Académique Documents
Professionnel Documents
Culture Documents
ANEXOS
1. ANEXO A
procedimientos que
Valuacin o asignacin
Derechos y obligaciones
Presentacin y revelacin
Eficiencia
Efectividad
Economa
Evaluacin Continua de Riesgos: Los organizaciones debern evaluar
continuamente sus actividades y operaciones con la finalidad de identificar
reas de riesgo que puedan afectar el cumplimiento de sus objetivos y metas.
La Evaluacin de Riesgos se realizar con la finalidad de fortalecer, ajustar
adecuar y renovar los controles internos establecidos, de manera que los
mismos sean cada vez ms eficientes y efectivos.
de la
Actividades de Control: Los controles que se presentan en esta seccin son los
que se utilizan comnmente en una estructura de control interno ordenada y eficaz
Separacin
de
Responsabilidades:
La
asignacin
de
tareas
2. ANEXO B
10
11
3. ANEXO C
12
13
14
15
16
17
18
19
Administrar los recursos humanos de TI: Segn el marco de referencia COBIT 5.0,
se debe:
Asegurar que los procesos de reclutamiento del personal de TI estn de
acuerdo a las polticas y procedimientos generales de personal de la
organizacin
Verificar de forma peridica que el personal tenga las habilidades para cumplir
sus roles con base en su educacin, entrenamiento y/o experiencia
Definir, monitorear y supervisar los marcos de trabajo para los roles,
responsabilidades y compensacin del personal, incluyendo el requisito de
adherirse a las polticas y procedimientos administrativos, as como al cdigo de
tica y prcticas profesionales.
Proporcionar a los empleados de TI la orientacin necesaria al momento de la
contratacin y entrenamiento continuo para conservar su conocimiento,
aptitudes, habilidades, controles internos y conciencia sobre la seguridad, al
nivel requerido para alcanzar las metas organizacionales.
Minimizar la exposicin a dependencias crticas sobre individuos clave por
medio de la captura del conocimiento (documentacin), compartir el
conocimiento, planeacin de la sucesin y respaldos de personal.
Incluir verificaciones de antecedentes en el proceso de reclutamiento de TI. El
grado y la frecuencia de estas verificaciones dependen de que tan delicada
crtica sea la funcin y se deben aplicar a los empleados, contratistas y
proveedores.
20
21
22
23
24
25
el
gobierno
responsabilidades,
de
TI,
incluyendo
requerimientos
de
liderazgo,
procesos,
informacin,
roles
estructuras
26
27
28
4. ANEXO D
Aspecto
Criterio
Auditado
Documentos a pedir
Informacin
Polticas de
seguridad de la
informacin
Gerencia
Documento de la
poltica de
seguridad de la
informacin
Documento de la
poltica de
seguridad de la
informacin
Documento de
creacin de
organismo de
coordinacin de la
seguridad de la
informacin
Documento de
asignacin de
responsabilidades
de la seguridad de
la informacin
Gerencia
Informacin
Aspectos
organizativos para
la seguridad
Gerente de
seguridad de
informacin
Autorizacin de
proceso para
facilidades
procesadoras de
informacin
Acuerdos de
confidencialidad
Contacto con
grupos de inters
30
especial
Revisiones
independiente de la
seguridad de la
informacin
Riesgos
relacionados con
los grupos externos
Tratamiento de la
seguridad cuando
se lidia con clientes
Tratamiento de la
seguridad en
acuerdos con
terceros
31
especializada
de
Compartir
e
intercambiar
informacin
sobre
tecnologas, productos, amenazas o vulnerabilidades
Proporcionar vnculos adecuados cuando se trata
incidentes de seguridad de la informacin
Verificar la poltica de control de acceso, abarcando :
1) mtodos de acceso permitidos, y el control y uso de
identificadores singulares
como IDs del usuario y claves secretas;
2) un proceso de autorizacin para el acceso y
privilegios del usuario;
3) un enunciado que establezca que est prohibido
todo acceso que no est
32
explcitamente autorizado;
4) un proceso para revocar los derechos de acceso o
interrumpir la conexin
entre los sistemas
Verificar acuerdos para el reporte, notificacin e
investigacin de las inexactitudes de la
informacin (por ejemplo, de detalles personales),
incidentes de seguridad de informacin y fallas en la
seguridad;
Verificar una descripcin de cada servicio que debiera
estar disponible y el nivel objetivo del servicio y los
niveles inaceptables del servicio;
Verificar el derecho a monitorear, y revocar, cualquier
actividad relacionada con los activos de la organizacin
Verificar las responsabilidades con respecto a temas
legales y cmo asegurar que se cumplan los
requerimientos legales; por ejemplo, la legislacin de
proteccin de data, especialmente tomando en cuenta
los diferentes sistemas legales nacionales si el acuerdo
involucra cooperacin con los clientes en otros pases
Verificar derechos de propiedad intelectual (IPRs) y la
asignacin de derechos de autor y proteccin de
cualquier trabajo cooperativo
Roles y
responsabilidades
Informacin
Investigacin de
antecedentes
Seguridad ligada
al personal
Trminos y
condiciones del
empleo
33
Responsabilidades
de la gerencia
Verificar la identidad independiente (pasaporte o
documento similar) del postulante a un empleo
Conocimiento,
educacin y
capacitacin en
seguridad de la
informacin
criminales
de
los
Devolucin de los
activos
Retiro de los
derechos de acceso
Responsabilidades
de la terminacin
34
Inventario de los
activos
Propiedad de los
activos
Informacin
Uso aceptable de
los activos
Clasificacin y
control de activos
Lineamientos de
clasificacin de la
informacin
Etiquetado y
manejo de la
informacin
Controles de
ingreso fsico
Informacin
Asegurar la
oficinas,
habitaciones y
medios
Seguridad fsica y
del entorno
Proteccin contra
amenazas externas
e internas
Trabajo en reas
Deben de
de
35
aseguradas
reas de acceso
pblico, entrega y
cargas
Ubicacin y
proteccin del
equipo
Servicios pblicos
de soporte
Seguridad del
cableado
Mantenimiento del
equipo
Seguridad del
equipo fuera del
local
Seguridad de la
eliminacin o re-uso
del equipo
Retiro de propiedad
36
radiacin
37
autorizado.
Verificar que el acceso al rea de entrega y carga
desde fuera del edificio este restringir al personal
identificado y autorizado
Verificar que el diseo del rea de entrega y carga
permita descargar los suministros sin que el
personal de entrega tenga acceso a otras partes
del edificio
Verificar que las puertas externas del rea de
entrega y carga estn aseguradas cuando se
abren las puertas internas
Verificar que se inspeccione el material que
ingresa para evitar amenazas potenciales antes
que el material sea trasladado del rea de entrega
y carga al punto de uso
Verificar que los medios de procesamiento de la
informacin que manejan data confidencia estn
ubicados de manera que se restrinja el ngulo de
visin para reducir el riesgo que la informacin
sea vista por personas no autorizadas durante su
uso; y que medios de almacenaje estn
asegurados para evitar el acceso no autorizado
Verificar que los tems que requieren proteccin
especial estn aislados para reducir el nivel
general de la proteccin requerida
Verificar la proteccin del equipo que procesa la
informacin confidencial para minimizar el riesgo
de escape de informacin debido a emanacin.
Verificar que, de ser posible, las lneas de energa
y telecomunicaciones que van a los medios de
procesamiento de informacin sean subterrneas
o estn sujetas a una alternativa de proteccin
adecuada
Verificar que el cableado de la red este protegido
38
Procedimientos y
responsabilidades
operacionales
Procedimientos de
operacin
documentados
Comunicacin
Gestin de
comunicaciones y
operaciones
Segregacin de los
deberes
Separacin de los
medios de
desarrollo, prueba y
operacin
39
Monitoreo y revisin
de los servicios de
terceros
Manejo de cambios
en los servicios de
terceros
Gestin de la
capacidad
Aceptacin del
sistema
Controles contra
cdigos maliciosos
Controles contra
cdigos mviles
Respaldo o BackUp
Controles de redes
Seguridad de los
servicios de la red
40
Procedimientos
para el manejo de
informacin
Seguridad de la
documentacin del
sistema
Polticas y
procedimientos de
intercambio de
informacin
Acuerdos de
intercambio
Medios fsicos en
trnsito
Mensajes
electrnicos
Sistemas de
informacin
comercia l
41
Comercio
electrnico
Transacciones enlnea
Informacin
pblicamente
disponible
Registro de
auditora
Proteccin del
registro de
informacin
Registros del
administrador y
operador
Registro de fallas
Sincronizacin de
42
relojes
43
44
45
46
47
48
49
50
Gestin de
privilegios
Informacin
Control de
accesos
Gestin de las
claves secretas de
los usuarios
Revisin de los
derechos de acceso
del usuario
51
Uso de claves
secretas
Poltica de escritorio
y pantalla limpios
Autenticacin del
usuario para las
conexiones
externas
Identificacin del
equipo en las redes
Proteccin del
puerto de
diagnstico y
configuracin
remoto
Segregacin en
redes
52
Control de conexin
a la red
Control de routing
de la red
Procedimientos
para un registro
seguro
Identificacin y
autenticacin del
usuario
Sistema de gestin
de claves secretas
Uso de las
utilidades del
sistema
Limitacin del
tiempo de conexin
derechos de acceso
c) chequear que el nivel de acceso otorgado sea
apropiado para el propsito comercial y que sea
consistente con la poltica de seguridad de la
organizacin; por ejemplo, no compromete la
segregacin de los deberes
d) proporcionar a los usuarios un enunciado escrito de
sus derechos de acceso
e) requerir a los usuarios que firmen los enunciados
indicando que entienden las condiciones de acceso
f) asegurar que los proveedores del servicio no
proporcionen acceso hasta que se hayan completado
los procedimientos de autorizacin
g) mantener un registro formal de todas las personas
registradas para usar el servicio
h) eliminar o bloquear inmediatamente los derechos de
acceso de los usuarios que han cambiado de puesto o
trabajo o han dejado la organizacin
i) chequeo peridico para eliminar o bloquear los IDs
de usuario y cuentas redundantes
j) asegurar que no se emitan IDs de usuario
redundantes a otros usuarios.
Confirmar que los sistemas multi-usuario que requieren
proteccin contra el acceso no autorizado debieran
controlar la asignacin de privilegios a travs de un
proceso de autorizacin formal, por lo tanto deben de
considerar los siguientes pasos:
a) los privilegios de acceso asociados con cada
producto del sistema; por ejemplo, sistema de
operacin, sistema de gestin de base de datos y cada
aplicacin, y se debieran identificar los usuarios a
quienes se les necesita asignar privilegios;
b) los privilegios se debieran asignar a los usuarios
sobre la base de slo lo que necesitan saber y sobre
una base de evento-por-evento en lnea con la poltica
de control del acceso; es decir, los requerimientos
mnimos para su rol funcional, slo cuando se
necesitan
c) se debiera mantener un proceso de autorizacin y un
registro de todos los privilegios asignados. No se
debieran otorgar privilegios hasta que se complete el
53
Control de acceso a
la aplicacin y la
informacin
Restriccin del
acceso a la
informacin
Aislar el sistema
confidencia l
Computacin y
comunicaciones
mviles
Tele-trabajo
proceso de autorizacin.
d) Se debiera promover el desarrollo y uso de rutinas
del sistema para evitar la necesidad de otorgar
privilegios a los usuarios;
e) se debiera promover el desarrollo y uso de los
programas que evitan la necesidad de correr con
privilegios;
f) los privilegios se debieran asignar a un ID de usuario
diferente de aquellos utilizados para el uso normal del
negocio.
Probar que los derechos de acceso consideran los
siguientes lineamientos:
a) los derechos de acceso de los usuarios debieran ser
revisados a intervalos regulares; por ejemplo, un
perodo de 6 meses, y despus de cualquier cambio,
como un ascenso, democin o terminacin del empleo
b) los derechos de acceso del usuario se debieran
revisar y re-asignar cuando se traslada de un empleo a
otro dentro de la misma organizacin
c) las autorizaciones para derechos de acceso
privilegiados especiales se debieran revisar a intervalos
ms frecuentes; por ejemplo, un perodo de 3 meses;
d) se debiera chequear la asignacin de privilegios a
intervalos regulares para asegurar que no se hayan
obtenido privilegios no autorizados
e) se debieran registrar los cambios en las cuentas
privilegiadas para una revisin peridica.
Comprobar que todos los usuarios fueron advertidos
sobre:
a) mantener confidenciales las claves secretas;
b) evitar mantener un registro (por ejemplo, papel,
archivo en software o dispositivo manual) de las claves
secretas, a no ser que este se pueda mantener
almacenado de manera segura y el mtodo de
almacenaje haya sido aprobado
c) cambio de claves secretas cuando haya el menor
indicio de un posible peligro en el sistema o la clave
secreta
d) seleccionar claves secretas de calidad con el largo
mnimo suficiente que sean:
54
1) fciles de recordar;
2) no se basen en nada que otro pueda adivinar
fcilmente u obtener utilizando la informacin
relacionada con la persona; por ejemplo, nombres,
nmeros telefnicos y fechas de nacimiento, etc.
3) no sean vulnerables a los ataques de diccionarios
(es decir, que no consista de
palabras incluidas en los diccionarios);
4) libre de caracteres consecutivos idnticos, todos
numricos o todos alfabticos;
e) cambio de las claves secretas a intervalos regulares
o en base al nmero de accesos (las claves secretas
para las cuentas privilegiadas se debieran cambiar con
mayor frecuencia que las claves secretas normales), y
evitar el re-uso de reciclaje de clave secretas antiguas;
f) cambiar la clave secreta temporal en el primer
registro de ingreso;
g) no incluir las claves secretas en ningn proceso de
registro automatizado; por ejemplo, almacenado en un
macro o funcin clave;
h) no compartir las claves secretas individuales;
i) no usar la misma clave personal para propsitos
comerciales y no-comerciales
Confirmar que se comunico a los usuarios que deben:
a) cerrar las sesiones activas cuando se termina, a no
ser que puedan asegurarse con un mecanismo de
cierre apropiado; por ejemplo, protector de pantalla
asegurado mediante clave secreta;
b) salir de las computadoras mainframe, servidores y
PCs de oficina cuando se termina la sesin (es decir,
no slo apagar la pantalla de la PC o Terminal);
c) asegurar las PCs o terminales contra un uso no
autorizado mediante un seguro con clave o un control
equivalente; por ejemplo, acceso con clave secreta,
cuando no est en uso
Verificar que se consideran los siguientes lineamientos:
a) la informacin comercial confidencial o crtica; por
ejemplo, en papel o medios de almacenamiento
electrnicos; debiera ser guardada bajo llave
(idealmente en una caja fuerte o archivador u otra
55
56
57
58
59
Anlisis y
especificacin de
los requerimientos
de seguridad
Validacin de la
input data
Control del
procesamiento
interno
Integridad del
mensaje
Informacin
Desarrollo y
mantenimiento de
sistemas
Validacin de la
output data
Gestin de claves
Proteccin de la
60
Control de acceso
al cdigo fuente del
programa
Procedimientos del
control del cambio
Revisin tcnica de
la aplicacin
despus de
cambios en el
sistema
Restricciones sobre
los cambios en los
paquetes de
software
Filtracin de
informacin
Desarrollo de
software abastecido
externamente
Control de las
vulnerabilidades
tcnicas
61
sistema de operacin
62
63
64
65
66
Incluir la seguridad
de la informacin en
el proceso de
gestin de
continuidad del
negocio
Continuidad del
negocio y
evaluacin del
riesgo
Informacin
Desarrollar e
implementar los
planes de
continuidad
incluyendo la
seguridad de la
informacin
Gestin de
continuidad del
negocio
Marco Referencial
de la planeacin de
la continuidad del
negocio
Prueba,
mantenimiento y reevaluacin de los
planes de
continuidad del
negocio
reales
4) elevar la conciencia acerca de la vulnerabilidad;
5) mantener un registro de auditora de todos los
procedimientos realizados;
6) el proceso de gestin de vulnerabilidad tcnica
debiera ser monitoreado y evaluado regularmente para
asegurar su efectividad y eficacia;
7) se debieran tratar primero los sistemas en alto
riesgo.
Verificar que la gestin de continuidad del negocio
incluya:
a) entender los riesgos que enfrenta la organizacin en
trminos de la probabilidad y el impacto en el tiempo,
incluyendo la identificacin y priorizacin de los
procesos comerciales crticos
b) identificar todos los activos involucrados en los
procesos comerciales crticos
c) entender el impacto que probablemente tendrn las
interrupciones causadas por incidentes en la seguridad
de la informacin en el negocio (es importante
encontrar las soluciones que manejen los incidentes
que causan el menor impacto, as como los incidentes
serios que pueden amenazar la viabilidad de la
organizacin), y establecer los objetivos comerciales de
los medios de procesamiento de la informacin;
d) considerar la compra de un seguro adecuado que
pueda formar parte de un proceso general de la
continuidad del negocio, y que tambin sea parte de la
gestin del riesgo operacional;
e) identificar y considerar la implementacin de
controles preventivos y atenuantes adicionales;
f) identificar los recursos financieros, organizacionales,
tcnicos y ambientales suficientes para tratar los
requerimientos de seguridad de la informacin
identificados;
g) garantizar la seguridad del personal y la proteccin
de los medios de procesamiento de la informacin y la
propiedad organizacional
h) formular y documentar los planes de continuidad del
negocio tratando los requerimientos de seguridad de la
informacin en lnea con la estrategia acordada
para la continuidad del negocio
67
68
Informacin
Proteccin de
registros
organizacionales
Cumplimiento
Proteccin de la
data y privacidad de
la informacin
personal
Prevencin del mal
uso de los medios
69
de procesamiento
de la informacin
Regulacin de
controles
criptogrficos
Cumplimiento con
las polticas y
estndares de
seguridad
Chequeo del
cumplimiento
tcnico
Controles de
auditora de los
sistemas de
informacin
Proteccin de las
herramientas de
auditora de los
sistemas de
informacin
70
Informacin
Modelo de
arquitectura de
informacin
empresarial
Definir la
arquitectura de la
informacin
Diccionario de
71
Revisar:
Frecuencia de actualizaciones al modelo
empresarial de datos
datos empresarial y
reglas de sintaxis
de datos
Esquema de
clasificacin de
datos
de
las
Crear agilidad de TI
Sistema de
administracin de
calidad
Estndares y
prcticas de calidad
Informacin
Administrar la
calidad
Estndares de
desarrollo y de
adquisicin
Revisar:
Definir estndares y prcticas de calidad
Monitorear y revisar el desempeo interno y externo
contra los estndares y prcticas de calidad definidos
Establecer estndares y cultura de calidad para los
procesos de TI
Establecer una funcin de aseguramiento de la calidad
para una TI eficiente y efectiva
Monitorear la efectividad de los procesos y proyectos
de TI
Garantizar la satisfaccin de los usuarios finales con
oferta de servicios y niveles de servicio
Reducir los defectos y repeticiones de trabajo en la
prestacin de servicios y soluciones
Entregar proyectos a tiempo y dentro del presupuesto,
satisfaciendo estndares de calidad
IT Enfoque en el
cliente
72
Medicin, monitoreo
y revisin de la
calidad
Revisar:
Establecer plan de entrenamiento
Organizar el entrenamiento
Identificacin de
necesidades de
entrenamiento y
educacin
Impartir el entrenamiento
Monitorear y reportar la efectividad del entrenamiento
Establecer un programa de capacitacin para usuarios
a todos los niveles utilizando los mtodos con mejor
rentabilidad.
Informacin
Informacin
Imparticin de
entrenamiento y
educacin
Educar y entrenar
a los usuarios
Administrar la
informacin
Evaluacin del
entrenamiento
recibido
Requerimientos del
negocio para
administracin de
73
datos
Revisar:
Acuerdos de
almacenamiento y
conservacin
Sistema de
administracin de
libreras de medios
Respaldo y
restauracin
Requerimientos de
seguridad para la
administracin de
datos
marco de trabajo de
control interno
Revisiones de
Auditora
Informacin
Monitorear y
evaluar el control
interno
Excepciones de
control
Auto-evaluacin de
control
Control interno para
terceros
Acciones
Revisar:
# y cobertura de auto-evaluaciones de control
# y cobertura de controles internos sujetos a
revisiones de auditora
74
correctivas
legales
regulatorios
Garantizar el
cumplimiento
regulatorio
cumplimiento con
requerimientos
regulatorios
Reportes
integrados.
cumplimiento
de
los
Mantenimiento de
Informacin
Revisar:
75
la seguridad,
integridad y
respaldo de la
data
Informacin
del negocio
Plan de
contingencia del
sistema de
informacin de una
LAN
Identificacin de
almacenamiento
alternativo e
instalaciones de
procesamiento
Plan de
contingencia del
sistema de
informacin de una
LAN
Anlisis del impacto
del negocio
Informacin
Uso de la alta
disponibilidad de
los procesos
Plan de
contingencia del
sistema de
informacin de una
LAN
Administracin del
valor de TI
Alineacin de TI
con el negocio
Comunicacin
Definir un plan
estratgico de TI
Evaluacin del
desempeo actual
Plan estratgico de
TI
1)Full
2)Incremental
3)Diferencial
Comprobar que se tomaron en consideracin los
siguientes criterios para seleccionar la mejor solucin
de respaldo de data:
1)Equipo de interoperabilidad
2)Volumen de almacenamiento
3)Vida media
4)Software de respaldo
Verificar si las instalaciones alternativas de
procesamiento corresponden con el nivel de
preparacin para funcionar como una instalacin de
operaciones del sistema, dichos niveles son:
1)lugares fros
2)lugares clidos
3)lugares calientes
de
redundancia
Revisar;
Rastrear lo retrasos existentes entre las
actualizaciones del plan estratgico/tctico del
negocio y las actualizaciones del plan
estratgico/tctico de TI
76
Planes tcticos de
TI
Administracin del
portafolio de TI
Planeacin de la
direccin
tecnolgica
Plan de
infraestructura
tecnolgica
Comunicacin
Determinar la
direccin
tecnolgica
Monitoreo de
tendencias y
regulaciones futuras
Estndares
tecnolgicos
Consejo de
aprovechar
las
oportunidades
77
Revisar:
Frecuencia de las reuniones sostenidas por el foro
tecnolgico
Frecuencia de las reuniones sostenidas por el
consejo de arquitectura de TI
Frecuencia de la revisin / actualizacin del plan
de infraestructura tecnolgica
% de incumplimiento de los estndares
tecnolgicos
# de plataformas tecnolgicas por funcin a lo
largo de toda la empresa
infraestructura tecnolgica
arquitectura
Optimizar la infraestructura, los recursos y las
capacidades de TI
Adquirir y mantener integrados y estandarizados los
sistemas de aplicacin
Revisar:
Marco de trabajo
del proceso
Ubicacin
organizacional de la
funcin de TI
Estructura
organizacional
Roles y
responsabilidades
Comunicacin
Responsabilidad de
aseguramiento de
calidad de TI
Definir los
procesos,
organizacin y
relaciones de TI
Responsabilidad
sobre el riesgo, la
seguridad y el
cumplimiento
Propiedad de datos
y de sistemas
Crear la agilidad de TI
Segregacin de
funciones
Polticas y
procedimientos
para personal
contratado
78
Comunicacin
Riesgo Corporativo
y Marco de
Referencia de
Control Interno de
TI
Comunicar las
aspiraciones y la
direccin de la
gerencia
Administracin de
polticas para TI
Implantacin de
polticas de TI
Comunicacin
Administrar los
recursos humanos
de TI
Reclutamiento y
Retencin del
Personal
79
Revisar:
% de personal de TI que hayan completado sus
planes profesionales y de desarrollo
Competencias del
personal
Asignacin de roles
Entrenamiento del
personal de TI
Crear la agilidad de la TI
Dependencia sobre
los individuos
% de roles de TI ocupados
Nmero de das perdidos debido a ausencias no
planeadas
Procedimientos de
Investigacin del
personal
Evaluacin del
desempeo del
empleado
Cambios y
terminacin de
trabajo
Comunicacin
Facilitar la
operacin y el uso
Plan para
soluciones de
Revisar:
Nivel de asistencia a entrenamiento de usuarios y
80
operacin
Transferencia de
conocimiento a la
gerencia del
negocio
Transferencia de
conocimiento a
usuarios finales
Transferencia de
conocimiento al
personal de
operaciones y
soporte
de
Entrenamiento
Comunicacin
Plan de prueba
Instalar y acreditar
soluciones y
cambios
Plan de
implantacin
81
Ambiente de prueba
Liberar y distribuir apropiadamente las aplicaciones
aprobadas y las soluciones de tecnologa.
Prueba de cambios
Prueba final de
aceptacin
Transferencia a
produccin
Liberacin de
software
Distribucin del
sistema
Registro y rastreo
de cambios
Revisin posterior a
la implantacin
Comunicacin
Marco de trabajo de
la administracin de
los niveles de
servicio
Definir y
administrar los
niveles de servicio
Definicin de
Definicin de servicios.
Formalizacin de convenios internos y externos
alineados con los requerimientos y las capacidades de
entrega.
Notificacin del cumplimiento de los niveles de servicio
(reportes y reuniones).
Asegurar que los reportes estn hechos a la medida de
la audiencia que los recibe.
82
Revisar:
Nmero de reuniones formales de revisin de los
SLAs con los responsables de negocio por ao
% de niveles de servicio reportados
% de niveles de servicio reportados de forma
automatizada
servicios
Acuerdos de niveles
de servicio
Acuerdos de niveles
de operacin
reporte del
cumplimento de los
niveles de servicio
Administracin de la
seguridad de TI
Revisar:
Entendimiento de los requerimientos, vulnerabilidades
y amenazas de seguridad.
Administracin de las identidades y autorizaciones de
los usuarios de manera estndar.
Plan de seguridad
de TI
Garantizar la
seguridad de los
sistemas
Administracin de
cuentas del usuario
83
Pruebas, vigilancia
y monitoreo de la
seguridad
Definicin de
incidente de
seguridad
Proteccin de la
tecnologa de
seguridad
Administracin de
llaves criptogrficas
Prevencin,
deteccin y
correccin de
software malicioso
Seguridad de la red
Intercambio de
datos sensitivos
Comunicacin
Registro de
consultas de
clientes
Administrar la
mesa de servicio y
los incidentes
Revisar:
Instalacin y operacin de una mes de servicios
Monitoreo y reporte de tendencias.
Alineacin de las prioridades de resolucin con las
prioridades del negocio.
Definicin de procedimientos y criterios de
84
Escalamiento de
incidentes
Cierre de incidentes
Anlisis de
tendencias
escalamiento claros.
Identificacin y
clasificacin de
problemas
Comunicacin
Administrar los
problemas
Rastreo y
resolucin de
problemas
Cierre de
Revisar:
Dar suficiente autoridad al gerente de problemas.
Hacer anlisis de causa raz de los problemas
reportados.
Analizar tendencias.
Tomar propiedad de los problemas y del progreso de la
resolucin de problemas.
85
problemas
Integracin de las
administraciones de
cambios,
configuracin y
problemas
Procedimientos e
instrucciones de
operacin
Programacin de
tareas
Comunicacin
Monitoreo de la
infraestructura de TI
Administrar las
operaciones
Documentos
sensitivos y
dispositivos de
salida.
Revisa:;
Operacin del ambiente de TI de acuerdo con los
niveles de servicio acordados, con instrucciones
definidas y con supervisin cercana.
Mantenimiento preventivo y monitoreo de la
infraestructura de TI.
Mantenimiento
preventivo del
86
hardware
Revisar:
Demora entre el reporte de la deficiencia y el
inicio de la accin
Enfoque del
Monitoreo
Definicin y
recoleccin de
datos de monitoreo
Mtodo de
monitoreo
Comunicacin
Monitorear y
evaluar el
desempeo de TI:
Evaluacin del
desempeo
Reportes al consejo
directivo y a
ejecutivos
Acciones
correctivas
87
Revisar:
% del equipo entrenado en gobierno (ej. Cdigos
de conducta)
marco de trabajo de
gobierno para TI
Alineamiento
estratgico
Administracin de
recursos
Comunicacin
Proporcionar
Gobierno de TI
Administracin de
riesgos.
Medicin del
desempeo.
Comunicacin
Desarrollar
Consideraciones
de contingencia
para las
telecomunicacione
Plan de
88
contingencia del
sistema de
informacin de una
LAN
89
Comunicacin
Desarrollar
Consideraciones
de contingencia de
los servidores
Poltica de
seguridad de la red
Controles de
seguridad del
sistema
90