4.1<br />
COBIT:  <br />C            Control<br />OB		  OBjectives<br />I		  for Information<br />T	         and Related Technology<...
Versiones de COBIT<br />Septiembre<br />2011<br />Versión 5.0<br />1996<br />Versión 1.0<br />2000<br />Versión 3.0<br />2...
Misión de COBIT  <br />“Para investigar, desarrollar, publicar y promover un conjunto  actualizado   e internacional de ob...
Marco de Trabajo<br />La estructura del modelo COBIT propone un marco de acción donde se evalúan los criterios de informac...
Marco de Trabajo    (continuación)<br />Cada vez más, la alta dirección se está dando cuenta del impacto significativo que...
El Cubo de COBIT<br />
Criterios de Información de COBIT<br />Trata con información que es relevante y pertinente al proceso de negocio, además d...
Criterios de Información de COBIT<br />Se relaciona con la exactitud  de la información así como también con su validez en...
Criterios de Información de COBIT<br />Trata con el cumplimiento de aquellas   leyes, regulaciones  y arreglos contractual...
Recursos TI<br />incluyen tanto sistemas de usuario automatizados como procedimientos manuales que procesan información. <...
Recursos TI            (continuación)<br />Es la tecnología y las instalaciones (hardware, sistemas operativos, sistemas d...
LOS PROCESOS REQUIEREN CONTROLES<br />Control   se define como las políticas, procedimientos, prácticas y estructuras orga...
Los objetivos de control detallados se identifican por dos caracteres que representan el dominio (PO, AI, DS y ME) más un ...
PC1 Metas y Objetivos del Proceso<br />	Definir y comunicar procesos, metas y objetivos específicos, medibles, accionables...
PC2 Propiedad del Proceso<br />	Asignar un dueño para cada proceso de TI, y definir claramente los roles y responsabilidad...
PC3 Proceso Repetible<br />   Diseñar y establecer cada proceso clave de TI de tal manera que sea repetible y consecuentem...
PC4 Roles y Responsabilidades<br />   Asignar y comunicar roles y responsabilidades   para la ejecución efectiva y eficien...
PC5 Políticas, Planes y Procedimientos<br />   Definir y comunicar cómo todas las políticas, planes y procedimientos que d...
PC6 Desempeño del Proceso<br />   Identificar un conjunto de métricas que proporcionen visión de las salidas y el desempeñ...
Lic. Enel R. Almonte P.<br />
Estructura de COBIT<br />
Dominio: Planeación y Organización<br />PO2 Definir la <br />Arquitectura de<br />Información.<br />PO1 Definir un plan<br...
Dominio: Planeación y Organización<br />Este dominio cubre estrategia y táctica,  y se relaciona con la identificación de ...
PO1. Definición de un plan Estratégico<br />Para que?: <br />Actividades: <br />PO1.1 Administración del valor de TI<br />...
PO2. Definir la Arquitectura de la Información<br />Para que?: <br />Actividades: <br />PO2.1 Modelo de Arquitectura de In...
PO3. Determinar la Dirección Tecnológica.<br />Para que?: <br />Actividades: <br />PO3.1Planeación de la Dirección Tecnoló...
PO4. Definir los Procesos, Organización y Relaciones de TI.<br />Para que?: <br />Actividades: <br />PO4.1 Marco de Trabaj...
PO4. Definir los Procesos, Organización y Relaciones de TI. (continuación)<br />Actividades: <br />PO4.7 Responsabilidad d...
PO5. Administrar la Inversión en TI.<br />Para que?: <br />Actividades: <br />PO5.1 Marco de Trabajo para la Administració...
PO6. Comunicar las Aspiraciones y la Dirección de la Gerencia.<br />Para que?: <br />Actividades: <br />PO6.1 Ambiente de ...
PO7. Administrar los Recursos Humanos de TI.<br />Para que?: <br />Actividades: <br />PO7.1 Reclutamiento y Retención del ...
PO8. Administrar la Calidad.<br />Para que?: <br />Actividades: <br />PO8.1 Sistema de Administración de Calidad.<br />PO8...
PO9. Evaluar y Administrar los Riesgos de TI.<br />Para que?: <br />Actividades: <br />PO9.1 Marco de Trabajo de Administr...
PO10. Administrar Proyectos.<br />Para que?: <br />Actividades: <br />PO10.1 Marco de Trabajo para la Administración de Pr...
PO10. Administrar Proyectos.           (continuación)<br />Actividades: <br />PO10.6 Inicio de las Fases del Proyecto.<br ...
Dominio: Adquirir e Implementar<br />AI1. Identificar soluciones<br /> automatizadas<br />AI5. Adquirir <br />recursos de ...
Dominio: Adquirir e Implementar<br />Para realizar las estrategias TI, se deben desarrollar o adquirir  las soluciones,  a...
AI1. Identificar soluciones automatizadas<br />Para que?: <br />Actividades: <br />AI1.1 Definición y Mantenimiento de los...
AI2. Adquirir y mantener software aplicativo<br />Para que?: <br />Actividades: <br />AI2.1 Diseño de Alto Nivel.<br />AI2...
AI2. Adquirir y mantener software aplicativo (continuación)<br />Actividades: <br />AI2.6 Actualizaciones Importantes en S...
AI3. Adquirir y mantener infraestructura tecnológica<br />Para que?: <br />Actividades: <br />AI3.1 Plan de Adquisición de...
AI4. Facilitar la operación y el uso<br />Para que?: <br />Actividades: <br />AI4.1 Plan para Soluciones de Operación.<br ...
AI5. Adquirir recursos de TI<br />Para que?: <br />Actividades: <br />AI5.1 Control de Adquisición.<br />AI5.2 Administrac...
AI6 Administrar Cambios<br />Para que?: <br />Todos los cambios, incluyendo el mantenimiento de emergencia y parches, rela...
AI6 Administrar Cambios              (continuación)<br />Actividades: <br />AI6.1 Estándares y Procedimientos para Cambios...
AI7. Instalar y acreditar soluciones y cambios<br />Para que?: <br />Actividades: <br />AI7.1 Entrenamiento.<br />AI7.2 Pl...
AI7. Instalar y acreditar soluciones y cambios (continuación)<br />Actividades: <br />AI7.5 Conversión de Sistemas y Datos...
Lic. Gregory Moronta<br />
Dominio: <br />Entregar y Dar Soporte<br />DS1Definir y administrar <br />los niveles de servicio<br />DS13Administrar las...
Dominio: Entregar y Dar Soporte<br />Este dominio se hace referencia a la entrega de los servicios requeridos, que abarca ...
DS1. Definir y Administrar los Niveles de Servicio<br />Para que?: <br />Actividades: <br />DS1.1 Marco de Trabajo de la A...
DS2. Administrar los Servicios de Terceros<br />Para que?: <br />Actividades: <br />DS2.1 Identificación de Todas las Rela...
DS3. Administración de Desempeño y Capacidad<br />Para que?: <br />Actividades: <br />DS3.1 Planeación del Desempeño y la ...
DS4. Garantizar la Continuidad del Servicio<br />Para que?: <br />Actividades: <br />DS4.1 Marco de Trabajo de Continuidad...
DS4. Garantizar la Continuidad del Servicio<br />Para que?: <br />Actividades: <br />DS4.6 Entrenamiento del Plan de Conti...
DS5. Garantizar la Seguridad de los Sistemas<br />Para que?: <br />Actividades: <br />DS5.1 Administración de la Seguridad...
DS5. Garantizar la Seguridad de los Sistemas<br />Para que?: <br />Actividades: <br />DS5.7 Protección de la Tecnología de...
DS6. Identificar y Asignar Costos<br />Para que?: <br />Actividades: <br />DS6.1 Definición de Servicios<br />DS6.2 Contab...
DS7. Educar y Entrenar a los Usuarios<br />Para que?: <br />Actividades: <br />DS7.1 Identificación de Necesidades de <br ...
DS8. Administrar la Mesa de Servicio y los Incidentes<br />Para que?: <br />Actividades: <br />DS8.1 Mesa de Servicios<br ...
DS9. Administración de Configuración<br />Para que?: <br />Actividades: <br />DS9.1 Repositorio y Línea Base de Configurac...
DS10. Administración de Configuración<br />Para que?: <br />Actividades: <br />DS10.1 Identificación y Clasificación de Pr...
DS11. Administración de Configuración<br />Para que?: <br />Actividades: <br />DS11.1 Requerimientos del Negocio para Admi...
DS12. Administración del Ambiente Físico<br />Para que?: <br />Actividades: <br />DS12.1 Selección y Diseño del Centro de ...
Dominio: <br />Monitorear y Evaluar<br />ME2 Monitorear y Evaluar <br />el Control Interno<br />ME1 Monitorear y Evaluar <...
Dominio: Adquirir e Implementar<br />Todos los procesos de una organización necesitan ser evaluados regularmente a través ...
ME1. Administración del Ambiente Físico<br />Para que?: <br />Actividades: <br />ME1.1 Enfoque del Monitoreo<br />ME1.2 De...
ME2. Monitorear y Evaluar el Control Interno<br />Para que?: <br />Actividades: <br />ME2.1 Monitoreo del Marco de Trabajo...
ME3. Garantizar el Cumplimiento con Requerimiento Externos<br />Para que?: <br />Actividades: <br />ME3.1 Identificar los ...
ME4. Garantizar el Cumplimiento con Requerimiento Externos<br />Para que?: <br />Actividades: <br />ME4.1 Establecimiento ...
COBIT - CURNE - UASD.pptx
Próxima SlideShare
Cargando en…5
×

COBIT - CURNE - UASD.pptx

2.594 visualizaciones

Publicado el

Publicado en: Empresariales, Tecnología
0 comentarios
1 recomendación
Estadísticas
Notas
  • Sé el primero en comentar

Sin descargas
Visualizaciones
Visualizaciones totales
2.594
En SlideShare
0
De insertados
0
Número de insertados
3
Acciones
Compartido
0
Descargas
154
Comentarios
0
Recomendaciones
1
Insertados 0
No insertados

No hay notas en la diapositiva.
  • Con el fin de proveer servicios, deberán establecerse los procesos de soporte necesarios.Este dominio incluye el procesamiento de los datos por sistemas de aplicación, frecuentemente clasificados como controles de aplicación.
  • DS1.1 Marco de Trabajo de la Administración de los Niveles de ServicioDefinir un marco de trabajo que brinde un proceso formal de administración de niveles de servicio entre el cliente y el prestador deservicio. El marco de trabajo mantiene una alineación continua con los requerimientos y las prioridades de negocio y facilita elentendimiento común entre el cliente y el(los) prestador(es) de servicio. El marco de trabajo incluye procesos para la creación derequerimientos de servicio, definiciones de servicio, acuerdos de niveles de servicio (SLAs), acuerdos de niveles de operación (OLAs) ylas fuentes de financiamiento. Estos atributos están organizados en un catálogo de servicios. El marco de trabajo define la estructuraorganizacional para la administración del nivel de servicio, incluyendo los roles, tareas y responsabilidades de los proveedoresexternos e internos y de los clientes.DS1.2 Definición de ServiciosDefiniciones base de los servicios de TI sobre las características del servicio y los requerimientos de negocio, organizados yalmacenados de manera centralizada por medio de la implantación de un enfoque de catálogo/portafolio de servicios.DS1.3 Acuerdos de Niveles de ServicioDefinir y acordar convenios de niveles de servicio para todos los procesos críticos de TI con base en los requerimientos del cliente ylas capacidades en TI. Esto incluye los compromisos del cliente, los requerimientos de soporte para el servicio, métricas cualitativas ycuantitativas para la medición del servicio firmado por los interesados, en caso de aplicar, los arreglos comerciales y definanciamiento, y los roles y responsabilidades, incluyendo la revisión del SLA. Los puntos a considerar son disponibilidad,confiabilidad, desempeño, capacidad de crecimiento, niveles de soporte, planeación de continuidad, seguridad y restricciones dedemanda.DS1.4 Acuerdos de Niveles de OperaciónAsegurar que los acuerdos de niveles de operación expliquen cómo serán entregados técnicamente los servicios para soportar el (los)SLA(s) de manera óptima. Los OLAs especifican los procesos técnicos en términos entendibles para el proveedor y pueden soportardiversos SLAs.DS1.5 Monitoreo y Reporte del Cumplimento de los Niveles de ServicioMonitorear continuamente los criterios de desempeño especificados para el nivel de servicio. Los reportes sobre el cumplimiento delos niveles de servicio deben emitirse en un formato que sea entendible para los interesados. Las estadísticas de monitoreo sonanalizadas para identificar tendencias positivas y negativas tanto de servicios individuales como de los servicios en conjunto.DS1.6 Revisión de los Acuerdos de Niveles de Servicio y de los ContratosRevisar regularmente con los proveedores internos y externos los acuerdos de niveles de servicio y los contratos de apoyo, paraasegurar que son efectivos, que están actualizados y que se han tomado en cuenta los cambios en requerimientos.
  • DS2 Administrar los Servicios de TercerosLa necesidad de asegurar que los servicios provistos por terceros cumplan con los requerimientos del negocio, requiere de unproceso efectivo de administración de terceros. Este proceso se logra por medio de una clara definición de roles, responsabilidades yexpectativas en los acuerdos con los terceros, así como con la revisión y monitoreo de la efectividad y cumplimiento de dichosacuerdos. Una efectiva administración de los servicios de terceros minimiza los riesgos del negocio asociados con proveedores queno se desempeñan de forma adecuada.DS2.1 Identificación de Todas las Relaciones con ProveedoresIdentificar todos los servicios de los proveedores, y categorizar los de acuerdo al tipo de proveedor, significado y criticidad. Mantenerdocumentación formal de relaciones técnicas y organizacionales que cubren los roles y responsabilidades, metas, entregablesesperados, y credenciales de los representantes de estos proveedores.DS2.2 Gestión de Relaciones con ProveedoresFormalizar el proceso de gestión de relaciones con proveedores para cada proveedor. Los dueños de las relaciones deben enlazar lascuestiones del cliente y proveedor y asegurar la calidad de las relaciones basadas en la confianza y transparencia. (Ej.: a través deSLAs).DS2.3 Administración de Riesgos del ProveedorIdentificar y mitigar los riesgos relacionados con la habilidad de los proveedores para mantener un efectivo servicio de entrega deforma segura y eficiente sobre una base de continuidad. Asegurar que los contratos están de acuerdo con los requerimientos legalesy regulatorios de los estándares universales del negocio. La administración del riesgo debe considerar además acuerdos deconfidencialidad (NDAs), contratos de garantía, viabilidad de la continuidad del proveedor, conformidad con los requerimientos deseguridad, proveedores alternativos, penalizaciones e incentivos, etc.DS2.4 Monitoreo del Desempeño del ProveedorEstablecer un proceso para monitorear la prestación del servicio para asegurar que el proveedor está cumpliendo con losrequerimientos del negocio actuales y que se adhiere continuamente a los acuerdos del contrato y a SLAs, y que el desempeño escompetitivo con proveedores alternativos y las condiciones del mercado.
  • Administrar el Desempeño y la CapacidadLa necesidad de administrar el desempeño y la capacidad de los recursos de TI requiere de un proceso para revisar periódicamente eldesempeño actual y la capacidad de los recursos de TI. Este proceso incluye el pronóstico de las necesidades futuras, basadas en losrequerimientos de carga de trabajo, almacenamiento y contingencias. Este proceso brinda la seguridad de que los recursos deinformación que soportan los requerimientos del negocio están disponibles de manera continua.DS3.1 Planeación del Desempeño y la CapacidadEstablecer un proceso de planeación para la revisión del desempeño y la capacidad de los recursos de TI, para asegurar ladisponibilidad de la capacidad y del desempeño, con costos justificables, para procesar las cargas de trabajo acordadas tal como sedetermina en los SLAs. Los planes de capacidad y desempeño deben hacer uso de técnicas de modelo apropiadas para producir unmodelo de desempeño, de capacidad y de desempeño de los recursos de TI, tanto actual como pronosticado.DS3.2 Capacidad y Desempeño ActualRevisar la capacidad y desempeño actual de los recursos de TI en intervalos regulares para determinar si existe suficiente capacidady desempeño para prestar los servicios con base en los niveles de servicio acordados.DS3.3 Capacidad y Desempeño FuturosLlevar a cabo un pronóstico de desempeño y capacidad de los recursos de TI en intervalos regulares para minimizar el riesgo deinterrupciones del servicio originadas por falta de capacidad o degradación del desempeño. Identificar también el exceso decapacidad para una posible redistribución. Identificar las tendencias de las cargas de trabajo y determinar los pronósticos que seránparte de los planes de capacidad y de desempeño.DS3.4 Disponibilidad de Recursos de TIBrindar la capacidad y desempeño requeridos tomando en cuenta aspectos como cargas de trabajo normales, contingencias,requerimientos de almacenamiento y ciclos de vida de los recursos de TI. Deben tomarse medidas cuando el desempeño y lacapacidad no están en el nivel requerido, tales como dar prioridad a las tareas, mecanismos de tolerancia de fallas y prácticas deasignación de recursos. La gerencia debe garantizar que los planes de contingencia consideran de forma apropiada la disponibilidad,capacidad y desempeño de los recursos individuales de TI.DS3.5 Monitoreo y ReporteMonitorear continuamente el desempeño y la capacidad de los recursos de TI. La información reunida sirve para dos propósitos:• Mantener y poner a punto el desempeño actual dentro de TI y atender temas como elasticidad, contingencia, cargas de trabajoactuales y proyectadas, planes de almacenamiento y adquisición de recursos.• Para reportar la disponibilidad hacia el negocio del servicio prestado como se requiere en los SLAs.Acompañar todos los reportes de excepción con recomendaciones para acciones correctivas
  • DS4 Garantizar la Continuidad del ServicioLa necesidad de brindar continuidad en los servicios de TI requiere desarrollar, mantener y probar planes de continuidad de TI,almacenar respaldos fuera de las instalaciones y entrenar de forma periódica sobre los planes de continuidad. Un proceso efectivo decontinuidad de servicios, minimiza la probabilidad y el impacto de interrupciones mayores en los servicios de TI, sobre funciones yprocesos claves del negocio.DS4.1 Marco de Trabajo de Continuidad de TIDesarrollar un marco de trabajo de continuidad de TI para soportar la continuidad del negocio con un proceso consistente a lo largode toda la organización. El objetivo del marco de trabajo es ayudar en la determinación de la resistencia requerida de lainfraestructura y de guiar el desarrollo de los planes de recuperación de desastres y de contingencias. El marco de trabajo debe tomaren cuenta la estructura organizacional para administrar la continuidad, la cobertura de roles, las tareas y las responsabilidades de losproveedores de servicios internos y externos, su administración y sus clientes; así como las reglas y estructuras para documentar,probar y ejecutar la recuperación de desastres y los planes de contingencia de TI. El plan debe también considerar puntos tales comola identificación de recursos críticos, el monitoreo y reporte de la disponibilidad de recursos críticos, el procesamiento alternativo y losprincipios de respaldo y recuperación.DS4.2 Planes de Continuidad de TIDesarrollar planes de continuidad de TI con base en el marco de trabajo, diseñado para reducir el impacto de una interrupción mayorde las funciones y los procesos clave del negocio. Los planes deben considerar requerimientos de resistencia, procesamientoalternativo, y capacidad de recuperación de todos los servicios críticos de TI. También deben cubrir los lineamientos de uso, los roles yresponsabilidades, los procedimientos, los procesos de comunicación y el enfoque de pruebas.DS4.3 Recursos Críticos de TICentrar la atención en los puntos determinados como los más críticos en el plan de continuidad de TI, para construir resistencia yestablecer prioridades en situaciones de recuperación. Evitar la distracción de recuperar los puntos menos críticos y asegurarse deque la respuesta y la recuperación están alineadas con las necesidades prioritarias del negocio, asegurándose también que loscostos se mantienen a un nivel aceptable y se cumple con los requerimientos regulatorios y contractuales. Considerar losrequerimientos de resistencia, respuesta y recuperación para diferentes niveles de prioridad, por ejemplo, de una a cuatro horas, decuatro a 24 horas, más de 24 horas y para periodos críticos de operación del negocio.DS4.4 Mantenimiento del Plan de Continuidad de TIExhortar a la gerencia de TI a definir y ejecutar procedimientos de control de cambios, para asegurar que el plan de continuidad de TIse mantenga actualizado y que refleje de manera continua los requerimientos actuales del negocio. Es esencial que los cambios enlos procedimientos y las responsabilidades sean comunicados de forma clara y oportuna.DS4.5 Pruebas del Plan de Continuidad de TIProbar el plan de continuidad de TI de forma regular para asegurar que los sistemas de TI pueden ser recuperados de forma efectiva,que las deficiencias son atendidas y que el plan permanece aplicable. Esto requiere una preparación cuidadosa, documentación,reporte de los resultados de las pruebas y, de acuerdo con los resultados, la implementación de un plan de acción. Considerar elalcance de las pruebas de recuperación en aplicaciones individuales, en escenarios de pruebas integrados, en pruebas de punta apunta y en pruebas integradas con el proveedor.
  • DS4.6 Entrenamiento del Plan de Continuidad de TIAsegurarse de que todos las partes involucradas reciban sesiones de entrenamiento de forma regular respecto a los procesos y susroles y responsabilidades en caso de incidente o desastre. Verificar e incrementar el entrenamiento de acuerdo con los resultados delas pruebas de contingencia.DS4.7 Distribución del Plan de Continuidad de TIDeterminar que existe una estrategia de distribución definida y administrada para asegurar que los planes se distribuyan de maneraapropiada y segura y que estén disponibles entre las partes involucradas y autorizadas cuando y donde se requiera. Se debe prestaratención en hacerlos accesibles bajo cualquier escenario de desastre.DS4.8 Recuperación y Reanudación de los Servicios de TIPlanear las acciones a tomar durante el período en que TI está recuperando y reanudando los servicios. Esto puede representar laactivación de sitios de respaldo, el inicio de procesamiento alternativo, la comunicación a clientes y a los interesados, realizarprocedimientos de reanudación, etc. Asegurarse de que los responsables del negocio entienden los tiempos de recuperación de TI ylas inversiones necesarias en tecnología para soportar las necesidades de recuperación y reanudación del negocio.DS4.9 Almacenamiento de Respaldos Fuera de las InstalacionesAlmacenar fuera de las instalaciones todos los medios de respaldo, documentación y otros recursos de TI críticos, necesarios para larecuperación de TI y para los planes de continuidad del negocio. El contenido de los respaldos a almacenar debe determinarse enconjunto entre los responsables de los procesos de negocio y el personal de TI. La administración del sitio de almacenamientoexterno a las instalaciones, debe apegarse a la política de clasificación de datos y a las prácticas de almacenamiento de datos de laempresa. La gerencia de TI debe asegurar que los acuerdos con sitios externos sean evaluados periódicamente, al menos una vez poraño, respecto al contenido, a la protección ambiental y a la seguridad. Asegurarse de la compatibilidad del hardware y del softwarepara poder recuperar los datos archivados y periódicamente probar y renovar los datos archivados.DS4.10 Revisión Post ReanudaciónUna vez lograda una exitosa reanudación de las funciones de TI después de un desastre, determinar si la gerencia de TI haestablecido procedimientos para valorar lo adecuado del plan y actualizar el plan en consecuencia.
  • Garantizar la Seguridad de los SistemasLa necesidad de mantener la integridad de la información y de proteger los activos de TI, requiere de un proceso de administración dela seguridad. Este proceso incluye el establecimiento y mantenimiento de roles y responsabilidades de seguridad, políticas,estándares y procedimientos de TI. La administración de la seguridad también incluye realizar monitoreos de seguridad y pruebasperiódicas así como realizar acciones correctivas sobre las debilidades o incidentes de seguridad identificados. Una efectivaadministración de la seguridad protege todos los activos de TI para minimizar el impacto en el negocio causado por vulnerabilidades oincidentes de seguridad.DS5.1 Administración de la Seguridad de TIAdministrar la seguridad de TI al nivel más alto apropiado dentro de la organización, de manera que las acciones de administración dela seguridad estén en línea con los requerimientos del negocio.DS5.2 Plan de Seguridad de TITrasladar los requerimientos de negocio, riesgos y cumplimiento dentro de un plan de seguridad de TI completo, teniendo enconsideración la infraestructura de TI y la cultura de seguridad. Asegurar que el plan esta implementado en las políticas yprocedimientos de seguridad junto con las inversiones apropiadas en los servicios, personal, software y hardware. Comunicar laspolíticas y procedimientos de seguridad a los interesados y a los usuarios.DS5.3 Administración de IdentidadAsegurar que todos los usuarios (internos, externos y temporales) y su actividad en sistemas de TI (aplicación de negocio, entorno deTI, operación de sistemas, desarrollo y mantenimiento) deben ser identificables de manera única. Permitir que el usuario seidentifique a través de mecanismos de autenticación. Confirmar que los permisos de acceso del usuario al sistema y los datos estánen línea con las necesidades del negocio definidas y documentadas y que los requerimientos de trabajo están adjuntos a lasidentidades del usuario. Asegurar que los derechos de acceso del usuario se solicitan por la gerencia del usuario, aprobados por elresponsable del sistema e implementado por la persona responsable de la seguridad. Las identidades del usuario y los derechos deacceso se mantienen en un repositorio central. Se despliegan técnicas efectivas en coste y procedimientos rentables, y se mantienenactualizados para establecer la identificación del usuario, realizar la autenticación y habilitar los derechos de acceso.DS5.4 Administración de Cuentas del UsuarioGarantizar que la solicitud, establecimiento, emisión, suspensión, modificación y cierre de cuentas de usuario y de los privilegiosrelacionados, sean tomados en cuenta por un conjunto de procedimientos de la gerencia de cuentas de usuario. Debe incluirse unprocedimiento de aprobación que describa al responsable de los datos o del sistema otorgando los privilegios de acceso. Estosprocedimientos deben aplicarse a todos los usuarios, incluyendo administradores (usuarios privilegiados), usuarios externos einternos, para casos normales y de emergencia. Los derechos y obligaciones relativos al acceso a los sistemas e información de laempresa deben acordarse contractualmente para todos los tipos de usuarios. Realizar revisiones regulares de la gestión de todas lascuentas y los privilegios asociados.DS5.5 Pruebas, Vigilancia y Monitoreo de la SeguridadGarantizar que la implementación de la seguridad en TI sea probada y monitoreada de forma pro-activa. La seguridad en TI debe serreacreditada periódicamente para garantizar que se mantiene el nivel seguridad aprobado. Una función de ingreso al sistema(logging) y de monitoreo permite la detección oportuna de actividades inusuales o anormales que pueden requerir atención.DS5.6 Definición de Incidente de SeguridadDefinir claramente y comunicar las características de incidentes de seguridad
  • DS5.7 Protección de la Tecnología de SeguridadGarantizar que la tecnología relacionada con la seguridad sea resistente al sabotaje y no revele documentación de seguridadinnecesaria.DS5.8 Administración de Llaves CriptográficasDeterminar que las políticas y procedimientos para organizar la generación, cambio, revocación, destrucción, distribución,certificación, almacenamiento, captura, uso y archivo de llaves criptográficas estén implantadas, para garantizar la protección de lasllaves contra modificaciones y divulgación no autorizadas.DS5.9 Prevención, Detección y Corrección de Software MaliciosoPoner medidas preventivas, detectivas y correctivas (en especial contar con parches de seguridad y control de virus actualizados) entoda la organización para proteger los sistemas de la información y a la tecnología contra malware (virus, gusanos, spyware, correobasura).DS5.10 Seguridad de la RedUso de técnicas de seguridad y procedimientos de administración asociados (por ejemplo, firewalls, dispositivos de seguridad,segmentación de redes, y detección de intrusos) para autorizar acceso y controlar los flujos de información desde y hacia las redes.DS5.11 Intercambio de Datos SensitivosTransacciones de datos sensibles se intercambian solo a través de una ruta o medio con controles para proporcionar autenticidad decontenido, prueba de envío, prueba de recepción y no repudio del origen.
  • DS6 Identificar y Asignar CostosLa necesidad de un sistema justo y equitativo para asignar costos de TI al negocio, requiere de una medición precisa y un acuerdocon los usuarios del negocio sobre una asignación justa. Este proceso incluye la construcción y operación de un sistema paracapturar, distribuir y reportar costos de TI a los usuarios de los servicios. Un sistema equitativo de costos permite al negocio tomardecisiones más informadas respectos al uso de los servicios de TI.DS6.1 Definición de ServiciosIdentificar todos los costos de TI y equipararlos a los servicios de TI para soportar un modelo de costos transparente. Los servicios deTI deben alinearse a los procesos del negocio de forma que el negocio pueda identificar los niveles de facturación de los serviciosasociados.DS6.2 Contabilización de TIRegistrar y asignar los costos actuales de acuerdo con el modelo de costos definido. Las variaciones entre los presupuestos y loscostos actuales deben analizarse y reportarse de acuerdo con los sistemas de medición financiera de la empresa.DS6.3 Modelación de Costos y CargosCon base en la definición del servicio, definir un modelo de costos que incluya costos directos, indirectos y fijos de los servicios, y queayude al cálculo de tarifas de reintegros de cobro por servicio. El modelo de costos debe estar alineado con los procedimientos decontabilización de costos de la empresa. El modelo de costos de TI debe garantizar que los cargos por servicios son identificables,medibles y predecibles por parte de los usuarios para propiciar el adecuado uso de recursos. La gerencia del usuario debe poderverificar el uso actual y los cargos de los servicios.DS6.4 Mantenimiento del Modelo de CostosRevisar y comparar de forma regular lo apropiado del modelo de costos/recargos para mantener su relevancia para el negocio enevolución y para las actividades de TI.
  • DS7 Educar y Entrenar a los UsuariosPara una educación efectiva de todos los usuarios de sistemas de TI, incluyendo aquellos dentro de TI, se requieren identificar lasnecesidades de entrenamiento de cada grupo de usuarios. Además de identificar las necesidades, este proceso incluye la definición yejecución de una estrategia para llevar a cabo un entrenamiento efectivo y para medir los resultados. Un programa efectivo deentrenamiento incrementa el uso efectivo de la tecnología al disminuir los errores, incrementando la productividad y el cumplimientode los controles clave tales como las medidas de seguridad de los usuarios.DS7.1 Identificación de Necesidades de Entrenamiento y EducaciónEstablecer y actualizar de forma regular un programa de entrenamiento para cada grupo objetivo de empleados, que incluya:• Estrategias y requerimientos actuales y futuros del negocio.• Valores corporativos (valores éticos, cultura de control y seguridad, etc.)• Implementación de nuevo software e infraestructura de TI (paquetes y aplicaciones)• Habilidades, perfiles de competencias y certificaciones actuales y/o credenciales necesarias.• Métodos de impartición (por ejemplo, aula, web), tamaño del grupo objetivo, accesibilidad y tiempo.DS7.2 Impartición de Entrenamiento y EducaciónCon base en las necesidades de entrenamiento identificadas, identificar: a los grupos objetivo y a sus miembros, a los mecanismosde impartición eficientes, a maestros, instructores y consejeros. Designar instructores y organizar el entrenamiento con tiemposuficiente. Debe tomarse nota del registro (incluyendo los prerrequisitos), la asistencia, y de las evaluaciones de desempeño.DS7.3 Evaluación del Entrenamiento RecibidoAl finalizar el entrenamiento, evaluar el contenido del entrenamiento respecto a la relevancia, calidad, efectividad, percepción yretención del conocimiento, costo y valor. Los resultados de esta evaluación deben contribuir en la definición futura de los planes deestudio y de las sesiones de entrenamiento.
  • DS8 Administrar la Mesa de Servicio y los Incidentes.Responder de manera oportuna y efectiva a las consultas y problemas de los usuarios de TI, requiere de una mesa de servicio biendiseñada y bien ejecutada, y de un proceso de administración de incidentes. Este proceso incluye la creación de una función de mesade servicio con registro, escalamiento de incidentes, análisis de tendencia, análisis causa-raiz y resolución. Los beneficios del negocioincluyen el incremento en la productividad gracias a la resolución rápida de consultas. Además, el negocio puede identificar la causaraíz (tales como un pobre entrenamiento a los usuarios) a través de un proceso de reporte efectivo.DS8.1 Mesa de ServiciosEstablecer la función de mesa de servicio, la cual es la conexión del usuario con TI, para registrar, comunicar, atender y analizar todaslas llamadas, incidentes reportados, requerimientos de servicio y solicitudes de información. Deben existir procedimientos demonitoreo y escalamiento basados en los niveles de servicio acordados en los SLAs, que permitan clasificar y priorizar cualquierproblema reportado como incidente, solicitud de servicio o solicitud de información. Medir la satisfacción del usuario final respecto ala calidad de la mesa de servicios y de los servicios de TIDS8.2 Registro de Consultas de ClientesEstablecer una función y sistema que permita el registro y rastreo de llamadas, incidentes, solicitudes de servicio y necesidades deinformación. Debe trabajar estrechamente con los procesos de administración de incidentes, administración de problemas,administración de cambios, administración de capacidad y administración de disponibilidad. Los incidentes deben clasificarse deacuerdo al negocio y a la prioridad del servicio y enrutarse al equipo de administración de problemas apropiado y se debe mantenerinformados a los clientes sobre el estatus de sus consultas.DS8.3 Escalamiento de IncidentesEstablecer procedimientos de mesa de servicios de manera que los incidentes que no puedan resolverse de forma inmediata seanescalados apropiadamente de acuerdo con los límites acordados en el SLA y, si es adecuado, brindar soluciones alternas. Garantizarque la asignación de incidentes y el monitoreo del ciclo de vida permanecen en la mesa de servicios, independientemente de quégrupo de TI esté trabajando en las actividades de resolución.DS8.4 Cierre de IncidentesEstablecer procedimientos para el monitoreo puntual de la resolución de consultas de los clientes. Cuando se resuelve el incidente lamesa de servicios debe registrar la causa raíz, si la conoce, y confirmar que la acción tomada fue acordada con el cliente.DS8.5 Análisis de TendenciasEmitir reportes de la actividad de la mesa de servicios para permitir a la gerencia medir el desempeño del servicio y los tiempos derespuesta, así como para identificar tendencias de problemas recurrentes de forma que el servicio pueda mejorarse de formaContinua.
  • DS9 Administrar la ConfiguraciónGarantizar la integridad de las configuraciones de hardware y software requiere establecer y mantener un repositorio deconfiguraciones completo y preciso. Este proceso incluye la recolección de información de la configuración inicial, el establecimientode normas, la verificación y auditoría de la información de la configuración y la actualización del repositorio de configuración conformese necesite. Una efectiva administración de la configuración facilita una mayor disponibilidad, minimiza los problemas de producción yresuelve los problemas más rápido.DS9.1 Repositorio y Línea Base de ConfiguraciónEstablecer una herramienta de soporte y un repositorio central que contenga toda la información relevante sobre los elementos deconfiguración. Monitorear y grabar todos los activos y los cambios a los activos. Mantener una línea base de los elementos de laconfiguración para todos los sistemas y servicios como punto de comprobación al que volver tras el cambio.DS9.2 Identificación y Mantenimiento de Elementos de ConfiguraciónEstablecer procedimientos de configuración para soportar la gestión y rastro de todos los cambios al repositorio de configuración.Integrar estos procedimientos con la gestión de cambios, gestión de incidentes y procedimientos de gestión de problemas.DS9.3 Revisión de Integridad de la ConfiguraciónRevisar periódicamente los datos de configuración para verificar y confirmar la integridad de la configuración actual e histórica.Revisar periódicamente el software instalado contra la política de uso de software para identificar software personal o no licenciado ocualquier otra instancia de software en exceso del contrato de licenciamiento actual. Reportar, actuar y corregir errores ydesviaciones.
  • DS10 Administración de ProblemasUna efectiva administración de problemas requiere la identificación y clasificación de problemas, el análisis de las causas desde suraíz, y la resolución de problemas. El proceso de administración de problemas también incluye la identificación de recomendacionespara la mejora, el mantenimiento de registros de problemas y la revisión del estatus de las acciones correctivas. Un efectivo procesode administración de problemas mejora los niveles de servicio, reduce costos y mejora la conveniencia y satisfacción del usuario.DS10.1 Identificación y Clasificación de ProblemasImplementar procesos para reportar y clasificar problemas que han sido identificados como parte de la administración de incidentes.Los pasos involucrados en la clasificación de problemas son similares a los pasos para clasificar incidentes; son determinar lacategoría, impacto, urgencia y prioridad. Los problemas deben categorizar se de manera apropiada en grupos o dominiosrelacionados (por ejemplo, hardware, software, software de soporte). Estos grupos pueden coincidir con las responsabilidadesorganizacionales o con la base de usuarios y clientes, y son la base para asignar los problemas al personal de soporte.DS10.2 Rastreo y Resolución de ProblemasEl sistema de administración de problemas debe mantener pistas de auditoría adecuadas que permitan rastrear, analizar ydeterminar la causa raíz de todos los problemas reportados considerando:• Todos los elementos de configuración asociados• Problemas e incidentes sobresalientes• Errores conocidos y sospechados• Seguimiento de las tendencias de los problemas.Identificar e iniciar soluciones sostenibles indicando la causa raíz, incrementando las solicitudes de cambio por medio del proceso deadministración de cambios establecido. En todo el proceso de resolución, la administración de problemas debe obtener reportesregulares de la administración de cambios sobre el progreso en la resolución de problemas o errores. La administración de problemasdebe monitorear el continuo impacto de los problemas y errores conocidos en los servicios a los usuarios. En caso de que el impactose vuelva severo, la administración de problemas debe escalar el problema, tal vez refiriéndolo a un comité determinado paraincrementar la prioridad de la solicitud del cambio (RFC) o para implementar un cambio urgente, lo que resulte más pertinente. Elavance de la resolución de un problema debe ser monitoreado contra los SLAs.DS10.3 Cierre de ProblemasDisponer de un procedimiento para cerrar registros de problemas ya sea después de confirmar la eliminación exitosa del errorconocido o después de acordar con el negocio cómo manejar el problema de manera alternativa.DS10.4 Integración de las Administraciones de Cambios, Configuración y ProblemasPara garantizar una adecuada administración de problemas e incidentes, integrar los procesos relacionados de administración decambios, configuración y problemas. Monitorear cuánto esfuerzo se aplica en apagar fuegos, en lugar de permitir mejoras al negocioy, en los casos que sean necesarios, mejorar estos procesos para minimizar los problemas.
  • Administración de DatosUna efectiva administración de datos requiere de la identificación de requerimientos de datos. El proceso de administración deinformación también incluye el establecimiento de procedimientos efectivos para administrar la librería de medios, el respaldo y larecuperación de datos y la eliminación apropiada de medios.DS11.1 Requerimientos del Negocio para Administración de DatosVerificar que todos los datos que se espera procesar se reciben y procesan completamente, de forma precisa y a tiempo, y que todoslos resultados se entregan de acuerdo a los requerimientos de negocio. Las necesidades de reinicio y reproceso están soportadas.DS11.2 Acuerdos de Almacenamiento y ConservaciónDefinir e implementar procedimientos para el archivo, almacenamiento y retención de los datos, de forma efectiva y eficiente paraconseguir los objetivos de negocio, la política de seguridad de la organización y los requerimientos regulatorios.DS11.3 Sistema de Administración de Librerías de MediosDefinir e implementar procedimientos para mantener un inventario de medios almacenados y archivados para asegurar su usabilidade integridad.DS11.4 EliminaciónDefinir e implementar procedimientos para asegurar que los requerimientos de negocio para la protección de datos sensitivos y elsoftware se consiguen cuando se eliminan o transfieren los datos y/o el hardware.DS11.5 Respaldo y RestauraciónDefinir e implementar procedimientos de respaldo y restauración de los sistemas, aplicaciones, datos y documentación en línea conlos requerimientos de negocio y el plan de continuidad.DS11.6 Requerimientos de Seguridad para la Administración de DatosDefinir e implementar las políticas y procedimientos para identificar y aplicar los requerimientos de seguridad aplicables al recibo,procesamiento, almacén y salida de los datos para conseguir los objetivos de negocio, las políticas de seguridad de la organización yrequerimientos regulatorios.
  • DS12 Administración del Ambiente FísicoLa protección del equipo de cómputo y del personal, requiere de instalaciones bien diseñadas y bien administradas. El proceso deadministrar el ambiente físico incluye la definición de los requerimientos físicos del centro de datos (site), la selección deinstalaciones apropiadas y el diseño de procesos efectivos para monitorear factores ambientales y administrar el acceso físico. Laadministración efectiva del ambiente físico reduce las interrupciones del negocio ocasionadas por daños al equipo de cómputo y alpersonal.DS12.1 Selección y Diseño del Centro de DatosDefinir y seleccionar los centros de datos físicos para el equipo de TI para soportar la estrategia de tecnología ligada a la estrategiadel negocio. Esta selección y diseño del esquema de un centro de datos debe tomar en cuenta el riesgo asociado con desastresnaturales y causados por el hombre. También debe considerar las leyes y regulaciones correspondientes, tales como regulaciones deseguridad y de salud en el trabajo.DS12.2 Medidas de Seguridad FísicaDefinir e implementar medidas de seguridad físicas alineadas con los requerimientos del negocio. Las medidas deben incluir, pero nolimitarse al esquema del perímetro de seguridad, de las zonas de seguridad, la ubicación de equipo crítico y de las áreas de envío yrecepción. En particular, mantenga un perfil bajo respecto a la presencia de operaciones críticas de TI. Deben establecerse lasresponsabilidades sobre el monitoreo y los procedimientos de reporte y de resolución de incidentes de seguridad física.DS12.3 Acceso FísicoDefinir e implementar procedimientos para otorgar, limitar y revocar el acceso a locales, edificios y áreas de acuerdo con lasnecesidades del negocio, incluyendo las emergencias. El acceso a locales, edificios y áreas debe justificarse, autorizarse, registrarse ymonitorearse. Esto aplica para todas las personas que accedan a las instalaciones, incluyendo personal, clientes, proveedores,visitantes o cualquier tercera persona.DS12.4 Protección Contra Factores AmbientalesDiseñar e implementar medidas de protección contra factores ambientales. Deben instalarse dispositivos y equipo especializado paramonitorear y controlar el ambiente.DS12.5 Administración de Instalaciones FísicasAdministrar las instalaciones, incluyendo el equipo de comunicaciones y de suministro de energía, de acuerdo con las leyes y losreglamentos, los requerimientos técnicos y del negocio, las especificaciones del proveedor y los lineamientos de seguridad y salud.
  • ME1 Monitorear y Evaluar el Desempeño de TIUna efectiva administración del desempeño de TI requiere un proceso de monitoreo. El proceso incluye la definición de indicadores dedesempeño relevantes, reportes sistemáticos y oportunos de desempeño y tomar medidas expeditas cuando existan desviaciones. Elmonitoreo se requiere para garantizar que las cosas correctas se hagan y que estén de acuerdo con el conjunto de direcciones ypolíticas.ME1.1 Enfoque del MonitoreoEstablecer un marco de trabajo de monitoreo general y un enfoque que definan el alcance, la metodología y el proceso a seguir paramedir la solución y la entrega de servicios de TI, y Monitorear la contribución de TI al negocio. Integrar el marco de trabajo con elsistema de administración del desempeño corporativo.ME1.2 Definición y Recolección de Datos de MonitoreoTrabajar con el negocio para definir un conjunto balanceado de objetivos de desempeño y tenerlos aprobados por el negocio y otrosinteresados relevantes. Definir referencias con las que comparar los objetivos, e identificar datos disponibles a recolectar para medirlos objetivos. Se deben establecer procesos para recolectar información oportuna y precisa para reportar el avance contra las metas.ME1.3 Método de MonitoreoGarantizar que el proceso de monitoreo implante un método (Ej. BalancedScorecard), que brinde una visión sucinta y desde todos losángulos del desempeño de TI y que se adapte al sistema de monitoreo de la empresa.ME1.4 Evaluación del DesempeñoComparar de forma periódica el desempeño contra las metas, realizar análisis de la causa raíz e iniciar medidas correctivas pararesolver las causas subyacentes.ME1.5 Reportes al Consejo Directivo y a EjecutivosProporcionar reportes administrativos para ser revisados por la alta dirección sobre el avance de la organización hacia metasidentificadas, específicamente en términos del desempeño del portafolio empresarial de programas de inversión habilitados por TI,niveles de servicio de programas individuales y la contribución de TI a ese desempeño. Los reportes de estatus deben incluir el gradoen el que se han alcanzado los objetivos planeados, los entregables obtenidos, las metas de desempeño alcanzadas y los riesgosmitigados. Durante la revisión, se debe identificar cualquier desviación respecto al desempeño esperado y se deben iniciar y reportarlas medidas de administración adecuadas.ME1.6 Acciones CorrectivasIdentificar e iniciar medidas correctivas basadas en el monitoreo del desempeño, evaluación y reportes. Esto incluye el seguimientode todo el monitoreo, de los reportes y de las evaluaciones con:• Revisión, negociación y establecimiento de respuestas de administración• Asignación de responsabilidades por la corrección• Rastreo de los resultados de las acciones comprometidas.
  • ME2 Monitorear y Evaluar el Control InternoEstablecer un programa de control interno efectivo para TI requiere un proceso bien definido de monitoreo. Este proceso incluye elmonitoreo y el reporte de las excepciones de control, resultados de las auto-evaluaciones y revisiones por parte de terceros. Unbeneficio clave del monitoreo del control interno es proporcionar seguridad respecto a las operaciones eficientes y efectivas y elcumplimiento de las leyes y regulaciones aplicables.ME2.1 Monitoreo del Marco de Trabajo de Control InternoMonitorear de forma continua, comparar y mejorar el ambiente de control de TI y el marco de trabajo de control de TI para satisfacerlos objetivos organizacionales.ME2.2 Revisiones de AuditoríaMonitorear y evaluar la eficiencia y efectividad de los controles internos de revisión de la gerencia de TI.ME2.3 Excepciones de ControlIdentificar las excepciones de control, y analizar e identificar sus causas raíz subyacentes. Escalar las excepciones de control yreportar a los interesados apropiadamente. Establecer acciones correctivas necesarias.ME2.4 Auto Evaluación del ControlEvaluar la completitud y efectividad de los controles de gerencia sobre los procesos, políticas y contratos de TI por medio de unprograma continuo de auto-evaluación.ME2.5 Aseguramiento del Control InternoObtener, según sea necesario, aseguramiento adicional de la completitud y efectividad de los controles internos por medio derevisiones de terceros.ME2.6 Control Interno para TercerosEvaluar el estado de los controles internos de los proveedores de servicios externos. Confirmar que los proveedores de serviciosexternos cumplen con los requerimientos legales y regulatorios y obligaciones contractuales.ME2.7 Acciones CorrectivasIdentificar, iniciar, rastrear e implementar acciones correctivas derivadas de los controles de evaluación y los informes.
  • ME3 Garantizar el Cumplimiento con Requerimientos ExternosUna supervisión efectiva del cumplimiento requiere del establecimiento de un proceso de revisión para garantizar el cumplimiento delas leyes, regulaciones y requerimientos contractuales. Este proceso incluye la identificación de requerimientos de cumplimiento,optimizando y evaluando la respuesta, obteniendo aseguramiento que los requerimientos se han cumplido y, finalmente integrandolos reportes de cumplimiento de TI con el resto del negocio.ME3.1 Identificar los Requerimientos de las Leyes, Regulaciones y Cumplimientos ContractualesIdentificar, sobre una base continua, leyes locales e internacionales, regulaciones, y otros requerimientos externos que se deben decumplir para incorporar en las políticas, estándares, procedimientos y metodologías de TI de la organización.ME3.2 Optimizar la Respuesta a Requerimientos ExternosRevisar y ajustar las políticas, estándares, procedimientos y metodologías de TI para garantizar que los requisitos legales, regulatoriosy contractuales son direccionados y comunicados.ME3.3 Evaluación del Cumplimiento con Requerimientos ExternosConfirmar el cumplimiento de políticas, estándares, procedimientos y metodologías de TI con requerimientos legales y regulatorios.ME3.4 Aseguramiento Positivo del CumplimientoObtener y reportar garantía de cumplimiento y adhesión a todas las políticas internas derivadas de directivas internas orequerimientos legales externos, regulatorios o contractuales, confirmando que se ha tomado cualquier acción correctiva pararesolver cualquier brecha de cumplimiento por el dueño responsable del proceso de forma oportuna.ME3.5 Reportes IntegradosIntegrar los reportes de TI sobre requerimientos legales, regulatorios y contractuales con las salidas similares provenientes de otrasfunciones del negocio.
  • ME4 Proporcionar Gobierno de TIEl establecimiento de un marco de trabajo de gobierno efectivo, incluye la definición de estructuras, procesos, liderazgo, roles yresponsabilidades organizacionales para garantizar así que las inversiones empresariales en TI estén alineadas y de acuerdo con lasestrategias y objetivos empresariales.ME4.1 Establecimiento de un Marco de Gobierno de TIDefinir, establecer y alinear el marco de gobierno de TI con la visión completa del entorno de control y Gobierno Corporativo. Basar elmarco de trabajo en un adecuado proceso de TI y modelo de control y proporcionar la rendición de cuentas y prácticas inequívocaspara evitar una rotura en el control interno y la revisión. Confirmar que el marco de gobierno de TI asegura el cumplimiento con lasleyes y regulaciones y que esta alineado, y confirma la entrega de, la estrategia y objetivos empresariales. Informa del estado ycuestiones de gobierno de TI.ME4.2 Alineamiento EstratégicoFacilitar el entendimiento del consejo directivo y de los ejecutivos sobre temas estratégicos de TI tales como el rol de TI,características propias y capacidades de la tecnología. Garantizar que existe un entendimiento compartido entre el negocio y lafunción de TI sobre la contribución potencial de TI a la estrategia del negocio. Trabajar con el consejo directivo para definir eimplementar organismos de gobierno, tales como un comité estratégico de TI, para brindar una orientación estratégica a la gerenciarespecto a TI, garantizando así que tanto la estrategia como los objetivos se distribuyan en cascada hacia las unidades de negocio yhacia las unidades de TI y que se desarrolle certidumbre y confianza entre el negocio y TI. Facilitar la alineación de TI con el negocioen lo referente a estrategia y operaciones, fomentando la co-responsabilidad entre el negocio y TI en la toma de decisionesestratégicas y en la obtención de los beneficios provenientes de las inversiones habilitadas con TI.ME4.3 Entrega de ValorAdministrar los programas de inversión habilitados con TI, así como otros activos y servicios de TI, para asegurar que ofrezcan elmayor valor posible para apoyar la estrategia y los objetivos empresariales. Asegurarse de que los resultados de negocio esperadosde las inversiones habilitadas por TI y el alcance completo del esfuerzo requerido para lograr esos resultados esté bien entendido,que se generen casos de negocio integrales y consistentes, y que los aprueben los interesados, que los activos y las inversiones seadministren a lo largo del ciclo de vida económico, y que se lleve a cabo una administración activa del logro de los beneficios, talescomo la contribución a nuevos servicios, ganancias de eficiencia y un mejor grado de reacción a los requerimientos de los clientes.Implementar un enfoque disciplinado de la administración del portafolio, programa y proyecto, enfatizando que el negocio asume lapropiedad de todas las inversiones habilitadas con TI y que TI garantiza la optimización de los costos por la prestación de los serviciosy capacidades de TI.ME4.4 Administración de RecursosRevisar inversión, uso y asignación de los activos de TI por medio de evaluaciones periódicas de las iniciativas y operaciones de TIpara asegurar recursos y alineamiento apropiados con los objetivos estratégicos y los imperativos de negocio actuales y futuros.ME4.5 Administración de RiesgosTrabajar con el consejo directivo para definir el nivel de riesgo de TI aceptable por la empresa y obtener garantía razonable que laspracticas de administración de riesgos de TI son apropiadas para asegurar que el riesgo actual de TI no excede el riesgo aceptable dedirección. Introducir las responsabilidades de administración de riesgos en la organización, asegurando que el negocio y TIregularmente evalúan y reportan riesgos relacionados con TI y su impacto y que la posición de los riesgos de TI de la empresa estransparente a los interesados.ME4.6 Medición del DesempeñoConfirmar que los objetivos de TI confirmados se han conseguido o excedido, o que el progreso hacia las metas de TI cumple lasexpectativas. Donde los objetivos confirmados no se han alcanzado o el progreso no es el esperado, revisar las acciones correctivasde gerencia. Informar a dirección los portafolios relevantes, programas y desempeños de TI, soportados por informes para permitir ala alta dirección revisar el progreso de la empresa hacia las metas identificadas.ME4.7 Aseguramiento IndependienteGarantizar de forma independiente (interna o externa) la conformidad de TI con la legislación y regulación relevante; las políticas de laorganización, estándares y procedimientos; practicas generalmente aceptadas; y la efectividad y eficiencia del desempeño de TI.
  • ME4 Proporcionar Gobierno de TIEl establecimiento de un marco de trabajo de gobierno efectivo, incluye la definición de estructuras, procesos, liderazgo, roles yresponsabilidades organizacionales para garantizar así que las inversiones empresariales en TI estén alineadas y de acuerdo con lasestrategias y objetivos empresariales.ME4.1 Establecimiento de un Marco de Gobierno de TIDefinir, establecer y alinear el marco de gobierno de TI con la visión completa del entorno de control y Gobierno Corporativo. Basar elmarco de trabajo en un adecuado proceso de TI y modelo de control y proporcionar la rendición de cuentas y prácticas inequívocaspara evitar una rotura en el control interno y la revisión. Confirmar que el marco de gobierno de TI asegura el cumplimiento con lasleyes y regulaciones y que esta alineado, y confirma la entrega de, la estrategia y objetivos empresariales. Informa del estado ycuestiones de gobierno de TI.ME4.2 Alineamiento EstratégicoFacilitar el entendimiento del consejo directivo y de los ejecutivos sobre temas estratégicos de TI tales como el rol de TI,características propias y capacidades de la tecnología. Garantizar que existe un entendimiento compartido entre el negocio y lafunción de TI sobre la contribución potencial de TI a la estrategia del negocio. Trabajar con el consejo directivo para definir eimplementar organismos de gobierno, tales como un comité estratégico de TI, para brindar una orientación estratégica a la gerenciarespecto a TI, garantizando así que tanto la estrategia como los objetivos se distribuyan en cascada hacia las unidades de negocio yhacia las unidades de TI y que se desarrolle certidumbre y confianza entre el negocio y TI. Facilitar la alineación de TI con el negocioen lo referente a estrategia y operaciones, fomentando la co-responsabilidad entre el negocio y TI en la toma de decisionesestratégicas y en la obtención de los beneficios provenientes de las inversiones habilitadas con TI.ME4.3 Entrega de ValorAdministrar los programas de inversión habilitados con TI, así como otros activos y servicios de TI, para asegurar que ofrezcan elmayor valor posible para apoyar la estrategia y los objetivos empresariales. Asegurarse de que los resultados de negocio esperadosde las inversiones habilitadas por TI y el alcance completo del esfuerzo requerido para lograr esos resultados esté bien entendido,que se generen casos de negocio integrales y consistentes, y que los aprueben los interesados, que los activos y las inversiones seadministren a lo largo del ciclo de vida económico, y que se lleve a cabo una administración activa del logro de los beneficios, talescomo la contribución a nuevos servicios, ganancias de eficiencia y un mejor grado de reacción a los requerimientos de los clientes.Implementar un enfoque disciplinado de la administración del portafolio, programa y proyecto, enfatizando que el negocio asume lapropiedad de todas las inversiones habilitadas con TI y que TI garantiza la optimización de los costos por la prestación de los serviciosy capacidades de TI.ME4.4 Administración de RecursosRevisar inversión, uso y asignación de los activos de TI por medio de evaluaciones periódicas de las iniciativas y operaciones de TIpara asegurar recursos y alineamiento apropiados con los objetivos estratégicos y los imperativos de negocio actuales y futuros.ME4.5 Administración de RiesgosTrabajar con el consejo directivo para definir el nivel de riesgo de TI aceptable por la empresa y obtener garantía razonable que laspracticas de administración de riesgos de TI son apropiadas para asegurar que el riesgo actual de TI no excede el riesgo aceptable dedirección. Introducir las responsabilidades de administración de riesgos en la organización, asegurando que el negocio y TIregularmente evalúan y reportan riesgos relacionados con TI y su impacto y que la posición de los riesgos de TI de la empresa estransparente a los interesados.ME4.6 Medición del DesempeñoConfirmar que los objetivos de TI confirmados se han conseguido o excedido, o que el progreso hacia las metas de TI cumple lasexpectativas. Donde los objetivos confirmados no se han alcanzado o el progreso no es el esperado, revisar las acciones correctivasde gerencia. Informar a dirección los portafolios relevantes, programas y desempeños de TI, soportados por informes para permitir ala alta dirección revisar el progreso de la empresa hacia las metas identificadas.ME4.7 Aseguramiento IndependienteGarantizar de forma independiente (interna o externa) la conformidad de TI con la legislación y regulación relevante; las políticas de laorganización, estándares y procedimientos; practicas generalmente aceptadas; y la efectividad y eficiencia del desempeño de TI.
  • COBIT - CURNE - UASD.pptx

    1. 1. 4.1<br />
    2. 2. COBIT: <br />C Control<br />OB OBjectives<br />I for Information<br />T and Related Technology<br />Objetivos de Control para Tecnología de Información y Tecnologías relacionadas<br />Es un marco de referencia y un juego de herramientas de soporte que permiten a la gerencia cerrar la brecha con respecto a los requerimientos de control, temas técnicos, riesgos de negocio, y comunicar ese nivel de control a los interesados.<br />
    3. 3. Versiones de COBIT<br />Septiembre<br />2011<br />Versión 5.0<br />1996<br />Versión 1.0<br />2000<br />Versión 3.0<br />2005<br />Versión 4.0<br />1998<br />Versión 2.0<br />2003<br />Versión 3.0<br />online<br />2007<br />Versión 4.1<br />
    4. 4. Misión de COBIT <br />“Para investigar, desarrollar, publicar y promover un conjunto actualizado e internacional de objetivos de control de Tecnología de la Información generalmente aceptado, para su uso diario por los administradores del negocio y los auditores”.<br />
    5. 5. Marco de Trabajo<br />La estructura del modelo COBIT propone un marco de acción donde se evalúan los criterios de información, la seguridad y calidad, se auditan los recursos que comprenden la tecnología de información, recurso humano, instalaciones, sistemas, entre otros, y finalmente se realiza una evaluación sobre los procesos involucrados en la organización. <br />
    6. 6. Marco de Trabajo (continuación)<br />Cada vez más, la alta dirección se está dando cuenta del impacto significativo que la información puede tener en el éxito de una empresa. <br />La dirección espera un alto entendimiento de la manera en que la tecnología de información (TI) es operada y de la posibilidad de que sea aprovechada con éxito para tener una ventaja competitiva.<br />
    7. 7. El Cubo de COBIT<br />
    8. 8. Criterios de Información de COBIT<br />Trata con información que es relevante y pertinente al proceso de negocio, además de ser entregada de una manera oportuna, correcta, consistente y utilizable.<br />Efectividad<br />Se relaciona con la provisión de información a través del óptimo (más productivo y económico ) uso de recursos.<br />Eficiencia<br />Se relaciona con la protección de información sensible a divulgación<br />No autorizada.<br />Confidencialidad<br />
    9. 9. Criterios de Información de COBIT<br />Se relaciona con la exactitud de la información así como también con su validez en conformidad con valores y expectativas del negocio.<br />Integridad<br />Se relaciona con información disponible al ser requerida por el proceso de negocio ahora y en el futuro. Se relaciona con el resguardo de recursos necesarios y capacidades asociadas.<br />Disponibilidad<br />
    10. 10. Criterios de Información de COBIT<br />Trata con el cumplimiento de aquellas leyes, regulaciones y arreglos contractuales a los cuales está sujeto el proceso de negocio; es decir, criterios de negocios impuestos externamente.<br />Cumplimiento<br />Se relaciona con la provisión de información apropiada a la gerencia para operar la entidad y para que la gerencia ejerza sus responsabilidades de informar cumplimiento.<br />Contabilidad <br />de Información<br />
    11. 11. Recursos TI<br />incluyen tanto sistemas de usuario automatizados como procedimientos manuales que procesan información. <br />Aplicaciones<br />son los datos en todas sus formas, de entrada, procesados y generados por los sistemas de información, en cualquier forma en que sean utilizados por el negocio. <br />Información<br />
    12. 12. Recursos TI (continuación)<br />Es la tecnología y las instalaciones (hardware, sistemas operativos, sistemas de administración de base de datos, redes, multimedia, etc., así como el sitio donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las aplicaciones. <br />Infraestructura<br />Son el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios de información. Estas pueden ser internas, por outsourcing o contratadas, de acuerdo a como se requieran. <br />Infraestructura<br />
    13. 13. LOS PROCESOS REQUIEREN CONTROLES<br />Control se define como las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para brindar una seguridad razonable que los objetivos de negocio se alcanzarán, y los eventos no deseados serán prevenidos o detectados y corregidos.<br />
    14. 14. Los objetivos de control detallados se identifican por dos caracteres que representan el dominio (PO, AI, DS y ME) más un número de proceso y un número de objetivo de control. Además de los objetivos de control detallados, cada proceso COBIT tiene requerimientos de control genéricos que se identifican con PCn, que significa Control de Proceso número. Se deben tomar como un todo junto con los objetivos de control <br />
    15. 15. PC1 Metas y Objetivos del Proceso<br /> Definir y comunicar procesos, metas y objetivos específicos, medibles, accionables, reales, orientados a resultado y en tiempo para la ejecución efectiva de cada proceso de TI. <br />
    16. 16. PC2 Propiedad del Proceso<br /> Asignar un dueño para cada proceso de TI, y definir claramente los roles y responsabilidades del dueño del proceso. <br />
    17. 17. PC3 Proceso Repetible<br /> Diseñar y establecer cada proceso clave de TI de tal manera que sea repetible y consecuentemente produzca los resultados esperados. <br />
    18. 18. PC4 Roles y Responsabilidades<br /> Asignar y comunicar roles y responsabilidades para la ejecución efectiva y eficiente de las actividades clave y su documentación, así como la rendición de cuentas para los entregables finales del proceso.<br />
    19. 19. PC5 Políticas, Planes y Procedimientos<br /> Definir y comunicar cómo todas las políticas, planes y procedimientos que dirigen los procesos de TI están documentados, revisados, mantenidos, aprobados, almacenados, comunicados y usados para el entrenamiento.<br />
    20. 20. PC6 Desempeño del Proceso<br /> Identificar un conjunto de métricas que proporcionen visión de las salidas y el desempeño del proceso. Establecer objetivos que se reflejen en las metas del proceso y los indicadores de desempeño de tal manera que permitan el logro de las metas de los procesos.<br />
    21. 21.
    22. 22. Lic. Enel R. Almonte P.<br />
    23. 23. Estructura de COBIT<br />
    24. 24. Dominio: Planeación y Organización<br />PO2 Definir la <br />Arquitectura de<br />Información.<br />PO1 Definir un plan<br />Estratégico .<br />PO10 Administrar <br />Proyectos<br />PLANEACION Y<br />ORGANIZACION<br />PO3 Determinar la <br />Dirección tecnológica<br />PO9 Evaluar y <br />Administrar los <br />Riesgos de TI<br />PO4 Definir los procesos<br />Organización y relaciones<br />De TI<br />PO8 Administrar la<br />Calidad<br />PO5 Administrar los<br />Recursos de TI<br />PO6 Comunicar las <br />Aspiraciones y la dirección<br />De la gerencia<br />Po7 Administrar los<br />Recurso humanos de <br />TI<br />
    25. 25. Dominio: Planeación y Organización<br />Este dominio cubre estrategia y táctica, y se relaciona con la identificación de la forma en que TI puede contribuir al logro de los objetivos del negocios. Más aún, la realización de la visión estratégica que debe ser planificada, comunicada y administrada para diferentes perspectivas. Finalmente, se debe poseer una apropiada organización además de una infraestructura tecnológica.<br />
    26. 26. PO1. Definición de un plan Estratégico<br />Para que?: <br />Actividades: <br />PO1.1 Administración del valor de TI<br />PO1.2Alineación de TI con el negocio<br />PO1.3 Evaluación del desempeño y la Capacidad actual. <br />PO1.4Plan estratégico <br />PO1.5 Planes tácticos<br />PO1.6Administración del portafolio TI<br />Lograr un balance optimo entre las oportunidades de tecnología de información y los requerimientos de TI del negocio, y así asegurar sus logros futuros.<br />
    27. 27. PO2. Definir la Arquitectura de la Información<br />Para que?: <br />Actividades: <br />PO2.1 Modelo de Arquitectura de Información Empresarial<br />PO2.2 Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos<br />PO2.3 Esquema de Clasificación de Datos<br />PO2.4 Administración de Integridad<br />Satisfacer los requerimientos de negocio, organizando de la mejor manera posible los sistemas de información, a través de la creación y mantenimiento de un modelo de información de negocio.<br />
    28. 28. PO3. Determinar la Dirección Tecnológica.<br />Para que?: <br />Actividades: <br />PO3.1Planeación de la Dirección Tecnológica.<br />PO3.2 Plan de Infraestructura Tecnológica.<br />PO3.3 Monitoreo de Tendencias y Regulaciones Futuras.<br />PO3.4 Estándares Tecnológicos.<br />PO3.5 Consejo de Arquitectura de TI.<br />Aprovechar al máximo de la tecnología disponible o tecnología emergente, satisfaciendo los requerimientos de negocio, a través de la creación y mantenimiento de un plan de infraestructura tecnológica<br />
    29. 29. PO4. Definir los Procesos, Organización y Relaciones de TI.<br />Para que?: <br />Actividades: <br />PO4.1 Marco de Trabajo de Procesos de TI.<br />PO4.2 Comité Estratégico de TI.<br />PO4.3 Comité Directivo de TI.<br />PO4.4 Ubicación Organizacional de la Función de TI.<br />PO4.5 Estructura Organizacional<br />PO4.6 Establecimiento de Roles y Responsabilidades.<br />Prestar servicios de TI. Esto se realiza por medio de una organización conveniente en numero y habilidades, con tareas y responsabilidades definidas y comunicadas<br />
    30. 30. PO4. Definir los Procesos, Organización y Relaciones de TI. (continuación)<br />Actividades: <br />PO4.7 Responsabilidad de Aseguramiento de Calidad de TI.<br />PO4.8 Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento.<br />PO4.9 Propiedad de Datos y de Sistemas.<br />PO4.10 Supervisión.<br />PO4.11 Segregación de Funciones.<br />PO4.12 Personal de TI.<br />PO4.13 Personal Clave de TI.<br />PO4.14 Políticas y Procedimientos para Personal Contratado.<br />PO4.15 Relaciones.<br />
    31. 31. PO5. Administrar la Inversión en TI.<br />Para que?: <br />Actividades: <br />PO5.1 Marco de Trabajo para la Administración Financiera<br />PO5.2 Prioridades Dentro del Presupuesto de TI<br />PO5.3 Proceso Presupuestal<br />PO5.4 Administración de Costos de TI<br />PO5.5 Administración de Beneficios<br />Tiene como finalidad la satisfacción de los requerimientos de negocio, asegurando el financiamiento y el control de desembolsos de recursos financieros.<br />
    32. 32. PO6. Comunicar las Aspiraciones y la Dirección de la Gerencia.<br />Para que?: <br />Actividades: <br />PO6.1 Ambiente de Políticas y de Control<br />PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI<br />PO6.3 Administración de Políticas para TI<br />PO6.4 Implantación de Políticas de TI<br />PO6.5 Comunicación de los Objetivos y la Dirección de TI<br />Asegurar el conocimiento y comprensión de los usuarios sobre las aspiraciones de la gerencia.<br />
    33. 33. PO7. Administrar los Recursos Humanos de TI.<br />Para que?: <br />Actividades: <br />PO7.1 Reclutamiento y Retención del Personal<br />PO7.2 Competencias del Personal<br />PO7.3 Asignación de Roles<br />PO7.4 Entrenamiento del Personal de TI<br />PO7.5 Dependencia Sobre los Individuos<br />PO7.6 Procedimientos de Investigación del Personal<br />PO7.7 Evaluación del Desempeño del Empleado<br />PO7.8 Cambios y Terminación de Trabajo<br />Maximizar las contribuciones del personal a los procesos de TI, satisfaciendo así los requerimientos de negocio.<br />
    34. 34. PO8. Administrar la Calidad.<br />Para que?: <br />Actividades: <br />PO8.1 Sistema de Administración de Calidad.<br />PO8.2 Estándares y Prácticas de Calidad.<br />PO8.3 Estándares de Desarrollo y de Adquisición.<br />PO8.4 Enfoque en el Cliente de TI.<br />PO8.5 Mejora Continua.<br />PO8.6 Medición, Monitoreo y Revisión de la Calidad.<br />Es esencial garantizar que TI está dando valor al negocio, mejora continua y transparencia para los interesados.<br />
    35. 35. PO9. Evaluar y Administrar los Riesgos de TI.<br />Para que?: <br />Actividades: <br />PO9.1 Marco de Trabajo de Administración de Riesgos.<br />PO9.2 Establecimiento del Contexto del Riesgo.<br />PO9.3 Identificación de Eventos.<br />PO9.4 Evaluación de Riesgos de TI.<br />PO9.5 Respuesta a los Riesgos.<br />PO9.6 Mantenimiento y Monitoreo de un Plan de Acción de Riesgos.<br />Asegurar el logro de los objetivos de TI y responder a las amenazas hacia la provisión de servicios de TI<br />
    36. 36. PO10. Administrar Proyectos.<br />Para que?: <br />Actividades: <br />PO10.1 Marco de Trabajo para la Administración de Programas.<br />PO10.2 Marco de Trabajo para la Administración de Proyectos.<br />PO10.3 Enfoque de Administración de Proyectos.<br />PO10.4 Compromiso de los Interesados.<br />PO10.5Declaración de Alcance del Proyecto<br />Establecer prioridades y entregar servicios oportunamente y de acuerdo al presupuesto de inversión<br />
    37. 37. PO10. Administrar Proyectos. (continuación)<br />Actividades: <br />PO10.6 Inicio de las Fases del Proyecto.<br />PO10.7 Plan Integrado del Proyecto.<br />PO10.8 Recursos del Proyecto.<br />PO10.9 Administración de Riesgos del Proyecto.<br />PO10.10 Plan de Calidad del Proyecto.<br />PO10.11 Control de Cambios del Proyecto.<br />PO10.12 Planeación del Proyecto y Métodos de aseguramiento.<br />PO10.13 Medición del Desempeño, Reporte y Monitoreo del Proyecto.<br />PO10.14 Cierre del Proyecto<br />
    38. 38. Dominio: Adquirir e Implementar<br />AI1. Identificar soluciones<br /> automatizadas<br />AI5. Adquirir <br />recursos de TI<br />AI2. Adquirir y mantener<br /> software aplicativo<br />Adquirir e <br />Implementar<br />AI3. Adquirir y mantener <br />infraestructura <br />tecnológica<br />AI6. Administrar <br />cambios<br />AI4. Facilitar la <br />operación y el uso<br />AI7. Instalar y acreditar<br /> soluciones y cambios<br />
    39. 39. Dominio: Adquirir e Implementar<br />Para realizar las estrategias TI, se deben desarrollar o adquirir las soluciones, así como implementarlas en la empresa. Además, los cambios y el mantenimiento de sistemas, nos sirven para asegurar un ciclo de vida útil continuo.<br />
    40. 40. AI1. Identificar soluciones automatizadas<br />Para que?: <br />Actividades: <br />AI1.1 Definición y Mantenimiento de los Requerimientos Técnicos y Funcionales del Negocio.<br />AI1.2 Reporte de Análisis de Riesgos.<br />AI1.3 Estudio de Factibilidad y Formulación de Cursos de Acción Alternativos.<br />AI1.4 Requerimientos, Decisión de Factibilidad y aprobación.<br />La necesidad de una nueva aplicación o función requiere de análisis antes de la compra o desarrollo para garantizar que los requisitos del negocio se satisfacen con un enfoque efectivo y eficiente.<br />
    41. 41. AI2. Adquirir y mantener software aplicativo<br />Para que?: <br />Actividades: <br />AI2.1 Diseño de Alto Nivel.<br />AI2.2 Diseño Detallado.<br />AI2.3 Control y Posibilidad de Auditar las Aplicaciones.<br />AI2.4 Seguridad y Disponibilidad de las Aplicaciones.<br />AI2.5 Configuración e Implantación de Software Aplicativo Adquirido.<br />Esto permite a las organizaciones apoyar la operatividad del negocio de forma apropiada con las aplicaciones automatizadas correctas<br />
    42. 42. AI2. Adquirir y mantener software aplicativo (continuación)<br />Actividades: <br />AI2.6 Actualizaciones Importantes en Sistemas Existentes.<br />AI2.7 Desarrollo de Software Aplicativo.<br />AI2.8 Aseguramiento de la Calidad del Software.<br />AI2.9 Administración de los Requerimientos de Aplicaciones.<br />AI2.10 Mantenimiento de Software Aplicativo.<br />
    43. 43. AI3. Adquirir y mantener infraestructura tecnológica<br />Para que?: <br />Actividades: <br />AI3.1 Plan de Adquisición de Infraestructura Tecnológica.<br />AI3.2 Protección y Disponibilidad del Recurso de Infraestructura.<br />AI3.3 Mantenimiento de la Infraestructura.<br />AI3.4 Ambiente de Prueba de Factibilidad.<br />Proporcionar las plataformas apropiadas para soportar aplicaciones de negocios. Esto garantiza que exista un soporte tecnológico continuo para las aplicaciones.<br />
    44. 44. AI4. Facilitar la operación y el uso<br />Para que?: <br />Actividades: <br />AI4.1 Plan para Soluciones de Operación.<br />AI4.2 Transferencia de Conocimiento a la Gerencia del Negocio.<br />AI4.3 Transferencia de Conocimiento a Usuarios Finales.<br />AI4.4 Transferencia de Conocimiento al Personal de Operaciones y Soporte.<br />Este proceso requiere la generación de documentación y manuales para usuarios y TI , y proporciona entrenamiento para garantizar el uso y la operación correcta de las aplicaciones y la infraestructura.<br />
    45. 45. AI5. Adquirir recursos de TI<br />Para que?: <br />Actividades: <br />AI5.1 Control de Adquisición.<br />AI5.2 Administración de Contratos con Proveedores.<br />AI5.3 Selección de Proveedores.<br />AI5.4 Adquisición de Recursos de TI.<br />Se deben suministrar recursos TI. Esto requiere de la definición y ejecución de los procedimientos de adquisición, la elección de proveedores, el ajuste de arreglos Contractuales y la adquisición en sí. El hacerlo así garantiza que la organización tenga todos los recursos de TI que se requieren de una manera oportuna y rentable.<br />
    46. 46. AI6 Administrar Cambios<br />Para que?: <br />Todos los cambios, incluyendo el mantenimiento de emergencia y parches, relacionados con la infraestructura y las aplicaciones dentro del ambiente de producción, deben administrarse formalmente. Esto garantiza la reducción de riesgos que impactan negativamente la estabilidad o integridad del ambiente de producción.<br />
    47. 47. AI6 Administrar Cambios (continuación)<br />Actividades: <br />AI6.1 Estándares y Procedimientos para Cambios.<br />AI6.2 Evaluación de Impacto, Priorización y Autorización.<br />AI6.3 Cambios de Emergencia.<br />AI6.4 Seguimiento y Reporte del Estatus de Cambio.<br />AI6.5 Cierre y Documentación del Cambio.<br />
    48. 48. AI7. Instalar y acreditar soluciones y cambios<br />Para que?: <br />Actividades: <br />AI7.1 Entrenamiento.<br />AI7.2 Plan de Prueba.<br />AI7.3 Plan de Implantación.<br />AI7.4 Ambiente de Prueba..<br />Los nuevos sistemas necesitan estar funcionales una vez que su desarrollo se completa. Esto requiere pruebas adecuadas en un ambiente dedicado con datos de prueba relevantes.<br />definir la transición, planear la liberación y la transición en sí al ambiente de producción, y revisar la post-implantación.<br />
    49. 49. AI7. Instalar y acreditar soluciones y cambios (continuación)<br />Actividades: <br />AI7.5 Conversión de Sistemas y Datos.<br />AI7.6 Pruebas de Cambios.<br />AI7.7 Prueba de Aceptación Final.<br />AI7.8 Promoción a Producción.<br />AI7.9 Revisión Posterior a la Implantación.<br />
    50. 50. Lic. Gregory Moronta<br />
    51. 51. Dominio: <br />Entregar y Dar Soporte<br />DS1Definir y administrar <br />los niveles de servicio<br />DS13Administrar las <br />operaciones<br />DS3Administrar el <br />desempeño y la capacidad<br />DS2Administrar los <br />servicios de terceros<br />DS12Administrar el <br />ambiente físico<br />DS4Garantizar la <br />continuidad del servicio<br />ENTREGAR <br />Y <br />DAR SOPORTE<br />DS11Administrar <br />los datos<br />DS5Garantizar la <br />seguridad de los sistemas<br />DS10Administrar los <br />problemas<br />DS6Identificar y <br />asignar costos<br />DS9Administrar la <br />configuración<br />DS7Educar y entrenar <br />a los usuarios<br />DS8Administrar la mesa <br />de servicio y los incidentes<br />
    52. 52. Dominio: Entregar y Dar Soporte<br />Este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad.<br />
    53. 53. DS1. Definir y Administrar los Niveles de Servicio<br />Para que?: <br />Actividades: <br />DS1.1 Marco de Trabajo de la Administración de los Niveles de Servicio<br />DS1.2 Definición de Servicios<br />DS1.3 Acuerdos de Niveles de Servicio<br />DS1.4 Acuerdos de Niveles de Operación<br />DS1.5 Monitoreo y Reporte del Cumplimento de los Niveles de Servicio<br />DS1.6 Revisión de los Acuerdos de Niveles de Servicio y de los Contratos<br />Establecer una comprensión común del nivel de servicio requerido.<br />
    54. 54. DS2. Administrar los Servicios de Terceros<br />Para que?: <br />Actividades: <br />DS2.1 Identificación de Todas las Relaciones con Proveedores<br />DS2.2 Gestión de Relaciones con Proveedores<br />DS2.3 Administración de Riesgos del Proveedor<br />DS2.4 Monitoreo del Desempeño del Proveedor<br />Asegurar que las tareas y responsabilidades de las terceras partes estén claramente definidas, que cumplan y continúen satisfaciendo los requerimientos.<br />
    55. 55. DS3. Administración de Desempeño y Capacidad<br />Para que?: <br />Actividades: <br />DS3.1 Planeación del Desempeño y la Capacidad<br />DS3.2 Capacidad y Desempeño Actual<br />DS3.3 Capacidad y Desempeño Futuros<br />DS3.4 Disponibilidad de Recursos de TI<br />DS3.5 Monitoreo y Reporte<br />Asegurar que la capacidad adecuada está disponible y que se esté haciendo el mejor uso de ella para alcanzar el desempeño deseado.<br />
    56. 56. DS4. Garantizar la Continuidad del Servicio<br />Para que?: <br />Actividades: <br />DS4.1 Marco de Trabajo de Continuidad de TI<br />DS4.2 Planes de Continuidad de TI<br />DS4.3 Recursos Críticos de TI<br />DS4.4 Mantenimiento del Plan de Continuidad de TI<br />DS4.5 Pruebas del Plan de Continuidad de TI<br />Mantener el servicio disponible de acuerdo con los requerimientos y continuar su provisión en caso de interrupciones.<br />
    57. 57. DS4. Garantizar la Continuidad del Servicio<br />Para que?: <br />Actividades: <br />DS4.6 Entrenamiento del Plan de Continuidad de TI<br />DS4.7 Distribución del Plan de Continuidad de TI<br />DS4.8 Recuperación y Reanudación de los Servicios de TI<br />DS4.9 Almacenamiento de Respaldos Fuera de las <br />Instalaciones<br />DS4.10 Revisión Post Reanudación<br />Mantener el servicio disponible de acuerdo con los requerimientos y continuar su provisión en caso de interrupciones.<br />
    58. 58. DS5. Garantizar la Seguridad de los Sistemas<br />Para que?: <br />Actividades: <br />DS5.1 Administración de la Seguridad de TI<br />DS5.2 Plan de Seguridad de TI<br />DS5.3 Administración de Identidad<br />DS5.4 Administración de Cuentas del Usuario<br />DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad<br />DS5.6 Definición de Incidente de Seguridad.<br />Salvaguardar la información contra uso no autorizados, divulgación, modificación, daño o pérdida.<br />
    59. 59. DS5. Garantizar la Seguridad de los Sistemas<br />Para que?: <br />Actividades: <br />DS5.7 Protección de la Tecnología de Seguridad<br />DS5.8 Administración de Llaves Criptográficas<br />DS5.9 Prevención, Detec. y Correc. de Software Malicioso<br />DS5.10 Seguridad de la Red<br />DS5.11 Intercambio de Datos Sensitivos<br />Salvaguardar la información contra uso no autorizados, divulgación, modificación, daño o pérdida.<br />
    60. 60. DS6. Identificar y Asignar Costos<br />Para que?: <br />Actividades: <br />DS6.1 Definición de Servicios<br />DS6.2 Contabilización de TI<br />DS6.3 Modelación de Costos y Cargos<br />DS6.4 Mantenimiento del Modelo de Costos<br />Asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI.<br />
    61. 61. DS7. Educar y Entrenar a los Usuarios<br />Para que?: <br />Actividades: <br />DS7.1 Identificación de Necesidades de <br /> Entrenamiento y Educación<br />DS7.2 Impartición de Entrenamiento y Educación<br />DS7.3 Evaluación del Entrenamiento Recibido<br />Asegurar que los usuarios estén haciendo un uso efectivo de la tecnología y estén conscientes de los riesgos y responsabilidades involucrados.<br />
    62. 62. DS8. Administrar la Mesa de Servicio y los Incidentes<br />Para que?: <br />Actividades: <br />DS8.1 Mesa de Servicios<br />DS8.2 Registro de Consultas de Clientes<br />DS8.3 Escalamiento de Incidentes<br />DS8.4 Cierre de Incidentes<br />DS8.5 Análisis de Tendencias<br />Asegurar que cualquier problema experimentado por los usuarios sea atendido apropiadamente.<br />
    63. 63. DS9. Administración de Configuración<br />Para que?: <br />Actividades: <br />DS9.1 Repositorio y Línea Base de Configuración<br />DS9.2 Identificación y Mantenimiento de Elementos <br /> de Configuración<br />DS9.3 Revisión de Integridad de la Configuración<br />Dar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia física y proporcionar una base para el sano manejo de cambios.<br />
    64. 64. DS10. Administración de Configuración<br />Para que?: <br />Actividades: <br />DS10.1 Identificación y Clasificación de Problemas<br />DS10.2 Rastreo y Resolución de Problemas<br />DS10.3 Cierre de Problemas<br />DS10.4 Integración de las Administraciones de Cambios, <br /> Configuración y Problemas<br />Asegurar que los problemas e incidentes sean resueltos y que sus causas sean investigadas para prevenir que vuelvan a suceder.<br />
    65. 65. DS11. Administración de Configuración<br />Para que?: <br />Actividades: <br />DS11.1 Requerimientos del Negocio para Administración de Datos<br />DS11.2 Acuerdos de Almacenamiento y Conservación<br />DS11.3 Sistema de Administración de Librerías de Medios<br />DS11.4 Eliminación<br />DS11.5 Respaldo y Restauración<br />DS11.6 Requerimientos de Seguridad para la Administración de Datos<br />Asegurar que los datos permanezcan completos, precisos y válidos durante su entrada, actualización, salida y almacenamiento.<br />
    66. 66. DS12. Administración del Ambiente Físico<br />Para que?: <br />Actividades: <br />DS12.1 Selección y Diseño del Centro de Datos<br />DS12.2 Medidas de Seguridad Física<br />DS12.3 Acceso Físico<br />DS12.4 Protección Contra Factores Ambientales<br />DS12.5 Administración de Instalaciones Físicas<br />Proporcionar un ambiente físico conveniente que proteja al equipo y al personal de TI contra peligros naturales (fuego, polvo, calor excesivos) o fallas humanas.<br />
    67. 67. Dominio: <br />Monitorear y Evaluar<br />ME2 Monitorear y Evaluar <br />el Control Interno<br />ME1 Monitorear y Evaluar <br />el Desempeño de TI<br />MONITOREAR <br />Y<br />EVALUAR<br />ME4 Proporcionar Gobierno <br />de TI<br />ME3 Garantizar el Cumplimiento<br />Regulatorio<br />
    68. 68. Dominio: Adquirir e Implementar<br />Todos los procesos de una organización necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control, integridad y confidencialidad. Este es, precisamente, el ámbito de este dominio.<br />
    69. 69. ME1. Administración del Ambiente Físico<br />Para que?: <br />Actividades: <br />ME1.1 Enfoque del Monitoreo<br />ME1.2 Definición y Recolección de Datos de Monitoreo<br />ME1.3 Método de Monitoreo<br />ME1.4 Evaluación del Desempeño<br />ME1.5 Reportes al Consejo Directivo y a Ejecutivos<br />ME1.6 Acciones Correctivas<br />Asegurar el logro de los objetivos establecidos para los procesos de TI. Lo cual se logra definiendo por parte de la gerencia reportes e indicadores de desempeño gerenciales.<br />
    70. 70. ME2. Monitorear y Evaluar el Control Interno<br />Para que?: <br />Actividades: <br />ME2.1 Monitoreo del Marco de Trabajo de Control Interno<br />ME2.2 Revisiones de Auditoría<br />ME2.3 Excepciones de Control<br />ME2.4 Auto Evaluación del Control<br />ME2.5 Aseguramiento del Control Interno<br />ME2.6 Control Interno para Terceros<br />ME2.7 Acciones Correctivas<br />Asegurar el logro de los objetivos de control interno establecidos para los procesos de TI.<br />
    71. 71. ME3. Garantizar el Cumplimiento con Requerimiento Externos<br />Para que?: <br />Actividades: <br />ME3.1 Identificar los Requerimientos de las Leyes, <br /> Regulaciones y Cumplimientos Contractuales<br />ME3.2 Optimizar la Respuesta a Requerimientos Externos<br />ME3.3 Evaluación del Cumplimiento con Requerimientos Externos<br />ME3.4 Aseguramiento Positivo del Cumplimiento<br />ME3.5 Reportes Integrados<br />Incrementar los niveles de confianza entre la organización, clientes y proveedores externos. Este proceso se lleva a cabo a intervalos regulares de tiempo.<br />
    72. 72. ME4. Garantizar el Cumplimiento con Requerimiento Externos<br />Para que?: <br />Actividades: <br />ME4.1 Establecimiento de un Marco de Gobierno de TI<br />ME4.2 Alineamiento Estratégico<br />ME4.3 Entrega de Valor<br />ME4.4 Administración de Recursos<br />ME4.5 Administración de Riesgos<br />ME4.6 Medición del Desempeño<br />ME4.7 Aseguramiento Independiente<br />El establecimiento de un marco de trabajo de gobierno efectivo, incluye la definición de estructuras, procesos, liderazgo, roles y responsabilidades organizacionales.<br />

    ×