ANLISIS COBIT

Entregar y dar soporte

DS1 Definir y administrar los Niveles de Servicio

DS1.1 Marco de Trabajo de la Administracin de los Niveles de Servicio DS1.2 Definicin de Servicios organizacin poseecon de acuerdos manera formal la administracin La empresa no cuenta de niveles de
de niveles ya deque servicio entrede elinformacin cliente y el de operacin, el sistema esprestador restringido. servicio. De modo que se tiene de manera definida los DS1.3 Acuerdos de Niveles de Servicio La empresa no cuenta conla unejecucin monitoreo y reporte pasos a realizar para de cada del proceso cumplimiento de los niveles de servicio. referente a TI. La empresa no cuenta con un catlogo o portafolios de DS1.4 Acuerdos de Niveles de Operacin La empresa no si cuenta con una revisin de los acuerdos servicios, pero cuentan con manuales que definen los de La distribuidora tiene nicamente niveles de niveles de servicio y de los contratos. servicios de TI con respecto a los definido servicioslos del negocio. servicio para todos los procesos de TI, tiene DS1.5 Monitoreo y Reporte del Cumplimento depero los Niveles de Servicio impedimentos con respecto a los convenios de SLA dentro de la organizacin, pues son nicamente usuarios de TI.

DS1.6 Revisin de los Acuerdos de Niveles de Servicio y de los Contratos

Evaluacin de modelo de madurez

DS1 DS1.1 DS1.2 DS1.3 DS1.4 DS1.5 DS1.6 ACTIVIDAD
Marco de Trabajo de la Administracin de los Niveles de Servicio Definicin de Servicios Acuerdos de Niveles de Servicio Acuerdos de Niveles de Operacin Monitoreo y Reporte del Cumplimento de los Niveles de Servicio Revisin de los Acuerdos de Niveles de Servicio y de los Contratos TOTAL

PUNTUACIN 3 2 0 0 0 0 5

Evaluacin de modelo de madurez del DS1 = 1 (Inicial / Ad Hoc) Inicial / Ad Hoc Cuando Hay conciencia de la necesidad de administrar los niveles de servicio, pero el proceso es informal y reactivo. La responsabilidad y la rendicin de cuentas sobre para la definicin y la administracin de servicios no est definida. Si existen las medidas para medir el desempeo son solamente cualitativas con metas definidas de forma imprecisa. La notificacin es informal, infrecuente e inconsistente.

DS2 Administrar los Administrar los Servicios de Terceros

DS2.1 Identificacin de Todaslos lasantecedentes Relaciones con Proveedores La empresa verifica de los proveedores
antes de su contratacin, una vez contratado la empresa llega a un acuerdo lo cual se rige a sobre la confidencialidad, La gerencia un proceso de monitoreo la prestacin DS2.2 Gestin de Relaciones con Proveedores garanta, penalizaciones. de servicios terceros, con elprestados fin de por asegurar el En la empresa de todos los servicios terceros cumplimiento de los acuerdos del contrato, este son propiamente identificados y categorizado de proceso acuerdo se al DS2.3 Administracin de Riesgos del Proveedor realiza deservicio manera informal. La empresa no cuenta una gestin relaciones conlos tipo de que con brinda y las de relaciones con proveedores. proveedores son documentadas de manera formal.

DS2.4 Monitoreo del Desempeo del Proveedor

Evaluacin de modelo de madurez

DS2 DS2.1 DS2.2 DS2.3 DS2.4 ACTIVIDAD
Identificacin de Todas las Relaciones con Proveedores Administracin de Riesgos del Proveedor Acuerdos de Niveles de Servicio Monitoreo del Desempeo del Proveedor

PUNTUACIN 3 0 2 2 7

TOTAL

Evaluacin de modelo de madurez del DS2= 2 (Repetible pero Intuitivo)

Repetible pero Intuitivo Cuando el proceso de supervisin de los proveedores de servicios de terceros, de los riesgos asociados y de la prestacin de servicios es informal. Se utiliza un contrato pro-forma con trminos y condiciones estndares del proveedor (por ejemplo, la descripcin de servicios que se prestarn). Los reportes sobre los servicios existen, pero no apoyan los objetivos del negocio.

DS3 Administrar el Desempeo y la Capacidad

DS3.1 Planeacin del Desempeo y la Capacidad DS3.2 Capacidad y Desempeo Actual toma la medidas cuando el desempeo La organizacin empresa realiza revisin del desempeo y de la
los recursos de TI recursos no est en el Tecnologas nivel esperado. gerencia capacidad de los de de La Informacin La empresa ejecuta la proceso revisin de de la capacidad y La gerencia realiza un que asegure que el toma decisiones sobre los planes contingencia DS3.3 Capacidad y Desempeo Futuros de manera informal. desempeo dede TI TI y lo clasifica segn el desempeo de los losrecursos recursos sea continuamente establecidos.de nivel de magnitud de las dao, para determinar el recurso de de monitoreado y que excepciones sean si reportadas TI es apropiado para el uso. La organizacin realiza un preveo DS3.4 Disponibilidad de de TI sobre el desempeo y manera oportuna y Recursos completa. capacidad de todos los recursos de TI para identificar y minimizar los riesgos de interrupciones futuras.

DS3.5 Monitoreo y Reporte

Evaluacin de modelo de madurez

DS3 DS3.1 DS3.2 DS3.3 DS3.4 DS3.5 ACTIVIDAD
Planeacin del Desempeo y la Capacidad

PUNTUACIN 2 2 2 2 2 10

Capacidad y Desempeo Actual Capacidad y Desempeo Futuros

Disponibilidad de Recursos de TI

Monitoreo y Reporte
TOTAL

Evaluacin de modelo de madurez del DS3= 3 (Definido) Definido Cuando los requerimientos de desempeo y capacidad estn definidos a lo largo del ciclo de vida del sistema. Hay mtricas y requerimientos de niveles de servicio bien definidos, que pueden utilizarse para medir el desempeo operacional. Los pronsticos de la capacidad y el desempeo se modelan por medio de un proceso definido. Los reportes se generan con estadsticas de desempeo. Los problemas relacionados al desempeo y a la capacidad siguen siendo susceptibles a ocurrir y su resolucin sigue consumiendo tiempo. A pesar de los niveles de servicio publicados, los usuarios y los clientes pueden sentirse escpticos acerca de la capacidad del servicio.

DS4 Garantizar la Continuidad del Servicio

DS4.6 delde Plan de Continuidad DS4.1 Entrenamiento Marco de Trabajo Continuidad de TI de TI DS4.7 del Plan dede Continuidad de TI DS4.2 Distribucin Planes de Continuidad TI
La organizacin no cuenta con un marco almacenamiento empresa no no realiza un con entrenamiento del plan de La organizacin cuenta un de trabajo de En la organizacin no se practican planes de continuidad respaldo fuera lasla instalaciones. continuidad de TI. continuidad de de TI. La distribucin de informacin seServicios distribuye solo al DS4.8 Recuperacin y Reanudacin de los TI no en caso del surgimiento de algn riesgo, por lo de tanto DS4.3 Recursos Crticos de TI personal autorizado mantenindose de manera segura empresa nono realiza pruebas del plan de continuidad de La empresa realiza revisiones post reanudacin organizacin no cuenta con planes de continuidad de TI. posee un mantenimiento de plan de continuidad de TI evitando sualgn divulgacin informalmente, pero no no se TI para aseguramiento de los sistemas de TI,esto ya que despus de desastre. DS4.9 de Respaldos Fuera las DS4.4 Almacenamiento Mantenimiento del Plan decon Continuidad de TIInstalaciones aplica para el plan de continuidad. cuentan con dicho plan. La organizacin no cuenta un plan de de reanudacin y La organizacin recursos recuperacin de no loscuenta servicios de TI crticos de TI.

DS4.10 Revisin Post Reanudacin DS4.5 Pruebas del Plan de Continuidad de TI

Evaluacin de modelo de madurez

DS4 DS4.1 DS4.2 DS4.3 DS4.4 DS4.5 DS4.6 DS4.7 DS4.8 DS4.9 DS4.10 ACTIVIDAD
Marco de Trabajo de Continuidad de TI Planes de Continuidad de TI Recursos Crticos de TI Mantenimiento del Plan de Continuidad de TI Pruebas del Plan de Continuidad de TI Entrenamiento del Plan de Continuidad de TI Distribucin del Plan de Continuidad de TI Recuperacin y Reanudacin de los Servicios de TI Almacenamiento de Respaldos Fuera de las Instalaciones Revisin Post Reanudacin TOTAL

PUNTUACIN 0 0 0 0 0 0 2 0 0 0 2

Evaluacin de modelo de madurez del DS4= 0 (No existe)

No Existente Cuando No hay entendimiento de los riesgos, vulnerabilidades y amenazas a las operaciones de TI o del impacto en el negocio por la prdida de los servicios de TI. No se considera que la continuidad en los servicios deba tener atencin de la gerencia.

DS5 Garantizar la Seguridad de los Sistemas

DS5.7 de lade tecnologa de seguridad DS5.1 Proteccin Administracin la seguridad de TI

La empresa realiza una administracin de las dentro cuentas de Las tcnicas de seguridad de la red utilizadas de la la seguridad se encuentra al nivel de los requerimientos del algn tipo de sabotaje que pueda surgir por externas a la usuario, identificando claramente el rol que cumple cada organizacin noidentidad estn bien negocio. La Empresa no cuenta conestablecidas un plan formal de seguridad de organizacin. DS5.9 deteccin y correccin de software malicioso DS5.3 Prevencin, Administracin de perfil de usuario. La empresa cuenta con una administracin de llaves TI, pero queno se encuentra acorde con la y estructura y La realiza pruebas de vigilancia monitoreo a Losorganizacin intercambios de datos sensibles son propensos a criptogrficas. usuarios delas TI cuentas de usuario de TI para detectar travs de cualquier sabotaje informtico externo. La organizacin establece procedimientos para asegurar DS5.10 Seguridad de la red DS5.4 Administracin de cuentas del usuario Se realizaninusuales las prevenciones y deteccin de cualquier actividades o anormales. La organizacin realiza la revisincon de los los privilegios incidentes de acciones oportunas relacionadas programa malicioso que puede perjudicar la integridad de la seguridad realiza la toma decisiones a travs de la acceso de y los usuarios de TI de manera formal. informacin del buen funcionamiento de las TI. DS5.11 Intercambio de datos sensitivosde la seguridad DS5.5 Pruebas, vigilancia y monitoreo persona encargada.

DS5.8 dede llaves DS5.2Administracin PlanLa de seguridad de TI criptogrficas organizacin dirige la seguridad dees TI competente de tal manera que tecnologa seguridad de las TI contra

DS5.6 Definicin del incidente de seguridad

Evaluacin de modelo de madurez

DS5 DS5.1 DS5.2 DS5.3 DS5.4 DS5.5 DS5.6 DS5.7 DS5.8 DS5.9 DS5.10 DS5.11 ACTIVIDAD
Administracin de la seguridad de TI Plan de seguridad de TI Administracin de identidad Administracin de cuentas del usuario Pruebas, vigilancia y monitoreo de la seguridad Definicin del incidente de seguridad Proteccin de la tecnologa de seguridad

PUNTUACIN 2 2 3 3 2 2 2 0 2 2 0 20

Evaluacin de modelo de madurez del DS5= 3 (Definido)

Administracin de llaves criptogrficas Prevencin, deteccin y correccin de software malicioso Seguridad de la red Intercambio de datos sensitivos TOTAL

Definido
Cuando existe conciencia sobre la seguridad y sta es promovida por la gerencia. Los procedimientos de seguridad de TI estn definidos y alineados con la poltica de seguridad de TI. Las responsabilidades de la seguridad de TI estn asignadas y entendidas, pero no continuamente implementadas. Existe un plan de seguridad de TI y existen soluciones de seguridad motivadas por un anlisis de riesgo. Los reportes no contienen un enfoque claro de negocio. Se realizan pruebas de seguridad adecuadas (por ejemplo, pruebas contra intrusos). Existe entrenamiento en seguridad para TI y para el negocio, pero se programa y se comunica de manera informal.

DS6 Identificar y Asignar Costos

DS6.1 Definicin de Servicios
La empresa no realiza una modelacin de costos y cargos

DS6.2 Contabilizacin de TI una definicin En base a no los anteriores puntos de se los determina La empresa realiza servicios que la
empresa no realiza un mantenimiento del modelo de costos. La empresa no realiza una contabilizacin ya que la DS6.3 Modelacin de costos y cargos tampoco realiza una definicin de servicios.

DS6.4 Mantenimiento del modelo de costos

Evaluacin de modelo de madurez

DS6 DS6.1 DS6.2 DS6.3 DS6.4 ACTIVIDAD
Administracin de la seguridad de TI Plan de seguridad de TI Administracin de identidad Mantenimiento del modelo de costos TOTAL

PUNTUACIN 0 0 0 0 0

Evaluacin de modelo de madurez del DS6= 0 (No Existente) No Existente Cuando hay una completa falta de cualquier proceso reconocible de identificacin y distribucin de costos en relacin a los servicios de informacin brindados. La organizacin no reconoce incluso que hay un problema que atender respecto a la contabilizacin de costos y que no hay comunicacin respecto a este asunto.

DS7 Educar y Entrenar a los Usuarios

DS7.1 Identificacin de necesidades de entrenamiento y educacin
AL empresa identifica establece los procedimientos para DS7.2 Imparticin de entrenamiento educacin identificar las necesidades y de entrenamiento de todo el personal que hace uso de TI, teniendo en cuenta el rea en el sedel desempean DS7.3 Evaluacin entrenamiento Lacual organizacin imparte el recibido entrenamiento correspondiente

con tutores capacitados al personal tomando registro de asistencias informalmente La organizacin realiza la evaluacin al personal teniendo en cuenta que estos contribuyan con los planes de sesiones de entrenamiento futuras de manera informal.

DS7

ACTIVIDAD

PUNTUACIN

DS7.1 DS7.2 DS7.3

Identificacin de necesidades de entrenamiento y educacin

Imparticin de entrenamiento y educacin Evaluacin del entrenamiento recibido TOTAL

2 2 2

Evaluacin de modelo de madurez del DS7= 3 (Definido) Definido Cuando el programa de entrenamiento y educacin se institucionaliza y comunica, y los empleados y gerentes identifican y documentan las necesidades de entrenamiento. Los procesos de entrenamiento y educacin se estandarizan y documentan. Para soportar el programa de entrenamiento y educacin, se establecen presupuestos, recursos, instructores e instalaciones. Se imparten clases formales sobre conducta tica y sobre conciencia y prcticas de seguridad en los sistemas. La mayora de los procesos de entrenamiento y educacin son monitoreados, pero no todas las desviaciones son susceptibles de deteccin por parte de la gerencia. El anlisis sobre problemas de entrenamiento y educacin solo se aplica de forma ocasional.

DS8 Administrar la mesa de servicio y los Incidentes

DS8.1 Mesa de Servicios DS8.2 Registro de consultas de clientes DS8.3 Escalamiento de Incidentes

La empresa no cuenta temporalmente con una mesa de La empresa realiza este proceso pero no cuenta con una servicios. mesa de servicio.

La empresa no realiza un registro de consultas de clientes. La organizacin no realiza este proceso pues no cuenta unade mesa de servicios La organizacin no cuenta con un escalamiento de incidentes DS8.4 con Cierre incidentes

DS8.5 Anlisis de tendencias

que pase a travs de la mesa de servicios, pero realiza dicho proceso informalmente.

Evaluacin de modelo de madurez

DS8

ACTIVIDAD Mesa de Servicios Registro de consultas de clientes Escalamiento de Incidentes Cierre de incidentes Anlisis de tendencias TOTAL

PUNTUACIN

DS8.1 DS8.2 DS8.3 DS8.4 DS8.5

0 0 2 0 0 2

Evaluacin de modelo de madurez del DS8= 0 (No Existente)

No Existente Cuando no hay soporte para resolver problemas y preguntas de los usuarios. Hay una completa falta de procesos para la administracin de incidentes. La organizacin no reconoce que hay un problema que atender.

DS9 Administrar la Configuracin

DS9.1 Repositorio y lnea base de configuracin DS9.2 Identificacin y mantenimiento de elementos de configuracin La organizacin no posee un repositorio y lnea de base de
configuracin.

DS9.3 Revisin de integridad de la ningn configuracin La organizacin no realiza tipo de identificacin y

mantenimiento de elementos de configuracin, ya que no La empresa no posee la revisin de integridad de la posee repositorios configuracin.

Evaluacin de modelo de madurez

DS9 DS9.1 DS9.2 DS9.3

ACTIVIDAD
Repositorio y lnea base de configuracin Identificacin y mantenimiento de elementos de configuracin Revisin de integridad de la configuracin TOTAL

PUNTUACIN 0 0 0 0

Evaluacin de modelo de madurez del DS9= 0 (No Existente) No Existente Cuando la gerencia no valora los beneficios de tener un proceso implementado que sea capaz de reportar y administrar las configuraciones de la infraestructura de TI, tanto para configuraciones de hardware como de software.

DS10 Administracin de Problemas

DS10.1 Identificacin y clasificacin de problemas
Se realiza un cierre de problemas informal.

DS10.2 Rastreo y resolucin de problemas

La organizacin no realiza una identificacin y clasificacin de La empresa no realiza una integracin de la administracin problemas de configuracin problemas. DS10.3 Cierre de problemas La cambios, empresa no realiza un y rastreo y resolucin de problemas (la empresa realiza una solucin de problemas informal al momento enla el administracin que suceden) de cambios, configuracin y DS10.4 Integracin de

problemas

Evaluacin de modelo de madurez

DS10 DS10.1 DS10.2 DS10.3 DS10.4 ACTIVIDAD
Identificacin y clasificacin de problemas Rastreo y resolucin de problemas Cierre de problemas Integracin de la administracin de cambios, configuracin y problemas TOTAL

PUNTUACIN 0 2 0 0 2

Evaluacin de modelo de madurez del DS10= 0 (No Existente) No Existente Cuando No hay conciencia sobre la necesidad de administrar problemas, y no hay diferencia entre problemas e incidentes. Por lo tanto, no se han hecho intentos por identificar la causa raz de los incidentes.

DS11 Administracin de Datos

DS11.1 Requerimientos del negocio para administracin de datos
La Empresa realiza un proceso de entrada de datos que DS11.2 Acuerdos de almacenamiento y conservacin

ayuda a minimizar los errores y las omisiones de informacin Actualmente lade empresa ha realizado la eliminacin de asegurndose detectarno y corregir errores. DS11.5 Respaldo y restauracin informacin sensitiva que ha sido borrada . medios DS11.3 sistema de administracin de libreras de La asegura que la no informacin sea un procesada La Empresa organizacin actualmente cuenta con plan de y almacenada apropiadamente por el personal autorizado . respaldo y restauracin de datos. DS11.4 Eliminacin La empresa no realiza un inventario de los medios de La empresa no realiza para la almacenamiento de larequerimientos informacin, de conseguridad la excepcin del administracin de aseguramiento de datos. la integridad de la informacin. DS11.5 Respaldo y restauracin

DS11.6 Requerimientos de seguridad para la administracin de datos

Evaluacin de modelo de madurez

DS11 DS11.1 DS11.2 DS11.3 DS11.4 DS11.5 DS11.5 ACTIVIDAD
Requerimientos del negocio para administracin de datos Acuerdos de almacenamiento y conservacin sistema de administracin de libreras de medios Eliminacin Respaldo y restauracin Requerimientos de seguridad para la administracin de datos TOTAL

PUNTUACIN 3 2 0 0 0 0 5

Evaluacin de modelo de madurez del DS11= 1 (Inicial / Ad Hoc) Inicial / Ad Hoc Cuando la organizacin reconoce la necesidad de una correcta administracin de los datos. Hay un mtodo adecuado para especificar requerimientos de seguridad en la administracin de datos, pero no hay procedimientos implementados de comunicacin formal. No se lleva a cabo entrenamiento especfica sobre administracin de los datos. La responsabilidad sobre la administracin de los datos no es clara. Los procedimientos de respaldo y recuperacin y los acuerdos sobre desechos estn en orden.

DS12 Administracin del Ambiente Fsico

DS12.1 Seleccin y diseo del centro de datos DS12.2 Medidas de seguridad fsica La Organizacin cuenta con un lugar acondicionado y que
La empresa no leyes cuenta algn dispositivo cumple con las y actualmente regulacionescon correspondientes para especializado de proteccin contra factores ambientales. las TI en relacin desastres naturales o ambientales. DS12.3 Acceso fsico La empresa sigue cuentaciertas con medidas fsica de con La empresa polticas de de seguridad administracin respecto a las TI y a los usuarios de TI de manera instalaciones fsicas para salvaguardar las TI informal. y a los DS12.4 Proteccin contra factores ambientales usuarios de TI. La organizacin cuenta con seguridad para el acceso fsico de personas internas y externas a la organizacin.

DS12.5 Administracin de instalaciones fsicas

Evaluacin de modelo de madurez

DS12 DS12.1 DS12.2 DS12.3 DS12.4 DS12.5 ACTIVIDAD
Seleccin y diseo del centro de datos Medidas de seguridad fsica Acceso fsico Proteccin contra factores ambientales Administracin de instalaciones fsicas TOTAL

PUNTUACIN 3 2 2 0 2 7

Evaluacin de modelo de madurez del DS12= 2 (Repetible pero Intuitivo)

Repetible pero Intuitivo Cuando los controles ambientales se implementan y monitorean por parte del personal de operaciones. La seguridad fsica es un proceso informal, realizado por un pequeo grupo de empleados con alto nivel de preocupacin por asegurar las instalaciones fsicas. Los procedimientos de mantenimiento de instalaciones no estn bien documentados y dependen de las buenas prcticas de unos cuantos individuos. Las metas de seguridad fsica no se basan en estndares formales y la gerencia no se asegura de que se cumplan los objetivos de seguridad.

DS13 Administracin de Operaciones

DS13.1 Procedimientos e instrucciones de operacin DS13.2 Programacin tareas El personal de de TI est familiarizado con los procesos de TI y
el cambio de turno no inventarios afecta a la continuidad de dicho La organizacin realiza peridicamente sobre proceso. los activos de de TI a riesgos de manera informal. DS13.3 Monitoreo la propensos infraestructura de TI La no cuenta con una programacin de tareas. Se organizacin desarrollan peridicamente mantenimientos oportunos a las TI para verificar posibles fallas o errores. DS13.4 Documentos sensitivos y dispositivos de salida La organizacin no realiza un monitoreo de la infraestructura de TI.

DS13.5 Mantenimiento preventivo del hardware

Evaluacin de modelo de madurez

DS13 DS13.1 DS13.2 DS13.3 DS13.4 DS13.5 ACTIVIDAD
Procedimientos e instrucciones de operacin Programacin de tareas Monitoreo de la infraestructura de TI Documentos sensitivos y dispositivos de salida Mantenimiento preventivo del hardware TOTAL

PUNTUACIN 2 0 0 2 2 6

Evaluacin de modelo de madurez del DS13= 2 (Repetible pero Intuitivo) Repetible pero Intuitivo Cuando la organizacin esta consiente del rol clave que las actividades de operaciones de TI juegan en brindar funciones de soporte de TI. Se asignan presupuestos para herramientas con un criterio de caso por caso. Las operaciones de soporte de TI son informales e intuitivas. Hay una alta dependencia sobre las habilidades de los individuos. Las instrucciones de qu hacer, cundo y en qu orden no estn documentadas. Existe algo de entrenamiento para el operador y hay algunos estndares de operacin formales.

Gracias!...