El documento trata sobre el concepto de Gobierno de Tecnologías de la Información (TI). Explica que es un marco de políticas, procesos y procedimientos que permite administrar los riesgos relacionados con la TI, garantizar la transparencia y el control del área de TI, y apoyar los objetivos del negocio. También describe los principales componentes del Gobierno de TI como la gestión del nivel de servicio, la gestión de capacidad, la gestión de la disponibilidad, la gestión de continuidad y la gestión de seguridad

2. • Information Technology Governance (Gobierno de la Tecnología de Información).
– Subconjunto de la disciplina de Gobierno Corporativo con foco en la tecnología de la información
(TI), su desempeño y manejo de riesgo.
GOBIERNO DE TI

3. • Es un conjunto de políticas, procesos y procedimientos para
soportar cualquier cosa que TI hace.
• Permite al CIO cumplir con sus objetivos fundamentalmente
cambiando como TI ejecuta
• Permite la trasparencia y control del área de TI
• Administra los riesgos relacionados con la tecnología
– Los procesos de sistemas tienen la responsabilidad de aportar valor al negocio.
 Reconocimiento que los proyectos de TI pueden fácilmente salirse
de control y afectar profundamente el desempeño de una
organización
Definiciones de Gobierno de TI

4. Gobierno de TI
Marco de Control Interno
Objetivos de
Control en TI
ISO 38500

5. Marco de
Control Interno
Objetivos de
Control en TI
ISO 38500
Gobierno de TI

6. Marco de
Control Interno
Objetivos de
Control en TI
ISO 38500
Gobierno de TI

7. Marco de
Control Interno
Objetivos de
Control en TI
ISO 38500
Gobierno de TI

8. Marco de
Control Interno
Objetivos de
Control en TI
ISO 38500
Gobierno de TI

9. Marco de
Control Interno
Objetivos de
Control en TI
ISO 38500
Gobierno de TI

10. Marco de
Control Interno
Objetivos de
Control en TI
ISO 38500
Gobierno de TI

11. Gobierno de TI
NTP ISO 17799:2007
ISO 27001:2005
BS 25999
Marco de Control Interno
Objetivos de Control en TI
ISO 38500

13. Integrar TI con el Negocio

14. Desafío de TI
VALOR de TI
Servicios de TI
Continuidad de TI

24. Diseño del
servicio
Mejora continua del
servicio

26. Estrategia del Servicio
• Estrategia del servicio
• Gestión del portafolio
de servicio
• Gestión Financiera
• Gestión de la demanda
Diseño del Servicio
• Gestión del Catalogo de servicios
• Gestión del nivel de servicios
• Gestión de proveedores
• Gestión de la capacidad
•Gestión de la disponibilidad
•Gestión de la continuidad del
servicio de TI
•Gestión de la seguridad de
Información
Transición del Servicio
• Planeamiento y soporte de la
transición
• Gestión del cambio
• Gestión de activos y
configuración del servicio
• Gestión de despliegue y
liberación
•Validación del servicio
•Evaluación
•Gestión del conocimiento
Operación del Servicio
• Gestión de eventos
• Gestión de incidentes
• Gestión de problemas
• Gestión de acceso
•Evaluación
•Gestión del conocimiento
Mejoramiento
Continuo del servicio
Siete pasos de mejora

29. Ciclo de vida del servicio
El patrón denominarte en el CV es el progreso secuencial que comienza en ES>DS>TS>OS y
que regresa a ES por medio de la Mejora continua del servicio

35. Para cada servicio, el Portafolio de Servicios define:
Nombre
Situación actual (por ej. “Proyectado”, “Activo (Catálogo de Servicios)”,
“Retirado”)
Tipo de Servicio
Servicio de Negocio (visible para el cliente) o Servicio de Infraestructura
(invisible para el cliente, usado como cimiento para Servicios de Negocio)
Internos/ externos: Servicio que se provee internamente o un servicio
contratado de un proveedor externo
Propietario del Servicio (responsabilidad por el suministro)
Clientes que actualmente usan este servicio
Contactos y procedimientos para inscribirse para el servicio
por ej. Detalles de contacto del Gestor del Nivel de Servicio responsable
Procedimiento para la inscripción

36. Dependencias
Servicios
Servicios de Infraestructura requeridos (Servicios de Infraestructura de
los cuales depende este servicio)
Servicios que apoya (otros servicios que dependen de este servicio)
Infraestructura / Elementos de Configuración (CI's) importantes, como del que
depende este servicio)
Cambios planificados al servicio (si alguno)
Referencias a planes relevantes (por ej. Plan Estratégico de Servicios, Plan
de Mejoras al Servicio/ SIP)
Caso de negocio / análisis de costo-beneficio
Prioridad de cambio contemplado
Riesgos asociados con el cambio contemplado
Calendario e información de situación actual
Referencias a documentos adicionales

39. El proceso ( cont.)

41. La Gestión de la Demanda :
• Son actividades que comprenden e influyen en la demanda del
cliente por servicios y el suministro de capacidad para cumplir esas
demandas.
• A nivel estratégico, la gestión de la demanda puede involucrar el
análisis de los patrones de actividad de negocio y perfiles de usuario.
• A nivel táctico puede involucrar el uso del cargo diferencial para
fomentar entre los clientes el uso de un servicio de TI en horarios
con menor actividad.

44. Gestión del Nivel de Servicio

45. Gestión del Nivel de Servicio

46. Acuerdos vs Requisitos
SLA SLRs Hojas specs
Acuerdo con el cliente
Servicio que se presta
Requisitos del Negocio
Las Necesidades del Servicio
Hojas de Especificación
Detalles técnicos de los SLR
Gestión del Nivel de Servicio

47. Actividades, Acuerdo de Nivel de Servicio
Negocio
Servicios
OLA
Proveedor Interno
Contratos de Soporte
Proveedores
Requisitos
Gestiona los
Niveles de Servicios
y las Mejoras
Gestiona las
Expectativas
y las Quejas
Elabora
reportes de
revisión
Gestiona los Acuerdos
y las Mejoras
Gestiona los Acuerdos
y las Mejoras
Gestiona las Relaciones Gestiona las Relaciones
Estándares y
Plantillas de
Documentos de
la SLM
Gestión del Nivel de Servicio

50. Alcance del proceso

52. Actividades; Gestión de Capacidad
Revisa la capacidad y el
desempeño actual
Mejora el servicio actual y la
capacidad de los componentes
Evalúa, acuerda y documenta
los nuevos requisitos de
capacidad
Planea la Nueva Capacidad
Informes y datos de capacidad
y rendimiento
Prospecciones
Plan de Capacidad
Sistema de Información de
Gestión de la Capacidad

54. Monitoreo, medición, análisis,
generación de informes y
revisión de la disponibilidad
del servicio y componente
Actividades,
Gestión de
Disponibilidad
Evaluación y Gestión de
Riesgos
Investigación de la no
disponibilidad de todos los
servicios y componentes e
investigación de las acciones de
saneamiento
Implementación de
contramedidas con costo
justificable
Planeación y diseño de
servicios nuevos y
modificados
Revisión de todos los servicios
nuevos y modificados y prueba de
todos los mecanismos de
disponibilidad y resistencia
Actividades
Reactivas
Actividades
Proactivas
Informes de
Gestión de la
Disponibilidad
Planificación
de la
Disponibilidad
Criterios de
diseño de la
Disponibilidad
Programas de
pruebas de la
Disponibilidad
Sistema de
Información de
Gestión de la
Disponibilidad

55. Criterios de Diseño para funciones vitales del negocio
Alta Disponibilidad, minimiza o cubre los efectos del fallo de un
componente de TI ante los usuarios de un servicio.
Tolerancia a Fallas, Habilidad de un servicio o componente para operar
correctamente después del fallo de una parte de un componente.
Operación Continua, Un enfoque o diseño para eliminar los tiempos
inactivos planificados de un servicio de TI.
Disponibilidad Continua, diseño para conseguir una disponibilidad del
100%, el servicio de TI no debe tener tiempos inactivos planificados o no
planificados.

57. El objetivo de la Administración de Continuidad de Servicios de TI es planear,
cubrir y recuperarse de una crisis de TI que requiera que el trabajo se mueva a
un sistema alterno de una manera transparente.
Hoy en día los ambientes de negocio son altamente competitivos, las
organizaciones son juzgadas en su habilidad para continuar operando y
proporcionando servicios. La administración de continuidad se preocupa por la
habilidad de una organización para continuar proporcionando un
predeterminado y acordado nivel de servicios de TI, para soportar los
requerimientos mínimos del negocio.

58. Estrategia de la
Continuidad del
Negocio
Planes de
Continuidad del
Negocio
Invocación
1. Iniciación
2. Requisitos y
Estrategia
3. Implementación
4. Operaciones
Continuas
Gestión
de la
Continuidad
del Negocio
Ciclo de Vida Actividades Clave
 Educación, Conciencia y Capacitación
 Revisión y Auditoría
 Pruebas
 Gestión de Cambios
 Análisis del Impacto de Negocio
 Evaluación de Riesgos
 Estrategia de la Continuidad de los
Servicios de TI
 Desarrollo de Planes de Continuidad
de los Servicios de TI
 Desarrollar Planes de TI, Planes de
Recuperación y Procedimientos
 Planificación Organizacional
 Estrategia de las Pruebas
 Establecimiento de Políticas
 Alcance
 Inicio de un Proyecto
Actividades; Gestión de Continuidad

59. Componentes
Recuperación
PERSONAS
LUGAR
DATOS
PLAN
Componentes de la Continuidad

60. Desarrollo de estrategias
Sitio Costo Equipo HW Telecoms
Tiempo
Setup
Local
Cold Bajo Nada Nada Largo Fijo
Warm Medio Parcial Parcial/Full Medio Fijo
Hot
Medio/
Alto
Completo Completo Corto Fijo
Mobile Alto Dependiente Depend. Depend. No Fijo
Mirrored Alto Completo Completo Nada Fijo

61. Secuencia de actividades

63. Este tiempo esta relacionado con la tolerancia
que la empresa puede tener, sobre la perdida de
datos, medidos en términos del tiempo entre el
ultimo respaldo (Backup) de datos y el evento
del desastre

64. Esta asociado con la recuperación de recursos tales como sistemas de
computo, equipos de manufactura e infraestructura física. El RTO
es el tiempo transcurrido entre una interrupción y la recuperación.
Indica el tiempo disponible para recuperar sistemas y recursos
interrumpidos.

65. Consiste en el espacio de tiempo durante el cual un
proceso puede estar inoperante hasta que la empresa
empiece a tener perdidas y colapse
Se calcula como el tiempo entre
la recuperación del sistema y la
normalización del procesamiento.
Es el tiempo invertido en buscar
datos perdidos y realizar
reparaciones.

66. Procedimientos
normales
Sistemas y
recursos
inexistentes
Procedimientos normales y manuales
Procedimiento
normal
ÚLTIMO
BACKUP
EVENTO
ALTERADOR
SISTEMAS Y RECURSOS
RECUPERADOS
Recuperar
amontona-
miento de
trabajo
Recuperar
datos
perdidos
Datos
perdidos
Procesar
amontona-
miento de trabajo
RPO RTO WRT
MTD
INICIO DE PROCESAMIENTO
NORMAL
Recuperación
manual de
datos
Tiempo para la recuperación de
un desastre
Procedimientos
manuales de
emergencia

68. Confidencialidad
Integridad
Disponibilidad

69. Actividades; Gestión de Seguridad
Comunica, Implementa y
aplica el cumplimiento de
todas las políticas de
seguridad
Monitorea y administra
los incidentes e
infracciones de seguridad
Crea informes, revisa y
reduce las infracciones de
seguridad e incidentes
mayores
Produce y mantiene una
política de seguridad de la
información
Evalúa y clasifica los activos
de información, riesgos y
vulnerabilidades
Evalúa, revisa y genera
informes con regularidad de
los riesgos de seguridad y las
amenazas
Impone y revisa los controles
de seguridad de riesgos,
revisa e implementa la
mitigación de riesgos
Política de
seguridad de la
información
Sistema de
Gestión de la
Seguridad (SGSI)
Informes e
información de
seguridad
Controles de
seguridad
Riesgos y
respuestas de
seguridad

74. , para que se puedan manejar los
cambios con rapidez, con el menor impacto posible para la calidad del
servicio.

75. Siete R´s de la Gestión de cambios
 Para evaluar con efectividad el impacto potencial de un cambio se debe
realizar una evaluación estandarizada para establecer el impacto
potencial, los costos, el beneficio para el negocio vs. los riesgos, etc.
 ¿Quién REQUIRIÓ el cambio?
 ¿Cuál es la RAZÓN del cambio?
 ¿Cuál es el RESULTADO que se requiere del cambio?
 ¿Cuáles son los RIESGOS involucrados en el cambio?
 ¿Qué RECURSOS se requieren para entregar el cambio?
 ¿Quién es RESPONSABLE de la creación, prueba e implementación del
cambio?
 ¿Cuál es la RELACIÓN entre este cambio y otros cambios?

76. Siete R´s de la Gestión de cambios
 Para evaluar con efectividad el impacto potencial de un cambio se debe
realizar una evaluación estandarizada para establecer el impacto
potencial, los costos, el beneficio para el negocio vs. los riesgos, etc.
 ¿Quién REQUIRIÓ el cambio?
 ¿Cuál es la RAZÓN del cambio?
•Calidad
•Rendimiento
•Cumplimiento
•Mantenimiento
•Defectos

77. Siete R´s de la Gestión de cambios
 Para evaluar con efectividad el impacto potencial de un cambio se debe realizar
una evaluación estandarizada para establecer el impacto potencial, los costos, el
beneficio para el negocio vs. los riesgos, etc.
 ¿Quién REQUIRIÓ el cambio?
 ¿Cuál es la RAZÓN del cambio?
 ¿Cuál es el RESULTADO que se requiere del cambio?
 ¿Cuáles son los RIESGOS involucrados en el cambio?
 ¿Qué RECURSOS se requieren para entregar el cambio?
En todo Cambio existen diversos recursos que necesitan tomarse en
cuenta, tales como:
•Humanos
•Financieros
•Externos
•Internos

78. Actividades
Registrar la RFC
Revisar la RFC
Evaluar el Cambio
Autorizar el Cambio
Planificar las
Actualizaciones
Coordinar la
Implementación del
Cambio
Revisar y Cerrar
El Registro
Una vez concluido el Cambio:
 Se informan los resultados
 Se lleva a cabo la evaluación
 En caso de haber sido exitoso, se cierra el
registro
 En caso de haber fracasado, se cierra el
registro

79. Registro

80. Aceptación
Información Adicional

81. Clasificación Cambios de Emergencia

82. Ventajas

85. Conceptos

86. Conceptos

87. DSL y DHS
D S L D H S
Construccion del Nuevo
Release/Version
C M D B
Registro
de versiones

88. Conceptos

89. Conceptos

91. Introducción

92. Objetivos

94. El Proceso

95. Actividades Generales

96. Actividades Especificas

97. 1.- Política y Planificación de Liberación de Versiones

98. 3.-Prueba y Aceptación de la versión

99. 4.- Planificación de la Implementación

103. • El siguiente diagrama muestra la relación entre Incidentes,
Problemas, KEs, Soluciones Temporales y RFCs. :
Incidencia
Solución
en la
Infraestructura
Incidente Problema Error Conocido
Solución temporal
RFC
Secuencia

104. Actividades del proceso

105. Actividades
• Clasificación y Apoyo inicial.
– Identificar la razón y registrar los detalles.
– Buscar errores conocidos y Cis.
– Clasificar: categoría, impacto, urgencia y prioridad.
– Actualizar: soluciones temporales y RFCs.
– Encaminar si no es posible una solución temporal o permanente.
– Notificar Gestión de Problemas de nuevos problemas, o de múltiples incidentes
sin constancia previa.
Tipo de incidente Categoría Sub Categoría
Prioridad
estándar
Interrupción Software CRM 2
Hoja Electrónica 3
Cajero 1
Hardware Estación de Trabajo 2
Petición de Servicio Contraseña 1
Ayuda Ofimática 3

106. Proporcionar mecanismos para la detección temprana de incidentes.
A) En muchos casos se puede detectar el incidente y asignarlo al
grupo adecuado, para que lleve a cabo las acciones antes de
que ocurra cualquier interrupción real del servicio.
Permite monitorear por excepción algunos tipos de actividades automatizadas y de
esta manera elimina la necesidad de contar con un monitoreo en tiempo real costoso
e intensivo de los recursos.
Indica cambios de estado o excepciones que permiten que la persona o equipo
adecuado realicen una respuesta temprana, mejorando así el rendimiento del
proceso.
A) Normalmente se integra a otros procesos (Gestión de la
Disponibilidad o Capacidad)

107. Existen diversos tipos de eventos:
Operación Regular
Notificación de que se completo un proceso programado
Un usuario inicio sesión para usar una aplicación
Un correo electrónico de notificación llego a su destinatario
Una Excepción
Un usuario trata de iniciar sesión en una aplicación con la
contraseña incorrecta.
El CPU de un dispositivo esta por encima de la tasa de utilización
aceptable.
El análisis de una PC revela la instalación de software no autorizado
Operación Inusual, pero no Excepcional
La utilización de memoria de un servidor llega a un nivel que esta
5% por debajo del nivel de rendimiento mas alto aceptable.
El tiempo de terminación de una transacción tarda 10% mas de lo
normal

109. Un problema puede ser:
· La ocurrencia del mismo incidente muchas veces
· Un incidente que afecta a muchos usuarios
· El resultado del diagnóstico de la red que revela que algunos
sistemas no están funcionando de la manera prevista.

110. Incidente  Problema  Error Conocido  Cambio

111. Relación con la gestión de incidentes

112. Diferencias entre Gerencia del Problema y
Gerencia del incidente
• La gerencia del incidente es restaurar el servicio al cliente lo más
rápidamente posible, a menudo con un workaround, más bien que con
intentar encontrar una solución permanente.
• La gerencia del problema diferencia de la gerencia del incidente en que su
meta principal es la detección de las causas subyacentes de un incidente y
de la mejores resolución y prevención.

117. Actividades
• Recepción de llamadas.
• Registrar y dar seguimiento a incidentes.
• Dar soporte inicial y clasificación.
• Monitorizar y escalar de acuerdo con los
procedimientos, relativo al respectivo SLA.
• Encaminar los incidentes a los grupos de soporte
internos y externos. Adicionalmente coordinar los
correspondientes esfuerzos.
• Cerrar los incidentes después de confirmar con el
usuario.
• Resolución de los incidentes cerrados en el primer punto
de contacto.
• Responsables primarios, monitores y comunicadores de
incidentes.

118. Actividades (continua)
• Mantener los usuarios informados del estado de sus
peticiones y del progreso.
• Hacer una evaluación preliminar de las solicitudes de
cambios.
• Comunicar cambios planeados y a corto plazo de
Niveles de Servicio.
• Informar y dar recomendaciones de formación a los
usuarios.
• Apoyar para identificar Problemas.
• Identificar y referenciar oportunidades al Negocio.

120. Indicadores Clave de Rendimiento

121. CSI – Mejora Continua del Servicio