auditoría de procesos práctica.v0

Introduccin a la Auditora de Procesos de Sistemas de Informacin

Ejercicios

Introduccin a la Auditora de

Procesos de Sistemas de Informacin

Ejercicios

Damin Ruiz Soriano (CISA, CISSP, 27001 Lead Auditor) Departamento de Auditora de Produccin (rea de Auditora de Sistemas). Bankia [email protected] Noviembre de 2012

4

4.1

Marco de Trabajo

Objetivos de Control

Directrices Gerenciales

Modelos de Madurez

Extracto deProcesos y Descripciones

PLANEAR Y ORGANIZAR

PL

AN

EA

R Y

OR

GA

NIZ

AR

PO1 Definir un Plan Estratgico de TI

PO2 Definir la Arquitectura de la Informacin

PO3 Determinar la Direccin Tecnolgica

PO4 Definir los Procesos, Organizacin y Relaciones de TI

PO5 Administrar la Inversin en TI

PO6 Comunicar las Aspiraciones y la Direccin de la Gerencia

PO7 Administrar Recursos Humanos de TI

PO8 Administrar la Calidad

PO9 Evaluar y Administrar los Riesgos de TI

PO10 Administrar Proyectos

Planear y Organizar Definir un Plan Estratgico de TI PO1

2007 IT Governance Institute. All rights reserved. www.itgi.org

DESCRIPCIN DEL PROCESO. P01 Definir un Plan Estratgico de TI. La planeacin estratgica de TI es necesaria para gestionar y dirigir todos los recursos de TI en lnea con la estrategia y prioridades del negocio. La funcin de TI y los interesados del negocio son responsables de asegurar que el valor ptimo se consigue desde los proyectos y el portafolio de servicios. El plan estratgico mejora la comprensin de los interesados clave de las oportunidades y limitaciones de TI, evala el desempeo actual, identifica la capacidad y los requerimientos de recursos humanos, y clarifica el nivel de investigacin requerido. La estrategia de negocio y prioridades se reflejarn en portafolios y se ejecutarn por los planes estratgicos de TI, que especifican objetivos concisos, planes de accin y tareas que estn comprendidas y aceptadas tanto por el negocio como por TI.

Planear y Organizar

Adquirir e Implementar

Entregar y Dar Soporte

Monitorear y Evaluar

Control sobre el proceso TI de

Definir un plan estratgico para TI

Que satisface el requerimiento del negocio de TI para

Sostener o extender los requerimientos de gobierno y de la estrategia del negocio, al mismo tiempo que se mantiene la transparencia sobre los beneficios, costos y riesgos

Enfocndose en

La incorporacin de TI y de la gerencia del negocio en la traduccin de los requerimientos del negocio a ofertas de servicio, y el desarrollo de estrategias para entregar estos servicios de una forma transparente y rentable

Se logra con

El compromiso con la alta gerencia y con la gerencia del negocio para alinear la planeacin estratgica de TI con las necesidades del negocio actuales y futuras

El entendimiento de las capacidades actuales de TI La aplicacin de un esquema de prioridades para los objetivos del negocio que cuantifique los

requerimientos del negocio

Y se mide con

El porcentaje de objetivos de TI en el plan estratgico de TI, que dan soporte al plan estratgico del negocio

El porcentaje de proyectos TI en el portafolio de proyectos que se pueden rastrear hacia el plan tctico de TI

El retraso entre las actualizaciones del plan estratgico de TI y las actualizaciones de los planes tcticos de TI

29

Planear y Organizar Definir la Arquitectura de la Informacin PO2

2007 IT Governance Institute. All rights reserved. www.itgi.org 33

DE . acin.

los ue

los datos de la organizacin, el esquema de clasificacin de datos y los niveles de seguridad. Este d de la toma de decisiones gerenciales asegurndose que se proporciona informacin confiable y segura, y

licaciones y de las entidades.

eso TI de

El aseguramiento de la exactitud de la arquitectura de la informacin y del modelo de datos

La frecuencia de actividades de validacin de datos

SCRIPCIN DEL PROCESOP02. Definir la Arquitectura de la InformLa funcin de sistemas de informacin debe crear y actualizar de forma regular un modelo de informacin del negocio y definirsistemas apropiados para optimizar el uso de esta informacin. Esto incluye el desarrollo de un diccionario corporativo de datos qcontiene las reglas de sintaxis deproceso mejora la calidapermite racionalizar los recursos de los sistemas de informacin para igualarse con las estrategias del negocio. Este proceso de TI tambin es necesario para incrementar la responsabilidad sobre la integridad y seguridad de los datos y para mejorar la efectividad y control de la informacin compartida a lo largo de las ap

Planear y Organizar



Control sobre el proc

Definir la arquitectura de la informacin


Agilizar la respuesta a los requerimientos, proporcionar informacin confiable y consistente, para integrar de forma transparente las aplicaciones dentro de los procesos del negocio


Enfocndose en

El establecimiento de un modelo de datos empresarial que incluya un esquema de clasificacin de informacin que garantice la integridad y consistencia de todos los datos

Se logra con

La asignacin de propiedad de datos La clasificacin de la informacin usando un esquema de clasificacin acordado

Y se mide con

El porcentaje de elementos de datos redundantes / duplicados El porcentaje de aplicaciones que no cumplen con la metodologa de arquitectura de la

informacin usada por la empresa

Planear y Organizar Determinar la Direccin Tecnolgica PO3


DE O.

listas y rminos de productos, servicios y mecanismos de aplicacin. El plan se debe

r y abarca aspectos tales como arquitectura de sistemas, direccin tecnolgica, planes de adquisicin,

requerimientos. La definicin de estndares de infraestructura tecnolgica basados en requerimientos de

SCRIPCIN DEL PROCESP03. Determinar la Direccin Tecnolgica. La funcin de servicios de informacin debe determinar la direccin tecnolgica para dar soporte al negocio. Esto requiere de la creacin de un plan de infraestructura tecnolgica y de un comit de arquitectura que establezca y administre expectativas reaclaras de lo que la tecnologa puede ofrecer en tactualizar de forma regulaestndares, estrategias de migracin y contingencias. Esto permite contar con respuestas oportunas a cambios en el ambiente competitivo, economas de escala para consecucin de personal de sistemas de informacin e inversiones, as como una interoperabilidad mejorada de las plataformas y de las aplicaciones.

Planear y Organizar




Determinar la direccin tecnolgica


Contar con sistemas aplicativos estndares, bien integrados, rentables y estables, as como recursos y capacidades que satisfagan requerimientos de negocio, actuales y futuros


Enfocndose en

La definicin e implementacin de un plan de infraestructura tecnolgica, una arquitectura y estndares que tomen en cuenta y aprovechen las oportunidades tecnolgicas

Se logra con

El establecimiento de un foro para dirigir la arquitectura y verificar el cumplimiento El establecimiento de un plan de infraestructura tecnolgica equilibrado versus costos, riesgos y

arquitectura de informacin

Y se mide con

El nmero y tipo de desviaciones con respecto al plan de infraestructura tecnolgica Frecuencia de las revisiones /actualizaciones del plan de infraestructura tecnolgica Nmero de plataformas de tecnologa por funcin a travs de toda la empresa

Planear y Organizar Definir los Procesos, Organizacin y Relaciones de TI PO4


DE O. laciones de TI.

ntrol, as como el involucramiento de los altos ejecutivos y de la gerencia del negocio. Un comit ar la vigilancia del consejo directivo sobre TI, y uno ms comits de direccin, en los cuales participen

io, TI se debe involucrar en los ecisin.

eso TI de

en os y competentes

efinicin

La definicin de un marco de trabajo de procesos de TI El establecimiento de un cuerpo y una estructura organizacional apropiada

ctividades clave de TI fuera de la organizacin de TI que no son aprobadas y que no estn sujetas a los estndares organizacionales de TI

SCRIPCIN DEL PROCESP04. Definir los Procesos, Organizacin y ReUna organizacin de TI se debe definir tomando en cuenta los requerimientos de personal, funciones, rendicin de cuentas, autoridad, roles, responsabilidades y supervisin. La organizacin est embebida en un marco de trabajo de procesos de TI que asegure la transparencia y el coestratgico debe garantiztanto el negocio como TI, deben determinar las prioridades de los recursos de TI alineados con las necesidades del negocio. Deben existir procesos, polticas de administracin y procedimientos para todas las funciones, con atencin especfica en el control, el aseguramiento de la calidad, la administracin de riesgos, la seguridad de la informacin, la propiedad de datos y de sistemas y la segregacin de funciones. Para garantizar el soporte oportuno de los requerimientos del negocprocesos importantes de d

Planear y Organizar



Control sobre el proc

Definir los procesos, organizacin y relaciones de TI


Agilizar la respuesta a las estrategias del negocio mientras se cumplen los requerimientos de gobierno y se establec


puntos de contacto definid

Enfocndose en

El establecimiento de estructuras organizacionales de TI transparentes, flexibles y responsables, y en la de implementacin de procesos de TI con dueos, y en la integracin de roles y responsabilidades hacia los procesos de negocio y de decisin

Se logra con

La definicin de roles y responsabilidades Y se mide con

El porcentaje de roles con descripciones de puestos y autoridad documentados El nmero de unidades/procesos de negocio que no reciben soporte de TI y que deberan

recibirlo, de acuerdo con la estrategia Nmero de a

Planear y Organizar Administrar la Inversin en TI PO5


47

DESCRIPCIN DEL PROCESO. P05. Administrar la Inversin en TI. Establecer y mantener un marco de trabajo para administrar los programas de inversin en TI que abarquen costos, beneficios, prioridades dentro del presupuesto, un proceso presupuestal formal y administracin contra ese presupuesto. Los interesados (stakeholders) son consultados para identificar y controlar los costos y beneficios totales dentro del contexto de los planes estratgicos y tcticos de TI, y tomar medidas correctivas segn sean necesarias. El proceso fomenta la asociacin entre TI y los interesados del negocio, facilita el uso efectivo y eficiente de recursos de TI, y brinda transparencia y responsabilidad dentro del costo total de la propiedad, la materializacin de los beneficios del negocio y el retorno sobre las inversiones en TI.


Administrar la Inversin en TI


Mejorar de forma continua y demostrable la rentabilidad de TI y su contribucin a la rentabilidad del negocio con servicios integrados y estandarizados que satisfagan las expectativas del usuario.

Enfocndose en

Decisiones de portafolio e inversin en TI efectivas y eficientes, y el establecimiento y seguimiento de presupuestos de TI de acuerdo a la estrategia de TI y a las decisiones de inversin.

Se logra con

El pronstico y la asignacin de presupuestos La definicin de criterios formales de inversin (retorno de inversin -ROI, periodo de reintegro, valor

presente neto -NPV) La medicin y evaluacin del valor del negocio en comparacin con el pronstico

Y se mide con

El porcentaje de reduccin en el costo unitario del servicio de TI Porcentaje del valor de la desviacin respecto al presupuesto en comparacin con el

presupuesto total Porcentaje de gasto de TI expresado en impulsores de valor del negocio (Ej. Incremento en

ventas / servicios debidos a la mejora en conectividad

Planear y Organizar




Planear y Organizar Comunicar las Aspiraciones y la Direccin de la Gerencia PO6


D Direccin de la Gerencia.

L laborar un marco de trabajo de control empr ra TI, y definir y comunicar las polticas. Un programa de c ica ar la m e servic po s ie etc., aprobados y apoyados por la direccin. La comunicacin apoya e los objetivos de TI y asegura la concienciacin y el entendim y de TI. El proceso debe limiento de las leye y reglamentos relevant s.

ontrol sobre el proceso TI de

omunicar las aspiraciones y la direccin de la gerencia


Una informacin precisa y oportuna sobre los servicios de TI actuales y futuros, los riesgos asociados y las responsabilidades

Enfocndose en

Proporcionar polticas, procedimientos, directrices y otra documentacin aprobada, de forma precisa y entendible y que se encuentre dentro del marco de trabajo de control de TI a los interesados

Se logra con

La definicin de un marco de trabajo de control para TI La elaboracin e implantacin de polticas para TI El refuerzo de polticas de TI

Y se mide con

El nmero de interrupciones en el negocio debidas a interrupciones en el servicio de TI Porcentaje de interesados que entienden el marco de trabajo de control de TI de la empresa Porcentaje de interesados que no cumple las polticas

ESCRIPCIN DEL PROCESO. P06. Comunicar las Aspiraciones y laa direccin debe e esarial paomun cin continua se debe implementar para articul isin, los objetivos d

l logro deio, las ltica y procedim ntos,

iento de los riesgos de negocio garantizar el cump s e

Planear y Organizar



C Monitorear y Evaluar

C

Planear y Organizar Administrar Recursos Humanos de TI PO7


D

A var una fuerza de trabajo para la creaci ega de servicios ra el negocio. Esto se logra si d el recluta iento, la evaluacin del desempeo, la promocinla termin es crtico, ya que las personas son , y el ambiente de gobierno y de control interno d de el person

trol sobre el proceso TI de

dministrar los recursos humanos de TI


mpetente y motivada para crear y entregar servicios de TI

Enfocndose en

La contratacin y entrenamiento del personal, la motivacin por medio de planes de carrera claros, la asignacin de roles que correspondan a las habilidades, el establecimiento de procesos de revisin definidos, la creacin de descripcin de puestos y el aseguramiento de la conciencia de la dependencia sobre los individuos

Se logra con

La revisin del desempeo del personal La contratacin y entrenamiento de personal de TI para apoyar los planes tcticos de TI La mitigacin del riesgo de sobre-dependencia de recursos clave

Y se mide con

El nivel de satisfaccin de los interesados respecto a la experiencia y habilidades del personal La rotacin de personal de TI Porcentaje de personal de TI certificado de acuerdo a las necesidades del negocio

ESCRIPCIN DEL PROCESO. P07. Administrar los Recursos Humanos de TI.

dquirir, mantener y moti n y entr de TI paguien o prcticas definidas y aprobadas que apoyan

acin. Este procesomiento, entrenamactivos importantes

y

epen fuertemente de la motivacin y competencia d al.

Planear y Organizar



Monitorear y Evaluar Con

A

Adquirir gente co

Planear y Organizar Administrar la Calidad PO8


D

Se debe elaborar y mantener un sistema de administracin de c cual incluya procesos y estndares probados de desarrollo y d u la planeacin, impla de ma administ cin de cali adproporci mientos y polticas clara ientos de calidad se deben manifestar y d e bles. La me m e an e mo itoreo in

sultados a los intere de d es sen al pa garantizar u TI st dando valor al negocio, mejora continua y transparencia par


dministrar la calidad


La mejora continua y medible de la calidad de los servicios prestados por TI

Enfocndose en

icin de un sistema de administracin de calidad (QMS, por sus siglas en ingls), el monitoreo continuo del desempeo contra los objetivos predefinidos, y la implantacin de un programa de mejora continua de servicios de TI

Se logra con

La definicin de estndares y prcticas de calidad El monitoreo y revisin interna y externa del desempeo contra los estndares y prcticas de calidad

definidas La mejorara del QMS de manera continua

Y se mide con

Porcentaje de Interesados (Stakeholders) satisfechos con la calidad (ponderado por importancia)

Porcentaje de procesos de TI revisados de manera formal por aseguramiento de calidad de modo peridico que satisfaga las metas y objetivos de calidad

Porcentaje de procesos que reciben revisiones de aseguramiento de calidad (QA)

ESCRIPCIN DEL PROCESO. P08. Administrar la Calidad.

alidad, ele adq isicin. Esto se facilita por medio de

onando requerimientos, procedintacin y mantenimientos de calidad. Los requerim

l siste de ra d ,

ocum ntar con indicadores cuantificables y alcanza jora continua se logra por edio d l const t n , correccde desviaciones y la comunicacin de los ree

sados. La administracin calida e ci ra q e a los interesados.

Planear y Organizar




C

A

La defin

Planear y Organizar Evaluar y Administrar los Riesgos de TI PO9


Ds Riesgos de TI.

C imiento a un marco de trabajo de administrac El marco d el comn y a d trategias de mitigacin y riesgos re to p cia re m do to no planeado se debe ide ar. en p st gia mitigaci los riesgos residuales a un resultad eva aci debe ser entendi

ara los Interesados (Stakeholders) y se debe expresar en trmi rmitirles alinear los riesgos a un nivel ceptable de tolerancia.


valuar y administrar los riesgos de TI


Enfocndose en

La elaboracin de un marco de trabajo de administracin de riesgos el cual est integrado en los marcos gerenciales de riesgo operacional, evaluacin de riesgos, mitigacin del riesgo y comunicacin de riesgos residuales

Se logra con

La garanta de que la administracin de riesgos est incluida completamente en los procesos administrativos, tanto interna como externamente, y se aplica de forma consistente

La realizacin de evaluaciones de riesgo La recomendacin y comunicacin de planes de accin para remediar riesgos

Y se mide con

Porcentaje de objetivos crticos de TI cubiertos por la evaluacin de riesgos Porcentaje de riesgos crticos de TI identificados con planes de accin elaborados Porcentaje de planes de accin de administracin de riesgos aprobados para su implantacin

ESCRIPCIN DEL PROCESO. P09. Evaluar y Administrar lo

rear y dar manten in de riesgos. e trabajo documenta un nivcorda o de riesgos de TI, es siduales. Cualquier impac oten l sob las etas e la rganizacin, causado por algn even ntificar, analizar y evalu Se deb ado tar e rate s de

n de riesgos para minimizar nivel aceptable. Elnos financieros, para pe

o de la lu n ble pa

Planear y Organizar




E

Analizar y comunicar los riesgos de TI y su impacto potencial sobre los procesos y metas de negocio

Planear y Organizar Administrar Proyectos PO10


D

Establecer un marco de trabajo de administracin de programas y proyectos para la admin os proyectos de TI e c orrecta asignacin de prioridades y la c na os. Elmarco d incluir un plan maestro, asignacin de re e entrega aprobacin de los usuarios, u e lidad, un p pruebas, revis e pruebas post an cind s izar la administracin de lo la entrega de valor para el negocio. Este e e y de cancelacin ora la comun olucramiento del n o r y la calidad de proyectos, y m za la contribuci n a los p m


dministrar proyectos


La entrega de resultados de proyectos dentro de marcos de tiempo, presupuesto y calidad acordados

Enfocndose en

Un programa y un enfoque de administracin de proyectos definidos, el cual se aplica a todos los proyectos de TI,

Se logra con

La definicin e implantacin de marcos de trabajo y enfoques de programas y de proyectos La emisin de directrices de administracin para proyectos La planeacin de proyectos para todos los proyectos incluidos en el portafolio de proyectos

Y se mide con

Porcentaje de proyectos que satisfacen las expectativas de los interesados (a tiempo, dentro del presupuesto, y con satisfaccin de los requerimientos ponderados por importancia)

Porcentaje de proyectos con revisin post-implantacin Porcentaje de proyectos que siguen estndares y prcticas de administracin de proyectos

ESCRIPCIN DEL PROCESO. P10. Administrar Proyectos.

istracin de todos lstable idos. El marco de trabajo debe garantizar la c

e trabajo debeoordi cin de todos los proyect

cursos, definicin d bles, nnfoque de entrega por fases, aseguramiento de la ca lan formal de

s riesgos del proyecto y de proyectos, mej

in d y -impl ta espu de la instalacin para garantnfoqu reduce el riesgo de costos inesperados

y de los usuarios finales, asegura el valoicacin y el inv

egoci los entregables de los aximi rogra as de inversin facilitados por TI.

Planear y Organizar



Monitorear y Evaluar C

A

lo cual facilita la participacin de los interesados y el monitoreo de los riesgos y los avances de los proyectos

ADQUIRIR E IMPLEMENTAR plicativo

AI3 Adquirir y mantener infraestructura tecnolgica

AI4 Facilitar la operacin y el uso

AI5 Adquirir recursos de TI

AI6 Administrar cambios

AI7 Instalar y acreditar soluciones y cambios

AD

QU

IRIR

E I

MP

LE

ME

NT

AR

AI1 Identificar soluciones automatizadas

AI2 Adquirir y mantener software a

Adquirir e Implementar Identificar Soluciones Automatizadas AI1


73

DESCRIPCIN DEL PROCESO. I1 Identificar Soluciones Automatizadas

a necesidad de una nueva aplicacin o funcin requiere de anlisis antes de la compra o desarrollo para garantizar que los quisitos del negocio se satisfacen con un enfoque efectivo y eficiente. Este proceso cubre la definicin de las necesidades,

ativas, realiza una revisin de la factibilidad tecnolgica y econmica, ejecuta un anlisis de riesgo y de osto-beneficio y concluye con una decisin final de desarrollar o comprar. Todos estos pasos permiten a las organizaciones inimizar el costo para Adquirir e Implementar soluciones, mientras que al mismo tiempo facilitan el logro de los objetivos del

egocio.


Identificar soluciones automatizadas

Que satisface el requerimiento

Traducir los requerimientos funcionales y de control a un diseo efectivo y eficiente de soluciones automatizadas

Enfocndose en

La identificacin de soluciones tcnicamente factibles y rentables

Se logra con

La definicin de los requerimientos tcnicos y de negocio Realizar estudios de factibilidad como se define en los estndares de desarrollo Aprobar (o rechazar) los requerimientos y los resultados de los estudios de factibilidad

Y se mide con

Nmero de proyectos donde los beneficios establecidos no se lograron debido a suposiciones de factibilidad incorrectas

Porcentaje de estudios de factibilidad autorizados por el dueo del proceso Porcentaje de usuarios satisfechos con la funcionalidad entregada

ALreconsidera las fuentes alterncmn

Planear y Organizar




del negocio de TI para

Adquirir e Implementar Adquirir y Mantener Software Aplicativo AI2


D

L disponibles de acuerdo con lo mientos del negocio. Est so cubre el diseo de las a io troles aplicativos dad, y e a n a o a izaciones l negocio de forma apropiada con las aplicacio


dquirir y dar mantenimiento a software aplicativo


Construir las aplicaciones de acuerdo con los requerimientos del negocio y hacindolas a tiempo y a un costo razonable

Enfocndose en

Garantizar que exista un proceso de desarrollo oportuno y confiable

Se logra con

La traduccin de requerimientos de negocio a especificaciones de diseo La adhesin a los estndares de desarrollo para todas las modificaciones La separacin de las actividades de desarrollo, de pruebas y operativas

Y se mide con

Nmero de problemas en produccin por aplicacin, que causan tiempo perdido significativo Porcentaje de usuarios satisfechos con la funcionalidad entregada

ESCRIPCIN DEL PROCESO. AI2 Adquirir y Mantener Software Aplicativoas aplicaciones deben estar s requeri e proceplicac nes, la inclusin apropiada de con y requerimientos de seguri

apoyar la operatividad del des rrollo y la configuraci en s de

cuerd los estndares. Esto permite a las organnes automatizadas correctas

Planear y Organizar




A

Adquirir e Implementar Adquirir y Mantener Infraestructura Tecnolgica AI3


Dolgica

L eben contar con procesos para adquiri entar y actualizar la infra ura tecnolgica. Esto requiere de u oq r la as te as te olgi s co ven as yla dispos Esto garantiza que exista un soporte tecnolgico continuo para las aplicaciones d oc


rir y dar mantenimiento a la infraestructura tecnolgica


Adquirir y dar mantenimiento a una infraestructura integrada y estndar de TI

Enfocndose en

Proporcionar plataformas adecuadas para las aplicaciones del negocio, de acuerdo con la arquitectura definida de TI y los estndares de tecnologa

Se logra con

El establecimiento de un plan de adquisicin de tecnologa que se alinea con el plan de infraestructura tecnolgica

La planeacin de mantenimiento de la infraestructura La implantacin de medidas de control interno, seguridad y auditabilidad

Y se mide con

El porcentaje de plataformas que no se alinean con la arquitectura de TI definida y los estndares de tecnologa

El nmero de procesos de negocio crticos soportados por infraestructura obsoleta (o que pronto lo ser)

El nmero de componentes de infraestructura que ya no se pueden soportar (o que ya no se podrn en el futuro cercano)

ESCRIPCIN DEL PROCESO. AI3 Adquirir y Mantener Infraestructura Tecnas organizaciones d r, Implem estructn enf ue planeado para adquirir, mantener y protege

icin del ambiente de desarrollo y pruebas. infraestructura de acuerdo con l estra gi cn ca n id

el neg io.

Planea r y Organi r za




C

Adqui

Adquirir e Implementar Facilitar la Operacin y el Uso AI4


DE .

. Este proceso requiere la generacin de documentacin y manuales

del negocio de TI para

Garantizar la satisfaccin de los usuarios finales mediante ofrecimientos de servicios y niveles de servicio, y de forma transparente integrar las soluciones de aplicacin y tecnologa dentro de los procesos del negocio

Enfocndose en

Proporcionar manuales efectivos de usuario y de operacin y materiales de entrenamiento para transferir el conocimiento necesario para la operacin y el uso exitosos del sistema.

Se logra con

El desarrollo y la disponibilidad de documentacin para transferir el conocimiento Comunicacin y entrenamiento a usuarios y a la gerencia del negocio, al personal de apoyo y al

personal de operacin La generacin de materiales de entrenamiento

Y se mide con

El nmero de aplicaciones en que los procedimientos de TI se integran en forma transparente dentro de los procesos de negocio

El porcentaje de dueos de negocios satisfechos con el entrenamiento De aplicacin y los materiales de apoyo.

El nmero de aplicaciones que cuentan con un adecuado entrenamiento de apoyo al usuario y a la operacin

SCRIPCIN DEL PROCESOAI4 Facilitar la Operacin y el Uso El conocimiento sobre los nuevos sistemas debe estar disponiblepara usuarios y para TI, y proporciona entrenamiento para garantizar el uso y la operacin correctos de las aplicaciones y la infraestructura.

Planear y Organizar





Facilitar la operacin y el uso

Que satisface el requerimiento

Adquirir e Implementar Adquirir Recursos de TI AI5


DESCRIPCIN DEL PROCESO. AI5 Adquirir Recursos de TI Se deben suministrar recursos TI, incluyendo perslos procedimientos de adquisicin, la seleccin

89

onas, hardware, software y servicios. Esto requiere de la definicin y ejecucin de

os de TI

Adquirir y mantener las habilidades de TI que respondan a la estrategia de entrega, en una infraestructura TI integrada y estandarizada, y reducir el riesgo de adquisicin de TI

Se logra con

La obtencin de asesora profesional legal y contractual La definicin de procedimientos y estndares de adquisicin La adquisicin de hardware, software y servicios requeridos de acuerdo con los procedimientos

definidos

Y se mide con

El nmero de controversias en relacin con los contratos de adquisicin La reduccin del costo de compra El porcentaje de interesados clave satisfechos con los proveedores

de proveedores, el ajuste de arreglos contractuales y la adquisicin en s. El hacerlo as garantiza que la organizacin tenga todos los recursos de TI que se requieren de una manera oportuna y rentable.

Planear y Organizar




Adquirir recurs



Mejorar la rentabilidad de TI y su contribucin a la utilidad del negocio

Enfocndose en

Adquirir e Implementar Administrar Cambios AI6


DE .

mantenimiento de emergencia y parches, relacionados con la infraestructura y las aplicaciones ientos,

mplantacin. Esto garantiza la reduccin de riesgos que impactan negativamente la estabilidad

dministrar cambios


Responder a los requerimientos del negocio de acuerdo con la estrategia de negocio, mientras se reducen los defectos y la repeticin de trabajos en la prestacin del servicio y en la solucin.

Enfocndose en

Controlar la evaluacin de impacto, autorizacin e implantacin de todos los cambios a la infraestructura de TI, aplicaciones y soluciones tcnicas, minimizando errores que se deben a especificaciones incompletas de la solicitud y detener la implantacin de cambios no autorizados

Se logra con

La definicin y comunicacin de los procedimientos de cambio, que incluyen cambios de emergencia La evaluacin, la asignacin de prioridad y autorizacin de cambios Seguimiento del estatus y reporte de los cambios

Y se mide con

El nmero de interrupciones o errores de datos provocados por especificaciones inexactas o una evaluacin de impacto incompleta

La repeticin de aplicaciones o infraestructura debida a especificaciones de cambio inadecuadas

El porcentaje de cambios que siguen procesos de control de cambio formales

SCRIPCIN DEL PROCESOAI6 Administrar Cambios Todos los cambios, incluyendo el dentro del ambiente de produccin, deben administrarse formalmente y controladamente. Los cambios (incluyendo procedimprocesos, sistema y parmetros del servicio) se deben registrar, evaluar y autorizar previo a la implantacin y revisar contra los resultados planeados despus de la io integridad del ambiente de produccin.

Planear y Organizar

Adquirir e Implementar Entregar y Dar

Soporte

Control sobre el proceso TI de Monitorear y Evaluar

A

Adquirir e Implementar Instalar y Acreditar Soluciones y Cambios AI7


DE . luciones y Cambios

z que su desarrollo se completa. Esto requiere pruebas adecuadas en un

en lnea as y con los resultados.

Contar con sistemas nuevos o modificados que trabajen sin problemas importantes despus de la instalacin

Enfocndose en

Probar que las soluciones de aplicaciones e infraestructura son apropiadas para el propsito deseado y estn libres de errores, y planear las liberaciones a produccin

Se logra con

El establecimiento de una metodologa de prueba Realizar la planeacin de la liberacin (release) Evaluar y aprobar los resultados de las pruebas por parte de la gerencia del negocio Ejecutar revisiones posteriores a la implantacin

Y se mide con

Tiempo perdido de la aplicacin o problemas de datos provocados por pruebas inadecuadas Porcentaje de sistemas que satisfacen los beneficios esperados, medidos en el proceso

posterior a la implantacin Porcentaje de proyectos con plan de prueba documentado y aprobado

SCRIPCIN DEL PROCESOAI7 Instalar y Acreditar SoLos nuevos sistemas necesitan estar funcionales una veambiente dedicado con datos de prueba relevantes, definir la transicin e instrucciones de migracin, planear la liberacin y la transicin en s al ambiente de produccin, y revisar la post-implantacin. Esto garantiza que los sistemas operativos estncon las expectativas convenid

Planear y Organizar



Control sobre el proceso TI de Monitorear y Evaluar

Instalar y acreditar soluciones y cambios


Garantizar la continuidad del servicio

DS5 Garantizar la seguridad de los sistemas

DS7 Educar y entrenar a los usuarios

DS10 Administrar los problemas

DS11 Administrar los datos

EN

TR

EG

AR

Y D

AR

SO

PO

RT

E

ENTREGAR Y DAR SOPORTE DS1 Definir y administrar los niveles de servicio

DS2 Administrar los servicios de terceros

DS3 Administrar el desempeo y la capacidad

DS4

DS6 Identificar y asignar costos

DS8 Administrar la mesa de servicio y los incidentes

DS9 Administrar la configuracin

DS12 Administrar el ambiente fsico

DS13 Administrar las operaciones

Entregar y Dar Soporte Definir y Administrar los Niveles de Servicio DS1


DE O. io

incluye el n oportuna a los Interesados (Stakeholders) sobre el cumplimiento de los niveles de servicio. Este proceso

nto

ades

veles te acordados.

El nmero de servicios entregados que no estn en el catlogo El nmero de reuniones formales de revisin del Acuerdo de Niveles de Servicio (SLA) con las

personas de negocio por ao

SCRIPCIN DEL PROCESDS1 Definir y Administrar los Niveles de ServicContar con una definicin documentada y un acuerdo de servicios de TI y de niveles de servicio, hace posible una comunicacin efectiva entre la gerencia de TI y los clientes de negocio respecto de los servicios requeridos. Este proceso tambin monitoreo y la notificacipermite la alineacin entre los servicios de TI y los requerimientos de negocio relacionados.

Planear y Organizar




Definir y manejar niveles de servicio



Asegurar la alineacin de los servicios claves de TI con la estrategia del negocio

Enfocndose en

La identificacin de requerimientos de servicio, el acuerdo de niveles de servicio y el monitoreo del cumplimiede los niveles de servicio

Se logra con

La formalizacin de acuerdos internos y externos en lnea con los requerimientos y las capacidde entrega

La notificacin del cumplimiento de los niveles de servicio (reportes y reuniones) La identificacin y comunicacin de requerimientos de servicios actualizados y nuevos para

planeacin estratgica

Y se mide con

El porcentaje de Interesados satisfechos de que la entrega del servicio cumple con los nipreviamen

Entregar y Dar Soporte Administrar los Servicios de Terceros DS2


D

c e asegurar que los servicios provistos por ter umplan con los requeri os del negocio, requiere de un es ces a clara definicin de roles, ades y ct terceros, as como con la revisin y monitoreo de la efectividad y cumplimiento de dichos rd e los servicios de te l s qu

e d a adecuada.


dministrar servicios de terceros


Brindar servicios satisfactorios de terceros con transparencia acerca de los beneficios, riesgos y costos

Enfocndose en

lecimiento de relaciones y responsabilidades bilaterales con proveedores calificados de servicios tercerizados y el monitoreo de la prestacin del servicio para verificar y asegurar la adherencia a los convenios

Se logra con

La identificacin y categorizacin de los servicios del proveedor La identificacin y mitigacin de riesgos del proveedor El monitoreo y la medicin del desempeo del proveedor

Y se mide con

El nmero de quejas de los usuarios debidas a los servicios contratados El porcentaje de los principales proveedores que cumplen claramente los requerimientos

definidos y los niveles de servicio El porcentaje de los principales proveedores sujetos a monitoreo

ESCRIPCIN DEL PROCESO. DS2 Administrar los Servicios de Terceros La ne esidad d ceros c mientproc o efectivo de administracin de terceros. Este pro o se logra por medio de un responsabilidexpe ativas en los acuerdos con losacue os. Una efectiva administracin d rceros minimiza los riesgos de negocio asociados con proveedore e no s esempean de form

Pla r yOrganizar

nea




C

A

El estab

Entregar y Dar Soporte Administrar el Desempeo y la Capacidad DS3


Ddad

c e administrar el desempeo y la capacidad d ecursos de TI requiere de un proceso para revisar peridicamente el m los recursos de TI. Este o d ecesidades futur s, basadas en los r ajo, almacenamiento y cont brinda la de

m nera conti


trar el desempeo y la capacidad


Optimizar el desempeo de la infraestructura, los recursos y las capacidades de TI en respuesta a las necesidades del

Enfocndose en

Cumplir con los requerimientos de tiempo de respuesta de los acuerdos de niveles de servicio, minimizando el tiempo sin servicio y haciendo mejoras continuas de desempeo y capacidad de TI a travs del monitoreo y la medicin.

Se logra con

La planeacin y la entrega de capacidad y disponibilidad del sistema Monitoreando y reportando el desempeo del sistema Modelando y pronosticando el desempeo del sistema.

Y se mide con

Nmero de horas perdidas por usuario por mes, debidas a la falta de planeacin de la capacidad

Porcentaje de picos donde se excede la meta de utilizacin Porcentaje de SLAs de tiempo de respuesta que no se satisfacen

ESCRIPCIN DEL PROCESO. DS3 Administrar el Desempeo y la CapaciLa ne esidad d e los rdese peo actual y la capacidad de proceso incluye el pronstic

ingenciase las n a

reque imientos de carga de trab . Este proceso tn disponibles de ma

seguridad de que los recursos nua.infor acin que soportan los requerimientos del negocio es

Planear y

Organizar




C

Adminis

negocio

Entregar y Dar Soporte Garantizar la Continuidad del Servicio DS4


D

c e brindar continuidad en los servicios de TI r desarrollar, mantener y probar planes de continuidad de TI, ace entrenar d n a n proceso ef vo de tinu abilidad y el impa res en lo vic o nc nes


arantizar la continuidad del servicio

Asegurar el mnimo impacto al negocio en caso de una interrupcin de servicios de TI

Enfocndose en

El desarrollo de resistencia (resilience) en las soluciones automatizadas y desarrollando, manteniendo y probando los planes de continuidad de TI

Se logra con

Desarrollando y manteniendo (mejorando) los planes de contingencia de TI Con entrenamiento y pruebas de los planes de contingencia de TI Guardando copias de los planes de contingencia y de los datos fuera de las instalaciones

Y se mide con

Nmero de horas perdidas por usuario por mes, debidas a interrupciones no planeadas Nmero de procesos crticos de negocio que dependen de TI, que no estn cubiertos por un

plan de continuidad

ESCRIPCIN DEL PROCESO. DS4 Garantizar la Continuidad del Servicio La ne esidad d equierealm nar respaldos fuera de las instalaciones y e forma peridica sobre los planes de co tinuid d

TI, s. U ecti

con idad de servicios, minimiza la probves del negocio.

cto de interrupciones mayo s ser ios de bre fu io es y proc os cla

Pl near a y Organizar




C

G


Entregar y Dar Soporte Garantizar la Seguridad de los Sistemas DS5


Ds

c e mantener la integridad de la informacin y teger los activos de TI, r re de un proceso de administracin de gu l establecimiento y man seguridad, polnd e la iz onitoreos de seguridad y pruebas di las d identificados. Una efectiva

admini seguridad protege todos los activos de pacto en g sado por vulnerabilidades o en ridad.


Garantizar la seguridad de los sistemas


Mantener la integridad de la informacin y de la infraestructura de procesamiento y minimizar el impacto de las vulnerabilidades e incidentes de seguridad

Enfocndose en

La definicin de polticas, procedimientos y estndares de seguridad de TI y en el monitoreo, deteccin, reporte y in de las vulnerabilidades e incidentes de seguridad

Se logra con

El entendimiento de los requerimientos, vulnerabilidades y amenazas de seguridad. La administracin de identidades y autorizaciones de los usuarios de forma estandarizada. Probando la seguridad de forma regular

Y se mide con

El nmero de incidentes que daan la reputacin con el pblico El nmero de sistemas donde no se cumplen los requerimientos de seguridad El nmero de de violaciones en la segregacin de tareas

ESCRIPCIN DEL PROCESO. DS5 Garantizar la Seguridad de los SistemaLa ne esidad d de pro equiela se ridad. Este proceso incluye e tenimiento de roles y responsabilidades de ticas, est ares y procedimientos de TI. La administracin d seguridad tambin incluye real

debilidades o incidentes de seguridaar m

peri cas as como realizar acciones correctivas sobrestracin de la TI para minimizar el im el ne ocio cau

incid tes de segu

Planear y Organizar




C

resoluc

Entregar y Dar Soporte Identificar y Asignar Costos DS6


D

c e un sistema justo y equitativo para asignar costos de TI al negocio, requiere de un icin precisa y un acuerdo los Es pe d un ste a p ra ura costos de TI a los usuarios de c pe it negoci

isio io


entificar y asignar costos


Enfocndose en

el registro completo y preciso de los costos de TI, un sistema equitativo para asignacin acordado con los usuarios de negocio, y un sistema para reportar oportunamente el uso de TI y los costos asignados

Se logra con

La alineacin de cargos con la calidad y cantidad de los servicios brindados La construccin y aceptacin de un modelo de costos completo La aplicacin de cargos con base en la poltica acordada

Y se mide con

Porcentaje de facturas de servicios de TI aceptadas/pagadas por la gerencia del negocio. Porcentaje de variacin entre los presupuestos, pronsticos y costos actuales. Porcentaje de costos totales de TI que son distribuidos de acuerdo con los modelos

acordados

ESCRIPCIN DEL PROCESO. DS6 Identificar y Asignar Costos La ne esidad d a medcon usuarios del negocio sobre una asignacin justa. te proceso incluye la construccin y o

los servicios. Un sistema equitativo deracin e si m a

capt r, distribuir y reportar ostos rm e al o tomar dec nes ms informadas respectos al uso de los servic s de TI.

Pla r nea y

Organizar




C

Id

Transparentar y entender los costos de TI y mejorar la rentabilidad a travs del uso bien informado de los servicios de TI

Entregar y Dar Soporte Educar y Entrenar a los Usuarios DS7


Drios

cin efectiva de todos los usuarios de sistem TI, incluyendo aquellos dentro , se requieren identificar las si po de usuarios. sidade n c o un entrenam resulta o den de la tecnologa a disminuir los errores, incrementando la productividad y el cumplimiento

e los controles clave tales como las medidas de seguridad de los usuarios.



El uso efectivo y eficiente de soluciones y aplicaciones tecnolgicas y el cumplimiento del usuario con las polticas y procedimientos

Enfocndose en

Un claro entendimiento de las necesidades de entrenamiento de los usuarios de TI, la ejecucin de una efectiva estrategia de entrenamiento y la medicin de resultados

Se logra con

Establecer un programa de entrenamiento Organizar el entrenamiento Impartir el entrenamiento Monitorear y reportar la efectividad del entrenamiento

Y se mide con

Nmero de llamadas de soporte debido a problemas de entrenamiento Porcentaje de satisfaccin de los Interesados con el entrenamiento recibido Lapso de tiempo entre la identificacin de la necesidad de entrenamiento y la imparticin del

mismo

ESCRIPCIN DEL PROCESO. DS7 Educar y Entrenar a los UsuaPara una educa as de de TInece dades de entrenamiento de cada gru

a llevar a cabAdems de identificar las nece

nto efectivo y para medir loss, este proceso incluye la definici y

ejecu in de una estrategia parrementa el uso efectivo

iel

dos. Un programa efectiv entre amiento incd

Planear y Organizar



Con Monitorear y Evaluar

Educar y entrenar a los usuarios

Entregar y Dar Soporte Administrar la Mesa de Servicio y los Incidentes DS8


Dlos Incidentes.

n s consultas y mas de los usuarios de TI, requi una mesa de servicio bien a ci uye la creaci de una funcin de mesa

de serv isi iz y reso . os bene os el negocio uye o a de consultas. Adems, el negocio puede identificar la causa

raz (ta arios) a travs de un proceso de reporte efectivo.


dministrar la mesa de servicio y los incidentes


Permitir el efectivo uso de los sistemas de TI garantizando la resolucin y el anlisis de las consultas de los usuarios finales,

Enfocndose en

Una funcin profesional de mesa de servicio, con tiempo de respuesta rpido, procedimientos de escalamiento claros y anlisis de tendencias y de resolucin

Se logra con

Instalacin y operacin de un servicio de una mesa de servicios Monitoreo y reporte de tendencias Definicin de procedimientos y de criterios de escalamiento claros

Y se mide con

Satisfaccin del usuario con el soporte de primera lnea Porcentaje de incidentes resueltos dentro de un lapso de tiempo aceptable / acordado. ndice de abandono de llamadas

ESCRIPCIN DEL PROCESO. DS8 Administrar la Mesa de Servicio y Respo der de manera oportuna y efectiva a la proble ere dedise da y bien ejecutada, y de un proceso de administra

icio con registro, escalamiento de incidentes, anln de incidentes. Este proceso incl ns de tendencia, anlisis causa-ralucin rpid

lucin L fici dincl n el incremento en la productividad gracias a la res

les como un pobre entrenamiento a los usu

Planear y

Organizar




C

A

incidentes y preguntas

Entregar y Dar Soporte Administrar la Configuracin DS9


D

t tegridad de las configuraciones de hardware y software requiere establecer y mantener un repositorio de figu la o a cial, el esta lec en o orm auditora de la informacin de la n de i rio e configuracin conforme ec acin de la configuracin ad, m iza roblemas de pro ccin y elv mas ms rpido.


rar la configuracin


Optimizar la infraestructura, recursos y capacidades de TI, y llevar registro de los activos de TI.

Enfocndose en

itorio completo y preciso de atributos de la configuracin de los activos y de lneas base y compararlos contra la configuracin actual

establecimiento de un repositorio central de todos los n identificaci n y su

de la in n

Y se mide con

El nmero de problemas de cumplimiento del negocio debido a inadecuada configuracin de los activos.

El nmero de desviaciones identificadas entre el repositorio de configuracin y la configuracin actual de los activos.

Porcentaje de licencias compradas y no registradas en el repositorio

ESCRIPCIN DEL PROCESO. DS9 Administrar la Configuracin Garan izar la incon raciones completo y preciso. Este proceso incluye recoleccin de informacin de la c nfigur

scin ini b imi t

de n as, la verificacin y configuracin y la actualizaci l repo to dse n esite. Una efectiva administr facilita una mayor disponibilid inim los p duresu e los proble

Planear y

Organizar

Adquirir e

Implementar



C

Administ

Establecer y mantener un repos

Se logra con

El La

elementos de la configuracimantenimiento n de los elementos de configuraci

tegridad de los datos de configuraciRevisin

Entregar y Dar Soporte Administracin de Problemas DS10


Ds

ministracin de problemas requiere la ide ificacin de problem l anlisis de las causas desde su ist uy n e m daci

a la egistros de problem las ac re va efecti proceso dm les de ser la conv ncia y satisfaccin del usuario



Garantizar la satisfaccin de los usuarios finales con ofrecimientos de servicios y niveles de servicio, reducir el retrabajo y los defectos en la prestacin de los servicios y de las soluciones

Enfocndose en

Registrar, rastrear y resolver problemas operativos; investigacin de las causas raz de todos los problemas relevantes y definir soluciones para los problemas operativos identificados

Se logra con

Realizando un anlisis de causas raz de los problemas reportados Analizando las tendencias Tomando propiedad de los problemas y con una resolucin de problemas progresiva.

Y se mide con

Nmero de problemas recurrentes con impacto en el negocio Porcentaje de problemas resueltos dentro del perodo de tiempo solicitado Frecuencia de los reportes o actualizaciones sobre un problema en curso, con base en la

severidad del problema

ESCRIPCIN DEL PROCESO. DS10 Administracin de ProblemaUna efectiva ad ntificacin y clas as, eraz, y la resolucin de problemas. El proceso de admin racin de problemas tambin incl e la identificaci de r co en ones par mejora, el mantenimiento de r as y la revisin del estatus de

vicio, reduce costos y mejora ciones cor

eniecti s. Un vo

de a inistracin de problemas mejora los nive

Planear y Organizar



Con Monitorear y Evaluar

Administracin de problemas

Entregar y Dar Soporte Administracin de Datos DS11


DESCRIPCIN DEL PROCESO DS11 Administracin de Datos Una e

141

f ministracin de datos requiere de la identific de requerimientos de datos. El proceso de administracin de rm e el establecimiento de procedim istrar la era de medios, el resp la pe propiada de medios de da yu a ga antiz la c lida

acin del negocio.


dministracin de datos


de la informacin y garantizar la disponibilidad de la informacin cuando se requiera.

Enfocndose en

Mantener la integridad, exactitud, disponibilidad y proteccin de los datos

Se logra con

Respaldando los datos y probando la restauracin Administrando almacenamiento de datos en sitio y fuera de sitio. Desechando de manera segura los datos y el equipo

Y se mide con

Satisfaccin del usuario con la disponibilidad de los datos. Porcentaje de restauraciones exitosas de datos. Nmero de incidentes en los que tuvo que recuperarse datos sensitivos despus que los

medios haban sido desechado

ectiva ad acin info acin tambin incluy ientos efectivos para admin libr aldo y recu racin de datos y la eliminacin a

dad de la inform. Una efectiva administracin tos a da r ar a d,

oportunidad y disponibili

Planear y Organizar




Con

A

Optimizar el uso

s

Entregar y Dar Soporte Administracin del Ambiente Fsico DS12


Dnte Fsico

t el equipo de cmputo y del personal, requie stalaciones bien diseadas y bi ministradas. El proceso de ini re ), sele in e

ala s ini el cc o f co. a ini ente fsico reduce las interrup cio ocasionadas por daos al equipo de cmputo y al on


dministracin del ambiente fsico

requerimiento del negocio de TI para

Proteger los activos de cmputo y la informacin del negocio minimizando el riesgo de una interrupcin del servicio

Enfocndose en

Proporcionar y mantener un ambiente fsico adecuado para proteger los activos de TI contra acceso, dao o robo

Se logra con

Implementando medidas de seguridad fsicas. Seleccionando y administrando las instalaciones

Y se mide con

Tiempo sin servicio ocasionado por incidentes relacionados con el ambiente fsico Nmero de incidentes ocasionados por fallas o brechas de seguridad fsica Frecuencia de revisin y evaluacin de riesgos fsicos.

ESCRIPCIN DEL PROCESO. DS12 Administracin del AmbieLa pro eccin d re de in en adadm strar el ambiente fsico incluye la definicin de los

ciones apropiadas y el diseo de procesos efectivon efectiva del ambi

querimientos fsicos del centro de datopara monitorear factores ambientales y

ciones del nego

s (site la cc dinst adm strar a es si Ladm stracipers al.

Planear y Organizar




Con

A

Que satisface el

Entregar y Dar Soporte Administracin de Operaciones DS13


D

nto de informacin completo y apropiado req e una efectiva administracin del procesamiento de datos y del ten ceso incluye la defini de o i p i racin tiv ado, proteccin de dato de salida sensitivos, monitoreo de infraestructura y mantenimiento

stracin de operaciones ayuda a mantener la integridad de los datos y reduce los


Adm


Mantener la integridad de los datos y garantizar que la infraestructura de TI puede resistir y recuperase de errores y fallas

Enfocndose en

Cumplir con los niveles operativos de servicio para procesamiento de datos programado, proteccin de datos de salida sensitivos y monitoreo y mantenimiento de la infraestructura

Se logra con

Operando el ambiente de TI en lnea con los niveles de servicio acordados y con las instrucciones definidas

Manteniendo la infraestructura de TI Y se mide con

Nmero de niveles de servicio afectados a causa de incidentes en la operacin. Horas no planeadas de tiempo sin servicio a causa de incidentes en la operacin. Porcentaje de activos de hardware incluidos en los programas de mantenimiento.

ESCRIPCIN DEL PROCESO. DS13 Administracin de Operaciones Un procesamie uiere dman imiento del hardware. Este pro cin de polticas y procedimientos perac n ara una admin stefec a del procesamiento program

ardware. Una efectiva adminis

preventivo de hretrasos en el trabajo y los costos operativos de TI.

Planear y Organizar



Monitorear y CEvaluar

inistrar operaciones

MO

NIT

OR

EA

R Y

EV

AL

UA

R

MONITOREAR Y EVALUAR ME1 Monitorear y Evaluar el Desempeo de TI

ME2 Monitorear y Evaluar el Control Interno

ME3 Garantizar el Cumplimiento Regulatorio

ME4 Proporcionar Gobierno de TI

Monitorear y Evaluar Monitorear y Evaluar el Desempeo de TI ME1


153

DESCRIPCIN DEL PROCESO. E1 Monitorear y Evaluar el Desempeo de TI

na efectiva administracin del desempeo de TI requiere un proceso de monitoreo. El proceso incluye la definicin de indicadores de esempeo relevantes, reportes sistemticos y oportunos de desempeo y tomar medidas expeditas cuando existan desviaciones. El

toreo se requiere para garantizar que las cosas correctas se hagan y que estn de acuerdo con el conjunto de direcciones y olticas.



Transparencia y entendimiento de los costos, beneficios, estrategia, polticas y niveles de servicio de TI de acuerdo con los requisitos de gobierno

Enfocndose en

Monitorear y reportar las mtricas del proceso e identificar e implementar acciones de mejoramiento del desempeo

Se logra con

Cotejar y traducir los reportes de desempeo de proceso a reportes gerenciales Comparar el desempeo contra las metas acordadas e iniciar las medidas correctivas necesarias

Y se mide con

Satisfaccin de la gerencia y de la entidad de gobierno con los reportes de desempeo Nmero de acciones de mejoramiento impulsadas por las actividades de monitoreo Porcentaje de procesos crticos monitoreados

MUdmonip

Planear y Organizar




Monitorear y evaluar el desempeo de TI

Monitorear y Evaluar Monitorear y Evaluar el Control Interno ME2


D

e ma de control interno efectivo para TI r n proceso bien definido de monitoreo. Este proceso incluye el tore iones de control, resulta pa e s. U

cio rno es proporc r seguridad respecto a las operaciones eficientes y efectivas y el plimi licables.


onitorear y evaluar el control interno


Proteger el logro de los objetivos de TI y cumplir las leyes y reglamentos relacionados con TI

Enfocndose en

toreo de los procesos de control interno para las actividades relacionadas con TI e identificar las acciones to

Se logra con

La definicin de un sistema de controles internos integrados en el marco de trabajo de los procesos de TI

Monitorear y reportar la efectividad de los controles internos sobre TI Reportar las excepciones de control a la gerencia para tomar acciones

Y se mide con

Nmero de brechas importantes del control interno Nmero de iniciativas para la mejora del control Nmero y cubrimiento de auto evaluaciones de control

ESCRIPCIN DEL PROCESO. ME2 Monitorear y Evaluar el Control Interno Establec r un progra equiere umoni o y el reporte de las excepc dos de las auto-evaluaciones y revisione

ionas por rte d tercero n

benefi clave del monitoreo del control intecum ento de las leyes y regulaciones ap

Pl near yOr zar

a gani




M

El monide mejoramien

Monitorear y Evaluar Garantizar el Cumplimiento con Requerimientos Externos ME3


Dmientos Externos

fectiva del cumplimiento regulatorio requi tablecimiento de un proceso independiente de revisin para ti egulaciones. Este d tn tndares profesionales, planeacin, desempeo del trabajo de auditora y reportes y

seguimiento a las actividades de auditora. El propsito de este proceso es proporcionar un aseguramiento positivo relativo al de las leyes y regulaciones.


arantizar el cumplimiento regulatorio

requerimiento del negocio de TI para

Cumplir las leyes y regulaciones

Enfocndose en

La identificacin de todas las leyes y regulaciones aplicables y el nivel correspondiente de cumplimiento de TI y la optimizacin de los procesos de TI para reducir el riesgo de no cumplimiento

Se logra con

La identificacin de los requisitos legales y regulatorios relacionados con TI La evaluacin del impacto de los requisitos regulatorios El monitoreo y reporte del cumplimiento de los requisitos regulatorios

Y se mide con

El costo del no cumplimiento de TI, incluyendo arreglos y multas Tiempo promedio de demora entre la identificacin de los problemas externos de

cumplimiento y su resolucin Frecuencia de revisiones de cumplimiento

ESCRIPCIN DEL PROCESO. ME3 Garantizar el Cumplimiento con RequeriUna supervisin e ere del esgaran zar el cumplimiento de las leyes y r proceso incluye la definicin de un declaracin e audi ora, indepe dencia de los auditores, tica y es

plimiento de TI cumPlanear y Organizar




G

Que satisface el

Monitorear y Evaluar Proporcionar Gobierno de TI ME4


D

de un marco de trabajo de gobierno efectivo, incluye la definicin de estructuras, procesos, liderazgo, roles y pon que I estn alin s y ue d con

te s empresariales.


roporcionar gobierno de TI


La integracin de un gobierno de TI con objetivos de gobierno corporativo y el cumplimiento con las leyes y regulaciones

Enfocndose en

oracin de informes para el consejo directivo sobre la estrategia, el desempeo y los riesgos de TI y er a los requerimientos de gobierno de acuerdo a las directrices del consejo directivo

Se logra con

El establecimiento de un marco de trabajo para el gobierno de TI, integrado al gobierno corporativo La obtencin de aseguramiento independientes sobre el estatus del gobierno de TI

Y se mide con

La frecuencia de informes del consejo directivo sobre TI a los interesados (incluyendo el nivel de madurez)

La frecuencia de los reportes de TI hacia el consejo directivo (incluyendo el nivel de madurez) Frecuencia de revisiones independientes del cumplimiento de TI

ESCRIPCIN DEL PROCESO. ME4 Proporcionar Gobierno de TI El establecimientores sabilidades organizacionales para garantizar as las inversiones empresariales en T eada de ac r o las estra gias y objetivo

Planea r y Organizar




P

La elabrespond

era tabla proporciona un mapeo inverso que muestra para cada proceso de TI, las metas de son soportadas.

Las tablas ayudan a demostrar el alcance de COBIT y la relacin general de negocio entre COBIT y los ncia en

s de T ara da, por lo daptars resa determinada.

iga hac sados p la las in contienen una indicacin de los criterios de informacin ms

portantes soportados por e

APNDICE I - TABLA DE ENLACES ENTRE METAS Y PROCEDIMIENTOS.

Este apndice brinda una visin global de cmo se relacionan las metas genricas del negocio con las metas de TI con los procesos de TI y con los criterios de informacin. Se proporcionan tres tablas:

1. La primera tabla muestra las equivalencias de las metas del negocio, de acuerdo al balanced scorecard, con las metas de TI y con los criterios de informacin1. Esto ayuda a mostrar, para una meta genrica de negocios determinada, las metas de TI que por lo general dan soporte a esta meta, y los criterios de informacin de COBIT que se relacionan con la meta del negocio.

2. La segunda tabla muestra las equivalencias de las metas de TI con los procesos de TI de COBIT, as como los criterios de informacin sobre los cuales se basa la meta de TI2.

3. La tercTI que

impulsores del negocio, permitiendo por medio de las metaen metas orgnicas y

as establecer la equivaleI, y los procesos de TI requeridos p

tre las metas tpicas de negocio, rles soporte. Las tablas se basan

e a la emptanto, se deben usar como gua y a

ia los criterios de informacin u tamb

Para proporcionar una l3 edicin de COBIT, las tabim

ara los requisitos de negocio de

l negocio y por las metas de TI.

Notas:

1 Los criterios de informacin contenidos en la grfica de metas de negocio s criterios para las metas de TI relacionadas y en una evaluacin subjetiva de aquellos q a meta del negocio. No se hizo el intento para indicar si son primarios o secundarios. Esto tivos y los usuarios pueden seguir un proceso similar al evaluar sus propias metas de negocio

2 Las referencias primarias y secundarias de los criterios de informacin en la grfica de metas de TI se basan en un agregado de los criterios para cada proceso de TI y en una evaluacin subjetiva de qu es primario y qu es secundario para la meta de TI., debido a que algunos procesos tienen mayor impacto en la meta de TI que otros. Estos son tan solo indicativos y los usuarios pueden seguir un proceso similar al evaluar sus propias metas de TI

AP

N

DIC

E I

ME

TA

S

APABLA DE ENLACES ENTRE METAS Y

PROCEDIMIENTOS.

NDICE I T

e basan en un agregado de losue son ms relevantes para ls son tan solo indica

APNDICE I

IT GOVERNANCE INSTITUTE

169

Ape

ndic

e I

Tab

las d

e E

nlac

e E

ntre

Me

oces

os

tas y

Pr

COBIT 4.1


Caso prctico: Gestin de Incidencias

Curso de Introduccin a la Auditora de Procesos de Sistemas de Informacin. Pg 1 de 18

Carctersticas de un proceso. Ejercicio.

A partir del Modelo de Procesos Genrico identificar sus elementos

en el documento de definicin del Proceso de Gestin de Incidencias

de la empresa Infolabs

GestorGestorGestor



Tabla de Contenidos

1. Proceso de Gestin de Incidencias ........................................................................................................................................................................................ 3 1.1. Definicin ....................................................................................................................................................................................................................................... 3 1.2. Objetivos. Alcance ....................................................................................................................................................................................................................... 3 1.3. Responsabilidades del proceso de Gestin de Incidencias ................................................................................................................................................. 4 1.4. Desencadenantes, entradas y salidas del proceso ............................................................................................................................................................... 4 2. Descripcin del proceso .......................................................................................................................................................................................................... 5 2.1. Relaciones con otros procesos ................................................................................................................................................................................................... 5 2.2. Actividades y procedimientos del Proceso ............................................................................................................................................................................. 5 2.3. Control de Calidad del Proceso de Gestin de Incidencias .............................................................................................................................................. 10 2.4. Indicadores .................................................................................................................................................................................................................................. 11 3. Roles y Responsabilidades..................................................................................................................................................................................................... 12 3.1. Responsable del Proceso de Gestin de Incidencias .......................................................................................................................................................... 13 3.2. Gestor de Incidencias ................................................................................................................................................................................................................ 13 3.3. Coordinador de Incidencias .................................................................................................................................................................................................... 14 3.4. Agentes de Incidencias ............................................................................................................................................................................................................. 14 3.5. Especialistas de Incidencias ..................................................................................................................................................................................................... 15 3.6. Gestor de Escalado .................................................................................................................................................................................................................... 15 3.7. Matriz RACI ................................................................................................................................................................................................................................... 16 4. Anexos ..................................................................................................................................................................................................................................... 18 4.1. Glosario de Trminos .................................................................................................................................................................................................................. 18



1. Proceso de Gestin de Incidencias

1.1. Definicin

proceso reactivo de soporte que se encarga de resolver de forma efectiva las incidencias reportadas por los usuarios y las incidencias de infraestructura detectadas, con el foco principal de restablecer la operacin normal del servicio con la mxima celeridad posible, minimizando el impacto y de acuerdo con las necesidades de los clientes.

Se denomina incidencia a cualquier evento que no forma parte de la operativa normal de un servicio que provoca, o puede provocar, la interrupcin, el mal funcionamiento

o la degradacin en la calidad del servicio, aunque no sea apreciado por el usuario final

1.2. Objetivos. Alcance

Los objetivos del proceso de Gestin de Incidencias son:

Gestionar el ciclo de vida de la incidencias

Restablecer la operacin normal del servicio lo antes posible

Minimizar el impacto negativo de incidencias en la operacin de negocio

Asegurar la calidad y disponibilidad de servicio de acuerdo con los ANSs.

Mantener la comunicacin entre la organizacin de TI y sus clientes acerca del

estado de una incidencia sobre un servicio

Proporcionar informacin de gestin

En el siguiente cuadro se reflejan las actividades, a nivel general, que forman parte del alcance del proceso de GI y las que explcitamente quedan fuera del alcance:

Alcance

Deteccin y registro de incidencias.

Clasificacin y soporte inicial a los usuarios sobre la incidencia

Investigacin y diagnosis de incidencias

Resolucin de incidencias y restauracin del servicio a su operacin normal

Cierre de la incidencia y comunicacin al usuario.

Fuera del alcance

Supervisin de eventos (incluida la correlacin)

Una solicitud para un nuevo servicio o un servicio adicional

Incluir siempre un anlisis de la causa raz

Incluir siempre una solucin permanente. Una solucin temporal puede ser

suficiente.

El alcance del proceso de Gestin de Incidencias se puede definir bajo los siguientes conceptos:

(1) Tipo de elementos de entrada a Gestin de Incidencias. Los elementos de entrada que se contemplan en el proceso de Gestin de Incidencias de InfoLabs son:

Incidencias, Peticin, Consulta y Queja.

Incidencia: Cualquier evento que implique el mal funcionamiento o degradacin del servicio, o pueda causarlo en breve, aunque no sea apreciado por el Cliente.

Dentro del proceso de Gestin de Incidencias existir un Subproceso que contemplar los siguientes elementos de entrada:

o Peticin: Solicitudes de servicio que pueda realizar el usuario y que debern estar incluidas en un catlogo.

o Consulta: Solicitud de informacin tcnica o funcional de servicios.

o Queja: Indicaciones del incorrecto cumplimiento o insatisfaccin del usuario en el tratamiento/resolucin de una llamada de servicio.

(2) Entornos a los que aplican las incidencias. El mbito de la gestin de incidencias se circunscribe al mbito de la Gerencia de Produccin

(3) Componentes afectados: sern los que se encuentren registrados en la CMDB de dicha gerencia

Quedan fuera del alcance del proceso de GI las peticiones de nuevos servicios (Proceso de) y la gestin de problemas (Proceso de Gestin de Problemas).



1.3. Responsabilidades del proceso de Gestin de Incidencias

A continuacin se describen las responsabilidades del proceso de Gestin de Incidencias en el mbito de Infolabs:

El proceso Gestin de incidencias registra, prioriza y resuelve las incidencias que se producen en la infraestructura y servicios de forma que el impacto en los Acuerdos de

Nivel de Servicio con los clientes sea el menor posible

Las incidencias que no puedan ser resueltas inmediatamente por operacin se pueden asignar a grupos especializados. Se deber establecer una solucin definitiva o

temporal lo antes posible para restaurar el servicio a los usuarios con el mnimo trastorno para su trabajo. Una vez resuelta la incidencia y restaurado el servicio acordado, se

cierra la incidencia.

Para permitir que cualquier miembro de operaciones proporcione al usuario un informe de progreso actualizado, se debe mantener un registro de la incidencia durante

todo el ciclo de la incidencia y un historial auditable del progreso de la incidencia.

Por gestionar las incidencias se entiende:

Deteccin y registro de incidencias

Clasificacin de las incidencias y soporte inicial

Investigacin y diagnstico

Resolucin y restauracin

Cierre de las incidencias

Comunicacin y Control de las incidencias

1.4. Desencadenantes, entradas y salidas del proceso

Los desencadenantes del proceso de Gestin de Incidencias pueden ser:

Humano: Solicitud de resolucin de incidencia, consulta, queja o reclamacin. Llegan a travs de una llamada telefnica, correo electrnico, registro web o nota interior.

Tecnolgico: Eventos de monitorizacin procedentes de las herramientas apropiadas y que tras la correlacin apropiada se convierten en incidencias.

Las principales entradas al proceso son:

o Informacin de componentes, usuarios y servicios (CMDB)

o Registro de soluciones conocidas y de documentacin de soporte (sistema de

gestin del conocimiento)

o Notificaciones de planificacin de cambios (Proceso Gestin de Cambios)

o Notificaciones de parada de servicio (Produccin)

o Notificacin de activacin de nuevo servicio (Produccin)

o Categoras de incidencias

o Matriz de prioridades

o Tiempos de respuesta y asignacin de incidencias

o Documentacin e informacin relacionada con escaladas y transferencias:

(1) Matriz de transferencia, (2) Matriz de Escalado y (3)Grupos y responsables

Las principales salidas del proceso son:

o Registro de incidencia, peticin, consulta o queja.

o Registro de una nueva solucin conocida

o Registro de un problema

o Notificaciones a usuarios (entrega nuevo servicio, indisponibilidad de servicio,

etc.)

o Peticin de Cambio para la resolucin de una incidencia.

o Informes de gestin (coste de los servicios, uso real de servicios, reas de

mejora en servicios, etc.



2. Descripcin del proceso

2.1. Relaciones con otros procesos

2.2. Actividades y procedimientos del Proceso

Las actividades principales del proceso de Gestin de Incidencias son:

Registro de la Incidencia, Peticin, Consulta o Queja (IPCQ)

Asignar la IPCQ

Diagnstico/Resolucin en 1er Nivel

Diagnstico/Resolucin en 2 Nivel

Gestin de Escalado

Diagnstico/Resolucin a travs del Equipo de Escalado

Control de la IPCQ

Cierre de la IPCQ

En el siguiente diagrama de flujo y tabla se recoge

una visin general de las actividades del proceso y sus relaciones:



N Procedimiento Entrada / Desencadenante Descripcin Criterio de Salida / Finalizacin

1.1 Registro de la IPCQ Desencadenante:

Llamada/mail/registro web/nota interior del usuario

para informar de una IPCQ

Personal de TI que informan de una incidencia

Herramientas de monitorizacin

Una llamada/mail/registro web/nota interior del usuario al punto nico de contacto puede ser

para informar de una incidencia, realizar una consulta o peticin de servicio o formular una

queja.

El agente de incidencias (1er Nivel) recibe la informacin y la revisa para evaluar si es una

llamada nueva, una llamada duplicada o relacionada con otra actualmente abierta.

El agente autentifica al usuario y revisa la informacin, la clasifica por el tipo de llamada

(incidencia, consulta, queja o peticin de servicio) y se prioriza en funcin de la urgencia e

impacto.

Llamada/mail/registro web/nota

interior registrada en la herramienta

de gestin de incidencias

1.2 Asignar la IPCQ Entrada:

IPCQ registrada

El agente de incidencias (1er Nivel) realiza una primera valoracin de la IPCQ y la asigna al

grupo de resolucin adecuado.

Se determina si la incidencia necesita un escalado inmediato. Si se necesita escalado, se pasa

al procedimiento 1.5 (Gestin de escalado).

Se asigna la incidencia a un coordinador de incidencias, que realiza el procedimiento 1.8

Control de la incidencia.

En funcin de la categora de la incidencia y la prioridad, la incidencia se enva a uno de los

siguientes procedimientos:

1.3 Diagnstico/resolucin en 1er Nivel

1.4 Diagnstico/resolucin en 2 Nivel (Especialistas).

La IPCQ asignada al grupo

adecuado para la resolucin y al

coordinador de incidencias

1.3 Diagnstico /

Resolucin en 1er

Nivel

Entrada:

IPCQ Asignada

El tcnico asignado acepta la incidencia, revisa los detalles, analiza para diagnosticar e

identificar las acciones necesarias para resolver la incidencia lo antes posible.

Solicitud para cerrar la IPCQ o

Solicitud para escalar la IPCQ

1.4 Diagnstico /

Resolucin en 2

Nivel

(Especialistas)

Entrada:

IPCQ Asignada

El tcnico asignado acepta la incidencia, revisa los detalles, realiza un anlisis para diagnosticar

e identificar las acciones necesarias para resolver la incidencia lo antes posible.

Solicitud para cerrar la

incidencia/peticin o

Solicitud para escalar la incidencia.



N Procedimiento Entrada / Desencadenante Descripcin Criterio de Salida / Finalizacin

1.5 Gestin del

escalado

Entrada:

Incidencia Registrada

Matriz de escalado / transferencia

El gestor de escalado gestiona la incidencia durante su ciclo de vida para asegurar que se

cumplen los niveles de servicio y que se resuelve la incidencia para satisfaccin del usuario.

El gestor de escalado es responsable de reunir un equipo de escalado (cuando convenga)

para resolver las interrupciones crticas, complejas o polticas.

Se procesan las incidencias que no se puedan resolver a travs de los niveles de resolucin

marcados por el proceso estndar debido al impacto de la incidencia en el negocio,

restricciones de tiempo o nivel de dificultad.

La responsabilidad, gestin y seguimiento de las incidencias escaladas es del Gestor de

escalados

Solicitud para la incidencia

Creacin de un equipo de

escalado para resolver la

incidencia

1.6 Diagnstico /

Resolucin a travs

del equipo de

escalado

Entrada:

Incidencia escalada

Razones de escalado

El jefe del equipo de escalado asignado acepta la incidencia y revisa los detalles.

El equipo realiza un anlisis, identifica y ejec

auditoría de procesos práctica.v0

Documents