Cobit

CLASENo.
06
TENDENCIASDELCONTROLINTERNOINFORMATICO
1.0 ELCOBIT
ConformealosactualeslineamientosdelaContraloraGeneraldelaRepblica,latendencia
paraelestablecimientodelos CONTROLESPARALASTECNOLOGIASDELAINFORMACIONY
COMUNICACIONES(TIC),esutilizarlametodologaCOBIT.
COBITControlObjectivesforInformationandrelatedTechnology(Objetivosdecontrol
paralainformacinytecnologasrelacionadas):Esunconjuntodemejoresprcticasparael
manejodeinformacincreadoporlaAsociacinparalaAuditoriayControldeSistemasde
Informacin(ISACA,eningls:InformationSystemsAuditandControlAssociation),yel
Instituto de Administracin de las Tecnologas de la Informacin (ITGI, en ingls IT
GovernanceInstitute).
2.0 DOMINIOS
ElCOBITtiene4dominios,ellosson:
A.Planearyorganizar(PO)
B.Dominio:Adquirireimplantar(AI)
C.Dominio:Entregarysoportar(DS)
D.Dominio:Monitorearyevaluar(ME)
3.0 OBJETIVOSDETALLADOSPORDOMINIO(COBIT4,0)
DOMINIO:PLANEARYORGANIZAR(PO)
P01DefinirunplanestratgicodeTI
PO1.1AdministracindelvalordeTI
PO1.2AlineacindeTIconelnegocio
PO1.3Evaluacindeldesempeoactual
PO1.4PlanestratgicodeTI
PO1.5PlanestcticosdeTI
PO1.6AdministracindelportafoliodeTI
PO2Definirlaarquitecturadelainformacin
PO2.1Modelodearquitecturadeinformacinempresarial
PO2.2Diccionariodedatosempresarialyreglasdesintaxisdedatos
PO2.3Esquemadeclasificacindedatos
PO2.4Administracindelaintegridad
PO3Determinarladireccintecnolgica
PO3.1Planeacindeladireccintecnolgica
PO3.2Plandeinfraestructuratecnolgica
PO3.3Monitoreodetendenciasyregulacionesfuturas
PO3.4Estndarestecnolgicos
PO3.5Consejodearquitectura
PO4Definirlosprocesos,laorganizacinylasrelacionesdeTI
Autor: Ing. Edward Crdenas
PO4.1Marcodetrabajodelproceso
PO4.2Comitestratgico
PO4.3Comitdirectivo(SteeringCommittee)
PO4.4UbicacinorganizacionaldelafuncindeTI
PO4.5Estructuraorganizacional
PO4.6Rolesyresponsabilidades
PO4.7ResponsabilidaddeaseguramientodecalidaddeTI
PO4.8Responsabilidadsobreelriesgo,laseguridadyelcumplimiento
PO4.9Propiedaddedatosydesistemas
PO4.10Supervisin
PO4.11Segregacindefunciones
PO4.12PersonaldeTI
PO4.13PersonalclavedeTI
PO4.14Polticasyprocedimientosparapersonalcontratado
PO4.15Relaciones
PO5AdministrarlainversinenTI
PO5.1Marcodetrabajoparalaadministracinfinanciera
PO5.2PrioridadesdentrodelpresupuestodeTI
PO5.3Procesopresupuestal
PO5.4Administracindecostos
PO5.5Administracindebeneficios
PO6Comunicarlasaspiracionesyladireccindelagerencia
PO6.1Ambientedepolticasydecontrol
PO6.2RiesgoCorporativoyMarcodeReferenciadeControlInternodeTI
PO6.3AdministracindepolticasparaTI
PO6.4ImplantacindepolticasdeTI
PO6.5ComunicacindelosobjetivosyladireccindeTI
PO7AdministrarlosrecursoshumanosdeTI
PO7.1ReclutamientoyRetencindelPersonal
PO7.2Competenciasdelpersonal
PO7.3Asignacinderoles
PO7.4EntrenamientodelpersonaldeTI
PO7.5Dependenciasobrelosindividuos
PO7.6ProcedimientosdeInvestigacindelpersonal
PO7.7Evaluacindeldesempeodelempleado
PO7.8Cambiosyterminacindetrabajo
PO8Administrarlacalidad
PO8.1Sistemadeadministracindecalidad
PO8.2Estndaresyprcticasdecalidad
PO8.3Estndaresdedesarrolloydeadquisicin
PO8.4ITEnfoqueenelcliente
PO8.5Mejoracontinua
PO8.6Medicin,monitoreoyrevisindelacalidad
PO9EvaluaryadministrarlosriesgosdeTI
P09.1AlineacindelaadministracinderiesgosdeTIydelnegocio
PO9.2Establecimientodelcontextodelriesgo
PO9.3Identificacindeeventos
PO9.4Evaluacinderiesgos
PO9.5Respuestaalosriesgos
PO9.6Mantenimientoymonitoreodeunplandeaccinderiesgos
PO10Administrarproyectos
PO10.1Marcodetrabajoparalaadministracindeprogramas
PO10.2Marcodetrabajoparalaadministracindeproyectos
PO10.3Enfoquedeadministracindeproyectos
PO10.4Compromisodelosinteresados
PO10.5Estatutodealcancedelproyecto
PO10.6Iniciodelasfasesdelproyecto
PO10.7Planintegradodelproyecto
PO10.8Recursosdelproyecto
PO10.9Administracinderiesgosdelproyecto
PO10.10Plandecalidaddelproyecto
PO10.11Controldecambiosdelproyecto
PO10.12Planeacindelproyectoymtodosdeaseguramiento
PO10.13Medicindeldesempeo,reportesymonitoreodelproyecto
PO10.14Cierredelproyecto
DOMINIO:PLANEARYORGANIZAR(PO)
P01DefinirunplanestratgicodeTI
PO1.1AdministracindelvalordeTI
Trabajar con el negocio para garantizar que el portafolio de inversiones de TI de la empresa contenga
programas con casos de negocio slidos. Reconocer que existen inversiones obligatorias, de sustento y
discrecionalesquedifierenencomplejidadygradodelibertadencuantoalaasignacindefondos.Los
procesosdeTIdebenproporcionarunaentregaefectivayeficientedeloscomponentesTIdelosprogramasy
advertenciasoportunassobrelasdesviacionesdelplan,incluyendocosto,calendarioofuncionalidad,que
pudieranimpactarlosresultadosesperadosdelosprogramas.LosserviciosdeTIsedebenejecutarcontra
acuerdosdenivelesdeserviciosequitativosyexigibles.Larendicindecuentasdellogrodelosbeneficiosy
delcontroldeloscostosesclaramenteasignadaymonitoreada.Establecerunaevaluacindeloscasosde
negocioqueseajusta,transparente,repetibleycomparable,incluyendoelvalorfinanciero,elriesgodeno
cumplirconunacapacidadyelriesgodenomaterializarlosbeneficiosesperados.
PO1.2AlineacindeTIconelnegocio
Educar a los ejecutivos sobre las capacidades tecnolgicas actuales y sobre el rumbo futuro, sobre las
oportunidades que ofrece TI, y sobre qu debe hacer el negocio para capitalizar esas oportunidades.
AsegurarsedequeelrumbodelnegocioalcualestalineadolaTIestbienentendido.Lasestrategiasde
negocioydeTIdebenestarintegradas,relacionandodemaneraclaralasmetasdelaempresaylasmetasde
TIyreconociendolasoportunidadesascomolaslimitacionesenlacapacidadactual,ysedebencomunicar
demaneraamplia.Identificarlasreasenqueelnegocio(estrategia)dependedeformacrticadelaTI,y
mediarentrelosimperativosdelnegocioylatecnologa,detalmodoquesepuedanestablecerprioridades
concertadas.
PO1.3Evaluacindeldesempeoactual
Evaluar el desempeo de los planes existentes y de los sistemas de informacin en trminos de su
contribucinalosobjetivosdenegocio,sufuncionalidad,suestabilidad,sucomplejidad,suscostos,sus
fortalezasydebilidades.
PO1.4PlanestratgicodeTI
Crearunplanestratgicoquedefina,encooperacinconlosinteresadosrelevantes,cmolaTIcontribuira
losobjetivosestratgicosdelaempresa(metas)ascomoloscostosyriesgosrelacionados.Incluyecmola
TIdarsoportealosprogramasdeinversinfacilitadosporTIyalaentregadelosserviciosoperacionales.
Definecmosecumplirnymedirnlosobjetivosyrecibirunaautorizacinformaldelosinteresados.El
planestratgicodeTIdebeincluirelpresupuestodelainversin/operativo,lasfuentesdefinanciamiento,la
estrategiadeprocuracin,laestrategiadeadquisicin,ylosrequerimientoslegalesyregulatorios.Elplan
estratgicodebeserlosuficientementedetalladoparapermitirladefinicindeplanestcticosdeTI.
PO1.5PlanestcticosdeTI
CrearunportafoliodeplanestcticosdeTIquesederivendelplanestratgicodeTI.Estosplanestcticos
describenlasiniciativasylosrequerimientosderecursosrequeridosporTI,ycmoelusodelosrecursosyel
logro de los beneficios sern monitoreados y administrados. Los pIanes tcticos deben tener el detalle
suficienteparapermitirladefinicindeplanesproyectados.Administrardeformaactivalosplanestcticosy
lasiniciativasdeTIestablecidaspormediodelanlisisdelosportafoliosdeproyectosyservicios.Esto
incluyeelequilibriodelosrequerimientosyrecursosdeformaregular,comparndolosconellogrodemetas
estratgicas y tcticas y con los beneficios esperados, y tomando las medidas necesarias en caso de
desviaciones.
PO1.6AdministracindelportafoliodeTI
Administrardeformaactiva,juntoconelnegocio,elportafoliodeprogramasdeinversindeTIrequerido
para lograr objetivos de negocio estratgicos y especficos por medio de la identificacin, definicin,
evaluacin, asignacin de prioridades, seleccin, inicio, administracin ycontrol de losprogramas. Esto
incluye clarificar los resultados de negocio deseados, garantizar que losobjetivos delos programas den
soporte al logro de los resultados, entender el alcance completo del esfuerzo requerido para lograr los
resultados, definir una rendicin de cuentas clara con medidas de soporte, definir proyectos dentro del
programa, asignar recursos y financiamiento, delegar autoridad, y licenciar los proyectos requeridos al
momentodelanzarelprograma.
PO2Definirlaarquitecturadelainformacin
PO2.1Modelodearquitecturadeinformacinempresarial
Establecerymantenerunmodelodeinformacinempresarialquefaciliteeldesarrollodeaplicacionesylas
actividadesdesoportealatomadedecisiones,consistenteconlosplanesdeTIcomosedescribenenP01.El
modelofacilitalacreacin,usoycomparticin ptimasdelainformacin porpartedelnegociodeuna
maneraqueconservalaintegridadyesflexible,funcional,rentableoportunaseguraytoleranteafallas.
PO2.2Diccionariodedatosempresarialyreglasdesintaxisdedatos
Mantenerundiccionariodedatosempresarialqueincluyalasreglasdesintaxisdedatosdelaorganizacin.
Eldiccionariofacilitalacomparticindeelementosdedatosentrelasaplicacionesylossistemas,fomentaun
entendimientocomndedatosentrelosusuariosdeTIydelnegocio,yprevienelacreacindeelementosde
datosincompatibles.
PO2.3Esquemadeclasificacindedatos
Establecerunesquemadeclasificacinqueapliqueatodalaempresa,basadoenquetancrticaysensiblees
lainformacin(estoes,pblica,confidencial,secreta)delaempresa.Esteesquemaincluyedetallesacercade
lapropiedaddedatos,ladefinicindenivelesapropiadosdeseguridadydecontrolesdeproteccin,yuna
brevedescripcindelosrequerimientosderetencinydestruccindedatos,ademsdequtancrticosy
sensiblesson.Seusacomobaseparaaplicarcontrolescomoelcontroldeacceso,archivooencriptacin.
PO2.4Administracindelaintegridad
Definir e implantar procedimientos para garantizar la integridad y consistencia de todos los datos
almacenadosenformatoelectrnico,talescomobasesdedatos,almacenesdedatosyarchivos.
PO3Determinarladireccintecnolgica
PO3.1Planeacindeladireccintecnolgica
Analizarlastecnologasexistentesyemergentesyplanearculdireccintecnolgicaesapropiadotomarpara
materializarlaestrategiadeTIylaarquitecturadesistemasdelnegocio.Tambinidentificarenelplanqu
tecnologastienenelpotencialdecrearoportunidadesdenegocio.Elplandebeabarcarlaarquitecturade
sistemas, la direccin tecnolgica, las estrategias de migracin y los aspectos de contingencia de los
componentesdelainfraestructura.
PO3.2Plandeinfraestructuratecnolgica
Crearymantenerunplandeinfraestructuratecnolgicaqueestdeacuerdoconlosplanesestratgicosy
tcticosdeTI.Elplansebasaenladireccintecnolgicaeincluyeacuerdosparacontingenciasyorientacin
para la adquisicin de recursos tecnolgicos. Tambin toma en cuenta los cambios en el ambiente
competitivo,laseconomasdeescalaenlaobtencindeequipodesistemasdeinformacin,ylamejoraenla
interoperabilidaddelasplataformasylasaplicaciones.
PO3.3Monitoreodetendenciasyregulacionesfuturas
Establecer unproceso para monitorear lastendencias ambientales del sector / industria,tecnolgicas, de
infraestructura,legalesyreg1atoriasIncluirlasconsecuenciasdeestastendenciaseneldesarrollodelplan
deinfraestructuratecnolgicadeTI.
PO3.4Estndarestecnolgicos
Proporcionarsolucionestecnolgicasconsistentes,efectivasysegurasparatodalaempresa,establecerun
forotecnolgicoparabrindardirectricestecnolgicas,asesorasobrelosproductosdelainfraestructuray
guassobrelaseleccindelatecnologa,ymedirelcumplimientodeestosestndaresydirectrices.Esteforo
impulsalosestndaresylasprcticastecnolgicasconbaseensuimportanciayriesgoparaelnegocioyenel
cumplimientoderequerimientosexternos.
PO3.5Consejodearquitectura
EstablecerunconsejodearquitecturadeTIqueproporcionedirectricessobrelaarquitecturayasesorasobre
su aplicacin y que verifique el cumplimiento. Esta entidad orienta el diseo de la arquitectura de TI
garantizando que facilite la estrategia del negocio y tome en cuenta el cumplimiento regulatorio y los
requerimientosdecontinuidad.Estosaspectosserelacionanconlaarquitecturadelainformacin.
PO4Definirlosprocesos,laorganizacinylasrelacionesdeTI
PO4.1Marcodetrabajodelproceso
DefinirunmarcodetrabajoparaelprocesodeTIparaejecutarelplanestratgicodeTI.Estemarcoincluye
estructurayrelacionesdeprocesosdeTI(administrandobrechasysuperposicionesdeprocesos),propiedad,
medicindeldesempeo,mejoras,cumplimiento,metasdecalidadyplanesparaalcanzarlas.Proporciona
integracinentrelosprocesosquesonespecficosparaTI,administracindelportafoliodeTI,procesosde
negocioyprocesosdecambiodelnegocio.ElmarcodetrabajodeprocesosdeTIdebeestarintegradoenun
sistemadeadministracindecalidadyenunmarcodetrabajodecontrolinterno.
PO4.2Comitestratgico
EstableceruncomitestratgicodeTIaniveldelconsejodirectivo.Estecomitgarantizaqueelgobiernode
TI,comopartedelgobiernocorporativo,semanejadeformaadecuada,asesorasobreladireccinestratgica
yrevisalasinversionesprincipalesanombredelconsejodirectivo.
PO4.3Comitdirectivo(SteeringCommittee)
EstableceruncomitdirectivodeTI(osuequivalente)compuestoporlagerenciaejecutiva,delnegocioyde
TI para: Determinar las prioridades de los programas de inversin de TI alineadas con la estrategia y
prioridadesdenegociodelaempresaHacerseguimientoalestatusdelosproyectosyresolverlosconflictos
derecursosMonitorearlosnivelesdeservicioylasmejorasdelservicio
PO4.4UbicacinorganizacionaldelafuncindeTI
Ubicar a la funcin de TI dentro de la estructura organizacional general con un modelo de negocios
supeditadoalaimportanciadeTIdentrodelaempresa,enespecialenfuncindequetancrticaesparala
estrategia del negocio y el nivel de dependencia operativa sobre TI. La lnea de reporte del CIO es
proporcionalconlaimportanciadeTIdentrodelaempresa.
PO4.5Estructuraorganizacional
Establecerunaestructuraorganizacional deTIinternayexternaquereflejelasnecesidadesdelnegocio.
AdemsimplantarunprocesopararevisarlaestructuraorganizacionaldeTIdeformaperidicaparaajustar
losrequerimientosdepersonalylasestrategiasinternasparasatisfacerlosobjetivosdenegocioesperadosy
lascircunstanciascambiantes.
PO4.6Rolesyresponsabilidades
Definirycomunicarlosrolesylasresponsabilidadesparatodoelpersonalenlaorganizacinconrespectoa
lossistemasdeinformacinparapermitirqueejerzanlosrolesyresponsabilidadesasignadosconsuficiente
autoridad.Crearyactualizarperidicamenteladescripcinderoles.Estasdescripcionesdebenestaralineadas
conlaresponsabilidadylaautoridadincluyendodefinicionesdehabilidadesyexperiencianecesariasencada
posicinyquesernaplicablesenelusoyevaluacindeldesempeo.
PO4.7ResponsabilidaddeaseguramientodecalidaddeTI
Asignarlaresponsabilidadparaeldesempeodelafuncindeaseguramientodecalidadyproporcionaral
grupo de aseguramiento los sistemas de aseguramiento de calidad, los controles y la experiencia para
comunicarlos.Laubicacinorganizacionalylasresponsabilidadesytamaodelgrupodeaseguramientode
calidadsatisfacenlosrequerimientosdelaorganizacin.
PO4.8Responsabilidadsobreelriesgo,laseguridadyelcumplimiento
IncluirlapropiedadylaresponsabilidaddelosriesgosrelacionadosconTIaunnivelseniorapropiado.
DefiniryasignarrolescrticosparaadministrarlosriesgosdeTI,incluyendolaresponsabilidadespecficade
laseguridaddelainformacin,laseguridadfsicayelcumplimiento.Establecerresponsabilidadsobrela
administracindelriesgoylaseguridadaniveldetodalaorganizacinparamanejarlosproblemasanivelde
todalaempresa.Puedesernecesarioasignarresponsabilidadesadicionalesdeadministracindelaseguridad
aniveldesistemaespecficoparamanejarproblemasrelacionadosconseguridad.Obtenerorientacindela
altadireccinconrespectoalapetitoderiesgodeTIylaaprobacindecualquierriesgoresidualdeTI.
PO4.9Propiedaddedatosydesistemas
Proporcionaralnegociolosprocedimientosyherramientasquelepermitanenfrentarsusresponsabilidadesde
propiedad sobre los datos y los sistrnas de informacin. Los propietarios toman decisiones sobre la
clasificacindelainformacinydelossistemasysobrecmoprotegerlosdeacuerdoaestaclasificacin.
PO4.10Supervisin
ImplantarprcticasadecuadasdesupervisindentrodelafuncindeTIparagarantizarquelosrolesylas
responsabilidadesseejerzandeformaapropiada,paraevaluarsitodoelpersonalcuentaconlasuficiente
autoridadyrecursosparaejecutarsusrolesyresponsabilidadesypararevisarengenerallosindicadoresclave
dedesempeo.
PO4.11Segregacindefunciones
Implantarunadivisinderolesyresponsabilidadesquereduzcalaposibilidaddequeunsoloindividuoafecte
negativamenteunprocesocrtico.Lagerenciatambinseaseguradequeelpersonalrealicesololastareas
autorizadas,relevantesasUspustosyposicionesrespectivas.
PO4.12PersonaldeTI
Evaluarlosrequerimientosdepersonaldeformaregularocuandoexistancambiosimportantesenelambiente
denegocios,operativoodeTIparagarantizarquelafuncindeTIcuenteconunnmerosuficientede
personalcompetente.Laconsecucindepersonaltomaencuentalacoubicacindepersonaldenegocios/
TI,elentrenamientocruzadofuncional,larotacindepuestosylasoportunidadesdepersonalexterno.
PO4.13PersonalclavedeTI
DefinireidentificaralpersonalclavedeTIyminimizarladependenciaexcesivaenellos.Debeexistirun
planparacontactaralpersonalclaveencasodeemergencia.
PO4.14Polticasyprocedimientosparapersonalcontratado
Definireimplantarpolticasyprocedimientosparacontrolarlasactividadesdelosconsultoresyotropersonal
contratadoporlafuncindeTIparagarantizarlaproteccindelosactivosdeinformacindelaempresay
satisfacerlosrequerimientoscontractuales.
PO4.15Relaciones
Establecerymantenerunaestructuraptimadeenlace,comunicacinycoordinacinentrelafuncindeTIy
otrasfuncionesdentroyfueradelafuncindeTI,talescomoelconsejodirectivo,ejecutivos,unidadesde
negocio,usuariosindividuales,proveedores,oficialesdeseguridad,gerentesderiesgo,elgrupocorporativo
decumplimiento,loscontratistasexternosylagerenciaexterna(offsite).
PO5AdministrarlainversinenTI
PO5.1Marcodetrabajoparalaadministracinfinanciera
EstablecerunmarcodetrabajofinancieroparaTIqueimpulseelpresupuestoyelanlisisderentabilidad,con
baseenlosportafoliosdeinversin,serviciosyactivos.Darmantenimientoalosportafoliosdelosprogramas
deinversindeTI,deserviciosydeactivosdeTI,loscualesformanlabaseparaelpresupuestocorrientede
TI.Brindarinformacindeentradahacialoscasosdenegociodenuevasinversiones,tomandoencuentalos
portafoliosactualesdeactivosyserviciosdeTI.Lasnuevasinversionesyelmantenimientoalosportafolios
de servicios y de activos influenciarn el futuro presupuesto de TI. Comunicar los aspectos de costo y
beneficiodeestosportafoliosalosprocesosdepriorizacindepresupuestos,administracindecostosy
administracindebeneficios.
PO5.2PrioridadesdentrodelpresupuestodeTI
Implantar un proceso de toma de decisiones para dar prioridades ala asignacin derecursos a TI para
operaciones,proyectosymantenimiento,paramaximizarlacontribucindeTIaoptimizarelretornodel
portafolioempresarialdeprogramasdeinversinenTIyotrosserviciosyactivosdeTI.
PO5.3Procesopresupuestal
Establecerunprocesoparaelaboraryadministrarunpresupuestoquereflejelasprioridadesestablecidasenel
portafolio empresarial de programas de inversin en TI, incluyendo los costos recurrentes de operar y
mantenerlainfraestructuraactual.ElprocesodebedarsoportealdesarrollodeunpresupuestogeneraldeTI
ascomoaldesarrollodepresupuestosparaprogramasindividuales,connfasisespecialenloscomponentes
deTIdeesosprogramas.Elprocesodebepermitirlarevisin,elrefinamientoylaaprobacinconstantesdel
presupuestogeneralydelospresupuestosdeprogramasindividuales.
PO5.4Administracindecostos
Implantarunprocesodeadministracindecostosquecompareloscostosrealesconlospresupuestados.Los
costossedeben monitorear yreportar. Cuandoexistandesviaciones, estassedebenidentificar deforma
oportunayelimpactodeesasdesviacionessobrelosprograrnssedebeevaluary,juntoconelpatrocinador
delnegocioparaestosprogramas,sedeberntomarlasmedidascorrectivasapropiadasy,encasodeser
necesario,elcasodenegociodelprogramadeinversinsedeberactualizar.
PO5.5Administracindebeneficios
Implantarunprocesodemonitoreodebeneficios.LacontribucinesperadadeTIalosresultadosdelnegocio,
yaseacomouncomponentedeprogramasdeinversinenTIocomopartedeunsoporteoperativoregular.
SiemprequeloscambiosenlacontribucindeTItenganimpactoenelprograma,ocuandoloscambiosa
otrosproyectosrelacionadosimpactenalprograma,elcasodenegociodeberseractualizado.
PO6Comunicarlasaspiracionesyladireccindelagerencia
PO6.1Ambientedepolticasydecontrol
DefinirloselementosdeunambientedecontrolparaTI,alineadosconlafilosofaadministrativayelestilo
operativodelaempresa.Estoselementosincluyenlasexpectativas/requerimientosrespectoalaentregade
valor proveniente de las inversiones en TI, el apetito de riesgo, la integridad, los valores ticos, la
competenciadelpersonal,larendicindecuentasylaresponsabilidad.Elambientedecontrolsebasaenuna
cultura que apoya la entrega de valor, mientras que al mismo tiempo administra riesgos significativos,
fomenta la colaboracin interdivisional y el trabajo en equipo, promueve el cumplimiento y la mejora
continuadeprocesos,ymanejalasdesviaciones(incluyendolasfallas)deformaadecuada.
PO6.2RiesgoCorporativoyMarcodeReferenciadeControlInternodeTI
Elaborarydarmantenimientoaunmarcodetrabajoqueestablezcaelenfoqueempresarialgeneralhacialos
riesgsyhaciaelcontrolinternoparaentregarvalormientrasalmismotiemposeprotegenlosrecursosy
sistemasdeTI.ElmarcodetrabajodebeestarintegradoporelmarcodeprocesosdeTIyelsistemade
administracindecalidad,ydebecumplirlosobjetivosgeneralesdelaempresa. Debetenercomometa
maximizarelxitodelaentregadevalormientrasminimizalosriesgosparalosactivosdeinformacinpor
mediodemedidaspreventivas,laidentificacinoportunadeirregularidades,lalimitacindeprdidasyla
oportunarecuperacindeactivosdelnegocio.
PO6.3AdministracindepolticasparaTI
ElaborarydarmantenimientoaunconjuntodepolticasqueapoyenlaestrategiadeTI.Estaspolticasdeben
incluir la intencin de las polticas, roles y responsabilidades, procesos de excepcin, enfoque de
cumplimientoyreferenciasaprocedimientos,estndaresydirectrices.Laspolticasdebenincluirtpicos
clavecomocalidad,seguridad,confidencialidad,controlesinternosypropiedadintelectual.Surelevanciase
debeconfirmaryaprobardeformaregular.
PO6.4ImplantacindepolticasdeTI
Asegurarse de que las polticas de TI se implantan y se comunican a todo el personal relevante, y se
refuerzan, de tal forma que estn incluidas y sean parte integral de las operaciones empresariales. Los
mtodosdeimplantacindebenresolvernecesidadeseimplicacionesderecursosyconcientizacin.
PO6.5ComunicacindelosobjetivosyladireccindeTI
AsegurarsedequelaconcienciayelentendimientodelosobjetivosyladireccindelnegocioydeTIse
comunican a toda la organizacin. La informacin comunicada debe abarcar una misin claramente
articulada, los objetivos deservido, la seguridad, los controles internos, la calidad, el cdigo de tica y
conducta, polticas y procedimientos, etc., y se deben incluir dentro de un programa de comunicacin
continua,apoyadoporlaaltadireccinconaccionesypalabras.Ladireccindebedarespecialatencina
comunicarlaconcienciasobrelaseguridaddeTIyelmensajedequelaseguridaddeTIesresponsabilidadde
todos.
PO7AdministrarlosrecursoshumanosdeTI
PO7.1ReclutamientoyRetencindelPersonal
Asegurarse que los procesos de reclutamiento del personal de TI estn de acuerdo a las polticas y
procedimientosgeneralesdepersonaldelaorganizacin(ej.contratacin,unambientepositivodetrabajoy
orientacin).Lagerenciaimplementaprocesosparagarantizarquelaorganizacincuenteconunafuerzade
trabajo posicionada de forma apropiada, que tenga las habilidades necesarias para alcanzar las metas
organizacionales.
PO7.2Competenciasdelpersonal
Verificardeformaperidicaqueelpersonaltengalashabilidadesparacumplirsusrolesconbaseensu
educacin,entrenamientoy/oexperiencia.DefinirlosrequerimientosesencialesdehabilidadesparaTIy
verificarqueselesdmantenimiento,usandoprogramasdecalificacinycertificacinsegnseaelcaso.
PO7.3Asignacinderoles
Definir,monitorearysupervisarlosmarcosdetrabajoparalosroles,responsabilidadesycompensacindel
personal,incluyendoelrequisitodeadherirsealaspolticasyprocedimientosadministrativos,ascomoal
cdigodeticayprcticasprofesionales.
Los trminos y condiciones de empleo deben enfatizar la responsabilidad del empleado respecto a la
seguridaddelainformacin,alcontrolinternoyalcumplimientoregulatorio.Elniveldesupervisindebe
estardeacuerdoconlasensibilidaddelpuestoyelgradoderesponsabilidadesasignadas.
PO7.4EntrenamientodelpersonaldeTI
ProporcionaralosempleadosdeTIlaorientacinnecesariaalmomentodelacontratacinyentrenamiento
continuopara conservar suconocimiento,aptitudes,habilidades,controlesinternosyconcienciasobrela
seguridad,alnivelrequeridoparaalcanzarlasmetasorganizacionales.
PO7.5Dependenciasobrelosindividuos
Minimizar la exposicin a dependencias crticas sobre individuos clave por medio de la captura del
conocimiento(documentacin),compartirelconocimiento,planeacindelasucesinyrespaldosdepersonal.
PO7.6ProcedimientosdeInvestigacindelpersonal
IncluirverificacionesdeantecedentesenelprocesodereclutamientodeTI.Elgradoylafrecuenciadeestas
verificacionesdependendequetandelicada crticasealafuncinysedebenaplicaralosempleados,
contratistasyproveedores.
PO7.7Evaluacindeldesempeodelempleado
Esnecesarioquelasevaluacionesdedesempeoserealicenperidicamente,comparandocontralosobjetivos
individualesderivadosdelasmetasorganizacionales,estndaresestablecidosyresponsabilidadesespecficas
delpuesto.Losempleadosdebenrecibiradiestramientosobresudesempeoyconducta,segnseanecesario.
PO7.8Cambiosyterminacindetrabajo
Tomarmedidasexpeditasrespecto aloscambiosenlospuestos,enespecial lasterminaciones. Sedebe
realizarlatransferenciadelconocimiento,reasignarresponsabilidadesysedebeneliminarlosprivilegiosde
acceso,detalmodoquelosriesgosseminimicenysegaranticelacontinuidaddelafuncin.
PO8Administrarlacalidad
PO8.1Sistemadeadministracindecalidad
EstablecerymantenerunQMSqueproporcioneunenfoqueestndar,formalycontinuo,conrespectoala
administracindelacalidad,queestalineadoconlosrequerimientosdelnegocio.ElOMSidentificalos
requerimientosyloscriteriosdecalidad,losprocesosclavesdeTI,ysusecuenciaeinteraccin,ascomolas
polticas,criteriosymtodosparadefinir,detectar,corregirypreverlasnoconformidades.ElOMSdebe
definirlaestructuraorganizacionalparalaadministracindelacalidad,cubriendolosroles,lastareasylas
responsabilidades. Todas las reas clave desarrollan sus planes de calidad de acuerdo a los criterios y
polticas, y registran los datos de calidad. Monitorear y medir la efectividad y aceptacin del OMS y
mejorarlacuandoseanecesario.
PO8.2Estndaresyprcticasdecalidad
Identificarymantenerestndares,procedimientosyprcticasparalosprocesosclavedeTIparaorientarala
organizacinhaciaelcumplimientodelOMS.Usarlasmejoresprcticasdelaindustriacomoreferenciaal
mejoraryadaptarlasprcticasdecalidaddelaorganizacin.
PO8.3Estndaresdedesarrolloydeadquisicin
Adoptarymantenerestndaresparatodoeldesarrolloyadquisicinquesiguenelciclodevida,hastael
ltimoentregableeincluyenlaaprobacinenpuntosclaveconbaseencriteriosdeaprobacinacordados.
Lostemasaconsiderarincluyenestndaresdecodificacindesoftware,normasdenomenclatura;formatos
dearchivos,estndaresdediseoparaesquemasydiccionariodedatos;estndaresparalainterfazdeusuario;
interoperabilidad;eficienciadedesempeodesistemas;escalabilidad;estndarespardesarrolloypruebas;
validacincontrarequerimientos;planesdepruebas;ypruebasunitarias,deregresinydeintegracin.
PO8.4ITEnfoqueenelcliente
Garantizaquelaadministracindecalidadseenfoqueenlosclientes,aldeterminarsusrequerimientosy
alinearlos con los estndares y prcticas de TI. Se definen los roles y responsabilidades respecto a la
resolucindeconflictosentreelusuario/clienteylaorganizacindeTI.
PO8.5Mejoracontinua
Seelaboraycomunicaunplanglobaldecalidadquepromuevalamejoracontinua,deformaperidica.
PO8.6Medicin,monitoreoyrevisindelacalidad
Definir,planeareimplantarmedicionesparamonitorearelcumplimientocontinuodelOMS,ascomoel
valorqueQMSproporciona.Lamedicin,elmonitoreoyelregistrodelainformacindebenserusadospor
eldueodelprocesoparatomarlasmedidascorrectivasypreventivasapropiadas.
PO9EvaluaryadministrarlosriesgosdeTI
P09.1AlineacindelaadministracinderiesgosdeTIydelnegocio
Integrar el gobierno, la administracin de riesgos y el marco de control de TI, al marco de trabajo de
administracinderiesgosdelaorganizacin.Estoincluyelaalineacinconelapetitoderiesgoyconelnivel
detoleranciaalriesgodelaorganizacin
PO9.2Establecimientodelcontextodelriesgo
Establecer el contextoenelcual elmarco detrabajodeevaluacin deriesgosseaplica para garantizar
resultadosapropiados.Estoincluyeladeterminacindelcontextointernoyexternodecadaevaluacinde
riesgos,lametadelaevaluacinyloscriterioscontraloscualesseevalanlosriesgos.
PO9.3Identificacindeeventos
Identificartodosaquelloseventos(amenazasyvulnerabilidades)conunimpactopotencialsobrelasmetaso
lasoperacionesdelaempresa,aspectosdenegocio,regulatorios,legales,tecnolgicos,desociedadcomercial,
derecursoshumanosyoperativos.Determinarlanaturalezadelimpactopositivo,negativooambosy
darmantenimientoaestainformacin.
PO9.4Evaluacinderiesgos
Evaluardeformarecurrentelaposibilidadeimpactodetodoslosriesgosidentificados,usandomtodos
cualitativosycuantitativos.Laposibilidadeimpactoasociadosalosriesgosinherentesyresidualessedebe
determinardeformaindividual,porcategorayconbaseenelportafolio.
PO9.5Respuestaalosriesgos
Identificar los propietarios de los riesgos y a los dueos de procesos afectados, y elaborar y mantener
respuestasalosriesgosquegaranticenqueloscontrolesrentablesylasmedidasdeseguridadmitiganla
exposicinalosriesgosdeformacontinua.Larespuestaalosriesgosdebeidentificarestrategiasderiesgo
talescomoevitar,reducir,compartiroaceptar.Alelaborarlarespuesta,considerarloscostosybeneficiosy
seleccionar respuestas que limiten los riesgos residuales dentro de los niveles de tolerancia de riesgos
definidos.
PO9.6Mantenimientoymonitoreodeunplandeaccinderiesgos
Asignarprioridadesyplanearlasactividadesdecontrolatodoslosnivelesparaimplantarlasrespuestasalos
riesgos,identificadascomonecesarias,incluyendolaidentificacindecostos,beneficiosylaresponsabilidad
delaejecucin.Buscarlaaprobacinparalasaccionesrecomendadasylaaceptacindecualquierriesgo
residual, y asegurarse de que las acciones comprometidas son propiedad del dueo (s) de los procesos
afectados.Monitorearlaejecucindelosplanesyrportarcualquierdesviacinalaaltadireccin.
1
0
PO10Administrarproyectos
PO10.1Marcodetrabajoparalaadministracindeprogramas
Mantenerelprogramadelosproyectos,relacionadosconelportafoliodeprogramasdeinversinenTI,por
medio de la identificacin, definicin, evakiacin, otorgamiento de prioridades, seleccin, inicio,
administracin y control de los proyectos. Asegurarse de que los proyectos apoyen los objetivos del
programa.Coordinarlasactividadeseinterdependenciasdemltiplesproyectos,administrarlacontribucin
de todos los proyectos dentro del programa hasta obtener los resultados esperados, y resolver los
requerimientosyconflictosderecursos.
PO10.2Marcodetrabajoparalaadministracindeproyectos
Establecerymantenerunmarcodetrabajoparalaadministracindeproyectosquedefinaelalcanceylos
lmitesdelaadministracindeproyectos,ascomolasmetodologasaseradoptadasyaplicadasacada
proyectoemprendido.Lasmetodologasdebencubrir,comomnimo,elinicio,laplaneacin,laejecucin,el
controlyelcierredelasetapasdelosproyectos,ascomolospuntosdeverificacinylasaprobaciones.El
marco de trabajo y las metodologas de soporte se deben integrar con la administracin del portafolio
empresarialyconlosprocesosdeadministracindeprogramas.
PO10.3Enfoquedeadministracindeproyectos
Establecer un enfoque de administracin de proyectos que corresponda al tamao, complejidad y
requerimientosregulatoriosdecadaproyecto.Laestructuradegobiernodeproyectospuedeincluirlosroles,
lasresponsabilidadesylarendicindecuentasdelpatrocinadordelprograma,patrocinadoresdelproyecto,
comitdedireccin,oficinadeproyectos,ygerentedelproyecto,ascomolosmecanismospormediodelos
cualespuedensatisfaceresasresponsabilidades(talescomoreportesyrevisionesporetapa).Asegurarseque
todos los proyectos de TI cuenten con patrocinadores con la suficiente autoridad para apropiarse de la
ejecucindelproyectodentrodelprogramaestratgicoglobal.
PO10.4Compromisodelosinteresados
Obtener el compromiso y la participacin de los interesados afectados en la definicin y ejecucin del
proyectodentrodelcontextodelprogramaglobaldeinversinenTI.
PO10.5Estatutodealcancedelproyecto
Definirydocumentarlanaturalezayalcancedelproyectoparaconfirmarydesarrollar,entrelosinteresados,
un.Ladefinicinsedebeaprobardemaneraformalporpartedelospatrocinadoresdelprogramaydel
proyectoantesdearrancarelproyecto.
PO10.6Iniciodelasfasesdelproyecto
Asegurarse que el arranque de las etapas importantes del proyecto se apruebe de manera formal y se
comunique a todos los interesados. La aprobacin de la fase inicial se debe basar en las decisiones de
gobiernodelprograma.Laaprobacindelasfasessubsiguientessedebebasarenlarevisinyaceptacinde
losentregablesdelafaseprevia,ylaaprobacindeuncasodenegocioactualizadoenlaprximarevisin
importantedelprograma.Enelcasodefasestraslapadas,sedebeestablecerunpuntodeaprobacinporparte
delospatrocinadoresdelprogramaydelproyecto,paraautorizaraselavancedelproyecto.
PO10.7Planintegradodelproyecto
Establecerunplanintegradoparaelproyecto,aprobadoyformal(quecubralosrecursosdenegocioydelos
sistemasdeinformacin)paraguiarlaejecucinyelcontroldelproyectoalolargodelavidadelste.Las
actividadeseinterdependenciasdemltiplesproyectosdentrodeunmismoprogramasedebenentendery
documentar.Elplandelproyectosedebemanteneralolargodelavidadelmismo.Elplandelproyecto,ylas
modificacionesaste,sedebenaprobardeacuerdoalmarcodetrabajodegobiernodelprogramaydel
proyecto.
PO10.8Recursosdelproyecto
1
1
Definirlasresponsabilidades,relaciones,autoridadesycriteriosdedesempeodelosmiembrosdelequipo
delproyectoyespecificarlasbasesparaadquiriryasignaralosmiembroscompetentesdelequipoy/oalos
contratistasalproyecto.Laobtencindeproductosyserviciosrequeridosparacadaproyectosedebeplanear
yadministrarparaalcanzarlosobjetivosdelproyecto,usandolasprcticasdeadquisicindelaorganizacin.
PO10.9Administracinderiesgosdelproyecto
Eliminar o minimizar los riesgos especficos asociados con los proyectos individuales por medio de un
procesosistemticodeplaneacin,identificacin,anlisis,respuestas,monitoreoycontroldelas reaso
eventosquetenganelpotencialdeocasionarcambiosnodeseados.Losriesgosafrontadosporelprocesode
administracindeproyectosyelproductoentregabledelproyectosedebenestableceryregistrardeforma
central.
PO10.10Plandecalidaddelproyecto
Prepararunplandeadministracindelacalidadquedescribaelsistemadecalidaddelproyectoycmoser
implantado.Elplandebeserrevisadoyacordadodemaneraformalportodaslaspartesinteresadasparaluego
serincorporadoenelplanintegradodelproyecto.
PO10.11Controldecambiosdelproyecto
Establecerunsistemadecontroldecambiosparacadaproyecto,detalmodoquetodosloscambiosalalnea
basedelproyecto(ej.costos,cronograma,alcanceycalidad)serevisen,apruebeneincorporendemanera
apropiadaalplanintegradodelproyecto,deacuerdoalmarcodetrabajodegobiernodelprogramaydel
proyecto.
PO10.12Planeacindelproyectoymtodosdeaseguramiento
Identificar las tares de aseguramiento requeridas para apoyar la acreditacin de sistemas nuevos o
modificados durante la planeacin del proyecto e incluirlos en el plan integrado. Las tareas deben
proporcionar la seguridad de que los controles internos y las caractersticas de seguridad satisfagan los
requerimientosdefinidos.
PO10.13Medicindeldesempeo,reportesymonitoreodelproyecto
Medireldesempeodelproyectocontraloscriteriosclavedelproyecto(ej.alcance,calendario,calidad,
costosyriesgos);identificarlasdesviacionesconrespectoalplan;evaluarsuimpactosobreelproyectoy
sobre el programa global; reportar los resultados a los interesados clave; y recomendar, implantar y
monitorearlasmedidascorrectivas,segnsearequerido,deacuerdoconelmarcodetrabajodegobiernodel
programaydelproyecto.
PO10.14Cierredelproyecto
Solicitarquealfinalizarcadaproyecto,losinteresadosdelproyectosecerciorendequeelproyectohaya
proporcionado los resultados y los beneficios esperados. Identificar y comunicar cualquier actividad
sobresalienterequeridaparaalcanzarlosresultadosplaneadosdelproyectoylosbeneficiosdelprograma,e
identificarydocumentarlasleccionesaprendidasaserusadasenfuturosproyectosyprogramas.
DOMINIO:ADQUIRIREIMPLANTAR(AI)
AI1Identificarsolucionesautomatizadas
AI1.1Definicinymantenimientodelosrequerimientostcnicosyfuncionalesdelnegocio
AI1.2Reportedeanlisisderiesgos
AI1.3Estudiodefactibilidadyformulacindecursosdeaccinalternativos
AI1.4Requerimientos,decisindefactibilidadyaprobacin
AI2Adquirirymantenersoftwareaplicativo
AI2.1Diseodealtonivel
1
2
AI2.2Diseodetallado
AI2.3Controlyauditabilidaddelasaplicaciones
Al2.4Seguridadydisponibilidaddelasaplicaciones
AI2.5Configuracineimplantacindesoftwareaplicativoadquirido
Al2.6Actualizacionesimportantesensistemasexistentes
A12.7Desarrollodesoftwareaplicativo
AI2.8AseguramientodelaCalidaddelSoftware
Al2.9Administracindelosrequerimientosdeaplicaciones
AI2.10Mantenimientodesoftwareaplicativo
AI3Adquirirymantenerinfraestructuratecnolgica
AI3.1Plandeadquisicindeinfraestructuratecnolgica
AI3.2Proteccinydisponibilidaddelrecursodeinfraestructura
AI3.3MantenimientodelaInfraestructura
AI3.4Ambientedepruebadefactibilidad
AI4Facilitarlaoperacinyeluso
AI4.1Planparasolucionesdeoperacin
AI4.2Transferenciadeconocimientoalagerenciadelnegocio
AI4.3Transferenciadeconocimientoausuariosfinales
Al4.4Transferenciadeconocimientoalpersonaldeoperacionesysoporte
AI5AdquirirrecursosdeTI
AI5.1Controldeadquisicin
AI5.2Administracindecontratosconproveedores
AI5.3Seleccindeproveedores
AI5.4Adquisicindesoftware
AI5.5Adquisicinderecursosdedesarrollo
Al5.6Adquisicindeinfraestructura,instalacionesyserviciosrelacionados
AI6Administrarcambios
AI6.1Estndaresyprocedimientosparacambios
AI6.2Evaluacindeimpacto,priorizacinyautorizacin
AI6.3Cambiosdeemergencia
AI6.4Seguimientoyreportedelestatusdecambio
AI6.5Cierreydocumentacindelcambio
Al7Instalaryacreditarsolucionesycambios
Al7.1Entrenamiento
AI7.2Plandeprueba
AI7.3Plandeimplantacin
AI7.4Ambientedeprueba
Al7.5Conversindesistemaydatos
AI7.6Pruebadecambios
AI7.7Pruebafinaldeaceptacin
AI7.8Transferenciaaproduccin
AI7.9Liberacindesoftware
AI7.10Distribucindelsistema
AI7.11Registroyrastreodecambios
AI7.12Revisinposterioralaimplantacin
1
3
DOMINIO:ADQUIRIREIMPLANTAR(AI)
AI1Identificarsolucionesautomatizadas
AI1.1Definicinymantenimientodelosrequerimientostcnicosyfuncionalesdelnegocio
Identificar,darprioridades,especificaryacordarlosrequerimientosdenegociofuncionalesytcnicosque
cubranelalcancecompletodetodaslasiniciativasrequeridasparalograrlosresultadosesperadosdelos
programasdeinversinenTI.Definirloscriteriosdeaceptacindelosrequerimientos.Estasiniciativas
debenincluirtodosloscambiosrequeridosdadalanaturalezadelnegocio,delosprocesos,delasaptitudesy
habilidadesdelpersonal,suestructuraorganizacionalylatecnologadeapoyo.Losrequerimientostomanen
cuenta las necesidades funcionales, la direccin tecnolgica, el desempeo, el costo, la confiabilidad, la
compatibilidad,laauditora,laseguridad,ladisponibilidadycontinuidad,laergonoma,lafuncionaldad,la
seguridadylalegislacindelaempresa.Establecerprocesosparagarantizaryadministrarlaintegridad,
exactitudylavalidezdelosrequerimientosdelnegocio,comobaseparaelcontroldelaadquisicinyel
desarrollocontinuodesistemas.Estosrequerimientosdebenserpropiedaddelpatrocinadordelnegocio.
AI1.2Reportedeanlisisderiesgos
Identificar, documentaryanalizar losriesgosasociadosconlosprocesosdelnegociocomopartedelos
procesosorganizacionalesparaeldesarrollodelosrequerimientos.Losriesgosincluyenlasamenazasala
integridad, seguridad, disponibilidadyprivacidad delosdatos,as comoel cumplimientodelasleyesy
reglamentos.
AI1.3Estudiodefactibilidadyformulacindecursosdeaccinalternativos
Desarrollar un estudio de factibilidad que examine la posibilidad de implantar los requerimientos. Debe
identificarloscursosalternativosdeaccinparaelsoftware,hardware,serviciosyhabilidadesquesatisfagan
los requerimientos establecidos, tanto funcionales como tcnicos, y evaluar la factibilidad tecnolgica y
econmica(costopotencialyanlisisdebeneficios)decadaunodeloscursosdeaccinidentificadosenel
contexto de inversin en TI. Es posible que existan varias iteraciones en el desarrollo del estudio de
factibilidad,amedidaquefactorestalescomoloscambiosalosprocesosdelnegocio,latecnologaylas
habilidadessonevaluados.Laadministracindelnegocio,apoyadaporlafuncindeTI,debeevaluarla
factibilidadyloscursosalternativosdeaccinyrealizarrecomendacionesalpatrocinadordelnegocio.
AI1.4Requerimientos,decisindefactibilidadyaprobacin
Elpatrocinadordelnegocioapruebayautorizalosrequisitosdenegocio,tantofuncionalescomotcnicos,y
losreportesdelestudiodefactibilidadenlasetapasclavepredeterminadas.Cadaautorizacinvadespusde
laterminacindelasrevisionesdecalidad.Elpatrocinadordelnegociotieneladecisinfinalconrespectoa
laeleccindelasolucinyalenfoquedeadquisicin.
AI2Adquirirymantenersoftwareaplicativo
AI2.1Diseodealtonivel
Traducir los requerimientos del negocio a una especificacin de diseo de alto nivel para desarrollo de
software, tomando en cuenta las directivas tecnolgicas y la arquitectura de informacin dentro de la
organizacin,yaprobarlasespecificacionesdediseoparagarantizarqueeldiseodealtonivelrespondea
losrequerimientos.
AI2.2Diseodetallado
Preparareldiseodetalladoylosrequerimientostcnicosdelsoftwaredeaplicacin.Definirelcriteriode
aceptacindelosrequerimientos.Aprobarlosrequerimientosparagarantizarquecorrespondenaldiseode
altonivel.Losconceptosaconsiderarincluyen,peronoselimitana,definirydocumentarlosrequerimientos
deentradadedatos,definirinterfaces,lainterfacedeusuario,eldiseoparalarecopilacindedatosfuente,la
especificacin de programa, definir y documentar los requerimientos de archivo, requerimientos de
procesamiento,definirlosrequerimientosdesalida,controlyauditabilidad,seguridadydisponibilidad,y
pruebas.Realizarunareevaluacinparacuandosepresentendiscrepanciastcnicasolgicassignificativas
duranteeldesarrolloomantenimiento.
1
4
AI2.3Controlyauditabilidaddelasaplicaciones
Asegurarqueloscontrolesdelnegociosetraduzcancorrectamenteencontrolesdeaplicacindemaneraque
el procesamiento sea exacto, completo, oportuno, aprobado y auditable. Los aspectos que se consideran
especialmenteson:mecanismosdeautorizacin,integridaddelainformacin,controldeacceso,respaldoy
diseodepistasdeauditoria.
Al2.4Seguridadydisponibilidaddelasaplicaciones
Abordarlaseguridaddelasaplicacionesylosrequerimientosdedisponibilidadenrespuestaalosriesgos
identificados,deacuerdoconlaclasificacindedatos,laarquitecturadeseguridadenlainformacindela
organizacinyelperfilderiesgo.Losasuntosaconsiderarincluyenderechosdeaccesoyadministracinde
privilegios, proteccin de informacin sensible en todas las etapas, autenticacin e integridad de las
transaccionesyrecuperacinautomtica.
AI2.5Configuracineimplantacindesoftwareaplicativoadquirido
Personalizar e implantar la funcionalidad automatizada adquirida con el uso de procedimientos de
configuracin,aceptacinyprueba.Losaspectosaconsiderarincluyenlavalidacincontralostrminos
contractuales, la arquitectura de informacin de a organizacin, las aplicaciones existentes, la
interoperabilidad con las aplicaciones existentes y los sistemas de bases de datos, la eficiencia en el
desempeodelsistema,ladocumentacinylosmanualesdeusuario,integracinyplanesdepruebadel
sistema.
Al2.6Actualizacionesimportantesensistemasexistentes
Seguirunprocesodedesarrollo similaraldedesarrollodesistemasnuevosenelcasoquesepresenten
modificacionesimportantesenlossistemasexistentes,queresultenenuncambiosignificativodelosdiseos
y/o funcionalidad actuales. Los aspectos a considerar incluyen anlisis de impacto, justificacin
costo/beneficioyadministracinderequerimientos.
A12.7Desarrollodesoftwareaplicativo
Garantizar que la funcionalidad de automatizacin se desarrolla de acuerdo con las especificaciones de
diseo,losestndaresdedesarrolloydocumentacinylosrequerimientosdecalidad.Aprobaryautorizar
cadaetapaclavedelprocesodedesarrollodesoftwareaplicativo,dandoseguimientoalaterminacinexitosa
de revisiones de funcionalidad, desempeo y calidad. Los aspectos a considerar incluyen aprobar las
especificacionesdediseoquesatisfacenlosrequerimientosdenegocio,funcionalesytcnicos;aprobarlas
solicitudesdecambio;yconfirmacindequeelsoftwareaplicativoescompatibleconlaproduccinyest
listopara sumigracin.Adems,garantizar queseidentifican yconsideran todoslosaspectos legalesy
contractualesparaelsoftwareaplicativoquedesarrollanterceros.
AI2.8AseguramientodelaCalidaddelSoftware
Desarrollar,implantarlosrecursosyejecutarunplandeaseguramientodecalidaddelsoftware,paraobtener
lacalidadqueseespecificaenladefinicindelosrequerimientosyenlaspolticasyprocedimientosde
calidad de la organizacin. Los asuntos a considerar en el plan de aseguramiento de calidad incluyen
especificarelcriteriodecalidadylosprocesosdevalidacinyverificacin,incluyendoinspeccin,revisin
dealgoritmosycdigofuenteypruebas.
Al2.9Administracindelosrequerimientosdeaplicaciones
Garantizarqueduranteeldiseo,desarrolloeimplantacin,sedaseguimientoalestatusdelosrequerimientos
particulares(incluyendotodoslosrequerimientosrechazados),yquelasmodificacionesalosrequerimientos
seapruebanatravsdeunprocesoestablecidodeadministracindecambios.
AI2.10Mantenimientodesoftwareaplicativo
Desarrollarunaestrategiayunplanparaelmantenimientoyliberacindeaplicacionesdesoftware.Los
asuntos a considerar incluyen liberacin planeada y controlada, planeacin de recursos, reparacin de
1
5
defectosdeprogramaycorreccindefallas,pequeasmejoras,mantenimientodedocumentacin,cambiosde
emergencia, interdependencia con otras aplicaciones e infraestructura, estrategias de actualizacin,
condicionescontractualestalescomoaspectosdesoporteyactualizaciones,revisinperidicadeacuerdoa
lasnecesidadesdelnegocio,riegosyrequerimientosdeseguridad.
AI3Adquirirymantenerinfraestructuratecnolgica
AI3.1Plandeadquisicindeinfraestructuratecnolgica
Generar un plan para adquirir, implantar y mantener la infraestructura tecnolgica que satisfaga los
requerimientos establecidos funcionales y tcnicos del negocio, y que est de acuerdo con la direccin
tecnolgicadelaorganizacin. Elplandebeconsiderarextensionesfuturasparaadicionesdecapacidad,
costos de transicin, riesgos tecnolgicos y vida til de la inversin para actualizaciones de tecnologa.
Evaluarloscostosdecomplejidadylaviabilidadcomercial delproveedoryelproductoalaadirnueva
capacidadtcnica.
AI3.2Proteccinydisponibilidaddelrecursodeinfraestructura
Implantar medidas de control interno, seguridad y auditabilidad durante la configuracin, integracin y
mantenimientodelhardwareydelsoftwaredelainfraestructuraparaprotegerlosrecursosygarantizarsu
disponibilidad e integridad. Se deben definir y comprender claramente las responsabilidades al utilizar
componentesdeinfraestructurasensitivosportodosaquellosquedesarrollaneintegranloscomponentesde
infraestructura.Sedebemonitorearyevaluarsuuso.
AI3.3MantenimientodelaInfraestructura
Desarrollarunaestrategiayunplandemantenimientodelainfraestructuraygarantizarquesecontrolanlos
cambios,deacuerdo conelprocedimientodeadministracindecambiosdelaorganizacin. Incluiruna
revisin peridica contra las necesidades del negocio, administracin de parches y estrategias de
actualizacin,riesgos,evaluacindevulnerabilidadesyrequerimientosdeseguridad.
AI3.4Ambientedepruebadefactibilidad
Establecerelambientededesarrolloypruebasparasoportarlaefectividadyeficienciadelaspruebasde
factibilidadeintegracindeaplicacioneseinfraestructura,enlasprimerasfasesdelprocesodeadquisiciny
desarrollo. Hay que considerar la funcionalidad, la configuracin de hardware y software, pruebas de
integracinydesempeo,migracinentreambientes,controldelaversiones,datosyherramientasdeprueba
yseguridad.
AI4Facilitarlaoperacinyeluso
AI4.1Planparasolucionesdeoperacin
Desarrollarunplanparaidentificarydocumentartodoslosaspectostcnicos,lacapacidaddeoperacinylos
niveles de servicio requeridos, de manera que todos los interesados puedan tomar la responsabilidad
oportunamenteporlaproduccindeprocedimientosdeadministracin,deusuarioyoperacionales,como
resultadodelaintroduccinoactualizacindesistemasautomatizadosodeinfraestructura.
AI4.2Transferenciadeconocimientoalagerenciadelnegocio
Transferirelconocimientoalagerenciadelaempresaparapermitirlestomarposesindelsistemaylosdatos
yejercer laresponsabilidad porla entrega ycalidad del servicio, del control interno, yde losprocesos
administrativos de la aplicacin. La transferencia de conocimiento incluye la aprobacin de acceso,
administracin de privilegios, segregacin de tareas, controles automatizados del negocio,
respaldo/recuperacin,seguridadfsicayarchivodeladocumentacinfuente.
AI4.3Transferenciadeconocimientoausuariosfinales
Transferenciadeconocimientoyhabilidadesparapermitirquelosusuariosfinalesutilicenconefectividady
eficienciaelsistemadeaplicacincomoapoyoalosprocesosdelnegocio.Latransferenciadeconocimiento
incluyeeldesarrollodeunplandeentrenamientoqueabordealentrenamientoinicialyalcontinuo,ascomo
1
6
eldesarrollodehabilidades,materialesdeentrenamiento,manualesdeusuario,manualesdeprocedimiento,
ayudaenlnea,asistenciaausuarios,identificacindelusuarioclave,yevaluacin.
Al4.4Transferenciadeconocimientoalpersonaldeoperacionesysoporte
Transferirelconocimientoylashabilidadesparapermitiralpersonaldesoportetcnicoydeoperacionesque
entregue,apoyeymantengalaaplicacinylainfraestructuraasociadademaneraefectivayeficientede
acuerdoalosnivelesdeserviciorequeridos.Latransferenciadelconocimientodebeincluiralentrenamiento
inicial y continuo, el desarrollo de las habilidades, los materiales de entrenamiento, los manuales de
operacin,losmanualesdeprocedimientosyescenariosdeatencinalusuario.
AI5AdquirirrecursosdeTI
AI5.1Controldeadquisicin
Desarrollar y seguir un conjunto de procedimientos y estndares consistente con el proceso general de
adquisicionesdelaorganizacinyconlaestrategiadeadquisicin,paragarantizarquelaadquisicinde
infraestructura, instalaciones, hardware, software y servicios relacionados con TI, satisfagan los
requerimientosdelnegocio.
AI5.2Administracindecontratosconproveedores
Formular un procedimiento para establecer, modificar y concluir contratos que apliquen a todos los
proveedores.Elprocedimientodebecubrir,almnimo,responsabilidadesyobligacioneslegales,financieras,
organizacionales,documentales,dedesempeo,deseguridaddepropiedadintelectualydeconclusin,as
como obligaciones (que incluyan clusulas de penalizacin). Todosloscontratos ylas modificaciones a
contratoslasdebenrevisarasesoreslegales.
AI5.3Seleccindeproveedores
Seleccionarproveedoresmedianteunaprcticajustayformalparagarantizarlaescogenciadelmejorcon
baseenlosrequerimientosquesehandesarrolladoconinformacindeproveedorespotencialesyacordados
entreelclienteyel(los)proveedor(es).
AI5.4Adquisicindesoftware
Garantizarqueseprotegenlosinteresesdelaorganizacinentodoslosacuerdoscontractualesdeadiulsicin.
Incluir y reforzar los derechos y obligaciones de todas tas partes en los trminos contractuales para la
adquisicin de software involucrados en el suministro y uso continuo de software. Estos derechos y
obligaciones pueden incluir la propiedad y licencia de propiedad intelectual, mantenimiento, garantas,
procedimientos de arbitraje, condiciones para la actualizacin y aspectos de conveniencia que incluyen
seguridad,custodiayderechosdeacceso.
AI5.5Adquisicinderecursosdedesarrollo
Garantizar la proteccin de los intereses de la organizacin en todos los acuerdos contractuales de
adquisicin. Incluir y hacer cumplir los derechos y obligaciones de todas las partes en los trminos
contractualesparalaadquisicinderecursosdedesarrollo.Estosderechosyobligacionespuedenincluirla
propiedadylicenciamientodepropiedadintelectual,aspectosdeconvenienciaincluyendometodologasde
desarrollo, lenguajes, pruebas, procesos de administracin de calidad que comprenden los criterios de
desempeo requeridos, revisin de desempeo, trminos de pago, garantas, procedimientos de arbitraje,
administracinderecursoshumanosycumplimientoconlaspolticasdelaorganizacin.
Al5.6Adquisicindeinfraestructura,instalacionesyserviciosrelacionados
Incluiryhacercumplirlosderechosyobligacionesdetodaslaspartesenlostrminoscontractuales,que
comprendan los criterios de aceptacin, para la adquisicin de infraestructura, instalaciones y servicios
relacionados. Estos derechos y obligaciones pueden abarcar los niveles de servicio, procedimientos de
mantenimiento,controlesdeacceso,seguridad,revisindedesempeo,trminosdepagoyprocedimientosde
arbitraje.
1
7
AI6Administrarcambios
AI6.1Estndaresyprocedimientosparacambios
Establecerprocedimientosdeadministracindecambioformalesparamanejardemaneraestndartodaslas
solicitudes (incluyendomantenimientoyparches) paracambiosaaplicaciones,procedimientos,procesos,
parmetrosdesistemayservicio,ylasplataformasfundamentales.
AI6.2Evaluacindeimpacto,priorizacinyautorizacin
Garantizarquetodaslassolicitudesdecambioseevalandeunaestructuradamaneraencuantoaimpactosen
elsistemaoperacionalysufuncionalidad.Estaevaluacindeberincluircategorizacinypriorizacindelos
cambios.Previoalamigracinhaciaproduccin,losinteresadoscorrespondientesautorizanloscambios.
AI6.3Cambiosdeemergencia
Establecerunprocesoparadefinir,plantear,evaluaryautorizarloscambiosdeemergenciaquenosiganel
proceso de cambio establecido. La documentacin y pruebas se realizan, posiblemente, despus de la
implantacindelcambiodeemergencia.
AI6.4Seguimientoyreportedelestatusdecambio
Establecerunsistemadeseguimientoyreporteparamanteneractualizadosalossolicitantesdecambioyalos
interesadosrelevantes,acercadelestatusdelcambioalasaplicaciones,alosprocedimientos,alosprocesos,
parmetrosdelsistemaydelservicioylasplataformasfundamentales.
AI6.5Cierreydocumentacindelcambio
Siemprequeseimplantancambiosalsistema,actualizarelsistemaasociadoyladocumentacindeusuarioy
procedimientoscorrespondientes.Establecerunprocesoderevisinparagarantizarlaimplantacincompleta
deloscambios.
Al7Instalaryacreditarsolucionesycambios
Al7.1Entrenamiento
EntrenaralpersonaldelosdepartamentosdeusuarioafectadosyalgrupodeoperacionesdelafuncindeTI
deacuerdoconelplandefinidodeentrenamientoeimplantacinyalosmaterialesasociados,comopartede
cadaproyectodedesarrollo,implantacinomodificacindesistemasdeinformacin.
AI7.2Plandeprueba
Establecerunplandepruebasyobtenerlaaprobacindelaspartesrelevantes.Elplandepruebassebasaen
losestndaresdetodalaorganizacinydefineroles,responsabilidadesycriteriosdexito.Elplanconsidera
lapreparacindepruebas(incluyelapreparacindelsitio),requerimientosdeentrenamiento,instalacino
actualizacindeunambientedepruebasdefinido,planear/ejecutar/documentar/retenercasosdeprueba,
manejoycorreccindeerroresyaprobacinformal.Conbaseenlaevaluacinderiesgosdefallasenel
sistemayenlaimplantacin,elplandebeincluirlosrequerimientosdepruebadedesempeo,stress,de
usabilidad,pilotoydeseguridad.
AI7.3Plandeimplantacin
Establecerunplandeimplantacinyobtenerlaaprobacindelaspartesrelevantes.Elplandefineeldiseo
deversiones(release),construccindepaquetesdeversiones,procedimientosdeimplantacin/instalacin,
manejodeincidentes,controlesdedistribucin(incluyeherramientas),almacenamientodesoftware,revisin
delaversinydocumentacindecambios.Elplandebertambinincluirmedidasderespaldo!yvuelta
atrs.
AI7.4Ambientedeprueba
Establecerunambientedepruebaseparadoparapruebas.Esteambientedebereflejarelambientefuturode
operaciones(porejemplo,seguridadsimilar,controlesinternosycargasdetrabajo)parapermitirpruebas
acertadas.Sedebentenerpresenteslosprocedimientosparagarantizarquelosdatosutilizadosenelambiente
depruebaseanrepresentativosdelosdatos(selimpiansiesnecesario)queseutilizarneventualmenteenel
1
8
ambientedeoperacin.Proporcionarmedidasadecuadasparaprevenirladivulgacindedatossensibles.La
documentacindelosresultadosdelaspruebassedebearchivar.
Al7.5Conversindesistemaydatos
Garantizar que los mtodos de desarrollo de la organizacin, contemplen para todos los proyectos de
desarrollo,implantacinomodificacin,quetodosloselementosnecesarios,talescomohardware,software,
datosdetransacciones,archivosmaestros,respaldosyarchivos,interfasesconotrossistemas,procedimientos,
documentacin de sistemas, etc., sean convertidos del viejo al nuevo sistema de acuerdo con un plan
preestablecido.Sedesarrollaymantieneunapistadeauditoriadelosresultadospreviosyposterioresala
conversin.Lospropietariosdelsistemallevanacabounaverificacindetalladadelprocesoinicialdelnuevo
sistemaparaconfirmarunatransicinexitosa.
AI7.6Pruebadecambios
Garantizar quesepruebanloscambiosdeacuerdoconel plandeaceptacindefinidoyenbaseenuna
evaluacindeimpactoyrecursosqueincluyeeldimensionamientodeldesempeoenunambienteseparado
deprueba,porpartedeungrupodepruebaindependiente(delosconstructores)antesdecomenzarsuusoen
elambientedeoperacinregular.Laspruebasparalelasopilotoseconsideranpartedelplan.Loscontrolesde
seguridadsepruebanyevalanantesdelaliberacin,demaneraquesepuedacertificarlaefectividaddela
segundad.Losplanesderespaldo/vueltaatrssedebendesarrollaryprobarantesdetransferirelcambioa
produccin.
AI7.7Pruebafinaldeaceptacin
Garantizar que los procedimientos proporcionan, como parte de la aceptacin final o prueba de
aseguramientosdelacalidaddelossistemasdeinformacinnuevosomodificados,unaevaluacinformaly
laaprobacindelosresultadosdepruebaporpartedelagerenciadelosdepartamentosafectadosdelusuario
ylafuncindeTI.Laspruebasdeberncubrirtodosloscomponentesdelsistemadeinformacin(ejemplo,
software aplicativo, instalaciones, procedimientos de tecnologa y usuario) y garantizar que los
requerimientosdeseguridaddelainformacinsesatisfacenparatodosloscomponentes.Losdatosdeprueba
sedebensalvarparapropsitosdepistasdeauditoriayparapruebasfuturas.
AI7.8Transferenciaaproduccin
Implantarprocedimientosformalesparacontrolarlatransferenciadelsistemadesdeelambientededesarrollo
al de pruebas, de acuerdo con el plan de implantacin. La gerencia debe requerir que se obtenga la
autorizacindelpropietariodelsistemaantesdequesemuevaunnuevosistemaaproduccinyque,antesde
quesedescontineelviejosistema,elnuevohayaoperadoexitosamenteatravsdeciclosdeproduccin
diarios,mensuales,trimestralesydefindeao.
AI7.9Liberacindesoftware
Garantizarquelaliberacindelsoftwareseregulaconprocedimientosformalesqueasegurenlaautorizacin,
acondicionamiento, pruebas de regresin, distribucin, transferencia de control, rastreo de estatus,
procedimientosderespaldoynotificacindeusuario.
AI7.10Distribucindelsistema
Establecerprocedimientosdecontrolparaasegurarladistribucinoportunaycorrecta,ylaactualizacinde
los componentes aprobados de la configuracin. Esto implica controles de integridad; segregacin de
funcionesentrelosqueconstruyen,pruebanyoperan;yadecuadaspistasdeauditoriadetodaslasactividades.
AI7.11Registroyrastreodecambios
Automatizarelsistemautilizadoparamonitorearcambiosasistemasaplicativosparasoportarelregistroy
rastreodecambioshechosenaplicaciones,procedimientos,procesos,sistemasyparmetrosdeservicio,ya
lasplataformassubyacentes.
1
9
AI7.12Revisinposterioralaimplantacin
Establecerprocedimientosdeacuerdo conlosestndaresdedesarrolloydecambiosdelaempresa,que
requierenunarevisinposterioralaimplantacindelsistemadeinformacinenoperacinparaevaluary
reportarsielcambiosatisfizolosrequerimientosdelclienteyentreglosbeneficiosvisualizados,deaforma
msrentable.
DOMINIO:ENTREGARYSOPORTAR(DS)
DS1Definiryadministrarlosnivelesdeservicio
DS1.1Marcodetrabajodelaadministracindelosnivelesdeservicio
DS1.2Definicindeservicios
DS1.3Acuerdosdenivelesdeservicio
DS1.4Acuerdosdenivelesdeoperacin
DS1.5Monitoreoyreportedelcumplimentodelosnivelesdeservicio
DS1.6Revisindelosacuerdosdenivelesdeservicioydeloscontratos
DS2Administrarlosserviciosdeterceros
DS2.1Identificacindelasrelacionescontodoslosproveedores
DS2.2Administracindelasrelacionesconlosproveedores
DS2.3Administracinderiesgosdelproveedor
DS2.4Monitoreodeldesempeodelproveedor
DS3Administrareldesempeoylacapacidad
DS3.1Planeacindeldesempeoylacapacidad
DS3.2Capacidadydesempeoactual
DS3.3Capacidadydesempeofuturos
DS3.4DisponibilidadderecursosdeTI
DS3.5Monitoreoyreporte
DS4Garantizarlacontinuidaddelosservicios
DS4.1Marcodetrabajodecontinuidad
DS4.2PlanesdecontinuidaddeTI
DS4.3RecursoscrticosdeTI
DS4.4MantenimientodelplandecontinuidaddeTI
DS4.5PruebasdelplandecontinuidaddeTI
DS4.6EntrenamientodelplandecontinuidaddeTI
DS4.7DistribucindelplandecontinuidaddeTI
DS4.8RecuperacinyreanudacindelosserviciosdeTI
DS4.9Almacenamientoderespaldosfueradelasinstalaciones
DS4.10Revisinpostreanudacin
DS5Garantizarlaseguridaddelossistemas
DS5.1AdministracindelaseguridaddeTI
DS5.2PlandeseguridaddeTI
DS5.3Administracindeidentidad
DS5.4Administracindecuentasdelusuario
DS5.5Pruebas,vigilanciaymonitoreodelaseguridad
DS5.6Definicindeincidentedeseguridad
DS5.7Proteccindelatecnologadeseguridad
2
0
DS5.8Administracindellavescriptogrficas
DS5.9Prevencin,deteccinycorreccindesoftwaremalicioso
DS5.10Seguridaddelared
DS5.11Intercambiodedatossensitivos
DS6Identificaryasignarcostos
DS6.2ContabilizacindeTI
DS6.3Modelacindecostosycargos
DS6.4Mantenimientodelmodelodecostos
DS7Educaryentrenaralosusuarios
DS7.1Identificacindenecesidadesdeentrenamientoyeducacin
DS7.2Imparticindeentrenamientoyeducacin
DS7.3Evaluacindelentrenamientorecibido
DS8Administrarlamesadeservicioylosincidentes
DS8.1MesadeServicios
DS8.2Registrodeconsultasdeclientes
DS8.3Escalamientodeincidentes
DS8.4Cierredeincidentes
DS8.5Anlisisdetendencias
DS9Administrarlaconfiguracin
DS9.1Repositoriodeconfiguracinylneabase
DS9.2Identificacinymantenimientodeelementosdeconfiguracin
DS9.3Revisindeintegridaddelaconfiguracin
DS10Administracindeproblemas
DS10.1Identificacinyclasificacindeproblemas
DS10.2Rastreoyresolucindeproblemas
DS10.3Cierredeproblemas
DS10.4Integracindelasadministracionesdecambios,configuracinyproblemas
DS11Administracindelainformacin
DS11.1Requerimientosdelnegocioparaadministracindedatos
DS11.2Acuerdosdealmacenamientoyconservacin
DS11.3Sistemadeadministracindelibrerasdemedios
DS11.4Eliminacin
DS11.5Respaldoyrestauracin
DS11.6Requerimientosdeseguridadparalaadministracindedatos
DS12Administracindelambientefsico
DS12.1Seleccinydiseodelcentrodedatos
DS12.2Medidasdeseguridadfsica
DS12.3AccesoFsico
DS12.4Proteccincontrafactoresambientales
DS12.5Administracindeinstalacionesfsicas
DS13Administracindeoperaciones
DS13.1Procedimientoseinstruccionesdeoperacin
DS13.2Programacindetareas
DS13.3MonitoreodelainfraestructuradeTI
2
1
DS13.4Documentossensitivosydispositivosdesalida
DS13.5Mantenimientopreventivodelhardware
DOMINIO:ENTREGARYSOPORTAR(DS)
DS1Definiryadministrarlosnivelesdeservicio
DS1.1Marcodetrabajodelaadministracindelosnivelesdeservicio
Definirunmarcodetrabajoquebrindeunprocesoformaldeadministracindenivelesdeservicioentreel
cliente y el prestador de servicio. El marco de trabajo mantiene una alineacin continua con los
requerimientos y las prioridades de negocio y facilita el entendimiento comn entre el cliente y el(los)
prestador(es)deservicio.Elmarcodetrabajoincluyeprocesosparalacreacinderequerimientosdeservicio,
definicionesdeservicio,acuerdosdenivelesdeservicio(SLAs),acuerdosdenivelesdeoperacin(OLAs)y
lasfuentesdefinanciamiento.Estosatributosestnorganizadosenuncatlogodeservicios.Elmarcode
trabajodefinelaestructuraorganizacionalparalaadministracindelniveldeservicio,incluyendolosroles,
tareasyresponsabilidadesdelosproveedoresexternoseinternosydelosclientes.
DefinicionesbasedelosserviciosdeTIsobrelascaractersticasdelservicioylosrequerimientosdenegocio,
organizados y almacenados de manera centralizada por medio de la implantacin de un enfoque de
catlogo/portafoliodeservicios.
DS1.3Acuerdosdenivelesdeservicio
DefiniryacordarconveniosdenivelesdeservicioparatodoslosprocesoscrticosdeTIconbaseenlos
requerimientos del cliente y las capacidades en TI. Esto incluye los compromisos del cliente, los
requerimientosdesoporteparaelservicio,mtricascualitativasycuantitativasparalamedicindelservicio
firmadoporlosinteresados,encasodeaplicar,losarregloscomercialesydefinanciamiento,ylosrolesy
responsabilidades,incluyendolarevisindelSLA.Lospuntosaconsiderarsondisponibilidad,confiabilidad,
desempeo, capacidad de crecimiento, niveles de soporte, planeacin de continuidad, seguridad y
restriccionesdedemanda.
DS1.4Acuerdosdenivelesdeoperacin
Asegurar que los acuerdos de niveles de operacin expliquen cmo sern entregados tcnicamente los
serviciosparasoportarel(los)SLA(s)demaneraptima.LosOLAsespecificanlosprocesostcnicosen
trminosentendiblesparaelproveedorypuedensoportardiversosSLAs.
DS1.5Monitoreoyreportedelcumplimentodelosnivelesdeservicio
Monitorearcontinuamenteloscriteriosdedesempeoespecificadosparaelniveldeservicio.Losreportes
sobreelcumplimientodelosnivelesdeserviciodebenemitirseenunformatoqueseaentendibleparalos
interesados.Lasestadsticasdemonitoreosonanalizadasparaidentificartendenciaspositivasynegativas
tantodeserviciosindividualescomodelosserviciosenconjunto.
DS1.6Revisindelosacuerdosdenivelesdeservicioydeloscontratos
Revisar regularmente con los proveedores internos y externos los acuerdos de niveles de servicio y los
contratosdeapoyo,paraasegurarquesonefectivos,queestnactualizadosyquesehantomadoencuentalos
cambiosenrequerimientos.
DS2Administrarlosserviciosdeterceros
DS2.1Identificacindelasrelacionescontodoslosproveedores
Identificar todoslosserviciosdelosproveedores ycatalogarlosdeacuerdoconeltipodeproveedor, la
importanciaylacriticidad.Mantenerdocumentacinformaldelasrelacionestcnicasyorganizacionales
incluyendolosrolesyresponsabilidades,metas,expectativas,entregablesesperadosycredencialesdelos
representantesdeestosproveedores.
2
2
DS2.2Administracindelasrelacionesconlosproveedores
Formalizarelprocesodeadministracinderelacionesconproveedoresporcadaproveedor.Losresponsables
delasrelacionesdebencoordinaralosproveedoresylosclientesyasegurarlacalidaddelasrelacionescon
baseenlaconfianzaylatransparencia(porejemplo,atravsdeacuerdosdenivelesdeservicio).
DS2.3Administracinderiesgosdelproveedor
Identificarymitigarlosriesgosrelacionadosconlahabilidaddelosproveedoresparamantenerunaefectiva
entregadeserviciosdeformasegurayeficientesobreunabasedecontinuidad.Asegurarqueloscontratos
estndeacuerdoconlosestndaresuniversalesdelnegociodeconformidadconlosrequerimientoslegalesy
regulatorios.Laadministracindel riesgodebeconsiderarademsacuerdos deconfidencialidad (NDAs),
contratosdegaranta,viabilidaddelacontinuidaddelproveedor,conformidadconlosrequerimientosde
seguridad,proveedoresalternativos,penalizacioneseincentivos,etc.
DS2.4Monitoreodeldesempeodelproveedor
Establecer un proceso para monitorear la prestacin del servicio para asegurar que el proveedor est
cumpliendoconlosrequerimientosdelnegocioactualesyqueseapegademaneracontinuaalosacuerdosdel
contrato y a los convenios de niveles de servicio, y que el desempeo es competitivo respecto a los
proveedoresalternativosyalascondicionesdelmercado.
DS3Administrareldesempeoylacapacidad
DS3.1Planeacindeldesempeoylacapacidad
EstablecerunprocesodeplaneacinparalarevisindeldesempeoylacapacidaddelosrecursosdeTI,para
asegurarladisponibilidaddelacapacidadydeldesempeo,concostosjustificables,paraprocesarlascargas
detrabajoacordadastalcomosedeterminaenlosSLAs.Losplanesdecapacidadydesempeodebenhacer
uso de tcnicas de modelado apropiadas para producir un modelo de desempeo, de capacidad y de
rendimientodelosrecursosdeTI,tantoactualcomopronosticado.
DS3.2Capacidadydesempeoactual
RevisarlacapacidadydesempeoactualdelosrecursosdeTIenintervalosregularesparadeterminarsi
existe suficiente capacidad y desempeo para prestar los servicios con base en los niveles de servicio
acordados.
DS3.3Capacidadydesempeofuturos
LlevaracabounpronsticodedesempeoycapacidaddelosrecursosdeTIenintervalosregularespara
minimizar el riesgo de interrupciones del servicio originadas por falta de capacidad o degradacin del
desempeo. Identificar tambin el exceso de capacidad para una posible redistribucin. Identificar las
tendenciasdelascargasdetrabajoydeterminarlospronsticosquesernpartedelosplanesdecapacidady
dedesempeo.
DS3.4DisponibilidadderecursosdeTI
Brindarlacapacidadydesempeorequeridostomandoencuentaaspectoscomocargasdetrabajonormales,
contingencias,requerimientosdealmacenamientoyciclosdevidadelosrecursos deTI.Debentomarse
medidascuandoeldesempeoylacapacidadnoestnenelnivelrequerido,talescomodarprioridadalas
tareas,mecanismosdetoleranciadefallasyprcticasdeasignacinderecursos.Lagerenciadebegarantizar
quelosplanesdecontingenciaconsiderandeformaapropiadaladisponibilidad,capacidadydesempeode
losrecursosindividualesdeTI.
DS3.5Monitoreoyreporte
MonitorearcontinuamenteeldesempeoylacapacidaddelosrecursosdeTI.Lainformacinreunidasirve
paradospropsitos:Manteneryponerapuntoeldesempeoactual dentrodeTIyatendertemascomo
resiliencia,contingencia,cargasdetrabajoactualesyproyectadas,planesdealmacenamientoyadquisicinde
2
3
recursos.ParareportarladisponibilidadhaciaelnegociodelservicioprestadocomoserequiereenlosSLAs.
Acompaartodoslosreportesdeexcepcinconrecomendacionesparallevaracaboaccionescorrectivas.
DS4Garantizarlacontinuidaddelosservicios
DS4.1Marcodetrabajodecontinuidad
DesarrollarunmarcodetrabajodecontinuidaddeTIparasoportarlacontinuidaddelnegocioconunproceso
consistentealolargodetodalaorganizacin.Elobjetivodelmarcodetrabajoesayudarenladeterminacin
delaresistenciarequeridadelainfraestructuraydeguiareldesarrollodelosplanesderecuperacinde
desastresydecontingencias.Elmarcodetrabajodebetomarencuentalaestructuraorganizacionalpara
administrarlacontinuidad,lacoberturaderoles,lastareasylasresponsabilidadesdelosproveedoresde
servicios internos y externos, su administracin y sus clientes; as como las reglas y estructuras para
documentar,probaryejecutarlarecuperacindedesastresylosplanesdecontingenciadeTI.Elplandebe
tambinconsiderarpuntostalescomolaidentificacin derecursoscrticos,elmonitoreoyreportedela
disponibilidadderecursoscrticos,elprocesamientoalternativoylosprincipiosderespaldoyrecuperacin.
DS4.2PlanesdecontinuidaddeTI
DesarrollarplanesdecontinuidaddeTIconbaseenelmarcodetrabajo,diseadoparareducirelimpactode
una interrupcin mayor de las funciones y losprocesos clave del negocio. Los planes deben considerar
requerimientosderesistencia,procesamientoalternativo,ycapacidadderecuperacindetodoslosservicios
crticos de TI. Tambin deben cubrir los lineamientos de uso, los roles y responsabilidades, los
procedimientos,losprocesosdecomunicacinyelenfoquedepruebas.
DS4.3RecursoscrticosdeTI
CentrarlaatencinenlospuntosdeterminadoscomolosmscrticosenelpiandecontinuidaddeTI,para
construirresistenciayestablecerprioridadesensituacionesderecuperacin.Evitarladistraccinderecuperar
los puntos menos crticos y asegurarse d que la respuesta y la recuperacin estn alineadas con las
necesidadesprioritariasdelnegocio,asegurndosetambinqueloscostossemantienenaunnivelaceptabley
secumpleconlosrequerimientosregulatoriosycontractuales.Considerarlosrequerimientosderesistencia,
respuestayrecuperacinparadiferentesnivelesdeprioridad,porejemplo,deunaacuatrohoras,decuatroa
24horas,msde24horasyparaperiodoscrticosdeoperacindelnegocio.
DS4.4MantenimientodelplandecontinuidaddeTI
ExhortaralagerenciadeTIadefiniryejecutarprocedimientosdecontroldecambios,paraasegurarqueel
plandecontinuidaddeTIsemantengaactualizado yquerefleje demanera continualosrequerimientos
actuales del negocio. Es esencial que los cambios en los procedimientos y las responsabilidades sean
comunicadosdeformaclarayoportuna.
DS4.5PruebasdelplandecontinuidaddeTI
Probar el plan de continuidad de TI de forma regular para asegurar que los sistemas de TI pueden ser
recuperadosdeformaefectiva,quelasdeficienciassonatendidasyqueelplanpermaneceaplicable.Esto
requiereunapreparacincuidadosa,documentacin,reportedelosresultadosdelaspruebasy,deacuerdo
con los resultados, la implementacin de un plan de accin. Considerar el alcance de las pruebas de
recuperacinenaplicacionesindividuales,enescenariosdepruebasintegrados,enpruebasdepuntaapuntay
enpruebasintegradasconelproveedor.
DS4.6EntrenamientodelplandecontinuidaddeTI
Asegurarsedequetodoslaspartesinvolucradasrecibansesionesdecapacitacindeformaregularrespectoa
losprocesos ysusroles y responsabilidades en caso de incidente odesastre. Verificar e incrementar el
entrenamientodeacuerdoconlosresultadosdelaspruebasdecontingencia.
DS4.7DistribucindelplandecontinuidaddeTI
Determinarqueexisteunaestrategiadedistribucindefinidayadministradaparaasegurarquelosplanesse
distribuyandemaneraapropiadaysegurayqueestndisponiblesentrelaspartesinvolucradasyautorizadas
2
4
cuandoydondeserequiera.Sedebeprestaratencinenhacerlosaccesiblesbajocualquierescenario de
desastre
DS4.8RecuperacinyreanudacindelosserviciosdeTI
PlanearlasaccionesatomarduranteelperodoenqueTIestrecuperandoyreanudandolosservicios.Esto
puederepresentarlaactivacindesitiosderespaldo,eliniciodeprocesamientoalternativo,lacomunicacina
clientesyalosinteresados,realizarprocedimientosdereanudacin,etc.Asegurarsedequelosresponsables
delnegocioentiendenlostiemposderecuperacindeTIylasinversionesnecesariasentecnologapara
soportarlasnecesidadesderecuperacinyreanudacindelnegocio.
DS4.9Almacenamientoderespaldosfueradelasinstalaciones
Almacenarfueradelasinstalacionestodoslosmediosderespaldo,documentacinyotrosrecursosdeTI
crticos,necesariosparalarecuperacindeTIyparalosplanesdecontinuidaddelnegocio.Elcontenidode
losrespaldosaalmacenardebedeterminarseenconjuntoentrelosresponsablesdelosprocesosdenegocioy
elpersonaldeTI.Laadministracindelsitiodealmacenamientoexternoalasinstalaciones,debeapegarsea
lapolticadeclasificacindedatosyalasprcticasdealmacenamientodedatosdelaempresa.Lagerencia
deTIdebeasegurarquelosacuerdosconsitiosexternosseanevaluadosperidicamente,almenosunavez
porao,respectoalcontenido,alaproteccinambientalyalaseguridad.Asegurarsedelacompatibilidaddel
hardwareydelsoftwareparapoderrecuperarlosdatosarchivadosyperidicamenteprobaryrenovarlos
datosarchivados.
DS4.10Revisinpostreanudacin
UnavezlogradaunaexitosareanudacindelasfuncionesdeTIdespusdeundesastre,determinarsila
gerencia de TI ha establecido procedimientos para valorar lo adecuado del plan y actualizar el plan en
consecuencia.
DS5Garantizarlaseguridaddelossistemas
DS5.1AdministracindelaseguridaddeTI
AdministrarlaseguridaddeTIalnivelmsapropiadodentrodelaorganizacin,demaneraquelasacciones
deadministracindelaseguridadestnenlneaconlosrequerimientosdelnegocio.
DS5.2PlandeseguridaddeTI
Trasladarlosrequerimientosdeinformacindelnegocio,laconfiguracindeTI,losplanesdeaccindel
riesgodelainformacinylaculturasobrelaseguridadenlainformacinaunplanglobaldeseguridaddeTI.
Elplanseimplementaenpolticasyprocedimientosdeseguridadenconjuntoconinversionesapropiadasen
servicios,personal,softwareyhardware.Laspolticasyprocedimientosdeseguridadsecomunicanalos
interesadosyalosusuarios.
DS5.3Administracindeidentidad
Todoslosusuarios(internos,externosytemporales)ysuactividadensistemasdeTI(aplicacindenegocio,
operacindelsistema,desarrolloymantenimiento)debenseridentificablesdemaneranica.Losderechosde
acceso del usuario a sistemas y datos deben estar alineados con necesidades de negocio definidas y
documentadasyconrequerimientosdetrabajo.Losderechosdeaccesodelusuariosonsolicitadosporla
gerenciadelusuario,aprobadosporelresponsabledelsistemaeimplementadoporlapersonaresponsablede
laseguridad.Lasidentidadesdelusuarioylosderechosdeaccesosemantienenenunrepositoriocentral.Se
implementanysemantienenactualizadasmedidastcnicasyprocedimientosrentables,paraestablecerla
identificacindelusuario,realizarlaautenticacinyhabilitartosderechosdeacceso.
DS5.4Administracindecuentasdelusuario
Garantizarquelasolicitud,establecimiento,emisin,suspensin,modificacinycierredecuentasdeusuario
ydelosprivilegiosrelacionados, seantomadosencuentaporlagerenciadecuentasdeusuario.Debe
incluirseunprocedimientoqudescribaalresponsabledelosdatosodelsistemacomootorgarlosprivilegios
2
5
deacceso.Estosprocedimientosdebenaplicarparatodoslosusuarios,incluyendoadministradores(usuarios
privilegiados), usuarios externos e internos, para casos normales y de emergencia. Los derechos y
obligaciones relacionados al acceso a los sistemas e informacin de la empresa son acordados
contractualmenteparatodoslostiposdeusuarios.Lagerenciadebellevaracabounarevisinregulardetodas
lascuentasylosprivilegiosasociados.
DS5.5Pruebas,vigilanciaymonitoreodelaseguridad
GarantizarquelaimplementacindelaseguridadenTIseaprobadaymonitoreadadeformaproactiva.La
seguridadenTIdebeserreacreditada peridicamente paragarantizar quesemantieneel nivel seguridad
aprobado.Unafuncindeingresoalsistema(logging)ydemonitoreopermiteladeteccin oportunade
actividadesinusualesoanormalesquepuedenrequeriratencin.Elaccesoalainformacindeingresoal
sistemaestalineadoconlosrequerimientosdelnegocioentrminosderequerimientosderetencinyde
derechosdeacceso.
DS5.6Definicindeincidentedeseguridad
Garantizarquelascaractersticasdelosposiblesincidentesdeseguridadseandefinidasycomunicadasde
formaclara,demaneraquelosproblemasdeseguridadseanatendidosdeformaapropiadapormediodel
procesodeadministracindeproblemasoincidentes.Lascaractersticasincluyenunadescripcindeloque
seconsideraunincidentedeseguridadysuniveldeimpacto.Unnmerolimitadodenivelesdeimpactose
definenparacadaincidente,seidentificanlasaccionesespecficasrequeridasylaspersonasquenecesitanser
notificadas.
DS5.7Proteccindelatecnologadeseguridad
Garantizarquelatecnologaimportanterelacionadaconlaseguridadnoseasusceptibledesabotajeyquela
documentack5ndeseguridadnosedivulguedeformainnecesaria,esdecir,quemantengaunperfilbajo.Sin
embargo no hay que hacer que la seguridad de los sistemas dependa de la confidencialidad de las
especificacionesdeseguridad.
DS5.8Administracindellavescriptogrficas
Determinarquelaspolticasyprocedimientosparaorganizarlageneracin,cambio,revocacin,destruccin,
distribucin,certificacin,almacenamiento,captura,usoyarchivodellavescriptogrficasestnimplantadas,
paragarantizarlaproteccindelasllavescontramodificacionesydivulgacinnoautorizadas.
DS5.9Prevencin,deteccinycorreccindesoftwaremalicioso
Garantizarquesecuenteconmedidasdeprevencin,deteccinycorreccin(enespecialcontarconparches
deseguridadycontroldevirusactualizados)alolargodetodalaorganizacinparaprotegeralossistemasde
informacinyalatecnologacontrasoftwaremalicioso(virus,gusanos,spyware,correobasura,software
fraudulentodesarrolladointernamente,etc.).
DS5.10Seguridaddelared
Garantizarqueseutilizantcnicasdeseguridadyprocedimientosdeadministracinasociados(porejemplo,
firewalls,dispositivosdeseguridad,segmentacinderedes,ydeteccindeintrusos)paraautorizaraccesoy
controlarlosflujosdeinformacindesdeyhacialasredes.
DS5.11Intercambiodedatossensitivos
Garantizarquelastransaccionesdedatossensiblesseanintercambiadassolamenteatravsdeunarutao
medioconfiableconcontrolesparabrindarautenticidaddecontenido,pruebadeenvo,pruebaderecepciny
norechazodelorigen.
DS6Identificaryasignarcostos
2
6
IdentificartodosloscostosdeTIyequipararlosalosserviciosdeTIparasoportarunmodelodecostos
transparente.LosserviciosdeTIdebenvincularsealosprocesosdelnegociodeformaqueelnegociopueda
identificarlosnivelesdefacturacindelosserviciosasociados.
DS6.2ContabilizacindeTI
Registraryasignarloscostosactualesdeacuerdoconelmodelodecostosdefinido.Lasvariacionesentrelos
presupuestosyloscostosactualesdebenanalizarseyreportarsedeacuerdoconlossistemasdemedicin
financieradelaempresa.
DS6.3Modelacindecostosycargos
Conbaseenladefinicindelservicio,definirunmodelodecostosqueincluyacostosdirectos,indirectosy
fijosdelosservicios,yqueayudealclculodetarifasdereintegrosdecobroporservicio.Elmodelode
costosdebeestaralineadoconlosprocedimientosdecontabilizacindecostosdelaempresa.Elmodelode
costosdeTIdebegarantizarqueloscargosporserviciossonidentificables,mediblesypredeciblesporparte
delosusuariosparapropiciareladecuadousoderecursos.Lagerenciadelusuariodebepoderverificareluso
actualyloscargosdelosservicios.
DS6.4Mantenimientodelmodelodecostos
Revisarycomparardeformaregularloapropiadodelmodelodecostos/recargosparamantenersurelevancia
paraelnegocioenevolucinyparalasactividadesdeTI.
DS7Educaryentrenaralosusuarios
DS7.1Identificacindenecesidadesdeentrenamientoyeducacin
Establecer y actualizar de forma regular un programa de entrenamiento para cada grupo objetivo de
empleados,queincluya:
Estrategiasyrequerimientosactualesyfuturosdelnegocio.
Valorescorporativos(valoresticos,culturadecontrolyseguridad,etc.)
ImplementacindenuevosoftwareeinfraestructuradeTI(paquetesyaplicaciones)Habilidades,perfilesde
competenciasycertificacionesactualesy/ocredencialesnecesarias.
Mtodosdeimparticin(porejemplo,aula,web),tamaodelgrupoobjetivo,accesibilidadytiempo.
DS7.2Imparticindeentrenamientoyeducacin
Con base en las necesidades de entrenamiento identificadas, identificar: a los grupos objetivo y a sus
miembros, a los mecanismos de imparticin eficientes, a maestros, instructores y consejeros. Designar
instructoresyorganizarelentrenamientocontiemposuficiente.Debetomarsenotadelregistro(incluyendo
losprerrequisitos),laasistencia,ydelasevaluacionesdedesempeo.
DS7.3Evaluacindelentrenamientorecibido
Alfinalizar laentrenamiento, evaluar el contenidodelaentrenamientorespecto alarelevancia, calidad,
efectividad,percepcinyretencindelconocimiento,costoyvalor.Losresultadosdeestaevaluacindeben
contribuirenladefinicinfuturadelosplanesdeestudioydelassesionesdeentrenamiento.
DS8Administrarlamesadeservicioylosincidentes
DS8.1MesadeServicios
Establecerlafuncindemesadeservicio,lacualeslaconexindelusuarioconTI,pararegistrar,comunicar,
atender y analizar todas las llamadas, incidentes reportados, requerimientos de servicio y solicitudes de
informacin.Debenexistirprocedimientosdemonitoreoyescalamientobasadosenlosnivelesdeservicio
acordadosenlosSLAs,quepermitanclasificarypriorizarcualquierproblemareportadocomoincidente,
solicituddeservicioosolicituddeinformacin.Medirlasatisfaccindelusuariofinalrespectoalacalidadde
lamesadeserviciosydelosserviciosdeTI.
2
7
DS8.2Registrodeconsultasdeclientes
Establecerunafuncinysistemaquepermitaelregistroyrastreodellamadas,incidentes,solicitudesde
servicioynecesidadesdeinformacin.Debetrabajarestrechamenteconlosprocesosdeadministracinde
incidentes, administracin de problemas, administracin de cambios, administracin de capacidad y
administracindedisponibilidad.Losincidentesdebenclasificarsedeacuerdoalnegocioyalaprioridaddel
servicioyenrutarsealequipodeadministracindeproblemasapropiadoysedebemantenerinformadosalos
clientessobreelestatusdesusconsultas.
DS8.3Escalamientodeincidentes
Establecerprocedimientosdemesadeserviciosdemaneraquelosincidentesquenopuedanresolversede
formainmediataseanescaladosapropiadamentedeacuerdoconloslmitesacordadosenelSLAy,sies
adecuado,brindarsolucionesalternas.Garantizarquelaasignacindeincidentesyelmonitoreodelciclode
vidapermanecenenlamesadeservicios,independientementedequgrupodeTIesttrabajandoenlas
actividadesderesolucin.
DS8.4Cierredeincidentes
Establecerprocedimientosparaelmonitoreopuntualdelaresolucindeconsultasdelosclientes.Cuandose
resuelveelincidentelamesadeserviciosdeberegistrarlacausaraz,silaconoce,yconfirmarquelaaccin
tomadafueacordadaconelcliente.
DS8.5Anlisisdetendencias
Emitirreportesdelaactividaddelamesadeserviciosparapermitiralagerenciamedireldesempeodel
servicioylostiemposderespuesta,ascomoparaidentificartendenciasdeproblemasrecurrentesdeforma
queelserviciopuedamejorarsedeformacontnua.
DS9Administrarlaconfiguracin
DS9.1Repositoriodeconfiguracinylneabase
Establecerunrepositoriocentralquecontengatodalainformacinreferentealoselementosdeconfiguracin.
Este repositorio incluye hardware, software aplicativo, middleware, parmetros, documentacin,
procedimientosyherramientasparaoperar,accederyutilizarlossistemasylosservicios.Lainformacin
importanteaconsiderareselnombre,nmerosdeversinydetallesdelicenciamiento.Unalneabasede
elementosdeconfiguracindebemantenerseparacadasistemayservicio,comounpuntodecontrolalcual
regresardespusderealizarcambios.
DS9.2Identificacinymantenimientodeelementosdeconfiguracin
Contarconprocedimientosenordenpara:
Identificarelementosdeconfiguracinysusatributos
Registrarelementosdeconfiguracinnuevos,modificadosyeliminados
Identificar y mantener las relaciones entre los elementos de configuracin y el repositorio de
configuraciones.
Actualizarloselementosdeconfiguracinexistentesenelrepositoriodeconfiguraciones.
Prevenir la inclusin de software noautorizado Estos procedimientos deben brindar una adecuada
autorizacinyregistrodetodaslasaccionessobreelrepositoriodeconfiguracinyestarintegradosdeforma
apropiadaconlosprocedimientosdeadministracindecambiosyadministracindeproblemas.
DS9.3Revisindeintegridaddelaconfiguracin
Revisaryverificardemaneraregular,utilizandocuandoseanecesarioherramientasapropiadas,elestatusde
loselementosdeconfiguracinparaconfirmarlaintegridaddelaconfiguracindedatosactualehistricay
para comparar con la situacin actual. Revisar peridicamente contra la poltica de uso de software, la
existenciadecualquiersoftwarepersonalonoautorizadodecualquierinstanciadesoftwareporencimadelos
acuerdosdelicenciamientoactuales.Loserroresylasdesviacionesdebenreportarse,atenderseycorregirse.
DS10Administracindeproblemas
2
8
DS10.1Identificacinyclasificacindeproblemas
Implementar procesos para reportar y clasificar problemas que han sido identificados como parte de la
administracindeincidentes.Lospasosinvolucradosenlaclasificacindeproblemassonsimilaresalos
pasosparaclasificarincidentes;sondeterminarlacategora,impacto,urgenciayprioridad.Losproblemas
deben categorizarse de manera apropiada en grupos o dominios relacionados (por ejemplo, hardware,
software,softwaredesoporte).Estosgrupospuedencoincidirconlasresponsabilidadesorganizacionaleso
conlabasedeusuariosyclientes,ysonlabaseparaasignarlosproblemasalpersonaldesoporte.
DS10.2Rastreoyresolucindeproblemas
Elsistemadeadministracindeproblemasdebemantenerpistasdeauditoriaadecuadasquepermitanrastrear,
analizarydeterminarlacausarazdetodoslosproblemasreportadosconsiderando:
Todosloselementosdeconfiguracinasociados
Problemaseincidentessobresalientes
Errores conocidos y sospechados Identificar e iniciar soluciones sostenibles indicando la causa raz,
incrementandolassolicitudesdecambiopormediodelprocesodeadministracindecambiosestablecido.
Entodo el proceso de resolucin, la administracin de problemas debe obtener reportes regulares de la
administracindecambiossobreelprogresoenlaresolucindeproblemasoerrores.Laadministracinde
problemasdebemonitorearelcontinuoimpactodelosproblemasyerroresconocidosenlosserviciosalos
usuarios. En caso de que el impacto se vuelva severo, la administracin de problemas debe escalar el
problema,talvezrefirindoloauncomitdeterminadoparaincrementar laprioridaddelasolicituddel
cambio (RFC) o para implementar un cambio urgente, lo que resulte ms pertinente. El avance de la
resolucindeunproblemadebesermonitoreadocontralosSLAs.
DS10.3Cierredeproblemas
Disponerdeunprocedimientoparacerrarregistrosdeproblemasyaseadespusdeconfirmarlaeliminacin
exitosa del error conocido o despus de acordar con el negocio cmo manejar el problema de manera
alternativa.
DS10.4Integracindelasadministracionesdecambios,configuracinyproblemas
Paragarantizarunaadecuadaadministracindeproblemaseincidentes,integrarlosprocesosrelacionadosde
administracin de cambios, configuracin y problemas. Monitorear cunto esfuerzo se aplica en apagar
fuegos,enlugardepermitirmejorasalnegocioy,enloscasosqueseannecesarios,mejorarestosprocesos
paraminimizarlosproblemas.
DS11Administracindelainformacin
DS11.1Requerimientosdelnegocioparaadministracindedatos
Establecermecanismosparagarantizarqueelnegociorecibalosdocumentosoriginalesqueespera,quese
procesetodalainformacinrecibidaporpartedelnegocio,quesepreparenyentreguentodoslosreportesde
salidaquerequiereelnegocioyquelasnecesidadesdereinicioyreprocesoestnsoportadas.
DS11.2Acuerdosdealmacenamientoyconservacin
Definireimplementarprocedimientosparaelarchivoyalmacenamientodelosdatos,demaneraquelosdatos
permanezcan accesibles y utilizables. Los procedimientos deben considerar los requerimientos de
recuperacin,larentabilidad,laintegridadcontinuaylosrequerimientosdeseguridad.Paracumplirconlos
requerimientoslegales,regulatoriosydenegocio,establecermecanismosdealmacenamientoyconservacin
de documentos, datos, archivos, programas, reportes y mensajes (entrantes y salientes), as como la
informacin(claves,certificados)utilizadaparaencripcinyautenticacin.
DS11.3Sistemadeadministracindelibrerasdemedios
Definir e implementar procedimientos para mantener un inventario de medios en sitio y garantizar su
integridadysuuso.Losprocedimientosdebenpermitirlarevisinoportunayelseguimientodecualquier
discrepanciaqueseperciba.
2
9
DS11.4Eliminacin
Definireimplementarprocedimientosparaprevenirelaccesoadatossensitivosyalsoftwaredesdeequiposo
mediosunavezquesoneliminadosotransferidosparaotrouso.Dichosprocedimientosdebengarantizarque
losdatosmarcadoscomoborradosodesechadosnopuedanrecuperarse.
DS11.5Respaldoyrestauracin
Definireimplementarprocedimientosderespaldoyrestauracindelossistemas,datosyconfiguracionesque
estnalineadosconlosrequerimientosdelnegocioyconelplandecontinuidad.Verificarelcumplimientode
losprocedimientosderespaldoyverificarlacapacidadyeltiemporequeridoparatenerunarestauracin
completayexitosa.Probarlosmediosderespaldoyelprocesoderestauracin.
DS11.6Requerimientosdeseguridadparalaadministracindedatos
Establecer mecanismos para identificar y aplicar requerimientos de seguridad aplicables a la recepcin,
procesamiento, almacenamiento fsico y entrega de informacin y de mensajes sensitivos. Esto incluye
registrosfsicos,transmisionesdedatosycualquierinformacinalmacenadafueradelsitio.
DS12Administracindelambientefsico
DS12.1Seleccinydiseodelcentrodedatos
DefiniryseleccionarloscentrosdedatosfsicosparaelequipodeTIparasoportarlaestrategiadetecnologa
ligadaalaestrategiadelnegocio.Estaseleccinydiseodelesquemadeuncentrodedatosdebetomaren
cuentaelriesgoasociadocondesastresnaturalesycausadosporelhombre.Tambindebeconsiderarlas
leyesyregulacionescorrespondientes,talescomoregulacionesdeseguridadydesaludeneltrabajo.
DS12.2Medidasdeseguridadfsica
Definir e implementar medidas de seguridad fsicas alineadas con los requerimientos del negocio. Las
medidasdebenincluir,peronolimitarsealesquemadelpermetrodeseguridad,delaszonasdeseguridad,la
ubicacin deequipocrtico ydelas reas de envoyrecepcin. Enparticular, mantenga unperfil bajo
respecto a la presencia de operaciones crticas de TI. Deben establecerse las responsabilidades sobre el
monitoreoylosprocedimientosdereporteyderesolucindeincidentesdeseguridadfsica.
DS12.3AccesoFsico
Definireimplementarprocedimientosparaotorgar,limitaryrevocarelaccesoalocales,edificiosyreasde
acuerdoconlasnecesidadesdelnegocio,incluyendolasemergencias.Elaccesoalocales,edificiosyreas
debejustificarse,autorizarse,registrarseymonitorearse.Estoaplicaparatodaslaspersonasqueaccedanalas
instalaciones,incluyendopersonal,clientes,proveedores,visitantesocualquiertercerapersona.
DS12.4Proteccincontrafactoresambientales
Diseareimplementarmedidasdeproteccincontrafactoresambientales.Debeninstalarsedispositivosy
equipoespecializadoparamonitorearycontrolarelambiente.
DS12.5Administracindeinstalacionesfsicas
Administrarlasinstalaciones,incluyendoelequipodecomunicacionesydesuministrodeenerga,deacuerdo
conlasleyesylosreglamentos,losrequerimientostcnicosydelnegocio,lasespecificacionesdelproveedor
yloslineamientosdeseguridadysalud.
DS13Administracindeoperaciones
DS13.1Procedimientoseinstruccionesdeoperacin
Definir,implementarymantenerprocedimientosestndarparaoperacionesdeTIygarantizarqueelpersonal
deoperacionesestfamiliarizadocontodaslastareasdeoperacinrelativasaellos.Losprocedimientosde
operacin deben cubrir los procesos de entrega de turno (transferencia formal de la actividad, estatus,
actualizaciones, problemas de operacin, procedimientos de escalamiento, y reportes sobre las
responsabilidadesactuales)paragarantizarlacontinuidaddelasoperaciones.
3
0
DS13.2Programacindetareas
Organizar laprogramacin detrabajos,procesosytareas enlasecuencia mseficiente, maximizandoel
rendimiento y la utilizacin para cumplir con los requerimientos del negocio. Deben autorizarse los
programasinicialesascornoloscambiosaestosprogramas.Losprocedimientosdebenimplementarsepara
identificar,investigaryaprobarlassalidasdelosprogramasestndaragendados.
DS13.3MonitoreodelainfraestructuradeTI
DefinireimplementarprocedimientosparamonitorearlainfraestructuradeTIyloseventosrelacionados.
Garantizarqueenlosregistrosdeoperacinsealmacenasuficienteinformacincronolgicaparapermitirla
reconstruccin,revisinyanlisisdelassecuenciasdetiempodelasoperacionesydelasotrasactividades
quesoportanoqueestnalrededordelasoperaciones.
DS13.4Documentossensitivosydispositivosdesalida
Establecer resguardos fsicos, prcticas de registro y administracin de inventarios adecuados sobre los
activosdeTImssensitivostalescomoformas,instrumentosnegociables, impresoras deusoespecial o
dispositivosdeseguridad.
DS13.5Mantenimientopreventivodelhardware
Definireimplementarprocedimientosparagarantizarelmantenimientooportunodelainfraestructurapara
reducirlafrecuenciayelimpactodelasfallasodeladisminucindeldesempeo.
DOMINIO:MONITOREARYEVALUAR(ME)
ME1MonitorearyevaluareldesempeodeTI
ME1.1EnfoquedelMonitoreo
ME1.2Definicinyrecoleccindedatosdemonitoreo
ME1.3Mtododemonitoreo
ME1.4Evaluacindeldesempeo
ME1.5Reportesalconsejodirectivoyaejecutivos
ME1.6Accionescorrectivas
ME2Monitorearyevaluarelcontrolinterno
ME2.1Monitorearelmarcodetrabajodecontrolinterno
ME2.2RevisionesdeAuditoria
ME2.3Excepcionesdecontrol
ME2.4Autoevaluacindecontrol
ME2.5Aseguramientodelcontrolinterno
ME2.6Controlinternoparaterceros
ME3Garantizarelcumplimientoregulatorio
ME3.1IdentificarlasleyesyregulacionesconimpactopotencialsobreTI
ME3.2Optimizarlarespuestaarequerimientosregulatorios
ME3.3Evaluacindelcumplimientoconrequerimientosregulatorios
ME3.4Aseguramientopositivodelcumplimiento
ME3.5Reportesintegrados
ME4ProporcionargobiernodeTI
ME4.1EstablecerunmarcodetrabajodegobiernoparaTI
ME4.2Alineamientoestratgico
ME4.3Entregadevalor
ME4.4Administracinderecursos
3
1
ME4.5Administracinderiesgos
ME4.6Medicindeldesempeo
ME4.7Aseguramientoindependiente
DOMINIO:MONITOREARYEVALUAR(ME)
ME1MonitorearyevaluareldesempeodeTI
ME1.1EnfoquedelMonitoreo
Garantizarquelagerenciaestablezcaunmarcodetrabajodemonitoreogeneralyunenfoquequedefinanel
alcance,lametodologayelprocesoaseguirparamonitorearlacontribucindeTIalosresultadosdelos
procesosdeadministracindeprogramasydeadministracindelportafolioempresarialyaquellosprocesos
quesonespecficosparalaentregadelacapacidadylosserviciosdeTI.Elmarcodetrabajosedebera
integrarconelsistemadeadministracindeldesempeocorporativo.
ME1.2Definicinyrecoleccindedatosdemonitoreo
GarantizarquelagerenciadeTI,trabajandoenconjuntoconelnegocio,definaunconjuntobalanceadode
objetivos, mediciones, metas y comparaciones de desempeo y que estas se encuentren acordadas
formalmenteconelnegocioyotrosinteresadosrelevantes.Losindicadoresdedesempeodeberanincluir:
Lacontribucinalnegocioqueincluya,peroquenoselimitea,lainformacinfinanciera
DesempeocontraelplanestratgicodelnegocioydeTI
Riesgoycumplimientodelasregulaciones
Satisfaccindelusuariointernoyexterno
ProcesosclavedeTIqueincluyandesarrolloyentregadelservicio
.Actividades orientadas a futuro, por ejemplo, la tecnologa emergente, la infraestructura re utilizable,
habilidades del personal de TI y del negocio. Se deben establecer procesos para recolectar informacin
oportunayprecisaparareportarelavancecontralasmetas.
ME1.3Mtododemonitoreo
Garantizarqueelprocesodemonitoreoimplanteunmtodo(ej.BalancedScorecard),quebrindeunavisin
sucintaydesdetodoslosngulosdeldesempeodeTIyqueseadaptealsistemademonitoreodelaempresa.
ME1.4Evaluacindeldesempeo
Comparar de forma peridica el desempeo contra las metas, realizar anlisis de la causa raz e iniciar
medidascorrectivaspararesolverlascausassubyacentes.
ME1.5Reportesalconsejodirectivoyaejecutivos
Proporcionar reportes administrativos para ser revisados por la alta direccin sobre el avance de la
organizacinhaciametasidentificadas,especficamenteentrminosdeldesempeodelportafolioempresarial
deprogramasdeinversinhabilitadosporTI,nivelesdeserviciodeprogramasindividualesylacontribucin
deTIaesedesempeo.Losreportesdeestatusdebenincluirelgradoenelquesehanalcanzadolosobjetivos
planeados,losentregablesobtenidos,lasmetasdedesempeoalcanzadasylosriesgosmitigados.Durantela
revisin,sedebeidentificarcualquierdesviacinrespectoaldesempeoesperadoysedebeniniciaryreportar
lasmedidasadministrativasadecuadas.
Identificareiniciarmedidascorrectivasbasadasenelmonitoreodeldesempeo,evaluacinyreportes.Esto
incluyeelseguimientodetodoelmonitoreo,delosreportesydelasevaluacionescon:
Revisin,negociacinyestablecimientoderespuestasadministrativas
Asignacinderesponsabilidadesporlacorreccin
4.0 Rastreodelosresultadosdelasaccionescomprometidas
5.0
3
2
ME2Monitorearyevaluarelcontrolinterno
ME2.1Monitorearelmarcodetrabajodecontrolinterno
Monitorear de forma continua el ambiente de control y el marco de control de TI. Se debe realizar la
evaluacin usando mejores prcticas de la industria y se debera utilizar benchmarking para mejorar el
ambienteyelmarcodetrabajodecontroldeTI.
ME2.2RevisionesdeAuditoria
MonitorearyreportarlaefectividaddeloscontrolesinternossobreTIpormedioderevisionesdeauditoria
incluyendo,porejemplo,elcumplimientodepolticasyestndares,seguridaddelainformacin,controlesde
cambiosycontrolesestablecidosenacuerdosdenivelesdeservicio.
ME2.3Excepcionesdecontrol
Registrar la informacin referente a todas las excepciones de control y garantizar que esto conduzca al
anlisisdelascausassubyacentesyalatomadeaccionescorrectivas.Lagerenciadeberadecidircules
excepcionessedeberancomunicaralindividuoresponsabledelafuncinyculesexcepcionesdeberanser
escaFadas.Lagerenciatambinesresponsabledeinformaralaspartesafectadas.
ME2.4Autoevaluacindecontrol
Evaluarlacompletitudyefectividaddeloscontrolesinternosdelaadministracindelosprocesos,polticasy
contratosdeTIpormediodeunprogramacontinuodeautoevaluacin.
ME2.5Aseguramientodelcontrolinterno
Obtener, segn sea necesario, aseguramiento adicional de la completitud y efectividad de los controles
internos pormedio de revisiones de terceros. Dichas revisiones pueden ser realizadas porla funcin de
cumplimientocorporativoo,asolicituddelagerencia,porauditoriainternaoporauditoresyconsultores
externosopororganismosdecertificacin.Sedebenverificarlasaptitudesdelosindividuosquerealicenla
auditoria,porej.UnAuditordeSistemasdeInformacinCertificadoTM(CISAporsussiglasenIngls)
debeasignarse.
ME2.6Controlinternoparaterceros
Determinarelestadodeloscontrolesinternosdecadaproveedorexternosdeservicios.Confirmarquelos
proveedores externos de servicios cumplan con los requerimientos legales y regulatorios y con las
obligaciones contractuales. Estopuedeserprovistoporunaauditoraexterna osepuedeobtener deuna
revisinporpartedeauditoriainternayporlosresultadosdeotrasauditorias.
Identificareiniciarmedidascorrectivasbasadasenlasevaluacionesyenlosreportesdecontrol.Estoincluye
elseguimientodetodaslasevaluacionesylosreportescon:
Larevisin,negociacinyestablecimientoderespuestasadministrativas
Laasignacinderesponsabilidadesparacorreccin(puedeincluirlaaceptacindelosriesgos)
Elrastreodelosresultadosdelasaccionescomprometidas
ME3Garantizarelcumplimientoregulatorio
ME3.1IdentificarlasleyesyregulacionesconimpactopotencialsobreTI
Definir e implantar un proceso para garantizar la identificacin oportuna de requerimientos locales e
internacionales legales, contractuales, de polticas yregulatorios relacionados con lainformacin, conla
prestacindeserviciosdeinformacinincluyendoserviciosdetercerosyconlafuncin,procesose
infraestructura de TI. Tomar en cuenta las leyes yreglamentos de comercio electrnico, flujode datos,
privacidad, controles internos, reportes financieros, reglamentos especficos de la industria, propiedad
intelectualyderechosdeautor,ademsdesaludyseguridad.
ME3.2Optimizarlarespuestaarequerimientosregulatorios
3
3
Revisaryoptimizarlaspolticas,estndaresyprocedimientosdeTIparagarantizarquelosrequisitoslegales
yregulatoriossecubrandeformaeficiente.
ME3.3Evaluacindelcumplimientoconrequerimientosregulatorios
Evaluardeformaeficienteelcumplimientodelaspolticas,estndaresyprocedimientosdeTI,incluyendo
losrequerimientoslegalesyregulatorios,conbaseenlasupervisindelgobiernodelagerenciadeTIydel
negocioylaoperacindeloscontrolesinternos.
ME3.4Aseguramientopositivodelcumplimiento
Definireimplantarprocedimientosparaobteneryreportarunaseguramientodelcumplimientoy,dondesea
necesario, que el propietario del proceso haya tomado las medidas correctivas oportunas para resolver
cualquier brecha decumplimiento.Integrar losreportes deavance yestadodel cumplimientodeTIcon
salidassimilaresprovenientesdeotrasfuncionesdenegocio
ME3.5Reportesintegrados
IntegrarlosreportesdeTIsobrecumplimientoregulatorioconlassalidassimilaresprovenientesdeotras
funcionesdelnegocio.
ME4ProporcionargobiernodeTI
ME4.1EstablecerunmarcodetrabajodegobiernoparaTI
Trabajar con el consejo directivo para definir yestablecer unmarco de trabajo para el gobierno de TI,
incluyendo liderazgo, procesos, roles y responsabilidades, requerimientos de informacin, y estructuras
organizacionalesparagarantizarquelosprogramasdeinversinhabilitadosporTIdelaempresaofrezcany
estn alineados con las estrategias y objetivos empresariales. El marco de trabajo debera proporcionar
vnculosclarosentrelaestrategiaempresarial,elportafoliodeprogramasdeinversioneshabilitadasporTI
queejecutanlaestrategia,losprogramasdeinversinindividualylosproyectosdenegocioydeTIque
forman los programas. El marco de trabajo debera definir una rendicin de cuentas y prcticas
incontrovertibles para evitar fallas de control interno y de supervisin. El marco de trabajo debera ser
consistenteconelambientecompletodecontrolempresarialyconlosprincipiosdecontrolgeneralmente
aceptadosyestarbasadoenelprocesoyenelmarcodecontroldeTI.
ME4.2Alineamientoestratgico
FacilitarelentendimientodelconsejodirectivoydelosejecutivossobretemasestratgicosdeTItalescomo
elroldeTI,caractersticaspropiasycapacidadesdelatecnologa.Garantizarqueexisteunentendimiento
compartidoentreel negocioylafuncindeTIsobrelacontribucinpotencial deTIalaestrategia del
negocio.AsegurarsedequeexistaunentendimientoclarodequeelvalordeTIsloseobtienecuandolas
inversiones habilitadas con TI se administran comoun portafolio de programas queincluyen el alcance
completodeloscambiosqueelnegociodeberealizarparaoptimizarelvalorprovenientedelascapacidades
quetieneTIparalograrlaestrategia.Trabajarconelconsejodirectivoparadefinireimplantarorganismosde
gobierno,talescomouncomitestratgico deTI,parabrindar unaorientacinestratgica alagerencia
respectoaTI,garantizandoasquetantolaestrategiacomolosobjetivossedistribuyanencascadahacialas
unidadesdenegocioyhacialasunidadesdeTIyquesedesarrollecertidumbreyconfianzaentreelnegocioy
TI.FacilitarlaalineacindeTIconelnegocioenloreferenteaestrategiayoperaciones,fomentandolaco
responsabilidadentreelnegocioyTIenlatomadedecisionesestratgicasyenlaobtencindelosbeneficios
provenientesdelasinversioneshabilitadasconTI.
ME4.3Entregadevalor
AdministrarlosprogramasdeinversinhabilitadosconTI,ascomootrosactivosyserviciosdeTI,para
asegurar que ofrezcan el mayor valor posible para apoyar la estrategia y los objetivos empresariales.
AsegurarsedequelosresultadosdenegocioesperadosdelasinversioneshabilitadasporTIyelalcance
completodelesfuerzorequeridoparalograresosresultadosestbienentendido,quesegenerencasosde
negociointegralesyconsistentes,yquelosapruebenlosinteresados,quelosactivosylasinversionesse
administrenalolargodelciclodevidaeconmico,yqueselleveacabounaadministracinactivadellogro
3
4
delosbeneficios,talescomolacontribucinanuevosservicios,gananciasdeeficienciayunmejorgradode
reaccinalosrequerimientosdelosclientes.Implantarunenfoquedisciplinadohacialaadministracinpor
portafolio,programayproyecto,enfatizandoqueelnegocioasumelapropiedaddetodaslasinversiones
habilitadasconTIyqueTIgarantiza laoptimizacin deloscostosporlaprestacin delosserviciosy
capacidadesdeTI.Asegurarquelasinversionesentecnologaestnestandarizadasamayorgradoposible
paraevitarelaumentoencostoycomplejidaddeunaproliferacindesolucionestcnicas.
ME4.4Administracinderecursos
Optimizar la inversin, uso y asignacin de los activos de TI por medio de evaluaciones peridicas,
garantizando que TI cuente con recursos suficientes, competentes y capaces para ejecutar los objetivos
estratgicos actuales yfuturosyseguirel ritmodelosrequerimientosdelnegocio.Ladireccin debera
implantarpolticasclaras,consistentesyreforzadassobrerecursoshumanosypolticasdesustitucinpara
garantizarquesesatisfaganlosrequerimientosderecursosdemaneraefectivayparaadaptarsealaspolticas
yestndaresdelaarquitectura.LainfraestructuradeTIsedebeevaluarperidicamenteparaasegurarqueest
estandarizadasiemprequeseaposibleyqueexistalainteroperabilidadsegnsearequiera.
ME4.5Administracinderiesgos
TrabajarenconjuntoconelconsejodirectivoparadefinirelnivelderiesgodeTIaceptableporlaempresa.
ComunicarestenivelderiesgohacialaorganizacinyacordarelplandeadministracinderiesgosdeTI.
Integrar las responsabilidades de administracin de riesgos en la organizacin, asegurando que tanto el
negociocomoTIevalenyreportenperidicamentelosriesgosasociadosconTIysuimpactoenelnegocio.
GarantizarquelagerenciadeTIhagaseguimientoalaexposicinalosriesgos,poniendoespecialatencinen
lasfallasydebilidadesdecontrolinternoydesupervisin,ascomosuimpactoactualypotencialenel
negocio.LaposicinderiesgoempresarialenTIdeberasertransparenteparatodoslosinteresados.
ME4.6Medicindeldesempeo
InformareldesempeorelevantedelportafoliodelosprogramasdeTIalconsejodirectivoyalosejecutivos
demaneraoportunayprecisa.Losinformesadministrativosquesedebenentregaralaaltadireccinparasu
revisindebenincluirelavancedelaempresahaciametasidentificadas.Losreportesdeestatusdebenincluir
el grado al cual se han logrado los objetivos planeados, entregables obtenidos, metas de desempeo
alcanzadasylosriesgosmitigados.Integrarlosinformesconsalidassimilaresdeotrasfuncionesdelnegocio.
Lasmedicionesdedesempeodeberanseraprobadasporlosinteresadosclave.Elconsejodirectivoylos
ejecutivosdeberancuestionarestosinformesdedesempeoylagerenciadeTIdeberatenerlaoportunidad
de explicar las desviaciones y los problemas de desempeo. Despus de la revisin, se deben iniciar y
controlarlasaccionesadministrativasapropiadas.
ME4.7Aseguramientoindependiente
Garantizarquelaorganizacinestablezcaymantengaunafuncincompetenteyquecuenteconelpersonal
adecuado y/o busque servicios de aseguramiento externo para proporcionar al consejo directivo esto
ocurrirprobablementeatravsdeuncomitdeauditoriaaseguramientoindependienteyoportunosobre
elcumplimientoquetieneTIrespectoasuspolticas,estndaresyprocedimientos,ascomoconlasprcticas
generalmenteaceptadas.
3
5

Cobit

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Cobit

Uploaded by

Copyright:

Available Formats

CLASENo.

Autor: Ing. Edward Crdenas

Autor: Ing. Edward Crdenas

Autor: Ing. Edward Crdenas

Autor: Ing. Edward Crdenas

Autor: Ing. Edward Crdenas

Autor: Ing. Edward Crdenas

Autor: Ing. Edward Crdenas

Autor: Ing. Edward Crdenas

Autor: Ing. Edward Crdenas

Autor: Ing. Edward Crdenas

Autor: Ing. Edward Crdenas

Autor: Ing. Edward Crdenas

Autor: Ing. Edward Crdenas

Autor: Ing. Edward Crdenas

Autor: Ing. Edward Crdenas

Autor: Ing. Edward Crdenas

Autor: Ing. Edward Crdenas

Autor: Ing. Edward Crdenas

Autor: Ing. Edward Crdenas

Autor: Ing. Edward Crdenas

Autor: Ing. Edward Crdenas

Autor: Ing. Edward Crdenas

Autor: Ing. Edward Crdenas

Autor: Ing. Edward Crdenas

Autor: Ing. Edward Crdenas

Autor: Ing. Edward Crdenas

Autor: Ing. Edward Crdenas

Autor: Ing. Edward Crdenas

Autor: Ing. Edward Crdenas

Autor: Ing. Edward Crdenas

Autor: Ing. Edward Crdenas

Autor: Ing. Edward Crdenas

Autor: Ing. Edward Crdenas

Autor: Ing. Edward Crdenas

Autor: Ing. Edward Crdenas

You might also like