sede guayaquil facultad de ingenierÍas...

SEDE GUAYAQUIL

FACULTAD DE INGENIERÍAS

CARRERA:

INGENIERÍA EN SISTEMAS

Tesis previa a la obtención del título de:

Ingeniero en Sistemas con mención en Informática para la Gestión

Tema: Diagnóstico para la Implantación de COBIT en una

Empresa de Producción

Área Piloto: Departamento de Sistemas

Tesistas:

Martha Elizabeth de la Torre Morales

Ingrid Kathyuska Giraldo Martínez

Carmen Azucena Villalta Gómez

Director:

Ing. Bertha Alice Naranjo Sánchez, MSC

Septiembre 2012

2

DECLARACIÓN

Nosotras; Martha Elizabeth de la Torre Morales, Ingrid Kathyuska Giraldo Martínez

y Carmen Azucena Villalta Gómez, declaramos bajo juramento que este trabajo es de

nuestra autoría y que hemos consultado las referencias bibliográficas incluidas en

este documento.

Dejamos constancia que cedemos los derechos de propiedad intelectual a la

Universidad Politécnica Salesiana – Sede Guayaquil según lo establecido por la ley

de Propiedad Intelectual, por su Reglamento y por la Normativa institucional vigente.

__________________________________

MARTHA E. DE LA TORRE MORALES

______________________________

INGRID K. GIRALDO MARTÍNEZ

_____________________________

CARMEN A. VILLALTA GÓMEZ

3

AGRADECIMIENTO Y DEDICATORIA

Primero a Dios, el centro de mi vida y mi fortaleza.

A Santiago y Haydeé, mis padres, mi inspiración, por su eterno

apoyo.

A Ángel Santiago, mi amado hijo, por soportar y comprender mis

ausencias mientras recorría este largo camino.

A Gustavo, mi partner, por su solidaridad y complicidad en esta

travesía.

A mi familia en general, por estar siempre conmigo.

A mis amigos, por su incondicionalidad.

Sin ustedes no podría avanzar en mis propósitos.

Gracias. Los amo infinitamente.

Un agradecimiento especial, a la Ing. Lilia Santos.

Martha E. de la Torre Morales

4


Principalmente a Dios.

A mi madre y mi tío, porque creyeron en mí y porque me sacaron

adelante, dándome ejemplos dignos de superación y entrega. Gracias

a ellos, hoy puedo ver alcanzada esta meta, ya que siempre estuvieron

impulsándome en los momentos más difíciles y porque el orgullo que

sienten por mí, fue lo que me hizo ir hasta el final. Esto es por ustedes,

por lo que significan para mí, y porque admiro su esfuerzo a pesar de

las dificultades.

A mis hermanas, primos, abuelos y amigos. Gracias por haber

fomentado en mí el deseo de superación y el anhelo de triunfo en la

vida. Sin ustedes este trabajo no hubiera podido ser realizado.

No me alcanzarían las palabras para agradecerles su apoyo y sus

consejos.

A todos, espero no defraudarlos y contar siempre con su valioso

apoyo, sincero e incondicional.

Ingrid Giraldo Martínez

5


Quiero dar gracias a:

DIOS: Por haberme dado la vida, sabiduría y su infinita misericordia.

MI ESPOSO: Por su amor, comprensión y apoyo; brindados en los momentos más difíciles de mi vida.

MIS PADRES: Por brindarme su ejemplo, amor y tiempo para ser una persona de bien.

MIS HERMANOS: Porque juntos formamos un futuro mejor para nuestra familia.

MI FAMILIA: Por fomentar los buenos valores y principios morales.

MIS AMIGOS: Por su apoyo incondicional a lo largo de mi carrera.

A todas las personas que hicieron que hoy cumpla mi meta mil gracias. Dios los bendiga

Carmen Villalta Gómez

6

CERTIFICADO

Certifico que el presente trabajo fue realizado por las estudiantes Ingrid Kathyuska

Giraldo Martínez, Martha Elizabeth de la Torre Morales y Carmen Azucena Villalta

Gómez; bajo mi dirección.

Guayaquil, Septiembre del 2012.

-----------------------------------------------

Ing. Bertha Naranjo Sánchez, MSC

DIRECTORA DE TESIS

7

ÍNDICE

CAPÍTULO 1 18

1.1 PLANTEAMIENTO DEL PROBLEMA 18

1.1.1 FORMULACIÓN DEL PROBLEMA DE INVESTIGACIÓN 19

1.1.2 PREGUNTAS DEL PROBLEMA DE INVESTIGACIÓN 19

1.2 OBJETIVOS 20

1.2.1 OBJETIVO GENERAL 20

1.2.2 OBJETIVOS ESPECÍFICOS 20

1.3 ALCANCE 20

1.4 VARIABLES E INDICADORES 21

1.5 MATRIZ CAUSA – EFECTO 22

CAPÍTULO 2 23

2.1 MARCO TEÓRICO 23

2.1.1 INTRODUCCIÓN COBIT 23

2.1.1.1 DOMINIOS EN LA UTILIZACIÓN DE COBIT 4.1 23

2.1.1.1.1 DOMINIO PLANEAR Y ORGANIZAR (PO) 31

2.1.1.1.2 DOMINIO ADQUIRIR E IMPLEMENTAR (AI) 45

2.1.1.1.3 DOMINIO ENTREGAR Y DAR SOPORTE (DS) 53

2.1.1.1.4 DOMINIO MONITOREAR Y EVALUAR (ME) 67

2.1.1.2 MISIÓN DE COBIT 72

2.1.1.2.1 ÁREAS DE ENFOQUE DEL GOBIERNO DE TI 72

2.1.1.2.2 CRITERIOS DE INFORMACIÓN DE COBIT 74

2.1.1.2.3 RECURSOS DE TI 76

2.1.1.2.4 MODELO DE MADUREZ COBIT 77

2.1.2 BENEFICIOS PARA LA EMPRESA EN APLICAR LA METODOLOGÍA COBIT 79

8

CAPÍTULO 3 80

3.1 ASPECTOS METODOLÓGICOS DE LA INVESTIGACIÓN 80

3.1.1 TIPO DE INVESTIGACIÓN 80

3.1.2 MÉTODO DE INVESTIGACIÓN 80

3.1.3 FUENTES Y TÉCNICAS PARA LA RECOLECCIÓN DE INFORMACIÓN 81

3.1.4 LIBROS DE COBIT UTILIZADOS PARA EL DIAGNÓSTICO 81

3.1.5 MÉTODO MATRICIAL PARA EL ANÁLISIS DE RIESGOS 82

3.1.5.1 DEFINICIONES PARA EL ANÁLISIS DE RIESGOS 82

3.1.6 ANÁLISIS FODA 83

CAPITULO 4 86

4.1 DIAGNÓSTICO DEL DEPARTAMENTO DE SISTEMAS DE LA EMPRESA EP 86

4.1.1 BREVE DESCRIPCIÓN DE LA EMPRESA EP 86

4.1.1.1 HISTORIA 86

4.1.1.2 PRODUCTOS FABRICADOS POR LA EMPRESA EP 87

4.1.1.3 SERVICIOS QUE OFRECE LA EMPRESA EP 87

4.1.1.4 PROMOCIONES DISPONIBLES EN LA EMPRESA EP 88

4.1.1.5 ESTRUCTURA ORGÁNICA ACTUAL DE LA EMPRESA EP 89

4.1.1.6 ORGANIGRAMA FUNCIONAL DE LAS TECNOLOGÍAS DE INFORMACIÓN EN LA EMPRESA EP 90

4.1.1.7 ORGANIGRAMA ESTRUCTURAL DE LAS TECNOLOGÍAS DE INFORMACIÓN EN LA EMPRESA EP 91

4.1.1.8 ANÁLISIS FODA DEL DEPARTAMENTO DE TECNOLOGÍAS DE INFORMACIÓN 92

4.1.2 DISEÑO DEL MODELO DE EVALUACIÓN 93

4.1.2.1 EVALUACIÓN DEL DEPARTAMENTO DE SISTEMAS DE LA EMPRESA EP APLICANDO LA METODOLOGÍA COBIT 4.1 117

4.1.2.1.1 RESULTADOS FINALES OBTENIDOS 117

4.1.2.1.1.1 RESULTADO DE LA EVALUACIÓN DEL CUMPLIMIENTO A NIVEL GENERAL 117

4.1.2.1.1.2 RESULTADO FINAL DE LA EVALUACIÓN POR DOMINIO 119

9

4.1.2.1.1.3 RESULTADO FINAL DE LA EVALUACIÓN POR PROCESO 120

4.1.2.1.1.4 RESULTADO FINAL DE LA EVALUACIÓN POR OBJETIVOS DE CONTROL 127

4.1.2.1.1.5 RESULTADO FINAL DE LA EVALUACIÓN POR OBJETIVOS DE CONTROL DE MENOR CUMPLIMIENTO 172

4.1.3 EVALUACIÓN DE RIESGOS DE TI 174

4.1.4 ELABORACIÓN DE POLÍTICAS A APLICAR ACORDE A LOS OBJETIVOS DE CONTROL CRÍTICOS 180

CONCLUSIONES y RECOMENDACIONES 188

BIBLIOGRAFÍA 211

DEFINICIONES DE TÉRMINOS 212

10

ÍNDICE DE ILUSTRACIONES

ILUSTRACIÓN 1: MARCO DE TRABAJO COMPLETO DE COBIT 4.1 ............ 24

ILUSTRACIÓN 2: DOMINIOS COBIT 4.1 ............................................................. 31

ILUSTRACIÓN 3: PROCESOS DEL DOMINIO PLANEAR Y ORGANIZAR .... 32

ILUSTRACIÓN 4: OBJETIVOS DE CONTROL DEL PROCESO PO1- DEFINIR UN PLAN ESTRATÉGICO DE TI ................................................. 33

ILUSTRACIÓN 5: OBJETIVOS DE CONTROL DEL PROCESO PO2- DEFINIR LA ARQUITECTURA DE LA INFORMACIÓN .......................... 34

ILUSTRACIÓN 6: OBJETIVOS DE CONTROL DEL PROCESO PO3 - DETERMINAR LA DIRECCIÓN TECNOLÓGICA .................................... 35

ILUSTRACIÓN 7: OBJETIVOS DE CONTROL DEL PROCESO PO4 - DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI .. 37

ILUSTRACIÓN 8: OBJETIVOS DE CONTROL DEL PROCESO PO5 – ADMINISTRAR LA INVERSIÓN DE TI .................................................... 38

ILUSTRACIÓN 9: OBJETIVOS DE CONTROL DEL PROCESO PO6 – COMUNICAR LAS ASPIRACIONES Y LA DIRECCIÓN DE LA GERENCIA ............................................................................................................... 39

ILUSTRACIÓN 10: OBJETIVOS DE CONTROL DEL PROCESO PO7 –ADMINISTRAR RECURSOS HUMANOS DE TI ........................................ 40

ILUSTRACIÓN 11: OBJETIVOS DE CONTROL DEL PROCESO PO8 - ADMINISTRAR LA CALIDAD .................................................................... 42

ILUSTRACIÓN 12: OBJETIVOS DE CONTROL DEL PROCESO PO9 - EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI ................................ 43

ILUSTRACIÓN 13: OBJETIVOS DE CONTROL DEL PROCESO PO10 - ADMINISTRAR PROYECTOS ................................................................... 44

ILUSTRACIÓN 14: PROCESOS DEL DOMINIO ADQUIRIR E IMPLEMENTAR ....................................................................................................... 45

ILUSTRACIÓN 15: OBJETIVOS DE CONTROL DEL PROCESO AI1– IDENTIFICAR SOLUCIONES AUTOMATIZADAS .................................... 46

11

ILUSTRACIÓN 16: OBJETIVOS DE CONTROL DEL PROCESO AI2 –ADQUIRIR Y MANTENER SOFTWARE APLICATIVO ............................ 47

ILUSTRACIÓN 17: OBJETIVOS DE CONTROL DEL PROCESO AI3 – ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA ...... 48

ILUSTRACIÓN 18: OBJETIVOS DE CONTROL DEL PROCESO AI4 – FACILITAR LA OPERACIÓN Y EL USO .................................................... 49

ILUSTRACIÓN 19: OBJETIVOS DE CONTROL DEL PROCESO AI5 – ADQUIRIR RECURSOS DE TI ..................................................................... 50

ILUSTRACIÓN 20: OBJETIVOS DE CONTROL DEL PROCESO AI6 – ADMINISTRAR CAMBIOS .......................................................................... 51

ILUSTRACIÓN 21: OBJETIVOS DE CONTROL DEL PROCESO AI7 – INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS ......................... 52

ILUSTRACIÓN 22: PROCESOS DEL DOMINIO ENTREGAR Y DAR SOPORTE ........................................................................................................ 53

ILUSTRACIÓN 23: OBJETIVOS DE CONTROL DEL PROCESO DS1 – DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIO .................... 54

ILUSTRACIÓN 24: OBJETIVOS DE CONTROL DEL PROCESO DS2 – ADMINISTRAR LOS SERVICIOS DE TERCEROS ................................... 55

ILUSTRACIÓN 25: OBJETIVOS DE CONTROL DEL PROCESO DS3 – ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD ........................... 56

ILUSTRACIÓN 26: OBJETIVOS DE CONTROL DEL PROCESO DS4 – GARANTIZAR LA CONTINUIDAD DEL SERVICIO ............................... 57

ILUSTRACIÓN 27: OBJETIVOS DE CONTROL DEL PROCESO DS5 – GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS ............................. 58

ILUSTRACIÓN 28: OBJETIVOS DE CONTROL DEL PROCESO DS6 – IDENTIFICAR Y ASIGNAR COSTOS ........................................................ 59

ILUSTRACIÓN 29: OBJETIVOS DE CONTROL DEL PROCESO DS7 – EDUCAR Y ENTRENAR A LOS USUARIOS ............................................ 60

ILUSTRACIÓN 30: OBJETIVOS DE CONTROL DEL PROCESO DS8 – ADMINISTRAR LA MESA DE SERVICIO Y LOS INCIDENTES ............ 61

ILUSTRACIÓN 31: OBJETIVOS DE CONTROL DEL PROCESO DS9 – ADMINISTRAR LA CONFIGURACIÓN .................................................... 62

12

ILUSTRACIÓN 32: OBJETIVOS DE CONTROL DEL PROCESO DS10 – ADMINISTRAR LOS PROBLEMAS ......................................................... 63

ILUSTRACIÓN 33: OBJETIVOS DE CONTROL DEL PROCESO DS11 – ADMINISTRAR LOS DATOS .................................................................... 64

ILUSTRACIÓN 34: OBJETIVOS DE CONTROL DEL PROCESO ....................... 65

ILUSTRACIÓN 35: OBJETIVOS DE CONTROL DEL PROCESO DS13 – ADMINISTRAR LAS OPERACIONES ...................................................... 66

ILUSTRACIÓN 36: PROCESOS DEL DOMINIO MONITOREAR Y EVALUAR ................................................................................................................. 67

ILUSTRACIÓN 37: OBJETIVOS DE CONTROL DEL PROCESO ME1 - MONITOREAR Y EVALUAR EL DESEMPEÑO DE TI ............................ 68

ILUSTRACIÓN 38: OBJETIVOS DE CONTROL DEL PROCESO ME2 – MONITOREAR Y EVALUAR EL CONTROL INTERNO ......................... 69

ILUSTRACIÓN 39: OBJETIVOS DE CONTROL DEL PROCESO ME3 – GARANTIZAR EL CUMPLIMIENTO CON REQUERIMIENTOS EXTERNOS ............................................................................................................... 70

ILUSTRACIÓN 40: OBJETIVOS DE CONTROL DEL PROCESO M4 - PROPORCIONAR GOBIERNO DE TI .......................................................... 71

ILUSTRACIÓN 41: ÁREAS DE ENFOQUE DEL GOBIERNO DE TI ................. 72

ILUSTRACIÓN 42: CRITERIOS DE INFORMACIÓN .......................................... 74

ILUSTRACIÓN 43: RECURSOS DE TI .................................................................. 76

ILUSTRACIÓN 44: ANÁLISIS FODA .................................................................... 84

ILUSTRACIÓN 45: MATRIZ FODA ....................................................................... 85

ILUSTRACIÓN 46: ESTRUCTURA ORGÁNICA ACTUAL DE LA EMPRESA EP ..................................................................................................... 89

ILUSTRACIÓN 47: ORGANIGRAMA FUNCIONAL DE LAS TI EN LA EMPRESA EP ............................................................................................... 90

ILUSTRACIÓN 48: ORGANIGRAMA ESTRUCTURAL DE LAS TI EN LA EMPRESA EP ............................................................................................... 91

13

ÍNDICE DE TABLAS

TABLA 1: VARIABLES E INDICADORES ........................................................... 21

TABLA 2: MATRIZ CAUSA – EFECTO ................................................................ 22

TABLA 3: MARCO DE TRABAJO COMPLETO DE COBIT 4.1 ......................... 25

TABLA 4: ANÁLISIS FODA – ÁREA TI................................................................ 92

TABLA 5: MATRIZ GENERAL COBIT 4.1 ........................................................... 94

TABLA 6: EVALUACIÓN DEL CUMPLIMIENTO DEL DEPARTAMENTO DE SISTEMAS A NIVEL GENERAL .................................. 118

TABLA 7: EVALUACIÓN POR DOMINIO.......................................................... 119

TABLA 8: LISTADO DE AMENAZAS/OBJETOS DEFINIDOS POR EL DEPARTAMENTO DE SISTEMAS ...................................................................... 174

TABLA 9: COMPARACIÓN DE CATEGORÍAS DE RIESGOS POR AMENAZAS ................................................................................................... 175

TABLA 10: COMPARACIÓN DE CATEGORÍAS DE RIESGOS POR OBJETOS ........................................................................................................ 176

TABLA 11: MATRIZ RESULTADO AMENAZAS/OBJETOS ............................ 177

TABLA 12: DEFINICIÓN DE LOS NIVELES DE RIESGO/SENSIBILIDAD DE TI ........................................................................................................................ 178

TABLA 13: MATRIZ IDENTIFICACIÓN DE LOS NIVELES DE RIESGO ...... 179

14

ÍNDICE DE GRÁFICOS

GRÁFICO 1: EVALUACIÓN DEL CUMPLIMIENTO DEL DEPARTAMENTO DE SISTEMAS A NIVEL GENERAL ................................................................... 118

GRÁFICO 2: EVALUACIÓN POR DOMINIO ..................................................... 119

GRÁFICO 3: PROCESOS DEL DOMINIO PLANEAR Y ORGANIZAR ........... 120

GRÁFICO 4: PROCESOS DEL DOMINIO ADQUIRIR E IMPLEMENTAR ..... 122

GRÁFICO 5: PROCESOS DEL DOMINIO ENTREGAR Y DAR SOPORTE ..... 123

GRÁFICO 6: PROCESOS DEL DOMINIO MONITOREAR Y EVALUAR ........ 126

GRÁFICO 7: OBJETIVOS DE CONTROL DEL PROCESO PO1 – DEFINIR UN PLAN ESTRATÉGICO DE TI ............................................. 127

GRÁFICO 8: OBJETIVOS DE CONTROL DEL PROCESO PO2 – DEFINIR LA ARQUITECTURA DE TI ..................................................... 128

GRÁFICO 9: OBJETIVOS DE CONTROL DEL PROCESO PO3 - DETERMINAR LA DIRECCIÓN TECNOLÓGICA .................................. 129

GRÁFICO 10: OBJETIVOS DE CONTROL DEL PROCESO PO4 - DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI 130

GRÁFICO 11: OBJETIVOS DE CONTROL DEL PROCESO PO5 - ADMINISTRAR LA INVERSION DE TI ................................................... 132

GRÁFICO 12: OBJETIVOS DE CONTROL DEL PROCESO PO6 - COMUNICAR LAS ASPIRACIONES Y LA DIRECCIÓN DE LA GERENCIA ............................................................................................................. 133

GRÁFICO 13: OBJETIVOS DE CONTROL DEL PROCESO PO7 - ADMINISTRAR RECURSOS HUMANOS DE TI ..................................... 134

GRÁFICO 14: OBJETIVOS DE CONTROL DEL PROCESO PO8 - ADMINISTRAR LA CALIDAD .................................................................. 135

GRÁFICO 15: OBJETIVOS DE CONTROL DEL PROCESO PO9 - EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI .............................. 137

GRÁFICO 16: OBJETIVOS DE CONTROL DEL PROCESO PO10 - ADMINISTRAR PROYECTOS ................................................................. 139

15

GRÁFICO 17: OBJETIVOS DE CONTROL DEL PROCESO AI1 - IDENTIFICAR SOLUCIONES AUTOMATIZADAS.................................. 140

GRÁFICO 18: OBJETIVOS DE CONTROL DEL PROCESO AI2 - ADQUIRIR Y MANTENER SOFTWARE APLICATIVO .......................... 141

GRÁFICO 19: OBJETIVOS DE CONTROL DEL PROCESO AI3 - ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA ..... 142

GRÁFICO 20: OBJETIVOS DE CONTROL DEL PROCESO AI4 - FACILITAR LA OPERACIÓN Y EL USO .................................................. 143

GRÁFICO 21: OBJETIVOS DE CONTROL DEL PROCESO AI5 - ADQUIRIR RECURSOS DE TI .................................................................... 144

GRÁFICO 22: OBJETIVOS DE CONTROL DEL PROCESO AI6 - ADMINISTRAR CAMBIOS ......................................................................... 145

GRÁFICO 23: OBJETIVOS DE CONTROL DEL PROCESO AI7 - INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS ........................ 146

GRÁFICO 24: OBJETIVOS DE CONTROL DEL PROCESO DS1 – DEFININIR Y ADMINISTRAR LOS NIVELES DE SERVICIO .............. 148

GRÁFICO 25: OBJETIVOS DE CONTROL DEL PROCESO DS2 – ADMINISTRAR LOS SERVICIOS DE TERCEROS ................................. 150

GRÁFICO 26: OBJETIVOS DE CONTROL DEL PROCESO DS3 – ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD ......................... 151

GRÁFICO 27: OBJETIVOS DE CONTROL DEL PROCESO DS4 – GARANTIZAR LA CONTINUIDAD DEL SERVICIO ............................. 153

GRÁFICO 28: OBJETIVOS DE CONTROL DEL PROCESO DS5 – GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS ........................... 155

GRÁFICO 29: OBJETIVOS DE CONTROL DEL PROCESO DS6 – IDENTIFICAR Y ASIGNAR COSTOS ...................................................... 157

GRÁFICO 30: OBJETIVOS DE CONTROL DEL PROCESO DS7 – EDUCAR Y ENTRENAR A LOS USUARIOS .......................................... 158

GRÁFICO 31: OBJETIVOS DE CONTROL DEL PROCESO DS8 – ADMINISTRAR LA MESA DE SERVICIO Y LOS INCIDENTES .......... 159

GRÁFICO 32: OBJETIVOS DE CONTROL DEL PROCESO DS9 – ADMINISTRAR LA CONFIGURACIÓN .................................................. 160

16

GRÁFICO 33: OBJETIVOS DE CONTROL DEL PROCESO DS10 – ADMINISTRAR LOS PROBLEMAS ....................................................... 162

GRÁFICO 34: OBJETIVOS DE CONTROL DEL PROCESO DS11 – ADMINISTRAR LOS DATOS .................................................................. 163

GRÁFICO 35: OBJETIVOS DE CONTROL DEL PROCESO DS12 – ADMINISTRAR EL AMBIENTE FÍSICO ................................................ 165

GRÁFICO 36: OBJETIVOS DE CONTROL DEL PROCESO DS13 – ADMINISTRAR LAS OPERACIONES .................................................... 166

GRÁFICO 37: OBJETIVOS DE CONTROL DEL PROCESO ME1 - MONITOREAR Y EVALUAR EL DESEMPEÑO DE TI .......................... 168

GRÁFICO 38: OBJETIVOS DE CONTROL DEL PROCESO ME2 - MONITOREAR Y EVALUAR EL CONTROL INTERNO ....................... 169

GRÁFICO 39: OBJETIVOS DE CONTROL DEL PROCESO ME3 - GARANTIZAR EL CUMPLIMIENTO REGULATORIO ......................... 170

GRÁFICO 40: OBJETIVOS DE CONTROL DEL PROCESO ME4 - PROPORCIONAR GOBIERNO DE TI ....................................................... 171

GRÁFICO 41: RESUMEN DE LOS OBJETIVOS DE CONTROL DE MENOR CUMPLIMIENTO .................................................................................... 172

GRÁFICO 42: EVALUACIÓN DE OBJETIVOS DE CONTROL CRÍTICOS ..... 173

17

ANEXOS

ANEXO 1: EVALUACIÓN POR PROCESOS ...................................................... 190

ANEXO 2: EVALUACIÓN POR OBJETIVOS DE CONTROL ........................... 191

ANEXO 3: RESUMEN DE OBJETIVOS DE CONTROL DE MENOR CUMPLIMIENTO ................................................................................................... 202

ANEXO 4: EVALUACIÓN DE OBJETIVOS DE CONTROL CRÍTICOS .......... 204

ANEXO 5: FORMATO DE APLICACIÓN ANÁLISIS DE RIESGOS DE TI (A) ....................................................................................................................... 205

ANEXO 6: FORMATO DE APLICACIÓN ANÁLISIS DE RIESGOS DE TI (B) ........................................................................................................................ 206

ANEXO 7: APLICACIÓN ANÁLISIS DE RIESGOS EN EL DEPARTAMENTO DE SISTEMAS (1) ................................................................. 207




18

CAPÍTULO 1

1.1 PLANTEAMIENTO DEL PROBLEMA

Las empresas ecuatorianas evolucionan constantemente en el crecimiento general de

sus economías, se van creando nuevas oportunidades de negocios que demandan

controles más estrictos para que el desarrollo organizacional vaya continuamente por

el camino de la eficiencia y la pro-actividad de quienes conforman la organización.

La orientación del crecimiento institucional suele ser un problema centrado en las

preocupaciones sin medir las reglas claras y normas conscientes que permitan buscar

certificaciones internacionales para el eficiente progreso de la organización donde se

detalla la importancia del actuar empresarial. Es motivo de consideración el manejo

correcto de la información en base a las nuevas metodologías y estándares que

beneficia en tiempo y costo a las organizaciones y de esa forma se logra un mayor

entendimiento claro y básico en una dirección sistemática.

La tecnología implica mucho riesgo, siendo un problema constante el manejo de las

tecnologías de Información reales y progresivas con estándares de control adecuados

para ser eficientes en el desarrollo de la información, la mayor parte de empresas se

desplazan en la despreocupación de controlar sus técnicas de información y evalúan

solo los procedimientos y no aplican los indicadores secuenciales de control.

COBIT es una metodología que garantiza el indicador de despliegue de la

información con el uso de materiales tecnológicos, siendo práctico y responsable en

las plataformas de comunicación establecidas. COBIT analiza los procedimientos de

información y ayuda a determinar qué sector o espacio está fallando y promueve los

controles para mejorar la actividad eficiente de la información.

La inversión en sistemas de control contribuye a descubrir que podemos mejorar a

través del desglose y transformación de los medios y recursos de tecnologías de

información aplicada. Por lo tanto, se debería de emplear en las organizaciones

dominios en base a la planificación, la parte organizativa en manejo de los

requerimientos y la entrega de tales requerimientos con soportes físicos y digitales.

19

Así mismo deberían tomar como recomendación el uso de metodologías o estándares

que les permitan determinar procesos críticos a nivel de la empresa o departamento.

1.1.1 FORMULACIÓN DEL PROBLEMA DE INVESTIGACIÓN

¿Cuáles son los principales aspectos de concienciación en los procesos aplicados

para la implementación del uso de COBIT en el departamento de sistemas de la

empresa EP1?

1.1.2 PREGUNTAS DEL PROBLEMA DE INVESTIGACIÓN

Con la aplicación de la metodología COBIT ¿Cuáles serían los principales problemas

resueltos en el departamento de sistemas de las diferentes empresas ecuatorianas?

¿Con la aplicación de la metodología COBIT los empleados del departamento de

sistemas podrán realizar mejor su trabajo en la empresa EP?

Es voluntaria la aplicación de una metodología de calidad de la información en las

industrias públicas y privadas, pero a nuestro criterio todo departamento de TI

debería considerar obligatoria su implementación en aras de mejorar en su calidad.

1 El nombre de la Empresa se lo mantiene en reserva para proteger su información

20

1.2 OBJETIVOS

1.2.1 OBJETIVO GENERAL

Contribuir a mejorar los procesos del departamento de sistemas mediante el

diagnóstico con la metodología COBIT aplicada en la empresa EP.

1.2.2 OBJETIVOS ESPECÍFICOS

• Estudiar los treinta y cuatro procesos de COBIT para poder evaluar la

situación del departamento de sistemas de la empresa EP.

• Realizar el Diagnóstico de los Procesos y Objetivos de Control de COBIT en

el departamento de sistemas.

• Determinar los riesgos relacionados con la prestación de servicios de TI en el

departamento de sistemas.

• Evaluar el resultado del diagnóstico realizado en el departamento de sistemas

considerando los procesos críticos y las falencias de los controles para

extender las recomendaciones respectivas.

• Definir políticas a desarrollar de cinco de los objetivos críticos para el control

de TI en el departamento de sistemas de la empresa EP.

1.3 ALCANCE

El proyecto será desarrollado en la matriz de la empresa EP ubicada al sur de la

ciudad de Guayaquil, comprende un diagnóstico de sus procesos para determinar el

grado de cumplimiento de los procesos y objetivos de control planteados en el

modelo metodológico de COBIT 4.1 e identificar los más críticos de la organización.

21

1.4 VARIABLES E INDICADORES

En la tabla siguiente se determinan las variables dependiente e independiente con sus

respectivos indicadores a utilizarse en el desarrollo del proyecto. Como variable

dependiente se define la mejora de los procesos del departamento de sistemas de la

empresa EP que dependería de la metodología COBIT la que se constituye por lo

tanto en variable independiente.

TABLA 1: VARIABLES E INDICADORES

VARIABLES INDICADORES

Independiente

Metodología COBIT 4.1

Grado de utilización

Nivel de satisfacción de usuario final

Toma de decisiones

Optimización de recursos

Dependiente

Mejorar procesos

Control

Políticas

Análisis de Riesgos

Elaborado: Las Autoras

22

1.5 MATRIZ CAUSA – EFECTO

Se identifica el problema, las causas y las soluciones viables que se deberían aplicar

en el departamento de sistemas de la empresa EP, detallados en la tabla 2.

TABLA 2: MATRIZ CAUSA – EFECTO

Problema general Objetivo general Hipótesis general

¿Cuáles son los principales aspectos de concienciación en los procesos aplicados para la implementación del uso de COBIT en el departamento de sistemas de la empresa EP?

Contribuir a mejorar los procesos del departamento de sistemas mediante el diagnóstico de la metodología COBIT aplicada en la empresa EP.

Con COBIT, la organización podrá controlar sus procesos de TI y sus ejecutivos tomarán decisiones oportunas y efectivas en el departamento de sistemas en la empresa EP.

Sus Problemas específicos

Objetivos específicos Hipótesis particulares

Estudiar los treinta y cuatro procesos de COBIT 4.1 para poder evaluar la situación del departamento de sistemas de la empresa EP.

Realizar el Diagnóstico de los Procesos y Objetivos de Control de COBIT en el departamento de sistemas.

El departamento de sistemas de la empresa EP aplica los procesos de COBIT para alcanzar los objetivos del negocio.

Determinar los riesgos relacionados con la prestación de servicios de TI en el departamento de sistemas.

Evaluar los resultados de los diagnósticos realizados en el departamento de sistemas considerando los procesos críticos y las falencias de los controles para extender las recomendaciones respectivas. Definir políticas a desarrollar para el control de TI en el departamento de sistemas en la empresa EP.

Definiendo políticas se mejoran los controles y los procesos críticos en el departamento de sistemas.


23

CAPÍTULO 2

2.1 MARCO TEÓRICO

2.1.1 INTRODUCCIÓN COBIT

DEFINICIÓN DE COBIT

Objetivos de Control para Tecnologías de información y relacionadas (COBIT, en inglés: Control Objetives for Information and related Technology) es un conjunto de mejores prácticas para el manejo de información creado por la Asociación para la Auditoría y Control de Sistemas de Información,(ISACA, en inglés: Information Systems Audit and Control Association), y el Instituto de Administración de las Tecnologías de la Información (IT Governance Institute) en 1992. (Fundación Wikimedia, 2012)

COBIT fue creado para ayudar a la alta dirección a garantizar el logro de objetivos

de los negocios mediante la dirección y control adecuado de las TI, sin embargo la

aplicación de COBIT se debería de dar en todos los niveles organizativos de la

empresa y no tan solo concentrarse en la tecnología de la información. COBIT está

involucrado en reflejar las principales directrices jerárquicas que permitan el control

de la tecnología de información aplicada en la empresa.

2.1.1.1 DOMINIOS EN LA UTILIZACIÓN DE COBIT 4.1

En la ilustración siguiente se resume cómo los distintos elementos del marco de

trabajo COBIT 4.1 se relacionan con las áreas de Gobierno de TI.

http://es.wikipedia.org/wiki/Mejores_pr%C3%A1cticas

http://es.wikipedia.org/w/index.php?title=ISACA&action=edit&redlink=1

24

ILUSTRACIÓN 1: MARCO DE TRABAJO COMPLETO DE COBIT 4.1

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Para la realización de la siguiente tabla nos hemos basado en el Manual COBIT 4.1

cuya clasificación por dominio, procesos y objetivos de control servirá de guía en la

ejecución del diagnóstico de este proyecto.

25

TABLA 3: MARCO DE TRABAJO COMPLETO DE COBIT 4.1

COBIT 4.1 DOMINIO PROCESOS OBJETIVOS DE CONTROL

PLA

NE

AR

Y O

RG

AN

IZA

R

PO1 - Definir un Plan Estratégico de TI

PO1.1 - Administración del Valor de TI PO1.2 - Alineación de TI con el Negocio PO1.3 - Evaluación del Desempeño y la Capacidad Actual PO1.4 - Plan Estratégico de TI PO1.5 - Planes Tácticos de TI PO1.6 - Administración del Portafolio de TI

PO2 - Definir la Arquitectura de la Información

PO2.1 - Modelo de Arquitectura de Información Empresarial PO2.2 - Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos PO2.3 - Esquema de Clasificación de Datos PO2.4 - Administración de Integridad

PO3 - Determinar la Dirección Tecnológica

PO3.1 - Planeación de la Dirección Tecnológica PO3.2 - Plan de Infraestructura Tecnológica PO3.3 - Monitoreo de Tendencias y Regulaciones Futuras PO3.4 - Estándares Tecnológicos PO3.5 - Consejo de Arquitectura de TI

PO4 - Definir los Procesos, Organización y Relaciones de TI

PO4.1 - Marco de Trabajo de Procesos de TI PO4.2 - Comité Estratégico de TI PO4.3 - Comité Directivo de TI PO4.4 - Ubicación Organizacional de la Función de TI PO4.5 - Estructura Organizacional PO4.6 - Establecimiento de Roles y Responsabilidades PO4.7 - Responsabilidad de Aseguramiento de Calidad de TI PO4.8 - Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento PO4.9 - Propiedad de Datos y de Sistemas PO4.10 - Supervisión PO4.11 - Segregación de Funciones PO4.12 - Personal de TI PO4.13 - Personal Clave de TI PO4.14 - Políticas y Procedimientos para Personal Contratado PO4.15 - Relaciones

PO5 - Administrar la Inversión en TI

PO5.1 - Marco de Trabajo para la Administración Financiera PO5.2 - Prioridades dentro del Presupuesto de TI PO5.3 - Proceso Presupuestal PO5.4 - Administración de Costos de TI PO5.5 - Administración de Beneficios

26


PLA

NE

AR

Y O

RG

AN

IZA

R

PO6 - Comunicar las Aspiraciones y la Dirección de la Gerencia

PO6.1 - Ambiente de Políticas y de Control PO6.2 - Riesgo Corporativo y Marco de Referencia de Control Interno de TI PO6.3 - Administración de Políticas para TI PO6.4 - Implantación de Políticas de TI PO6.5 - Comunicación de los Objetivos y la Dirección de TI

PO7 - Administrar Recursos Humanos de TI

PO7.1 - Reclutamiento y Retención del Personal PO7.2 - Competencias del Personal PO7.3 - Asignación de Roles PO7.4 - Entrenamiento del Personal de TI PO7.5 - Dependencia Sobre los Individuos PO7.6 - Procedimientos de Investigación del Personal PO7.7 - Evaluación del Desempeño del Empleado PO7.8 - Cambios y Terminación de Trabajo

PO8 - Administrar la Calidad

PO8.1 - Sistema de Administración de Calidad PO8.2 - Estándares y Prácticas de Calidad PO8.3 - Estándares de Desarrollo y de Adquisición PO8.4 - Enfoque en el Cliente de TI PO8.5 - Mejora Continua PO8.6 - Medición, Monitoreo y Revisión de la Calidad

PO9 - Evaluar y Administrar los Riesgos de TI

PO9.1 - Marco de Trabajo de Administración de Riesgos PO9.2 - Establecimiento del Contexto del Riesgo PO9.3 - Identificación de Eventos PO9.4 - Evaluación de Riesgos de TI PO9.5 - Respuesta a los Riesgos PO9.6 - Mantenimiento y Monitoreo de un Plan de Acción de Riesgos

PO10 - Administrar Proyectos

PO10.1 - Marco de Trabajo para la Administración de Programas PO10.2 - Marco de Trabajo para la Administración de Proyectos PO10.3 - Enfoque de Administración de Proyectos PO10.4 - Compromiso de los Interesados PO10.5 - Declaración de Alcance del Proyecto

PO10.6 - Inicio de las Fases del Proyecto

PO10.7 - Plan Integrado del Proyecto

PO10.8 - Recursos del Proyecto

PO10.9 - Administración de Riesgos del Proyecto

PO10.10 - Plan de Calidad del Proyecto

PO10.11 - Control de Cambios del Proyecto PO10.12 - Planeación del Proyecto y Métodos de Aseguramiento PO10.13 - Medición del Desempeño, Reporte y Monitoreo del Proyecto

PO10.14 - Cierre del Proyecto

27


ADQ

UIR

IR E

IMPL

EMEN

TAR

AI1 - Identificar soluciones automatizadas

AI1.1 - Definición y Mantenimiento de los Requerimientos Técnicos y Funcionales del Negocio AI1.2 - Reporte de Análisis de Riesgos AI1.3 - Estudio de Factibilidad y Formulación de Cursos de Acción Alternativos. AI1.4 - Requerimientos, Decisión de Factibilidad y Aprobación

AI2 - Adquirir y mantener software aplicativo

AI2.1 - Diseño de Alto Nivel AI2.2 - Diseño Detallado AI2.3 - Control y Posibilidad de Auditar las Aplicaciones AI2.4 - Seguridad y Disponibilidad de las Aplicaciones AI2.5 - Configuración e Implantación de Software Aplicativo Adquirido AI2.6 - Actualizaciones Importantes en Sistemas Existentes AI2.7 - Desarrollo de Software Aplicativo AI2.8 - Aseguramiento de la Calidad del Software AI2.9 - Administración de los Requerimientos de Aplicaciones AI2.10 - Mantenimiento de Software Aplicativo

AI3 - Adquirir y mantener infraestructura tecnológica

AI3.1 - Plan de Adquisición de Infraestructura Tecnológica AI3.2 - Protección y Disponibilidad del Recurso de Infraestructura AI3.3 - Mantenimiento de la Infraestructura AI3.4 - Ambiente de Prueba de Factibilidad

AI4 - Facilitar la operación y el uso

AI4.1 - Plan para Soluciones de Operación AI4.2 - Transferencia de Conocimiento a la Gerencia del Negocio AI4.3 - Transferencia de Conocimiento a Usuarios Finales AI4.4 - Transferencia de Conocimiento al Personal de Operaciones y Soporte

AI5 - Adquirir recursos de TI

AI5.1 - Control de Adquisición AI5.2 - Administración de Contratos con Proveedores AI5.3 - Selección de Proveedores AI5.4 - Adquisición de Recursos de TI

AI6 - Administrar cambios

AI6.1 - Estándares y Procedimientos para Cambios AI6.2 - Evaluación de Impacto, Priorización y Autorización AI6.3 - Cambios de Emergencia AI6.4 - Seguimiento y Reporte del Estatus de Cambio AI6.5 - Cierre y Documentación del Cambio

AI7 - Instalar y acreditar soluciones y cambios

AI7.1 - Entrenamiento AI7.2 - Plan de Prueba AI7.3 - Plan de Implantación AI7.4 - Ambiente de Prueba AI7.5 - Conversión de Sistemas y Datos AI7.6 - Pruebas de Cambios AI7.7 - Prueba de Aceptación Final AI7.8 - Promoción a Producción AI7.9 - Revisión Posterior a la Implantación

28


ENTR

EGAR

Y D

AR S

OPO

RTE

DS1 – Definir y administrar los niveles de servicio

DS1.1 - Marco de Trabajo de la Administración de los Niveles de Servicio DS1.2 - Definición de Servicios DS1.3 - Acuerdos de Niveles de Servicio DS1.4 - Acuerdos de Niveles de Operación DS1.5 - Monitoreo y Reporte del Cumplimento de los Niveles de Servicio DS1.6 - Revisión de los Acuerdos de Niveles de Servicio y de los Contratos

DS2 – Administrar los servicios de terceros

DS2.1 - Identificación de Todas las Relaciones con Proveedores DS2.2 - Gestión de Relaciones con Proveedores DS2.3 - Administración de Riesgos del Proveedor DS2.4 - Monitoreo del Desempeño del Proveedor

DS3 – Administrar el desempeño y la capacidad

DS3.1 - Planeación del Desempeño y la Capacidad DS3.2 - Capacidad y Desempeño Actual DS3.3 - Capacidad y Desempeño Futuros DS3.4 - Disponibilidad de Recursos de TI DS3.5 - Monitoreo y Reporte

DS4 – Garantizar la continuidad del servicio

DS4.1 - Marco de Trabajo de Continuidad de TI DS4.2 - Planes de Continuidad de TI DS4.3 - Recursos Críticos de TI DS4.4 - Mantenimiento del Plan de Continuidad de TI DS4.5 - Pruebas del Plan de Continuidad de TI DS4.6 - Entrenamiento del Plan de Continuidad de TI DS4.7 - Distribución del Plan de Continuidad de TI DS4.8 - Recuperación y Reanudación de los Servicios de TI DS4.9 - Almacenamiento de Respaldos Fuera de las Instalaciones DS4.10 - Revisión Post Reanudación.

DS5 – Garantizar la seguridad de los

sistemas

DS5.1 - Administración de la Seguridad de TI DS5.2 - Plan de Seguridad de TI DS5.3 - Administración de Identidad DS5.4 - Administración de Cuentas del Usuario DS5.5 - Pruebas, Vigilancia y Monitoreo de la Seguridad DS5.6 - Definición de Incidente de Seguridad DS5.7 - Protección de la Tecnología de Seguridad DS5.8 - Administración de Llaves Criptográficas DS5.9 - Prevención, Detección y Corrección de Software Malicioso DS5.10 - Seguridad de la Red DS5.11 - Intercambio de Datos Sensitivos

29


ENTR

EGAR

Y D

AR S

OPO

RTE

DS6 – Identificar y asignar costos

DS6.1 - Definición de Servicios DS6.2 - Contabilización de TI DS6.3 - Modelación de Costos y Cargos DS6.4 - Mantenimiento del Modelo de Costos

DS7 – Educar y entrenar a usuarios

DS7.1 - Identificación de Necesidades de Entrenamiento y Educación DS7.2 - Impartición de Entrenamiento y Educación DS7.3 - Evaluación del Entrenamiento Recibido

DS8 – Administrar la mesa de servicio y los incidentes

DS8.1 - Mesa de Servicios DS8.2 - Registro de Consultas de Clientes DS8.3 - Escalamiento de Incidentes DS8.4 - Cierre de Incidentes DS8.5 - Análisis de Tendencias

DS9 – Administrar la configuración

DS9.1 - Repositorio y Línea Base de Configuración DS9.2 - Identificación y Mantenimiento de Elementos de Configuración DS9.3 - Revisión de Integridad de la Configuración

DS10 –Administrar los problemas

DS10.1 - Identificación y Clasificación de Problemas DS10.2 - Rastreo y Resolución de Problemas DS10.3 - Cierre de Problemas DS10.4 - Integración de las Administraciones de Cambios, Configuración y Problemas

DS11 – Administrar los datos

DS11.1 - Requerimientos del Negocio para Administración de Datos DS11.2 - Acuerdos de Almacenamiento y Conservación DS11.3 - Sistema de Administración de Librerías de Medios DS11.4 - Eliminación DS11.5 - Respaldo y Restauración DS11.6 - Requerimientos de Seguridad para la Administración de Datos

DS12 – Administrar el ambiente físico

DS12.1 - Selección y Diseño del Centro de Datos DS12.2 - Medidas de Seguridad Física DS12.3 - Acceso Físico DS12.4 - Protección Contra Factores Ambientales DS12.5 - Administración de Instalaciones Físicas

DS13 – Administrar las operaciones

DS13.1 - Procedimientos e Instrucciones de Operación DS13.2 - Programación de Tareas. DS13.3 - Monitoreo de la Infraestructura de TI DS13.4 - Documentos Sensitivos y Dispositivos de Salida DS13.5 - Mantenimiento Preventivo del Hardware

30


MO

NIT

ORE

AR Y

EVA

LUAR

ME1 - Monitorear y Evaluar el Desempeño de TI

ME1.1 - Enfoque del Monitoreo

ME1.2 - Definición y Recolección de Datos de Monitoreo

ME1.3 - Método de Monitoreo

ME1.4 - Evaluación del Desempeño

ME1.5 - Reportes al Consejo Directivo y a Ejecutivos

ME1.6 - Acciones Correctivas

ME2 - Monitorear y Evaluar el Control Interno

ME2.1 - Monitorización del Marco de Trabajo de Control Interno

ME2.2 - Revisiones de Auditoría

ME2.3 - Excepciones de Control

ME2.4 - Control de Auto Evaluación

ME2.5 - Aseguramiento del Control Interno

ME2.6 - Control Interno para Terceros

ME2.7 - Acciones Correctivas

ME3 - Garantizar el Cumplimiento Regulatorio

ME3.1 - Identificar los Requerimientos de las Leyes, Regulaciones y Cumplimientos Contractuales

ME3.2 - Optimizar la Respuesta a Requerimientos Externos

ME3.3 - Evaluación del Cumplimiento con Requerimientos Externos

ME3.4 - Aseguramiento Positivo del Cumplimiento

ME3.5 - Reportes Integrados

ME4 - Proporcionar Gobierno de TI

ME4.1 - Establecimiento de un Marco de Gobierno de TI

ME4.2 - Alineamiento Estratégico

ME4.3 - Entrega de Valor

ME4.4 - Administración de Recursos

ME4.5 - Administración de Riesgos

ME4.6 - Medición del Desempeño

ME4.7 - Aseguramiento Independiente



31

COBIT se centra en un modelo de gestión basada en cuatro dominios que se

presentan en la siguiente ilustración para luego dar una breve explicación de cada

uno:

ILUSTRACIÓN 2: DOMINIOS COBIT 4.1

Planear Y Organizar

Adquirir e Implementar

Entregar y Dar Soporte

Monitorear y Evaluar



2.1.1.1.1 DOMINIO PLANEAR Y ORGANIZAR (PO)

Este dominio cubre la estrategia y las tácticas, se refiere a la identificación de la forma en que la tecnología de información puede contribuir de la mejor manera al logro de los objetivos del negocio. Además, la consecución de la visión estratégica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, deberán establecerse una organización y una infraestructura tecnológica apropiadas. Basado en procesos y estos a su vez subdivididos en objetivos de control que se muestran en cada ilustración. (IT Governance Institute, COBIT 4.1, Pág.12, 2007)

32

El dominio planear y organizar está compuesto de 10 procesos que se detallan en la

ilustración siguiente:

ILUSTRACIÓN 3: PROCESOS DEL DOMINIO PLANEAR Y ORGANIZAR

PO1 Definir un Plan Estratégico de TI

PO5Administrar la Inversión en TI

PO2Definir la

Arquitectura de la Información

PO6 Comunicar las Aspiraciones y la Dirección de la

Gerencia

PO3 Determinar la Dirección

Tecnológica

PO7Administrar

Recursos Humanos de TI

PO4Definir los Procesos,

Organización y Relaciones de TI

PO8 Administrar la Calidad

PO9Evaluar y

Administrar los riesgos de TI

PO10Administrar Proyectos



33

PROCESO PO1- DEFINIR UN PLAN ESTRATÉGICO DE TI

Según COBIT 4.1 “La planeación estratégica de TI es necesaria para gestionar y

dirigir todos los recursos de TI en línea con la estrategia y prioridades del negocio”.

(IT Governance Institute, COBIT 4.1, Pág.29, 2007)

En la siguiente ilustración se detallan los 6 objetivos de control que componen el

proceso definir un plan estratégico de TI.

ILUSTRACIÓN 4: OBJETIVOS DE CONTROL DEL PROCESO PO1- DEFINIR UN PLAN ESTRATÉGICO DE TI



ANÁLISIS GENERAL DE LOS OBJETIVOS DE CONTROL:

La viabilidad de todo proceso implica una conjugación de pasos estratégicos que

amerita la concertación de actividades para la búsqueda de beneficios óptimos en

eficiencia de los objetivos de un proceso organizacional. La consecución de los

objetivos depende directamente de los pasos secuenciales difundidos dentro de la

empresa para la correcta administración de los objetivos que inciden en los valores

implementados en la alineación estratégica de la misma, buscan incurrir en las

evaluaciones constantes y perennes para conseguir el plan estratégico institucional

que permita describir los planes tácticos a implementar a la realización del tema.

34

PROCESO PO2 - DEFINIR LA ARQUITECTURA DE LA INFORMACIÓN

La descripción del proceso de COBIT detalla lo siguiente “La función de sistemas de

información debe crear y actualizar de forma regular un modelo de información del

negocio y definir los sistemas apropiados para optimizar el uso de esta información”.


Los 4 objetivos de control que abarca el proceso definir la arquitectura de la

información se detallan en la siguiente ilustración:

ILUSTRACIÓN 5: OBJETIVOS DE CONTROL DEL PROCESO PO2- DEFINIR LA ARQUITECTURA DE LA INFORMACIÓN




Cuando los objetivos implican el manejo de una infraestructura basada en la

información es necesario respetar un modelo de tendencia para que los objetivos

incurran en un proceso pro-activo de gestión ilimitada para que con una base

informativa a través de diccionarios de valores y elementos ejecutables dentro de la

organización mantengan las reglas claras en el desarrollo de los datos, realizando una

esquematización que busca integrar la confianza y la responsabilidad de todos

35

quienes conforman las actividades de la TI en su completa y extensa calidad en la

empresa.

PROCESO PO3 - DETERMINAR LA DIRECCIÓN TECNOLÓGICA

El marco de trabajo COBIT indica:

La función de servicios de información debe determinar la dirección tecnológica para dar soporte al negocio. Esto requiere de la creación de un plan de infraestructura tecnológica y de un comité de arquitectura que establezca y administre expectativas realistas y claras de lo que la tecnología puede ofrecer en términos de productos, servicios y mecanismos de aplicación. (IT Governance Institute, COBIT 4.1, Pág.37, 2007)

El proceso determinar la dirección tecnológica está compuesto de 5 objetivos de

control que se muestran en la siguiente ilustración:

ILUSTRACIÓN 6: OBJETIVOS DE CONTROL DEL PROCESO PO3 - DETERMINAR LA DIRECCIÓN TECNOLÓGICA




La dirección tecnológica involucra la planificación estratégica y la creación de un

consejo de arquitectura con la finalidad de responder oportunamente a los cambios

36

sistemáticos y además permitan planificar de forma eficaz las tendencias y

regulaciones que se presenten en el tiempo y que acojan como prioridad el monitoreo

y la evaluación de sistemas aplicativos así como recursos y capacidades que permitan

aprovechar las oportunidades tecnológicas.

PROCESO PO4 - DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI Se define en COBIT este proceso como:

Una organización de TI se debe definir tomando en cuenta los requerimientos de personal, funciones, rendición de cuentas, autoridad, roles, responsabilidades y supervisión. La organización está embebida en un marco de trabajo de procesos de TI que asegure la transparencia y el control, así como el involucramiento de los altos ejecutivos y de la gerencia del negocio. (IT Governance Institute, COBIT 4.1, Pág.41, 2007)

Se detallan los 15 objetivos de control que comprende el proceso definir los

procesos, organización y relaciones de TI en la siguiente ilustración:

37

ILUSTRACIÓN 7: OBJETIVOS DE CONTROL DEL PROCESO PO4 - DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI




Las relaciones de TI responden a las responsabilidades de entregar calidad en cada

proceso, con la información y los datos que deben de estar adecuadamente

supervisados para que la segregación de funciones sean lo más efectivo posible y el

personal involucrado en la consecución de los objetivos elaboren un marco de trabajo

estratégico que amplíe los constantes esfuerzos por alcanzar nuevas metas en la

infraestructura, las tendencias organizativas incitan a un entorno sólido y

característico para alcanzar roles relativamente responsables en cada meta trazada.

38

PROCESO PO5 - ADMINISTRAR LA INVERSIÓN EN TI

COBIT indica que el proceso debe: “Establecer y mantener un marco de trabajo para

administrar los programas de inversión en TI que abarquen costos, beneficios,

prioridades dentro del presupuesto, un proceso presupuestal formal y administración

contra ese presupuesto”. (IT Governance Institute, COBIT 4.1, Pág.47, 2007)

En la siguiente ilustración se detallan los 5 objetivos de control que conforman el

proceso administrar la inversión en TI.

ILUSTRACIÓN 8: OBJETIVOS DE CONTROL DEL PROCESO PO5 – ADMINISTRAR LA INVERSIÓN DE TI




Los objetivos se basan en la meta alcanzada y a mejorar los procesos en las distintas

áreas, sin embargo la inversión consiste en medir el esfuerzo, la eficiencia y

optimizar los recursos con una adecuada gestión financiera, que permita difundir

habilidades de comunicación integradoras para la correcta consecución de beneficios.

El manejo adecuado y garantizado del proceso implica cambios sustanciales que

garanticen beneficios y nuevos objetivos trazados.

39

PROCESO PO6 - COMUNICAR LAS ASPIRACIONES Y LA DIRECCIÓN DE LA GERENCIA Lo que menciona COBIT para este proceso es: “La dirección debe elaborar un marco

de trabajo de control empresarial para TI, y definir y comunicar las políticas. El

proceso debe garantizar el cumplimiento de las leyes y reglamentos relevantes”. (IT

Governance Institute, COBIT 4.1, Pág.51, 2007)

En la siguiente ilustración se detallan los 5 objetivos de control que abarca el proceso

comunicar las aspiraciones y la dirección de la gerencia.

ILUSTRACIÓN 9: OBJETIVOS DE CONTROL DEL PROCESO PO6 – COMUNICAR LAS ASPIRACIONES Y LA DIRECCIÓN DE LA

GERENCIA




El principal elemento para la consecución de los objetivos es el control siendo

prioridad en las actividades integradoras que aplica la empresa en su proceso de

enlazar la TI con el contorno de comunicación existente en los diferentes

departamentos de la empresa, generando la elaboración y administración de políticas

con el objeto de tener una dirección más efectiva.

40

El efecto comunicación garantiza un síntoma de creer que se pueden hacer las cosas

mejor de lo que se está haciendo, creando un clima de constante motivación y deseo

por alcanzar las metas definidas.

PROCESO PO7 - ADMINISTRAR RECURSOS HUMANOS DE TI

COBIT indica para este proceso:

Adquirir, mantener y motivar una fuerza de trabajo para la creación y entrega de servicios de TI para el negocio. Esto se logra siguiendo prácticas definidas y aprobadas que apoyan el reclutamiento, entrenamiento, la evaluación del desempeño, la promoción y la terminación. Este proceso es crítico, ya que las personas son activos importantes, y el ambiente de gobierno y de control interno depende fuertemente de la motivación y competencia del personal. (IT Governance Institute, COBIT 4.1, Pág.55, 2007)

Los 8 objetivos de control comprendidos en el proceso administrar recursos humanos

de TI se muestran en la siguiente ilustración:

ILUSTRACIÓN 10: OBJETIVOS DE CONTROL DEL PROCESO PO7 –ADMINISTRAR RECURSOS HUMANOS DE TI



41


El factor o talento humano implica la correcta aplicación de las competencias en

relación al desempeño de las funciones del recurso más importante para los objetivos

estratégicos de la empresa. Un manejo adecuado en el reclutamiento involucra un

proceso de estudio y análisis de competencias para la asignación de cargos y

ejecución de roles, de esto dependerá que el recurso humano sea proactivo y no se

cree dependencia en cada una de las actividades.

El objetivo es enmarcar una eficiencia de al menos un 90% del personal de toda la

empresa, sin embargo el indicador influye para mejorar y mantener el equilibrio en

las distintas actividades del personal, por eso es necesaria la proactividad, la

evaluación y el desempeño de las actividades grupales.

PROCESO PO8 - ADMINISTRAR LA CALIDAD

Para el cumplimiento del proceso, COBIT indica:

“Se debe elaborar y mantener un sistema de administración de calidad, el cual

incluya procesos y estándares probados de desarrollo y de adquisición. La

administración de calidad es esencial para garantizar que TI está dando valor al

negocio, mejora continua y transparencia para los interesados”. (IT Governance

Institute, COBIT 4.1, Pág.59, 2007)

El proceso administrar la calidad está conformado por 6 objetivos de control que se

presentan en la siguiente ilustración:

42

ILUSTRACIÓN 11: OBJETIVOS DE CONTROL DEL PROCESO PO8 - ADMINISTRAR LA CALIDAD




Un servicio es considerado como tal cuando la calidad envuelve el soporte de toda

acción ejecutada por el personal de la empresa, sin embargo la medición de la calidad

está reflejada en las actividades ampliadas y en el desarrollo de nuevas tecnologías

que involucra un proceso de cambio y mejoras para con los clientes internos y

externos de la organización. La calidad forma parte de la planeación, control y

evaluación por lo que refiere varios objetivos enlazados para encontrar los estándares

de calidad y desarrollo, además su enfoque en los clientes internos y externos refleja

una integración en base a la responsabilidad y confianza prescrita en cada analogía

de los objetivos de control que mantiene COBIT.

43

PROCESO PO9 - EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI

De acuerdo con COBIT para este proceso se debe:

Crear y dar mantenimiento a un marco de trabajo de administración de riesgos. El marco de trabajo documenta un nivel común y acordado de riesgos de TI, estrategias de mitigación y riesgos residuales. Cualquier impacto potencial sobre las metas de la organización, causado por algún evento no planeado se debe identificar, analizar y evaluar. El resultado de la evaluación debe ser entendible para los Interesados (Stakeholders) y se debe expresar en términos financieros, para permitirles alinear los riesgos a un nivel aceptable de tolerancia. (IT Governance Institute, COBIT 4.1, Pág.63, 2007)

En la siguiente ilustración se detallan los 6 objetivos de control comprendidos en el

proceso evaluar y administrar los riesgos de TI.

ILUSTRACIÓN 12: OBJETIVOS DE CONTROL DEL PROCESO PO9 - EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI




La administración del riesgo de TI está basada en los indicadores de control que

ayudan en la identificación de eventos, su posterior evaluación y elaboración de

respuestas estratégicas y oportunas que permitan un efectivo control de las amenazas

y disminución del impacto, todo esto encuadrado en un marco de trabajo y

considerado en un plan de acción de riesgo debidamente evaluado y monitoreado

periódicamente.

44

PROCESO PO10 - ADMINISTRAR PROYECTOS

Para COBIT se debe:

Establecer un marco de trabajo de administración de programas y proyectos para la administración de todos los proyectos de TI establecidos. El marco de trabajo debe garantizar la correcta asignación de prioridades y la coordinación de todos los proyectos. Este enfoque reduce el riesgo de costos inesperados y de cancelación de proyectos, mejora la comunicación y el involucramiento del negocio y de los usuarios finales, asegura el valor y la calidad de los entregables de los proyectos, y maximiza la contribución a los programas de inversión facilitados por TI”. (IT Governance Institute, COBIT 4.1, Pág.67)

Se muestran los 14 objetivos de control que comprende el proceso administrar

proyectos en la siguiente ilustración:

ILUSTRACIÓN 13: OBJETIVOS DE CONTROL DEL PROCESO PO10 - ADMINISTRAR PROYECTOS




Estos objetivos de control se relacionan con el manejo adecuado de los proyectos

desde su inicio hasta su culminación, midiendo el desempeño, reportando y

monitoreando su desenvolvimiento, vigilando de esta manera la utilización apropiada

de los recursos para que la calidad del proyecto sea la más efectiva.

45

2.1.1.1.2 DOMINIO ADQUIRIR E IMPLEMENTAR (AI)

“Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas,

desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso

del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados

a sistemas existentes”. (IT Governance Institute, COBIT 4.1, Pág.12, 2007)

Esta definición trata de incursionar en las soluciones eficientes que detalla la

metodología COBIT en los procesos de calidad del negocio, situación que pretende

dar cambios y soportes a los proyectos que se vincula con base al esfuerzo de los

recursos, siendo imprescindible el mantenimiento de los sistemas. Las TI garantizan

que los procesos se ejecuten adecuadamente identificando los inconvenientes o

riesgos para luego poder sistematizar la realización de los nuevos procesos, la

adquisición de un software que permita mantener una mejor infraestructura

tecnológica que agilite las operaciones de la empresa.

En la siguiente ilustración se detallan los 7 procesos del dominio Adquirir e

Implementar.

ILUSTRACIÓN 14: PROCESOS DEL DOMINIO ADQUIRIR E

IMPLEMENTAR

AI1 Identificar soluciones

automatizadas

AI2 Adquirir y mantener software aplicativo

AI3 Adquirir y mantener

infraestructura tecnológica

AI4 Facilitar la operación y el

uso

AI5 Adquirir recursos de TI

AI6 Administrar

cambios

AI7 Instalar y acreditar

soluciones y cambios



46

PROCESO AI1 – IDENTIFICAR SOLUCIONES AUTOMATIZADAS

La necesidad de una nueva aplicación o función requiere de análisis antes de la compra o desarrollo para garantizar que los requisitos del negocio se satisfacen con un enfoque efectivo y eficiente, que permiten a las organizaciones minimizar el costo para Adquirir e Implementar soluciones, mientras que al mismo tiempo facilitan el logro de los objetivos del negocio. (IT Governance Institute, COBIT 4.1, Pág.73, 2007)

Este primer proceso de identificar soluciones automatizadas se compone de 4 objetivos de control que se detallan en la siguiente ilustración:

ILUSTRACIÓN 15: OBJETIVOS DE CONTROL DEL PROCESO AI1– IDENTIFICAR SOLUCIONES AUTOMATIZADAS




Los objetivos de control de este proceso permiten identificar en las soluciones

automatizadas su efectividad y eficiencia, mediante la definición de los

requerimientos técnicos del negocio, el análisis de los riesgos, y la aprobación de los

estudios que se realicen de factibilidad y cursos de acción alternativos.

47

PROCESO AI2 – ADQUIRIR Y MANTENER SOFTWARE APLICATIVO

Este proceso cubre el diseño de las aplicaciones, la inclusión apropiada de controles aplicativos y requerimientos de seguridad, y el desarrollo y la configuración en sí de acuerdo a los estándares. Esto permite a las organizaciones apoyar la operatividad del negocio de forma apropiada con las aplicaciones automatizadas correctas. (IT Governance Institute, COBIT 4.1, Pág.77, 2007)

Con la siguiente ilustración se muestran los 10 objetivos de control que conforman

el proceso adquirir y mantener software aplicativo.

ILUSTRACIÓN 16: OBJETIVOS DE CONTROL DEL PROCESO AI2 –ADQUIRIR Y MANTENER SOFTWARE APLICATIVO




Con estos objetivos de control se contribuye a mantener aplicaciones acordes a los

requerimientos del negocio, garantizando su calidad, seguridad, disponibilidad y

confiabilidad así como la satisfacción de los usuarios, convirtiendo el proceso en

oportuno y rentable si está basado en buenas prácticas de adquisición y

mantenimiento de software aplicativo.

48

PROCESO AI3 – ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA

Las organizaciones deben contar con procesos para adquirir, Implementar y actualizar la infraestructura tecnológica. Esto requiere de un enfoque planeado para adquirir, mantener y proteger la infraestructura de acuerdo con las estrategias tecnológicas convenidas y la disposición del ambiente de desarrollo y pruebas. Esto garantiza que exista un soporte tecnológico continuo para las aplicaciones del negocio. (IT Governance Institute, COBIT 4.1, Pág.81, 2007)

Con la siguiente ilustración se detallan los 4 objetivos de control que comprende el

proceso adquirir y mantener infraestructura tecnológica:

ILUSTRACIÓN 17: OBJETIVOS DE CONTROL DEL PROCESO AI3 – ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA




La infraestructura tecnológica es un elemento primordial en el desarrollo integrado

de la empresa por lo que su adquisición y mantenimiento debe estar basado en un

plan que considere aspectos tales como costos, riesgos, vulnerabilidad, vida útil, etc.

Con estos objetivos se puede proporcionar una infraestructura tecnológica confiable

y segura.

49

PROCESO AI4 – FACILITAR LA OPERACIÓN Y EL USO

“Este proceso requiere la generación de documentación y manuales para usuarios y

para TI, y proporciona entrenamiento para garantizar el uso y la operación correctos

de las aplicaciones y la infraestructura”. (IT Governance Institute, COBIT 4.1,

Pág.85, 2007)

El proceso facilitar la operación y el uso se compone de 4 objetivos de control que se

muestran en la ilustración siguiente:

ILUSTRACIÓN 18: OBJETIVOS DE CONTROL DEL PROCESO AI4 – FACILITAR LA OPERACIÓN Y EL USO




Estos controles contribuyen en la planificación de soluciones operativas que

comprenden la transferencia de competencias y conocimientos al recurso humano

para el soporte de las actividades de las TI y la utilización efectiva y eficiente de los

sistemas que sirven de apoyo a los procesos del negocio. La documentación, el

entrenamiento así como la adopción de herramientas y métodos se mantiene en

forma continua y reflejan el apoyo a los requerimientos de la organización.

50

PROCESO AI5 – ADQUIRIR RECURSOS DE TI

Se deben suministrar recursos TI, incluyendo personas, hardware, software y servicios. Esto requiere de la definición y ejecución de los procedimientos de adquisición, la selección de proveedores, el ajuste de arreglos contractuales y la adquisición en sí. El hacerlo así garantiza que la organización tenga todos los recursos de TI que se requieren de una manera oportuna y rentable. (IT Governance Institute, COBIT 4.1, Pág.89, 2007)

En la siguiente ilustración se detallan los 4 objetivos de control que abarca en el

proceso adquirir recursos de TI.

ILUSTRACIÓN 19: OBJETIVOS DE CONTROL DEL PROCESO AI5 – ADQUIRIR RECURSOS DE TI




El adquirir recursos de TI involucra su control mediante el desarrollo de

procedimientos de adquisición, la administración de contratos con los proveedores

para su correcta selección consiguiendo con estos objetivos de control el

cumplimiento de los intereses del negocio y la optimización de los recursos en

términos monetarios.

51

PROCESO AI6 – ADMINISTRAR CAMBIOS

Según COBIT:

Todos los cambios, incluyendo el mantenimiento de emergencia y parches, relacionados con la infraestructura y las aplicaciones dentro del ambiente de producción, deben administrarse formalmente y controladamente. Los cambios (incluyendo procedimientos, procesos, sistema y parámetros del servicio) se deben registrar, evaluar y autorizar previo a la implantación y revisar contra los resultados planeados después de la implantación. Esto garantiza la reducción de riesgos que impactan negativamente la estabilidad o integridad del ambiente de producción. (IT Governance Institute, COBIT 4.1, Pág.93, 2007)

Los 5 objetivos de control comprendidos en el proceso administrar cambios se

muestran en la siguiente ilustración:

ILUSTRACIÓN 20: OBJETIVOS DE CONTROL DEL PROCESO AI6 – ADMINISTRAR CAMBIOS




Los objetivos de control de este proceso permiten seguir los pasos secuenciales para

la adecuada administración de cambios definiendo y comunicando oportunamente los

procedimientos a cumplir para realizarlos. El monitoreo y evaluación de los cambios

minimiza errores e interrupciones y agrega valor a la información garantizando que

TI sea un factor que hace posible un incremento en la productividad y crea nuevas

oportunidades de negocio para la organización.

52

PROCESO AI7 – INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS

Para el proceso se define que:

Los nuevos sistemas necesitan estar funcionales una vez que su desarrollo se completa. Esto requiere pruebas adecuadas en un ambiente dedicado con datos de prueba relevantes, definir la transición e instrucciones de migración, planear la liberación y la transición en sí al ambiente de producción, y revisar la post-implantación. Esto garantiza que los sistemas operativos estén en línea con las expectativas convenidas y con los resultados. (IT Governance Institute, COBIT 4.1, Pág.97, 2007)

Los 9 objetivos de control que conforman el proceso instalar y acreditar soluciones y

cambios, se detallan en la siguiente ilustración.

ILUSTRACIÓN 21: OBJETIVOS DE CONTROL DEL PROCESO AI7 – INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS




Iniciando con el entrenamiento del personal de operaciones de la función de TI,

pasando por las pruebas de ambiente, de cambios, de aceptación, realizar el

monitoreo posterior a la implementación, evaluar los resultados, medir la satisfacción

del usuario de los sistemas nuevos o modificados, todo esto forma parte de los

objetivos de control de este proceso para garantizar el rendimiento y desarrollo de los

nuevos recursos y asegurar el mejoramiento continuo de la calidad.

53

2.1.1.1.3 DOMINIO ENTREGAR Y DAR SOPORTE (DS)

En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicación, frecuentemente clasificados como controles de aplicación. (IT Governance Institute, COBIT 4.1, Pág.13, 2007)

El dominio Entregar y Dar soporte está compuesto de 13 procesos identificados en la

siguiente ilustración.

ILUSTRACIÓN 22: PROCESOS DEL DOMINIO ENTREGAR Y DAR

SOPORTE

DS1 Definir y administrar

los niveles de servicio

DS2 Administrar los servicios de terceros

DS3 Administrar el desempeño y la capacidad

DS5 Garantizar la seguridad de los sistemas

DS6 Identificar y

asignar costos

DS7 Educar y entrenar a los

usuarios

DS8 Administrar la

Mesa de servicio y los

incidentes

DS11 Administrar los datos

DS12 Administrar el

ambiente físico

DS13 Administrar

las operaciones

DS10 Administrar los

Problemas

DS4 Garantizar la continuidad del servicio

DS9 Administrar la configuración



54

PROCESO DS1 – DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIO

Contar con una definición documentada y un acuerdo de servicios de TI y de niveles de servicio, hace posible una comunicación efectiva entre la gerencia de TI y los clientes de negocio respecto de los servicios requeridos. Este proceso también incluye el monitoreo y la notificación oportuna a los Interesados sobre el cumplimiento de los niveles de servicio. Este proceso permite la alineación entre los servicios de TI y los requerimientos de negocio relacionados. (IT Governance Institute, COBIT 4.1, Pág.101, 2007)

Se detallan los 6 objetivos de control del proceso definir y administrar los niveles de

servicio en la siguiente ilustración:

ILUSTRACIÓN 23: OBJETIVOS DE CONTROL DEL PROCESO DS1 – DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIO




COBIT relaciona los objetivos de control en base directa de un marco de trabajo

como la estrategia más significativa para la administración de los niveles de servicio

que incluye acuerdo de niveles de servicio (SLA) y de operaciones (OLA). El

monitoreo continuo del cumplimiento de los niveles de servicio y el análisis de los

resultados permite identificar tendencias positivas y negativas consiguiendo asegurar

la alineación de los servicios claves de TI con la estrategia del negocio.

55

PROCESO DS2 – ADMINISTRAR LOS SERVICIOS DE TERCEROS

Este proceso se logra por medio de una clara definición de roles, responsabilidades y expectativas en los acuerdos con los terceros, así como con la revisión y monitoreo de la efectividad y cumplimiento de dichos acuerdos. Una efectiva administración de los servicios de terceros minimiza los riesgos del negocio asociados con proveedores que no se desempeñan de forma adecuada. (IT Governance Institute, COBIT 4.1, Pág.105, 2007)

En la siguiente ilustración se muestran los 4 objetivos de control que conforman el

proceso administrar los servicios de terceros.

ILUSTRACIÓN 24: OBJETIVOS DE CONTROL DEL PROCESO DS2 – ADMINISTRAR LOS SERVICIOS DE TERCEROS




Utilizando los objetivos de control de este proceso se identifica y categoriza los

servicios con los proveedores y se mide el grado de calidad, confianza y

transparencia existente con ellos empleando SLAs. Con la identificación y

mitigación del riesgo del proveedor y el monitoreo de su desempeño se asegura el

cumplimiento de la calidad del servicio que debe estar acorde con los requerimientos

y acuerdos definidos en los contratos y SLAs.

56

PROCESO DS3 – ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD

“Este proceso incluye el pronóstico de las necesidades futuras, basadas en los

requerimientos de carga de trabajo, almacenamiento y contingencias. Este proceso

brinda la seguridad de que los recursos de información que soportan los

requerimientos del negocio están disponibles de manera continua”. (IT Governance


Con la siguiente ilustración se muestran los 5 objetivos de control que comprende el

proceso administrar el desempeño y la capacidad.

ILUSTRACIÓN 25: OBJETIVOS DE CONTROL DEL PROCESO DS3 – ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD




Los objetivos de control de este proceso apuntan a la planeación para revisar la

capacidad y el desempeño de los recursos de TI actuales y determinar pronósticos de

los recursos futuros cuando el actual sea insuficiente. El monitoreo continuo

contribuye a tomar acciones correctivas que permiten la disponibilidad de los

servicios y optimización de su capacidad acordes a los SLAs establecidos en

respuesta a las necesidades del negocio.

57

PROCESO DS4 – GARANTIZAR LA CONTINUIDAD DEL SERVICIO

La necesidad de brindar continuidad en los servicios de TI requiere desarrollar, mantener y probar planes de continuidad de TI, almacenar respaldos fuera de las instalaciones y entrenar de forma periódica sobre los planes de continuidad. Un proceso efectivo de continuidad de servicios, minimiza la probabilidad y el impacto de interrupciones mayores en los servicios de TI, sobre funciones y procesos claves del negocio. (IT Governance Institute, COBIT 4.1, Pág.113, 2007)

Con la siguiente ilustración se muestra los 10 objetivos de control contenidos en el

proceso garantizar la continuidad del servicio.

ILUSTRACIÓN 26: OBJETIVOS DE CONTROL DEL PROCESO DS4 – GARANTIZAR LA CONTINUIDAD DEL SERVICIO




Generar un marco de trabajo óptimo que incluya planes de continuidad que considere

entre otras cosas la estructura organizacional, roles y responsabilidades,

identificación de recursos críticos, etc. Considerar el mantenimiento, prueba,

entrenamiento y distribución de los planes de continuidad asegura la recuperación y

reanudación de los servicios de TI con un impacto mínimo. Los objetivos de control

también contemplan una revisión posterior a la reanudación de las funciones de TI

validando la efectividad de los planes de continuidad.

58

PROCESO DS5 – GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS

Este proceso incluye el establecimiento y mantenimiento de roles y responsabilidades de seguridad, políticas, estándares y procedimientos de TI. La administración de la seguridad también incluye realizar monitoreos de seguridad y pruebas periódicas así como realizar acciones correctivas sobre las debilidades o incidentes de seguridad identificados. Una efectiva administración de la seguridad protege todos los activos de TI para minimizar el impacto en el negocio causado por vulnerabilidades o incidentes de seguridad. (IT Governance Institute, COBIT 4.1, Pág.117, 2007)

El proceso garantizar la seguridad de los sistemas está compuesto por 11 objetivos de

control que se presentan en la siguiente ilustración:

ILUSTRACIÓN 27: OBJETIVOS DE CONTROL DEL PROCESO DS5 – GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS




La seguridad de los sistemas de TI debe estar alineada con los objetivos de seguridad

del negocio. Desarrollar un plan de seguridad que contemple los requerimientos de

negocio, riesgos y cumplimiento. Implementar mecanismos de autenticación para

usuarios de las TI, y los permisos de accesos a información crítica y sensible debe

contar con la debida aprobación. El monitoreo y las pruebas periódicas garantizan

que se mantiene el nivel de seguridad aprobado.

59

PROCESO DS6 – IDENTIFICAR Y ASIGNAR COSTOS

“Este proceso incluye la construcción y operación de un sistema para capturar,

distribuir y reportar costos de TI a los usuarios de los servicios. Un sistema

equitativo de costos permite al negocio tomar decisiones más informadas respectos al

uso de los servicios de TI”. (IT Governance Institute, COBIT 4.1, Pág.121, 2007)

Los 4 objetivos de control que comprendidos en el proceso identificar y asignar

costos se detallan en la ilustración siguiente:

ILUSTRACIÓN 28: OBJETIVOS DE CONTROL DEL PROCESO DS6 – IDENTIFICAR Y ASIGNAR COSTOS




Los costos de TI deben asignarse en forma justa y equitativa a los consumidores de

TI mediante una modelación adecuada de costos y cargos. Se requiere un monitoreo

y evaluación oportuna para detectar desviaciones que permitan la constante

optimización del costo de los recursos de TI y la toma de decisiones rentable con

respecto al uso de los servicios.

60

PROCESO DS7 – EDUCAR Y ENTRENAR A LOS USUARIOS

Este proceso incluye la definición y ejecución de una estrategia para llevar a cabo un entrenamiento efectivo y para medir los resultados. Un programa efectivo de entrenamiento incrementa el uso efectivo de la tecnología al disminuir los errores, incrementando la productividad y el cumplimiento de los controles clave tales como las medidas de seguridad de los usuarios. (IT Governance Institute, COBIT 4.1, Pág.125, 2007)

Con la siguiente ilustración se muestra los 3 objetivos de control contenidos en el

proceso educar y entrenar a los usuarios.

ILUSTRACIÓN 29: OBJETIVOS DE CONTROL DEL PROCESO DS7 – EDUCAR Y ENTRENAR A LOS USUARIOS




Estos objetivos de control establecen la identificación de las necesidades de

entrenamiento y educación mediante el desarrollo de un plan de entrenamiento para

cada grupo objetivo de empleados, garantizando con ello el uso apropiado de los

recursos de TI y optimizando su desempeño.

La creación de una cultura moderada en el recurso humano ayuda a apaciguar los

riesgos críticos que se podrían manifestar, mejor respuesta en la entrega de servicios

y un incremento en la productividad.

61

PROCESO DS8 – ADMINISTRAR LA MESA DE SERVICIO Y LOS INCIDENTES

Este proceso incluye la creación de una función de mesa de servicio con registro, escalamiento de incidentes, análisis de tendencia, análisis causa-raíz y resolución. Los beneficios del negocio incluyen el incremento en la productividad gracias a la resolución rápida de consultas. Además, el negocio puede identificar la causa raíz (tales como un pobre entrenamiento a los usuarios) a través de un proceso de reporte efectivo. (IT Governance Institute, COBIT 4.1, Pág.129, 2007)

En la siguiente ilustración se detallan los 5 objetivos de control contemplados en el

proceso administrar la mesa de servicio y los incidentes.

ILUSTRACIÓN 30: OBJETIVOS DE CONTROL DEL PROCESO DS8 – ADMINISTRAR LA MESA DE SERVICIO Y LOS INCIDENTES




Con estos objetivos de control se puede conformar una mesa de servicio bien

diseñada que atienda en forma oportuna y efectiva los requerimientos y problemas de

los usuarios. Establecer procedimientos para el monitoreo y escalamientos de

incidentes, priorizando la resolución de los más críticos corresponde a una adecuada

administración de la mesa de servicio que permite mantener un control apropiado

sobre los incidentes e identificar las tendencias de problemas recurrentes para

mejorar el servicio de manera continua.

62

PROCESO DS9 – ADMINISTRAR LA CONFIGURACIÓN

Este proceso incluye la recolección de información de la configuración inicial, el establecimiento de normas, la verificación y auditoría de la información de la configuración y la actualización del repositorio de configuración conforme se necesite. Una efectiva administración de la configuración facilita una mayor disponibilidad, minimiza los problemas de producción y resuelve los problemas más rápido. (IT Governance Institute, COBIT 4.1, Pág.133, 2007)

Los 3 objetivos de control que constituyen el proceso administrar la configuración se

presentan en la ilustración siguiente:

ILUSTRACIÓN 31: OBJETIVOS DE CONTROL DEL PROCESO DS9 – ADMINISTRAR LA CONFIGURACIÓN




Administrar la configuración permite establecer los parámetros que deben de

ejecutarse en cualquier tipo de conflicto en donde podría manifestarse una amenaza,

los objetivos de control señalan los lineamientos a seguir para la optimización de la

infraestructura, recursos y capacidades de TI, con el establecimiento y

mantenimiento de un repositorio central de todos los elementos de configuración y la

revisión periódica de los datos de configuración para verificar su integridad.

63

PROCESO DS10 – ADMINISTRAR LOS PROBLEMAS

El proceso administrar los problemas también incluye la identificación de recomendaciones para la mejora, el mantenimiento de registros de problemas y la revisión del estatus de las acciones correctivas. Un efectivo proceso de administración de problemas mejora los niveles de servicio, reduce costos y mejora la conveniencia y satisfacción del usuario. (IT Governance Institute, COBIT 4.1, Pág.137, 2007)

Los 4 objetivos de control incluidos en el proceso administrar los problemas se

detallan en la ilustración siguiente:

ILUSTRACIÓN 32: OBJETIVOS DE CONTROL DEL PROCESO DS10 – ADMINISTRAR LOS PROBLEMAS




Luego de la identificación y clasificación del problema, procede calificarlo acorde a

la prioridad de exigencias y categorización. Identificar la causa raíz, definir

soluciones sostenibles y monitorear el avance de estas soluciones contra los SLAs

acordados. Una vez que se resuelve el problema el cierre del mismo amerita la

integración con los procesos interrelacionados como el de administración de

incidentes, de cambios y de configuración. Con la aplicación de estos objetivos se

puede anticipar y prevenir los problemas garantizando la satisfacción de los usuarios

finales.

64

PROCESO DS11 – ADMINISTRAR LOS DATOS

El proceso administrar los datos también incluye el establecimiento de procedimientos efectivos para administrar la librería de medios, el respaldo y la recuperación de datos y la eliminación apropiada de medios. Una efectiva administración de datos ayuda a garantizar la calidad, oportunidad y disponibilidad de la información del negocio. (IT Governance Institute, COBIT 4.1, Pág.141, 2007)

Un detalle de los 6 objetivos de control que conforman el proceso administrar los

datos se presenta en la ilustración siguiente:

ILUSTRACIÓN 33: OBJETIVOS DE CONTROL DEL PROCESO DS11 – ADMINISTRAR LOS DATOS




Los objetivos de control se plantean en base a un requerimiento del negocio para la

correcta gestión de los datos, dirigida a mantener la integridad, exactitud,

disponibilidad y protección de los mismos. Para esto se requiere el desarrollo de

políticas y procedimientos para el almacenamiento, de inventario, de eliminación, de

respaldos y de seguridad de los datos. Establecer en forma clara las responsabilidades

sobre la propiedad y administración de los datos y son conocidas y actualizadas

periódicamente.

65

PROCESO DS12 –ADMINISTRAR EL AMBIENTE FÍSICO

El proceso de administrar el ambiente físico incluye la definición de los requerimientos físicos del centro de datos, la selección de instalaciones apropiadas y el diseño de procesos efectivos para monitorear factores ambientales y administrar el acceso físico. La administración efectiva del ambiente físico reduce las interrupciones del negocio ocasionadas por daños al equipo de cómputo y al personal. (IT Governance Institute, COBIT 4.1, Pág.145, 2007)

En la siguiente ilustración se detallan los 5 objetivos de control que conforman el

proceso administrar el ambiente físico.

ILUSTRACIÓN 34: OBJETIVOS DE CONTROL DEL PROCESO DS12 –ADMINISTRAR EL AMBIENTE FÍSICO




El ambiente físico también debe ser administrado de acuerdo a leyes y reglamentos

así como requerimientos técnicos del negocio y especificaciones de seguridad para

proteger tanto los activos de TI como la información del negocio, y minimizar el

riesgo por interrupciones del servicio. Aplicar los objetivos de control de este

proceso permite una selección y diseño adecuada del centro de datos, adoptar

medidas de seguridad, definir procedimientos para otorgar permisos de acceso a

instalaciones, diseñar e implementar medidas de protección contra factores

ambientales, todo esto brinda un ambiente físico apropiado para los recursos e

infraestructura de TI.

66

PROCESO DS13 – ADMINISTRAR LAS OPERACIONES

Este proceso incluye la definición de políticas y procedimientos de operación para una administración efectiva del procesamiento programado, protección de datos de salida sensitivos, monitoreo de infraestructura y mantenimiento preventivo de hardware. Una efectiva administración de operaciones ayuda a mantener la integridad de los datos y reduce los retrasos en el trabajo y los costos operativos de TI. (IT Governance Institute, COBIT 4.1, Pág.149, 2007)

El proceso administrar las operaciones cuenta con 5 objetivos de control que se

muestran en la siguiente ilustración:

ILUSTRACIÓN 35: OBJETIVOS DE CONTROL DEL PROCESO DS13 – ADMINISTRAR LAS OPERACIONES




Establecer políticas y procedimientos para la correcta administración de las

operaciones de TI. Estos procedimientos deben extenderse para la programación de

tareas, monitoreo de la infraestructura de TI y para el mantenimiento preventivo del

hardware, todo esto complementado con la protección de datos sensitivos garantiza

la continuidad de las operaciones y contribuyen a un ambiente estable.

67

2.1.1.1.4 DOMINIO MONITOREAR Y EVALUAR (ME)

“Todos los procesos necesitan ser evaluados regularmente a través del tiempo para

verificar su calidad y cumplimiento en cuanto a los requerimientos de control”. (IT


El dominio Monitorear y Evaluar está basado en 4 procesos que se muestran a

continuación:

ILUSTRACIÓN 36: PROCESOS DEL DOMINIO MONITOREAR Y EVALUAR

ME1 Monitorear y Evaluar el

Desempeño de TI

ME2 Monitorear y Evaluar el

Control Interno

ME3 Garantizar el Cumplimiento Regulatorio

ME4 Proporcionar Gobierno de

TI

TI



68

PROCESO ME1 - MONITOREAR Y EVALUAR EL DESEMPEÑO DE TI

“El proceso incluye la definición de indicadores de desempeño relevantes, reportes

sistemáticos y oportunos de desempeño y tomar medidas expeditas cuando existan

desviaciones. El monitoreo se requiere para garantizar que las cosas correctas se

hagan y que estén de acuerdo con el conjunto de direcciones y políticas”. (IT


Los 6 objetivos de control que comprende el proceso monitorear y evaluar el

desempeño de TI se muestran en la ilustración siguiente:

ILUSTRACIÓN 37: OBJETIVOS DE CONTROL DEL PROCESO ME1 - MONITOREAR Y EVALUAR EL DESEMPEÑO DE TI




Un proceso de control que monitoree y evalúe periódicamente el desempeño de las

TI comparándolo contra las metas acordadas es lo que recomienda Cobit mediante

los objetivos de control. Los servicios proporcionados deberán ser medidos

definiendo indicadores claves de desempeño (KPIs) para actividades internas y

externas, los resultados de estas evaluaciones se reportan a la Gerencia para que esta

disponga las medidas correctivas necesarias para el mejoramiento del desempeño.

69

PROCESO ME2 – MONITOREAR Y EVALUAR EL CONTROL INTERNO

Este proceso incluye el monitoreo y el reporte de las excepciones de control, resultados de las auto-evaluaciones y revisiones por parte de terceros. Un beneficio clave del monitoreo del control interno es proporcionar seguridad respecto a las operaciones eficientes y efectivas y el cumplimiento de las leyes y regulaciones aplicables. (IT Governance Institute, COBIT 4.1, Pág.157, 2007)

En la siguiente ilustración se detallan los 7 objetivos de control que abarca el proceso

monitorear y evaluar el control interno.

ILUSTRACIÓN 38: OBJETIVOS DE CONTROL DEL PROCESO ME2 – MONITOREAR Y EVALUAR EL CONTROL INTERNO




Un marco de trabajo con sistemas de controles internos definidos, monitorear la

eficiencia y efectividad de los controles internos para los procesos de TI y de ser

necesario someterlos a revisión de terceros para asegurar su completitud, identificar

excepciones y analizar sus causas para establecer correctivos, desarrollar y evaluar

controles internos para proveedores de servicios externos, contar con un equipo de

trabajo calificado para la evaluación de los controles, son parámetros contemplados

en los objetivos de control de este proceso y representan una garantía de seguridad

operacional.

70

PROCESO ME3 – GARANTIZAR EL CUMPLIMIENTO CON REQUERIMIENTOS EXTERNOS

Este proceso incluye la definición de una declaración de auditoría, independencia de los auditores, ética y estándares profesionales, planeación, desempeño del trabajo de auditoría y reportes y seguimiento a las actividades de auditoría. El propósito de este proceso es proporcionar un aseguramiento positivo relativo al cumplimiento de TI de las leyes y regulaciones. (IT Governance Institute, COBIT 4.1, Pág.161, 2007)

Con la ilustración siguiente detallamos los 5 objetivos de control que abarca el

proceso garantizar el cumplimiento con requerimientos externos.

ILUSTRACIÓN 39: OBJETIVOS DE CONTROL DEL PROCESO ME3 – GARANTIZAR EL CUMPLIMIENTO CON REQUERIMIENTOS

EXTERNOS




Con la consecución de estos objetivos de control se consigue alinear las políticas,

procedimientos, estándares y metodologías de TI de la organización con las leyes y

regulaciones locales e internacionales con lo cual se minimiza el riesgo por el no

cumplimiento y se optimizan los procesos de TI además la organización adquiere una

cultura administrativa que la proyecta a niveles competitivos.

71

PROCESO M4 - PROPORCIONAR GOBIERNO DE TI

“El establecimiento de un marco de trabajo de gobierno efectivo, incluye la

definición de estructuras, procesos, liderazgo, roles y responsabilidades

organizacionales para garantizar así que las inversiones empresariales en TI estén

alineadas y de acuerdo con las estrategias y objetivos empresariales”. (IT


Los 7 objetivos de control que componen el proceso proporcionar gobierno de TI se

presentan en la ilustración siguiente:

ILUSTRACIÓN 40: OBJETIVOS DE CONTROL DEL PROCESO M4 - PROPORCIONAR GOBIERNO DE TI




Estos objetivos de control contemplan la elaboración de informes oportunos al

consejo directivo sobre la estrategia, el desempeño y los riesgos de TI. Establece un

marco de trabajo para el gobierno de TI integrado al gobierno corporativo. El

gobierno de la empresa y el gobierno de TI están ligados estratégicamente utilizando

recursos financieros, humanos y tecnológicos para aumentar la ventaja competitiva

de la empresa.

72

2.1.1.2 MISIÓN DE COBIT

“Investigar, desarrollar, hacer público y promover un marco de control de Gobierno

de TI autorizado, actualizado, aceptado internacionalmente para la adopción por

parte de las empresas y el uso diario por parte de gerentes de negocio, profesionales

de TI y profesionales de aseguramiento”. (IT Governance Institute, COBIT 4.1,

Pág.9, 2007)

2.1.1.2.1 ÁREAS DE ENFOQUE DEL GOBIERNO DE TI

El conjunto de acciones coordinadas entre la alta dirección y el área de TI permiten

proporcionar servicios optimizados y administrar los riesgos en forma efectiva para

alcanzar los objetivos estratégicos definidos de la organización.

Por medio de la siguiente ilustración se indica las áreas de enfoque del Gobierno de

TI dentro de la organización.

ILUSTRACIÓN 41: ÁREAS DE ENFOQUE DEL GOBIERNO DE TI



73

ALINEACIÓN ESTRATÉGICA

“Garantiza la alineación entre los planes de negocio y de TI; definiendo,

manteniendo y validando la propuesta de valor de TI; y alineando las operaciones de

TI con las operaciones de la empresa”. (IT Governance Institute, COBIT 4.1, Pág.6,

2007)

ENTREGA DE VALOR

“Ejecuta la propuesta de valor a todo lo largo del ciclo de entrega, asegurando que TI

genere los beneficios prometidos en la estrategia, concentrándose en optimizar los

costos y en brindar el valor intrínseco de la TI”. (IT Governance Institute, COBIT

4.1, Pág.6, 2007)

ADMINISTRACIÓN DE LOS RECURSOS

“Se trata de la inversión óptima, así como la administración adecuada de los recursos

críticos de TI: aplicaciones, información, infraestructura y personas. Los temas

claves se refieren a la optimización de conocimiento y de infraestructura”. ((IT


ADMINISTRACIÓN DEL RIESGO

“Requiere conciencia de los riesgos por parte de los altos ejecutivos de la empresa,

un claro entendimiento del apetito de riesgo que tiene la empresa, comprender los

requerimientos de cumplimiento, transparencia de los riesgos significativos para la

empresa, y la inclusión de las responsabilidades de administración de riesgos dentro

de la organización”. (IT Governance Institute, COBIT 4.1, Pág.6, 2007)

MEDICIÓN DEL DESEMPEÑO

“Rastrea y monitorea la estrategia de implementación, la terminación del proyecto, el

uso de los recursos, el desempeño de los procesos y la entrega del servicio, con el

uso, por ejemplo, de balanced scorecards que traducen la estrategia en acción para

74

lograr las metas medibles más allá del registro convencional”. (IT Governance


2.1.1.2.2 CRITERIOS DE INFORMACIÓN DE COBIT

Las metas de los negocios dependen del desenvolvimiento de la información que

genera TI que debe estar adaptada a criterios de control. COBIT ha definido los

siguientes criterios:

Efectividad

Eficiencia

Confidencialidad

Integridad

Disponibilidad

Cumplimiento y

Confiabilidad

Los siete criterios de información que permiten satisfacer los objetivos del negocio

se muestran en la ilustración siguiente:

ILUSTRACIÓN 42: CRITERIOS DE INFORMACIÓN

Efectividad Confidencialidad

Integridad

DIsponibilidad

Cumplimiento

Confiabilidad

Eficiencia

CRITERIOS DE INFORMACIÓN



75

Efectividad:

Es la información pertinente en los procesos del negocio, que se proporciona en

forma segura, oportuna, consistente, relevante y utilizable.

Eficiencia:

Es la información generada con el óptimo uso de los recursos.

Confidencialidad:

La información sensible debe estar protegida contra revelación no autorizada.

Integridad:

La completitud y la precisión de la información y la validez que esté acorde a las

expectativas de la empresa.

Disponibilidad:

La información que se desarrolle dentro de la organización esté disponible en todo

momento, también involucra la protección de los recursos y las capacidades

necesarias asociadas.

Cumplimiento:

Se relaciona con el acatamiento de leyes, reglamentos y acuerdos a los cuales está

sujeto el negocio, es decir criterios de negocios externos, así como políticas internas.

76

Confiabilidad:

Consiste en proporcionar la información apropiada para que la gerencia administre la

entidad y ejerza sus responsabilidades fiduciarias y de gobierno.

2.1.1.2.3 RECURSOS DE TI

Las organizaciones invierten en recursos para poder atender a los requerimientos de

TI y garantizar que los procesos se desarrollen acordes a las metas trazadas:

Los recursos de TI se identifican en la siguiente ilustración:

ILUSTRACIÓN 43: RECURSOS DE TI

TI

APLICACIONES

Información

Infraestructura

PERSONAS

Información para la Gestión correcta en

la organizacion



Aplicaciones:

Se relaciona a los sistemas automatizados así como los procedimientos manuales que

procesan información.

77

Información:

Consiste en los datos generados por los sistemas de información y utilizados por el

negocio en cualquiera de sus formas.

Infraestructura:

Comprende el software, el hardware además de los periféricos y las instalaciones así

como el sitio y ambiente que soporta la tecnología de información.

Personas:

Representan el recurso humano requerido para la ejecución de los procesos de TI.

Estas pueden ser internas, por outsourcing o contratadas según como se requiera.

2.1.1.2.4 MODELO DE MADUREZ COBIT

Un modelo de madurez permite a la organización ir creciendo gradualmente y de

forma equilibrada.

COBIT plantea en su modelo de madurez las escalas siguientes:

0 - Inexistente: “Carencia completa de cualquier proceso reconocible. La empresa

no ha reconocido siquiera que existe un problema a resolver”. (IT Governance


1 - Ad hoc, inicial: “Existe evidencia que la empresa ha reconocido que los

problemas existen y requieren ser resueltos. Sin embargo; no existen procesos

estándar en su lugar existen enfoques ad hoc que tienden a ser aplicados de forma

individual o caso por caso. El enfoque general hacia la administración es

desorganizado. (IT Governance Institute, COBIT 4.1, Pág.19, 2007)

2 - Repetible pero intuitivo: “Se han desarrollado los procesos hasta el punto en que

se siguen procedimientos similares en diferentes áreas que realizan la misma tarea.

No hay entrenamiento o comunicación formal de los procedimientos estándar, y se

deja la responsabilidad al individuo. Existe un alto grado de confianza en el

78

conocimiento de los individuos y, por lo tanto, los errores son muy probables”. (IT


3 – Definido: “Los procedimientos se ha estandarizado y documentado, y se han

difundido a través de entrenamiento. Sin embargo, se deja que el individuo decida

utilizar estos procesos, y es poco probable que se detecten desviaciones. Los

procedimientos en si no son sofisticados pero formalizan las prácticas existentes”.


4 - Administrado y medido: “Es posible monitorear y medir el cumplimiento de los

procedimientos y tomar medidas cuando los procesos no estén trabajando de forma

efectiva. Los procesos están bajo constante mejora y proporcionan buenas prácticas.

Se usa la automatización y herramientas de una manera limitada o fragmentada”. (IT


5 – Optimizado: “Los procesos se han refinado hasta un nivel de mejor práctica, se

basan en los resultados de mejoras continuas y en un modelo de madurez con otras

empresas. TI se usa de forma integrada para automatizar el flujo de trabajo,

brindando herramientas para mejorar la calidad y la efectividad, haciendo que la

empresa se adapte de manera rápida”. (IT Governance Institute, COBIT 4.1, Pág.19,

2007)

Esta herramienta de evaluación le permite a una empresa reconocer su evolución así

como su situación actual y futura teniendo una perspectiva clara del nivel que quiere

alcanzar:

a) El desempeño actual de la empresa - Dónde la empresa está hoy en día.

El nivel que obtiene en la evaluación da la pauta a los ejecutivos de las

medidas correctivas a tomar para cada uno de los procesos y conseguir subir a

la siguiente escala en caso de que no cumpla la ideal que es la de optimizado.

b) El estado actual de la empresa - La comparación.

La empresa podrá comparar su situación con respecto al nivel en el que se

encuentran otras organizaciones similares y servirá igualmente para fijar la

dirección hacia nuevos objetivos.

79

c) El objetivo de la empresa para mejorar - Dónde la empresa quiere estar.

La situación de la empresa amerita un balance en la incorporación de la visión

motivadora con la que establecerá planes, proyectos, mejoras tecnológicas

necesarias que le permitan alcanzar un desarrollo eficaz y posicionarse en el

lugar que desea estar.

d) El camino a recorrer entre la situación actual y el objetivo.

Establecer en el trayecto los cambios necesarios que permitan tener una

visión más optimista en el logro para el alcance de los objetivos y que

contribuyan en la gestión de crecimiento y evolución de la empresa.

Con este modelo de madurez es más sencillo establecer que parámetros se cumplen

y cuáles no. Así mismo definir para el cumplimiento, cómo se lo está haciendo.

2.1.2 BENEFICIOS PARA LA EMPRESA EN APLICAR LA METODOLOGÍA COBIT

La adopción eficaz de las mejores prácticas ayudará a obtener valor de las

inversiones de TI y los servicios de TI, sus principales beneficios son:

• Optimizar la calidad, la respuesta y la fiabilidad de las soluciones y los

servicios de TI.

• Reformar la viabilidad, previsibilidad y repetitividad de resultados de

negocios exitosos.

• Generar la confianza y el progresivo involucramiento de beneficiarios y

favorecedores del negocio.

• Reducir peligros, sucesos y fracasos en los proyectos.

80

CAPÍTULO 3

3.1 ASPECTOS METODOLÓGICOS DE LA INVESTIGACIÓN

3.1.1 TIPO DE INVESTIGACIÓN

La investigación consiste en la recopilación de datos o información suficiente que

contribuye a la solución de un problema determinado.

A continuación se detallan los tipos de investigación a considerar para el desarrollo

de este proyecto:

Investigación de campo o directa: Es de campo porque se realizó en el ambiente en

el que se desarrollan las actividades de las personas consultadas quienes

proporcionarán los datos relevantes que serán analizados.

Investigación no experimental: Es no experimental porque los datos de interés son

recogidos en forma directa de la realidad para hacer un análisis sistemático del

problema, con la finalidad de interpretarlo, explicar su causa y efecto y recomendar

una solución.

3.1.2 MÉTODO DE INVESTIGACIÓN

En la ejecución de este proyecto se utilizó como método de investigación, el método

de entrevista, el método de análisis, el método comparativo, en los cuales

apoyaremos la relación causa-efecto del problema así como las recomendaciones

para su solución.

La entrevista y cuestionamiento a las personas que laboran en el departamento de

Sistemas se la realiza con la finalidad de reunir los datos necesarios para el análisis

de la situación y efectuar el diagnóstico comparando los resultados con lo que

recomienda COBIT.

81

3.1.3 FUENTES Y TÉCNICAS PARA LA RECOLECCIÓN DE

INFORMACIÓN

Para el desarrollo de nuestro proyecto se elaboró una matriz en la herramienta Excel

donde se elaboraron las preguntas basadas en el detalle de cada objetivo de control

por lo tanto se utilizó el método de entrevista.

Los pasos que se siguieron para obtener la información son:

1. Obtención del Marco de trabajo de COBIT.

2. Diseño de la matriz en Excel del Marco de Trabajo de COBIT.

3. Entrevistas.

4. Calificación y ponderación de los resultados.

3.1.4 LIBROS DE COBIT UTILIZADOS PARA EL DIAGNÓSTICO

Para la evaluación del marco de control de TI hemos considerado el detalle de los

objetivos de control del manual COBIT 4.1 debido a que se investigó que al

momento no hay la guía de aseguramiento de TI por lo que se utilizó la tercera

edición de las directrices de auditoría y la segunda edición de los objetivos de

control, a partir de lo cual se realizó un análisis con las referencias cruzadas que

aparecen en el Apéndice V del manual COBIT 4.1 y se llegó a la conclusión de que

hay una relación de estas versiones con el detalle del objetivo de control de COBIT

4.1.

El diagnóstico realizado en la empresa EP hace énfasis en el control que se debe de

aplicar en los diferentes procesos del departamento de sistemas para el

mantenimiento, distribución y el almacenaje de la información y en el grado de

efectividad de los mismos con relación a lo que COBIT recomienda.

82

3.1.5 MÉTODO MATRICIAL PARA EL ANÁLISIS DE RIESGOS

La seguridad y los controles en los sistemas de información ayudan a disminuir los

riesgos sin deshacerse de ellos por completo, puesto que siempre en toda empresa

existirá un grado de incertidumbre.

Es necesario conocer el grado de riesgo o nivel que la organización esté dispuesta a

aceptar para considerar un estándar, especialmente lo relacionado al análisis del

costo-beneficio para aplicar las técnicas generalmente aceptadas de control y

seguridad en tecnología de información.

3.1.5.1 DEFINICIONES PARA EL ANÁLISIS DE RIESGOS

• Riesgo Informático: “Un riesgo informático se podría definir como la

ausencia de seguridad en el procesamiento automático de datos”. (Fundación

Wikimedia I. , 2012)

• Riesgos de Tecnología de Información: El concepto de riesgo de TI puede

definirse como el efecto de una causa multiplicado por la frecuencia probable

de ocurrencia dentro del entorno de TI. Surge así, entonces la necesidad del

control que actúe sobre la causa del riesgo para minimizar sus efectos.

Cuando se dice que los controles minimizan los riesgos, lo que en verdad

hacen es actuar sobre las causas de los riesgos, para minimizar sus efectos.

• Utilidad del Método Matricial para el análisis de Riesgos: Este método

utiliza una matriz para mostrar gráficamente tanto las amenazas a que están

expuestos los sistemas computarizados como los objetos que comprenden el

sistema. Dentro de cada celda se muestran los controles que atacan a las

amenazas. (José Dagoberto Pinilla Forero, 1992)

83

El método se desarrolló de la siguiente manera:

1. Crear la matriz de amenazas (causas de riesgo) y de objetos del

sistema a analizar.

2. Identificar los controles necesarios.

3. Registrar los controles dentro de la matriz.

4. Categorizar los riesgos.

5. Diseñar los controles definitivos.

6. Resultados del análisis de riesgos.

7. Verificar por parte de sistemas y de auditoría, la incorporación de los

controles.

3.1.6 ANÁLISIS FODA Según (Talancón, 2006) se define que: “El análisis FODA consiste en realizar una

evaluación de los factores fuertes y débiles que en su conjunto diagnostican la

situación interna de una organización, así como su evaluación externa”

Las evaluaciones deben estar enfocadas en los factores relevantes para el éxito del

negocio, resaltando las fortalezas y debilidades que son internas y contrastándolas

con las oportunidades y amenazas que son externas.

Un análisis crítico y objetivo permite determinar la situación de la empresa con

respecto a su entorno y descubrir los aspectos en los cuales se necesita trabajar para

mejorar y ser más competitivo.

84

A continuación se detalla en la ilustración la aplicación del análisis Foda en una

organización.

ILUSTRACIÓN 44: ANÁLISIS FODA

Fuente: (Annie, 2010)

La matriz FODA permite reconocer los errores y aprovechar las ventajas para poder

elaborar las estrategias que contribuyan a ampliar los objetivos y planificar los

procesos en base a los avances sistemáticos de la organización.

Estrategias FO FA DO DA

Según (Rosas Vázquez, 2007) Algunos modelos de Administración Estratégica se

encontró que son complejos, difíciles de implantar en las personas, grupos y

pequeñas empresas, para procurar un cambio deliberado que promueva el éxito de

dichas instancias.

Estrategia FO. Se basa en la combinación de las fortalezas que posee la

organización con las oportunidades que se presenten, para que con el uso estratégico

de cada uno de ellas alcanzar los objetivos.

85

Estrategia FA. Disminuye al mínimo la situación de los factores externos que se

presentan como amenazas, aprovechando las fortalezas con la que la organización

cuenta. Esto no implica que siempre se deba afrontar las amenazas del entorno de

una forma tan directa, ya que a veces puede resultar más problemático para la

institución.

Estrategia DO. Las oportunidades que tiene la organización es el detonador para

tratar de disminuir las debilidades, logrando un equilibrio o transformándolas en

fortalezas.

Estrategia DA. Consiste en aplicar estrategias muy bien diseñadas para contrarrestar

las amenazas del entorno y a la vez disminuir las debilidades para la supervivencia

de la organización.

A continuación se muestra la matriz FODA con la combinación de las estrategias:

ILUSTRACIÓN 45: MATRIZ FODA

Fuente: (Rico, 2010)

86

CAPITULO 4

4.1 DIAGNÓSTICO DEL DEPARTAMENTO DE SISTEMAS DE LA

EMPRESA EP

4.1.1 BREVE DESCRIPCIÓN DE LA EMPRESA EP

Por razones de seguridad nos referiremos a la empresa como la empresa EP.

La empresa EP pertenece al sector siderúrgico, y se dedica a la fabricación y

comercialización de acero a nivel nacional. Su cartera de productos se orienta a

satisfacer las necesidades del mercado de la construcción. La Empresa trabaja con los

procedimientos de Calidad Total y las Normas ISO 9001:2008.

VISIÓN: Fabricar y entregar oportunamente productos de acero de alta calidad a

precios competitivos.

MISIÓN: Líderes en la industria siderúrgica para satisfacer las necesidades de acero

en el mercado nacional e incursionar en el mercado internacional con calidad,

servicio y protección al medio ambiente.

4.1.1.1 HISTORIA

El crecimiento del sector de la construcción en el Ecuador -a finales de los años 60-,

estaba en pleno auge y demandaba la provisión de hierro de óptima calidad, por lo

que se crea la empresa EP el 19 de octubre de 1969, empresa que instala la primera

planta laminadora ecuatoriana, para abastecer de material al mercado local.

87

El 31 de julio de 2003, la familia de la empresa EP, recibe la Certificación ISO

9001: 2000 al Sistema de Gestión de Calidad. A todos estos logros alcanzados por la

empresa se suma la mano de obra calificada, técnica y tecnología adecuada, manejo

de los recursos residuales, que transforman a la empresa en la primera industria

siderúrgica en el Ecuador con Certificación Internacional a la Calidad.

La empresa EP cuenta con un área destinada exclusivamente a la vigilancia del ISO

9000 que realiza permanentes auditorías internas para mantener el sistema de calidad

y entregar acero altamente confiable a sus clientes y distribuidores.

4.1.1.2 PRODUCTOS FABRICADOS POR LA EMPRESA EP

• Armaduras Conformadas

• Alambre Trefilado

• Varillas Soldables

• Ángulos

• Alambrón

• Alambre Grafilado

• Mallas Electro Soldadas

• Barras Cuadradas

4.1.1.3 SERVICIOS QUE OFRECE LA EMPRESA EP

• Satisfacer la demanda con un equipo de asesores de ventas.

• El equipo de ventas mide la conformidad cliente producto precio.

• La transportación y distribución de un punto a otro dentro y fuera del país.

• La empresa EP despliega sus procesos productivos y las características

técnicas a los diferentes segmentos del mercado mediante:

88

a) Capacitación a los maestros de obra, a fin de explicar las ventajas de los

productos.

b) Charlas y seminarios a los clientes y distribuidores a nivel nacional, cada

año, para exponer las potencialidades de los productos.

c) Auspicios de eventos a los diversos cuerpos colegiados afines: Colegio de

Ingenieros, de Arquitectos, etc.

d) Visitas de los estudiantes de colegios técnicos y universidades del país a

la planta industrial de Acería y Laminación en la empresa EP con el

objetivo de reforzar su formación académica.

4.1.1.4 PROMOCIONES DISPONIBLES EN LA EMPRESA EP

• La empresa EP participa en ferias de la construcción y afines.

• Auspicia a revistas especializadas de la construcción y capacita a organismos

En el estudio de la empresa EP se puede determinar que es una de las productoras de

acero más importante a nivel nacional debido a su amplio recorrido en el mercado y

más aún con la calidad del producto que entrega a sus usuarios a nivel de

construcción.

La adopción de la metodología COBIT por parte del departamento de sistemas,

facilitaría el control y efectiva administración de sus procesos y de manera general

de las funciones de TI.

89

4.1.1.5 ESTRUCTURA ORGÁNICA ACTUAL DE LA EMPRESA EP

La empresa EP cuenta con una estructura conformada por varios departamentos

siendo el departamento de sistemas uno de sus principales ya que depende

directamente de la Gerencia. La ilustración siguiente muestra en detalle la estructura

de la empresa:

ILUSTRACIÓN 46: ESTRUCTURA ORGÁNICA ACTUAL DE LA EMPRESA EP

Fuente: EMPRESA EP


90

4.1.1.6 ORGANIGRAMA FUNCIONAL DE LAS TECNOLOGÍAS DE INFORMACIÓN EN LA EMPRESA EP

En la ilustración que se presenta bajo este texto, se muestra el organigrama funcional

de las TI en la empresa EP. El departamento, está conformado por cinco personas; el

jefe de TI y cuatro responsables que ellos denominan “especialistas” de los procesos.

Estos tienen a su cargo tareas específicas, las cuales se ejecutan en coordinación con

el jefe de TI y que en conjunto brindan los servicios que necesita la empresa.

ILUSTRACIÓN 47: ORGANIGRAMA FUNCIONAL DE LAS TI EN LA EMPRESA EP

Fuente: EMPRESA EP


91

4.1.1.7 ORGANIGRAMA ESTRUCTURAL DE LAS TECNOLOGÍAS DE INFORMACIÓN EN LA EMPRESA EP

La gestión del departamento de sistemas de la empresa EP está conformada por

niveles como se muestra en el gráfico siguiente:

ILUSTRACIÓN 48: ORGANIGRAMA ESTRUCTURAL DE LAS TI EN LA EMPRESA EP

Fuente: EMPRESA EP


NIVEL OPERATIVO: Se encarga del análisis de los resultados respecto a los

recursos utilizados en los procesos para la toma de decisiones a corto plazo.

NIVEL TÁCTICO: Se encarga de mejorar el rendimiento de la empresa EP con la

asignación de los recursos a medio plazo.

NIVEL ESTRATÉGICO: En este nivel se toman las decisiones que la empresa

debe seguir a futuro.

92

4.1.1.8 ANÁLISIS FODA DEL DEPARTAMENTO DE TECNOLOGÍAS DE INFORMACIÓN

La empresa EP para mantener su competitividad en el mercado analiza sus fortalezas

y debilidades así como sus oportunidades y amenazas en la siguiente tabla.

TABLA 4: ANÁLISIS FODA – ÁREA TI

Fuente: EMPRESA EP


FORTALEZAS DEBILIDADES1.- Buena imagen corporativa 1.- Insuficientes contactos con empresas 2.- Cultura de calidad Similares en el exterior3.- Único complejo siderúrgico del país 2.- Falta de centralización de información de3.- Fuerza laboral técnica con nivel medio la competencia y Superior 3.- Falta de optimización en los sistemas de4.- Pertenecer al grupo DINE información5.- Certificación y sello de calidad INEN6.- Diversidad de medidas de productos7.- Ubicación geográfica de la empresa8.- Certificación ISO 90029.- Planta operativa de alta tecnología

AMENAZAS FA DA1.- Competencia Nacional 1.1. Mantener y difundir buena imagen 1.1. Tomar contactos técnicos en el exterior2.- Crecimiento de Importaciones corporativa. 2.2. Evitar Organizaciones Sindicales3.- Inestabilidad Socio-económical del País 2.2. Mantener Certificación ISO 9002 3.3. Análisis de competencia4.- Alto Costo de energía eléctrica 3.3. Aprovechar coyuntura con FF.AA.

4.4. Proyecto de ahorro energía eléctrica

OPORTUNIDADES FO DO1.- Posibilidad de exportar 1.1. Preparación para globalización del 1.1. Acuerdos con empresas del exterior que2.- Apertura a la inversión Nacional e mercado. provean productos afines a la construccion Internacional 2.2. Aprovechar ubicación geográfica 2.2. Apoyar a la especialización técnica del3.- Diversificación de la demanda del 3.3. Brindar al cliente un valor agregado. personal. producto 4.4. Categorizar a los clientes 3.3. Mantener un buen nivel de abastecimiento4.- Acercamiento con los centros de 5.5. Adoptar medidas para enfrentar 4.4. Actualización de información de compe- Educación superior competencia nacional e importaciones. tencia.5.- Conyuntura con las Fuerzas Armadas

ACERIAS NACIONALES DEL ECUADOR S.A. "ANDEC"MATRIZ DEL FODA

93

4.1.2 DISEÑO DEL MODELO DE EVALUACIÓN

Los datos para el diagnóstico son tomados del manual COBIT 4.1, se diseñó una

tabla en Excel considerando los dominios, procesos, actividades de los procesos,

objetivos de control y detalle de los objetivos de control, además de realizar un

cuestionario de preguntas por cada objetivo tomando como referencia la 2da edición

de los Objetivos de Control y la 3ª Edición de las Directrices de Auditoría para

identificar el cumplimiento de los procesos del departamento de sistemas con

relación a lo que indica la metodología COBIT.

Se coordinó con anticipación entrevistas con los encargados de cada proceso del

departamento de sistemas, así como con el jefe del departamento para obtener la

información necesaria de esta investigación en base al cuestionario de preguntas

previamente elaborado, para posteriormente calificar las respuestas obtenidas.

Se determinó a nivel grupal una puntuación de 1(uno) y 0(cero) en donde las

declaraciones de afirmación estaban representadas por el 1 y las de negación por el 0

para cada respuesta, cabe recalcar que dentro de la calificación existen respuestas con

una puntuación intermedia de 0 a 1 de acuerdo al análisis realizado.

A continuación se muestra la tabla que recopila la información del resultado de las

entrevistas realizadas en el departamento de sistemas de la empresa EP.

94

TABLA 5: MATRIZ GENERAL COBIT 4.1 D

OM

INIO

PRO

CESO

S

ACT

IVID

AD

ES D

EL

PRO

CESO

OBJ

ETIV

OS

DE

CON

TRO

L

DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS

CALI

FICA

CIÓ

N

1.- ¿El portafolio de inversiones de TI contiene programas con casos de negocio sólidos?

El portafolio cubre el 3% de los procesos de la empresa en la actualidad basado en elpresupuesto anual. Tienen algunos proyectosen curso como proyecto de seguridadinformáticas, implementación de estandares,integración de cliente y proveedores a lacadena de valor., Adquirir software para lasáreas de mantenimiento y proyectos.

1,00

2.- ¿Los procesos de TI proporcionan una entrega efectiva de los componentes TI de los programas?

Se revisa mensualmente lo presupuestado vs.lo real cada gerencia hace seguimientomediante reuniones y se verifica lasdesviaciones en cuanto a dinero. Hayprocedimientos para establecer los controlessobre los datos o resultados que se generanen los sistemas. En cada area hay monitoreo.Si hay herramientas que dan información alos gerentes (tableros gerenciales) para tomade decisiones, A nivel operativo los reportessobre transacciones. A nivel estratégico elbalance score card o cuadro de manointegral.

1,00

3.- ¿Los procesos de TI proporcionan una entrega eficiente de los componentes TI de los programas?

Ver respuesta anterior.1,00

4.- ¿Los procesos de TI advierten oportunamente sobre las desviaciones del plan, incluyendo costo, cronograma o funcionalidad, que pudieran impactar los resultados esperados de los programas?

Ver respuesta anterior.

1,00

5.- ¿Los servicios de TI se ejecutan contra acuerdos de niveles de servicios equitativos?

Si se tiene acuerdos de niveles de servicio. Es un contrato coorporativo por lo que si son equitativos y exigibles.

1,00

6.- ¿Los servicios de TI se ejecutan contra acuerdos de niveles de servicios exigibles?


7.- ¿La rendición de cuentas del logro de los beneficios y del control de los costos está claramente asignada?

Si está asignada porque se basan enpresupuesto, y monitoreada porque esauditada de manera interna y externa. Escorporativa.

1,00

8.- ¿La rendición de cuentas del logro de los beneficios y del control de los costos está claramente monitoreada?

Si.1,00

9.- ¿Se evalúa el riesgo de no cumplir con una capacidad para obtener los beneficios esperados?

Si saben los riesgos a los que están expuestospero no hay una evaluación del impacto, seestá trabajando en un proyecto de seguridadinformática.

0,50

10.- ¿Se evalúa el riesgo de no materializar los beneficios esperados? Ver respuesta anterior.0,50

1. ¿Los ejecutivos reciben capacitación tecnológica actual? Reciben la especifica al caso por herramientaadquirida. No hay capacitación.Implementarán programas de capacitacion en todos los niveles para las personas que van atrabajar y elaborarán planes de capacitaciònen base al análisis de las necesidades de losusuarios. Si se lo hacia por el año 2001 y lopiensan retomar.

0,50

2.- ¿Los ejecutivos saben lo que debe hacer el negocio para capitalizar las oportunidades que ofrece TI?

No saben como hacerlo porque ya lohubieran exigido. 0,00

3.- ¿Está bien entendido el rumbo del negocio al cual está alineado TI La parte administrativa si está bien atendida,pero la parte operativa no. No hay en planta.Tienen que levantar informaciòn y hacer undiagnostico para elaborar los planes deacción y asignar prioridades.

0,50

4.- ¿Las estrategias de negocio y de TI están integradas? Si están integradas. Toda la gestión de Ti estaalineada con el plan estratégico de TI queestá hecho en base al plan estratégico de laempresa.

1,00

5.- ¿Cuáles son las áreas en que el negocio (estrategia) depende de forma crítica de TI?

Todas las áreas. Primero hay que garantiar lacontinuidad del negocio mediante un buenplan de contingencia, implementar políticasde seguridad y de seguridad informática.

0,00

6.- ¿Entre los imperativos del negocio y la tecnología, están establecidas prioridades concertadas?

Si está priorizado. Los proyectos están hechosen base a las necesidades del negocio. 1,00

1.- ¿En el desempeño de los planes existentes se evalúa la funcionalidad? Si se evaluán. 1,00

2.- ¿En el desempeño de los planes existentes se evalúa la estabil idad? Si se evaluán. 1,003.- ¿En el desempeño de los planes existentes se evalúa la complejidad? Si se evaluán. 1,00

4.- ¿En el desempeño de los planes existentes se evalúa los costos? Si se evaluán. 1,005.- ¿En el desempeño de los planes existentes se evalúa la fortaleza? Si se evaluán. 1,006.- ¿En el desempeño de los planes existentes se evalúa la debil idad? Si se evaluán.

1,00

1.- ¿Existe un plan estratégico? Si hay PETI. 1,002.- ¿Este plan define cómo TI contribuirá a los objetivos estratégicos de laempresa?

Si, contempla todo. 1,00

3.- ¿En este plan están definidos los costos relacionados? Ver respuesta anterior. 1,004.- ¿En este plan están definidos los riesgos relacionados? Ver respuesta anterior. 1,005.- ¿En el plan incluye cómo TI dará soporte a los programas de inversión? Si. Hicieron un analisis FODA.

1,00

6.- ¿En el plan incluye cómo TI dará soporte a la entrega de los servicios operativos?


7.- ¿El plan define cómo se cumplirán los objetivos? Si. 1,008.- ¿El plan define cómo se medirán los objetivos? Si. 1,009.- ¿El plan es lo suficientemente detallado para permitir la definición de planes tácticos de TI?

Si. 1,00

PLANEAR Y

ORGANIZAR

Evaluar el desempeño de los planes existentes y de los sistemas de información en términos de su contribución a los

objetivos de negocio, su funcionalidad, su estabil idad, su complejidad, sus costos, sus fortalezas y debil idades.

Cons

trui

r un

plan

est

raté

gico

par

a TI

.

PO1.

4 - P

lan

Estr

atég

ico

de T

I.

Crear un plan estratégico que defina, en cooperación con los interesados relevantes, cómo TI contribuirá a los objetivos estratégicos de la empresa (metas) así como los costos y riesgos relacionados. Incluye cómo TI dará soporte a los programas de inversión facil itados por TI y a la entrega de los servicios operativos. Define cómo se cumplirán y medirán los objetivos y recibirán una autorización formal de los interesados. El plan estratégico de TI debe incluir el presupuesto de la inversión / operativo, las fuentes de financiamiento, la estrategia de obtención, la estrategia de adquisición, y los requerimientos legales y regulatorios. El plan estratégico debe ser lo suficientemente detallado para permitir la definición de planes tácticos de TI.

C O B I T PO

1 - D

efin

ir u

n Pl

an E

stra

tégi

co d

e TI

.

Rela

cion

ar la

s met

as d

el n

egoc

io c

on la

s de

TI.

PO1.

1 - A

dmin

istra

ción

del

Val

or d

e TI

.

Trabajar con el negocio para garantizar que el portafolio de inversiones de TI de la empresa contenga programas con casos de negocio sólidos. Reconocer que existen inversiones obligatorias, de sustento y discrecionales que difieren en complejidad y grado de l ibertad en cuanto a la asignación de fondos. Los procesos de TI deben proporcionar una entrega efectiva y eficiente de los componentes TI de los programas y advertencias oportunas sobre las desviaciones del plan, incluyendo costo, cronograma o funcionalidad, que pudieran impactar los resultados esperados de los programas. Los servicios de TI se deben ejecutar contra acuerdos de niveles de servicios equitativos y exigibles. La rendición de cuentas del logro de los beneficios y del control de los costos es claramente asignada y monitoreada. Establecer una evaluación de los casos de negocio que sea justa, transparente, repetible y comparable, incluyendo el valor financiero, el riesgo de no cumplir con una capacidad y el riesgo de no materializar los beneficios esperados.

Rela

cion

ar la

s met

as d

el n

egoc

io c

on la

s de

TI.

PO1.

2 - A

linea

ción

de

TI c

on e

l Neg

ocio

. Educar a los ejecutivos sobre las capacidades tecnológicas actuales y sobre el rumbo futuro, sobre las oportunidades que ofrece TI, y sobre qué debe hacer el negocio para capitalizar esas oportunidades. Asegurarse de que el rumbo del negocio al cual está alineado TI está bien entendido. Las estrategias de negocio y de TI deben estar integradas, relacionando de manera clara las metas de la empresa y las metas de TI y reconociendo las oportunidades así como las l imitaciones en la capacidad actual, y se deben comunicar de manera amplia. Identificar las áreas en que el negocio (estrategia) depende de forma crítica de TI, y mediar entre los imperativos del negocio y la tecnología, de tal modo que se puedan establecer prioridades concertadas.

Iden

tific

ar d

epen

denc

ias

críti

cas y

des

empe

ño

actu

al.

PO1.

3 - E

valu

ació

n de

l De

sem

peño

y la

Ca

paci

dad

Actu

al.

95

DO

MIN

IO

PRO

CESO

S

ACT

IVID

AD

ES D

EL

PRO

CESO

OBJ

ETIV

OS

DE

CON

TRO

L


CALI

FICA

CIÓ

N

1.- ¿Existe un portafolio de planes tácticos de TI derivados del planestratégico de TI?

Si existe. 1,00

2.- ¿Estos planes tácticos describen los recursos requeridos por TI? Si, incluye todo. 1,003.- ¿Estos planes tácticos describen como se monitorean los recursos? Si. 1,004.- ¿Estos planes tácticos describen como se administran los recursos? Si. 1,005.- ¿Estos planes tácticos describen como se monitorean los beneficiosobtenidos?

Si. 1,00

6.- ¿Estos planes tácticos describen como se administran los beneficiosobtenidos?

Si. 1,00

7.- ¿Los planes tácticos permiten la definición de planes de proyectos? Si (planes de acción). 1,008.- ¿Se administran los planes tácticos mediante el análisis de losportafolios de proyectos y servicios?

Si se administran. 1,00

9.- ¿El equil ibio de recursos se compara con el logro de metasestratégicas?

Si se compara. 1,00

10.- ¿El equil ibio de recursos se compara con los beneficios esperadps? Si se compara. 1,0011.- ¿Se toman las medidas necesarias en caso de desviaciones? Si. 1,001.- Sobre los programas de inversión de TI(proyectos):a. ¿Se administran de forma activa la inversión?

Si. 1,00

b. ¿Se identifican nuevos proyectos? Si, algunos surgen de las necesidades de losclientes y otros surgen aquí.

1,00

c. ¿Se definen nuevos proyectos? Si. 1,00d. ¿Se evalúan los nuevos proyectos? Si. 1,00e. ¿Se priorizan los proyectos? Si. 1,00f. ¿Se seleccionan proyectos? Si. 1,00g. ¿Se administran los proyectos? Si. 1,00h. ¿Se controlan los proyectos? Si.

1,00

1.- ¿El modelo de información empresarial facil ita el desarrollo deaplicaciones consistente con los planes de TI?

Baan funciona mas como repositorio de datos que como resultado. TI hace un levantamientode informaciòn por cada necesidad que surge. El modelo contribuye un 70% a proporcionarla informacion que TI necesita para realizarel trabajo. Se trabaja con reporteadores paraunificar la informaciòn de los procesos y quede informacion necesaria para las diferentesareas sobre situaciones críticas.

0,70

2.- ¿El modelo de información empresarial facil ita las actividades desoporte a la toma de decisiones, consistente con los planes de TI?


3.- ¿El modelo facil ita la creación la información? Solo un 70%. 0,704.- ¿El modelo facil ita el uso de la información? Si en un 70%. 0,705.- ¿El modelo facil ita el compartir en forma óptima la información? Si en un 70%. 0,706.- ¿El modelo permite que la información se mantenga integra? En parte. No tanto integra por el tema de la

seguridad informatica. 0,30

7.- ¿El modelo permite que la información se mantenga flexible? En cuanto a modelo de informacion se planeala capacitación con usuarios back up osegundo a bordo para que la información noesté concentrada en personas específicas. Setendrá una base de conocimientos.

0,30

8.- ¿El modelo permite que la información se mantenga funcional? En parte. 0,309.- ¿El modelo permite que la información se mantenga rentable? Es rentable en parte aunque no han medido el

beneficio que se ha obtenido en tener estemodelo. No esta todo, hay que trabajar.

0,30

10.- ¿El modelo permite que la información se mantenga oportuna? En parte. 0,3011.- ¿El modelo permite que la información se mantenga segura? En parte están en el proceso de implementar

un proyecto de seguridad de la información.0,30

12.- ¿El modelo permite que la información se mantenga tolerante afallos?

Es rentable en parte aunque no han medido elbeneficio que se ha obtenido en tener estemodelo. No esta todo, hay que trabajar.

0,30

1.-¿El diccionario de datos incluye reglas de sintaxis de datos de laorganización?

No incluye. El Baan si tiene, el Adam no tiene,el Holding tampoco. 0,00

2.-¿El diccionario facil ita compartir elementos de datos entre lasaplicaciones?

Es una util idad para el Baan pero si quierenunirlo a nivel empresarial no se puede. a) Nohan obtenido a nivel de Baan las fuentes. b)Tecnologia no ha recibido capacitacióntécnica sobre la BD y las relaciones de loselementos de la BD. Pero si se puede solicitarcapacitación técnica a los proveedores de losaplicativos y otra alternativa es elautoaprendizaje.

0,00

3.-¿El diccionario facil ita compartir elementos de datos entre lossistemas?

Ver respuesta anterior. 0,00

4.- ¿El diccionario fomenta un entendimiento común de datos entre losusuarios de TI y del negocio?


5.- ¿El diccionario previene la creación de elementos de datosincompatibles?


1.- ¿El esquema de clasificación de datos aplica a toda la empresa? Es empririco. Como TI, no está establecido unprocedimiento. En ISO 9000 les dicen comogenerar los documentos pero no loscategoriza. No lo tienen contemplado. Tienenproyecto de implementar ISO 27000 y asumenque en este estandar estará contempladoesto.

0,00

2.- ¿Está basado en que tan crítica es la información (pública,confidencial, secreta) de la empresa?


3.- ¿Está basado en que tan sensible es la información (pública,confidencial, secreta) de la empresa?


4.- ¿Este esquema incluye detalles cómo la propiedad de datos? Ver respuesta anterior. 0,005.- ¿Este esquema define los niveles apropiados de seguridad? Ver respuesta anterior. 0,006.- ¿Este esquema define los niveles apropiados de controles deprotección?


7.- ¿Este esquema describe los requerimientos de retención de datos? Ver respuesta anterior. 0,008.- ¿Este esquema describe los requerimientos de destrucción de datos? Ver respuesta anterior. 0,009.- ¿Este esquema describe que tan críticos son los datos? Ver respuesta anterior. 0,0010.- ¿Este esquema describe que tan sensibles son los datos? Ver respuesta anterior. 0,0011.- ¿Este esquema se util iza como base para aplicar controles como el deacceso, archivo o cifrado?


PLANEAR Y

ORGANIZAR

PO2.

2 - D

icci

onar

io d

e D

atos

Em

pres

aria

l y R

egla

s de

Sin

táxi

s de

Dat

os.

Mantener un diccionario de datos empresarial que incluya las reglas de sintaxis de datos de la organización. El diccionario facil ita compartir elementos de datos entre las aplicaciones y los sistemas, fomenta un entendimiento común de datos entre los usuarios de TI y del negocio, y previene la creación de elementos de datos incompatibles.

C O B I T

*Est

able

cer

y m

ante

ner

esqu

ema

de c

lasi

ficac

ión

de d

atos

.

*B

rind

ar a

los

dueñ

os p

roce

dim

ient

os y

her

ram

ient

as p

ara

clas

ifica

r lo

s si

stem

as d

e in

form

ació

n.

PO2.

3 - E

sque

ma

de C

lasi

ficac

ión

de D

atos

.

Establecer un esquema de clasificación que aplique a toda la empresa, basado en que tan crítica y sensible es la información (esto es, pública, confidencial, secreta) de la empresa. Este esquema incluye detalles acerca de la propiedad de datos, la definición de niveles apropiados de seguridad y de controles de protección, y una breve descripción de los requerimientos de retención y destrucción de datos, además de qué tan críticos y sensibles son. Se usa como base para aplicar controles como el control de acceso, archivo o cifrado.

PO2

- Def

inir

la A

rqui

tect

ura

de la

Info

rmac

ión.

PO1

- Def

inir

un

Plan

Est

raté

gico

de

TI.

Cons

trui

r pl

anes

táct

icos

par

a TI

.

PO1.

5 - P

lane

s Tá

ctic

os d

e TI

.

Crear un portafolio de planes tácticos de TI que se deriven del plan estratégico de TI. Estos planes tácticos deben describir las iniciativas y los requerimientos de recursos requeridos por TI, y cómo el uso de los recursos y el logro de los beneficios serán monitoreados y administrados. Los planes tácticos deben tener el detalle suficiente para permitir la definición de planes de proyectos. Administrar de forma activa los planes tácticos y las iniciativas de TI establecidas por medio del análisis de los portafolios de proyectos y servicios. Esto incluye el equil ibrio de los requerimientos y recursos de forma regular, comparándolos con el logro de metas estratégicas y tácticas y con los beneficios esperados, y tomando las medidas necesarias en caso de desviaciones.

Ana

lizar

por

tafo

lios

de p

rogr

amas

y

adm

inis

trar

por

tafo

lios

de s

ervi

cios

y

proy

ecto

s.

PO1.

6 - A

dmin

istr

ació

n de

l Por

tafo

lio d

e TI

. Administrar de forma activa, junto con el negocio, el portafolio de programas de inversión de TI requerido para lograr objetivos de negocio estratégicos específicos por medio de la identificación, definición, evaluación, asignación de prioridades, selección, inicio, administración y control de los programas. Esto incluye clarificar los resultados de negocio deseados, garantizar que los objetivos de los programas den soporte al logro de los resultados, entender el alcance completo del esfuerzo requerido para lograr los resultados, definir una rendición de cuentas clara con medidas de soporte, definir proyectos dentro del programa, asignar recursos y financiamiento, delegar autoridad, y comisionar los proyectos requeridos al momento de lanzar el programa.

Crea

r y

man

tene

r m

odel

o de

info

rmac

ión

corp

orat

ivo/

empr

esar

ial.

PO2.

1 - M

odel

o de

Arq

uite

ctur

a de

Info

rmac

ión

Empr

esar

ial.

Establecer y mantener un modelo de información empresarial que facil ite el desarrollo de aplicaciones y las actividades de soporte a la toma de decisiones, consistente con los planes de TI como se describen en P01. El modelo debe facil itar la creación, uso y el compartir en forma óptima la información por parte del negocio de tal manera que se mantenga su integridad, sea flexible, funcional, rentable, oportuna, segura y tolerante a fallos.

Crea

r y

man

tene

r di

ccio

nari

o de

dat

os c

orpo

rativ

o.

96

DO

MIN

IO

PRO

CESO

S

ACT

IVID

AD

ES D

EL

PRO

CESO

OB

JETI

VO

S D

E CO

NTR

OL


CALI

FICA

CIÓ

N

1.- ¿Existen procedimientos que garanticen la integridad de los datosalmacenados en formato electrónico, tales como bases de datos,almacenes de datos y archivos?

En un pequeño porcentaje, a nivel derespaldo. Los procedimientos no estan en sumayoria documentados. Se lo piensa hacer.

0,25

2.- ¿Existen procedimientos que garanticen la consistencia de todos losdatos almacenados en formato electrónico, tales como bases de datos,almacenes de datos y archivos?


1.- ¿Se analizan las tecnologías existentes? Si. Los proveedores vienen a que les enseñen. 1,00

2.- ¿Se analizan las tecnologías emergentes? Si. 1,00

3.- ¿Se planea cuál dirección tecnológica es apropiada tomar paramaterializar la estrategia de TI?

Si. 1,00

4.- ¿Se planea cuál dirección tecnológica es apropiada tomar paramaterializar la arquitectura de sistemas del negocio?

Si. 1,00

5.- ¿Están identificadas en el plan las tecnologías que tienen el potencialde crear oportunidades de negocio?

No, a lo mucho el internet, por lasexportaciones.

0,00

6.- ¿El plan abarca la arquitectura de sistemas? El plan de TI abarca todo eso, contingencia,riesgo, pero en un porcentaje. Falta crear(tienen seguridad, riesgos, capacitacion).

0,50

7.- ¿El plan abarca la dirección tecnológica? En parte. 0,508.- ¿El plan abarca las estrategias de migración? En parte. 0,509.- ¿El plan abarca los aspectos de contingencia de los componentes de lainfraestructura?

En parte. 0,50

1.- ¿Existe un plan de infraestructura tecnológica? En la actualidad no. Se están haciendodiagnosticos en base de datos, servidores ,SO. y estandares (ITIL, Cobit, ISO 27000 yseguridad informática). En base a esediagnostico (3 empresas lo hacen) seelaborará el plan estratégico.

0,00

2.- ¿El plan de infraestructura tecnológica está acorde con los planesestratégicos de TI?


3- ¿Tienen planes tácticos de TI? Ver respuesta anterior. 0,00

4- ¿El plan de infraestructura tecnológica está acorde con los planestácticos de TI?


5.- ¿El plan está basado en la dirección tecnológica? Si está basado en la dirección tecnológica. 1,00

6.- ¿El plan incluye acuerdos para contingencias? Si. 1,007.- ¿El plan incluye la orientación para la adquisición de recursostecnológicos?

Si. 1,00

8.- ¿El plan considera los cambios en el ambiente competitivo? Si considera los cambios en el ambientecompetitivo. 1,00

9.- ¿El plan considera las economías de escala para inversiones? Ver respuesta anterior. 1,0010.- ¿El plan considera al personal en sistemas de información? Ver respuesta anterior. 1,0011.- ¿El plan considera la mejora en la interoperabil idad de lasplataformas?


12.- ¿El plan considera la mejora en la interoperabil idad de lasaplicaciones?


1.- ¿Existe un proceso para monitorear las tendencias ambientales delsector/industria?

No existe un proceso claro. Se lo hace en basea los requerimientos del usuario, no escontinuo y por el momento el usuario solicitaalgo que está vigente en el mercado. (Softwarepara biblioteca de planos, PDA. Integracióndel Baan con el BSC).

0,00

2.- ¿Existe un proceso para monitorear las tendencias tecnológicas? Ver respuesta anterior. 0,003.- ¿Existe un proceso para monitorear las tendencias de infraestructura? Ver respuesta anterior. 0,004.- ¿Existe un proceso para monitorear las tendencias legales? Ver respuesta anterior. 0,005.- ¿Existe un proceso para monitorear las tendencias regulatorias? Ver respuesta anterior. 0,006.- ¿Están incluidas las consecuencias de estas tendencias en eldesarrollo del plan de infraestructura tecnológica de TI?

No están incluidas las consecuencias porqueno hay plan.

0,00

1.- ¿Se proporcionan soluciones tecnológicas consistentes para toda laempresa?

Si se proporcionan soluciones.1,00

2.- ¿Se proporcionan soluciones tecnológicas efectivas para toda laempresa?


3.- ¿Se proporcionan soluciones tecnológicas seguras para toda laempresa?


4.- ¿Se brindan directrices tecnológicas sobre los productos de lainfraestructura?

Si se brindan. El departamento de Logísticaenvia los requerimientos de los usuarios para hacer el análisis tecnico y en base a esto secompra o se contrata el servicio.

1,00

5.- ¿Se brinda asesoría sobre los productos de la infraestructura? Ver respuesta anterior. 1,006.- ¿Se brindan guías sobre la selección de la tecnología? Ver respuesta anterior. 1,007.- ¿Se mide el cumplimiento de los estándares tecnológicos? Si se lo hace por medio de las auditorías de

calidad.1,00

8.- ¿Se mide el cumplimiento de las directrices tecnológicas? Si. 1,009.- ¿Se impulsa los estándares con base en su importancia y riesgo para elnegocio y en el cumplimiento de requerimientos externos?

No se lo ha hecho, con este proyecto y otros(diagnostico de ITIL, politicas de calidad paracertificarse en ISO 27000) se lo estáimpulsando.

0,00

10.- ¿Se impulsa las prácticas tecnológicas con base en su importancia yriesgo para el negocio y en el cumplimiento de requerimientos externos?


1.- ¿Existe un comité de arquitectura de TI que proporcione directricessobre la arquitectura?

No hay comité de arquitectura. (Se lo piensacrear en aproximadamente 8 meses porqueles falta asentarse como departamento).

0,00

2.- ¿Existe un comité de arquitectura de TI que proporcione asesoría sobresu aplicación?


3.- ¿Existe un comité de arquitectura de TI que verifique el cumplimiento? Ver respuesta anterior. 0,004.- ¿Esta entidad orienta el diseño de la arquitectura de TI garantizandoque facil ite la estrategia del negocio?

No hay comité de arquitectura. 0,00

5.- ¿Esta entidad tome en cuenta el cumplimiento regulatorio? Ver respuesta anterior. 0,006.- ¿Esta entidad tome en cuenta los requerimientos de continuidad? Ver respuesta anterior. 0,00

PO3

- Det

erm

inar

la D

irec

ción

Tec

noló

gica

.

Crea

r y

man

tene

r un

pla

n de

infr

aest

ruct

ura

tecn

ológ

ica.

PO3.

1 - P

lane

ació

n de

la D

irec

ción

Tec

noló

gica

.

Analizar las tecnologías existentes y emergentes y planear cuál dirección tecnológica es apropiada tomar para materializar la estrategia de TI y la arquitectura de sistemas del negocio. También identificar en el plan qué tecnologías tienen el potencial de crear oportunidades de negocio. El plan debe abarcar la arquitectura de sistemas, la dirección tecnológica, las estrategias de migración y los aspectos de contingencia de los componentes de la infraestructura.

Crea

r y

man

tene

r es

tánd

ares

tecn

ológ

icos

.

PO3.

2 - P

lan

de In

frae

stru

ctur

a Te

cnol

ógic

a.

Crear y mantener un plan de infraestructura tecnológica que esté de acuerdo con los planes estratégicos y tácticos de TI. El plan se basa en la dirección tecnológica e incluye acuerdos para contingencias y orientación para la adquisición de recursos tecnológicos. También toma en cuenta los cambios en el ambiente competitivo, las economías de escala para inversiones y personal en sistemas de información, y la mejora en la interoperabil idad de las plataformas y las aplicaciones.

Publ

icar

est

ánda

res

tecn

ológ

icos

.

PO3.

3 - M

onito

reo

de T

ende

ncia

s y

Regu

laci

ones

Fut

uras

.

Establecer un proceso para monitorear las tendencias ambientales del sector / industria, tecnológicas, de infraestructura, legales y regulatorias. Incluir las consecuencias de estas tendencias en el desarrollo del plan de infraestructura tecnológica de TI.

C O B I T U

sar

el m

odel

o de

in

form

ació

n, e

l di

ccio

nari

o de

da

tos

y el

es

quem

a de

cl

asifi

caci

ón

para

pla

near

los

sist

emas

PO2.

4 -

Adm

inis

trac

ión

de In

tegr

idad

.

Definir e Implementar procedimientos para garantizar la integridad y consistencia de todos los datos almacenados en

formato electrónico, tales como bases de datos, almacenes de datos y archivos.

PLANEAR Y

ORGANIZAR

PO2

- Def

inir

la

Arq

uite

ctur

a de

la

Info

rmac

ión.

Def

inir

el u

so (f

utur

o)

(est

raté

gico

) de

la n

ueva

te

cnol

ogía

.

PO3.

5 - C

onse

jo d

e A

rqui

tect

ura

de T

I.

Establecer un comité de arquitectura de TI que proporcione directrices sobre la arquitectura y asesoría sobre su aplicación, y que verifique el cumplimiento. Esta entidad orienta el diseño de la arquitectura de TI garantizando que facil ite la estrategia del negocio y tome en cuenta el cumplimiento regulatorio y los requerimientos de continuidad. Estos aspectos se vinculan con el PO2 (Definir arquitectura de la información).

Mon

itore

ar la

evo

luci

ón te

cnol

ógic

a.

PO3.

4 - E

stán

dare

s Te

cnol

ógic

os.

Proporcionar soluciones tecnológicas consistentes, efectivas y seguras para toda la empresa, establecer un foro tecnológico para brindar directrices tecnológicas, asesoría sobre los productos de la infraestructura y guías sobre la selección de la tecnología, y medir el cumplimiento de estos estándares y directrices. Este foro impulsa los estándares y las prácticas tecnológicas con base en su importancia y riesgo para el negocio y en el cumplimiento de requerimientos externos.

97

DOM

INIO

PRO

CESO

S

ACTI

VIDA

DES

DEL

PRO

CESO

OBJ

ETIV

OS

DE

CON

TRO

L


CALI

FICA

CIÓ

N

1.- ¿Está definido un marco de trabajo para el proceso de TI para ejecutarel plan estratégico de TI?

Si está definido.1,00

2.- ¿El marco de trabajo de procesos de TI está integrado en un sistema deadministración de calidad?

Si está integrado. 1,00

3.- ¿El marco de trabajo de procesos de TI está integrado en un marco detrabajo de control interno?

Si.

1,00

1.- ¿Se cuenta con un comité estratégico de TI a nivel del consejo? No existe comité estratégico. 0,002.- ¿Este comité asegura que el gobierno de TI, como parte del gobiernocorporativo, se maneja de forma adecuada, asesora sobre la direcciónestratégica y revisa las inversiones principales a nombre del consejocompleto?

No existe comité estratégico (Si se piensacrear el comité y nosotros debemosasesorarlos como formar el comité.

0,00

1.- ¿Se cuenta con un comité estratégico de TI a nivel del consejo? No existe comité estratégico (Si se piensa crear el comité y nosotros debemos asesorarlos como formar el comité.

0,00

2.- ¿Este comité asegura que el gobierno de TI, como parte del gobiernocorporativo, se maneja de forma adecuada?


3.- ¿Este comité asesora sobre la dirección estratégica? Ver respuesta anterior. 0,004.- ¿Este comité evisa las inversiones principales a nombre del consejocompleto?

ver respuesta anterior. 0,00

Iden

tific

ar d

ueño

s de

sist

emas

.

PO4.

4 - U

bica

ción

O

rgan

izaci

onal

de

la F

unci

ón d

e TI

. Ubicar a la función de TI dentro de la estructura organizacional general con un modelo de negocios supeditado a la importancia de TI dentro de la empresa, en especial en función de que tan crítica es para la estrategia del negocio y el nivel de dependencia operativa sobre TI. La l ínea de reporte del CIO es proporcional con la importancia de TI dentro de la empresa.

1.- ¿La función de TI está ubicada dentro de la estructura organizacionalgeneral con un modelo de negocios supeditado a la importancia de TIdentro de la empresa?

Si, porque está como una jefatura y sereporta directamente a la Gerencia General.

1,00

1.- ¿Está establecida una estructura organizacional de TI interna querefleje las necesidades del negocio?

Si se cuenta. En el Holding Dine hay unaGerencia de TI y bajo esta gerencia están lasjefaturas de TI de cada una de las empresas.Con ellos se coordina la adopción deestandares o cualquier otro requerimientoque se necesite.

1,00

2.- ¿Está establecida una estructura organizacional de TI externa que refleje las necesidades del negocio?


3.- ¿Existe un proceso que revise la estructura organizacional de TI deforma periódica para ajustar los requerimientos de personal?

Esto se coordina con la gerencia de TI del Holding Dine

1,00

4.- ¿Existe un proceso que revise las estrategias internas para satisfacerlos objetivos de negocio esperados y las circunstancias cambiantes?


1.- ¿Se definen los roles y las responsabil idades para el personal de TI? Si se definen. 1,002.- ¿Se comunican los roles y las responsabil idades para el personal deTI?

Si se comunican. 1,00

3.- ¿Están definidas las responsabil idades para alcanzar las necesidadesdel negocio?

Si se definen mediante el plan de actividadesy de acuerdo a los requerimientospriorizados por la alta gerencia.

1,00

4.- ¿Está definida la rendición de cuentas para alcanzar las necesidadesdel negocio?


1.- ¿Está asignada la responsabil idad para el desempeño de la función deaseguramiento de calidad (QA)?

No hay implementado un aseguramiento decalidad de TI. Se esta definiendo todos losprocesos, indicadores y procedimientos y selos va a montar en una plataforma. Ademásse recibirá la capacitación de ISO 9000 parasaber que falta para la certificación y secontratará a una empresa paraasesoramiento y logro del objetivo.

0,00

2.- ¿El grupo de QA cuenta con los sistemas de QA, los controles y laexperiencia para comunicarlos?

No hay implementado aseguramiento decalidad.

0,00

3.- ¿La ubicación organizacional del grupo de QA satisfacen losrequerimientos de la organización?


0,00

4.- ¿Las responsabil idades del grupo de QA satisfacen los requerimientosde la organización?


0,00

5.- ¿El tamaño del grupo de QA satisfacen los requerimientos de laorganización?


0,00

1.- ¿Está establecida la responsabil idad de los riesgos relacionados conTI a un nivel superior apropiado?

Si se establece pero, aún falta evaluación con respecto a los incidentes. 0,50

2.- ¿Están asignados los roles críticos para administrar los riesgos de TI? Se tiene algo básico. Se está trabajando en lapolitica de seguridad, se está elaborandouna política de calidad, están en la etapa derevisión de esa política, cada especialista,b.d. , aplicativos y help desk debe elaborarprocedimientos que exige esta política.

0,50

3.- ¿Está establecida la responsabil idad sobre la administración delriesgo?

No está establecido formalmente. En cuantose tenga los procedimiento se va a establecer. 0,00

4.- ¿Está establecida la seguridad para manejar los problemas a nivel detoda la empresa?


5.- ¿Están asignadas responsabil idades adicionales de administración dela seguridad a nivel de sistema específico?

No. 0,00

6.- ¿La alta dirección orienta con respecto al apetito de riesgo de TI? No. 0,007.- ¿La alta dirección aprueba cualquier riesgo residual de TI? No. 0,001.- ¿Existen procedimientos y herramientas que permitan enfrentar lasresponsabil idades de propiedad sobre los datos y los sistemas deinformación?

Si, los usuarios disponen de una plataformatecnológica que soportan los procesosdefinidos en la empresa en base a susnecesidades, dependiendo de las funcionesestablecidad por RR HH.

1,00

2.- ¿Los dueños toman decisiones sobre la clasificación de la información para protegerlos de acuerdo a esta clasificación?

No, pero se debe hacer. Falta hacer unlevantamiento de informacion de cadaproceso y categorizarlo según la criticidad de la información.

0,00

3.- ¿Los dueños toman decisiones para proteger los sistemas? Ver respuesta anterior. 0,001.- ¿Se tienen implementadas prácticas adecuadas de supervisión dentrode la función de TI para garantizar que los roles y las responsabil idadesse ejerzan de forma apropiada?

Si se tiene implementada. Hay indicadores .1,00

2.- ¿Se revisan en forma general los indicadores claves de desempeño? Ver respuesta anterior. 1,001.- ¿Se tiene implementado una división de roles y responsabil idades quereduzca la posibil idad de que un solo individuo afecte negativamente unproceso crítico?

Si, por medio de las funciones de RRHH.

1,00

2.- ¿La gerencia se asegura de que el personal realice sólo las tareasautorizadas relevantes a sus puestos?

Si, al igual que lo anterior por las funcionesdefinidas por RRHH. 1,00Es

tabl

ecer

e

impl

anta

r rol

es

y re

spon

sabi

lidad

es d

e TI

, inc

luid

a la

supe

rvisi

ón y

se

greg

ació

n de

fu

ncio

nes.

PO4.

11 -

Segr

egac

ión

de

Func

ione

s.

Implementar una división de roles y responsabil idades que reduzca la posibil idad de que un solo individuo afecte negativamente un proceso crítico. La gerencia también se asegura de que el personal realice sólo las tareas autorizadas, relevantes a sus puestos y posiciones respectivas.

PO4

- Def

inir

los P

roce

sos,

Org

aniza

ción

y Re

lacio

nes d

e TI

.

PLANEAR Y

ORGANIZAR

Esta

blec

er e

impl

anta

r rol

es y

re

spon

sabi

lidad

es d

e TI

, in

clui

da la

supe

rvisi

ón y

se

greg

ació

n de

func

ione

s.

PO4.

9 - P

ropi

edad

de

Dato

s y

de S

istem

as.

Proporcionar al negocio los procedimientos y herramientas que le permitan enfrentar sus responsabil idades de propiedad sobre los datos y los sistemas de información. Los dueños toman decisiones sobre la clasificación de la información y de los sistemas y sobre cómo protegerlos de acuerdo a esta clasificación.

Esta

blec

er

e im

plan

tar

role

s y

resp

onsa

bilid

ades

de

TI, i

nclu

ida

la

supe

rvisi

ón

PO4.

10 -

Supe

rvisi

ón.

Implementar prácticas adecuadas de supervisión dentro de la función de TI para garantizar que los roles y las

responsabil idades se ejerzan de forma apropiada, para evaluar si todo el personal cuenta con la suficiente

PO4.

2 - C

omité

Es

trat

égic

o de

TI

.

Establecer un comité estratégico de TI a nivel del consejo. Este comité deberá asegurar que el gobierno de TI, como parte del gobierno corporativo, se maneja de forma adecuada, asesora sobre la dirección estratégica y revisa las inversiones principales a nombre del consejo completo.

Esta

blec

er e

stru

ctur

a or

gani

zaci

onal

de

TI,

incl

uyen

do c

omité

s y

ligas

a lo

s int

eres

ados

y

prov

eedo

res.

PO4.

3 - C

omité

Di

rect

ivo

de T

I.

Establecer un comité directivo de TI (o su equivalente) compuesto por la gerencia ejecutiva, del negocio y de TI para: Determinar las prioridades de los programas de inversión de TI alineadas con la estrategia y prioridades de negocio de la empresa, Dar seguimiento al estatus de los proyectos y resolver los conflictos de recursos, Monitorear los niveles de servicio y las mejoras del servicio.

Esta

blec

er e

stru

ctur

a or

gani

zaci

onal

de

TI,

incl

uyen

do c

omité

s y li

gas a

los

inte

resa

dos y

pro

veed

ores

.

PO4.

5 - E

stru

ctur

a O

rgan

izaci

onal

.

Establecer una estructura organizacional de TI interna y externa que refleje las necesidades del negocio. Además implementar un proceso para revisar la estructura organizacional de TI de forma periódica para ajustar los requerimientos de personal y las estrategias internas para satisfacer los objetivos de negocio esperados y las circunstancias cambiantes.

Esta

blec

er e

impl

anta

r rol

es y

resp

onsa

bilid

ades

de

TI,

incl

uida

la su

perv

isión

y se

greg

ació

n de

fu

ncio

nes.

PO4.

8 - R

espo

nsab

ilida

d so

bre

el R

iesg

o, la

Se

gurid

ad y

el C

umpl

imie

nto.

Establecer la propiedad y la responsabil idad de los riesgos relacionados con TI a un nivel superior apropiado. Definir y asignar roles críticos para administrar los riesgos de TI, incluyendo la responsabil idad específica de la seguridad de la información, la seguridad física y el cumplimiento. Establecer responsabil idad sobre la administración del riesgo y la seguridad a nivel de toda la organización para manejar los problemas a nivel de toda la empresa. Puede ser necesario asignar responsabil idades adicionales de administración de la seguridad a nivel de sistema específico para manejar problemas relacionados con seguridad. Obtener orientación de la alta dirección con respecto al apetito de riesgo de TI y la aprobación de cualquier riesgo residual de TI.

Esta

blec

er e

impl

anta

r rol

es y

re

spon

sabi

lidad

es d

e TI

, inc

luid

a la

su

perv

isión

y se

greg

ació

n de

func

ione

s.

PO4.

7 - R

espo

nsab

ilida

d de

Ase

gura

mie

nto

de

Calid

ad d

e TI

. Asignar la responsabil idad para el desempeño de la función de aseguramiento de calidad (QA) y proporcionar al grupo de QA sistemas de QA, los controles y la experiencia para comunicarlos. Asegurar que la ubicación organizacional, las responsabil idades y el tamaño del grupo de QA satisfacen los requerimientos de la organización.

Esta

blec

er e

impl

anta

r ro

les y

resp

onsa

bilid

ades

de

TI,

incl

uida

la

supe

rvisi

ón y

segr

egac

ión

de fu

ncio

nes.

PO4.

6 - E

stab

leci

mie

nto

de

Role

s y R

espo

nsab

ilida

des.

Definir y comunicar los roles y las responsabil idades para el personal de TI y los usuarios que delimiten la autoridad entre el personal de TI y los usuarios finales y definían las responsabil idades y rendición de cuentas para alcanzar las necesidades del negocio.

Dise

ñar M

arco

de

Trab

ajo

para

el

proc

eso

de T

I.

PO4.

1 - M

arco

de

Trab

ajo

de

Proc

esos

de

TI.

Definir un marco de trabajo para el proceso de TI para ejecutar el plan estratégico de TI. Este marco incluye estructura y relaciones de procesos de TI administrando brechas y superposiciones de procesos), propiedad, medición del desempeño, mejoras, cumplimiento, metas de calidad y planes para alcanzarlas. Proporciona integración entre los procesos que son específicos para TI, administración del portafolio de la empresa, procesos de negocio y procesos de cambio del negocio. El marco de trabajo de procesos de TI debe estar integrado en un sistema de administración de calidad y en un marco de trabajo de control interno.

Esta

blec

er

estr

uctu

ra

orga

niza

cion

al

de

TI,

incl

uyen

do

com

ités y

lig

as a

los

inte

resa

dos y

pr

ovee

dore

s

C O B I T

98

DO

MIN

IO

PRO

CESO

S

ACT

IVID

AD

ES D

EL

PRO

CESO

OBJ

ETIV

OS

DE

CON

TRO

L


CALI

FICA

CIÓ

N

1.-¿ Se evalúan los requerimientos de personal de forma regular paragarantizar que la función de TI cuente con un número suficiente derecursos para soportar adecuada y apropiadamente las metas delnegocio?

Si, de acuerdo a los requerimientos, si esalgo pequeño se usan el recurso humano conque se cuenta y si es algo grande se lo buscaen el mercado. Dependiendo del alcance derequerimiento se lo busca internamente oexternamente.

1,00

2.- ¿ Se evalúan los requerimientos de personal de forma regular paragarantizar que la función de TI cuente con un número suficiente derecursos para soportar adecuada y apropiadamente los objetivos delnegocio?

Si.

1,00

1.- ¿Se define al personal clave de TI para minimizar la dependencia en unsolo individuo desempeñando una función de trabajo crítica?

Si. Se busca que el conocimiento critico parael desarrollo o desempeño de TI no seconcentre en un solo individuo o en un solousuario, mediante la formación de usuarios y especialistas de Ti (Backups) quienes luegode la capacitación trabajarán en laactualización de manuales de procedimientode cada proceso.

1,00

2.- ¿Se identifica al personal clave de TI para minimizar la dependenciaen un solo individuo desempeñando una función de trabajo crítica?

Si. 1,00

1.- ¿Se asegura que los consultores cumplan con las políticasorganizacionales de protección de los activos de información de laempresa de tal manera que se logren los requerimientos contractualesacordados?

Si, mediante la firma de contratos conclausulas específicas sobre esto. 1,00

2.- ¿Se asegura que el personal contratado que soporta la función de TIcumplan con las políticas organizacionales de protección de los activosde información de la empresa?


1.- ¿Existe una estructura óptima de enlace entre la función de TI y otrosinteresados dentro y fuera de la función de TI?

Si existe, pero falta más. Hay una definiciónclara para hacer un requerimiento pero faltamayor acercamiento, como por ejemplo: Setienen reuniones con cada gerente para saber que falta o que no se ha atendido en cadaárea.

0,50

2.- ¿Existe una estructura óptima de comunicación entre la función de TIy otros interesados dentro y fuera de la función de TI?


3.- ¿Existe una estructura óptima de coordinación entre la función de TI yotros interesados dentro y fuera de la función de TI?


4.- ¿Se mantienen estas estructuras óptimas? Ver respuesta anterior. 0,501.- ¿Existe un marco de trabajo financiero para administrar lasinversiones de TI a través del portafolios de inversiones y presupuestosde TI?

Se tiene establecido que en inversionesmayores a $10.000, estas deben seranalizadas por tecnicos o especialistas de TI,se elabora un informe tecnico que pasa porel comité de adquisiciones de la empresa. Eninversiones de hasta $150, se lo adquieredirectamente y no pasa por el comité. Eninversiones de $150 a $10.000 se elabora uninforme tecnico en base a cotizaciones y se lo adquiere.

1,00

2.- ¿Existe un marco de trabajo financiero para administrar el costo delos activos de TI?


3.- ¿Existe un marco de trabajo financiero para administrar los serviciosde TI?


4.- ¿Se mantiene este marco de trabajo financiero? Ver respuesta anterior. 1,001.- ¿Existe un proceso de toma de decisiones para dar prioridades a laasignación de recursos a TI?

Si, las decisiones se basan en la prioridad delos proyectos que afecten altamente a laoperatividad del negocio.

1,00

2.- ¿Este proceso optimiza el retorno del portafolio empresarial deprogramas de inversión en TI y otros servicios?

No se ha hecho un análisis interno, pero sedebería hacer. Las implementaciones del ERP,BSC fueron hechas por medio del Holding.

0,00

3.- ¿Este proceso optimiza el retorno del portafolio empresarial de activos de TI?


1.- ¿Existe un proceso para elaborar un presupuesto que refleje lasprioridades establecidas en el portafolio empresarial de programas deinversión en TI, que incluya los costos recurrentes de operar y mantenerla infraestructura actual?

Si, este incluye todo, como por ejemplo lo que se paga por el mantenimiento del Erp, delicencias, etc. 1,00

2.- ¿Existe un proceso para administrar este presupuesto? Ver respuesta anterior. 1,00

3.- ¿El proceso soporta al desarrollo de un presupuesto general de TI asícomo al desarrollo de presupuestos para programas individuales, conénfasis especial en los componentes de TI de esos programas?

Si.1,00

4.- ¿El proceso permite la revisión, el refinamiento y la aprobaciónconstante del presupuesto general?

Si. 1,00

5.- ¿El proceso permite la revisión, el refinamiento y la aprobaciónconstante de los presupuestos de programas individuales?

Si. 1,00

1.- ¿Existe un proceso de administración de costos que compare loscostos reales con los presupuestados?

Si.1,00

2.- ¿Se monitorean los costos? Si. Tienen un proceso de optimización decostos, estos son monitoreados por el áreade Costos y Presupuestos.

1,00

3.- ¿Se reportan los costos? Ver respuesta anterior. 1,004.- ¿Se identifican de forma oportuna si existen desviaciones? Si, mes a mes. Tienen como objetivo,

optimizar costos del área ya que no cuentacon una persona (Asistente).

1,00

5.- ¿El impacto de las desviaciones sobre los programas se evalúan? Si se corrige apropiadamente. 1,006.- ¿Junto con el patrocinador del negocio para estos programas, setoman medidas correctivas apropiadas?


7.- ¿Se actualiza el caso de negocio del programa de inversión? Cada tres meses se hace un Fore Cast, que escomo un ajuste al presupuesto, pero hastaahora no se ha afectado el presupuesto.

1,00

1.- ¿Se cuenta con un proceso de monitoreo de beneficios? No. Se piensa implementar con nuestra ayuda. 0,00

2.- ¿Se reportan estos beneficios? Ver respuesta anterior. 0,003.- ¿Se toman medidas apropiadas para mejorar la contribución de TI? Si. Como por ejemplo: Reestructuración de

funciones dentro del área y recursos comomobiliario y ambiente de trabajo.

1,00

PO5.

5 - A

dmin

istr

ació

n de

Ben

efic

i

Implementar un proceso de monitoreo de beneficios. La contribución esperada de TI a los resultados del negocio, ya sea como un componente de programas de inversión en TI o como parte de un soporte operativo regular, se debe identificar, acordar, monitorear y reportar. Los reportes se deben revisar y, donde existan oportunidades para mejorar la contribución de TI, se deben definir y tomar las medidas apropiadas. Siempre que los cambios en la contribución de TI tengan impacto en el programa, o cuando los cambios a otros proyectos relacionados impacten al programa, el caso de negocio deberá ser actualizado.

PLANEAR Y

ORGANIZAR

PO5

- Adm

inis

trar

la In

vers

ión

en T

I.

Dar

man

teni

mie

nto

al p

orta

folio

de

prog

ram

as d

e in

vers

ión.

PO5.

1 - M

arco

de

Trab

ajo

para

la

Adm

inis

trac

ión

Fina

ncie

ra.

Establecer y mantener un marco de trabajo financiero para administrar las inversiones y el costo de los activos y servicios de TI a través del portafolios de inversiones

habil itadas por TI, casos de negocio y presupuestos de TI.

Dar

man

teni

mie

nto

al

port

afol

io d

e pr

oyec

tos.

PO5.

2 Pr

iori

dade

s de

ntro

del

Pre

supu

esto

de

TI.

Implementar un proceso de toma de decisiones para dar prioridades a la asignación de recursos a TI para operaciones, proyectos y mantenimiento, para maximizar la contribución de TI a optimizar el retorno del portafolio empresarial de programas de inversión en TI y otros servicios y activos de TI.

Dar

man

teni

mie

nto

al p

orta

folio

de

serv

icio

s.

PO5.

3 - P

roce

so P

resu

pues

tal.

Establecer un proceso para elaborar y administrar un presupuesto que refleje las prioridades establecidas en el portafolio empresarial de programas de inversión en TI, incluyendo los costos recurrentes de operar y mantener la infraestructura actual. El proceso debe dar soporte al desarrollo de un presupuesto general de TI así como al desarrollo de presupuestos para programas individuales, con énfasis especial en los componentes de TI de esos programas. El proceso debe permitir la revisión, el refinamiento y la aprobación constantes del presupuesto general y de los presupuestos de programas individuales.

PO4.

14 -

Polít

icas

y

Proc

edim

ient

os

para

Per

sona

l Co

ntra

tado

. Asegurar que los consultores y el personal contratado que soporta la función de TI cumplan con las políticas organizacionales de protección de los activos de

información de la empresa de tal manera que se logren los requerimientos contractuales acordados.

Esta

blec

er e

impl

anta

r ro

les

y re

spon

sabi

lidad

es d

e TI

, in

clui

da la

sup

ervi

sión

y

segr

egac

ión

de fu

ncio

nes.

PO4.

15 -

Rela

cion

es. Establecer y mantener una estructura óptima de enlace,

comunicación y coordinación entre la función de TI y otros interesados dentro y fuera de la función de TI, tales como el consejo directivo, ejecutivos, unidades de negocio, usuarios individuales, proveedores, oficiales de seguridad, gerentes

de riesgo, el grupo de cumplimiento corporativo, los contratistas externos y la gerencia externa (offsite).

Esta

blec

er e

impl

anta

r ro

les

y re

spon

sabi

lidad

es d

e TI

, in

clui

da la

sup

ervi

sión

y

segr

egac

ión

de fu

ncio

nes.

PO4.

12 -

Pers

onal

de

TI.

Evaluar los requerimientos de personal de forma regular o cuando existan cambios importantes en el ambiente de

negocios, operativo o de TI para garantizar que la función de TI cuente con un número suficiente de recursos para soportar

adecuada y apropiadamente a las metas y objetivos del negocio.

C O B I T PO

4 - D

efin

ir lo

s Pr

oces

os, O

rgan

izac

ión

y Re

laci

ones

de

TI.

Esta

blec

er y

man

tene

r pr

oces

o pr

esup

uest

al

de T

I.

PO5.

4 - A

dmin

istr

ació

n de

Cos

tos

de T

I.

Implementar un proceso de administración de costos que compare los costos reales con los presupuestados. Los costos se deben monitorear y reportar. Cuando existan desviaciones, éstas se deben identificar de forma oportuna y el impacto de esas desviaciones sobre los programas se debe evaluar y, junto con el patrocinador del negocio para estos programas, se deberán tomar las medidas correctivas apropiadas y, en caso de ser necesario, el caso de negocio del programa de inversión se deberá actualizar.

Iden

tific

ar, c

omun

icar

y

mon

itore

ar la

inve

rsió

n, c

osto

y

valo

r de

TI p

ara

el n

egoc

io.

Esta

blec

er e

impl

anta

r ro

les

y re

spon

sabi

lidad

es d

e TI

, in

clui

da la

sup

ervi

sión

y

segr

egac

ión

de fu

ncio

nes.

PO4.

13 -

Pers

onal

Cla

ve d

e TI

.

Definir e identificar al personal clave de TI y minimizar la dependencia en un solo individuo desempeñando una

función de trabajo crítica.

Esta

blec

er e

im

plan

tar

role

s y

resp

onsa

bilid

ades

de

TI,

incl

uida

la

supe

rvis

ión

y se

greg

ació

n de

fu

ncio

nes.

99

DO

MIN

IO

PR

OC

ESO

S

AC

TIV

IDA

DES

DEL

P

RO

CES

O

OB

JETI

VO

S D

E C

ON

TRO

L


CA

LIFI

CA

CIÓ

N

1.- ¿Están definidos los elementos de un ambiente de control para TI? Si, mediante los indicadores del BSC. 1,00

2.- ¿Estos elementos están alineados con el estilo operativo de laempresa?

Si, administración basada en procesos y enestandar ISO 9000, 14000 y 18000

1,00

1.- ¿Existe un marco de trabajo que establezca el enfoque empresarialgeneral hacia los riesgos?

Se tienen identificados los riesgos pero no ensu totalidad, solo los más relevantes. Sepiensa mejorar mediante la implementaciónde un sistema de seguridad.

0,50

2.- ¿Existe un control que se alinee con la política de TI? Si, mediante las auditorias. 1,001.- ¿Existen políticas que apoyen la estrategia de TI? Si, política de calidad. 1,002.- ¿Estas políticas incluyen los roles y responsabil idades? Si. 1,003.- ¿Estas políticas incluyen procesos de excepción? Si. 1,004.- ¿Estas políticas incluyen un enfoque de cumplimiento? Si. 1,005.- ¿Estas políticas hacen referencias a procedimientos? Si. 1,006.- ¿Estas políticas hacen referencias a estándares? Si. 1,007.- ¿Estas políticas hacen referencias a directrices? Si. 1,008.- ¿Estas políticas se aprueban en forma regular? Si, lo hace la alta gerencia. 1,001.- ¿Se asegura que las políticas de TI se implanten? Si. 1,002.- ¿Se asegura que las políticas de TI se comuniquen a todo el personalrelevante?

Si.1,00

3.- ¿Las políticas están incluidas y son parte integral de las operacionesempresariales?

Si. 1,00

1.- ¿Se comunica a los usuarios de toda la organización los objetivos deTI?

No. Se tiene pensado tener un acercamientocon las gerencias de la empresa. 0,00

2.- ¿Los usuarios están concientes de los objetivos de TI? Si. Mediante el análisis del impacto de losplanes operativos en el logro de los objetivosestratégicos de la empresa.

1,00

1.- ¿Los procesos de reclutamiento del personal de TI están acordes a laspolíticas y procedimientos generales de personal de la organización (Ej.contratación, un ambiente positivo de trabajo y orientación)?

Si, es compartida la responsabil idad delreclutamiento con RRHH. 1,00

2.- ¿Existe un proceso que garantice que la organización cuente con unafuerza de trabajo apropiada?

En parte. Falta un plan de carrera. RecursosHumanos considera implementar un plan decarrera. 0,50

1.- ¿Se verifica en forma periódica que el personal tenga las habil idadespara cumplir sus roles?

Si, se verifica mediante auditoría externa.Deloitte, Price y de Holding Dine. 1,00

2.- ¿Se define los requerimientos esenciales de habil idades para TI? Si, Recursos humanos lo hace de acuerdo alcargo.

1,00

3.- ¿Se verifica que se les dé mantenimiento, usando programas decalificación según sea el caso?

Si se verifica pero no se hace nada pormejorar. El primer paso, implementarcapacitación de acuerdo a la plataforma dela empresa para que el personal obtengacertificaciones de acuerdo a su cargo. Elsegundo paso, que tengan maestrias o títulosde cuarto nivel dependiendo de suespecialidad.

1,00

4.- ¿Se verifica que se les dé mantenimiento, usando programas decertificación según sea el caso?

Si. 1,00

1.- ¿El marco de trabajo para la asignación de los roles,responsabil idades y compensación del personal está definido?

Si. Lo hace Recursos Humanos. 1,00

2.- ¿El marco de trabajo para la asignación de los roles,responsabil idades y compensación del personal está monitoreado?

Si.1,00

3.- ¿El marco de trabajo para la asignación de los roles,responsabil idades y compensación del personal está supervisado?

Si1,00

4.- ¿El nivel de supervisión es acorde con la sensibil idad del puesto y lasresponsabil idades asignadas?

Si. 1,00

Ejec

uta

r la

s p

olít

icas

y

pro

ced

imie

nto

s re

leva

nte

s d

e R

H

par

a TI

(rec

luta

r,

con

trat

ar,

inve

stig

ar,

com

pen

sar,

en

tren

ar

PO

7.4

-

Entr

enam

ien

to

del

Per

son

al d

e TI

.

Proporcionar a los empleados de TI la orientación necesaria al momento de la contratación y entrenamiento continuo para conservar su conocimiento, aptitudes, habil idades, controles internos y conciencia sobre la seguridad, al nivel requerido para alcanzar las metas organizacionales.

1.- ¿Se proporciona a los empleados de TI entrenamiento continuo? Actualmente no, pero se tiene elaborado unplan de capacitación de acuerdo a laplataforma que se tiene. 0,00

Iden

tifi

car

las

hab

ilid

ades

d

e TI

, b

ench

mar

ks

sob

re

des

crip

cio

ne

s d

e p

ues

to,

ran

go d

e

PO

7.5

-

Dep

end

enci

a So

bre

los

Ind

ivid

uo

s. Minimizar la exposición a dependencias críticas sobre individuos clave por medio de la captura del conocimiento (documentación), compartir el conocimiento, planeación de la sucesión y respaldos de personal.

1.- ¿Se minimiza las dependencias críticas sobre individuos clave? Recién se lo ha iniciado, está en proceso.

0,50

1.- ¿Se verifican los antecedentes en el proceso de reclutamiento de TI? Si, lo hace Recursos Humanos y el perfi l esactualizado constantemente. 1,00

2.- ¿Se verifican con frecuencia estos antecedentes? Si. 1,003.- ¿Las verificaciones se aplican a empleados? Si, por medio de ISO 9000 1,004.- ¿Las verificaciones se aplican a contratistas? Ver respuesta anterior. 1,005.- ¿Las verificaciones se aplican a proveedores? Ver respuesta anterior. 1,00

PO

7.6

-

Pro

ced

imie

nto

s d

e In

vest

igac

ión

del

P

erso

nal

.

Incluir verificaciones de antecedentes en el proceso de reclutamiento de TI. El grado y la frecuencia de estas verificaciones dependen de que tan delicada ó crítica sea la función y se deben aplicar a los empleados, contratistas y proveedores.

PLANEAR Y

ORGANIZAR

PO

7 -

Ad

min

istr

ar lo

s R

ecu

rso

s H

um

ano

s d

e T

I

Iden

tifi

car

las

hab

ilid

ades

de

TI,

ben

chm

arks

so

bre

des

crip

cio

nes

de

pu

esto

, ran

go d

e sa

lari

os

y d

esem

peñ

o d

el

per

son

al.

PO

7.2

- C

om

pet

enci

as d

el P

erso

nal

.

Verificar de forma periódica que el personal tenga las habil idades para cumplir sus roles con base en su educación, entrenamiento y/o experiencia. Definir los requerimientos esenciales de habil idades para TI y verificar que se les dé mantenimiento, usando programas de calificación y certificación según sea el caso.

Iden

tifi

car

las

hab

ilid

ades

de

TI,

ben

chm

arks

so

bre

d

escr

ipci

on

es d

e p

ues

to,

ran

go d

e sa

lari

os

y d

esem

peñ

o d

el p

erso

nal

.

PO

7.3

- A

sign

ació

n d

e R

ole

s.

Definir, monitorear y supervisar los marcos de trabajo para los roles, responsabil idades y compensación del personal, incluyendo el requerimiento de adherirse a las políticas y procedimientos administrativos, así como al código de ética y prácticas profesionales. El nivel de supervisión debe estar de acuerdo con la sensibil idad del puesto y el grado de responsabil idades asignadas.

Co

mu

nic

ar e

l m

arco

de

con

tro

l y lo

s o

bje

tivo

s y

dir

ecci

ón

de

TI.

PO

6.5

-

Co

mu

nic

ació

n

de

los

Ob

jeti

vos

y la

D

irec

ció

n d

e TI

.

Asegurarse de que la conciencia y el entendimiento de los objetivos y la dirección del negocio y de TI se comunican a los interesados apropiados y a los usuarios de toda la organización.

Iden

tifi

car

las

hab

ilid

ades

de

TI,

ben

chm

arks

so

bre

d

escr

ipci

on

es d

e p

ues

to, r

ango

de

sala

rio

s y

des

emp

eño

d

el p

erso

nal

.

PO

7.1

- R

eclu

tam

ien

to y

R

eten

ció

n d

el P

erso

nal

. Asegurarse que los procesos de reclutamiento del personal de TI estén de acuerdo a las políticas y procedimientos generales de personal de la organización (Ej. contratación, un ambiente positivo de trabajo y orientación). La gerencia implementa procesos para garantizar que la organización cuente con una fuerza de trabajo posicionada de forma apropiada, que tenga las habil idades necesarias para alcanzar las metas organizacionales.

PO

6 -

Co

mu

nic

ar la

s A

spir

acio

ne

s y

la D

ire

cció

n d

e la

Ge

ren

cia.

Elab

ora

r y

man

ten

er u

n a

mb

ien

te y

m

arco

de

con

tro

l de

TI.

PO

6.1

- A

mb

ien

te d

e P

olít

icas

y d

e C

on

tro

l.

Definir los elementos de un ambiente de control para TI, alineados con la fi losofía administrativa y el esti lo operativo de la empresa. Estos elementos incluyen las expectativas / requerimientos respecto a la entrega de valor proveniente de las inversiones en TI, el apetito de riesgo, la integridad, los valores éticos, la competencia del personal, la rendición de cuentas y la responsabil idad. El ambiente de control se basa en una cultura que apoya la entrega de valor, mientras administra riesgos significativos, fomenta la colaboración entre divisiones y el trabajo en equipo, promueve el cumplimiento y la mejora continua de procesos, y maneja las desviaciones (incluyendo las fallas) de forma adecuada.

Elab

ora

r y

man

ten

er u

n

amb

ien

te y

m

arco

de

con

tro

l de

TI.

PO

6.2

- R

iesg

o

Co

rpo

rati

vo y

M

arco

de

Ref

eren

cia

de

Co

ntr

ol

Inte

rno

de

TI. Elaborar y dar mantenimiento a un marco de trabajo que

establezca el enfoque empresarial general hacia los riesgos y el control que se alinee con la política de TI, el ambiente de control y el marco de trabajo de riesgo y control de la empresa.

Elab

ora

r y

man

ten

er

po

lític

as d

e TI

.

PO

6.3

- A

dm

inis

trac

ión

de

Po

lític

as p

ara

TI. Elaborar y dar mantenimiento a un conjunto de políticas que

apoyen la estrategia de TI. Estas políticas deben incluir su intención, roles y responsabil idades, procesos de excepción, enfoque de cumplimiento y referencias a procedimientos, estándares y directrices. Su relevancia se debe confirmar y aprobar en forma regular.

C O B I T

Elab

ora

r y

man

ten

er

po

lític

as d

e TI

.

PO

6.4

-

Imp

lan

taci

ón

d

e P

olít

icas

de

TI.

Asegurarse de que las políticas de TI se implantan y se comunican a todo el personal relevante, y se refuerzan, de tal forma que estén incluidas y sean parte integral de las operaciones empresariales.

Ejec

uta

r la

s p

olít

icas

y

pro

ced

imie

nto

s re

leva

nte

s d

e R

H

par

a TI

(rec

luta

r,

con

trat

ar, i

nve

stig

ar,

com

pen

sar,

en

tren

ar,

eval

uar

, pro

mo

ver,

y

term

inar

).

100

DO

MIN

IO

PRO

CESO

S

ACT

IVID

AD

ES D

EL

PRO

CESO

OBJ

ETIV

OS

DE

CON

TRO

L


CALI

FICA

CIÓ

N

1.- ¿Las evaluaciones de desempeño se realizan periódicamente? Si, cada 6 meses. 1,00

2.- ¿Las evaluaciones se comparan contra los objetivos individualesderivados de las metas organizacionales?

Si. 1,00

3.- ¿Las evaluaciones se comparan contra los estandares establecidos? Si. 1,004.- ¿Las evaluaciones se comparan contra las responsabil idadesespecíficas del puesto?

Si. 1,00

5.- ¿Los empleados reciben adiestramiento sobre su desempeño? Sobre el desempeño si, por medio de lacapacitación.

1,00

6.- ¿Los empleados reciben adiestramiento sobre su conducta? De conducta no. 0,501.- ¿Se toman medidas expeditas respecto a los cambios en los puestos,en especial las terminaciones?

Si por medio de RRHH.1,00

2.- ¿Se realiza la transferencia del conocimiento? Si. 1,003.- ¿Se reasigna responsabil idades? Si. 1,004.- ¿Se eliminan los privilegios de acceso, de tal modo que los riesgos seminimicen?

Si. 1,00

5.- ¿Se eliminan los privilegios de acceso, de tal modo que se garantice lacontinuidad de la función?

Si. 1,00

1.- ¿Se cuenta con un QMS de TI alineados con los requerimientos delnegocio?

No hay un QMS de TI, pero si en formageneral. Tienen ISO 9000 y tienen proyectadoimplementar ISO 27000.

0,50

2.- ¿Este QMS proporciona un enfoque estándar, formal y continuo conrespecto a la administración de la calidad?


3.- ¿El QMS identifica los requerimientos? Ver respuesta anterior. 0,504.- ¿El QMS identifica los criterios de calidad? Ver respuesta anterior. 0,505.- ¿El QMS identifica los procesos claves de TI? Ver respuesta anterior. 0,506.- ¿El QMS identifica las políticas para definir, detectar, corregir y preverlas no conformidades?


7.- ¿El QMS identifica los criterios para definir, detectar, corregir y preverlas no conformidades?


8.- ¿El QMS identifica los métodos para definir, detectar, corregir y preverlas no conformidades?


9.- ¿El QMS define la estructura organizacional para la administración dela calidad, cubriendo los roles, las tareas y las responsabil idades?


10.- ¿Las áreas clave desarrollan sus planes de calidad de acuerdo a loscriterios y políticas, y registran los datos de calidad?


11.- ¿Se monitorea la efectividad del QMS? Ver respuesta anterior. 0,5012.- ¿Se mide la efectividad del QMS? Ver respuesta anterior. 0,5013.- ¿Se monitorea la aceptación del QMS? Ver respuesta anterior. 0,5014.- ¿Se mide la aceptación del QMS? Ver respuesta anterior. 0,5015.- ¿Se lo mejora cuando es necesario? Ver respuesta anterior. 0,501.- ¿Se identifica estándares para los procesos clave de TI? Ver respuesta anterior. 0,502.- ¿Se identifica procedimientos para los procesos clave de TI? Ver respuesta anterior. 0,503.- ¿Se identifica prácticas para los procesos clave de TI? Ver respuesta anterior. 0,504.- ¿Se usan las buenas prácticas de la industria como referencia almejorar y adaptar las prácticas de calidad de la organización?


1.- ¿Se adoptan estándares para todo desarrollo y adquisición que siga elciclo de vida, hasta el último entregable?

Los l ineamientos los da el Holding Dine.1,00

2.- ¿Se mantienen estándares para todo desarrollo y adquisición que sigael ciclo de vida, hasta el último entregable?

Si.1,00

3.- ¿Se incluyen estándares de codificación de software? No se tiene. Se están estableciendoestandares para todos los aplicativos y se vaa tener todo en la plataforma Oracle, PowerBuilder y Qlik View.

0,00

4.- ¿Se incluyen normas de nomenclatura? Ver respuesta anterior. 0,005.- ¿Se incluyen formatos de archivos? Ver respuesta anterior. 0,006.- ¿Se incluyen estándares de diseño para esquemas y diccionario dedatos?


7.- ¿Se incluyen estándares para la interfaz de usuario? Ver respuesta anterior. 0,008.- ¿Se incluye inter operabil idad? Ver respuesta anterior. 0,009.- ¿Se incluye eficiencia de desempeño de sistemas? Ver respuesta anterior. 0,0010.- ¿Se incluyen escalabil idad? Ver respuesta anterior. 0,0011.- ¿Se incluyen estándares para desarrollo y pruebas? Ver respuesta anterior. 0,0012.- ¿Se incluyen validación contra requerimientos? Ver respuesta anterior. 0,0013.- ¿Se incluyen planes de pruebas? Ver respuesta anterior. 0,0014.- ¿Se incluyen pruebas unitarias de regresión? Ver respuesta anterior. 0,0015.- ¿Se incluyen pruebas unitarias de integración? Ver respuesta anterior. 0,001.- ¿Está enfocada la administración de calidad en los clientes? No se tiene un sistema de calidad pero, si se

enfocan en las necesidades del usuario. 0,50

2.- ¿Están definidos los roles respecto a la resolución de conflictos entreel usuario/cliente y la organización de TI?

Si se sabe que datos corrige el usuario y laorganización en lo que respecta a errores delaplicativo.

1,00

3.- ¿Están definidos las responsabil idades respecto a la resolución deconflictos entre el usuario/cliente y la organización de TI?

Si. 1,00

1.- ¿Se mantiene un plan global de calidad que promueva la mejoracontinua?

No en lo relacionado a TI. A nivel de ISO 9000se la tiene en forma global comodepartamento, se planea, se hace y secontrola y se toma medidas correctivas opreventivas. Ciclo DEMI.

0,00

2.- ¿Se comunica regularmente el plan global de calidad? No. 0,001.- ¿Están definidas mediciones para monitorear el cumplimientocontinuo del QMS?


2.- ¿Están planeadas mediciones para monitorear el cumplimientocontinuo del QMS?


3.- ¿Están implementadas mediciones para monitorear el cumplimientocontinuo del QMS?


4.- ¿Está definido el valor que el QMS proporciona? Ver respuesta anterior. 0,005.- ¿Está planeado el valor que el QMS proporciona? Ver respuesta anterior. 0,006.- ¿Está implementado el valor que el QMS proporciona? Ver respuesta anterior. 0,007.- ¿Esta medición, monitoreo y registro de la información son usados porel dueño del proceso para tomar las medidas correctivas apropiadas?


8.- ¿Esta medición, monitoreo y registro de la información son usados porel dueño del proceso para tomar las medidas preventivas apropiadas?


Crea

r y

com

unic

ar

está

ndar

es d

e ca

lidad

a to

da la

or

gani

zaci

ón.

PO8.

4 - E

nfoq

ue e

n el

Clie

nte

de T

I. Enfocar la administración de calidad en los clientes, determinando sus requerimientos y alineándolos con los estándares y prácticas de TI. Definir roles y responsabil idades respecto a la resolución de conflictos entre el usuario/cliente y la organización de TI.

Crea

r y

adm

inis

trar

el

plan

de

calid

ad

para

la m

ejor

a co

ntin

ua.

PO8.

5 - M

ejor

a Co

ntin

ua.

Mantener y comunicar regularmente un plan global de calidad que promueva la mejora continua.

Ejec

utar

las

polít

icas

y

proc

edim

ient

os

rele

vant

es d

e RH

par

a TI

(rec

luta

r, c

ontr

atar

, in

vest

igar

, com

pens

ar,

entr

enar

, eva

luar

, pr

omov

er, y

term

inar

).

PO7.

8 - C

ambi

os y

Te

rmin

ació

n de

Tra

bajo

.

Tomar medidas expeditas respecto a los cambios en los puestos, en especial las terminaciones. Se debe realizar la transferencia del conocimiento, reasignar responsabil idades y se deben eliminar los privilegios de acceso, de tal modo que los riesgos se minimicen y se garantice la continuidad de la función.

PO8

- Adm

inis

trar

la C

alid

ad

Def

inir

un

sist

ema

de a

dmin

istr

ació

n de

cal

idad

.

PO8.

1 - S

iste

ma

de A

dmin

istr

ació

n de

Cal

idad

. Establecer y mantener un QMS que proporcione un enfoque estándar, formal y continuo, con respecto a la administración de la calidad, que esté alineado con los requerimientos del negocio. El QMS identifica los requerimientos y los criterios de calidad, los procesos claves de TI, y su secuencia e interacción, así como las políticas, criterios y métodos para definir, detectar, corregir y prever las no conformidades. El QMS debe definir la estructura organizacional para la administración de la calidad, cubriendo los roles, las tareas y las responsabil idades. Todas las áreas clave desarrollan sus planes de calidad de acuerdo a los criterios y políticas, y registran los datos de calidad. Monitorear y medir la efectividad y aceptación del QMS y mejorarla cuando sea necesario.

Esta

blec

er y

m

ante

ner

un

sist

ema

de

adm

inis

trac

ión

de c

alid

ad.

PO8.

2 -

Está

ndar

es y

Pr

áctic

as d

e Ca

lidad

.

Identificar y mantener estándares, procedimientos y prácticas para los procesos clave de TI para orientar a la organización hacia el cumplimiento del QMS. Usar las buenas prácticas de la industria como referencia al mejorar y adaptar las prácticas de calidad de la organización.

C O B I T Ej

ecut

ar la

s po

lític

as y

pr

oced

imie

ntos

rel

evan

tes

de R

H p

ara

TI(r

eclu

tar,

co

ntra

tar,

inve

stig

ar,

com

pens

ar, e

ntre

nar,

ev

alua

r, p

rom

over

, y

term

inar

).

PO7.

7 - E

valu

ació

n de

l D

esem

peño

del

Em

plea

do.

Es necesario que las evaluaciones de desempeño se realicen periódicamente, comparando contra los objetivos individuales derivados de las metas organizacionales, estándares establecidos y responsabil idades específicas del puesto. Los empleados deben recibir adiestramiento sobre su desempeño y conducta, según sea necesario.

PLANEAR Y

ORGANIZAR

PO7

- Adm

inis

trar

los

Recu

rsos

H

uman

os d

e TI

Med

ir, m

onito

rear

y r

evis

ar e

l cu

mpl

imie

nto

de la

s m

etas

de

calid

ad.

PO8.

6 - M

edic

ión,

Mon

itore

o y

Revi

sión

de

la C

alid

ad.

Definir, planear e implementar mediciones para monitorear el cumplimiento continuo del QMS, así como el valor que el QMS proporciona. La medición, el monitoreo y el registro de la información deben ser usados por el dueño del proceso para tomar las medidas correctivas y preventivas apropiadas.

Crea

r y

com

unic

ar e

stán

dare

s de

cal

idad

a to

da la

org

aniz

ació

n.

PO8.

3 - E

stán

dare

s de

Des

arro

llo y

de

Adq

uisi

ción

.

Adoptar y mantener estándares para todo desarrollo y adquisición que siga el ciclo de vida, hasta el último entregable e incluir la aprobación en puntos clave con base en criterios de aceptación acordados. Los temas a considerar incluyen estándares de codificación de software, normas de nomenclatura; formatos de archivos, estándares de diseño para esquemas y diccionario de datos; estándares para la interfaz de usuario; inter operabil idad; eficiencia de desempeño de sistemas; escalabil idad; estándares para desarrollo y pruebas; validación contra requerimientos; planes de pruebas; y pruebas unitarias, de regresión y de integración.

101

DO

MIN

IO

PRO

CESO

S

ACT

IVID

AD

ES D

EL

PRO

CESO

OBJ

ETIV

OS

DE

CON

TRO

L


CALI

FICA

CIÓ

N

1.- ¿Está establecido un marco de trabajo de administración de riesgos deTI?

Se lo tiene en parte. Se está trabajando en laseguridad para minimizar los riesgos. 0,50

2.- ¿El marco de trabajo de administración de riesgos de TI está alineadoal marco de trabajo de administración de riesgos de la organización?

En parte.0,50

1.- ¿El marco de trabajo de evaluación de riesgos se aplica para garantizar resultados apropiados?

Actualmente no. 0,00

2.- ¿Está incluida la determinación del contexto interno de cadaevaluación de riesgos?

No. Se va a actualizar el plan decontingencia y revisar la matriz de riesgos. 0,00

3.- ¿Está incluida la determinación del contexto externo de cadaevaluación de riesgos?


4.- ¿Está incluida la meta de la evaluación contra los cuales se evalúanlos riesgos?


5.- ¿Están incluidos los criterios contra los cuales se evalúan los riesgos? Ver respuesta anterior.0,00

1.- ¿Están identificadas las amenazas importantes con impacto potencialnegativo sobre las metas o las operaciones de la empresa?

En parte. Se analizan los riesgos potencialesde criticidad media, frente a los cuales tienen tiempos de respuesta adecuados. Para losriesgos de criticidad alta como perdida delcentro de cómputo, perdida de servidores, nose tiene una evaluación real del tiempo derespuesta.

0,50

2.- ¿Se determina la naturaleza del impacto? Se lo está haciendo aproximadamente desdehace un mes. Antes no se lo registraba. 0,50

3.- ¿Se mantiene esta información? Ver respuesta anterior.0,50

4.- ¿Se registran los riesgos relevantes en un registro de riesgos? Se lo está haciendo aproximadamente desdehace un mes. Antes no se lo registraba. 0,50

5.- ¿Se mantienen los riesgos relevantes en un registro de riesgos? Ver respuesta anterior.0,50

1.- ¿Se evalúa en forma recurrente la probabilidad e impacto de todos losriesgos identificados?

No.0,00

2.- ¿Se usan métodos cualitativos? No. 0,00

3.- ¿Se usan métodos cuantitativos? No. 0,00

4.- ¿Se determina de forma individual la probabilidad e impactoasociados a los riesgos inherentes y residuales?

Si.1,00

5.- ¿Se determina por categoría la probabilidad e impacto asociados a losriesgos inherentes y residuales?

Si.1,00

6.- ¿Se determina con base en el portafolio la probabilidad e impactoasociados a los riesgos inherentes y residuales?

Si.1,00

1.- ¿Se cuenta con un proceso de respuesta a riesgos diseñado paraasegurar que controles efectivos en costo mitigan la exposición en formacontinua?

En parte por medio del plan de contingencia,pero falta. 0,50

2.- ¿El proceso de respuesta a riesgos identifica estrategias tales comoevitar, reducir, compartir o aceptar riesgos?

No.0,00

3.- ¿El proceso de respuesta a riesgos considera los niveles de tolerancia a riesgos?


1.- ¿Se prioriza las actividades de control a todos los niveles paraimplementar las respuestas a los riesgos?

No.0,00

2.- ¿Se obtiene la aprobación para las acciones recomendadas decualquier riesgo residual?

Si, pero no lo han propuesto. La gerencia sitiene apertura para esto. 1,00

3.- ¿Se obtiene la aceptaciónde las acciones recomentadas de cualquieri id l?

Si. 1,004.- ¿Se asegura que las acciones comprometidas están a cargo del dueño( ) d l f d ?

No. 0,005.- ¿Se monitorea la ejecución de los planes? No. 0,006.- ¿Se reporta cualquier desviación a la alta dirección? Si. 1,001.- ¿Se mantiene un programa de proyectos, relacionados con elportafolio de programas de inversiones facil itadas por TI?

Si.1,00

2.- ¿Se asegura que los proyectos apoyen los objetivos del programa? Si. 1,003.- ¿Se coordina las actividades e interdependencias de múltiplesproyectos?

Si.1,00

4.- ¿Se administra la contribución de todos los proyectos dentro delprograma hasta obtener los resultados esperados?

Si.1,00

5.- ¿Se resuelven los requerimientos y conflictos de recursos? Si.1,00

1.- ¿Existe un marco de trabajo para la administración de proyectos quedefina el alcance?

Si.1,00

2.- ¿Este marco de trabajo defina los límites de la administración deproyectos?

Si.1,00

3.- ¿Este marco de trabajo define las metodologías a ser adoptadas yaplicadas en cada proyecto emprendido?

Si.1,00

4.- ¿El marco de trabajo y los métodos de soporte están integrados conlos procesos de administración de programas?

Si.1,00

1.- ¿Está establecido un enfoque de administración de proyectos quecorresponda al tamaño de cada proyecto?

Si. Hay una Unidad de Proyectos y Unidad deDesarrollo Organizacional pero falta reforzar la metodología para la generación deproyectos.

1,00

2.- ¿Está establecido un enfoque de administración de proyectos quecorresponda a la complejidad de cada proyecto?


3.- ¿Está establecido un enfoque de administración de proyectos quecorresponda a los requerimientos regulatorios de cada proyecto?


4.- ¿La estructura de gobierno de proyectos incluye los roles delpatrocinador del programa, patrocinadores de proyectos, comité dedirección, oficina de proyectos, y gerente del proyecto?


5.- ¿La estructura de gobierno de proyectos incluye las responsabil idadesdel patrocinador del programa, patrocinadores de proyectos, comité dedirección, oficina de proyectos, y gerente del proyecto?


6.- ¿La estructura de gobierno de proyectos incluye la rendición decuentas del patrocinador del programa, patrocinadores de proyectos,comité de dirección, oficina de proyectos, y gerente del proyecto?


7.- ¿La estructura de gobierno de proyectos incluye los mecanismos pormedio de los cuales pueden satisfacer esas responsabil idades (talescomo reportes y revisiones por etapa)?


8.- ¿Se asegura que todos los proyectos de TI cuenten con patrocinadorescon suficiente autoridad para apropiarse de la ejecución del proyectodentro del programa estratégico global?

Si.1,00

PO10

- A

dmin

istr

ar P

roye

ctos

.

PLANEAR Y

ORGANIZAR

PO10

.1 -

Mar

co d

e Tr

abaj

o pa

ra la

Adm

inis

trac

ión

de

Prog

ram

as.

Mantener el programa de los proyectos, relacionados con el portafolio de programas de inversiones facil itadas por TI, por medio de la identificación, definición, evaluación, otorgamiento de prioridades, selección, inicio, administración y control de los proyectos. Asegurarse de que los proyectos apoyen los objetivos del programa. Coordinar las actividades e interdependencias de múltiples proyectos, administrar la contribución de todos los proyectos dentro del programa hasta obtener los resultados esperados, y resolver los requerimientos y conflictos de recursos.

Esta

blec

er y

man

tene

r un

Mar

co d

e Tr

abaj

o pa

ra la

adm

inis

trac

ión

de p

roye

ctos

de

TI.

PO10

.2 -

Mar

co d

e Tr

abaj

o pa

ra la

A

dmin

istr

ació

n de

Pr

oyec

tos.

Establecer y mantener un marco de trabajo para la administración de proyectos que defina el alcance y los l ímites de la administración de proyectos, así como las metodologías a ser adoptadas y aplicadas en cada proyecto emprendido. El marco de trabajo y los métodos de soporte se deben integrar con los procesos de administración de programas.

*Est

able

cer

y m

ante

ner

un s

iste

ma

de m

onito

reo,

med

ició

n y

adm

inis

trac

ión

de s

iste

mas

. *El

abor

ar e

stat

utos

, cal

enda

rios

, pla

nes

de c

alid

ad, p

resu

pues

tos

y pl

anes

de

com

unic

ació

n y

de

adm

inis

trac

ión

de r

iesg

os.

PO10

.3 -

Enfo

que

de A

dmin

istr

ació

n de

Pro

yect

os.

Establecer un enfoque de administración de proyectos que corresponda al tamaño, complejidad y requerimientos regulatorios de cada proyecto. La estructura de gobierno de proyectos puede incluir los roles, las responsabil idades y la rendición de cuentas del patrocinador del programa, patrocinadores de proyectos, comité de dirección, oficina de proyectos, y gerente del proyecto, así como los mecanismos por medio de los cuales pueden satisfacer esas responsabil idades (tales como reportes y revisiones por etapa). Asegurarse que todos los proyectos de TI cuenten con patrocinadores con la suficiente autoridad para apropiarse de la ejecución del proyecto dentro del programa estratégico global.

Eval

uar

y se

lecc

iona

r re

spue

stas

a r

iesg

o.

PO9.

5 - R

espu

esta

a

los

Ries

gos.

Desarrollar y mantener un proceso de respuesta a riesgos diseñado para asegurar que controles efectivos en costo mitigan la exposición en forma continua. El proceso de respuesta a riesgos debe identificar estrategias tales como evitar, reducir, compartir o aceptar riesgos; determinar responsabil idades y considerar los niveles de tolerancia a riesgos.

*Pri

oriz

ar y

Pla

near

ac

tivid

ades

de

cont

rol.

*A

prob

ar y

ase

gura

r fo

ndos

pa

ra p

lane

s de

acc

ión

de

ries

gos.

*Man

tene

r y

mon

itore

ar u

n pl

an d

e ac

ción

de

ries

gos.

PO9.

6 - M

ante

nim

ient

o y

Mon

itore

o de

un

Plan

de

Acc

ión

de R

iesg

os.

Priorizar y planear las actividades de control a todos los niveles para implementar las respuestas a los riesgos, identificadas como necesarias, incluyendo la identificación de costos, beneficios y la responsabil idad de la ejecución. Obtener la aprobación para las acciones recomendadas y la aceptación de cualquier riesgo residual, y asegurarse de que las acciones comprometidas están a cargo del dueño (s) de los procesos afectados. Monitorear la ejecución de los planes y reportar cualquier desviación a la alta dirección.

*Ent

ende

r lo

s ob

jetiv

os d

e ne

goci

o es

trat

égic

os r

elev

ante

s.

*En

tend

er lo

s ob

jetiv

os d

e lo

s pr

oces

os d

e ne

goci

os r

elev

ante

s.

PO9.

3 - I

dent

ifica

ción

de

Even

tos.

Identificar eventos (una amenaza importante y realista que explota una vulnerabil idad aplicable y significativa) con un impacto potencial negativo sobre las metas o las operaciones de la empresa, incluyendo aspectos de negocio, regulatorios, legales, tecnológicos, de sociedad comercial, de recursos humanos y operativos. Determinar la naturaleza del impacto y mantener esta información. Registrar y mantener los riesgos relevantes en un registro de riesgos.

*Ide

ntifi

car

los

obje

tivos

inte

rnos

de

TI y

est

able

cer

el c

onte

xto

del r

iesg

o.

*Id

entif

icar

eve

ntos

aso

ciad

os c

on

obje

tivos

, alg

unos

eve

ntos

est

án

orie

ntad

os a

neg

ocio

(neg

ocio

es

A);

al

guno

s es

tán

orie

ntad

os a

TI (

TI e

s A

, neg

ocio

es

C).

*A

seso

rar

el r

iesg

o co

n lo

s ev

ento

s.

PO9.

4 - E

valu

ació

n de

Rie

sgos

de

TI.

Evaluar de forma recurrente la probabilidad e impacto de todos los riesgos identificados, usando métodos cualitativos y cuantitativos. La probabilidad e impacto asociados a los riesgos inherentes y residuales se debe determinar de forma individual, por categoría y con base en el portafolio.

PO9

- Eva

luar

y A

dmin

istr

ar lo

s Ri

esgo

s de

TI

Det

erm

inar

la

alin

eaci

ón

de la

ad

min

istr

aci

ón d

e ri

esgo

s (e

j: Ev

alua

r ri

esgo

).

PO9.

1 -

Mar

co d

e Tr

abaj

o de

A

dmin

istr

aci

ón d

e Ri

esgo

s. Establecer un marco de trabajo de administración de riesgos de TI que esté alineado al marco de trabajo de administración de riesgos de la organización.

Det

erm

inar

la a

linea

ción

de

la a

dmin

istr

ació

n de

rie

sgos

(e

j: Ev

alua

r ri

esgo

).

PO9.

2 - E

stab

leci

mie

nto

del

Cont

exto

del

Rie

sgo. Establecer el contexto en el cual el marco de trabajo de

evaluación de riesgos se aplica para garantizar resultados apropiados. Esto incluye la determinación del contexto interno y externo de cada evaluación de riesgos, la meta de la evaluación y los criterios contra los cuales se evalúan los riesgos.

Def

inir

un

mar

co d

e ad

min

istr

ació

n de

pr

ogra

mas

/por

tafo

lio p

ara

inve

rsio

nes

en T

I.

C O B I T

102

DO

MIN

IO

PRO

CESO

S

ACT

IVID

AD

ES D

EL

PRO

CESO

OBJ

ETIV

OS

DE

CON

TRO

L


CALI

FICA

CIÓ

N

1.- ¿Existe el compromiso de los interesados afectados en la definición yejecución del proyecto dentro del contexto del programa global deinversiones facil itadas por TI?

Si.

1,00

2.- ¿Se cuenta con la participación de los interesados afectados en ladefinición y ejecución del proyecto dentro del contexto del programaglobal de inversiones facil itadas por TI?

Si.

1,00

1.- ¿Está definida la naturaleza del proyecto para confirmar y desarrollarentre los interesados, un entendimiento común del alcance del proyecto?

Si.1,00

2.- ¿Está documentada la naturaleza del proyecto? Si. 1,003.- ¿Está definido el alcance del proyecto? Si. 1,004.- ¿Está documentado el alcance del proyecto? Si. 1,005.- ¿Está definid como se relaciona con otros proyectos dentro delprograma global de inversiones facil itadas por TI?

Si.1,00

6.- ¿La definición se aprueba de manera formal por parte de lospatrocinadores del proyecto antes de iniciar el proyecto?

Si. 1,00

1.- ¿Se aprueba el inicio de las etapas importantes del proyecto? Si. 1,002.- ¿Se comunica a todos los interesados? Si. 1,003.- ¿La aprobación de la fase inicial está basada en las decisiones degobierno del programa?

Si. 1,00

4.- ¿La aprobación de las fases subsiguientes están basadas en larevisión y aceptación de los entregables de la fase previa?

Si. 1,00

5.- ¿En fases traslapadas, está establecido un punto de aprobación porparte de los patrocinadores del programa y del proyecto, para autorizarasí el avance del proyecto?

Si.1,00

1.- ¿Existe un plan aprobadp para el proyecto que guie la ejecución y elcontrol del proyecto a lo largo de la vida de éste?

Si.1,00

2.- ¿Están entendidas las actividades e interdependencias de múltiplesproyectos dentro de un mismo programa?

Si. Antes no había una planificación, perohoy existe un plan de aplicación generadapor cada especialista que se consolida en unplan integrado.

1,00

3.- ¿Están documentadas las actividades e interdependencias demúltiples proyectos dentro de un mismo programa?

Si. Antes no había una planificación, perohoy existe un plan de aplicación generadapor cada especialista que se consolida en unplan integrado.

1,00

4.- ¿El plan del proyecto se mantiene a lo largo de la vida del mismo? Si. 1,005.- ¿El plan del proyecto, y las modificaciones a éste, se aprueban deacuerdo al marco de trabajo de gobierno del programa y del proyecto?

Si. 1,00

1.- ¿Están definidas las responsabil idades, relaciones, autoridades ycriterios de desempeño de los miembros del equipo del proyecto?

Si.1,00

2.- ¿Se especifica las bases para adquirir y asignar a los miembroscompetentes del equipo y/o a los contratistas al proyecto?

Si. 1,00

3.- ¿Se planea y administra la obtención de productos y serviciosrequeridos para cada proyecto?

Si. 1,00

4.- ¿Se util izan las prácticas de adquisición de la organización? Si.1,00

1.- ¿Existe un proceso sistemático que elimine o minimice riesgosespecificos asociados con los proyectos individuales?

Si.1,00

2.- ¿Están establecidos y registrados de forma central los riesgosafrontados por el proceso de administración de proyectos y el productoentregable del proyecto?

Si. Se elabora un contrato en el que seincluyen clausulas que contemple esto y se lo supervisa mediante actas de trabajo hasta elcumplimiento final del mismo.

1,00

1.- ¿Se cuenta con un plan de administración de la calidad que describael sistema de calidad del proyecto y cómo será implantado?

Si.1,00

2.- ¿Se revisa este plan y se acuerda de manera formal por todas laspartes interesadas para luego ser incorporado en el plan integrado delproyecto?

Si.1,00

1.- ¿Existe un sistema de control de cambios para cada proyecto? Si. Si cambia el escenario antes de laplanificación como algo impredecible.

1,00

2.- ¿Estos cambios (Ej. costos, cronograma, alcance y calidad) se revisan,aprueben e incorporan apropiadamente al plan integrado del proyecto?

Si.

1,00

1.- ¿Están identificadas las tareas de aseguramiento requeridas paraapoyar la acreditación de sistemas nuevos o modificados durante laplaneación del proyecto?

Si.

1,00

2.- ¿Están incluidos en el plan integrado? Si. 1,003.- ¿Las tareas proporcionan la seguridad de que los controles internos ylas características de seguridad satisfagan los requerimientos definidos?

Si.1,00

1.- ¿Se mide el desempeño del proyecto contra los criterios clave delproyecto (Ej. alcance, cronograma, calidad, costos y riesgos)?

Si, mediante actas de trabajo.1,00

2.- ¿Se identifica las desviaciones con respecto al plan? Si. 1,003.- ¿Se evalúa su impacto sobre el proyecto? Si. 1,004.- ¿Se evalúa su impacto sobre el programa global? Si. 1,005.- ¿Se reportan los resultados a los interesados clave? Si. 1,006.- ¿Se recomienda las medidas correctivas, según sea requerido, deacuerdo con el marco de trabajo de gobierno del proyecto?

Si. 1,00

7.- ¿Se implementa las medidas correctivas? Si. 1,008.- ¿Se monitorea las medidas correctivas? Si. 1,001.- ¿Al final de cada proyecto, los interesados se cercioran de que elproyecto haya proporcionado los resultados y los beneficios esperados?

Si. Se lo hace mediante la firma de un acta de entrega-recepcion provisional, despues de 30 dias si no hay problemas se elabora el acta de entrega-recepcion definitiva y se paga por medio del departamento legal.

1,00

2.- ¿Se comunica cualquier actividad requerida para alcanzar losresultados planeados del proyecto y los beneficios del programa?

Si. 1,00

3.- ¿Se documenta las lecciones aprendidas para ser usadas en futurosproyectos y programas?

No se documenta, pero si piensan que debenhacerlo.

0,00

Identificar las tareas de aseguramiento requeridas para apoyar la acreditación de sistemas nuevos o modificados durante la planeación del proyecto e incluirlos en el plan integrado. Las tareas deben proporcionar la seguridad de que los controles internos y las características de seguridad satisfagan los requerimientos definidos.

Def

inir

e im

plem

enta

r m

étod

os

de a

segu

ram

ient

o y

revi

sión

de

proy

ecto

s.

PO10

.13

- Med

ició

n de

l D

esem

peño

, Rep

orte

y M

onito

reo

del P

roye

cto.

Medir el desempeño del proyecto contra los criterios clave del proyecto (Ej. alcance, cronograma, calidad, costos y riesgos); identificar las desviaciones con respecto al plan; evaluar su impacto sobre el proyecto y sobre el programa global; reportar los resultados a los interesados clave; y recomendar, Implementar y monitorear las medidas correctivas, según sea requerido, de acuerdo con el marco de trabajo de gobierno del programa y del proyecto.

Def

inir

e im

plem

enta

r m

étod

os d

e as

egur

amie

nto

y re

visi

ón

de p

roye

ctos

.

PO10

.14

- Cie

rre

del

Proy

ecto

.

Solicitar que al finalizar cada proyecto, los interesados del proyecto se cercioren de que el proyecto haya proporcionado los resultados y los beneficios esperados. Identificar y comunicar cualquier actividad relevante requerida para alcanzar los resultados planeados del proyecto y los beneficios del programa, e identificar y documentar las lecciones aprendidas a ser usadas en futuros proyectos y programas.

PLANEAR Y

ORGANIZAR

PO10

- A

dmin

istr

ar P

roye

ctos

.

*Ase

gura

r la

pa

rtic

ipac

ión

y co

mpr

omis

o de

los

inte

resa

dos

del

proy

ecto

. *

Ase

gura

r el

con

trol

efe

ctiv

o de

lo

s pr

oyec

tos

y de

los

cam

bios

a p

roye

ctos

.

PO10

.4 -

Com

prom

iso

de lo

s In

tere

sado

s.

Obtener el compromiso y la participación de los interesados afectados en la definición y ejecución del proyecto dentro del contexto del programa global de inversiones facil itadas por

TI.

C O B I T

PO10

.9 -

Adm

inis

trac

ión

de

Ries

gos

del P

roye

cto.

El iminar o minimizar los riesgos específicos asociados con los proyectos individuales por medio de un proceso sistemático de planeación, identificación, análisis, respuesta, monitoreo y control de las áreas o eventos que tengan el potencial de ocasionar cambios no deseados. Los riesgos afrontados por el proceso de administración de proyectos y el producto entregable del proyecto se deben establecer y registrar de forma central.

Def

inir

e

impl

emen

tar

mét

odos

de

aseg

uram

ient

o y

revi

sión

de

proy

ecto

s.

PO10

.10

- Pla

n de

Cal

idad

del

Pr

oyec

to. Preparar un plan de administración de la calidad que

describa el sistema de calidad del proyecto y cómo será implantado. El plan debe ser revisado y acordado de manera formal por todas las partes interesadas para luego ser incorporado en el plan integrado del proyecto.

Def

inir

e

impl

emen

tar

mét

odos

de

aseg

uram

ient

o y

revi

sión

de

proy

ecto

s.

PO10

.11

- Con

trol

de

Cam

bios

del

Pr

oyec

to.

Establecer un sistema de control de cambios para cada proyecto, de tal modo que todos los cambios a la l ínea base del proyecto (Ej. costos, cronograma, alcance y calidad) se revisen, aprueben e incorporen de manera apropiada al plan integrado del proyecto, de acuerdo al marco de trabajo de gobierno del programa y del proyecto.

Def

inir

e im

plem

enta

r m

étod

os d

e as

egur

amie

nto

y re

visi

ón d

e pr

oyec

tos.

PO10

.5 -

Dec

lara

ción

de

Alc

ance

del

Pro

yect

o. Definir y documentar la naturaleza y alcance del proyecto para confirmar y desarrollar, entre los interesados, un entendimiento común del alcance del proyecto y cómo se relaciona con otros proyectos dentro del programa global de inversiones facil itadas por TI. La definición se debe aprobar de manera formal por parte de los patrocinadores del programa y del proyecto antes de iniciar el proyecto.

Def

inir

e im

plem

enta

r m

étod

os d

e as

egur

amie

nto

y re

visi

ón d

e pr

oyec

tos.

PO10

.6 -

Inic

io d

e la

s Fa

ses

del P

roye

cto.

Aprobar el inicio de las etapas importantes del proyecto y comunicarlo a todos los interesados. La aprobación de la fase inicial se debe basar en las decisiones de gobierno del programa. La aprobación de las fases subsiguientes se debe basar en la revisión y aceptación de los entregables de la fase previa, y la aprobación de un caso de negocio actualizado en la próxima revisión importante del programa. En el caso de fases traslapadas, se debe establecer un punto de aprobación por parte de los patrocinadores del programa y del proyecto, para autorizar así el avance del proyecto.

Def

inir

e im

plem

enta

r m

étod

os d

e as

egur

amie

nto

y re

visi

ón d

e pr

oyec

tos.

PO10

.12

- Pla

neac

ión

del P

roye

cto

y M

étod

os

de A

segu

ram

ient

o.

Def

inir

e im

plem

enta

r m

étod

os d

e as

egur

amie

nto

y re

visi

ón d

e pr

oyec

tos.

PO10

.8 -

Recu

rsos

del

Pr

oyec

to.

Definir las responsabil idades, relaciones, autoridades y criterios de desempeño de los miembros del equipo del proyecto y especificar las bases para adquirir y asignar a los miembros competentes del equipo y/o a los contratistas al proyecto. La obtención de productos y servicios requeridos para cada proyecto se debe planear y administrar para alcanzar los objetivos del proyecto, usando las prácticas de adquisición de la organización.

Def

inir

e im

plem

enta

r m

étod

os d

e as

egur

amie

nto

y re

visi

ón d

e pr

oyec

tos.

Def

inir

e im

plem

enta

r m

étod

os d

e as

egur

amie

nto

y re

visi

ón d

e pr

oyec

tos.

PO10

.7 -

Plan

Inte

grad

o de

l Pro

yect

o.

Establecer un plan integrado para el proyecto, aprobado y formal (que cubra los recursos de negocio y de los sistemas de información) para guiar la ejecución y el control del proyecto a lo largo de la vida del éste. Las actividades e interdependencias de múltiples proyectos dentro de un mismo programa se deben entender y documentar. El plan del proyecto se debe mantener a lo largo de la vida del mismo. El plan del proyecto, y las modificaciones a éste, se deben aprobar de acuerdo al marco de trabajo de gobierno del programa y del proyecto.

103

DO

MIN

IO

PRO

CESO

S

ACT

IVID

AD

ES D

EL

PRO

CESO

OBJ

ETIV

OS

DE

CON

TRO

L


CALI

FICA

CIÓ

N

1.- ¿Se identifica los requerimientos funcionales del negocio que cubranel alcance completo de los programas de inversión en TI?

Si. Lo hace la persona que recibe lasllamadas, identifica si lo cumplen. Se basa enel presupuesto que se elabora en Noviembrede cada año para el siguiente año, en el seincluyen todos los requerimientos de TI (tantode inversión como de operación).

1,00

2.- ¿Se identifica los requerimientos técnicos del negocio que cubran elalcance completo de los programas de inversión en TI?

Si. 1,00

3.- ¿Se prioriza los requerimientos funcionales del negocio que cubran elalcance completo de los programas de inversión en TI?

Si esta priorizado en base a un estudio parala elaboración del presupuesto.

1,00

4.- ¿Se prioriza los requerimientos técnicos del negocio que cubran elalcance completo de los programas de inversión en TI?

Si. 1,00

5.- ¿Se especifica los requerimientos funcionales del negocio que cubranel alcance completo de los programas de inversión en TI?

Si. 1,00

6.- ¿Se especifica los requerimientos técnicos del negocio que cubran elalcance completo de los programas de inversión en TI?

Si. 1,00

7.- ¿Se acorda los requerimientos funcionales del negocio que cubran elalcance completo de los programas de inversión en TI?

Si cubren todo el alcance. 1,00

8.- ¿Se acorda los requerimientos técnicos del negocio que cubran elalcance completo de los programas de inversión en TI?

Si. 1,00

1.- ¿Se Identifica los riesgos asociados con los requerimientos del negociocomo parte de los procesos organizacionales para el desarrollo de losrequerimientos?

Si. Se registra en una base de datos , seimprime y se atiende. Se evalua el riesgoantes de hacer el presupuesto.

1,00

2.- ¿Se identifica los riesgos asociados con el diseño de soluciones comoparte de los procesos organizacionales para el desarrollo de losrequerimientos?

Si.1,00

3.- ¿Se documenta los riesgos asociados con los requerimientos delnegocio?

Si. 1,00

4.- ¿Se analiza los riesgos asociados con los requerimientos del negocio? Si. 1,001.- ¿Se desarrolla un estudio de factibil idad que examine la posibil idad deimplementar los requerimientos?

No por el momento. Lo van a implementar.Los proyectos no han estado saliendo con unformato de análisis. Se establece en elmomento el riesgo, la util idad, etc.

0,00

2.- ¿La administración del negocio, apoyada por la función de TI evalúa lafactibil idad?

Desde Marzo se está haciendo levantamientode funciones. Hay cambios en la actualidad yaún no están establecidos procedimientosdefinidos.

0,00

3.- ¿La administración del negocio, apoyada por la función de TI evalúalos cursos alternativos de acción?

No. 0,00

4.- ¿La administración del negocio, apoyada por la función de TI realizarecomendaciones al patrocinador del negocio?

No. 0,00

1.- ¿El patrocinador del negocio aprueba los requisitos funcionales denegocio?

Como área de tecnología se está bajo laGerencia General. No se hace nada si no estáaprobado en algún informe o comunicado dela gerencia.

1,00

2.- ¿El patrocinador del negocio aprueba los requisitos técnicos denegocio?

Si. 1,00

3.- ¿El patrocinador del negocio autoriza los requisitos funcionales denegocio?

Si. 1,00

4.- ¿El patrocinador del negocio autoriza los requisitos técnicos denegocio?

Si. 1,00

5.- ¿El patrocinador del negocio aprueba los reportes del estudio defactibil idad en las etapas clave predeterminadas?

Si, ver respuesta anterior 1,00

6.- ¿El patrocinador del negocio autoriza los reportes del estudio defactibil idad en las etapas clave predeterminadas?

Si, ver respuesta anterior 1,00

1.- ¿Se traduce los requerimientos del negocio a una especificación dediseño de alto nivel para la adquisición de software?

No hay formato, no hay documento.0,00

2.- ¿Las especificaciones de diseño son aprobadas por la Gerencia? Solo a traves de comunicados o informes dela gerencia general.

0,50

3.- ¿Se reevalúa los requerimientos cuando sucedan discrepanciassignificativas técnicas durante el desarrollo o mantenimiento.?

Si, se reevalúa los requerimientos aunque sinprocedimientos, solo leyendo los pedidos.Ejemplo, piden Autocad para el área dedespacho, se evalua si realmente lo necesitano no, se lo hace de manera informal porqueno hay cumplimiento de procedimientos engeneral para todas las cosas.

0,50

4.- ¿Se reevalúa los requerimientos cuando sucedan discrepanciassignificativas lógicas durante el desarrollo o mantenimiento.?

Si. 0,50

1. ¿Se prepara el diseño detallado del software de aplicación? Los requerimiento son solicitados por losusuarios, el departamento de TI analiza lafactibil idad técnica de esos requerimientos yse asientan en un acta de requerimiento queson firmadas por los usuarios involucrados.

1,00

2. ¿Se prepara los requerimientos técnicos del software de aplicación? Si. 1,003.- ¿Se define el criterio de aceptación de los requerimientos? Se define en parte a tráves del módulo de

soporte y mediante el acta. 0,50

4.- ¿Se aprueba los requerimientos para garantizar que corresponden aldiseño de alto nivel?

Si. Son aprobados por los usuarios y por eldepartamento de TI, (El especialista enaplicativos y la Especialista en base de datosy aplicativos).

1,00

5.- ¿Se realiza reevaluaciones cuando sucedan discrepanciassignificativas técnicas durante el desarrollo o mantenimiento del Software de aplicación?

Si se realizan reevaluaciones, en el caso deadquisición de sofware hay contratos conparámetros hay una base técnica y de locontrario se lo hace con el personal internoen base a procedimientos establecidos consoporte técnico coordinado con logística.

1,00

6.- ¿Se realiza reevaluaciones cuando sucedan discrepanciassignificativas lógicas durante el desarrollo o mantenimiento del Softwarede aplicación?

Si.1,00

1.- ¿Se implementa controles de negocio cuando aplique, en controles deaplicación automatizados?

Se realizan auditorías al departamento,(auditoría interna) mediante documentos selas analiza y se las implementa.

1,00

2.-¿El procesamiento de los controles de negocio son exactos? Si son exactos. 1,003.- ¿El procesamiento de los controles de negocio son completos? Si son completas. Realizan auditorias

completas tres veces al año.1,00

4.- ¿El procesamiento de los controles de negocio son oportunos? Si son oportunos. (auditoria bases, procesos,etc.).

1,00

5.- ¿El procesamiento de los controles de negocio son autorizados? Si son autorizados por el auditor interno de la empresa junto con el departamento de TI anivel de la Empresa de Producción. Para elBaan lo hacen a nivel corporativo desdeQuito así como lo relacionado a base dedatos o cualquier contrato o proceso que semaneje corporativamente.

1,00

6.- ¿El procesamiento de los controles de negocio son auditables? Si son auditables. 1,00

Trad

ucir

los r

eque

rimie

ntos

del

neg

ocio

en

esp

ecifi

caci

ones

de

dise

ño d

e al

to

nive

l.

AI2.

1 - D

iseño

de

Alto

Niv

el. Traducir los requerimientos del negocio a una especificación

de diseño de alto nivel para la adquisición de software, teniendo en cuenta las directivas tecnológicas y la arquitectura de información dentro de la organización. Tener aprobadas las especificaciones de diseño por gerencia para garantizar que el diseño de alto nivel responde a los requerimientos. Reevaluar cuando sucedan discrepancias significativas técnicas o lógicas durante el desarrollo o mantenimiento.

Prep

arar

dise

ño d

etal

lado

y lo

s req

uerim

ient

os té

cnic

os d

el

softw

are

aplic

ativ

o.

AI2.

2 - D

iseño

Det

alla

do.

Preparar el diseño detallado y los requerimientos técnicos del software de aplicación. Definir el criterio de aceptación de los requerimientos. Aprobar los requerimientos para garantizar que corresponden al diseño de alto nivel. Realizar reevaluaciones cuando sucedan discrepancias significativas técnicas o lógicas durante el desarrollo o mantenimiento.

Prep

arar

dise

ño d

etal

lado

y lo

s req

uerim

ient

os

técn

icos

del

softw

are

aplic

ativ

o.

AI2.

3 - C

ontr

ol y

Pos

ibili

dad

de A

udita

r las

Ap

licac

ione

s. Implementar controles de negocio, cuando aplique, en controles de aplicación automatizados tal que el procesamiento sea exacto, completo, oportuno, autorizado y auditable.

C O B I T A

I1 -

Iden

tific

ar s

oluc

ione

s au

tom

atiz

adas

. Defin

ir lo

s req

uerim

ient

os fu

ncio

nale

s y té

cnic

os d

el

nego

cio.

*Es

tabl

ecer

pro

ceso

s par

a la

inte

grid

ad/v

álid

ez d

e lo

s req

uerim

ient

os.

AI1.

1 - D

efin

ició

n y

Man

teni

mie

nto

de lo

s Req

uerim

ient

os

Técn

icos

y F

unci

onal

es d

el N

egoc

io.

Identificar, dar prioridades, especificar y acordar los requerimientos de negocio funcionales y técnicos que cubran el alcance completo de todas las iniciativas requeridas para lograr los resultados esperados de los programas de inversión en TI.

Iden

tific

ar, d

ocum

enta

r y

anal

izar e

l rie

sgo

del

proc

eso

de n

egoc

io.

AI1.

2 - R

epor

te d

e An

álisi

s de

Rie

sgos

. Identificar, documentar y analizar los riesgos asociados con los requerimientos del negocio y diseño de soluciones como parte de los procesos organizacionales para el desarrollo de

los requerimientos.

Eval

uar l

os b

enef

icio

s de

nego

cio

de la

s sol

ucio

nes p

ropu

esta

s.

AI1.

3 - E

stud

io d

e Fa

ctib

ilida

d y

Form

ulac

ión

de C

urso

s de

Acci

ón

Alte

rnat

ivos

. Desarrollar un estudio de factibil idad que examine la posibil idad de Implementar los requerimientos. La

administración del negocio, apoyada por la función de TI, debe evaluar la factibil idad y los cursos alternativos de acción y realizar recomendaciones al patrocinador del

negocio.

Cond

ucir

un e

stud

io d

e fa

ctib

ilida

d/ev

alua

ción

de

impa

cto

con

resp

ecto

a la

impl

anta

ción

de

los

requ

erim

ient

os d

e ne

goci

o pr

opue

stos

. *E

labo

rar u

n pr

oces

o de

apr

obac

ión

de

requ

erim

ient

os. *

Apro

bar y

Aut

oriza

r so

luci

ones

pro

pues

tas.

AI1.

4 - R

eque

rimie

ntos

, Dec

isión

de

Fact

ibili

dad

y Ap

roba

ción

.

Verificar que el proceso requiere al patrocinador del negocio para aprobar y autoriza los requisitos de negocio, tanto funcionales como técnicos, y los reportes del estudio de

factibil idad en las etapas clave predeterminadas. El patrocinador del negocio tiene la decisión final con respecto

a la elección de la solución y al enfoque de adquisición.

ADQUIRIR E I

MPLEMENTAR

AI2

- A

dqui

rir y

man

tene

r sof

twar

e ap

licat

ivo.

104

DO

MIN

IO

PRO

CESO

S

ACT

IVID

AD

ES D

EL

PRO

CESO

OB

JETI

VO

S D

E CO

NTR

OL


CALI

FICA

CIÓ

N

1.- ¿Se aborda la seguridad de las aplicaciones? Si se aborda. Los auditores tienen su propiametodología, verifican los roles que tienen los usuarios, aplicaciones, número deconexiones y accesibil idad. Ellos tienenpoliticas de manejo de claves para todos losaplicativos.

1,00

2.- ¿Se aborda los requerimientos de disponibil idad en respuesta a losriesgos identificados?

Si,Los auditores evalúan que lasrecomendaciones hayan sido implementadas. 1,00

3.- ¿Se aborda los requerimentos en l ínea con la clasificación de datos? Si, lo hacen en l inea. 1,004.- ¿Se aborda la arquitectura de la información? Eso lo hacen poco. No auditan modelo de

datos, integridad referencial, a ese nivel nollegan las auditorías.

0,00

5.- ¿Se aborda la arquitectura de seguridad de la información? No. 0,006.- ¿Se aborda la tolerancia a riesgos de la organización.? Si lo auditan. 1,001.- ¿Se configura el software de aplicaciones adquiridas para conseguirlos objetivos de negocio?

Si, todos los sistemas son parametrizables,una vez comprado,se personaliza yparametriza de acuerdo a las necesidades dela empresa, tanto software como hardware.Se lo realiza en el área técnica pero a travésde los especialistas de los aplicativos y bases de datos. Ellos disponen y el área ejecuta.

1,00

2.- ¿Se implementa software de aplicaciones adquiridas para conseguirlos objetivos de negocio?

Si. Por ejemplo el BAAN es una aplicaciónadquirida. Los especialistas de losaplicativos y bases de datos tambienimplementan.

1,00

1.- ¿Se realizan cambios importantes a los sistemas existentes queresulten cambios significativos al diseño actual?

Si se realizan mejoras. Estas van de acuerdo alas necesidades de cada departamento y queademás ayuden a mejorar el negocio. Losespecialistas de los aplicativos y bases dedatos coordinan y analizan los cambiosimportantes a los sistemas.

1,00

2.- ¿Se realizan cambios importantes a los sistemas existentes queresulten cambios significativos en su funcionalidad?

Ver respuesta anterior 1,00

3.- ¿Se sigue un proceso de desarrollo similar al empleado en los sistemasexistentes para el desarrollo de sistemas nuevos?

Si. Usan el ciclo de vida clásico para laimplementación de todos los sistemas. 1,00

1.- ¿Se garantiza que la funcionalidad de automatización se desarrolla deacuerdo con las especificaciones de diseño?

Si, está supervisado por el Holding Dinner.Ellos realizan auditorías y constantementemonitorean por medio de actas de trabajo yactas de requerimiento en donde los usuariosdan las especificaciones de lo que desean yesto se plasma en un documento opción xopción y se firma usuarios, gerentes de áreas,jefes involucrados y tecnología.

1,00

2.- ¿Se garantiza que la funcionalidad de automatización se desarrolla deacuerdo los estándares de desarrollo y documentación?

La jefatura de TI se encarga de laadministracion de Power Builder y Microsofty Autocad son administrados por lostecnicos de soporte. Los especialistas deaplicativos y base de datos se encargan deldesarrollo de 4ta. generación y laprogramacion orientado a objetos.

1,00

3.- ¿Se garantiza que la funcionalidad de automatización se desarrolla deacuerdo a los requerimientos de calidad y estándares de aprobación.?

Las pruebas se hacen de calidad y derendimientos pero no estan regidas a ningúnstandar o a metodología reconocida.

0,50

4.- ¿Se asegura que todos los aspectos legales se identifican y direccionanpara el software aplicativo desarrollado por terceros.?

Si, mediante contrato establecido por mediode asesoria juridica en caso de compra desofware, en el contrato se especifica tiempo,entregables en conjunto con TI, en el caso dedesarrollo, lo que hace es de 3 maneras,actas de requerimiento, entrega(provisionales y definitivas) todas firmadaspor ambas partes ese es el respaldo.

1,00

5.- ¿Se asegura que todos los aspectos contractuales se identifican ydireccionan para el software aplicativo desarrollado por terceros.?

Si.1,00

1.- ¿Se desarrolla un plan de aseguramiento de calidad del software? No tienen plan, hay planes de prueba, secogen casos criticos y con eso se hace laprueba, pero plan de calidad conprocedinmientos establecidos no hay.

0,00

2.- ¿Se Implementa los recursos de un plan de aseguramiento de calidaddel software?

ver respuesta anterior 0,00

3.- ¿Se ejecuta un plan de aseguramiento de calidad del software? ver respuesta anterior 0,001. ¿Se sigue el estado de los requerimientos individuales durante eldiseño, desarrollo e implementación?

Si se lo sigue, se ha creado un sistema desoporte técnico, se registra el requertimiento,se hace el seguimiento y la solución,siguiendo los 3 niveles de servicio que ITILrecomienda, telefonico, correo y personal.

1,00

2.- ¿Se sigue el estado de todos los requerimientos rechazados durante eldiseño, desarrollo e implementación.?

No se hace seguimiento de lo rechazado. 0,00

3.- ¿Se aprueba los cambios a los requerimientos a través de un procesode gestión de cambios establecido?

Si hay un proceso de gestión, cuando unsistema está en marcha si tienen unprocedimiento. mediante acta demodificaciones se establece cual es elrequerimiento que va a cambiar y en queafecta.

1,00

1.- ¿Se desarrolla una estrategia para el mantenimiento de aplicacionesde software?

Aplican el mismo ciclo de vida, desdeanalizar hasta aplicar la solución. 1,00

2.-¿Se desarrolla un plan para el mantenimiento de aplicaciones desoftware.?

No hay plan.0,00

ADQUIRIR E I

MPLEMENTAR

Des

arro

llar

un p

lan

para

el

man

teni

mie

nto

de

aplic

acio

nes

de

soft

war

e.

AI2

.10

- M

ante

nim

ient

o de

So

ftw

are

Apl

icat

ivo.

Desarrollar una estrategia y un plan para el mantenimiento de aplicaciones de software.

AI2

- A

dqui

rir

y m

ante

ner

soft

war

e ap

licat

ivo.

Des

arro

llar

las

met

odol

ogía

s y

proc

esos

form

ales

par

a ad

min

istr

ar e

l pro

ceso

de

desa

rrol

lo d

e la

ap

licac

ión.

AI2

.7 -

Des

arro

llo d

e So

ftw

are

Apl

icat

ivo.

Garantizar que la funcionalidad de automatización se desarrolla de acuerdo con las especificaciones de diseño, los estándares de desarrollo y documentación, los requerimientos de calidad y estándares de aprobación. Asegurar que todos los aspectos legales y contractuales se identifican y direccionan para el software aplicativo desarrollado por terceros.

Crea

r un

pla

n de

as

egur

amie

nto

de la

ca

lidad

del

sof

twar

e pa

ra e

l pro

yect

o.

AI2

.8 -

Ase

gura

mie

nto

de la

Ca

lidad

del

So

ftw

are.

Desarrollar, Implementar los recursos y ejecutar un plan de aseguramiento de calidad del software, para obtener la calidad que se especifica en la definición de los requerimientos y en las políticas y procedimientos de calidad de la organización.

Dar

seg

uim

ient

o y

adm

inis

trar

los

requ

erim

ient

os d

e la

apl

icac

ión.

AI2

.9 -

Adm

inis

trac

ión

de lo

s Re

quer

imie

ntos

de

Apl

icac

ione

s.

Seguir el estado de los requerimientos individuales (incluyendo todos los requerimientos rechazados) durante el diseño, desarrollo e implementación, y aprobar los cambios a los requerimientos a través de un proceso de gestión de cambios establecido.

C O B I T

Espe

cific

ar lo

s co

ntro

les

de a

plic

ació

n de

ntro

de

l dis

eño.

AI2

.4 -

Segu

rida

d y

Dis

poni

bilid

ad d

e la

s A

plic

acio

nes.

Abordar la seguridad de las aplicaciones y los requerimientos de disponibil idad en respuesta a los riesgos identificados y en l ínea con la clasificación de datos, la arquitectura de la información, la arquitectura de seguridad de la información y la tolerancia a riesgos de la organización.

Pers

onal

izar

e im

plem

enta

r la

fu

ncio

nalid

ad a

utom

atiz

ada

adqu

irid

a.

AI2

.5 -

Conf

igur

ació

n e

Impl

anta

ción

de

Sof

twar

e A

plic

ativ

o A

dqui

rido

.

Configurar e implementar software de aplicaciones adquiridas para conseguir los objetivos de negocio.

Pers

onal

izar

e im

plem

enta

r la

fu

ncio

nalid

ad a

utom

atiz

ada

adqu

irid

a.

AI2

.6 -

Act

ualiz

acio

nes

Impo

rtan

tes

en S

iste

mas

Exi

sten

tes.

En caso de cambios importantes a los sistemas existentes que resulten en cambios significativos al diseño actual y/o funcionalidad, seguir un proceso de desarrollo similar al empleado para el desarrollo de sistemas nuevos.

105

DO

MIN

IO

PRO

CESO

S

ACT

IVID

AD

ES D

EL

PRO

CESO

OBJ

ETIV

OS

DE

CON

TRO

L


CALI

FICA

CIÓ

N

1.- ¿Se genera un plan para adquirir la infraestructura tecnológica? No cuentan con un plan para reunirse yverificar el requerimiento del usuario. Porpolítica del área TI cada 2 Años se cambianlos equipos, se puede decir que con esteanálisis aproximadamente el 20% del partetecnológico es candidato a cambio, en estaplanificación puede haber distinción entiempo ya que se depende de otras áreas y deproveedores.

0,00

2.- ¿Se implementa el plan para adquirir la infraestructura tecnológica? Si. 1,003.- ¿Se mantiene el plan para adquirir la infraestructura tecnológica quesatisfaga los requerimientos establecidos funcionales del negocio, y queesté de acuerdo con la dirección tecnológica de la organización?

Si se evalúa, se realiza una cotización y eldepartamento de adquisiciones aprueba lacompra a través de un cómite.

1,00

4.- ¿Se mantiene el plan para adquirir la infraestructura tecnológica quesatisfaga los requerimientos establecidos técnicos del negocio, y que estéde acuerdo con la dirección tecnológica de la organización?

Sí.1,00

5.- ¿El plan considera extensiones futuras para adiciones de capacidad,costos de transición, riesgos tecnológicos y vida útil de la inversión paraactualizaciones de tecnología?

No hay un documento de planificación queabarque estos temas. 0,00

6.- ¿Se evalúa los costos de complejidad del proveedor? Es independiente del proceso de la compra, elárea de TI no evalúa al proveedor, este es unproceso de logistica.

1,00

7.- ¿Se evalúa los costos de la viabil idad comercial del proveedor y elproducto al añadir nueva capacidad técnica?


1.- ¿Se Implementa medidas de control interno, seguridad y auditabil idaddurante la configuración de la infraestructura para proteger los recursosy garantizar su disponibil idad e integridad?

Si se lo hace a nivel de desarrollo y deproducción, cuando es necesario se crea basede datos para hacer pruebas a los aplicativospara no afectar el proceso en linea una vezprobado se envia los aplicativos al Ing.Orellana encargado de los servidores paraque los pase a los servidores de producción.Del hardware no se hace, el softwaredesarrolladores de aplicativos y Base deDatos.

1,00

2.- ¿Se Implementa medidas de control interno, seguridad y auditabil idaddurante la integración de la infraestructura para proteger los recursos ygarantizar su disponibil idad e integridad?


3.- ¿Se Implementa medidas de control interno, seguridad y auditabil idaddurante el mantenimiento del hardware y del software de lainfraestructura para proteger los recursos y garantizar su disponibil idade integridad?

Ver respuesta anterior.

1,00

4.- ¿Se define claramente las responsabil idades al util izar componentes de infraestructura sensitivos por todos aquellos que desarrollan e integran los componentes de infraestructura?

Si cada especialista es reponsable del manejo del componente de infraestructura sensitivode cada uno de los procesos.

1,00

5.- ¿Se comprende claramente las responsabil idades al util izarcomponentes de infraestructura sensitivos por todos aquellos quedesarrollan e integran los componentes de infraestructura?

Sí cada especialista tiene asignado lasresponsabil idades de sus procesos. 1,00

6.- ¿Se monitorea el uso del recurso de infraestructura? Se monitorea, se hace un mantenimientopreventivo, mas o menos cada 4 meses a losequipos, (servidores, equipos deusuarios,etc).

1,00

7.- ¿Se evalúa el uso del recurso de infraestructura? No se evalúa. 0,001.- ¿Se desarrolla una estrategia para el mantenimiento de lainfraestrucutura?

Si se desarrolla, cumplen un cronograma deacuerdo el reporte de Help Desk.

1,00

2.- ¿Se desarrolla un plan de mantenimiento de la infraestructura? A Nivel de equipos de computación. Sonservicios que estan tercerizados.

1,00

3.- ¿La estrategia desarrollada para el mantenimiento de lainfraestructura garantiza que se controlan los cambios, de acuerdo con elprocedimiento de administración de cambios de la organización?

Si se garantiza pero no hay documentaciónpero si hay análisis. 0,50

4.- ¿El plan desarrollado para el Mantenimiento de la Infraestructuragarantiza que se controlan los cambios, de acuerdo con el procedimientode administración de cambios de la organización?


5.- ¿El plan de Mantenimiento de la Infraestructura incluye una revisión periódica contra las necesidades del negocio?

No hay. 0,00

6.- ¿El plan de Mantenimiento de la Infraestructura incluye una revisión periódica contra la administración de parches?

Desarrolladores de aplicativos y Base deDatos se encargan en que versiones estandesarrolladas las aplicaciones, Si hayactualizaciones, todo es con licencia no haynada pirata.

1,00

7.- ¿El plan de Mantenimiento de la Infraestructura incluye una revisión periódica contra las estrategias de actualización?

Se hace un monitorieo preventivo, se hace undiagnostico para ver prosibles problemas eimplementar alguna mejora.

1,00

8.- ¿El plan de Mantenimiento de la Infraestructura incluye una revisiónperiódica contra los riesgos?

No se lo hace, no manejan matriz de riesgo 0,00

9.- ¿El plan de Mantenimiento de la Infraestructura incluye una revisiónperiódica contra la evaluación de vulnerabil idades?

No hay plan, lo hacen obligados por auditoria por los eventos que se presentan para irsolucionando las cosas.

0,00

10.- ¿El plan de Mantenimiento de la Infraestructura incluye una revisiónperiódica contra los requerimientos de seguridad?

No. 0,00

1.- ¿Se establece el ambiente de desarrollo de las aplicaciones? Si cumplen,cuando se adquiere un aplicativoo un software realizan un periodo de prueba,Carlos Orellana, David Guil len y soporte.

1,00

2.- ¿Se establece el ambiente de pruebas de las aplicaciones? Si se cumple. 1,003.- ¿Se considera la funcionalidad de las aplicaciones en el ambiente deadquisición y desarrollo?

Si se considera cuando hay cambios lo hacenen un solo repositorio y es fácil porque todala empresa se actualiza, en los cambios deversiones es igual.

1,00

4.- ¿Se considera la integración de las aplicaciones en el ambiente deadquisición y desarrollo?

Si. 1,00

5.- ¿Se considera el desempeño de las aplicaciones en el ambiente deadquisición y desarrollo?

Si. 1,00

6.- ¿Se considera la migración entre ambientes de las aplicaciones en elambiente de adquisición y desarrollo?

Si. 1,00

7.- ¿Se considera el control de la versiones de las aplicaciones en elambiente de adquisición y desarrollo?

Si. 1,00

8.- ¿Se considera los datos y herramientas de prueba de las aplicacionesen el ambiente de adquisición y desarrollo?

Si. 1,00

9.- ¿Se considera la seguridad de las aplicaciones en el ambiente deadquisición y desarrollo?

Si. 1,00

10.- ¿Se considera la configuración de hardware y software de lainfraestructura en el ambiente de adquisición y desarrollo?

Si se considera Cuando hay cambios lo hacenen un solo repositorio y es facil porque todala empresa se actualiza, en los cambios deversiones es igual.

1,00

Conf

igur

ar c

ompo

nent

es d

e la

infr

aest

ruct

ura.

AI3.

4 - A

mbi

ente

de

Prue

ba d

e Fa

ctib

ilida

d.

Establecer el ambiente de desarrollo y pruebas para soportar la efectividad y eficiencia de las pruebas de factibil idad e integración de aplicaciones e infraestructura, en las primeras fases del proceso de adquisición y desarrollo. Hay que considerar la funcionalidad, la configuración de hardware y software, pruebas de integración y desempeño, migración entre ambientes, control de la versiones, datos y herramientas de prueba y seguridad.

AI3

- A

dqui

rir y

man

tene

r inf

raes

truc

tura

tecn

ológ

ica.

ADQUIRIR E I

MPLEMENTAR

Defin

ir el

pro

cedi

mie

nto/

pro

ceso

de

adqu

isici

ón.

AI3.

2 - P

rote

cció

n y

Disp

onib

ilida

d de

l Rec

urso

de

Infr

aest

ruct

ura.

Implementar medidas de control interno, seguridad y auditabil idad durante la configuración, integración y mantenimiento del hardware y del software de la infraestructura para proteger los recursos y garantizar su disponibil idad e integridad. Se deben definir y comprender claramente las responsabil idades al util izar componentes de infraestructura sensitivos por todos aquellos que desarrollan e integran los componentes de infraestructura. Se debe monitorear y evaluar su uso.

Defin

ir es

trat

egia

y p

lane

ar e

l man

teni

mie

nto

de in

frae

stru

ctur

a.

AI3.

3 - M

ante

nim

ient

o de

la In

frae

stru

ctur

a.

Desarrollar una estrategia y un plan de mantenimiento de la infraestructura y garantizar que se controlan los cambios, de acuerdo con el procedimiento de administración de cambios de la organización. Incluir una revisión periódica contra las necesidades del negocio, administración de parches y estrategias de actualización, riesgos, evaluación de vulnerabil idades y requerimientos de seguridad.

Nego

ciar

la c

ompr

a y

adqu

irir l

a in

frae

stru

ctur

a re

quer

ida

con

prov

eedo

res(

apro

bado

s).

AI3.

1 - P

lan

de A

dqui

sició

n de

Infr

aest

ruct

ura

Tecn

ológ

ica.

Generar un plan para adquirir, Implementar y mantener la infraestructura tecnológica que satisfaga los requerimientos establecidos funcionales y técnicos del negocio, y que esté de acuerdo con la dirección tecnológica de la organización. El plan debe considerar extensiones futuras para adiciones de capacidad, costos de transición, riesgos tecnológicos y vida útil de la inversión para actualizaciones de tecnología. Evaluar los costos de complejidad y la viabil idad comercial del proveedor y el producto al añadir nueva capacidad técnica.

C O B I T

106

DOM

INIO

PROC

ESOS

ACTI

VIDA

DES D

EL

PROC

ESO

OBJE

TIVO

S DE

CONT

ROL


CALIF

ICAC

IÓN

1.- ¿Se desarrolla un plan donde se identifique todos los aspectostécnicos, la capacidad de operación y los niveles de servicio requeridosen las aplicaciones?

No cuentan con un plan, A nivel de aplicativos se hace manual de usuarios y manual tecnico, se esta trabajando en una base deconocimiento en un servidor para en caso deausencia todos tengan acceso y puedansolucionar cualquier inconveniente quenormalmente lo haría la persona ausente.

0,50

2.- ¿Se desarrolla un plan donde se documente todos los aspectostécnicos, la capacidad de operación y los niveles de servicio requeridosen las aplicaciones?

Si, ver respuesta anterior.0,50

3.- ¿Se desarrolla un plan donde se identifique todos los aspectostécnicos, la capacidad de operación y los niveles de servicio requeridosen la infraestructura?


4.- ¿Se desarrolla un plan donde se documente todos los aspectostécnicos, la capacidad de operación y los niveles de servicio requeridosen la infraestructura?


1.- ¿Se transfiere el conocimiento de los sistemas a la gerencia de laempresa?

Se entrega en forma general a la gerencia lo que es beneficio. Si se entrega, el plan estrategico de sistemas está hecho en base al plan estratégico de la empresa.

1,00

2.- ¿Se transfiere el conocimiento de los datos de la aplicación a lagerencia de la empresa?

Si. 1,00

3.- ¿Se incluye en la transferencia del conocimiento la aprobación deacceso de las aplicaciones e infraestructura?

Siguen la linea de Holding Dine pero basadasen las necesidades de Empresa. Cada 15 días,se le informa a la GG sobre equipos, permisospara inversión. proyectos, permisos paraciertos privilegios.

1,00

4.- ¿Se incluye en la transferencia del conocimiento la administración deprivilegios de las aplicaciones e infraestructura?

Si. 1,00

5.- ¿Se incluye en la transferencia del conocimiento la segregación detareas de las aplicaciones e infraestructura?

Si. 1,00

6.- ¿Se incluye en la transferencia del conocimiento los controlesautomatizados del negocio de las aplicaciones e infraestructura?

Si. 1,00

7.- ¿Se incluye en la transferencia del conocimiento elrespaldo/recuperación de las aplicaciones e infraestructura?

Si. 1,00

8.- ¿Se incluye en la transferencia del conocimiento la seguridad física delas aplicaciones e infraestructura?

Si. 1,00

9.- ¿Se incluye en la transferencia del conocimiento el archivo de ladocumentación fuente de las aplicaciones e infraestructura?

Si. 1,00

1.- ¿Se mejora la transferencia de conocimiento para permitir que losusuarios finales util icen con efectividad y eficiencia el sistema deaplicación como apoyo a los procesos del negocio?

Si realizan a traves de la capacitacion del jefey el a su vez transmite al resto del personal. 1,00

2.- ¿Se mejora las habil idades para permitir que los usuarios finalesutil icen con efectividad y eficiencia el sistema de aplicación como apoyoa los procesos del negocio.?

Si.1,00

3.- ¿Se incluye en la transferencia de conocimiento el desarrollo de unplan de entrenamiento?

Si realizan en linea via remota con virtualnetwork conection , manuales deusuario,procedimiento no, asistencia ausuarios y son dadas por el personal de TI.

1,00

1.- ¿Se capacita al personal de operaciones en relación a las aplicacionese infraestructura atendiendo a los requerimientos de los usuarios demanera efectiva y eficiente?

Se lo hace de forma verbal, no hayprocedimientos. Estan retomando o queriendo formalizar el proceso estableciendo elprocedimiento.

0,50

2.- ¿Se capacita al personal técnico en relación a las aplicaciones einfraestructura atendiendo a los requerimientos de los usuarios demanera efectiva y eficiente?

Si, en parte.0,50

3.- ¿Se incluye en el entrenamiento inicial y continuo, el desarrollo de lashabil idades del personal de soporte técnico y de operaciones?

Si. 1,00

4.- ¿Se incluye en el entrenamiento inicial y continuo, los materiales deentrenamiento en el desarrollo de las habil idades del personal de soportetécnico y de operaciones?

Si.1,00

5.- ¿Se incluye en el entrenamiento inicial y continuo, los manuales deoperación en el desarrollo de las habil idades del personal de soportetécnico y de operaciones?

No.0,00

5.- ¿Se incluye en el entrenamiento inicial y continuo, los manuales deprocedimientos en el desarrollo de las habil idades del personal desoporte técnico y de operaciones?

No hay procedimiento.0,00

7.- ¿Se incluye en el entrenamiento inicial y continuo, los escenarios deatención al usuario en el desarrollo de las habil idades del personal desoporte técnico y de operaciones?

Si.1,00

1.- ¿Se adquiere instalaciones para el área de TI? Si, (presupuesto) 1,002.- ¿Se adquiere hardware para el área de TI? Si. 1,003.- ¿Se adquiere software para el área de TI? Si. 1,004.- ¿Se adquiere servicios necesarios por el negocio para el área de TI? Si. 1,005.- ¿Se desarrolla y se sigue un conjunto de procedimientos y estándaresconsistente con el proceso general de adquisiciones de la organización?

No 0,00

6.- ¿Se desarrolla y se sigue un conjunto de procedimientos y estándaresconsistente con la estrategia de adquisición?

No 0,00

1.- ¿Se formula un procedimiento para establecer contratos para todos losproveedores?

Salir a convocatoria, se define lo que se va agenerar el contrato, las ofertas y documentos,adicional deben presentarse a sobre cerrado,minimo tres propuesta de oferta. Es factibletener mas proveedores, miden la partesocial(todos los trabajadores q estengozando el seguro), medio ambiente(dentro desus proceso cumplan con el medio ambiente.)financiera(informe de los estados de cuentabalance), las ofertas pueden haberexcepciones de modificacion en ese caso elgerente general l lega a un acuerdo con laresponsabil idad de la jefe de area, secontacta al proveedor ganador y a los que noganaron igual se los comunica.

1,00

2.- ¿Se formula un procedimiento para modificar contratos para todos losproveedores?

Si. 1,00

3.- ¿Se formula un procedimiento para concluir contratos para todos losproveedores?

Si. 1,00

4.- ¿El procedimiento cubre las responsabil idades y obligaciones legales? Si cumplen con todos los parametros pidenuna poliza de anticipacion el 10% del valordel contrato.

1,00

5.- ¿El procedimiento cubre las responsabil idades y obligacionesfinancieras?

Si. 1,00

6.- ¿El procedimiento cubre las responsabil idades y obligacionesorganizacionales?

Si. 1,00

7.- ¿El procedimiento cubre las responsabil idades y obligacionesdocumentales?

Si. 1,00

8.- ¿El procedimiento cubre las responsabil idades y obligaciones dedesempeño?

Si. 1,00

9.- ¿El procedimiento cubre las responsabil idades y obligaciones deseguridad?

Si. 1,00

10.- ¿El procedimiento cubre las responsabil idades y obligaciones de propiedad intelectual?

Si. 1,00

11.- ¿El procedimiento cubre las responsabil idades de conclusión? Si. 1,0012.- ¿Los contratos las revisan los asesores legales? Si pero lo hacen soportando con los tecnicos

usuario o supervisores del contrato.1,00

13.- ¿Las modificaciones a contratos las revisan los asesores legales? Si. 1,00

Desa

rrol

lar p

olíti

cas y

pr

oced

imie

ntos

de

adqu

isici

ón d

e TI

de

acue

rdo

con

las p

oliti

cas

de a

dqui

sicio

nes a

niv

el

corp

orat

ivo.

AI5.

1 - C

ontr

ol d

e Ad

quisi

ción

.

Desarrollar y seguir un conjunto de procedimientos y estándares consistente con el proceso general de adquisiciones de la organización y con la estrategia de adquisición para adquirir infraestructura relacionada con TI, instalaciones, hardware, software y servicios necesarios por el negocio.

Esta

blec

er/m

ante

ner u

na li

sta

de p

rove

edor

es a

cred

itado

s.

AI5.

2 - A

dmin

istra

ción

de

Cont

rato

s con

Pro

veed

ores

.

Formular un procedimiento para establecer, modificar y concluir contratos para todos los proveedores. El procedimiento debe cubrir, como mínimo, responsabil idades y obligaciones legales, financieras, organizacionales, documentales, de desempeño, de seguridad, de propiedad intelectual y responsabil idades de conclusión, así como obligaciones (que incluyan cláusulas de penalización). Todos los contratos y las modificaciones a contratos las deben revisar asesores legales.

AI5

- Adq

uirir

recu

rsos

de

TI.

Desa

rrol

lar m

etod

olog

ía d

e tr

ansf

eren

cia

de c

onoc

imie

nto.

AI4.

2 - T

rans

fere

ncia

de

Cono

cim

ient

o a

la G

eren

cia

del N

egoc

io.

Transferir el conocimiento a la gerencia de la empresa para permitirles tomar posesión del sistema y los datos y ejercer la responsabil idad por la entrega y calidad del servicio, del control interno, y de los procesos administrativos de la aplicación. La transferencia de conocimiento incluye la aprobación de acceso, administración de privilegios, segregación de tareas, controles automatizados del negocio, respaldo/recuperación, seguridad física y archivo de la documentación fuente.

Desa

rrol

lar m

anua

les d

e pr

oced

imie

nto

del u

suar

io

final

. * E

valu

ar lo

s re

sulta

dos d

el e

ntre

nam

ient

o y

ampl

iar l

a do

cum

enta

ción

co

mo

se re

quie

ra.

AI4.

3 - T

rans

fere

ncia

de

Cono

cim

ient

o a

Usua

rios

Fina

les.

Transferencia de conocimiento y habil idades para permitir que los usuarios finales util icen con efectividad y eficiencia el sistema de aplicación como apoyo a los procesos del negocio. La transferencia de conocimiento incluye el desarrollo de un plan de entrenamiento que aborde al entrenamiento inicial y al continuo, así como el desarrollo de habil idades, materiales de entrenamiento, manuales de usuario, manuales de procedimiento, ayuda en l ínea, asistencia a usuarios, identificación del usuario clave, y evaluación.

Desa

rrol

lar d

ocum

enta

ción

de

sopo

rte

técn

ica

para

op

erac

ione

s y p

erso

nal d

e so

port

e.

* D

esar

rolla

r y d

ar

entr

enam

ient

o.

AI4.

4 - T

rans

fere

ncia

de

Cono

cim

ient

o al

Per

sona

l de

Ope

raci

ones

y S

opor

te. Transferir el conocimiento y las habil idades para permitir al

personal de soporte técnico y de operaciones que entregue, apoyen y mantenga la aplicación y la infraestructura asociada de manera efectiva y eficiente de acuerdo a los niveles de servicio requeridos. La transferencia del conocimiento debe incluir al entrenamiento inicial y continuo, el desarrollo de las habil idades, los materiales de entrenamiento, los manuales de operación, los manuales de procedimientos y escenarios de atención al usuario.

Desa

rrol

lar e

stra

tegi

a pa

ra q

ue la

solu

ción

sea

oper

ativ

a.

AI4.

1 - P

lan

para

Sol

ucio

nes d

e O

pera

ción

.

Desarrollar un plan para identificar y documentar todos los aspectos técnicos, la capacidad de operación y los niveles de

servicio requeridos, de manera que todos los interesados puedan tomar la responsabil idad oportunamente por la

producción de procedimientos de administración, de usuario y operativos, como resultado de la introducción o

actualización de sistemas automatizados o de infraestructura.

C O B I T AI

4 - F

acili

tar l

a ope

ració

n y e

l uso

.

ADQUIRIR E I

MPLEMENTAR

107

DO

MIN

IO

PRO

CESO

S

ACT

IVID

AD

ES D

EL

PRO

CESO

OBJ

ETIV

OS

DE

CON

TRO

L


CALI

FICA

CIÓ

N

1.- ¿Se selecciona proveedores de acuerdo a una práctica justa y formal? Si. 1,00

2.- ¿Se selecciona proveedores de acuerdo a una práctica formal? Si. 1,003.- ¿Los requerimientos estan optimizados con las entradas de losproveedores potenciales?

Si. 1,00

1.- ¿Se protege los intereses de la organización en todo los contratos deadquisiciones de software?

Si. 1,00

2.- ¿Se protege los intereses de la organización en todo los contratos deadquisiciones de recursos de desarrollo?

Si. 1,00

3.- ¿Se protege los intereses de la organización en todo los contratos deadquisiciones de infraestructura?

Si. 1,00

4.- ¿Se protege los intereses de la organización en todo los contratos deadquisiciones de servicios?

Si. 1,00

5.- ¿Se hace cumplir los intereses de la organización en todo los contratosde adquisiciones de software?

Si. 1,00

6.- ¿Se hace cumplir los intereses de la organización en todo los contratosde adquisiciones de recursos de desarrollo?

Si. 1,00

7.- ¿Se hace cumplir los intereses de la organización en todo los contratosde adquisiciones de infraestructura?

Si. 1,00

8.- ¿Se hace cumplir los intereses de la organización en todo los contratosde adquisiciones de servicios?

Si. 1,00

1.- ¿Se maneja de manera estándar todas las solicitudes para cambios alas aplicaciones?

Si se lo hace. El requerimiento llega a TI y selo resuelve en unos casos y en otros secontacta con el proveedor del aplicativo, leponen fecha de entrega y se da el soporte.

1,00

2.- ¿Se maneja de manera estándar todas las solicitudes para cambios alos procedimientos?

Si. 1,00

3.- ¿Se maneja de manera estándar todas las solicitudes para cambios alos procesos?

Si. 1,00

4.- ¿Se maneja de manera estándar todas las solicitudes para cambios alos parámetros de sistema?

Si. 1,00

5.- ¿Se maneja de manera estándar todas las solicitudes para cambios alos servicios?

Si. 1,00

6.- ¿En las plataformas fundamentales se establecen procedimientos deadministración de cambio formales?

No hay procedimientos. 0,00

1.- ¿Se garantiza que todas las solicitudes de cambio se evalúan losimpactos en el sistema operacional?

Si se evalúan. 1,00

2.- ¿Se garantiza que todas las solicitudes de cambio se evalúan losimpactos en el sistema en su funcionalidad?

Si. 1,00

3.- ¿La evaluación incluye la categorización de los cambios? Si. 1,004.- ¿La evaluación incluye la priorización de los cambios? Si. 1,005.- ¿Se autorizan los cambios en la migración hacia la producción de lasaplicaciones por los interesados?

Si. Si ellos no firman, TI no procede a realizarlos cambios.

1,00

1.- ¿Se establece un proceso para definir los cambios de emergencia queno sigan el proceso de cambio establecido?

No hay procedimiento para emergencias. 0,00

2.- ¿Se establece un proceso para plantear los cambios de emergencia queno sigan el proceso de cambio establecido?

No. 0,00

3.- ¿Se establece un proceso para evaluar los cambios de emergencia queno sigan el proceso de cambio establecido?

No. 0,00

4.- ¿Se establece un proceso para autorizar los cambios de emergenciaque no sigan el proceso de cambio establecido?

No. 0,00

5.- ¿Se realiza la documentación después de la implantación del cambiode emergencia?

Si. 1,00

6.- ¿Se realiza las pruebas después de la implantación del cambio deemergencia?

Si. 1,00

1.- ¿Se establece un sistema de seguimiento para mantener actualizados alos solicitantes de cambio y a los interesados relevantes?

No se lo hace, pero se está trabajando paraque a través del sistema ellos conozcan elestado en el que se encuentra surequerimiento.

0,00

2.- ¿Se establece un sistema de reporte para mantener actualizados a lossolicitantes de cambio y a los interesados relevantes?

No. 0,00

1.- ¿Se actualiza los cambios en los sistemas? Si se actualiza el sistema asociado. 1,002.- ¿Se actualiza la documentación de usuario? No, a veces se lo hace y otras no 0,503.- ¿Se establece un proceso de revisión para garantizar la implantacióncompleta de los cambios?

Si. Se hace una revisión presencial en laprueba y una vez aprobado por el usuario, seefectua el cambio y se lo envia a produccionpor medio del especialista de infraestructura.

1,00

1.- ¿Se entrena al personal de los departamentos de usuario afectados deacuerdo con el plan definido de entrenamiento e implantación de casaproyecto de sistemas?

No hay plan y no se los entrena pero se danindicaciones básicas de acuerdo alrequerimiento.

0,30

2.- ¿Se entrena al grupo de operaciones de la función de TI de acuerdo conel plan definido de entrenamiento e implantación de cada proyecto desistemas?

No.0,30

1.- ¿Se establece un plan de pruebas basado en los estándares de laorganización?

No cuentan con un plan pero si se realizanpruebas.

0,50

2.- ¿Dentro de los estándares de la organización se definen los roles? No hay estandares. 0,003.- ¿Dentro de los estándares de la organización se definen lasresponsabil idades?

No. 0,00

4.- ¿Dentro de los estándares de la organización se definen los criteriosde entrada y salida?

No. 0,00

5.- ¿Se asegura que el plan está aprobado por las partes relevantes? Si se aprueban por las partes. 1,001.- ¿Se establece un plan de implantación y respaldo y vuelta atrás? Hay un cronograma de trabajo aprobado por

los usuarios en el que se establece el tiempoque les va a tomar echar a andar el sistema.En cuanto a respaldo no hay procedimientoestablecido, se lo hace de manera informal,no está documentado el procedimiento. En loreferente a base de datos y aplicativos se lohace pero no se documenta.

0,50

2.- ¿Se obtiene la aprobación de las partes relevantes? Si se lo hace. 1,001.- ¿Se define un entorno seguro de pruebas representativo del entorno deoperaciones?

Si se asegura de no afectar el entorno. Se lohace en un ambiente de prueba y este no estabasado en un estandar pero si cuidan de noafectar los datos.

0,50

2.- ¿Se establece un entorno seguro de pruebas representativo del entornode operaciones?

En parte. 0,50

1.- ¿Cuentan con un Plan de conversión de datos como parte de losmétodos de desarrollo de la organización?

No tienen. 0,00

2.- ¿Cuentan con una migración de infraestructuras como parte de losmétodos de desarrollo de la organización?

No. 0,00

1.- ¿Las Pruebas de cambios independientemente están de acuerdo con losplanes de pruebas definidos antes de la migración al entorno deoperaciones?

No tienen plan de pruebas.0,00

2.- ¿Se asegura que el plan de pruebas considera la seguridad? Si pero no cuentan con un plan. 0,503.- ¿Se asegura que el plan de pruebas considera el desempeño? Si lo hacen pero no cuentan con el plan. 0,50

AI5

- A

dqui

rir r

ecur

sos

de T

I.A

I6 -

Adm

inis

trar

cam

bios

.A

I7 -

Inst

alar

y a

cred

itar

sol

ucio

nes

y ca

mbi

os.

Ejec

utar

la

conv

ersa

ción

del

sis

tem

a y

las

prue

bas d

e in

tegr

ació

n en

am

bien

te

AI7.

5 -

Conv

ersió

n de

Si

stem

as y

Da

tos. Plan de conversión de datos y migración de infraestructuras

como parte de los métodos de desarrollo de la organización, incluyendo pistas de auditoria, respaldo y vuelta atrás.

Esta

blec

er

ambi

ente

de

prue

ba y

co

nduc

ir pr

ueba

s de

acep

taci

ón

final

es.

AI7.

6 - P

rueb

as

de C

ambi

os. Pruebas de cambios independientemente en acuerdo con los

planes de pruebas definidos antes de la migración al entorno de operaciones. Asegurar que el plan considera la seguridad y el desempeño.

Defin

ir y

revi

sar u

na

estr

ateg

ia d

e pr

ueba

(c

riter

io d

e en

trad

a y

sálid

a) y

la m

etod

olog

ía

de p

lan

de p

rueb

a op

erac

iona

l.

AI7.

2 - P

lan

de P

rueb

a.

Establecer un plan de pruebas basado en los estándares de la organización que define roles, responsabil idades, y criterios de entrada y salida. Asegurar que el plan esta aprobado por las partes relevantes.

Cons

trui

r y m

ante

ner u

n re

posit

orio

de

requ

irim

ient

os d

e ne

goci

o y

técn

icos

y c

asos

de

prue

ba p

ara

siste

mas

ac

redi

tado

s.

AI7.

3 - P

lan

de

Impl

anta

ción

.

Establecer un plan de implantación y respaldo y vuelta atrás. Obtener aprobación de las partes relevantes.

Esta

blec

er

ambi

ente

de

prue

ba y

co

nduc

ir pr

ueba

s de

acep

taci

ón

final

es.

AI7.

4 - A

mbi

ente

de

Pru

eba.

Definir y establecer un entorno seguro de pruebas representativo del entorno de operaciones planeado relativo

a seguridad, controles internos, practicas operativos, calidad de los datos y requerimientos de privacidad, y cargas de

trabajo.

Auto

rizar

ca

mbi

os.

AI6.

4 -

Segu

imie

nto

y Re

port

e de

l Es

tatu

s de

Cam

bio.

Establecer un sistema de seguimiento y reporte para mantener actualizados a los solicitantes de cambio y a los interesados relevantes, acerca del estatus del cambio a las

aplicaciones, a los procedimientos, a los procesos, parámetros del sistema y del servicio y las plataformas

fundamentales.

Adm

inist

rar y

di

sem

inar

la

info

rmac

ión

rele

vant

e re

fere

nte

a ca

mbi

os.

AI6.

5 - C

ierr

e y

Docu

men

taci

ón

del C

ambi

o.

Siempre que se implantan cambios al sistema, actualizar el sistema asociado y la documentación de usuario y procedimientos correspondientes. Establecer un proceso de revisión para garantizar la implantación completa de los cambios.

Cons

trui

r y

revi

sar p

lane

s de

inve

stig

ació

n.

AI7.

1 -

Entr

enam

ient

o.

Entrenar al personal de los departamentos de usuario afectados y al grupo de operaciones de la función de TI de

acuerdo con el plan definido de entrenamiento e implantación y a los materiales asociados, como parte de

cada proyecto de sistemas de la información de desarrollo, implementación o modificación.

Desa

rrol

lar e

impl

emen

tar u

n pr

oces

o pa

ra re

gist

rar,

eval

uar y

dar

prio

ridad

en

form

a co

nsist

ente

a la

s sol

icitd

es d

e ca

mbi

o.

AI6.

1 - E

stán

dare

s y P

roce

dim

ient

os p

ara

Cam

bios

.

Establecer procedimientos de administración de cambio formales para manejar de manera estándar todas las solicitudes (incluyendo mantenimiento y parches) para cambios a aplicaciones, procedimientos, procesos, parámetros de sistema y servicio, y las plataformas fundamentales.

Eval

uar i

mpa

cto

y da

r pr

iorid

ad a

cam

bios

en

base

a la

s nec

esid

ades

de

l neg

ocio

.

AI6.

2 - E

valu

ació

n de

Im

pact

o, P

rioriz

ació

n y

Auto

rizac

ión.

Garantizar que todas las solicitudes de cambio se evalúan de una estructurada manera en cuanto a impactos en el sistema operacional y su funcionalidad. Esta evaluación deberá incluir categorización y priorización de los cambios. Previo a la migración hacia producción, los interesados correspondientes autorizan los cambios.

Gara

ntiza

r que

cua

lqui

er c

ambi

o cr

ítico

y d

e em

erge

ncia

sigu

e el

pr

oces

o ap

roba

do.

AI6.

3 - C

ambi

os d

e Em

erge

ncia

.

Establecer un proceso para definir, plantear, evaluar y autorizar los cambios de emergencia que no sigan el proceso de cambio establecido. La documentación y pruebas se realizan, posiblemente, después de la implantación del cambio de emergencia.

Eval

uar y

se

lecc

iona

r pr

ovee

dore

s a

trav

és d

e un

pro

ceso

de

solic

itud

de p

ropu

esta

(R

FP).

AI5.

3 -

Sele

cció

n de

Pr

ovee

dore

s. Seleccionar proveedores de acuerdo a una práctica justa y formal para garantizar la mejor viable y encajable según los requerimientos especificados. Los requerimientos deben estar optimizados con las entradas de los proveedores potenciales.

Desa

rrol

lar c

ontr

atos

que

pro

teja

n lo

s int

eres

es

de la

org

aniza

ción

. *Re

aliza

r adq

uisic

ione

s de

conf

orm

idad

con

los p

roce

dim

ient

os

esta

blec

idos

.

AI5.

4 - A

dqui

sició

n de

Rec

urso

s de

TI.

Proteger y hacer cumplir los intereses de la organización en todo los contratos de adquisiciones, incluyendo los derechos

y obligaciones de todas las partes en los términos contractuales para la adquisición de software, recursos de

desarrollo, infraestructura y servicios.

C O B I T

ADQUIRIR E I

MPLEMENTAR

108

DO

MIN

IO

PRO

CESO

S

ACT

IVID

AD

ES D

EL

PRO

CESO

OBJ

ETIV

OS

DE

CON

TRO

L


CALI

FICA

CIÓ

N

1.- ¿Se asegura que el dueño de proceso de negocio evalúa los resultadosde los procesos de pruebas como determina el plan de pruebas?

No hay plan pero si lo hacen 0,50

2.- ¿Se asegura que los interesados de TI evalúan los resultados de losprocesos de pruebas como determina el plan de pruebas?

Si se lo realiza empiricamente. 0,50

3.- ¿Se remedia los errores significativos identificados en el proceso depruebas?

Si. 1,00

4.- ¿Se monitorea la evaluación de los procesos de prueba? Si. 1,005.- ¿Se monitorea la aprobación de los procesos de prueba? Si. 1,001.- ¿Se controla la entrega de los sistemas cambiados a operaciones,manteniéndolo en l ínea con el plan de implantación.?

Si. 1,00

2.- ¿Se obtiene la aprobación de los interesados clave, tales comousuarios, dueño de sistemas y gerente de operaciones cuando seaapropiado?

Si.1,00

3.- ¿Se ejecuta el sistema en paralelo con el viejo sistema por un tiempo? Si. 1,004.- ¿Se compara el comportamiento y los resultados? Si. 1,001.- ¿Se establece procedimientos en línea con los estándares de gestión decambios organizacionales?

No cuentan con un software. Cuando elusuario presenta inconvenientes y lo reporta,lo atienden.

0,50

2.- ¿Se requiere una revisión posterior a la implantación como conjuntode salida en el plan de implementación?

Si se hace. 1,00

1.- ¿El marco de trabajo brinda un proceso formal de administración deniveles de servicio entre el cl iente y el prestador de servicio?

Si existen pero no es formal. Se tiene pensadoimplementar ITIL para realizar procesos demejora, ya que las áreas no estan conformescon el resultado.

0,50

2.- ¿El marco de trabajo mantiene una alineación continua con losrequerimientos y las prioridades de negocio?

No cuentan con un marco de trabajo. 0,00

3.- ¿El marco de trabajo facil ita el entendimiento común entre el cliente yel(los) prestador(es) de servicio?

No cuentan con un marco de trabajo. 0,00

4.- ¿El marco de trabajo incluye procesos para la creación derequerimientos de servicio?

No cuentan con marco de trabajo pero si conSLAs.

0,50

5.- ¿El marco de trabajo mantiene acuerdos de niveles de servicio (SLAs),acuerdos de niveles de operación (OLAs) y las fuentes de financiamiento?

No cuentan con Marco de Trabajo.0,25

6.- ¿El marco de trabajo define la estructura organizacional para laadministración del nivel de servicio incluyendo los roles, tareas yresponsabil idades de los proveedores externos e internos y de losclientes?

No cuentan con Marco de Trabajo.

0,00

Cons

trui

r un

ca

tálo

go d

e se

rvic

ios

de T

I.

DS1

.2 -

Def

inic

ión

de

Serv

icio

s.

Definiciones base de los servicios de TI sobre las características del servicio y los requerimientos de negocio, organizados y almacenados de manera centralizada por medio de la implantación de un enfoque de catálogo/portafolio de servicios.

1.- ¿Se definen los servicios de TI sobre las características del servicio ylos requerimientos de negocio?

Si lo definen. Tienen un sofware de soportedonde registran en base de datos losrequerimientos de los usuarios así como losproblemas que ellos detectan. Hacenseguimiento de cada registro y de lassoluciones y sacan reportes.

1,00

Def

inir

los

conv

enio

s de

niv

eles

de

serv

icio

(SLA

s) p

ara

los

serv

icio

s cr

ítico

s de

TI.

DS1

.3 -

Acu

erdo

s de

Niv

eles

de

Serv

icio

.

Definir y acordar convenios de niveles de servicio para todos los procesos críticos de TI con base en los requerimientos del cl iente y las capacidades en TI. Esto incluye los compromisos del cl iente, los requerimientos de soporte para el servicio, métricas cualitativas y cuantitativas para la medición del servicio firmado por los interesados, en caso de aplicar, los arreglos comerciales y de financiamiento, y los roles y responsabil idades, incluyendo la revisión del SLA. Los puntos a considerar son disponibil idad, confiabil idad, desempeño, capacidad de crecimiento, niveles de soporte, planeación de continuidad, seguridad y restricciones de demanda.

1.- ¿Existen acuerdos de convenios de niveles de servicio para todos losprocesos críticos de TI?

1.- No existe un acuerdo de niveles de serviciocon el usuario, si cuentan con SLAsimplementado por el especialista enaplicaciones, pero falta implementar losparámetros al 100%. Esto está en proyecto.

0,50

1.- ¿Se asegura que los acuerdos de niveles de operación expliquen cómoserán entregados técnicamente los servicios para soportar el (los) SLA(s)de manera óptima?

Se lo hace pero sin considerar ningúnestandar. 0,50

2.- ¿Los OLAs especifican los procesos técnicos en términos entendiblespara el proveedor?

No en su totalidad, solo una parte. 0,50

3.- ¿Los OLAs pueden soportar diversos SLAs? No tecnicamente, los soportan empíricamente. 0,50

1.- ¿Se monitorean continuamente los criterios de desempeñoespecificados para el nivel de servicio?

No se monitorean, sólo en el sistema severifican los nuevos requerimientos.

0,50

2.- ¿Los reportes sobre el cumplimiento de los niveles de servicio seemiten en un formato que sea entendible para los interesados?

Por ahora si, desde hace dos meses se emiteninformes pero los responsabes no ingresaninformación.

1,00

3.- ¿Las estadísticas de monitoreo son analizadas para identificartendencias positivas y negativas tanto de servicios individuales como delos servicios en conjunto?

Todavia no.0,00

1.- ¿Se revisan regularmente con los proveedores internos los acuerdos delos niveles de servicio y los controles de apoyo?

No, una parte con los proveedores externospero no formalmente.

0,50

2.- ¿Se revisan regularmente con los proveedores externos los acuerdos delos niveles de servicio y los controles de apoyo?

En parte.

0,50

1.- ¿Se identifican todos los servicios de los proveedores? Si, pero falta estructurar. Tener una solamatriz de tal forma que una persona puedasaber a quien llamar cuando se presente uninconveniente.

0,50

2.- ¿Se categorizan los de acuerdo al tipo de proveedor, significado ycriticidad?

No. 0,00

3.- ¿Se mantiene una documentación formal de relaciones técnicas? No. 0,004.- ¿Se mantiene una documentación formal de relacionesorganizacionales?

No hay. 0,00

1.- ¿Se formaliza el proceso de gestión de relaciones con proveedores paracada proveedor?

Habría que revisar el requerimento decalificación de proveedores. Logistica debe deevaluar los proveedores, lo maneja a travesdel correo electrónico o por llamadastelefónicas y si hay problemas tratan dehablar con el gerente. Cuando es un nuevoproveedor en el sistema BAAN se almacenalos datos del proveedor, caso contrario porinternet, otra opción es por paginas amaril las o contactar a través de otros amigos de otrasempresas.

1,00

2.- ¿Los dueños de las relaciones enlazan las cuestiones del cliente yproveedor?

Si. 1,00

3.-¿aseguran la calidad de las relaciones basadas en la confianza ytransparencia?

Si. 1,00

AI7

- In

stal

ar y

acr

edit

ar s

oluc

ione

s y

cam

bios

.D

S2 –

Adm

inis

trar

los

serv

icio

s de

terc

eros

ADQUIRIR E

IMPLEMENTAR

ENTREGAR Y DAR SOPORTE

Iden

tific

ar y

cat

egor

izar

las

rela

cion

es d

e lo

s se

rvic

ios

de te

rcer

os.

DS2

.1 -

Iden

tific

ació

n de

To

das

las

Rela

cion

es c

on

Prov

eedo

res.

Identificar todos los servicios de los proveedores, y categorizar los de acuerdo al tipo de proveedor, significado y criticidad. Mantener documentación formal de relaciones técnicas y organizacionales que cubren los roles y responsabil idades, metas, entregables esperados, y credenciales de los representantes de estos proveedores.

Def

inir

y d

ocum

enta

r lo

s pr

oces

os d

e ad

min

istr

ació

n de

l pro

veed

or.

DS2

.2 -

Ges

tión

de R

elac

ione

s co

n Pr

ovee

dore

s. Formalizar el proceso de gestión de relaciones con proveedores para cada proveedor. Los dueños de las relaciones deben enlazar las cuestiones del cl iente y proveedor y asegurar la calidad de las relaciones basadas en la confianza y transparencia. (Ej.: a través de SLAs).

DS1

– D

efin

ir y

adm

inis

trar

los

nive

les

de s

ervi

cio

Crea

r un

mar

co d

e tr

abaj

o pa

ra lo

s se

rvic

ios

de

TI.

DS1

.1 -

Mar

co d

e Tr

abaj

o de

la A

dmin

istr

ació

n de

los

Niv

eles

de

Serv

icio

.

Definir un marco de trabajo que brinde un proceso formal de administración de niveles de servicio entre el cl iente y el prestador de servicio. El marco de trabajo mantiene una alineación continua con los requerimientos y las prioridades de negocio y facil ita el entendimiento común entre el cl iente y el(los) prestador(es) de servicio. El marco de trabajo incluye procesos para la creación de requerimientos de servicio, definiciones de servicio, acuerdos de niveles de servicio (SLAs), acuerdos de niveles de operación (OLAs) y las fuentes de financiamiento. Estos atributos están organizados en un catálogo de servicios. El marco de trabajo define la estructura organizacional para la administración del nivel de servicio, incluyendo los roles, tareas y responsabil idades de los proveedores externos e internos y de los clientes.

Def

inir

los

conv

enio

s de

ni

vele

s de

op

erac

ión

(OLA

s)

para

sop

orta

r la

s SL

As.

DS1

.4 -

Acu

erdo

s de

N

ivel

es d

e O

pera

ción

. Asegurar que los acuerdos de niveles de operación expliquen cómo serán entregados técnicamente los servicios para soportar el (los) SLA(s) de manera óptima. Los OLAs especifican los procesos técnicos en términos entendibles para el proveedor y pueden soportar diversos SLAs.

Mon

itore

ar y

rep

orta

r el

des

empe

ño d

el

serv

icio

de

punt

a a

punt

a. *

Revi

sar

y ac

tual

izar

el c

atál

ago

de s

ervi

cios

de

TI.

DS1

.5 -

Mon

itore

o y

Repo

rte

del

Cum

plim

ento

de

los

Niv

eles

de

Serv

icio

. Monitorear continuamente los criterios de desempeño especificados para el nivel de servicio. Los reportes sobre el cumplimiento de los niveles de servicio deben emitirse en un formato que sea entendible para los interesados. Las estadísticas de monitoreo son analizadas para identificar tendencias positivas y negativas tanto de servicios individuales como de los servicios en conjunto.

Revi

sar

los

SLA

s y

los

cont

rato

s de

ap

oyo.

*Cr

ear

un

plan

de

mej

ora

de

serv

icio

s.

DS1

.6 -

Revi

sión

de

los

Acu

erdo

s de

N

ivel

es d

e Se

rvic

io

y de

los

Cont

rato

s. Revisar regularmente con los proveedores internos y externos los acuerdos de niveles de servicio y los contratos de apoyo, para asegurar que son efectivos, que están actualizados y que se han tomado en cuenta los cambios en requerimientos, para asegurar que son efectivos, que están actualizados y que se han tomado en cuenta los cambios en requerimientos.

Reco

men

dar

la

liber

ació

n a

prod

ucci

ón c

on b

ase

en lo

s cr

iteri

os d

e ac

redi

taci

ón

conv

enid

os.

AI7

.8 -

Prom

oció

n a

Prod

ucci

ón.

Seguimiento a pruebas, controlar la entrega de los sistemas cambiados a operaciones, manteniéndolo en l ínea con el plan de implantación. Obtener la aprobación de los interesados clave, tales como usuarios, dueño de sistemas y gerente de operaciones. Cuando sea apropiado, ejecutar el sistema en paralelo con el viejo sistema por un tiempo, y comparar el comportamiento y los resultados.

Esta

blec

er

ambi

ente

de

prue

ba y

co

nduc

ir

prue

bas

de

acep

taci

ón

final

es.

AI7

.9 -

Revi

sión

Po

ster

ior

a la

Im

plan

taci

ón.

Establecer procedimientos en l ínea con los estándares de gestión de cambios organizacionales para requerir una revisión posterior a la implantación como conjunto de salida en el plan de implementación.

C O B I T

Esta

blec

er a

mbi

ente

de

prue

ba y

con

duci

r pr

ueba

s de

ace

ptac

ión

final

es.

AI7

.7 -

Prue

ba d

e A

cept

ació

n Fi

nal.

Asegurar que el dueño de proceso de negocio y los interesados de TI evalúan los resultados de los procesos de pruebas como determina el plan de pruebas. Remediar los errores significativos identificados en el proceso de pruebas, habiendo completado el conjunto de pruebas identificadas en el plan de pruebas y cualquier prueba de regresión necesaria. Siguiendo la evaluación, aprobación promoción a producción.

109

DO

MIN

IO

PRO

CESO

S

ACT

IVID

AD

ES D

EL

PRO

CESO

OBJ

ETIV

OS

DE

CON

TRO

L


CALI

FICA

CIÓ

N

1.- ¿Se identifican los riesgos relacionados con la habil idad de losproveedores para mantener un efectivo servicio de entrega de formasegura sobre una base de continuidad?

No se tienen identificados los riesgos a pesarde que se tiene la matriz de riesgo. Si estáestipulado cuando se califica al proveedor,pero cuando hay urgencias el plazo deentrega es de 2 dias. Cuando es importacióndepende del producto.

0,00

2.- ¿Se aseguran que los contratos están de acuerdo con losrequerimientos legales de los estándares universales del negocio?

Si porque existe un proceso para laelaboración de contratos donde interviene eldepartamento Legal y TI.

1,00

3.- ¿La administración del riesgo considera acuerdos de confidencialidad(NDAs)?

No. 0,00

4.- ¿La administración del riesgo considera los contratos de garantía? Si. 1,005.- ¿La administración del riesgo considera la viabil idad de lacontinuidad del proveedor?

Si. 1,00

6.- ¿La administración del riesgo considera la conformidad con losrequerimientos de seguridad?

Si. 1,00

7.- ¿La administración del riesgo considera a los proveedoresalternativos?

En el plan de contingencia no se ha hecho mucho incapié con los proveedores.

0,50

8.- ¿La administración del riesgo considera las penalizaciones eincentivos?

Si. 1,00

1.- ¿Se establece un proceso para monitorear la prestación del servicio del proveedor?

No. 0,00

2.- ¿Se aseguran que el proveedor está cumpliendo con los requerimientosdel negocio?

Si. 1,00

1.- ¿Se establece un proceso de planeación para la revisión deldesempeño?

Si se establece. (Especialista en Soporte). 1,00

2.- ¿Se establece un proceso de planeación para la revisión de la capacidad de los recursos de TI?

Si. Se esta haciendo diagnóstico de redes,Base de Datos, Sistema Operativo.

1,00

3.- ¿Los planes de capacidad y desempeño hacen uso de técnicas demodelo apropiadas para producir un modelo de desempeño, de capacidadde los recursos de TI, tanto actual como pronosticado?

Indirectamente si aprovechan los recursos ymetodologias de los proveedores, se basan entècnicas apropiadas. Cada especialista de laEmpresa de Producción interactúa con losexpertos del mercado para integrar a losprocesos normales las mejores tecnicasvigentes.

0,50

Revi

sar

el

dese

mpe

ño

y la

ca

paci

dad

actiu

al d

e lo

s re

curs

os

de T

I.

DS3

.2 -

Capa

cida

d y

Des

empe

ño

Act

ual.

Revisar la capacidad y desempeño actual de los recursos de TI en intervalos regulares para determinar si existe suficiente capacidad y desempeño para prestar los servicios con base en los niveles de servicio acordados.

1.- ¿Se revisa el desempeño actual de los recursos de TI en intervalosregulares?

Se los revisa pero no hay formato odocumento, solo se lo hace como una funciónde la persona a cargo. 0,00

1.- ¿Se lleva a cabo un pronóstico de desempeño de los recursos de TI enintervalos regulares para minimizar el riesgo de interrupciones?

No se hace, 0,00

2.- ¿Se identifican también el exceso de capacidad para una posibleredistribución?

No. 0,00

3.- ¿Se identifican las tendencias de las cargas de trabajo? No. Se adquiere el equipo de acuerdo alanálisis de lo que va a hacer el usuario y susnecesidades de operación.

0,00

4.- ¿Se determina los pronósticos que serán parte de los planes decapacidad de desempeño?

No. 0,00

1.- ¿Se toman en cuenta, planes de contingencias, en los ciclos de vida delos recursos de TI?

Si. 1,00

2.- ¿La empresa garantiza que los planes de contingencia sonconsiderados de forma apropiada sobre los recursos individuales de TI?

El plan de contingencia existe pero falta laimplementación, solo está escrito. Faltainversión que permita la implementación.

0,00

Mon

itore

ar y

rep

orta

r co

ntin

uam

ente

la d

ispo

nibi

lidad

, el

dese

mpe

ño y

la c

apac

idad

de

los

recu

rsos

de

TI.

DS3

.5 -

Mon

itore

o y

Repo

rte.

Monitorear continuamente el desempeño y la capacidad de los recursos de TI. La información reunida sirve para dos propósitos: • Mantener y poner a punto el desempeño actual dentro de TI y atender temas como elasticidad, contingencia, cargas de trabajo actuales y proyectadas, planes de almacenamiento y adquisición de recursos. • Para reportar la disponibil idad hacia el negocio del servicio prestado como se requiere en los SLAs. Acompañar todos los reportes de excepción con recomendaciones para acciones correctivas

1.- ¿Monitorean continuamente el desempeño de los recursos de TI? No se lo hace, solo cada dos años para larenovacion de equipos según la politica de laempresa.

0,50

Des

arro

llar

un m

arco

de

trab

ajo

de c

ontin

uida

d de

TI.

DS4

.1 -

Mar

co d

e Tr

abaj

o de

Con

tinui

dad

de T

I.

Desarrollar un marco de trabajo de continuidad de TI para soportar la continuidad del negocio con un proceso consistente a lo largo de toda la organización. El objetivo del marco de trabajo es ayudar en la determinación de la resistencia requerida de la infraestructura y de guiar el desarrollo de los planes de recuperación de desastres y de contingencias. El marco de trabajo debe tomar en cuenta la estructura organizacional para administrar la continuidad, la cobertura de roles, las tareas y las responsabil idades de los proveedores de servicios internos y externos, su administración y sus clientes; así como las reglas y estructuras para documentar, probar y ejecutar la recuperación de desastres y los planes de contingencia de TI. El plan debe también considerar puntos tales como la identificación de recursos críticos, el monitoreo y reporte de la disponibil idad de recursos críticos, el procesamiento alternativo y los principios de respaldo y recuperación.

1.- ¿La empresa desarrolla un marco de trabajo de continuidad de TI? Si lo hacen por medio del presupesto.

1,00

Des

arro

llar

y m

ante

ner

plan

es d

e co

ntin

uida

d de

TI

.

DS4

.2 -

Plan

es d

e Co

ntin

uida

d de

TI.

Desarrollar planes de continuidad de TI con base en el marco de trabajo, diseñado para reducir el impacto de una interrupción mayor de las funciones y los procesos clave del negocio. Los planes deben considerar requerimientos de resistencia, procesamiento alternativo, y capacidad de recuperación de todos los servicios críticos de TI. También deben cubrir los l ineamientos de uso, los roles y responsabil idades, los procedimientos, los procesos de comunicación y el enfoque de pruebas.

1.- ¿La empresa desarrolla planes de continuidad de TI con base en elmarco de trabajo, diseñado para reducir el impacto de una interrupciónmayor de las funciones?

No.

0,00

1.- ¿Existen puntos determinados en el plan de continuidad de TI? Falta identificar los puntos críticos, elaborarlos procedimentos y difundirlos.

0,00

2.- ¿Los puntos determinados en el plan construyen resistenciaestableciendo prioridades en situaciones de recuperacion?

Si lo tienen pero está incompleto, pero siestan conscientes que se debe hacer.

0,00

3.- ¿Se considera los requerimientos de resistencia, respuesta yrecuperación para diferentes niveles de prioridad?

Si, en el plan de contingencia, pero el plan no esta implantado.

0,00

DS2

– A

dmin

istr

ar lo

s se

rvic

ios

de te

rcer

osD

S4 –

Gar

anti

zar l

a co

ntin

uida

d de

l ser

vici

o

Establecer un proceso de planeación para la revisión del desempeño y la capacidad de los recursos de TI, para asegurar la disponibil idad de la capacidad y del desempeño, con costos justificables, para procesar las cargas de trabajo acordadas tal como se determina en los SLAs. Los planes de capacidad y desempeño deben hacer uso de técnicas de modelo apropiadas para producir un modelo de desempeño, de capacidad y de desempeño de los recursos de TI, tanto actual como pronosticado.

Llevar a cabo un pronóstico de desempeño y capacidad de los recursos de TI en intervalos regulares para minimizar el riesgo de interrupciones del servicio originadas por falta de capacidad o degradación del desempeño. Identificar también el exceso de capacidad para una posible redistribución. Identificar las tendencias de las cargas de trabajo y determinar los pronósticos que serán parte de los planes de capacidad y de desempeño.

Brindar la capacidad y desempeño requeridos tomando en cuenta aspectos como cargas de trabajo normales, contingencias, requerimientos de almacenamiento y ciclos de vida de los recursos de TI. Deben tomarse medidas cuando el desempeño y la capacidad no están en el nivel requerido, tales como dar prioridad a las tareas, mecanismos de tolerancia de fallas y prácticas de asignación de recursos. La gerencia debe garantizar que los planes de contingencia consideran de forma apropiada la disponibil idad, capacidad y desempeño de los recursos individuales de TI.

Real

izar

un

anál

isis

de

impa

cto

al

nego

cio

y va

lora

ción

de

ries

go.

DS4

.3 -

Recu

rsos

Cr

ítico

s de

TI.

Centrar la atención en los puntos determinados como los más críticos en el plan de continuidad de TI, para construir resistencia y establecer prioridades en situaciones de recuperación. Evitar la distracción de recuperar los puntos menos críticos y asegurarse de que la respuesta y la recuperación están alineadas con las necesidades

Esta

blec

er u

n pr

oces

o de

Pl

anea

ción

par

a la

rev

isió

n de

l de

sem

peño

y la

cap

acid

ad d

e lo

s re

curs

os d

e TI

.

DS3

.1 -

Plan

eaci

ón d

el

Des

empe

ño y

la C

apac

idad

.

Real

izar

pro

nóst

icos

de

dese

mpe

ño y

cap

acid

ad

de lo

s re

curs

os d

e TI

.

DS3

.3 -

Capa

cida

d y

Des

empe

ño F

utur

os.

Real

izar

un

plan

de

cont

inge

ncia

res

pect

o a

una

falta

pot

enci

al d

e di

spon

ibili

dad

de r

ecur

sos

de

TI.

DS3

.4 -

Dis

poni

bilid

ad d

e Re

curs

os d

e TI

.

DS3

– A

dmin

istr

ar e

l des

empe

ño y

la c

apac

idad


Iden

tific

ar,

valo

rar

y m

itiga

r lo

s ri

esgo

s de

l pr

ovee

dor.

*M

onito

rear

la

pres

taci

ón

del

DS2

.4 -

Mon

itore

o de

l D

esem

peñ

o de

l Pr

ovee

dor. Establecer un proceso para monitorear la prestación del

servicio para asegurar que el proveedor está cumpliendo con los requerimientos del negocio actuales y que se adhiere continuamente a los acuerdos del contrato y a SLAs, y que el

C O B I T

Esta

blec

er p

olíti

cas

y pr

oced

imie

ntos

de

eval

uaci

ón y

su

spen

sión

de

prov

eedo

res.

*Ev

alua

r la

s m

etas

de

larg

o pl

azo

de la

rel

ació

n de

l ser

vici

o pa

ra to

dos

los

inte

resa

dos.

DS2

.3 -

Adm

inis

trac

ión

de R

iesg

os d

el P

rove

edor

.

Identificar y mitigar los riesgos relacionados con la habil idad de los proveedores para mantener un efectivo servicio de entrega de forma segura y eficiente sobre una base de continuidad. Asegurar que los contratos están de acuerdo con los requerimientos legales y regulatorios de los estándares universales del negocio. La administración del riesgo debe considerar además acuerdos de confidencialidad (NDAs), contratos de garantía, viabil idad de la continuidad del proveedor, conformidad con los requerimientos de seguridad, proveedores alternativos, penalizaciones e incentivos, etc.

110

DO

MIN

IO

PRO

CESO

S

ACT

IVID

AD

ES D

EL

PRO

CESO

OBJ

ETIV

OS

DE

CON

TRO

L


CALI

FICA

CIÓ

N

Iden

tific

ar y

ca

tego

rizar

los

recu

rsos

de

TI c

on

base

a lo

s obj

etiv

os d

e re

cupe

raci

ón.

DS4.

4 - M

ante

nim

ient

o de

l Pla

n de

Co

ntin

uida

d de

TI. Exhortar a la gerencia de TI a definir y ejecutar

procedimientos de control de cambios, para asegurar que el plan de continuidad de TI se mantenga actualizado y que refleje de manera continua los requerimientos actuales del negocio. Es esencial que los cambios en los procedimientos y las responsabil idades sean comunicados de forma clara y oportuna.

1.- ¿Se ejecutan procedimientos de control de cambios, para asegurar queel plan de continuidad de TI se mantenga actualizado?

Si , se lo hace desde el Holding.

1,00

Defin

ir y

ejec

utar

pr

oced

imie

ntos

de

cont

rol d

e ca

mbi

os p

ara

aseg

urar

que

el

plan

de

cont

inui

dad

sea

vige

nte.

DS4.

5 - P

rueb

as d

el P

lan

de

Cont

inui

dad

de T

I.

Probar el plan de continuidad de TI de forma regular para asegurar que los sistemas de TI pueden ser recuperados de forma efectiva, que las deficiencias son atendidas y que el plan permanece aplicable. Esto requiere una preparación cuidadosa, documentación, reporte de los resultados de las pruebas y, de acuerdo con los resultados, la implementación de un plan de acción. Considerar el alcance de las pruebas de recuperación en aplicaciones individuales, en escenarios de pruebas integrados, en pruebas de punta a punta y en pruebas integradas con el proveedor.

1.- ¿Se prueba el plan de continuidad de TI de forma regular para asegurarque los sistemas de TI pueden ser recuperados de forma efectiva?

No hay plan de continuidad, en el manual deprocedimiento están descritas las funcionesde cada uno y en base a eso se garantiza lacontinuidad.

0,50

1.- ¿Se asegura de que todos las partes involucradas reciban sesiones dehabilitación de forma regular respecto a los procesos en caso de incidente o desastre?

No.0,00

2.- ¿Se asegura de que todos las partes involucradas reciban sesiones de habil itación de forma regular respecto a sus roles en caso de incidente o desastre?

No.0,00

3.- ¿Se asegura de que todos las partes involucradas reciban sesiones de habil itación de forma regular respecto a las responsabil idades en caso de incidente o desastre?

Si, cada encargado sabe de sus responsabil idades. 1,00

4.- ¿Se verifica el entrenamiento de acuerdo con los resultados de las pruebas de contingencia?

No se hacen pruebas de contingencia. 0,00

5.- ¿Se incrementa el entrenamiento de acuerdo con los resultados de laspruebas de contingencia?

No. 0,00

Desa

rrol

lar u

n pl

an

de a

cció

n a

segu

ir co

n ba

se e

n lo

s re

sulta

dos d

e la

s pr

ueba

s.

DS4.

7 - D

istrib

ució

n de

l Pla

n de

Co

ntin

uida

d de

TI. Determinar que existe una estrategia de distribución definida

y administrada para asegurar que los planes se distribuyan de manera apropiada y segura y que estén disponibles entre las partes involucradas y autorizadas cuando y donde se requiera. Se debe prestar atención en hacerlos accesibles bajo cualquier escenario de desastre.

1.- ¿Existe una estrategia de distribución definida y administrada paraasegurar que los planes se distribuyan de manera segura?

No tienen, sólo se hacen reuniones periódicascon el Departamento de DesarrolloOrganizacional y se reporta a GerenciaGeneral. Tiene que estar apegado al planestratégico de la empresa, si no es así no se lo hace. Hay áreas definidas para cadaactividad.

0,50

1.- ¿Se planean las acciones a tomar durante el período en que TI estárecuperando y reanudando los servicios?

Si se lo hace pero de manera emergente, solocuando ocurre.

0,50

2.- ¿Se aseguran que los responsables del negocio entiendan los tiemposde recuperación de TI?

No. 0,00

1.- ¿Se almacena fuera de las instalaciones todos los medios de respaldopara los planes de continuidad del negocio?

No. 0,00

2.- ¿El respaldo de la informacion se realiza bajo la politica del contenidode los respaldos a almacenar se determinan en conjunto entre losresponsables del negocio y el personal de TI?

Si se hacen en los respaldos del sistema.Diarios de la base de datos y con losrespaldos semestrales de la información decada usuario.

1,00

3.- ¿La administración del sitio de almacenamiento externo a lasinstalaciones, está apegada a la política de almacenamiento de datos dela empresa?

No tienen. 0,00

4.- ¿La gerencia de TI se asegura que los acuerdos con sitios externos seanevaluados periódicamente?

No. 0,00

5.- ¿Se aseguran de la compatibil idad del hardware y del software parapoder recuperar los datos archivados y periódicamente probar y renovarlos datos archivados?

Si, pero falta implementar la política derenovar y probar.

0,50

Plan

ear e

im

plem

ent

ar e

l al

mac

ena

mie

nto

y la

pr

otec

ción

de

re

spal

dos.

DS4.

10 -

Revi

sión

Post

Re

anud

aci

ón.

Una vez lograda una exitosa reanudación de las funciones de TI después de un desastre, determinar si la gerencia de TI ha establecido procedimientos para valorar lo adecuado del plan y actualizar el plan en consecuencia.

1.-¿La gerencia de TI ha establecido procedimientos para valorar loadecuado del plan?

Se está implementando.

0,50

Defin

ir, e

stab

lece

r y

oper

ar u

n pr

oces

de

adm

inist

raci

ón d

e id

entid

ad

(cue

ntas

).

DS5.

1 -

Adm

inist

raci

ón d

e la

Seg

urid

ad d

e TI

.

Administrar la seguridad de TI al nivel más alto apropiado dentro de la organización, de manera que las acciones de administración de la seguridad estén en l ínea con los requerimientos del negocio.

1.- ¿El nivel apropiado de seguridad de TI dentro de la organización estaen l inea sobre los requerimientos del negocio?

No, falta implementar bastante. Se cambiótodas las configuraciones de los ruteadores,se lleva registro de todos los que se estánconectando, hicieron un estudio (Sliced cord,Deloitte, proporcionaron una matriz paraimplementar las seguridades. y controles).

0,30

1.- ¿Los requerimientos del negocio dentro de un plan de seguridad de TIse trasladan teniendo en consideracion la infraestructura de TI en cuantoa la seguridad?

Si.1,00

2.- ¿El plan de seguridad de TI esta implementado en las políticas deprocedimientos de seguridad?

No hay plan. 0,00

1.- ¿Los usuarios y su actividad en TI son identificados de manera unica?*El usuario se identifica a través de mecanismos de autenticación?

Si.1,00

2.- ¿Se confirma que los permisos de acceso del usuario al sistema estánen línea con las necesidades del negocio?

Si. 1,00

3.- ¿Se asegura que los derechos de acceso del usuario se solicitan por lagerencia del usuario para ser aprobados por el responsable del sistema?

Si.1,00

4.- ¿Las identidades del usuario y los derechos de acceso se mantienen enun repositorio central?

Cada aplicativo tiene su administrador. Eladministrador del aplicativo maneja lasseguridades, el adminstrador de Base deDatos las seguridades a nivel de BD., y elAdministrador de comunicaciones el acceso ala red.

1,00

5.- ¿Se despliegan técnicas efectivas en procedimientos rentables, que semantienen actualizados para establecer la identificación del usuario?

No lo tienen.

0,00

Revi

sar y

val

idar

per

iódi

cam

ente

los

priv

ilegi

os y

der

echo

s de

acce

so d

e lo

s us

uario

s.

DS5.

4 - A

dmin

istra

ción

de

Cuen

tas d

el

Usua

rio.

Garantizar que la solicitud, establecimiento, emisión, suspensión, modificación y cierre de cuentas de usuario y de los privilegios relacionados, sean tomados en cuenta por un conjunto de procedimientos de la gerencia de cuentas de usuario. Debe incluirse un procedimiento de aprobación que describa al responsable de los datos o del sistema otorgando los privilegios de acceso. Estos procedimientos deben aplicarse a todos los usuarios, incluyendo administradores (usuarios privilegiados), usuarios externos e internos, para casos normales y de emergencia. Los derechos y obligaciones relativos al acceso a los sistemas e información de la empresa deben acordarse contractualmente para todos los tipos de usuarios. Realizar revisiones regulares de la gestión de todas las cuentas y los privilegios asociados.

1.- ¿Los privilegios relacionados con la creacion de cuentas de usuarios,son tomados en cuenta por un conjunto de procedimientos de la gerenciade cuentas de usuario?

Es uno de los puntos a mejorar, actualmentese hace a través de los procedimientos desoporte. No hay manual de usuario. No haycriterios para creación de usuario. Faltatrabajar en esto.

0,00

DS5

– G

aran

tiza

r la

segu

rida

d de

los

sist

emas

Defin

ir y

man

tene

r un

plan

de

segu

ridad

de

TI.

DS5.

2 - P

lan

de S

egur

idad

de

TI.

Trasladar los requerimientos de negocio, riesgos y cumplimiento dentro de un plan de seguridad de TI completo, teniendo en consideración la infraestructura de TI y la cultura de seguridad. Asegurar que el plan esta implementado en las políticas y procedimientos de seguridad junto con las

Mon

itore

ar in

cide

ntes

de

segu

ridad

, rea

les y

po

tenc

iale

s.

DS5.

3 - A

dmin

istra

ción

de

Iden

tidad

.

Asegurar que todos los usuarios (internos, externos y temporales) y su actividad en sistemas de TI (aplicación de negocio, entorno de TI, operación de sistemas, desarrollo y mantenimiento) deben ser identificables de manera única. Permitir que el usuario se identifique a través de mecanismos de autenticación. Confirmar que los permisos de acceso del usuario al sistema y los datos están en l ínea con las necesidades del negocio definidas y documentadas y que los requerimientos de trabajo están adjuntos a las identidades del usuario. Asegurar que los derechos de acceso del usuario se solicitan por la gerencia del usuario, aprobados por el responsable del sistema e implementado por la persona responsable de la seguridad. Las identidades del usuario y los derechos de acceso se mantienen en un repositorio central. Se despliegan técnicas efectivas en coste y procedimientos rentables, y se mantienen actualizados para establecer la identificación del usuario, realizar la autenticación y habil itar los derechos de acceso.

Plan

ear y

lle

var a

ca

bo

capa

cita

ción

sobr

e pl

anes

de

cont

inui

dad

de T

I.

DS4.

8 -

Recu

pera

ción

y

Rean

udac

ión

de

los

Serv

icio

s de

TI.

Planear las acciones a tomar durante el período en que TI está recuperando y reanudando los servicios. Esto puede representar la activación de sitios de respaldo, el inicio de procesamiento alternativo, la comunicación a clientes y a los

Plan

ear l

a re

cupe

raci

ón y

rean

udac

ión

de lo

s se

rvic

ios d

e TI

. *Es

tabl

ecer

los p

roce

dim

ient

os

para

llev

ar a

cab

o re

visio

nes p

ost r

eanu

daci

ón.

DS4.

9 - A

lmac

enam

ient

o de

Res

pald

os F

uera

de

las I

nsta

laci

ones

.

Almacenar fuera de las instalaciones todos los medios de respaldo, documentación y otros recursos de TI críticos, necesarios para la recuperación de TI y para los planes de continuidad del negocio. El contenido de los respaldos a almacenar debe determinarse en conjunto entre los responsables de los procesos de negocio y el personal de TI. La administración del sitio de almacenamiento externo a las instalaciones, debe apegarse a la política de clasificación de datos y a las prácticas de almacenamiento de datos de la empresa. La gerencia de TI debe asegurar que los acuerdos con sitios externos sean evaluados periódicamente, al menos una vez por año, respecto al contenido, a la protección ambiental y a la seguridad. Asegurarse de la compatibil idad del hardware y del software para poder recuperar los datos archivados y periódicamente probar y renovar los datos archivados.

C O B I T D

S4 –

Gar

anti

zar l

a co

ntin

uida

d de

l ser

vici

o


Prob

ar re

gula

rmen

te e

l pla

n de

co

ntin

uida

d de

TI.

DS4.

6 - E

ntre

nam

ient

o de

l Pla

n de

Co

ntin

uida

d de

TI. Asegurarse de que todos las partes involucradas reciban

sesiones de habil itación de forma regular respecto a los procesos y sus roles y responsabil idades en caso de incidente o desastre. Verificar e incrementar el entrenamiento de acuerdo con los resultados de las pruebas de contingencia.

111

DO

MIN

IO

PRO

CESO

S

ACT

IVID

AD

ES D

EL

PRO

CESO

OBJ

ETIV

OS

DE

CON

TRO

L


CALI

FICA

CIÓ

N

1.- ¿Se garantiza que la implementación de la seguridad en TI sea probaday monitoreada de forma pro-activa?

En un 20 %. El administrador de la redmonitorea como está la red, los enlaces y elperimetro.

0,20

2.- ¿La seguridad en TI se reacreditada periódicamente para garantizar que se mantiene el nivel seguridad aprobado?

Una parte lo maneja TI a través de los softwares de gestión y monitoreo y otra parte

1,00

Impl

emen

tar y

m

ante

ner

cont

role

s té

cnic

os y

de

proc

edim

ient

os

para

pro

tege

r el

flujo

de

info

rmac

ión

a tr

avés

de

la re

d

DS5.

6 - D

efin

ició

n de

Inci

dent

e de

Se

gurid

ad. Definir claramente y comunicar las características de

incidentes de seguridad potenciales para que puedan ser clasificados propiamente y tratados por el proceso de gestión de incidentes y problemas.

1.- ¿Se define claramente las características de incidentes de seguridadpara que puedan ser clasificados propiamente por el proceso de gestiónde incidentes?

No. Se está trabajando en el plan decontingencia. Si hay mal uso en la red, loprimero que se hace es bloquear el problemay comunicar al jefe y se toman medidascorrectivas. No hay procedimientoestablecido.

0,00

Real

izar

eval

uaci

ones

de

vu

lner

abili

dad

de m

ener

a re

gula

r.

DS5.

7 -

Prot

ecci

ón d

e la

Tec

nolo

gía

de S

egur

idad

.

Garantizar que la tecnología relacionada con la seguridad sea resistente al sabotaje y no revele documentación de seguridad innecesaria.

1.- ¿Se garantiza que la tecnología relacionada con la seguridad searesistente al sabotaje?

Si. No tienen problemas con eso a pesar deque no hay sotfware que revise cadadocumento o correo, no tienen ese tipo deseguridad solo lo que es interno. Está enproyecto.

0,50

Impl

emen

tar y

m

ante

ner c

ontr

oles

té

cnic

os y

de

proc

edim

ient

os

para

pro

tege

r el

flujo

de

info

rmac

ión

a tr

avés

de

la re

d.

DS5.

8 -

Adm

inist

raci

ón d

e Lla

ves

Crip

togr

áfic

as. Determinar que las políticas y procedimientos para organizar

la generación, cambio, revocación, destrucción, distribución, certificación, almacenamiento, captura, uso y archivo de l laves criptográficas estén implantadas, para garantizar la protección de las l laves contra modificaciones y divulgación no autorizadas.

1.- ¿Se determinan politicas de procedimientos para garantizar laproteccion de las llaves contra modificaciones o divulgaciones noautorizadas?

Trabajan con seguridad de encriptación WPA.En la mayoria de los casos encriptan lainformación.

1,00

1.- ¿La empresa cuenta con medidas preventivas en toda la organizaciónpara proteger los sistemas de la información de TI?

Util izan Kapersky y a través de la consolacontrolan como va el tema de los virus. Elsistema es bastante completo. Es una consolade las mejores y mas costosas que da informeen tiempo real de cómo está la protección dela red.

1,00

2.- ¿La empresa cuenta con medidas detectivas en toda la organizaciónpara proteger los sistemas de la información de TI?

Si. 1,00

3.- ¿La empresa cuenta con medidas correctivas en toda la organizaciónpara proteger los sistemas de la información de TI?

Si, 1,00

Real

izar

eval

uaci

ones

de

vu

lner

abili

dad

de m

ener

a re

gula

r.

DS5.

10 -

Segu

ridad

de

la R

ed.

Uso de técnicas de seguridad y procedimientos de administración asociados (por ejemplo, firewalls, dispositivos de seguridad, segmentación de redes, y detección de intrusos) para autorizar acceso y controlar los flujos de información desde y hacia las redes.

1.- ¿La empresa usa técnicas de seguridad y procedimientos deadministración asociados para autorizar acceso y controlar los flujos deinformación hacia las redes?

Si. Routeadores, firewall estàn trabajandopara ver quienes pueden acceder a la red.Kapersky tambien tienen un firewall local yotro perimetral que siempre está trabajandoen la seguridad de acceso a la red.

1,00

1.- ¿Las transacciones de datos sensibles se intercambian a través de unaruta o medio con controles para proporcionar autenticidad de contenido?

Tienen un proxy para la web pero no tienenpara el correo electronico. 0,50

2.- ¿Las transacciones de datos sensibles se intercambian a través de unaruta o medio con controles para prueba de envío?

En parte. 0,50

3.- ¿Las transacciones de datos sensibles se intercambian a través de unaruta o medio con controles prueba de recepción?

En parte. 0,50

4.- ¿Las transacciones de datos sensibles se intercambian a través de unaruta o medio con controles para no repudio del origen?

En parte. 0,50

Map

ear l

a in

frae

stru

ctur

a co

n lo

s ser

vici

os

brin

dado

s/pr

oce

sos d

e ne

goci

o so

port

ados

.

DS6.

1 -

Defin

ició

n de

Se

rvic

ios.

Identificar todos los costos de TI y equipararlos a losservicios de TI para soportar un modelo de costostransparente. Los servicios de TI deben alinearse a losprocesos del negocio de forma que el negocio puedaidentificar los niveles de facturación de los serviciosasociados.

1.- ¿Se identifican todos los costos de TI para soportar un modelo decostos transparente?

Se identifican los costos en términos globalespor departamento pero no está detallado oclasificado. 0,50

Iden

tific

ar to

dos

los c

osto

s de

TI

(per

sona

s, te

cnol

ogía

, etc

) y

map

earlo

s a lo

s se

rvic

ios d

e TI

co

n ba

ses e

n co

stos

uni

tario

s.

DS6.

2 -

Cont

abili

zaci

ón

de T

I.

Registrar y asignar los costos actuales de acuerdo con elmodelo de costos definido. Las variaciones entre lospresupuestos y los costos actuales deben analizarse yreportarse de acuerdo con los sistemas de mediciónfinanciera de la empresa.

1.- ¿Se registra los costos actuales de acuerdo con el modelo de costosdefinido?

Si se lo registra.

1,00

1.- ¿Se define un modelo de costos de TI? Si. 1,002.- ¿El modelo de costos está alineado con los procedimientos decontabil ización de costos de la empresa?

Si. 1,00

3.- ¿Se garantiza que los cargos por servicios son identificables en elmodelo de costos de TI?

Si. 1,00

4.- ¿Se garantiza que los cargos por servicios son medibles en el modelode costos de TI?

Si. 1,00

5.- ¿Se garantiza que los cargos por servicios son predecibles por parte delos usuarios para propiciar el adecuado uso de recursos en el modelo decostos de TI ?

Si.1,00

6.- ¿La gerencia del usuario verifica el uso actual del modelo de costos deTI?

Si puede, pero necesitan un sistema de costeo. 0,50

7.- ¿La gerencia del usuario verifica los cargos de los servicios en elmodelo de costos de TI?

Si puede, pero necesitan un sistema de costeo. 0,50

1.- ¿Se revisa de forma regular lo apropiado del modelo decostos/recargos para mantener su relevancia para el negocio en evolución para las actividades de TI?

Si.1,00

2.- ¿Se compara de forma regular lo apropiado del modelo decostos/recargos para mantener su relevancia para el negocio en evolución para las actividades de TI?

Si.1,00

1.- ¿Se establece de forma regular un programa de entrenamiento paracada grupo objetivo de empleados?

Se lo està realizando pero no existe unprograma de entrenamiento. 0,00

2.- ¿Se actualiza de forma regular el programa de entrenamiento paracada grupo objetivo de empleados?


3.- ¿El programa de entrenamiento incluye estrategias y requerimientosactuales y futuros del negocio?

Si. 1,00

4.- ¿El programa de entrenamiento incluye valores corporativos? Si. 1,005.- ¿El programa de entrenamiento incluye la Implementación de nuevosoftware e infraestructura de TI?

Si incluye. (BAAN). 1,00

6.- ¿El programa de entrenamiento incluye habilidades, perfi les decompetencias y certificaciones actuales y/o credenciales necesarias?

Recursos Humanos elegirá a las personasindicadas.

0,00

7.- ¿El programa de entrenamiento incluye métodos de impartición? Si. 1,001.- ¿Se designa instructores de entrenamiento a los grupos objetivo? Si. 1,002.- ¿Se organiza el entrenamiento de los grupos objetivo con tiemposuficiente?

Si.

1,00

Iden

tific

ar y

cat

egor

izar l

as n

eces

idad

es

de c

apac

itaci

ón d

e lo

s usu

ario

s.

DS7.

1 - I

dent

ifica

ción

de

Nece

sidad

es d

e En

tren

amie

nto

y Ed

ucac

ión.

Establecer y actualizar de forma regular un programa de entrenamiento para cada grupo objetivo de empleados, que incluya:• Estrategias y requerimientos actuales y futuros del negocio.• Valores corporativos (valores éticos, cultura de control y seguridad, etc.)• Implementación de nuevo software e infraestructura de TI (paquetes y aplicaciones)• Habilidades, perfi les de competencias y certificaciones actuales y/o credenciales necesarias.• Métodos de impartición (por ejemplo, aula, web), tamaño del grupo objetivo, accesibil idad y tiempo.

Cons

trui

r un

prog

ram

a de

ca

paci

taci

ón.

DS7.

2 - I

mpa

rtic

ión

de

Entr

enam

ient

o y

Educ

ació

n.

Con base en las necesidades de entrenamiento identificadas,identificar: a los grupos objetivo y a sus miembros, a losmecanismos de impartición eficientes, a maestros,instructores y consejeros. Designar instructores y organizarel entrenamiento con tiempo suficiente. Debe tomarse notadel registro (incluyendo los prerrequisitos), la asistencia, yde las evaluaciones de desempeño.

DS7

– E

duca

r y e

ntre

nar a

usu

ario

s


DS5

– G

aran

tiza

r la

segu

rida

d de

los

sist

emas

Defin

ir, e

stab

lece

r y o

pera

r un

pro

ceso

de

adm

inist

raci

ón d

e id

entid

ad

(cue

ntas

).

DS5.

9 - P

reve

nció

n, D

etec

ción

y

Corr

ecci

ón d

e So

ftwar

e M

alic

ioso

. Poner medidas preventivas, detectivas y correctivas (en especial contar con parches de seguridad y control de virus

actualizados) en toda la organización para proteger los sistemas de la información y a la tecnología contra malware

(virus, gusanos, spyware, correo basura).

Revi

sar y

val

idar

pe

riódi

cam

ente

los

priv

ilegi

os y

der

echo

s de

acc

eso

de lo

s us

uario

s.

DS5.

11 -

Inte

rcam

bio

de

Dato

s Sen

sitiv

os.

Transacciones de datos sensibles se intercambian solo a través de una ruta o medio con controles para proporcionar

autenticidad de contenido, prueba de envío, prueba de recepción y no repudio del origen.

DS6

– Id

enti

ficar

y a

sign

ar c

osto

s

Esta

blec

er y

man

tene

r un

proc

eso

de

cont

rol d

e co

ntab

iliza

ción

de

TI y

de

cost

os.

DS6.

3 - M

odel

ació

n de

Cos

tos y

Car

gos.

Con base en la definición del servicio, definir un modelo de costos que incluya costos directos, indirectos y fi jos de los servicios, y que ayude al cálculo de tarifas de reintegros de cobro por servicio. El modelo de costos debe estar alineado con los procedimientos de contabil ización de costos de la empresa. El modelo de costos de TI debe garantizar que los cargos por servicios son identificables, medibles y predecibles por parte de los usuarios para propiciar el adecuado uso de recursos. La gerencia del usuario debe poder verificar el uso actual y los cargos de los servicios.

Esta

blec

er y

m

ante

ner

proc

edim

ient

os y

po

lític

as d

e fa

ctur

ació

n.

DS6.

4 -

Man

teni

mie

nto

del M

odel

o de

Co

stos

. Revisar y comparar de forma regular lo apropiado del modelo de costos/recargos para mantener su relevancia para el

negocio en evolución y para las actividades de TI.

C O B I T

Esta

blec

er y

man

tene

r pr

oced

imie

ntos

par

a m

ante

ner y

sa

lvag

uard

ar la

s lla

ves

crip

togr

áfic

as.

DS5.

5 - P

rueb

as, V

igila

ncia

y

Mon

itore

o de

la S

egur

idad

.

Garantizar que la implementación de la seguridad en TI sea probada y monitoreada de forma pro-activa. La seguridad en TI debe ser reacreditada periódicamente para garantizar que se mantiene el nivel seguridad aprobado. Una función de ingreso al sistema (logging) y de monitoreo permite la detección oportuna de actividades inusuales o anormales que pueden requerir atención.

112

DO

MIN

IO

PRO

CESO

S

ACT

IVID

AD

ES D

EL

PRO

CESO

OBJ

ETIV

OS

DE

CON

TRO

L


CALI

FICA

CIÓ

N

1.- ¿Se evalúa el contenido del entrenamiento al finalizar la capacitaciónrespecto a la relevancia?

Se está armando el plan de capacitación y seva a seleccionar por cada gerencia usuariosclaves para capacitarlos.

0,00

2.- ¿Se evalúa el contenido del entrenamiento al finalizar la capacitaciónrespecto a la calidad?

No. 0,00

3.- ¿Se evalúa el contenido del entrenamiento al finalizar la capacitaciónrespecto a la efectividad?

No. 0,00

4.- ¿Se evalúa el contenido del entrenamiento al finalizar la capacitaciónrespecto a la percepción y retención del conocimiento?

No. 0,00

5.- ¿Se evalúa el contenido del entrenamiento al finalizar la capacitaciónrespecto al costo y valor?

No. 0,00

1.- ¿Existen procedimientos de monitoreo basados en los niveles deservicio acordados en los SLAs?

No hay procedimientos definidos. 0,00

2.- ¿Los procedimientos de monitoreo permiten clasificar cualquierproblema?

No, 0,00

3.- ¿Los procedimientos de monitoreo permiten priorizar cualquierproblema?

No. 0,00

4.- ¿Existen procedimientos de escalamiento basados en los niveles deservicio acordados en los SLAs, que permitan clasificar y priorizarcualquier problema?

No.0,00

5.- ¿Los procedimientos de escalamiento permiten clasificar cualquierproblema?

No. 0,00

6.- ¿Los procedimientos de escalamiento permiten priorizar cualquierproblema?

No. 0,00

7.- ¿Se mide la satisfacción del usuario final respecto a la calidad de lamesa de servicios de TI?

No lo hacen porque no les conviene. 0,00

8.- ¿Se mide la satisfacción del usuario final respecto a la calidad de losservicios de TI?

No lo hacen porque no les conviene. 0,00

1.- ¿Se cuenta con un sistema que permita el registro y rastreo dellamadas, incidentes, solicitudes de servicio y necesidades deinformación?

Si, se lo implementó recientemente. (Hace dosmeses). 1,00

2.- ¿El sistema trabaja estrechamente con los procesos de administraciónde incidentes?

Si. 1,00

3.- ¿El sistema trabaja estrechamente con los procesos de administraciónde problemas?

Si. 1,00

4.- ¿El sistema trabaja estrechamente con los procesos de administraciónde cambios?

Si. 1,00

5.- ¿El sistema trabaja estrechamente con los procesos de administraciónde capacidad?

Si. 1,00

6.- ¿El sistema trabaja estrechamente con los procesos de administraciónde disponibil idad?

Si. 1,00

7.- ¿Se mantiene informado a los clientes sobre el estatus de susconsultas?

Si. 1,00

1.- ¿Existen procedimientos de mesa de servicios? No existen procedimientos bien elaborados. 0,002.- ¿Se escalan apropiadamente los incidentes que no pueden resolversede forma inmediata de acuerdo con los l ímites acordados en el SLA?

No. 0,00

3.- Se garantiza que la asignación de incidentes permanece en la mesa deservicios?

No.

0,00

1.- ¿Existen procedimientos para el monitoreo puntual de la resolución deconsultas de los clientes?

No. 0,00

2.- ¿Cuándo se resuelve el incidente la mesa de servicios registra la causaraíz, sí la conoce?

No. 0,00

3.- ¿Cuándo se resuelve el incidente la mesa de servicios confirma que laacción tomada fue acordada con el cl iente?

No. 0,00

1.- ¿Se emiten los reportes de la actividad de la mesa de servicios a lagerencia?

Solo se lo emite como informativo. 0,50

2.- ¿Los reportes emitidos por la mesa de servicios permite a la gerenciamedir el desempeño del servicio y los tiempos de respuesta?

Solo se lo emite como informativo.0,50

1.- ¿Existe una herramienta de soporte que contenga toda la informaciónrelevante sobre los elementos de configuración?

No. 0,00

2.- ¿Existe un repositorio central que contenga toda la informaciónrelevante sobre los elementos de configuración?

No. 0,00

3.- ¿Se monitorean todos los activos y los cambios a los activos? En parte. 0,504.- ¿Se graban todos los activos y los cambios a los activos? En parte. 0,501.- ¿Existen procedimientos de configuración? No. 0,002.- ¿El procedimiento soporta todos los cambios al repositorio deconfiguración?

No. 0,00

3.- ¿Está integrado el procedimiento de configuración con la gestión decambios?

No. 0,00

4.- ¿Está integrado el procedimiento de configuración con la gestión deincidentes?

No. 0,00

5.- ¿Está integrado el procedimiento de configuración con la gestión deproblemas?

No. 0,00

1.- ¿Se revisan periódicamente los datos de configuración para verificar la integridad de la configuración actual e histórica?

No. Solo en parte. No existe un procediemtoformal o establecido.

0,00

2.- ¿Se revisan periódicamente los datos de configuración para confirmarla integridad de la configuración actual e histórica?

No. 0,00

3.- ¿Se revisa periódicamente el software instalado contra la política deuso de software personal o no licenciado o cualquier otra instancia desoftware en exceso del contrato de l icenciamiento actual?

Si. Se lo revisa cada seis meses cuando sehace el mantenimiento de equipos. 1,00

1.- ¿Existen procesos para reportar problemas que han sido identificadoscomo parte de la administración de incidentes?

No.0,00

2.- ¿Existen procesos para clasificar problemas que han sidoidentificados como parte de la administración de incidentes?

No.

0,00

1.- ¿Se cuenta con un sistema de administración de problemas? No. 0,002.- ¿El sistema mantiene pistas de auditoría que pemita rastrear la causaraíz de todos los problemas reportados?

No. 0,00

3.- ¿El sistema mantiene pistas de auditoría que pemita analizar la causaraíz de todos los problemas reportados?

No. 0,00

4.- ¿El sistema mantiene pistas de auditoría que pemita determinar lacausa raíz de todos los problemas reportados?

No. 0,00

Real

izar

act

ivid

ades

de

capa

cita

ción

, int

rusi

ón y

co

ncie

ncia

ción

. *Ll

evar

a c

abo

eval

uaci

ones

de

capa

cita

ción

. *I

dent

ifica

r y

eval

uar

los

mej

ores

mét

odos

y h

erra

mie

ntas

pa

ra im

part

ir la

cap

acita

ción

.

DS7

.3 E

valu

ació

n de

l En

tren

amie

nto

Reci

bido

.

Al finalizar el entrenamiento, evaluar el contenido del entrenamiento respecto a la relevancia, calidad, efectividad, percepción y retención del conocimiento, costo y valor. Los

resultados de esta evaluación deben contribuir en la definición futura de los planes de estudio y de las sesiones de

entrenamiento.

C O B I T D

S7 –

Edu

car

y en

tren

ar a

us

uari

osD

S8 –

Adm

inis

trar

la m

esa

de s

ervi

cio

y lo

s in

cide

ntes

Crea

r pr

oced

imie

ntos

de

clas

ifica

ción

(sev

erid

ad e

im

pact

o) y

de

esca

lam

ient

o (f

unci

onal

y

jerá

rqui

cos)

.

DS8

.1 -

Mes

a de

Ser

vici

os.

Establecer la función de mesa de servicio, la cual es la conexión del usuario con TI, para registrar, comunicar, atender y analizar todas las l lamadas, incidentes reportados, requerimientos de servicio y solicitudes de información. Deben existir procedimientos de monitoreo y escalamiento basados en los niveles de servicio acordados en los SLAs, que permitan clasificar y priorizar cualquier problema reportado como incidente, solicitud de servicio o solicitud de información. Medir la satisfacción del usuario final respecto a la calidad de la mesa de servicios y de los servicios de TI

Det

ecta

r y

regi

stra

r in

cide

ntes

/sol

icitu

des

de

serv

icio

/sol

icitu

des

de in

form

ació

n.

DS8

.2 -

Regi

stro

de

Cons

ulta

s de

Clie

ntes

.

Establecer una función y sistema que permita el registro y rastreo de l lamadas, incidentes, solicitudes de servicio y

necesidades de información. Debe trabajar estrechamente con los procesos de administración de incidentes,

administración de problemas, administración de cambios, administración de capacidad y administración de

disponibil idad. Los incidentes deben clasificarse de acuerdo al negocio y a la prioridad del servicio y enrutarse al equipo

de administración de problemas apropiado y se debe mantener informados a los clientes sobre el estatus de sus

consultas.

Clas

ifica

r, in

vest

igar

y

diag

nost

icar

con

sulta

s.

DS8

.3 -

Esca

lam

ient

o de

In

cide

ntes

.

Establecer procedimientos de mesa de servicios de maneraque los incidentes que no puedan resolverse de formainmediata sean escalados apropiadamente de acuerdo conlos límites acordados en el SLA (niveles de servicio) y, si esadecuado, brindar soluciones alternas. Garantizar que laasignación de incidentes y el monitoreo del ciclo de vidapermanecen en la mesa de servicios, independientemente dequé grupo de TI esté trabajando en las actividades deresolución.

Reso

lver

, re

cupe

rar

y ce

rrar

in

cide

ntes

. *H

acer

rep

orte

s pa

ra la

ger

enci

a.

DS8

.4 -

Cier

re d

e In

cide

ntes

. Establecer procedimientos para el monitoreo puntual de la resolución de consultas de los clientes. Cuando se resuelve el incidente la mesa de servicios debe registrar la causa raíz, si

la conoce, y confirmar que la acción tomada fue acordada con el cl iente.

Info

rmar

a

usua

rios

(por

ej

empl

o,

actu

aliz

acio

nes

de e

stat

us)

DS8

.5 -

Aná

lisis

de

Tend

enci

as. Emitir reportes de la actividad de la mesa de servicios para

permitir a la gerencia medir el desempeño del servicio y los tiempos de respuesta, así como para identificar tendencias de

problemas recurrentes de forma que el servicio pueda mejorarse de forma continua.

Iden

tific

ar y

cla

sific

ar

prob

lem

as.

DS1

0.1

- Ide

ntifi

caci

ón y

Cl

asifi

caci

ón d

e Pr

oble

mas

.

Implementar procesos para reportar y clasificar problemas que han sido identificados como parte de la administración de incidentes. Los pasos involucrados en la clasificación de

problemas son similares a los pasos para clasificar incidentes; son determinar la categoría, impacto, urgencia y

prioridad. Los problemas deben categorizar se de manera apropiada en grupos o dominios relacionados (por ejemplo,

hardware, software, software de soporte). Estos grupos pueden coincidir con las responsabil idades organizacionales

o con la base de usuarios y cl ientes, y son la base para asignar los problemas al personal de soporte.

Real

izar

aná

lisis

de

caus

a ra

íz.

DS1

0.2

- Ras

treo

y

Reso

luci

ón d

e Pr

oble

mas

.

El sistema de administración de problemas debe mantener pistas de auditoría adecuadas que permitan rastrear,

analizar y determinar la causa raíz de todos los problemas reportados considerando:

• Todos los elementos de configuración asociados• Problemas e incidentes sobresalientes

• Errores conocidos y sospechados• Seguimiento de las tendencias de los problemas

DS1

0 –

Adm

inis

trar

los

prob

lem

as


DS9

– A

dmin

istr

ar la

con

figur

ació

n

Des

arro

llar

proc

edim

ient

os d

e pl

anea

ción

de

adm

inis

trac

ión

de

la c

onfig

urac

ión.

*A

ctua

lizar

el

repo

sito

rio

de

conf

igur

ació

n.

DS9

.1 -

Repo

sito

rio

y Lí

nea

Base

de

Conf

igur

ació

n.

Establecer una herramienta de soporte y un repositorio central que contenga toda la información relevante sobre los elementos de configuración. Monitorear y grabar todos los activos y los cambios a los activos. Mantener una l ínea base de los elementos de la configuración para todos los sistemas y servicios como punto de comprobación al que volver tras el cambio.

Reco

pila

r in

form

ació

n so

bre

la c

onfig

urac

ión

inic

ial y

est

able

cer

línea

s ba

se.

DS9

.2 -

Iden

tific

ació

n y

Man

teni

mie

nto

de

Elem

ento

s de

Co

nfig

urac

ión. Establecer procedimientos de configuración para soportar la

gestión y rastro de todos los cambios al repositorio de configuración. Integrar estos procedimientos con la gestión

de cambios, gestión de incidentes y procedimientos de gestión de problemas.

Veri

ficar

y a

udita

r la

info

rmac

ión

de la

co

nfig

urac

ión

(incl

uye

la

dete

cció

n de

l so

ftw

are

no

auto

riza

do).

DS9

.3 -

Revi

sión

de

Inte

grid

ad d

e la

Co

nfig

urac

ión.

Revisar periódicamente los datos de configuración para verificar y confirmar la integridad de la configuración actual e histórica. Revisar periódicamente el software instalado contra la política de uso de software para identificar software personal o no l icenciado o cualquier otra instancia de software en exceso del contrato de l icenciamiento actual. Reportar, actuar y corregir errores y desviaciones.

113

DO

MIN

IO

PRO

CESO

S

ACT

IVID

AD

ES D

EL

PRO

CESO

OBJ

ETIV

OS

DE

CON

TRO

L


CALI

FICA

CIÓ

N

Reso

lver

pr

oble

mas

. *R

evis

ar e

l es

tatu

s de

pr

oble

mas

. *M

ante

ner

regi

stro

s de

los

prob

lem

as

DS1

0.3

- Cie

rre

de P

robl

emas

.

Disponer de un procedimiento para cerrar registros de problemas ya sea después de confirmar la eliminación exitosa del error conocido o después de acordar con el negocio cómo manejar el problema de manera alternativa.

1.- ¿Existe un procedimiento para cerrar registros de problemas? No.

0,00

1.- ¿Se garantiza una adecuada administración de problemas? No. 0,002.- ¿Se garantiza una adecuada administración de incidentes? No. 0,003.- ¿Se monitorea cuánto esfuerzo se aplica en apagar fuegos? No. 0,004.- ¿Se mejora los procesos de administración de cambios,configuración yproblemas para minimizar los problemas?

No.

0,00

1.- ¿Se verifica que todos los datos que se espera procesar se recibancompletamente, de forma precisa y a tiempo?

Se cumple pero no en un 100% 0,50

2.- ¿Se verifica que todos los datos que se espera procesar se procesancompletamente, de forma precisa y a tiempo?

Se cumple pero no en un 100% 0,50

3.- ¿Las necesidades de reinicio están soportadas? No. 0,004.- ¿Las necesidades de reproceso están soportadas? No. 0,001.- ¿Existen procedimientos para el archivo de los datos? No. Esto se cumple en una pequeña parte

cuando se hace mantenimiento se respalda loque el usuario indica. Pero en caso deemergencia no tienen alcamacenada lainformación para recuperarlainmediatamente.

0,50

2.- ¿Existen procedimientos para el almacenaniento de los datos? Ver respuesta anterior. 0,503.- ¿Existen procedimientos para la retención de los datos? Ver respuesta anterior. 0,501.- ¿Existen procedimientos para mantener un inventario de mediosalmacenados?

No. Se lo hace empíricamente. 0,00

2.- ¿Existen procedimientos para mantener un inventario de mediosarchivados?

No. 0,00

3.- ¿Se aseguran de la usabil idad e integridad de los medios? No. 0,00

1.- ¿Existen procedimientos para la protección de datos sensitivos queaseguren los requerimientos del negocio?

No hay procedimientos. 0,00

2.- ¿Existen procedimientos para la protección del software que asegurenlos requerimientos del negocio?

No. 0,00

1. ¿Existen procedimientos de respaldo de los sistemas en línea alineadocon los requerimientos de negocio y el plan de continuidad?

Existen un procedimiento pero no estádocumentado.

0,50

2. ¿Existen procedimientos de respaldo de las aplicaciones en líneaalineado con los requerimientos de negocio y el plan de continuidad?


0,50

3. ¿Existen procedimientos de respaldo de los datos en línea alineado conlos requerimientos de negocio y el plan de continuidad?


0,50

4. ¿Existen procedimientos de respaldo de la documentación en líneaalineado con los requerimientos de negocio y el plan de continuidad?


0,50

1.- ¿Existen procedimientos para identificar los requerimientos deseguridad aplicables al recibo?

No hay procedimientos.0,00

2.- ¿Existen procedimientos para aplicar los requerimientos de seguridadaplicables al recibo?

No.0,00

1.- ¿Se define los centros de datos físicos para el equipo de TI? Están Implícitos en el proceso porque soloestán aquí. En las otras partes no hay, solo selo maneja en forma remota.

1,00

2.- ¿Se selecciona los centros de datos físicos para el equipo de TI? Si. 1,003.- ¿Se soporta la estrategia de tecnología ligada a la estrategia delnegocio?

Si por medio del plan estrátegico. 1,00

4.- ¿La selección de un centro de datos toma en cuenta el riesgo asociadocon desastres naturales y causados por el hombre?

Se tienen identificado los desastres en el datacenter.

0,50

5.- ¿El diseño del esquema de un centro de datos toma en cuenta el riesgoasociado con desastres naturales y causados por el hombre?

Se tienen identificado los desastres en el datacenter.

0,50

6.- ¿Se considera las leyes y regulaciones correspondientes, tales comoregulaciones de seguridad y de salud en el trabajo?

Si, por medio del comitè de salud y seguridaden el trabajo.

1,00

1.- ¿Existen medidas de seguridad físicas alineadas con losrequerimientos del negocio?

Si pero falta implementar medidas deseguridad física.

0,50

2.- ¿Se establecen las responsabil idades sobre el monitoreo? Si. 1,003.- ¿Se establecen las responsabil idades sobre los procedimientos dereporte?

Si. 1,00

4.- ¿Se establecen las responsabil idades sobre la resolución de incidentesde seguridad física?

Si.

1,00

1.- ¿Existen procedimientos para otorgar el acceso a locales, edificios yáreas de acuerdo con las necesidades del negocio, incluyendo lasemergencias?

Si.1,00

2.- ¿Existen procedimientos para limitar el acceso a locales, edificios yáreas de acuerdo con las necesidades del negocio, incluyendo lasemergencias?

Si.1,00

3.- ¿Existen procedimientos para revocar el acceso a locales, edificios yáreas de acuerdo con las necesidades del negocio, incluyendo lasemergencias?

Si.1,00

1.- ¿Existen medidas de protección contra factores ambientales? Si. 1,002.- ¿ Existen dispositivos especializados para monitorear y controlar elambiente?

Si. 1,00

3- ¿ Existen equipos especializado para monitorear y controlar elambiente?

Si. 1,00

1.- ¿El equipo de comunicaciones está administrado de acuerdo con lasleyes y los reglamentos, los requerimientos técnicos y del negocio, lasespecificaciones del proveedor y los l ineamientos de seguridad y salud?

Falta implementar en ciertas áreas.0,50

2.- ¿El equipo de suministro de energía, esta administrado de acuerdo conlas leyes y los reglamentos, los requerimientos técnicos y del negocio, lasespecificaciones del proveedor y los l ineamientos de seguridad y salud?


1.- ¿Existen procedimientos estándar para operaciones de TI? Falta elaborar procedimientos. 0,002.- ¿El personal de operaciones está familiarizado con todas las tareas deoperación relativas a ellos?

Si.

1,00

Emiti

r re

com

enda

cion

es

para

mej

orar

y c

rear

un

a so

licitu

d de

ca

mbi

o re

laci

onad

a.

DS1

0.4

- Int

egra

ción

de

las

Adm

inis

trac

ione

s de

Ca

mbi

os,

Conf

igur

ació

n y

Prob

lem

as.

Para garantizar una adecuada administración de problemas e incidentes, integrar los procesos relacionados de administración de cambios, configuración y problemas. Monitorear cuánto esfuerzo se aplica en apagar fuegos, en lugar de permitir mejoras al negocio y, en los casos que sean necesarios, mejorar estos procesos para minimizar los problemas.

C O B I T D

S10

– A

dmin

istr

ar lo

s pr

oble

mas


DS1

1 –

Adm

inis

trar

los

dato

s

Trad

ucir

los

requ

erim

ient

os d

e al

mac

enam

ient

o y

cons

erva

ción

a

proc

edim

ient

os.

DS1

1.1

- Re

quer

imie

ntos

de

l Neg

ocio

par

a A

dmin

istr

ació

n de

D

atos

.

Verificar que todos los datos que se espera procesar se reciben y procesan completamente, de forma precisa y a tiempo, y que todos los resultados se entregan de acuerdo a los requerimientos de negocio. Las necesidades de reinicio y reproceso están soportadas.

Def

inir

, man

tene

r e

impl

emen

tar

proc

edim

ient

os p

ara

adm

inis

trar

libr

ería

s de

m

edio

s.

DS1

1.2

- Acu

erdo

s de

A

lmac

enam

ient

o y

Cons

erva

ción

. Definir e implementar procedimientos para el archivo, almacenamiento y retención de los datos, de forma efectiva y eficiente para conseguir los objetivos de negocio, la política

de seguridad de la organización y los requerimientos regulatorios.

Def

inir

, m

ante

ner

e im

plem

enta

r pr

oced

imie

ntos

pa

ra d

esec

har

de fo

rma

segu

ra, m

edio

s y

equi

po.

DS1

1.3

- Si

stem

a de

A

dmin

istr

ació

n de

Lib

rerí

as d

e M

edio

s. Definir e implementar procedimientos para mantener un inventario de medios almacenados y archivados para

asegurar su usabil idad e integridad.

Resp

alda

r lo

s da

tos

de a

cuer

do

al

esqu

ema.

DS1

1.4

- El

imin

ació

n.

Definir e implementar procedimientos para asegurar que los requerimientos de negocio para la protección de datos

sensitivos y el software se consiguen cuando se eliminan o transfieren los datos y/o el hardware.

Def

inir

, man

tene

r e

impl

emen

tar

proc

edim

ient

os p

ara

rest

aura

ción

de

dato

s.

DS1

1.5

- Res

pald

o y

Rest

aura

ción

.

Definir e implementar procedimientos de respaldo y restauración de los sistemas, aplicaciones, datos y

documentación en l ínea con los requerimientos de negocio y el plan de continuidad.

Def

inir

, m

ante

ner

e im

plem

enta

r pr

oced

imie

nto

s pa

ra

rest

aura

ción

de

dat

os.

DS1

1.6

- Re

quer

imie

nto

s de

Seg

urid

ad

para

la

Adm

inis

trac

ión

de D

atos

.

Definir e implementar las políticas y procedimientos para identificar y aplicar los requerimientos de seguridad

aplicables al recibo, procesamiento, almacén y salida de los datos para conseguir los objetivos de negocio, las políticas

de seguridad de la organización y requerimientos regulatorios

DS1

2 –

Adm

inis

trar

el a

mbi

ente

físi

co

Def

inir

el n

ivel

req

ueri

do d

e pr

otec

ción

físi

ca.

DS1

2.1

- Sel

ecci

ón y

Dis

eño

del

Cent

ro d

e D

atos

.

Definir y seleccionar los centros de datos físicos para el equipo de TI para soportar la estrategia de tecnología l igada a la estrategia del negocio. Esta selección y diseño del esquema de un centro de datos debe tomar en cuenta el riesgo asociado con desastres naturales y causados por el hombre. También debe considerar las leyes y regulaciones correspondientes, tales como regulaciones de seguridad y de salud en el trabajo.

Sele

ccio

nar

y co

mis

iona

r el

si

tio (c

entr

o de

dat

os,

ofic

ina,

etc

).

DS1

2.2

- Med

idas

de

Segu

rida

d Fí

sica

.

Definir e implementar medidas de seguridad físicas alineadas con los requerimientos del negocio. Las medidas deben incluir, pero no l imitarse al esquema del perímetro de seguridad, de las zonas de seguridad, la ubicación de equipo crítico y de las áreas de envío y recepción. En particular, mantenga un perfi l bajo respecto a la presencia de operaciones críticas de TI. Deben establecerse las responsabil idades sobre el monitoreo y los procedimientos de reporte y de resolución de incidentes de seguridad física.

Impl

emen

tar

med

idas

de

ambi

ente

físi

co.

DS1

2.3

- Acc

eso

Físi

co.

Definir e implementar El acceso a locales, edificios y áreas debe justificarse, autorizarse, registrarse y monitorearse.

Esto aplica para todas las personas que accedan a las instalaciones, incluyendo personal, cl ientes, proveedores,

visitantes o cualquier tercera persona.

Adm

inis

trar

el

ambi

ente

fís

ico

(man

teni

mie

nto,

mon

itore

o y

repo

rtes

in

clui

dos)

.

DS1

2.4

- Pr

otec

ción

Co

ntra

Fa

ctor

es

Am

bien

tale

s.

Diseñar e implementar medidas de protección contra factores ambientales. Deben instalarse dispositivos y equipo especializado para monitorear y controlar el ambiente

Def

inir

e

impl

emen

tar

proc

esos

par

a m

ante

nim

ient

o y

auto

riza

ción

de

acce

so fí

sico

.

DS1

2.5

- A

dmin

istr

ació

n de

In

stal

acio

nes

Físi

cas.

Administrar las instalaciones, incluyendo el equipo de comunicaciones y de suministro de energía, de acuerdo con

las leyes y los reglamentos, los requerimientos técnicos y del negocio, las especificaciones del proveedor y los

l ineamientos de seguridad y salud.

DS1

3 –

Adm

inis

trar

las

oper

acio

nes

Crea

r/m

odifi

car

proc

edim

ient

os d

e op

erac

ión

(incl

uyen

do

man

uale

s, p

lane

s de

ca

mbi

os, p

roce

dim

ient

os

de e

scal

amie

nto,

etc

).

DS1

3.1

- Pro

cedi

mie

ntos

e

Inst

rucc

ione

s de

O

pera

ción

.

Definir, implementar y mantener procedimientos estándar para operaciones de TI y garantizar que el personal de operaciones está familiarizado con todas las tareas de

operación relativas a ellos. Los procedimientos de operación deben cubrir los procesos de entrega de turno (transferencia formal de la actividad, estatus, actualizaciones, problemas de operación, procedimientos de escalamiento, y reportes sobre las responsabil idades actuales) para garantizar la

continuidad de las operaciones.

114

DO

MIN

IO

PRO

CESO

S

ACT

IVID

AD

ES D

EL

PRO

CESO

OBJ

ETIV

OS

DE

CON

TRO

L


CALI

FICA

CIÓ

N

1.- ¿La programacion de trabajos está organizado de una manera maseficiente, maximizando el desempeño y la util izacion para cumplir con losrequerimientos del negocio?

Si, para eso se aplica el PHVA (Planear, Hacer,Verificar y Actuar). 1,00

2.- ¿La programacion de procesos esta organizado de una manera maseficiente, maximizando el desempeño y la util izacion para cumplir con losrequerimientos del negocio?

Si.1,00

3.- ¿La programacion de tareas esta organizado de una manera maseficiente, maximizando el desempeño y la util izacion para cumplir con losrequerimientos del negocio?

Si.1,00

1.- ¿Existen procedimientos para monitorear la infraestructura de TI? No está claramente, se lo hace empíricamenteporque no esta definido.

0,00

2.- ¿Existen procedimientos para monitorear los eventos relacionados? No.

0,00

1.- ¿Existen resguardos físicos sobre los activos de TI más sensitivos talescomo formas, instrumentos negociables, impresoras de uso especial odispositivos de seguridad?

No, solo en parte.0,50

2.- ¿Existen prácticas de registros sobre los activos de TI más sensitivostales como formas, instrumentos negociables, impresoras de uso especialo dispositivos de seguridad?


3.- ¿Existe una administración de inventarios adecuados sobre los activosde TI más sensitivos tales como formas, instrumentos negociables,impresoras de uso especial o dispositivos de seguridad?


1.- ¿Existen procedimientos para garantizar el mantenimiento oportuno dela infraestructura?

Si.

1,00

2.- ¿Existen procedimientos para reducir la frecuencia y el impacto de lasfallas de la infraestructura?

Si.

1,00

3.- ¿Existen procedimientos para reducir la disminución del desempeño dela infraestructura?

Si.

1,00

1.- ¿Se establece un marco de trabajo de monitoreo general que definan elalcance, la metodología y el proceso a seguir para medir la solución y laentrega de servicios de TI?

No hay.0,00

2.- ¿Se establece un enfoque que definan el alcance, la metodología y elproceso a seguir para medir la solución y la entrega de servicios de TI?

No hay. 0,00

3.- ¿Se monitorea la contribución de TI al negocio? No hay. 0,004.- ¿Se integra el marco de trabajo de TI con el sistema de administracióndel desempeño corporativo?

No hay. 0,00

1.- ¿Se definen un conjunto balanceado de objetivos de desempeño quevan acordes con las metas del negocio?

Si por medio del Balance Score Card, seregistran los indicadores.

1,00

2.- ¿Se aprueban los objetivos de desempeño de cada uno de los procesosde TI por la gerencia y otros interesados relevantes?

Si. 1,00

3.- ¿Se definen referencias con las que se compara los objetivos dedesempeño?

Si por medio del Balanced Scorecard, seregistran los indicadores.

1,00

4.- ¿Se identifican datos disponibles a recolectar para medir losobjetivos?

Si. 1,00

5.- ¿Se establecen procesos para recolectar información oportuna parareportar el avance contra las metas?

Si. 1,00

6.- ¿Se establecen procesos para recolectar información precisa parareportar el avance contra las metas?

Si. 1,00

1.- ¿Se garantiza la implantación de un método en el proceso demonitoreo?

Si. 1,00

2.- ¿El proceso de monitoreo brinda una visión sucinta desde todos losángulos del desempeño de TI, que se adapte al sistema de monitoreo de laempresa?

Si.1,00

1.- ¿Se comparan de forma periódica el desempeño contra las metas? Si por medio del Balanced Scorecard, seregistran los indicadores. 1,00

2.- ¿Se analiza la causa raíz para resolver las causas subyacentestomando las medidas correctivas?

Si por medio del Balanced Scorecard, seregistran los indicadores. 1,00

1.- ¿Existe una revisión administrativa de los reportes de desempeño delos recursos de TI?

Si, cada gerente revisa el BSC para tomar lasmedidas correctivas.

1,00

2.- ¿Los reportes de estatus incluyen el grado en el que se han alcanzadolos objetivos planeados?

Si.

3.- ¿Los reportes de estatus incluyen el grado en el que se han alcanzadolos entregables obtenidos?

Si. 1,00

4.- ¿Los reportes de estatus incluyen el grado en el que se han alcanzadolas metas de desempeño alcanzadas?

Si. 1,00

5.- ¿Los reportes de estatus incluyen el grado en el que se han alcanzadolos riesgos mitigados?

Si. 1,00

6.- ¿Durante la revisión de los reportes, se identifican cualquierdesviación respecto al desempeño esperado?

Si por medio del Balanced Scorecard, seregistran los indicadores.

1,00

7.- ¿Se inicia las medidas de administración adecuadas? Si.8.- ¿Se reporta las medidas de administración adecuadas? Si por medio del Balanced Scorecard, se

registran los indicadores.1,00

1.- ¿Se identifican e inician medidas correctivas basadas en el monitoreodel desempeño?

Si. 1,00

2.- ¿Se identifican e inician medidas correctivas basadas en laevaluación?

Si. 1,00

3.- ¿Se identifican e inician medidas correctivas basadas en reportes? Si. 1,004.- ¿En el seguimiento del monitoreo se incluye: a) Una revisión. b) La negociación. c) Establecimiento de respuestas de administración d) Asiganción de responsabil idades por la corrección. e) Rastreo de los resultados de las acciones comprometidas?

Si.

1,00

5.- ¿En el seguimiento de los reportes se incluye: a) Una revisión. b) La negociación. c) Establecimiento de respuestas de administración. d) Asignación de responsabil idades por la corrección. e) Rastreo de los resultados de las acciones comprometidas?

Si.

1,00

6.- ¿En el seguimiento de las evaluaciones se incluye: a) Una revisión. b) La negociación. c) Establecimiento de respuestas de administración. d) Asignación de responsabil idades por la corrección. e) Rastreo de los resultados de las acciones comprometidas?

Si.

1,00

Adm

inis

trar

y a

segu

rar

la

salid

a fís

ica

de

info

rmac

ión

(rep

orte

s,

med

ios,

etc

).

DS1

3.4

- Doc

umen

tos

Sens

itivo

s y

Dis

posi

tivos

de

Sal

ida.

Establecer resguardos físicos, prácticas de registro y administración de inventarios adecuados sobre los activos

de TI más sensitivos tales como formas, instrumentos negociables, impresoras de uso especial o dispositivos de

seguridad.

Apl

icar

cam

bios

o a

rreg

los

al

prog

ram

a de

infr

aest

ruct

ura.

*I

mpl

emen

tar/

esta

blec

er u

n pr

oces

o pa

ra s

alva

guar

dar

los

disp

ositi

vos

de a

uten

ticac

ión

cont

ra

inte

rfer

enci

a, p

erdi

da o

rob

o.

*Pro

gram

ar y

llev

ar a

cab

o m

ante

nim

ient

o pr

even

tivo

DS1

3.5

- Man

teni

mie

nto

Prev

entiv

o de

l Har

dwar

e. Definir e implementar procedimientos para garantizar el mantenimiento oportuno de la infraestructura para reducir la frecuencia y el impacto de las fallas o de la disminución del

desempeño.

C O B I T M

E1 -

Mon

itor

ear y

Eva

luar

el D

esem

peño

de

TI.

Esta

blec

er e

l enf

oque

de

mon

itore

o.

ME1

.1 -

Enfo

que

del

Mon

itore

o.

Establecer un marco de trabajo de monitoreo general y un enfoque que definan el alcance, la metodología y el proceso a seguir para medir la solución y la entrega de servicios de TI, y Monitorear la contribución de TI al negocio. Integrar el marco

de trabajo con el sistema de administración del desempeño corporativo.

Iden

tific

ar y

rec

olec

tar

obje

tivos

m

edib

les

que

apoy

en a

los

obje

tivos

el n

egoc

io.

Pogr

amac

ión

de c

arga

s de

tr

abaj

o y

de p

rogr

amas

en

lote

.

DS1

3.2

- Pro

gram

ació

n de

Ta

reas

.

Organizar la programación de trabajos, procesos y tareas en la secuencia más eficiente, maximizando el desempeño y la

util ización para cumplir con los requerimientos del negocio. Deben autorizarse los programas iniciales así como los cambios a estos programas. Los procedimientos deben

implementarse para identificar, investigar y aprobar las salidas de los programas estándar agendados.

Mon

itore

ar la

in

frae

stru

ctur

a y

proc

esar

y r

esol

ver

prob

lem

as.

DS1

3.3

- Mon

itore

o de

la In

frae

stru

ctur

a de

TI.

Definir e implementar procedimientos para monitorear la infraestructura de TI y los eventos relacionados. Garantizar

que en los registros de operación se almacena suficiente información cronológica para permitir la reconstrucción,

revisión y análisis de las secuencias de tiempo de las operaciones y de las otras actividades que soportan o que

están alrededor de las operaciones.

ME1

.2 -

Def

inic

ión

y Re

cole

cció

n de

D

atos

de

Mon

itore

o. Trabajar con el negocio para definir un conjunto balanceado de objetivos de desempeño y tenerlos aprobados por el negocio y otros interesados relevantes. Definir referencias con las que comparar los objetivos, e identificar datos disponibles a recolectar para medir los objetivos. Se deben establecer procesos para recolectar información oportuna y precisa para reportar el avance contra las metas.

Crea

r cu

adro

de

man

dos.

ME1

.3 -

Mét

odo

de

Mon

itore

o. Garantizar que el proceso de monitoreo implante un método (Ej. Balanced Scorecard), que brinde una visión sucinta y

desde todos los ángulos del desempeño de TI y que se adapte al sistema de monitoreo de la empresa.

Eval

uar

el

dese

mpe

ño

ME1

.4 -

Eval

uaci

ón

del

Des

empe

ño.

Comparar de forma periódica el desempeño contra las metas, realizar análisis de la causa raíz e iniciar medidas correctivas para resolver las causas subyacentes.

Repo

rtar

el d

esem

peño

.

ME1

.5 -

Repo

rtes

al C

onse

jo D

irec

tivo

y a

Ejec

utiv

os.

Proporcionar reportes administrativos para ser revisados por la alta dirección sobre el avance de la organización hacia metas identificadas, específicamente en términos del desempeño del portafolio empresarial de programas de inversión habil itados por TI, niveles de servicio de programas individuales y la contribución de TI a ese desempeño. Los reportes de estatus deben incluir el grado en el que se han alcanzado los objetivos planeados, los entregables obtenidos, las metas de desempeño alcanzadas y los riesgos mitigados. Durante la revisión, se debe identificar cualquier desviación respecto al desempeño esperado y se deben iniciar y reportar las medidas de administración adecuadas.

ME1

.6 -

Acc

ione

s Co

rrec

tivas

.

Identificar e iniciar medidas correctivas basadas en el monitoreo del desempeño, evaluación y reportes. Esto incluye el seguimiento de todo el monitoreo, de los reportes y de las evaluaciones con: • Revisión, negociación y establecimiento de respuestas de administración. • Asignación de responsabil idades por la corrección. • Rastreo de los resultados de las acciones comprometidas.


DS1

3 –

Adm

inis

trar

las

oper

acio

nes

MONITOREAR Y EVALUAR

Iden

tific

ar y

mon

itore

ar la

s m

edid

as d

e m

ejor

a de

l des

empe

ño.

115

DO

MIN

IO

PRO

CESO

S

ACT

IVID

AD

ES D

EL

PRO

CESO

OBJ

ETIV

OS

DE

CON

TRO

L


CALI

FICA

CIÓ

N

1.- ¿Se monitorea de forma continua el ambiente de control de TI y elmarco de trabajo de control de TI para satisfacer los objetivosorganizacionales?

Si.1,00

2.- ¿Se compara el ambiente de control de TI y el marco de trabajo decontrol de TI para satisfacer los objetivos organizacionales?

Si. 1,00

3.- ¿Se mejora el ambiente de control de TI y el marco de trabajo de control de TI para satisfacer los objetivos organizacionales?

Si. 1,00

1.- ¿Se monitorea la eficiencia y efectividad de los controles internos derevisión de la gerencia de TI?

Si. AuditorÍa interna ejecuta las auditoríasinformáticas y ellos emiten un irforme de loque se debe mejorar.

1,00

2.- ¿Se evalúa la eficiencia y efectividad de los controles internos derevisión de la gerencia de TI?

Si. 1,00

1.- ¿Se identifican las excepciones de control? Si, se reunen con los usuarios de los procesosauditados.

1,00

2.- ¿Se analizan e identifican sus causas raíz subyacentes de lasexcepciones de control?

Si. 1,00

3.- ¿Se escalan las excepciones de control reportando a los interesadosapropiadamente?

Si. 1,00

4.- ¿Se establecen acciones correctivas necesarias para las excepcionesde control?

Si. 1,00

1.- ¿Se evalúa la completitud y efectividad de los controles de gerenciasobre los procesos de TI por medio de un programa continuo de auto-evaluación?

No, cuentan con un control de autoevaluación0,00

2.- ¿Se evalúa la completitud y efectividad de los controles de gerenciasobre las políticas de TI por medio de un programa continuo de auto-evaluación?

No.0,00

3.- ¿Se evalúa la completitud y efectividad de los controles de gerenciasobre los contratos de TI por medio de un programa continuo de auto-evaluación?

No tienen control de autoevaluación solo lasauditorías internas y externas. 0,00

1.- ¿Se obtiene un aseguramiento adicional de la completitud de loscontroles internos por medio de revisiones de terceros?

Si.1,00

2.- ¿Se obtiene un aseguramiento adicional de la efectividad de loscontroles internos por medio de revisiones de terceros?

Si.1,00

1.- ¿Se evalúa el estado de los controles internos de los proveedores deservicios externos?

Si, lo hace el Holding. 1,00

2.- ¿Se confirma que los proveedores de servicios externos cumplen conlos requerimientos legales?

Si. 1,00

3.- ¿Se confirma que los proveedores de servicios externos cumplen conlos requerimientos regulatorios?

Si. 1,00

4.- ¿Se confirma que los proveedores de servicios externos cumplen conlas obligaciones contractuales?

Si. 1,00

1.- ¿Se identifican acciones correctivas derivadas de los controles deevaluación y los informes?

Si. 1,00

2.- ¿Se inician acciones correctivas derivadas de los controles deevaluación y los informes?

Si. 1,00

3.- ¿Se rastrean acciones correctivas derivadas de los controles deevaluación y los informes?

Si. 1,00

4.- ¿Se implementan acciones correctivas derivadas de los controles deevaluación y los informes?

Si. 1,00

1.- ¿Se identifican, sobre una base continua, leyes locales einternacionales que se deben de cumplir para incorporar en las políticas,estándares, procedimientos y metodologías de TI de la organización?

Si.1,00

2.- ¿Se identifican, sobre una base continua, regulaciones que se deben decumplir para incorporar en las políticas, estándares, procedimientos ymetodologías de TI de la organización?

Si.1,00

3.- ¿Se identifican, sobre una base continua, otros requerimientosexternos que se deben de cumplir para incorporar en las políticas,estándares, procedimientos y metodologías de TI de la organización?

Si.1,00

1.- ¿Se revisan las políticas, estándares, procedimientos y metodologías de TI?

Si. 1,00

2.- ¿Se ajustan las políticas, estándares, procedimientos y metodologíasde TI?

Si. 1,00

3.- ¿Se garantizan que los requisitos legales son direccionados ycomunicados?

Si. 1,00

4.- ¿Se garantizan que los requisitos regulatorios son direccionados ycomunicados?

Si. 1,00

5.- ¿Se garantizan que los requisitos contractuales son direccionados ycomunicados?

Si. 1,00

1.- ¿Se verifica el cumplimiento de políticas de TI con los requerimientoslegales y regulatorios?

Si. 1,00

2.- ¿Se verifica el cumplimiento de los estándares de TI con losrequerimientos legales y regulatorios?

Si. 1,00

3.- ¿Se verifica el cumplimiento de los procedimientos de TI con losrequerimientos legales y regulatorios?

Si. 1,00

4.- ¿Se verifica el cumplimiento de las metodologías de TI con losrequerimientos legales y regulatorios?

Si. 1,00

1.- ¿Se obtiene una garantía de cumplimiento y adhesión a todas laspolíticas internas o requerimientos legales externos?

Si. Tratan de cumplir con todo lo que exige laley.

1,00

2.- ¿Se reporta una garantía de cumplimiento y adhesión a todas laspolíticas internas o requerimientos legales externos?

Si. 1,00

3.- ¿Se toman acciones correctivas para garantizar el cumplimiento de laspolíticas internas o requerimientos legales externos?

Si. 1,00

4.- ¿Se resuelve cualquier brecha de cumplimiento por el dueñoresponsable del proceso de forma oportuna?

Si. Se toman todas las medidas 1,00

1.- ¿Se integra los reportes de TI sobre requerimientos legales con lassalidas similares provenientes de otras funciones del negocio?

Si, por medio del departamento legal.1,00

2.- ¿Se integra los reportes de TI sobre requerimientos regulatorios con lassalidas similares provenientes de otras funciones del negocio?


3.- ¿Se integra los reportes de TI sobre requerimientos contractuales conlas salidas similares provenientes de otras funciones del negocio?


1.- ¿Se define el marco de gobierno de TI con la visión completa delentorno de control y Gobierno Corporativo?

Si se lo hace. 1,00

2.- ¿Se establece el marco de gobierno de TI con la visión completa delentorno de control y Gobierno Corporativo?

Si. 1,00

3.- ¿Se alinea el marco de gobierno de TI con la visión completa delentorno de control y Gobierno Corporativo?

Si. 1,00

4.- ¿Se basa el marco de trabajo en un adecuado proceso de TI? Si. 1,005.- ¿Se basa el marco de trabajo en un adecuado modelo de control? Si. 1,006.- ¿El marco de trabajo proporciona la rendición de cuentas y prácticasinequívocas para evitar una rotura en el control interno y la revisión?

Si. 1,00

7.- ¿Se aseguran que el marco de gobierno de TI está cumpliendo con lasleyes y regulaciones?

Si. 1,00

8.- ¿Se aseguran que el marco de gobierno de TI está alineado con lasleyes y regulaciones?

Si. 1,00

9.- ¿Se informa del estado y cuestiones de gobierno de TI? Si. 1,00

Esta

blec

er v

isibi

lidad

y fa

cilil

itaci

ón d

el

cons

ejo

y de

los e

jecu

tivos

hac

ia la

s ac

tivid

ades

de

TI.

ME4

.1 -

Esta

blec

imie

nto

de u

n M

arco

de

Gobi

erno

de

TI.

Definir, establecer y alinear el marco de gobierno de TI con la visión completa del entorno de control y Gobierno Corporativo. Basar el marco de trabajo en un adecuado proceso de TI y modelo de control y proporcionar la rendición de cuentas y prácticas inequívocas para evitar una rotura en el control interno y la revisión. Confirmar que el marco de gobierno de TI asegura el cumplimiento con las leyes y regulaciones y que esta alineado, y confirma la entrega de, la estrategia y objetivos empresariales. Informa del estado y cuestiones de gobierno de TI.

ME4

Pro

porc

iona

r Gob

iern

o de

TI

Identificar, iniciar, rastrear e implementar acciones correctivas derivadas de los controles de evaluación y los informes.

C O B I T M

E3 G

aran

tiza

r el C

umpl

imie

nto

Regu

lato

rio

Defin

ir y

ejec

utar

un

proc

eso

para

iden

tific

ar

los r

eque

rimie

ntos

le

gale

s, co

ntra

ctua

les

de

polít

icas

y re

gula

torio

s.

ME3

.1 -

Iden

tific

ar lo

s Re

quer

imie

ntos

de

las

Leye

s, Re

gula

cion

es y

Cu

mpl

imie

ntos

Co

ntra

ctua

les. Identificar, sobre una base continua, leyes locales e

internacionales, regulaciones, y otros requerimientos externos que se deben de cumplir para incorporar en las

políticas, estándares, procedimientos y metodologías de TI de la organización.

Eval

uar c

umpl

imie

nto

de

activ

idad

es d

e TI

con

po

lític

as, e

stán

dare

s y

proc

edim

ient

os d

e TI

.

ME3

.2 -

Opt

imiza

r la

Resp

uest

a a

Requ

erim

ient

os E

xter

nos.

Revisar y ajustar las políticas, estándares, procedimientos y metodologías de TI para garantizar que los requisitos legales, regulatorios y contractuales son direccionados y comunicados.

Crea

r cua

dro

de

man

dos.

ME3

.3 -

Eval

uaci

ón d

el

Cum

plim

ient

o co

n Re

quer

imie

ntos

Ex

tern

os.

Confirmar el cumplimiento de políticas, estándares, procedimientos y metodologías de TI con requerimientos

legales y regulatorios.

Brin

dar r

etro

al

imen

taci

ón p

ara

alin

ear l

as p

olíti

cas,

está

ndar

es y

pr

oced

imie

ntos

de

TI

con

los r

eque

rimie

ntos

de

cum

plim

ient

o.

ME3

.4 -

Aseg

uram

ient

o Po

sitiv

o de

l Cu

mpl

imie

nto.

Obtener y reportar garantía de cumplimiento y adhesión a todas las políticas internas derivadas de directivas internas

o requerimientos legales externos, regulatorios o contractuales, confirmando que se ha tomado cualquier

acción correctiva para resolver cualquier brecha de cumplimiento por el dueño responsable del proceso de forma

oportuna.

Inte

grar

los

repo

rtes

e T

I sob

re

los r

eque

rimie

ntos

re

gula

torio

s con

sim

ilare

s pr

oven

ient

es e

ot

ras f

unci

ones

de

l neg

ocio

.

ME3

.5 -

Repo

rtes

In

tegr

ados

.

Integrar los reportes de TI sobre requerimientos legales, regulatorios y contractuales con las salidas similares

provenientes de otras funciones del negocio.


ME2

Mon

itor

ear y

Eva

luar

el C

ontr

ol In

tern

o

Mon

itore

ar y

co

ntro

lar l

as

activ

idad

es d

e co

ntro

l int

erno

de

TI

ME2

.1 -

Mon

itoriz

ació

n de

l M

arco

de

Trab

ajo

de C

ontr

ol In

tern

o.

Monitorear de forma continua, comparar y mejorar el ambiente de control de TI y el marco de trabajo de control de

TI para satisfacer los objetivos organizacionales.

Crea

r cua

dro

de m

ando

s.

ME2

.2 -

Revi

sione

s de

Audi

toría

.Monitorear y evaluar la eficiencia y efectividad de los

controles internos de revisión de la gerencia de TI.

Mon

itore

ar e

l pro

ceso

pa

ra id

entif

icar

y

eval

uar l

as

exce

pcio

nes d

e co

ntro

l.

ME2

.3 -

Exce

pcio

nes d

e Co

ntro

l. Identificar las excepciones de control, y analizar e identificar sus causas raíz subyacentes. Escalar las excepciones de control y reportar a los interesados apropiadamente. Establecer acciones correctivas necesarias.

Mon

itore

ar e

l pro

ceso

de

auto

eva

luac

ión.

ME2

.4 -

Cont

rol d

e Au

to

Eval

uaci

ón.

Evaluar la completitud y efectividad de los controles de gerencia sobre los procesos, políticas y contratos de TI por

medio de un programa continuo de auto-evaluación.

Mon

itore

ar e

l pr

oces

o pa

ra

iden

tific

ar y

ev

alua

r y

rem

edia

r las

ex

cepc

ione

s de

con

trol

.

ME2

.5 -

Aseg

ura-

m

ient

o de

l Co

ntro

l In

tern

o. Obtener, según sea necesario, aseguramiento adicional de la completitud y efectividad de los controles internos por medio

de revisiones de terceros.

Mon

itore

ar e

l pro

ceso

pa

ra o

bten

er

aseg

uram

ient

o so

bre

los c

ontr

oles

ope

rado

s po

r ter

cero

s.

ME2

.6 -

Cont

rol I

nter

no

para

Ter

cero

s. Evaluar el estado de los controles internos de los proveedores de servicios externos. Confirmar que los proveedores de servicios externos cumplen con los requerimientos legales y regulatorios y obligaciones contractuales.

Repo

rtar

a lo

s in

tere

sado

s cla

ve.

ME2

.7 -

Acci

ones

Co

rrec

tivas

.

116

DO

MIN

IO

PR

OC

ES

OS

AC

TIV

IDA

DE

S D

EL

PR

OC

ES

O

OB

JET

IVO

S D

E

CO

NT

RO

L


CA

LIF

ICA

CIÓ

N

1.- ¿Se da a conocer al consejo directivo sobre temas estratégicos de TI? Solo en parte. 0,50

2.- ¿Se da a conocer a los ejecutivos sobre temas estratégicos de TI? Solo en parte. 0,503.- ¿Se garantiza que la contribución potencial de TI cumple con laestrategia del negocio?

No, solo en parte. 0,00

4.- ¿Se trabaja con el consejo directivo para definir organismos degobierno (tales como un comité estratégico de TI)?

No. 0,00

5.- ¿Se trabaja con el consejo directivo para implementar organismos degobierno (tales como un comité estratégico de TI)?

No. 0,00

6.- ¿Se brinda una orientación estratégica a la gerencia respecto a TI? Si. 1,007.- ¿Se facil ita la alineación de TI con el negocio en cuanto a estrategia yoperaciones?

No, solo en parte. 0,50

8.- ¿Se fomenta la co-responsabil idad entre el negocio y TI en la toma dedecisiones estratégicas y en la obtención de los beneficios provenientesde las inversiones habil itadas con TI?

No, solo en parte.

0,50

1.- ¿Se administra los programas de inversión habil itados con TI, así como otros activos y servicios de TI?

Si. 1,00

2.- ¿Se implementa un enfoque disciplinado de la administración delportafolio?

Si. 1,00

3.- ¿El departamento de TI garantiza la optimización de los costos por laprestación de servicios?

Si. 1,00

4.- ¿El departamento garantiza las capacidades de TI? Si. 1,001.- ¿Se revisa la inversión de TI por medio de evaluaciones periódicas? Si, por medio del presupuesto y el control

presupuestario. 1,00

2.- ¿Se revisa el uso de los activos de TI por medio de evaluacionesperiódicas?

Si.1,00

3.- ¿Se revisa la asignación de los activos de TI por medio de evaluacionesperiódicas?

Si.1,00

1.- ¿Se trabaja con el consejo directivo para definir el nivel de riesgo de TIaceptable por la empresa?

No.0,00

2.- ¿Se aseguran que el riesgo actual de TI no excede el riesgo aceptable dedirección?

No.0,00

3.- ¿Se introduce las responsabil idades de administración de riesgos en laorganización?

No.0,00

4.- ¿Se evalúan los riesgos relacionados con TI y su impacto? No.0,00

5.- ¿Se reportan los riesgos relacionados con TI y su impacto? No.0,00

1.- ¿Se verifica que los objetivos de TI cumple las expectativas de laempresa?

Si.1,00

2.- ¿Se informa a la alta dirección sobre los portafolios relevantes de TI? Si.1,00

3.- ¿Se informa a la alta dirección sobre los programas de TI? Si.1,00

4.- ¿Se informa a la alta dirección sobre el desempeño de TI? Si.1,00

1.- ¿Se garantiza de forma independiente la conformidad de TI con lalegislación de la organización?

Si. 1,00

2.- ¿Se garantiza de forma independiente la conformidad de TI con laspolíticas de la organización?

Si. 1,00

3.- ¿Se garantiza la efectividad del desempeño de TI? Si. 1,004.- ¿Se garantiza la eficiencia del desempeño de TI? Si. 1,00

ME

4 P

rop

orc

ion

ar

Go

bie

rno

de

TI


Re

vis

ar,

av

ala

r, a

lin

ea

r y

co

mu

nic

ar

el

de

sem

pe

ño

d

e T

I, l

a e

stra

teg

ia d

e T

I, e

l m

an

ejo

de

re

cu

rso

s y

ri

esg

os

de

TI

co

n r

esp

ec

to a

la

est

rate

gia

e

mp

resa

ria

l.

ME

4.2

- A

lin

ea

mie

nto

Est

raté

gic

o.

Facil itar el entendimiento del consejo directivo y de los ejecutivos sobre temas estratégicos de TI tales como el rol de TI, características propias y capacidades de la tecnología. Garantizar que existe un entendimiento compartido entre el negocio y la función de TI sobre la contribución potencial de TI a la estrategia del negocio. Trabajar con el consejo directivo para definir e implementar organismos de gobierno, tales como un comité estratégico de TI, para brindar una orientación estratégica a la gerencia respecto a TI, garantizando así que tanto la estrategia como los objetivos se distribuyan en cascada hacia las unidades de negocio y hacia las unidades de TI y que se desarrolle certidumbre y confianza entre el negocio y TI. Facil itar la alineación de TI con el negocio en lo referente a estrategia y operaciones, fomentando la co-responsabil idad entre el negocio y TI en la toma de decisiones estratégicas y en la obtención de los beneficios provenientes de las inversiones habil itadas con TI.

Cre

ar

cu

ad

ro

ma

nd

os.

ME

4.3

- E

ntr

eg

a d

e V

a Administrar los programas de inversión habil itados con TI, así como otros activos y servicios de TI, para asegurar que ofrezcan el mayor valor posible para apoyar la estrategia y los objetivos empresariales. Asegurarse de que los resultados de negocio esperados de las inversiones habil itadas por TI y el alcance completo del esfuerzo requerido para lograr esos resultados esté bien entendido, que se generen casos de

Re

solv

er

los

ha

lla

zgo

s d

e l

a e

va

lua

cio

ne

s in

de

pe

nd

ien

tes

y

ga

ran

tiza

r la

im

pla

nta

ció

n

po

r p

art

e d

e l

a g

ere

nc

ia d

e

las

rec

om

en

da

cio

ne

s a

co

rda

da

s.

ME

4.4

-

Ad

min

istr

ac

ión

de

R

ec

urs

os.

Revisar inversión, uso y asignación de los activos de TI por medio de evaluaciones periódicas de las iniciativas y

operaciones de TI para asegurar recursos y alineamiento apropiados con los objetivos estratégicos y los imperativos

de negocio actuales y futuros.

Ge

ne

rar

un

re

po

rte

de

go

bie

rno

d

e T

I.

ME

4.5

- A

dm

inis

tra

ció

n d

e

Rie

sgo

s.

Trabajar con el consejo directivo para definir el nivel de riesgo de TI aceptable por la empresa y obtener garantía

razonable que las practicas de administración de riesgos de TI son apropiadas para asegurar que el riesgo actual de TI no

excede el riesgo aceptable de dirección. Introducir las responsabil idades de administración de riesgos en la

organización, asegurando que el negocio y TI regularmente evalúan y reportan riesgos relacionados con TI y su impacto y

que la posición de los riesgos de TI de la empresa es transparente a los interesados.

Re

vis

ar,

av

ala

r, a

lin

ea

r y

c

om

un

ica

r e

l d

ese

mp

eñ

o d

e

TI,

la

est

rate

gia

de

TI,

el

ma

ne

jo d

e r

ec

urs

os

y

rie

sgo

s d

e T

I c

on

re

spe

cto

a

la e

stra

teg

ia e

mp

resa

ria

l.

ME

4.6

- M

ed

ició

n d

el

De

sem

pe

ño

.

Confirmar que los objetivos de TI confirmados se han conseguido o excedido, o que el progreso hacia las metas de TI cumple las expectativas. Donde los objetivos confirmados no se han alcanzado o el progreso no es el esperado, revisar

las acciones correctivas de gerencia. Informar a dirección los portafolios relevantes, programas y desempeños de TI,

soportados por informes para permitir a la alta dirección revisar el progreso de la empresa hacia las metas

identificadas.

Ge

ne

rar

un

re

po

rte

de

g

ob

iern

o d

e T

I.

ME

4.7

-

Ase

gu

ram

ien

to

Ind

ep

en

die

nte

. Garantizar de forma independiente (interna o externa) la conformidad de TI con la legislación y regulación relevante;

las políticas de la organización, estándares y procedimientos; practicas generalmente aceptadas; y la efectividad y

eficiencia del desempeño de TI.

C O B I T



117

4.1.2.1 EVALUACIÓN DEL DEPARTAMENTO DE SISTEMAS DE LA EMPRESA EP APLICANDO LA METODOLOGÍA COBIT 4.1

4.1.2.1.1 RESULTADOS FINALES OBTENIDOS

4.1.2.1.1.1 RESULTADO DE LA EVALUACIÓN DEL CUMPLIMIENTO A NIVEL GENERAL

Para obtener el resultado general de cumplimiento del departamento de sistemas con lo que indica la metodología COBIT se realizó las siguientes tablas de evaluación:

1. Evaluación por objetivos de control (Ver anexo # 2) se tomó en cuenta las siguientes columnas procesos, actividades de los procesos, objetivos de control, peso del objetivo y calificación porcentual del objetivo, donde se da un peso ponderado de acuerdo a la cantidad de objetivos de control de cada proceso y a su vez la calificación es el promedio de la sumatoria de los puntajes de cada objetivo de control expresándolo en porcentaje (%).

2. Evaluación por procesos (Ver anexo # 1) se consideró las siguientes columnas; dominios, procesos, cantidad de objetivos y calificación porcentual de cada proceso. En la columna cantidad de objetivos se ingresó el número de acuerdo a lo establecido en la metodología COBIT, para la calificación porcentual por procesos se realizó un enlace con la tabla de evaluación por objetivos de control multiplicando lo obtenido en la columna peso del objetivo por lo obtenido en la columna calificación porcentual del objetivo, a este resultado se le agrega la sumatoria de las celdas siguientes del objetivo de control.

3. Evaluación por dominio (Ver tabla # 6) se utilizó las columnas dominios, cantidad de procesos y calificación porcentual del dominio. En la columna cantidad de procesos se ingresó el número que aplica según la metodología COBIT y para la calificación porcentual del dominio se aplicó un promedio de la sumatoria de los valores porcentuales de cada uno de los procesos tomando como referencia el anexo # 1.

Para la conclusión del cuadro general de COBIT se determinó que el promedio de cumplimiento del departamento de sistemas es igual a: la multiplicación de las columna “cantidad de procesos” por “calificación porcentual del dominio” más las celdas siguientes del dominio, dividido para los 34 procesos que suman en la metodología utilizada.

De acuerdo a la decisión tomada de manera grupal se estandarizó para la evaluación general de COBIT, dominios, procesos y objetivos de control el porcentaje >=60%

118

para el cumplimiento aceptable y el porcentaje <60% para el cumplimiento no aceptable.

En la tabla y gráfico siguiente se detallan los valores obtenidos:

TABLA 6: EVALUACIÓN DEL CUMPLIMIENTO DEL DEPARTAMENTO

DE SISTEMAS A NIVEL GENERAL

EVALUACIÓN DEL CUMPLIMIENTO A NIVEL GENERAL

PROMEDIO CUMPLIMIENTO 62% PROMEDIO NO CUMPLIMIENTO 38%

GRÁFICO 1: EVALUACIÓN DEL CUMPLIMIENTO DEL DEPARTAMENTO DE SISTEMAS A NIVEL GENERAL



ANÁLISIS:

En el análisis de cumplimiento se verifica que el departamento de sistemas obtuvo

un porcentaje de 62% considerado como un nivel aceptable, con relación al modelo

de madurez de COBIT se lo ubicaría en el nivel 2 (Repetible).

El promedio de los procesos no cumplidos están relacionados en un 38%, es decir

que aún falta complementar el desarrollo de más políticas, procedimientos,

119

documentación, y capacitación al personal involucrado para controlar los procesos,

que permita reducir las brechas existentes con lo establecido por COBIT.

4.1.2.1.1.2 RESULTADO FINAL DE LA EVALUACIÓN POR DOMINIO

Para la evaluación por dominio se desarrolló la siguiente tabla y gráfico donde se

muestran los resultados de acuerdo a la aplicación del diagnóstico realizado de los

procesos respectivos.

TABLA 7: EVALUACIÓN POR DOMINIO

EVALUACIÓN POR DOMINIO DOMINIO # PROCESOS %

PLANEAR Y ORGANIZAR 10 68% ADQUIRIR E IMPLEMENTAR 7 69% ENTREGAR Y DAR SOPORTE 13 47% MONITOREAR Y EVALUAR 4 86%

GRÁFICO 2: EVALUACIÓN POR DOMINIO



120

ANÁLISIS:

Acorde a los resultados obtenidos se verifica que el de menor cumplimiento es el

dominio Entregar y Dar Soporte con un porcentaje de 47% lo que indica que el

departamento de sistemas no cumple en su totalidad con la entrega de los servicios

requeridos, que incluyen: prestación del servicio, administración de la seguridad,

continuidad y administración de los datos e instalaciones operativas.

4.1.2.1.1.3 RESULTADO FINAL DE LA EVALUACIÓN POR PROCESO

Para la evaluación final de los procesos de cada dominio se desarrolló la tabla

evaluación por procesos (Ver anexo # 1) cuyo resultado nos permite establecer los de

menor cumplimiento para realizar su respectivo análisis.

RESULTADO DE LOS PROCESOS DEL DOMINIO PLANEAR Y ORGANIZAR

Los resultados de los procesos del dominio Planear y Organizar se presentan en el

siguiente gráfico, con estos resultados se elaboró la tabla de evaluación por procesos

(Ver anexo # 1) para su posterior análisis:

GRÁFICO 3: PROCESOS DEL DOMINIO PLANEAR Y ORGANIZAR



121

ANÁLISIS:

A continuación se presenta un análisis detallado de los procesos de menor

cumplimiento del dominio planear y organizar:

• Definir la arquitectura de la información, con un 18% indica que el

departamento de sistemas carece de una infraestructura tecnológica apropiada

para la implantación de tecnología eficiente en la comunicación de las TI.

• Determinar la dirección tecnológica, con un 43% representa un nivel no

aceptable considerando los cambios tecnológicos que se presentan y las

innovaciones que se dan en el tiempo lo que impide una buena gestión de los

sistemas de información.

• Administrar la calidad, con un 33% implica que el departamento de

sistemas no está realiza monitoreos continuos y revisiones internas - externas

del desempeño contra los estándares y prácticas establecidos.

• Evaluar y Administrar los riesgos de TI, con un 36% indica que no se

realiza una evaluación de riesgos y vulnerabilidades que evite exponer el

logro de las metas de la empresa, se debe alinear los riesgos informáticos y

los costos de la empresa para minimizar las inversiones, priorizar y planificar

opciones de mitigación y realizar un cálculo de los impactos comerciales.

122

RESULTADO DE LOS PROCESOS DEL DOMINIO ADQUIRIR E IMPLEMENTAR

Con el siguiente gráfico se muestra los procesos evaluados en el dominio Adquirir e

Implementar:

GRÁFICO 4: PROCESOS DEL DOMINIO ADQUIRIR E IMPLEMENTAR



ANÁLISIS:

El proceso Instalar y Acreditar Soluciones y Cambios con un 53% refleja que no se

adopta una metodología de prueba en las aplicaciones e infraestructura con el

propósito de disminuir los errores, y planear las liberaciones de nuevos procesos en

el departamento de sistemas.

123

RESULTADO DE LOS PROCESOS DEL DOMINIO ENTREGAR Y DAR SOPORTE

Se detallan los procesos del dominio Entregar y Dar Soporte los cuáles han sido

evaluados en el siguiente gráfico:

GRÁFICO 5: PROCESOS DEL DOMINIO ENTREGAR Y DAR SOPORTE



ANÁLISIS:

Para este análisis se detallan a continuación los procesos de menor cumplimiento del

dominio Entregar y Dar Soporte:

• Definir y administrar los Niveles de Servicio, con un 53% representa que el

servicio brindado por el departamento de sistemas no es del todo aceptable lo

que indica que se deben establecer una definición de los niveles para

administrarlos de la manera más adecuada alineándolos con la estrategia del

negocio.

124

• Administrar los servicios de Terceros, con un 58% el departamento no

cuenta con un control donde se asegure las tareas y responsabilidades de las

terceras partes que estén claramente definidas, que cumplan y satisfagan los

requerimientos del negocio.

• Administrar el desempeño y la Capacidad, con un 37% representa poco

interés del personal del departamento de brindar nuevas medidas de acción y

cambios para rescatar la capacidad y rendimiento de los recursos

implementados para alcanzar el desempeño deseado por la empresa.

• Garantizar la Continuidad del Servicio, con un 43% implica que el

departamento no realiza mejoras en las acciones a tomar para garantizar la

recuperación de los procesos en caso de interrupción y aplicar en forma

inmediata un plan de contingencia que permita mantener el servicio

disponible en el menor tiempo posible y acorde a los requerimientos.

• Garantizar la Seguridad de los Sistemas, con un 56% está por debajo del

límite de aceptación no se salvaguarda la información contra uso no

autorizado, divulgación, modificación, daño o pérdida.

• Educar y entrenar a los usuarios, con un 52% representa que la formación

que se da a los usuarios para el uso efectivo de la tecnología no está acorde a

las responsabilidades.

• Administrar la mesa de servicio y los incidentes, con un 30% los servicios

requeridos por los usuarios de la empresa no se atiende y/o despacha

eficientemente para desenvolverse adecuadamente en los diferentes procesos.

• Administrar la Configuración, con un 39% no se realiza una gestión

completa de todos los componentes de los servicios de TI para prevenir

alteraciones en los procesos donde deben estar bien definidos los roles y

responsabilidades de cada encargado del departamento de sistemas de la

empresa.

125

• Administrar los Problemas, con un 0% no se investigan las causas

subyacentes de las alteraciones de los servicios de TI, que permitan

determinar posibles soluciones de la manera más eficaz para que no vuelvan a

ocurrir.

• Administrar los Datos, con un 21% el departamento de sistemas no cuenta

con procedimientos efectivos y documentados para administrar cada uno de

los procesos que permite asegurar la disponibilidad y seguridad de la

información.

126

RESULTADO DE LOS PROCESOS DEL DOMINIO MONITOREAR Y EVALUAR

El dominio Monitorear y Evaluar se compone de 4 procesos que son evaluados en el

gráfico siguiente:

GRÁFICO 6: PROCESOS DEL DOMINIO MONITOREAR Y EVALUAR



ANÁLISIS:

De acuerdo a la evaluación realizada en el dominio Monitorear y Evaluar todos los

procesos se encuentran en un promedio aceptable dentro de lo establecido con

COBIT cabe recalcar que en la evaluación realizada por objetivos de control

hubieron algunos que no cumplían con los parámetros los cuales serán analizados

posteriormente.

127

4.1.2.1.1.4 RESULTADO FINAL DE LA EVALUACIÓN POR OBJETIVOS DE CONTROL

Para el diagnóstico de los objetivos de control en el departamento de sistemas en la

empresa EP se tomará en consideración la evaluación de los mismos cuyo valor es <

60. Se desarrolló la tabla “Evaluación por controles” (Ver anexo # 2) para obtener los

resultados los cuáles serán presentados a continuación:

PROCESO PO1 – DEFINIR UN PLAN ESTRATÉGICO DE TI

Se detallan los objetivos de control que comprende el proceso definir un plan

estratégico de TI en el siguiente gráfico:

GRÁFICO 7: OBJETIVOS DE CONTROL DEL PROCESO PO1 – DEFINIR UN PLAN ESTRATÉGICO DE TI



128

ANÁLISIS:

Se verifica en el gráfico presentado anteriormente que el objetivo de control de

menor cumplimiento es alineación de TI con el negocio con un 50%, el departamento

no cuenta con la tecnología adecuada que permita buscar una ventaja competitiva

minimizando los rubros de la empresa.

PROCESO PO2 – DEFINIR LA ARQUITECTURA DE LA INFORMACIÓN

El proceso definir la arquitectura de la información se muestra con sus respectivos

objetivos de control en el siguiente gráfico:

GRÁFICO 8: OBJETIVOS DE CONTROL DEL PROCESO PO2 – DEFINIR LA ARQUITECTURA DE TI



ANÁLISIS:

Para el análisis se considera el proceso, debido a que todos los objetivos de control

son de menor cumplimiento indicándonos que el departamento de sistemas debe

129

optar por un diseño estructural en entornos de información para facilitar la

comprensión y asimilación de las interfaces para los usuarios.

PROCESO PO3 - DETERMINAR LA DIRECCIÓN TECNOLÓGICA

En el siguiente gráfico se detallan los objetivos de control de menor cumplimiento

que comprende el proceso determinar la dirección tecnológica.

GRÁFICO 9: OBJETIVOS DE CONTROL DEL PROCESO PO3 - DETERMINAR LA DIRECCIÓN TECNOLÓGICA



ANÁLISIS:

Para el análisis se considera los de menor cumplimiento que los detallamos a

continuación:

• Monitoreo de tendencias y regulaciones futuras con un 0%, nos indica

que no existe un proceso contemplado en el plan de infraestructura

tecnológica de TI para monitorear las tendencias ambientales, tecnológicas,

de infraestructura, legales y regulatorias como recomienda COBIT.

130

• Consejo de arquitectura de TI, con un 0% el departamento no cuenta con

un consejo de arquitectura que establezca un control prioritario para el control

de las TI donde se vincule a progresos para una dirección adecuada en la

empresa.

PROCESO PO4 - DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI Definiremos en el siguiente gráfico los objetivos de control de menor cumplimiento

del proceso definir los procesos, organización y relaciones de TI.

GRÁFICO 10: OBJETIVOS DE CONTROL DEL PROCESO PO4 - DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI



131

ANÁLISIS:

A continuación detallaremos los objetivos de control:

• Comité Estratégico de TI, con un 0% el departamento de sistemas no cuenta

con un consejo estratégico de TI que asegure el manejo adecuado de la

dirección estratégica de la empresa.

• Comité Directivo de TI, con un 0% no se cuenta con un comité directivo de

TI que permita dar seguimiento al avance de los proyectos y resolver los

conflictos de recursos, así mismo monitorear los niveles de servicios y las

mejoras del servicio.

• Responsabilidad de Aseguramiento de Calidad de TI, con un 0% no se

asignan responsabilidades para asegurar la calidad del grupo de sistemas y

satisfacer los requerimientos del negocio.

• Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento, con un

14% no se mantiene un control de los riesgos de TI que ocasionan pérdidas

de la información, se debe mantener la integridad de los datos para asegurar

los objetivos del negocio.

• Propiedad de Datos y de Sistemas, con un 33% el departamento no cuenta

procedimientos y herramientas que permitan enfrentar responsabilidades de

propiedad sobre los datos y los sistemas de información.

• Relaciones, con un 50% no se cuenta con una estructura óptima de enlace y

coordinación entre la función de TI y otros interesados dentro y fuera como

por ejemplo el consejo directivo, ejecutivos, unidades de negocio,

proveedores.

132

PROCESO PO5 - ADMINISTRAR LA INVERSION DE TI

A continuación se detallan los objetivos de control del proceso Administrar la

Inversión de TI.

GRÁFICO 11: OBJETIVOS DE CONTROL DEL PROCESO PO5 - ADMINISTRAR LA INVERSION DE TI



ANÁLISIS:

Para el análisis se considera los de menor cumplimiento lo que detallamos a

continuación:

• Prioridades dentro del Presupuesto de TI, con un 33% no cuenta con un

proceso para la toma de decisiones para dar prioridades a la asignación de

recursos de TI para proyectos de operaciones y mantenimiento.

• Administración de Beneficios, con un 33% no cuenta con un proceso de

monitoreo de beneficios que contengan reportes para mejorar la contribución

de TI.

133

PROCESO PO6 - COMUNICAR LAS ASPIRACIONES Y LA DIRECCIÓN DE LA GERENCIA En el siguiente gráfico se detalla los objetivos de control de menor cumplimiento que

abarca en el proceso comunicar las aspiraciones y la dirección de la gerencia.

GRÁFICO 12: OBJETIVOS DE CONTROL DEL PROCESO PO6 - COMUNICAR LAS ASPIRACIONES Y LA DIRECCIÓN DE LA

GERENCIA



ANÁLISIS:

En el proceso se evaluó cada objetivo donde se puede determinar que el objetivo de

control con menor porcentaje de cumplimiento es:

• Comunicación de los Objetivos y la Dirección de TI, con un 50% los

objetivos del departamento no son comunicados adecuadamente a los

usuarios de la organización.

134

PROCESO PO7 - ADMINISTRAR RECURSOS HUMANOS DE TI

Del estudio realizado al proceso Administrar Recursos Humanos de TI, se detallan

los objetivos de control en el siguiente gráfico.

GRÁFICO 13: OBJETIVOS DE CONTROL DEL PROCESO PO7 - ADMINISTRAR RECURSOS HUMANOS DE TI



ANÁLISIS:

A continuación se realiza un detalle de los objetivos con menor cumplimiento:

• Entrenamiento del Personal de TI, con un 0% el departamento de recursos

humanos de la empresa no cuenta con la orientación necesaria al momento de

la contratación del personal del departamento de sistemas para medir su

conocimiento, aptitud, responsabilidad, conciencia sobre la seguridad, al

nivel requerido para alcanzar las metas del negocio.

• Dependencia sobre los Individuos, con un 50% no cuenta con la

capacitación de los usuarios claves de cada departamento en cuanto al uso de

las tecnologías para poder cumplir con los procesos de la empresa.

135

PROCESO PO8 - ADMINISTRAR LA CALIDAD

A continuación se presenta el gráfico donde se muestra el resultado de la evaluación

de los objetivos de control del proceso de Administrar la Calidad.

GRÁFICO 14: OBJETIVOS DE CONTROL DEL PROCESO PO8 - ADMINISTRAR LA CALIDAD



ANÁLISIS:

La evaluación de cada objetivo de control refleja que cinco de los seis objetivos de

este proceso, tienen el menor porcentaje de cumplimiento y son:

• Sistema de Administración de Calidad, con un 50% establece que no

cuentan con políticas o modelos que proporcionen un enfoque estándar con

respecto a la administración de la calidad y que estén alineados con los

requerimientos del negocio, la estructura organizacional para la

administración de la calidad no cubre todas las responsabilidades.

136

• Estándares y Prácticas de Calidad, con un 50% refleja que no identifican y

mantienen estándares, procedimientos y prácticas para los procesos claves de

TI para orientar a la organización hacia el cumplimiento del QMS.

• Estándares de Desarrollo y Adquisición, con un 13% revela que no

mantienen estándares para todo desarrollo y adquisición que siga el ciclo de

vida que incluya la aprobación en puntos claves basados en criterios de

aceptación acordados.

• Mejora Continua, con un 0% demuestra que no se mantiene ni comunica

con regularidad un plan global de calidad que promueva el fortalecimiento

del área.

• Medición, Monitoreo y Revisión de la Calidad, con un 0% indica que no

definen, planean e implementan mediciones para monitorear el cumplimiento

continuo del QMS, así como el valor que éste proporciona.

137

PROCESO PO9 - EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI

En el siguiente gráfico se muestra el resultado de la evaluación de los objetivos de

control del proceso Evaluar y Administrar los Riesgos de TI.

GRÁFICO 15: OBJETIVOS DE CONTROL DEL PROCESO PO9 - EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI



ANÁLISIS:

En este proceso los seis objetivos de control que lo conforman tienen un menor

porcentaje de cumplimiento, lo cual se detalla a continuación:

• Marco de Trabajo de Administración de Riesgos, con un 50% demuestra

que el marco de trabajo de administración de riesgos de TI no está alineado al

marco de trabajo de administración de riesgos de la organización.

• Establecimiento del Contexto del Riesgo, con un 0% indica que no tienen

establecido un contexto en el cual el marco de trabajo de evaluación de

riesgos garantice los resultados apropiados.

138

• Identificación de Eventos, con un 50% revela que los riesgos relevantes no

son registrados, lo que dificulta identificar los eventos para reducir el impacto

y conservar el potencial del negocio.

• Evaluación de Riesgos de TI, con un 50% refleja que la evaluación de los

riesgos de TI no se la hace periódicamente y en forma apropiada.

• Respuesta a los Riesgos, con un 50% implica que el proceso de respuesta a

riesgos no establece controles efectivos que mitiguen la exposición en forma

continua y que identifique estrategias para evitar, reducir, compartir o aceptar

riesgos así como determinar responsabilidades dentro del departamento.

• Mantenimiento y Monitoreo de un Plan de Acción de Riesgos, con un 50%

muestra que las actividades de control de todos los niveles que dan

respuestas a los riesgos no están debidamente priorizadas, mantenidas y

monitoreadas.

139

PROCESO PO10 - ADMINISTRAR PROYECTOS

La evaluación de los objetivos de control del proceso de Administrar Proyectos se

detalla en el siguiente gráfico:

GRÁFICO 16: OBJETIVOS DE CONTROL DEL PROCESO PO10 - ADMINISTRAR PROYECTOS



ANÁLISIS:

La evaluación de los 10 objetivos de control que conforman el proceso Administrar

Proyectos nos muestra que están por encima del porcentaje establecido como nivel

de cumplimiento.

La administración de proyectos en la empresa EP cumple con los parámetros que

permiten que su ejecución asegure la calidad de los entregables.

140

DOMINIO ADQUIRIR E IMPLEMENTAR

PROCESO AI1 - IDENTIFICAR SOLUCIONES AUTOMATIZADAS

En el siguiente gráfico se detalla el resultado de la evaluación de los objetivos de

control del proceso Identificar Soluciones Automatizadas.

GRÁFICO 17: OBJETIVOS DE CONTROL DEL PROCESO AI1 - IDENTIFICAR SOLUCIONES AUTOMATIZADAS



ANÁLISIS:

De los cuatro objetivos de control que conforman este proceso solo uno, que

corresponde al Estudio de Factibilidad y Formulación de Cursos de Acción

Alternativos tiene un 0% lo que indica que no realizan estudios de factibilidad para

la implementación de requerimientos como se define en los estándares de desarrollo

y tampoco identifican soluciones alternas que sean rentables para la organización.

141

PROCESO AI2 - ADQUIRIR Y MANTENER SOFTWARE APLICATIVO

El resultado de la evaluación de los objetivos de control que conforman el proceso

adquirir y mantener software aplicativo se presentan en el siguiente gráfico.

GRÁFICO 18: OBJETIVOS DE CONTROL DEL PROCESO AI2 - ADQUIRIR Y MANTENER SOFTWARE APLICATIVO



ANÁLISIS:

La evaluación de cada uno de los 10 objetivos que conforman este proceso revela

que tres de ellos obtuvieron menor porcentaje de cumplimiento y son:

• Diseño de Alto Nivel, con un 38% indica que para la adquisición de software,

no se tiene en cuenta las directivas tecnológicas y la arquitectura de

información de la organización y que la incompatibilidad técnica o lógica no

es evaluada.

• Aseguramiento de la Calidad del Software, con un 0% demuestra que no se

cuenta con un plan de aseguramiento de calidad y que el desarrollo e

implementación de recursos no están acordes a las políticas y procedimientos

de calidad de la organización.

142

• Mantenimiento de Software Aplicativo, con un 50% significa que no se

desarrollan estrategias para un buen mantenimiento de las aplicaciones del

software.

PROCESO AI3 - ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA Con la evaluación de los objetivos de control del proceso Adquirir y mantener

infraestructura tecnológica se pudo determinar los objetivos de menor cumplimiento

como se muestra en el siguiente gráfico:

GRÁFICO 19: OBJETIVOS DE CONTROL DEL PROCESO AI3 - ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA



ANÁLISIS:

Este proceso está conformado por cuatro objetivos de control de los cuales el de

menor cumplimiento es el que corresponde al Mantenimiento de la Infraestructura

que obtuvo un 50% lo que implica que no tienen un plan de mantenimiento bien

definido en lo referente al control de cambios en la infraestructura tecnológica que

garantice que las aplicaciones críticas de la empresa se vean afectadas en su

desempeño.

143

PROCESO AI4 - FACILITAR LA OPERACIÓN Y EL USO

Facilitar la operación y el uso hace referencia a cuatro objetivos de control los cuales

no todos pasan el porcentaje de cumplimiento, en el siguiente gráfico se detalla el

porcentaje de cumplimiento.

GRÁFICO 20: OBJETIVOS DE CONTROL DEL PROCESO AI4 - FACILITAR LA OPERACIÓN Y EL USO



ANÁLISIS:

Dos de los objetivos de control de este proceso tienen un porcentaje de menor

cumplimiento y son:

• Plan para Soluciones de Operación, con un 50% que refleja la ausencia de

un plan que permita identificar y documentar los aspectos técnicos así como

la capacidad de operación y los niveles de servicios requeridos. Actualmente

solo a nivel de aplicativos desarrollan manual de usuarios y manual técnico

• Transferencia de Conocimiento al Personal de Operaciones y Soporte,

con un 57% lo que indica que existe disponibilidad de manuales efectivos de

144

usuario y de operación, así como entrenamiento necesario al personal

involucrado incluyendo la gerencia, para el correcto uso del sistema. La base

de conocimientos está en proceso.

PROCESO AI5 - ADQUIRIR RECURSOS DE TI

En el gráfico siguiente se detalla la evaluación de los objetivos de control del proceso

Adquirir recursos de TI.

GRÁFICO 21: OBJETIVOS DE CONTROL DEL PROCESO AI5 - ADQUIRIR RECURSOS DE TI



ANÁLISIS:

La valoración de los cuatro objetivos de control de este proceso nos revela que todos

los objetivos superan el porcentaje aceptable de cumplimiento, lo que refleja que se

aplican políticas y procedimientos para la adquisición de las TI y que la relación con

los proveedores se maneja en forma estratégica cuidando todos los aspectos.

145

PROCESO AI6 - ADMINISTRAR CAMBIOS

El gráfico que se muestra a continuación detalla la evaluación de los objetivos de

control del proceso Administrar Cambios.

GRÁFICO 22: OBJETIVOS DE CONTROL DEL PROCESO AI6 - ADMINISTRAR CAMBIOS



ANÁLISIS:

De los cinco objetivos de control que conforman este proceso, dos no alcanzan el

porcentaje aceptable de cumplimiento y son:

• Cambios de Emergencia, con un 33% lo que hace referencia a que no hay un

proceso establecido para estos casos, aunque si se documenta y se realizan las

pruebas correspondientes, falta el desarrollo y aplicación de procedimientos.

• Seguimiento y Reporte del Estatus de Cambio, con un 0% que indica que

no hay un sistema que administre los cambios y actualice su estatus y que

esté integrada con la administración del negocio.

146

PROCESO AI7 - INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS

En el gráfico que se presenta a continuación se muestra el resultado de la evaluación

de los objetivos de control del proceso Instalar y Acreditar Soluciones y Cambios.

GRÁFICO 23: OBJETIVOS DE CONTROL DEL PROCESO AI7 - INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS



ANÁLISIS:

Este proceso está compuesto de nueve objetivos de control, cinco de los cuales

obtuvieron un porcentaje de menor cumplimiento y son:

• Entrenamiento, con un 30% indica que no existe un plan definido para el

entrenamiento del personal y que las indicaciones básicas que reciben de

acuerdo al requerimiento no es suficiente,

• Plan de Prueba, con un 30% refleja la inexistencia de un plan de pruebas

que defina roles, responsabilidades y criterios de entrada y salida, a pesar de

que si se realizan pruebas estas no contempla lo recomendado en un plan.

147

• Ambiente de Prueba, con un 50% implica que aunque cuentan con un

ambiente de prueba, este no está basado en un estándar pero si cuidan de no

afectar los datos.

• Conversión de Sistemas y Datos, con un 0% indica que no cuentan con un

plan de conversión de datos y migración de infraestructuras y una

metodología de prueba para que las soluciones de aplicaciones e

infraestructura esté libre de errores.

• Pruebas de Cambio, con un 33% muestra que a pesar que en las pruebas de

cambio se considera la seguridad y el desempeño el no contar con un plan de

pruebas las acciones que se tomen son inconsistentes.

148

DOMINIO ENTREGAR Y DAR SOPORTE

PROCESO DS1 – DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIO Se muestra la evaluación de los objetivos del proceso Definir y Administrar los

niveles de Servicios en el siguiente gráfico:

GRÁFICO 24: OBJETIVOS DE CONTROL DEL PROCESO DS1 – DEFININIR Y ADMINISTRAR LOS NIVELES DE SERVICIO



ANÁLISIS:

De los seis objetivos de control que conforman el proceso Definir y Administrar los

niveles de servicio, los de menor cumplimiento son los cinco que se detallan a

continuación:

• Marco de Trabajo de la Administración de los Niveles de Servicios con un

21% refleja la inexistencia de un marco de trabajo que permita la alineación

de los servicios claves de TI con la estrategia del negocio.

149

• Acuerdos de Niveles de Servicios, con un 50% muestra que a pesar de que a

nivel de aplicaciones cuentan con SLAs, no es suficiente para asegurar la

alineación de TI con los objetivos del negocio.

• Acuerdos de Niveles de Operación, con un 50% indica que no consideran

un estándar para que los acuerdos de niveles de operación especifiquen en

términos claros los procesos para entregar los servicios que soporten los

SLAs,

• Monitoreo y Reporte del Cumplimiento de los Niveles de Servicios, con

un 50% hace referencia a que no se monitorean en forma adecuada el

cumplimiento de los niveles de servicio mantener monitoreado

continuamente los criterios de desempeño, así mismo y solo se verifican en

el sistema los nuevos requerimientos, se hacen informes pero los responsables

no ingresan la información por lo tanto no existen estadísticas para analizar

tendencias.

• Revisión de los Acuerdos de Niveles de Servicios y de los Contratos, con

un 50% indica que la revisión de los acuerdos de niveles de servicio es

informal y solo se lo hace a proveedores externos lo que asegura parcialmente

su efectividad.

150

PROCESO DS2 – ADMINISTRAR LOS SERVICIOS DE TERCEROS

En el siguiente gráfico se muestra el resultado de la evaluación de los objetivos de

control del proceso Administrar los servicios de terceros:

GRÁFICO 25: OBJETIVOS DE CONTROL DEL PROCESO DS2 – ADMINISTRAR LOS SERVICIOS DE TERCEROS



ANÁLISIS:

En el resultado de la evaluacion de los objetivos de control de este proceso se

verifica que dos de ellos tienen un menor cumplimiento y estos son:

• Identificación de Todas las Relaciones con Proveedores, con un 13%

señala que la identificación y categorización de los servicios del proveedor no

está estructurada, es insuficiente.

• Monitoreo del Desempeño del Proveedor, con un 50% que indica que se

monitorea el desempeño del proveedor aunque no existe un proceso definido.

151

PROCESO DS3 – ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD

El gráfico que se muestra a continuación detalla la evaluación de los objetivos de

control del proceso Administrar el desempeño y la capacidad.

GRÁFICO 26: OBJETIVOS DE CONTROL DEL PROCESO DS3 – ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD



ANÁLISIS:

En la evaluación de los cinco objetivos de control que conforman este proceso se

observa que los que tienen el menor cumplimiento son:

• Capacidad y Desempeño Actual, con un 0% indica que no se revisa en

forma regular la capacidad y el desempeño de los recursos de TI para

verificar si alcanzan los niveles de servicios acordados.

• Capacidad y Desempeño Futuros, con un 0% refleja que no se hace una

proyección de la capacidad y desempeño de los recursos de TI, ni se analizan

los excesos de capacidad para optimizar su uso.

152

• Disponibilidad de Recursos de TI, con un 50% demuestra que toman

medidas para que los recursos de TI cumplan con su capacidad y desempeño

pero a su vez no cuentan con un plan de contingencia implantado.

• Monitoreo y Reporte, con un 50% implica que la política que se aplica de

revisar cada dos años el desempeño y la capacidad de los recursos de TI

representa un estado de poca calidad en el servicio y en la adquisición de los

recursos.

153

PROCESO DS4 – GARANTIZAR LA CONTINUIDAD DEL SERVICIO

En el gráfico siguiente se detallan los objetivos de control del proceso Garantizar la

Continuidad del Servicio y su evaluación de cumplimiento:

GRÁFICO 27: OBJETIVOS DE CONTROL DEL PROCESO DS4 – GARANTIZAR LA CONTINUIDAD DEL SERVICIO



ANÁLISIS:

En este análisis se consideran los objetivos de control críticos del proceso, los cuales

se detallan a continuacion:

• Planes de Continuidad de TI, con un 0%, nos demuestra que no existen

planes de continuidad lo cual significa que no están preparados para el

impacto que se produciría por una interrupción mayor.

• Recursos Críticos de TI, con un 0% implica que no están identificados los

puntos más vulnerables de TI ni cuentan con procedimientos para asegurar la

continuidad.

154

• Pruebas del Plan de Continuidad de TI, con un 50% revela que al no haber

plan de continuidad de TI tampoco se pueden realizar pruebas y que

garantizan la continuidad de TI basándose en la descripción de funciones que

están en el manual de procedimientos.

• Entrenamiento del Plan de Continuidad de TI, con un 20% demuestra que

el personal involucrado no recibe regularmente el entrenamiento adecuado en

caso de incidente o desastre, pero que cada uno si conoce sus

responsabilidades.

• Distribución del Plan de Continuidad de TI, con un 50% determina que las

reuniones que se realizan con el departamento de desarrollo organizacional

para definir estrategias en caso de emergencia, cumplen a medias con lo que

significa contar con un plan de continuidad probado y debidamente

comunicado.

• Recuperación y Reanudación de los Servicios de TI, con un 25% implica

que las acciones para recuperación y reanudación de los servicios de TI no

son planeadas y solo en el momento que ocurren los eventos se improvisan

las acciones a seguir.

• Almacenamiento de Respaldos Fuera de las Instalaciones, con un 30% es

decir que la información es respaldada en el sistema, de la base de datos se lo

hace diariamente y cada usuario respalda su información semestralmente. No

existe almacenamiento fuera de las instalaciones.

• Revisión Post Reanudación, con un 50% representa que si hacen revisiones

luego de una interrupción a pesar de no contar con un plan de continuidad de

TI.

155

PROCESO DS5 – GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS

En el gráfico siguiente se muestran el resultado de la evaluación de los objetivos de

control del proceso garantizar la seguridad de los sistemas.

GRÁFICO 28: OBJETIVOS DE CONTROL DEL PROCESO DS5 – GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS



ANÁLISIS:

Se puede determinar que en este proceso los objetivos de control de menor

cumplimiento son los siguientes:

• Administración de la Seguridad de TI, con un 30% indica que la

administración de la seguridad, no está alineada con los requerimientos del

negocio.

• Plan de Seguridad de TI, con un 50% implica que no existe un plan de

seguridad de TI, pero si hacen una consideración de la infraestructura de TI

con los requerimientos del negocio.

156

• Administración de Cuentas del Usuario, con un 0% demuestra que no

existen procedimientos para la administración de cuentas de usuario, no

tienen manuales de usuario, tampoco criterios para la creación de cuentas de

usuario, se basan en los procedimientos de soporte.

• Definición de Incidente de Seguridad, con un 0% es decir que no existen

procedimientos establecidos, cuando existe mal uso de la red solo bloquean el

problema y lo comunican al jefe y luego se toman medidas correctivas.

• Protección de la Tecnología de Seguridad, con un 50% refleja que la

seguridad no está cubierta en su totalidad, solo a nivel interno.

• Intercambio de Datos Sensitivos, con un 50% muestra que solo protegen la

web por medio de un proxy, no tienen protección para el correo electrónico.

157

PROCESO DS6 – IDENTIFICAR Y ASIGNAR COSTOS

En el siguiente gráfico se detalla la evaluación de los objetivos de control del proceso

Identificar y asignar costos.

GRÁFICO 29: OBJETIVOS DE CONTROL DEL PROCESO DS6 – IDENTIFICAR Y ASIGNAR COSTOS



ANÁLISIS:

En los cuatro objetivos de control que conforman este proceso se identificó que el de

menor cumplimiento es:

DS6.1 Definición de Servicios con un 50% indica que se los costos de TI son

identificados en términos globales pero no están clasificados.

158

PROCESO DS7 – EDUCAR Y ENTRENAR A LOS USUARIOS

Con el siguiente gráfico se muestra la evaluación de los objetivos de control del

proceso Educar y entrenar a los usuarios.

GRÁFICO 30: OBJETIVOS DE CONTROL DEL PROCESO DS7 – EDUCAR Y ENTRENAR A LOS USUARIOS



ANÁLISIS:

Este proceso consta de tres objetivos de control y en la evaluación los que obtuvieron

el menor cumplimiento son:

• Identificación de Necesidades de Entrenamiento y Educación, con un 57%

implica que no cuentan con un programa definido de entrenamiento, pero que

si incluyen la implementación de nuevo software (BAAN) y por medio de

Recursos Humanos se certifican habilidades y competencias en el personal

seleccionado.

• Evaluación del Entrenamiento Recibido, con un 0% demuestra que al no

contar con un programa definido de entrenamiento no se realizan las

evaluaciones necesarias luego de una capacitación que contribuirían a futuro

en nuevos planes de estudio o de entrenamiento.

159

PROCESO DS8 – ADMINISTRAR LA MESA DE SERVICIO Y LOS INCIDENTES En el siguiente gráfico se detalla la evaluación de los objetivos de control del proceso

Administrar la mesa de servicio y los incidentes.

GRÁFICO 31: OBJETIVOS DE CONTROL DEL PROCESO DS8 – ADMINISTRAR LA MESA DE SERVICIO Y LOS INCIDENTES



ANÁLISIS:

Se evaluó cada objetivo de este proceso determinando que los que obtuvieron el

menor porcentaje de cumplimiento son:

• Mesa de Servicios, con un 0% que implica que no tienen procedimientos de

monitoreo basados en los SLAs, que permitan registrar, comunicar, atender y

analizar todas las llamadas e incidentes reportados.

• Escalamiento de Incidentes, con un 0% indica que no han desarrollado

procedimientos basados en los acuerdos de los SLAs, se escalen los

problemas no resueltos en primera instancia otorgando una solución alterna.

160

• Cierre de Incidentes, con un 0% nos revela que los incidentes no son

registrados apropiadamente y tampoco se confirma cual fue la acción tomada

y acordada con el cliente.

• Análisis de Tendencias, con un 50% refleja que no se emiten reportes de la

actividad de la mesa de servicios que permita a la gerencia medir su

desempeño y los tiempos de respuesta, así como llevar el registro de la causa

raíz de los incidentes y su recurrencia. Y de esta manera identificar cuáles son

los problemas más comunes y mejorar el servicio.

PROCESO DS9 – ADMINISTRAR LA CONFIGURACIÓN

La evaluación obtenida de los objetivos de control del proceso Administrar la

Configuración se presenta en el siguiente gráfico:

GRÁFICO 32: OBJETIVOS DE CONTROL DEL PROCESO DS9 – ADMINISTRAR LA CONFIGURACIÓN



161

ANÁLISIS:

El resultado de la evaluación de los objetivos de control críticos de este proceso son:

• Repositorio y Línea Base de Configuración, con un 25% indica que carecen

de una herramienta de soporte y un repositorio que contenga la información

relevante. Tampoco existen procedimientos para el monitoreo y cambios que

realizan en la configuración.

• Identificación y Mantenimiento de Elementos de Configuración, con un

0%, revela que no cuentan con procedimientos que soporten la gestión de

cambios.

• Revisión de Integridad de la Configuración, con un 33% demuestra que las

revisiones del software instalado que realizan cada seis meses no es suficiente

para alcanzar el cumplimiento de este objetivo ya que lo hacen de manera

informal, es decir que no se basan en un procedimiento bien definido y

establecido.

162

PROCESO DS10 – ADMINISTRAR LOS PROBLEMAS

En el gráfico siguiente se presenta la evaluación de los objetivos de control del

proceso Administrar los Problemas.

GRÁFICO 33: OBJETIVOS DE CONTROL DEL PROCESO DS10 – ADMINISTRAR LOS PROBLEMAS



ANÁLISIS:

En la evaluación de este proceso los cuatro objetivos de control que lo conforman no

alcanzan el porcentaje aceptable de cumplimiento, ya que tienen un 0% lo que

permite identificar que no existe una adecuada administración de los problemas

desde contar con procesos o procedimientos para identificar los incidentes hasta el

cierre del mismo pasando por determinar la causa raíz.

163

PROCESO DS11 – ADMINISTRAR LOS DATOS

En el siguiente gráfico se muestra la evaluación de los objetivos de control del

proceso Administrar los datos:

GRÁFICO 34: OBJETIVOS DE CONTROL DEL PROCESO DS11 – ADMINISTRAR LOS DATOS



ANÁLISIS:

Los objetivos de control con menor porcentaje de cumplimiento son:

• Requerimientos del Negocio para Administración de Datos, con un 25%

nos muestra que no existe un seguimiento adecuado para que el recibimiento

y procesamiento de los datos sea oportuno, y no se soportan los reinicios y los

reprocesos.

164

• Acuerdos de Almacenamiento y Conservación, con un 50% relaciona que

no existen procedimientos para el archivo, almacenamiento y retención de los

datos, solo se hacen respaldos de información y únicamente lo que indica el

usuario cuando realizan mantenimiento.

• Sistema de Administración de Librerías de Medios, con un 0% demuestra

que tampoco para este objetivo están establecidos los procedimientos para

mantener un inventario de medios almacenados y archivados que permitan

asegurar su usabilidad e integridad.

• Eliminación, con un 0% implica la inexistencia de procedimientos para la

protección de datos y software que asegure los requerimientos del negocio.

• Respaldo y Restauración, con un 50% indica que los procedimientos para el

respaldo de los sistemas, aplicaciones, datos y documentación que vayan de

la mano con el plan de continuidad y los requerimientos del negocio al no

estar documentados impide verificar su real cumplimiento.

• Requerimientos de Seguridad para la Administración de Datos, con un

0% establece que no se tienen desarrolladas políticas y procedimientos para la

restauración de datos durante todo el ciclo de vida.

165

PROCESO DS12 – ADMINISTRAR EL AMBIENTE FÍSICO

A continuación se detalla la evaluación de los objetivos de control del proceso

Administrar el Ambiente Físico como lo muestra el siguiente gráfico:

GRÁFICO 35: OBJETIVOS DE CONTROL DEL PROCESO DS12 – ADMINISTRAR EL AMBIENTE FÍSICO



ANÁLISIS:

La Administración de Instalaciones Físicas con 50% implica que falta implementar

una adecuada administración para estos componentes necesarios para que el

ambiente físico en el que se desarrollan las TI se complemente con los otros

objetivos de control que permitan que el proceso alcance el nivel de cumplimiento

deseado.

166

PROCESO DS13 – ADMINISTRAR LAS OPERACIONES

Se muestra en el siguiente gráfico la evaluación de los objetivos de control que

forman parte del proceso Administrar las operaciones:

GRÁFICO 36: OBJETIVOS DE CONTROL DEL PROCESO DS13 – ADMINISTRAR LAS OPERACIONES



ANÁLISIS:

Los objetivos de menor cumplimiento de este proceso son los que se detallan a

continuación:

• Procedimientos e Instrucciones de Operación, con un 50% demuestra la

falta de procedimientos para el manejo de las operaciones de TI y que solo se

basan en el desempeño del personal a cargo de las actividades relacionadas

con las TI.

167

• Monitoreo de la Infraestructura de TI, con un 0% revela la falta de

procedimientos definidos ya que de manera empírica realizan el monitoreo de

la infraestructura de TI.

• Documentos Sensitivos y Dispositivos de Salida, con un 50% implica que

esta actividad no se administra apropiadamente y lo activos de TI no están

asegurados en su totalidad.

168

DOMINIO MONITOREAR Y EVALUAR

ME1 - MONITOREAR Y EVALUAR EL DESEMPEÑO DE TI

En el siguiente gráfico se detalla la evaluación de los objetivos de control que

conforman el proceso Monitorear y evaluar el desempeño de TI.

GRÁFICO 37: OBJETIVOS DE CONTROL DEL PROCESO ME1 - MONITOREAR Y EVALUAR EL DESEMPEÑO DE TI



ANÁLISIS:

El Enfoque del Monitoreo con un 0% es el único objetivo de control que no alcanza

el nivel de cumplimiento aceptable en vista de que no cuentan con un marco de

trabajo de monitoreo general, tampoco tienen un proceso para medir la solución y la

entrega de servicios de TI y monitorear la contribución de TI al negocio.

169

PROCESO ME2 - MONITOREAR Y EVALUAR EL CONTROL INTERNO

En el siguiente gráfico se detallan los objetivos de control del proceso Monitorear y

Evaluar el Control Interno.

GRÁFICO 38: OBJETIVOS DE CONTROL DEL PROCESO ME2 - MONITOREAR Y EVALUAR EL CONTROL INTERNO



ANÁLISIS:

El Control de Auto Evaluación, con 0% demuestra que no tienen programas de

auto evaluación y solo se basan en los resultados de las auditorías internas y externas.

170

PROCESO ME3 - GARANTIZAR EL CUMPLIMIENTO REGULATORIO

A continuación se detalla el gráfico con los objetivos de control del proceso

Garantizar el Cumplimiento Regulatorio.

GRÁFICO 39: OBJETIVOS DE CONTROL DEL PROCESO ME3 - GARANTIZAR EL CUMPLIMIENTO REGULATORIO



ANÁLISIS:

Se puede verificar que después del análisis desarrollado en este proceso, los objetivos

de control que lo conforman cumplen con el 100% lo que indica que por medio del

departamento legal de la empresa se toman todas las medidas para garantizar el

cumplimiento con las regulaciones internas y externas.

171

PROCESO ME4 - PROPORCIONAR GOBIERNO DE TI

En el gráfico siguiente se muestra la evaluación de los objetivos de control

pertenecientes al proceso Proporcionar Gobierno de TI.

GRÁFICO 40: OBJETIVOS DE CONTROL DEL PROCESO ME4 - PROPORCIONAR GOBIERNO DE TI



ANÁLISIS:

Los objetivos de control con menor porcentaje de cumplimiento en este proceso son:

• Alineamiento Estratégico, con un 38% revela que la falta de comunicación

con los directivos sobre temas estratégicos de TI no les permite facilitar la

alineación de TI con el negocio y tampoco tomar decisiones para la obtención

de los beneficios provenientes de las inversiones habilitadas con TI.

• Administración de Riesgos, con un 0% indica que no se evalúan ni reportan

los riesgos relacionados con TI así como su impacto. Tampoco se define el

nivel de riesgo de TI a través de un consejo directivo que asegure que el

riesgo actual no exceda el riesgo aceptable de dirección.

172

4.1.2.1.1.5 RESULTADO FINAL DE LA EVALUACIÓN POR OBJETIVOS DE CONTROL DE MENOR CUMPLIMIENTO

RESUMEN DE LOS OBJETIVOS DE CONTROL DE MENOR CUMPLIMIENTO En el siguiente gráfico se detallan los 96 objetivos de control con menor

cumplimiento, es decir los que tuvieron un resultado <60% establecido como nivel

aceptable.

GRÁFICO 41: RESUMEN DE LOS OBJETIVOS DE CONTROL DE MENOR CUMPLIMIENTO



173

ANÁLISIS:

Mediante la evaluación realizada a nivel de los 210 objetivos de control de COBIT se

obtiene el resultado de 96 objetivos de control de menor cumplimiento (<60) y 114

objetivos de control (>=60) lo que indica que se encuentran en un nivel aceptable de

acuerdo a lo que establece la metodología.

EVALUACIÓN DE OBJETIVOS DE CONTROL CRÍTICOS

Los 37 objetivos de control considerados críticos porque obtuvieron 0% de

cumplimiento se registra en el gráfico siguiente:

GRÁFICO 42: EVALUACIÓN DE OBJETIVOS DE CONTROL CRÍTICOS



174

ANÁLISIS:

En el gráfico se puede verificar que solo están detallados todos los objetivos críticos

que tienen un porcentaje de 0% de los cuales se dieron a conocer al jefe del

departamento de TI quien escogió cinco de estos objetivos para que sean

desarrolladas las políticas.

4.1.3 EVALUACIÓN DE RIESGOS DE TI

Para la evaluación de riesgos de TI nos hemos basado en el método DELPHI ya que

nos permite la categorización individual de las amenazas a que están expuestos los

sistemas computarizados y de los objetos de riesgo que comprenden los sistemas, con

el fin de identificar las áreas de alto, medio y bajo riesgo para minimizar sus efectos.

Para la realización de la matriz de identificación de los niveles de riesgo se coordinó

con cuatro personas del departamento de sistemas para:

1. Definir amenazas y objetos del sistema que detallaremos en la siguiente tabla:

TABLA 8: LISTADO DE AMENAZAS/OBJETOS DEFINIDOS POR EL

DEPARTAMENTO DE SISTEMAS


175

2. Aplicar el formato amenazas y objetos para su evaluación respectiva. (Ver

anexo # 5)

3. Recopilar datos para el registro en la tabla # 9 (comparación de categorías por

amenazas) y la tabla # 10 (comparación de categorías por objetos) de acuerdo

a la evaluación realizada por cada uno de los colaboradores del departamento

de sistemas. (Ver anexos # 7,8,9 y 10)

TABLA 9: COMPARACIÓN DE CATEGORÍAS DE RIESGOS POR AMENAZAS

Fuente: (José Dagoberto Pinilla Forero, Auditoría informática, Un enfoque operacional, Pág.175, 1992)


ANÁLISIS:

Las amenazas causan pérdidas o daños a los activos de la empresa y colocan en

riesgo la integridad, confidencialidad y disponibilidad de la información. Las

amenazas pueden ser causadas por: desastres naturales, desastres no naturales, causas

176

internas o externas, pero siempre serán constantes y pueden ocurrir en cualquier

momento, el objetivo es impedir impactos al negocio.

En la tabla anterior podemos verificar que el índice de mayor riesgo es Violación de

privacidad lo que indica que existe una vulnerabilidad de la seguridad de las redes de

la información de la empresa, lo que se recomienda es implementar: políticas y guías

por el uso indebido de la información, un sistema de detección de intrusiones de host,

capacitación constante a los usuarios sobre los peligros que involucra abrir páginas

electrónicas no autorizadas.

En la siguiente tabla se detallan los resultados obtenidos de la evaluación de riesgos

por objetos:

TABLA 10: COMPARACIÓN DE CATEGORÍAS DE RIESGOS POR OBJETOS



177

ANÁLISIS:

En la evaluación realizada anteriormente verificamos que el objeto a analizar son los

programas debido a que presentan un mayor índice de riesgo lo que implica que la

persona encargada de la seguridad debe controlar el manejo de la información

proporcionada a los diferentes usuarios de la empresa para evitar fraudes internos o

externos.

En la siguiente tabla se detalla la matriz resultado amenazas/objetos aplicados en el

departamento de sistemas para su posterior análisis:

TABLA 11: MATRIZ RESULTADO AMENAZAS/OBJETOS



ANÁLISIS:

La combinación de las dos categorizaciones permite realizar un control de los riesgos

colocando los totales de amenazas/objetos en orden de mayor a menor, seguidamente

se multiplican cada uno de los valores para obtener el nivel de riesgo/sensibilidad de

las celdas de acuerdo al producto. Como se observa en la tabla anterior cada color

178

indica la repetición de los valores que al final solo uno será considerado, es decir el

repetido no será tomado en cuenta para la definición de los niveles

riesgo/sensibilidad de alto, medio y bajo riesgo.

Para obtener los resultados de los niveles de riesgo/sensibilidad se elaboró la tabla #

12 Definición de los niveles de riesgo/sensibilidad de TI.

TABLA 12: DEFINICIÓN DE LOS NIVELES DE RIESGO/SENSIBILIDAD DE TI



ANÁLISIS:

Para segmentar los niveles de riesgo/sensibilidad se realizó una tabla donde se ubicó

los valores repetidos de la multiplicación de amenazas/objetos de mayor a menor con

el número de repeticiones, además el número total de celdas de la matriz. Para dividir

las celdas en regiones de mayor, mediano y menor riesgo se realizó la resta del total

de celdas con el total de las repeticiones dividido para cuatro (= ((48-12)/4)), dando

un total de nueve (9) para determinar los siguientes rangos:

179

ALTO RIESGO = De 1 a 9 celdas

MEDIANO RIESGO = De 10 a 27 celdas

BAJO RIESGO = De 28 a 36 celdas

En la siguiente tabla se verifica las áreas de alto, mediano y bajo riesgos clasificados

por color:

TABLA 13: MATRIZ IDENTIFICACIÓN DE LOS NIVELES DE RIESGO

AMENAZAS PÉRDIDA DE DATOS ERRORES DESASTRE FÍSICO ACCESO ILEGAL ROBO VIOLACIÓN DE PRIVACIDAD

OBJETOS 14 13 11 10 7 5ARCHIVOS DE

BASES DE DATOS 294 273 231 210 147 105

21 1 2 6 8 18 23

INFRAESTRUCTURA 266 247 209 190 133 95

19 3 4 9 11 20 25COMPUTADORAS/

DISCOS 238 221 187 170 119 85

17 5 7 12 14 22 27

REPORTES 210 195 165 150 105 75

15 8 10 16 17 23 29CIRCUITOS DE

COMUNICACIÓN 210 195 165 150 105 75

15 8 10 16 17 23 29

TERMINALES 182 169 143 130 91 65

13 13 15 19 21 26 31TERMINAL DE OPERACIÓN 98 91 77 70 49 35

7 24 26 28 30 34 35

PROGRAMAS 70 65 55 50 35 25

5 30 31 32 33 35 36

MATRIZ DE IDENTIFICACIÓN DE LOS NIVELES DE RIESGO

ALTO RIESGO De 1 a 9 celdas 9

MEDIANO RIESGO De 10 a 27 celdas 18 BAJO RIESGO De 28 a 36 celdas 9



Nota: Las celdas con valor repetido se las considera una sola vez para la numeración de los niveles de riesgo.

180

ANÁLISIS:

Se considera como nivel de alto riesgo, las amenazas/objetos que se encuentran en

las celdas numeradas del 1 al 9. Con el resultado del trabajo realizado, se recomienda

diseñar y documentar controles a nivel preventivo, detectivo y correctivo de acuerdo

con el área seleccionada para minimizar sus efectos en el negocio. El análisis con

respecto a COBIT identifica al objetivo de control PO4.8 (Responsabilidad sobre el

riesgo, la seguridad y el cumplimiento para implementar prácticas de supervisión)

como el objetivo con el que se pueda cerrar la brecha existente, ya que permite

evaluar si todo el personal del departamento de sistemas cuenta con los

conocimientos adecuados para llevar a cabo las responsabilidades de los servicios

brindados a la empresa.

4.1.4 ELABORACIÓN DE POLÍTICAS A APLICAR ACORDE A LOS

OBJETIVOS DE CONTROL CRÍTICOS

En la realización de esta propuesta el departamento de sistemas seleccionó 5 objetivos críticos acorde a los resultados obtenidos en el diagrama, los cuales se detallan a continuación:

1. Política para el Monitoreo de tendencias y regulaciones futuras.

2. Política del Comité estratégico de TI.

3. Política de Estudio para la factibilidad de cursos de acción.

4. Política de Continuidad de TI.

5. Política de los Recursos críticos.

181

POLÍTICA PARA EL MONITOREO DE TENDENCIAS Y REGULACIONES FUTURAS

TECNOLOGÍA DE LA INFORMACIÓN

Código: XXX-GG-TI-P005 Versión: 1

Página 1 de 1

I. OBJETIVO

Asegurar que los servicios de información mantengan un monitoreo continuo de las tendencias futuras y condiciones regulatorias para que sean considerados en el desarrollo y mantenimiento del plan de infraestructura tecnológica.

II. ALCANCE

Estas políticas deben ser cumplidas por todo el personal de TI.

III. POLÍTICAS

a) Considerar en el plan de infraestructura tecnológica las tendencias ambientales y de la tecnología presente y futura así como las legales y regulatorias.

b) Establecer estándares de tecnología que sean consistentes con el plan de infraestructura tecnológica.

c) Definir procedimientos para la evaluación y monitoreo de las tendencias y regulaciones futuras

d) Identificar las inconsistencias en el Modelo de Arquitectura de Información y en el Modelo de Datos Corporativo con el fin de precautelar la integridad de los datos.

Elaborado por: Jefe de Sistemas

Aprobado por: Gerente General

182

POLÍTICA DEL COMITÉ ESTRATÉGICO DE TI



Página 1 de 2

I. OBJETIVO

Asegurar la adecuada gobernabilidad de las tecnologías de información y

asesorar a la Gerencia General en la toma de decisiones.

II. ALCANCE


III. POLÍTICAS

a) Establecer las prioridades de TI, comunicarlas en forma clara al personal

involucrado y cuidar que no existan desviaciones de estas prioridades para

que no se afecte negativamente el cumplimiento de los objetivos

estratégicos.

b) Dar seguimiento al plan estratégico de TI para su actualización y velar

que se cumpla.

c) Controlar en forma periódica el avance de los proyectos de TI para

proteger el valor de la inversión.

d) Estudiar el presupuesto anual de las TIC para asesorar sobre su

aprobación.

e) Respaldar los procesos de TI fomentando programas de capacitación para

los funcionarios.

Elaborado por:

Jefe de Sistemas

Aprobado por:

Gerente General

183

POLÍTICA DEL COMITÉ ESTRATÉGICO DE TI



Página 2 de 2

f) El cumplimiento de las disposiciones del Comité son responsabilidad del

Jefe de TI.

g) Cuidar la correcta gestión de los recursos informáticos en el ámbito

general de la empresa y su buen funcionamiento bajo criterios de

eficiencia y eficacia.

h) Informar a la Gerencia General de las incidencias producidas y las

medidas adoptadas.

Elaborado por:

Jefe de Sistemas

Aprobado por:

Gerente General

184

POLÍTICA PARA EL ESTUDIO DE FACTIBILIDAD Y FORMULACIÓN DE CURSOS DE ACCIÓN ALTERNATIVOS



Pagina 1 de 1

I. OBJETIVO

Evaluar mediante estudios la factibilidad para la implementación de los

requerimientos de TI y determinar cursos de acción alternos para su

recomendación.

II. ALCANCE


III. POLÍTICAS

a) Elaborar estudios de: factibilidad económica y de desempeño tecnológico,

de arquitectura de información y de análisis de riesgos.

b) Estudiar y analizar soluciones alternativas a los requerimientos de los

usuarios considerando su costo-beneficio y observando el modelo de

datos de la arquitectura de información de la empresa.

c) Definir procedimientos a cumplir e identificar estándares a seguir en la

adquisición de hardware, software y servicios de tecnología de

información.

d) Regular todas las adquisiciones bajo contratos que estipulen todo tipo de

pruebas y revisiones antes de ser aceptadas.

Elaborado por:

Jefe de Sistemas

Aprobado por:

Gerente General

185

POLÍTICA PARA PLANES DE CONTINUIDAD DE TI



Pagina 1 de 2

I. OBJETIVO

Reducir el impacto por la interrupción de las funciones de TI y los procesos

claves del negocio.

II. ALCANCE


III. POLÍTICAS

a) Desarrollar un plan de cotinuidad de TI que abarque los servicios de

información, así como los recursos dependientes del sistema de

información.

b) Establecer procedimientos emergentes que garanticen la seguridad del

personal afectado.

c) Desarrollar programas de entrenamiento para las personas que intervienen

en el plan de continuidad.

d) Realizar pruebas periodicas de los planes de contingencia para verificar si

los resultados son los esperados.

e) Documentar los procedimientos manuales alternos y mantener

actualizados los planes que forman parte del plan global y comunicar a

todo el personal involucrado verificando su total entendimiento.

Elaborado por:

Jefe de Sistemas

Aprobado por:

Gerente General

186

POLÍTICA PARA PLANES DE CONTINUIDAD DE TI



Pagina 2 de 2

f) Realizar mediciones comparativas con los planes de continuidad de

organizaciones similares o estándares internacionales probados.

Elaborado por:

Jefe de Sistemas

Aprobado por:

Gerente General

187

POLÍTICA PARA RECURSOS CRÍTICOS DE TI



Pagina 1 de 1

I. OBJETIVO

Recuperar los puntos considerados como críticos y asegurar que corresponden

a las necesidades prioritarias del negocio.

II. ALCANCE


III. POLÍTICAS

a) Mantener una lista actualizada de los recursos y aplicaciones del sistema

priorizados de mayor a menor que incluya los tiempos de recuperación

requeridos y las normas de desempeño esperados.

b) Determinar la recuperación de los servicios para los diferentes niveles de

prioridad, considerando los costos y cumplimiento de regulaciones.

c) Evaluar los riesgos y considerar el aseguramiento de los recursos tanto de

infraestructura como de personas.

d) Mantener un programa detallado paso a paso de las respuestas para

situaciones emergentes tanto para pérdidas mínimas como totales.

Elaborado por:

Jefe de Sistemas

Aprobado por:

Gerente General

188

CONCLUSIONES y RECOMENDACIONES

CONCLUSIONES

En el departamento de sistemas de la empresa EP se verificó en el transcurso del

desarrollo del proyecto que no cuentan con procedimientos y políticas definidas para

cada proceso; Base de datos, aplicativos, comunicaciones, seguridades y soporte a

usuarios que permitan llevar un seguimiento de los roles y responsabilidades del

personal para cumplir con los requerimientos del negocio.

El análisis de riesgos reveló que la infraestructura tecnológica no es la adecuada para

respaldar toda la información manejada en la empresa EP por lo que se deben tomar

las medidas respectivas.

La brecha que se encontró en el manejo de los procesos contrastados con lo definido

por la metodología COBIT refirió un promedio del 38% generalizando todos los

objetivos críticos existentes.

Se concluye que los objetivos de control son necesarios para garantizar el correcto

funcionamiento, la calidad de los resultados y la mejora continua de las operaciones

así como también para detectar debilidades y riesgos potenciales de cada proceso del

departamento.

189

RECOMENDACIONES

Nuestro proyecto está basado en el análisis de los procesos de TI del departamento

de sistemas de la Empresa EP con la finalidad de determinar el grado de

cumplimiento con relación a lo recomendado por la metodología COBIT 4.1.

Hay muchas razones de importancia por las que se recomienda a la empresa EP

implementar la metodología COBIT 4.1, entre ellas se mencionan las siguientes:

• Optimización de los recursos de TI.

• Disponibilidad de información oportuna, segura y confiable.

• Infraestructura Tecnológica robusta, escalable y rentable.

• Actualizaciones puntuales, efectivas y eficaces.

• Soporte a usuarios garantizados.

• Protección de datos.

• Recurso humano calificado.

• Equilibrio entre los riesgos y las inversiones de TI.

• Políticas y procedimientos adecuados para cada proceso.

Lo anteriormente descrito permitirá al departamento de sistemas alcanzar todo el

potencial que promete la tecnología, generando un clima de confianza con los

directivos y los usuarios finales, y contribuir en el logro de los objetivos estratégicos

de la empresa.

190

ANEXOS

ANEXO 1: EVALUACIÓN POR PROCESOS

EVALUACIÓN POR PROCESOS - COBIT

DOMINIOS PROCESOS #

OBJETIVOS %

PLANEAR Y ORGANIZAR

PO1 - Definir un Plan Estratégico de TI 6 89% PO2 - Definir la Arquitectura de la Información 4 18% PO3 - Determinar la Dirección Tecnológica 5 43% PO4 - Definir los Procesos, Organización y Relaciones de TI 15 67%

PO5 - Administrar la Inversión en TI 5 73% PO6 - Comunicar las Aspiraciones y la Dirección de la Gerencia 5 85%

PO7 - Administrar Recursos Humanos de TI 8 77% PO8 - Administrar la Calidad 6 33% PO9 - Evaluar y Administrar los Riesgos de TI 6 36% PO10 - Administrar Proyectos 14 98%

ADQUIRIR E IMPLEMENTAR

AI1 - Identificar soluciones automatizadas 4 75% AI2 - Adquirir y mantener software aplicativo 10 70% AI3 - Adquirir y mantener infraestructura tecnológica 4 77%

AI4 - Facilitar la operación y el uso 4 77% AI5 - Adquirir recursos de TI 4 92% AI6 - Administrar cambios 5 60% AI7 - Instalar y acreditar soluciones y cambios 9 53%


DS1 - Definir y administrar los niveles de servicio 6 53%

DS2 - Administrar los servicios de terceros 4 58% DS3 - Administrar el desempeño y la capacidad 5 37% DS4 - Garantizar la continuidad del servicio 10 43% DS5 - Garantizar la seguridad de los sistemas 11 56% DS6 - Identificar y asignar costos 4 84% DS7 - Educar y entrenar a los usuarios 3 52% DS8 - Administrar la mesa de servicio y los incidentes 5 30%

DS9 - Administrar la configuración 3 19% DS10 - Administrar los problemas 4 0% DS11 - Administrar los datos 6 21% DS12 - Administrar el ambiente físico 5 84% DS13 - Administrar las operaciones 5 60%


ME1 - Monitorear y Evaluar el Desempeño de TI 6 83% ME2 - Monitorear y Evaluar el Control Interno 7 86% ME3 - Garantizar el Cumplimiento Regulatorio 5 100% ME4 - Proporcionar Gobierno de TI 7 77%


191

ANEXO 2: EVALUACIÓN POR OBJETIVOS DE CONTROL

PROCESOS ACTIVIDADES DEL PROCESO OBJETIVOS DE CONTROL PESO %

Relacionar las metas del negocio con las de TI.

PO1.1 - Administración del Valor de TI. 0,17 90%

Relacionar las metas del negocio con las de TI.

PO1.2 - Alineación de TI con el Negocio. 0,17 50%

Identificar dependencias críticas y desempeño actual.

PO1.3 - Evaluación del Desempeño y la Capacidad Actual.

0,17 100%

Construir un plan estratégico para TI. PO1.4 - Plan Estratégico de TI. 0,17 100%Construir planes tácticos para TI. PO1.5 - Planes Tácticos de TI. 0,16 100%Analizar portafolios de programas y administrar portafolios de servicios y proyectos.

PO1.6 - Administración del Portafolio de TI.

0,16 100%

Crear y mantener modelo de información corporativo/empresarial.

PO2.1 - Modelo de Arquitectura de Información Empresarial. 0,25 47%

Crear y mantener diccionario de datos corporativo.

PO2.2 - Diccionario de Datos Empresarial y Reglas de Sintáxis de Datos.

0,25 0%

*Establecer y mantener esquema de clasificación de datos. *Brindar a los dueños procedimientos y herramientas para clasificar los sistemas de información.

PO2.3 - Esquema de Clasificación de Datos. 0,25 0%

Usar el modelo de información, el diccionario de datos y el esquema de clasificación para planear los sistemas optimizados del negocio.

PO2.4 - Administración de Integridad. 0,25 25%

Crear y mantener un plan de infraestructura tecnológica.

PO3.1 - Planeación de la Dirección Tecnológica. 0,20 67%

Crear y mantener estándares tecnológicos.PO3.2 - Plan de Infraestructura Tecnológica. 0,20 67%

Publicar estándares tecnológicos. PO3.3 - Monitoreo de Tendencias y Regulaciones Futuras.

0,20 0%

Monitorear la evolución tecnológica. PO3.4 - Estándares Tecnológicos. 0,20 80%Definir el uso (futuro) (estratégico) de la nueva tecnología.

PO3.5 - Consejo de Arquitectura de TI. 0,20 0%

EVALUACIÓN POR CONTROLES - COBITP

O1

- D

efin

ir u

n P

lan

Est

raté

gico

de

TI

PO

3 -

Det

erm

inar

la D

irec

ción

T

ecn

ológ

ica

PO

2 -

Def

inir

la A

rqu

itec

tura

de

la

Info

rmac

ión

192


Diseñar Marco de Trabajo para el proceso de TI.

PO4.1 - Marco de Trabajo de Procesos de TI.

0,07 100%

Establecer estructura organizacional de TI, incluyendo comités y ligas a los interesados y proveedores.

PO4.2 - Comité Estratégico de TI. 0,07 0%


PO4.3 - Comité Directivo de TI. 0,07 0%

Identificar dueños de sistemas.PO4.4 - Ubicación Organizacional de la Función de TI. 0,07 100%


PO4.5 - Estructura Organizacional. 0,07 100%

Establecer e implantar roles y responsabilidades de TI, incluida la supervisión y segregación de funciones.

PO4.6 - Establecimiento de Roles y Responsabilidades. 0,07 100%


PO4.7 - Responsabilidad de Aseguramiento de Calidad de TI. 0,07 0%


PO4.8 - Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento.

0,07 14%


PO4.9 - Propiedad de Datos y de Sistemas. 0,07 33%


PO4.10 - Supervisión. 0,07 100%


PO4.11 - Segregación de Funciones. 0,07 100%


PO4.12 - Personal de TI. 0,07 100%


PO4.13 - Personal Clave de TI. 0,07 100%


PO4.14 - Políticas y Procedimientos para Personal Contratado.

0,07 100%


PO4.15 - Relaciones. 0,07 50%

EVALUACIÓN POR CONTROLES - COBITP

O4

- Def

inir

los

Pro

ceso

s, O

rgan

izac

ión

y R

elac

ione

s de

TI

193


Dar mantenimiento al portafolio de programas de inversión.

PO5.1 - Marco de Trabajo para la Administración Financiera.

0,20 100%

Dar mantenimiento al portafolio de proyectos. PO5.2 Prioridades dentro del Presupuesto de TI.

0,20 33%

Dar mantenimiento al portafolio de servicios. PO5.3 - Proceso Presupuestal. 0,20 100%

Establecer y mantener proceso presupuestal de TI.

PO5.4 - Administración de Costos de TI.

0,20 100%

Identificar, comunicar y monitorear la inversión, costo y valor de TI para el negocio.

PO5.5 - Administración de Beneficios.

0,20 33%

Elaborar y mantener un ambiente y marco de control de TI.

PO6.1 - Ambiente de Políticas y de Control.

0,20 100%

Elaborar y mantener un ambiente y marco de control de TI.

PO6.2 - Riesgo Corporativo y Marco de Referencia de Control Interno de TI.

0,20 75%

Elaborar y mantener políticas de TI. PO6.3 - Administración de Políticas para TI.

0,20 100%

Elaborar y mantener políticas de TI. PO6.4 - Implantación de Políticas de TI.

0,20 100%

Comunicar el marco de control y los objetivos y dirección de TI.

PO6.5 - Comunicación de los Objetivos y la Dirección de TI.

0,20 50%

Identificar las habilidades de TI, benchmarks sobre descripciones de puesto, rango de salarios y desempeño del personal.

PO7.1 - Reclutamiento y Retención del Personal.

0,13 75%


PO7.2 - Competencias del Personal. 0,13 100%


PO7.3 - Asignación de Roles. 0,13 100%

Ejecutar las políticas y procedimientos relevantes de RH para TI(reclutar, contratar, investigar, compensar, entrenar, evaluar, promover, y terminar).

PO7.4 - Entrenamiento del Personal de TI.

0,13 0%


PO7.5 - Dependencia Sobre los Individuos.

0,12 50%


PO7.6 - Procedimientos de Investigación del Personal.

0,12 100%


PO7.7 - Evaluación del Desempeño del Empleado.

0,12 92%


PO7.8 - Cambios y Terminación de Trabajo. 0,12 100%

EVALUACIÓN POR CONTROLES - COBIT

PO7

- Adm

inist

rar R

ecur

sos H

uman

os d

e TI

PO6

- Com

unica

r las

Asp

iracio

nes y

la

Dire

cció

n de

la G

eren

ciaPO

5 - A

dmin

istra

r la

Inve

rsió

n en

TI

194


Definir un sistema de administración de calidad.

PO8.1 - Sistema de Administración de Calidad.

0,17 50%

Establecer y mantener un sistema de administración de calidad.

PO8.2 - Estándares y Prácticas de Calidad.

0,17 50%

Crear y comunicar estándares de calidad a toda la organización.

PO8.3 - Estándares de Desarrollo y de Adquisición.

0,17 13%

Crear y comunicar estándares de calidad a toda la organización.

PO8.4 - Enfoque en el Cliente de TI.

0,17 83%

Crear y administrar el plan de calidad para la mejora continua.

PO8.5 - Mejora Continua. 0,16 0%

Medir, monitorear y revisar el cumplimiento de las metas de calidad.

PO8.6 - Medición, Monitoreo y Revisión de la Calidad. 0,16 0%

Determinar la alineación de la administración de riesgos (ej: Evaluar riesgo).

PO9.1 - Marco de Trabajo de Administración de Riesgos. 0,17 50%

Determinar la alineación de la administración de riesgos (ej: Evaluar riesgo).

PO9.2 - Establecimiento del Contexto del Riesgo.

0,17 0%

*Entender los objetivos de negocio estratégicos relevantes. *Entender los objetivos de los procesos de negocios relevantes.

PO9.3 - Identificación de Eventos. 0,17 50%

*Identificar los objetivos internos de TI y establecer el contexto del riesgo. *Identificar eventos asociados con objetivos, algunos eventos están orientados a negocio (negocio es A); algunos están orientados a TI (TI es A, negocio es C). *Asesorar el riesgo con los eventos.

PO9.4 - Evaluación de Riesgos de TI. 0,17 50%

Evaluar y seleccionar respuestas a riesgo. PO9.5 - Respuesta a los Riesgos. 0,16 17%

*Priorizar y Planear actividades de control. *Aprobar y asegurar fondos para planes de acción de riesgos. *Mantener y monitorear un plan de acción de riesgos.

PO9.6 - Mantenimiento y Monitoreo de un Plan de Acción de Riesgos.

0,16 50%

Definir un marco de administración de programas/portafolio para inversiones en TI.

PO10.1 - Marco de Trabajo para la Administración de Programas. 0,07 100%

Establecer y mantener un Marco de Trabajo para la administración de proyectos de TI.

PO10.2 - Marco de Trabajo para la Administración de Proyectos. 0,07 100%

*Establecer y mantener un sistema de monitoreo, medición y administración de sistemas. *Elaborar estatutos, calendarios, planes de calidad, presupuestos y planes de comunicación y de administración de riesgos.

PO10.3 - Enfoque de Administración de Proyectos. 0,07 100%

*Asegurar la participación y compromiso de los interesados del proyecto. *Asegurar el control efectivo de los proyectos y de los cambios a proyectos.

PO10.4 - Compromiso de los Interesados. 0,07 100%


PO10

- Ad

min

istra

r Pro

yecto

sPO

9 - E

valu

ar y

Adm

inist

rar l

os R

iesgo

s de T

IPO

8 - A

dmin

istra

r la C

alida

d

195


Definir e implementar métodos de aseguramiento y revisión de proyectos.

PO10.5 - Declaración de Alcance del Proyecto.

0,07 100%


PO10.6 - Inicio de las Fases del Proyecto.

0,07 100%


PO10.7 - Plan Integrado del Proyecto.

0,07 100%


PO10.8 - Recursos del Proyecto. 0,07 100%


PO10.9 - Administración de Riesgos del Proyecto.

0,07 100%


PO10.10 - Plan de Calidad del Proyecto.

0,07 100%


PO10.11 - Control de Cambios del Proyecto.

0,07 100%


PO10.12 - Planeación del Proyecto y Métodos de Aseguramiento.

0,07 100%


PO10.13 - Medición del Desempeño, Reporte y Monitoreo del Proyecto.

0,08 100%

Definir e implementar métodos de aseguramiento y revisión de proyectos. PO10.14 - Cierre del Proyecto. 0,08 67%

Definir los requerimientos funcionales y técnicos del negocio. *Establecer procesos para la integridad/válidez de los requerimientos.

AI1.1 - Definición y Mantenimiento de los Requerimientos Técnicos y Funcionales del Negocio.

0,25 100%

Identificar, documentar y analizar el riesgo del proceso de negocio.

AI1.2 - Reporte de Análisis de Riesgos.

0,25 100%

Evaluar los beneficios de negocio de las soluciones propuestas.

AI1.3 - Estudio de Factibilidad y Formulación de Cursos de Acción Alternativos.

0,25 0%

Conducir un estudio de factibilidad/evaluación de impacto con respecto a la implantación de los requerimientos de negocio propuestos. *Elaborar un proceso de aprobación de requerimientos. *Aprobar y Autorizar soluciones propuestas.

AI1.4 - Requerimientos, Decisión de Factibilidad y Aprobación.

0,25 100%

Traducir los requerimientos del negocio en especificaciones de diseño de alto nivel. AI2.1 - Diseño de Alto Nivel. 0,10 38%

Preparar diseño detallado y los requerimientos técnicos del software aplicativo. AI2.2 - Diseño Detallado. 0,10 92%

Preparar diseño detallado y los requerimientos técnicos del software aplicativo.

AI2.3 - Control y Posibilidad de Auditar las Aplicaciones. 0,10 100%

Especificar los controles de aplicación dentro del diseño.

AI2.4 - Seguridad y Disponibilidad de las Aplicaciones.

0,10 67%

Personalizar e implementar la funcionalidad automatizada adquirida.

AI2.5 - Configuración e Implantación de Software Aplicativo Adquirido.

0,10 100%

Personalizar e implementar la funcionalidad automatizada adquirida.

AI2.6 - Actualizaciones Importantes en Sistemas Existentes.

0,10 100%

Desarrollar las metodologías y procesos formales para administrar el proceso de desarrollo de la aplicación.

AI2.7 - Desarrollo de Software Aplicativo. 0,10 90%

Crear un plan de aseguramiento de la calidad del software para el proyecto.

AI2.8 - Aseguramiento de la Calidad del Software.

0,10 0%

Dar seguimiento y administrar los requerimientos de la aplicación.

AI2.9 - Administración de los Requerimientos de Aplicaciones.

0,10 67%

Desarrollar un plan para el mantenimiento de aplicaciones de software.

AI2.10 - Mantenimiento de Software Aplicativo. 0,10 50%

AI2 -

Adq

uirir

y m

anten

er so

ftwar

e apl

icativ

oAI

1 - Id

entif

icar s

olucio

nes a

utom

atiza

das


PO10

- Ad

min

istra

r Pro

yecto

s

196


Negociar la compra y adquirir la infraestructura requerida con proveedores (aprobados).

AI3.1 - Plan de Adquisición de Infraestructura Tecnológica.

0,25 71%

Definir el procedimiento/ proceso de adquisición.

AI3.2 - Protección y Disponibilidad del Recurso de Infraestructura.

0,25 86%

Definir estrategia y planear el mantenimiento de infraestructura.

AI3.3 - Mantenimiento de la Infraestructura.

0,25 50%

Configurar componentes de la infraestructura.AI3.4 - Ambiente de Prueba de Factibilidad. 0,25 100%

Desarrollar estrategia para que la solución sea operativa.

AI4.1 - Plan para Soluciones de Operación.

0,25 50%

Desarrollar metodología de transferencia de conocimiento.

AI4.2 - Transferencia de Conocimiento a la Gerencia del Negocio.

0,25 100%

Desarrollar manuales de procedimiento del usuario final. * Evaluar los resultados del entrenamiento y ampliar la documentación como se requiera.

AI4.3 - Transferencia de Conocimiento a Usuarios Finales.

0,25 100%

Desarrollar documentación de soporte técnica para operaciones y personal de soporte. * Desarrollar y dar entrenamiento.

AI4.4 - Transferencia de Conocimiento al Personal de Operaciones y Soporte.

0,25 57%

Desarrollar políticas y procedimientos de adquisición de TI de acuerdo con las políticas de adquisiciones a nivel corporativo.

AI5.1 - Control de Adquisición. 0,25 67%

Establecer/mantener una lista de proveedores acreditados.

AI5.2 - Administración de Contratos con Proveedores.

0,25 100%

Evaluar y seleccionar proveedores a través de un proceso de solicitud de propuesta (RFP). AI5.3 - Selección de Proveedores. 0,25 100%

Desarrollar contratos que protejan los intereses de la organización. *Realizar adquisiciones de conformidad con los procedimientos establecidos.

AI5.4 - Adquisición de Recursos de TI. 0,25 100%

Desarrollar e implementar un proceso para registrar, evaluar y dar prioridad en forma consistente a las solicitudes de cambio.

AI6.1 - Estándares y Procedimientos para Cambios. 0,20 83%

Evaluar impacto y dar prioridad a cambios en base a las necesidades del negocio.

AI6.2 - Evaluación de Impacto, Priorización y Autorización.

0,20 100%

Garantizar que cualquier cambio crítico y de emergencia sigue el proceso aprobado.

AI6.3 - Cambios de Emergencia. 0,20 33%

Autorizar cambios. AI6.4 - Seguimiento y Reporte del Estatus de Cambio.

0,20 0%

Administrar y diseminar la información relevante referente a cambios.

AI6.5 - Cierre y Documentación del Cambio. 0,20 83%

AI3

- A

dqui

rir

y m

ante

ner

infr

aest

ruct

ura

tecn

ológ

ica


AI6

- A

dmin

istr

ar c

ambi

os.

AI5

- A

dqui

rir

recu

rsos

de

TI

AI4

- F

acili

tar

la o

pera

ción

y e

l uso

197


Construir y revisar planes de investigación. AI7.1 - Entrenamiento. 0,11 30%

Definir y revisar una estrategia de prueba (criterio de entrada y salida) y la metodología de plan de prueba operacional.

AI7.2 - Plan de Prueba. 0,11 30%

Construir y mantener un repositorio de requerimientos de negocio y técnicos y casos de prueba para sistemas acreditados.

AI7.3 - Plan de Implantación. 0,11 75%

Establecer ambiente de prueba y conducir pruebas de aceptación finales.

AI7.4 - Ambiente de Prueba. 0,11 50%

Ejecutar la conversación del sistema y las pruebas de integración en ambiente de pruebas.

AI7.5 - Conversión de Sistemas y Datos. 0,11 0%


AI7.6 - Pruebas de Cambios. 0,11 33%


AI7.7 - Prueba de Aceptación Final. 0,11 80%

Recomendar la liberación a producción con base en los criterios de acreditación convenidos.

AI7.8 - Promoción a Producción. 0,11 100%


AI7.9 - Revisión Posterior a la Implantación. 0,12 75%

Crear un marco de trabajo para los servicios de TI.

DS1.1 - Marco de Trabajo de la Administración de los Niveles de Servicio.

0,17 21%

Construir un catálogo de servicios de TI. DS1.2 - Definición de Servicios. 0,17 100%

Definir los convenios de niveles de servicio (SLAs) para los servicios críticos de TI.

DS1.3 - Acuerdos de Niveles de Servicio.

0,17 50%

Definir los convenios de niveles de operación (OLAs) para soportar las SLAs.

DS1.4 - Acuerdos de Niveles de Operación.

0,17 50%

Monitorear y reportar el desempeño del servicio de punta a punta.

DS1.5 - Monitoreo y Reporte del Cumplimento de los Niveles de Servicio.

0,16 50%

Revisar los SLAs y los contratos de apoyo. Revisar y actualizar el catálogo de servicios de TI. Crear un plan de mejora de servicios.

DS1.6 - Revisión de los Acuerdos de Niveles de Servicio y de los Contratos.

0,16 50%

Identificar y categorizar las relaciones de los servicios de terceros.

DS2.1 - Identificación de Todas las Relaciones con Proveedores. 0,25 13%

Definir y documentar los procesos de administración del proveedor.

DS2.2 - Gestión de Relaciones con Proveedores.

0,25 100%

Establecer políticas y procedimientos de evaluación y suspensión de proveedores.

DS2.3 - Administración de Riesgos del Proveedor.

0,25 69%

Identificar, valorar y mitigar los riesgos del proveedor. Monitorear la prestación del servicio del proveedor. Evaluar las metas de largo plazo de la relación del servicio para todos los interesados.

DS2.4 - Monitoreo del Desempeño del Proveedor

0,25 50%

Establecer un proceso de Planeación para la revisión del desempeño y la capacidad de los recursos de TI.

DS3.1 - Planeación del Desempeño y la Capacidad. 0,20 83%

Revisar el desempeño y la capacidad actual de los recursos de TI.

DS3.2 - Capacidad y Desempeño Actual.

0,20 0%

Realizar pronósticos de desempeño y capacidad de los recursos de TI.

DS3.3 - Capacidad y Desempeño Futuros.

0,20 0%

Realizar un plan de contingencia respecto a una falta potencial de disponibilidad de recursos de TI.

DS3.4 - Disponibilidad de Recursos de TI. 0,20 50%

Monitorear y reportar continuamente la disponibilidad, el desempeño y la capacidad de los recursos de TI.

DS3.5 - Monitoreo y Reporte. 0,20 50%

DS2 –

Adm

inist

rar l

os se

rvici

os d

e ter

cero

sDS

1 – D

efini

r y ad

min

istra

r los

nive

les d

e se

rvici

oAI

7 - In

stalar

y ac

redi

tar s

olucio

nes y

cam

bios


DS3 –

Adm

inist

rar e

l des

empe

ño y

la ca

pacid

ad

198


Desarrollar un marco de trabajo de continuidad de TI.

DS4.1 - Marco de Trabajo de Continuidad de TI. 0,10 100%

Desarrollar y mantener planes de continuidad de TI.

DS4.2 - Planes de Continuidad de TI.

0,10 0%

Realizar un análisis de impacto al negocio y valoración de riesgo.

DS4.3 - Recursos Críticos de TI. 0,10 0%

Identificar y categorizar los recursos de TI con base a los objetivos de recuperación.

DS4.4 - Mantenimiento del Plan de Continuidad de TI.

0,10 100%

Definir y ejecutar procedimientos de control de cambios para asegurar que el plan de continuidad sea vigente.

DS4.5 - Pruebas del Plan de Continuidad de TI. 0,10 50%

Probar regularmente el plan de continuidad de TI.

DS4.6 - Entrenamiento del Plan de Continuidad de TI.

0,10 20%

Desarrollar un plan de acción a seguir con base en los resultados de las pruebas.

DS4.7 - Distribución del Plan de Continuidad de TI.

0,10 50%

Planear y llevar a cabo capacitación sobre planes de continuidad de TI.

DS4.8 - Recuperación y Reanudación de los Servicios de TI.

0,10 25%

Planear la recuperación y reanudación de los servicios de TI.

DS4.9 - Almacenamiento de Respaldos Fuera de las Instalaciones.

0,10 30%

Planear e implementar el almacenamiento y la protección de respaldos. Establecer los procedimientos para llevar a cabo revisiones post reanudación.

DS4.10 - Revisión Post Reanudación. 0,10 50%

Definir, establecer y operar un proceso de administración de identidad (cuentas).

DS5.1 - Administración de la Seguridad de TI. 0,09 30%

Definir y mantener un plan de seguridad de TI. DS5.2 - Plan de Seguridad de TI. 0,09 50%

Monitorear incidentes de seguridad, reales y potenciales.

DS5.3 - Administración de Identidad.

0,09 80%

Revisar y validar periódicamente los privilegios y derechos de acceso de los usuarios.

DS5.4 - Administración de Cuentas del Usuario.

0,09 0%

Establecer y mantener procedimientos para mantener y salvaguardar las llaves criptográficas.

DS5.5 - Pruebas, Vigilancia y Monitoreo de la Seguridad. 0,09 60%

Implementar y mantener controles técnicos y de procedimientos para proteger el flujo de información a través de la red.

DS5.6 - Definición de Incidente de Seguridad. 0,09 0%

Realizar evaluaciones de vulnerabilidad de manera regular.

DS5.7 - Protección de la Tecnología de Seguridad.

0,09 50%

Realizar evaluaciones de vulnerabilidad de manera regular.

DS5.8 - Administración de Llaves Criptográficas.

0,09 100%

Establecer y mantener procedimientos para mantener y salvaguardar las llaves criptográficas.

DS5.9 - Prevención, Detección y Corrección de Software Malicioso. 0,09 100%

Monitorear incidentes de seguridad, reales y potenciales.

DS5.10 - Seguridad de la Red. 0,09 100%

Definir y mantener un plan de seguridad de TI.DS5.11 - Intercambio de Datos Sensitivos. 0,10 50%

DS5

– G

aran

tizar

la se

guri

dad

de lo

s sist

emas

DS4

– G

aran

tizar

la c

ontin

uida

d de

l ser

vici

o


199


Mapear la infraestructura con los servicios brindados/procesos de negocio soportados.

DS6.1 - Definición de Servicios. 0,25 50%

Identificar todos los costos de TI (personas, tecnología, etc) y mapearlos a los servicios de TI con bases en costos unitarios.

DS6.2 - Contabilización de TI. 0,25 100%

Establecer y mantener un proceso de control de contabilización de TI y de costos.

DS6.3 - Modelación de Costos y Cargos. 0,25 86%

Establecer y mantener procedimientos y políticas de facturación.

DS6.4 - Mantenimiento del Modelo de Costos. 0,25 100%

Identificar y categorizar las necesidades de capacitación de los usuarios.

DS7.1 - Identificación de Necesidades de Entrenamiento y Educación.

0,33 57%

Construir un programa de capacitación. DS7.2 - Impartición de Entrenamiento y Educación

0,33 100%

Realizar actividades de capacitación, intrusión y concienciación. Llevar a cabo evaluaciones de capacitación. Identificar y evaluar los mejores métodos y herramientas para impartir la capacitación.

DS7.3 - Evaluación del Entrenamiento Recibido.

0,34 0%

Crear procedimientos de clasificación (severidad e impacto) y de escalamiento (funcional y jerárquico).

DS8.1 - Mesa de Servicios. 0,20 0%

Detectar y registrar incidentes/solicitudes de servicio/solicitudes de información.

DS8.2 - Registro de Consultas de Clientes.

0,20 100%

Clasificar, investigar y diagnosticar consultas. DS8.3 - Escalamiento de Incidentes. 0,20 0%

Resolver, recuperar y cerrar incidentes. DS8.4 - Cierre de Incidentes. 0,20 0%Informar a usuarios (por ejemplo, actualizaciones de estatus). Hacer reportes para la gerencia.

DS8.5 - Análisis de Tendencias. 0,20 50%

Desarrollar procedimientos de planeación de administración de la configuración.

DS9.1 Repositorio y Línea Base de Configuración.

0,33 25%

Recopilar información sobre la configuración inicial y establecer líneas base.

DS9.2 - Identificación y Mantenimiento de Elementos de Configuración.

0,33 0%

Verificar y auditar la información de la configuración (incluye la detección del software no autorizado). Actualizar el repositorio de configuración.

DS9.3 - Revisión de Integridad de la Configuración. 0,34 33%

DS

8 –

Ad

min

istr

ar la

mes

a d

e se

rvic

io y

los

inci

den

tes

DS

7 –

Ed

uca

r y

entr

enar

a lo

s u

suar

ios

DS

6 –

Iden

tifi

car

y as

ign

ar c

osto

s

EVALUACIÓN POR CONTROLES - COBITD

S9

– A

dm

inis

trar

la

con

figu

raci

ón

200


Identificar y clasificar problemas. DS10.1 - Identificación y Clasificación de Problemas

0,25 0%

Realizar análisis de causa raíz. DS10.2 - Rastreo y Resolución de Problemas

0,25 0%

Resolver problemas. Revisar el estatus de problemas.

DS10.3 - Cierre de Problemas 0,25 0%

Emitir recomendaciones para mejorar y crear una solicitud de cambio relacionada. Mantener registros de los problemas.

DS10.4 - Integración de las Administraciones de Cambios, Configuración y Problemas.

0,25 0%

Traducir los requerimientos de almacenamiento y conservación a procedimientos.

DS11.1 - Requerimientos del Negocio para Administración de Datos.

0,17 25%

Definir, mantener e implementar procedimientos para administrar librerías de medios.

DS11.2 - Acuerdos de Almacenamiento y Conservación. 0,17 50%

Definir, mantener e implementar procedimientos para desechar de forma segura, medios y equipo.

DS11.3 - Sistema de Administración de Librerías de Medios. 0,17 0%

Respaldar los datos de acuerdo al esquema. DS11.4 - Eliminación. 0,17 0%Definir, mantener e implementar procedimientos para restauración de datos.

DS11.5 - Respaldo y Restauración. 0,16 50%

Respaldar los datos de acuerdo al esquema.DS11.6 - Requerimientos de Seguridad para la Administración de Datos.

0,16 0%

Definir el nivel requerido de protección física. DS12.1 - Selección y Diseño del Centro de Datos.

0,20 83%

Seleccionar y comisionar el sitio (centro de datos, oficina, etc).

DS12.2 - Medidas de Seguridad Física.

0,20 88%

Implementar medidas de ambiente físico. DS12.3 - Acceso Físico. 0,20 100%

Administrar el ambiente físico (mantenimiento, monitoreo y reportes incluidos).

DS12.4 - Protección Contra Factores Ambientales. 0,20 100%

Definir e implementar procesos para mantenimiento y autorización de acceso físico.

DS12.5 - Administración de Instalaciones Físicas.

0,20 50%

Crear/modificar procedimientos de operación (incluyendo manuales, planes de cambios, procedimientos de escalamiento, etc).

DS13.1 - Procedimientos e Instrucciones de Operación. 0,20 50%

Programación de cargas de trabajo y de programas en lote.

DS13.2 - Programación de Tareas. 0,20 100%

Monitorear la infraestructura y procesar y resolver problemas. Programar y llevar a cabo mantenimiento preventivo.

DS13.3 - Monitoreo de la Infraestructura de TI. 0,20 0%

Administrar y asegurar la salida física de información (reportes, medios, etc). Implementar/establecer un proceso para salvaguardar los dispositivos de autenticación contra interferencia, perdida o robo.

DS13.4 - Documentos Sensitivos y Dispositivos de Salida.

0,20 50%

Aplicar cambios o arreglos al programa de infraestructura.

DS13.5 - Mantenimiento Preventivo del Hardware. 0,20 100%


DS1

3 –

Adm

inist

rar

las o

pera

cion

esD

S12

– A

dmin

istra

r el

am

bien

te

físic

oD

S11

– A

dmin

istra

r lo

s dat

osD

S10

– A

dmin

istra

r lo

s pr

oble

mas

201


Establecer el enfoque de monitoreo. ME1.1 - Enfoque del Monitoreo. 0,17 0%

Identificar y recolectar objetivos medibles que apoyen a los objetivos el negocio.

ME1.2 - Definición y Recolección de Datos de Monitoreo.

0,17 100%

Crear cuadro de mandos. ME1.3 - Método de Monitoreo. 0,17 100%

Evaluar el desempeño. ME1.4 - Evaluación del Desempeño.

0,17 100%

Reportar el desempeño. ME1.5 - Reportes al Consejo Directivo y a Ejecutivos.

0,16 100%

Identificar y monitorear las medidas de mejora del desempeño. ME1.6 - Acciones Correctivas. 0,16 100%

Monitorear y controlar las actividades de control interno de TI.

ME2.1 - Monitorización del Marco de Trabajo de Control Interno. 0,14 100%

Crear cuadro de mandos. ME2.2 - Revisiones de Auditoría. 0,14 100% Monitorear el proceso para identificar y evaluar las excepciones de control.

ME2.3 - Excepciones de Control. 0,14 100%

Monitorear el proceso de auto evaluación. ME2.4 - Control de Auto Evaluación.

0,14 0%

Monitorear el proceso para identificar y evaluar y remediar las excepciones de control.

ME2.5 - Aseguramiento del Control Interno. 0,14 100%

Monitorear el proceso para obtener aseguramiento sobre los controles operados por terceros.

ME2.6 - Control Interno para Terceros. 0,15 100%

Reportar a los interesados clave. ME2.7 - Acciones Correctivas. 0,15 100%

Definir y ejecutar un proceso para identificar los requerimientos legales, contractuales de políticas y regulatorios.

ME3.1 - Identificar los Requerimientos de las Leyes, Regulaciones y Cumplimientos Contractuales.

0,20 100%

Evaluar cumplimiento de actividades de TI con políticas, estándares y procedimientos de TI.

ME3.2 - Optimizar la Respuesta a Requerimientos Externos 0,20 100%

Crear cuadro de mandos.ME3.3 - Evaluación del Cumplimiento con Requerimientos Externos.

0,20 100%

Brindar retro alimentación para alinear las políticas, estándares y procedimientos de TI con los requerimientos de cumplimiento.

ME3.4 - Aseguramiento Positivo del Cumplimiento. 0,20 100%

Integrar los reportes e TI sobre los requerimientos regulatorios con similares provenientes e otras funciones del negocio.

ME3.5 - Reportes Integrados. 0,20 100%

Establecer visibilidad y facilitación del consejo y de los ejecutivos hacia las actividades de TI.

ME4.1 - Establecimiento de un Marco de Gobierno de TI. 0,14 100%

Revisar, avalar, alinear y comunicar el desempeño de TI, la estrategia de TI, el manejo de recursos y riesgos de TI con respecto a la estrategia empresarial.

ME4.2 - Alineamiento Estratégico. 0,14 38%

Crear cuadro mandos. ME4.3 - Entrega de Valor. 0,14 100%Resolver los hallazgos de las evaluaciones independientes y garantizar la implantación por parte de la gerencia de las recomendaciones acordadas.

ME4.4 - Administración de Recursos.

0,14 100%

Generar un reporte de gobierno de TI. ME4.5 - Administración de Riesgos. 0,14 0%

Revisar, avalar, alinear y comunicar el desempeño de TI, la estrategia de TI, el manejo de recursos y riesgos de TI con respecto a la estrategia empresarial.

ME4.6 - Medición del Desempeño. 0,15 100%

Generar un reporte de gobierno de TI.ME4.7 - Aseguramiento Independiente. 0,15 100%


ME4

- Pro

porc

ionar

Gob

ierno

de T

IM

E3 - G

aran

tizar

el C

umpli

mien

to Re

gulat

orio

ME2

- Mon

itore

ar y

Evalu

ar el

Con

trol

Inter

noM

E1 - M

onito

rear

y Ev

aluar

el

Desem

peño

de T

I


202

ANEXO 3: RESUMEN DE OBJETIVOS DE CONTROL DE MENOR

CUMPLIMIENTO

OBJETIVOS DE CONTROL %PO1.2 - Alineación de TI con el Negocio 50%PO2.1 - Modelo de Arquitectura de Información Empresarial 47%PO2.2 - Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos 0%PO2.3 - Esquema de Clasificación de Datos 0%PO2.4 - Administración de Integridad 25%PO3.3 - Monitoreo de Tendencias y Regulaciones Futuras 0%PO3.5 - Consejo de Arquitectura de TI 0%PO4.2 - Comité Estratégico de TI 0%PO4.3 - Comité Directivo de TI 0%PO4.7 - Responsabilidad de Aseguramiento de Calidad de TI 0%PO4.8 - Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento 14%PO4.9 - Propiedad de Datos y de Sistemas 33%PO4.15 - Relaciones 50%PO5.2 - Prioridades dentro del Presupuesto de TI 33%PO5.5 - Administración de Beneficios 33%PO6.5 - Comunicación de los Objetivos y la Dirección de TI 50%PO7.4 - Entrenamiento del Personal de TI 0%PO7.5 - Dependencia Sobre los Individuos 50%PO8.1 - Sistema de Administración de Calidad 50%PO8.2 - Estándares y Prácticas de Calidad. 50%PO8.3 - Estándares de Desarrollo y de Adquisición 13%PO8.5 - Mejora Continua 0%PO8.6 - Medición, Monitoreo y Revisión de la Calidad 0%PO9.1 - Marco de Trabajo de Administración de Riesgos 50%PO9.2 - Establecimiento del Contexto del Riesgo 0%PO9.3 - Identificación de Eventos 50%PO9.4 - Evaluación de Riesgos de TI 50%PO9.5 - Respuesta a los Riesgos 17%PO9.6 - Mantenimiento y Monitoreo de un Plan de Acción de Riesgos 50%AI1.3 - Estudio de Factibilidad y Formulación de Cursos de Acción Alternativos 0%AI2.1 - Diseño de Alto Nivel 38%AI2.8 - Aseguramiento de la Calidad del Software 0%AI2.10 - Mantenimiento de Software Aplicativo 50%AI3.3 - Mantenimiento de la Infraestructura 50%AI4.1 - Plan para Soluciones de Operación 50%AI4.4 - Transferencia de Conocimiento al Personal de Operaciones y Soporte 57%AI6.3 - Cambios de Emergencia 33%AI6.4 - Seguimiento y Reporte del Estatus de Cambio 0%AI7.1 - Entrenamiento 30%AI7.2 - Plan de Prueba 30%AI7.4 - Ambiente de Prueba 50%AI7.5 - Conversión de Sistemas y Datos 0%AI7.6 - Pruebas de Cambios 33%

OBJETIVOS DE CONTROL DE MENOR CUMPLIMIENTO

203

OBJETIVOS DE CONTROL %DS1.1 - Marco de Trabajo de la Administración de los Niveles de Servicio 21%DS1.3 - Acuerdos de Niveles de Servicio 50%DS1.4 - Acuerdos de Niveles de Operación 50%DS1.5 - Monitoreo y Reporte del Cumplimento de los Niveles de Servicio 50%DS1.6 - Revisión de los Acuerdos de Niveles de Servicio y de los Contratos 50%DS2.1 - Identificación de Todas las Relaciones con Proveedores 13%DS2.4 - Monitoreo del Desempeño del Proveedor 50%DS3.2 - Capacidad y Desempeño Actual 0%DS3.3 - Capacidad y Desempeño Futuros 0%DS3.4 - Disponibilidad de Recursos de TI 50%DS3.5 - Monitoreo y Reporte 50%DS4.2 - Planes de Continuidad de TI 0%DS4.3 - Recursos Críticos de TI 0%DS4.5 - Pruebas del Plan de Continuidad de TI 50%DS4.6 - Entrenamiento del Plan de Continuidad de TI 20%DS4.7 - Distribución del Plan de Continuidad de TI 50%DS4.8 - Recuperación y Reanudación de los Servicios de TI 25%DS4.9 - Almacenamiento de Respaldos Fuera de las Instalaciones 30%DS4.10 - Revisión Post Reanudación 50%DS5.1 - Administración de la Seguridad de TI 30%DS5.2 - Plan de Seguridad de TI 50%DS5.4 - Administración de Cuentas del Usuario 0%DS5.6 - Definición de Incidente de Seguridad 0%DS5.7 - Protección de la Tecnología de Seguridad 50%DS5.11 - Intercambio de Datos Sensitivos 50%DS6.1 - Definición de Servicios 50%DS7.1 - Identificación de Necesidades de Entrenamiento y Educación 57%DS7.3 - Evaluación del Entrenamiento Recibido 0%DS8.1 - Mesa de Servicios 0%DS8.3 - Escalamiento de Incidentes 0%DS8.4 - Cierre de Incidentes 0%DS8.5 - Análisis de Tendencias 50%DS9.1 - Repositorio y Línea Base de Configuración 25%DS9.2 - Identificación y Mantenimiento de Elementos de Configuración 0%DS9.3 - Revisión de Integridad de la Configuración 33%DS10.1 - Identificación y Clasificación de Problemas 0%DS10.2 - Rastreo y Resolución de Problemas 0%DS10.3 - Cierre de Problemas 0%DS10.4 - Integración de las Administraciones de Cambios, Configuración y Problemas 0%DS11.1 - Requerimientos del Negocio para Administración de Datos 25%DS11.2 - Acuerdos de Almacenamiento y Conservación 50%DS11.3 - Sistema de Administración de Librerías de Medios 0%DS11.4 - Eliminación 0%DS11.5 - Respaldo y Restauración 50%DS11.6 - Requerimientos de Seguridad para la Administración de Datos 0%DS12.5 - Administración de Instalaciones Físicas 50%DS13.1 - Procedimientos e Instrucciones de Operación 50%DS13.3 - Monitoreo de la Infraestructura de TI 0%DS13.4 - Documentos Sensitivos y Dispositivos de Salida 50%ME1.1 - Enfoque del Monitoreo 0%ME2.4 - Control de Auto Evaluación 0%ME4.2 - Alineamiento Estratégico 38%ME4.5 - Administración de Riesgos 0%

OBJETIVOS DE CONTROL DE MENOR CUMPLIMIENTO


204

ANEXO 4: EVALUACIÓN DE OBJETIVOS DE CONTROL CRÍTICOS

OBJETIVOS DE CONTROL %PO2.2 - Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos 0%PO2.3 - Esquema de Clasificación de Datos 0%PO3.3 - Monitoreo de Tendencias y Regulaciones Futuras 0%PO3.5 - Consejo de Arquitectura de TI 0%PO4.2 - Comité Estratégico de TI 0%PO4.3 - Comité Directivo de TI 0%PO4.7 - Responsabilidad de Aseguramiento de Calidad de TI 0%PO7.4 - Entrenamiento del Personal de TI 0%PO8.5 - Mejora Continua 0%PO8.6 - Medición, Monitoreo y Revisión de la Calidad 0%PO9.2 - Establecimiento del Contexto del Riesgo 0%AI1.3 - Estudio de Factibilidad y Formulación de Cursos de Acción Alternativos 0%AI2.8 - Aseguramiento de la Calidad del Software 0%AI6.4 - Seguimiento y Reporte del Estatus de Cambio 0%AI7.5 - Conversión de Sistemas y Datos 0%DS3.2 - Capacidad y Desempeño Actual 0%DS3.3 - Capacidad y Desempeño Futuros 0%DS4.2 - Planes de Continuidad de TI 0%DS4.3 - Recursos Críticos de TI 0%DS5.4 - Administración de Cuentas del Usuario 0%DS5.6 - Definición de Incidente de Seguridad 0%DS7.3 - Evaluación del Entrenamiento Recibido 0%DS8.1 - Mesa de Servicios 0%DS8.3 - Escalamiento de Incidentes 0%DS8.4 - Cierre de Incidentes 0%DS9.2 - Identificación y Mantenimiento de Elementos de Configuración 0%DS10.1 - Identificación y Clasificación de Problemas 0%DS10.2 - Rastreo y Resolución de Problemas 0%DS10.3 - Cierre de Problemas 0%DS10.4 - Integración de las Administraciones de Cambios, Configuración y Problemas 0%DS11.3 - Sistema de Administración de Librerías de Medios 0%DS11.4 - Eliminación 0%DS11.6 - Requerimientos de Seguridad para la Administración de Datos 0%DS13.3 - Monitoreo de la Infraestructura de TI 0%ME1.1 - Enfoque del Monitoreo 0%ME2.4 - Control de Auto Evaluación 0%ME4.5 - Administración de Riesgos 0%

OBJETIVOS DE CONTROL CRÍTICOS


205

ANEXO 5: FORMATO DE APLICACIÓN ANÁLISIS DE RIESGOS DE TI

(A)

En conjunto con la Jefe de TI se han identificado las amenazas y los objetos. Para categorizar los riesgos se utilizará el método matricialAmenazas Objetos

Pérdida de datos Archivos de base de datosDesastre físico Computadoras/DiscosRobo ProgramasErrores Terminal de operaciónAcceso ilegal ReportesViolación de privacidad Circuitos de comunicación

TerminalesInfraestructura

ANALISIS DE RIESGO DE TI

Objetivo general: Identificar las causas de los riesgos potenciales, en el área de TI y cuantificarlos para que la gerencia pueda tener información suficiente al respecto y optar por el diseño e implantación de los controles correspondientes a fin de minimizar los efectos de las causas de los riesgos, en los diferente

puntos de análisis.

Pérdida de datos

Pérdida de datos

Desastre físicoDesastre físico

Robo Robo

Errores Errores

Acceso ilegal Acceso ilegal

Violación de privacidad

Violación de privacidad

Análisis de Amenazas

206

ANEXO 6: FORMATO DE APLICACIÓN ANÁLISIS DE RIESGOS DE TI

(B)

Archivos de base de datos

Archivos de base de datos

Computadoras/Discos

Computadoras/Discos

Programas Programas

Terminal de operación

Terminal de operación

Reportes Reportes

Circuitos de comunicación

Circuitos de comunicación

Terminales Terminales

Infraestructura Infraestructura

Nota: Si los evaluadores consideran que existen otras amenazas y objetos que los enlistados, pueden incrementarlos en la matriz para el análisis de riesgo y aplicar la evaluación

Análisis de Objetos

207

ANEXO 7: APLICACIÓN ANÁLISIS DE RIESGOS EN EL

DEPARTAMENTO DE SISTEMAS (1)

208



209



210



211

BIBLIOGRAFÍA

• Annie. (12 de 11 de 2010). Proyecto Socio – Tecnología Ide Annie.

http://nombrem1t2pnfinf.blogspot.com/2010/11/matriz-foda.html

• Directrices de Auditoría Julio de 2000 - 3a Edición Emitido por el Comité

Directivo de COBIT y El IT Governance Institute TM

• Fundación Wikimedia, I. (04 de 09 de 2012).

http://es.wikipedia.org/wiki/Objetivos_de_control_para_la_informaci%C3%

B3n_y_tecnolog%C3%ADas_relacionadas

• Fundación Wikimedia, I. (26 de 08 de 2012).

http://es.wikipedia.org/wiki/Riesgo_%28inform%C3%A1tica%29

• IT Governance Institute. (2007). COBIT 4.1, Págs. 6, 9, 12, 13, 19, 29 , 33,

37, 41, 47, 51, 55, 59, 63, 67, 73, 77, 81, 85, 89, 93, 97, 101, 105, 109, 113,

117, 121, 125, 129, 133, 137, 141, 145, 149, 153, 157, 161, 165, Rolling

Meadows,EE.UU.: IT Governance Institute.

• José Dagoberto Pinilla Forero. (1992). Auditoría informática, Un enfoque

operacional, Pág.167, 175, 181, 183, 184, 186 Colombia: ECOE

EDICIONES.

• Objetivos de Control Abril de 1998 – 2da Edición Emitido por el Comité

Directivo de COBIT y la Information Systems Audit and Control Foundation

• Rico, J. R. (18 de 05 de 2010). Suite101.net. Recuperado el 31 de 08 de 2012,

de http://suite101.net/view_image.cfm/148232

• Rosas Vázquez. (2007). Propuesta de un Modelo de Administración

Estratégica. Vol 1, No 2.

• Talancón, H. P. (2006). La matriz FODA: una alternativa para realizar

diagnósticos y. Santo Tomás: ESCA UNAM .

212

DEFINICIONES DE TÉRMINOS

AD HOC: Es una locución latina que significa literalmente «para esto». Se refiere a

una solución elaborada específicamente para un problema o fin preciso.

ARQUITECTURA DE TI: Un marco integrado para evolucionar o dar

mantenimiento a TI existente y adquirir nueva TI para alcanzar las metas

estratégicas y de negocio de la empresa.

BAAN: Es un ERP (Planificador de Recursos Empresariales). Es un sistema que

integra la información de todas las operaciones de la empresa, siguiendo el objetivo

de manejo y control de información actualizada para la toma de decisiones.

BALANCED SCORECARDS: Cuadro de Mando Integral – CMI es un método

para medir las actividades de una compañía en términos de su visión y estrategia.

Proporciona a los gerentes una mirada global del desempeño del negocio.

COBIT: Control Objetives for Information and Related Technology (objetivos de

control para la información y las tecnologías relacionadas). Su misión es investigar,

desarrollar, publicar y promover un marco de trabajo de control de gobierno de TI

autorizado y actualizado, internacionalmente aceptado y adoptado para el uso

cotidiano de las empresas, gerentes de negocios, profesionales de TI y de

Aseguramiento.

CONTROL: Las políticas, procedimientos, practicas y estructuras organizacionales

diseñadas para garantizar razonablemente que los objetivos del negocio serán

alcanzados y que eventos no deseable serán prevenidos o detectados y corregidos.

COSO: (COMMITTEE OF SPONSORING ORGANIZATIONS). Comité de

Organizaciones Patrocinadoras de la comisión Treadway. Estándar aceptado a nivel

internacional para el gobierno corporativo.

http://es.wikipedia.org/wiki/Locuci%C3%B3n_latina

213

DELPHI: Es una metodología de investigación multidisciplinaria para la realización

de pronósticos y predicciones.

DIRECTRICES DE AUDITORÍA: Es una herramienta complementaria que

permiten al auditor comparar los procesos específicos de TI con los objetivos de

control de COBIT recomendados para ayudar a los directivos a identificar en qué

casos los controles son suficientes, o para asesorarlos respectos a los procesos que

requieren ser mejorados.

DOFA: Debilidades, Oportunidades, Fortalezas y Amenazas. Es una herramienta

utilizada para la formulación y evaluación de estrategia. Generalmente es utilizada

para empresas.

DOMINIO: Agrupación de objetivos de control en etapas lógicas en el ciclo de vida

de inversión en TI.

GOBIERNO DE TI: Una estructura de relaciones y procesos para dirigir y controlar

la empresa con el fin de lograr sus objetivos al añadir valor mientras se equilibran los

riesgos contra el retorno sobre TI y sus procesos.

HOST: Se refiere a las computadoras conectadas a una red, que proveen y utilizan

servicios de ella.

INCIDENTE: Cualquier evento que no sea parte de la operación estándar de un

servicio que ocasione, o pueda ocasionar, una interrupción o una reducción de la

calidad de ese servicio (alineado a ITIL).

INFRAESTRUCTURA: La tecnología, los recursos humanos y las instalaciones

que permiten el procesamiento de las aplicaciones:

ISACA: Asociación para la Auditoría y Control de Sistemas de Información.

ITGI: Instituto de Administración de las Tecnologías de la Información.

http://es.wikipedia.org/w/index.php?title=ISACA&action=edit&redlink=1

214

KPI: Indicadores Clave de Desempeño, miden el nivel del desempeño de un

proceso, enfocándose en el "cómo" e indicando el rendimiento de los procesos, de

forma que se pueda alcanzar el objetivo fijado.

MARCO DE TRABAJO: Es un Marco de control que permite a los dueños del

negocio facilitar las descargas de sus responsabilidades a través de la procuración de

un modelo de soporte.

MARCO REFERENCIAL COBIT: Explica cómo COBIT organiza los objetivos

de Gobierno y las mejores prácticas de TI con base en dominios y procesos de TI, y

los alinea a los requerimientos del negocio.

METODOLOGÍA: Modo de hacer o definir con orden una cosa.

OBJETIVOS DE CONTROL: Brindan objetivos a la dirección basados en las

mejores prácticas genéricas para todos los procesos de TI.

OLA: Acuerdo de nivel de operación, es un documento interno de la organización

donde se especifican las responsabilidades y compromisos de los diferentes

departamentos de la organización TI en la prestación de un determinado servicio.

ORGANIZACIÓN: La manera en que una empresa está estructurada.

OUTSOURCING: La subcontratación o tercerización, es el proceso económico en

el cual una empresa mueve o destina los recursos orientados a cumplir ciertas tareas

hacia una empresa externa por medio de un contrato.

PLAN ESTRATÉGICO DE TI: Es un plan a largo plazo con un horizonte de tres a

cinco años, en el cual la gerencia del negocio y de TI describen de forma cooperativa

cómo los recursos de TI contribuirán a los objetivos estratégicos empresariales

(metas).

215

PROCESO: Por lo general, un conjunto de procedimientos influenciados por las

políticas y estándares de la organización.

RIESGO: El potencial de que una amenaza específica explote las debilidades de un

activo o grupo de activos para ocasionar y/o daños a los activos.

QMS: Asegurar las funciones de una organización eficiente y ofrecer sus objetivos

de negocio, incluyendo el cumplimiento de los requisitos del cliente.

SLA: Acuerdo de nivel de servicio, es un contrato escrito entre un proveedor de

servicio y su cliente con objeto de fijar el nivel acordado para la calidad de dicho

servicio.

STAKEHOLDERS: Son las personas a quienes pueden afectar o son afectados por

las actividades de una empresa.

TI: Tecnologías de la Información y la Comunicación (TIC o bien NTIC para nuevas

tecnologías de la información y de la comunicación) agrupan los elementos y las

técnicas usadas en el tratamiento y la transmisión de la información.

TIC: Las tecnologías de la información y la comunicación (TIC o bien NTIC para

nuevas tecnologías de la información y de la comunicación) agrupan los elementos y

las técnicas usadas en el tratamiento y la transmisión de la información,

principalmente la informática, Internet y las telecomunicaciones.

USUARIO: Una persona que utiliza los sistemas empresariales.

sede guayaquil facultad de ingenierÍas...

Documents