l os ni vel es de servi ci o deben emi ti rse en un
formato que sea entendi bl e para l os i nteresados. Las
estadsti cas de moni toreo son anal i zadas para i denti fi car
tendenci as posi ti vas y negati vas tanto de servi ci os
i ndi vi dual es como de l os servi ci os en conjunto.
R
e
v
i
s
a
r

l
o
s

S
L
A
s

y

l
o
s

c
o
n
t
r
a
t
o
s

d
e

a
p
o
y
o
.

*
C
r
e
a
r

u
n

p
l
a
n

d
e

m
e
j
o
r
a

d
e

s
e
r
v
i
c
i
o
s
.
D
S
1
.
6

-

R
e
v
i
s
i
n

d
e

l
o
s

A
c
u
e
r
d
o
s

d
e

N
i
v
e
l
e
s

d
e

S
e
r
v
i
c
i
o

y

d
e

l
o
s

C
o
n
t
r
a
t
o
s
.
Revi sar regul armente con l os proveedores i nternos y externos
l os acuerdos de ni vel es de servi ci o y l os contratos de apoyo,
para asegurar que son efecti vos, que estn actual i zados y que
se han tomado en cuenta l os cambi os en requeri mi entos,
para asegurar que son efecti vos, que estn actual i zados y que
se han tomado en cuenta l os cambi os en requeri mi entos.
R
e
c
o
m
e
n
d
a
r

l
a

l
i
b
e
r
a
c
i
n

a

p
r
o
d
u
c
c
i
n

c
o
n

b
a
s
e

e
n

l
o
s

c
r
i
t
e
r
i
o
s

d
e

a
c
r
e
d
i
t
a
c
i
n

c
o
n
v
e
n
i
d
o
s
.
A
I
7
.
8

-

P
r
o
m
o
c
i
n

a

P
r
o
d
u
c
c
i
n
.
Segui mi ento a pruebas, control ar l a entrega de l os si stemas
cambi ados a operaci ones, manteni ndol o en l nea con el pl an
de i mpl antaci n. Obtener l a aprobaci n de l os i nteresados
cl ave, tal es como usuari os, dueo de si stemas y gerente de
operaci ones. Cuando sea apropi ado, ejecutar el si stema en
paral el o con el vi ejo si stema por un ti empo, y comparar el
comportami ento y l os resul tados.
E
s
t
a
b
l
e
c
e
r

a
m
b
i
e
n
t
e

d
e

p
r
u
e
b
a

y

c
o
n
d
u
c
i
r

p
r
u
e
b
a
s

d
e

a
c
e
p
t
a
c
i
n

f
i
n
a
l
e
s
.
A
I
7
.
9

-

R
e
v
i
s
i
n

P
o
s
t
e
r
i
o
r

a

l
a

I
m
p
l
a
n
t
a
c
i
n
.
Establ ecer procedi mi entos en l nea con l os estndares de
gesti n de cambi os organi zaci onal es para requeri r una
revi si n posteri or a l a i mpl antaci n como conjunto de sal i da
en el pl an de i mpl ementaci n.
C O B I T
E
s
t
a
b
l
e
c
e
r

a
m
b
i
e
n
t
e

d
e

p
r
u
e
b
a

y

c
o
n
d
u
c
i
r

p
r
u
e
b
a
s

d
e

a
c
e
p
t
a
c
i
n

f
i
n
a
l
e
s
.
A
I
7
.
7

-

P
r
u
e
b
a

d
e

A
c
e
p
t
a
c
i
n

F
i
n
a
l
.
Asegurar que el dueo de proceso de negoci o y l os
i nteresados de TI eval an l os resul tados de l os procesos de
pruebas como determi na el pl an de pruebas. Remedi ar l os
errores si gni fi cati vos i denti fi cados en el proceso de pruebas,
habi endo compl etado el conjunto de pruebas i denti fi cadas en
el pl an de pruebas y cual qui er prueba de regresi n necesari a.
Si gui endo l a eval uaci n, aprobaci n promoci n a
producci n.

109

D
O
M
I
N
I
O
P
R
O
C
E
S
O
S
A
C
T
I
V
I
D
A
D
E
S

D
E
L

P
R
O
C
E
S
O
O
B
J
E
T
I
V
O
S

D
E

C
O
N
T
R
O
L
C
A
L
I
F
I
C
A
C
I
N
1.- Se i denti fi can l os ri esgos rel aci onados con l a habi l i dad de l os
proveedores para mantener un efecti vo servi ci o de entrega de forma
segura sobre una base de conti nui dad?
No se ti enen i denti fi cados l os ri esgos a pesar
de que se ti ene l a matri z de ri esgo. Si est
esti pul ado cuando se cal i fi ca al proveedor,
pero cuando hay urgenci as el pl azo de
entrega es de 2 di as. Cuando es i mportaci n
depende del producto.
0,00
2.- Se aseguran que l os contratos estn de acuerdo con l os
requeri mi entos l egal es de l os estndares uni versal es del negoci o?
Si porque exi ste un proceso para l a
el aboraci n de contratos donde i ntervi ene el
departamento Legal y TI.
1,00
3.- La admi ni straci n del ri esgo consi dera acuerdos de confi denci al i dad
(NDAs)?
No.
0,00
4.- La admi ni straci n del ri esgo consi dera l os contratos de garanta? Si . 1,00
5.- La admi ni straci n del ri esgo consi dera l a vi abi l i dad de l a
conti nui dad del proveedor?
Si .
1,00
6.- La admi ni straci n del ri esgo consi dera l a conformi dad con l os
requeri mi entos de seguri dad?
Si .
1,00
7.- La admi ni straci n del ri esgo consi dera a l os proveedores
al ternati vos?
En el pl an de conti ngenci a no se ha hecho
mucho i ncapi con l os proveedores.
0,50
8.- La admi ni straci n del ri esgo consi dera l as penal i zaci ones e
i ncenti vos?
Si .
1,00
1.- Se establ ece un proceso para moni torear l a prestaci n del servi ci o del
proveedor?
No.
0,00
2.- Se aseguran que el proveedor est cumpl i endo con l os requeri mi entos
del negoci o?
Si .
1,00
1.- Se establ ece un proceso de pl aneaci n para l a revi si n del
desempeo?
Si se establ ece. (Especi al i sta en Soporte).
1,00
2.- Se establ ece un proceso de pl aneaci n para l a revi si n de l a
capaci dad de l os recursos de TI?
Si . Se esta haci endo di agnsti co de redes,
Base de Datos, Si stema Operati vo.
1,00
3.- Los pl anes de capaci dad y desempeo hacen uso de tcni cas de
model o apropi adas para produci r un model o de desempeo, de capaci dad
de l os recursos de TI, tanto actual como pronosti cado?
Indi rectamente si aprovechan l os recursos y
metodol ogi as de l os proveedores, se basan en
tcni cas apropi adas. Cada especi al i sta de l a
Empresa de Producci n i nteracta con l os
expertos del mercado para i ntegrar a l os
procesos normal es l as mejores tecni cas
vi gentes.
0,50
R
e
v
i
s
a
r

e
l

d
e
s
e
m
p
e
o

y

l
a

c
a
p
a
c
i
d
a
d

a
c
t
i
u
a
l

d
e

l
o
s

r
e
c
u
r
s
o
s

d
e

T
I
.
D
S
3
.
2

-

C
a
p
a
c
i
d
a
d

y

D
e
s
e
m
p
e
o

A
c
t
u
a
l
.
Revi sar l a capaci dad y desempeo actual de l os recursos de
TI en i nterval os regul ares para determi nar si exi ste sufi ci ente
capaci dad y desempeo para prestar l os servi ci os con base
en l os ni vel es de servi ci o acordados.
1.- Se revi sa el desempeo actual de l os recursos de TI en i nterval os
regul ares?
Se l os revi sa pero no hay formato o
documento, sol o se l o hace como una funci n
de l a persona a cargo.
0,00
1.- Se l l eva a cabo un pronsti co de desempeo de l os recursos de TI en
i nterval os regul ares para mi ni mi zar el ri esgo de i nterrupci ones?
No se hace,
0,00
2.- Se i denti fi can tambi n el exceso de capaci dad para una posi bl e
redi stri buci n?
No.
0,00
3.- Se i denti fi can l as tendenci as de l as cargas de trabajo? No. Se adqui ere el equi po de acuerdo al
anl i si s de l o que va a hacer el usuari o y sus
necesi dades de operaci n.
0,00
4.- Se determi na l os pronsti cos que sern parte de l os pl anes de
capaci dad de desempeo?
No.
0,00
1.- Se toman en cuenta, pl anes de conti ngenci as, en l os ci cl os de vi da de
l os recursos de TI?
Si .
1,00
2.- La empresa garanti za que l os pl anes de conti ngenci a son
consi derados de forma apropi ada sobre l os recursos i ndi vi dual es de TI?
El pl an de conti ngenci a exi ste pero fal ta l a
i mpl ementaci n, sol o est escri to. Fal ta
i nversi n que permi ta l a i mpl ementaci n.
0,00
M
o
n
i
t
o
r
e
a
r

y

r
e
p
o
r
t
a
r

c
o
n
t
i
n
u
a
m
e
n
t
e

l
a

d
i
s
p
o
n
i
b
i
l
i
d
a
d
,

e
l

d
e
s
e
m
p
e
o

y

l
a

c
a
p
a
c
i
d
a
d

d
e

l
o
s

r
e
c
u
r
s
o
s

d
e

T
I
.
D
S
3
.
5

-

M
o
n
i
t
o
r
e
o

y

R
e
p
o
r
t
e
.
Moni torear conti nuamente el desempeo y l a capaci dad de
l os recursos de TI. La i nformaci n reuni da si rve para dos
propsi tos:
Mantener y poner a punto el desempeo actual dentro de TI
y atender temas como el asti ci dad, conti ngenci a, cargas de
trabajo actual es y proyectadas, pl anes de al macenami ento y
adqui si ci n de recursos.
Para reportar l a di sponi bi l i dad haci a el negoci o del
servi ci o prestado como se requi ere en l os SLAs.
Acompaar todos l os reportes de excepci n con
recomendaci ones para acci ones correcti vas
1.- Moni torean conti nuamente el desempeo de l os recursos de TI? No se l o hace, sol o cada dos aos para l a
renovaci on de equi pos segn l a pol i ti ca de l a
empresa.
0,50
D
e
s
a
r
r
o
l
l
a
r

u
n

m
a
r
c
o

d
e

t
r
a
b
a
j
o

d
e

c
o
n
t
i
n
u
i
d
a
d

d
e

T
I
.
D
S
4
.
1

-

M
a
r
c
o

d
e

T
r
a
b
a
j
o

d
e

C
o
n
t
i
n
u
i
d
a
d

d
e

T
I
.
Desarrol l ar un marco de trabajo de conti nui dad de TI para
soportar l a conti nui dad del negoci o con un proceso
consi stente a l o l argo de toda l a organi zaci n. El objeti vo del
marco de trabajo es ayudar en l a determi naci n de l a
resi stenci a requeri da de l a i nfraestructura y de gui ar el
desarrol l o de l os pl anes de recuperaci n de desastres y de
conti ngenci as. El marco de trabajo debe tomar en cuenta l a
estructura organi zaci onal para admi ni strar l a conti nui dad,
l a cobertura de rol es, l as tareas y l as responsabi l i dades de
l os proveedores de servi ci os i nternos y externos, su
admi ni straci n y sus cl i entes; as como l as regl as y
estructuras para documentar, probar y ejecutar l a
recuperaci n de desastres y l os pl anes de conti ngenci a de TI.
El pl an debe tambi n consi derar puntos tal es como l a
i denti fi caci n de recursos crti cos, el moni toreo y reporte de
l a di sponi bi l i dad de recursos crti cos, el procesami ento
al ternati vo y l os pri nci pi os de respal do y recuperaci n.
1.- La empresa desarrol l a un marco de trabajo de conti nui dad de TI? Si l o hacen por medi o del presupesto.
1,00

D
e
s
a
r
r
o
l
l
a
r

y

m
a
n
t
e
n
e
r

p
l
a
n
e
s

d
e

c
o
n
t
i
n
u
i
d
a
d

d
e

T
I
.
D
S
4
.
2

-

P
l
a
n
e
s

d
e

C
o
n
t
i
n
u
i
d
a
d

d
e

T
I
.
Desarrol l ar pl anes de conti nui dad de TI con base en el marco
de trabajo, di seado para reduci r el i mpacto de una
i nterrupci n mayor de l as funci ones y l os procesos cl ave del
negoci o. Los pl anes deben consi derar requeri mi entos de
resi stenci a, procesami ento al ternati vo, y capaci dad de
recuperaci n de todos l os servi ci os crti cos de TI. Tambi n
deben cubri r l os l i neami entos de uso, l os rol es y
responsabi l i dades, l os procedi mi entos, l os procesos de
comuni caci n y el enfoque de pruebas.
1.- La empresa desarrol l a pl anes de conti nui dad de TI con base en el
marco de trabajo, di seado para reduci r el i mpacto de una i nterrupci n
mayor de l as funci ones?
No.
0,00
1.- Exi sten puntos determi nados en el pl an de conti nui dad de TI? Fal ta i denti fi car l os puntos crti cos, el aborar
l os procedi mentos y di fundi rl os.
0,00
2.- Los puntos determi nados en el pl an construyen resi stenci a
establ eci endo pri ori dades en si tuaci ones de recuperaci on?
Si l o ti enen pero est i ncompl eto, pero si
estan consci entes que se debe hacer.
0,00
3.- Se consi dera l os requeri mi entos de resi stenci a, respuesta y
recuperaci n para di ferentes ni vel es de pri ori dad?
Si , en el pl an de conti ngenci a, pero el pl an no
esta i mpl antado.
0,00
D
S
2

A
d
m
i
n
i
s
t
r
a
r

l
o
s

s
e
r
v
i
c
i
o
s

d
e

t
e
r
c
e
r
o
s
D
S
4

G
a
r
a
n
t
i
z
a
r

l
a

c
o
n
t
i
n
u
i
d
a
d

d
e
l

s
e
r
v
i
c
i
o
Establ ecer un proceso de pl aneaci n para l a revi si n del
desempeo y l a capaci dad de l os recursos de TI, para
asegurar l a di sponi bi l i dad de l a capaci dad y del desempeo,
con costos justi fi cabl es, para procesar l as cargas de trabajo
acordadas tal como se determi na en l os SLAs. Los pl anes de
capaci dad y desempeo deben hacer uso de tcni cas de
model o apropi adas para produci r un model o de desempeo,
de capaci dad y de desempeo de l os recursos de TI, tanto
actual como pronosti cado.
Ll evar a cabo un pronsti co de desempeo y capaci dad de l os
recursos de TI en i nterval os regul ares para mi ni mi zar el
ri esgo de i nterrupci ones del servi ci o ori gi nadas por fal ta de
capaci dad o degradaci n del desempeo. Identi fi car tambi n
el exceso de capaci dad para una posi bl e redi stri buci n.
Identi fi car l as tendenci as de l as cargas de trabajo y
determi nar l os pronsti cos que sern parte de l os pl anes de
capaci dad y de desempeo.
Bri ndar l a capaci dad y desempeo requeri dos tomando en
cuenta aspectos como cargas de trabajo normal es,
conti ngenci as, requeri mi entos de al macenami ento y ci cl os de
vi da de l os recursos de TI. Deben tomarse medi das cuando el
desempeo y l a capaci dad no estn en el ni vel requeri do,
tal es como dar pri ori dad a l as tareas, mecani smos de
tol eranci a de fal l as y prcti cas de asi gnaci n de recursos. La
gerenci a debe garanti zar que l os pl anes de conti ngenci a
consi deran de forma apropi ada l a di sponi bi l i dad, capaci dad
y desempeo de l os recursos i ndi vi dual es de TI.
R
e
a
l
i
z
a
r

u
n

a
n
l
i
s
i
s

d
e

i
m
p
a
c
t
o

a
l

n
e
g
o
c
i
o

y

v
a
l
o
r
a
c
i
n

d
e

r
i
e
s
g
o
.
D
S
4
.
3

-

R
e
c
u
r
s
o
s

C
r
t
i
c
o
s

d
e

T
I
.
Centrar l a atenci n en l os puntos determi nados como l os ms
crti cos en el pl an de conti nui dad de TI, para construi r
resi stenci a y establ ecer pri ori dades en si tuaci ones de
recuperaci n. Evi tar l a di stracci n de recuperar l os puntos
menos crti cos y asegurarse de que l a respuesta y l a
recuperaci n estn al i neadas con l as necesi dades
E
s
t
a
b
l
e
c
e
r

u
n

p
r
o
c
e
s
o

d
e

P
l
a
n
e
a
c
i
n

p
a
r
a

l
a

r
e
v
i
s
i
n

d
e
l

d
e
s
e
m
p
e
o

y

l
a

c
a
p
a
c
i
d
a
d

d
e

l
o
s

r
e
c
u
r
s
o
s

d
e

T
I
.
D
S
3
.
1

-

P
l
a
n
e
a
c
i
n

d
e
l

D
e
s
e
m
p
e
o

y

l
a

C
a
p
a
c
i
d
a
d
.
R
e
a
l
i
z
a
r

p
r
o
n
s
t
i
c
o
s

d
e

d
e
s
e
m
p
e
o

y

c
a
p
a
c
i
d
a
d

d
e

l
o
s

r
e
c
u
r
s
o
s

d
e

T
I
.
D
S
3
.
3

-

C
a
p
a
c
i
d
a
d

y

D
e
s
e
m
p
e
o

F
u
t
u
r
o
s
.
R
e
a
l
i
z
a
r

u
n

p
l
a
n

d
e

c
o
n
t
i
n
g
e
n
c
i
a

r
e
s
p
e
c
t
o

a

u
n
a

f
a
l
t
a

p
o
t
e
n
c
i
a
l

d
e

d
i
s
p
o
n
i
b
i
l
i
d
a
d

d
e

r
e
c
u
r
s
o
s

d
e

T
I
.
D
S
3
.
4

-

D
i
s
p
o
n
i
b
i
l
i
d
a
d

d
e

R
e
c
u
r
s
o
s

d
e

T
I
.
D
S
3

A
d
m
i
n
i
s
t
r
a
r

e
l

d
e
s
e
m
p
e
o

y

l
a

c
a
p
a
c
i
d
a
d
E
N
T
R
E
G
A
R

Y

D
A
R

S
O
P
O
R
T
E
I
d
e
n
t
i
f
i
c
a
r
,

v
a
l
o
r
a
r

y

m
i
t
i
g
a
r

l
o
s

r
i
e
s
g
o
s

d
e
l

p
r
o
v
e
e
d
o
r
.

*
M
o
n
i
t
o
r
e
a
r

l
a

p
r
e
s
t
a
c
i
n

d
e
l

D
S
2
.
4

-

M
o
n
i
t
o
r
e
o

d
e
l

D
e
s
e
m
p
e
o

d
e
l

P
r
o
v
e
e
d
o
r
.
Establ ecer un proceso para moni torear l a prestaci n del
servi ci o para asegurar que el proveedor est cumpl i endo con
l os requeri mi entos del negoci o actual es y que se adhi ere
conti nuamente a l os acuerdos del contrato y a SLAs, y que el
C O B I T
E
s
t
a
b
l
e
c
e
r

p
o
l
t
i
c
a
s

y

p
r
o
c
e
d
i
m
i
e
n
t
o
s

d
e

e
v
a
l
u
a
c
i
n

y

s
u
s
p
e
n
s
i
n

d
e

p
r
o
v
e
e
d
o
r
e
s
.

*
E
v
a
l
u
a
r

l
a
s

m
e
t
a
s

d
e

l
a
r
g
o

p
l
a
z
o

d
e

l
a

r
e
l
a
c
i
n

d
e
l

s
e
r
v
i
c
i
o

p
a
r
a

t
o
d
o
s

l
o
s

i
n
t
e
r
e
s
a
d
o
s
.
D
S
2
.
3

-

A
d
m
i
n
i
s
t
r
a
c
i
n

d
e

R
i
e
s
g
o
s

d
e
l

P
r
o
v
e
e
d
o
r
.
Identi fi car y mi ti gar l os ri esgos rel aci onados con l a
habi l i dad de l os proveedores para mantener un efecti vo
servi ci o de entrega de forma segura y efi ci ente sobre una
base de conti nui dad. Asegurar que l os contratos estn de
acuerdo con l os requeri mi entos l egal es y regul atori os de l os
estndares uni versal es del negoci o. La admi ni straci n del
ri esgo debe consi derar adems acuerdos de confi denci al i dad
(NDAs), contratos de garanta, vi abi l i dad de l a conti nui dad
del proveedor, conformi dad con l os requeri mi entos de
seguri dad, proveedores al ternati vos, penal i zaci ones e
i ncenti vos, etc.

110

D
O
M
I
N
I
O
P
R
O
C
E
S
O
S
A
C
T
I
V
I
D
A
D
E
S

D
E
L

P
R
O
C
E
S
O
O
B
J
E
T
I
V
O
S

D
E

C
O
N
T
R
O
L
C
A
L
I
F
I
C
A
C
I
N
I
d
e
n
t
i
f
i
c
a
r

y

c
a
t
e
g
o
r
i
z
a
r

l
o
s

r
e
c
u
r
s
o
s

d
e

T
I

c
o
n

b
a
s
e

a

l
o
s

o
b
j
e
t
i
v
o
s

d
e

r
e
c
u
p
e
r
a
c
i
n
.
D
S
4
.
4

-

M
a
n
t
e
n
i
m
i
e
n
t
o

d
e
l

P
l
a
n

d
e

C
o
n
t
i
n
u
i
d
a
d

d
e

T
I
.
Exhortar a l a gerenci a de TI a defi ni r y ejecutar
procedi mi entos de control de cambi os, para asegurar que el
pl an de conti nui dad de TI se mantenga actual i zado y que
refl eje de manera conti nua l os requeri mi entos actual es del
negoci o. Es esenci al que l os cambi os en l os procedi mi entos y
l as responsabi l i dades sean comuni cados de forma cl ara y
oportuna.
1.- Se ejecutan procedi mi entos de control de cambi os, para asegurar que
el pl an de conti nui dad de TI se mantenga actual i zado?
Si , se l o hace desde el Hol di ng.
1,00
D
e
f
i
n
i
r

y

e
j
e
c
u
t
a
r

p
r
o
c
e
d
i
m
i
e
n
t
o
s

d
e

c
o
n
t
r
o
l

d
e

c
a
m
b
i
o
s

p
a
r
a

a
s
e
g
u
r
a
r

q
u
e

e
l

p
l
a
n

d
e

c
o
n
t
i
n
u
i
d
a
d

s
e
a

v
i
g
e
n
t
e
.
D
S
4
.
5

-

P
r
u
e
b
a
s

d
e
l

P
l
a
n

d
e

C
o
n
t
i
n
u
i
d
a
d

d
e

T
I
.
Probar el pl an de conti nui dad de TI de forma regul ar para
asegurar que l os si stemas de TI pueden ser recuperados de
forma efecti va, que l as defi ci enci as son atendi das y que el
pl an permanece apl i cabl e. Esto requi ere una preparaci n
cui dadosa, documentaci n, reporte de l os resul tados de l as
pruebas y, de acuerdo con l os resul tados, l a i mpl ementaci n
de un pl an de acci n. Consi derar el al cance de l as pruebas de
recuperaci n en apl i caci ones i ndi vi dual es, en escenari os de
pruebas i ntegrados, en pruebas de punta a punta y en
pruebas i ntegradas con el proveedor.
1.- Se prueba el pl an de conti nui dad de TI de forma regul ar para asegurar
que l os si stemas de TI pueden ser recuperados de forma efecti va?
No hay pl an de conti nui dad, en el manual de
procedi mi ento estn descri tas l as funci ones
de cada uno y en base a eso se garanti za l a
conti nui dad.
0,50
1.- Se asegura de que todos l as partes i nvol ucradas reci ban sesi ones de
habi l i taci n de forma regul ar respecto a l os procesos en caso de i nci dente
o desastre?
No.
0,00
habi l i taci n de forma regul ar respecto a sus rol es en caso de i nci dente o
desastre?
No.
0,00
habi l i taci n de forma regul ar respecto a l as responsabi l i dades en caso de
i nci dente o desastre?
Si , cada encargado sabe de sus
responsabi l i dades. 1,00
4.- Se veri fi ca el entrenami ento de acuerdo con l os resul tados de l as
pruebas de conti ngenci a?
No se hacen pruebas de conti ngenci a.
0,00
5.- Se i ncrementa el entrenami ento de acuerdo con l os resul tados de l as
pruebas de conti ngenci a?
No.
0,00
D
e
s
a
r
r
o
l
l
a
r

u
n

p
l
a
n

d
e

a
c
c
i
n

a

s
e
g
u
i
r

c
o
n

b
a
s
e

e
n

l
o
s

r
e
s
u
l
t
a
d
o
s

d
e

l
a
s

p
r
u
e
b
a
s
.
D
S
4
.
7

-

D
i
s
t
r
i
b
u
c
i
n

d
e
l

P
l
a
n

d
e

C
o
n
t
i
n
u
i
d
a
d

d
e

T
I
.
Determi nar que exi ste una estrategi a de di stri buci n defi ni da
y admi ni strada para asegurar que l os pl anes se di stri buyan
de manera apropi ada y segura y que estn di sponi bl es entre
l as partes i nvol ucradas y autori zadas cuando y donde se
requi era. Se debe prestar atenci n en hacerl os accesi bl es
bajo cual qui er escenari o de desastre.
1.- Exi ste una estrategi a de di stri buci n defi ni da y admi ni strada para
asegurar que l os pl anes se di stri buyan de manera segura?
No ti enen, sl o se hacen reuni ones peri di cas
con el Departamento de Desarrol l o
Organi zaci onal y se reporta a Gerenci a
General . Ti ene que estar apegado al pl an
estratgi co de l a empresa, si no es as no se l o
hace. Hay reas defi ni das para cada
acti vi dad.
0,50
1.- Se pl anean l as acci ones a tomar durante el perodo en que TI est
recuperando y reanudando l os servi ci os?
Si se l o hace pero de manera emergente, sol o
cuando ocurre.
0,50
2.- Se aseguran que l os responsabl es del negoci o enti endan l os ti empos
de recuperaci n de TI?
No.
0,00
1.- Se al macena fuera de l as i nstal aci ones todos l os medi os de respal do
para l os pl anes de conti nui dad del negoci o?
No.
0,00
2.- El respal do de l a i nformaci on se real i za bajo l a pol i ti ca del conteni do
de l os respal dos a al macenar se determi nan en conjunto entre l os
responsabl es del negoci o y el personal de TI?
Si se hacen en l os respal dos del si stema.
Di ari os de l a base de datos y con l os
respal dos semestral es de l a i nformaci n de
cada usuari o.
1,00
3.- La admi ni straci n del si ti o de al macenami ento externo a l as
i nstal aci ones, est apegada a l a pol ti ca de al macenami ento de datos de
l a empresa?
No ti enen.
0,00
4.- La gerenci a de TI se asegura que l os acuerdos con si ti os externos sean
eval uados peri di camente?
No.
0,00
5.- Se aseguran de l a compati bi l i dad del hardware y del software para
poder recuperar l os datos archi vados y peri di camente probar y renovar
l os datos archi vados?
Si , pero fal ta i mpl ementar l a pol ti ca de
renovar y probar.
0,50
P
l
a
n
e
a
r

e

i
m
p
l
e
m
e
n
t
a
r

e
l

a
l
m
a
c
e
n
a
m
i
e
n
t
o

y

l
a

p
r
o
t
e
c
c
i
n

d
e

r
e
s
p
a
l
d
o
s
.
D
S
4
.
1
0

-

R
e
v
i
s
i
n

P
o
s
t

R
e
a
n
u
d
a
c
i
n
.
Una vez l ograda una exi tosa reanudaci n de l as funci ones de
TI despus de un desastre, determi nar si l a gerenci a de TI ha
establ eci do procedi mi entos para val orar l o adecuado del
pl an y actual i zar el pl an en consecuenci a.
1.-La gerenci a de TI ha establ eci do procedi mi entos para val orar l o
adecuado del pl an?
Se est i mpl ementando.
0,50
D
e
f
i
n
i
r
,

e
s
t
a
b
l
e
c
e
r

y

o
p
e
r
a
r

u
n

p
r
o
c
e
s

d
e

a
d
m
i
n
i
s
t
r
a
c
i
n

d
e

i
d
e
n
t
i
d
a
d

(
c
u
e
n
t
a
s
)
.
D
S
5
.
1

-

A
d
m
i
n
i
s
t
r
a
c
i
n

d
e

l
a

S
e
g
u
r
i
d
a
d

d
e

T
I
.
Admi ni strar l a seguri dad de TI al ni vel ms al to apropi ado
dentro de l a organi zaci n, de manera que l as acci ones de
admi ni straci n de l a seguri dad estn en l nea con l os
requeri mi entos del negoci o.
1.- El ni vel apropi ado de seguri dad de TI dentro de l a organi zaci n esta
en l i nea sobre l os requeri mi entos del negoci o?
No, fal ta i mpl ementar bastante. Se cambi
todas l as confi guraci ones de l os ruteadores,
se l l eva regi stro de todos l os que se estn
conectando, hi ci eron un estudi o (Sl i ced cord,
Del oi tte, proporci onaron una matri z para
i mpl ementar l as seguri dades. y control es).
0,30
1.- Los requeri mi entos del negoci o dentro de un pl an de seguri dad de TI
se trasl adan teni endo en consi deraci on l a i nfraestructura de TI en cuanto
a l a seguri dad?
Si .
1,00
2.- El pl an de seguri dad de TI esta i mpl ementado en l as pol ti cas de
procedi mi entos de seguri dad?
No hay pl an.
0,00
1.- Los usuari os y su acti vi dad en TI son i denti fi cados de manera uni ca?
*El usuari o se i denti fi ca a travs de mecani smos de autenti caci n?
Si .
1,00
2.- Se confi rma que l os permi sos de acceso del usuari o al si stema estn
en l nea con l as necesi dades del negoci o?
Si .
1,00
3.- Se asegura que l os derechos de acceso del usuari o se sol i ci tan por l a
gerenci a del usuari o para ser aprobados por el responsabl e del si stema?
Si .
1,00
4.- Las i denti dades del usuari o y l os derechos de acceso se manti enen en
un reposi tori o central ?
Cada apl i cati vo ti ene su admi ni strador. El
admi ni strador del apl i cati vo maneja l as
seguri dades, el admi nstrador de Base de
Datos l as seguri dades a ni vel de BD., y el
Admi ni strador de comuni caci ones el acceso a
l a red.
1,00
5.- Se despl i egan tcni cas efecti vas en procedi mi entos rentabl es, que se
manti enen actual i zados para establ ecer l a i denti fi caci n del usuari o?
No l o ti enen.
0,00
R
e
v
i
s
a
r

y

v
a
l
i
d
a
r

p
e
r
i
d
i
c
a
m
e
n
t
e

l
o
s

p
r
i
v
i
l
e
g
i
o
s

y

d
e
r
e
c
h
o
s

d
e

a
c
c
e
s
o

d
e

l
o
s

u
s
u
a
r
i
o
s
.
D
S
5
.
4

-

A
d
m
i
n
i
s
t
r
a
c
i
n

d
e

C
u
e
n
t
a
s

d
e
l

U
s
u
a
r
i
o
.
Garanti zar que l a sol i ci tud, establ eci mi ento, emi si n,
suspensi n, modi fi caci n y ci erre de cuentas de usuari o y de
l os pri vi l egi os rel aci onados, sean tomados en cuenta por un
conjunto de procedi mi entos de l a gerenci a de cuentas de
usuari o. Debe i ncl ui rse un procedi mi ento de aprobaci n que
descri ba al responsabl e de l os datos o del si stema otorgando
l os pri vi l egi os de acceso. Estos procedi mi entos deben
apl i carse a todos l os usuari os, i ncl uyendo admi ni stradores
(usuari os pri vi l egi ados), usuari os externos e i nternos, para
casos normal es y de emergenci a. Los derechos y obl i gaci ones
rel ati vos al acceso a l os si stemas e i nformaci n de l a
empresa deben acordarse contractual mente para todos l os
ti pos de usuari os. Real i zar revi si ones regul ares de l a gesti n
de todas l as cuentas y l os pri vi l egi os asoci ados.
1.- Los pri vi l egi os rel aci onados con l a creaci on de cuentas de usuari os,
son tomados en cuenta por un conjunto de procedi mi entos de l a gerenci a
de cuentas de usuari o?
Es uno de l os puntos a mejorar, actual mente
se hace a travs de l os procedi mi entos de
soporte. No hay manual de usuari o. No hay
cri teri os para creaci n de usuari o. Fal ta
trabajar en esto.
0,00
D
S
5

G
a
r
a
n
t
i
z
a
r

l
a

s
e
g
u
r
i
d
a
d

d
e

l
o
s

s
i
s
t
e
m
a
s
D
e
f
i
n
i
r

y

m
a
n
t
e
n
e
r

u
n

p
l
a
n

d
e

s
e
g
u
r
i
d
a
d

d
e

T
I
.
D
S
5
.
2

-

P
l
a
n

d
e

S
e
g
u
r
i
d
a
d

d
e

T
I
.
Trasl adar l os requeri mi entos de negoci o, ri esgos y
cumpl i mi ento dentro de un pl an de seguri dad de TI compl eto,
teni endo en consi deraci n l a i nfraestructura de TI y l a
cul tura de seguri dad. Asegurar que el pl an esta i mpl ementado
en l as pol ti cas y procedi mi entos de seguri dad junto con l as
M
o
n
i
t
o
r
e
a
r

i
n
c
i
d
e
n
t
e
s

d
e

s
e
g
u
r
i
d
a
d
,

r
e
a
l
e
s

y

p
o
t
e
n
c
i
a
l
e
s
.
D
S
5
.
3

-

A
d
m
i
n
i
s
t
r
a
c
i
n

d
e

I
d
e
n
t
i
d
a
d
.
Asegurar que todos l os usuari os (i nternos, externos y
temporal es) y su acti vi dad en si stemas de TI (apl i caci n de
negoci o, entorno de TI, operaci n de si stemas, desarrol l o y
manteni mi ento) deben ser i denti fi cabl es de manera ni ca.
Permi ti r que el usuari o se i denti fi que a travs de mecani smos
de autenti caci n. Confi rmar que l os permi sos de acceso del
usuari o al si stema y l os datos estn en l nea con l as
necesi dades del negoci o defi ni das y documentadas y que l os
requeri mi entos de trabajo estn adjuntos a l as i denti dades
del usuari o. Asegurar que l os derechos de acceso del usuari o
se sol i ci tan por l a gerenci a del usuari o, aprobados por el
responsabl e del si stema e i mpl ementado por l a persona
responsabl e de l a seguri dad. Las i denti dades del usuari o y
l os derechos de acceso se manti enen en un reposi tori o
central . Se despl i egan tcni cas efecti vas en coste y
procedi mi entos rentabl es, y se manti enen actual i zados para
establ ecer l a i denti fi caci n del usuari o, real i zar l a
autenti caci n y habi l i tar l os derechos de acceso.
P
l
a
n
e
a
r

y

l
l
e
v
a
r

a

c
a
b
o

c
a
p
a
c
i
t
a
c
i
n

s
o
b
r
e

p
l
a
n
e
s

d
e

c
o
n
t
i
n
u
i
d
a
d

d
e

T
I
.
D
S
4
.
8

-

R
e
c
u
p
e
r
a
c
i
n

y

R
e
a
n
u
d
a
c
i
n

d
e

l
o
s

S
e
r
v
i
c
i
o
s

d
e

T
I
.
Pl anear l as acci ones a tomar durante el perodo en que TI
est recuperando y reanudando l os servi ci os. Esto puede
representar l a acti vaci n de si ti os de respal do, el i ni ci o de
procesami ento al ternati vo, l a comuni caci n a cl i entes y a l os
P
l
a
n
e
a
r

l
a

r
e
c
u
p
e
r
a
c
i
n

y

r
e
a
n
u
d
a
c
i
n

d
e

l
o
s

s
e
r
v
i
c
i
o
s

d
e

T
I
.

*
E
s
t
a
b
l
e
c
e
r

l
o
s

p
r
o
c
e
d
i
m
i
e
n
t
o
s

p
a
r
a

l
l
e
v
a
r

a

c
a
b
o

r
e
v
i
s
i
o
n
e
s

p
o
s
t

r
e
a
n
u
d
a
c
i
n
.
D
S
4
.
9

-

A
l
m
a
c
e
n
a
m
i
e
n
t
o

d
e

R
e
s
p
a
l
d
o
s

F
u
e
r
a

d
e

l
a
s

I
n
s
t
a
l
a
c
i
o
n
e
s
.
Al macenar fuera de l as i nstal aci ones todos l os medi os de
respal do, documentaci n y otros recursos de TI crti cos,
necesari os para l a recuperaci n de TI y para l os pl anes de
conti nui dad del negoci o. El conteni do de l os respal dos a
al macenar debe determi narse en conjunto entre l os
responsabl es de l os procesos de negoci o y el personal de TI.
La admi ni straci n del si ti o de al macenami ento externo a l as
i nstal aci ones, debe apegarse a l a pol ti ca de cl asi fi caci n de
datos y a l as prcti cas de al macenami ento de datos de l a
empresa. La gerenci a de TI debe asegurar que l os acuerdos
con si ti os externos sean eval uados peri di camente, al menos
una vez por ao, respecto al conteni do, a l a protecci n
ambi ental y a l a seguri dad. Asegurarse de l a compati bi l i dad
del hardware y del software para poder recuperar l os datos
archi vados y peri di camente probar y renovar l os datos
archi vados.
C O B I T
D
S
4

G
a
r
a
n
t
i
z
a
r

l
a

c
o
n
t
i
n
u
i
d
a
d

d
e
l

s
e
r
v
i
c
i
o
E
N
T
R
E
G
A
R

Y

D
A
R

S
O
P
O
R
T
E
P
r
o
b
a
r

r
e
g
u
l
a
r
m
e
n
t
e

e
l

p
l
a
n

d
e

c
o
n
t
i
n
u
i
d
a
d

d
e

T
I
.
D
S
4
.
6

-

E
n
t
r
e
n
a
m
i
e
n
t
o

d
e
l

P
l
a
n

d
e

C
o
n
t
i
n
u
i
d
a
d

d
e

T
I
.
Asegurarse de que todos l as partes i nvol ucradas reci ban
sesi ones de habi l i taci n de forma regul ar respecto a l os
procesos y sus rol es y responsabi l i dades en caso de
i nci dente o desastre. Veri fi car e i ncrementar el entrenami ento
de acuerdo con l os resul tados de l as pruebas de
conti ngenci a.

111

D
O
M
I
N
I
O
P
R
O
C
E
S
O
S
A
C
T
I
V
I
D
A
D
E
S

D
E
L

P
R
O
C
E
S
O
O
B
J
E
T
I
V
O
S

D
E

C
O
N
T
R
O
L
C
A
L
I
F
I
C
A
C
I
N
1.- Se garanti za que l a i mpl ementaci n de l a seguri dad en TI sea probada
y moni toreada de forma pro-acti va?
En un 20 %. El admi ni strador de l a red
moni torea como est l a red, l os enl aces y el
peri metro.
0,20
2.- La seguri dad en TI se reacredi tada peri di camente para garanti zar
que se manti ene el ni vel seguri dad aprobado?
Una parte l o maneja TI a travs de l os
softwares de gesti n y moni toreo y otra parte

1,00
I
m
p
l
e
m
e
n
t
a
r

y

m
a
n
t
e
n
e
r

c
o
n
t
r
o
l
e
s

t
c
n
i
c
o
s

y

d
e

p
r
o
c
e
d
i
m
i
e
n
t
o
s

p
a
r
a

p
r
o
t
e
g
e
r

e
l

f
l
u
j
o

d
e

i
n
f
o
r
m
a
c
i
n

a

t
r
a
v
s

d
e

l
a

r
e
d
D
S
5
.
6

-

D
e
f
i
n
i
c
i
n

d
e

I
n
c
i
d
e
n
t
e

d
e

S
e
g
u
r
i
d
a
d
.
Defi ni r cl aramente y comuni car l as caractersti cas de
i nci dentes de seguri dad potenci al es para que puedan ser
cl asi fi cados propi amente y tratados por el proceso de gesti n
de i nci dentes y probl emas.
1.- Se defi ne cl aramente l as caractersti cas de i nci dentes de seguri dad
para que puedan ser cl asi fi cados propi amente por el proceso de gesti n
de i nci dentes?
No. Se est trabajando en el pl an de
conti ngenci a. Si hay mal uso en l a red, l o
pri mero que se hace es bl oquear el probl ema
y comuni car al jefe y se toman medi das
correcti vas. No hay procedi mi ento
establ eci do.
0,00
R
e
a
l
i
z
a
r

e
v
a
l
u
a
c
i
o
n
e
s

d
e

v
u
l
n
e
r
a
b
i
l
i
d
a
d

d
e

m
e
n
e
r
a

r
e
g
u
l
a
r
.
D
S
5
.
7

-

P
r
o
t
e
c
c
i
n

d
e

l
a

T
e
c
n
o
l
o
g
a

d
e

S
e
g
u
r
i
d
a
d
.
Garanti zar que l a tecnol oga rel aci onada con l a seguri dad
sea resi stente al sabotaje y no revel e documentaci n de
seguri dad i nnecesari a.
1.- Se garanti za que l a tecnol oga rel aci onada con l a seguri dad sea
resi stente al sabotaje?
Si . No ti enen probl emas con eso a pesar de
que no hay sotfware que revi se cada
documento o correo, no ti enen ese ti po de
seguri dad sol o l o que es i nterno. Est en
proyecto.
0,50
I
m
p
l
e
m
e
n
t
a
r

y

m
a
n
t
e
n
e
r

c
o
n
t
r
o
l
e
s

t
c
n
i
c
o
s

y

d
e

p
r
o
c
e
d
i
m
i
e
n
t
o
s

p
a
r
a

p
r
o
t
e
g
e
r

e
l

f
l
u
j
o

d
e

i
n
f
o
r
m
a
c
i
n

a

t
r
a
v
s

d
e

l
a

r
e
d
.
D
S
5
.
8

-

A
d
m
i
n
i
s
t
r
a
c
i
n

d
e

L
l
a
v
e
s

C
r
i
p
t
o
g
r
f
i
c
a
s
.
Determi nar que l as pol ti cas y procedi mi entos para organi zar
l a generaci n, cambi o, revocaci n, destrucci n, di stri buci n,
certi fi caci n, al macenami ento, captura, uso y archi vo de
l l aves cri ptogrfi cas estn i mpl antadas, para garanti zar l a
protecci n de l as l l aves contra modi fi caci ones y di vul gaci n
no autori zadas.
1.- Se determi nan pol i ti cas de procedi mi entos para garanti zar l a
protecci on de l as l l aves contra modi fi caci ones o di vul gaci ones no
autori zadas?
Trabajan con seguri dad de encri ptaci n WPA.
En l a mayori a de l os casos encri ptan l a
i nformaci n.
1,00
1.- La empresa cuenta con medi das preventi vas en toda l a organi zaci n
para proteger l os si stemas de l a i nformaci n de TI?
Uti l i zan Kapersky y a travs de l a consol a
control an como va el tema de l os vi rus. El
si stema es bastante compl eto. Es una consol a
de l as mejores y mas costosas que da i nforme
en ti empo real de cmo est l a protecci n de
l a red.
1,00
2.- La empresa cuenta con medi das detecti vas en toda l a organi zaci n
Si .
1,00
3.- La empresa cuenta con medi das correcti vas en toda l a organi zaci n
Si ,
1,00
R
e
a
l
i
z
a
r

e
v
a
l
u
a
c
i
o
n
e
s

d
e

v
u
l
n
e
r
a
b
i
l
i
d
a
d

d
e

m
e
n
e
r
a

r
e
g
u
l
a
r
.
D
S
5
.
1
0

-

S
e
g
u
r
i
d
a
d

d
e

l
a

R
e
d
.
Uso de tcni cas de seguri dad y procedi mi entos de
admi ni straci n asoci ados (por ejempl o, fi rewal l s,
di sposi ti vos de seguri dad, segmentaci n de redes, y detecci n
de i ntrusos) para autori zar acceso y control ar l os fl ujos de
i nformaci n desde y haci a l as redes.
1.- La empresa usa tcni cas de seguri dad y procedi mi entos de
admi ni straci n asoci ados para autori zar acceso y control ar l os fl ujos de
i nformaci n haci a l as redes?
Si . Routeadores, fi rewal l estn trabajando
para ver qui enes pueden acceder a l a red.
Kapersky tambi en ti enen un fi rewal l l ocal y
otro peri metral que si empre est trabajando
en l a seguri dad de acceso a l a red.
1,00
1.- Las transacci ones de datos sensi bl es se i ntercambi an a travs de una
ruta o medi o con control es para proporci onar autenti ci dad de conteni do?
Ti enen un proxy para l a web pero no ti enen
para el correo el ectroni co.
0,50
ruta o medi o con control es para prueba de envo?
En parte.
0,50
ruta o medi o con control es prueba de recepci n?
En parte.
0,50
ruta o medi o con control es para no repudi o del ori gen?
En parte.
0,50
M
a
p
e
a
r

l
a

i
n
f
r
a
e
s
t
r
u
c
t
u
r
a

c
o
n

l
o
s

s
e
r
v
i
c
i
o
s

b
r
i
n
d
a
d
o
s
/
p
r
o
c
e
s
o
s

d
e

n
e
g
o
c
i
o

s
o
p
o
r
t
a
d
o
s
.
D
S
6
.
1

-

D
e
f
i
n
i
c
i
n

d
e

S
e
r
v
i
c
i
o
s
.
Identi fi car todos l os costos de TI y equi pararl os a l os
servi ci os de TI para soportar un model o de costos
transparente. Los servi ci os de TI deben al i nearse a l os
procesos del negoci o de forma que el negoci o pueda
i denti fi car l os ni vel es de facturaci n de l os servi ci os
asoci ados.
1.- Se i denti fi can todos l os costos de TI para soportar un model o de
costos transparente?
Se i denti fi can l os costos en trmi nos gl obal es
por departamento pero no est detal l ado o
cl asi fi cado.
0,50
I
d
e
n
t
i
f
i
c
a
r

t
o
d
o
s

l
o
s

c
o
s
t
o
s

d
e

T
I

(
p
e
r
s
o
n
a
s
,

t
e
c
n
o
l
o
g
a
,

e
t
c
)

y

m
a
p
e
a
r
l
o
s

a

l
o
s

s
e
r
v
i
c
i
o
s

d
e

T
I

c
o
n

b
a
s
e
s

e
n

c
o
s
t
o
s

u
n
i
t
a
r
i
o
s
.
D
S
6
.
2

-

C
o
n
t
a
b
i
l
i
z
a
c
i
n

d
e

T
I
.
Regi strar y asi gnar l os costos actual es de acuerdo con el
model o de costos defi ni do. Las vari aci ones entre l os
presupuestos y l os costos actual es deben anal i zarse y
reportarse de acuerdo con l os si stemas de medi ci n
fi nanci era de l a empresa.
1.- Se regi stra l os costos actual es de acuerdo con el model o de costos
defi ni do?
Si se l o regi stra.
1,00
1.- Se defi ne un model o de costos de TI? Si . 1,00
2.- El model o de costos est al i neado con l os procedi mi entos de
contabi l i zaci n de costos de l a empresa?
Si .
1,00
3.- Se garanti za que l os cargos por servi ci os son i denti fi cabl es en el
model o de costos de TI?
Si .
1,00
4.- Se garanti za que l os cargos por servi ci os son medi bl es en el model o
de costos de TI?
Si .
1,00
5.- Se garanti za que l os cargos por servi ci os son predeci bl es por parte de
l os usuari os para propi ci ar el adecuado uso de recursos en el model o de
costos de TI ?
Si .
1,00
6.- La gerenci a del usuari o veri fi ca el uso actual del model o de costos de
TI?
Si puede, pero necesi tan un si stema de costeo.
0,50
7.- La gerenci a del usuari o veri fi ca l os cargos de l os servi ci os en el
model o de costos de TI?
Si puede, pero necesi tan un si stema de costeo.
0,50
1.- Se revi sa de forma regul ar l o apropi ado del model o de
costos/recargos para mantener su rel evanci a para el negoci o en evol uci n
para l as acti vi dades de TI?
Si .
1,00
2.- Se compara de forma regul ar l o apropi ado del model o de
costos/recargos para mantener su rel evanci a para el negoci o en evol uci n
para l as acti vi dades de TI?
Si .
1,00
1.- Se establ ece de forma regul ar un programa de entrenami ento para
cada grupo objeti vo de empl eados?
Se l o est real i zando pero no exi ste un
programa de entrenami ento. 0,00
2.- Se actual i za de forma regul ar el programa de entrenami ento para
cada grupo objeti vo de empl eados?
0,00
3.- El programa de entrenami ento i ncl uye estrategi as y requeri mi entos
actual es y futuros del negoci o?
Si .
1,00
4.- El programa de entrenami ento i ncl uye val ores corporati vos? Si . 1,00
5.- El programa de entrenami ento i ncl uye l a Impl ementaci n de nuevo
software e i nfraestructura de TI?
Si i ncl uye. (BAAN).
1,00
6.- El programa de entrenami ento i ncl uye habi l i dades, perfi l es de
competenci as y certi fi caci ones actual es y/o credenci al es necesari as?
Recursos Humanos el egi r a l as personas
i ndi cadas.
0,00
7.- El programa de entrenami ento i ncl uye mtodos de i mparti ci n? Si . 1,00
1.- Se desi gna i nstructores de entrenami ento a l os grupos objeti vo? Si . 1,00
2.- Se organi za el entrenami ento de l os grupos objeti vo con ti empo
sufi ci ente?
Si .
1,00
I
d
e
n
t
i
f
i
c
a
r

y

c
a
t
e
g
o
r
i
z
a
r

l
a
s

n
e
c
e
s
i
d
a
d
e
s

d
e

c
a
p
a
c
i
t
a
c
i
n

d
e

l
o
s

u
s
u
a
r
i
o
s
.
D
S
7
.
1

-

I
d
e
n
t
i
f
i
c
a
c
i
n

d
e

N
e
c
e
s
i
d
a
d
e
s

d
e

E
n
t
r
e
n
a
m
i
e
n
t
o

y

E
d
u
c
a
c
i
n
.
Establ ecer y actual i zar de forma regul ar un programa de
entrenami ento para cada grupo objeti vo de empl eados, que
i ncl uya:
Estrategi as y requeri mi entos actual es y futuros del negoci o.
Val ores corporati vos (val ores ti cos, cul tura de control y
seguri dad, etc.)
Impl ementaci n de nuevo software e i nfraestructura de TI
(paquetes y apl i caci ones)
Habi l i dades, perfi l es de competenci as y certi fi caci ones
actual es y/o credenci al es necesari as.
Mtodos de i mparti ci n (por ejempl o, aul a, web), tamao
del grupo objeti vo, accesi bi l i dad y ti empo.
C
o
n
s
t
r
u
i
r

u
n

p
r
o
g
r
a
m
a

d
e

c
a
p
a
c
i
t
a
c
i
n
.
D
S
7
.
2

-

I
m
p
a
r
t
i
c
i
n

d
e

E
n
t
r
e
n
a
m
i
e
n
t
o

y

E
d
u
c
a
c
i
n
.
Con base en l as necesi dades de entrenami ento i denti fi cadas,
i denti fi car: a l os grupos objeti vo y a sus mi embros, a l os
mecani smos de i mparti ci n efi ci entes, a maestros,
i nstructores y consejeros. Desi gnar i nstructores y organi zar
el entrenami ento con ti empo sufi ci ente. Debe tomarse nota
del regi stro (i ncl uyendo l os prerrequi si tos), l a asi stenci a, y
de l as eval uaci ones de desempeo.
D
S
7

E
d
u
c
a
r

y

e
n
t
r
e
n
a
r

a

u
s
u
a
r
i
o
s
E
N
T
R
E
G
A
R

Y

D
A
R

S
O
P
O
R
T
E
D
S
5

G
a
r
a
n
t
i
z
a
r

l
a

s
e
g
u
r
i
d
a
d

d
e

l
o
s

s
i
s
t
e
m
a
s
D
e
f
i
n
i
r
,

e
s
t
a
b
l
e
c
e
r

y

o
p
e
r
a
r

u
n

p
r
o
c
e
s
o

d
e

a
d
m
i
n
i
s
t
r
a
c
i
n

d
e

i
d
e
n
t
i
d
a
d

(
c
u
e
n
t
a
s
)
.
D
S
5
.
9

-

P
r
e
v
e
n
c
i
n
,

D
e
t
e
c
c
i
n

y

C
o
r
r
e
c
c
i
n

d
e

S
o
f
t
w
a
r
e

M
a
l
i
c
i
o
s
o
.
Poner medi das preventi vas, detecti vas y correcti vas (en
especi al contar con parches de seguri dad y control de vi rus
actual i zados) en toda l a organi zaci n para proteger l os
si stemas de l a i nformaci n y a l a tecnol oga contra mal ware
(vi rus, gusanos, spyware, correo basura).
R
e
v
i
s
a
r

y

v
a
l
i
d
a
r

p
e
r
i
d
i
c
a
m
e
n
t
e

l
o
s

p
r
i
v
i
l
e
g
i
o
s

y

d
e
r
e
c
h
o
s

d
e

a
c
c
e
s
o

d
e

l
o
s

u
s
u
a
r
i
o
s
.
D
S
5
.
1
1

-

I
n
t
e
r
c
a
m
b
i
o

d
e

D
a
t
o
s

S
e
n
s
i
t
i
v
o
s
.
Transacci ones de datos sensi bl es se i ntercambi an sol o a
travs de una ruta o medi o con control es para proporci onar
autenti ci dad de conteni do, prueba de envo, prueba de
recepci n y no repudi o del ori gen.
D
S
6

I
d
e
n
t
i
f
i
c
a
r

y

a
s
i
g
n
a
r

c
o
s
t
o
s
E
s
t
a
b
l
e
c
e
r

y

m
a
n
t
e
n
e
r

u
n

p
r
o
c
e
s
o

d
e

c
o
n
t
r
o
l

d
e

c
o
n
t
a
b
i
l
i
z
a
c
i
n

d
e

T
I

y

d
e

c
o
s
t
o
s
.
D
S
6
.
3

-

M
o
d
e
l
a
c
i
n

d
e

C
o
s
t
o
s

y

C
a
r
g
o
s
.
Con base en l a defi ni ci n del servi ci o, defi ni r un model o de
costos que i ncl uya costos di rectos, i ndi rectos y fi jos de l os
servi ci os, y que ayude al cl cul o de tari fas de rei ntegros de
cobro por servi ci o. El model o de costos debe estar al i neado
con l os procedi mi entos de contabi l i zaci n de costos de l a
empresa. El model o de costos de TI debe garanti zar que l os
cargos por servi ci os son i denti fi cabl es, medi bl es y
predeci bl es por parte de l os usuari os para propi ci ar el
adecuado uso de recursos. La gerenci a del usuari o debe
poder veri fi car el uso actual y l os cargos de l os servi ci os.
E
s
t
a
b
l
e
c
e
r

y

m
a
n
t
e
n
e
r

p
r
o
c
e
d
i
m
i
e
n
t
o
s

y

p
o
l
t
i
c
a
s

d
e

f
a
c
t
u
r
a
c
i
n
.
D
S
6
.
4

-

M
a
n
t
e
n
i
m
i
e
n
t
o

d
e
l

M
o
d
e
l
o

d
e

C
o
s
t
o
s
.
Revi sar y comparar de forma regul ar l o apropi ado del model o
de costos/recargos para mantener su rel evanci a para el
negoci o en evol uci n y para l as acti vi dades de TI.
C O B I T
E
s
t
a
b
l
e
c
e
r

y

m
a
n
t
e
n
e
r

p
r
o
c
e
d
i
m
i
e
n
t
o
s

p
a
r
a

m
a
n
t
e
n
e
r

y

s
a
l
v
a
g
u
a
r
d
a
r

l
a
s

l
l
a
v
e
s

c
r
i
p
t
o
g
r
f
i
c
a
s
.
D
S
5
.
5

-

P
r
u
e
b
a
s
,

V
i
g
i
l
a
n
c
i
a

y

M
o
n
i
t
o
r
e
o

d
e

l
a

S
e
g
u
r
i
d
a
d
.
Garanti zar que l a i mpl ementaci n de l a seguri dad en TI sea
probada y moni toreada de forma pro-acti va. La seguri dad en
TI debe ser reacredi tada peri di camente para garanti zar que
se manti ene el ni vel seguri dad aprobado. Una funci n de
i ngreso al si stema (l oggi ng) y de moni toreo permi te l a
detecci n oportuna de acti vi dades i nusual es o anormal es
que pueden requeri r atenci n.

112

D
O
M
I
N
I
O
P
R
O
C
E
S
O
S
A
C
T
I
V
I
D
A
D
E
S

D
E
L

P
R
O
C
E
S
O
O
B
J
E
T
I
V
O
S

D
E

C
O
N
T
R
O
L
C
A
L
I
F
I
C
A
C
I
N
1.- Se eval a el conteni do del entrenami ento al fi nal i zar l a capaci taci n
respecto a l a rel evanci a?
Se est armando el pl an de capaci taci n y se
va a sel ecci onar por cada gerenci a usuari os
cl aves para capaci tarl os.
0,00
respecto a l a cal i dad?
No.
0,00
respecto a l a efecti vi dad?
No.
0,00
respecto a l a percepci n y retenci n del conoci mi ento?
No.
0,00
respecto al costo y val or?
No.
0,00
1.- Exi sten procedi mi entos de moni toreo basados en l os ni vel es de
servi ci o acordados en l os SLAs?
No hay procedi mi entos defi ni dos.
0,00
2.- Los procedi mi entos de moni toreo permi ten cl asi fi car cual qui er
probl ema?
No,
0,00
3.- Los procedi mi entos de moni toreo permi ten pri ori zar cual qui er
probl ema?
No.
0,00
4.- Exi sten procedi mi entos de escal ami ento basados en l os ni vel es de
servi ci o acordados en l os SLAs, que permi tan cl asi fi car y pri ori zar
cual qui er probl ema?
No.
0,00
5.- Los procedi mi entos de escal ami ento permi ten cl asi fi car cual qui er
probl ema?
No.
0,00
6.- Los procedi mi entos de escal ami ento permi ten pri ori zar cual qui er
probl ema?
No.
0,00
7.- Se mi de l a sati sfacci n del usuari o fi nal respecto a l a cal i dad de l a
mesa de servi ci os de TI?
No l o hacen porque no l es convi ene.
0,00
8.- Se mi de l a sati sfacci n del usuari o fi nal respecto a l a cal i dad de l os
servi ci os de TI?
No l o hacen porque no l es convi ene.
0,00
1.- Se cuenta con un si stema que permi ta el regi stro y rastreo de
l l amadas, i nci dentes, sol i ci tudes de servi ci o y necesi dades de
i nformaci n?
Si , se l o i mpl ement reci entemente. (Hace dos
meses). 1,00
2.- El si stema trabaja estrechamente con l os procesos de admi ni straci n
de i nci dentes?
Si .
1,00
de probl emas?
Si .
1,00
de cambi os?
Si .
1,00
de capaci dad?
Si .
1,00
de di sponi bi l i dad?
Si .
1,00
7.- Se manti ene i nformado a l os cl i entes sobre el estatus de sus
consul tas?
Si .
1,00
1.- Exi sten procedi mi entos de mesa de servi ci os? No exi sten procedi mi entos bi en el aborados. 0,00
2.- Se escal an apropi adamente l os i nci dentes que no pueden resol verse
de forma i nmedi ata de acuerdo con l os l mi tes acordados en el SLA?
No.
0,00
3.- Se garanti za que l a asi gnaci n de i nci dentes permanece en l a mesa de
servi ci os?
No.
0,00
1.- Exi sten procedi mi entos para el moni toreo puntual de l a resol uci n de
consul tas de l os cl i entes?
No.
0,00
2.- Cundo se resuel ve el i nci dente l a mesa de servi ci os regi stra l a causa
raz, s l a conoce?
No.
0,00
3.- Cundo se resuel ve el i nci dente l a mesa de servi ci os confi rma que l a
acci n tomada fue acordada con el cl i ente?
No.
0,00
1.- Se emi ten l os reportes de l a acti vi dad de l a mesa de servi ci os a l a
gerenci a?
Sol o se l o emi te como i nformati vo.
0,50
2.- Los reportes emi ti dos por l a mesa de servi ci os permi te a l a gerenci a
medi r el desempeo del servi ci o y l os ti empos de respuesta?
Sol o se l o emi te como i nformati vo.
0,50
1.- Exi ste una herrami enta de soporte que contenga toda l a i nformaci n
rel evante sobre l os el ementos de confi guraci n?
No.
0,00
2.- Exi ste un reposi tori o central que contenga toda l a i nformaci n
rel evante sobre l os el ementos de confi guraci n?
No.
0,00
3.- Se moni torean todos l os acti vos y l os cambi os a l os acti vos? En parte. 0,50
4.- Se graban todos l os acti vos y l os cambi os a l os acti vos? En parte. 0,50
1.- Exi sten procedi mi entos de confi guraci n? No. 0,00
2.- El procedi mi ento soporta todos l os cambi os al reposi tori o de
confi guraci n?
No.
0,00
3.- Est i ntegrado el procedi mi ento de confi guraci n con l a gesti n de
cambi os?
No.
0,00
i nci dentes?
No.
0,00
probl emas?
No.
0,00
1.- Se revi san peri di camente l os datos de confi guraci n para veri fi car l a
i ntegri dad de l a confi guraci n actual e hi stri ca?
No. Sol o en parte. No exi ste un procedi emto
formal o establ eci do.
0,00
2.- Se revi san peri di camente l os datos de confi guraci n para confi rmar
l a i ntegri dad de l a confi guraci n actual e hi stri ca?
No.
0,00
3.- Se revi sa peri di camente el software i nstal ado contra l a pol ti ca de
uso de software personal o no l i cenci ado o cual qui er otra i nstanci a de
software en exceso del contrato de l i cenci ami ento actual ?
Si . Se l o revi sa cada sei s meses cuando se
hace el manteni mi ento de equi pos. 1,00
1.- Exi sten procesos para reportar probl emas que han si do i denti fi cados
como parte de l a admi ni straci n de i nci dentes?
No.
0,00
2.- Exi sten procesos para cl asi fi car probl emas que han si do
i denti fi cados como parte de l a admi ni straci n de i nci dentes?
No.
0,00
1.- Se cuenta con un si stema de admi ni straci n de probl emas? No. 0,00
2.- El si stema manti ene pi stas de audi tora que pemi ta rastrear l a causa
raz de todos l os probl emas reportados?
No.
0,00
3.- El si stema manti ene pi stas de audi tora que pemi ta anal i zar l a causa
raz de todos l os probl emas reportados?
No.
0,00
4.- El si stema manti ene pi stas de audi tora que pemi ta determi nar l a
causa raz de todos l os probl emas reportados?
No.
0,00
R
e
a
l
i
z
a
r

a
c
t
i
v
i
d
a
d
e
s

d
e

c
a
p
a
c
i
t
a
c
i
n
,

i
n
t
r
u
s
i
n

y

c
o
n
c
i
e
n
c
i
a
c
i
n
.

*
L
l
e
v
a
r

a

c
a
b
o

e
v
a
l
u
a
c
i
o
n
e
s

d
e

c
a
p
a
c
i
t
a
c
i
n
.

*
I
d
e
n
t
i
f
i
c
a
r

y

e
v
a
l
u
a
r

l
o
s

m
e
j
o
r
e
s

m
t
o
d
o
s

y

h
e
r
r
a
m
i
e
n
t
a
s

p
a
r
a

i
m
p
a
r
t
i
r

l
a

c
a
p
a
c
i
t
a
c
i
n
.
D
S
7
.
3

E
v
a
l
u
a
c
i
n

d
e
l

E
n
t
r
e
n
a
m
i
e
n
t
o

R
e
c
i
b
i
d
o
.
Al fi nal i zar el entrenami ento, eval uar el conteni do del
entrenami ento respecto a l a rel evanci a, cal i dad, efecti vi dad,
percepci n y retenci n del conoci mi ento, costo y val or. Los
resul tados de esta eval uaci n deben contri bui r en l a
defi ni ci n futura de l os pl anes de estudi o y de l as sesi ones de
entrenami ento.
C O B I T
D
S
7

E
d
u
c
a
r

y

e
n
t
r
e
n
a
r

a

u
s
u
a
r
i
o
s
D
S
8

A
d
m
i
n
i
s
t
r
a
r

l
a

m
e
s
a

d
e

s
e
r
v
i
c
i
o

y

l
o
s

i
n
c
i
d
e
n
t
e
s
C
r
e
a
r

p
r
o
c
e
d
i
m
i
e
n
t
o
s

d
e

c
l
a
s
i
f
i
c
a
c
i
n

(
s
e
v
e
r
i
d
a
d

e

i
m
p
a
c
t
o
)

y

d
e

e
s
c
a
l
a
m
i
e
n
t
o

(
f
u
n
c
i
o
n
a
l

y

j
e
r
r
q
u
i
c
o
s
)
.
D
S
8
.
1

-

M
e
s
a

d
e

S
e
r
v
i
c
i
o
s
.
Establ ecer l a funci n de mesa de servi ci o, l a cual es l a
conexi n del usuari o con TI, para regi strar, comuni car,
atender y anal i zar todas l as l l amadas, i nci dentes reportados,
requeri mi entos de servi ci o y sol i ci tudes de i nformaci n.
Deben exi sti r procedi mi entos de moni toreo y escal ami ento
basados en l os ni vel es de servi ci o acordados en l os SLAs, que
permi tan cl asi fi car y pri ori zar cual qui er probl ema reportado
como i nci dente, sol i ci tud de servi ci o o sol i ci tud de
i nformaci n. Medi r l a sati sfacci n del usuari o fi nal respecto
a l a cal i dad de l a mesa de servi ci os y de l os servi ci os de TI
D
e
t
e
c
t
a
r

y

r
e
g
i
s
t
r
a
r

i
n
c
i
d
e
n
t
e
s
/
s
o
l
i
c
i
t
u
d
e
s

d
e

s
e
r
v
i
c
i
o
/
s
o
l
i
c
i
t
u
d
e
s

d
e

i
n
f
o
r
m
a
c
i
n
.
D
S
8
.
2

-

R
e
g
i
s
t
r
o

d
e

C
o
n
s
u
l
t
a
s

d
e

C
l
i
e
n
t
e
s
.
Establ ecer una funci n y si stema que permi ta el regi stro y
rastreo de l l amadas, i nci dentes, sol i ci tudes de servi ci o y
necesi dades de i nformaci n. Debe trabajar estrechamente
con l os procesos de admi ni straci n de i nci dentes,
admi ni straci n de probl emas, admi ni straci n de cambi os,
admi ni straci n de capaci dad y admi ni straci n de
di sponi bi l i dad. Los i nci dentes deben cl asi fi carse de acuerdo
al negoci o y a l a pri ori dad del servi ci o y enrutarse al equi po
de admi ni straci n de probl emas apropi ado y se debe
mantener i nformados a l os cl i entes sobre el estatus de sus
consul tas.
C
l
a
s
i
f
i
c
a
r
,

i
n
v
e
s
t
i
g
a
r

y

d
i
a
g
n
o
s
t
i
c
a
r

c
o
n
s
u
l
t
a
s
.
D
S
8
.
3

-

E
s
c
a
l
a
m
i
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s
.
Establ ecer procedi mi entos de mesa de servi ci os de manera
que l os i nci dentes que no puedan resol verse de forma
i nmedi ata sean escal ados apropi adamente de acuerdo con
l os l mi tes acordados en el SLA (ni vel es de servi ci o) y, si es
adecuado, bri ndar sol uci ones al ternas. Garanti zar que l a
asi gnaci n de i nci dentes y el moni toreo del ci cl o de vi da
permanecen en l a mesa de servi ci os, i ndependi entemente de
qu grupo de TI est trabajando en l as acti vi dades de
resol uci n.
R
e
s
o
l
v
e
r
,

r
e
c
u
p
e
r
a
r

y

c
e
r
r
a
r

i
n
c
i
d
e
n
t
e
s
.

*
H
a
c
e
r

r
e
p
o
r
t
e
s

p
a
r
a

l
a

g
e
r
e
n
c
i
a
.
D
S
8
.
4

-

C
i
e
r
r
e

d
e

I
n
c
i
d
e
n
t
e
s
.
Establ ecer procedi mi entos para el moni toreo puntual de l a
resol uci n de consul tas de l os cl i entes. Cuando se resuel ve el
i nci dente l a mesa de servi ci os debe regi strar l a causa raz, si
l a conoce, y confi rmar que l a acci n tomada fue acordada
con el cl i ente.
I
n
f
o
r
m
a
r

a

u
s
u
a
r
i
o
s

(
p
o
r

e
j
e
m
p
l
o
,

a
c
t
u
a
l
i
z
a
c
i
o
n
e
s

d
e

e
s
t
a
t
u
s
)
D
S
8
.
5

-

A
n
l
i
s
i
s

d
e

T
e
n
d
e
n
c
i
a
s
.Emi ti r reportes de l a acti vi dad de l a mesa de servi ci os para
permi ti r a l a gerenci a medi r el desempeo del servi ci o y l os
ti empos de respuesta, as como para i denti fi car tendenci as de
probl emas recurrentes de forma que el servi ci o pueda
mejorarse de forma conti nua.
I
d
e
n
t
i
f
i
c
a
r

y

c
l
a
s
i
f
i
c
a
r

p
r
o
b
l
e
m
a
s
.
D
S
1
0
.
1

-

I
d
e
n
t
i
f
i
c
a
c
i
n

y

C
l
a
s
i
f
i
c
a
c
i
n

d
e

P
r
o
b
l
e
m
a
s
.
Impl ementar procesos para reportar y cl asi fi car probl emas
que han si do i denti fi cados como parte de l a admi ni straci n
de i nci dentes. Los pasos i nvol ucrados en l a cl asi fi caci n de
probl emas son si mi l ares a l os pasos para cl asi fi car
i nci dentes; son determi nar l a categora, i mpacto, urgenci a y
pri ori dad. Los probl emas deben categori zar se de manera
apropi ada en grupos o domi ni os rel aci onados (por ejempl o,
hardware, software, software de soporte). Estos grupos
pueden coi nci di r con l as responsabi l i dades organi zaci onal es
o con l a base de usuari os y cl i entes, y son l a base para
asi gnar l os probl emas al personal de soporte.
R
e
a
l
i
z
a
r

a
n
l
i
s
i
s

d
e

c
a
u
s
a

r
a
z
.
D
S
1
0
.
2

-

R
a
s
t
r
e
o

y

R
e
s
o
l
u
c
i
n

d
e

P
r
o
b
l
e
m
a
s
.
El si stema de admi ni straci n de probl emas debe mantener
pi stas de audi tora adecuadas que permi tan rastrear,
anal i zar y determi nar l a causa raz de todos l os probl emas
reportados consi derando:
Todos l os el ementos de confi guraci n asoci ados
Probl emas e i nci dentes sobresal i entes
Errores conoci dos y sospechados
Segui mi ento de l as tendenci as de l os probl emas
D
S
1
0

A
d
m
i
n
i
s
t
r
a
r

l
o
s

p
r
o
b
l
e
m
a
s
E
N
T
R
E
G
A
R

Y

D
A
R

S
O
P
O
R
T
E
D
S
9

A
d
m
i
n
i
s
t
r
a
r

l
a

c
o
n
f
i
g
u
r
a
c
i
n
D
e
s
a
r
r
o
l
l
a
r

p
r
o
c
e
d
i
m
i
e
n
t
o
s

d
e

p
l
a
n
e
a
c
i
n

d
e

a
d
m
i
n
i
s
t
r
a
c
i
n

d
e

l
a

c
o
n
f
i
g
u
r
a
c
i
n
.

*
A
c
t
u
a
l
i
z
a
r

e
l

r
e
p
o
s
i
t
o
r
i
o

d
e

c
o
n
f
i
g
u
r
a
c
i
n
.
D
S
9
.
1

-

R
e
p
o
s
i
t
o
r
i
o

y

L
n
e
a

B
a
s
e

d
e

C
o
n
f
i
g
u
r
a
c
i
n
.
Establ ecer una herrami enta de soporte y un reposi tori o
central que contenga toda l a i nformaci n rel evante sobre l os
el ementos de confi guraci n. Moni torear y grabar todos l os
acti vos y l os cambi os a l os acti vos. Mantener una l nea base
de l os el ementos de l a confi guraci n para todos l os si stemas
y servi ci os como punto de comprobaci n al que vol ver tras el
cambi o.
R
e
c
o
p
i
l
a
r

i
n
f
o
r
m
a
c
i
n

s
o
b
r
e

l
a

c
o
n
f
i
g
u
r
a
c
i
n

i
n
i
c
i
a
l

y

e
s
t
a
b
l
e
c
e
r

l
n
e
a
s

b
a
s
e
.
D
S
9
.
2

-

I
d
e
n
t
i
f
i
c
a
c
i
n

y

M
a
n
t
e
n
i
m
i
e
n
t
o

d
e

E
l
e
m
e
n
t
o
s

d
e

C
o
n
f
i
g
u
r
a
c
i
n
.
Establ ecer procedi mi entos de confi guraci n para soportar l a
gesti n y rastro de todos l os cambi os al reposi tori o de
confi guraci n. Integrar estos procedi mi entos con l a gesti n
de cambi os, gesti n de i nci dentes y procedi mi entos de
gesti n de probl emas.
V
e
r
i
f
i
c
a
r

y

a
u
d
i
t
a
r

l
a

i
n
f
o
r
m
a
c
i
n

d
e

l
a

c
o
n
f
i
g
u
r
a
c
i
n

(
i
n
c
l
u
y
e

l
a

d
e
t
e
c
c
i
n

d
e
l

s
o
f
t
w
a
r
e

n
o

a
u
t
o
r
i
z
a
d
o
)
.
D
S
9
.
3

-

R
e
v
i
s
i
n

d
e

I
n
t
e
g
r
i
d
a
d

d
e

l
a

C
o
n
f
i
g
u
r
a
c
i
n
.
Revi sar peri di camente l os datos de confi guraci n para
veri fi car y confi rmar l a i ntegri dad de l a confi guraci n actual
e hi stri ca. Revi sar peri di camente el software i nstal ado
contra l a pol ti ca de uso de software para i denti fi car
software personal o no l i cenci ado o cual qui er otra i nstanci a
de software en exceso del contrato de l i cenci ami ento actual .
Reportar, actuar y corregi r errores y desvi aci ones.

113

D
O
M
I
N
I
O
P
R
O
C
E
S
O
S
A
C
T
I
V
I
D
A
D
E
S

D
E
L

P
R
O
C
E
S
O
O
B
J
E
T
I
V
O
S

D
E

C
O
N
T
R
O
L
C
A
L
I
F
I
C
A
C
I
N
R
e
s
o
l
v
e
r

p
r
o
b
l
e
m
a
s
.

*
R
e
v
i
s
a
r

e
l

e
s
t
a
t
u
s

d
e

p
r
o
b
l
e
m
a
s
.

*
M
a
n
t
e
n
e
r

r
e
g
i
s
t
r
o
s

d
e

l
o
s

p
r
o
b
l
e
m
a
s
D
S
1
0
.
3

-

C
i
e
r
r
e

d
e

P
r
o
b
l
e
m
a
s
.
Di sponer de un procedi mi ento para cerrar regi stros de
probl emas ya sea despus de confi rmar l a el i mi naci n
exi tosa del error conoci do o despus de acordar con el
negoci o cmo manejar el probl ema de manera al ternati va.
1.- Exi ste un procedi mi ento para cerrar regi stros de probl emas? No.
0,00
1.- Se garanti za una adecuada admi ni straci n de probl emas? No. 0,00
2.- Se garanti za una adecuada admi ni straci n de i nci dentes? No. 0,00
3.- Se moni torea cunto esfuerzo se apl i ca en apagar fuegos? No. 0,00
4.- Se mejora l os procesos de admi ni straci n de cambi os,confi guraci n y
probl emas para mi ni mi zar l os probl emas?
No.
0,00
1.- Se veri fi ca que todos l os datos que se espera procesar se reci ban
compl etamente, de forma preci sa y a ti empo?
Se cumpl e pero no en un 100%
0,50
2.- Se veri fi ca que todos l os datos que se espera procesar se procesan
compl etamente, de forma preci sa y a ti empo?
Se cumpl e pero no en un 100%
0,50
3.- Las necesi dades de rei ni ci o estn soportadas? No. 0,00
4.- Las necesi dades de reproceso estn soportadas? No. 0,00
1.- Exi sten procedi mi entos para el archi vo de l os datos? No. Esto se cumpl e en una pequea parte
cuando se hace manteni mi ento se respal da l o
que el usuari o i ndi ca. Pero en caso de
emergenci a no ti enen al camacenada l a
i nformaci n para recuperarl a
i nmedi atamente.
0,50
2.- Exi sten procedi mi entos para el al macenani ento de l os datos? Ver respuesta anteri or. 0,50
3.- Exi sten procedi mi entos para l a retenci n de l os datos? Ver respuesta anteri or. 0,50
1.- Exi sten procedi mi entos para mantener un i nventari o de medi os
al macenados?
No. Se l o hace empri camente.
0,00
2.- Exi sten procedi mi entos para mantener un i nventari o de medi os
archi vados?
No.
0,00
3.- Se aseguran de l a usabi l i dad e i ntegri dad de l os medi os? No.
0,00
1.- Exi sten procedi mi entos para l a protecci n de datos sensi ti vos que
aseguren l os requeri mi entos del negoci o?
0,00
2.- Exi sten procedi mi entos para l a protecci n del software que aseguren
l os requeri mi entos del negoci o?
No.
0,00
1. Exi sten procedi mi entos de respal do de l os si stemas en l nea al i neado
con l os requeri mi entos de negoci o y el pl an de conti nui dad?
Exi sten un procedi mi ento pero no est
documentado.
0,50
2. Exi sten procedi mi entos de respal do de l as apl i caci ones en l nea
al i neado con l os requeri mi entos de negoci o y el pl an de conti nui dad?
documentado.
0,50
3. Exi sten procedi mi entos de respal do de l os datos en l nea al i neado con
l os requeri mi entos de negoci o y el pl an de conti nui dad?
documentado.
0,50
4. Exi sten procedi mi entos de respal do de l a documentaci n en l nea
al i neado con l os requeri mi entos de negoci o y el pl an de conti nui dad?
documentado.
0,50
1.- Exi sten procedi mi entos para i denti fi car l os requeri mi entos de
seguri dad apl i cabl es al reci bo?
0,00
2.- Exi sten procedi mi entos para apl i car l os requeri mi entos de seguri dad
apl i cabl es al reci bo?
No.
0,00
1.- Se defi ne l os centros de datos fsi cos para el equi po de TI? Estn Impl ci tos en el proceso porque sol o
estn aqu. En l as otras partes no hay, sol o se
l o maneja en forma remota.
1,00
2.- Se sel ecci ona l os centros de datos fsi cos para el equi po de TI? Si . 1,00
3.- Se soporta l a estrategi a de tecnol oga l i gada a l a estrategi a del
negoci o?
Si por medi o del pl an estrtegi co.
1,00
4.- La sel ecci n de un centro de datos toma en cuenta el ri esgo asoci ado
con desastres natural es y causados por el hombre?
Se ti enen i denti fi cado l os desastres en el data
center.
0,50
5.- El di seo del esquema de un centro de datos toma en cuenta el ri esgo
asoci ado con desastres natural es y causados por el hombre?
Se ti enen i denti fi cado l os desastres en el data
center.
0,50
6.- Se consi dera l as l eyes y regul aci ones correspondi entes, tal es como
regul aci ones de seguri dad y de sal ud en el trabajo?
Si , por medi o del comi t de sal ud y seguri dad
en el trabajo.
1,00
1.- Exi sten medi das de seguri dad fsi cas al i neadas con l os
requeri mi entos del negoci o?
Si pero fal ta i mpl ementar medi das de
seguri dad fsi ca.
0,50
2.- Se establ ecen l as responsabi l i dades sobre el moni toreo? Si . 1,00
3.- Se establ ecen l as responsabi l i dades sobre l os procedi mi entos de
reporte?
Si .
1,00
4.- Se establ ecen l as responsabi l i dades sobre l a resol uci n de i nci dentes
de seguri dad fsi ca?
Si .
1,00
1.- Exi sten procedi mi entos para otorgar el acceso a l ocal es, edi fi ci os y
reas de acuerdo con l as necesi dades del negoci o, i ncl uyendo l as
emergenci as?
Si .
1,00
2.- Exi sten procedi mi entos para l i mi tar el acceso a l ocal es, edi fi ci os y
emergenci as?
Si .
1,00
3.- Exi sten procedi mi entos para revocar el acceso a l ocal es, edi fi ci os y
emergenci as?
Si .
1,00
1.- Exi sten medi das de protecci n contra factores ambi ental es? Si . 1,00
2.- Exi sten di sposi ti vos especi al i zados para moni torear y control ar el
ambi ente?
Si .
1,00
3- Exi sten equi pos especi al i zado para moni torear y control ar el
ambi ente?
Si .
1,00
1.- El equi po de comuni caci ones est admi ni strado de acuerdo con l as
l eyes y l os regl amentos, l os requeri mi entos tcni cos y del negoci o, l as
especi fi caci ones del proveedor y l os l i neami entos de seguri dad y sal ud?
Fal ta i mpl ementar en ci ertas reas.
0,50
2.- El equi po de sumi ni stro de energa, esta admi ni strado de acuerdo con
l as l eyes y l os regl amentos, l os requeri mi entos tcni cos y del negoci o, l as
especi fi caci ones del proveedor y l os l i neami entos de seguri dad y sal ud?
0,50
1.- Exi sten procedi mi entos estndar para operaci ones de TI? Fal ta el aborar procedi mi entos. 0,00
2.- El personal de operaci ones est fami l i ari zado con todas l as tareas de
operaci n rel ati vas a el l os?
Si .
1,00
E
m
i
t
i
r

r
e
c
o
m
e
n
d
a
c
i
o
n
e
s

p
a
r
a

m
e
j
o
r
a
r

y

c
r
e
a
r

u
n
a

s
o
l
i
c
i
t
u
d

d
e

c
a
m
b
i
o

r
e
l
a
c
i
o
n
a
d
a
.
D
S
1
0
.
4

-

I
n
t
e
g
r
a
c
i
n

d
e

l
a
s

A
d
m
i
n
i
s
t
r
a
c
i
o
n
e
s

d
e

C
a
m
b
i
o
s
,

C
o
n
f
i
g
u
r
a
c
i
n

y

P
r
o
b
l
e
m
a
s
.
Para garanti zar una adecuada admi ni straci n de probl emas
e i nci dentes, i ntegrar l os procesos rel aci onados de
admi ni straci n de cambi os, confi guraci n y probl emas.
Moni torear cunto esfuerzo se apl i ca en apagar fuegos, en
l ugar de permi ti r mejoras al negoci o y, en l os casos que sean
necesari os, mejorar estos procesos para mi ni mi zar l os
probl emas.
C O B I T
D
S
1
0

A
d
m
i
n
i
s
t
r
a
r

l
o
s

p
r
o
b
l
e
m
a
s
E
N
T
R
E
G
A
R

Y

D
A
R

S
O
P
O
R
T
E
D
S
1
1

A
d
m
i
n
i
s
t
r
a
r

l
o
s

d
a
t
o
s
T
r
a
d
u
c
i
r

l
o
s

r
e
q
u
e
r
i
m
i
e
n
t
o
s

d
e

a
l
m
a
c
e
n
a
m
i
e
n
t
o

y

c
o
n
s
e
r
v
a
c
i
n

a

p
r
o
c
e
d
i
m
i
e
n
t
o
s
.
D
S
1
1
.
1

-

R
e
q
u
e
r
i
m
i
e
n
t
o
s

d
e
l

N
e
g
o
c
i
o

p
a
r
a

A
d
m
i
n
i
s
t
r
a
c
i
n

d
e

D
a
t
o
s
.
Veri fi car que todos l os datos que se espera procesar se
reci ben y procesan compl etamente, de forma preci sa y a
ti empo, y que todos l os resul tados se entregan de acuerdo a
l os requeri mi entos de negoci o. Las necesi dades de rei ni ci o y
reproceso estn soportadas.
D
e
f
i
n
i
r
,

m
a
n
t
e
n
e
r

e

i
m
p
l
e
m
e
n
t
a
r

p
r
o
c
e
d
i
m
i
e
n
t
o
s

p
a
r
a

a
d
m
i
n
i
s
t
r
a
r

l
i
b
r
e
r
a
s

d
e

m
e
d
i
o
s
.
D
S
1
1
.
2

-

A
c
u
e
r
d
o
s

d
e

A
l
m
a
c
e
n
a
m
i
e
n
t
o

y

C
o
n
s
e
r
v
a
c
i
n
.
Defi ni r e i mpl ementar procedi mi entos para el archi vo,
al macenami ento y retenci n de l os datos, de forma efecti va y
efi ci ente para consegui r l os objeti vos de negoci o, l a pol ti ca
de seguri dad de l a organi zaci n y l os requeri mi entos
regul atori os.
D
e
f
i
n
i
r
,

m
a
n
t
e
n
e
r

e

i
m
p
l
e
m
e
n
t
a
r

p
r
o
c
e
d
i
m
i
e
n
t
o
s

p
a
r
a

d
e
s
e
c
h
a
r

d
e

f
o
r
m
a

s
e
g
u
r
a
,

m
e
d
i
o
s

y

e
q
u
i
p
o
.
D
S
1
1
.
3

-

S
i
s
t
e
m
a

d
e

A
d
m
i
n
i
s
t
r
a
c
i
n

d
e

L
i
b
r
e
r
a
s

d
e

M
e
d
i
o
s
.
Defi ni r e i mpl ementar procedi mi entos para mantener un
i nventari o de medi os al macenados y archi vados para
asegurar su usabi l i dad e i ntegri dad.
R
e
s
p
a
l
d
a
r

l
o
s

d
a
t
o
s

d
e

a
c
u
e
r
d
o

a
l

e
s
q
u
e
m
a
.
D
S
1
1
.
4

-

E
l
i
m
i
n
a
c
i
n
.
Defi ni r e i mpl ementar procedi mi entos para asegurar que l os
requeri mi entos de negoci o para l a protecci n de datos
sensi ti vos y el software se consi guen cuando se el i mi nan o
transfi eren l os datos y/o el hardware.
D
e
f
i
n
i
r
,

m
a
n
t
e
n
e
r

e

i
m
p
l
e
m
e
n
t
a
r

p
r
o
c
e
d
i
m
i
e
n
t
o
s

p
a
r
a

r
e
s
t
a
u
r
a
c
i
n

d
e

d
a
t
o
s
.
D
S
1
1
.
5

-

R
e
s
p
a
l
d
o

y

R
e
s
t
a
u
r
a
c
i
n
.
Defi ni r e i mpl ementar procedi mi entos de respal do y
restauraci n de l os si stemas, apl i caci ones, datos y
documentaci n en l nea con l os requeri mi entos de negoci o y
el pl an de conti nui dad.
D
e
f
i
n
i
r
,

m
a
n
t
e
n
e
r

e

i
m
p
l
e
m
e
n
t
a
r

p
r
o
c
e
d
i
m
i
e
n
t
o
s

p
a
r
a

r
e
s
t
a
u
r
a
c
i
n

d
e

d
a
t
o
s
.
D
S
1
1
.
6

-

R
e
q
u
e
r
i
m
i
e
n
t
o
s

d
e

S
e
g
u
r
i
d
a
d

p
a
r
a

l
a

A
d
m
i
n
i
s
t
r
a
c
i
n

d
e

D
a
t
o
s
.
Defi ni r e i mpl ementar l as pol ti cas y procedi mi entos para
i denti fi car y apl i car l os requeri mi entos de seguri dad
apl i cabl es al reci bo, procesami ento, al macn y sal i da de l os
datos para consegui r l os objeti vos de negoci o, l as pol ti cas
de seguri dad de l a organi zaci n y requeri mi entos
regul atori os
D
S
1
2

A
d
m
i
n
i
s
t
r
a
r

e
l

a
m
b
i
e
n
t
e

f
s
i
c
o
D
e
f
i
n
i
r

e
l

n
i
v
e
l

r
e
q
u
e
r
i
d
o

d
e

p
r
o
t
e
c
c
i
n

f
s
i
c
a
.
D
S
1
2
.
1

-

S
e
l
e
c
c
i
n

y

D
i
s
e
o

d
e
l

C
e
n
t
r
o

d
e

D
a
t
o
s
.
Defi ni r y sel ecci onar l os centros de datos fsi cos para el
equi po de TI para soportar l a estrategi a de tecnol oga l i gada
a l a estrategi a del negoci o. Esta sel ecci n y di seo del
esquema de un centro de datos debe tomar en cuenta el ri esgo
asoci ado con desastres natural es y causados por el hombre.
Tambi n debe consi derar l as l eyes y regul aci ones
correspondi entes, tal es como regul aci ones de seguri dad y de
sal ud en el trabajo.
S
e
l
e
c
c
i
o
n
a
r

y

c
o
m
i
s
i
o
n
a
r

e
l

s
i
t
i
o

(
c
e
n
t
r
o

d
e

d
a
t
o
s
,

o
f
i
c
i
n
a
,

e
t
c
)
.
D
S
1
2
.
2

-

M
e
d
i
d
a
s

d
e

S
e
g
u
r
i
d
a
d

F
s
i
c
a
.
Defi ni r e i mpl ementar medi das de seguri dad fsi cas al i neadas
con l os requeri mi entos del negoci o. Las medi das deben
i ncl ui r, pero no l i mi tarse al esquema del permetro de
seguri dad, de l as zonas de seguri dad, l a ubi caci n de equi po
crti co y de l as reas de envo y recepci n. En parti cul ar,
mantenga un perfi l bajo respecto a l a presenci a de
operaci ones crti cas de TI. Deben establ ecerse l as
responsabi l i dades sobre el moni toreo y l os procedi mi entos
de reporte y de resol uci n de i nci dentes de seguri dad fsi ca.
I
m
p
l
e
m
e
n
t
a
r

m
e
d
i
d
a
s

d
e

a
m
b
i
e
n
t
e

f
s
i
c
o
.
D
S
1
2
.
3

-

A
c
c
e
s
o

F
s
i
c
o
.
Defi ni r e i mpl ementar El acceso a l ocal es, edi fi ci os y reas
debe justi fi carse, autori zarse, regi strarse y moni torearse.
Esto apl i ca para todas l as personas que accedan a l as
i nstal aci ones, i ncl uyendo personal , cl i entes, proveedores,
vi si tantes o cual qui er tercera persona.
A
d
m
i
n
i
s
t
r
a
r

e
l

a
m
b
i
e
n
t
e

f
s
i
c
o

(
m
a
n
t
e
n
i
m
i
e
n
t
o
,

m
o
n
i
t
o
r
e
o

y

r
e
p
o
r
t
e
s

i
n
c
l
u
i
d
o
s
)
.
D
S
1
2
.
4

-

P
r
o
t
e
c
c
i
n

C
o
n
t
r
a

F
a
c
t
o
r
e
s

A
m
b
i
e
n
t
a
l
e
s
.
Di sear e i mpl ementar medi das de protecci n contra factores
ambi ental es. Deben i nstal arse di sposi ti vos y equi po
especi al i zado para moni torear y control ar el ambi ente
D
e
f
i
n
i
r

e

i
m
p
l
e
m
e
n
t
a
r

p
r
o
c
e
s
o
s

p
a
r
a

m
a
n
t
e
n
i
m
i
e
n
t
o

y

a
u
t
o
r
i
z
a
c
i
n

d
e

a
c
c
e
s
o

f
s
i
c
o
.
D
S
1
2
.
5

-

A
d
m
i
n
i
s
t
r
a
c
i
n

d
e

I
n
s
t
a
l
a
c
i
o
n
e
s

F
s
i
c
a
s
.
Admi ni strar l as i nstal aci ones, i ncl uyendo el equi po de
comuni caci ones y de sumi ni stro de energa, de acuerdo con
l as l eyes y l os regl amentos, l os requeri mi entos tcni cos y del
negoci o, l as especi fi caci ones del proveedor y l os
l i neami entos de seguri dad y sal ud.
D
S
1
3

A
d
m
i
n
i
s
t
r
a
r

l
a
s

o
p
e
r
a
c
i
o
n
e
s
C
r
e
a
r
/
m
o
d
i
f
i
c
a
r

p
r
o
c
e
d
i
m
i
e
n
t
o
s

d
e

o
p
e
r
a
c
i
n

(
i
n
c
l
u
y
e
n
d
o

m
a
n
u
a
l
e
s
,

p
l
a
n
e
s

d
e

c
a
m
b
i
o
s
,

p
r
o
c
e
d
i
m
i
e
n
t
o
s

d
e

e
s
c
a
l
a
m
i
e
n
t
o
,

e
t
c
)
.
D
S
1
3
.
1

-

P
r
o
c
e
d
i
m
i
e
n
t
o
s

e

I
n
s
t
r
u
c
c
i
o
n
e
s

d
e

O
p
e
r
a
c
i
n
.
Defi ni r, i mpl ementar y mantener procedi mi entos estndar
para operaci ones de TI y garanti zar que el personal de
operaci ones est fami l i ari zado con todas l as tareas de
operaci n rel ati vas a el l os. Los procedi mi entos de operaci n
deben cubri r l os procesos de entrega de turno (transferenci a
formal de l a acti vi dad, estatus, actual i zaci ones, probl emas
de operaci n, procedi mi entos de escal ami ento, y reportes
sobre l as responsabi l i dades actual es) para garanti zar l a
conti nui dad de l as operaci ones.

114

D
O
M
I
N
I
O
P
R
O
C
E
S
O
S
A
C
T
I
V
I
D
A
D
E
S

D
E
L

P
R
O
C
E
S
O
O
B
J
E
T
I
V
O
S

D
E

C
O
N
T
R
O
L
C
A
L
I
F
I
C
A
C
I
N
1.- La programaci on de trabajos est organi zado de una manera mas
efi ci ente, maxi mi zando el desempeo y l a uti l i zaci on para cumpl i r con l os
Si , para eso se apl i ca el PHVA (Pl anear, Hacer,
Veri fi car y Actuar). 1,00
2.- La programaci on de procesos esta organi zado de una manera mas
Si .
1,00
3.- La programaci on de tareas esta organi zado de una manera mas
Si .
1,00
1.- Exi sten procedi mi entos para moni torear l a i nfraestructura de TI? No est cl aramente, se l o hace empri camente
porque no esta defi ni do.
0,00
2.- Exi sten procedi mi entos para moni torear l os eventos rel aci onados? No.
0,00
1.- Exi sten resguardos fsi cos sobre l os acti vos de TI ms sensi ti vos tal es
como formas, i nstrumentos negoci abl es, i mpresoras de uso especi al o
di sposi ti vos de seguri dad?
No, sol o en parte.
0,50
2.- Exi sten prcti cas de regi stros sobre l os acti vos de TI ms sensi ti vos
tal es como formas, i nstrumentos negoci abl es, i mpresoras de uso especi al
o di sposi ti vos de seguri dad?
No, sol o en parte.
0,50
3.- Exi ste una admi ni straci n de i nventari os adecuados sobre l os acti vos
de TI ms sensi ti vos tal es como formas, i nstrumentos negoci abl es,
i mpresoras de uso especi al o di sposi ti vos de seguri dad?
No, sol o en parte.
0,50
1.- Exi sten procedi mi entos para garanti zar el manteni mi ento oportuno de
l a i nfraestructura?
Si .
1,00
2.- Exi sten procedi mi entos para reduci r l a frecuenci a y el i mpacto de l as
fal l as de l a i nfraestructura?
Si .
1,00
3.- Exi sten procedi mi entos para reduci r l a di smi nuci n del desempeo de
l a i nfraestructura?
Si .
1,00
1.- Se establ ece un marco de trabajo de moni toreo general que defi nan el
al cance, l a metodol oga y el proceso a segui r para medi r l a sol uci n y l a
entrega de servi ci os de TI?
No hay.
0,00
2.- Se establ ece un enfoque que defi nan el al cance, l a metodol oga y el
proceso a segui r para medi r l a sol uci n y l a entrega de servi ci os de TI?
No hay.
0,00
3.- Se moni torea l a contri buci n de TI al negoci o? No hay. 0,00
4.- Se i ntegra el marco de trabajo de TI con el si stema de admi ni straci n
del desempeo corporati vo?
No hay.
0,00
1.- Se defi nen un conjunto bal anceado de objeti vos de desempeo que
van acordes con l as metas del negoci o?
Si por medi o del Bal ance Score Card, se
regi stran l os i ndi cadores.
1,00
2.- Se aprueban l os objeti vos de desempeo de cada uno de l os procesos
de TI por l a gerenci a y otros i nteresados rel evantes?
Si .
1,00
3.- Se defi nen referenci as con l as que se compara l os objeti vos de
desempeo?
Si por medi o del Bal anced Scorecard, se
1,00
4.- Se i denti fi can datos di sponi bl es a recol ectar para medi r l os
objeti vos?
Si .
1,00
5.- Se establ ecen procesos para recol ectar i nformaci n oportuna para
reportar el avance contra l as metas?
Si .
1,00
6.- Se establ ecen procesos para recol ectar i nformaci n preci sa para
reportar el avance contra l as metas?
Si .
1,00
1.- Se garanti za l a i mpl antaci n de un mtodo en el proceso de
moni toreo?
Si .
1,00
2.- El proceso de moni toreo bri nda una vi si n suci nta desde todos l os
ngul os del desempeo de TI, que se adapte al si stema de moni toreo de l a
empresa?
Si .
1,00
1.- Se comparan de forma peri di ca el desempeo contra l as metas? Si por medi o del Bal anced Scorecard, se
1,00
2.- Se anal i za l a causa raz para resol ver l as causas subyacentes
tomando l as medi das correcti vas?
1,00
1.- Exi ste una revi si n admi ni strati va de l os reportes de desempeo de
l os recursos de TI?
Si , cada gerente revi sa el BSC para tomar l as
medi das correcti vas.
1,00
2.- Los reportes de estatus i ncl uyen el grado en el que se han al canzado
l os objeti vos pl aneados?
Si .
l os entregabl es obteni dos?
Si .
1,00
l as metas de desempeo al canzadas?
Si .
1,00
l os ri esgos mi ti gados?
Si .
1,00
6.- Durante l a revi si n de l os reportes, se i denti fi can cual qui er
desvi aci n respecto al desempeo esperado?
1,00
7.- Se i ni ci a l as medi das de admi ni straci n adecuadas? Si .
8.- Se reporta l as medi das de admi ni straci n adecuadas? Si por medi o del Bal anced Scorecard, se
1,00
1.- Se i denti fi can e i ni ci an medi das correcti vas basadas en el moni toreo
del desempeo?
Si .
1,00
2.- Se i denti fi can e i ni ci an medi das correcti vas basadas en l a
eval uaci n?
Si .
1,00
3.- Se i denti fi can e i ni ci an medi das correcti vas basadas en reportes? Si . 1,00
4.- En el segui mi ento del moni toreo se i ncl uye:
a) Una revi si n.
b) La negoci aci n.
c) Establ eci mi ento de respuestas de admi ni straci n
d) Asi ganci n de responsabi l i dades por l a correcci n.
e) Rastreo de l os resul tados de l as acci ones comprometi das?
Si .
1,00
5.- En el segui mi ento de l os reportes se i ncl uye:
a) Una revi si n.
b) La negoci aci n.
c) Establ eci mi ento de respuestas de admi ni straci n.
d) Asi gnaci n de responsabi l i dades por l a correcci n.
Si .
1,00
6.- En el segui mi ento de l as eval uaci ones se i ncl uye:
a) Una revi si n.
b) La negoci aci n.
c) Establ eci mi ento de respuestas de admi ni straci n.
d) Asi gnaci n de responsabi l i dades por l a correcci n.
Si .
1,00
A
d
m
i
n
i
s
t
r
a
r

y

a
s
e
g
u
r
a
r

l
a

s
a
l
i
d
a

f
s
i
c
a

d
e

i
n
f
o
r
m
a
c
i
n

(
r
e
p
o
r
t
e
s
,

m
e
d
i
o
s
,

e
t
c
)
.
D
S
1
3
.
4

-

D
o
c
u
m
e
n
t
o
s

S
e
n
s
i
t
i
v
o
s

y

D
i
s
p
o
s
i
t
i
v
o
s

d
e

S
a
l
i
d
a
.
Establ ecer resguardos fsi cos, prcti cas de regi stro y
admi ni straci n de i nventari os adecuados sobre l os acti vos
de TI ms sensi ti vos tal es como formas, i nstrumentos
negoci abl es, i mpresoras de uso especi al o di sposi ti vos de
seguri dad.
A
p
l
i
c
a
r

c
a
m
b
i
o
s

o

a
r
r
e
g
l
o
s

a
l

p
r
o
g
r
a
m
a

d
e

i
n
f
r
a
e
s
t
r
u
c
t
u
r
a
.

*
I
m
p
l
e
m
e
n
t
a
r
/
e
s
t
a
b
l
e
c
e
r

u
n

p
r
o
c
e
s
o

p
a
r
a

s
a
l
v
a
g
u
a
r
d
a
r

l
o
s

d
i
s
p
o
s
i
t
i
v
o
s

d
e

a
u
t
e
n
t
i
c
a
c
i
n

c
o
n
t
r
a

i
n
t
e
r
f
e
r
e
n
c
i
a
,

p
e
r
d
i
d
a

o

r
o
b
o
.

*
P
r
o
g
r
a
m
a
r

y

l
l
e
v
a
r

a

c
a
b
o

m
a
n
t
e
n
i
m
i
e
n
t
o

p
r
e
v
e
n
t
i
v
o
D
S
1
3
.
5

-

M
a
n
t
e
n
i
m
i
e
n
t
o

P
r
e
v
e
n
t
i
v
o

d
e
l

H
a
r
d
w
a
r
e
.
Defi ni r e i mpl ementar procedi mi entos para garanti zar el
manteni mi ento oportuno de l a i nfraestructura para reduci r l a
frecuenci a y el i mpacto de l as fal l as o de l a di smi nuci n del
desempeo.
C O B I T
M
E
1

-

M
o
n
i
t
o
r
e
a
r

y

E
v
a
l
u
a
r

e
l

D
e
s
e
m
p
e
o

d
e

T
I
.
E
s
t
a
b
l
e
c
e
r

e
l

e
n
f
o
q
u
e

d
e

m
o
n
i
t
o
r
e
o
.
M
E
1
.
1

-

E
n
f
o
q
u
e

d
e
l

M
o
n
i
t
o
r
e
o
.
Establ ecer un marco de trabajo de moni toreo general y un
enfoque que defi nan el al cance, l a metodol oga y el proceso a
segui r para medi r l a sol uci n y l a entrega de servi ci os de TI, y
Moni torear l a contri buci n de TI al negoci o. Integrar el marco
de trabajo con el si stema de admi ni straci n del desempeo
corporati vo.
I
d
e
n
t
i
f
i
c
a
r

y

r
e
c
o
l
e
c
t
a
r

o
b
j
e
t
i
v
o
s

m
e
d
i
b
l
e
s

q
u
e

a
p
o
y
e
n

a

l
o
s

o
b
j
e
t
i
v
o
s

e
l

n
e
g
o
c
i
o
.
P
o
g
r
a
m
a
c
i
n

d
e

c
a
r
g
a
s

d
e

t
r
a
b
a
j
o

y

d
e

p
r
o
g
r
a
m
a
s

e
n

l
o
t
e
.
D
S
1
3
.
2

-

P
r
o
g
r
a
m
a
c
i
n

d
e

T
a
r
e
a
s
.
Organi zar l a programaci n de trabajos, procesos y tareas en
l a secuenci a ms efi ci ente, maxi mi zando el desempeo y l a
uti l i zaci n para cumpl i r con l os requeri mi entos del negoci o.
Deben autori zarse l os programas i ni ci al es as como l os
cambi os a estos programas. Los procedi mi entos deben
i mpl ementarse para i denti fi car, i nvesti gar y aprobar l as
sal i das de l os programas estndar agendados.
M
o
n
i
t
o
r
e
a
r

l
a

i
n
f
r
a
e
s
t
r
u
c
t
u
r
a

y

p
r
o
c
e
s
a
r

y

r
e
s
o
l
v
e
r

p
r
o
b
l
e
m
a
s
.
D
S
1
3
.
3

-

M
o
n
i
t
o
r
e
o

d
e

l
a

I
n
f
r
a
e
s
t
r
u
c
t
u
r
a

d
e

T
I
.
Defi ni r e i mpl ementar procedi mi entos para moni torear l a
i nfraestructura de TI y l os eventos rel aci onados. Garanti zar
que en l os regi stros de operaci n se al macena sufi ci ente
i nformaci n cronol gi ca para permi ti r l a reconstrucci n,
revi si n y anl i si s de l as secuenci as de ti empo de l as
operaci ones y de l as otras acti vi dades que soportan o que
estn al rededor de l as operaci ones.
M
E
1
.
2

-

D
e
f
i
n
i
c
i
n

y

R
e
c
o
l
e
c
c
i
n

d
e

D
a
t
o
s

d
e

M
o
n
i
t
o
r
e
o
.
Trabajar con el negoci o para defi ni r un conjunto bal anceado
de objeti vos de desempeo y tenerl os aprobados por el
negoci o y otros i nteresados rel evantes. Defi ni r referenci as
con l as que comparar l os objeti vos, e i denti fi car datos
di sponi bl es a recol ectar para medi r l os objeti vos. Se deben
establ ecer procesos para recol ectar i nformaci n oportuna y
preci sa para reportar el avance contra l as metas.
C
r
e
a
r

c
u
a
d
r
o

d
e

m
a
n
d
o
s
.
M
E
1
.
3

-

M
t
o
d
o

d
e

M
o
n
i
t
o
r
e
o
.
Garanti zar que el proceso de moni toreo i mpl ante un mtodo
(Ej. Bal anced Scorecard), que bri nde una vi si n suci nta y
desde todos l os ngul os del desempeo de TI y que se adapte
al si stema de moni toreo de l a empresa.
E
v
a
l
u
a
r

e
l

d
e
s
e
m
p
e
o
M
E
1
.
4

-

E
v
a
l
u
a
c
i
n

d
e
l

D
e
s
e
m
p
e
o
.
Comparar de forma peri di ca el desempeo contra l as metas,
real i zar anl i si s de l a causa raz e i ni ci ar medi das
correcti vas para resol ver l as causas subyacentes.
R
e
p
o
r
t
a
r

e
l

d
e
s
e
m
p
e
o
.
M
E
1
.
5

-

R
e
p
o
r
t
e
s

a
l

C
o
n
s
e
j
o

D
i
r
e
c
t
i
v
o

y

a

E
j
e
c
u
t
i
v
o
s
.
Proporci onar reportes admi ni strati vos para ser revi sados
por l a al ta di recci n sobre el avance de l a organi zaci n haci a
metas i denti fi cadas, especfi camente en trmi nos del
desempeo del portafol i o empresari al de programas de
i nversi n habi l i tados por TI, ni vel es de servi ci o de programas
i ndi vi dual es y l a contri buci n de TI a ese desempeo. Los
reportes de estatus deben i ncl ui r el grado en el que se han
al canzado l os objeti vos pl aneados, l os entregabl es
obteni dos, l as metas de desempeo al canzadas y l os ri esgos
mi ti gados. Durante l a revi si n, se debe i denti fi car cual qui er
desvi aci n respecto al desempeo esperado y se deben
i ni ci ar y reportar l as medi das de admi ni straci n adecuadas.
M
E
1
.
6

-

A
c
c
i
o
n
e
s

C
o
r
r
e
c
t
i
v
a
s
.
Identi fi car e i ni ci ar medi das correcti vas basadas en el
moni toreo del desempeo, eval uaci n y reportes. Esto i ncl uye
el segui mi ento de todo el moni toreo, de l os reportes y de l as
eval uaci ones con: Revi si n, negoci aci n y establ eci mi ento
de respuestas de admi ni straci n. Asi gnaci n de
responsabi l i dades por l a correcci n. Rastreo de l os
resul tados de l as acci ones comprometi das.
E
N
T
R
E
G
A
R

Y

D
A
R

S
O
P
O
R
T
E
D
S
1
3

A
d
m
i
n
i
s
t
r
a
r

l
a
s

o
p
e
r
a
c
i
o
n
e
s
M
O
N
I
T
O
R
E
A
R

Y

E
V
A
L
U
A
R
I
d
e
n
t
i
f
i
c
a
r

y

m
o
n
i
t
o
r
e
a
r

l
a
s

m
e
d
i
d
a
s

d
e

m
e
j
o
r
a

d
e
l

d
e
s
e
m
p
e
o
.

115

D
O
M
I
N
I
O
P
R
O
C
E
S
O
S
A
C
T
I
V
I
D
A
D
E
S

D
E
L

P
R
O
C
E
S
O
O
B
J
E
T
I
V
O
S

D
E

C
O
N
T
R
O
L
C
A
L
I
F
I
C
A
C
I
N
1.- Se moni torea de forma conti nua el ambi ente de control de TI y el
marco de trabajo de control de TI para sati sfacer l os objeti vos
Si .
1,00
2.- Se compara el ambi ente de control de TI y el marco de trabajo de
control de TI para sati sfacer l os objeti vos organi zaci onal es?
Si .
1,00
3.- Se mejora el ambi ente de control de TI y el marco de trabajo de control
de TI para sati sfacer l os objeti vos organi zaci onal es?
Si .
1,00
1.- Se moni torea l a efi ci enci a y efecti vi dad de l os control es i nternos de
revi si n de l a gerenci a de TI?
Si . Audi tora i nterna ejecuta l as audi toras
i nformti cas y el l os emi ten un i rforme de l o
que se debe mejorar.
1,00
2.- Se eval a l a efi ci enci a y efecti vi dad de l os control es i nternos de
revi si n de l a gerenci a de TI?
Si .
1,00
1.- Se i denti fi can l as excepci ones de control ? Si , se reunen con l os usuari os de l os procesos
audi tados.
1,00
2.- Se anal i zan e i denti fi can sus causas raz subyacentes de l as
excepci ones de control ?
Si .
1,00
3.- Se escal an l as excepci ones de control reportando a l os i nteresados
apropi adamente?
Si .
1,00
4.- Se establ ecen acci ones correcti vas necesari as para l as excepci ones
de control ?
Si .
1,00
1.- Se eval a l a compl eti tud y efecti vi dad de l os control es de gerenci a
sobre l os procesos de TI por medi o de un programa conti nuo de auto-
eval uaci n?
No, cuentan con un control de autoeval uaci n
0,00
sobre l as pol ti cas de TI por medi o de un programa conti nuo de auto-
eval uaci n?
No.
0,00
sobre l os contratos de TI por medi o de un programa conti nuo de auto-
eval uaci n?
No ti enen control de autoeval uaci n sol o l as
audi toras i nternas y externas. 0,00
1.- Se obti ene un asegurami ento adi ci onal de l a compl eti tud de l os
control es i nternos por medi o de revi si ones de terceros?
Si .
1,00
2.- Se obti ene un asegurami ento adi ci onal de l a efecti vi dad de l os
control es i nternos por medi o de revi si ones de terceros?
Si .
1,00
1.- Se eval a el estado de l os control es i nternos de l os proveedores de
servi ci os externos?
Si , l o hace el Hol di ng.
1,00
2.- Se confi rma que l os proveedores de servi ci os externos cumpl en con
l os requeri mi entos l egal es?
Si .
1,00
l os requeri mi entos regul atori os?
Si .
1,00
l as obl i gaci ones contractual es?
Si .
1,00
1.- Se i denti fi can acci ones correcti vas deri vadas de l os control es de
eval uaci n y l os i nformes?
Si .
1,00
2.- Se i ni ci an acci ones correcti vas deri vadas de l os control es de
Si .
1,00
3.- Se rastrean acci ones correcti vas deri vadas de l os control es de
Si .
1,00
4.- Se i mpl ementan acci ones correcti vas deri vadas de l os control es de
Si .
1,00
1.- Se i denti fi can, sobre una base conti nua, l eyes l ocal es e
i nternaci onal es que se deben de cumpl i r para i ncorporar en l as pol ti cas,
estndares, procedi mi entos y metodol ogas de TI de l a organi zaci n?
Si .
1,00
2.- Se i denti fi can, sobre una base conti nua, regul aci ones que se deben de
cumpl i r para i ncorporar en l as pol ti cas, estndares, procedi mi entos y
metodol ogas de TI de l a organi zaci n?
Si .
1,00
3.- Se i denti fi can, sobre una base conti nua, otros requeri mi entos
externos que se deben de cumpl i r para i ncorporar en l as pol ti cas,
estndares, procedi mi entos y metodol ogas de TI de l a organi zaci n?
Si .
1,00
1.- Se revi san l as pol ti cas, estndares, procedi mi entos y metodol ogas de
TI?
Si .
1,00
2.- Se ajustan l as pol ti cas, estndares, procedi mi entos y metodol ogas
de TI?
Si .
1,00
3.- Se garanti zan que l os requi si tos l egal es son di recci onados y
comuni cados?
Si .
1,00
4.- Se garanti zan que l os requi si tos regul atori os son di recci onados y
comuni cados?
Si .
1,00
5.- Se garanti zan que l os requi si tos contractual es son di recci onados y
comuni cados?
Si .
1,00
1.- Se veri fi ca el cumpl i mi ento de pol ti cas de TI con l os requeri mi entos
l egal es y regul atori os?
Si .
1,00
2.- Se veri fi ca el cumpl i mi ento de l os estndares de TI con l os
requeri mi entos l egal es y regul atori os?
Si .
1,00
3.- Se veri fi ca el cumpl i mi ento de l os procedi mi entos de TI con l os
Si .
1,00
4.- Se veri fi ca el cumpl i mi ento de l as metodol ogas de TI con l os
Si .
1,00
1.- Se obti ene una garanta de cumpl i mi ento y adhesi n a todas l as
pol ti cas i nternas o requeri mi entos l egal es externos?
Si . Tratan de cumpl i r con todo l o que exi ge l a
l ey.
1,00
2.- Se reporta una garanta de cumpl i mi ento y adhesi n a todas l as
Si .
1,00
3.- Se toman acci ones correcti vas para garanti zar el cumpl i mi ento de l as
Si .
1,00
4.- Se resuel ve cual qui er brecha de cumpl i mi ento por el dueo
responsabl e del proceso de forma oportuna?
Si . Se toman todas l as medi das
1,00
1.- Se i ntegra l os reportes de TI sobre requeri mi entos l egal es con l as
sal i das si mi l ares proveni entes de otras funci ones del negoci o?
Si , por medi o del departamento l egal .
1,00
2.- Se i ntegra l os reportes de TI sobre requeri mi entos regul atori os con l as
sal i das si mi l ares proveni entes de otras funci ones del negoci o?
1,00
3.- Se i ntegra l os reportes de TI sobre requeri mi entos contractual es con
l as sal i das si mi l ares proveni entes de otras funci ones del negoci o?
1,00
1.- Se defi ne el marco de gobi erno de TI con l a vi si n compl eta del
entorno de control y Gobi erno Corporati vo?
Si se l o hace.
1,00
2.- Se establ ece el marco de gobi erno de TI con l a vi si n compl eta del
Si .
1,00
3.- Se al i nea el marco de gobi erno de TI con l a vi si n compl eta del
Si .
1,00
4.- Se basa el marco de trabajo en un adecuado proceso de TI? Si . 1,00
5.- Se basa el marco de trabajo en un adecuado model o de control ? Si . 1,00
6.- El marco de trabajo proporci ona l a rendi ci n de cuentas y prcti cas
i nequvocas para evi tar una rotura en el control i nterno y l a revi si n?
Si .
1,00
7.- Se aseguran que el marco de gobi erno de TI est cumpl i endo con l as
l eyes y regul aci ones?
Si .
1,00
8.- Se aseguran que el marco de gobi erno de TI est al i neado con l as
l eyes y regul aci ones?
Si .
1,00
9.- Se i nforma del estado y cuesti ones de gobi erno de TI? Si . 1,00
E
s
t
a
b
l
e
c
e
r

v
i
s
i
b
i
l
i
d
a
d

y

f
a
c
i
l
i
l
i
t
a
c
i
n

d
e
l

c
o
n
s
e
j
o

y

d
e

l
o
s

e
j
e
c
u
t
i
v
o
s

h
a
c
i
a

l
a
s

a
c
t
i
v
i
d
a
d
e
s

d
e

T
I
.
M
E
4
.
1

-

E
s
t
a
b
l
e
c
i
m
i
e
n
t
o

d
e

u
n

M
a
r
c
o

d
e

G
o
b
i
e
r
n
o

d
e

T
I
.
Defi ni r, establ ecer y al i near el marco de gobi erno de TI con l a
vi si n compl eta del entorno de control y Gobi erno
Corporati vo. Basar el marco de trabajo en un adecuado
proceso de TI y model o de control y proporci onar l a rendi ci n
de cuentas y prcti cas i nequvocas para evi tar una rotura en
el control i nterno y l a revi si n. Confi rmar que el marco de
gobi erno de TI asegura el cumpl i mi ento con l as l eyes y
regul aci ones y que esta al i neado, y confi rma l a entrega de, l a
estrategi a y objeti vos empresari al es. Informa del estado y
cuesti ones de gobi erno de TI.
M
E
4

P
r
o
p
o
r
c
i
o
n
a
r

G
o
b
i
e
r
n
o

d
e

T
I
Identi fi car, i ni ci ar, rastrear e i mpl ementar acci ones
correcti vas deri vadas de l os control es de eval uaci n y l os
i nformes.
C O B I T
M
E
3

G
a
r
a
n
t
i
z
a
r

e
l

C
u
m
p
l
i
m
i
e
n
t
o

R
e
g
u
l
a
t
o
r
i
o
D
e
f
i
n
i
r

y

e
j
e
c
u
t
a
r

u
n

p
r
o
c
e
s
o

p
a
r
a

i
d
e
n
t
i
f
i
c
a
r

l
o
s

r
e
q
u
e
r
i
m
i
e
n
t
o
s

l
e
g
a
l
e
s
,

c
o
n
t
r
a
c
t
u
a
l
e
s

d
e

p
o
l
t
i
c
a
s

y

r
e
g
u
l
a
t
o
r
i
o
s
.
M
E
3
.
1

-

I
d
e
n
t
i
f
i
c
a
r

l
o
s

R
e
q
u
e
r
i
m
i
e
n
t
o
s

d
e

l
a
s

L
e
y
e
s
,

R
e
g
u
l
a
c
i
o
n
e
s

y

C
u
m
p
l
i
m
i
e
n
t
o
s

C
o
n
t
r
a
c
t
u
a
l
e
s
.
Identi fi car, sobre una base conti nua, l eyes l ocal es e
i nternaci onal es, regul aci ones, y otros requeri mi entos
externos que se deben de cumpl i r para i ncorporar en l as
pol ti cas, estndares, procedi mi entos y metodol ogas de TI de
l a organi zaci n.
E
v
a
l
u
a
r

c
u
m
p
l
i
m
i
e
n
t
o

d
e

a
c
t
i
v
i
d
a
d
e
s

d
e

T
I

c
o
n

p
o
l
t
i
c
a
s
,

e
s
t
n
d
a
r
e
s

y

p
r
o
c
e
d
i
m
i
e
n
t
o
s

d
e

T
I
.

M
E
3
.
2

-

O
p
t
i
m
i
z
a
r

l
a

R
e
s
p
u
e
s
t
a

a

R
e
q
u
e
r
i
m
i
e
n
t
o
s

E
x
t
e
r
n
o
s
.
Revi sar y ajustar l as pol ti cas, estndares, procedi mi entos y
metodol ogas de TI para garanti zar que l os requi si tos l egal es,
regul atori os y contractual es son di recci onados y
comuni cados.
C
r
e
a
r

c
u
a
d
r
o

d
e

m
a
n
d
o
s
.
M
E
3
.
3

-

E
v
a
l
u
a
c
i
n

d
e
l

C
u
m
p
l
i
m
i
e
n
t
o

c
o
n

R
e
q
u
e
r
i
m
i
e
n
t
o
s

E
x
t
e
r
n
o
s
.
Confi rmar el cumpl i mi ento de pol ti cas, estndares,
procedi mi entos y metodol ogas de TI con requeri mi entos
l egal es y regul atori os.
B
r
i
n
d
a
r

r
e
t
r
o

a
l
i
m
e
n
t
a
c
i
n

p
a
r
a

a
l
i
n
e
a
r

l
a
s

p
o
l
t
i
c
a
s
,

e
s
t
n
d
a
r
e
s

y

p
r
o
c
e
d
i
m
i
e
n
t
o
s

d
e

T
I

c
o
n

l
o
s

r
e
q
u
e
r
i
m
i
e
n
t
o
s

d
e

c
u
m
p
l
i
m
i
e
n
t
o
.
M
E
3
.
4

-

A
s
e
g
u
r
a
m
i
e
n
t
o

P
o
s
i
t
i
v
o

d
e
l

C
u
m
p
l
i
m
i
e
n
t
o
.
Obtener y reportar garanta de cumpl i mi ento y adhesi n a
todas l as pol ti cas i nternas deri vadas de di recti vas i nternas
o requeri mi entos l egal es externos, regul atori os o
contractual es, confi rmando que se ha tomado cual qui er
acci n correcti va para resol ver cual qui er brecha de
cumpl i mi ento por el dueo responsabl e del proceso de forma
oportuna.
I
n
t
e
g
r
a
r

l
o
s

r
e
p
o
r
t
e
s

e

T
I

s
o
b
r
e

l
o
s

r
e
q
u
e
r
i
m
i
e
n
t
o
s

r
e
g
u
l
a
t
o
r
i
o
s

c
o
n

s
i
m
i
l
a
r
e
s

p
r
o
v
e
n
i
e
n
t
e
s

e

o
t
r
a
s

f
u
n
c
i
o
n
e
s

d
e
l

n
e
g
o
c
i
o
.
M
E
3
.
5

-

R
e
p
o
r
t
e
s

I
n
t
e
g
r
a
d
o
s
.
Integrar l os reportes de TI sobre requeri mi entos l egal es,
regul atori os y contractual es con l as sal i das si mi l ares
proveni entes de otras funci ones del negoci o.
M
O
N
I
T
O
R
E
A
R

Y

E
V
A
L
U
A
R
M
E
2

M
o
n
i
t
o
r
e
a
r

y

E
v
a
l
u
a
r

e
l

C
o
n
t
r
o
l

I
n
t
e
r
n
o
M
o
n
i
t
o
r
e
a
r

y

c
o
n
t
r
o
l
a
r

l
a
s

a
c
t
i
v
i
d
a
d
e
s

d
e

c
o
n
t
r
o
l

i
n
t
e
r
n
o

d
e

T
I
M
E
2
.
1

-

M
o
n
i
t
o
r
i
z
a
c
i
n

d
e
l

M
a
r
c
o

d
e

T
r
a
b
a
j
o

d
e

C
o
n
t
r
o
l

I
n
t
e
r
n
o
.
Moni torear de forma conti nua, comparar y mejorar el
ambi ente de control de TI y el marco de trabajo de control de
TI para sati sfacer l os objeti vos organi zaci onal es.
C
r
e
a
r

c
u
a
d
r
o

d
e

m
a
n
d
o
s
.
M
E
2
.
2

-

R
e
v
i
s
i
o
n
e
s

d
e

A
u
d
i
t
o
r
a
.
Moni torear y eval uar l a efi ci enci a y efecti vi dad de l os
control es i nternos de revi si n de l a gerenci a de TI.

M
o
n
i
t
o
r
e
a
r

e
l

p
r
o
c
e
s
o

p
a
r
a

i
d
e
n
t
i
f
i
c
a
r

y

e
v
a
l
u
a
r

l
a
s

e
x
c
e
p
c
i
o
n
e
s

d
e

c
o
n
t
r
o
l
.

M
E
2
.
3

-

E
x
c
e
p
c
i
o
n
e
s

d
e

C
o
n
t
r
o
l
.Identi fi car l as excepci ones de control , y anal i zar e i denti fi car
sus causas raz subyacentes. Escal ar l as excepci ones de
control y reportar a l os i nteresados apropi adamente.
Establ ecer acci ones correcti vas necesari as.

M
o
n
i
t
o
r
e
a
r

e
l

p
r
o
c
e
s
o

d
e

a
u
t
o

e
v
a
l
u
a
c
i
n
.
M
E
2
.
4

-

C
o
n
t
r
o
l

d
e

A
u
t
o

E
v
a
l
u
a
c
i
n
.
Eval uar l a compl eti tud y efecti vi dad de l os control es de
gerenci a sobre l os procesos, pol ti cas y contratos de TI por
medi o de un programa conti nuo de auto-eval uaci n.
M
o
n
i
t
o
r
e
a
r

e
l

p
r
o
c
e
s
o

p
a
r
a

i
d
e
n
t
i
f
i
c
a
r

y

e
v
a
l
u
a
r

y

r
e
m
e
d
i
a
r

l
a
s

e
x
c
e
p
c
i
o
n
e
s

d
e

c
o
n
t
r
o
l
.
M
E
2
.
5

-

A
s
e
g
u
r
a
-

m
i
e
n
t
o

d
e
l

C
o
n
t
r
o
l

I
n
t
e
r
n
o
.
Obtener, segn sea necesari o, asegurami ento adi ci onal de l a
compl eti tud y efecti vi dad de l os control es i nternos por medi o
de revi si ones de terceros.
M
o
n
i
t
o
r
e
a
r

e
l

p
r
o
c
e
s
o

p
a
r
a

o
b
t
e
n
e
r

a
s
e
g
u
r
a
m
i
e
n
t
o

s
o
b
r
e

l
o
s

c
o
n
t
r
o
l
e
s

o
p
e
r
a
d
o
s

p
o
r

t
e
r
c
e
r
o
s
.
M
E
2
.
6

-

C
o
n
t
r
o
l

I
n
t
e
r
n
o

p
a
r
a

T
e
r
c
e
r
o
s
.
Eval uar el estado de l os control es i nternos de l os
proveedores de servi ci os externos. Confi rmar que l os
proveedores de servi ci os externos cumpl en con l os
requeri mi entos l egal es y regul atori os y obl i gaci ones
contractual es.
R
e
p
o
r
t
a
r

a

l
o
s

i
n
t
e
r
e
s
a
d
o
s

c
l
a
v
e
.
M
E
2
.
7

-

A
c
c
i
o
n
e
s

C
o
r
r
e
c
t
i
v
a
s
.

116

D
O
M
I
N
I
O
P
R
O
C
E
S
O
S
A
C
T
I
V
I
D
A
D
E
S

D
E
L

P
R
O
C
E
S
O
O
B
J
E
T
I
V
O
S

D
E

C
O
N
T
R
O
L
C
A
L
I
F
I
C
A
C
I
N
1.- Se da a conocer al consejo di recti vo sobre temas estratgi cos de TI? Sol o en parte.
0,50
2.- Se da a conocer a l os ejecuti vos sobre temas estratgi cos de TI? Sol o en parte. 0,50
3.- Se garanti za que l a contri buci n potenci al de TI cumpl e con l a
estrategi a del negoci o?
No, sol o en parte.
0,00
4.- Se trabaja con el consejo di recti vo para defi ni r organi smos de
gobi erno (tal es como un comi t estratgi co de TI)?
No.
0,00
5.- Se trabaja con el consejo di recti vo para i mpl ementar organi smos de
gobi erno (tal es como un comi t estratgi co de TI)?
No.
0,00
6.- Se bri nda una ori entaci n estratgi ca a l a gerenci a respecto a TI? Si . 1,00
7.- Se faci l i ta l a al i neaci n de TI con el negoci o en cuanto a estrategi a y
operaci ones?
No, sol o en parte.
0,50
8.- Se fomenta l a co-responsabi l i dad entre el negoci o y TI en l a toma de
deci si ones estratgi cas y en l a obtenci n de l os benefi ci os proveni entes
de l as i nversi ones habi l i tadas con TI?
No, sol o en parte.
0,50
1.- Se admi ni stra l os programas de i nversi n habi l i tados con TI, as como
otros acti vos y servi ci os de TI?
Si .
1,00
2.- Se i mpl ementa un enfoque di sci pl i nado de l a admi ni straci n del
portafol i o?
Si .
1,00
3.- El departamento de TI garanti za l a opti mi zaci n de l os costos por l a
prestaci n de servi ci os?
Si .
1,00
4.- El departamento garanti za l as capaci dades de TI? Si . 1,00
1.- Se revi sa l a i nversi n de TI por medi o de eval uaci ones peri di cas? Si , por medi o del presupuesto y el control
presupuestari o.
1,00
2.- Se revi sa el uso de l os acti vos de TI por medi o de eval uaci ones
peri di cas?
Si .
1,00
3.- Se revi sa l a asi gnaci n de l os acti vos de TI por medi o de eval uaci ones
peri di cas?
Si .
1,00
1.- Se trabaja con el consejo di recti vo para defi ni r el ni vel de ri esgo de TI
aceptabl e por l a empresa?
No.
0,00
2.- Se aseguran que el ri esgo actual de TI no excede el ri esgo aceptabl e de
di recci n?
No.
0,00
3.- Se i ntroduce l as responsabi l i dades de admi ni straci n de ri esgos en l a
organi zaci n?
No.
0,00
4.- Se eval an l os ri esgos rel aci onados con TI y su i mpacto? No.
0,00
5.- Se reportan l os ri esgos rel aci onados con TI y su i mpacto? No.
0,00
1.- Se veri fi ca que l os objeti vos de TI cumpl e l as expectati vas de l a
empresa?
Si .
1,00
2.- Se i nforma a l a al ta di recci n sobre l os portafol i os rel evantes de TI? Si .
1,00
3.- Se i nforma a l a al ta di recci n sobre l os programas de TI? Si .
1,00
4.- Se i nforma a l a al ta di recci n sobre el desempeo de TI? Si .
1,00
1.- Se garanti za de forma i ndependi ente l a conformi dad de TI con l a
l egi sl aci n de l a organi zaci n?
Si .
1,00
2.- Se garanti za de forma i ndependi ente l a conformi dad de TI con l as
pol ti cas de l a organi zaci n?
Si .
1,00
3.- Se garanti za l a efecti vi dad del desempeo de TI? Si . 1,00
4.- Se garanti za l a efi ci enci a del desempeo de TI? Si . 1,00
M
E
4

P
r
o
p
o
r
c
i
o
n
a
r

G
o
b
i
e
r
n
o

d
e

T
I
M
O
N
I
T
O
R
E
A
R

Y

E
V
A
L
U
A
R
R
e
v
i
s
a
r
,

a
v
a
l
a
r
,

a
l
i
n
e
a
r

y

c
o
m
u
n
i
c
a
r

e
l

d
e
s
e
m
p
e
o

d
e

T
I
,

l
a

e
s
t
r
a
t
e
g
i
a

d
e

T
I
,

e
l

m
a
n
e
j
o

d
e

r
e
c
u
r
s
o
s

y

r
i
e
s
g
o
s

d
e

T
I

c
o
n

r
e
s
p
e
c
t
o

a

l
a

e
s
t
r
a
t
e
g
i
a

e
m
p
r
e
s
a
r
i
a
l
.
M
E
4
.
2

-

A
l
i
n
e
a
m
i
e
n
t
o

E
s
t
r
a
t
g
i
c
o
.
Faci l i tar el entendi mi ento del consejo di recti vo y de l os
ejecuti vos sobre temas estratgi cos de TI tal es como el rol de
TI, caractersti cas propi as y capaci dades de l a tecnol oga.
Garanti zar que exi ste un entendi mi ento comparti do entre el
negoci o y l a funci n de TI sobre l a contri buci n potenci al de
TI a l a estrategi a del negoci o. Trabajar con el consejo
di recti vo para defi ni r e i mpl ementar organi smos de gobi erno,
tal es como un comi t estratgi co de TI, para bri ndar una
ori entaci n estratgi ca a l a gerenci a respecto a TI,
garanti zando as que tanto l a estrategi a como l os objeti vos se
di stri buyan en cascada haci a l as uni dades de negoci o y
haci a l as uni dades de TI y que se desarrol l e certi dumbre y
confi anza entre el negoci o y TI. Faci l i tar l a al i neaci n de TI
con el negoci o en l o referente a estrategi a y operaci ones,
fomentando l a co-responsabi l i dad entre el negoci o y TI en l a
toma de deci si ones estratgi cas y en l a obtenci n de l os
benefi ci os proveni entes de l as i nversi ones habi l i tadas con TI.
C
r
e
a
r

c
u
a
d
r
o

m
a
n
d
o
s
.
M
E
4
.
3

-

E
n
t
r
e
g
a

d
e

V
a
Admi ni strar l os programas de i nversi n habi l i tados con TI,
as como otros acti vos y servi ci os de TI, para asegurar que
ofrezcan el mayor val or posi bl e para apoyar l a estrategi a y
l os objeti vos empresari al es. Asegurarse de que l os resul tados
de negoci o esperados de l as i nversi ones habi l i tadas por TI y
el al cance compl eto del esfuerzo requeri do para l ograr esos
resul tados est bi en entendi do, que se generen casos de

R
e
s
o
l
v
e
r

l
o
s

h
a
l
l
a
z
g
o
s

d
e

l
a

e
v
a
l
u
a
c
i
o
n
e
s

i
n
d
e
p
e
n
d
i
e
n
t
e
s

y

g
a
r
a
n
t
i
z
a
r

l
a

i
m
p
l
a
n
t
a
c
i
n

p
o
r

p
a
r
t
e

d
e

l
a

g
e
r
e
n
c
i
a

d
e

l
a
s

r
e
c
o
m
e
n
d
a
c
i
o
n
e
s

a
c
o
r
d
a
d
a
s
.
M
E
4
.
4

-

A
d
m
i
n
i
s
t
r
a
c
i
n

d
e

R
e
c
u
r
s
o
s
.
Revi sar i nversi n, uso y asi gnaci n de l os acti vos de TI por
medi o de eval uaci ones peri di cas de l as i ni ci ati vas y
operaci ones de TI para asegurar recursos y al i neami ento
apropi ados con l os objeti vos estratgi cos y l os i mperati vos
de negoci o actual es y futuros.
G
e
n
e
r
a
r

u
n

r
e
p
o
r
t
e

d
e

g
o
b
i
e
r
n
o

d
e

T
I
.
M
E
4
.
5

-

A
d
m
i
n
i
s
t
r
a
c
i
n

d
e

R
i
e
s
g
o
s
.
Trabajar con el consejo di recti vo para defi ni r el ni vel de
ri esgo de TI aceptabl e por l a empresa y obtener garanta
razonabl e que l as practi cas de admi ni straci n de ri esgos de
TI son apropi adas para asegurar que el ri esgo actual de TI no
excede el ri esgo aceptabl e de di recci n. Introduci r l as
responsabi l i dades de admi ni straci n de ri esgos en l a
organi zaci n, asegurando que el negoci o y TI regul armente
eval an y reportan ri esgos rel aci onados con TI y su i mpacto y
que l a posi ci n de l os ri esgos de TI de l a empresa es
transparente a l os i nteresados.
R
e
v
i
s
a
r
,

a
v
a
l
a
r
,

a
l
i
n
e
a
r

y

c
o
m
u
n
i
c
a
r

e
l

d
e
s
e
m
p
e
o

d
e

T
I
,

l
a

e
s
t
r
a
t
e
g
i
a

d
e

T
I
,

e
l

m
a
n
e
j
o

d
e

r
e
c
u
r
s
o
s

y

r
i
e
s
g
o
s

d
e

T
I

c
o
n

r
e
s
p
e
c
t
o

a

l
a

e
s
t
r
a
t
e
g
i
a

e
m
p
r
e
s
a
r
i
a
l
.
M
E
4
.
6

-

M
e
d
i
c
i
n

d
e
l

D
e
s
e
m
p
e
o
.
Confi rmar que l os objeti vos de TI confi rmados se han
consegui do o excedi do, o que el progreso haci a l as metas de
TI cumpl e l as expectati vas. Donde l os objeti vos confi rmados
no se han al canzado o el progreso no es el esperado, revi sar
l as acci ones correcti vas de gerenci a. Informar a di recci n l os
portafol i os rel evantes, programas y desempeos de TI,
soportados por i nformes para permi ti r a l a al ta di recci n
revi sar el progreso de l a empresa haci a l as metas
i denti fi cadas.
G
e
n
e
r
a
r

u
n

r
e
p
o
r
t
e

d
e

g
o
b
i
e
r
n
o

d
e

T
I
.
M
E
4
.
7

-

A
s
e
g
u
r
a
m
i
e
n
t
o

I
n
d
e
p
e
n
d
i
e
n
t
e
.
Garanti zar de forma i ndependi ente (i nterna o externa) l a
conformi dad de TI con l a l egi sl aci n y regul aci n rel evante;
l as pol ti cas de l a organi zaci n, estndares y procedi mi entos;
practi cas general mente aceptadas; y l a efecti vi dad y
efi ci enci a del desempeo de TI.
C O B I T

117

4.1.2.1 EVALUACIN DEL DEPARTAMENTO DE SISTEMAS DE LA
EMPRESA EP APLICANDO LA METODOLOGA COBIT 4.1

4.1.2.1.1 RESULTADOS FINALES OBTENIDOS

4.1.2.1.1.1 RESULTADO DE LA EVALUACIN DEL CUMPLIMIENTO A
NIVEL GENERAL

Para obtener el resultado general de cumplimiento del departamento de sistemas con
lo que indica la metodologa COBIT se realiz las siguientes tablas de evaluacin:
1. Evaluacin por objetivos de control (Ver anexo #2) se tom en cuenta las
siguientes columnas procesos, actividades de los procesos, objetivos de control,
peso del objetivo y calificacin porcentual del objetivo, donde se da un peso
ponderado de acuerdo a la cantidad de objetivos de control de cada proceso y a
su vez la calificacin es el promedio de la sumatoria de los puntajes de cada
objetivo de control expresndolo en porcentaje (%).
2. Evaluacin por procesos (Ver anexo #1) se consider las siguientes columnas;
dominios, procesos, cantidad de objetivos y calificacin porcentual de cada
proceso. En la columna cantidad de objetivos se ingres el nmero de acuerdo a
lo establecido en la metodologa COBIT, para la calificacin porcentual por
procesos se realiz un enlace con la tabla de evaluacin por objetivos de control
multiplicando lo obtenido en la columna peso del objetivo por lo obtenido en la
columna calificacin porcentual del objetivo, a este resultado se le agrega la
sumatoria de las celdas siguientes del objetivo de control.
3. Evaluacin por dominio (Ver tabla #6) se utiliz las columnas dominios,
cantidad de procesos y calificacin porcentual del dominio. En la columna
cantidad de procesos se ingres el nmero que aplica segn la metodologa
COBIT y para la calificacin porcentual del dominio se aplic un promedio de
la sumatoria de los valores porcentuales de cada uno de los procesos tomando
como referencia el anexo #1.
Para la conclusin del cuadro general de COBIT se determin que el promedio de
cumplimiento del departamento de sistemas es igual a: la multiplicacin de las
columna cantidad de procesos por calificacin porcentual del dominio ms las
celdas siguientes del dominio, dividido para los 34 procesos que suman en la
metodologa utilizada.
De acuerdo a la decisin tomada de manera grupal se estandariz para la evaluacin
general de COBIT, dominios, procesos y objetivos de control el porcentaje >=60%
118

para el cumplimiento aceptable y el porcentaje <60% para el cumplimiento no
aceptable.
En la tabla y grfico siguiente se detallan los valores obtenidos:
TABLA 6: EVALUACIN DEL CUMPLIMIENTO DEL DEPARTAMENTO
DE SISTEMAS A NIVEL GENERAL
EVALUACIN DEL CUMPLIMIENTO A NIVEL GENERAL
PROMEDIO CUMPLIMIENTO
62%
PROMEDIO NO CUMPLIMIENTO
38%

GRFICO 1: EVALUACIN DEL CUMPLIMIENTO DEL
DEPARTAMENTO DE SISTEMAS A NIVEL GENERAL

ANLISIS:
En el anlisis de cumplimiento se verifica que el departamento de sistemas obtuvo
un porcentaje de 62% considerado como un nivel aceptable, con relacin al modelo
de madurez de COBIT se lo ubicara en el nivel 2 (Repetible).
El promedio de los procesos no cumplidos estn relacionados en un 38%, es decir
que an falta complementar el desarrollo de ms polticas, procedimientos,
119

documentacin, y capacitacin al personal involucrado para controlar los procesos,
que permita reducir las brechas existentes con lo establecido por COBIT.

4.1.2.1.1.2 RESULTADO FINAL DE LA EVALUACIN POR DOMINIO

Para la evaluacin por dominio se desarroll la siguiente tabla y grfico donde se
muestran los resultados de acuerdo a la aplicacin del diagnstico realizado de los
procesos respectivos.
TABLA 7: EVALUACIN POR DOMINIO
EVALUACIN POR DOMINIO
DOMINIO # PROCESOS %

PLANEAR Y ORGANIZAR 10 68%
ADQUIRIR E IMPLEMENTAR 7 69%
ENTREGAR Y DAR SOPORTE 13 47%
MONITOREAR Y EVALUAR 4 86%

GRFICO 2: EVALUACIN POR DOMINIO


120

ANLISIS:
Acorde a los resultados obtenidos se verifica que el de menor cumplimiento es el
dominio Entregar y Dar Soporte con un porcentaje de 47% lo que indica que el
departamento de sistemas no cumple en su totalidad con la entrega de los servicios
requeridos, que incluyen: prestacin del servicio, administracin de la seguridad,
continuidad y administracin de los datos e instalaciones operativas.
4.1.2.1.1.3 RESULTADO FINAL DE LA EVALUACIN POR PROCESO

Para la evaluacin final de los procesos de cada dominio se desarroll la tabla
evaluacin por procesos (Ver anexo #1) cuyo resultado nos permite establecer los de
menor cumplimiento para realizar su respectivo anlisis.

RESULTADO DE LOS PROCESOS DEL DOMINIO PLANEAR Y
ORGANIZAR
Los resultados de los procesos del dominio Planear y Organizar se presentan en el
siguientegrfico, con estos resultados se elabor la tabla de evaluacin por procesos
(Ver anexo #1) para su posterior anlisis:
GRFICO 3: PROCESOS DEL DOMINIO PLANEAR Y ORGANIZAR

121

ANLISIS:
A continuacin se presenta un anlisis detallado de los procesos de menor
cumplimiento del dominio planear y organizar:
Definir la arquitectura de la informacin, con un 18% indica que el
departamento de sistemas carece de una infraestructura tecnolgica apropiada
para la implantacin de tecnologa eficiente en la comunicacin de las TI.
Determinar la direccin tecnolgica, con un 43% representa un nivel no
aceptable considerando los cambios tecnolgicos que se presentan y las
innovaciones que se dan en el tiempo lo que impide una buena gestin de los
sistemas de informacin.
Administrar la calidad, con un 33% implica que el departamento de
sistemas no est realiza monitoreos continuos y revisiones internas - externas
del desempeo contra los estndares y prcticas establecidos.
Evaluar y Administrar los riesgos de TI, con un 36% indica que no se
realiza una evaluacin de riesgos y vulnerabilidades que evite exponer el
logro de las metas de la empresa, se debe alinear los riesgos informticos y
los costos de la empresa para minimizar las inversiones, priorizar y planificar
opciones de mitigacin y realizar un clculo de los impactos comerciales.

122

RESULTADO DE LOS PROCESOS DEL DOMINIO ADQUIRIR E
IMPLEMENTAR
Con el siguiente grfico se muestra los procesos evaluados en el dominio Adquirir e
Implementar:
GRFICO 4: PROCESOS DEL DOMINIO ADQUIRIR E IMPLEMENTAR

ANLISIS:
El proceso Instalar y Acreditar Soluciones y Cambios con un 53% refleja que no se
adopta una metodologa de prueba en las aplicaciones e infraestructura con el
propsito de disminuir los errores, y planear las liberaciones de nuevos procesos en
el departamento de sistemas.

123

RESULTADO DE LOS PROCESOS DEL DOMINIO ENTREGAR Y DAR
SOPORTE
Se detallan los procesos del dominio Entregar y Dar Soporte los cules han sido
evaluados en el siguiente grfico:
GRFICO 5: PROCESOS DEL DOMINIO ENTREGAR Y DAR SOPORTE

ANLISIS:
Para este anlisis se detallan a continuacin los procesos de menor cumplimiento del
dominio Entregar y Dar Soporte:
Definir y administrar los Niveles de Servicio, con un 53% representa que el
servicio brindado por el departamento de sistemas no es del todo aceptable lo
que indica que se deben establecer una definicin de los niveles para
administrarlos de la manera ms adecuada alinendolos con la estrategia del
negocio.
124

Administrar los servicios de Terceros, con un 58% el departamento no
cuenta con un control donde se asegure las tareas y responsabilidades de las
terceras partes que estn claramente definidas, que cumplan y satisfagan los
requerimientos del negocio.
Administrar el desempeo y la Capacidad, con un 37% representa poco
inters del personal del departamento de brindar nuevas medidas de accin y
cambios para rescatar la capacidad y rendimiento de los recursos
implementados para alcanzar el desempeo deseado por la empresa.
Garantizar la Continuidad del Servicio, con un 43% implica que el
departamento no realiza mejoras en las acciones a tomar para garantizar la
recuperacin de los procesos en caso de interrupcin y aplicar en forma
inmediata un plan de contingencia que permita mantener el servicio
disponible en el menor tiempo posible y acorde a los requerimientos.
Garantizar la Seguridad de los Sistemas, con un 56% est por debajo del
lmite de aceptacin no se salvaguarda la informacin contra uso no
autorizado, divulgacin, modificacin, dao o prdida.
Educar y entrenar a los usuarios, con un 52% representa que la formacin
que se da a los usuarios para el uso efectivo de la tecnologa no est acorde a
las responsabilidades.
Administrar la mesa de servicio y los incidentes, con un 30% los servicios
requeridos por los usuarios de la empresa no se atiende y/o despacha
eficientemente para desenvolverse adecuadamente en los diferentes procesos.
Administrar la Configuracin, con un 39% no se realiza una gestin
completa de todos los componentes de los servicios de TI para prevenir
alteraciones en los procesos donde deben estar bien definidos los roles y
responsabilidades de cada encargado del departamento de sistemas de la
empresa.

125

Administrar los Problemas, con un 0% no se investigan las causas
subyacentes de las alteraciones de los servicios de TI, que permitan
determinar posibles soluciones de la manera ms eficaz para que no vuelvan a
ocurrir.
Administrar los Datos, con un 21% el departamento de sistemas no cuenta
con procedimientos efectivos y documentados para administrar cada uno de
los procesos que permite asegurar la disponibilidad y seguridad de la
informacin.

126

RESULTADO DE LOS PROCESOS DEL DOMINIO MONITOREAR Y
EVALUAR
El dominio Monitorear y Evaluar se compone de 4 procesos que son evaluados en el
grfico siguiente:
GRFICO 6: PROCESOS DEL DOMINIO MONITOREAR Y EVALUAR

ANLISIS:
De acuerdo a la evaluacin realizada en el dominio Monitorear y Evaluar todos los
procesos se encuentran en un promedio aceptable dentro de lo establecido con
COBIT cabe recalcar que en la evaluacin realizada por objetivos de control
hubieron algunos que no cumplan con los parmetros los cuales sern analizados
posteriormente.

127

4.1.2.1.1.4 RESULTADO FINAL DE LA EVALUACIN POR OBJETIVOS
DE CONTROL

Para el diagnstico de los objetivos de control en el departamento de sistemas en la
empresa EP se tomar en consideracin la evaluacin de los mismos cuyo valor es <
60. Se desarroll la tabla Evaluacin por controles (Ver anexo #2) para obtener los
resultados los cules sern presentados a continuacin:

PROCESO PO1 DEFINIR UN PLAN ESTRATGICO DE TI
Se detallan los objetivos de control que comprende el proceso definir un plan
estratgico de TI en el siguiente grfico:
GRFICO 7: OBJETIVOS DE CONTROL DEL PROCESO
PO1 DEFINIR UN PLAN ESTRATGICO DE TI


128

ANLISIS:
Se verifica en el grfico presentado anteriormente que el objetivo de control de
menor cumplimiento es alineacin de TI con el negocio con un 50%, el departamento
no cuenta con la tecnologa adecuada que permita buscar una ventaja competitiva
minimizando los rubros de la empresa.

PROCESO PO2 DEFINIR LA ARQUITECTURA DE LA INFORMACIN
El proceso definir la arquitectura de la informacin se muestra con sus respectivos
objetivos de control en el siguiente grfico:
PO2 DEFINIR LA ARQUITECTURA DE TI

ANLISIS:
Para el anlisis se considera el proceso, debido a que todos los objetivos de control
son de menor cumplimiento indicndonos que el departamento de sistemas debe
129

optar por un diseo estructural en entornos de informacin para facilitar la
comprensin y asimilacin de las interfaces para los usuarios.

PROCESO PO3 - DETERMINAR LA DIRECCIN TECNOLGICA
En el siguiente grfico se detallan los objetivos de control de menor cumplimiento
que comprende el proceso determinar la direccin tecnolgica.
PO3 - DETERMINAR LA DIRECCIN TECNOLGICA

ANLISIS:
Para el anlisis se considera los de menor cumplimiento que los detallamos a
continuacin:
Monitoreo de tendencias y regulaciones futuras con un 0%, nos indica
que no existe un proceso contemplado en el plan de infraestructura
tecnolgica de TI para monitorear las tendencias ambientales, tecnolgicas,
de infraestructura, legales y regulatorias como recomienda COBIT.
130

Consejo de arquitectura de TI, con un 0% el departamento no cuenta con
un consejo de arquitectura que establezca un control prioritario para el control
de las TI donde se vincule a progresos para una direccin adecuada en la
empresa.

PROCESO PO4 - DEFINIR LOS PROCESOS, ORGANIZACIN Y
RELACIONES DE TI

Definiremos en el siguiente grfico los objetivos de control de menor cumplimiento
del proceso definir los procesos, organizacin y relaciones de TI.
PO4 - DEFINIR LOS PROCESOS, ORGANIZACIN Y RELACIONES DE TI


131

ANLISIS:
A continuacin detallaremos los objetivos de control:
Comit Estratgico de TI, con un 0% el departamento de sistemas no cuenta
con un consejo estratgico de TI que asegure el manejo adecuado de la
direccin estratgica de la empresa.
Comit Directivo de TI, con un 0% no se cuenta con un comit directivo de
TI que permita dar seguimiento al avance de los proyectos y resolver los
conflictos de recursos, as mismo monitorear los niveles de servicios y las
mejoras del servicio.
Responsabilidad de Aseguramiento de Calidad de TI, con un 0% no se
asignan responsabilidades para asegurar la calidad del grupo de sistemas y
satisfacer los requerimientos del negocio.
Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento, con un
14% no se mantiene un control de los riesgos de TI que ocasionan prdidas
de la informacin, se debe mantener la integridad de los datos para asegurar
los objetivos del negocio.
Propiedad de Datos y de Sistemas, con un 33% el departamento no cuenta
procedimientos y herramientas que permitan enfrentar responsabilidades de
propiedad sobre los datos y los sistemas de informacin.
Relaciones, con un 50% no se cuenta con una estructura ptima de enlace y
coordinacin entre la funcin de TI y otros interesados dentro y fuera como
por ejemplo el consejo directivo, ejecutivos, unidades de negocio,
proveedores.

132

PROCESO PO5 - ADMINISTRAR LA INVERSION DE TI
A continuacin se detallan los objetivos de control del proceso Administrar la
Inversin de TI.
PO5 - ADMINISTRAR LA INVERSION DE TI

ANLISIS:
Para el anlisis se considera los de menor cumplimiento lo que detallamos a
continuacin:
Prioridades dentro del Presupuesto de TI, con un 33% no cuenta con un
proceso para la toma de decisiones para dar prioridades a la asignacin de
recursos de TI para proyectos de operaciones y mantenimiento.
Administracin de Beneficios, con un 33% no cuenta con un proceso de
monitoreo de beneficios que contengan reportes para mejorar la contribucin
de TI.

133

PROCESO PO6 - COMUNICAR LAS ASPIRACIONES Y LA DIRECCIN
DE LA GERENCIA

En el siguiente grfico se detalla los objetivos de control de menor cumplimiento que
abarca en el proceso comunicar las aspiraciones y la direccin de la gerencia.
PO6 - COMUNICAR LAS ASPIRACIONES Y LA DIRECCIN DE LA
GERENCIA

ANLISIS:
En el proceso se evalu cada objetivo donde se puede determinar que el objetivo de
control con menor porcentaje de cumplimiento es:
Comunicacin de los Objetivos y la Direccin de TI, con un 50% los
objetivos del departamento no son comunicados adecuadamente a los
usuarios de la organizacin.

134

PROCESO PO7 - ADMINISTRAR RECURSOS HUMANOS DE TI
Del estudio realizado al proceso Administrar Recursos Humanos de TI, se detallan
los objetivos de control en el siguiente grfico.
PO7 - ADMINISTRAR RECURSOS HUMANOS DE TI

ANLISIS:
A continuacin se realiza un detalle de los objetivos con menor cumplimiento:
Entrenamiento del Personal de TI, con un 0% el departamento de recursos
humanos de la empresa no cuenta con la orientacin necesaria al momento de
la contratacin del personal del departamento de sistemas para medir su
conocimiento, aptitud, responsabilidad, conciencia sobre la seguridad, al
nivel requerido para alcanzar las metas del negocio.
Dependencia sobre los Individuos, con un 50% no cuenta con la
capacitacin de los usuarios claves de cada departamento en cuanto al uso de
las tecnologas para poder cumplir con los procesos de la empresa.
135

PROCESO PO8 - ADMINISTRAR LA CALIDAD
A continuacin se presenta el grfico donde se muestra el resultado de la evaluacin
de los objetivos de control del proceso de Administrar la Calidad.
PO8 - ADMINISTRAR LA CALIDAD

ANLISIS:
La evaluacin de cada objetivo de control refleja que cinco de los seis objetivos de
este proceso, tienen el menor porcentaje de cumplimiento y son:
Sistema de Administracin de Calidad, con un 50% establece que no
cuentan con polticas o modelos que proporcionen un enfoque estndar con
respecto a la administracin de la calidad y que estn alineados con los
requerimientos del negocio, la estructura organizacional para la
administracin de la calidad no cubre todas las responsabilidades.
136

Estndares y Prcticas de Calidad, con un 50% refleja que no identifican y
mantienen estndares, procedimientos y prcticas para los procesos claves de
TI para orientar a la organizacin hacia el cumplimiento del QMS.
Estndares de Desarrollo y Adquisicin, con un 13% revela que no
mantienen estndares para todo desarrollo y adquisicin que siga el ciclo de
vida que incluya la aprobacin en puntos claves basados en criterios de
aceptacin acordados.
Mejora Continua, con un 0% demuestra que no se mantiene ni comunica
con regularidad un plan global de calidad que promueva el fortalecimiento
del rea.
Medicin, Monitoreo y Revisin de la Calidad, con un 0% indica que no
definen, planean e implementan mediciones para monitorear el cumplimiento
continuo del QMS, as como el valor que ste proporciona.

137

PROCESO PO9 - EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI
En el siguiente grfico se muestra el resultado de la evaluacin de los objetivos de
control del proceso Evaluar y Administrar los Riesgos de TI.
PO9 - EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI

ANLISIS:
En este proceso los seis objetivos de control que lo conforman tienen un menor
porcentaje de cumplimiento, lo cual se detalla a continuacin:
Marco de Trabajo de Administracin de Riesgos, con un 50% demuestra
que el marco de trabajo de administracin de riesgos de TI no est alineado al
marco de trabajo de administracin de riesgos de la organizacin.
Establecimiento del Contexto del Riesgo, con un 0% indica que no tienen
establecido un contexto en el cual el marco de trabajo de evaluacin de
riesgos garantice los resultados apropiados.
138

Identificacin de Eventos, con un 50% revela que los riesgos relevantes no
son registrados, lo que dificulta identificar los eventos para reducir el impacto
y conservar el potencial del negocio.
Evaluacin de Riesgos de TI, con un 50% refleja que la evaluacin de los
riesgos de TI no se la hace peridicamente y en forma apropiada.
Respuesta a los Riesgos, con un 50% implica que el proceso de respuesta a
riesgos no establece controles efectivos que mitiguen la exposicin en forma
continua y que identifique estrategias para evitar, reducir, compartir o aceptar
riesgos as como determinar responsabilidades dentro del departamento.
Mantenimiento y Monitoreo de un Plan de Accin de Riesgos, con un 50%
muestra que las actividades de control de todos los niveles que dan
respuestas a los riesgos no estn debidamente priorizadas, mantenidas y
monitoreadas.

139

PROCESO PO10 - ADMINISTRAR PROYECTOS
La evaluacin de los objetivos de control del proceso de Administrar Proyectos se
detalla en el siguiente grfico:
PO10 - ADMINISTRAR PROYECTOS

ANLISIS:
La evaluacin de los 10 objetivos de control que conforman el proceso Administrar
Proyectos nos muestra que estn por encima del porcentaje establecido como nivel
de cumplimiento.
La administracin de proyectos en la empresa EP cumple con los parmetros que
permiten que su ejecucin asegure la calidad de los entregables.

140

DOMINIO ADQUIRIR E IMPLEMENTAR
PROCESO AI1 - IDENTIFICAR SOLUCIONES AUTOMATIZADAS
En el siguiente grfico se detalla el resultado de la evaluacin de los objetivos de
control del proceso Identificar Soluciones Automatizadas.
AI1 - IDENTIFICAR SOLUCIONES AUTOMATIZADAS

ANLISIS:
De los cuatro objetivos de control que conforman este proceso solo uno, que
corresponde al Estudio de Factibilidad y Formulacin de Cursos de Accin
Alternativos tiene un 0% lo que indica que no realizan estudios de factibilidad para
la implementacin de requerimientos como se define en los estndares de desarrollo
y tampoco identifican soluciones alternas que sean rentables para la organizacin.

141

PROCESO AI2 - ADQUIRIR Y MANTENER SOFTWARE APLICATIVO
El resultado de la evaluacin de los objetivos de control que conforman el proceso
adquirir y mantener software aplicativo se presentan en el siguiente grfico.
AI2 - ADQUIRIR Y MANTENER SOFTWARE APLICATIVO

ANLISIS:
La evaluacin de cada uno de los 10 objetivos que conforman este proceso revela
que tres de ellos obtuvieron menor porcentaje de cumplimiento y son:
Diseo de Alto Nivel, con un 38% indica que para la adquisicin de software,
no se tiene en cuenta las directivas tecnolgicas y la arquitectura de
informacin de la organizacin y que la incompatibilidad tcnica o lgica no
es evaluada.
Aseguramiento de la Calidad del Software, con un 0% demuestra que no se
cuenta con un plan de aseguramiento de calidad y que el desarrollo e
implementacin de recursos no estn acordes a las polticas y procedimientos
de calidad de la organizacin.
142

Mantenimiento de Software Aplicativo, con un 50% significa que no se
desarrollan estrategias para un buen mantenimiento de las aplicaciones del
software.

PROCESO AI3 - ADQUIRIR Y MANTENER INFRAESTRUCTURA
TECNOLGICA

Con la evaluacin de los objetivos de control del proceso Adquirir y mantener
infraestructura tecnolgica se pudo determinar los objetivos de menor cumplimiento
como se muestra en el siguiente grfico:
AI3 - ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLGICA

ANLISIS:
Este proceso est conformado por cuatro objetivos de control de los cuales el de
menor cumplimiento es el que corresponde al Mantenimiento de la Infraestructura
que obtuvo un 50% lo que implica que no tienen un plan de mantenimiento bien
definido en lo referente al control de cambios en la infraestructura tecnolgica que
garantice que las aplicaciones crticas de la empresa se vean afectadas en su
desempeo.
143

PROCESO AI4 - FACILITAR LA OPERACIN Y EL USO
Facilitar la operacin y el uso hace referencia a cuatro objetivos de control los cuales
no todos pasan el porcentaje de cumplimiento, en el siguiente grfico se detalla el
porcentaje de cumplimiento.
AI4 - FACILITAR LA OPERACIN Y EL USO

ANLISIS:
Dos de los objetivos de control de este proceso tienen un porcentaje de menor
cumplimiento y son:
Plan para Soluciones de Operacin, con un 50% que refleja la ausencia de
un plan que permita identificar y documentar los aspectos tcnicos as como
la capacidad de operacin y los niveles de servicios requeridos. Actualmente
solo a nivel de aplicativos desarrollan manual de usuarios y manual tcnico
Transferencia de Conocimiento al Personal de Operaciones y Soporte,
con un 57% lo que indica que existe disponibilidad de manuales efectivos de
144

usuario y de operacin, as como entrenamiento necesario al personal
involucrado incluyendo la gerencia, para el correcto uso del sistema. La base
de conocimientos est en proceso.

PROCESO AI5 - ADQUIRIR RECURSOS DE TI
En el grfico siguiente se detalla la evaluacin de los objetivos de control del proceso
Adquirir recursos de TI.
AI5 - ADQUIRIR RECURSOS DE TI

ANLISIS:
La valoracin de los cuatro objetivos de control de este proceso nos revela que todos
los objetivos superan el porcentaje aceptable de cumplimiento, lo que refleja que se
aplican polticas y procedimientos para la adquisicin de las TI y que la relacin con
los proveedores se maneja en forma estratgica cuidando todos los aspectos.
145

PROCESO AI6 - ADMINISTRAR CAMBIOS
El grfico que se muestra a continuacin detalla la evaluacin de los objetivos de
control del proceso Administrar Cambios.
AI6 - ADMINISTRAR CAMBIOS

ANLISIS:
De los cinco objetivos de control que conforman este proceso, dos no alcanzan el
porcentaje aceptable de cumplimiento y son:
Cambios de Emergencia, con un 33% lo que hace referencia a que no hay un
proceso establecido para estos casos, aunque si se documenta y se realizan las
pruebas correspondientes, falta el desarrollo y aplicacin de procedimientos.
Seguimiento y Reporte del Estatus de Cambio, con un 0% que indica que
no hay un sistema que administre los cambios y actualice su estatus y que
est integrada con la administracin del negocio.
146

PROCESO AI7 - INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS
En el grfico que se presenta a continuacin se muestra el resultado de la evaluacin
de los objetivos de control del proceso Instalar y Acreditar Soluciones y Cambios.
AI7 - INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS

ANLISIS:
Este proceso est compuesto de nueve objetivos de control, cinco de los cuales
obtuvieron un porcentaje de menor cumplimiento y son:
Entrenamiento, con un 30% indica que no existe un plan definido para el
entrenamiento del personal y que las indicaciones bsicas que reciben de
acuerdo al requerimiento no es suficiente,
Plan de Prueba, con un 30% refleja la inexistencia de un plan de pruebas
que defina roles, responsabilidades y criterios de entrada y salida, a pesar de
que si se realizan pruebas estas no contempla lo recomendado en un plan.
147

Ambiente de Prueba, con un 50% implica que aunque cuentan con un
ambiente de prueba, este no est basado en un estndar pero si cuidan de no
afectar los datos.
Conversin de Sistemas y Datos, con un 0% indica que no cuentan con un
plan de conversin de datos y migracin de infraestructuras y una
metodologa de prueba para que las soluciones de aplicaciones e
infraestructura est libre de errores.
Pruebas de Cambio, con un 33% muestra que a pesar que en las pruebas de
cambio se considera la seguridad y el desempeo el no contar con un plan de
pruebas las acciones que se tomen son inconsistentes.

148

DOMINIO ENTREGAR Y DAR SOPORTE
PROCESO DS1 DEFINIR Y ADMINISTRAR LOS NIVELES DE
SERVICIO

Se muestra la evaluacin de los objetivos del proceso Definir y Administrar los
niveles de Servicios en el siguiente grfico:
DS1 DEFININIR Y ADMINISTRAR LOS NIVELES DE SERVICIO

ANLISIS:
De los seis objetivos de control que conforman el proceso Definir y Administrar los
niveles de servicio, los de menor cumplimiento son los cinco que se detallan a
continuacin:
Marco de Trabajo de la Administracin de los Niveles de Servicios con un
21% refleja la inexistencia de un marco de trabajo que permita la alineacin
de los servicios claves de TI con la estrategia del negocio.
149

Acuerdos de Niveles de Servicios, con un 50% muestra que a pesar de que a
nivel de aplicaciones cuentan con SLAs, no es suficiente para asegurar la
alineacin de TI con los objetivos del negocio.
Acuerdos de Niveles de Operacin, con un 50% indica que no consideran
un estndar para que los acuerdos de niveles de operacin especifiquen en
trminos claros los procesos para entregar los servicios que soporten los
SLAs,
Monitoreo y Reporte del Cumplimiento de los Niveles de Servicios, con
un 50% hace referencia a que no se monitorean en forma adecuada el
cumplimiento de los niveles de servicio mantener monitoreado
continuamente los criterios de desempeo, as mismo y solo se verifican en
el sistema los nuevos requerimientos, se hacen informes pero los responsables
no ingresan la informacin por lo tanto no existen estadsticas para analizar
tendencias.
Revisin de los Acuerdos de Niveles de Servicios y de los Contratos, con
un 50% indica que la revisin de los acuerdos de niveles de servicio es
informal y solo se lo hace a proveedores externos lo que asegura parcialmente
su efectividad.

150

PROCESO DS2 ADMINISTRAR LOS SERVICIOS DE TERCEROS
En el siguiente grfico se muestra el resultado de la evaluacin de los objetivos de
control del proceso Administrar los servicios de terceros:
DS2 ADMINISTRAR LOS SERVICIOS DE TERCEROS

ANLISIS:
En el resultado de la evaluacion de los objetivos de control de este proceso se
verifica que dos de ellos tienen un menor cumplimiento y estos son:
Identificacin de Todas las Relaciones con Proveedores, con un 13%
seala que la identificacin y categorizacin de los servicios del proveedor no
est estructurada, es insuficiente.
Monitoreo del Desempeo del Proveedor, con un 50% que indica que se
monitorea el desempeo del proveedor aunque no existe un proceso definido.
151

PROCESO DS3 ADMINISTRAR EL DESEMPEO Y LA CAPACIDAD
El grfico que se muestra a continuacin detalla la evaluacin de los objetivos de
control del proceso Administrar el desempeo y la capacidad.
DS3 ADMINISTRAR EL DESEMPEO Y LA CAPACIDAD

ANLISIS:
En la evaluacin de los cinco objetivos de control que conforman este proceso se
observa que los que tienen el menor cumplimiento son:
Capacidad y Desempeo Actual, con un 0% indica que no se revisa en
forma regular la capacidad y el desempeo de los recursos de TI para
verificar si alcanzan los niveles de servicios acordados.
Capacidad y Desempeo Futuros, con un 0% refleja que no se hace una
proyeccin de la capacidad y desempeo de los recursos de TI, ni se analizan
los excesos de capacidad para optimizar su uso.
152

Disponibilidad de Recursos de TI, con un 50% demuestra que toman
medidas para que los recursos de TI cumplan con su capacidad y desempeo
pero a su vez no cuentan con un plan de contingencia implantado.
Monitoreo y Reporte, con un 50% implica que la poltica que se aplica de
revisar cada dos aos el desempeo y la capacidad de los recursos de TI
representa un estado de poca calidad en el servicio y en la adquisicin de los
recursos.

153

PROCESO DS4 GARANTIZAR LA CONTINUIDAD DEL SERVICIO
En el grfico siguiente se detallan los objetivos de control del proceso Garantizar la
Continuidad del Servicio y su evaluacin de cumplimiento:
DS4 GARANTIZAR LA CONTINUIDAD DEL SERVICIO

ANLISIS:
En este anlisis se consideran los objetivos de control crticos del proceso, los cuales
se detallan a continuacion:
Planes de Continuidad de TI, con un 0%, nos demuestra que no existen
planes de continuidad lo cual significa que no estn preparados para el
impacto que se producira por una interrupcin mayor.
Recursos Crticos de TI, con un 0% implica que no estn identificados los
puntos ms vulnerables de TI ni cuentan con procedimientos para asegurar la
continuidad.
154

Pruebas del Plan de Continuidad de TI, con un 50% revela que al no haber
plan de continuidad de TI tampoco se pueden realizar pruebas y que
garantizan la continuidad de TI basndose en la descripcin de funciones que
estn en el manual de procedimientos.
Entrenamiento del Plan de Continuidad de TI, con un 20% demuestra que
el personal involucrado no recibe regularmente el entrenamiento adecuado en
caso de incidente o desastre, pero que cada uno si conoce sus
responsabilidades.
Distribucin del Plan de Continuidad de TI, con un 50% determina que las
reuniones que se realizan con el departamento de desarrollo organizacional
para definir estrategias en caso de emergencia, cumplen a medias con lo que
significa contar con un plan de continuidad probado y debidamente
comunicado.
Recuperacin y Reanudacin de los Servicios de TI, con un 25% implica
que las acciones para recuperacin y reanudacin de los servicios de TI no
son planeadas y solo en el momento que ocurren los eventos se improvisan
las acciones a seguir.
Almacenamiento de Respaldos Fuera de las Instalaciones, con un 30% es
decir que la informacin es respaldada en el sistema, de la base de datos se lo
hace diariamente y cada usuario respalda su informacin semestralmente. No
existe almacenamiento fuera de las instalaciones.
Revisin Post Reanudacin, con un 50% representa que si hacen revisiones
luego de una interrupcin a pesar de no contar con un plan de continuidad de
TI.

155

PROCESO DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS
En el grfico siguiente se muestran el resultado de la evaluacin de los objetivos de
control del proceso garantizar la seguridad de los sistemas.
DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS

ANLISIS:
Se puede determinar que en este proceso los objetivos de control de menor
cumplimiento son los siguientes:
Administracin de la Seguridad de TI, con un 30% indica que la
administracin de la seguridad, no est alineada con los requerimientos del
negocio.
Plan de Seguridad de TI, con un 50% implica que no existe un plan de
seguridad de TI, pero si hacen una consideracin de la infraestructura de TI
con los requerimientos del negocio.
156

Administracin de Cuentas del Usuario, con un 0% demuestra que no
existen procedimientos para la administracin de cuentas de usuario, no
tienen manuales de usuario, tampoco criterios para la creacin de cuentas de
usuario, se basan en los procedimientos de soporte.
Definicin de Incidente de Seguridad, con un 0% es decir que no existen
procedimientos establecidos, cuando existe mal uso de la red solo bloquean el
problema y lo comunican al jefe y luego se toman medidas correctivas.
Proteccin de la Tecnologa de Seguridad, con un 50% refleja que la
seguridad no est cubierta en su totalidad, solo a nivel interno.
Intercambio de Datos Sensitivos, con un 50% muestra que solo protegen la
web por medio de un proxy, no tienen proteccin para el correo electrnico.

157

PROCESO DS6 IDENTIFICAR Y ASIGNAR COSTOS
En el siguiente grfico se detalla la evaluacin de los objetivos de control del proceso
Identificar y asignar costos.
DS6 IDENTIFICAR Y ASIGNAR COSTOS

ANLISIS:
En los cuatro objetivos de control que conforman este proceso se identific que el de
menor cumplimiento es:
DS6.1 Definicin de Servicios con un 50% indica que se los costos de TI son
identificados en trminos globales pero no estn clasificados.

158

PROCESO DS7 EDUCAR Y ENTRENAR A LOS USUARIOS
Con el siguiente grfico se muestra la evaluacin de los objetivos de control del
proceso Educar y entrenar a los usuarios.
DS7 EDUCAR Y ENTRENAR A LOS USUARIOS

ANLISIS:
Este proceso consta de tres objetivos de control y en la evaluacin los que obtuvieron
el menor cumplimiento son:
Identificacin de Necesidades de Entrenamiento y Educacin, con un 57%
implica que no cuentan con un programa definido de entrenamiento, pero que
si incluyen la implementacin de nuevo software (BAAN) y por medio de
Recursos Humanos se certifican habilidades y competencias en el personal
seleccionado.
Evaluacin del Entrenamiento Recibido, con un 0% demuestra que al no
contar con un programa definido de entrenamiento no se realizan las
evaluaciones necesarias luego de una capacitacin que contribuiran a futuro
en nuevos planes de estudio o de entrenamiento.
159

PROCESO DS8 ADMINISTRAR LA MESA DE SERVICIO Y LOS
INCIDENTES

En el siguiente grfico se detalla la evaluacin de los objetivos de control del proceso
Administrar la mesa de servicio y los incidentes.
DS8 ADMINISTRAR LA MESA DE SERVICIO Y LOS INCIDENTES

ANLISIS:
Se evalu cada objetivo de este proceso determinando que los que obtuvieron el
menor porcentaje de cumplimiento son:
Mesa de Servicios, con un 0% que implica que no tienen procedimientos de
monitoreo basados en los SLAs, que permitan registrar, comunicar, atender y
analizar todas las llamadas e incidentes reportados.
Escalamiento de Incidentes, con un 0% indica que no han desarrollado
procedimientos basados en los acuerdos de los SLAs, se escalen los
problemas no resueltos en primera instancia otorgando una solucin alterna.
160

Cierre de Incidentes, con un 0% nos revela que los incidentes no son
registrados apropiadamente y tampoco se confirma cual fue la accin tomada
y acordada con el cliente.
Anlisis de Tendencias, con un 50% refleja que no se emiten reportes de la
actividad de la mesa de servicios que permita a la gerencia medir su
desempeo y los tiempos de respuesta, as como llevar el registro de la causa
raz de los incidentes y su recurrencia. Y de esta manera identificar cules son
los problemas ms comunes y mejorar el servicio.

PROCESO DS9 ADMINISTRAR LA CONFIGURACIN
La evaluacin obtenida de los objetivos de control del proceso Administrar la
Configuracin se presenta en el siguiente grfico:
DS9 ADMINISTRAR LA CONFIGURACIN


161

ANLISIS:
El resultado de la evaluacin de los objetivos de control crticos de este proceso son:
Repositorio y Lnea Base de Configuracin, con un 25% indica que carecen
de una herramienta de soporte y un repositorio que contenga la informacin
relevante. Tampoco existen procedimientos para el monitoreo y cambios que
realizan en la configuracin.
Identificacin y Mantenimiento de Elementos de Configuracin, con un
0%, revela que no cuentan con procedimientos que soporten la gestin de
cambios.
Revisin de Integridad de la Configuracin, con un 33% demuestra que las
revisiones del software instalado que realizan cada seis meses no es suficiente
para alcanzar el cumplimiento de este objetivo ya que lo hacen de manera
informal, es decir que no se basan en un procedimiento bien definido y
establecido.

162

PROCESO DS10 ADMINISTRAR LOS PROBLEMAS
En el grfico siguiente se presenta la evaluacin de los objetivos de control del
proceso Administrar los Problemas.
DS10 ADMINISTRAR LOS PROBLEMAS

ANLISIS:
En la evaluacin de este proceso los cuatro objetivos de control que lo conforman no
alcanzan el porcentaje aceptable de cumplimiento, ya que tienen un 0% lo que
permite identificar que no existe una adecuada administracin de los problemas
desde contar con procesos o procedimientos para identificar los incidentes hasta el
cierre del mismo pasando por determinar la causa raz.

163

PROCESO DS11 ADMINISTRAR LOS DATOS
En el siguiente grfico se muestra la evaluacin de los objetivos de control del
proceso Administrar los datos:
DS11 ADMINISTRAR LOS DATOS

ANLISIS:
Los objetivos de control con menor porcentaje de cumplimiento son:
Requerimientos del Negocio para Administracin de Datos, con un 25%
nos muestra que no existe un seguimiento adecuado para que el recibimiento
y procesamiento de los datos sea oportuno, y no se soportan los reinicios y los
reprocesos.

164

Acuerdos de Almacenamiento y Conservacin, con un 50% relaciona que
no existen procedimientos para el archivo, almacenamiento y retencin de los
datos, solo se hacen respaldos de informacin y nicamente lo que indica el
usuario cuando realizan mantenimiento.
Sistema de Administracin de Libreras de Medios, con un 0% demuestra
que tampoco para este objetivo estn establecidos los procedimientos para
mantener un inventario de medios almacenados y archivados que permitan
asegurar su usabilidad e integridad.
Eliminacin, con un 0% implica la inexistencia de procedimientos para la
proteccin de datos y software que asegure los requerimientos del negocio.
Respaldo y Restauracin, con un 50% indica que los procedimientos para el
respaldo de los sistemas, aplicaciones, datos y documentacin que vayan de
la mano con el plan de continuidad y los requerimientos del negocio al no
estar documentados impide verificar su real cumplimiento.
Requerimientos de Seguridad para la Administracin de Datos, con un
0% establece que no se tienen desarrolladas polticas y procedimientos para la
restauracin de datos durante todo el ciclo de vida.

165

PROCESO DS12 ADMINISTRAR EL AMBIENTE FSICO
A continuacin se detalla la evaluacin de los objetivos de control del proceso
Administrar el Ambiente Fsico como lo muestra el siguiente grfico:
DS12 ADMINISTRAR EL AMBIENTE FSICO

ANLISIS:
La Administracin de Instalaciones Fsicas con 50% implica que falta implementar
una adecuada administracin para estos componentes necesarios para que el
ambiente fsico en el que se desarrollan las TI se complemente con los otros
objetivos de control que permitan que el proceso alcance el nivel de cumplimiento
deseado.

166

PROCESO DS13 ADMINISTRAR LAS OPERACIONES
Se muestra en el siguiente grfico la evaluacin de los objetivos de control que
forman parte del proceso Administrar las operaciones:
DS13 ADMINISTRAR LAS OPERACIONES

ANLISIS:
Los objetivos de menor cumplimiento de este proceso son los que se detallan a
continuacin:
Procedimientos e Instrucciones de Operacin, con un 50% demuestra la
falta de procedimientos para el manejo de las operaciones de TI y que solo se
basan en el desempeo del personal a cargo de las actividades relacionadas
con las TI.

167

Monitoreo de la Infraestructura de TI, con un 0% revela la falta de
procedimientos definidos ya que de manera emprica realizan el monitoreo de
la infraestructura de TI.
Documentos Sensitivos y Dispositivos de Salida, con un 50% implica que
esta actividad no se administra apropiadamente y lo activos de TI no estn
asegurados en su totalidad.

168

DOMINIO MONITOREAR Y EVALUAR
En el siguiente grfico se detalla la evaluacin de los objetivos de control que
conforman el proceso Monitorear y evaluar el desempeo de TI.

ANLISIS:
El Enfoque del Monitoreo con un 0% es el nico objetivo de control que no alcanza
el nivel de cumplimiento aceptable en vista de que no cuentan con un marco de
trabajo de monitoreo general, tampoco tienen un proceso para medir la solucin y la
entrega de servicios de TI y monitorear la contribucin de TI al negocio.

169

PROCESO ME2 - MONITOREAR Y EVALUAR EL CONTROL INTERNO
En el siguiente grfico se detallan los objetivos de control del proceso Monitorear y
Evaluar el Control Interno.
ME2 - MONITOREAR Y EVALUAR EL CONTROL INTERNO

ANLISIS:
El Control de Auto Evaluacin, con 0% demuestra que no tienen programas de
auto evaluacin y solo se basan en los resultados de las auditoras internas y externas.

170

PROCESO ME3 - GARANTIZAR EL CUMPLIMIENTO REGULATORIO
A continuacin se detalla el grfico con los objetivos de control del proceso
Garantizar el Cumplimiento Regulatorio.
ME3 - GARANTIZAR EL CUMPLIMIENTO REGULATORIO

ANLISIS:
Se puede verificar que despus del anlisis desarrollado en este proceso, los objetivos
de control que lo conforman cumplen con el 100% lo que indica que por medio del
departamento legal de la empresa se toman todas las medidas para garantizar el
cumplimiento con las regulaciones internas y externas.

171

PROCESO ME4 - PROPORCIONAR GOBIERNO DE TI
En el grfico siguiente se muestra la evaluacin de los objetivos de control
pertenecientes al proceso Proporcionar Gobierno de TI.
ME4 - PROPORCIONAR GOBIERNO DE TI

ANLISIS:
Los objetivos de control con menor porcentaje de cumplimiento en este proceso son:
Alineamiento Estratgico, con un 38% revela que la falta de comunicacin
con los directivos sobre temas estratgicos de TI no les permite facilitar la
alineacin de TI con el negocio y tampoco tomar decisiones para la obtencin
de los beneficios provenientes de las inversiones habilitadas con TI.
Administracin de Riesgos, con un 0% indica que no se evalan ni reportan
los riesgos relacionados con TI as como su impacto. Tampoco se define el
nivel de riesgo de TI a travs de un consejo directivo que asegure que el
riesgo actual no exceda el riesgo aceptable de direccin.
172

4.1.2.1.1.5 RESULTADO FINAL DE LA EVALUACIN POR OBJETIVOS
DE CONTROL DE MENOR CUMPLIMIENTO

RESUMEN DE LOS OBJETIVOS DE CONTROL DE MENOR
CUMPLIMIENTO

En el siguiente grfico se detallan los 96 objetivos de control con menor
cumplimiento, es decir los que tuvieron un resultado <60% establecido como nivel
aceptable.
GRFICO 41: RESUMEN DE LOS OBJETIVOS DE CONTROL DE MENOR
CUMPLIMIENTO

173

ANLISIS:
Mediante la evaluacin realizada a nivel de los 210 objetivos de control de COBIT se
obtiene el resultado de 96 objetivos de control de menor cumplimiento (<60) y 114
objetivos de control (>=60) lo que indica que se encuentran en un nivel aceptable de
acuerdo a lo que establece la metodologa.

EVALUACIN DE OBJETIVOS DE CONTROL CRTICOS
Los 37 objetivos de control considerados crticos porque obtuvieron 0% de
cumplimiento se registra en el grfico siguiente:
GRFICO 42: EVALUACIN DE OBJETIVOS DE CONTROL CRTICOS

174

ANLISIS:
En el grfico se puede verificar que solo estn detallados todos los objetivos crticos
que tienen un porcentaje de 0% de los cuales se dieron a conocer al jefe del
departamento de TI quien escogi cinco de estos objetivos para que sean
desarrolladas las polticas.

4.1.3 EVALUACIN DE RIESGOS DE TI

Para la evaluacin de riesgos de TI nos hemos basado en el mtodo DELPHI ya que
nos permite la categorizacin individual de las amenazas a que estn expuestos los
sistemas computarizados y de los objetos de riesgo que comprenden los sistemas, con
el fin de identificar las reas de alto, medio y bajo riesgo para minimizar sus efectos.
Para la realizacin de la matriz de identificacin de los niveles de riesgo se coordin
con cuatro personas del departamento de sistemas para:
1. Definir amenazas y objetos del sistema que detallaremos en la siguiente tabla:
TABLA 8: LISTADO DE AMENAZAS/OBJETOS DEFINIDOS POR EL
DEPARTAMENTO DE SISTEMAS

175

2. Aplicar el formato amenazas y objetos para su evaluacin respectiva. (Ver
anexo #5)
3. Recopilar datos para el registro en la tabla #9 (comparacin de categoras por
amenazas) y la tabla #10 (comparacin de categoras por objetos) de acuerdo
a la evaluacin realizada por cada uno de los colaboradores del departamento
de sistemas. (Ver anexos #7,8,9 y 10)
TABLA 9: COMPARACIN DE CATEGORAS DE RIESGOS POR
AMENAZAS

Fuente: (J os Dagoberto Pinilla Forero, Auditora informtica, Un enfoque
operacional, Pg.175, 1992)
ANLISIS:
Las amenazas causan prdidas o daos a los activos de la empresa y colocan en
riesgo la integridad, confidencialidad y disponibilidad de la informacin. Las
amenazas pueden ser causadas por: desastres naturales, desastres no naturales, causas
176

internas o externas, pero siempre sern constantes y pueden ocurrir en cualquier
momento, el objetivo es impedir impactos al negocio.
En la tabla anterior podemos verificar que el ndice de mayor riesgo es Violacin de
privacidad lo que indica que existe una vulnerabilidad de la seguridad de las redes de
la informacin de la empresa, lo que se recomienda es implementar: polticas y guas
por el uso indebido de la informacin, un sistema de deteccin de intrusiones de host,
capacitacin constante a los usuarios sobre los peligros que involucra abrir pginas
electrnicas no autorizadas.
En la siguiente tabla se detallan los resultados obtenidos de la evaluacin de riesgos
por objetos:
TABLA 10: COMPARACIN DE CATEGORAS DE RIESGOS POR
OBJETOS

177

ANLISIS:
En la evaluacin realizada anteriormente verificamos que el objeto a analizar son los
programas debido a que presentan un mayor ndice de riesgo lo que implica que la
persona encargada de la seguridad debe controlar el manejo de la informacin
proporcionada a los diferentes usuarios de la empresa para evitar fraudes internos o
externos.
En la siguiente tabla se detalla la matriz resultado amenazas/objetos aplicados en el
departamento de sistemas para su posterior anlisis:
TABLA 11: MATRIZ RESULTADO AMENAZAS/OBJETOS

ANLISIS:
La combinacin de las dos categorizaciones permite realizar un control de los riesgos
colocando los totales de amenazas/objetos en orden de mayor a menor, seguidamente
se multiplican cada uno de los valores para obtener el nivel de riesgo/sensibilidad de
las celdas de acuerdo al producto. Como se observa en la tabla anterior cada color
178

indica la repeticin de los valores que al final solo uno ser considerado, es decir el
repetido no ser tomado en cuenta para la definicin de los niveles
riesgo/sensibilidad de alto, medio y bajo riesgo.
Para obtener los resultados de los niveles de riesgo/sensibilidad se elabor la tabla #
12 Definicin de los niveles de riesgo/sensibilidad de TI.
TABLA 12: DEFINICIN DE LOS NIVELES DE RIESGO/SENSIBILIDAD
DE TI

ANLISIS:
Para segmentar los niveles de riesgo/sensibilidad se realiz una tabla donde se ubic
los valores repetidos de la multiplicacin de amenazas/objetos de mayor a menor con
el nmero de repeticiones, adems el nmero total de celdas de la matriz. Para dividir
las celdas en regiones de mayor, mediano y menor riesgo se realiz la resta del total
de celdas con el total de las repeticiones dividido para cuatro (=((48-12)/4)), dando
un total de nueve (9) para determinar los siguientes rangos:

179

ALTO RIESGO = De 1 a 9 celdas
MEDIANO RIESGO = De 10 a 27 celdas
BAJO RIESGO = De 28 a 36 celdas
En la siguiente tabla se verifica las reas de alto, mediano y bajo riesgos clasificados
por color:
TABLA 13: MATRIZ IDENTIFICACIN DE LOS NIVELES DE RIESGO
AMENAZAS PRDIDA DE DATOS ERRORES DESASTRE FSICO ACCESO ILEGAL ROBO
VIOLACIN DE
PRIVACIDAD
OBJETOS 14 13 11 10 7 5
ARCHIVOS DE
BASES DE DATOS
294 273 231 210 147 105
21 1 2 6 8 18 23
INFRAESTRUCTURA 266 247 209 190 133 95
19 3 4 9 11 20 25
COMPUTADORAS/
DISCOS
238 221 187 170 119 85
17 5 7 12 14 22 27
REPORTES 210 195 165 150 105 75
15 8 10 16 17 23 29
CIRCUITOS DE
COMUNICACIN
210 195 165 150 105 75
15 8 10 16 17 23 29
TERMINALES 182 169 143 130 91 65
13 13 15 19 21 26 31
TERMINAL DE
OPERACIN
98 91 77 70 49 35
7 24 26 28 30 34 35
PROGRAMAS 70 65 55 50 35 25
5 30 31 32 33 35 36
MATRIZ DE IDENTIFICACIN DE LOS NIVELES DE RIESGO

ALTO RIESGO De 1 a 9 celdas 9
MEDIANO RIESGO De 10 a 27 celdas 18
BAJO RIESGO De 28 a 36 celdas 9

Nota: Las celdas con valor repetido se las considera una sola vez para la numeracin
de los niveles de riesgo.

180

ANLISIS:
Se considera como nivel de alto riesgo, las amenazas/objetos que se encuentran en
las celdas numeradas del 1 al 9. Con el resultado del trabajo realizado, se recomienda
disear y documentar controles a nivel preventivo, detectivo y correctivo de acuerdo
con el rea seleccionada para minimizar sus efectos en el negocio. El anlisis con
respecto a COBIT identifica al objetivo de control PO4.8 (Responsabilidad sobre el
riesgo, la seguridad y el cumplimiento para implementar prcticas de supervisin)
como el objetivo con el que se pueda cerrar la brecha existente, ya que permite
evaluar si todo el personal del departamento de sistemas cuenta con los
conocimientos adecuados para llevar a cabo las responsabilidades de los servicios
brindados a la empresa.

4.1.4 ELABORACIN DE POLTICAS A APLICAR ACORDE A LOS
OBJETIVOS DE CONTROL CRTICOS

En la realizacin de esta propuesta el departamento de sistemas seleccion 5
objetivos crticos acorde a los resultados obtenidos en el diagrama, los cuales se
detallan a continuacin:

1. Poltica para el Monitoreo de tendencias y regulaciones futuras.
2. Poltica del Comit estratgico de TI.
3. Poltica de Estudio para la factibilidad de cursos de accin.
4. Poltica de Continuidad de TI.
5. Poltica de los Recursos crticos.

181

POLTICA PARA EL MONITOREO DE
TENDENCIAS Y REGULACIONES FUTURAS
TECNOLOGA DE LA INFORMACIN
Cdigo:
XXX-GG-TI-P005
Versin: 1
Pgina 1 de 1

I. OBJETIVO
Asegurar que los servicios de informacin mantengan un monitoreo continuo
de las tendencias futuras y condiciones regulatorias para que sean
considerados en el desarrollo y mantenimiento del plan de infraestructura
tecnolgica.

II. ALCANCE
Estas polticas deben ser cumplidas por todo el personal de TI.

III. POLTICAS
a) Considerar en el plan de infraestructura tecnolgica las tendencias
ambientales y de la tecnologa presente y futura as como las legales y
regulatorias.
b) Establecer estndares de tecnologa que sean consistentes con el plan de
infraestructura tecnolgica.
c) Definir procedimientos para la evaluacin y monitoreo de las tendencias y
regulaciones futuras
d) Identificar las inconsistencias en el Modelo de Arquitectura de
Informacin y en el Modelo de Datos Corporativo con el fin de
precautelar la integridad de los datos.

Elaborado por:

Jefe de Sistemas
Aprobado por:

Gerente General
182

POLTICA DEL COMIT ESTRATGICO
DE TI

Cdigo:
XXX-GG-TI-P005
Versin: 1
Pgina 1 de 2

I. OBJETIVO
Asegurar la adecuada gobernabilidad de las tecnologas de informacin y
asesorar a la Gerencia General en la toma de decisiones.

II. ALCANCE

III. POLTICAS
a) Establecer las prioridades de TI, comunicarlas en forma clara al personal
involucrado y cuidar que no existan desviaciones de estas prioridades para
que no se afecte negativamente el cumplimiento de los objetivos
estratgicos.
b) Dar seguimiento al plan estratgico de TI para su actualizacin y velar
que se cumpla.
c) Controlar en forma peridica el avance de los proyectos de TI para
proteger el valor de la inversin.
d) Estudiar el presupuesto anual de las TIC para asesorar sobre su
aprobacin.
e) Respaldar los procesos de TI fomentando programas de capacitacin para
los funcionarios.
Elaborado por:

Jefe de Sistemas
Aprobado por:

Gerente General
183

POLTICA DEL COMIT ESTRATGICO DE
TI

Cdigo:
XXX-GG-TI-P005
Versin: 1
Pgina 2 de 2

f) El cumplimiento de las disposiciones del Comit son responsabilidad del
J efe de TI.
g) Cuidar la correcta gestin de los recursos informticos en el mbito
general de la empresa y su buen funcionamiento bajo criterios de
eficiencia y eficacia.
h) Informar a la Gerencia General de las incidencias producidas y las
medidas adoptadas.

Elaborado por:

Jefe de Sistemas
Aprobado por:

Gerente General
184

POLTICA PARA EL ESTUDIO DE
FACTIBILIDAD Y FORMULACIN DE
CURSOS DE ACCIN ALTERNATIVOS
Cdigo:
XXX-GG-TI-P005
Versin: 1
Pagina 1 de 1

I. OBJETIVO
Evaluar mediante estudios la factibilidad para la implementacin de los
requerimientos de TI y determinar cursos de accin alternos para su
recomendacin.

II. ALCANCE

III. POLTICAS
a) Elaborar estudios de: factibilidad econmica y de desempeo tecnolgico,
de arquitectura de informacin y de anlisis de riesgos.
b) Estudiar y analizar soluciones alternativas a los requerimientos de los
usuarios considerando su costo-beneficio y observando el modelo de
datos de la arquitectura de informacin de la empresa.
c) Definir procedimientos a cumplir e identificar estndares a seguir en la
adquisicin de hardware, software y servicios de tecnologa de
informacin.
d) Regular todas las adquisiciones bajo contratos que estipulen todo tipo de
pruebas y revisiones antes de ser aceptadas.

Elaborado por:

Jefe de Sistemas
Aprobado por:

Gerente General
185

POLTICA PARA PLANES DE
CONTINUIDAD DE TI

Cdigo:
XXX-GG-TI-P005
Versin: 1
Pagina 1 de 2

I. OBJETIVO
Reducir el impacto por la interrupcin de las funciones de TI y los procesos
claves del negocio.

II. ALCANCE

III. POLTICAS
a) Desarrollar un plan de cotinuidad de TI que abarque los servicios de
informacin, as como los recursos dependientes del sistema de
informacin.
b) Establecer procedimientos emergentes que garanticen la seguridad del
personal afectado.
c) Desarrollar programas de entrenamiento para las personas que intervienen
en el plan de continuidad.
d) Realizar pruebas periodicas de los planes de contingencia para verificar si
los resultados son los esperados.
e) Documentar los procedimientos manuales alternos y mantener
actualizados los planes que forman parte del plan global y comunicar a
todo el personal involucrado verificando su total entendimiento.
Elaborado por:

Jefe de Sistemas
Aprobado por:

Gerente General
186

POLTICA PARA PLANES DE
CONTINUIDAD DE TI

Cdigo:
XXX-GG-TI-P005
Versin: 1
Pagina 2 de 2

f) Realizar mediciones comparativas con los planes de continuidad de
organizaciones similares o estndares internacionales probados.

Elaborado por:

Jefe de Sistemas
Aprobado por:

Gerente General
187

POLTICA PARA RECURSOS CRTICOS
DE TI

Cdigo:
XXX-GG-TI-P005
Versin: 1
Pagina 1 de 1

I. OBJETIVO
Recuperar los puntos considerados como crticos y asegurar que corresponden
a las necesidades prioritarias del negocio.

II. ALCANCE

III. POLTICAS
a) Mantener una lista actualizada de los recursos y aplicaciones del sistema
priorizados de mayor a menor que incluya los tiempos de recuperacin
requeridos y las normas de desempeo esperados.
b) Determinar la recuperacin de los servicios para los diferentes niveles de
prioridad, considerando los costos y cumplimiento de regulaciones.
c) Evaluar los riesgos y considerar el aseguramiento de los recursos tanto de
infraestructura como de personas.
d) Mantener un programa detallado paso a paso de las respuestas para
situaciones emergentes tanto para prdidas mnimas como totales.

Elaborado por:

Jefe de Sistemas
Aprobado por:

Gerente General
188

CONCLUSIONES y RECOMENDACIONES

CONCLUSIONES

En el departamento de sistemas de la empresa EP se verific en el transcurso del
desarrollo del proyecto que no cuentan con procedimientos y polticas definidas para
cada proceso; Base de datos, aplicativos, comunicaciones, seguridades y soporte a
usuarios que permitan llevar un seguimiento de los roles y responsabilidades del
personal para cumplir con los requerimientos del negocio.

El anlisis de riesgos revel que la infraestructura tecnolgica no es la adecuada para
respaldar toda la informacin manejada en la empresa EP por lo que se deben tomar
las medidas respectivas.

La brecha que se encontr en el manejo de los procesos contrastados con lo definido
por la metodologa COBIT refiri un promedio del 38% generalizando todos los
objetivos crticos existentes.

Se concluye que los objetivos de control son necesarios para garantizar el correcto
funcionamiento, la calidad de los resultados y la mejora continua de las operaciones
as como tambin para detectar debilidades y riesgos potenciales de cada proceso del
departamento.

189

RECOMENDACIONES

Nuestro proyecto est basado en el anlisis de los procesos de TI del departamento
de sistemas de la Empresa EP con la finalidad de determinar el grado de
cumplimiento con relacin a lo recomendado por la metodologa COBIT 4.1.

Hay muchas razones de importancia por las que se recomienda a la empresa EP
implementar la metodologa COBIT 4.1, entre ellas se mencionan las siguientes:
Optimizacin de los recursos de TI.
Disponibilidad de informacin oportuna, segura y confiable.
Infraestructura Tecnolgica robusta, escalable y rentable.
Actualizaciones puntuales, efectivas y eficaces.
Soporte a usuarios garantizados.
Proteccin de datos.
Recurso humano calificado.
Equilibrio entre los riesgos y las inversiones de TI.
Polticas y procedimientos adecuados para cada proceso.
Lo anteriormente descrito permitir al departamento de sistemas alcanzar todo el
potencial que promete la tecnologa, generando un clima de confianza con los
directivos y los usuarios finales, y contribuir en el logro de los objetivos estratgicos
de la empresa.

190

ANEXOS
ANEXO 1: EVALUACIN POR PROCESOS
EVALUACIN POR PROCESOS - COBIT
DOMINIOS PROCESOS
#
OBJETIVOS %

PLANEAR Y
ORGANIZAR
PO1 - Definir un Plan Estratgico de TI 6 89%
PO2 - Definir la Arquitectura de la Informacin 4 18%
PO3 - Determinar la Direccin Tecnolgica 5 43%
PO4 - Definir los Procesos, Organizacin y
Relaciones de TI
15 67%
PO5 - Administrar la Inversin en TI 5 73%
PO6 - Comunicar las Aspiraciones y la Direccin
de la Gerencia
5 85%
PO7 - Administrar Recursos Humanos de TI 8 77%
PO8 - Administrar la Calidad 6 33%
PO9 - Evaluar y Administrar los Riesgos de TI 6 36%
PO10 - Administrar Proyectos 14 98%
ADQUIRIR E
IMPLEMENTAR
AI1 - Identificar soluciones automatizadas 4 75%
AI2 - Adquirir y mantener software aplicativo 10 70%
AI3 - Adquirir y mantener infraestructura
tecnolgica
4 77%
AI4 - Facilitar la operacin y el uso 4 77%
AI5 - Adquirir recursos de TI 4 92%
AI6 - Administrar cambios 5 60%
AI7 - Instalar y acreditar soluciones y cambios 9 53%
ENTREGAR Y
DAR SOPORTE
DS1 - Definir y administrar los niveles de
servicio
6 53%
DS2 - Administrar los servicios de terceros 4 58%
DS3 - Administrar el desempeo y la capacidad 5 37%
DS4 - Garantizar la continuidad del servicio 10 43%
DS5 - Garantizar la seguridad de los sistemas 11 56%
DS6 - Identificar y asignar costos 4 84%
DS7 - Educar y entrenar a los usuarios 3 52%
DS8 - Administrar la mesa de servicio y los
incidentes
5 30%
DS9 - Administrar la configuracin 3 19%
DS10 - Administrar los problemas 4 0%
DS11 - Administrar los datos 6 21%
DS12 - Administrar el ambiente fsico 5 84%
DS13 - Administrar las operaciones 5 60%
MONITOREAR
Y EVALUAR
ME1 - Monitorear y Evaluar el Desempeo de TI 6 83%
ME2 - Monitorear y Evaluar el Control Interno 7 86%
ME3 - Garantizar el Cumplimiento Regulatorio 5 100%
ME4 - Proporcionar Gobierno de TI 7 77%

191

ANEXO 2: EVALUACIN POR OBJETIVOS DE CONTROL
PROCESOS ACTIVIDADES DEL PROCESO OBJETIVOS DE CONTROL PESO %
Relacionar las metas del negocio con las de
TI.
PO1.1 - Administracin del Valor
de TI.
0,17 90%
Relacionar las metas del negocio con las de
TI.
PO1.2 - Alineacin de TI con el
Negocio.
0,17 50%
Identificar dependencias crticas y desempeo
actual.
PO1.3 - Evaluacin del Desempeo
y la Capacidad Actual.
0,17 100%
Construir un plan estratgico para TI. PO1.4 - Plan Estratgico de TI. 0,17 100%
Construir planes tcticos para TI. PO1.5 - Planes Tcticos de TI. 0,16 100%
Analizar portafolios de programas y
administrar portafolios de servicios y
proyectos.
PO1.6 - Administracin del
Portafolio de TI.
0,16 100%
Crear y mantener modelo de informacin
corporativo/empresarial.
PO2.1 - Modelo de Arquitectura de
Informacin Empresarial.
0,25 47%
Crear y mantener diccionario de datos
corporativo.
PO2.2 - Diccionario de Datos
Empresarial y Reglas de Sintxis de
Datos.
0,25 0%
*Establecer y mantener esquema de
clasificacin de datos.
*Brindar a los dueos procedimientos y
herramientas para clasificar los sistemas de
informacin.
PO2.3 - Esquema de Clasificacin
de Datos.
0,25 0%
Usar el modelo de informacin, el diccionario
de datos y el esquema de clasificacin para
planear los sistemas optimizados del negocio.
PO2.4 - Administracin de
Integridad.
0,25 25%
Crear y mantener un plan de infraestructura
tecnolgica.
PO3.1 - Planeacin de la Direccin
Tecnolgica.
0,20 67%
Crear y mantener estndares tecnolgicos.
PO3.2 - Plan de Infraestructura
Tecnolgica.
0,20 67%
Publicar estndares tecnolgicos.
PO3.3 - Monitoreo de Tendencias y
Regulaciones Futuras.
0,20 0%
Monitorear la evolucin tecnolgica. PO3.4 - Estndares Tecnolgicos. 0,20 80%
Definir el uso (futuro) (estratgico) de la nueva
tecnologa.
PO3.5 - Consejo de Arquitectura de
TI.
0,20 0%
EVALUACIN POR CONTROLES - COBIT
P
O
1

-

D
e
f
i
n
i
r

u
n

P
l
a
n

E
s
t
r
a
t
g
i
c
o

d
e

T
I
P
O
3

-

D
e
t
e
r
m
i
n
a
r

l
a

D
i
r
e
c
c
i
n

T
e
c
n
o
l
g
i
c
a
P
O
2

-

D
e
f
i
n
i
r

l
a

A
r
q
u
i
t
e
c
t
u
r
a

d
e

l
a

I
n
f
o
r
m
a
c
i
n

192

Disear Marco de Trabajo para el proceso de
TI.
PO4.1 - Marco de Trabajo de
Procesos de TI.
0,07 100%
Establecer estructura organizacional de TI,
incluyendo comits y ligas a los interesados y
proveedores.
PO4.2 - Comit Estratgico de TI. 0,07 0%
proveedores.
PO4.3 - Comit Directivo de TI. 0,07 0%
Identificar dueos de sistemas.
PO4.4 - Ubicacin Organizacional
de la Funcin de TI.
0,07 100%
proveedores.
PO4.5 - Estructura Organizacional. 0,07 100%
Establecer e implantar roles y
responsabilidades de TI, incluida la
supervisin y segregacin de funciones.
PO4.6 - Establecimiento de Roles y
Responsabilidades.
0,07 100%
PO4.7 - Responsabilidad de
Aseguramiento de Calidad de TI.
0,07 0%
PO4.8 - Responsabilidad sobre el
Riesgo, la Seguridad y el
Cumplimiento.
0,07 14%
PO4.9 - Propiedad de Datos y de
Sistemas.
0,07 33%
PO4.10 - Supervisin. 0,07 100%
PO4.11 - Segregacin de
Funciones.
0,07 100%
PO4.12 - Personal de TI. 0,07 100%
PO4.13 - Personal Clave de TI. 0,07 100%
PO4.14 - Polticas y Procedimientos
para Personal Contratado.
0,07 100%
PO4.15 - Relaciones. 0,07 50%
P
O
4

-

D
e
f
i
n
i
r

l
o
s

P
r
o
c
e
s
o
s
,

O
r
g
a
n
i
z
a
c
i
n

y

R
e
l
a
c
i
o
n
e
s

d
e

T
I

193

Dar mantenimiento al portafolio de programas
de inversin.
PO5.1 - Marco de Trabajo para la
Administracin Financiera.
0,20 100%
Dar mantenimiento al portafolio de proyectos.
PO5.2 Prioridades dentro del
Presupuesto de TI.
0,20 33%
Dar mantenimiento al portafolio de servicios. PO5.3 - Proceso Presupuestal. 0,20 100%
Establecer y mantener proceso presupuestal
de TI.
PO5.4 - Administracin de Costos
de TI.
0,20 100%
Identificar, comunicar y monitorear la
inversin, costo y valor de TI para el negocio.
PO5.5 - Administracin de
Beneficios.
0,20 33%
Elaborar y mantener un ambiente y marco de
control de TI.
PO6.1 - Ambiente de Polticas y de
Control.
0,20 100%
Elaborar y mantener un ambiente y marco de
control de TI.
PO6.2 - Riesgo Corporativo y
Marco de Referencia de Control
Interno de TI.
0,20 75%
Elaborar y mantener polticas de TI.
PO6.3 - Administracin de Polticas
para TI.
0,20 100%
Elaborar y mantener polticas de TI.
PO6.4 - Implantacin de Polticas
de TI.
0,20 100%
Comunicar el marco de control y los objetivos
y direccin de TI.
PO6.5 - Comunicacin de los
Objetivos y la Direccin de TI.
0,20 50%
Identificar las habilidades de TI, benchmarks
sobre descripciones de puesto, rango de
salarios y desempeo del personal.
PO7.1 - Reclutamiento y Retencin
del Personal.
0,13 75%
PO7.2 - Competencias del Personal. 0,13 100%
PO7.3 - Asignacin de Roles. 0,13 100%
Ejecutar las polticas y procedimientos
relevantes de RH para TI(reclutar, contratar,
investigar, compensar, entrenar, evaluar,
promover, y terminar).
PO7.4 - Entrenamiento del Personal
de TI.
0,13 0%
PO7.5 - Dependencia Sobre los
Individuos.
0,12 50%
PO7.6 - Procedimientos de
Investigacin del Personal.
0,12 100%
PO7.7 - Evaluacin del Desempeo
del Empleado.
0,12 92%
PO7.8 - Cambios y Terminacin de
Trabajo.
0,12 100%
P
O
7

-

A
d
m
i
n
i
s
t
r
a
r

R
e
c
u
r
s
o
s

H
u
m
a
n
o
s

d
e

T
I
P
O
6

-

C
o
m
u
n
i
c
a
r

l
a
s

A
s
p
i
r
a
c
i
o
n
e
s

y

l
a

D
i
r
e
c
c
i
n

d
e

l
a

G
e
r
e
n
c
i
a
P
O
5

-

A
d
m
i
n
i
s
t
r
a
r

l
a

I
n
v
e
r
s
i
n

e
n

T
I

194

Definir un sistema de administracin de
calidad.
PO8.1 - Sistema de Administracin
de Calidad.
0,17 50%
Establecer y mantener un sistema de
administracin de calidad.
PO8.2 - Estndares y Prcticas de
Calidad.
0,17 50%
Crear y comunicar estndares de calidad a
toda la organizacin.
PO8.3 - Estndares de Desarrollo y
de Adquisicin.
0,17 13%
Crear y comunicar estndares de calidad a
toda la organizacin.
PO8.4 - Enfoque en el Cliente de
TI.
0,17 83%
Crear y administrar el plan de calidad para la
mejora continua.
PO8.5 - Mejora Continua. 0,16 0%
Medir, monitorear y revisar el cumplimiento
de las metas de calidad.
PO8.6 - Medicin, Monitoreo y
Revisin de la Calidad.
0,16 0%
Determinar la alineacin de la administracin
de riesgos (ej: Evaluar riesgo).
PO9.1 - Marco de Trabajo de
Administracin de Riesgos.
0,17 50%
Determinar la alineacin de la administracin
de riesgos (ej: Evaluar riesgo).
PO9.2 - Establecimiento del
Contexto del Riesgo.
0,17 0%
*Entender los objetivos de negocio
estratgicos relevantes.
*Entender los objetivos de los procesos de
negocios relevantes.
PO9.3 - Identificacin de Eventos. 0,17 50%
*Identificar los objetivos internos de TI y
establecer el contexto del riesgo.
*Identificar eventos asociados con objetivos,
algunos eventos estn orientados a negocio
(negocio es A); algunos estn orientados a TI
(TI es A, negocio es C).
*Asesorar el riesgo con los eventos.
PO9.4 - Evaluacin de Riesgos de
TI.
0,17 50%
Evaluar y seleccionar respuestas a riesgo. PO9.5 - Respuesta a los Riesgos. 0,16 17%
*Priorizar y Planear actividades de control.
*Aprobar y asegurar fondos para planes de
accin de riesgos.
*Mantener y monitorear un plan de accin de
riesgos.
PO9.6 - Mantenimiento y Monitoreo
de un Plan de Accin de Riesgos.
0,16 50%
Definir un marco de administracin de
programas/portafolio para inversiones en TI.
Administracin de Programas.
0,07 100%
Establecer y mantener un Marco de Trabajo
para la administracin de proyectos de TI.
Administracin de Proyectos.
0,07 100%
*Establecer y mantener un sistema de
monitoreo, medicin y administracin de
sistemas.
*Elaborar estatutos, calendarios, planes de
calidad, presupuestos y planes de
comunicacin y de administracin de riesgos.
PO10.3 - Enfoque de
Administracin de Proyectos.
0,07 100%
*Asegurar la participacin y compromiso de
los interesados del proyecto.
*Asegurar el control efectivo de los proyectos
y de los cambios a proyectos.
PO10.4 - Compromiso de los
Interesados.
0,07 100%

P
O
1
0

-

A
d
m
i
n
i
s
t
r
a
r

P
r
o
y
e
c
t
o
s
P
O
9

-

E
v
a
l
u
a
r

y

A
d
m
i
n
i
s
t
r
a
r

l
o
s

R
i
e
s
g
o
s

d
e

T
I
P
O
8

-

A
d
m
i
n
i
s
t
r
a
r

l
a

C
a
l
i
d
a
d

195

Definir e implementar mtodos de
aseguramiento y revisin de proyectos.
PO10.5 - Declaracin de Alcance
del Proyecto.
0,07 100%
PO10.6 - Inicio de las Fases del
Proyecto.
0,07 100%
PO10.7 - Plan Integrado del
Proyecto.
0,07 100%
PO10.8 - Recursos del Proyecto. 0,07 100%
PO10.9 - Administracin de Riesgos
del Proyecto.
0,07 100%
PO10.10 - Plan de Calidad del
Proyecto.
0,07 100%
PO10.11 - Control de Cambios del
Proyecto.
0,07 100%
PO10.12 - Planeacin del Proyecto
y Mtodos de Aseguramiento.
0,07 100%
PO10.13 - Medicin del
Desempeo, Reporte y Monitoreo
del Proyecto.
0,08 100%
PO10.14 - Cierre del Proyecto. 0,08 67%
Definir los requerimientos funcionales y
tcnicos del negocio. *Establecer procesos
para la integridad/vlidez de los
requerimientos.
AI1.1 - Definicin y Mantenimiento
de los Requerimientos Tcnicos y
Funcionales del Negocio.
0,25 100%
Identificar, documentar y analizar el riesgo del
proceso de negocio.
AI1.2 - Reporte de Anlisis de
Riesgos.
0,25 100%
Evaluar los beneficios de negocio de las
soluciones propuestas.
AI1.3 - Estudio de Factibilidad y
Formulacin de Cursos de Accin
Alternativos.
0,25 0%
Conducir un estudio de factibilidad/evaluacin
de impacto con respecto a la implantacin de
los requerimientos de negocio propuestos.
*Elaborar un proceso de aprobacin de
requerimientos. *Aprobar y Autorizar
soluciones propuestas.
AI1.4 - Requerimientos, Decisin de
Factibilidad y Aprobacin.
0,25 100%
Traducir los requerimientos del negocio en
especificaciones de diseo de alto nivel.
AI2.1 - Diseo de Alto Nivel. 0,10 38%
Preparar diseo detallado y los requerimientos
tcnicos del software aplicativo.
AI2.2 - Diseo Detallado. 0,10 92%
Preparar diseo detallado y los requerimientos
tcnicos del software aplicativo.
AI2.3 - Control y Posibilidad de
Auditar las Aplicaciones.
0,10 100%
Especificar los controles de aplicacin dentro
del diseo.
AI2.4 - Seguridad y Disponibilidad
de las Aplicaciones.
0,10 67%
Personalizar e implementar la funcionalidad
automatizada adquirida.
AI2.5 - Configuracin e
Implantacin de Software Aplicativo
Adquirido.
0,10 100%
Personalizar e implementar la funcionalidad
automatizada adquirida.
AI2.6 - Actualizaciones Importantes
en Sistemas Existentes.
0,10 100%
Desarrollar las metodologas y procesos
formales para administrar el proceso de
desarrollo de la aplicacin.
AI2.7 - Desarrollo de Software
Aplicativo.
0,10 90%
Crear un plan de aseguramiento de la calidad
del software para el proyecto.
AI2.8 - Aseguramiento de la
Calidad del Software.
0,10 0%
Dar seguimiento y administrar los
requerimientos de la aplicacin.
AI2.9 - Administracin de los
Requerimientos de Aplicaciones.
0,10 67%
Desarrollar un plan para el mantenimiento de
aplicaciones de software.
AI2.10 - Mantenimiento de
Software Aplicativo.
0,10 50%
A
I
2

-

A
d
q
u
i
r
i
r

y

m
a
n
t
e
n
e
r

s
o
f
t
w
a
r
e

a
p
l
i
c
a
t
i
v
o
A
I
1

-

I
d
e
n
t
i
f
i
c
a
r

s
o
l
u
c
i
o
n
e
s

a
u
t
o
m
a
t
i
z
a
d
a
s
P
O
1
0

-

A
d
m
i
n
i
s
t
r
a
r

P
r
o
y
e
c
t
o
s

196

Negociar la compra y adquirir la
infraestructura requerida con proveedores
(aprobados).
AI3.1 - Plan de Adquisicin de
Infraestructura Tecnolgica.
0,25 71%
Definir el procedimiento/ proceso de
adquisicin.
AI3.2 - Proteccin y Disponibilidad
del Recurso de Infraestructura.
0,25 86%
Definir estrategia y planear el mantenimiento
de infraestructura.
AI3.3 - Mantenimiento de la
Infraestructura.
0,25 50%
Configurar componentes de la infraestructura.
AI3.4 - Ambiente de Prueba de
Factibilidad.
0,25 100%
Desarrollar estrategia para que la solucin sea
operativa.
AI4.1 - Plan para Soluciones de
Operacin.
0,25 50%
Desarrollar metodologa de transferencia de
conocimiento.
AI4.2 - Transferencia de
Conocimiento a la Gerencia del
Negocio.
0,25 100%
Desarrollar manuales de procedimiento del
usuario final. * Evaluar los resultados del
entrenamiento y ampliar la documentacin
como se requiera.
Conocimiento a Usuarios Finales.
0,25 100%
Desarrollar documentacin de soporte tcnica
para operaciones y personal de soporte. *
Desarrollar y dar entrenamiento.
Conocimiento al Personal de
Operaciones y Soporte.
0,25 57%
Desarrollar polticas y procedimientos de
adquisicin de TI de acuerdo con las polticas
de adquisiciones a nivel corporativo.
AI5.1 - Control de Adquisicin. 0,25 67%
Establecer/mantener una lista de proveedores
acreditados.
AI5.2 - Administracin de Contratos
con Proveedores.
0,25 100%
Evaluar y seleccionar proveedores a travs de
un proceso de solicitud de propuesta (RFP).
AI5.3 - Seleccin de Proveedores. 0,25 100%
Desarrollar contratos que protejan los
intereses de la organizacin. *Realizar
adquisiciones de conformidad con los
procedimientos establecidos.
AI5.4 - Adquisicin de Recursos de
TI.
0,25 100%
Desarrollar e implementar un proceso para
registrar, evaluar y dar prioridad en forma
consistente a las solicitudes de cambio.
AI6.1 - Estndares y
Procedimientos para Cambios.
0,20 83%
Evaluar impacto y dar prioridad a cambios en
base a las necesidades del negocio.
AI6.2 - Evaluacin de Impacto,
Priorizacin y Autorizacin.
0,20 100%
Garantizar que cualquier cambio crtico y de
emergencia sigue el proceso aprobado.
AI6.3 - Cambios de Emergencia. 0,20 33%
Autorizar cambios.
AI6.4 - Seguimiento y Reporte del
Estatus de Cambio.
0,20 0%
Administrar y diseminar la informacin
relevante referente a cambios.
AI6.5 - Cierre y Documentacin del
Cambio.
0,20 83%
A
I
3

-

A
d
q
u
i
r
i
r

y

m
a
n
t
e
n
e
r

i
n
f
r
a
e
s
t
r
u
c
t
u
r
a

t
e
c
n
o
l
g
i
c
a
A
I
6

-

A
d
m
i
n
i
s
t
r
a
r

c
a
m
b
i
o
s
.
A
I
5

-

A
d
q
u
i
r
i
r

r
e
c
u
r
s
o
s

d
e

T
I
A
I
4

-

F
a
c
i
l
i
t
a
r

l
a

o
p
e
r
a
c
i
n

y

e
l

u
s
o

197

Construir y revisar planes de investigacin. AI7.1 - Entrenamiento. 0,11 30%
Definir y revisar una estrategia de prueba
(criterio de entrada y salida) y la metodologa
de plan de prueba operacional.
AI7.2 - Plan de Prueba. 0,11 30%
Construir y mantener un repositorio de
requerimientos de negocio y tcnicos y casos
de prueba para sistemas acreditados.
AI7.3 - Plan de Implantacin. 0,11 75%
Establecer ambiente de prueba y conducir
pruebas de aceptacin finales.
AI7.4 - Ambiente de Prueba. 0,11 50%
Ejecutar la conversacin del sistema y las
pruebas de integracin en ambiente de
pruebas.
AI7.5 - Conversin de Sistemas y
Datos.
0,11 0%
AI7.6 - Pruebas de Cambios. 0,11 33%
AI7.7 - Prueba de Aceptacin Final. 0,11 80%
Recomendar la liberacin a produccin con
base en los criterios de acreditacin
convenidos.
AI7.8 - Promocin a Produccin. 0,11 100%
AI7.9 - Revisin Posterior a la
Implantacin.
0,12 75%
Crear un marco de trabajo para los servicios
de TI.
DS1.1 - Marco de Trabajo de la
Administracin de los Niveles de
Servicio.
0,17 21%
Construir un catlogo de servicios de TI. DS1.2 - Definicin de Servicios. 0,17 100%
Definir los convenios de niveles de servicio
(SLAs) para los servicios crticos de TI.
DS1.3 - Acuerdos de Niveles de
Servicio.
0,17 50%
Definir los convenios de niveles de operacin
(OLAs) para soportar las SLAs.
DS1.4 - Acuerdos de Niveles de
Operacin.
0,17 50%
Monitorear y reportar el desempeo del
servicio de punta a punta.
DS1.5 - Monitoreo y Reporte del
Cumplimento de los Niveles de
Servicio.
0,16 50%
Revisar los SLAs y los contratos de apoyo.
Revisar y actualizar el catlogo de servicios de
TI. Crear un plan de mejora de servicios.
DS1.6 - Revisin de los Acuerdos
de Niveles de Servicio y de los
Contratos.
0,16 50%
Identificar y categorizar las relaciones de los
servicios de terceros.
DS2.1 - Identificacin de Todas las
Relaciones con Proveedores.
0,25 13%
Definir y documentar los procesos de
administracin del proveedor.
DS2.2 - Gestin de Relaciones con
Proveedores.
0,25 100%
Establecer polticas y procedimientos de
evaluacin y suspensin de proveedores.
DS2.3 - Administracin de Riesgos
del Proveedor.
0,25 69%
Identificar, valorar y mitigar los riesgos del
proveedor. Monitorear la prestacin del
servicio del proveedor. Evaluar las metas de
largo plazo de la relacin del servicio para
todos los interesados.
DS2.4 - Monitoreo del Desempeo
del Proveedor
0,25 50%
Establecer un proceso de Planeacin para la
revisin del desempeo y la capacidad de los
recursos de TI.
DS3.1 - Planeacin del Desempeo
y la Capacidad.
0,20 83%
Revisar el desempeo y la capacidad actual
de los recursos de TI.
DS3.2 - Capacidad y Desempeo
Actual.
0,20 0%
Realizar pronsticos de desempeo y
capacidad de los recursos de TI.
DS3.3 - Capacidad y Desempeo
Futuros.
0,20 0%
Realizar un plan de contingencia respecto a
una falta potencial de disponibilidad de
recursos de TI.
DS3.4 - Disponibilidad de Recursos
de TI.
0,20 50%
Monitorear y reportar continuamente la
disponibilidad, el desempeo y la capacidad
de los recursos de TI.
DS3.5 - Monitoreo y Reporte. 0,20 50%
D
S
2

A
d
m
i
n
i
s
t
r
a
r

l
o
s

s
e
r
v
i
c
i
o
s

d
e

t
e
r
c
e
r
o
s
D
S
1

D
e
f
i
n
i
r

y

a
d
m
i
n
i
s
t
r
a
r

l
o
s

n
i
v
e
l
e
s

d
e

s
e
r
v
i
c
i
o
A
I
7

-

I
n
s
t
a
l
a
r

y

a
c
r
e
d
i
t
a
r

s
o
l
u
c
i
o
n
e
s

y

c
a
m
b
i
o
s
D
S
3

A
d
m
i
n
i
s
t
r
a
r

e
l

d
e
s
e
m
p
e
o

y

l
a

c
a
p
a
c
i
d
a
d

198

Desarrollar un marco de trabajo de
continuidad de TI.
DS4.1 - Marco de Trabajo de
Continuidad de TI.
0,10 100%
Desarrollar y mantener planes de continuidad
de TI.
DS4.2 - Planes de Continuidad de
TI.
0,10 0%
Realizar un anlisis de impacto al negocio y
valoracin de riesgo.
DS4.3 - Recursos Crticos de TI. 0,10 0%
Identificar y categorizar los recursos de TI con
base a los objetivos de recuperacin.
DS4.4 - Mantenimiento del Plan de
Continuidad de TI.
0,10 100%
Definir y ejecutar procedimientos de control
de cambios para asegurar que el plan de
continuidad sea vigente.
DS4.5 - Pruebas del Plan de
Continuidad de TI.
0,10 50%
Probar regularmente el plan de continuidad de
TI.
DS4.6 - Entrenamiento del Plan de
Continuidad de TI.
0,10 20%
Desarrollar un plan de accin a seguir con
base en los resultados de las pruebas.
DS4.7 - Distribucin del Plan de
Continuidad de TI.
0,10 50%
Planear y llevar a cabo capacitacin sobre
planes de continuidad de TI.
DS4.8 - Recuperacin y
Reanudacin de los Servicios de TI.
0,10 25%
Planear la recuperacin y reanudacin de los
servicios de TI.
DS4.9 - Almacenamiento de
Respaldos Fuera de las
Instalaciones.
0,10 30%
Planear e implementar el almacenamiento y la
proteccin de respaldos. Establecer los
procedimientos para llevar a cabo revisiones
post reanudacin.
DS4.10 - Revisin Post
Reanudacin.
0,10 50%
Definir, establecer y operar un proceso de
administracin de identidad (cuentas).
DS5.1 - Administracin de la
Seguridad de TI.
0,09 30%
Definir y mantener un plan de seguridad de TI. DS5.2 - Plan de Seguridad de TI. 0,09 50%
Monitorear incidentes de seguridad, reales y
potenciales.
DS5.3 - Administracin de
Identidad.
0,09 80%
Revisar y validar peridicamente los
privilegios y derechos de acceso de los
usuarios.
DS5.4 - Administracin de Cuentas
del Usuario.
0,09 0%
Establecer y mantener procedimientos para
mantener y salvaguardar las llaves
criptogrficas.
DS5.5 - Pruebas, Vigilancia y
Monitoreo de la Seguridad.
0,09 60%
Implementar y mantener controles tcnicos y
de procedimientos para proteger el flujo de
informacin a travs de la red.
DS5.6 - Definicin de Incidente de
Seguridad.
0,09 0%
Realizar evaluaciones de vulnerabilidad de
manera regular.
DS5.7 - Proteccin de la Tecnologa
de Seguridad.
0,09 50%
Realizar evaluaciones de vulnerabilidad de
manera regular.
DS5.8 - Administracin de Llaves
Criptogrficas.
0,09 100%
Establecer y mantener procedimientos para
mantener y salvaguardar las llaves
criptogrficas.
DS5.9 - Prevencin, Deteccin y
Correccin de Software Malicioso.
0,09 100%
Monitorear incidentes de seguridad, reales y
potenciales.
DS5.10 - Seguridad de la Red. 0,09 100%
Definir y mantener un plan de seguridad de TI.
DS5.11 - Intercambio de Datos
Sensitivos.
0,10 50%
D
S
5

G
a
r
a
n
t
i
z
a
r

l
a

s
e
g
u
r
i
d
a
d

d
e

l
o
s

s
i
s
t
e
m
a
s
D
S
4

G
a
r
a
n
t
i
z
a
r

l
a

c
o
n
t
i
n
u
i
d
a
d

d
e
l

s
e
r
v
i
c
i
o

199

Mapear la infraestructura con los servicios
brindados/procesos de negocio soportados.
DS6.1 - Definicin de Servicios. 0,25 50%
Identificar todos los costos de TI (personas,
tecnologa, etc) y mapearlos a los servicios de
TI con bases en costos unitarios.
DS6.2 - Contabilizacin de TI. 0,25 100%
Establecer y mantener un proceso de control
de contabilizacin de TI y de costos.
DS6.3 - Modelacin de Costos y
Cargos.
0,25 86%
Establecer y mantener procedimientos y
polticas de facturacin.
DS6.4 - Mantenimiento del Modelo
de Costos.
0,25 100%
Identificar y categorizar las necesidades de
capacitacin de los usuarios.
DS7.1 - Identificacin de
Necesidades de Entrenamiento y
Educacin.
0,33 57%
Construir un programa de capacitacin.
DS7.2 - Imparticin de
Entrenamiento y Educacin
0,33 100%
Realizar actividades de capacitacin, intrusin
y concienciacin. Llevar a cabo evaluaciones
de capacitacin. Identificar y evaluar los
mejores mtodos y herramientas para impartir
la capacitacin.
DS7.3 - Evaluacin del
Entrenamiento Recibido.
0,34 0%
Crear procedimientos de clasificacin
(severidad e impacto) y de escalamiento
(funcional y jerrquico).
DS8.1 - Mesa de Servicios. 0,20 0%
Detectar y registrar incidentes/solicitudes de
servicio/solicitudes de informacin.
DS8.2 - Registro de Consultas de
Clientes.
0,20 100%
Clasificar, investigar y diagnosticar consultas. DS8.3 - Escalamiento de Incidentes. 0,20 0%
Resolver, recuperar y cerrar incidentes. DS8.4 - Cierre de Incidentes. 0,20 0%
Informar a usuarios (por ejemplo,
actualizaciones de estatus). Hacer reportes
para la gerencia.
DS8.5 - Anlisis de Tendencias. 0,20 50%
Desarrollar procedimientos de planeacin de
administracin de la configuracin.
DS9.1 Repositorio y Lnea Base de
Configuracin.
0,33 25%
Recopilar informacin sobre la configuracin
inicial y establecer lneas base.
DS9.2 - Identificacin y
Mantenimiento de Elementos de
Configuracin.
0,33 0%
Verificar y auditar la informacin de la
configuracin (incluye la deteccin del
software no autorizado). Actualizar el
repositorio de configuracin.
DS9.3 - Revisin de Integridad de la
Configuracin.
0,34 33%
D
S
8

A
d
m
i
n
i
s
t
r
a
r

l
a

m
e
s
a

d
e

s
e
r
v
i
c
i
o

y

l
o
s

i
n
c
i
d
e
n
t
e
s
D
S
7

E
d
u
c
a
r

y

e
n
t
r
e
n
a
r

a

l
o
s

u
s
u
a
r
i
o
s
D
S
6

I
d
e
n
t
i
f
i
c
a
r

y

a
s
i
g
n
a
r

c
o
s
t
o
s
D
S
9

A
d
m
i
n
i
s
t
r
a
r

l
a

c
o
n
f
i
g
u
r
a
c
i
n

200

Identificar y clasificar problemas.
DS10.1 - Identificacin y
Clasificacin de Problemas
0,25 0%
Realizar anlisis de causa raz.
DS10.2 - Rastreo y Resolucin de
Problemas
0,25 0%
Resolver problemas. Revisar el estatus de
problemas.
DS10.3 - Cierre de Problemas 0,25 0%
Emitir recomendaciones para mejorar y crear
una solicitud de cambio relacionada. Mantener
registros de los problemas.
DS10.4 - Integracin de las
Administraciones de Cambios,
Configuracin y Problemas.
0,25 0%
Traducir los requerimientos de
almacenamiento y conservacin a
procedimientos.
DS11.1 - Requerimientos del
Negocio para Administracin de
Datos.
0,17 25%
Definir, mantener e implementar
procedimientos para administrar libreras de
medios.
DS11.2 - Acuerdos de
Almacenamiento y Conservacin.
0,17 50%
procedimientos para desechar de forma
segura, medios y equipo.
DS11.3 - Sistema de Administracin
de Libreras de Medios.
0,17 0%
Respaldar los datos de acuerdo al esquema. DS11.4 - Eliminacin. 0,17 0%
procedimientos para restauracin de datos.
DS11.5 - Respaldo y Restauracin. 0,16 50%
Respaldar los datos de acuerdo al esquema.
DS11.6 - Requerimientos de
Seguridad para la Administracin de
Datos.
0,16 0%
Definir el nivel requerido de proteccin fsica.
DS12.1 - Seleccin y Diseo del
Centro de Datos.
0,20 83%
Seleccionar y comisionar el sitio (centro de
datos, oficina, etc).
DS12.2 - Medidas de Seguridad
Fsica.
0,20 88%
Implementar medidas de ambiente fsico. DS12.3 - Acceso Fsico. 0,20 100%
Administrar el ambiente fsico (mantenimiento,
monitoreo y reportes incluidos).
DS12.4 - Proteccin Contra
Factores Ambientales.
0,20 100%
Definir e implementar procesos para
mantenimiento y autorizacin de acceso fsico.
DS12.5 - Administracin de
Instalaciones Fsicas.
0,20 50%
Crear/modificar procedimientos de operacin
(incluyendo manuales, planes de cambios,
procedimientos de escalamiento, etc).
DS13.1 - Procedimientos e
Instrucciones de Operacin.
0,20 50%
Programacin de cargas de trabajo y de
programas en lote.
DS13.2 - Programacin de Tareas. 0,20 100%
Monitorear la infraestructura y procesar y
resolver problemas. Programar y llevar a cabo
mantenimiento preventivo.
DS13.3 - Monitoreo de la
Infraestructura de TI.
0,20 0%
Administrar y asegurar la salida fsica de
informacin (reportes, medios, etc).
Implementar/establecer un proceso para
salvaguardar los dispositivos de autenticacin
contra interferencia, perdida o robo.
DS13.4 - Documentos Sensitivos y
Dispositivos de Salida.
0,20 50%
Aplicar cambios o arreglos al programa de
infraestructura.
DS13.5 - Mantenimiento Preventivo
del Hardware.
0,20 100%
D
S
1
3

A
d
m
i
n
i
s
t
r
a
r

l
a
s

o
p
e
r
a
c
i
o
n
e
s
D
S
1
2

A
d
m
i
n
i
s
t
r
a
r

e
l

a
m
b
i
e
n
t
e

f
s
i
c
o
D
S
1
1

A
d
m
i
n
i
s
t
r
a
r

l
o
s

d
a
t
o
s
D
S
1
0

A
d
m
i
n
i
s
t
r
a
r

l
o
s

p
r
o
b
l
e
m
a
s

201

Establecer el enfoque de monitoreo. ME1.1 - Enfoque del Monitoreo. 0,17 0%
Identificar y recolectar objetivos medibles que
apoyen a los objetivos el negocio.
ME1.2 - Definicin y Recoleccin
de Datos de Monitoreo.
0,17 100%
Crear cuadro de mandos. ME1.3 - Mtodo de Monitoreo. 0,17 100%
Evaluar el desempeo.
ME1.4 - Evaluacin del
Desempeo.
0,17 100%
Reportar el desempeo.
ME1.5 - Reportes al Consejo
Directivo y a Ejecutivos.
0,16 100%
Identificar y monitorear las medidas de mejora
del desempeo.
ME1.6 - Acciones Correctivas. 0,16 100%
Monitorear y controlar las actividades de
control interno de TI.
ME2.1 - Monitorizacin del Marco
de Trabajo de Control Interno.
0,14 100%
Crear cuadro de mandos. ME2.2 - Revisiones de Auditora. 0,14 100%
Monitorear el proceso para identificar y
evaluar las excepciones de control.
ME2.3 - Excepciones de Control. 0,14 100%
Monitorear el proceso de auto evaluacin.
ME2.4 - Control de Auto
Evaluacin.
0,14 0%
Monitorear el proceso para identificar y
evaluar y remediar las excepciones de control.
ME2.5 - Aseguramiento del Control
Interno.
0,14 100%
Monitorear el proceso para obtener
aseguramiento sobre los controles operados
por terceros.
ME2.6 - Control Interno para
Terceros.
0,15 100%
Reportar a los interesados clave. ME2.7 - Acciones Correctivas. 0,15 100%
Definir y ejecutar un proceso para identificar
los requerimientos legales, contractuales de
polticas y regulatorios.
ME3.1 - Identificar los
Requerimientos de las Leyes,
Regulaciones y Cumplimientos
Contractuales.
0,20 100%
Evaluar cumplimiento de actividades de TI
con polticas, estndares y procedimientos de
TI.
ME3.2 - Optimizar la Respuesta a
Requerimientos Externos
0,20 100%
Crear cuadro de mandos.
ME3.3 - Evaluacin del
Cumplimiento con Requerimientos
Externos.
0,20 100%
Brindar retro alimentacin para alinear las
polticas, estndares y procedimientos de TI
con los requerimientos de cumplimiento.
ME3.4 - Aseguramiento Positivo del
Cumplimiento.
0,20 100%
Integrar los reportes e TI sobre los
requerimientos regulatorios con similares
provenientes e otras funciones del negocio.
ME3.5 - Reportes Integrados. 0,20 100%
Establecer visibilidad y facilitacin del consejo
y de los ejecutivos hacia las actividades de
TI.
ME4.1 - Establecimiento de un
Marco de Gobierno de TI.
0,14 100%
Revisar, avalar, alinear y comunicar el
desempeo de TI, la estrategia de TI, el
manejo de recursos y riesgos de TI con
respecto a la estrategia empresarial.
ME4.2 - Alineamiento Estratgico. 0,14 38%
Crear cuadro mandos. ME4.3 - Entrega de Valor. 0,14 100%
Resolver los hallazgos de las evaluaciones
independientes y garantizar la implantacin
por parte de la gerencia de las
recomendaciones acordadas.
ME4.4 - Administracin de
Recursos.
0,14 100%
Generar un reporte de gobierno de TI. ME4.5 - Administracin de Riesgos. 0,14 0%
Revisar, avalar, alinear y comunicar el
desempeo de TI, la estrategia de TI, el
manejo de recursos y riesgos de TI con
respecto a la estrategia empresarial.
ME4.6 - Medicin del Desempeo. 0,15 100%
Generar un reporte de gobierno de TI.
ME4.7 - Aseguramiento
Independiente.
0,15 100%
M
E
4

-

P
r
o
p
o
r
c
i
o
n
a
r

G
o
b
i
e
r
n
o

d
e

T
I
M
E
3

-

G
a
r
a
n
t
i
z
a
r

e
l

C
u
m
p
l
i
m
i
e
n
t
o

R
e
g
u
l
a
t
o
r
i
o
M
E
2

-

M
o
n
i
t
o
r
e
a
r

y

E
v
a
l
u
a
r

e
l

C
o
n
t
r
o
l

I
n
t
e
r
n
o
M
E
1

-

M
o
n
i
t
o
r
e
a
r

y

E
v
a
l
u
a
r

e
l

D
e
s
e
m
p
e
o

d
e

T
I

202

ANEXO 3: RESUMEN DE OBJETIVOS DE CONTROL DE MENOR
CUMPLIMIENTO
OBJETIVOS DE CONTROL %
PO1.2 - Alineacin de TI con el Negocio 50%
PO2.1 - Modelo de Arquitectura de Informacin Empresarial 47%
PO2.2 - Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos 0%
PO2.3 - Esquema de Clasificacin de Datos 0%
PO2.4 - Administracin de Integridad 25%
PO3.3 - Monitoreo de Tendencias y Regulaciones Futuras 0%
PO3.5 - Consejo de Arquitectura de TI 0%
PO4.2 - Comit Estratgico de TI 0%
PO4.3 - Comit Directivo de TI 0%
PO4.7 - Responsabilidad de Aseguramiento de Calidad de TI 0%
PO4.8 - Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento 14%
PO4.9 - Propiedad de Datos y de Sistemas 33%
PO4.15 - Relaciones 50%
PO5.2 - Prioridades dentro del Presupuesto de TI 33%
PO5.5 - Administracin de Beneficios 33%
PO6.5 - Comunicacin de los Objetivos y la Direccin de TI 50%
PO7.4 - Entrenamiento del Personal de TI 0%
PO7.5 - Dependencia Sobre los Individuos 50%
PO8.1 - Sistema de Administracin de Calidad 50%
PO8.2 - Estndares y Prcticas de Calidad. 50%
PO8.3 - Estndares de Desarrollo y de Adquisicin 13%
PO8.5 - Mejora Continua 0%
PO8.6 - Medicin, Monitoreo y Revisin de la Calidad 0%
PO9.1 - Marco de Trabajo de Administracin de Riesgos 50%
PO9.2 - Establecimiento del Contexto del Riesgo 0%
PO9.3 - Identificacin de Eventos 50%
PO9.4 - Evaluacin de Riesgos de TI 50%
PO9.5 - Respuesta a los Riesgos 17%
PO9.6 - Mantenimiento y Monitoreo de un Plan de Accin de Riesgos 50%
AI1.3 - Estudio de Factibilidad y Formulacin de Cursos de Accin Alternativos 0%
AI2.1 - Diseo de Alto Nivel 38%
AI2.8 - Aseguramiento de la Calidad del Software 0%
AI2.10 - Mantenimiento de Software Aplicativo 50%
AI3.3 - Mantenimiento de la Infraestructura 50%
AI4.1 - Plan para Soluciones de Operacin 50%
AI4.4 - Transferencia de Conocimiento al Personal de Operaciones y Soporte 57%
AI6.3 - Cambios de Emergencia 33%
AI6.4 - Seguimiento y Reporte del Estatus de Cambio 0%
AI7.1 - Entrenamiento 30%
AI7.2 - Plan de Prueba 30%
AI7.4 - Ambiente de Prueba 50%
AI7.5 - Conversin de Sistemas y Datos 0%
AI7.6 - Pruebas de Cambios 33%
OBJETIVOS DE CONTROL DE MENOR CUMPLIMIENTO

203

DS1.1 - Marco de Trabajo de la Administracin de los Niveles de Servicio 21%
DS1.3 - Acuerdos de Niveles de Servicio 50%
DS1.4 - Acuerdos de Niveles de Operacin 50%
DS1.5 - Monitoreo y Reporte del Cumplimento de los Niveles de Servicio 50%
DS1.6 - Revisin de los Acuerdos de Niveles de Servicio y de los Contratos 50%
DS2.1 - Identificacin de Todas las Relaciones con Proveedores 13%
DS2.4 - Monitoreo del Desempeo del Proveedor 50%
DS3.2 - Capacidad y Desempeo Actual 0%
DS3.3 - Capacidad y Desempeo Futuros 0%
DS3.4 - Disponibilidad de Recursos de TI 50%
DS3.5 - Monitoreo y Reporte 50%
DS4.2 - Planes de Continuidad de TI 0%
DS4.3 - Recursos Crticos de TI 0%
DS4.5 - Pruebas del Plan de Continuidad de TI 50%
DS4.6 - Entrenamiento del Plan de Continuidad de TI 20%
DS4.7 - Distribucin del Plan de Continuidad de TI 50%
DS4.8 - Recuperacin y Reanudacin de los Servicios de TI 25%
DS4.9 - Almacenamiento de Respaldos Fuera de las Instalaciones 30%
DS4.10 - Revisin Post Reanudacin 50%
DS5.1 - Administracin de la Seguridad de TI 30%
DS5.2 - Plan de Seguridad de TI 50%
DS5.4 - Administracin de Cuentas del Usuario 0%
DS5.6 - Definicin de Incidente de Seguridad 0%
DS5.7 - Proteccin de la Tecnologa de Seguridad 50%
DS5.11 - Intercambio de Datos Sensitivos 50%
DS6.1 - Definicin de Servicios 50%
DS7.1 - Identificacin de Necesidades de Entrenamiento y Educacin 57%
DS7.3 - Evaluacin del Entrenamiento Recibido 0%
DS8.1 - Mesa de Servicios 0%
DS8.3 - Escalamiento de Incidentes 0%
DS8.4 - Cierre de Incidentes 0%
DS8.5 - Anlisis de Tendencias 50%
DS9.1 - Repositorio y Lnea Base de Configuracin 25%
DS9.2 - Identificacin y Mantenimiento de Elementos de Configuracin 0%
DS9.3 - Revisin de Integridad de la Configuracin 33%
DS10.1 - Identificacin y Clasificacin de Problemas 0%
DS10.2 - Rastreo y Resolucin de Problemas 0%
DS10.3 - Cierre de Problemas 0%
DS10.4 - Integracin de las Administraciones de Cambios, Configuracin y Problemas 0%
DS11.1 - Requerimientos del Negocio para Administracin de Datos 25%
DS11.2 - Acuerdos de Almacenamiento y Conservacin 50%
DS11.3 - Sistema de Administracin de Libreras de Medios 0%
DS11.4 - Eliminacin 0%
DS11.5 - Respaldo y Restauracin 50%
DS11.6 - Requerimientos de Seguridad para la Administracin de Datos 0%
DS12.5 - Administracin de Instalaciones Fsicas 50%
DS13.1 - Procedimientos e Instrucciones de Operacin 50%
DS13.3 - Monitoreo de la Infraestructura de TI 0%
DS13.4 - Documentos Sensitivos y Dispositivos de Salida 50%
ME1.1 - Enfoque del Monitoreo 0%
ME2.4 - Control de Auto Evaluacin 0%
ME4.2 - Alineamiento Estratgico 38%
ME4.5 - Administracin de Riesgos 0%
OBJETIVOS DE CONTROL DE MENOR CUMPLIMIENTO

204

ANEXO 4: EVALUACIN DE OBJETIVOS DE CONTROL CRTICOS
PO2.2 - Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos 0%
PO2.3 - Esquema de Clasificacin de Datos 0%
PO3.3 - Monitoreo de Tendencias y Regulaciones Futuras 0%
PO3.5 - Consejo de Arquitectura de TI 0%
PO4.2 - Comit Estratgico de TI 0%
PO4.3 - Comit Directivo de TI 0%
PO4.7 - Responsabilidad de Aseguramiento de Calidad de TI 0%
PO7.4 - Entrenamiento del Personal de TI 0%
PO8.5 - Mejora Continua 0%
PO8.6 - Medicin, Monitoreo y Revisin de la Calidad 0%
PO9.2 - Establecimiento del Contexto del Riesgo 0%
AI1.3 - Estudio de Factibilidad y Formulacin de Cursos de Accin Alternativos 0%
AI2.8 - Aseguramiento de la Calidad del Software 0%
AI6.4 - Seguimiento y Reporte del Estatus de Cambio 0%
AI7.5 - Conversin de Sistemas y Datos 0%
DS3.2 - Capacidad y Desempeo Actual 0%
DS3.3 - Capacidad y Desempeo Futuros 0%
DS4.2 - Planes de Continuidad de TI 0%
DS4.3 - Recursos Crticos de TI 0%
DS5.4 - Administracin de Cuentas del Usuario 0%
DS5.6 - Definicin de Incidente de Seguridad 0%
DS7.3 - Evaluacin del Entrenamiento Recibido 0%
DS8.1 - Mesa de Servicios 0%
DS8.3 - Escalamiento de Incidentes 0%
DS8.4 - Cierre de Incidentes 0%
DS9.2 - Identificacin y Mantenimiento de Elementos de Configuracin 0%
DS10.1 - Identificacin y Clasificacin de Problemas 0%
DS10.2 - Rastreo y Resolucin de Problemas 0%
DS10.3 - Cierre de Problemas 0%
DS10.4 - Integracin de las Administraciones de Cambios, Configuracin y Problemas 0%
DS11.3 - Sistema de Administracin de Libreras de Medios 0%
DS11.4 - Eliminacin 0%
DS11.6 - Requerimientos de Seguridad para la Administracin de Datos 0%
DS13.3 - Monitoreo de la Infraestructura de TI 0%
ME1.1 - Enfoque del Monitoreo 0%
ME2.4 - Control de Auto Evaluacin 0%
ME4.5 - Administracin de Riesgos 0%
OBJETIVOS DE CONTROL CRTICOS

205

ANEXO 5: FORMATO DE APLICACIN ANLISIS DE RIESGOS DE TI
(A)
Enconjunto conla Jefe de TI se hanidentificado las amenazas y los objetos. Para categorizar los riesgos se utilizar el mtodo matricial
Amenazas Objetos
Prdida de datos Archivos de base de datos
Desastre fsico Computadoras/Discos
Robo Programas
Errores Terminal de operacin
Acceso ilegal Reportes
Violacinde privacidad Circuitos de comunicacin
Terminales
Infraestructura
ANALISIS DE RIESGO DE TI
Objetivo general: Identificar las causas de los riesgos potenciales, enel rea de TI y cuantificarlos para que la gerencia pueda tener informacinsuficiente
al respecto y optar por el diseo e implantacinde los controles correspondientes a finde minimizar los efectos de las causas de los riesgos, enlos diferente
puntos de anlisis.

Prdida de
datos
Prdida de
datos
Desastre fsico
Desastre
fsico
Robo Robo
Errores Errores
Acceso ilegal Acceso ilegal
Violacin de
privacidad
Violacin de
privacidad

Anlisis de Amenazas

206

ANEXO 6: FORMATO DE APLICACIN ANLISIS DE RIESGOS DE TI
(B)

Archivos de
base de datos
Archivos de
base de datos
Computadoras/
Discos
Computadoras
/Discos
Programas Programas
Terminal de
operacin
Terminal de
operacin
Reportes Reportes
Circuitos de
comunicacin
Circuitos de
comunicacin
Terminales Terminales
Infraestructura Infraestructura

Nota: Si los evaluadores consideranque existenotras amenazas y objetos que los enlistados, puedenincrementarlos enla matriz para el anlisis de riesgo y
aplicar la evaluacin
Anlisis de Objetos

207

DEPARTAMENTO DE SISTEMAS (1)

208


209


210


211

BIBLIOGRAFA

Annie. (12 de 11 de 2010). Proyecto Socio Tecnologa Ide Annie.
http://nombrem1t2pnfinf.blogspot.com/2010/11/matriz-foda.html
Directrices de Auditora J ulio de 2000 - 3a Edicin Emitido por el Comit
Directivo de COBIT y El IT Governance Institute TM
Fundacin Wikimedia, I. (04 de 09 de 2012).
http://es.wikipedia.org/wiki/Objetivos_de_control_para_la_informaci%C3%
B3n_y_tecnolog%C3%ADas_relacionadas
Fundacin Wikimedia, I. (26 de 08 de 2012).
http://es.wikipedia.org/wiki/Riesgo_%28inform%C3%A1tica%29
IT Governance Institute. (2007). COBIT 4.1, Pgs. 6, 9, 12, 13, 19, 29 , 33,
37, 41, 47, 51, 55, 59, 63, 67, 73, 77, 81, 85, 89, 93, 97, 101, 105, 109, 113,
117, 121, 125, 129, 133, 137, 141, 145, 149, 153, 157, 161, 165, Rolling
Meadows,EE.UU.: IT Governance Institute.
J os Dagoberto Pinilla Forero. (1992). Auditora informtica, Un enfoque
operacional, Pg.167, 175, 181, 183, 184, 186 Colombia: ECOE
EDICIONES.
Objetivos de Control Abril de 1998 2da Edicin Emitido por el Comit
Directivo de COBIT y la Information Systems Audit and Control Foundation
Rico, J . R. (18 de 05 de 2010). Suite101.net. Recuperado el 31 de 08 de 2012,
de http://suite101.net/view_image.cfm/148232
Rosas Vzquez. (2007). Propuesta de un Modelo de Administracin
Estratgica. Vol 1, No 2.
Talancn, H. P. (2006). La matriz FODA: una alternativa para realizar
diagnsticos y. Santo Toms: ESCA UNAM .
212

DEFINICIONES DE TRMINOS

AD HOC: Es una locucin latina que significa literalmente para esto. Se refiere a
una solucin elaborada especficamente para un problema o fin preciso.

ARQUITECTURA DE TI: Un marco integrado para evolucionar o dar
mantenimiento a TI existente y adquirir nueva TI para alcanzar las metas
estratgicas y de negocio de la empresa.

BAAN: Es un ERP (Planificador de Recursos Empresariales). Es un sistema que
integra la informacin de todas las operaciones de la empresa, siguiendo el objetivo
de manejo y control de informacin actualizada para la toma de decisiones.

BALANCED SCORECARDS: Cuadro de Mando Integral CMI es un mtodo
para medir las actividades de una compaa en trminos de su visin y estrategia.
Proporciona a los gerentes una mirada global del desempeo del negocio.

COBIT: Control Objetives for Information and Related Technology (objetivos de
control para la informacin y las tecnologas relacionadas). Su misin es investigar,
desarrollar, publicar y promover un marco de trabajo de control de gobierno de TI
autorizado y actualizado, internacionalmente aceptado y adoptado para el uso
cotidiano de las empresas, gerentes de negocios, profesionales de TI y de
Aseguramiento.

CONTROL: Las polticas, procedimientos, practicas y estructuras organizacionales
diseadas para garantizar razonablemente que los objetivos del negocio sern
alcanzados y que eventos no deseable sern prevenidos o detectados y corregidos.

COSO: (COMMITTEE OF SPONSORING ORGANIZATIONS). Comit de
Organizaciones Patrocinadoras de la comisin Treadway. Estndar aceptado a nivel
internacional para el gobierno corporativo.

213

DELPHI: Es una metodologa de investigacin multidisciplinaria para la realizacin
de pronsticos y predicciones.

DIRECTRICES DE AUDITORA: Es una herramienta complementaria que
permiten al auditor comparar los procesos especficos de TI con los objetivos de
control de COBIT recomendados para ayudar a los directivos a identificar en qu
casos los controles son suficientes, o para asesorarlos respectos a los procesos que
requieren ser mejorados.

DOFA: Debilidades, Oportunidades, Fortalezas y Amenazas. Es una herramienta
utilizada para la formulacin y evaluacin de estrategia. Generalmente es utilizada
para empresas.

DOMINIO: Agrupacin de objetivos de control en etapas lgicas en el ciclo de vida
de inversin en TI.

GOBIERNO DE TI: Una estructura de relaciones y procesos para dirigir y controlar
la empresa con el fin de lograr sus objetivos al aadir valor mientras se equilibran los
riesgos contra el retorno sobre TI y sus procesos.

HOST: Serefiere a las computadoras conectadas a una red, que proveen y utilizan
servicios de ella.

INCIDENTE: Cualquier evento que no sea parte de la operacin estndar de un
servicio que ocasione, o pueda ocasionar, una interrupcin o una reduccin de la
calidad de ese servicio (alineado a ITIL).

INFRAESTRUCTURA: La tecnologa, los recursos humanos y las instalaciones
que permiten el procesamiento de las aplicaciones:

ISACA: Asociacin para la Auditora y Control de Sistemas de Informacin.

ITGI: Instituto de Administracin de las Tecnologas de la Informacin.
214

KPI: Indicadores Clave de Desempeo, miden el nivel del desempeo de un
proceso, enfocndose en el "cmo" e indicando el rendimiento de los procesos, de
forma que se pueda alcanzar el objetivo fijado.

MARCO DE TRABAJO: Es un Marco de control que permite a los dueos del
negocio facilitar las descargas de sus responsabilidades a travs de la procuracin de
un modelo de soporte.

MARCO REFERENCIAL COBIT: Explica cmo COBIT organiza los objetivos
de Gobierno y las mejores prcticas de TI con base en dominios y procesos de TI, y
los alinea a los requerimientos del negocio.

METODOLOGA: Modo de hacer o definir con orden una cosa.

OBJETIVOS DE CONTROL: Brindan objetivos a la direccin basados en las
mejores prcticas genricas para todos los procesos de TI.

OLA: Acuerdo de nivel de operacin, es un documento interno de la organizacin
donde se especifican las responsabilidades y compromisos de los diferentes
departamentos de la organizacin TI en la prestacin de un determinado servicio.

ORGANIZACIN: La manera en que una empresa est estructurada.

OUTSOURCING: La subcontratacin o tercerizacin, es el proceso econmico en
el cual una empresa mueve o destina los recursos orientados a cumplir ciertas tareas
hacia una empresa externa por medio de un contrato.

PLAN ESTRATGICO DE TI: Es un plan a largo plazo con un horizonte de tres a
cinco aos, en el cual la gerencia del negocio y de TI describen de forma cooperativa
cmo los recursos de TI contribuirn a los objetivos estratgicos empresariales
(metas).

215

PROCESO: Por lo general, un conjunto de procedimientos influenciados por las
polticas y estndares de la organizacin.

RIESGO: El potencial de que una amenaza especfica explote las debilidades de un
activo o grupo de activos para ocasionar y/o daos a los activos.

QMS: Asegurar las funciones de una organizacin eficiente y ofrecer sus objetivos
de negocio, incluyendo el cumplimiento de los requisitos del cliente.

SLA: Acuerdo de nivel de servicio, es un contrato escrito entre un proveedor de
servicio y su cliente con objeto de fijar el nivel acordado para la calidad de dicho
servicio.

STAKEHOLDERS: Son las personas a quienes pueden afectar o son afectados por
las actividades de una empresa.

TI: Tecnologas de la Informacin y la Comunicacin (TIC o bien NTIC para nuevas
tecnologas de la informacin y de la comunicacin) agrupan los elementos y las
tcnicas usadas en el tratamiento y la transmisin de la informacin.

TIC: Las tecnologas de la informacin y la comunicacin (TIC o bien NTIC para
nuevas tecnologas de la informacin y de la comunicacin) agrupan los elementos y
las tcnicas usadas en el tratamiento y la transmisin de la informacin,
principalmente la informtica, Internet y las telecomunicaciones.

USUARIO: Una persona que utiliza los sistemas empresariales.

Cobit Ok PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Cobit Ok PDF

Transféré par

Droits d'auteur :

Formats disponibles

SEDE GUAYAQUIL

Vous aimerez peut-être aussi