Anda di halaman 1dari 215

SEDE GUAYAQUIL

FACULTAD DE INGENIERAS

CARRERA:
INGENIERA EN SISTEMAS

Tesis previa a la obtencin del ttulo de:


Ingeniero en Sistemas con mencin en Informtica para
la Gestin

Tema:

Diagnstico para la Implantacin de COBIT en una


Empresa de Produccin
rea Piloto: Departamento de Sistemas
Tesistas:
Martha Elizabeth de la Torre Morales
Ingrid Kathyuska Giraldo Martnez
Carmen Azucena Villalta Gmez

Director:

Ing. Bertha Alice Naranjo Snchez, MSC


Septiembre 2012

DECLARACIN

Nosotras; Martha Elizabeth de la Torre Morales, Ingrid Kathyuska Giraldo Martnez


y Carmen Azucena Villalta Gmez, declaramos bajo juramento que este trabajo es de
nuestra autora y que hemos consultado las referencias bibliogrficas incluidas en
este documento.

Dejamos constancia que cedemos los derechos de propiedad intelectual a la


Universidad Politcnica Salesiana Sede Guayaquil segn lo establecido por la ley
de Propiedad Intelectual, por su Reglamento y por la Normativa institucional vigente.

__________________________________
MARTHA E. DE LA TORRE MORALES

______________________________
INGRID K. GIRALDO MARTNEZ

_____________________________
CARMEN A. VILLALTA GMEZ

AGRADECIMIENTO Y DEDICATORIA

Primero a Dios, el centro de mi vida y mi fortaleza.


A Santiago y Hayde, mis padres, mi inspiracin, por su eterno
apoyo.
A ngel Santiago, mi amado hijo, por soportar y comprender mis
ausencias mientras recorra este largo camino.
A Gustavo, mi partner, por su solidaridad y complicidad en esta
travesa.
A mi familia en general, por estar siempre conmigo.
A mis amigos, por su incondicionalidad.
Sin ustedes no podra avanzar en mis propsitos.
Gracias. Los amo infinitamente.

Un agradecimiento especial, a la Ing. Lilia Santos.

Martha E. de la Torre Morales

AGRADECIMIENTO Y DEDICATORIA

Principalmente a Dios.
A mi madre y mi to, porque creyeron en m y porque me sacaron
adelante, dndome ejemplos dignos de superacin y entrega. Gracias
a ellos, hoy puedo ver alcanzada esta meta, ya que siempre estuvieron
impulsndome en los momentos ms difciles y porque el orgullo que
sienten por m, fue lo que me hizo ir hasta el final. Esto es por ustedes,
por lo que significan para m, y porque admiro su esfuerzo a pesar de
las dificultades.
A mis hermanas, primos, abuelos y amigos. Gracias por haber
fomentado en m el deseo de superacin y el anhelo de triunfo en la
vida. Sin ustedes este trabajo no hubiera podido ser realizado.
No me alcanzaran las palabras para agradecerles su apoyo y sus
consejos.
A todos, espero no defraudarlos y contar siempre con su valioso
apoyo, sincero e incondicional.

Ingrid Giraldo Martnez

AGRADECIMIENTO Y DEDICATORIA

Quiero dar gracias a:

DIOS: Por haberme dado la vida, sabidura y su infinita misericordia.


MI ESPOSO: Por su amor, comprensin y apoyo; brindados en los momentos ms
difciles de mi vida.
MIS PADRES: Por brindarme su ejemplo, amor y tiempo para ser una persona de
bien.
MIS HERMANOS: Porque juntos formamos un futuro mejor para nuestra familia.
MI FAMILIA: Por fomentar los buenos valores y principios morales.
MIS AMIGOS: Por su apoyo incondicional a lo largo de mi carrera.

A todas las personas que hicieron que hoy cumpla mi meta mil gracias. Dios los
bendiga

Carmen Villalta Gmez

CERTIFICADO

Certifico que el presente trabajo fue realizado por las estudiantes Ingrid Kathyuska
Giraldo Martnez, Martha Elizabeth de la Torre Morales y Carmen Azucena Villalta
Gmez; bajo mi direccin.

Guayaquil, Septiembre del 2012.

----------------------------------------------Ing. Bertha Naranjo Snchez, MSC


DIRECTORA DE TESIS

NDICE
CAPTULO 1

18

1.1

18

PLANTEAMIENTO DEL PROBLEMA


1.1.1 FORMULACIN DEL PROBLEMA DE INVESTIGACIN

19

1.1.2 PREGUNTAS DEL PROBLEMA DE INVESTIGACIN

19

1.2 OBJETIVOS

20

1.2.1 OBJETIVO GENERAL

20

1.2.2 OBJETIVOS ESPECFICOS

20

1.3 ALCANCE

20

1.4 VARIABLES E INDICADORES

21

1.5 MATRIZ CAUSA EFECTO

22

CAPTULO 2

23

2.1 MARCO TERICO

23

2.1.1 INTRODUCCIN COBIT

23

2.1.1.1 DOMINIOS EN LA UTILIZACIN DE COBIT 4.1

23

2.1.1.1.1 DOMINIO PLANEAR Y ORGANIZAR (PO)

31

2.1.1.1.2 DOMINIO ADQUIRIR E IMPLEMENTAR (AI)

45

2.1.1.1.3 DOMINIO ENTREGAR Y DAR SOPORTE (DS)

53

2.1.1.1.4 DOMINIO MONITOREAR Y EVALUAR (ME)

67

2.1.1.2 MISIN DE COBIT

72

2.1.1.2.1 REAS DE ENFOQUE DEL GOBIERNO DE TI

72

2.1.1.2.2 CRITERIOS DE INFORMACIN DE COBIT

74

2.1.1.2.3 RECURSOS DE TI

76

2.1.1.2.4 MODELO DE MADUREZ COBIT

77

2.1.2 BENEFICIOS PARA LA EMPRESA EN APLICAR LA METODOLOGA


COBIT
79

CAPTULO 3

80

3.1

80

ASPECTOS METODOLGICOS DE LA INVESTIGACIN

3.1.1

TIPO DE INVESTIGACIN

80

3.1.2

MTODO DE INVESTIGACIN

80

3.1.3
FUENTES Y TCNICAS PARA LA RECOLECCIN DE
INFORMACIN

81

3.1.4

LIBROS DE COBIT UTILIZADOS PARA EL DIAGNSTICO

81

3.1.5

MTODO MATRICIAL PARA EL ANLISIS DE RIESGOS

82

3.1.5.1 DEFINICIONES PARA EL ANLISIS DE RIESGOS

82

3.1.6

83

ANLISIS FODA

CAPITULO 4

86

4.1
DIAGNSTICO DEL DEPARTAMENTO DE SISTEMAS DE LA
EMPRESA EP
86
4.1.1 BREVE DESCRIPCIN DE LA EMPRESA EP

86

4.1.1.1 HISTORIA

86

4.1.1.2 PRODUCTOS FABRICADOS POR LA EMPRESA EP

87

4.1.1.3 SERVICIOS QUE OFRECE LA EMPRESA EP

87

4.1.1.4 PROMOCIONES DISPONIBLES EN LA EMPRESA EP

88

4.1.1.5 ESTRUCTURA ORGNICA ACTUAL DE LA EMPRESA EP

89

4.1.1.6 ORGANIGRAMA FUNCIONAL DE LAS TECNOLOGAS DE


INFORMACIN EN LA EMPRESA EP

90

4.1.1.7 ORGANIGRAMA ESTRUCTURAL DE LAS TECNOLOGAS DE


INFORMACIN EN LA EMPRESA EP
91
4.1.1.8 ANLISIS FODA DEL DEPARTAMENTO DE TECNOLOGAS DE
INFORMACIN
92
4.1.2 DISEO DEL MODELO DE EVALUACIN

93

4.1.2.1 EVALUACIN DEL DEPARTAMENTO DE SISTEMAS DE LA


EMPRESA EP APLICANDO LA METODOLOGA COBIT 4.1
117
4.1.2.1.1 RESULTADOS FINALES OBTENIDOS

117

4.1.2.1.1.1 RESULTADO DE LA EVALUACIN DEL CUMPLIMIENTO A


NIVEL GENERAL
117
4.1.2.1.1.2 RESULTADO FINAL DE LA EVALUACIN POR DOMINIO 119
8

4.1.2.1.1.3 RESULTADO FINAL DE LA EVALUACIN POR PROCESO 120


4.1.2.1.1.4 RESULTADO FINAL DE LA EVALUACIN POR OBJETIVOS
DE CONTROL
127
4.1.2.1.1.5 RESULTADO FINAL DE LA EVALUACIN POR OBJETIVOS
DE CONTROL DE MENOR CUMPLIMIENTO
172
4.1.3 EVALUACIN DE RIESGOS DE TI

174

4.1.4 ELABORACIN DE POLTICAS A APLICAR ACORDE A LOS


OBJETIVOS DE CONTROL CRTICOS

180

CONCLUSIONES y RECOMENDACIONES

188

BIBLIOGRAFA

211

DEFINICIONES DE TRMINOS

212

NDICE DE ILUSTRACIONES

ILUSTRACIN 1: MARCO DE TRABAJO COMPLETO DE COBIT 4.1 ............ 24


ILUSTRACIN 2: DOMINIOS COBIT 4.1 ............................................................. 31
ILUSTRACIN 3: PROCESOS DEL DOMINIO PLANEAR Y ORGANIZAR .... 32
ILUSTRACIN 4: OBJETIVOS DE CONTROL DEL PROCESO
PO1- DEFINIR UN PLAN ESTRATGICO DE TI ................................................. 33
ILUSTRACIN 5: OBJETIVOS DE CONTROL DEL PROCESO
PO2- DEFINIR LA ARQUITECTURA DE LA INFORMACIN .......................... 34
ILUSTRACIN 6: OBJETIVOS DE CONTROL DEL PROCESO
PO3 - DETERMINAR LA DIRECCIN TECNOLGICA .................................... 35
ILUSTRACIN 7: OBJETIVOS DE CONTROL DEL PROCESO
PO4 - DEFINIR LOS PROCESOS, ORGANIZACIN Y RELACIONES DE TI .. 37
ILUSTRACIN 8: OBJETIVOS DE CONTROL DEL PROCESO
PO5 ADMINISTRAR LA INVERSIN DE TI .................................................... 38
ILUSTRACIN 9: OBJETIVOS DE CONTROL DEL PROCESO
PO6 COMUNICAR LAS ASPIRACIONES Y LA DIRECCIN DE LA
GERENCIA ............................................................................................................... 39
ILUSTRACIN 10: OBJETIVOS DE CONTROL DEL PROCESO
PO7 ADMINISTRAR RECURSOS HUMANOS DE TI ........................................ 40
ILUSTRACIN 11: OBJETIVOS DE CONTROL DEL PROCESO
PO8 - ADMINISTRAR LA CALIDAD .................................................................... 42
ILUSTRACIN 12: OBJETIVOS DE CONTROL DEL PROCESO
PO9 - EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI ................................ 43
ILUSTRACIN 13: OBJETIVOS DE CONTROL DEL PROCESO
PO10 - ADMINISTRAR PROYECTOS ................................................................... 44
ILUSTRACIN 14: PROCESOS DEL DOMINIO ADQUIRIR E
IMPLEMENTAR ....................................................................................................... 45
ILUSTRACIN 15: OBJETIVOS DE CONTROL DEL PROCESO
AI1 IDENTIFICAR SOLUCIONES AUTOMATIZADAS .................................... 46

10

ILUSTRACIN 16: OBJETIVOS DE CONTROL DEL PROCESO


AI2 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO ............................ 47
ILUSTRACIN 17: OBJETIVOS DE CONTROL DEL PROCESO
AI3 ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLGICA ...... 48
ILUSTRACIN 18: OBJETIVOS DE CONTROL DEL PROCESO
AI4 FACILITAR LA OPERACIN Y EL USO.................................................... 49
ILUSTRACIN 19: OBJETIVOS DE CONTROL DEL PROCESO
AI5 ADQUIRIR RECURSOS DE TI ..................................................................... 50
ILUSTRACIN 20: OBJETIVOS DE CONTROL DEL PROCESO
AI6 ADMINISTRAR CAMBIOS .......................................................................... 51
ILUSTRACIN 21: OBJETIVOS DE CONTROL DEL PROCESO
AI7 INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS ......................... 52
ILUSTRACIN 22: PROCESOS DEL DOMINIO ENTREGAR Y
DAR SOPORTE ........................................................................................................ 53
ILUSTRACIN 23: OBJETIVOS DE CONTROL DEL PROCESO
DS1 DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIO .................... 54
ILUSTRACIN 24: OBJETIVOS DE CONTROL DEL PROCESO
DS2 ADMINISTRAR LOS SERVICIOS DE TERCEROS ................................... 55
ILUSTRACIN 25: OBJETIVOS DE CONTROL DEL PROCESO
DS3 ADMINISTRAR EL DESEMPEO Y LA CAPACIDAD ........................... 56
ILUSTRACIN 26: OBJETIVOS DE CONTROL DEL PROCESO
DS4 GARANTIZAR LA CONTINUIDAD DEL SERVICIO ............................... 57
ILUSTRACIN 27: OBJETIVOS DE CONTROL DEL PROCESO
DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS ............................. 58
ILUSTRACIN 28: OBJETIVOS DE CONTROL DEL PROCESO
DS6 IDENTIFICAR Y ASIGNAR COSTOS ........................................................ 59
ILUSTRACIN 29: OBJETIVOS DE CONTROL DEL PROCESO
DS7 EDUCAR Y ENTRENAR A LOS USUARIOS ............................................ 60
ILUSTRACIN 30: OBJETIVOS DE CONTROL DEL PROCESO
DS8 ADMINISTRAR LA MESA DE SERVICIO Y LOS INCIDENTES ............ 61
ILUSTRACIN 31: OBJETIVOS DE CONTROL DEL PROCESO
DS9 ADMINISTRAR LA CONFIGURACIN .................................................... 62
11

ILUSTRACIN 32: OBJETIVOS DE CONTROL DEL PROCESO


DS10 ADMINISTRAR LOS PROBLEMAS ......................................................... 63
ILUSTRACIN 33: OBJETIVOS DE CONTROL DEL PROCESO
DS11 ADMINISTRAR LOS DATOS .................................................................... 64
ILUSTRACIN 34: OBJETIVOS DE CONTROL DEL PROCESO....................... 65
ILUSTRACIN 35: OBJETIVOS DE CONTROL DEL PROCESO
DS13 ADMINISTRAR LAS OPERACIONES ...................................................... 66
ILUSTRACIN 36: PROCESOS DEL DOMINIO MONITOREAR Y
EVALUAR ................................................................................................................. 67
ILUSTRACIN 37: OBJETIVOS DE CONTROL DEL PROCESO
ME1 - MONITOREAR Y EVALUAR EL DESEMPEO DE TI ............................ 68
ILUSTRACIN 38: OBJETIVOS DE CONTROL DEL PROCESO
ME2 MONITOREAR Y EVALUAR EL CONTROL INTERNO ......................... 69
ILUSTRACIN 39: OBJETIVOS DE CONTROL DEL PROCESO
ME3 GARANTIZAR EL CUMPLIMIENTO CON REQUERIMIENTOS
EXTERNOS ............................................................................................................... 70
ILUSTRACIN 40: OBJETIVOS DE CONTROL DEL PROCESO
M4 - PROPORCIONAR GOBIERNO DE TI .......................................................... 71
ILUSTRACIN 41: REAS DE ENFOQUE DEL GOBIERNO DE TI ................. 72
ILUSTRACIN 42: CRITERIOS DE INFORMACIN .......................................... 74
ILUSTRACIN 43: RECURSOS DE TI .................................................................. 76
ILUSTRACIN 44: ANLISIS FODA .................................................................... 84
ILUSTRACIN 45: MATRIZ FODA ....................................................................... 85
ILUSTRACIN 46: ESTRUCTURA ORGNICA ACTUAL DE
LA EMPRESA EP ..................................................................................................... 89
ILUSTRACIN 47: ORGANIGRAMA FUNCIONAL DE LAS TI
EN LA EMPRESA EP ............................................................................................... 90
ILUSTRACIN 48: ORGANIGRAMA ESTRUCTURAL DE LAS TI
EN LA EMPRESA EP ............................................................................................... 91

12

NDICE DE TABLAS

TABLA 1: VARIABLES E INDICADORES ........................................................... 21


TABLA 2: MATRIZ CAUSA EFECTO ................................................................ 22
TABLA 3: MARCO DE TRABAJO COMPLETO DE COBIT 4.1 ......................... 25
TABLA 4: ANLISIS FODA REA TI................................................................ 92
TABLA 5: MATRIZ GENERAL COBIT 4.1 ........................................................... 94
TABLA 6: EVALUACIN DEL CUMPLIMIENTO DEL
DEPARTAMENTO DE SISTEMAS A NIVEL GENERAL .................................. 118
TABLA 7: EVALUACIN POR DOMINIO.......................................................... 119
TABLA 8: LISTADO DE AMENAZAS/OBJETOS DEFINIDOS POR EL
DEPARTAMENTO DE SISTEMAS ...................................................................... 174
TABLA 9: COMPARACIN DE CATEGORAS DE RIESGOS
POR AMENAZAS ................................................................................................... 175
TABLA 10: COMPARACIN DE CATEGORAS DE RIESGOS
POR OBJETOS ........................................................................................................ 176
TABLA 11: MATRIZ RESULTADO AMENAZAS/OBJETOS ............................ 177
TABLA 12: DEFINICIN DE LOS NIVELES DE RIESGO/SENSIBILIDAD
DE TI........................................................................................................................ 178
TABLA 13: MATRIZ IDENTIFICACIN DE LOS NIVELES DE RIESGO ...... 179

13

NDICE DE GRFICOS

GRFICO 1: EVALUACIN DEL CUMPLIMIENTO DEL DEPARTAMENTO


DE SISTEMAS A NIVEL GENERAL ................................................................... 118
GRFICO 2: EVALUACIN POR DOMINIO ..................................................... 119
GRFICO 3: PROCESOS DEL DOMINIO PLANEAR Y ORGANIZAR ........... 120
GRFICO 4: PROCESOS DEL DOMINIO ADQUIRIR E IMPLEMENTAR ..... 122
GRFICO 5: PROCESOS DEL DOMINIO ENTREGAR Y DAR SOPORTE ..... 123
GRFICO 6: PROCESOS DEL DOMINIO MONITOREAR Y EVALUAR........ 126
GRFICO 7: OBJETIVOS DE CONTROL DEL PROCESO
PO1 DEFINIR UN PLAN ESTRATGICO DE TI ............................................. 127
GRFICO 8: OBJETIVOS DE CONTROL DEL PROCESO
PO2 DEFINIR LA ARQUITECTURA DE TI ..................................................... 128
GRFICO 9: OBJETIVOS DE CONTROL DEL PROCESO
PO3 - DETERMINAR LA DIRECCIN TECNOLGICA .................................. 129
GRFICO 10: OBJETIVOS DE CONTROL DEL PROCESO
PO4 - DEFINIR LOS PROCESOS, ORGANIZACIN Y RELACIONES DE TI 130
GRFICO 11: OBJETIVOS DE CONTROL DEL PROCESO
PO5 - ADMINISTRAR LA INVERSION DE TI ................................................... 132
GRFICO 12: OBJETIVOS DE CONTROL DEL PROCESO
PO6 - COMUNICAR LAS ASPIRACIONES Y LA DIRECCIN DE LA
GERENCIA ............................................................................................................. 133
GRFICO 13: OBJETIVOS DE CONTROL DEL PROCESO
PO7 - ADMINISTRAR RECURSOS HUMANOS DE TI ..................................... 134
GRFICO 14: OBJETIVOS DE CONTROL DEL PROCESO
PO8 - ADMINISTRAR LA CALIDAD .................................................................. 135
GRFICO 15: OBJETIVOS DE CONTROL DEL PROCESO
PO9 - EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI .............................. 137
GRFICO 16: OBJETIVOS DE CONTROL DEL PROCESO
PO10 - ADMINISTRAR PROYECTOS ................................................................. 139

14

GRFICO 17: OBJETIVOS DE CONTROL DEL PROCESO


AI1 - IDENTIFICAR SOLUCIONES AUTOMATIZADAS.................................. 140
GRFICO 18: OBJETIVOS DE CONTROL DEL PROCESO
AI2 - ADQUIRIR Y MANTENER SOFTWARE APLICATIVO .......................... 141
GRFICO 19: OBJETIVOS DE CONTROL DEL PROCESO
AI3 - ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLGICA ..... 142
GRFICO 20: OBJETIVOS DE CONTROL DEL PROCESO
AI4 - FACILITAR LA OPERACIN Y EL USO .................................................. 143
GRFICO 21: OBJETIVOS DE CONTROL DEL PROCESO
AI5 - ADQUIRIR RECURSOS DE TI .................................................................... 144
GRFICO 22: OBJETIVOS DE CONTROL DEL PROCESO
AI6 - ADMINISTRAR CAMBIOS ......................................................................... 145
GRFICO 23: OBJETIVOS DE CONTROL DEL PROCESO
AI7 - INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS ........................ 146
GRFICO 24: OBJETIVOS DE CONTROL DEL PROCESO
DS1 DEFININIR Y ADMINISTRAR LOS NIVELES DE SERVICIO .............. 148
GRFICO 25: OBJETIVOS DE CONTROL DEL PROCESO
DS2 ADMINISTRAR LOS SERVICIOS DE TERCEROS ................................. 150
GRFICO 26: OBJETIVOS DE CONTROL DEL PROCESO
DS3 ADMINISTRAR EL DESEMPEO Y LA CAPACIDAD ......................... 151
GRFICO 27: OBJETIVOS DE CONTROL DEL PROCESO
DS4 GARANTIZAR LA CONTINUIDAD DEL SERVICIO ............................. 153
GRFICO 28: OBJETIVOS DE CONTROL DEL PROCESO
DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS ........................... 155
GRFICO 29: OBJETIVOS DE CONTROL DEL PROCESO
DS6 IDENTIFICAR Y ASIGNAR COSTOS ...................................................... 157
GRFICO 30: OBJETIVOS DE CONTROL DEL PROCESO
DS7 EDUCAR Y ENTRENAR A LOS USUARIOS .......................................... 158
GRFICO 31: OBJETIVOS DE CONTROL DEL PROCESO
DS8 ADMINISTRAR LA MESA DE SERVICIO Y LOS INCIDENTES .......... 159
GRFICO 32: OBJETIVOS DE CONTROL DEL PROCESO
DS9 ADMINISTRAR LA CONFIGURACIN .................................................. 160
15

GRFICO 33: OBJETIVOS DE CONTROL DEL PROCESO


DS10 ADMINISTRAR LOS PROBLEMAS ....................................................... 162
GRFICO 34: OBJETIVOS DE CONTROL DEL PROCESO
DS11 ADMINISTRAR LOS DATOS .................................................................. 163
GRFICO 35: OBJETIVOS DE CONTROL DEL PROCESO
DS12 ADMINISTRAR EL AMBIENTE FSICO................................................ 165
GRFICO 36: OBJETIVOS DE CONTROL DEL PROCESO
DS13 ADMINISTRAR LAS OPERACIONES .................................................... 166
GRFICO 37: OBJETIVOS DE CONTROL DEL PROCESO
ME1 - MONITOREAR Y EVALUAR EL DESEMPEO DE TI .......................... 168
GRFICO 38: OBJETIVOS DE CONTROL DEL PROCESO
ME2 - MONITOREAR Y EVALUAR EL CONTROL INTERNO ....................... 169
GRFICO 39: OBJETIVOS DE CONTROL DEL PROCESO
ME3 - GARANTIZAR EL CUMPLIMIENTO REGULATORIO ......................... 170
GRFICO 40: OBJETIVOS DE CONTROL DEL PROCESO
ME4 - PROPORCIONAR GOBIERNO DE TI ....................................................... 171
GRFICO 41: RESUMEN DE LOS OBJETIVOS DE CONTROL DE
MENOR CUMPLIMIENTO.................................................................................... 172
GRFICO 42: EVALUACIN DE OBJETIVOS DE CONTROL CRTICOS ..... 173

16

ANEXOS

ANEXO 1: EVALUACIN POR PROCESOS ...................................................... 190


ANEXO 2: EVALUACIN POR OBJETIVOS DE CONTROL ........................... 191
ANEXO 3: RESUMEN DE OBJETIVOS DE CONTROL DE MENOR
CUMPLIMIENTO ................................................................................................... 202
ANEXO 4: EVALUACIN DE OBJETIVOS DE CONTROL CRTICOS .......... 204
ANEXO 5: FORMATO DE APLICACIN ANLISIS DE RIESGOS DE
TI (A) ....................................................................................................................... 205
ANEXO 6: FORMATO DE APLICACIN ANLISIS DE RIESGOS DE
TI (B)........................................................................................................................ 206
ANEXO 7: APLICACIN ANLISIS DE RIESGOS EN EL
DEPARTAMENTO DE SISTEMAS (1) ................................................................. 207
ANEXO 8: APLICACIN ANLISIS DE RIESGOS EN EL
DEPARTAMENTO DE SISTEMAS (2) ................................................................. 208
ANEXO 9: APLICACIN ANLISIS DE RIESGOS EN EL
DEPARTAMENTO DE SISTEMAS (3) ................................................................. 209
ANEXO 10: APLICACIN ANLISIS DE RIESGOS EN EL
DEPARTAMENTO DE SISTEMAS (4) ................................................................. 210

17

CAPTULO 1

1.1

PLANTEAMIENTO DEL PROBLEMA

Las empresas ecuatorianas evolucionan constantemente en el crecimiento general de


sus economas, se van creando nuevas oportunidades de negocios que demandan
controles ms estrictos para que el desarrollo organizacional vaya continuamente por
el camino de la eficiencia y la pro-actividad de quienes conforman la organizacin.
La orientacin del crecimiento institucional suele ser un problema centrado en las
preocupaciones sin medir las reglas claras y normas conscientes que permitan buscar
certificaciones internacionales para el eficiente progreso de la organizacin donde se
detalla la importancia del actuar empresarial. Es motivo de consideracin el manejo
correcto de la informacin en base a las nuevas metodologas y estndares que
beneficia en tiempo y costo a las organizaciones y de esa forma se logra un mayor
entendimiento claro y bsico en una direccin sistemtica.
La tecnologa implica mucho riesgo, siendo un problema constante el manejo de las
tecnologas de Informacin reales y progresivas con estndares de control adecuados
para ser eficientes en el desarrollo de la informacin, la mayor parte de empresas se
desplazan en la despreocupacin de controlar sus tcnicas de informacin y evalan
solo los procedimientos y no aplican los indicadores secuenciales de control.
COBIT es una metodologa que garantiza el indicador de despliegue de la
informacin con el uso de materiales tecnolgicos, siendo prctico y responsable en
las plataformas de comunicacin establecidas. COBIT analiza los procedimientos de
informacin y ayuda a determinar qu sector o espacio est fallando y promueve los
controles para mejorar la actividad eficiente de la informacin.
La inversin en sistemas de control contribuye a descubrir que podemos mejorar a
travs del desglose y transformacin de los medios y recursos de tecnologas de
informacin aplicada. Por lo tanto, se debera de emplear en las organizaciones
dominios en base a la planificacin, la parte organizativa en manejo de los
requerimientos y la entrega de tales requerimientos con soportes fsicos y digitales.
18

As mismo deberan tomar como recomendacin el uso de metodologas o estndares


que les permitan determinar procesos crticos a nivel de la empresa o departamento.

1.1.1 FORMULACIN DEL PROBLEMA DE INVESTIGACIN


Cules son los principales aspectos de concienciacin en los procesos aplicados
para la implementacin del uso de COBIT en el departamento de sistemas de la
empresa EP1?

1.1.2 PREGUNTAS DEL PROBLEMA DE INVESTIGACIN

Con la aplicacin de la metodologa COBIT Cules seran los principales problemas


resueltos en el departamento de sistemas de las diferentes empresas ecuatorianas?

Con la aplicacin de la metodologa COBIT los empleados del departamento de


sistemas podrn realizar mejor su trabajo en la empresa EP?

Es voluntaria la aplicacin de una metodologa de calidad de la informacin en las


industrias pblicas y privadas, pero a nuestro criterio todo departamento de TI
debera considerar obligatoria su implementacin en aras de mejorar en su calidad.

1 El nombre de la Empresa se lo mantiene en reserva para proteger su informacin

19

1.2 OBJETIVOS

1.2.1 OBJETIVO GENERAL

Contribuir a mejorar los procesos del departamento de sistemas

mediante el

diagnstico con la metodologa COBIT aplicada en la empresa EP.

1.2.2 OBJETIVOS ESPECFICOS

Estudiar los treinta y cuatro procesos de COBIT para poder evaluar la


situacin del departamento de sistemas de la empresa EP.
Realizar el Diagnstico de los Procesos y Objetivos de Control de COBIT en
el departamento de sistemas.
Determinar los riesgos relacionados con la prestacin de servicios de TI en el
departamento de sistemas.
Evaluar el resultado del diagnstico realizado en el departamento de sistemas
considerando los procesos crticos y las falencias de los controles para
extender las recomendaciones respectivas.
Definir polticas a desarrollar de cinco de los objetivos crticos para el control
de TI en el departamento de sistemas de la empresa EP.

1.3 ALCANCE

El proyecto ser desarrollado en la matriz de la empresa EP ubicada al sur de la


ciudad de Guayaquil, comprende un diagnstico de sus procesos para determinar el
grado de cumplimiento de los procesos y objetivos de control planteados en el
modelo metodolgico de COBIT 4.1 e identificar los ms crticos de la organizacin.
20

1.4 VARIABLES E INDICADORES

En la tabla siguiente se determinan las variables dependiente e independiente con sus


respectivos indicadores a utilizarse en el desarrollo del proyecto. Como variable
dependiente se define la mejora de los procesos del departamento de sistemas de la
empresa EP que dependera de la metodologa COBIT la que se constituye por lo
tanto en variable independiente.

TABLA 1: VARIABLES E INDICADORES


VARIABLES

INDICADORES

Independiente

Grado de utilizacin

Metodologa COBIT 4.1

Nivel de satisfaccin de usuario final


Toma de decisiones
Optimizacin de recursos

Dependiente

Control

Mejorar procesos

Polticas
Anlisis de Riesgos

Elaborado: Las Autoras

21

1.5 MATRIZ CAUSA EFECTO

Se identifica el problema, las causas y las soluciones viables que se deberan aplicar
en el departamento de sistemas de la empresa EP, detallados en la tabla 2.

TABLA 2: MATRIZ CAUSA EFECTO


Problema general

Objetivo general

Hiptesis general

Cules
son
los
principales aspectos de
concienciacin en los
procesos aplicados para
la implementacin del
uso de COBIT en el
departamento de sistemas
de la empresa EP?

Contribuir a mejorar los


procesos del departamento
de sistemas mediante el
diagnstico
de
la
metodologa
COBIT
aplicada en la empresa EP.

Con
COBIT,
la
organizacin
podr
controlar sus procesos de
TI y sus ejecutivos
tomarn
decisiones
oportunas y efectivas en el
departamento de sistemas
en la empresa EP.

Sus Problemas
especficos

Objetivos especficos

Hiptesis particulares

Estudiar los treinta y


cuatro
procesos
de
COBIT 4.1 para poder
evaluar la situacin del
departamento de sistemas
de la empresa EP.
Determinar los riesgos
relacionados
con
la
prestacin de servicios de
TI en el departamento de
sistemas.

Realizar el Diagnstico de
los Procesos y Objetivos
de Control de COBIT en el
departamento de sistemas.

El
departamento
sistemas de la empresa
aplica los procesos
COBIT para alcanzar
objetivos del negocio.

Evaluar los resultados de


los diagnsticos realizados
en el departamento de
sistemas considerando los
procesos crticos y las
falencias de los controles
para
extender
las
recomendaciones
respectivas.
Definir
polticas
a
desarrollar para el control
de TI en el departamento
de sistemas en la empresa
EP.

Definiendo polticas se
mejoran los controles y los
procesos crticos
en el
departamento de sistemas.

Elaborado: Las Autoras


22

de
EP
de
los

CAPTULO 2

2.1 MARCO TERICO

2.1.1 INTRODUCCIN COBIT

DEFINICIN DE COBIT
Objetivos
de Control
para Tecnologas
de informacin
y
relacionadas (COBIT, en ingls: Control Objetives for Information and
related Technology) es un conjunto de mejores prcticas para el manejo de
informacin creado por la Asociacin para la Auditora y Control de Sistemas
de Informacin,(ISACA, en ingls: Information Systems Audit and Control
Association), y el Instituto de Administracin de las Tecnologas de la
Informacin (IT Governance Institute) en 1992. (Fundacin Wikimedia,
2012)

COBIT fue creado para ayudar a la alta direccin a garantizar el logro de objetivos
de los negocios mediante la direccin y control adecuado de las TI, sin embargo la
aplicacin de COBIT se debera de dar en todos los niveles organizativos de la
empresa y no tan solo concentrarse en la tecnologa de la informacin. COBIT est
involucrado en reflejar las principales directrices jerrquicas que permitan el control
de la tecnologa de informacin aplicada en la empresa.

2.1.1.1 DOMINIOS EN LA UTILIZACIN DE COBIT 4.1


En la ilustracin siguiente se resume cmo los distintos elementos del marco de
trabajo COBIT 4.1 se relacionan con las reas de Gobierno de TI.

23

ILUSTRACIN 1: MARCO DE TRABAJO COMPLETO DE COBIT 4.1

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras

Para la realizacin de la siguiente tabla nos hemos basado en el Manual COBIT 4.1
cuya clasificacin por dominio, procesos y objetivos de control servir de gua en la
ejecucin del diagnstico de este proyecto.
24

TABLA 3: MARCO DE TRABAJO COMPLETO DE COBIT 4.1

COBIT 4.1
DOMINIO

PROCESOS

OBJETIVOS DE CONTROL
PO1.1 - Administracin del Valor de TI

PO1.2 - Alineacin de TI con el Negocio


PO1.3 - Evaluacin del Desempeo y la Capacidad
PO1 - Definir un Plan Estratgico Actual
de TI
PO1.4 - Plan Estratgico de TI
PO1.5 - Planes Tcticos de TI
PO1.6 - Administracin del Portafolio de TI
PO2.1 - Modelo de Arquitectura de Informacin
Empresarial
PO2 - Definir la Arquitectura de la PO2.2 - Diccionario de Datos Empresarial y Reglas de
Sintaxis de Datos
Informacin
PO2.3 - Esquema de Clasificacin de Datos
PO2.4 - Administracin de Integridad

PLANEAR Y ORGANIZAR

PO3.1 - Planeacin de la Direccin Tecnolgica


PO3 - Determinar la Direccin
Tecnolgica

PO3.2 - Plan de Infraestructura Tecnolgica


PO3.3 - Monitoreo de Tendencias y Regulaciones
Futuras
PO3.4 - Estndares Tecnolgicos
PO3.5 - Consejo de Arquitectura de TI
PO4.1 - Marco de Trabajo de Procesos de TI
PO4.2 - Comit Estratgico de TI
PO4.3 - Comit Directivo de TI
PO4.4 - Ubicacin Organizacional de la Funcin de TI

PO4.5 - Estructura Organizacional


PO4.6 - Establecimiento de Roles y Responsabilidades
PO4.7 - Responsabilidad de Aseguramiento de Calidad
de TI
PO4 - Definir los Procesos,
PO4.8 - Responsabilidad sobre el Riesgo, la Seguridad
Organizacin y Relaciones de TI y el Cumplimiento
PO4.9 - Propiedad de Datos y de Sistemas
PO4.10 - Supervisin
PO4.11 - Segregacin de Funciones
PO4.12 - Personal de TI
PO4.13 - Personal Clave de TI
PO4.14 - Polticas y Procedimientos para Personal
Contratado
PO4.15 - Relaciones
PO5.1 - Marco de Trabajo para la Administracin
Financiera
PO5 - Administrar la Inversin en PO5.2 - Prioridades dentro del Presupuesto de TI
PO5.3 - Proceso Presupuestal
TI
PO5.4 - Administracin de Costos de TI
PO5.5 - Administracin de Beneficios

25

COBIT 4.1

PLANEAR Y ORGANIZAR

DOMINIO

PROCESOS

OBJETIVOS DE CONTROL
PO6.1 - Ambiente de Polticas y de Control
PO6.2 - Riesgo Corporativo y Marco de Referencia de
Control Interno de TI
PO6 - Comunicar las Aspiraciones y
PO6.3 - Administracin de Polticas para TI
la Direccin de la Gerencia
PO6.4 - Implantacin de Polticas de TI
PO6.5 - Comunicacin de los Objetivos y la Direccin de
TI
PO7.1 - Reclutamiento y Retencin del Personal
PO7.2 - Competencias del Personal
PO7.3 - Asignacin de Roles
PO7.4 - Entrenamiento del Personal de TI
PO7 - Administrar Recursos
Humanos de TI
PO7.5 - Dependencia Sobre los Individuos
PO7.6 - Procedimientos de Investigacin del Personal
PO7.7 - Evaluacin del Desempeo del Empleado
PO7.8 - Cambios y Terminacin de Trabajo
PO8.1 - Sistema de Administracin de Calidad
PO8.2 - Estndares y Prcticas de Calidad
PO8.3 - Estndares de Desarrollo y de Adquisicin
PO8 - Administrar la Calidad
PO8.4 - Enfoque en el Cliente de TI
PO8.5 - Mejora Continua
PO8.6 - Medicin, Monitoreo y Revisin de la Calidad
PO9.1 - Marco de Trabajo de Administracin de Riesgos
PO9.2 - Establecimiento del Contexto del Riesgo
PO9.3 - Identificacin de Eventos
PO9 - Evaluar y Administrar los
PO9.4 - Evaluacin de Riesgos de TI
Riesgos de TI
PO9.5 - Respuesta a los Riesgos
PO9.6 - Mantenimiento y Monitoreo de un Plan de Accin
de Riesgos
PO10.1 - Marco de Trabajo para la Administracin de
Programas
PO10.2 - Marco de Trabajo para la Administracin de
Proyectos
PO10.3 - Enfoque de Administracin de Proyectos
PO10.4 - Compromiso de los Interesados
PO10.5 - Declaracin de Alcance del Proyecto
PO10.6 - Inicio de las Fases del Proyecto
PO10 - Administrar Proyectos
PO10.7 - Plan Integrado del Proyecto
PO10.8 - Recursos del Proyecto
PO10.9 - Administracin de Riesgos del Proyecto
PO10.10 - Plan de Calidad del Proyecto
PO10.11 - Control de Cambios del Proyecto
PO10.12 - Planeacin del Proyecto y Mtodos de
Aseguramiento
PO10.13 - Medicin del Desempeo, Reporte y Monitoreo
del Proyecto
PO10.14 - Cierre del Proyecto

26

COBIT 4.1

ADQUIRIR E IMPLEMENTAR

DOMINIO

PROCESOS

OBJETIVOS DE CONTROL
AI1.1 - Definicin y Mantenimiento de los Requerimientos
Tcnicos y Funcionales del Negocio
AI1.2 - Reporte de Anlisis de Riesgos
AI1 - Identificar soluciones
AI1.3 - Estudio de Factibilidad y Formulacin de Cursos
automatizadas
de Accin Alternativos.
AI1.4 - Requerimientos, Decisin de Factibilidad y
Aprobacin
AI2.1 - Diseo de Alto Nivel
AI2.2 - Diseo Detallado
AI2.3 - Control y Posibilidad de Auditar las Aplicaciones
AI2.4 - Seguridad y Disponibilidad de las Aplicaciones
AI2.5 - Configuracin e Implantacin de Software
Aplicativo Adquirido
AI2 - Adquirir y mantener software
AI2.6 - Actualizaciones Importantes en Sistemas
aplicativo
Existentes
AI2.7 - Desarrollo de Software Aplicativo
AI2.8 - Aseguramiento de la Calidad del Software
AI2.9 - Administracin de los Requerimientos de
Aplicaciones
AI2.10 - Mantenimiento de Software Aplicativo
AI3.1 - Plan de Adquisicin de Infraestructura Tecnolgica
AI3.2 - Proteccin y Disponibilidad del Recurso de
AI3 - Adquirir y mantener
Infraestructura
infraestructura tecnolgica
AI3.3 - Mantenimiento de la Infraestructura
AI3.4 - Ambiente de Prueba de Factibilidad
AI4.1 - Plan para Soluciones de Operacin
AI4.2 - Transferencia de Conocimiento a la Gerencia del
Negocio
AI4 - Facilitar la operacin y el uso
AI4.3 - Transferencia de Conocimiento a Usuarios Finales
AI4.4 - Transferencia de Conocimiento al Personal de
Operaciones y Soporte
AI5.1 - Control de Adquisicin
AI5.2 - Administracin de Contratos con Proveedores
AI5 - Adquirir recursos de TI
AI5.3 - Seleccin de Proveedores
AI5.4 - Adquisicin de Recursos de TI
AI6.1 - Estndares y Procedimientos para Cambios
AI6.2 - Evaluacin de Impacto, Priorizacin y
Autorizacin
AI6 - Administrar cambios
AI6.3 - Cambios de Emergencia
AI6.4 - Seguimiento y Reporte del Estatus de Cambio
AI6.5 - Cierre y Documentacin del Cambio
AI7.1 - Entrenamiento
AI7.2 - Plan de Prueba
AI7.3 - Plan de Implantacin
AI7.4 - Ambiente de Prueba
AI7 - Instalar y acreditar soluciones
AI7.5 - Conversin de Sistemas y Datos
y cambios
AI7.6 - Pruebas de Cambios
AI7.7 - Prueba de Aceptacin Final
AI7.8 - Promocin a Produccin
AI7.9 - Revisin Posterior a la Implantacin

27

COBIT 4.1
DOMINIO

PROCESOS

DS1 Definir y administrar los


niveles de servicio

DS2 Administrar los servicios de


terceros

OBJETIVOS DE CONTROL
DS1.1 - Marco de Trabajo de la Administracin de los
Niveles de Servicio
DS1.2 - Definicin de Servicios
DS1.3 - Acuerdos de Niveles de Servicio
DS1.4 - Acuerdos de Niveles de Operacin
DS1.5 - Monitoreo y Reporte del Cumplimento de los
Niveles de Servicio
DS1.6 - Revisin de los Acuerdos de Niveles de Servicio y
de los Contratos
DS2.1 - Identificacin de Todas las Relaciones con
Proveedores
DS2.2 - Gestin de Relaciones con Proveedores
DS2.3 - Administracin de Riesgos del Proveedor
DS2.4 - Monitoreo del Desempeo del Proveedor

ENTREGAR Y DAR SOPORTE

DS3.1 - Planeacin del Desempeo y la Capacidad


DS3.2 - Capacidad y Desempeo Actual
DS3 Administrar el desempeo y la
DS3.3 - Capacidad y Desempeo Futuros
capacidad
DS3.4 - Disponibilidad de Recursos de TI
DS3.5 - Monitoreo y Reporte
DS4.1 - Marco de Trabajo de Continuidad de TI
DS4.2 - Planes de Continuidad de TI
DS4.3 - Recursos Crticos de TI
DS4.4 - Mantenimiento del Plan de Continuidad de TI
DS4.5 - Pruebas del Plan de Continuidad de TI
DS4 Garantizar la continuidad del
servicio

DS4.6 - Entrenamiento del Plan de Continuidad de TI


DS4.7 - Distribucin del Plan de Continuidad de TI
DS4.8 - Recuperacin y Reanudacin de los Servicios de
TI
DS4.9 - Almacenamiento de Respaldos Fuera de las
Instalaciones
DS4.10 - Revisin Post Reanudacin.
DS5.1 - Administracin de la Seguridad de TI
DS5.2 - Plan de Seguridad de TI
DS5.3 - Administracin de Identidad
DS5.4 - Administracin de Cuentas del Usuario
DS5.5 - Pruebas, Vigilancia y Monitoreo de la Seguridad

DS5.6 - Definicin de Incidente de Seguridad


DS5 Garantizar la seguridad de los
DS5.7 - Proteccin de la Tecnologa de Seguridad
sistemas
DS5.8 - Administracin de Llaves Criptogrficas
DS5.9 - Prevencin, Deteccin y Correccin de Software
Malicioso
DS5.10 - Seguridad de la Red
DS5.11 - Intercambio de Datos Sensitivos

28

COBIT 4.1
DOMINIO

PROCESOS

OBJETIVOS DE CONTROL
DS6.1 - Definicin de Servicios

DS6 Identificar y asignar costos

DS7 Educar y entrenar a usuarios

DS6.2 - Contabilizacin de TI
DS6.3 - Modelacin de Costos y Cargos
DS6.4 - Mantenimiento del Modelo de Costos
DS7.1 - Identificacin de Necesidades de Entrenamiento y
Educacin
DS7.2 - Imparticin de Entrenamiento y Educacin
DS7.3 - Evaluacin del Entrenamiento Recibido
DS8.1 - Mesa de Servicios
DS8.2 - Registro de Consultas de Clientes

DS8 Administrar la mesa de


servicio y los incidentes

DS8.3 - Escalamiento de Incidentes


DS8.4 - Cierre de Incidentes

ENTREGAR Y DAR SOPORTE

DS8.5 - Anlisis de Tendencias

DS9 Administrar la configuracin

DS9.1 - Repositorio y Lnea Base de Configuracin


DS9.2 - Identificacin y Mantenimiento de Elementos de
Configuracin
DS9.3 - Revisin de Integridad de la Configuracin
DS10.1 - Identificacin y Clasificacin de Problemas
DS10.2 - Rastreo y Resolucin de Problemas

DS10 Administrar los problemas

DS11 Administrar los datos

DS10.3 - Cierre de Problemas


DS10.4 - Integracin de las Administraciones de Cambios,
Configuracin y Problemas
DS11.1 - Requerimientos del Negocio para Administracin
de Datos
DS11.2 - Acuerdos de Almacenamiento y Conservacin
DS11.3 - Sistema de Administracin de Libreras de
Medios
DS11.4 - Eliminacin
DS11.5 - Respaldo y Restauracin
DS11.6 - Requerimientos de Seguridad para la
Administracin de Datos
DS12.1 - Seleccin y Diseo del Centro de Datos
DS12.2 - Medidas de Seguridad Fsica

DS12 Administrar el ambiente


fsico

DS12.3 - Acceso Fsico


DS12.4 - Proteccin Contra Factores Ambientales
DS12.5 - Administracin de Instalaciones Fsicas
DS13.1 - Procedimientos e Instrucciones de Operacin
DS13.2 - Programacin de Tareas.

DS13 Administrar las operaciones

DS13.3 - Monitoreo de la Infraestructura de TI


DS13.4 - Documentos Sensitivos y Dispositivos de Salida
DS13.5 - Mantenimiento Preventivo del Hardware

29

COBIT 4.1
DOMINIO

PROCESOS

OBJETIVOS DE CONTROL
ME1.1 - Enfoque del Monitoreo
ME1.2 - Definicin y Recoleccin de Datos de Monitoreo

ME1 - Monitorear y Evaluar el


Desempeo de TI

ME1.3 - Mtodo de Monitoreo


ME1.4 - Evaluacin del Desempeo
ME1.5 - Reportes al Consejo Directivo y a Ejecutivos
ME1.6 - Acciones Correctivas
ME2.1 - Monitorizacin del Marco de Trabajo de Control
Interno

MONITOREAR Y EVALUAR

ME2.2 - Revisiones de Auditora


ME2 - Monitorear y Evaluar el
Control Interno

ME2.3 - Excepciones de Control


ME2.4 - Control de Auto Evaluacin
ME2.5 - Aseguramiento del Control Interno
ME2.6 - Control Interno para Terceros
ME2.7 - Acciones Correctivas
ME3.1 - Identificar los Requerimientos de las Leyes,
Regulaciones y Cumplimientos Contractuales
ME3.2 - Optimizar la Respuesta a Requerimientos Externos

ME3 - Garantizar el Cumplimiento


Regulatorio

ME3.3 - Evaluacin del Cumplimiento con Requerimientos


Externos
ME3.4 - Aseguramiento Positivo del Cumplimiento
ME3.5 - Reportes Integrados
ME4.1 - Establecimiento de un Marco de Gobierno de TI
ME4.2 - Alineamiento Estratgico
ME4.3 - Entrega de Valor

ME4 - Proporcionar Gobierno de TI

ME4.4 - Administracin de Recursos


ME4.5 - Administracin de Riesgos
ME4.6 - Medicin del Desempeo
ME4.7 - Aseguramiento Independiente

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
30

COBIT se centra en un modelo de gestin basada en cuatro dominios que se


presentan en la siguiente ilustracin para luego dar una breve explicacin de cada
uno:
ILUSTRACIN 2: DOMINIOS COBIT 4.1

Planear Y
Organizar

Adquirir e
Implementar

Entregar y
Dar Soporte

Monitorear y
Evaluar

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras

2.1.1.1.1 DOMINIO PLANEAR Y ORGANIZAR (PO)

Este dominio cubre la estrategia y las tcticas, se refiere a la identificacin de


la forma en que la tecnologa de informacin puede contribuir de la mejor
manera al logro de los objetivos del negocio. Adems, la consecucin de la
visin estratgica necesita ser planeada, comunicada y administrada desde
diferentes perspectivas. Finalmente, debern establecerse una organizacin y
una infraestructura tecnolgica apropiadas. Basado en procesos y estos a su
vez subdivididos en objetivos de control que se muestran en cada ilustracin.
(IT Governance Institute, COBIT 4.1, Pg.12, 2007)

31

El dominio planear y organizar est compuesto de 10 procesos que se detallan en la


ilustracin siguiente:
ILUSTRACIN 3: PROCESOS DEL DOMINIO PLANEAR Y ORGANIZAR

PO5
Administrar la
Inversin en TI

PO1 Definir un Plan


Estratgico de TI

PO2
Definir la
Arquitectura de la
Informacin

PO6 Comunicar
las Aspiraciones y
la Direccin de la
Gerencia

PO3 Determinar la
Direccin
Tecnolgica

PO7
Administrar
Recursos Humanos
de TI

PO4
Definir los
Procesos,
Organizacin y
Relaciones de TI

PO8 Administrar la
Calidad

PO9
Evaluar y
Administrar los
riesgos de TI

PO10
Administrar
Proyectos

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras

32

PROCESO PO1- DEFINIR UN PLAN ESTRATGICO DE TI


Segn COBIT 4.1 La planeacin estratgica de TI es necesaria para gestionar y
dirigir todos los recursos de TI en lnea con la estrategia y prioridades del negocio.
(IT Governance Institute, COBIT 4.1, Pg.29, 2007)
En la siguiente ilustracin se detallan los 6 objetivos de control que componen el
proceso definir un plan estratgico de TI.
ILUSTRACIN 4: OBJETIVOS DE CONTROL DEL PROCESO
PO1- DEFINIR UN PLAN ESTRATGICO DE TI

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS GENERAL DE LOS OBJETIVOS DE CONTROL:
La viabilidad de todo proceso implica una conjugacin de pasos estratgicos que
amerita la concertacin de actividades para la bsqueda de beneficios ptimos en
eficiencia de los objetivos de un proceso organizacional. La consecucin de los
objetivos depende directamente de los pasos secuenciales difundidos dentro de la
empresa para la correcta administracin de los objetivos que inciden en los valores
implementados en la alineacin estratgica de la misma, buscan incurrir en las
evaluaciones constantes y perennes para conseguir el plan estratgico institucional
que permita describir los planes tcticos a implementar a la realizacin del tema.
33

PROCESO PO2 - DEFINIR LA ARQUITECTURA DE LA INFORMACIN


La descripcin del proceso de COBIT detalla lo siguiente La funcin de sistemas de
informacin debe crear y actualizar de forma regular un modelo de informacin del
negocio y definir los sistemas apropiados para optimizar el uso de esta informacin.
(IT Governance Institute, COBIT 4.1, Pg.33, 2007)
Los 4 objetivos de control que abarca el proceso definir la arquitectura de la
informacin se detallan en la siguiente ilustracin:
ILUSTRACIN 5: OBJETIVOS DE CONTROL DEL PROCESO
PO2- DEFINIR LA ARQUITECTURA DE LA INFORMACIN

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS GENERAL DE LOS OBJETIVOS DE CONTROL:
Cuando los objetivos implican el manejo de una infraestructura basada en la
informacin es necesario respetar un modelo de tendencia para que los objetivos
incurran en un proceso pro-activo de gestin ilimitada para que con una base
informativa a travs de diccionarios de valores y elementos ejecutables dentro de la
organizacin mantengan las reglas claras en el desarrollo de los datos, realizando una
esquematizacin que busca integrar la confianza y la responsabilidad de todos

34

quienes conforman las actividades de la TI en su completa y extensa calidad en la


empresa.

PROCESO PO3 - DETERMINAR LA DIRECCIN TECNOLGICA


El marco de trabajo COBIT indica:
La funcin de servicios de informacin debe determinar la direccin
tecnolgica para dar soporte al negocio. Esto requiere de la creacin de un
plan de infraestructura tecnolgica y de un comit de arquitectura que
establezca y administre expectativas realistas y claras de lo que la tecnologa
puede ofrecer en trminos de productos, servicios y mecanismos de
aplicacin. (IT Governance Institute, COBIT 4.1, Pg.37, 2007)
El proceso determinar la direccin tecnolgica est compuesto de 5 objetivos de
control que se muestran en la siguiente ilustracin:
ILUSTRACIN 6: OBJETIVOS DE CONTROL DEL PROCESO
PO3 - DETERMINAR LA DIRECCIN TECNOLGICA

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS GENERAL DE LOS OBJETIVOS DE CONTROL:
La direccin tecnolgica involucra la planificacin estratgica y la creacin de un
consejo de arquitectura con la finalidad de responder oportunamente a los cambios
35

sistemticos y adems permitan planificar de forma eficaz las tendencias y


regulaciones que se presenten en el tiempo y que acojan como prioridad el monitoreo
y la evaluacin de sistemas aplicativos as como recursos y capacidades que permitan
aprovechar las oportunidades tecnolgicas.

PROCESO PO4 - DEFINIR LOS PROCESOS, ORGANIZACIN Y


RELACIONES DE TI
Se define en COBIT este proceso como:
Una organizacin de TI se debe definir tomando en cuenta los requerimientos
de personal, funciones, rendicin de cuentas, autoridad, roles,
responsabilidades y supervisin. La organizacin est embebida en un marco
de trabajo de procesos de TI que asegure la transparencia y el control, as
como el involucramiento de los altos ejecutivos y de la gerencia del negocio.
(IT Governance Institute, COBIT 4.1, Pg.41, 2007)
Se detallan los 15 objetivos de control que comprende el proceso definir los
procesos, organizacin y relaciones de TI en la siguiente ilustracin:

36

ILUSTRACIN 7: OBJETIVOS DE CONTROL DEL PROCESO


PO4 - DEFINIR LOS PROCESOS, ORGANIZACIN Y RELACIONES DE TI

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS GENERAL DE LOS OBJETIVOS DE CONTROL:
Las relaciones de TI responden a las responsabilidades de entregar calidad en cada
proceso, con la informacin y los datos que deben de estar adecuadamente
supervisados para que la segregacin de funciones sean lo ms efectivo posible y el
personal involucrado en la consecucin de los objetivos elaboren un marco de trabajo
estratgico que ample los constantes esfuerzos por alcanzar nuevas metas en la
infraestructura, las tendencias organizativas incitan a un entorno slido y
caracterstico para alcanzar roles relativamente responsables en cada meta trazada.

37

PROCESO PO5 - ADMINISTRAR LA INVERSIN EN TI


COBIT indica que el proceso debe: Establecer y mantener un marco de trabajo para
administrar los programas de inversin en TI que abarquen costos, beneficios,
prioridades dentro del presupuesto, un proceso presupuestal formal y administracin
contra ese presupuesto. (IT Governance Institute, COBIT 4.1, Pg.47, 2007)
En la siguiente ilustracin se detallan los 5 objetivos de control que conforman el
proceso administrar la inversin en TI.
ILUSTRACIN 8: OBJETIVOS DE CONTROL DEL PROCESO
PO5 ADMINISTRAR LA INVERSIN DE TI

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS GENERAL DE LOS OBJETIVOS DE CONTROL:
Los objetivos se basan en la meta alcanzada y a mejorar los procesos en las distintas
reas, sin embargo la inversin consiste en medir el esfuerzo, la eficiencia y
optimizar los recursos con una adecuada gestin financiera, que permita difundir
habilidades de comunicacin integradoras para la correcta consecucin de beneficios.
El manejo adecuado y garantizado del proceso implica cambios sustanciales que
garanticen beneficios y nuevos objetivos trazados.
38

PROCESO PO6 - COMUNICAR LAS ASPIRACIONES Y LA DIRECCIN


DE LA GERENCIA
Lo que menciona COBIT para este proceso es: La direccin debe elaborar un marco
de trabajo de control empresarial para TI, y definir y comunicar las polticas. El
proceso debe garantizar el cumplimiento de las leyes y reglamentos relevantes. (IT
Governance Institute, COBIT 4.1, Pg.51, 2007)
En la siguiente ilustracin se detallan los 5 objetivos de control que abarca el proceso
comunicar las aspiraciones y la direccin de la gerencia.
ILUSTRACIN 9: OBJETIVOS DE CONTROL DEL PROCESO
PO6 COMUNICAR LAS ASPIRACIONES Y LA DIRECCIN DE LA
GERENCIA

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS GENERAL DE LOS OBJETIVOS DE CONTROL:
El principal elemento para la consecucin de los objetivos es el control siendo
prioridad en las actividades integradoras que aplica la empresa en su proceso de
enlazar la TI con el contorno de comunicacin existente en los diferentes
departamentos de la empresa, generando la elaboracin y administracin de polticas
con el objeto de tener una direccin ms efectiva.
39

El efecto comunicacin garantiza un sntoma de creer que se pueden hacer las cosas
mejor de lo que se est haciendo, creando un clima de constante motivacin y deseo
por alcanzar las metas definidas.

PROCESO PO7 - ADMINISTRAR RECURSOS HUMANOS DE TI


COBIT indica para este proceso:
Adquirir, mantener y motivar una fuerza de trabajo para la creacin y entrega
de servicios de TI para el negocio. Esto se logra siguiendo prcticas definidas
y aprobadas que apoyan el reclutamiento, entrenamiento, la evaluacin del
desempeo, la promocin y la terminacin. Este proceso es crtico, ya que las
personas son activos importantes, y el ambiente de gobierno y de control
interno depende fuertemente de la motivacin y competencia del personal.
(IT Governance Institute, COBIT 4.1, Pg.55, 2007)
Los 8 objetivos de control comprendidos en el proceso administrar recursos humanos
de TI se muestran en la siguiente ilustracin:
ILUSTRACIN 10: OBJETIVOS DE CONTROL DEL PROCESO
PO7 ADMINISTRAR RECURSOS HUMANOS DE TI

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
40

ANLISIS GENERAL DE LOS OBJETIVOS DE CONTROL:


El factor o talento humano implica la correcta aplicacin de las competencias en
relacin al desempeo de las funciones del recurso ms importante para los objetivos
estratgicos de la empresa. Un manejo adecuado en el reclutamiento involucra un
proceso de estudio y anlisis de competencias para la asignacin de cargos y
ejecucin de roles, de esto depender que el recurso humano sea proactivo y no se
cree dependencia en cada una de las actividades.
El objetivo es enmarcar una eficiencia de al menos un 90% del personal de toda la
empresa, sin embargo el indicador influye para mejorar y mantener el equilibrio en
las distintas actividades del personal, por eso es necesaria la proactividad, la
evaluacin y el desempeo de las actividades grupales.

PROCESO PO8 - ADMINISTRAR LA CALIDAD


Para el cumplimiento del proceso, COBIT indica:
Se debe elaborar y mantener un sistema de administracin de calidad, el cual
incluya procesos y estndares probados de desarrollo y de adquisicin. La
administracin de calidad es esencial para garantizar que TI est dando valor al
negocio, mejora continua y transparencia para los interesados. (IT Governance
Institute, COBIT 4.1, Pg.59, 2007)
El proceso administrar la calidad est conformado por 6 objetivos de control que se
presentan en la siguiente ilustracin:

41

ILUSTRACIN 11: OBJETIVOS DE CONTROL DEL PROCESO


PO8 - ADMINISTRAR LA CALIDAD

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS GENERAL DE LOS OBJETIVOS DE CONTROL:
Un servicio es considerado como tal cuando la calidad envuelve el soporte de toda
accin ejecutada por el personal de la empresa, sin embargo la medicin de la calidad
est reflejada en las actividades ampliadas y en el desarrollo de nuevas tecnologas
que involucra un proceso de cambio y mejoras para con los clientes internos y
externos de la organizacin. La calidad forma parte de la planeacin, control y
evaluacin por lo que refiere varios objetivos enlazados para encontrar los estndares
de calidad y desarrollo, adems su enfoque en los clientes internos y externos refleja
una integracin en base a la responsabilidad y confianza prescrita en cada analoga
de los objetivos de control que mantiene COBIT.

42

PROCESO PO9 - EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI


De acuerdo con COBIT para este proceso se debe:
Crear y dar mantenimiento a un marco de trabajo de administracin de
riesgos. El marco de trabajo documenta un nivel comn y acordado de riesgos
de TI, estrategias de mitigacin y riesgos residuales. Cualquier impacto
potencial sobre las metas de la organizacin, causado por algn evento no
planeado se debe identificar, analizar y evaluar. El resultado de la evaluacin
debe ser entendible para los Interesados (Stakeholders) y se debe expresar en
trminos financieros, para permitirles alinear los riesgos a un nivel aceptable
de tolerancia. (IT Governance Institute, COBIT 4.1, Pg.63, 2007)
En la siguiente ilustracin se detallan los 6 objetivos de control comprendidos en el
proceso evaluar y administrar los riesgos de TI.
ILUSTRACIN 12: OBJETIVOS DE CONTROL DEL PROCESO
PO9 - EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS GENERAL DE LOS OBJETIVOS DE CONTROL:
La administracin del riesgo de TI est basada en los indicadores de control que
ayudan en la identificacin de eventos, su posterior evaluacin y elaboracin de
respuestas estratgicas y oportunas que permitan un efectivo control de las amenazas
y disminucin del impacto, todo esto encuadrado en un marco de trabajo y
considerado en un plan de accin de riesgo debidamente evaluado y monitoreado
peridicamente.
43

PROCESO PO10 - ADMINISTRAR PROYECTOS


Para COBIT se debe:
Establecer un marco de trabajo de administracin de programas y proyectos
para la administracin de todos los proyectos de TI establecidos. El marco de
trabajo debe garantizar la correcta asignacin de prioridades y la coordinacin
de todos los proyectos. Este enfoque reduce el riesgo de costos inesperados y
de cancelacin de proyectos, mejora la comunicacin y el involucramiento
del negocio y de los usuarios finales, asegura el valor y la calidad de los
entregables de los proyectos, y maximiza la contribucin a los programas de
inversin facilitados por TI. (IT Governance Institute, COBIT 4.1, Pg.67)
Se muestran los 14 objetivos de control que comprende el proceso administrar
proyectos en la siguiente ilustracin:
ILUSTRACIN 13: OBJETIVOS DE CONTROL DEL PROCESO
PO10 - ADMINISTRAR PROYECTOS

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS GENERAL DE LOS OBJETIVOS DE CONTROL:
Estos objetivos de control se relacionan con el manejo adecuado de los proyectos
desde su inicio hasta su culminacin, midiendo el desempeo, reportando y
monitoreando su desenvolvimiento, vigilando de esta manera la utilizacin apropiada
de los recursos para que la calidad del proyecto sea la ms efectiva.
44

2.1.1.1.2 DOMINIO ADQUIRIR E IMPLEMENTAR (AI)

Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas,
desarrolladas o adquiridas, as como implementadas e integradas dentro del proceso
del negocio. Adems, este dominio cubre los cambios y el mantenimiento realizados
a sistemas existentes. (IT Governance Institute, COBIT 4.1, Pg.12, 2007)
Esta definicin trata de incursionar en las soluciones eficientes que detalla la
metodologa COBIT en los procesos de calidad del negocio, situacin que pretende
dar cambios y soportes a los proyectos que se vincula con base al esfuerzo de los
recursos, siendo imprescindible el mantenimiento de los sistemas. Las TI garantizan
que los procesos se ejecuten adecuadamente identificando los inconvenientes o
riesgos para luego poder sistematizar la realizacin de los nuevos procesos, la
adquisicin de un software que permita mantener una mejor infraestructura
tecnolgica que agilite las operaciones de la empresa.
En la siguiente ilustracin se detallan los 7 procesos del dominio Adquirir e
Implementar.
ILUSTRACIN 14: PROCESOS DEL DOMINIO ADQUIRIR E
IMPLEMENTAR

AI1 Identificar
soluciones
automatizadas

AI2 Adquirir y
mantener
software
aplicativo

AI3 Adquirir y
mantener
infraestructura
tecnolgica

AI6
Administrar
cambios

AI7 Instalar y
acreditar
soluciones y
cambios

AI4 Facilitar la
operacin y el
uso

AI5 Adquirir
recursos de TI

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
45

PROCESO AI1 IDENTIFICAR SOLUCIONES AUTOMATIZADAS


La necesidad de una nueva aplicacin o funcin requiere de anlisis antes de
la compra o desarrollo para garantizar que los requisitos del negocio se
satisfacen con un enfoque efectivo y eficiente, que permiten a las
organizaciones minimizar el costo para Adquirir e Implementar soluciones,
mientras que al mismo tiempo facilitan el logro de los objetivos del negocio.
(IT Governance Institute, COBIT 4.1, Pg.73, 2007)
Este primer proceso de identificar soluciones automatizadas se compone de 4
objetivos de control que se detallan en la siguiente ilustracin:
ILUSTRACIN 15: OBJETIVOS DE CONTROL DEL PROCESO
AI1 IDENTIFICAR SOLUCIONES AUTOMATIZADAS

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS GENERAL DE LOS OBJETIVOS DE CONTROL:
Los objetivos de control de este proceso permiten identificar en las soluciones
automatizadas su efectividad y eficiencia, mediante la definicin de los
requerimientos tcnicos del negocio, el anlisis de los riesgos, y la aprobacin de los
estudios que se realicen de factibilidad y cursos de accin alternativos.

46

PROCESO AI2 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO


Este proceso cubre el diseo de las aplicaciones, la inclusin apropiada de
controles aplicativos y requerimientos de seguridad, y el desarrollo y la
configuracin en s de acuerdo a los estndares. Esto permite a las
organizaciones apoyar la operatividad del negocio de forma apropiada con las
aplicaciones automatizadas correctas. (IT Governance Institute, COBIT 4.1,
Pg.77, 2007)
Con la siguiente ilustracin se muestran los 10 objetivos de control que conforman
el proceso adquirir y mantener software aplicativo.

ILUSTRACIN 16: OBJETIVOS DE CONTROL DEL PROCESO


AI2 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS GENERAL DE LOS OBJETIVOS DE CONTROL:
Con estos objetivos de control se contribuye a mantener aplicaciones acordes a los
requerimientos del negocio, garantizando su calidad, seguridad, disponibilidad y
confiabilidad as como la satisfaccin de los usuarios, convirtiendo el proceso en
oportuno y rentable si est basado en buenas prcticas de adquisicin y
mantenimiento de software aplicativo.
47

PROCESO AI3 ADQUIRIR Y MANTENER INFRAESTRUCTURA


TECNOLGICA
Las organizaciones deben contar con procesos para adquirir, Implementar y
actualizar la infraestructura tecnolgica. Esto requiere de un enfoque
planeado para adquirir, mantener y proteger la infraestructura de acuerdo con
las estrategias tecnolgicas convenidas y la disposicin del ambiente de
desarrollo y pruebas. Esto garantiza que exista un soporte tecnolgico
continuo para las aplicaciones del negocio. (IT Governance Institute, COBIT
4.1, Pg.81, 2007)
Con la siguiente ilustracin se detallan los 4 objetivos de control que comprende el
proceso adquirir y mantener infraestructura tecnolgica:
ILUSTRACIN 17: OBJETIVOS DE CONTROL DEL PROCESO
AI3 ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLGICA

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS GENERAL DE LOS OBJETIVOS DE CONTROL:
La infraestructura tecnolgica es un elemento primordial en el desarrollo integrado
de la empresa por lo que su adquisicin y mantenimiento debe estar basado en un
plan que considere aspectos tales como costos, riesgos, vulnerabilidad, vida til, etc.
Con estos objetivos se puede proporcionar una infraestructura tecnolgica confiable
y segura.

48

PROCESO AI4 FACILITAR LA OPERACIN Y EL USO


Este proceso requiere la generacin de documentacin y manuales para usuarios y
para TI, y proporciona entrenamiento para garantizar el uso y la operacin correctos
de las aplicaciones y la infraestructura. (IT Governance Institute, COBIT 4.1,
Pg.85, 2007)
El proceso facilitar la operacin y el uso se compone de 4 objetivos de control que se
muestran en la ilustracin siguiente:
ILUSTRACIN 18: OBJETIVOS DE CONTROL DEL PROCESO
AI4 FACILITAR LA OPERACIN Y EL USO

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS GENERAL DE LOS OBJETIVOS DE CONTROL:
Estos controles contribuyen en la planificacin de soluciones operativas que
comprenden la transferencia de competencias y conocimientos al recurso humano
para el soporte de las actividades de las TI y la utilizacin efectiva y eficiente de los
sistemas que sirven de apoyo a los procesos del negocio. La documentacin, el
entrenamiento as como la adopcin de herramientas y mtodos se mantiene en
forma continua y reflejan el apoyo a los requerimientos de la organizacin.

49

PROCESO AI5 ADQUIRIR RECURSOS DE TI


Se deben suministrar recursos TI, incluyendo personas, hardware, software y
servicios. Esto requiere de la definicin y ejecucin de los procedimientos de
adquisicin, la seleccin de proveedores, el ajuste de arreglos contractuales y
la adquisicin en s. El hacerlo as garantiza que la organizacin tenga todos
los recursos de TI que se requieren de una manera oportuna y rentable. (IT
Governance Institute, COBIT 4.1, Pg.89, 2007)
En la siguiente ilustracin se detallan los 4 objetivos de control que abarca en el
proceso adquirir recursos de TI.
ILUSTRACIN 19: OBJETIVOS DE CONTROL DEL PROCESO
AI5 ADQUIRIR RECURSOS DE TI

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS GENERAL DE LOS OBJETIVOS DE CONTROL:
El adquirir recursos de TI involucra su control mediante el desarrollo de
procedimientos de adquisicin, la administracin de contratos con los proveedores
para su correcta seleccin consiguiendo con estos objetivos de control el
cumplimiento de los intereses del negocio y la optimizacin de los recursos en
trminos monetarios.

50

PROCESO AI6 ADMINISTRAR CAMBIOS


Segn COBIT:
Todos los cambios, incluyendo el mantenimiento de emergencia y parches,
relacionados con la infraestructura y las aplicaciones dentro del ambiente de
produccin, deben administrarse formalmente y controladamente. Los
cambios (incluyendo procedimientos, procesos, sistema y parmetros del
servicio) se deben registrar, evaluar y autorizar previo a la implantacin y
revisar contra los resultados planeados despus de la implantacin. Esto
garantiza la reduccin de riesgos que impactan negativamente la estabilidad o
integridad del ambiente de produccin. (IT Governance Institute, COBIT 4.1,
Pg.93, 2007)
Los 5 objetivos de control comprendidos en el proceso administrar cambios se
muestran en la siguiente ilustracin:
ILUSTRACIN 20: OBJETIVOS DE CONTROL DEL PROCESO
AI6 ADMINISTRAR CAMBIOS

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS GENERAL DE LOS OBJETIVOS DE CONTROL:
Los objetivos de control de este proceso permiten seguir los pasos secuenciales para
la adecuada administracin de cambios definiendo y comunicando oportunamente los
procedimientos a cumplir para realizarlos. El monitoreo y evaluacin de los cambios
minimiza errores e interrupciones y agrega valor a la informacin garantizando que
TI sea un factor que hace posible un incremento en la productividad y crea nuevas
oportunidades de negocio para la organizacin.
51

PROCESO AI7 INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS


Para el proceso se define que:
Los nuevos sistemas necesitan estar funcionales una vez que su desarrollo se
completa. Esto requiere pruebas adecuadas en un ambiente dedicado con
datos de prueba relevantes, definir la transicin e instrucciones de migracin,
planear la liberacin y la transicin en s al ambiente de produccin, y revisar
la post-implantacin. Esto garantiza que los sistemas operativos estn en lnea
con las expectativas convenidas y con los resultados. (IT Governance
Institute, COBIT 4.1, Pg.97, 2007)
Los 9 objetivos de control que conforman el proceso instalar y acreditar soluciones y
cambios, se detallan en la siguiente ilustracin.
ILUSTRACIN 21: OBJETIVOS DE CONTROL DEL PROCESO
AI7 INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS GENERAL DE LOS OBJETIVOS DE CONTROL:
Iniciando con el entrenamiento del personal de operaciones de la funcin de TI,
pasando por las pruebas de ambiente, de cambios, de aceptacin, realizar el
monitoreo posterior a la implementacin, evaluar los resultados, medir la satisfaccin
del usuario de los sistemas nuevos o modificados, todo esto forma parte de los
objetivos de control de este proceso para garantizar el rendimiento y desarrollo de los
nuevos recursos y asegurar el mejoramiento continuo de la calidad.
52

2.1.1.1.3 DOMINIO ENTREGAR Y DAR SOPORTE (DS)


En este dominio se hace referencia a la entrega de los servicios requeridos,
que abarca desde las operaciones tradicionales hasta el entrenamiento,
pasando por seguridad y aspectos de continuidad. Con el fin de proveer
servicios, debern establecerse los procesos de soporte necesarios. Este
dominio incluye el procesamiento de los datos por sistemas de aplicacin,
frecuentemente clasificados como controles de aplicacin. (IT Governance
Institute, COBIT 4.1, Pg.13, 2007)
El dominio Entregar y Dar soporte est compuesto de 13 procesos identificados en la
siguiente ilustracin.
ILUSTRACIN 22: PROCESOS DEL DOMINIO ENTREGAR Y DAR
SOPORTE

DS1 Definir y
administrar
los niveles de
servicio

DS5
Garantizar la
seguridad de
los sistemas

DS6
Identificar y
asignar
costos

DS10
Administrar los
Problemas

DS11
Administrar
los datos

DS2
Administrar
los servicios
de terceros

DS3
Administrar el
desempeo y
la capacidad

DS4
Garantizar la
continuidad
del servicio

DS7 Educar y
entrenar a los
usuarios

DS8
Administrar la
Mesa de
servicio y los
incidentes

DS9
Administrar la
configuracin

DS12
Administrar el
ambiente
fsico

DS13
Administrar
las
operaciones

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras

53

PROCESO DS1 DEFINIR Y ADMINISTRAR LOS NIVELES DE


SERVICIO
Contar con una definicin documentada y un acuerdo de servicios de TI y de
niveles de servicio, hace posible una comunicacin efectiva entre la gerencia
de TI y los clientes de negocio respecto de los servicios requeridos. Este
proceso tambin incluye el monitoreo y la notificacin oportuna a los
Interesados sobre el cumplimiento de los niveles de servicio. Este proceso
permite la alineacin entre los servicios de TI y los requerimientos de negocio
relacionados. (IT Governance Institute, COBIT 4.1, Pg.101, 2007)
Se detallan los 6 objetivos de control del proceso definir y administrar los niveles de
servicio en la siguiente ilustracin:
ILUSTRACIN 23: OBJETIVOS DE CONTROL DEL PROCESO
DS1 DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIO

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS GENERAL DE LOS OBJETIVOS DE CONTROL:
COBIT relaciona los objetivos de control en base directa de un marco de trabajo
como la estrategia ms significativa para la administracin de los niveles de servicio
que incluye acuerdo de niveles de servicio (SLA) y de operaciones (OLA). El
monitoreo continuo del cumplimiento de los niveles de servicio y el anlisis de los
resultados permite identificar tendencias positivas y negativas consiguiendo asegurar
la alineacin de los servicios claves de TI con la estrategia del negocio.
54

PROCESO DS2 ADMINISTRAR LOS SERVICIOS DE TERCEROS


Este proceso se logra por medio de una clara definicin de roles,
responsabilidades y expectativas en los acuerdos con los terceros, as como
con la revisin y monitoreo de la efectividad y cumplimiento de dichos
acuerdos. Una efectiva administracin de los servicios de terceros minimiza
los riesgos del negocio asociados con proveedores que no se desempean de
forma adecuada. (IT Governance Institute, COBIT 4.1, Pg.105, 2007)
En la siguiente ilustracin se muestran los 4 objetivos de control que conforman el
proceso administrar los servicios de terceros.
ILUSTRACIN 24: OBJETIVOS DE CONTROL DEL PROCESO
DS2 ADMINISTRAR LOS SERVICIOS DE TERCEROS

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS GENERAL DE LOS OBJETIVOS DE CONTROL:
Utilizando los objetivos de control de este proceso se identifica y categoriza los
servicios con los proveedores y se mide el grado de calidad, confianza y
transparencia existente con ellos empleando SLAs. Con la identificacin y
mitigacin del riesgo del proveedor y el monitoreo de su desempeo se asegura el
cumplimiento de la calidad del servicio que debe estar acorde con los requerimientos
y acuerdos definidos en los contratos y SLAs.

55

PROCESO DS3 ADMINISTRAR EL DESEMPEO Y LA CAPACIDAD


Este proceso incluye el pronstico de las necesidades futuras, basadas en los
requerimientos de carga de trabajo, almacenamiento y contingencias. Este proceso
brinda la seguridad de que los recursos de informacin que soportan los
requerimientos del negocio estn disponibles de manera continua. (IT Governance
Institute, COBIT 4.1, Pg.109, 2007)
Con la siguiente ilustracin se muestran los 5 objetivos de control que comprende el
proceso administrar el desempeo y la capacidad.
ILUSTRACIN 25: OBJETIVOS DE CONTROL DEL PROCESO
DS3 ADMINISTRAR EL DESEMPEO Y LA CAPACIDAD

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS GENERAL DE LOS OBJETIVOS DE CONTROL:
Los objetivos de control de este proceso apuntan a la planeacin para revisar la
capacidad y el desempeo de los recursos de TI actuales y determinar pronsticos de
los recursos futuros cuando el actual sea insuficiente. El monitoreo continuo
contribuye a tomar acciones correctivas que permiten la disponibilidad de los
servicios y optimizacin de su capacidad acordes a los SLAs establecidos en
respuesta a las necesidades del negocio.
56

PROCESO DS4 GARANTIZAR LA CONTINUIDAD DEL SERVICIO


La necesidad de brindar continuidad en los servicios de TI requiere
desarrollar, mantener y probar planes de continuidad de TI, almacenar
respaldos fuera de las instalaciones y entrenar de forma peridica sobre los
planes de continuidad. Un proceso efectivo de continuidad de servicios,
minimiza la probabilidad y el impacto de interrupciones mayores en los
servicios de TI, sobre funciones y procesos claves del negocio. (IT
Governance Institute, COBIT 4.1, Pg.113, 2007)
Con la siguiente ilustracin se muestra los 10 objetivos de control contenidos en el
proceso garantizar la continuidad del servicio.
ILUSTRACIN 26: OBJETIVOS DE CONTROL DEL PROCESO
DS4 GARANTIZAR LA CONTINUIDAD DEL SERVICIO

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS GENERAL DE LOS OBJETIVOS DE CONTROL:
Generar un marco de trabajo ptimo que incluya planes de continuidad que considere
entre otras cosas la estructura organizacional, roles y responsabilidades,
identificacin de recursos crticos, etc. Considerar el mantenimiento, prueba,
entrenamiento y distribucin de los planes de continuidad asegura la recuperacin y
reanudacin de los servicios de TI con un impacto mnimo. Los objetivos de control
tambin contemplan una revisin posterior a la reanudacin de las funciones de TI
validando la efectividad de los planes de continuidad.
57

PROCESO DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS


Este proceso incluye el establecimiento y mantenimiento de roles y
responsabilidades de seguridad, polticas, estndares y procedimientos de TI.
La administracin de la seguridad tambin incluye realizar monitoreos de
seguridad y pruebas peridicas as como realizar acciones correctivas sobre
las debilidades o incidentes de seguridad identificados. Una efectiva
administracin de la seguridad protege todos los activos de TI para minimizar
el impacto en el negocio causado por vulnerabilidades o incidentes de
seguridad. (IT Governance Institute, COBIT 4.1, Pg.117, 2007)
El proceso garantizar la seguridad de los sistemas est compuesto por 11 objetivos de
control que se presentan en la siguiente ilustracin:
ILUSTRACIN 27: OBJETIVOS DE CONTROL DEL PROCESO
DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS GENERAL DE LOS OBJETIVOS DE CONTROL:
La seguridad de los sistemas de TI debe estar alineada con los objetivos de seguridad
del negocio. Desarrollar un plan de seguridad que contemple los requerimientos de
negocio, riesgos y cumplimiento. Implementar mecanismos de autenticacin para
usuarios de las TI, y los permisos de accesos a informacin crtica y sensible debe
contar con la debida aprobacin. El monitoreo y las pruebas peridicas garantizan
que se mantiene el nivel de seguridad aprobado.
58

PROCESO DS6 IDENTIFICAR Y ASIGNAR COSTOS


Este proceso incluye la construccin y operacin de un sistema para capturar,
distribuir y reportar costos de TI a los usuarios de los servicios. Un sistema
equitativo de costos permite al negocio tomar decisiones ms informadas respectos al
uso de los servicios de TI. (IT Governance Institute, COBIT 4.1, Pg.121, 2007)
Los 4 objetivos de control que comprendidos en el proceso identificar y asignar
costos se detallan en la ilustracin siguiente:
ILUSTRACIN 28: OBJETIVOS DE CONTROL DEL PROCESO
DS6 IDENTIFICAR Y ASIGNAR COSTOS

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS GENERAL DE LOS OBJETIVOS DE CONTROL:
Los costos de TI deben asignarse en forma justa y equitativa a los consumidores de
TI mediante una modelacin adecuada de costos y cargos. Se requiere un monitoreo
y evaluacin oportuna para detectar desviaciones que permitan la constante
optimizacin del costo de los recursos de TI y la toma de decisiones rentable con
respecto al uso de los servicios.

59

PROCESO DS7 EDUCAR Y ENTRENAR A LOS USUARIOS


Este proceso incluye la definicin y ejecucin de una estrategia para llevar a
cabo un entrenamiento efectivo y para medir los resultados. Un programa
efectivo de entrenamiento incrementa el uso efectivo de la tecnologa al
disminuir los errores, incrementando la productividad y el cumplimiento de
los controles clave tales como las medidas de seguridad de los usuarios. (IT
Governance Institute, COBIT 4.1, Pg.125, 2007)
Con la siguiente ilustracin se muestra los 3 objetivos de control contenidos en el
proceso educar y entrenar a los usuarios.
ILUSTRACIN 29: OBJETIVOS DE CONTROL DEL PROCESO
DS7 EDUCAR Y ENTRENAR A LOS USUARIOS

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS GENERAL DE LOS OBJETIVOS DE CONTROL:
Estos objetivos de control establecen la identificacin de las necesidades de
entrenamiento y educacin mediante el desarrollo de un plan de entrenamiento para
cada grupo objetivo de empleados, garantizando con ello el uso apropiado de los
recursos de TI y optimizando su desempeo.
La creacin de una cultura moderada en el recurso humano ayuda a apaciguar los
riesgos crticos que se podran manifestar, mejor respuesta en la entrega de servicios
y un incremento en la productividad.
60

PROCESO DS8 ADMINISTRAR LA MESA DE SERVICIO Y LOS


INCIDENTES
Este proceso incluye la creacin de una funcin de mesa de servicio con
registro, escalamiento de incidentes, anlisis de tendencia, anlisis causa-raz
y resolucin. Los beneficios del negocio incluyen el incremento en la
productividad gracias a la resolucin rpida de consultas. Adems, el negocio
puede identificar la causa raz (tales como un pobre entrenamiento a los
usuarios) a travs de un proceso de reporte efectivo. (IT Governance Institute,
COBIT 4.1, Pg.129, 2007)
En la siguiente ilustracin se detallan los 5 objetivos de control contemplados en el
proceso administrar la mesa de servicio y los incidentes.
ILUSTRACIN 30: OBJETIVOS DE CONTROL DEL PROCESO
DS8 ADMINISTRAR LA MESA DE SERVICIO Y LOS INCIDENTES

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS GENERAL DE LOS OBJETIVOS DE CONTROL:
Con estos objetivos de control se puede conformar una mesa de servicio bien
diseada que atienda en forma oportuna y efectiva los requerimientos y problemas de
los usuarios. Establecer procedimientos para el monitoreo y escalamientos de
incidentes, priorizando la resolucin de los ms crticos corresponde a una adecuada
administracin de la mesa de servicio que permite mantener un control apropiado
sobre los incidentes e identificar las tendencias de problemas recurrentes para
mejorar el servicio de manera continua.
61

PROCESO DS9 ADMINISTRAR LA CONFIGURACIN


Este proceso incluye la recoleccin de informacin de la configuracin
inicial, el establecimiento de normas, la verificacin y auditora de la
informacin de la configuracin y la actualizacin del repositorio de
configuracin conforme se necesite. Una efectiva administracin de la
configuracin facilita una mayor disponibilidad, minimiza los problemas de
produccin y resuelve los problemas ms rpido. (IT Governance Institute,
COBIT 4.1, Pg.133, 2007)
Los 3 objetivos de control que constituyen el proceso administrar la configuracin se
presentan en la ilustracin siguiente:
ILUSTRACIN 31: OBJETIVOS DE CONTROL DEL PROCESO
DS9 ADMINISTRAR LA CONFIGURACIN

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS GENERAL DE LOS OBJETIVOS DE CONTROL:
Administrar la configuracin permite establecer los parmetros que deben de
ejecutarse en cualquier tipo de conflicto en donde podra manifestarse una amenaza,
los objetivos de control sealan los lineamientos a seguir para la optimizacin de la
infraestructura, recursos y capacidades de TI, con el establecimiento y
mantenimiento de un repositorio central de todos los elementos de configuracin y la
revisin peridica de los datos de configuracin para verificar su integridad.
62

PROCESO DS10 ADMINISTRAR LOS PROBLEMAS


El proceso administrar los problemas tambin incluye la identificacin de
recomendaciones para la mejora, el mantenimiento de registros de problemas
y la revisin del estatus de las acciones correctivas. Un efectivo proceso de
administracin de problemas mejora los niveles de servicio, reduce costos y
mejora la conveniencia y satisfaccin del usuario. (IT Governance Institute,
COBIT 4.1, Pg.137, 2007)
Los 4 objetivos de control incluidos en el proceso administrar los problemas se
detallan en la ilustracin siguiente:
ILUSTRACIN 32: OBJETIVOS DE CONTROL DEL PROCESO
DS10 ADMINISTRAR LOS PROBLEMAS

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS GENERAL DE LOS OBJETIVOS DE CONTROL:
Luego de la identificacin y clasificacin del problema, procede calificarlo acorde a
la prioridad de exigencias y categorizacin. Identificar la causa raz, definir
soluciones sostenibles y monitorear el avance de estas soluciones contra los SLAs
acordados. Una vez que se resuelve el problema el cierre del mismo amerita la
integracin con los procesos interrelacionados como el de administracin de
incidentes, de cambios y de configuracin. Con la aplicacin de estos objetivos se
puede anticipar y prevenir los problemas garantizando la satisfaccin de los usuarios
finales.
63

PROCESO DS11 ADMINISTRAR LOS DATOS


El proceso administrar los datos tambin incluye el establecimiento de
procedimientos efectivos para administrar la librera de medios, el respaldo y
la recuperacin de datos y la eliminacin apropiada de medios. Una efectiva
administracin de datos ayuda a garantizar la calidad, oportunidad y
disponibilidad de la informacin del negocio. (IT Governance Institute,
COBIT 4.1, Pg.141, 2007)
Un detalle de los 6 objetivos de control que conforman el proceso administrar los
datos se presenta en la ilustracin siguiente:
ILUSTRACIN 33: OBJETIVOS DE CONTROL DEL PROCESO
DS11 ADMINISTRAR LOS DATOS

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS GENERAL DE LOS OBJETIVOS DE CONTROL:
Los objetivos de control se plantean en base a un requerimiento del negocio para la
correcta gestin de los datos, dirigida a mantener la integridad, exactitud,
disponibilidad y proteccin de los mismos. Para esto se requiere el desarrollo de
polticas y procedimientos para el almacenamiento, de inventario, de eliminacin, de
respaldos y de seguridad de los datos. Establecer en forma clara las responsabilidades
sobre la propiedad y administracin de los datos y son conocidas y actualizadas
peridicamente.
64

PROCESO DS12 ADMINISTRAR EL AMBIENTE FSICO


El proceso de administrar el ambiente fsico incluye la definicin de los
requerimientos fsicos del centro de datos, la seleccin de instalaciones
apropiadas y el diseo de procesos efectivos para monitorear factores
ambientales y administrar el acceso fsico. La administracin efectiva del
ambiente fsico reduce las interrupciones del negocio ocasionadas por daos
al equipo de cmputo y al personal. (IT Governance Institute, COBIT 4.1,
Pg.145, 2007)
En la siguiente ilustracin se detallan los 5 objetivos de control que conforman el
proceso administrar el ambiente fsico.
ILUSTRACIN 34: OBJETIVOS DE CONTROL DEL PROCESO
DS12 ADMINISTRAR EL AMBIENTE FSICO

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS GENERAL DE LOS OBJETIVOS DE CONTROL:
El ambiente fsico tambin debe ser administrado de acuerdo a leyes y reglamentos
as como requerimientos tcnicos del negocio y especificaciones de seguridad para
proteger tanto los activos de TI como la informacin del negocio, y minimizar el
riesgo por interrupciones del servicio. Aplicar los objetivos de control de este
proceso permite una seleccin y diseo adecuada del centro de datos, adoptar
medidas de seguridad, definir procedimientos para otorgar permisos de acceso a
instalaciones, disear e implementar medidas de proteccin contra factores
ambientales, todo esto brinda un ambiente fsico apropiado para los recursos e
infraestructura de TI.
65

PROCESO DS13 ADMINISTRAR LAS OPERACIONES


Este proceso incluye la definicin de polticas y procedimientos de operacin
para una administracin efectiva del procesamiento programado, proteccin
de datos de salida sensitivos, monitoreo de infraestructura y mantenimiento
preventivo de hardware. Una efectiva administracin de operaciones ayuda a
mantener la integridad de los datos y reduce los retrasos en el trabajo y los
costos operativos de TI. (IT Governance Institute, COBIT 4.1, Pg.149, 2007)
El proceso administrar las operaciones cuenta con 5 objetivos de control que se
muestran en la siguiente ilustracin:
ILUSTRACIN 35: OBJETIVOS DE CONTROL DEL PROCESO
DS13 ADMINISTRAR LAS OPERACIONES

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS GENERAL DE LOS OBJETIVOS DE CONTROL:
Establecer polticas y procedimientos para la correcta administracin de las
operaciones de TI. Estos procedimientos deben extenderse para la programacin de
tareas, monitoreo de la infraestructura de TI y para el mantenimiento preventivo del
hardware, todo esto complementado con la proteccin de datos sensitivos garantiza
la continuidad de las operaciones y contribuyen a un ambiente estable.
66

2.1.1.1.4 DOMINIO MONITOREAR Y EVALUAR (ME)


Todos los procesos necesitan ser evaluados regularmente a travs del tiempo para
verificar su calidad y cumplimiento en cuanto a los requerimientos de control. (IT
Governance Institute, COBIT 4.1, Pg.13, 2007)
El dominio Monitorear y Evaluar est basado en 4 procesos que se muestran a
continuacin:
ILUSTRACIN 36: PROCESOS DEL DOMINIO MONITOREAR Y
EVALUAR
ME1
Monitorear y
Evaluar el
Desempeo
de TI

ME2
Monitorear y
Evaluar el
Control
Interno

ME3
Garantizar el
Cumplimiento
Regulatorio

ME4
Proporcionar
Gobierno de
TI

TI
Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)
Elaborado: Las Autoras

67

PROCESO ME1 - MONITOREAR Y EVALUAR EL DESEMPEO DE TI

El proceso incluye la definicin de indicadores de desempeo relevantes, reportes


sistemticos y oportunos de desempeo y tomar medidas expeditas cuando existan
desviaciones. El monitoreo se requiere para garantizar que las cosas correctas se
hagan y que estn de acuerdo con el conjunto de direcciones y polticas. (IT
Governance Institute, COBIT 4.1, Pg.153, 2007)
Los 6 objetivos de control que comprende el proceso monitorear y evaluar el
desempeo de TI se muestran en la ilustracin siguiente:
ILUSTRACIN 37: OBJETIVOS DE CONTROL DEL PROCESO
ME1 - MONITOREAR Y EVALUAR EL DESEMPEO DE TI

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS GENERAL DE LOS OBJETIVOS DE CONTROL:
Un proceso de control que monitoree y evale peridicamente el desempeo de las
TI comparndolo contra las metas acordadas es lo que recomienda Cobit mediante
los objetivos de control. Los servicios proporcionados debern ser medidos
definiendo indicadores claves de desempeo (KPIs) para actividades internas y
externas, los resultados de estas evaluaciones se reportan a la Gerencia para que esta
disponga las medidas correctivas necesarias para el mejoramiento del desempeo.
68

PROCESO ME2 MONITOREAR Y EVALUAR EL CONTROL INTERNO


Este proceso incluye el monitoreo y el reporte de las excepciones de control,
resultados de las auto-evaluaciones y revisiones por parte de terceros. Un
beneficio clave del monitoreo del control interno es proporcionar seguridad
respecto a las operaciones eficientes y efectivas y el cumplimiento de las
leyes y regulaciones aplicables. (IT Governance Institute, COBIT 4.1,
Pg.157, 2007)
En la siguiente ilustracin se detallan los 7 objetivos de control que abarca el proceso
monitorear y evaluar el control interno.
ILUSTRACIN 38: OBJETIVOS DE CONTROL DEL PROCESO
ME2 MONITOREAR Y EVALUAR EL CONTROL INTERNO

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS GENERAL DE LOS OBJETIVOS DE CONTROL:
Un marco de trabajo con sistemas de controles internos definidos, monitorear la
eficiencia y efectividad de los controles internos para los procesos de TI y de ser
necesario someterlos a revisin de terceros para asegurar su completitud, identificar
excepciones y analizar sus causas para establecer correctivos, desarrollar y evaluar
controles internos para proveedores de servicios externos, contar con un equipo de
trabajo calificado para la evaluacin de los controles, son parmetros contemplados
en los objetivos de control de este proceso y representan una garanta de seguridad
operacional.
69

PROCESO ME3 GARANTIZAR


REQUERIMIENTOS EXTERNOS

EL

CUMPLIMIENTO

CON

Este proceso incluye la definicin de una declaracin de auditora,


independencia de los auditores, tica y estndares profesionales, planeacin,
desempeo del trabajo de auditora y reportes y seguimiento a las actividades
de auditora. El propsito de este proceso es proporcionar un aseguramiento
positivo relativo al cumplimiento de TI de las leyes y regulaciones. (IT
Governance Institute, COBIT 4.1, Pg.161, 2007)
Con la ilustracin siguiente detallamos los 5 objetivos de control que abarca el
proceso garantizar el cumplimiento con requerimientos externos.
ILUSTRACIN 39: OBJETIVOS DE CONTROL DEL PROCESO
ME3 GARANTIZAR EL CUMPLIMIENTO CON REQUERIMIENTOS
EXTERNOS

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS GENERAL DE LOS OBJETIVOS DE CONTROL:
Con la consecucin de estos objetivos de control se consigue alinear las polticas,
procedimientos, estndares y metodologas de TI de la organizacin con las leyes y
regulaciones locales e internacionales con lo cual se minimiza el riesgo por el no
cumplimiento y se optimizan los procesos de TI adems la organizacin adquiere una
cultura administrativa que la proyecta a niveles competitivos.

70

PROCESO M4 - PROPORCIONAR GOBIERNO DE TI


El establecimiento de un marco de trabajo de gobierno efectivo, incluye la
definicin

de

estructuras,

procesos,

liderazgo,

roles

responsabilidades

organizacionales para garantizar as que las inversiones empresariales en TI estn


alineadas y de acuerdo con las estrategias y objetivos empresariales. (IT
Governance Institute, COBIT 4.1, Pg.165, 2007)
Los 7 objetivos de control que componen el proceso proporcionar gobierno de TI se
presentan en la ilustracin siguiente:
ILUSTRACIN 40: OBJETIVOS DE CONTROL DEL PROCESO
M4 - PROPORCIONAR GOBIERNO DE TI

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS GENERAL DE LOS OBJETIVOS DE CONTROL:
Estos objetivos de control contemplan la elaboracin de informes oportunos al
consejo directivo sobre la estrategia, el desempeo y los riesgos de TI. Establece un
marco de trabajo para el gobierno de TI integrado al gobierno corporativo. El
gobierno de la empresa y el gobierno de TI estn ligados estratgicamente utilizando
recursos financieros, humanos y tecnolgicos para aumentar la ventaja competitiva
de la empresa.
71

2.1.1.2 MISIN DE COBIT


Investigar, desarrollar, hacer pblico y promover un marco de control de Gobierno
de TI autorizado, actualizado, aceptado internacionalmente para la adopcin por
parte de las empresas y el uso diario por parte de gerentes de negocio, profesionales
de TI y profesionales de aseguramiento. (IT Governance Institute, COBIT 4.1,
Pg.9, 2007)

2.1.1.2.1 REAS DE ENFOQUE DEL GOBIERNO DE TI


El conjunto de acciones coordinadas entre la alta direccin y el rea de TI permiten
proporcionar servicios optimizados y administrar los riesgos en forma efectiva para
alcanzar los objetivos estratgicos definidos de la organizacin.
Por medio de la siguiente ilustracin se indica las reas de enfoque del Gobierno de
TI dentro de la organizacin.
ILUSTRACIN 41: REAS DE ENFOQUE DEL GOBIERNO DE TI

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras

72

ALINEACIN ESTRATGICA
Garantiza la alineacin entre los planes de negocio y de TI; definiendo,
manteniendo y validando la propuesta de valor de TI; y alineando las operaciones de
TI con las operaciones de la empresa. (IT Governance Institute, COBIT 4.1, Pg.6,
2007)

ENTREGA DE VALOR
Ejecuta la propuesta de valor a todo lo largo del ciclo de entrega, asegurando que TI
genere los beneficios prometidos en la estrategia, concentrndose en optimizar los
costos y en brindar el valor intrnseco de la TI. (IT Governance Institute, COBIT
4.1, Pg.6, 2007)

ADMINISTRACIN DE LOS RECURSOS


Se trata de la inversin ptima, as como la administracin adecuada de los recursos
crticos de TI: aplicaciones, informacin, infraestructura y personas. Los temas
claves se refieren a la optimizacin de conocimiento y de infraestructura. ((IT
Governance Institute, COBIT 4.1, Pg.6, 2007)

ADMINISTRACIN DEL RIESGO


Requiere conciencia de los riesgos por parte de los altos ejecutivos de la empresa,
un claro entendimiento del apetito de riesgo que tiene la empresa, comprender los
requerimientos de cumplimiento, transparencia de los riesgos significativos para la
empresa, y la inclusin de las responsabilidades de administracin de riesgos dentro
de la organizacin. (IT Governance Institute, COBIT 4.1, Pg.6, 2007)

MEDICIN DEL DESEMPEO


Rastrea y monitorea la estrategia de implementacin, la terminacin del proyecto, el
uso de los recursos, el desempeo de los procesos y la entrega del servicio, con el
uso, por ejemplo, de balanced scorecards que traducen la estrategia en accin para
73

lograr las metas medibles ms all del registro convencional. (IT Governance
Institute, COBIT 4.1, Pg.6, 2007)

2.1.1.2.2 CRITERIOS DE INFORMACIN DE COBIT


Las metas de los negocios dependen del desenvolvimiento de la informacin que
genera TI que debe estar adaptada a criterios de control. COBIT ha definido los
siguientes criterios:
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento y
Confiabilidad
Los siete criterios de informacin que permiten satisfacer los objetivos del negocio
se muestran en la ilustracin siguiente:
ILUSTRACIN 42: CRITERIOS DE INFORMACIN

CRITERIOS DE INFORMACIN

Efectividad

Confidencialidad

Eficiencia

DIsponibilidad

Integridad

Confiabilidad

Cumplimiento

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
74

Efectividad:
Es la informacin pertinente en los procesos del negocio, que se proporciona en
forma segura, oportuna, consistente, relevante y utilizable.

Eficiencia:
Es la informacin generada con el ptimo uso de los recursos.

Confidencialidad:
La informacin sensible debe estar protegida contra revelacin no autorizada.

Integridad:
La completitud y la precisin de la informacin y la validez que est acorde a las
expectativas de la empresa.

Disponibilidad:
La informacin que se desarrolle dentro de la organizacin est disponible en todo
momento, tambin involucra la proteccin de los recursos y las capacidades
necesarias asociadas.

Cumplimiento:
Se relaciona con el acatamiento de leyes, reglamentos y acuerdos a los cuales est
sujeto el negocio, es decir criterios de negocios externos, as como polticas internas.

75

Confiabilidad:
Consiste en proporcionar la informacin apropiada para que la gerencia administre la
entidad y ejerza sus responsabilidades fiduciarias y de gobierno.

2.1.1.2.3 RECURSOS DE TI
Las organizaciones invierten en recursos para poder atender a los requerimientos de
TI y garantizar que los procesos se desarrollen acordes a las metas trazadas:
Los recursos de TI se identifican en la siguiente ilustracin:
ILUSTRACIN 43: RECURSOS DE TI

TI
APLICACIONES

Informacin

Infraestructura

PERSONAS

Informacin para la
Gestin correcta en
la organizacion

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
Aplicaciones:
Se relaciona a los sistemas automatizados as como los procedimientos manuales que
procesan informacin.
76

Informacin:
Consiste en los datos generados por los sistemas de informacin y utilizados por el
negocio en cualquiera de sus formas.
Infraestructura:
Comprende el software, el hardware adems de los perifricos y las instalaciones as
como el sitio y ambiente que soporta la tecnologa de informacin.
Personas:
Representan el recurso humano requerido para la ejecucin de los procesos de TI.
Estas pueden ser internas, por outsourcing o contratadas segn como se requiera.

2.1.1.2.4 MODELO DE MADUREZ COBIT


Un modelo de madurez permite a la organizacin ir creciendo gradualmente y de
forma equilibrada.
COBIT plantea en su modelo de madurez las escalas siguientes:
0 - Inexistente: Carencia completa de cualquier proceso reconocible. La empresa
no ha reconocido siquiera que existe un problema a resolver. (IT Governance
Institute, COBIT 4.1, Pg.19, 2007)
1 - Ad hoc, inicial: Existe evidencia que la empresa ha reconocido que los
problemas existen y requieren ser resueltos. Sin embargo; no existen procesos
estndar en su lugar existen enfoques ad hoc que tienden a ser aplicados de forma
individual o caso por caso. El enfoque general hacia la administracin es
desorganizado. (IT Governance Institute, COBIT 4.1, Pg.19, 2007)
2 - Repetible pero intuitivo: Se han desarrollado los procesos hasta el punto en que
se siguen procedimientos similares en diferentes reas que realizan la misma tarea.
No hay entrenamiento o comunicacin formal de los procedimientos estndar, y se
deja la responsabilidad al individuo. Existe un alto grado de confianza en el
77

conocimiento de los individuos y, por lo tanto, los errores son muy probables. (IT
Governance Institute, COBIT 4.1, Pg.19, 2007)
3 Definido: Los procedimientos se ha estandarizado y documentado, y se han
difundido a travs de entrenamiento. Sin embargo, se deja que el individuo decida
utilizar estos procesos, y es poco probable que se detecten desviaciones. Los
procedimientos en si no son sofisticados pero formalizan las prcticas existentes.
(IT Governance Institute, COBIT 4.1, Pg.19, 2007)
4 - Administrado y medido: Es posible monitorear y medir el cumplimiento de los
procedimientos y tomar medidas cuando los procesos no estn trabajando de forma
efectiva. Los procesos estn bajo constante mejora y proporcionan buenas prcticas.
Se usa la automatizacin y herramientas de una manera limitada o fragmentada. (IT
Governance Institute, COBIT 4.1, Pg.19, 2007)
5 Optimizado: Los procesos se han refinado hasta un nivel de mejor prctica, se
basan en los resultados de mejoras continuas y en un modelo de madurez con otras
empresas. TI se usa de forma integrada para automatizar el flujo de trabajo,
brindando herramientas para mejorar la calidad y la efectividad, haciendo que la
empresa se adapte de manera rpida. (IT Governance Institute, COBIT 4.1, Pg.19,
2007)
Esta herramienta de evaluacin le permite a una empresa reconocer su evolucin as
como su situacin actual y futura teniendo una perspectiva clara del nivel que quiere
alcanzar:
a) El desempeo actual de la empresa - Dnde la empresa est hoy en da.
El nivel que obtiene en la evaluacin da la pauta a los ejecutivos de las
medidas correctivas a tomar para cada uno de los procesos y conseguir subir a
la siguiente escala en caso de que no cumpla la ideal que es la de optimizado.
b) El estado actual de la empresa - La comparacin.
La empresa podr comparar su situacin con respecto al nivel en el que se
encuentran otras organizaciones similares y servir igualmente para fijar la
direccin hacia nuevos objetivos.
78

c) El objetivo de la empresa para mejorar - Dnde la empresa quiere estar.


La situacin de la empresa amerita un balance en la incorporacin de la visin
motivadora con la que establecer planes, proyectos, mejoras tecnolgicas
necesarias que le permitan alcanzar un desarrollo eficaz y posicionarse en el
lugar que desea estar.
d) El camino a recorrer entre la situacin actual y el objetivo.
Establecer en el trayecto los cambios necesarios que permitan tener una
visin ms optimista en el logro para el alcance de los objetivos y que
contribuyan en la gestin de crecimiento y evolucin de la empresa.
Con este modelo de madurez es ms sencillo establecer que parmetros se cumplen
y cules no. As mismo definir para el cumplimiento, cmo se lo est haciendo.

2.1.2
BENEFICIOS PARA
METODOLOGA COBIT

LA

EMPRESA

EN

APLICAR

LA

La adopcin eficaz de las mejores prcticas ayudar a obtener valor de las


inversiones de TI y los servicios de TI, sus principales beneficios son:
Optimizar la calidad, la respuesta y la fiabilidad de las soluciones y los
servicios de TI.
Reformar la viabilidad, previsibilidad y repetitividad de resultados de
negocios exitosos.
Generar la confianza y el progresivo involucramiento de beneficiarios y
favorecedores del negocio.
Reducir peligros, sucesos y fracasos en los proyectos.

79

CAPTULO 3
3.1 ASPECTOS METODOLGICOS DE LA INVESTIGACIN

3.1.1 TIPO DE INVESTIGACIN


La investigacin consiste en la recopilacin de datos o informacin suficiente que
contribuye a la solucin de un problema determinado.
A continuacin se detallan los tipos de investigacin a considerar para el desarrollo
de este proyecto:

Investigacin de campo o directa: Es de campo porque se realiz en el ambiente en


el que se desarrollan las actividades de las personas consultadas quienes
proporcionarn los datos relevantes que sern analizados.

Investigacin no experimental: Es no experimental porque los datos de inters son


recogidos en forma directa de la realidad para hacer un anlisis sistemtico del
problema, con la finalidad de interpretarlo, explicar su causa y efecto y recomendar
una solucin.

3.1.2 MTODO DE INVESTIGACIN

En la ejecucin de este proyecto se utiliz como mtodo de investigacin, el mtodo


de entrevista, el mtodo de anlisis, el mtodo comparativo, en los cuales
apoyaremos la relacin causa-efecto del problema as como las recomendaciones
para su solucin.
La entrevista y cuestionamiento a las personas que laboran en el departamento de
Sistemas se la realiza con la finalidad de reunir los datos necesarios para el anlisis
de la situacin y efectuar el diagnstico comparando los resultados con lo que
recomienda COBIT.
80

3.1.3 FUENTES

TCNICAS

PARA

LA

RECOLECCIN

DE

INFORMACIN

Para el desarrollo de nuestro proyecto se elabor una matriz en la herramienta Excel


donde se elaboraron las preguntas basadas en el detalle de cada objetivo de control
por lo tanto se utiliz el mtodo de entrevista.
Los pasos que se siguieron para obtener la informacin son:
1. Obtencin del Marco de trabajo de COBIT.
2. Diseo de la matriz en Excel del Marco de Trabajo de COBIT.
3. Entrevistas.
4. Calificacin y ponderacin de los resultados.

3.1.4 LIBROS DE COBIT UTILIZADOS PARA EL DIAGNSTICO

Para la evaluacin del marco de control de TI hemos considerado el detalle de los


objetivos de control del manual COBIT 4.1 debido a que se investig que al
momento no hay la gua de aseguramiento de TI por lo que se utiliz la tercera
edicin de las directrices de auditora y la segunda edicin de los objetivos de
control, a partir de lo cual se realiz un anlisis con las referencias cruzadas que
aparecen en el Apndice V del manual COBIT 4.1 y se lleg a la conclusin de que
hay una relacin de estas versiones con el detalle del objetivo de control de COBIT
4.1.
El diagnstico realizado en la empresa EP hace nfasis en el control que se debe de
aplicar en los diferentes procesos del departamento de sistemas para el
mantenimiento, distribucin y el almacenaje de la informacin y en el grado de
efectividad de los mismos con relacin a lo que COBIT recomienda.

81

3.1.5 MTODO MATRICIAL PARA EL ANLISIS DE RIESGOS

La seguridad y los controles en los sistemas de informacin ayudan a disminuir los


riesgos sin deshacerse de ellos por completo, puesto que siempre en toda empresa
existir un grado de incertidumbre.

Es necesario conocer el grado de riesgo o nivel que la organizacin est dispuesta a


aceptar para considerar un estndar, especialmente lo relacionado al anlisis del
costo-beneficio para aplicar las tcnicas generalmente aceptadas de control y
seguridad en tecnologa de informacin.

3.1.5.1 DEFINICIONES PARA EL ANLISIS DE RIESGOS

Riesgo Informtico: Un riesgo informtico se podra definir como la


ausencia de seguridad en el procesamiento automtico de datos. (Fundacin
Wikimedia I. , 2012)

Riesgos de Tecnologa de Informacin: El concepto de riesgo de TI puede


definirse como el efecto de una causa multiplicado por la frecuencia probable
de ocurrencia dentro del entorno de TI. Surge as, entonces la necesidad del
control que acte sobre la causa del riesgo para minimizar sus efectos.
Cuando se dice que los controles minimizan los riesgos, lo que en verdad
hacen es actuar sobre las causas de los riesgos, para minimizar sus efectos.
Utilidad del Mtodo Matricial para el anlisis de Riesgos: Este mtodo
utiliza una matriz para mostrar grficamente tanto las amenazas a que estn
expuestos los sistemas computarizados como los objetos que comprenden el
sistema. Dentro de cada celda se muestran los controles que atacan a las
amenazas. (Jos Dagoberto Pinilla Forero, 1992)

82

El mtodo se desarroll de la siguiente manera:


1. Crear la matriz de amenazas (causas de riesgo) y de objetos del
sistema a analizar.
2. Identificar los controles necesarios.
3. Registrar los controles dentro de la matriz.
4. Categorizar los riesgos.
5. Disear los controles definitivos.
6. Resultados del anlisis de riesgos.
7. Verificar por parte de sistemas y de auditora, la incorporacin de los
controles.

3.1.6 ANLISIS FODA


Segn (Talancn, 2006) se define que: El anlisis FODA consiste en realizar una
evaluacin de los factores fuertes y dbiles que en su conjunto diagnostican la
situacin interna de una organizacin, as como su evaluacin externa

Las evaluaciones deben estar enfocadas en los factores relevantes para el xito del
negocio, resaltando las fortalezas y debilidades que son internas y contrastndolas
con las oportunidades y amenazas que son externas.
Un anlisis crtico y objetivo permite determinar la situacin de la empresa con
respecto a su entorno y descubrir los aspectos en los cuales se necesita trabajar para
mejorar y ser ms competitivo.

83

A continuacin se detalla en la ilustracin la aplicacin del anlisis Foda en una


organizacin.
ILUSTRACIN 44: ANLISIS FODA

Fuente: (Annie, 2010)


La matriz FODA permite reconocer los errores y aprovechar las ventajas para poder
elaborar las estrategias que contribuyan a ampliar los objetivos y planificar los
procesos en base a los avances sistemticos de la organizacin.

Estrategias FO FA DO DA

Segn (Rosas Vzquez, 2007) Algunos modelos de Administracin Estratgica se


encontr que son complejos, difciles de implantar en las personas, grupos y
pequeas empresas, para procurar un cambio deliberado que promueva el xito de
dichas instancias.

Estrategia FO. Se basa en la combinacin de las fortalezas que posee la


organizacin con las oportunidades que se presenten, para que con el uso estratgico
de cada uno de ellas alcanzar los objetivos.

84

Estrategia FA. Disminuye al mnimo la situacin de los factores externos que se


presentan como amenazas, aprovechando las fortalezas con la que la organizacin
cuenta. Esto no implica que siempre se deba afrontar las amenazas del entorno de
una forma tan directa, ya que a veces puede resultar ms problemtico para la
institucin.

Estrategia DO. Las oportunidades que tiene la organizacin es el detonador para


tratar de disminuir las debilidades, logrando un equilibrio o transformndolas en
fortalezas.

Estrategia DA. Consiste en aplicar estrategias muy bien diseadas para contrarrestar
las amenazas del entorno y a la vez disminuir las debilidades para la supervivencia
de la organizacin.
A continuacin se muestra la matriz FODA con la combinacin de las estrategias:
ILUSTRACIN 45: MATRIZ FODA

Fuente: (Rico, 2010)


85

CAPITULO 4
4.1 DIAGNSTICO DEL DEPARTAMENTO DE SISTEMAS DE LA
EMPRESA EP

4.1.1 BREVE DESCRIPCIN DE LA EMPRESA EP

Por razones de seguridad nos referiremos a la empresa como la empresa EP.

La empresa EP pertenece al sector siderrgico, y se dedica a la fabricacin y


comercializacin de acero a nivel nacional. Su cartera de productos se orienta a
satisfacer las necesidades del mercado de la construccin. La Empresa trabaja con los
procedimientos de Calidad Total y las Normas ISO 9001:2008.

VISIN: Fabricar y entregar oportunamente productos de acero de alta calidad a


precios competitivos.

MISIN: Lderes en la industria siderrgica para satisfacer las necesidades de acero


en el mercado nacional e incursionar en el mercado internacional con calidad,
servicio y proteccin al medio ambiente.

4.1.1.1 HISTORIA

El crecimiento del sector de la construccin en el Ecuador -a finales de los aos 60-,


estaba en pleno auge y demandaba la provisin de hierro de ptima calidad, por lo
que se crea la empresa EP el 19 de octubre de 1969, empresa que instala la primera
planta laminadora ecuatoriana, para abastecer de material al mercado local.

86

El 31 de julio de 2003, la familia de la empresa EP, recibe la Certificacin ISO


9001: 2000 al Sistema de Gestin de Calidad. A todos estos logros alcanzados por la
empresa se suma la mano de obra calificada, tcnica y tecnologa adecuada, manejo
de los recursos residuales, que transforman a la empresa en la primera industria
siderrgica en el Ecuador con Certificacin Internacional a la Calidad.

La empresa EP cuenta con un rea destinada exclusivamente a la vigilancia del ISO


9000 que realiza permanentes auditoras internas para mantener el sistema de calidad
y entregar acero altamente confiable a sus clientes y distribuidores.

4.1.1.2 PRODUCTOS FABRICADOS POR LA EMPRESA EP


Armaduras Conformadas
Alambre Trefilado
Varillas Soldables
ngulos
Alambrn
Alambre Grafilado
Mallas Electro Soldadas
Barras Cuadradas

4.1.1.3 SERVICIOS QUE OFRECE LA EMPRESA EP

Satisfacer la demanda con un equipo de asesores de ventas.


El equipo de ventas mide la conformidad cliente producto precio.
La transportacin y distribucin de un punto a otro dentro y fuera del pas.
La empresa EP despliega sus procesos productivos y las caractersticas
tcnicas a los diferentes segmentos del mercado mediante:

87

a) Capacitacin a los maestros de obra, a fin de explicar las ventajas de los


productos.
b) Charlas y seminarios a los clientes y distribuidores a nivel nacional, cada
ao, para exponer las potencialidades de los productos.
c) Auspicios de eventos a los diversos cuerpos colegiados afines: Colegio de
Ingenieros, de Arquitectos, etc.
d) Visitas de los estudiantes de colegios tcnicos y universidades del pas a
la planta industrial de Acera y Laminacin en la empresa EP con el
objetivo de reforzar su formacin acadmica.

4.1.1.4 PROMOCIONES DISPONIBLES EN LA EMPRESA EP

La empresa EP participa en ferias de la construccin y afines.


Auspicia a revistas especializadas de la construccin y capacita a organismos

En el estudio de la empresa EP se puede determinar que es una de las productoras de


acero ms importante a nivel nacional debido a su amplio recorrido en el mercado y
ms an con la calidad del producto que entrega a sus usuarios a nivel de
construccin.
La adopcin de la metodologa COBIT por parte del departamento de sistemas,
facilitara el control y efectiva administracin de sus procesos y de manera general
de las funciones de TI.

88

4.1.1.5 ESTRUCTURA ORGNICA ACTUAL DE LA EMPRESA EP


La empresa EP cuenta con una estructura conformada por varios departamentos
siendo el departamento de sistemas uno de sus principales ya que depende
directamente de la Gerencia. La ilustracin siguiente muestra en detalle la estructura
de la empresa:
ILUSTRACIN 46: ESTRUCTURA ORGNICA ACTUAL DE LA
EMPRESA EP

Fuente: EMPRESA EP
Elaborado: Las Autoras

89

4.1.1.6
ORGANIGRAMA FUNCIONAL DE LAS TECNOLOGAS DE
INFORMACIN EN LA EMPRESA EP
En la ilustracin que se presenta bajo este texto, se muestra el organigrama funcional
de las TI en la empresa EP. El departamento, est conformado por cinco personas; el
jefe de TI y cuatro responsables que ellos denominan especialistas de los procesos.
Estos tienen a su cargo tareas especficas, las cuales se ejecutan en coordinacin con
el jefe de TI y que en conjunto brindan los servicios que necesita la empresa.

ILUSTRACIN 47: ORGANIGRAMA FUNCIONAL DE LAS TI EN LA


EMPRESA EP

Fuente: EMPRESA EP
Elaborado: Las Autoras

90

4.1.1.7 ORGANIGRAMA ESTRUCTURAL DE LAS TECNOLOGAS DE


INFORMACIN EN LA EMPRESA EP
La gestin del departamento de sistemas de la empresa EP est conformada por
niveles como se muestra en el grfico siguiente:
ILUSTRACIN 48: ORGANIGRAMA ESTRUCTURAL DE LAS TI EN LA
EMPRESA EP

Fuente: EMPRESA EP
Elaborado: Las Autoras

NIVEL OPERATIVO: Se encarga del anlisis de los resultados respecto a los


recursos utilizados en los procesos para la toma de decisiones a corto plazo.
NIVEL TCTICO: Se encarga de mejorar el rendimiento de la empresa EP con la
asignacin de los recursos a medio plazo.
NIVEL ESTRATGICO: En este nivel se toman las decisiones que la empresa
debe seguir a futuro.

91

4.1.1.8 ANLISIS FODA DEL DEPARTAMENTO DE TECNOLOGAS DE


INFORMACIN
La empresa EP para mantener su competitividad en el mercado analiza sus fortalezas
y debilidades as como sus oportunidades y amenazas en la siguiente tabla.
TABLA 4: ANLISIS FODA REA TI
MATRIZ DEL FODA
ACERIAS NACIONALES DEL ECUADOR S.A. "ANDEC"
FORTALEZAS
DEBILIDADES
1.- Buena imagen corporativa
1.- Insuficientes contactos con empresas
2.- Cultura de calidad
Similares en el exterior
3.- nico complejo siderrgico del pas
2.- Falta de centralizacin de informacin de
3.- Fuerza laboral tcnica con nivel medio
la competencia
y Superior
3.- Falta de optimizacin en los sistemas de
4.- Pertenecer al grupo DINE
informacin
5.- Certificacin y sello de calidad INEN
6.- Diversidad de medidas de productos
7.- Ubicacin geogrfica de la empresa
8.- Certificacin ISO 9002
9.- Planta operativa de alta tecnologa
AMENAZAS
1.- Competencia Nacional
2.- Crecimiento de Importaciones
3.- Inestabilidad Socio-econmical del Pas
4.- Alto Costo de energa elctrica

FA
1.1. Mantener y difundir buena imagen
corporativa.
2.2. Mantener Certificacin ISO 9002
3.3. Aprovechar coyuntura con FF.AA.
4.4. Proyecto de ahorro energa elctrica

DA
1.1. Tomar contactos tcnicos en el exterior
2.2. Evitar Organizaciones Sindicales
3.3. Anlisis de competencia

OPORTUNIDADES
1.- Posibilidad de exportar
2.- Apertura a la inversin Nacional e
Internacional
3.- Diversificacin de la demanda del
producto
4.- Acercamiento con los centros de
Educacin superior
5.- Conyuntura con las Fuerzas Armadas

FO
1.1. Preparacin para globalizacin del
mercado.
2.2. Aprovechar ubicacin geogrfica
3.3. Brindar al cliente un valor agregado.
4.4. Categorizar a los clientes
5.5. Adoptar medidas para enfrentar
competencia nacional e importaciones.

DO
1.1. Acuerdos con empresas del exterior que
provean productos afines a la construccion
2.2. Apoyar a la especializacin tcnica del
personal.
3.3. Mantener un buen nivel de abastecimiento
4.4. Actualizacin de informacin de competencia.

Fuente: EMPRESA EP
Elaborado: Las Autoras
92

4.1.2 DISEO DEL MODELO DE EVALUACIN

Los datos para el diagnstico son tomados del manual COBIT 4.1, se dise una
tabla en Excel considerando los dominios, procesos, actividades de los procesos,
objetivos de control y detalle de los objetivos de control, adems de realizar un
cuestionario de preguntas por cada objetivo tomando como referencia la 2da edicin
de los Objetivos de Control y la 3 Edicin de las Directrices de Auditora para
identificar el cumplimiento de los procesos del departamento de sistemas con
relacin a lo que indica la metodologa COBIT.

Se coordin con anticipacin entrevistas con los encargados de cada proceso del
departamento de sistemas, as como con el jefe del departamento para obtener la
informacin necesaria de esta investigacin en base al cuestionario de preguntas
previamente elaborado, para posteriormente calificar las respuestas obtenidas.

Se determin a nivel grupal una puntuacin de 1(uno) y 0(cero) en donde las


declaraciones de afirmacin estaban representadas por el 1 y las de negacin por el 0
para cada respuesta, cabe recalcar que dentro de la calificacin existen respuestas con
una puntuacin intermedia de 0 a 1 de acuerdo al anlisis realizado.

A continuacin se muestra la tabla que recopila la informacin del resultado de las


entrevistas realizadas en el departamento de sistemas de la empresa EP.

93

Trabajar con el negocio para garantizar que el portafolio de


inversiones de TI de la empresa contenga programas con
casos de negocio slidos. Reconocer que existen inversiones
obligatorias, de sustento y discrecionales que difieren en
complejidad y grado de libertad en cuanto a la asignacin de
fondos. Los procesos de TI deben proporcionar una entrega
efectiva y eficiente de los componentes TI de los programas y
advertencias oportunas sobre las desviaciones del plan,
incluyendo costo, cronograma o funcionalidad, que pudieran
impactar los resultados esperados de los programas. Los
servicios de TI se deben ejecutar contra acuerdos de niveles
de servicios equitativos y exigibles. La rendicin de cuentas
del logro de los beneficios y del control de los costos es
claramente asignada y monitoreada. Establecer una
evaluacin de los casos de negocio que sea justa,
transparente, repetible y comparable, incluyendo el valor
financiero, el riesgo de no cumplir con una capacidad y el
riesgo de no materializar los beneficios esperados.

CALIFICACIN

OBJETIVOS DE
CONTROL

RESPUESTAS

1.- El portafolio de inversiones de TI contiene programas con casos de


negocio slidos?

El portafolio cubre el 3% de los procesos de la


empresa en la actualidad basado en el
presupuesto anual. Tienen algunos proyectos
en curso como proyecto de seguridad
informticas, implementacin de estandares, 1,00
integracin de cliente y proveedores a la
cadena de valor., Adquirir software para las
reas de mantenimiento y proyectos.

2.- Los procesos de TI proporcionan una entrega efectiva de los


componentes TI de los programas?

Se revisa mensualmente lo presupuestado vs.


lo real cada gerencia hace seguimiento
mediante reuniones y se verifica las
desviaciones en cuanto a dinero. Hay
procedimientos para establecer los controles
sobre los datos o resultados que se generan
en los sistemas. En cada area hay monitoreo. 1,00
Si hay herramientas que dan informacin a
los gerentes (tableros gerenciales) para toma
de decisiones, A nivel operativo los reportes
sobre transacciones. A nivel estratgico el
balance score card o cuadro de mano
integral.
Ver respuesta anterior.
1,00

3.- Los procesos de TI proporcionan una entrega eficiente de los


componentes TI de los programas?
4.- Los procesos de TI advierten oportunamente sobre las desviaciones
del plan, incluyendo costo, cronograma o funcionalidad, que pudieran
impactar los resultados esperados de los programas?

Ver respuesta anterior.


1,00

5.- Los servicios de TI se ejecutan contra acuerdos de niveles de servicios Si se tiene acuerdos de niveles de servicio. Es
equitativos?
un contrato coorporativo por lo que si son
equitativos y exigibles.

1,00

6.- Los servicios de TI se ejecutan contra acuerdos de niveles de servicios Ver respuesta anterior.
exigibles?

1,00

1,00

PO1.2 - Alineacin de TI con el Negocio.

Educar a los ejecutivos sobre las capacidades tecnolgicas


actuales y sobre el rumbo futuro, sobre las oportunidades
que ofrece TI, y sobre qu debe hacer el negocio para
capitalizar esas oportunidades. Asegurarse de que el rumbo
del negocio al cual est alineado TI est bien entendido. Las
estrategias de negocio y de TI deben estar integradas,
relacionando de manera clara las metas de la empresa y las
metas de TI y reconociendo las oportunidades as como las
limitaciones en la capacidad actual, y se deben comunicar de
manera amplia. Identificar las reas en que el negocio
(estrategia) depende de forma crtica de TI, y mediar entre los
imperativos del negocio y la tecnologa, de tal modo que se
puedan establecer prioridades concertadas.

10.- Se evala el riesgo de no materializar los beneficios esperados?

Ver respuesta anterior.

1. Los ejecutivos reciben capacitacin tecnolgica actual?

Reciben la especifica al caso por herramienta


adquirida.
No
hay
capacitacin.
Implementarn programas de capacitacion en
todos los niveles para las personas que van a
trabajar y elaborarn planes de capacitacin
0,50
en base al anlisis de las necesidades de los
usuarios. Si se lo hacia por el ao 2001 y lo
piensan retomar.

3.- Est bien entendido el rumbo del negocio al cual est alineado TI

La parte administrativa si est bien atendida,


pero la parte operativa no. No hay en planta.
Tienen que levantar informacin y hacer un 0,50
diagnostico para elaborar los planes de
accin y asignar prioridades.

4.- Las estrategias de negocio y de TI estn integradas?

Si estn integradas. Toda la gestin de Ti esta


alineada con el plan estratgico de TI que
est hecho en base al plan estratgico de la 1,00
empresa.

5.- Cules son las reas en que el negocio (estrategia) depende de forma
crtica de TI?

Todas las reas. Primero hay que garantiar la


continuidad del negocio mediante un buen
plan de contingencia, implementar polticas 0,00
de seguridad y de seguridad informtica.

6.- Entre los imperativos del negocio y la tecnologa, estn establecidas


prioridades concertadas?

Si est priorizado. Los proyectos estn hechos


1,00
en base a las necesidades del negocio.

PO1.3 - Evaluacin del


Desempeo y la
Capacidad Actual.

2.- En el
Evaluar el desempeo de los planes existentes y de los
3.- En el
sistemas de informacin en trminos de su contribucin a los
objetivos de negocio, su funcionalidad, su estabilidad, su 4.- En el
complejidad, sus costos, sus fortalezas y debilidades.
5.- En el

Crear un plan estratgico que defina, en cooperacin con los


interesados relevantes, cmo TI contribuir a los objetivos
estratgicos de la empresa (metas) as como los costos y
riesgos relacionados. Incluye cmo TI dar soporte a los
programas de inversin facilitados por TI y a la entrega de
los servicios operativos. Define cmo se cumplirn y medirn
los objetivos y recibirn una autorizacin formal de los
interesados. El plan estratgico de TI debe incluir el
presupuesto de la inversin / operativo, las fuentes de
financiamiento, la estrategia de obtencin, la estrategia de
adquisicin, y los requerimientos legales y regulatorios. El
plan estratgico debe ser lo suficientemente detallado para
permitir la definicin de planes tcticos de TI.

0,50

2.- Los ejecutivos saben lo que debe hacer el negocio para capitalizar las No saben como hacerlo porque ya lo
0,00
oportunidades que ofrece TI?
hubieran exigido.

1.- En el desempeo de los planes existentes se evala la funcionalidad? Si se evalun.

PO1.4 - Plan Estratgico de TI.

Relacionar las metas del negocio con las de TI.

9.- Se evala el riesgo de no cumplir con una capacidad para obtener los Si saben los riesgos a los que estn expuestos
beneficios esperados?
pero no hay una evaluacin del impacto, se
0,50
est trabajando en un proyecto de seguridad
informtica.

Identificar dependencias
crticas y desempeo
actual.

O
R
G
A
N
I
Z
A
R

PREGUNTAS

8.- La rendicin de cuentas del logro de los beneficios y del control de los Si.
costos est claramente monitoreada?

Construir un plan estratgico para TI.

DETALLE OBJETIVO CONTROL

7.- La rendicin de cuentas del logro de los beneficios y del control de los Si est asignada porque se basan en
costos est claramente asignada?
presupuesto, y monitoreada porque es
auditada de manera interna y externa. Es 1,00
corporativa.

PO1 - Definir un Plan Estratgico de TI.

P
L
A
N
E
A
R

COBIT

PO1.1 - Administracin del Valor de TI.

ACTIVIDADES DEL
PROCESO
Relacionar las metas del negocio con las de TI.

PROCESOS

DOMINIO

TABLA 5: MATRIZ GENERAL COBIT 4.1

1,00

desempeo de los planes existentes se evala la estabilidad?

Si se evalun.

desempeo de los planes existentes se evala la complejidad?

Si se evalun.

1,00

desempeo de los planes existentes se evala los costos?

Si se evalun.

1,00

desempeo de los planes existentes se evala la fortaleza?

Si se evalun.

1,00

6.- En el desempeo de los planes existentes se evala la debilidad?

Si se evalun.

1.- Existe un plan estratgico?

Si hay PETI.

1,00

1,00
1,00

2.- Este plan define cmo TI contribuir a los objetivos estratgicos de la Si, contempla todo.
empresa?

1,00

3.- En este plan estn definidos los costos relacionados?

Ver respuesta anterior.

1,00

4.- En este plan estn definidos los riesgos relacionados?

Ver respuesta anterior.

1,00

5.- En el plan incluye cmo TI dar soporte a los programas de inversin? Si. Hicieron un analisis FODA.
6.- En el plan incluye cmo TI dar soporte a la entrega de los servicios
operativos?

Ver respuesta anterior.

7.- El plan define cmo se cumplirn los objetivos?

Si.

8.- El plan define cmo se medirn los objetivos?

Si.

9.- El plan es lo suficientemente detallado para permitir la definicin de


planes tcticos de TI?

Si.

94

1,00
1,00
1,00
1,00
1,00

PREGUNTAS

Administrar de forma activa, junto con el negocio, el


portafolio de programas de inversin de TI requerido para
lograr objetivos de negocio estratgicos especficos por
medio de la identificacin, definicin, evaluacin, asignacin
de prioridades, seleccin, inicio, administracin y control de
los programas. Esto incluye clarificar los resultados de
negocio deseados, garantizar que los objetivos de los
programas den soporte al logro de los resultados, entender el
alcance completo del esfuerzo requerido para lograr los
resultados, definir una rendicin de cuentas clara con
medidas de soporte, definir proyectos dentro del programa,
asignar recursos y financiamiento, delegar autoridad, y
comisionar los proyectos requeridos al momento de lanzar el
programa.

1.- Existe un portafolio de planes tcticos de TI derivados del plan Si existe.


estratgico de TI?
2.- Estos planes tcticos describen los recursos requeridos por TI?
Si, incluye todo.

PO2.2 - Diccionario de Datos Empresarial y Reglas


de Sintxis de Datos.

1,00
1,00

3.- Estos planes tcticos describen como se monitorean los recursos?

Si.

1,00

4.- Estos planes tcticos describen como se administran los recursos?

Si.

1,00

5.- Estos planes tcticos describen como se monitorean los beneficios Si.
obtenidos?
6.- Estos planes tcticos describen como se administran los beneficios Si.
obtenidos?
7.- Los planes tcticos permiten la definicin de planes de proyectos?
Si (planes de accin).
8.- Se administran los planes tcticos mediante el anlisis de los Si se administran.
portafolios de proyectos y servicios?
9.- El equilibio de recursos se compara con el logro de metas Si se compara.
estratgicas?
10.- El equilibio de recursos se compara con los beneficios esperadps? Si se compara.
11.- Se toman las medidas necesarias en caso de desviaciones?

Si.

1.- Sobre los programas de inversin de TI(proyectos):


a. Se administran de forma activa la inversin?
b. Se identifican nuevos proyectos?

Si.

1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00

d. Se evalan los nuevos proyectos?

Si, algunos surgen de las necesidades de los


1,00
clientes y otros surgen aqu.
Si.
1,00
Si.
1,00

e. Se priorizan los proyectos?

Si.

1,00

f. Se seleccionan proyectos?

Si.

1,00

g. Se administran los proyectos?

Si.

1,00

h. Se controlan los proyectos?

Si.

c. Se definen nuevos proyectos?

1,00
1.- El modelo de informacin empresarial facilita el desarrollo de Baan funciona mas como repositorio de datos
aplicaciones consistente con los planes de TI?
que como resultado. TI hace un levantamiento
de informacin por cada necesidad que surge
. El modelo contribuye un 70% a proporcionar
la informacion que TI necesita para realizar 0,70
el trabajo. Se trabaja con reporteadores para
unificar la informacin de los procesos y que
de informacion necesaria para las diferentes
areas sobre situaciones crticas.

Establecer y mantener un modelo de informacin empresarial


que facilite el desarrollo de aplicaciones y las actividades de
soporte a la toma de decisiones, consistente con los planes
de TI como se describen en P01. El modelo debe facilitar la
creacin, uso y el compartir en forma ptima la informacin
por parte del negocio de tal manera que se mantenga su
integridad, sea flexible, funcional, rentable, oportuna, segura
y tolerante a fallos.

2.- El modelo de informacin empresarial facilita las actividades de Ver respuesta anterior.
soporte a la toma de decisiones, consistente con los planes de TI?

0,70

3.- El modelo facilita la creacin la informacin?

Solo un 70%.

0,70

4.- El modelo facilita el uso de la informacin?

Si en un 70%.

0,70

5.- El modelo facilita el compartir en forma ptima la informacin?

Si en un 70%.

6.- El modelo permite que la informacin se mantenga integra?


7.- El modelo permite que la informacin se mantenga flexible?

8.- El modelo permite que la informacin se mantenga funcional?


9.- El modelo permite que la informacin se mantenga rentable?

10.- El modelo permite que la informacin se mantenga oportuna?

PO2.3 - Esquema de Clasificacin de Datos.

RESPUESTAS

CALIFICACIN

OBJETIVOS DE
CONTROL
PO1.5 - Planes Tcticos de TI.
PO1.6 - Administracin del Portafolio de TI.

Crear un portafolio de planes tcticos de TI que se deriven del


plan estratgico de TI. Estos planes tcticos deben describir
las iniciativas y los requerimientos de recursos requeridos
por TI, y cmo el uso de los recursos y el logro de los
beneficios sern monitoreados y administrados. Los planes
tcticos deben tener el detalle suficiente para permitir la
definicin de planes de proyectos. Administrar de forma
activa los planes tcticos y las iniciativas de TI establecidas
por medio del anlisis de los portafolios de proyectos y
servicios. Esto incluye el equilibrio de los requerimientos y
recursos de forma regular, comparndolos con el logro de
metas estratgicas y tcticas y con los beneficios esperados,
y tomando las medidas necesarias en caso de desviaciones.

PO2.1 - Modelo de Arquitectura de Informacin Empresarial.

ACTIVIDADES DEL
PROCESO
Construir planes tcticos para TI.
Analizar portafolios de programas y
administrar portafolios de servicios y
proyectos.
Crear y mantener modelo de informacin corporativo/empresarial.

DETALLE OBJETIVO CONTROL

11.- El modelo permite que la informacin se mantenga segura?

Crear y mantener diccionario de datos corporativo.

O
R
G
A
N
I
Z
A
R

PO2 - Definir la Arquitectura de la Informacin.

*Establecer y mantener esquema de clasificacin de datos.


*Brindar a los dueos procedimientos y herramientas para
clasificar los sistemas de informacin.

PROCESOS
PO1 - Definir un Plan Estratgico de TI.

DOMINIO

P
L
A
N
E
A
R

COBIT

0,70
En parte. No tanto integra por el tema de la
0,30
seguridad informatica.
En cuanto a modelo de informacion se planea
la capacitacin con usuarios back up o
segundo a bordo para que la informacin no 0,30
est concentrada en personas especficas. Se
tendr una base de conocimientos.

En parte.

0,30
Es rentable en parte aunque no han medido el
beneficio que se ha obtenido en tener este 0,30
modelo. No esta todo, hay que trabajar.
En parte.
0,30
En parte estn en el proceso de implementar
0,30
un proyecto de seguridad de la informacin.

12.- El modelo permite que la informacin se mantenga tolerante a Es rentable en parte aunque no han medido el
fallos?
beneficio que se ha obtenido en tener este 0,30
modelo. No esta todo, hay que trabajar.
1.-El diccionario de datos incluye reglas de sintaxis de datos de la No incluye. El Baan si tiene, el Adam no tiene,
0,00
organizacin?
el Holding tampoco.
2.-El diccionario facilita compartir elementos de datos entre las Es una utilidad para el Baan pero si quieren
aplicaciones?
unirlo a nivel empresarial no se puede. a) No
han obtenido a nivel de Baan las fuentes. b)
Tecnologia no ha recibido capacitacin
Mantener un diccionario de datos empresarial que incluya
tcnica sobre la BD y las relaciones de los
las reglas de sintaxis de datos de la organizacin. El
elementos de la BD. Pero si se puede solicitar
diccionario facilita compartir elementos de datos entre las
capacitacin
tcnica a los proveedores de los
aplicaciones y los sistemas, fomenta un entendimiento
aplicativos y otra alternativa es el
comn de datos entre los usuarios de TI y del negocio, y
autoaprendizaje.
previene la creacin de elementos de datos incompatibles.
3.-El diccionario facilita compartir elementos de datos entre los Ver respuesta anterior.
sistemas?
4.- El diccionario fomenta un entendimiento comn de datos entre los Ver respuesta anterior.
usuarios de TI y del negocio?
5.- El diccionario previene la creacin de elementos de datos Ver respuesta anterior.
incompatibles?
1.- El esquema de clasificacin de datos aplica a toda la empresa?
Es empririco. Como TI, no est establecido un
procedimiento. En ISO 9000 les dicen como
generar los documentos pero no los
categoriza. No lo tienen contemplado. Tienen
proyecto de implementar ISO 27000 y asumen
que en este estandar estar contemplado
Establecer un esquema de clasificacin que aplique a toda la
esto.
2.- Est basado en que tan crtica es la informacin (pblica, Ver respuesta anterior.
empresa, basado en que tan crtica y sensible es la
confidencial, secreta) de la empresa?
informacin (esto es, pblica, confidencial, secreta) de la
3.- Est basado en que tan sensible es la informacin (pblica, Ver respuesta anterior.
empresa. Este esquema incluye detalles acerca de la
confidencial, secreta) de la empresa?
propiedad de datos, la definicin de niveles apropiados de
4.- Este esquema incluye detalles cmo la propiedad de datos?
Ver respuesta anterior.
seguridad y de controles de proteccin, y una breve
descripcin de los requerimientos de retencin y destruccin 5.- Este esquema define los niveles apropiados de seguridad?
Ver respuesta anterior.
de datos, adems de qu tan crticos y sensibles son. Se usa 6.- Este esquema define los niveles apropiados de controles de Ver respuesta anterior.
como base para aplicar controles como el control de acceso, proteccin?
archivo o cifrado.
7.- Este esquema describe los requerimientos de retencin de datos?
Ver respuesta anterior.

0,00

0,00
0,00
0,00

0,00

0,00
0,00
0,00
0,00
0,00
0,00

8.- Este esquema describe los requerimientos de destruccin de datos?

Ver respuesta anterior.

0,00

9.- Este esquema describe que tan crticos son los datos?

Ver respuesta anterior.

0,00

10.- Este esquema describe que tan sensibles son los datos?

Ver respuesta anterior.

0,00

11.- Este esquema se utiliza como base para aplicar controles como el de Ver respuesta anterior.
acceso, archivo o cifrado?

0,00

95

RESPUESTAS

PO3.4 - Estndares Tecnolgicos.


PO3.5 - Consejo de Arquitectura
de TI.

Monitorear la evolucin tecnolgica.

CALIFICACIN

OBJETIVOS DE
CONTROL
PO2.4 Administracin
de Integridad.
PO3.1 - Planeacin de la Direccin Tecnolgica.
PO3.2 - Plan de Infraestructura Tecnolgica.
PO3.3 - Monitoreo de Tendencias y
Regulaciones Futuras.

ACTIVIDADES DEL
PROCESO
Crear y mantener un plan de infraestructura
tecnolgica.
Crear y mantener estndares tecnolgicos.
Publicar estndares tecnolgicos.

PROCESOS

Usar el modelo de
informacin, el
diccionario de
datos y el
esquema de
clasificacin
para planear los
sistemas

PREGUNTAS

1.- Existen procedimientos que garanticen la integridad de los datos En un pequeo porcentaje, a nivel de
almacenados en formato electrnico, tales como bases de datos, respaldo. Los procedimientos no estan en su 0,25
almacenes de datos y archivos?
mayoria documentados. Se lo piensa hacer.
2.- Existen procedimientos que garanticen la consistencia de todos los Ver respuesta anterior.
datos almacenados en formato electrnico, tales como bases de datos,
almacenes de datos y archivos?
1.- Se analizan las tecnologas existentes?
Si. Los proveedores vienen a que les enseen.
2.- Se analizan las tecnologas emergentes?

3.- Se planea cul direccin tecnolgica es apropiada tomar para


Analizar las tecnologas existentes y emergentes y planear
materializar la estrategia de TI?
cul direccin tecnolgica es apropiada tomar para
4.- Se planea cul direccin tecnolgica es apropiada tomar para
materializar la estrategia de TI y la arquitectura de sistemas materializar la arquitectura de sistemas del negocio?
del negocio. Tambin identificar en el plan qu tecnologas
5.- Estn identificadas en el plan las tecnologas que tienen el potencial
tienen el potencial de crear oportunidades de negocio. El plan de crear oportunidades de negocio?
debe abarcar la arquitectura de sistemas, la direccin
6.- El plan abarca la arquitectura de sistemas?
tecnolgica, las estrategias de migracin y los aspectos de
contingencia de los componentes de la infraestructura.
7.- El plan abarca la direccin tecnolgica?

Si.
Si.
Si.

0,25
1,00
1,00
1,00
1,00

No, a lo mucho el internet, por las


0,00
exportaciones.
El plan de TI abarca todo eso, contingencia,
riesgo, pero en un porcentaje. Falta crear 0,50
(tienen seguridad, riesgos, capacitacion).
En parte.

0,50

8.- El plan abarca las estrategias de migracin?

Crear y mantener un plan de infraestructura tecnolgica que


est de acuerdo con los planes estratgicos y tcticos de TI. El
plan se basa en la direccin tecnolgica e incluye acuerdos
para contingencias y orientacin para la adquisicin de
recursos tecnolgicos. Tambin toma en cuenta los cambios
en el ambiente competitivo, las economas de escala para
inversiones y personal en sistemas de informacin, y la
mejora en la interoperabilidad de las plataformas y las
aplicaciones.

Establecer un proceso para monitorear las tendencias


ambientales del sector / industria, tecnolgicas, de
infraestructura, legales y regulatorias. Incluir las
consecuencias de estas tendencias en el desarrollo del plan
de infraestructura tecnolgica de TI.

En parte.
0,50
9.- El plan abarca los aspectos de contingencia de los componentes de la En parte.
0,50
infraestructura?
1.- Existe un plan de infraestructura tecnolgica?
En la actualidad no. Se estn haciendo
diagnosticos en base de datos, servidores ,
SO. y estandares (ITIL, Cobit, ISO 27000 y
0,00
seguridad informtica). En base a ese
diagnostico (3 empresas lo hacen) se
elaborar el plan estratgico.
2.- El plan de infraestructura tecnolgica est acorde con los planes Ver respuesta anterior.
0,00
estratgicos de TI?
3- Tienen planes tcticos de TI?

Ver respuesta anterior.

0,00

4- El plan de infraestructura tecnolgica est acorde con los planes Ver respuesta anterior.
tcticos de TI?

0,00

5.- El plan est basado en la direccin tecnolgica?

1,00

Si est basado en la direccin tecnolgica.

6.- El plan incluye acuerdos para contingencias?

Si.
1,00
7.- El plan incluye la orientacin para la adquisicin de recursos Si.
1,00
tecnolgicos?
Si considera los cambios en el ambiente
8.- El plan considera los cambios en el ambiente competitivo?
1,00
competitivo.
9.- El plan considera las economas de escala para inversiones?
Ver respuesta anterior.
1,00
10.- El plan considera al personal en sistemas de informacin?
Ver respuesta anterior.
1,00
11.- El plan considera la mejora en la interoperabilidad de las Ver respuesta anterior.
plataformas?
12.- El plan considera la mejora en la interoperabilidad de las Ver respuesta anterior.
aplicaciones?
1.- Existe un proceso para monitorear las tendencias ambientales del No existe un proceso claro. Se lo hace en base
sector/industria?
a los requerimientos del usuario, no es
continuo y por el momento el usuario solicita
algo que est vigente en el mercado. (Software
para biblioteca de planos, PDA. Integracin
del Baan con el BSC).
2.- Existe un proceso para monitorear las tendencias tecnolgicas?
Ver respuesta anterior.

1,00
1,00

0,00

0,00

3.- Existe un proceso para monitorear las tendencias de infraestructura? Ver respuesta anterior.

0,00

4.- Existe un proceso para monitorear las tendencias legales?

0,00

Ver respuesta anterior.

5.- Existe un proceso para monitorear las tendencias regulatorias?


Ver respuesta anterior.
0,00
6.- Estn incluidas las consecuencias de estas tendencias en el No estn incluidas las consecuencias porque
0,00
desarrollo del plan de infraestructura tecnolgica de TI?
no hay plan.
1.- Se proporcionan soluciones tecnolgicas consistentes para toda la Si se proporcionan soluciones.
1,00
empresa?
2.- Se proporcionan soluciones tecnolgicas efectivas para toda la Ver respuesta anterior.
empresa?

Definir el uso (futuro)


(estratgico) de la nueva
tecnologa.

O
R
G
A
N
I
Z
A
R

Definir e Implementar procedimientos para garantizar la


integridad y consistencia de todos los datos almacenados en
formato electrnico, tales como bases de datos, almacenes de
datos y archivos.

PO3 - Determinar la Direccin Tecnolgica.

DOMINIO

DETALLE OBJETIVO CONTROL

PO2 - Definir la
Arquitectura de la
Informacin.

P
L
A
N
E
A
R

COBIT

3.- Se proporcionan soluciones tecnolgicas seguras para toda la Ver respuesta anterior.
empresa?
Proporcionar soluciones tecnolgicas consistentes, efectivas 4.- Se brindan directrices tecnolgicas sobre los productos de la Si se brindan. El departamento de Logstica
infraestructura?
envia los requerimientos de los usuarios para
y seguras para toda la empresa, establecer un foro
hacer el anlisis tecnico y en base a esto se
tecnolgico para brindar directrices tecnolgicas, asesora
compra o se contrata el servicio.
sobre los productos de la infraestructura y guas sobre la
Ver respuesta anterior.
seleccin de la tecnologa, y medir el cumplimiento de estos 5.- Se brinda asesora sobre los productos de la infraestructura?
estndares y directrices. Este foro impulsa los estndares y 6.- Se brindan guas sobre la seleccin de la tecnologa?
Ver respuesta anterior.
las prcticas tecnolgicas con base en su importancia y
Si se lo hace por medio de las auditoras de
7.- Se mide el cumplimiento de los estndares tecnolgicos?
riesgo para el negocio y en el cumplimiento de
calidad.
requerimientos externos.
8.- Se mide el cumplimiento de las directrices tecnolgicas?
Si.

Establecer un comit de arquitectura de TI que proporcione


directrices sobre la arquitectura y asesora sobre su
aplicacin, y que verifique el cumplimiento. Esta entidad
orienta el diseo de la arquitectura de TI garantizando que
facilite la estrategia del negocio y tome en cuenta el
cumplimiento regulatorio y los requerimientos de
continuidad. Estos aspectos se vinculan con el PO2 (Definir
arquitectura de la informacin).

9.- Se impulsa los estndares con base en su importancia y riesgo para el No se lo ha hecho, con este proyecto y otros
negocio y en el cumplimiento de requerimientos externos?
(diagnostico de ITIL, politicas de calidad para
certificarse en ISO 27000) se lo est
impulsando.
10.- Se impulsa las prcticas tecnolgicas con base en su importancia y Ver respuesta anterior.
riesgo para el negocio y en el cumplimiento de requerimientos externos?
1.- Existe un comit de arquitectura de TI que proporcione directrices No hay comit de arquitectura. (Se lo piensa
sobre la arquitectura?
crear en aproximadamente 8 meses porque
les falta asentarse como departamento).
2.- Existe un comit de arquitectura de TI que proporcione asesora sobre Ver respuesta anterior.
su aplicacin?
3.- Existe un comit de arquitectura de TI que verifique el cumplimiento? Ver respuesta anterior.
4.- Esta entidad orienta el diseo de la arquitectura de TI garantizando No hay comit de arquitectura.
que facilite la estrategia del negocio?
5.- Esta entidad tome en cuenta el cumplimiento regulatorio?
Ver respuesta anterior.
6.- Esta entidad tome en cuenta los requerimientos de continuidad?

96

Ver respuesta anterior.

1,00
1,00

1,00
1,00
1,00
1,00
1,00
0,00

0,00
0,00
0,00
0,00
0,00
0,00
0,00

DETALLE OBJETIVO CONTROL

PREGUNTAS

Definir un marco de trabajo para el proceso de TI para


ejecutar el plan estratgico de TI. Este marco incluye
estructura y relaciones de procesos de TI administrando
brechas y superposiciones de procesos), propiedad,
medicin del desempeo, mejoras, cumplimiento, metas de
calidad y planes para alcanzarlas. Proporciona integracin
entre los procesos que son especficos para TI,
administracin del portafolio de la empresa, procesos de
negocio y procesos de cambio del negocio. El marco de
trabajo de procesos de TI debe estar integrado en un sistema
de administracin de calidad y en un marco de trabajo de
control interno.
Establecer un comit estratgico de TI a nivel del consejo.
Este comit deber asegurar que el gobierno de TI, como
parte del gobierno corporativo, se maneja de forma
adecuada, asesora sobre la direccin estratgica y revisa las
inversiones principales a nombre del consejo completo.
Establecer un comit directivo de TI (o su equivalente)
compuesto por la gerencia ejecutiva, del negocio y de TI para:
Determinar las prioridades de los programas de inversin
de TI alineadas con la estrategia y prioridades de negocio de
la empresa, Dar seguimiento al estatus de los proyectos y
resolver los conflictos de recursos, Monitorear los niveles de
servicio y las mejoras del servicio.
Ubicar a la funcin de TI dentro de la estructura
organizacional general con un modelo de negocios
supeditado a la importancia de TI dentro de la empresa, en
especial en funcin de que tan crtica es para la estrategia
del negocio y el nivel de dependencia operativa sobre TI. La
lnea de reporte del CIO es proporcional con la importancia
de TI dentro de la empresa.

Establecer una estructura organizacional de TI interna y


externa que refleje las necesidades del negocio. Adems
implementar un proceso para revisar la estructura
organizacional de TI de forma peridica para ajustar los
requerimientos de personal y las estrategias internas para
satisfacer los objetivos de negocio esperados y las
circunstancias cambiantes.

1.- Est definido un marco de trabajo para el proceso de TI para ejecutar Si est definido.
el plan estratgico de TI?
2.- El marco de trabajo de procesos de TI est integrado en un sistema de Si est integrado.
administracin de calidad?
3.- El marco de trabajo de procesos de TI est integrado en un marco de Si.
trabajo de control interno?

PO4.10 PO4.9 - Propiedad de Datos y


Supervisin
de Sistemas.
.

1,00
1,00

1,00

1.- Se cuenta con un comit estratgico de TI a nivel del consejo?

No existe comit estratgico.

2.- Este comit asegura que el gobierno de TI, como parte del gobierno
corporativo, se maneja de forma adecuada, asesora sobre la direccin
estratgica y revisa las inversiones principales a nombre del consejo
completo?
1.- Se cuenta con un comit estratgico de TI a nivel del consejo?

No existe comit estratgico (Si se piensa


crear el comit y nosotros debemos
asesorarlos como formar el comit.

No existe comit estratgico (Si se piensa


crear el comit y nosotros debemos
asesorarlos como formar el comit.
2.- Este comit asegura que el gobierno de TI, como parte del gobierno Ver respuesta anterior.
corporativo, se maneja de forma adecuada?
3.- Este comit asesora sobre la direccin estratgica?
Ver respuesta anterior.

4.- Este comit evisa las inversiones principales a nombre del consejo ver respuesta anterior.
completo?
1.- La funcin de TI est ubicada dentro de la estructura organizacional Si, porque est como una jefatura y se
general con un modelo de negocios supeditado a la importancia de TI reporta directamente a la Gerencia General.
dentro de la empresa?

0,00
0,00

0,00
0,00
0,00
0,00

1,00

1.- Est establecida una estructura organizacional de TI interna que Si se cuenta. En el Holding Dine hay una
refleje las necesidades del negocio?
Gerencia de TI y bajo esta gerencia estn las
jefaturas de TI de cada una de las empresas.
Con ellos se coordina la adopcin de
estandares o cualquier otro requerimiento
que se necesite.
Ver respuesta anterior.
2.- Est establecida una estructura organizacional de TI externa que
refleje las necesidades del negocio?
3.- Existe un proceso que revise la estructura organizacional de TI de Esto se coordina con la gerencia de TI del
forma peridica para ajustar los requerimientos de personal?
Holding Dine
4.- Existe un proceso que revise las estrategias internas para satisfacer Ver respuesta anterior.
los objetivos de negocio esperados y las circunstancias cambiantes?
1.- Se definen los roles y las responsabilidades para el personal de TI?

2.- Se comunican los roles y las responsabilidades para el personal de


Definir y comunicar los roles y las responsabilidades para el TI?
personal de TI y los usuarios que delimiten la autoridad
3.- Estn definidas las responsabilidades para alcanzar las necesidades
entre el personal de TI y los usuarios finales y definan las
del negocio?
responsabilidades y rendicin de cuentas para alcanzar las
necesidades del negocio.

Si se definen.
Si se comunican.
Si se definen mediante el plan de actividades
y de acuerdo a los requerimientos
priorizados por la alta gerencia.

4.- Est definida la rendicin de cuentas para alcanzar las necesidades Ver respuesta anterior.
del negocio?
1.- Est asignada la responsabilidad para el desempeo de la funcin de No hay implementado un aseguramiento de
aseguramiento de calidad (QA)?
calidad de TI. Se esta definiendo todos los
procesos, indicadores y procedimientos y se
los va a montar en una plataforma. Adems
se recibir la capacitacin de ISO 9000 para
Asignar la responsabilidad para el desempeo de la funcin
saber que falta para la certificacin y se
de aseguramiento de calidad (QA) y proporcionar al grupo de
contratar
a
una
empresa
para
QA sistemas de QA, los controles y la experiencia para
asesoramiento y logro del objetivo.
comunicarlos. Asegurar que la ubicacin organizacional, las 2.- El grupo de QA cuenta con los sistemas de QA, los controles y la No hay implementado aseguramiento de
responsabilidades y el tamao del grupo de QA satisfacen
experiencia para comunicarlos?
calidad.
los requerimientos de la organizacin.
3.- La ubicacin organizacional del grupo de QA satisfacen los No hay implementado aseguramiento de
requerimientos de la organizacin?
calidad.
4.- Las responsabilidades del grupo de QA satisfacen los requerimientos No hay implementado aseguramiento de
de la organizacin?
calidad.
5.- El tamao del grupo de QA satisfacen los requerimientos de la No hay implementado aseguramiento de
organizacin?
calidad.
1.- Est establecida la responsabilidad de los riesgos relacionados con Si se establece pero, an falta evaluacin con
TI a un nivel superior apropiado?
respecto a los incidentes.
Establecer la propiedad y la responsabilidad de los riesgos
relacionados con TI a un nivel superior apropiado. Definir y 2.- Estn asignados los roles crticos para administrar los riesgos de TI? Se tiene algo bsico. Se est trabajando en la
politica de seguridad, se est elaborando
asignar roles crticos para administrar los riesgos de TI,
una poltica de calidad, estn en la etapa de
incluyendo la responsabilidad especfica de la seguridad de
revisin de esa poltica, cada especialista,
la informacin, la seguridad fsica y el cumplimiento.
b.d. , aplicativos y help desk debe elaborar
Establecer responsabilidad sobre la administracin del
procedimientos que exige esta poltica.
riesgo y la seguridad a nivel de toda la organizacin para
manejar los problemas a nivel de toda la empresa. Puede ser 3.- Est establecida la responsabilidad sobre la administracin del No est establecido formalmente. En cuanto
riesgo?
se tenga los procedimiento se va a establecer.
necesario asignar responsabilidades adicionales de
administracin de la seguridad a nivel de sistema especfico 4.- Est establecida la seguridad para manejar los problemas a nivel de Ver respuesta anterior.
para manejar problemas relacionados con seguridad.
toda la empresa?
Obtener orientacin de la alta direccin con respecto al
5.- Estn asignadas responsabilidades adicionales de administracin de No.
apetito de riesgo de TI y la aprobacin de cualquier riesgo
la seguridad a nivel de sistema especfico?
residual de TI.
6.- La alta direccin orienta con respecto al apetito de riesgo de TI?
No.
7.- La alta direccin aprueba cualquier riesgo residual de TI?

PO4.11 Segregacin de
Funciones.

RESPUESTAS

CALIFICACIN

OBJETIVOS DE
CONTROL
PO4.1 - Marco de Trabajo de
Procesos de TI.
PO4.2 - Comit
Estratgico de
TI.
PO4.3 - Comit
Directivo de TI.
PO4.4 - Ubicacin
Organizacional de
la Funcin de TI.
PO4.6 - Establecimiento de
Roles y Responsabilidades.
PO4.8 - Responsabilidad sobre el Riesgo, la
Seguridad y el Cumplimiento.

PO4.7 - Responsabilidad de Aseguramiento de


Calidad de TI.

PO4.5 - Estructura Organizacional.

ACTIVIDADES DEL
PROCESO
Establecer estructura organizacional
de TI, incluyendo comits y ligas a los
interesados y proveedores.
Establecer e implantar
roles y responsabilidades
de TI, incluida la
supervisin y segregacin
de funciones.
Establecer e implantar roles y
responsabilidades de TI, incluida la
supervisin y segregacin de funciones.

O
R
G
A
N
I
Z
A
R

Establecer e implantar roles y responsabilidades


de TI, incluida la supervisin y segregacin de
funciones.

Establecer
Establecer e
e
implantar roles
implantar
Establecer e implantar roles y
y
roles y
responsabilidades de TI,
responsabilidade
responsabi
incluida la supervisin y
s de TI, incluida
lidades de
segregacin de funciones.
la supervisin y
TI, incluida
segregacin de
la
funciones.
supervisin

P
L
A
N
E
A
R

PO4 - Definir los Procesos, Organizacin y Relaciones de TI.

Identificar dueos
de sistemas.

Establecer estructura
organizacional de TI,
incluyendo comits y
ligas a los interesados
y proveedores.

Establecer
estructura
organizacional
de TI,
incluyendo
comits y
ligas a los
interesados y
proveedores

Disear Marco de Trabajo para el


proceso de TI.

PROCESOS

DOMINIO

COBIT

1,00

1,00
1,00
1,00
1,00
1,00

1,00

1,00

0,00

0,00
0,00
0,00
0,00
0,50

0,50

0,00
0,00
0,00
0,00

No.
0,00
1.- Existen procedimientos y herramientas que permitan enfrentar las Si, los usuarios disponen de una plataforma
responsabilidades de propiedad sobre los datos y los sistemas de tecnolgica que soportan los procesos
definidos en la empresa en base a sus 1,00
Proporcionar al negocio los procedimientos y herramientas informacin?
necesidades, dependiendo de las funciones
que le permitan enfrentar sus responsabilidades de
establecidad por RR HH.
propiedad sobre los datos y los sistemas de informacin. Los
2.- Los dueos toman decisiones sobre la clasificacin de la informacin No, pero se debe hacer. Falta hacer un
dueos toman decisiones sobre la clasificacin de la
para protegerlos de acuerdo a esta clasificacin?
levantamiento de informacion de cada
informacin y de los sistemas y sobre cmo protegerlos de
0,00
proceso y categorizarlo segn la criticidad de
acuerdo a esta clasificacin.
la informacin.
3.- Los dueos toman decisiones para proteger los sistemas?
Ver respuesta anterior.
0,00
Implementar prcticas adecuadas de supervisin dentro de 1.- Se tienen implementadas prcticas adecuadas de supervisin dentro Si se tiene implementada. Hay indicadores .
la funcin de TI para garantizar que los roles y las
de la funcin de TI para garantizar que los roles y las responsabilidades
1,00
responsabilidades se ejerzan de forma apropiada, para
se ejerzan de forma apropiada?
2.- Se revisan en forma general los indicadores claves de desempeo?
Ver respuesta anterior.
evaluar si todo el personal cuenta con la suficiente
1,00
Implementar una divisin de roles y responsabilidades que 1.- Se tiene implementado una divisin de roles y responsabilidades que Si, por medio de las funciones de RRHH.
reduzca la posibilidad de que un solo individuo afecte
reduzca la posibilidad de que un solo individuo afecte negativamente un
1,00
negativamente un proceso crtico. La gerencia tambin se
proceso crtico?
asegura de que el personal realice slo las tareas
2.La
gerencia
se
asegura
de
que
el
personal
realice
slo
las
tareas
Si,
al
igual
que
lo
anterior
por
las
funciones
autorizadas, relevantes a sus puestos y posiciones
1,00
autorizadas relevantes a sus puestos?
definidas por RRHH.
respectivas.

97

PREGUNTAS

RESPUESTAS

CALIFICACIN

OBJETIVOS DE
CONTROL
PO4.12 - Personal de TI.
PO4.13 - Personal Clave de TI.
PO4.14 - Polticas y
Procedimientos
para Personal
Contratado.
PO4.15 - Relaciones.
PO5.1 - Marco de Trabajo para la
Administracin Financiera.
PO5.5 - Administracin de Benefici

PO5.4 - Administracin de Costos de TI.

PO5.3 - Proceso Presupuestal.

PO5.2 Prioridades
dentro del Presupuesto
de TI.

funciones.

implantar roles y

segregacin de

ACTIVIDADES DEL
PROCESO
Dar mantenimiento al portafolio de
programas de inversin.
Establecer y mantener proceso presupuestal
de TI.

Dar mantenimiento al portafolio de


servicios.

Dar mantenimiento al
portafolio de proyectos.

Establecer e implantar roles y


responsabilidades de TI,
incluida la supervisin y
segregacin de funciones.

supervisin y

Establecer e implantar roles


y responsabilidades de TI,
incluida la supervisin y
segregacin de funciones.
Establecer e implantar roles
y responsabilidades de TI,
incluida la supervisin y
segregacin de funciones.

Asegurar que los consultores y el personal contratado que


soporta la funcin de TI cumplan con las polticas
organizacionales de proteccin de los activos de
informacin de la empresa de tal manera que se logren los
requerimientos contractuales acordados.

de TI, incluida la

Definir e identificar al personal clave de TI y minimizar la


dependencia en un solo individuo desempeando una
funcin de trabajo crtica.

responsabilidades

Evaluar los requerimientos de personal de forma regular o


cuando existan cambios importantes en el ambiente de
negocios, operativo o de TI para garantizar que la funcin de
TI cuente con un nmero suficiente de recursos para soportar
adecuada y apropiadamente a las metas y objetivos del
negocio.

Identificar, comunicar y
monitorear la inversin, costo y
valor de TI para el negocio.

PO5 - Administrar la Inversin en TI.

Y
O
R
G
A
N
I
Z
A
R

DETALLE OBJETIVO CONTROL

PROCESOS

P
L
A
N
E
A
R

Establecer e

PO4 - Definir los Procesos, Organizacin y Relaciones de TI.

DOMINIO

COBIT
1.- Se evalan los requerimientos de personal de forma regular para
garantizar que la funcin de TI cuente con un nmero suficiente de
recursos para soportar adecuada y apropiadamente las metas del
negocio?

Si, de acuerdo a los requerimientos, si es


algo pequeo se usan el recurso humano con
que se cuenta y si es algo grande se lo busca
1,00
en el mercado. Dependiendo del alcance de
requerimiento se lo busca internamente o
externamente.
2.- Se evalan los requerimientos de personal de forma regular para Si.
garantizar que la funcin de TI cuente con un nmero suficiente de
1,00
recursos para soportar adecuada y apropiadamente los objetivos del
negocio?
1.- Se define al personal clave de TI para minimizar la dependencia en un Si. Se busca que el conocimiento critico para
solo individuo desempeando una funcin de trabajo crtica?
el desarrollo o desempeo de TI no se
concentre en un solo individuo o en un solo
usuario, mediante la formacin de usuarios y
1,00
especialistas de Ti (Backups) quienes luego
de la capacitacin trabajarn en la
actualizacin de manuales de procedimiento
de cada proceso.
2.- Se identifica al personal clave de TI para minimizar la dependencia Si.
1,00
en un solo individuo desempeando una funcin de trabajo crtica?

1.- Se asegura que los consultores cumplan con las polticas


organizacionales de proteccin de los activos de informacin de la
empresa de tal manera que se logren los requerimientos contractuales
acordados?
2.- Se asegura que el personal contratado que soporta la funcin de TI
cumplan con las polticas organizacionales de proteccin de los activos
de informacin de la empresa?
1.- Existe una estructura ptima de enlace entre la funcin de TI y otros
interesados dentro y fuera de la funcin de TI?

Si, mediante la firma de contratos con


clausulas especficas sobre esto.

1,00

Ver respuesta anterior.


1,00

Si existe, pero falta ms. Hay una definicin


clara para hacer un requerimiento pero falta
mayor acercamiento, como por ejemplo: Se
Establecer y mantener una estructura ptima de enlace,
0,50
tienen reuniones con cada gerente para saber
comunicacin y coordinacin entre la funcin de TI y otros
que falta o que no se ha atendido en cada
interesados dentro y fuera de la funcin de TI, tales como el
rea.
consejo directivo, ejecutivos, unidades de negocio, usuarios
individuales, proveedores, oficiales de seguridad, gerentes 2.- Existe una estructura ptima de comunicacin entre la funcin de TI Ver respuesta anterior.
0,50
y otros interesados dentro y fuera de la funcin de TI?
de riesgo, el grupo de cumplimiento corporativo, los
3.- Existe una estructura ptima de coordinacin entre la funcin de TI y Ver respuesta anterior.
contratistas externos y la gerencia externa (offsite).
0,50
otros interesados dentro y fuera de la funcin de TI?
4.- Se mantienen estas estructuras ptimas?
Ver respuesta anterior.
0,50
1.- Existe un marco de trabajo financiero para administrar las Se tiene establecido que en inversiones
inversiones de TI a travs del portafolios de inversiones y presupuestos mayores a $10.000, estas deben ser
de TI?
analizadas por tecnicos o especialistas de TI,
se elabora un informe tecnico que pasa por
el comit de adquisiciones de la empresa. En
1,00
inversiones de hasta $150, se lo adquiere
Establecer y mantener un marco de trabajo financiero para
directamente y no pasa por el comit. En
administrar las inversiones y el costo de los activos y
inversiones de $150 a $10.000 se elabora un
servicios de TI a travs del portafolios de inversiones
informe tecnico en base a cotizaciones y se lo
habilitadas por TI, casos de negocio y presupuestos de TI.
adquiere.
2.- Existe un marco de trabajo financiero para administrar el costo de Ver respuesta anterior.
1,00
los activos de TI?
3.- Existe un marco de trabajo financiero para administrar los servicios Ver respuesta anterior.
1,00
de TI?
4.- Se mantiene este marco de trabajo financiero?
Ver respuesta anterior.
1,00
1.- Existe un proceso de toma de decisiones para dar prioridades a la Si, las decisiones se basan en la prioridad de
asignacin de recursos a TI?
los proyectos que afecten altamente a la 1,00
Implementar un proceso de toma de decisiones para dar
operatividad del negocio.
prioridades a la asignacin de recursos a TI para
2.Este
proceso
optimiza
el
retorno
del
portafolio
empresarial
de
No se ha hecho un anlisis interno, pero se
operaciones, proyectos y mantenimiento, para maximizar la
programas de inversin en TI y otros servicios?
debera hacer. Las implementaciones del ERP, 0,00
contribucin de TI a optimizar el retorno del portafolio
BSC fueron hechas por medio del Holding.
empresarial de programas de inversin en TI y otros
servicios y activos de TI.
3.- Este proceso optimiza el retorno del portafolio empresarial de activos Ver respuesta anterior.
0,00
de TI?
1.- Existe un proceso para elaborar un presupuesto que refleje las Si, este incluye todo, como por ejemplo lo que
Establecer un proceso para elaborar y administrar un
prioridades establecidas en el portafolio empresarial de programas de se paga por el mantenimiento del Erp, de
1,00
presupuesto que refleje las prioridades establecidas en el
inversin en TI, que incluya los costos recurrentes de operar y mantener licencias, etc.
portafolio empresarial de programas de inversin en TI,
la infraestructura actual?
incluyendo los costos recurrentes de operar y mantener la
2.- Existe un proceso para administrar este presupuesto?
Ver respuesta anterior.
1,00
infraestructura actual. El proceso debe dar soporte al
3.- El proceso soporta al desarrollo de un presupuesto general de TI as Si.
desarrollo de un presupuesto general de TI as como al
como al desarrollo de presupuestos para programas individuales, con
1,00
desarrollo de presupuestos para programas individuales,
nfasis especial en los componentes de TI de esos programas?
con nfasis especial en los componentes de TI de esos
4.- El proceso permite la revisin, el refinamiento y la aprobacin Si.
programas. El proceso debe permitir la revisin, el
1,00
constante del presupuesto general?
refinamiento y la aprobacin constantes del presupuesto
5.- El proceso permite la revisin, el refinamiento y la aprobacin Si.
general y de los presupuestos de programas individuales.
1,00
constante de los presupuestos de programas individuales?
1.- Existe un proceso de administracin de costos que compare los Si.
1,00
costos reales con los presupuestados?
2.- Se monitorean los costos?
Si. Tienen un proceso de optimizacin de
costos, estos son monitoreados por el rea 1,00
Implementar un proceso de administracin de costos que
de Costos y Presupuestos.
compare los costos reales con los presupuestados. Los
3.- Se reportan los costos?
Ver respuesta anterior.
1,00
costos se deben monitorear y reportar. Cuando existan
Si, mes a mes. Tienen como objetivo,
desviaciones, stas se deben identificar de forma oportuna y 4.- Se identifican de forma oportuna si existen desviaciones?
optimizar costos del rea ya que no cuenta 1,00
el impacto de esas desviaciones sobre los programas se debe
con una persona (Asistente).
evaluar y, junto con el patrocinador del negocio para estos
5.- El impacto de las desviaciones sobre los programas se evalan?
Si se corrige apropiadamente.
programas, se debern tomar las medidas correctivas
1,00
apropiadas y, en caso de ser necesario, el caso de negocio
6.- Junto con el patrocinador del negocio para estos programas, se Ver respuesta anterior.
1,00
del programa de inversin se deber actualizar.
toman medidas correctivas apropiadas?
7.- Se actualiza el caso de negocio del programa de inversin?
Cada tres meses se hace un Fore Cast, que es
como un ajuste al presupuesto, pero hasta 1,00
ahora no se ha afectado el presupuesto.
Implementar un proceso de monitoreo de beneficios. La
contribucin esperada de TI a los resultados del negocio, ya
sea como un componente de programas de inversin en TI o
como parte de un soporte operativo regular, se debe
identificar, acordar, monitorear y reportar. Los reportes se
deben revisar y, donde existan oportunidades para mejorar
la contribucin de TI, se deben definir y tomar las medidas
apropiadas. Siempre que los cambios en la contribucin de
TI tengan impacto en el programa, o cuando los cambios a
otros proyectos relacionados impacten al programa, el caso
de negocio deber ser actualizado.

1.- Se cuenta con un proceso de monitoreo de beneficios?

No. Se piensa implementar con nuestra ayuda. 0,00

2.- Se reportan estos beneficios?

Ver respuesta anterior.

3.- Se toman medidas apropiadas para mejorar la contribucin de TI?

Si. Como por ejemplo: Reestructuracin de


funciones dentro del rea y recursos como
mobiliario y ambiente de trabajo.

98

0,00

1,00

PREGUNTAS

RESPUESTAS

CALIFICACIN

OBJETIVOS DE
CONTROL
PO6.2 - Riesgo
Corporativo y
Marco de
Referencia de
Control
Interno de TI.

DETALLE OBJETIVO CONTROL

1.- Estn definidos los elementos de un ambiente de control para TI?


Si, mediante los indicadores del BSC.
Definir los elementos de un ambiente de control para TI,
1,00
alineados con la filosofa administrativa y el estilo operativo
de la empresa. Estos elementos incluyen las expectativas /
2.Estos
elementos
estn
alineados
con
el
estilo
operativo
de
la
Si,
administracin
basada
en
procesos
y
en
requerimientos respecto a la entrega de valor proveniente de
estandar ISO 9000, 14000 y 18000
las inversiones en TI, el apetito de riesgo, la integridad, los empresa?
valores ticos, la competencia del personal, la rendicin de
cuentas y la responsabilidad. El ambiente de control se basa
en una cultura que apoya la entrega de valor, mientras
1,00
administra riesgos significativos, fomenta la colaboracin
entre divisiones y el trabajo en equipo, promueve el
cumplimiento y la mejora continua de procesos, y maneja las
desviaciones (incluyendo las fallas) de forma adecuada.
1.- Existe un marco de trabajo que establezca el enfoque empresarial Se tienen identificados los riesgos pero no en
Elaborar y dar mantenimiento a un marco de trabajo que
su totalidad, solo los ms relevantes. Se
establezca el enfoque empresarial general hacia los riesgos y general hacia los riesgos?
0,50
piensa mejorar mediante la implementacin
el control que se alinee con la poltica de TI, el ambiente de
de un sistema de seguridad.
control y el marco de trabajo de riesgo y control de la
2.- Existe un control que se alinee con la poltica de TI?
Si, mediante las auditorias.
1,00
empresa.
1.- Existen polticas que apoyen la estrategia de TI?
Si, poltica de calidad.
1,00
2.- Estas polticas incluyen los roles y responsabilidades?
Si.
1,00
Elaborar y dar mantenimiento a un conjunto de polticas que
3.- Estas polticas incluyen procesos de excepcin?
Si.
1,00
apoyen la estrategia de TI. Estas polticas deben incluir su
Si.
1,00
intencin, roles y responsabilidades, procesos de excepcin, 4.- Estas polticas incluyen un enfoque de cumplimiento?
enfoque de cumplimiento y referencias a procedimientos,
5.- Estas polticas hacen referencias a procedimientos?
Si.
1,00
estndares y directrices. Su relevancia se debe confirmar y 6.- Estas polticas hacen referencias a estndares?
Si.
1,00
aprobar en forma regular.
7.- Estas polticas hacen referencias a directrices?
Si.
1,00
8.- Estas polticas se aprueban en forma regular?
Si, lo hace la alta gerencia.
1,00
1.- Se asegura que las polticas de TI se implanten?
Asegurarse de que las polticas de TI se implantan y se
2.- Se asegura que las polticas de TI se comuniquen a todo el personal
comunican a todo el personal relevante, y se refuerzan, de tal
relevante?
forma que estn incluidas y sean parte integral de las
3.- Las polticas estn incluidas y son parte integral de las operaciones
operaciones empresariales.
empresariales?
1.- Se comunica a los usuarios de toda la organizacin los objetivos de
Asegurarse de que la conciencia y el entendimiento de los
TI?
objetivos y la direccin del negocio y de TI se comunican a
2.- Los usuarios estn concientes de los objetivos de TI?
los interesados apropiados y a los usuarios de toda la
organizacin.

Si.
Si.
Si.

1,00
1,00
1,00

No. Se tiene pensado tener un acercamiento


0,00
con las gerencias de la empresa.
Si. Mediante el anlisis del impacto de los
planes operativos en el logro de los objetivos 1,00
estratgicos de la empresa.
1.- Los procesos de reclutamiento del personal de TI estn acordes a las Si, es compartida la responsabilidad del
polticas y procedimientos generales de personal de la organizacin (Ej. reclutamiento con RRHH.
1,00
contratacin, un ambiente positivo de trabajo y orientacin)?

Asegurarse que los procesos de reclutamiento del personal


de TI estn de acuerdo a las polticas y procedimientos
generales de personal de la organizacin (Ej. contratacin,
un ambiente positivo de trabajo y orientacin). La gerencia
implementa procesos para garantizar que la organizacin
cuente con una fuerza de trabajo posicionada de forma
apropiada, que tenga las habilidades necesarias para
alcanzar las metas organizacionales.

2.- Existe un proceso que garantice que la organizacin cuente con una En parte. Falta un plan de carrera. Recursos
fuerza de trabajo apropiada?
Humanos considera implementar un plan de
0,50
carrera.

Minimizar la exposicin a dependencias crticas sobre


individuos clave por medio de la captura del conocimiento
(documentacin), compartir el conocimiento, planeacin de
la sucesin y respaldos de personal.
Incluir verificaciones de antecedentes en el proceso de
reclutamiento de TI. El grado y la frecuencia de estas
verificaciones dependen de que tan delicada crtica sea la
funcin y se deben aplicar a los empleados, contratistas y
proveedores.

PO7.3 - Asignacin de
Roles.
PO7.4 Entrenamiento
del Personal de
TI.

1,00

Si, Recursos humanos lo hace de acuerdo al


1,00
cargo.
Verificar de forma peridica que el personal tenga las
3.- Se verifica que se les d mantenimiento, usando programas de Si se verifica pero no se hace nada por
habilidades para cumplir sus roles con base en su
calificacin segn sea el caso?
mejorar. El primer paso, implementar
educacin, entrenamiento y/o experiencia. Definir los
capacitacin de acuerdo a la plataforma de
requerimientos esenciales de habilidades para TI y verificar
la empresa para que el personal obtenga
1,00
que se les d mantenimiento, usando programas de
certificaciones de acuerdo a su cargo. El
calificacin y certificacin segn sea el caso.
segundo paso, que tengan maestrias o ttulos
de cuarto nivel dependiendo de su
especialidad.
4.- Se verifica que se les d mantenimiento, usando programas de Si.
1,00
certificacin segn sea el caso?
1.- El marco de trabajo para la asignacin de los roles, Si. Lo hace Recursos Humanos.
1,00
Definir, monitorear y supervisar los marcos de trabajo para responsabilidades y compensacin del personal est definido?
los roles, responsabilidades y compensacin del personal, 2.- El marco de trabajo para la asignacin de los roles, Si.
1,00
incluyendo el requerimiento de adherirse a las polticas y
responsabilidades y compensacin del personal est monitoreado?
procedimientos administrativos, as como al cdigo de tica
y prcticas profesionales. El nivel de supervisin debe estar 3.- El marco de trabajo para la asignacin de los roles, Si
1,00
responsabilidades y compensacin del personal est supervisado?
de acuerdo con la sensibilidad del puesto y el grado de
4.- El nivel de supervisin es acorde con la sensibilidad del puesto y las Si.
responsabilidades asignadas.
1,00
responsabilidades asignadas?
1.- Se proporciona a los empleados de TI entrenamiento continuo?
Actualmente no, pero se tiene elaborado un
Proporcionar a los empleados de TI la orientacin necesaria
plan de capacitacin de acuerdo a la
al momento de la contratacin y entrenamiento continuo
plataforma que se tiene.
0,00
para conservar su conocimiento, aptitudes, habilidades,
controles internos y conciencia sobre la seguridad, al nivel
requerido para alcanzar las metas organizacionales.

PO7.5 Dependencia
Sobre los
Individuos.

1.- Se verifica en forma peridica que el personal tenga las habilidades Si, se verifica mediante auditora externa.
para cumplir sus roles?
Deloitte, Price y de Holding Dine.

PO7.6 Procedimientos de
Investigacin del
Personal.

PO7.2 - Competencias del Personal.

PO7.1 - Reclutamiento y
Retencin del Personal.

PO6.5 PO6.4 Comunicacin


Implantacin
de los
Objetivos y la de Polticas de
TI.
Direccin de
TI.

PO6.3 - Administracin de
Polticas para TI.

PO6.1 - Ambiente de Polticas y de


Control.

ACTIVIDADES DEL
PROCESO
Elaborar y mantener un ambiente y
marco de control de TI.
Elaborar y
mantener un
ambiente y
marco de
control de TI.
Elaborar y mantener
polticas de TI.
Elaborar y
mantener
polticas de TI.
Comunicar el
marco de
control y los
objetivos y
direccin de
TI.

PROCESOS
PO6 - Comunicar las Aspiraciones y la Direccin de la Gerencia.

Identificar las
habilidades de TI,
benchmarks sobre
descripciones de
puesto, rango de
salarios y desempeo
del personal.
Identificar las habilidades de TI,
benchmarks sobre descripciones de
puesto, rango de salarios y desempeo del
personal.
Identificar las
habilidades de TI,
benchmarks sobre
descripciones de puesto,
rango de salarios y
desempeo del personal.

O
R
G
A
N
I
Z
A
R

PO7 - Administrar los Recursos Humanos de TI

Identificar
Ejecutar las
las
polticas y
habilidades
procedimientos
de TI,
relevantes de RH
benchmarks para TI(reclutar,
sobre
contratar,
descripcione
investigar,
s de puesto,
compensar,
rango de
entrenar

P
L
A
N
E
A
R

Ejecutar las polticas


y procedimientos
relevantes de RH
para TI(reclutar,
contratar, investigar,
compensar, entrenar,
evaluar, promover, y
terminar).

DOMINIO

COBIT

2.- Se define los requerimientos esenciales de habilidades para TI?

1.- Se minimiza las dependencias crticas sobre individuos clave?

Recin se lo ha iniciado, est en proceso.


0,50

1.- Se verifican los antecedentes en el proceso de reclutamiento de TI?

Si, lo hace Recursos Humanos y el perfil es


1,00
actualizado constantemente.

2.- Se verifican con frecuencia estos antecedentes?

Si.

3.- Las verificaciones se aplican a empleados?

Si, por medio de ISO 9000

1,00

4.- Las verificaciones se aplican a contratistas?

Ver respuesta anterior.

1,00

5.- Las verificaciones se aplican a proveedores?

Ver respuesta anterior.

1,00

99

1,00

Identificar y mantener estndares, procedimientos y


prcticas para los procesos clave de TI para orientar a la
organizacin hacia el cumplimiento del QMS. Usar las
buenas prcticas de la industria como referencia al mejorar
y adaptar las prcticas de calidad de la organizacin.

Si, cada 6 meses.

4.- Las evaluaciones se comparan contra las responsabilidades


especficas del puesto?
5.- Los empleados reciben adiestramiento sobre su desempeo?

Si.
Sobre el desempeo si, por medio de la
capacitacin.
De conducta no.

1,00
1,00
1,00
1,00
1,00
0,50

1.- Se toman medidas expeditas respecto a los cambios en los puestos, Si por medio de RRHH.
en especial las terminaciones?
2.- Se realiza la transferencia del conocimiento?
Si.

1,00

3.- Se reasigna responsabilidades?

Si.

1,00

4.- Se eliminan los privilegios de acceso, de tal modo que los riesgos se
minimicen?
5.- Se eliminan los privilegios de acceso, de tal modo que se garantice la
continuidad de la funcin?
1.- Se cuenta con un QMS de TI alineados con los requerimientos del
negocio?

Si.
Si.

1,00

1,00
1,00

No hay un QMS de TI, pero si en forma


general. Tienen ISO 9000 y tienen proyectado 0,50
implementar ISO 27000.

2.- Este QMS proporciona un enfoque estndar, formal y continuo con Ver respuesta anterior.
respecto a la administracin de la calidad?
3.- El QMS identifica los requerimientos?
Ver respuesta anterior.

0,50

4.- El QMS identifica los criterios de calidad?

Ver respuesta anterior.

0,50

5.- El QMS identifica los procesos claves de TI?

Ver respuesta anterior.

0,50

6.- El QMS identifica las polticas para definir, detectar, corregir y prever
las no conformidades?
7.- El QMS identifica los criterios para definir, detectar, corregir y prever
las no conformidades?
8.- El QMS identifica los mtodos para definir, detectar, corregir y prever
las no conformidades?
9.- El QMS define la estructura organizacional para la administracin de
la calidad, cubriendo los roles, las tareas y las responsabilidades?
10.- Las reas clave desarrollan sus planes de calidad de acuerdo a los
criterios y polticas, y registran los datos de calidad?
11.- Se monitorea la efectividad del QMS?

Ver respuesta anterior.

Ver respuesta anterior.

0,50

12.- Se mide la efectividad del QMS?

Ver respuesta anterior.

0,50

13.- Se monitorea la aceptacin del QMS?

Ver respuesta anterior.

0,50

14.- Se mide la aceptacin del QMS?

Ver respuesta anterior.

0,50

15.- Se lo mejora cuando es necesario?

Ver respuesta anterior.

0,50

1.- Se identifica estndares para los procesos clave de TI?

Ver respuesta anterior.

0,50

2.- Se identifica procedimientos para los procesos clave de TI?

Ver respuesta anterior.

0,50

3.- Se identifica prcticas para los procesos clave de TI?

Ver respuesta anterior.

0,50

Ver respuesta anterior.


Ver respuesta anterior.
Ver respuesta anterior.
Ver respuesta anterior.

4.- Se usan las buenas prcticas de la industria como referencia al Ver respuesta anterior.
mejorar y adaptar las prcticas de calidad de la organizacin?
1.- Se adoptan estndares para todo desarrollo y adquisicin que siga el Los lineamientos los da el Holding Dine.
ciclo de vida, hasta el ltimo entregable?
2.- Se mantienen estndares para todo desarrollo y adquisicin que siga Si.
el ciclo de vida, hasta el ltimo entregable?
3.- Se incluyen estndares de codificacin de software?

Adoptar y mantener estndares para todo desarrollo y


adquisicin que siga el ciclo de vida, hasta el ltimo
entregable e incluir la aprobacin en puntos clave con base
en criterios de aceptacin acordados. Los temas a considerar
incluyen estndares de codificacin de software, normas de
nomenclatura; formatos de archivos, estndares de diseo
para esquemas y diccionario de datos; estndares para la
interfaz de usuario; inter operabilidad; eficiencia de
desempeo de sistemas; escalabilidad; estndares para
desarrollo y pruebas; validacin contra requerimientos;
planes de pruebas; y pruebas unitarias, de regresin y de
integracin.

CALIFICACIN

OBJETIVOS DE
CONTROL
PO7.7 - Evaluacin del
Desempeo del Empleado.
PO7.8 - Cambios y
Terminacin de Trabajo.
PO8.2 Estndares y
Prcticas de
Calidad.

Establecer y mantener un QMS que proporcione un enfoque


estndar, formal y continuo, con respecto a la
administracin de la calidad, que est alineado con los
requerimientos del negocio. El QMS identifica los
requerimientos y los criterios de calidad, los procesos claves
de TI, y su secuencia e interaccin, as como las polticas,
criterios y mtodos para definir, detectar, corregir y prever
las no conformidades. El QMS debe definir la estructura
organizacional para la administracin de la calidad,
cubriendo los roles, las tareas y las responsabilidades.
Todas las reas clave desarrollan sus planes de calidad de
acuerdo a los criterios y polticas, y registran los datos de
calidad. Monitorear y medir la efectividad y aceptacin del
QMS y mejorarla cuando sea necesario.

RESPUESTAS

2.- Las evaluaciones se comparan contra los objetivos individuales Si.


derivados de las metas organizacionales?
3.- Las evaluaciones se comparan contra los estandares establecidos?
Si.

6.- Los empleados reciben adiestramiento sobre su conducta?

4.- Se incluyen normas de nomenclatura?


5.- Se incluyen formatos de archivos?

0,50

0,50
0,50
0,50
0,50
0,50

0,50
1,00
1,00

No se tiene. Se estn estableciendo


estandares para todos los aplicativos y se va
0,00
a tener todo en la plataforma Oracle, Power
Builder y Qlik View.
Ver respuesta anterior.
0,00
Ver respuesta anterior.
0,00

6.- Se incluyen estndares de diseo para esquemas y diccionario de Ver respuesta anterior.
datos?
7.- Se incluyen estndares para la interfaz de usuario?
Ver respuesta anterior.

0,00

8.- Se incluye inter operabilidad?

Ver respuesta anterior.

0,00

9.- Se incluye eficiencia de desempeo de sistemas?

Ver respuesta anterior.

0,00

10.- Se incluyen escalabilidad?

Ver respuesta anterior.

0,00

11.- Se incluyen estndares para desarrollo y pruebas?

Ver respuesta anterior.

0,00

12.- Se incluyen validacin contra requerimientos?

Ver respuesta anterior.

0,00

13.- Se incluyen planes de pruebas?

Ver respuesta anterior.

0,00

14.- Se incluyen pruebas unitarias de regresin?

Ver respuesta anterior.

0,00

15.- Se incluyen pruebas unitarias de integracin?

Ver respuesta anterior.

0,00

0,00
No se tiene un sistema de calidad pero, si se
0,50
enfocan en las necesidades del usuario.
2.- Estn definidos los roles respecto a la resolucin de conflictos entre Si se sabe que datos corrige el usuario y la
el usuario/cliente y la organizacin de TI?
organizacin en lo que respecta a errores del 1,00
aplicativo.
3.- Estn definidos las responsabilidades respecto a la resolucin de Si.
1,00
conflictos entre el usuario/cliente y la organizacin de TI?
1.- Se mantiene un plan global de calidad que promueva la mejora No en lo relacionado a TI. A nivel de ISO 9000
continua?
se la tiene en forma global como
departamento, se planea, se hace y se 0,00
controla y se toma medidas correctivas o
preventivas. Ciclo DEMI.
2.- Se comunica regularmente el plan global de calidad?
No.
0,00
1.- Estn definidas mediciones para monitorear el cumplimiento Ver respuesta anterior.
0,00
continuo del QMS?
2.- Estn planeadas mediciones para monitorear el cumplimiento Ver respuesta anterior.
0,00
continuo del QMS?
3.- Estn implementadas mediciones para monitorear el cumplimiento Ver respuesta anterior.
0,00
continuo del QMS?

PO8.4 - Enfoque en
el Cliente de TI.
PO8.5 - Mejora
Continua.

Mantener y comunicar regularmente un plan global de


calidad que promueva la mejora continua.

PO8.6 - Medicin, Monitoreo y Revisin de


la Calidad.

1.- Est enfocada la administracin de calidad en los clientes?

Crear y comunicar
estndares de
calidad a toda la
organizacin.

PO8.3 - Estndares de Desarrollo y de Adquisicin.

1.- Las evaluaciones de desempeo se realizan peridicamente?

Crear y
administrar el
plan de calidad
para la mejora
continua.

Crear y comunicar estndares de calidad a toda la organizacin.

PREGUNTAS

Medir, monitorear y revisar el


cumplimiento de las metas de calidad.

PO8 - Administrar la Calidad

PO8.1 - Sistema de Administracin de Calidad.

ACTIVIDADES DEL
PROCESO

Tomar medidas expeditas respecto a los cambios en los


puestos, en especial las terminaciones. Se debe realizar la
transferencia del conocimiento, reasignar responsabilidades
y se deben eliminar los privilegios de acceso, de tal modo
que los riesgos se minimicen y se garantice la continuidad de
la funcin.

Definir un sistema de administracin de calidad.

Ejecutar las polticas y


procedimientos relevantes
de RH para TI(reclutar,
contratar, investigar,
compensar, entrenar,
evaluar, promover, y
terminar).

Es necesario que las evaluaciones de desempeo se realicen


peridicamente, comparando contra los objetivos
individuales derivados de las metas organizacionales,
estndares establecidos y responsabilidades especficas del
puesto. Los empleados deben recibir adiestramiento sobre su
desempeo y conducta, segn sea necesario.

Establecer y
mantener un
sistema de
administracin
de calidad.

P
L
A
N
E
A
R

O
R
G
A
N
I
Z
A
R

DETALLE OBJETIVO CONTROL

Ejecutar las polticas y


procedimientos
relevantes de RH para
TI(reclutar, contratar,
investigar, compensar,
entrenar, evaluar,
promover, y terminar).

PROCESOS
PO7 - Administrar los Recursos
Humanos de TI

DOMINIO

COBIT

Definir, planear e implementar mediciones para monitorear


el cumplimiento continuo del QMS, as como el valor que el
QMS proporciona. La medicin, el monitoreo y el registro de
la informacin deben ser usados por el dueo del proceso
para tomar las medidas correctivas y preventivas
apropiadas.

Enfocar la administracin de calidad en los clientes,


determinando sus requerimientos y alinendolos con los
estndares y prcticas de TI. Definir roles y
responsabilidades respecto a la resolucin de conflictos
entre el usuario/cliente y la organizacin de TI.

4.- Est definido el valor que el QMS proporciona?

Ver respuesta anterior.

0,00

5.- Est planeado el valor que el QMS proporciona?


6.- Est implementado el valor que el QMS proporciona?

Ver respuesta anterior.


Ver respuesta anterior.

0,00

7.- Esta medicin, monitoreo y registro de la informacin son usados por Ver respuesta anterior.
el dueo del proceso para tomar las medidas correctivas apropiadas?
8.- Esta medicin, monitoreo y registro de la informacin son usados por Ver respuesta anterior.
el dueo del proceso para tomar las medidas preventivas apropiadas?

100

0,00
0,00
0,00

1.- El marco de trabajo de evaluacin de riesgos se aplica para


garantizar resultados apropiados?
2.- Est incluida la determinacin del contexto interno de cada
Establecer el contexto en el cual el marco de trabajo de
evaluacin de riesgos?
evaluacin de riesgos se aplica para garantizar resultados
3.- Est incluida la determinacin del contexto externo de cada
apropiados. Esto incluye la determinacin del contexto
evaluacin de riesgos?
interno y externo de cada evaluacin de riesgos, la meta de
la evaluacin y los criterios contra los cuales se evalan los 4.- Est incluida la meta de la evaluacin contra los cuales se evalan
riesgos.
los riesgos?
5.- Estn incluidos los criterios contra los cuales se evalan los riesgos?

Actualmente no.
No. Se va a actualizar el plan de
contingencia y revisar la matriz de riesgos.
Ver respuesta anterior.
Ver respuesta anterior.
Ver respuesta anterior.

CALIFICACIN

OBJETIVOS DE
CONTROL
PO9.1 Marco de
Trabajo de
Administraci
n de
Riesgos.
PO9.2 - Establecimiento del
Contexto del Riesgo.
PO9.3 - Identificacin de Eventos.
PO9.4 - Evaluacin de Riesgos de TI.

RESPUESTAS

1.- Est establecido un marco de trabajo de administracin de riesgos de Se lo tiene en parte. Se est trabajando en la
Establecer un marco de trabajo de administracin de riesgos TI?
seguridad para minimizar los riesgos.
de TI que est alineado al marco de trabajo de
2.- El marco de trabajo de administracin de riesgos de TI est alineado En parte.
administracin de riesgos de la organizacin.
al marco de trabajo de administracin de riesgos de la organizacin?

0,50
0,50
0,00
0,00
0,00
0,00
0,00

1.- Estn identificadas las amenazas importantes con impacto potencial En parte. Se analizan los riesgos potenciales
negativo sobre las metas o las operaciones de la empresa?
de criticidad media, frente a los cuales tienen
tiempos de respuesta adecuados. Para los
riesgos de criticidad alta como perdida del 0,50
Identificar eventos (una amenaza importante y realista que
centro de cmputo, perdida de servidores, no
explota una vulnerabilidad aplicable y significativa) con un
se tiene una evaluacin real del tiempo de
impacto potencial negativo sobre las metas o las
respuesta.
operaciones de la empresa, incluyendo aspectos de negocio,
2.- Se determina la naturaleza del impacto?
Se lo est haciendo aproximadamente desde
0,50
regulatorios, legales, tecnolgicos, de sociedad comercial, de
hace un mes. Antes no se lo registraba.
recursos humanos y operativos. Determinar la naturaleza del
3.- Se mantiene esta informacin?
Ver respuesta anterior.
0,50
impacto y mantener esta informacin. Registrar y mantener
los riesgos relevantes en un registro de riesgos.
4.- Se registran los riesgos relevantes en un registro de riesgos?
Se lo est haciendo aproximadamente desde
0,50
hace un mes. Antes no se lo registraba.
5.- Se mantienen los riesgos relevantes en un registro de riesgos?
Ver respuesta anterior.
0,50
1.- Se evala en forma recurrente la probabilidad e impacto de todos los No.
riesgos identificados?
2.- Se usan mtodos cualitativos?
Evaluar de forma recurrente la probabilidad e impacto de
3.- Se usan mtodos cuantitativos?
todos los riesgos identificados, usando mtodos cualitativos
y cuantitativos. La probabilidad e impacto asociados a los
4.- Se determina de forma individual la probabilidad e impacto
riesgos inherentes y residuales se debe determinar de forma asociados a los riesgos inherentes y residuales?
individual, por categora y con base en el portafolio.
5.- Se determina por categora la probabilidad e impacto asociados a los
riesgos inherentes y residuales?
6.- Se determina con base en el portafolio la probabilidad e impacto
asociados a los riesgos inherentes y residuales?
Desarrollar y mantener un proceso de respuesta a riesgos
diseado para asegurar que controles efectivos en costo
mitigan la exposicin en forma continua. El proceso de
respuesta a riesgos debe identificar estrategias tales como
evitar, reducir, compartir o aceptar riesgos; determinar
responsabilidades y considerar los niveles de tolerancia a
riesgos.

PO9.6 - Mantenimiento y
Monitoreo de un Plan de
Accin de Riesgos.

PO9.5 - Respuesta a
los Riesgos.

PREGUNTAS

Priorizar y planear las actividades de control a todos los


niveles para implementar las respuestas a los riesgos,
identificadas como necesarias, incluyendo la identificacin
de costos, beneficios y la responsabilidad de la ejecucin.
Obtener la aprobacin para las acciones recomendadas y la
aceptacin de cualquier riesgo residual, y asegurarse de que
las acciones comprometidas estn a cargo del dueo (s) de
los procesos afectados. Monitorear la ejecucin de los
planes y reportar cualquier desviacin a la alta direccin.

PO10.1 - Marco de Trabajo


para la Administracin de
Programas.

Establecer y mantener
un Marco de Trabajo
para la administracin
de proyectos de TI.
*Establecer y mantener un sistema de monitoreo, medicin y
administracin de sistemas. *Elaborar estatutos, calendarios, planes
de calidad, presupuestos y planes de comunicacin y de
administracin de riesgos.

PO10 - Administrar Proyectos.

Definir un marco de
administracin de
programas/portafolio para
inversiones en TI.

O
R
G
A
N
I
Z
A
R

DETALLE OBJETIVO CONTROL

Mantener el programa de los proyectos, relacionados con el


portafolio de programas de inversiones facilitadas por TI,
por medio de la identificacin, definicin, evaluacin,
otorgamiento de prioridades, seleccin, inicio,
administracin y control de los proyectos. Asegurarse de que
los proyectos apoyen los objetivos del programa. Coordinar
las actividades e interdependencias de mltiples proyectos,
administrar la contribucin de todos los proyectos dentro
del programa hasta obtener los resultados esperados, y
resolver los requerimientos y conflictos de recursos.

PO10.2 - Marco de
Trabajo para la
Administracin de
Proyectos.

*Priorizar y Planear
actividades de control.
*Aprobar y asegurar fondos
para planes de accin de
riesgos.
*Mantener y monitorear un
plan de accin de riesgos.

Establecer y mantener un marco de trabajo para la


administracin de proyectos que defina el alcance y los
lmites de la administracin de proyectos, as como las
metodologas a ser adoptadas y aplicadas en cada proyecto
emprendido. El marco de trabajo y los mtodos de soporte se
deben integrar con los procesos de administracin de
programas.

PO10.3 - Enfoque de Administracin de Proyectos.

ACTIVIDADES DEL
PROCESO
*Entender los objetivos de negocio
estratgicos relevantes.
*Entender los objetivos de los
procesos de negocios relevantes.
Evaluar y
seleccionar
respuestas a riesgo.

*Identificar los objetivos internos de


TI y establecer el contexto del riesgo.
*Identificar eventos asociados con
objetivos, algunos eventos estn
orientados a negocio (negocio es A);
algunos estn orientados a TI (TI es
A, negocio es C). *Asesorar el riesgo
con los eventos.

P
L
A
N
E
A
R

PO9 - Evaluar y Administrar los Riesgos de TI

Determinar la alineacin de
la administracin de riesgos
(ej: Evaluar riesgo).

Determinar
la alineacin
de la
administraci
n de riesgos
(ej: Evaluar
riesgo).

PROCESOS

DOMINIO

COBIT

Establecer un enfoque de administracin de proyectos que


corresponda al tamao, complejidad y requerimientos
regulatorios de cada proyecto. La estructura de gobierno de
proyectos puede incluir los roles, las responsabilidades y la
rendicin de cuentas del patrocinador del programa,
patrocinadores de proyectos, comit de direccin, oficina de
proyectos, y gerente del proyecto, as como los mecanismos
por medio de los cuales pueden satisfacer esas
responsabilidades (tales como reportes y revisiones por
etapa). Asegurarse que todos los proyectos de TI cuenten con
patrocinadores con la suficiente autoridad para apropiarse
de la ejecucin del proyecto dentro del programa estratgico
global.

No.
No.
Si.
Si.
Si.

0,00
0,00
0,00
1,00
1,00
1,00

1.- Se cuenta con un proceso de respuesta a riesgos diseado para En parte por medio del plan de contingencia,
asegurar que controles efectivos en costo mitigan la exposicin en forma pero falta.
0,50
continua?
2.- El proceso de respuesta a riesgos identifica estrategias tales como
evitar, reducir, compartir o aceptar riesgos?
3.- El proceso de respuesta a riesgos considera los niveles de tolerancia
a riesgos?
1.- Se prioriza las actividades de control a todos los niveles para
implementar las respuestas a los riesgos?
2.- Se obtiene la aprobacin para las acciones recomendadas de
cualquier riesgo residual?

No.
Ver respuesta anterior.
No.
Si, pero no lo han propuesto. La gerencia si
tiene apertura para esto.

0,00
0,00
0,00
1,00

3.- Se obtiene la aceptacinde las acciones recomentadas de cualquier Si.


i Se asegura
id l?que las acciones comprometidas estn a cargo del dueo No.
4.(5.-) d
f
d ? de los planes?
Sel monitorea la ejecucin
No.

0,00
1,00

6.- Se reporta cualquier desviacin a la alta direccin?

Si.

1.- Se mantiene un programa de proyectos, relacionados con el


portafolio de programas de inversiones facilitadas por TI?

Si.

2.- Se asegura que los proyectos apoyen los objetivos del programa?

Si.

3.- Se coordina las actividades e interdependencias de mltiples


proyectos?

Si.

4.- Se administra la contribucin de todos los proyectos dentro del Si.


programa hasta obtener los resultados esperados?
5.- Se resuelven los requerimientos y conflictos de recursos?

Si.

1.- Existe un marco de trabajo para la administracin de proyectos que Si.


defina el alcance?
2.- Este marco de trabajo defina los lmites de la administracin de Si.
proyectos?
3.- Este marco de trabajo define las metodologas a ser adoptadas y Si.
aplicadas en cada proyecto emprendido?
4.- El marco de trabajo y los mtodos de soporte estn integrados con Si.
los procesos de administracin de programas?

1,00
0,00

1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00

1.- Est establecido un enfoque de administracin de proyectos que Si. Hay una Unidad de Proyectos y Unidad de
corresponda al tamao de cada proyecto?
Desarrollo Organizacional pero falta reforzar
1,00
la metodologa para la generacin de
proyectos.
2.- Est establecido un enfoque de administracin de proyectos que Ver respuesta anterior.
1,00
corresponda a la complejidad de cada proyecto?
3.- Est establecido un enfoque de administracin de proyectos que
corresponda a los requerimientos regulatorios de cada proyecto?
4.- La estructura de gobierno de proyectos incluye los roles del
patrocinador del programa, patrocinadores de proyectos, comit de
direccin, oficina de proyectos, y gerente del proyecto?
5.- La estructura de gobierno de proyectos incluye las responsabilidades
del patrocinador del programa, patrocinadores de proyectos, comit de
direccin, oficina de proyectos, y gerente del proyecto?
6.- La estructura de gobierno de proyectos incluye la rendicin de
cuentas del patrocinador del programa, patrocinadores de proyectos,
comit de direccin, oficina de proyectos, y gerente del proyecto?
7.- La estructura de gobierno de proyectos incluye los mecanismos por
medio de los cuales pueden satisfacer esas responsabilidades (tales
como reportes y revisiones por etapa)?
8.- Se asegura que todos los proyectos de TI cuenten con patrocinadores
con suficiente autoridad para apropiarse de la ejecucin del proyecto
dentro del programa estratgico global?

101

Ver respuesta anterior.

1,00

Ver respuesta anterior.


1,00
Ver respuesta anterior.
1,00
Ver respuesta anterior.

1,00

Ver respuesta anterior.


1,00
Si.
1,00

2.- Est documentada la naturaleza del proyecto?

Si.

3.- Est definido el alcance del proyecto?


Si.
4.- Est documentado el alcance del proyecto?
Si.
5.- Est definid como se relaciona con otros proyectos dentro del Si.
programa global de inversiones facilitadas por TI?

PO10.10 - Plan
de Calidad del
Proyecto.
PO10.11 - Control
de Cambios del
Proyecto.
PO10.12 - Planeacin
del Proyecto y Mtodos
de Aseguramiento.
PO10.13 - Medicin del
Desempeo, Reporte y Monitoreo
del Proyecto.

Medir el desempeo del proyecto contra los criterios clave


del proyecto (Ej. alcance, cronograma, calidad, costos y
riesgos); identificar las desviaciones con respecto al plan;
evaluar su impacto sobre el proyecto y sobre el programa
global; reportar los resultados a los interesados clave; y
recomendar, Implementar y monitorear las medidas
correctivas, segn sea requerido, de acuerdo con el marco de
trabajo de gobierno del programa y del proyecto.

PO10.14 - Cierre del


Proyecto.

Solicitar que al finalizar cada proyecto, los interesados del


proyecto se cercioren de que el proyecto haya proporcionado
los resultados y los beneficios esperados. Identificar y
comunicar cualquier actividad relevante requerida para
alcanzar los resultados planeados del proyecto y los
beneficios del programa, e identificar y documentar las
lecciones aprendidas a ser usadas en futuros proyectos y
programas.

1,00

1,00

1,00
1,00
1,00
1,00
1,00

6.- La definicin se aprueba de manera formal por parte de los Si.


patrocinadores del proyecto antes de iniciar el proyecto?
1.- Se aprueba el inicio de las etapas importantes del proyecto?
Si.

1,00

2.- Se comunica a todos los interesados?

1,00

Si.

3.- La aprobacin de la fase inicial est basada en las decisiones de Si.


gobierno del programa?
4.- La aprobacin de las fases subsiguientes estn basadas en la Si.
revisin y aceptacin de los entregables de la fase previa?
5.- En fases traslapadas, est establecido un punto de aprobacin por Si.
parte de los patrocinadores del programa y del proyecto, para autorizar
as el avance del proyecto?

1.- Existe un proceso sistemtico que elimine o minimice riesgos Si.


especificos asociados con los proyectos individuales?

1.- Se cuenta con un plan de administracin de la calidad que describa Si.


el sistema de calidad del proyecto y cmo ser implantado?

1,00

1,00
1,00
1,00
1,00

1,00

1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00

2.- Estn establecidos y registrados de forma central los riesgos Si. Se elabora un contrato en el que se
afrontados por el proceso de administracin de proyectos y el producto incluyen clausulas que contemple esto y se lo
entregable del proyecto?
supervisa mediante actas de trabajo hasta el
1,00
cumplimiento final del mismo.

2.- Se revisa este plan y se acuerda de manera formal por todas las Si.
partes interesadas para luego ser incorporado en el plan integrado del
proyecto?
1.Existe un sistema de control de cambios para cada proyecto?
Si. Si cambia el escenario antes de la
Establecer un sistema de control de cambios para cada
planificacin como algo impredecible.
proyecto, de tal modo que todos los cambios a la lnea base
2.Estos
cambios
(Ej.
costos,
cronograma,
alcance
y
calidad)
se
revisan,
Si.
del proyecto (Ej. costos, cronograma, alcance y calidad) se
revisen, aprueben e incorporen de manera apropiada al plan aprueben e incorporan apropiadamente al plan integrado del proyecto?
integrado del proyecto, de acuerdo al marco de trabajo de
gobierno del programa y del proyecto.
Identificar las tareas de aseguramiento requeridas para
apoyar la acreditacin de sistemas nuevos o modificados
durante la planeacin del proyecto e incluirlos en el plan
integrado. Las tareas deben proporcionar la seguridad de
que los controles internos y las caractersticas de seguridad
satisfagan los requerimientos definidos.

CALIFICACIN

OBJETIVOS DE
CONTROL
PO10.4 - Compromiso
de los Interesados.
PO10.5 - Declaracin de
Alcance del Proyecto.
PO10.9 Administracin de
Riesgos del Proyecto.

Definir e
implementar
mtodos de
aseguramiento
y revisin de
proyectos.

Preparar un plan de administracin de la calidad que


describa el sistema de calidad del proyecto y cmo ser
implantado. El plan debe ser revisado y acordado de manera
formal por todas las partes interesadas para luego ser
incorporado en el plan integrado del proyecto.

Definir e
implementar
mtodos de
aseguramiento y
revisin de
proyectos.

PO10.8 - Recursos del


Proyecto.

PO10.7 - Plan Integrado del Proyecto.

PO10.6 - Inicio de las Fases


del Proyecto.

ACTIVIDADES DEL
PROCESO
Definir e implementar
mtodos de aseguramiento
y revisin de proyectos.

Eliminar o minimizar los riesgos especficos asociados con


los proyectos individuales por medio de un proceso
sistemtico de planeacin, identificacin, anlisis,
respuesta, monitoreo y control de las reas o eventos que
tengan el potencial de ocasionar cambios no deseados. Los
riesgos afrontados por el proceso de administracin de
proyectos y el producto entregable del proyecto se deben
establecer y registrar de forma central.

Definir e implementar
mtodos de
aseguramiento y
revisin de proyectos.

1.- Est definida la naturaleza del proyecto para confirmar y desarrollar Si.
entre los interesados, un entendimiento comn del alcance del proyecto?

1.- Existe un plan aprobadp para el proyecto que guie la ejecucin y el Si.
control del proyecto a lo largo de la vida de ste?
Establecer un plan integrado para el proyecto, aprobado y
2.- Estn entendidas las actividades e interdependencias de mltiples Si. Antes no haba una planificacin, pero
formal (que cubra los recursos de negocio y de los sistemas
proyectos dentro de un mismo programa?
hoy existe un plan de aplicacin generada
de informacin) para guiar la ejecucin y el control del
por cada especialista que se consolida en un
proyecto a lo largo de la vida del ste. Las actividades e
plan integrado.
interdependencias de mltiples proyectos dentro de un
3.- Estn documentadas las actividades e interdependencias de Si. Antes no haba una planificacin, pero
mismo programa se deben entender y documentar. El plan del
mltiples proyectos dentro de un mismo programa?
hoy existe un plan de aplicacin generada
proyecto se debe mantener a lo largo de la vida del mismo. El
por cada especialista que se consolida en un
plan del proyecto, y las modificaciones a ste, se deben
plan integrado.
aprobar de acuerdo al marco de trabajo de gobierno del
4.- El plan del proyecto se mantiene a lo largo de la vida del mismo?
Si.
programa y del proyecto.
5.- El plan del proyecto, y las modificaciones a ste, se aprueban de Si.
acuerdo al marco de trabajo de gobierno del programa y del proyecto?
1.- Estn definidas las responsabilidades, relaciones, autoridades y Si.
Definir las responsabilidades, relaciones, autoridades y
criterios de desempeo de los miembros del equipo del proyecto?
criterios de desempeo de los miembros del equipo del
proyecto y especificar las bases para adquirir y asignar a los 2.- Se especifica las bases para adquirir y asignar a los miembros Si.
competentes del equipo y/o a los contratistas al proyecto?
miembros competentes del equipo y/o a los contratistas al
3.- Se planea y administra la obtencin de productos y servicios Si.
proyecto. La obtencin de productos y servicios requeridos
requeridos para cada proyecto?
para cada proyecto se debe planear y administrar para
Si.
alcanzar los objetivos del proyecto, usando las prcticas de 4.- Se utilizan las prcticas de adquisicin de la organizacin?
adquisicin de la organizacin.

Definir e implementar
mtodos de
aseguramiento y
revisin de proyectos.

Definir e implementar
mtodos de
aseguramiento y
revisin de proyectos.

Definir e implementar mtodos de


aseguramiento y revisin de proyectos.

Definir e implementar
mtodos de aseguramiento y
revisin de proyectos.

PROCESOS

RESPUESTAS

1.- Existe el compromiso de los interesados afectados en la definicin y Si.


ejecucin del proyecto dentro del contexto del programa global de
Obtener el compromiso y la participacin de los interesados inversiones facilitadas por TI?
afectados en la definicin y ejecucin del proyecto dentro del
contexto del programa global de inversiones facilitadas por 2.- Se cuenta con la participacin de los interesados afectados en la Si.
definicin y ejecucin del proyecto dentro del contexto del programa
TI.
global de inversiones facilitadas por TI?

Aprobar el inicio de las etapas importantes del proyecto y


comunicarlo a todos los interesados. La aprobacin de la
fase inicial se debe basar en las decisiones de gobierno del
programa. La aprobacin de las fases subsiguientes se debe
basar en la revisin y aceptacin de los entregables de la
fase previa, y la aprobacin de un caso de negocio
actualizado en la prxima revisin importante del programa.
En el caso de fases traslapadas, se debe establecer un punto
de aprobacin por parte de los patrocinadores del programa
y del proyecto, para autorizar as el avance del proyecto.

Definir e implementar mtodos


de aseguramiento y revisin de
proyectos.

O
R
G
A
N
I
Z
A
R

PREGUNTAS

Definir y documentar la naturaleza y alcance del proyecto


para confirmar y desarrollar, entre los interesados, un
entendimiento comn del alcance del proyecto y cmo se
relaciona con otros proyectos dentro del programa global de
inversiones facilitadas por TI. La definicin se debe aprobar
de manera formal por parte de los patrocinadores del
programa y del proyecto antes de iniciar el proyecto.

Definir e implementar
mtodos de
aseguramiento y revisin
de proyectos.

PO10 - Administrar Proyectos.

P
L
A
N
E
A
R

DETALLE OBJETIVO CONTROL

*Asegurar la
participacin y
compromiso de los
interesados del
proyecto. *Asegurar
el control efectivo de
los proyectos y de los
cambios a proyectos.

DOMINIO

COBIT

1.- Estn identificadas las tareas de aseguramiento requeridas para Si.


apoyar la acreditacin de sistemas nuevos o modificados durante la
planeacin del proyecto?
2.- Estn incluidos en el plan integrado?

1,00
1,00
1,00

1,00

1,00

Si.

1,00

3.- Las tareas proporcionan la seguridad de que los controles internos y Si.
las caractersticas de seguridad satisfagan los requerimientos definidos?

1,00

1.- Se mide el desempeo del proyecto contra los criterios clave del Si, mediante actas de trabajo.
proyecto (Ej. alcance, cronograma, calidad, costos y riesgos)?

1,00

2.- Se identifica las desviaciones con respecto al plan?

Si.

1,00

3.- Se evala su impacto sobre el proyecto?

Si.

1,00

4.- Se evala su impacto sobre el programa global?

Si.

1,00

5.- Se reportan los resultados a los interesados clave?

Si.

1,00

6.- Se recomienda las medidas correctivas, segn sea requerido, de Si.


acuerdo con el marco de trabajo de gobierno del proyecto?
7.- Se implementa las medidas correctivas?
Si.

1,00

8.- Se monitorea las medidas correctivas?

1,00

Si.
1,00
1.- Al final de cada proyecto, los interesados se cercioran de que el Si. Se lo hace mediante la firma de un acta de
proyecto haya proporcionado los resultados y los beneficios esperados? entrega-recepcion provisional, despues de 30
1,00
dias si no hay problemas se elabora el acta
de entrega-recepcion definitiva y se paga por
medio del departamento legal.
2.- Se comunica cualquier actividad requerida para alcanzar los Si.
1,00
resultados planeados del proyecto y los beneficios del programa?
3.- Se documenta las lecciones aprendidas para ser usadas en futuros No se documenta, pero si piensan que deben
0,00
proyectos y programas?
hacerlo.

102

Identificar, documentar y analizar los riesgos asociados con


los requerimientos del negocio y diseo de soluciones como
parte de los procesos organizacionales para el desarrollo de
los requerimientos.

AI1.4 - Requerimientos, Decisin de


Factibilidad y Aprobacin.

Verificar que el proceso requiere al patrocinador del negocio


para aprobar y autoriza los requisitos de negocio, tanto
funcionales como tcnicos, y los reportes del estudio de
factibilidad en las etapas clave predeterminadas. El
patrocinador del negocio tiene la decisin final con respecto
a la eleccin de la solucin y al enfoque de adquisicin.

AI2.1 - Diseo de Alto Nivel.

Traducir los requerimientos del negocio a una especificacin


de diseo de alto nivel para la adquisicin de software,
teniendo en cuenta las directivas tecnolgicas y la
arquitectura de informacin dentro de la organizacin. Tener
aprobadas las especificaciones de diseo por gerencia para
garantizar que el diseo de alto nivel responde a los
requerimientos. Reevaluar cuando sucedan discrepancias
significativas tcnicas o lgicas durante el desarrollo o
mantenimiento.

AI2.2 - Diseo Detallado.


AI2.3 - Control y Posibilidad de Auditar las
Aplicaciones.

Desarrollar un estudio de factibilidad que examine la


posibilidad de Implementar los requerimientos. La
administracin del negocio, apoyada por la funcin de TI,
debe evaluar la factibilidad y los cursos alternativos de
accin y realizar recomendaciones al patrocinador del
negocio.

RESPUESTAS

1.- Se identifica los requerimientos funcionales del negocio que cubran Si. Lo hace la persona que recibe las
llamadas, identifica si lo cumplen. Se basa en
el alcance completo de los programas de inversin en TI?
el presupuesto que se elabora en Noviembre
de cada ao para el siguiente ao, en el se
incluyen todos los requerimientos de TI (tanto
de inversin como de operacin).
2.- Se identifica los requerimientos tcnicos del negocio que cubran el Si.
alcance completo de los programas de inversin en TI?
3.- Se prioriza los requerimientos funcionales del negocio que cubran el Si esta priorizado en base a un estudio para
alcance completo de los programas de inversin en TI?
la elaboracin del presupuesto.
4.- Se prioriza los requerimientos tcnicos del negocio que cubran el Si.
alcance completo de los programas de inversin en TI?
5.- Se especifica los requerimientos funcionales del negocio que cubran Si.
el alcance completo de los programas de inversin en TI?
6.- Se especifica los requerimientos tcnicos del negocio que cubran el Si.
alcance completo de los programas de inversin en TI?
7.- Se acorda los requerimientos funcionales del negocio que cubran el Si cubren todo el alcance.
alcance completo de los programas de inversin en TI?
8.- Se acorda los requerimientos tcnicos del negocio que cubran el Si.
alcance completo de los programas de inversin en TI?
1.- Se Identifica los riesgos asociados con los requerimientos del negocio Si. Se registra en una base de datos , se
como parte de los procesos organizacionales para el desarrollo de los imprime y se atiende. Se evalua el riesgo
requerimientos?
antes de hacer el presupuesto.
2.- Se identifica los riesgos asociados con el diseo de soluciones como Si.
parte de los procesos organizacionales para el desarrollo de los
requerimientos?
3.- Se documenta los riesgos asociados con los requerimientos del Si.
negocio?
4.- Se analiza los riesgos asociados con los requerimientos del negocio? Si.
1.- Se desarrolla un estudio de factibilidad que examine la posibilidad de No por el momento. Lo van a implementar.
implementar los requerimientos?
Los proyectos no han estado saliendo con un
formato de anlisis. Se establece en el
momento el riesgo, la utilidad, etc.
2.- La administracin del negocio, apoyada por la funcin de TI evala la Desde Marzo se est haciendo levantamiento
factibilidad?
de funciones. Hay cambios en la actualidad y
an no estn establecidos procedimientos
definidos.
3.- La administracin del negocio, apoyada por la funcin de TI evala No.
los cursos alternativos de accin?
4.- La administracin del negocio, apoyada por la funcin de TI realiza No.
recomendaciones al patrocinador del negocio?
1.- El patrocinador del negocio aprueba los requisitos funcionales de Como rea de tecnologa se est bajo la
negocio?
Gerencia General. No se hace nada si no est
aprobado en algn informe o comunicado de
la gerencia.
2.- El patrocinador del negocio aprueba los requisitos tcnicos de Si.
negocio?
3.- El patrocinador del negocio autoriza los requisitos funcionales de Si.
negocio?
4.- El patrocinador del negocio autoriza los requisitos tcnicos de Si.
negocio?
5.- El patrocinador del negocio aprueba los reportes del estudio de Si, ver respuesta anterior
factibilidad en las etapas clave predeterminadas?
6.- El patrocinador del negocio autoriza los reportes del estudio de Si, ver respuesta anterior
factibilidad en las etapas clave predeterminadas?
1.- Se traduce los requerimientos del negocio a una especificacin de No hay formato, no hay documento.
diseo de alto nivel para la adquisicin de software?
2.- Las especificaciones de diseo son aprobadas por la Gerencia?
Solo a traves de comunicados o informes de
la gerencia general.
3.- Se reevala los requerimientos cuando sucedan discrepancias Si, se reevala los requerimientos aunque sin
significativas tcnicas durante el desarrollo o mantenimiento.?
procedimientos, solo leyendo los pedidos.
Ejemplo, piden Autocad para el rea de
despacho, se evalua si realmente lo necesitan
o no, se lo hace de manera informal porque
no hay cumplimiento de procedimientos en
general para todas las cosas.

CALIFICACIN

OBJETIVOS DE
CONTROL
AI1.1 - Definicin y Mantenimiento de los Requerimientos
Tcnicos y Funcionales del Negocio.

Identificar, dar prioridades, especificar y acordar los


requerimientos de negocio funcionales y tcnicos que cubran
el alcance completo de todas las iniciativas requeridas para
lograr los resultados esperados de los programas de
inversin en TI.

Traducir los requerimientos del negocio


en especificaciones de diseo de alto
nivel.

AI1.3 - Estudio de Factibilidad y


Formulacin de Cursos de Accin
Alternativos.

AI1.2 - Reporte de Anlisis


de Riesgos.

ACTIVIDADES DEL
PROCESO
Definir los requerimientos funcionales y tcnicos del
negocio. *Establecer procesos para la integridad/vlidez de
los requerimientos.
Identificar, documentar y
analizar el riesgo del
proceso de negocio.

PREGUNTAS

Preparar diseo detallado y los requerimientos tcnicos del


software aplicativo.

Conducir un estudio de
factibilidad/evaluacin de impacto con
respecto a la implantacin de los
requerimientos de negocio propuestos.
*Elaborar un proceso de aprobacin de
requerimientos. *Aprobar y Autorizar
soluciones propuestas.

DETALLE OBJETIVO CONTROL

Preparar diseo detallado y los requerimientos


tcnicos del software aplicativo.

AI2 - Adquirir y mantener software aplicativo.

E
I
M
P
L
E
M
E
N
T
A
R

Evaluar los beneficios de negocio


de las soluciones propuestas.

PROCESOS
AI1 - Identificar soluciones automatizadas.

DOMINIO

A
D
Q
U
I
R
I
R

COBIT

1,00

1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00

1,00
1,00
1,00
0,00

0,00

0,00
0,00

1,00

1,00
1,00
1,00
1,00
1,00
0,00
0,50

0,50

4.- Se reevala los requerimientos cuando sucedan discrepancias Si.


0,50
significativas lgicas durante el desarrollo o mantenimiento.?
1. Se prepara el diseo detallado del software de aplicacin?
Los requerimiento son solicitados por los
usuarios, el departamento de TI analiza la
factibilidad tcnica de esos requerimientos y 1,00
se asientan en un acta de requerimiento que
son firmadas por los usuarios involucrados.
2. Se prepara los requerimientos tcnicos del software de aplicacin?
Si.
1,00
3.- Se define el criterio de aceptacin de los requerimientos?
Se define en parte a trves del mdulo de
0,50
soporte y mediante el acta.

Preparar el diseo detallado y los requerimientos tcnicos


del software de aplicacin. Definir el criterio de aceptacin 4.- Se aprueba los requerimientos para garantizar que corresponden al
diseo de alto nivel?
de los requerimientos. Aprobar los requerimientos para
garantizar que corresponden al diseo de alto nivel. Realizar
reevaluaciones cuando sucedan discrepancias significativas
5.- Se realiza reevaluaciones cuando sucedan discrepancias
tcnicas o lgicas durante el desarrollo o mantenimiento.
significativas tcnicas durante el desarrollo o mantenimiento del Software
de aplicacin?

Implementar controles de negocio, cuando aplique, en


controles de aplicacin automatizados tal que el
procesamiento sea exacto, completo, oportuno, autorizado y
auditable.

Si. Son aprobados por los usuarios y por el


departamento de TI, (El especialista en
1,00
aplicativos y la Especialista en base de datos
y aplicativos).
Si se realizan reevaluaciones, en el caso de
adquisicin de sofware hay contratos con
parmetros hay una base tcnica y de lo
1,00
contrario se lo hace con el personal interno
en base a procedimientos establecidos con
soporte tcnico coordinado con logstica.
6.- Se realiza reevaluaciones cuando sucedan discrepancias Si.
significativas lgicas durante el desarrollo o mantenimiento del Software
1,00
de aplicacin?
1.- Se implementa controles de negocio cuando aplique, en controles de Se realizan auditoras al departamento,
aplicacin automatizados?
(auditora interna) mediante documentos se 1,00
las analiza y se las implementa.
2.-El procesamiento de los controles de negocio son exactos?
Si son exactos.
1,00
3.- El procesamiento de los controles de negocio son completos?
Si son completas. Realizan auditorias
1,00
completas tres veces al ao.
4.- El procesamiento de los controles de negocio son oportunos?
Si son oportunos. (auditoria bases, procesos,
1,00
etc.).
5.- El procesamiento de los controles de negocio son autorizados?
Si son autorizados por el auditor interno de la
empresa junto con el departamento de TI a
nivel de la Empresa de Produccin. Para el
Baan lo hacen a nivel corporativo desde 1,00
Quito as como lo relacionado a base de
datos o cualquier contrato o proceso que se
maneje corporativamente.
6.- El procesamiento de los controles de negocio son auditables?
Si son auditables.
1,00

103

DETALLE OBJETIVO CONTROL

PREGUNTAS

AI2.4 - Seguridad y Disponibilidad de las


Aplicaciones.
AI2.5 - Configuracin e Implantacin
de Software Aplicativo Adquirido.
AI2.6 - Actualizaciones Importantes
en Sistemas Existentes.
AI2.7 - Desarrollo de Software Aplicativo.

Personalizar e implementar la
funcionalidad automatizada
adquirida.

Configurar e implementar software de aplicaciones


adquiridas para conseguir los objetivos de negocio.

Si,Los
auditores
evalan
que las
recomendaciones hayan sido implementadas. 1,00
Si, lo hacen en linea.
1,00
Eso lo hacen poco. No auditan modelo de
datos, integridad referencial, a ese nivel no 0,00
llegan las auditoras.
No.
0,00
Si lo auditan.
1,00

1.- Se configura el software de aplicaciones adquiridas para conseguir Si, todos los sistemas son parametrizables,
los objetivos de negocio?
una vez comprado,se personaliza y
parametriza de acuerdo a las necesidades de
la empresa, tanto software como hardware.
Se lo realiza en el rea tcnica pero a travs 1,00
de los especialistas de los aplicativos y bases
de datos. Ellos disponen y el rea ejecuta.
2.- Se implementa software de aplicaciones adquiridas para conseguir Si. Por ejemplo el BAAN es una aplicacin
los objetivos de negocio?
adquirida. Los especialistas de los
aplicativos y bases de datos tambien 1,00
implementan.

1.- Se realizan cambios importantes a los sistemas existentes que Si se realizan mejoras. Estas van de acuerdo a
resulten cambios significativos al diseo actual?
las necesidades de cada departamento y que
adems ayuden a mejorar el negocio. Los
especialistas de los aplicativos y bases de 1,00
En caso de cambios importantes a los sistemas existentes que
datos coordinan y analizan los cambios
resulten en cambios significativos al diseo actual y/o
importantes a los sistemas.
funcionalidad, seguir un proceso de desarrollo similar al
empleado para el desarrollo de sistemas nuevos.
2.- Se realizan cambios importantes a los sistemas existentes que Ver respuesta anterior
1,00
resulten cambios significativos en su funcionalidad?
3.- Se sigue un proceso de desarrollo similar al empleado en los sistemas Si. Usan el ciclo de vida clsico para la
1,00
existentes para el desarrollo de sistemas nuevos?
implementacin de todos los sistemas.

2.- Se garantiza que la funcionalidad de automatizacin se desarrolla de La jefatura de TI se encarga de la


acuerdo los estndares de desarrollo y documentacin?
administracion de Power Builder y Microsoft
y Autocad son administrados por los
tecnicos de soporte. Los especialistas de
Garantizar que la funcionalidad de automatizacin se
aplicativos y base de datos se encargan del 1,00
desarrolla de acuerdo con las especificaciones de diseo, los
desarrollo de 4ta. generacin y la
estndares de desarrollo y documentacin, los
programacion orientado a objetos.
requerimientos de calidad y estndares de aprobacin.
Asegurar que todos los aspectos legales y contractuales se
3.- Se garantiza que la funcionalidad de automatizacin se desarrolla de Las pruebas se hacen de calidad y de
identifican y direccionan para el software aplicativo
acuerdo a los requerimientos de calidad y estndares de aprobacin.?
rendimientos pero no estan regidas a ningn 0,50
desarrollado por terceros.
standar o a metodologa reconocida.
4.- Se asegura que todos los aspectos legales se identifican y direccionan Si, mediante contrato establecido por medio
para el software aplicativo desarrollado por terceros.?
de asesoria juridica en caso de compra de
sofware, en el contrato se especifica tiempo,
entregables en conjunto con TI, en el caso de
desarrollo, lo que hace es de 3 maneras, 1,00
actas
de
requerimiento,
entrega
(provisionales y definitivas) todas firmadas
por ambas partes ese es el respaldo.

AI2.10 Mantenimie
nto de
Software
Aplicativo.

AI2.8 Aseguramiento de la
Calidad del
Software.

5.- Se asegura que todos los aspectos contractuales se identifican y Si.


direccionan para el software aplicativo desarrollado por terceros.?

AI2.9 - Administracin de los


Requerimientos de Aplicaciones.

Desarrollar las metodologas y procesos formales para administrar el proceso de desarrollo de la


aplicacin.

5.- Se aborda la arquitectura de seguridad de la informacin?

Si se aborda. Los auditores tienen su propia


metodologa, verifican los roles que tienen los
usuarios,
aplicaciones,
nmero
de
conexiones y accesibilidad. Ellos tienen 1,00
politicas de manejo de claves para todos los
aplicativos.

1.- Se garantiza que la funcionalidad de automatizacin se desarrolla de Si, est supervisado por el Holding Dinner.
acuerdo con las especificaciones de diseo?
Ellos realizan auditoras y constantemente
monitorean por medio de actas de trabajo y
actas de requerimiento en donde los usuarios
dan las especificaciones de lo que desean y 1,00
esto se plasma en un documento opcin x
opcin y se firma usuarios, gerentes de reas,
jefes involucrados y tecnologa.

Crear un plan de
aseguramiento de la
calidad del software
para el proyecto.

I
M
P
L
E
M
E
N
T
A
R

Abordar la seguridad de las aplicaciones y los


requerimientos de disponibilidad en respuesta a los riesgos
2.- Se aborda los requerimientos de disponibilidad en respuesta a los
identificados y en lnea con la clasificacin de datos, la
riesgos identificados?
arquitectura de la informacin, la arquitectura de seguridad
de la informacin y la tolerancia a riesgos de la
3.- Se aborda los requerimentos en lnea con la clasificacin de datos?
organizacin.
4.- Se aborda la arquitectura de la informacin?

6.- Se aborda la tolerancia a riesgos de la organizacin.?

Dar seguimiento y administrar los


requerimientos de la aplicacin.

Desarrollar
un plan
para el
mantenimie
nto de
aplicacione
s de
software.

A
D
Q
U
I
R
I
R

AI2 - Adquirir y mantener software aplicativo.

Personalizar e implementar la
funcionalidad automatizada
adquirida.

Especificar los controles de aplicacin dentro


del diseo.

1.- Se aborda la seguridad de las aplicaciones?

RESPUESTAS

CALIFICACIN

OBJETIVOS DE
CONTROL

ACTIVIDADES DEL
PROCESO

PROCESOS

DOMINIO

COBIT

1,00

1.- Se desarrolla un plan de aseguramiento de calidad del software?

No tienen plan, hay planes de prueba, se


cogen casos criticos y con eso se hace la
Desarrollar, Implementar los recursos y ejecutar un plan de
0,00
prueba, pero plan de calidad con
aseguramiento de calidad del software, para obtener la
procedinmientos establecidos no hay.
calidad que se especifica en la definicin de los
requerimientos y en las polticas y procedimientos de calidad 2.- Se Implementa los recursos de un plan de aseguramiento de calidad ver respuesta anterior
0,00
del software?
de la organizacin.
3.- Se ejecuta un plan de aseguramiento de calidad del software?
ver respuesta anterior
0,00
1. Se sigue el estado de los requerimientos individuales durante el Si se lo sigue, se ha creado un sistema de
diseo, desarrollo e implementacin?
soporte tcnico, se registra el requertimiento,
se hace el seguimiento y la solucin,
siguiendo los 3 niveles de servicio que ITIL 1,00
recomienda, telefonico, correo y personal.
Seguir el estado de los requerimientos individuales
(incluyendo todos los requerimientos rechazados) durante el
2.- Se sigue el estado de todos los requerimientos rechazados durante el No se hace seguimiento de lo rechazado.
diseo, desarrollo e implementacin, y aprobar los cambios
0,00
diseo, desarrollo e implementacin.?
a los requerimientos a travs de un proceso de gestin de
3.- Se aprueba los cambios a los requerimientos a travs de un proceso Si hay un proceso de gestin, cuando un
cambios establecido.
de gestin de cambios establecido?
sistema est en marcha si tienen un
procedimiento.
mediante
acta
de
1,00
modificaciones se establece cual es el
requerimiento que va a cambiar y en que
afecta.
Desarrollar una estrategia y un plan para el mantenimiento
de aplicaciones de software.

1.- Se desarrolla una estrategia para el mantenimiento de aplicaciones Aplican el mismo ciclo de vida, desde
1,00
de software?
analizar hasta aplicar la solucin.
2.-Se desarrolla un plan para el mantenimiento de aplicaciones de No hay plan.
software.?

104

0,00

DETALLE OBJETIVO CONTROL

PREGUNTAS

AI3.1 - Plan de Adquisicin de Infraestructura Tecnolgica.

Negociar la compra y adquirir la infraestructura requerida con


proveedores(aprobados).

1.- Se genera un plan para adquirir la infraestructura tecnolgica?

Generar un plan para adquirir, Implementar y mantener la


infraestructura tecnolgica que satisfaga los requerimientos
establecidos funcionales y tcnicos del negocio, y que est de
acuerdo con la direccin tecnolgica de la organizacin. El
plan debe considerar extensiones futuras para adiciones de
capacidad, costos de transicin, riesgos tecnolgicos y vida
til de la inversin para actualizaciones de tecnologa.
Evaluar los costos de complejidad y la viabilidad comercial
del proveedor y el producto al aadir nueva capacidad
tcnica.

2.- Se implementa el plan para adquirir la infraestructura tecnolgica?

RESPUESTAS

No cuentan con un plan para reunirse y


verificar el requerimiento del usuario. Por
poltica del rea TI cada 2 Aos se cambian
los equipos, se puede decir que con este
anlisis aproximadamente el 20% del parte 0,00
tecnolgico es candidato a cambio, en esta
planificacin puede haber distincin en
tiempo ya que se depende de otras reas y de
proveedores.
Si.
1,00

3.- Se mantiene el plan para adquirir la infraestructura tecnolgica que Si se evala, se realiza una cotizacin y el
satisfaga los requerimientos establecidos funcionales del negocio, y que departamento de adquisiciones aprueba la 1,00
est de acuerdo con la direccin tecnolgica de la organizacin?
compra a travs de un cmite.
4.- Se mantiene el plan para adquirir la infraestructura tecnolgica que S.
satisfaga los requerimientos establecidos tcnicos del negocio, y que est
de acuerdo con la direccin tecnolgica de la organizacin?

AI3.2 - Proteccin y Disponibilidad del Recurso de Infraestructura.


AI3.3 - Mantenimiento de la Infraestructura.
AI3.4 - Ambiente de Prueba de Factibilidad.

Definir el procedimiento/ proceso de adquisicin.


Definir estrategia y planear el mantenimiento de infraestructura.
Configurar componentes de la infraestructura.

I
M
P
L
E
M
E
N
T
A
R

AI3 - Adquirir y mantener infraestructura tecnolgica.

1,00

5.- El plan considera extensiones futuras para adiciones de capacidad, No hay un documento de planificacin que
costos de transicin, riesgos tecnolgicos y vida til de la inversin para abarque estos temas.
0,00
actualizaciones de tecnologa?
6.- Se evala los costos de complejidad del proveedor?

Es independiente del proceso de la compra, el


rea de TI no evala al proveedor, este es un 1,00
proceso de logistica.

7.- Se evala los costos de la viabilidad comercial del proveedor y el Ver respuesta anterior.
producto al aadir nueva capacidad tcnica?

A
D
Q
U
I
R
I
R

CALIFICACIN

OBJETIVOS DE
CONTROL

ACTIVIDADES DEL
PROCESO

PROCESOS

DOMINIO

COBIT

1.- Se Implementa medidas de control interno, seguridad y auditabilidad Si se lo hace a nivel de desarrollo y de
durante la configuracin de la infraestructura para proteger los recursos produccin, cuando es necesario se crea base
y garantizar su disponibilidad e integridad?
de datos para hacer pruebas a los aplicativos
para no afectar el proceso en linea una vez
probado se envia los aplicativos al Ing.
Orellana encargado de los servidores para
que los pase a los servidores de produccin.
Del hardware no se hace, el software
desarrolladores de aplicativos y Base de
Datos.
Implementar medidas de control interno, seguridad y
2.- Se Implementa medidas de control interno, seguridad y auditabilidad Ver respuesta anterior.
auditabilidad durante la configuracin, integracin y
durante la integracin de la infraestructura para proteger los recursos y
mantenimiento del hardware y del software de la
garantizar su disponibilidad e integridad?
infraestructura para proteger los recursos y garantizar su
3.- Se Implementa medidas de control interno, seguridad y auditabilidad Ver respuesta anterior.
disponibilidad e integridad. Se deben definir y comprender
durante el mantenimiento del hardware y del software de la
claramente las responsabilidades al utilizar componentes de
infraestructura para proteger los recursos y garantizar su disponibilidad
infraestructura sensitivos por todos aquellos que desarrollan
e integridad?
e integran los componentes de infraestructura. Se debe
4.- Se define claramente las responsabilidades al utilizar componentes
Si cada especialista es reponsable del manejo
monitorear y evaluar su uso.
de infraestructura sensitivos por todos aquellos que desarrollan e
del componente de infraestructura sensitivo
integran los componentes de infraestructura?
de cada uno de los procesos.
5.- Se comprende claramente las responsabilidades al utilizar S cada especialista tiene asignado las
componentes de infraestructura sensitivos por todos aquellos que responsabilidades de sus procesos.
desarrollan e integran los componentes de infraestructura?
6.- Se monitorea el uso del recurso de infraestructura?
Se monitorea, se hace un mantenimiento
preventivo, mas o menos cada 4 meses a los
equipos,
(servidores,
equipos
de
usuarios,etc).
7.- Se evala el uso del recurso de infraestructura?
No se evala.
1.- Se desarrolla una estrategia para el mantenimiento de la Si se desarrolla, cumplen un cronograma de
infraestrucutura?
acuerdo el reporte de Help Desk.
A Nivel de equipos de computacin. Son
2.- Se desarrolla un plan de mantenimiento de la infraestructura?
servicios que estan tercerizados.
3.- La estrategia desarrollada para el mantenimiento de la Si se garantiza pero no hay documentacin
infraestructura garantiza que se controlan los cambios, de acuerdo con el pero si hay anlisis.
procedimiento de administracin de cambios de la organizacin?
4.- El plan desarrollado para el Mantenimiento de la Infraestructura Ver respuesta anterior.
garantiza que se controlan los cambios, de acuerdo con el procedimiento
de administracin de cambios de la organizacin?
Desarrollar una estrategia y un plan de mantenimiento de la 5.- El plan de Mantenimiento de la Infraestructura incluye una revisin
No hay.
infraestructura y garantizar que se controlan los cambios, de peridica contra las necesidades del negocio?
acuerdo con el procedimiento de administracin de cambios 6.- El plan de Mantenimiento de la Infraestructura incluye una revisin
Desarrolladores de aplicativos y Base de
de la organizacin. Incluir una revisin peridica contra las peridica contra la administracin de parches?
Datos se encargan en que versiones estan
necesidades del negocio, administracin de parches y
desarrolladas las aplicaciones, Si hay
estrategias de actualizacin, riesgos, evaluacin de
actualizaciones, todo es con licencia no hay
vulnerabilidades y requerimientos de seguridad.
nada pirata.
7.- El plan de Mantenimiento de la Infraestructura incluye una revisin
Se hace un monitorieo preventivo, se hace un
peridica contra las estrategias de actualizacin?
diagnostico para ver prosibles problemas e
implementar alguna mejora.
8.- El plan de Mantenimiento de la Infraestructura incluye una revisin No se lo hace, no manejan matriz de riesgo
peridica contra los riesgos?
9.- El plan de Mantenimiento de la Infraestructura incluye una revisin No hay plan, lo hacen obligados por auditoria
peridica contra la evaluacin de vulnerabilidades?
por los eventos que se presentan para ir
solucionando las cosas.
10.- El plan de Mantenimiento de la Infraestructura incluye una revisin No.
peridica contra los requerimientos de seguridad?
1.- Se establece el ambiente de desarrollo de las aplicaciones?
Si cumplen,cuando se adquiere un aplicativo
o un software realizan un periodo de prueba,
Carlos Orellana, David Guillen y soporte.
2.- Se establece el ambiente de pruebas de las aplicaciones?
Si se cumple.
3.- Se considera la funcionalidad de las aplicaciones en el ambiente de Si se considera cuando hay cambios lo hacen
adquisicin y desarrollo?
en un solo repositorio y es fcil porque toda
la empresa se actualiza, en los cambios de
versiones es igual.
Establecer el ambiente de desarrollo y pruebas para soportar 4.- Se considera la integracin de las aplicaciones en el ambiente de Si.
la efectividad y eficiencia de las pruebas de factibilidad e
adquisicin y desarrollo?
integracin de aplicaciones e infraestructura, en las primeras 5.- Se considera el desempeo de las aplicaciones en el ambiente de Si.
fases del proceso de adquisicin y desarrollo. Hay que
adquisicin y desarrollo?
considerar la funcionalidad, la configuracin de hardware y 6.- Se considera la migracin entre ambientes de las aplicaciones en el Si.
software, pruebas de integracin y desempeo, migracin
ambiente de adquisicin y desarrollo?
entre ambientes, control de la versiones, datos y
7.- Se considera el control de la versiones de las aplicaciones en el Si.
herramientas de prueba y seguridad.
ambiente de adquisicin y desarrollo?
8.- Se considera los datos y herramientas de prueba de las aplicaciones Si.
en el ambiente de adquisicin y desarrollo?
9.- Se considera la seguridad de las aplicaciones en el ambiente de Si.
adquisicin y desarrollo?
10.- Se considera la configuracin de hardware y software de la Si se considera Cuando hay cambios lo hacen
infraestructura en el ambiente de adquisicin y desarrollo?
en un solo repositorio y es facil porque toda
la empresa se actualiza, en los cambios de
versiones es igual.

105

1,00

1,00

1,00

1,00

1,00

1,00

1,00
0,00
1,00
1,00
0,50

0,50
0,00

1,00

1,00
0,00
0,00
0,00
1,00
1,00
1,00

1,00
1,00
1,00
1,00
1,00
1,00

1,00

Establecer/mantener una lista de proveedores acreditados.

AI5 - Adquirir recursos de TI.

Desarrollar polticas y
procedimientos de
adquisicin de TI de
acuerdo con las politicas
de adquisiciones a nivel
corporativo.

DETALLE OBJETIVO CONTROL

PREGUNTAS

RESPUESTAS

CALIFICACIN

OBJETIVOS DE
CONTROL
AI4.1 - Plan para Soluciones de Operacin.
AI4.2 - Transferencia de Conocimiento a la Gerencia del Negocio.
AI4.3 - Transferencia de
Conocimiento a Usuarios
Finales.
AI4.4 - Transferencia de Conocimiento al Personal de
Operaciones y Soporte.

I
M
P
L
E
M
E
N
T
A
R

AI5.1 - Control de
Adquisicin.

AI5.2 - Administracin de Contratos con Proveedores.

ACTIVIDADES DEL
PROCESO
Desarrollar metodologa de transferencia de conocimiento.
Desarrollar manuales de
procedimiento del usuario
final. * Evaluar los
resultados del entrenamiento
y ampliar la documentacin
como se requiera.
Desarrollar documentacin de soporte tcnica para
operaciones y personal de soporte. * Desarrollar y dar
entrenamiento.

AI4 - Facilitar la operacin y el uso.

Desarrollar estrategia para que la solucin sea


operativa.

PROCESOS

DOMINIO

A
D
Q
U
I
R
I
R

COBIT
1.- Se desarrolla un plan donde se identifique todos los aspectos No cuentan con un plan, A nivel de aplicativos
tcnicos, la capacidad de operacin y los niveles de servicio requeridos se hace manual de usuarios y manual tecnico,
en las aplicaciones?
se esta trabajando en una base de
conocimiento en un servidor para en caso de 0,50
ausencia todos tengan acceso y puedan
Desarrollar un plan para identificar y documentar todos los
solucionar cualquier inconveniente que
aspectos tcnicos, la capacidad de operacin y los niveles de
normalmente lo hara la persona ausente.
servicio requeridos, de manera que todos los interesados
puedan tomar la responsabilidad oportunamente por la
2.- Se desarrolla un plan donde se documente todos los aspectos Si, ver respuesta anterior.
produccin de procedimientos de administracin, de usuario tcnicos, la capacidad de operacin y los niveles de servicio requeridos
0,50
y operativos, como resultado de la introduccin o
en las aplicaciones?
actualizacin de sistemas automatizados o de
3.- Se desarrolla un plan donde se identifique todos los aspectos Si, ver respuesta anterior.
infraestructura.
tcnicos, la capacidad de operacin y los niveles de servicio requeridos
0,50
en la infraestructura?
4.- Se desarrolla un plan donde se documente todos los aspectos Si, ver respuesta anterior.
tcnicos, la capacidad de operacin y los niveles de servicio requeridos
en la infraestructura?
1.- Se transfiere el conocimiento de los sistemas a la gerencia de la Se entrega en forma general a la gerencia lo
empresa?
que es beneficio. Si se entrega, el plan
estrategico de sistemas est hecho en base al
plan estratgico de la empresa.
2.- Se transfiere el conocimiento de los datos de la aplicacin a la Si.
gerencia de la empresa?
3.- Se incluye en la transferencia del conocimiento la aprobacin de Siguen la linea de Holding Dine pero basadas
Transferir el conocimiento a la gerencia de la empresa para acceso de las aplicaciones e infraestructura?
en las necesidades de Empresa. Cada 15 das,
permitirles tomar posesin del sistema y los datos y ejercer
se le informa a la GG sobre equipos, permisos
la responsabilidad por la entrega y calidad del servicio, del
para inversin. proyectos, permisos para
control interno, y de los procesos administrativos de la
ciertos privilegios.
aplicacin. La transferencia de conocimiento incluye la
4.- Se incluye en la transferencia del conocimiento la administracin de Si.
aprobacin de acceso, administracin de privilegios,
privilegios de las aplicaciones e infraestructura?
segregacin de tareas, controles automatizados del negocio, 5.- Se incluye en la transferencia del conocimiento la segregacin de Si.
respaldo/recuperacin, seguridad fsica y archivo de la
tareas de las aplicaciones e infraestructura?
documentacin fuente.
6.- Se incluye en la transferencia del conocimiento los controles Si.
automatizados del negocio de las aplicaciones e infraestructura?
7.- Se incluye
en la transferencia del
conocimiento el Si.
respaldo/recuperacin de las aplicaciones e infraestructura?
8.- Se incluye en la transferencia del conocimiento la seguridad fsica de Si.
las aplicaciones e infraestructura?
9.- Se incluye en la transferencia del conocimiento el archivo de la Si.
documentacin fuente de las aplicaciones e infraestructura?
Transferencia de conocimiento y habilidades para permitir
1.- Se mejora la transferencia de conocimiento para permitir que los Si realizan a traves de la capacitacion del jefe
que los usuarios finales utilicen con efectividad y eficiencia usuarios finales utilicen con efectividad y eficiencia el sistema de y el a su vez transmite al resto del personal.
el sistema de aplicacin como apoyo a los procesos del
aplicacin como apoyo a los procesos del negocio?
2.- Se mejora las habilidades para permitir que los usuarios finales Si.
negocio. La transferencia de conocimiento incluye el
utilicen con efectividad y eficiencia el sistema de aplicacin como apoyo
desarrollo de un plan de entrenamiento que aborde al
entrenamiento inicial y al continuo, as como el desarrollo de a los procesos del negocio.?
3.- Se incluye en la transferencia de conocimiento el desarrollo de un Si realizan en linea via remota con virtual
habilidades, materiales de entrenamiento, manuales de
plan de entrenamiento?
network
conection
,
manuales
de
usuario, manuales de procedimiento, ayuda en lnea,
usuario,procedimiento no, asistencia a
asistencia a usuarios, identificacin del usuario clave, y
usuarios y son dadas por el personal de TI.
evaluacin.
1.- Se capacita al personal de operaciones en relacin a las aplicaciones Se lo hace de forma verbal, no hay
e infraestructura atendiendo a los requerimientos de los usuarios de procedimientos. Estan retomando o queriendo
manera efectiva y eficiente?
formalizar el proceso estableciendo el
procedimiento.
2.- Se capacita al personal tcnico en relacin a las aplicaciones e Si, en parte.
infraestructura atendiendo a los requerimientos de los usuarios de
Transferir el conocimiento y las habilidades para permitir al manera efectiva y eficiente?
personal de soporte tcnico y de operaciones que entregue,
3.- Se incluye en el entrenamiento inicial y continuo, el desarrollo de las Si.
apoyen y mantenga la aplicacin y la infraestructura
habilidades del personal de soporte tcnico y de operaciones?
asociada de manera efectiva y eficiente de acuerdo a los
4.- Se incluye en el entrenamiento inicial y continuo, los materiales de Si.
niveles de servicio requeridos. La transferencia del
entrenamiento en el desarrollo de las habilidades del personal de soporte
conocimiento debe incluir al entrenamiento inicial y
tcnico y de operaciones?
continuo, el desarrollo de las habilidades, los materiales de 5.- Se incluye en el entrenamiento inicial y continuo, los manuales de No.
entrenamiento, los manuales de operacin, los manuales de operacin en el desarrollo de las habilidades del personal de soporte
procedimientos y escenarios de atencin al usuario.
tcnico y de operaciones?
5.- Se incluye en el entrenamiento inicial y continuo, los manuales de No hay procedimiento.
procedimientos en el desarrollo de las habilidades del personal de
soporte tcnico y de operaciones?
7.- Se incluye en el entrenamiento inicial y continuo, los escenarios de Si.
atencin al usuario en el desarrollo de las habilidades del personal de
soporte tcnico y de operaciones?
1.- Se adquiere instalaciones para el rea de TI?
Si, (presupuesto)
Desarrollar y seguir un conjunto de procedimientos y
estndares consistente con el proceso general de
adquisiciones de la organizacin y con la estrategia de
adquisicin para adquirir infraestructura relacionada con TI,
instalaciones, hardware, software y servicios necesarios por
el negocio.

Formular un procedimiento para establecer, modificar y


concluir contratos para todos los proveedores. El
procedimiento debe cubrir, como mnimo, responsabilidades
y obligaciones legales, financieras, organizacionales,
documentales, de desempeo, de seguridad, de propiedad
intelectual y responsabilidades de conclusin, as como
obligaciones (que incluyan clusulas de penalizacin). Todos
los contratos y las modificaciones a contratos las deben
revisar asesores legales.

0,50

1,00

1,00

1,00

1,00
1,00
1,00
1,00
1,00
1,00
1,00

1,00

1,00

0,50

0,50
1,00
1,00

0,00

0,00

1,00
1,00

2.- Se adquiere hardware para el rea de TI?

Si.

1,00

3.- Se adquiere software para el rea de TI?

Si.

1,00

4.- Se adquiere servicios necesarios por el negocio para el rea de TI?

Si.

1,00

5.- Se desarrolla y se sigue un conjunto de procedimientos y estndares


consistente con el proceso general de adquisiciones de la organizacin?
6.- Se desarrolla y se sigue un conjunto de procedimientos y estndares
consistente con la estrategia de adquisicin?
1.- Se formula un procedimiento para establecer contratos para todos los
proveedores?

No
No

0,00
0,00

Salir a convocatoria, se define lo que se va a


generar el contrato, las ofertas y documentos,
adicional deben presentarse a sobre cerrado,
minimo tres propuesta de oferta. Es factible
tener mas proveedores, miden la parte
social(todos los trabajadores q esten
gozando el seguro), medio ambiente(dentro de
sus proceso cumplan con el medio ambiente.) 1,00
financiera(informe de los estados de cuenta
balance),
las
ofertas
pueden
haber
excepciones de modificacion en ese caso el
gerente general llega a un acuerdo con la
responsabilidad de la jefe de area, se
contacta al proveedor ganador y a los que no
ganaron igual se los comunica.

2.- Se formula un procedimiento para modificar contratos para todos los Si.
1,00
proveedores?
3.- Se formula un procedimiento para concluir contratos para todos los Si.
1,00
proveedores?
4.- El procedimiento cubre las responsabilidades y obligaciones legales? Si cumplen con todos los parametros piden
una poliza de anticipacion el 10% del valor 1,00
del contrato.
5.- El procedimiento cubre las responsabilidades y obligaciones Si.
1,00
financieras?
6.- El procedimiento cubre las responsabilidades y obligaciones Si.
1,00
organizacionales?
7.- El procedimiento cubre las responsabilidades y obligaciones Si.
1,00
documentales?
8.- El procedimiento cubre las responsabilidades y obligaciones de Si.
1,00
desempeo?
9.- El procedimiento cubre las responsabilidades y obligaciones de Si.
1,00
seguridad?
10.- El procedimiento cubre las responsabilidades y obligaciones de
Si.
1,00
propiedad intelectual?
11.- El procedimiento cubre las responsabilidades de conclusin?
Si.
1,00
12.- Los contratos las revisan los asesores legales?
Si pero lo hacen soportando con los tecnicos
1,00
usuario o supervisores del contrato.
13.- Las modificaciones a contratos las revisan los asesores legales?
Si.
1,00

106

PREGUNTAS

1.- Se selecciona proveedores de acuerdo a una prctica justa y formal?

Si.

1,00

2.- Se selecciona proveedores de acuerdo a una prctica formal?

Si.

1,00

3.- Los requerimientos estan optimizados con las entradas de los


proveedores potenciales?
1.- Se protege los intereses de la organizacin en todo los contratos de
adquisiciones de software?
2.- Se protege los intereses de la organizacin en todo los contratos de
adquisiciones de recursos de desarrollo?
3.- Se protege los intereses de la organizacin en todo los contratos de
adquisiciones de infraestructura?
Proteger y hacer cumplir los intereses de la organizacin en
4.- Se protege los intereses de la organizacin en todo los contratos de
todo los contratos de adquisiciones, incluyendo los derechos
adquisiciones de servicios?
y obligaciones de todas las partes en los trminos
5.- Se hace cumplir los intereses de la organizacin en todo los contratos
contractuales para la adquisicin de software, recursos de
de adquisiciones de software?
desarrollo, infraestructura y servicios.
6.- Se hace cumplir los intereses de la organizacin en todo los contratos
de adquisiciones de recursos de desarrollo?
7.- Se hace cumplir los intereses de la organizacin en todo los contratos
de adquisiciones de infraestructura?
8.- Se hace cumplir los intereses de la organizacin en todo los contratos
de adquisiciones de servicios?
1.- Se maneja de manera estndar todas las solicitudes para cambios a
las aplicaciones?

AI7.3 - Plan de
Implantacin.
AI7.5 Conversin
AI7.4 - Ambiente
de
de Prueba.
Sistemas y
Datos.

Si.
Si.
Si.
Si.
Si.
Si.
Si.
Si.
Si.

1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00

Si se lo hace. El requerimiento llega a TI y se


lo resuelve en unos casos y en otros se
1,00
contacta con el proveedor del aplicativo, le
ponen fecha de entrega y se da el soporte.
2.- Se maneja de manera estndar todas las solicitudes para cambios a Si.
1,00
los procedimientos?
3.- Se maneja de manera estndar todas las solicitudes para cambios a Si.
1,00
los procesos?
4.- Se maneja de manera estndar todas las solicitudes para cambios a Si.
1,00
los parmetros de sistema?
5.- Se maneja de manera estndar todas las solicitudes para cambios a Si.
1,00
los servicios?

Establecer procedimientos de administracin de cambio


formales para manejar de manera estndar todas las
solicitudes (incluyendo mantenimiento y parches) para
cambios a aplicaciones, procedimientos, procesos,
parmetros de sistema y servicio, y las plataformas
fundamentales.

6.- En las plataformas fundamentales se establecen procedimientos de


administracin de cambio formales?
1.- Se garantiza que todas las solicitudes de cambio se evalan los
Garantizar que todas las solicitudes de cambio se evalan de impactos en el sistema operacional?
una estructurada manera en cuanto a impactos en el sistema 2.- Se garantiza que todas las solicitudes de cambio se evalan los
impactos en el sistema en su funcionalidad?
operacional y su funcionalidad. Esta evaluacin deber
incluir categorizacin y priorizacin de los cambios. Previo a 3.- La evaluacin incluye la categorizacin de los cambios?
la migracin hacia produccin, los interesados
4.- La evaluacin incluye la priorizacin de los cambios?
correspondientes autorizan los cambios.
5.- Se autorizan los cambios en la migracin hacia la produccin de las
aplicaciones por los interesados?
1.- Se establece un proceso para definir los cambios de emergencia que
no sigan el proceso de cambio establecido?
2.- Se establece un proceso para plantear los cambios de emergencia que
no sigan el proceso de cambio establecido?
Establecer un proceso para definir, plantear, evaluar y
3.- Se establece un proceso para evaluar los cambios de emergencia que
autorizar los cambios de emergencia que no sigan el proceso
no sigan el proceso de cambio establecido?
de cambio establecido. La documentacin y pruebas se
4.- Se establece un proceso para autorizar los cambios de emergencia
realizan, posiblemente, despus de la implantacin del
que no sigan el proceso de cambio establecido?
cambio de emergencia.
5.- Se realiza la documentacin despus de la implantacin del cambio
de emergencia?
6.- Se realiza las pruebas despus de la implantacin del cambio de
emergencia?
Establecer un sistema de seguimiento y reporte para
1.- Se establece un sistema de seguimiento para mantener actualizados a
mantener actualizados a los solicitantes de cambio y a los los solicitantes de cambio y a los interesados relevantes?
interesados relevantes, acerca del estatus del cambio a las
aplicaciones, a los procedimientos, a los procesos,
2.- Se establece un sistema de reporte para mantener actualizados a los
parmetros del sistema y del servicio y las plataformas
solicitantes de cambio y a los interesados relevantes?
fundamentales.
1.- Se actualiza los cambios en los sistemas?
Siempre que se implantan cambios al sistema, actualizar el
2.- Se actualiza la documentacin de usuario?
sistema asociado y la documentacin de usuario y
procedimientos correspondientes. Establecer un proceso de 3.- Se establece un proceso de revisin para garantizar la implantacin
completa de los cambios?
revisin para garantizar la implantacin completa de los
cambios.
Entrenar al personal de los departamentos de usuario
afectados y al grupo de operaciones de la funcin de TI de
acuerdo con el plan definido de entrenamiento e
implantacin y a los materiales asociados, como parte de
cada proyecto de sistemas de la informacin de desarrollo,
implementacin o modificacin.

2.- Se entrena al grupo de operaciones de la funcin de TI de acuerdo con


el plan definido de entrenamiento e implantacin de cada proyecto de
sistemas?
1.- Se establece un plan de pruebas basado en los estndares de la
organizacin?
Establecer un plan de pruebas basado en los estndares de la 2.- Dentro de los estndares de la organizacin se definen los roles?
organizacin que define roles, responsabilidades, y criterios 3.- Dentro de los estndares de la organizacin se definen las
de entrada y salida. Asegurar que el plan esta aprobado por responsabilidades?
las partes relevantes.
4.- Dentro de los estndares de la organizacin se definen los criterios
de entrada y salida?
5.- Se asegura que el plan est aprobado por las partes relevantes?

Establecer un plan de implantacin y respaldo y vuelta atrs.


Obtener aprobacin de las partes relevantes.

Definir y establecer un entorno seguro de pruebas


representativo del entorno de operaciones planeado relativo
a seguridad, controles internos, practicas operativos, calidad
de los datos y requerimientos de privacidad, y cargas de
trabajo.
Plan de conversin de datos y migracin de infraestructuras
como parte de los mtodos de desarrollo de la organizacin,
incluyendo pistas de auditoria, respaldo y vuelta atrs.
Pruebas de cambios independientemente en acuerdo con los
planes de pruebas definidos antes de la migracin al entorno
de operaciones. Asegurar que el plan considera la seguridad
y el desempeo.

No hay procedimientos.
Si se evalan.
Si.
Si.

0,00
1,00
1,00
1,00

Si.

1,00
Si. Si ellos no firman, TI no procede a realizar
1,00
los cambios.
No hay procedimiento para emergencias.
0,00
No.
No.
No.
Si.
Si.

0,00
0,00
0,00
1,00
1,00

No se lo hace, pero se est trabajando para


que a travs del sistema ellos conozcan el
0,00
estado en el que se encuentra su
requerimiento.
No.
0,00
Si se actualiza el sistema asociado.

1,00

No, a veces se lo hace y otras no

0,50
Si. Se hace una revisin presencial en la
prueba y una vez aprobado por el usuario, se
1,00
efectua el cambio y se lo envia a produccion
por medio del especialista de infraestructura.

1.- Se entrena al personal de los departamentos de usuario afectados de No hay plan y no se los entrena pero se dan
acuerdo con el plan definido de entrenamiento e implantacin de casa indicaciones bsicas de acuerdo al 0,30
requerimiento.
proyecto de sistemas?

1.- Se establece un plan de implantacin y respaldo y vuelta atrs?

AI7.6 - Pruebas
de Cambios.

RESPUESTAS

CALIFICACIN

OBJETIVOS DE
CONTROL
AI5.3 Seleccin de
Proveedores.
AI6.1 - Estndares y Procedimientos para
Cambios.
AI6.2 - Evaluacin de
Impacto, Priorizacin y
Autorizacin.
AI6.4 Seguimiento y
Reporte del
Estatus de
Cambio.
AI7.2 - Plan de Prueba.

AI7.1 Entrenamiento.

AI6.5 - Cierre y
Documentacin
del Cambio.

AI6.3 - Cambios de Emergencia.

Desarrollar e implementar un proceso


para registrar, evaluar y dar prioridad en
forma consistente a las solicitdes de
cambio.
Evaluar impacto y dar
prioridad a cambios en
base a las necesidades
del negocio.
Garantizar que cualquier cambio
crtico y de emergencia sigue el
proceso aprobado.
Autorizar
cambios.
Administrar y
diseminar la
informacin
relevante referente
a cambios.
Definir y revisar una
estrategia de prueba
(criterio de entrada y
slida) y la metodologa
de plan de prueba
operacional.
Construir y mantener un
repositorio de
requirimientos de negocio
y tcnicos y casos de
prueba para sistemas
acreditados.
Establecer
ambiente de
prueba y
conducir
pruebas de
aceptacin
finales.
Establecer
ambiente de
prueba y
conducir
pruebas de
aceptacin
finales.

AI7 - Instalar y acreditar soluciones y cambios.

Construir y
revisar planes de
investigacin.

I
M
P
L
E
M
E
N
T
A
R

AI5.4 - Adquisicin de Recursos de TI.

ACTIVIDADES DEL
PROCESO

Seleccionar proveedores de acuerdo a una prctica justa y


formal para garantizar la mejor viable y encajable segn los
requerimientos especificados. Los requerimientos deben estar
optimizados con las entradas de los proveedores potenciales.

Desarrollar contratos que protejan los intereses


de la organizacin. *Realizar adquisiciones de
conformidad con los procedimientos
establecidos.

PROCESOS

Evaluar y
seleccionar
proveedores
a travs de
un proceso
de solicitud
de propuesta
(RFP).

AI5 - Adquirir recursos de TI.


AI6 - Administrar cambios.

DETALLE OBJETIVO CONTROL

Ejecutar la
conversaci
n del
sistema y
las
pruebas de
integraci
n en
ambiente

DOMINIO

A
D
Q
U
I
R
I
R

COBIT

No.
0,30
No cuentan con un plan pero si se realizan
0,50
pruebas.
No hay estandares.
0,00
No.
0,00
No.
Si se aprueban por las partes.

0,00
1,00

Hay un cronograma de trabajo aprobado por


los usuarios en el que se establece el tiempo
que les va a tomar echar a andar el sistema.
En cuanto a respaldo no hay procedimiento
0,50
establecido, se lo hace de manera informal,
no est documentado el procedimiento. En lo
referente a base de datos y aplicativos se lo
hace pero no se documenta.
2.- Se obtiene la aprobacin de las partes relevantes?
Si se lo hace.
1,00
1.- Se define un entorno seguro de pruebas representativo del entorno de Si se asegura de no afectar el entorno. Se lo
operaciones?
hace en un ambiente de prueba y este no esta
0,50
basado en un estandar pero si cuidan de no
afectar los datos.
2.- Se establece un entorno seguro de pruebas representativo del entorno En parte.
0,50
de operaciones?
1.- Cuentan con un Plan de conversin de datos como parte de los No tienen.
0,00
mtodos de desarrollo de la organizacin?
2.- Cuentan con una migracin de infraestructuras como parte de los No.
0,00
mtodos de desarrollo de la organizacin?
1.- Las Pruebas de cambios independientemente estn de acuerdo con los No tienen plan de pruebas.
planes de pruebas definidos antes de la migracin al entorno de
0,00
operaciones?
2.- Se asegura que el plan de pruebas considera la seguridad?
Si pero no cuentan con un plan.
0,50
3.- Se asegura que el plan de pruebas considera el desempeo?
Si lo hacen pero no cuentan con el plan.
0,50

107

5.- Se monitorea la aprobacin de los procesos de prueba?

4.- Se compara el comportamiento y los resultados?

Si.

Si.

1.- Se establece procedimientos en lnea con los estndares de gestin de No cuentan con un software. Cuando el
cambios organizacionales?
usuario presenta inconvenientes y lo reporta,
lo atienden.
2.- Se requiere una revisin posterior a la implantacin como conjunto Si se hace.
de salida en el plan de implementacin?
1.- El marco de trabajo brinda un proceso formal de administracin de Si existen pero no es formal. Se tiene pensado
niveles de servicio entre el cliente y el prestador de servicio?
implementar ITIL para realizar procesos de
mejora, ya que las reas no estan conformes
con el resultado.
2.- El marco de trabajo mantiene una alineacin continua con los No cuentan con un marco de trabajo.
requerimientos y las prioridades de negocio?
3.- El marco de trabajo facilita el entendimiento comn entre el cliente y No cuentan con un marco de trabajo.
el(los) prestador(es) de servicio?
4.- El marco de trabajo incluye procesos para la creacin de No cuentan con marco de trabajo pero si con
requerimientos de servicio?
SLAs.
5.- El marco de trabajo mantiene acuerdos de niveles de servicio (SLAs), No cuentan con Marco de Trabajo.
acuerdos de niveles de operacin (OLAs) y las fuentes de financiamiento?

0,50
0,50
1,00
1,00
1,00
1,00
1,00
1,00
1,00
0,50
1,00

0,50

0,00
0,00
0,50
0,25

No cuentan con Marco de Trabajo.


0,00

DS1.3 - Acuerdos de Niveles de


Servicio.
DS1.4 - Acuerdos de
Niveles de
Operacin.

Si lo definen. Tienen un sofware de soporte


donde registran en base de datos los
requerimientos de los usuarios as como los
1,00
problemas que ellos detectan. Hacen
seguimiento de cada registro y de las
soluciones y sacan reportes.
Definir y acordar convenios de niveles de servicio para todos 1.- Existen acuerdos de convenios de niveles de servicio para todos los 1.- No existe un acuerdo de niveles de servicio
procesos
crticos
de
TI?
con el usuario, si cuentan con SLAs
los procesos crticos de TI con base en los requerimientos del
implementado por el especialista en
cliente y las capacidades en TI. Esto incluye los compromisos
aplicaciones, pero falta implementar los
del cliente, los requerimientos de soporte para el servicio,
parmetros al 100%. Esto est en proyecto.
mtricas cualitativas y cuantitativas para la medicin del
0,50
servicio firmado por los interesados, en caso de aplicar, los
arreglos comerciales y de financiamiento, y los roles y
responsabilidades, incluyendo la revisin del SLA. Los puntos
a considerar son disponibilidad, confiabilidad, desempeo,
capacidad de crecimiento, niveles de soporte, planeacin de
continuidad, seguridad y restricciones de demanda.

DS1.5 - Monitoreo y
Reporte del
Cumplimento de los
Niveles de Servicio.
DS1.6 - Revisin de
los Acuerdos de
Niveles de Servicio
y de los Contratos.
DS2.1 - Identificacin de
Todas las Relaciones con
Proveedores.

2.- Se asegura que los interesados de TI evalan los resultados de los Si se lo realiza empiricamente.
procesos de pruebas como determina el plan de pruebas?
3.- Se remedia los errores significativos identificados en el proceso de Si.
pruebas?
4.- Se monitorea la evaluacin de los procesos de prueba?
Si.

Definir un marco de trabajo que brinde un proceso formal de


administracin de niveles de servicio entre el cliente y el
prestador de servicio. El marco de trabajo mantiene una
alineacin continua con los requerimientos y las prioridades
de negocio y facilita el entendimiento comn entre el cliente y
el(los) prestador(es) de servicio. El marco de trabajo incluye
procesos para la creacin de requerimientos de servicio,
definiciones de servicio, acuerdos de niveles de servicio
(SLAs), acuerdos de niveles de operacin (OLAs) y las fuentes
de financiamiento. Estos atributos estn organizados en un
catlogo de servicios. El marco de trabajo define la
estructura organizacional para la administracin del nivel de 6.- El marco de trabajo define la estructura organizacional para la
servicio, incluyendo los roles, tareas y responsabilidades de administracin del nivel de servicio incluyendo los roles, tareas y
los proveedores externos e internos y de los clientes.
responsabilidades de los proveedores externos e internos y de los
clientes?
1.- Se definen los servicios de TI sobre las caractersticas del servicio y
Definiciones base de los servicios de TI sobre las
los requerimientos de negocio?
caractersticas del servicio y los requerimientos de negocio,
organizados y almacenados de manera centralizada por
medio de la implantacin de un enfoque de
catlogo/portafolio de servicios.

Monitorear continuamente los criterios de desempeo


especificados para el nivel de servicio. Los reportes sobre el
cumplimiento de los niveles de servicio deben emitirse en un
formato que sea entendible para los interesados. Las
estadsticas de monitoreo son analizadas para identificar
tendencias positivas y negativas tanto de servicios
individuales como de los servicios en conjunto.

DS2.2 - Gestin de Relaciones con


Proveedores.

RESPUESTAS

CALIFICACIN

OBJETIVOS DE
CONTROL
AI7.7 - Prueba de
Aceptacin Final.
AI7.9 Revisin
Posterior a la
Implantacin.

Establecer procedimientos en lnea con los estndares de


gestin de cambios organizacionales para requerir una
revisin posterior a la implantacin como conjunto de salida
en el plan de implementacin.

Definir los convenios de niveles de


servicio (SLAs) para los servicios
crticos de TI.

DS1.2 Definicin de
Servicios.

DS1.1 - Marco de Trabajo de la Administracin


de los Niveles de Servicio.

AI7.8 - Promocin a
Produccin.

ACTIVIDADES DEL
PROCESO
Establecer ambiente de
prueba y conducir
pruebas de aceptacin
finales.
Recomendar la
liberacin a
produccin con base
en los criterios de
acreditacin
convenidos.

PREGUNTAS

Definir los
convenios de
niveles de
operacin (OLAs)
para soportar las
SLAs.

Construir un
catlogo de
servicios de TI.

Establecer
ambiente de
prueba y
conducir
pruebas de
aceptacin
finales.

1.- Se controla la entrega de los sistemas cambiados a operaciones, Si.


mantenindolo en lnea con el plan de implantacin.?
2.- Se obtiene la aprobacin de los interesados clave, tales como Si.
usuarios, dueo de sistemas y gerente de operaciones cuando sea
apropiado?
3.- Se ejecuta el sistema en paralelo con el viejo sistema por un tiempo? Si.

Crear un marco de trabajo para los servicios de


TI.

Seguimiento a pruebas, controlar la entrega de los sistemas


cambiados a operaciones, mantenindolo en lnea con el plan
de implantacin. Obtener la aprobacin de los interesados
clave, tales como usuarios, dueo de sistemas y gerente de
operaciones. Cuando sea apropiado, ejecutar el sistema en
paralelo con el viejo sistema por un tiempo, y comparar el
comportamiento y los resultados.

Monitorear y reportar
el desempeo del
servicio de punta a
punta. *Revisar y
actualizar el catlago
de servicios de TI.

PROCESOS

1.- Se asegura que el dueo de proceso de negocio evala los resultados No hay plan pero si lo hacen
de los procesos de pruebas como determina el plan de pruebas?

Revisar los SLAs y


los contratos de
apoyo. *Crear un
plan de mejora de
servicios.

S
O
P
O
R
T
E

DS2 Administrar los servicios de terceros

D
A
R

Asegurar que el dueo de proceso de negocio y los


interesados de TI evalan los resultados de los procesos de
pruebas como determina el plan de pruebas. Remediar los
errores significativos identificados en el proceso de pruebas,
habiendo completado el conjunto de pruebas identificadas en
el plan de pruebas y cualquier prueba de regresin necesaria.
Siguiendo la evaluacin, aprobacin promocin a
produccin.

Identificar y categorizar las


relaciones de los servicios
de terceros.

DETALLE OBJETIVO CONTROL

Asegurar que los acuerdos de niveles de operacin expliquen


cmo sern entregados tcnicamente los servicios para
soportar el (los) SLA(s) de manera ptima. Los OLAs
especifican los procesos tcnicos en trminos entendibles
para el proveedor y pueden soportar diversos SLAs.

Definir y documentar los procesos de


administracin del proveedor.

E
N
T
R
E
G
A
R

DS1 Definir y administrar los niveles de servicio

DOMINIO

AI7 - Instalar y acreditar soluciones y


cambios.

A
D
Q
U
I
R
I
R

I
M
P
L
E
M
E
N
T
A
R

COBIT

1.- Se asegura que los acuerdos de niveles de operacin expliquen cmo


sern entregados tcnicamente los servicios para soportar el (los) SLA(s)
de manera ptima?
2.- Los OLAs especifican los procesos tcnicos en trminos entendibles
para el proveedor?
3.- Los OLAs pueden soportar diversos SLAs?

Se lo hace pero sin considerar ningn


0,50
estandar.
No en su totalidad, solo una parte.
No tecnicamente, los soportan empricamente.

0,50
0,50

1.- Se monitorean continuamente los criterios de desempeo


especificados para el nivel de servicio?
2.- Los reportes sobre el cumplimiento de los niveles de servicio se
emiten en un formato que sea entendible para los interesados?

No se monitorean, slo en el sistema se


0,50
verifican los nuevos requerimientos.
Por ahora si, desde hace dos meses se emiten
informes pero los responsabes no ingresan 1,00
informacin.
3.- Las estadsticas de monitoreo son analizadas para identificar Todavia no.
tendencias positivas y negativas tanto de servicios individuales como de
0,00
los servicios en conjunto?
1.Se
revisan
regularmente
con
los
proveedores
internos
los
acuerdos
de
No,
una
parte
con
los
proveedores
externos
Revisar regularmente con los proveedores internos y externos
0,50
pero no formalmente.
los acuerdos de niveles de servicio y los contratos de apoyo, los niveles de servicio y los controles de apoyo?
para asegurar que son efectivos, que estn actualizados y que 2.- Se revisan regularmente con los proveedores externos los acuerdos de En parte.
los niveles de servicio y los controles de apoyo?
se han tomado en cuenta los cambios en requerimientos,
0,50
para asegurar que son efectivos, que estn actualizados y que
se han tomado en cuenta los cambios en requerimientos.
1.- Se identifican todos los servicios de los proveedores?
Identificar todos los servicios de los proveedores, y
categorizar los de acuerdo al tipo de proveedor, significado y
criticidad. Mantener documentacin formal de relaciones
2.- Se categorizan los de acuerdo al tipo de proveedor, significado y
tcnicas y organizacionales que cubren los roles y
criticidad?
responsabilidades, metas, entregables esperados, y
3.- Se mantiene una documentacin formal de relaciones tcnicas?
credenciales de los representantes de estos proveedores.
4.- Se mantiene una documentacin formal de relaciones
organizacionales?
1.- Se formaliza el proceso de gestin de relaciones con proveedores para
cada proveedor?

Si, pero falta estructurar. Tener una sola


matriz de tal forma que una persona pueda
0,50
saber a quien llamar cuando se presente un
inconveniente.
No.
No.
No hay.

0,00
0,00
0,00

Habra que revisar el requerimento de


calificacin de proveedores. Logistica debe de
evaluar los proveedores, lo maneja a traves
del correo electrnico o por llamadas
telefnicas y si hay problemas tratan de
Formalizar el proceso de gestin de relaciones con
hablar con el gerente. Cuando es un nuevo 1,00
proveedores para cada proveedor. Los dueos de las
proveedor en el sistema BAAN se almacena
relaciones deben enlazar las cuestiones del cliente y
los datos del proveedor, caso contrario por
proveedor y asegurar la calidad de las relaciones basadas en
internet, otra opcin es por paginas amarillas
la confianza y transparencia. (Ej.: a travs de SLAs).
o contactar a travs de otros amigos de otras
empresas.
2.- Los dueos de las relaciones enlazan las cuestiones del cliente y Si.
1,00
proveedor?
3.-aseguran la calidad de las relaciones basadas en la confianza y Si.
1,00
transparencia?

108

PREGUNTAS

1.- Se identifican los riesgos relacionados con la habilidad de los No se tienen identificados los riesgos a pesar
proveedores para mantener un efectivo servicio de entrega de forma de que se tiene la matriz de riesgo. Si est
segura sobre una base de continuidad?
estipulado cuando se califica al proveedor,
pero cuando hay urgencias el plazo de
entrega es de 2 dias. Cuando es importacin
Identificar y mitigar los riesgos relacionados con la
depende del producto.
habilidad de los proveedores para mantener un efectivo
2.- Se aseguran que los contratos estn de acuerdo con los Si porque existe un proceso para la
servicio de entrega de forma segura y eficiente sobre una
requerimientos legales de los estndares universales del negocio?
elaboracin de contratos donde interviene el
base de continuidad. Asegurar que los contratos estn de
departamento Legal y TI.
acuerdo con los requerimientos legales y regulatorios de los
3.- La administracin del riesgo considera acuerdos de confidencialidad No.
estndares universales del negocio. La administracin del
(NDAs)?
riesgo debe considerar adems acuerdos de confidencialidad
4.- La administracin del riesgo considera los contratos de garanta?
Si.
(NDAs), contratos de garanta, viabilidad de la continuidad
5.- La administracin del riesgo considera la viabilidad de la Si.
del proveedor, conformidad con los requerimientos de
continuidad
del
proveedor?
seguridad, proveedores alternativos, penalizaciones e
6.- La administracin del riesgo considera la conformidad con los Si.
incentivos, etc.
requerimientos de seguridad?
7.- La administracin del riesgo considera a los proveedores En el plan de contingencia no se ha hecho
alternativos?
mucho incapi con los proveedores.
8.- La administracin del riesgo considera las penalizaciones e Si.
incentivos?
Establecer un proceso para monitorear la prestacin del
1.- Se establece un proceso para monitorear la prestacin del servicio del No.
servicio para asegurar que el proveedor est cumpliendo con proveedor?
2.- Se aseguran que el proveedor est cumpliendo con los requerimientos Si.
los requerimientos del negocio actuales y que se adhiere
continuamente a los acuerdos del contrato y a SLAs, y que el del negocio?
1.- Se establece un proceso de planeacin para la revisin del Si se establece. (Especialista en Soporte).
Establecer un proceso de planeacin para la revisin del
desempeo?
desempeo y la capacidad de los recursos de TI, para
2.- Se establece un proceso de planeacin para la revisin de la
Si. Se esta haciendo diagnstico de redes,
asegurar la disponibilidad de la capacidad y del desempeo, capacidad de los recursos de TI?
Base de Datos, Sistema Operativo.
con costos justificables, para procesar las cargas de trabajo 3.- Los planes de capacidad y desempeo hacen uso de tcnicas de Indirectamente si aprovechan los recursos y
acordadas tal como se determina en los SLAs. Los planes de modelo apropiadas para producir un modelo de desempeo, de capacidad metodologias de los proveedores, se basan en
capacidad y desempeo deben hacer uso de tcnicas de
de los recursos de TI, tanto actual como pronosticado?
tcnicas apropiadas. Cada especialista de la
modelo apropiadas para producir un modelo de desempeo,
Empresa de Produccin interacta con los
de capacidad y de desempeo de los recursos de TI, tanto
expertos del mercado para integrar a los
actual como pronosticado.
procesos normales las mejores tecnicas
vigentes.
Revisar la capacidad y desempeo actual de los recursos de 1.- Se revisa el desempeo actual de los recursos de TI en intervalos Se los revisa pero no hay formato o
documento, solo se lo hace como una funcin
TI en intervalos regulares para determinar si existe suficiente regulares?
de la persona a cargo.
capacidad y desempeo para prestar los servicios con base
en los niveles de servicio acordados.
1.- Se lleva a cabo un pronstico de desempeo de los recursos de TI en No se hace,
intervalos regulares para minimizar el riesgo de interrupciones?
2.- Se identifican tambin el exceso de capacidad para una posible No.
redistribucin?
3.- Se identifican las tendencias de las cargas de trabajo?
No. Se adquiere el equipo de acuerdo al
anlisis de lo que va a hacer el usuario y sus
necesidades de operacin.
4.- Se determina los pronsticos que sern parte de los planes de No.
capacidad de desempeo?
1.- Se toman en cuenta, planes de contingencias, en los ciclos de vida de Si.
Brindar la capacidad y desempeo requeridos tomando en
los recursos de TI?
cuenta aspectos como cargas de trabajo normales,
contingencias, requerimientos de almacenamiento y ciclos de 2.- La empresa garantiza que los planes de contingencia son El plan de contingencia existe pero falta la
vida de los recursos de TI. Deben tomarse medidas cuando el considerados de forma apropiada sobre los recursos individuales de TI? implementacin, solo est escrito. Falta
inversin que permita la implementacin.
desempeo y la capacidad no estn en el nivel requerido,
tales como dar prioridad a las tareas, mecanismos de
tolerancia de fallas y prcticas de asignacin de recursos. La
gerencia debe garantizar que los planes de contingencia
consideran de forma apropiada la disponibilidad, capacidad
y desempeo de los recursos individuales de TI.

DS3.5 - Monitoreo y Reporte.


DS4.1 - Marco de Trabajo de Continuidad de TI.

Llevar a cabo un pronstico de desempeo y capacidad de los


recursos de TI en intervalos regulares para minimizar el
riesgo de interrupciones del servicio originadas por falta de
capacidad o degradacin del desempeo. Identificar tambin
el exceso de capacidad para una posible redistribucin.
Identificar las tendencias de las cargas de trabajo y
determinar los pronsticos que sern parte de los planes de
capacidad y de desempeo.

Desarrollar un marco de trabajo de continuidad de TI para


soportar la continuidad del negocio con un proceso
consistente a lo largo de toda la organizacin. El objetivo del
marco de trabajo es ayudar en la determinacin de la
resistencia requerida de la infraestructura y de guiar el
desarrollo de los planes de recuperacin de desastres y de
contingencias. El marco de trabajo debe tomar en cuenta la
estructura organizacional para administrar la continuidad,
la cobertura de roles, las tareas y las responsabilidades de
los proveedores de servicios internos y externos, su
administracin y sus clientes; as como las reglas y
estructuras para documentar, probar y ejecutar la
recuperacin de desastres y los planes de contingencia de TI.
El plan debe tambin considerar puntos tales como la
identificacin de recursos crticos, el monitoreo y reporte de
la disponibilidad de recursos crticos, el procesamiento
alternativo y los principios de respaldo y recuperacin.

DS4.2 - Planes de
Continuidad de TI.

RESPUESTAS

Desarrollar planes de continuidad de TI con base en el marco


de trabajo, diseado para reducir el impacto de una
interrupcin mayor de las funciones y los procesos clave del
negocio. Los planes deben considerar requerimientos de
resistencia, procesamiento alternativo, y capacidad de
recuperacin de todos los servicios crticos de TI. Tambin
deben cubrir los lineamientos de uso, los roles y
responsabilidades, los procedimientos, los procesos de
comunicacin y el enfoque de pruebas.
Centrar la atencin en los puntos determinados como los ms
crticos en el plan de continuidad de TI, para construir
resistencia y establecer prioridades en situaciones de
recuperacin. Evitar la distraccin de recuperar los puntos
menos crticos y asegurarse de que la respuesta y la
recuperacin estn alineadas con las necesidades

1.- Monitorean continuamente el desempeo de los recursos de TI?

CALIFICACIN

OBJETIVOS DE
CONTROL
DS2.3 - Administracin de Riesgos del Proveedor.
DS3.1 - Planeacin del
Desempeo y la Capacidad.
DS3.4 - Disponibilidad de
Recursos de TI.

DETALLE OBJETIVO CONTROL

Monitorear continuamente el desempeo y la capacidad de


los recursos de TI. La informacin reunida sirve para dos
propsitos:
Mantener y poner a punto el desempeo actual dentro de TI
y atender temas como elasticidad, contingencia, cargas de
trabajo actuales y proyectadas, planes de almacenamiento y
adquisicin de recursos.
Para reportar la disponibilidad hacia el negocio del
servicio prestado como se requiere en los SLAs.
Acompaar todos los reportes de excepcin con
recomendaciones para acciones correctivas

DS4.3 - Recursos
Crticos de TI.

Desarrollar un marco de trabajo de continuidad de TI.

DS3.3 - Capacidad y
Desempeo Futuros.

DS3.2 Capacidad y
Desempeo
Actual.

DS2.4 Monitoreo
del
Desempe
o del
Proveedor.

ACTIVIDADES DEL
PROCESO
Establecer un proceso de
Planeacin para la revisin del
desempeo y la capacidad de
los recursos de TI.
Revisar el
desempeo
y la
capacidad
actiual de
los recursos
de TI.
Realizar pronsticos de
desempeo y capacidad
de los recursos de TI.
Desarrollar y mantener
planes de continuidad de
TI.
Realizar un
anlisis de
impacto al
negocio y
valoracin de
riesgo.

DS4 Garantizar la continuidad del servicio

Monitorear y reportar
continuamente la disponibilidad, el
desempeo y la capacidad de los
recursos de TI.

S
O
P
O
R
T
E

Realizar un plan de
contingencia respecto a una
falta potencial de
disponibilidad de recursos de
TI.

PROCESOS
DS2 Administrar los servicios de terceros

D
A
R

DS3 Administrar el desempeo y la capacidad

Identificar,
valorar y
mitigar los
Establecer polticas y procedimientos de evaluacin y
riesgos del
suspensin de proveedores. *Evaluar las metas de largo
proveedor.
*Monitore plazo de la relacin del servicio para todos los interesados.
ar la
prestacin
del

DOMINIO

E
N
T
R
E
G
A
R

COBIT

0,00

1,00
0,00
1,00
1,00
1,00
0,50
1,00
0,00
1,00
1,00
1,00

0,50

0,00

0,00
0,00
0,00
0,00
1,00

0,00

No se lo hace, solo cada dos aos para la


renovacion de equipos segn la politica de la
empresa.

0,50

1.- La empresa desarrolla un marco de trabajo de continuidad de TI?

Si lo hacen por medio del presupesto.

1,00

1.- La empresa desarrolla planes de continuidad de TI con base en el No.


marco de trabajo, diseado para reducir el impacto de una interrupcin
mayor de las funciones?
0,00

1.- Existen puntos determinados en el plan de continuidad de TI?


2.- Los puntos determinados en el plan construyen resistencia
estableciendo prioridades en situaciones de recuperacion?
3.- Se considera los requerimientos de resistencia, respuesta y
recuperacin para diferentes niveles de prioridad?

109

Falta identificar los puntos crticos, elaborar


0,00
los procedimentos y difundirlos.
Si lo tienen pero est incompleto, pero si
0,00
estan conscientes que se debe hacer.
Si, en el plan de contingencia, pero el plan no
0,00
esta implantado.

DS5.3 - Administracin de Identidad.


DS5.4 - Administracin de Cuentas del
Usuario.

DETALLE OBJETIVO CONTROL

PREGUNTAS

RESPUESTAS

CALIFICACIN

OBJETIVOS DE
CONTROL
DS4.4 - Mantenimiento
del Plan de
Continuidad de TI.
DS4.5 - Pruebas del Plan de
Continuidad de TI.
DS4.8 Recuperaci
DS4.7 - Distribucin
n y
del Plan de
Reanudaci
n de los Continuidad de TI.
Servicios
de TI.
DS4.9 - Almacenamiento de Respaldos Fuera de
las Instalaciones.
DS4.10 DS5.2 - Plan
DS5.1 Revisin
de Seguridad Administracin de
Post
de TI.
la Seguridad de TI. Reanudaci
n.

DS4.6 - Entrenamiento del Plan de


Continuidad de TI.

ACTIVIDADES DEL
PROCESO
Probar regularmente el plan de
continuidad de TI.
Monitorear incidentes de seguridad, reales y
potenciales.

DS5 Garantizar la seguridad de los sistemas

S
O
P
O
R
T
E

Revisar y validar peridicamente los


privilegios y derechos de acceso de los
usuarios.

D
A
R

Planear y
llevar a
Desarrollar un plan
cabo
de accin a seguir
capacitaci
con base en los
n sobre
resultados de las
planes de
pruebas.
continuida
d de TI.

Planear e
Definir, establecer implement
Definir y
y operar un
ar el
Planear la recuperacin y reanudacin de los
mantener un
proces de
almacena
servicios de TI. *Establecer los procedimientos
plan de
administracin de miento y la
para llevar a cabo revisiones post reanudacin.
seguridad de
identidad
proteccin
TI.
(cuentas).
de
respaldos.

DS4 Garantizar la continuidad del servicio

Definir y ejecutar
procedimientos de control de
cambios para asegurar que el
plan de continuidad sea vigente.

Identificar y
categorizar los
recursos de TI con
base a los objetivos de
recuperacin.

PROCESOS

DOMINIO

E
N
T
R
E
G
A
R

COBIT
1.- Se ejecutan procedimientos de control de cambios, para asegurar que Si , se lo hace desde el Holding.
Exhortar a la gerencia de TI a definir y ejecutar
procedimientos de control de cambios, para asegurar que el el plan de continuidad de TI se mantenga actualizado?
plan de continuidad de TI se mantenga actualizado y que
refleje de manera continua los requerimientos actuales del
negocio. Es esencial que los cambios en los procedimientos y
las responsabilidades sean comunicados de forma clara y
oportuna.

1,00

1.- Se prueba el plan de continuidad de TI de forma regular para asegurar


Probar el plan de continuidad de TI de forma regular para
que los sistemas de TI pueden ser recuperados de forma efectiva?
asegurar que los sistemas de TI pueden ser recuperados de
forma efectiva, que las deficiencias son atendidas y que el
plan permanece aplicable. Esto requiere una preparacin
cuidadosa, documentacin, reporte de los resultados de las
pruebas y, de acuerdo con los resultados, la implementacin
de un plan de accin. Considerar el alcance de las pruebas de
recuperacin en aplicaciones individuales, en escenarios de
pruebas integrados, en pruebas de punta a punta y en
pruebas integradas con el proveedor.

No hay plan de continuidad, en el manual de


procedimiento estn descritas las funciones
de cada uno y en base a eso se garantiza la
continuidad.
0,50

1.- Se asegura de que todos las partes involucradas reciban sesiones de


habilitacin de forma regular respecto a los procesos en caso de incidente
o desastre?
2.- Se asegura de que todos las partes involucradas reciban sesiones de
Asegurarse de que todos las partes involucradas reciban
habilitacin de forma regular respecto a sus roles en caso de incidente o
sesiones de habilitacin de forma regular respecto a los
desastre?
procesos y sus roles y responsabilidades en caso de
3.- Se asegura de que todos las partes involucradas reciban sesiones de
incidente o desastre. Verificar e incrementar el entrenamiento
habilitacin de forma regular respecto a las responsabilidades en caso de
de acuerdo con los resultados de las pruebas de
incidente o desastre?
contingencia.
4.- Se verifica el entrenamiento de acuerdo con los resultados de las
pruebas de contingencia?
5.- Se incrementa el entrenamiento de acuerdo con los resultados de las
pruebas de contingencia?
1.- Existe una estrategia de distribucin definida y administrada para
Determinar que existe una estrategia de distribucin definida
asegurar que los planes se distribuyan de manera segura?
y administrada para asegurar que los planes se distribuyan
de manera apropiada y segura y que estn disponibles entre
las partes involucradas y autorizadas cuando y donde se
requiera. Se debe prestar atencin en hacerlos accesibles
bajo cualquier escenario de desastre.

No.
0,00
No.
0,00
Si, cada encargado sabe de sus
responsabilidades.
No se hacen pruebas de contingencia.
No.

1,00
0,00
0,00

No tienen, slo se hacen reuniones peridicas


con el Departamento de Desarrollo
Organizacional y se reporta a Gerencia
General. Tiene que estar apegado al plan 0,50
estratgico de la empresa, si no es as no se lo
hace. Hay reas definidas para cada
actividad.
Planear las acciones a tomar durante el perodo en que TI
1.- Se planean las acciones a tomar durante el perodo en que TI est Si se lo hace pero de manera emergente, solo
0,50
est recuperando y reanudando los servicios. Esto puede
recuperando y reanudando los servicios?
cuando ocurre.
2.- Se aseguran que los responsables del negocio entiendan los tiempos No.
representar la activacin de sitios de respaldo, el inicio de
0,00
procesamiento alternativo, la comunicacin a clientes y a los de recuperacin de TI?
Almacenar fuera de las instalaciones todos los medios de
1.- Se almacena fuera de las instalaciones todos los medios de respaldo No.
0,00
respaldo, documentacin y otros recursos de TI crticos,
para los planes de continuidad del negocio?
necesarios para la recuperacin de TI y para los planes de
2.- El respaldo de la informacion se realiza bajo la politica del contenido Si se hacen en los respaldos del sistema.
continuidad del negocio. El contenido de los respaldos a
de los respaldos a almacenar se determinan en conjunto entre los Diarios de la base de datos y con los
1,00
almacenar debe determinarse en conjunto entre los
responsables del negocio y el personal de TI?
respaldos semestrales de la informacin de
responsables de los procesos de negocio y el personal de TI.
cada usuario.
La administracin del sitio de almacenamiento externo a las 3.- La administracin del sitio de almacenamiento externo a las No tienen.
instalaciones, debe apegarse a la poltica de clasificacin de instalaciones, est apegada a la poltica de almacenamiento de datos de
0,00
datos y a las prcticas de almacenamiento de datos de la
la empresa?
empresa. La gerencia de TI debe asegurar que los acuerdos
4.- La gerencia de TI se asegura que los acuerdos con sitios externos sean No.
0,00
con sitios externos sean evaluados peridicamente, al menos evaluados peridicamente?
una vez por ao, respecto al contenido, a la proteccin
5.- Se aseguran de la compatibilidad del hardware y del software para Si, pero falta implementar la poltica de
ambiental y a la seguridad. Asegurarse de la compatibilidad poder recuperar los datos archivados y peridicamente probar y renovar renovar y probar.
0,50
del hardware y del software para poder recuperar los datos los datos archivados?
archivados y peridicamente probar y renovar los datos
archivados.
Una vez lograda una exitosa reanudacin de las funciones de 1.-La gerencia de TI ha establecido procedimientos para valorar lo Se est implementando.
TI despus de un desastre, determinar si la gerencia de TI ha adecuado del plan?
0,50
establecido procedimientos para valorar lo adecuado del
plan y actualizar el plan en consecuencia.
Administrar la seguridad de TI al nivel ms alto apropiado
dentro de la organizacin, de manera que las acciones de
administracin de la seguridad estn en lnea con los
requerimientos del negocio.
Trasladar los requerimientos de negocio, riesgos y
cumplimiento dentro de un plan de seguridad de TI completo,
teniendo en consideracin la infraestructura de TI y la
cultura de seguridad. Asegurar que el plan esta implementado
en las polticas y procedimientos de seguridad junto con las
Asegurar que todos los usuarios (internos, externos y
temporales) y su actividad en sistemas de TI (aplicacin de
negocio, entorno de TI, operacin de sistemas, desarrollo y
mantenimiento) deben ser identificables de manera nica.
Permitir que el usuario se identifique a travs de mecanismos
de autenticacin. Confirmar que los permisos de acceso del
usuario al sistema y los datos estn en lnea con las
necesidades del negocio definidas y documentadas y que los
requerimientos de trabajo estn adjuntos a las identidades
del usuario. Asegurar que los derechos de acceso del usuario
se solicitan por la gerencia del usuario, aprobados por el
responsable del sistema e implementado por la persona
responsable de la seguridad. Las identidades del usuario y
los derechos de acceso se mantienen en un repositorio
central. Se despliegan tcnicas efectivas en coste y
procedimientos rentables, y se mantienen actualizados para
establecer la identificacin del usuario, realizar la
autenticacin y habilitar los derechos de acceso.

1.- El nivel apropiado de seguridad de TI dentro de la organizacin esta No, falta implementar bastante. Se cambi
en linea sobre los requerimientos del negocio?
todas las configuraciones de los ruteadores,
se lleva registro de todos los que se estn
0,30
conectando, hicieron un estudio (Sliced cord,
Deloitte, proporcionaron una matriz para
implementar las seguridades. y controles).
1.- Los requerimientos del negocio dentro de un plan de seguridad de TI Si.
se trasladan teniendo en consideracion la infraestructura de TI en cuanto
a la seguridad?
2.- El plan de seguridad de TI esta implementado en las polticas de No hay plan.
procedimientos de seguridad?
1.- Los usuarios y su actividad en TI son identificados de manera unica? Si.
*El usuario se identifica a travs de mecanismos de autenticacin?
2.- Se confirma que los permisos de acceso del usuario al sistema estn Si.
en lnea con las necesidades del negocio?
3.- Se asegura que los derechos de acceso del usuario se solicitan por la Si.
gerencia del usuario para ser aprobados por el responsable del sistema?

1,00
0,00
1,00
1,00
1,00

4.- Las identidades del usuario y los derechos de acceso se mantienen en Cada aplicativo tiene su administrador. El
administrador del aplicativo maneja las
un repositorio central?
seguridades, el adminstrador de Base de
1,00
Datos las seguridades a nivel de BD., y el
Administrador de comunicaciones el acceso a
la red.
5.- Se despliegan tcnicas efectivas en procedimientos rentables, que se No lo tienen.
mantienen actualizados para establecer la identificacin del usuario?
0,00

1.- Los privilegios relacionados con la creacion de cuentas de usuarios,


Garantizar que la solicitud, establecimiento, emisin,
suspensin, modificacin y cierre de cuentas de usuario y de son tomados en cuenta por un conjunto de procedimientos de la gerencia
los privilegios relacionados, sean tomados en cuenta por un de cuentas de usuario?
conjunto de procedimientos de la gerencia de cuentas de
usuario. Debe incluirse un procedimiento de aprobacin que
describa al responsable de los datos o del sistema otorgando
los privilegios de acceso. Estos procedimientos deben
aplicarse a todos los usuarios, incluyendo administradores
(usuarios privilegiados), usuarios externos e internos, para
casos normales y de emergencia. Los derechos y obligaciones
relativos al acceso a los sistemas e informacin de la
empresa deben acordarse contractualmente para todos los
tipos de usuarios. Realizar revisiones regulares de la gestin
de todas las cuentas y los privilegios asociados.

110

Es uno de los puntos a mejorar, actualmente


se hace a travs de los procedimientos de
soporte. No hay manual de usuario. No hay
criterios para creacin de usuario. Falta
trabajar en esto.
0,00

PREGUNTAS

1.- Se garantiza que la implementacin de la seguridad en TI sea probada En un 20 %. El administrador de la red


y monitoreada de forma pro-activa?
monitorea como est la red, los enlaces y el
perimetro.
0,20

2.- La seguridad en TI se reacreditada peridicamente para garantizar


que se mantiene el nivel seguridad aprobado?

DS6.3 - Modelacin de Costos y Cargos.


DS6.4 Mantenimiento
del Modelo de
Costos.
DS7.1 - Identificacin de Necesidades de
Entrenamiento y Educacin.
DS7.2 - Imparticin de
Entrenamiento y
Educacin.

Establecer y mantener un proceso de


control de contabilizacin de TI y de
costos.
Establecer y
mantener
procedimientos y
polticas de
facturacin.
Identificar y categorizar las necesidades
de capacitacin de los usuarios.

Una parte lo maneja TI a travs de los


softwares de gestin y monitoreo y otra parte

1,00

1.- Se define claramente las caractersticas de incidentes de seguridad No. Se est trabajando en el plan de
para que puedan ser clasificados propiamente por el proceso de gestin contingencia. Si hay mal uso en la red, lo
Definir claramente y comunicar las caractersticas de
de incidentes?
primero que se hace es bloquear el problema
incidentes de seguridad potenciales para que puedan ser
0,00
y comunicar al jefe y se toman medidas
clasificados propiamente y tratados por el proceso de gestin
correctivas.
No
hay
procedimiento
de incidentes y problemas.
establecido.
1.- Se garantiza que la tecnologa relacionada con la seguridad sea Si. No tienen problemas con eso a pesar de
Garantizar que la tecnologa relacionada con la seguridad
resistente al sabotaje?
que no hay sotfware que revise cada
sea resistente al sabotaje y no revele documentacin de
documento o correo, no tienen ese tipo de 0,50
seguridad innecesaria.
seguridad solo lo que es interno. Est en
proyecto.
1.Se
determinan
politicas
de
procedimientos
para
garantizar
la
Trabajan
con seguridad de encriptacin WPA.
Determinar que las polticas y procedimientos para organizar
la generacin, cambio, revocacin, destruccin, distribucin, proteccion de las llaves contra modificaciones o divulgaciones no En la mayoria de los casos encriptan la
autorizadas?
informacin.
certificacin, almacenamiento, captura, uso y archivo de
1,00
llaves criptogrficas estn implantadas, para garantizar la
proteccin de las llaves contra modificaciones y divulgacin
no autorizadas.
1.- La empresa cuenta con medidas preventivas en toda la organizacin Utilizan Kapersky y a travs de la consola
para proteger los sistemas de la informacin de TI?
controlan como va el tema de los virus. El
sistema es bastante completo. Es una consola
1,00
de las mejores y mas costosas que da informe
en tiempo real de cmo est la proteccin de
la red.
Si.
1,00

Poner medidas preventivas, detectivas y correctivas (en


especial contar con parches de seguridad y control de virus
actualizados) en toda la organizacin para proteger los
sistemas de la informacin y a la tecnologa contra malware
2.- La empresa cuenta con medidas detectivas en toda la organizacin
(virus, gusanos, spyware, correo basura).
para proteger los sistemas de la informacin de TI?
3.- La empresa cuenta con medidas correctivas en toda la organizacin
para proteger los sistemas de la informacin de TI?
Uso de tcnicas de seguridad y procedimientos de
1.- La empresa usa tcnicas de seguridad y procedimientos de
administracin asociados (por ejemplo, firewalls,
administracin asociados para autorizar acceso y controlar los flujos de
dispositivos de seguridad, segmentacin de redes, y deteccin informacin hacia las redes?
de intrusos) para autorizar acceso y controlar los flujos de
informacin desde y hacia las redes.
1.- Las transacciones de datos sensibles se intercambian a travs de una
ruta o medio con controles para proporcionar autenticidad de contenido?
Transacciones de datos sensibles se intercambian solo a 2.- Las transacciones de datos sensibles se intercambian a travs de una
travs de una ruta o medio con controles para proporcionar ruta o medio con controles para prueba de envo?
autenticidad de contenido, prueba de envo, prueba de
3.- Las transacciones de datos sensibles se intercambian a travs de una
recepcin y no repudio del origen.
ruta o medio con controles prueba de recepcin?
4.- Las transacciones de datos sensibles se intercambian a travs de una
ruta o medio con controles para no repudio del origen?
Identificar todos los costos de TI y equipararlos a los 1.- Se identifican todos los costos de TI para soportar un modelo de
servicios de TI para soportar un modelo de costos costos transparente?
transparente. Los servicios de TI deben alinearse a los
procesos del negocio de forma que el negocio pueda
identificar los niveles de facturacin de los servicios
asociados.
Registrar y asignar los costos actuales de acuerdo con el 1.- Se registra los costos actuales de acuerdo con el modelo de costos
modelo de costos definido. Las variaciones entre los definido?
presupuestos y los costos actuales deben analizarse y
reportarse de acuerdo con los sistemas de medicin
financiera de la empresa.
1.- Se define un modelo de costos de TI?

Construir un
programa de
capacitacin.

RESPUESTAS

CALIFICACIN

OBJETIVOS DE
CONTROL
DS5.5 - Pruebas, Vigilancia y
Monitoreo de la Seguridad.
DS5.8 DS5.10 DS5.9 - Prevencin, Deteccin
Administracin de
Seguridad de
y Correccin de Software
Llaves
la Red.
Malicioso.
Criptogrficas.
DS5.11 - Intercambio de
Datos Sensitivos.
DS6.1 Definicin de
Servicios.
DS6.2 Contabilizacin
de TI.

Definir, establecer y operar


un proceso de
administracin de identidad
(cuentas).
Realizar
evaluaciones
de
vulnerabilida
d de menera
regular.
Revisar y validar
peridicamente los
privilegios y derechos
de acceso de los
usuarios.

DS5.7 DS5.6 - Definicin


Proteccin de
de Incidente de
la Tecnologa
Seguridad.
de Seguridad.

ACTIVIDADES DEL
PROCESO
Establecer y mantener
procedimientos para mantener y
salvaguardar las llaves
criptogrficas.
Implementar y
mantener
controles
tcnicos y de
procedimientos
para proteger el
flujo de
informacin a
travs de la red

PROCESOS
DS7 Educar y entrenar a usuarios

S
O
P
O
R
T
E

DS6 Identificar y asignar costos

D
A
R

Garantizar que la implementacin de la seguridad en TI sea


probada y monitoreada de forma pro-activa. La seguridad en
TI debe ser reacreditada peridicamente para garantizar que
se mantiene el nivel seguridad aprobado. Una funcin de
ingreso al sistema (logging) y de monitoreo permite la
deteccin oportuna de actividades inusuales o anormales
que pueden requerir atencin.

Implementar y
Realizar
mantener controles
evaluaciones
tcnicos y de
de
procedimientos
vulnerabilida
para proteger el
d de menera
flujo de
regular.
informacin a
travs de la red.

DS5 Garantizar la seguridad de los sistemas

DETALLE OBJETIVO CONTROL

Identificar todos
Mapear la
los costos de TI
infraestructura
(personas,
tecnologa, etc) y con los servicios
mapearlos a los brindados/proce
sos de negocio
servicios de TI
soportados.
con bases en
costos unitarios.

DOMINIO

E
N
T
R
E
G
A
R

COBIT

2.- El modelo de costos est alineado con los procedimientos de


contabilizacin de costos de la empresa?
3.- Se garantiza que los cargos por servicios son identificables en el
modelo de costos de TI?
4.- Se garantiza que los cargos por servicios son medibles en el modelo
de costos de TI?
5.- Se garantiza que los cargos por servicios son predecibles por parte de
los usuarios para propiciar el adecuado uso de recursos en el modelo de
costos de TI ?
6.- La gerencia del usuario verifica el uso actual del modelo de costos de
TI?
7.- La gerencia del usuario verifica los cargos de los servicios en el
modelo de costos de TI?
1.- Se revisa de forma regular lo apropiado del modelo de
costos/recargos para mantener su relevancia para el negocio en evolucin
Revisar y comparar de forma regular lo apropiado del modelo
para las actividades de TI?
de costos/recargos para mantener su relevancia para el
2.- Se compara de forma regular lo apropiado del modelo de
negocio en evolucin y para las actividades de TI.
costos/recargos para mantener su relevancia para el negocio en evolucin
para las actividades de TI?
1.- Se establece de forma regular un programa de entrenamiento para
cada grupo objetivo de empleados?
Establecer y actualizar de forma regular un programa de
entrenamiento para cada grupo objetivo de empleados, que
2.- Se actualiza de forma regular el programa de entrenamiento para
incluya:
Estrategias y requerimientos actuales y futuros del negocio. cada grupo objetivo de empleados?
Valores corporativos (valores ticos, cultura de control y
3.- El programa de entrenamiento incluye estrategias y requerimientos
seguridad, etc.)
actuales y futuros del negocio?
Implementacin de nuevo software e infraestructura de TI
4.- El programa de entrenamiento incluye valores corporativos?
(paquetes y aplicaciones)
Habilidades, perfiles de competencias y certificaciones
5.- El programa de entrenamiento incluye la Implementacin de nuevo
actuales y/o credenciales necesarias.
software e infraestructura de TI?
Mtodos de imparticin (por ejemplo, aula, web), tamao
6.- El programa de entrenamiento incluye habilidades, perfiles de
del grupo objetivo, accesibilidad y tiempo.
competencias y certificaciones actuales y/o credenciales necesarias?
7.- El programa de entrenamiento incluye mtodos de imparticin?
Con base en la definicin del servicio, definir un modelo de
costos que incluya costos directos, indirectos y fijos de los
servicios, y que ayude al clculo de tarifas de reintegros de
cobro por servicio. El modelo de costos debe estar alineado
con los procedimientos de contabilizacin de costos de la
empresa. El modelo de costos de TI debe garantizar que los
cargos por servicios son identificables, medibles y
predecibles por parte de los usuarios para propiciar el
adecuado uso de recursos. La gerencia del usuario debe
poder verificar el uso actual y los cargos de los servicios.

Si,

En parte.
En parte.
En parte.
Se identifican los costos en trminos globales
por departamento pero no est detallado o
clasificado.

0,50
0,50
0,50

0,50

Si se lo registra.
1,00

Si.
Si.
Si.
Si.

1,00
1,00
1,00
1,00

Si.
1,00
Si puede, pero necesitan un sistema de costeo.
Si puede, pero necesitan un sistema de costeo.

0,50
0,50

Si.
1,00
Si.
1,00
Se lo est realizando pero no existe un
0,00
programa de entrenamiento.
Ver respuesta anterior.
0,00
Si.
Si.
Si incluye. (BAAN).

1,00
1,00
1,00

Recursos Humanos elegir a las personas


0,00
indicadas.
Si.
1,00
Si.
1,00

Con base en las necesidades de entrenamiento identificadas, 1.- Se designa instructores de entrenamiento a los grupos objetivo?
identificar: a los grupos objetivo y a sus miembros, a los 2.- Se organiza el entrenamiento de los grupos objetivo con tiempo Si.
mecanismos de imparticin eficientes, a maestros, suficiente?
instructores y consejeros. Designar instructores y organizar
el entrenamiento con tiempo suficiente. Debe tomarse nota
del registro (incluyendo los prerrequisitos), la asistencia, y
de las evaluaciones de desempeo.

111

1,00

Si. Routeadores, firewall estn trabajando


para ver quienes pueden acceder a la red.
Kapersky tambien tienen un firewall local y 1,00
otro perimetral que siempre est trabajando
en la seguridad de acceso a la red.
Tienen un proxy para la web pero no tienen
0,50
para el correo electronico.

1,00

Establecer la funcin de mesa de servicio, la cual es la


conexin del usuario con TI, para registrar, comunicar,
atender y analizar todas las llamadas, incidentes reportados,
requerimientos de servicio y solicitudes de informacin.
Deben existir procedimientos de monitoreo y escalamiento
basados en los niveles de servicio acordados en los SLAs, que
permitan clasificar y priorizar cualquier problema reportado
como incidente, solicitud de servicio o solicitud de
informacin. Medir la satisfaccin del usuario final respecto
a la calidad de la mesa de servicios y de los servicios de TI

RESPUESTAS

1.- Se evala el contenido del entrenamiento al finalizar la capacitacin Se est armando el plan de capacitacin y se
respecto a la relevancia?
va a seleccionar por cada gerencia usuarios
claves para capacitarlos.
2.- Se evala el contenido del entrenamiento al finalizar la capacitacin No.
respecto a la calidad?
3.- Se evala el contenido del entrenamiento al finalizar la capacitacin No.
respecto a la efectividad?
4.- Se evala el contenido del entrenamiento al finalizar la capacitacin No.
respecto a la percepcin y retencin del conocimiento?
5.- Se evala el contenido del entrenamiento al finalizar la capacitacin No.
respecto al costo y valor?
1.- Existen procedimientos de monitoreo basados en los niveles de No hay procedimientos definidos.
servicio acordados en los SLAs?
2.- Los procedimientos de monitoreo permiten clasificar cualquier No,
problema?
3.- Los procedimientos de monitoreo permiten priorizar cualquier No.
problema?
4.- Existen procedimientos de escalamiento basados en los niveles de No.
servicio acordados en los SLAs, que permitan clasificar y priorizar
cualquier problema?
5.- Los procedimientos de escalamiento permiten clasificar cualquier No.
problema?
6.- Los procedimientos de escalamiento permiten priorizar cualquier No.
problema?
7.- Se mide la satisfaccin del usuario final respecto a la calidad de la No lo hacen porque no les conviene.
mesa de servicios de TI?
8.- Se mide la satisfaccin del usuario final respecto a la calidad de los No lo hacen porque no les conviene.
servicios de TI?
1.- Se cuenta con un sistema que permita el registro y rastreo de Si, se lo implement recientemente. (Hace dos
llamadas, incidentes, solicitudes de servicio y necesidades de meses).
informacin?
2.- El sistema trabaja estrechamente con los procesos de administracin Si.
de incidentes?
3.- El sistema trabaja estrechamente con los procesos de administracin Si.
de problemas?
4.- El sistema trabaja estrechamente con los procesos de administracin Si.
de cambios?
5.- El sistema trabaja estrechamente con los procesos de administracin Si.
de capacidad?
6.- El sistema trabaja estrechamente con los procesos de administracin Si.
de disponibilidad?
7.- Se mantiene informado a los clientes sobre el estatus de sus Si.
consultas?
1.- Existen procedimientos de mesa de servicios?
No existen procedimientos bien elaborados.
2.- Se escalan apropiadamente los incidentes que no pueden resolverse No.
de forma inmediata de acuerdo con los lmites acordados en el SLA?
3.- Se garantiza que la asignacin de incidentes permanece en la mesa de No.
servicios?

1.- Existen procedimientos para el monitoreo puntual de la resolucin de


consultas de los clientes?
2.- Cundo se resuelve el incidente la mesa de servicios registra la causa
raz, s la conoce?
3.- Cundo se resuelve el incidente la mesa de servicios confirma que la
accin tomada fue acordada con el cliente?
Emitir reportes de la actividad de la mesa de servicios para 1.- Se emiten los reportes de la actividad de la mesa de servicios a la
permitir a la gerencia medir el desempeo del servicio y los gerencia?
tiempos de respuesta, as como para identificar tendencias de 2.- Los reportes emitidos por la mesa de servicios permite a la gerencia
medir el desempeo del servicio y los tiempos de respuesta?
problemas recurrentes de forma que el servicio pueda
mejorarse de forma continua.
Establecer una herramienta de soporte y un repositorio
1.- Existe una herramienta de soporte que contenga toda la informacin
central que contenga toda la informacin relevante sobre los relevante sobre los elementos de configuracin?
elementos de configuracin. Monitorear y grabar todos los
2.- Existe un repositorio central que contenga toda la informacin
activos y los cambios a los activos. Mantener una lnea base relevante sobre los elementos de configuracin?
de los elementos de la configuracin para todos los sistemas 3.- Se monitorean todos los activos y los cambios a los activos?
y servicios como punto de comprobacin al que volver tras el
4.- Se graban todos los activos y los cambios a los activos?
cambio.
1.- Existen procedimientos de configuracin?

No.

2.- El procedimiento soporta todos los cambios al repositorio de


configuracin?
3.- Est integrado el procedimiento de configuracin con la gestin de
cambios?
4.- Est integrado el procedimiento de configuracin con la gestin de
incidentes?
5.- Est integrado el procedimiento de configuracin con la gestin de
problemas?
1.- Se revisan peridicamente los datos de configuracin para verificar la
integridad de la configuracin actual e histrica?
2.- Se revisan peridicamente los datos de configuracin para confirmar
la integridad de la configuracin actual e histrica?
3.- Se revisa peridicamente el software instalado contra la poltica de
uso de software personal o no licenciado o cualquier otra instancia de
software en exceso del contrato de licenciamiento actual?
1.- Existen procesos para reportar problemas que han sido identificados
como parte de la administracin de incidentes?
2.- Existen procesos para clasificar problemas que han sido
identificados como parte de la administracin de incidentes?

No.

Revisar peridicamente los datos de configuracin para


verificar y confirmar la integridad de la configuracin actual
e histrica. Revisar peridicamente el software instalado
contra la poltica de uso de software para identificar
software personal o no licenciado o cualquier otra instancia
de software en exceso del contrato de licenciamiento actual.
Reportar, actuar y corregir errores y desviaciones.
Implementar procesos para reportar y clasificar problemas
que han sido identificados como parte de la administracin
de incidentes. Los pasos involucrados en la clasificacin de
problemas son similares a los pasos para clasificar
incidentes; son determinar la categora, impacto, urgencia y
prioridad. Los problemas deben categorizar se de manera
apropiada en grupos o dominios relacionados (por ejemplo,
hardware, software, software de soporte). Estos grupos
pueden coincidir con las responsabilidades organizacionales
o con la base de usuarios y clientes, y son la base para
asignar los problemas al personal de soporte.
El sistema de administracin de problemas debe mantener
pistas de auditora adecuadas que permitan rastrear,
analizar y determinar la causa raz de todos los problemas
reportados considerando:
Todos los elementos de configuracin asociados
Problemas e incidentes sobresalientes
Errores conocidos y sospechados
Seguimiento de las tendencias de los problemas

0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
0,00
0,00

0,00

Establecer procedimientos para el monitoreo puntual de la


resolucin de consultas de los clientes. Cuando se resuelve el
incidente la mesa de servicios debe registrar la causa raz, si
la conoce, y confirmar que la accin tomada fue acordada
con el cliente.

Establecer procedimientos de configuracin para soportar la


gestin y rastro de todos los cambios al repositorio de
configuracin. Integrar estos procedimientos con la gestin
de cambios, gestin de incidentes y procedimientos de
gestin de problemas.

CALIFICACIN

OBJETIVOS DE
CONTROL
DS8.1 - Mesa de Servicios.
DS8.2 - Registro de Consultas de Clientes.
DS10.2 - Rastreo y
Resolucin de
Problemas.

DS10.1 - Identificacin y
Clasificacin de Problemas.

DS9.3 - Revisin de
Integridad de la
Configuracin.

DS9.2 - Identificacin y
Mantenimiento de
Elementos de
Configuracin.

DS9.1 Repositorio y Lnea


Base de
Configuracin.

DS8.5 Anlisis de
Tendencias.

DS8.4 - Cierre de
Incidentes.

DS8.3 - Escalamiento de
Incidentes.

DS7.3 Evaluacin del


Entrenamiento Recibido.

ACTIVIDADES DEL
PROCESO
Realizar actividades de
capacitacin, intrusin y
concienciacin. *Llevar a cabo
evaluaciones de capacitacin.
*Identificar y evaluar los
mejores mtodos y herramientas
para impartir la capacitacin.
Crear procedimientos de clasificacin (severidad e
impacto) y de escalamiento (funcional y
jerrquicos).

Al finalizar el entrenamiento, evaluar el contenido del


entrenamiento respecto a la relevancia, calidad, efectividad,
percepcin y retencin del conocimiento, costo y valor. Los
resultados de esta evaluacin deben contribuir en la
definicin futura de los planes de estudio y de las sesiones de
entrenamiento.

Detectar y registrar incidentes/solicitudes de


servicio/solicitudes de informacin.
Recopilar informacin
sobre la configuracin
inicial y establecer lneas
base.
Verificar y auditar
la informacin de la
configuracin
(incluye la
deteccin del
software no
autorizado).
Identificar y clasificar
problemas.
Realizar anlisis de
causa raz.

DS9 Administrar la configuracin


DS10 Administrar los problemas

S
O
P
O
R
T
E

Resolver,
recuperar y
cerrar
incidentes.
*Hacer reportes
para la gerencia.

D
A
R

PREGUNTAS

Establecer procedimientos de mesa de servicios de manera


que los incidentes que no puedan resolverse de forma
inmediata sean escalados apropiadamente de acuerdo con
los lmites acordados en el SLA (niveles de servicio) y, si es
adecuado, brindar soluciones alternas. Garantizar que la
asignacin de incidentes y el monitoreo del ciclo de vida
permanecen en la mesa de servicios, independientemente de
qu grupo de TI est trabajando en las actividades de
resolucin.

Clasificar, investigar y
diagnosticar consultas.

PROCESOS
DS8 Administrar la mesa de servicio y los incidentes

DETALLE OBJETIVO CONTROL

Establecer una funcin y sistema que permita el registro y


rastreo de llamadas, incidentes, solicitudes de servicio y
necesidades de informacin. Debe trabajar estrechamente
con los procesos de administracin de incidentes,
administracin de problemas, administracin de cambios,
administracin de capacidad y administracin de
disponibilidad. Los incidentes deben clasificarse de acuerdo
al negocio y a la prioridad del servicio y enrutarse al equipo
de administracin de problemas apropiado y se debe
mantener informados a los clientes sobre el estatus de sus
consultas.

Desarrollar
procedimientos de
Informar a
planeacin de
usuarios (por
administracin de
ejemplo,
la configuracin.
actualizacione
*Actualizar el
s de estatus)
repositorio de
configuracin.

DOMINIO

DS7 Educar y entrenar a


usuarios

E
N
T
R
E
G
A
R

COBIT

No.
No.
Solo se lo emite como informativo.

0,00
0,00
0,00
0,50

Solo se lo emite como informativo.


0,50
No.
No.

0,00
0,00

En parte.

0,50

En parte.

0,50

No.

0,00

No.
No.
No.

0,00
0,00
0,00
0,00

No. Solo en parte. No existe un procediemto


0,00
formal o establecido.
No.
0,00
Si. Se lo revisa cada seis meses cuando se
1,00
hace el mantenimiento de equipos.
No.

0,00

No.

0,00

1.- Se cuenta con un sistema de administracin de problemas?

No.

2.- El sistema mantiene pistas de auditora que pemita rastrear la causa No.
raz de todos los problemas reportados?
3.- El sistema mantiene pistas de auditora que pemita analizar la causa No.
raz de todos los problemas reportados?
4.- El sistema mantiene pistas de auditora que pemita determinar la No.
causa raz de todos los problemas reportados?

112

0,00
0,00
0,00
0,00

Para garantizar una adecuada administracin de problemas


e incidentes, integrar los procesos relacionados de
administracin de cambios, configuracin y problemas.
Monitorear cunto esfuerzo se aplica en apagar fuegos, en
lugar de permitir mejoras al negocio y, en los casos que sean
necesarios, mejorar estos procesos para minimizar los
problemas.
Verificar que todos los datos que se espera procesar se
reciben y procesan completamente, de forma precisa y a
tiempo, y que todos los resultados se entregan de acuerdo a
los requerimientos de negocio. Las necesidades de reinicio y
reproceso estn soportadas.

0,00

No.

0,00

3.- Se monitorea cunto esfuerzo se aplica en apagar fuegos?

No.

0,00

4.- Se mejora los procesos de administracin de cambios,configuracin y No.


problemas para minimizar los problemas?

0,00

1.- Se verifica que todos los datos que se espera procesar se reciban Se cumple pero no en un 100%
completamente, de forma precisa y a tiempo?
2.- Se verifica que todos los datos que se espera procesar se procesan Se cumple pero no en un 100%
completamente, de forma precisa y a tiempo?
3.- Las necesidades de reinicio estn soportadas?
No.
4.- Las necesidades de reproceso estn soportadas?

Definir e implementar procedimientos para el archivo,


almacenamiento y retencin de los datos, de forma efectiva y
eficiente para conseguir los objetivos de negocio, la poltica
de seguridad de la organizacin y los requerimientos
regulatorios.
2.- Existen procedimientos para el almacenaniento de los datos?

DS11.3 Sistema de
Administracin
de Libreras de
Medios.

3.- Existen procedimientos para la retencin de los datos?

0,50
0,00

No.

0,00
No. Esto se cumple en una pequea parte
cuando se hace mantenimiento se respalda lo
que el usuario indica. Pero en caso de
0,50
emergencia no tienen alcamacenada la
informacin
para
recuperarla
inmediatamente.
Ver respuesta anterior.
0,50
Ver respuesta anterior.
0,50

1.- Existen procedimientos para mantener un inventario de medios No. Se lo hace empricamente.
almacenados?
2.- Existen procedimientos para mantener un inventario de medios No.
archivados?
3.- Se aseguran de la usabilidad e integridad de los medios?
No.

1.- Existen procedimientos para la proteccin de datos sensitivos que


aseguren los requerimientos del negocio?
2.- Existen procedimientos para la proteccin del software que aseguren
los requerimientos del negocio?
1. Existen procedimientos de respaldo de los sistemas en lnea alineado
con los requerimientos de negocio y el plan de continuidad?
Definir e implementar procedimientos de respaldo y
2. Existen procedimientos de respaldo de las aplicaciones en lnea
restauracin de los sistemas, aplicaciones, datos y
alineado con los requerimientos de negocio y el plan de continuidad?
documentacin en lnea con los requerimientos de negocio y 3. Existen procedimientos de respaldo de los datos en lnea alineado con
el plan de continuidad.
los requerimientos de negocio y el plan de continuidad?
4. Existen procedimientos de respaldo de la documentacin en lnea
alineado con los requerimientos de negocio y el plan de continuidad?
Definir e implementar las polticas y procedimientos para 1.- Existen procedimientos para identificar los requerimientos de
identificar y aplicar los requerimientos de seguridad
seguridad aplicables al recibo?
aplicables al recibo, procesamiento, almacn y salida de los
datos para conseguir los objetivos de negocio, las polticas 2.- Existen procedimientos para aplicar los requerimientos de seguridad
aplicables
al recibo?
de seguridad de la organizacin y requerimientos

0,00
0,00
0,00

No hay procedimientos.

0,00

No.
Existen un procedimiento
documentado.
Existen un procedimiento
documentado.
Existen un procedimiento
documentado.
Existen un procedimiento
documentado.
No hay procedimientos.

0,00
pero no est
pero no est
pero no est
pero no est

0,50
0,50
0,50
0,00
0,00

DS12.5 Administracin de
Instalaciones
Fsicas.
DS13.1 - Procedimientos e
Instrucciones de
Operacin.

Definir e
implementar
procesos para
mantenimiento y
autorizacin de
acceso fsico.
Crear/modificar
procedimientos de
operacin (incluyendo
manuales, planes de
cambios, procedimientos
de escalamiento, etc).

DS12.4 Proteccin
Contra
Factores
Ambientales.

Definir e implementar El acceso a locales, edificios y reas


debe justificarse, autorizarse, registrarse y monitorearse.
Esto aplica para todas las personas que accedan a las
instalaciones, incluyendo personal, clientes, proveedores,
visitantes o cualquier tercera persona.

Definir el nivel requerido de


proteccin fsica.

Definir e implementar medidas de seguridad fsicas alineadas


con los requerimientos del negocio. Las medidas deben
incluir, pero no limitarse al esquema del permetro de
seguridad, de las zonas de seguridad, la ubicacin de equipo
crtico y de las reas de envo y recepcin. En particular,
mantenga un perfil bajo respecto a la presencia de
operaciones crticas de TI. Deben establecerse las
responsabilidades sobre el monitoreo y los procedimientos
de reporte y de resolucin de incidentes de seguridad fsica.

DS12.3 - Acceso Fsico.

No.

0,50

DS12.1 - Seleccin y Diseo del


Centro de Datos.

regulatorios

0,50

DS12.2 - Medidas de
Seguridad Fsica.

DS11.5 - Respaldo y
Restauracin.

No.

2.- Se garantiza una adecuada administracin de incidentes?

Seleccionar y comisionar el
sitio (centro de datos,
oficina, etc).

DS11.6 Requerimiento
s de Seguridad
para la
Administraci
n de Datos.

1.- Se garantiza una adecuada administracin de problemas?

1.- Existen procedimientos para el archivo de los datos?

Definir e implementar procedimientos para asegurar que los


requerimientos de negocio para la proteccin de datos
sensitivos y el software se consiguen cuando se eliminan o
transfieren los datos y/o el hardware.

Definir, mantener e
implementar
procedimientos para
restauracin de datos.

No.
0,00

Definir e implementar procedimientos para mantener un


inventario de medios almacenados y archivados para
asegurar su usabilidad e integridad.

Definir,
mantener e
implementar
procedimiento
s para
restauracin
de datos.

RESPUESTAS

CALIFICACIN

OBJETIVOS DE
CONTROL
DS10.3 - Cierre
de Problemas.

1.- Existe un procedimiento para cerrar registros de problemas?

Disponer de un procedimiento para cerrar registros de


problemas ya sea despus de confirmar la eliminacin
exitosa del error conocido o despus de acordar con el
negocio cmo manejar el problema de manera alternativa.

DS11.4 Eliminaci
n.

DS11.2 - Acuerdos de
Almacenamiento y
Conservacin.

DS11.1 Requerimientos
del Negocio para
Administracin de
Datos.

DS10.4 - Integracin
de las
Administraciones de
Cambios,
Configuracin y
Problemas.

ACTIVIDADES DEL
PROCESO
Traducir los
Emitir
requerimientos de
recomendaciones
almacenamiento y para mejorar y crear
conservacin a
una solicitud de
procedimientos. cambio relacionada.

PREGUNTAS

Estn Implcitos en el proceso porque solo


estn aqu. En las otras partes no hay, solo se 1,00
lo maneja en forma remota.
Definir y seleccionar los centros de datos fsicos para el
Si.
1,00
equipo de TI para soportar la estrategia de tecnologa ligada 2.- Se selecciona los centros de datos fsicos para el equipo de TI?
a la estrategia del negocio. Esta seleccin y diseo del
3.- Se soporta la estrategia de tecnologa ligada a la estrategia del Si por medio del plan estrtegico.
1,00
esquema de un centro de datos debe tomar en cuenta el riesgo negocio?
asociado con desastres naturales y causados por el hombre. 4.- La seleccin de un centro de datos toma en cuenta el riesgo asociado Se tienen identificado los desastres en el data
0,50
Tambin debe considerar las leyes y regulaciones
con desastres naturales y causados por el hombre?
center.
correspondientes, tales como regulaciones de seguridad y de 5.- El diseo del esquema de un centro de datos toma en cuenta el riesgo Se tienen identificado los desastres en el data
0,50
salud en el trabajo.
asociado con desastres naturales y causados por el hombre?
center.
6.- Se considera las leyes y regulaciones correspondientes, tales como Si, por medio del comit de salud y seguridad
1,00
regulaciones de seguridad y de salud en el trabajo?
en el trabajo.

Administrar el
ambiente
fsico
(mantenimient
o, monitoreo y
reportes
incluidos).

DS12 Administrar el ambiente fsico


DS13 Administrar las
operaciones

S
O
P
O
R
T
E

DETALLE OBJETIVO CONTROL

Implementar medidas de
ambiente fsico.

D
A
R

Resolver
problemas.
*Revisar el
estatus de
problemas.
*Mantener
registros de los
problemas

PROCESOS
DS11 Administrar los datos

Definir,
mantener e
Respaldar
Definir, mantener e
implementar
los datos
implementar
procedimientos
de acuerdo
procedimientos para
para desechar
al
administrar libreras de
de forma
esquema.
medios.
segura, medios
y equipo.

DOMINIO

DS10 Administrar los


problemas

E
N
T
R
E
G
A
R

COBIT

1.- Se define los centros de datos fsicos para el equipo de TI?

1.- Existen medidas de seguridad fsicas alineadas


requerimientos del negocio?
2.- Se establecen las responsabilidades sobre el monitoreo?

con los Si pero falta implementar medidas de


0,50
seguridad fsica.
Si.
1,00
3.- Se establecen las responsabilidades sobre los procedimientos de Si.
1,00
reporte?
4.- Se establecen las responsabilidades sobre la resolucin de incidentes Si.
de seguridad fsica?
1,00
1.- Existen procedimientos para otorgar el acceso a locales, edificios y
reas de acuerdo con las necesidades del negocio, incluyendo las
emergencias?
2.- Existen procedimientos para limitar el acceso a locales, edificios y
reas de acuerdo con las necesidades del negocio, incluyendo las
emergencias?
3.- Existen procedimientos para revocar el acceso a locales, edificios y
reas de acuerdo con las necesidades del negocio, incluyendo las
emergencias?
1.- Existen medidas de proteccin contra factores ambientales?

Si.

Disear e implementar medidas de proteccin contra factores 2.- Existen dispositivos especializados para monitorear y controlar el
ambientales. Deben instalarse dispositivos y equipo
ambiente?
especializado para monitorear y controlar el ambiente
3- Existen equipos especializado para monitorear y controlar el
ambiente?
1.- El equipo de comunicaciones est administrado de acuerdo con las
Administrar las instalaciones, incluyendo el equipo de
leyes y los reglamentos, los requerimientos tcnicos y del negocio, las
comunicaciones y de suministro de energa, de acuerdo con especificaciones del proveedor y los lineamientos de seguridad y salud?
las leyes y los reglamentos, los requerimientos tcnicos y del 2.- El equipo de suministro de energa, esta administrado de acuerdo con
negocio, las especificaciones del proveedor y los
las leyes y los reglamentos, los requerimientos tcnicos y del negocio, las
lineamientos de seguridad y salud.
especificaciones del proveedor y los lineamientos de seguridad y salud?

Si.

1.- Existen procedimientos estndar para operaciones de TI?

1,00
Si.
1,00
Si.
1,00
Si.

Si.

1,00
1,00

Falta implementar en ciertas reas.


0,50
Ver respuesta anterior.
0,50
Falta elaborar procedimientos.

Definir, implementar y mantener procedimientos estndar


para operaciones de TI y garantizar que el personal de
2.- El personal de operaciones est familiarizado con todas las tareas de Si.
operaciones est familiarizado con todas las tareas de
operacin relativas a ellos?
operacin relativas a ellos. Los procedimientos de operacin
deben cubrir los procesos de entrega de turno (transferencia
formal de la actividad, estatus, actualizaciones, problemas
de operacin, procedimientos de escalamiento, y reportes
sobre las responsabilidades actuales) para garantizar la
continuidad de las operaciones.

113

1,00

0,00

1,00

2.- La programacion de procesos esta organizado de una manera mas Si.


eficiente, maximizando el desempeo y la utilizacion para cumplir con los
requerimientos del negocio?
3.- La programacion de tareas esta organizado de una manera mas Si.
eficiente, maximizando el desempeo y la utilizacion para cumplir con los
requerimientos del negocio?
No est claramente, se lo hace empricamente
Definir e implementar procedimientos para monitorear la 1.- Existen procedimientos para monitorear la infraestructura de TI?
porque no esta definido.
infraestructura de TI y los eventos relacionados. Garantizar
No.
que en los registros de operacin se almacena suficiente 2.- Existen procedimientos para monitorear los eventos relacionados?
informacin cronolgica para permitir la reconstruccin,
revisin y anlisis de las secuencias de tiempo de las
operaciones y de las otras actividades que soportan o que
estn alrededor de las operaciones.

Establecer resguardos fsicos, prcticas de registro y


administracin de inventarios adecuados sobre los activos
de TI ms sensitivos tales como formas, instrumentos
negociables, impresoras de uso especial o dispositivos de
seguridad.

1.- Existen resguardos fsicos sobre los activos de TI ms sensitivos tales No, solo en parte.
como formas, instrumentos negociables, impresoras de uso especial o
dispositivos de seguridad?
2.- Existen prcticas de registros sobre los activos de TI ms sensitivos No, solo en parte.
tales como formas, instrumentos negociables, impresoras de uso especial
o dispositivos de seguridad?
3.- Existe una administracin de inventarios adecuados sobre los activos No, solo en parte.
de TI ms sensitivos tales como formas, instrumentos negociables,
impresoras de uso especial o dispositivos de seguridad?
1.- Existen procedimientos para garantizar el mantenimiento oportuno de Si.
la infraestructura?

2.- Existen procedimientos para reducir la frecuencia y el impacto de las Si.


Definir e implementar procedimientos para garantizar el
mantenimiento oportuno de la infraestructura para reducir la fallas de la infraestructura?
frecuencia y el impacto de las fallas o de la disminucin del
desempeo.
3.- Existen procedimientos para reducir la disminucin del desempeo de Si.
la infraestructura?

Establecer un marco de trabajo de monitoreo general y un


enfoque que definan el alcance, la metodologa y el proceso a
seguir para medir la solucin y la entrega de servicios de TI, y
Monitorear la contribucin de TI al negocio. Integrar el marco
de trabajo con el sistema de administracin del desempeo
corporativo.

CALIFICACIN

OBJETIVOS DE
CONTROL
DS13.2 - Programacin de
Tareas.
DS13.3 - Monitoreo
de la Infraestructura
de TI.
DS13.4 - Documentos
Sensitivos y Dispositivos
de Salida.

1.- La programacion de trabajos est organizado de una manera mas Si, para eso se aplica el PHVA (Planear, Hacer,
eficiente, maximizando el desempeo y la utilizacion para cumplir con los Verificar y Actuar).
1,00
requerimientos del negocio?

1.- Se establece un marco de trabajo de monitoreo general que definan el No hay.


alcance, la metodologa y el proceso a seguir para medir la solucin y la
entrega de servicios de TI?
2.- Se establece un enfoque que definan el alcance, la metodologa y el No hay.
proceso a seguir para medir la solucin y la entrega de servicios de TI?
3.- Se monitorea la contribucin de TI al negocio?
No hay.

1,00

1,00
0,00

0,00

0,50

0,50

0,50

1,00

1,00

1,00

0,00
0,00
0,00

1.- Existe una revisin administrativa de los reportes de desempeo de


los recursos de TI?
Proporcionar reportes administrativos para ser revisados
2.- Los reportes de estatus incluyen el grado en el que se han alcanzado
por la alta direccin sobre el avance de la organizacin hacia
los objetivos planeados?
metas identificadas, especficamente en trminos del
3.- Los reportes de estatus incluyen el grado en el que se han alcanzado
desempeo del portafolio empresarial de programas de
los entregables obtenidos?
inversin habilitados por TI, niveles de servicio de programas
4.- Los reportes de estatus incluyen el grado en el que se han alcanzado
individuales y la contribucin de TI a ese desempeo. Los
las metas de desempeo alcanzadas?
reportes de estatus deben incluir el grado en el que se han
5.- Los reportes de estatus incluyen el grado en el que se han alcanzado
alcanzado los objetivos planeados, los entregables
los riesgos mitigados?
obtenidos, las metas de desempeo alcanzadas y los riesgos
6.- Durante la revisin de los reportes, se identifican cualquier
mitigados. Durante la revisin, se debe identificar cualquier
desviacin respecto al desempeo esperado?
desviacin respecto al desempeo esperado y se deben
7.- Se inicia las medidas de administracin adecuadas?
iniciar y reportar las medidas de administracin adecuadas.
8.- Se reporta las medidas de administracin adecuadas?

Si, cada gerente revisa el BSC para tomar las


1,00
medidas correctivas.
Si.

ME1.3 Mtodo de
Monitoreo.

ME1.2 - Definicin y Recoleccin de


Datos de Monitoreo.

No hay.

ME1.4 Evaluacin
del
Desempeo.

ME1.1 - Enfoque del


Monitoreo.

DS13.5 - Mantenimiento Preventivo


del Hardware.

ACTIVIDADES DEL
PROCESO
Pogramacin de cargas de
trabajo y de programas en
lote.
Monitorear la
infraestructura y
procesar y resolver
problemas.
Evaluar el
desempeo

Crear cuadro
de mandos.

Identificar y recolectar objetivos


medibles que apoyen a los
objetivos el negocio.

Administrar y asegurar la
salida fsica de
informacin (reportes,
medios, etc).

PROCESOS

RESPUESTAS

ME1.5 - Reportes al Consejo Directivo y a


Ejecutivos.

E
V
A
L
U
A
R

PREGUNTAS

4.- Se integra el marco de trabajo de TI con el sistema de administracin


del desempeo corporativo?
1.- Se definen un conjunto balanceado de objetivos de desempeo que
van acordes con las metas del negocio?
2.- Se aprueban los objetivos de desempeo de cada uno de los procesos
Trabajar con el negocio para definir un conjunto balanceado
de TI por la gerencia y otros interesados relevantes?
de objetivos de desempeo y tenerlos aprobados por el
3.- Se definen referencias con las que se compara los objetivos de
negocio y otros interesados relevantes. Definir referencias
desempeo?
con las que comparar los objetivos, e identificar datos
4.- Se identifican datos disponibles a recolectar para medir los
disponibles a recolectar para medir los objetivos. Se deben
objetivos?
establecer procesos para recolectar informacin oportuna y
5.- Se establecen procesos para recolectar informacin oportuna para
precisa para reportar el avance contra las metas.
reportar el avance contra las metas?
6.- Se establecen procesos para recolectar informacin precisa para
reportar el avance contra las metas?
1.- Se garantiza la implantacin de un mtodo en el proceso de
Garantizar que el proceso de monitoreo implante un mtodo
monitoreo?
(Ej. Balanced Scorecard), que brinde una visin sucinta y
2.- El proceso de monitoreo brinda una visin sucinta desde todos los
desde todos los ngulos del desempeo de TI y que se adapte
ngulos del desempeo de TI, que se adapte al sistema de monitoreo de la
al sistema de monitoreo de la empresa.
empresa?
1.- Se comparan de forma peridica el desempeo contra las metas?
Comparar de forma peridica el desempeo contra las metas,
realizar anlisis de la causa raz e iniciar medidas
2.- Se analiza la causa raz para resolver las causas subyacentes
correctivas para resolver las causas subyacentes.
tomando las medidas correctivas?

ME1.6 - Acciones Correctivas.

Reportar el desempeo.

M
O
N
I
T
O
R
E
A
R

Organizar la programacin de trabajos, procesos y tareas en


la secuencia ms eficiente, maximizando el desempeo y la
utilizacin para cumplir con los requerimientos del negocio.
Deben autorizarse los programas iniciales as como los
cambios a estos programas. Los procedimientos deben
implementarse para identificar, investigar y aprobar las
salidas de los programas estndar agendados.

Identificar y monitorear las medidas de mejora del desempeo.

S
O
P
O
R
T
E

DS13 Administrar las operaciones

D
A
R

DETALLE OBJETIVO CONTROL

Aplicar cambios o arreglos al


programa de infraestructura.
*Implementar/establecer un proceso
Establecer el enfoque de para salvaguardar los dispositivos
monitoreo.
de autenticacin contra
interferencia, perdida o robo.
*Programar y llevar a cabo
mantenimiento preventivo

ME1 - Monitorear y Evaluar el Desempeo de TI.

DOMINIO

E
N
T
R
E
G
A
R

COBIT

0,00

Si por medio del Balance Score Card, se


1,00
registran los indicadores.
Si.
1,00
Si por medio del Balanced Scorecard, se
1,00
registran los indicadores.
Si.
1,00
Si.
Si.
Si.

1,00
1,00
1,00

Si.
1,00
Si por medio del Balanced Scorecard, se
1,00
registran los indicadores.
Si por medio del Balanced Scorecard, se
1,00
registran los indicadores.

Si.
Si.
Si.

1,00
1,00
1,00

Si por medio del Balanced Scorecard, se


1,00
registran los indicadores.
Si.

Si por medio del Balanced Scorecard, se


1,00
registran los indicadores.
1.- Se identifican e inician medidas correctivas basadas en el monitoreo Si.
1,00
del desempeo?
2.- Se identifican e inician medidas correctivas basadas en la Si.
1,00
evaluacin?
3.- Se identifican e inician medidas correctivas basadas en reportes?
Si.
1,00
4.- En el seguimiento del monitoreo se incluye:
Si.
a) Una revisin.
b) La negociacin.
1,00
Identificar e iniciar medidas correctivas basadas en el
c) Establecimiento de respuestas de administracin
monitoreo del desempeo, evaluacin y reportes. Esto incluye d) Asigancin de responsabilidades por la correccin.
el seguimiento de todo el monitoreo, de los reportes y de las e) Rastreo de los resultados de las acciones comprometidas?
evaluaciones con: Revisin, negociacin y establecimiento 5.- En el seguimiento de los reportes se incluye:
Si.
de respuestas de administracin. Asignacin de
a) Una revisin.
responsabilidades por la correccin. Rastreo de los
b) La negociacin.
1,00
resultados de las acciones comprometidas.
c) Establecimiento de respuestas de administracin.
d) Asignacin de responsabilidades por la correccin.
e) Rastreo de los resultados de las acciones comprometidas?
Si.
6.- En el seguimiento de las evaluaciones se incluye:
a) Una revisin.
b) La negociacin.
1,00
c) Establecimiento de respuestas de administracin.
d) Asignacin de responsabilidades por la correccin.
e) Rastreo de los resultados de las acciones comprometidas?

114

Establecer visibilidad y facililitacin del


consejo y de los ejecutivos hacia las
actividades de TI.

1.- Se monitorea de forma continua el ambiente de control de TI y el


marco de trabajo de control de TI para satisfacer los objetivos
Monitorear de forma continua, comparar y mejorar el
organizacionales?
ambiente de control de TI y el marco de trabajo de control de 2.- Se compara el ambiente de control de TI y el marco de trabajo de
control de TI para satisfacer los objetivos organizacionales?
TI para satisfacer los objetivos organizacionales.
3.- Se mejora el ambiente de control de TI y el marco de trabajo de control
de TI para satisfacer los objetivos organizacionales?
1.- Se monitorea la eficiencia y efectividad de los controles internos de
revisin de la gerencia de TI?
Monitorear y evaluar la eficiencia y efectividad de los
controles internos de revisin de la gerencia de TI.
2.- Se evala la eficiencia y efectividad de los controles internos de
revisin de la gerencia de TI?
1.- Se identifican las excepciones de control?
Identificar las excepciones de control, y analizar e identificar
sus causas raz subyacentes. Escalar las excepciones de
control y reportar a los interesados apropiadamente.
Establecer acciones correctivas necesarias.

2.- Se analizan e identifican sus causas raz subyacentes de las


excepciones de control?
3.- Se escalan las excepciones de control reportando a los interesados
apropiadamente?
4.- Se establecen acciones correctivas necesarias para las excepciones
de control?
1.- Se evala la completitud y efectividad de los controles de gerencia
sobre los procesos de TI por medio de un programa continuo de autoevaluacin?
Evaluar la completitud y efectividad de los controles de
2.- Se evala la completitud y efectividad de los controles de gerencia
gerencia sobre los procesos, polticas y contratos de TI por sobre las polticas de TI por medio de un programa continuo de automedio de un programa continuo de auto-evaluacin.
evaluacin?
3.- Se evala la completitud y efectividad de los controles de gerencia
sobre los contratos de TI por medio de un programa continuo de autoevaluacin?
1.- Se obtiene un aseguramiento adicional de la completitud de los
Obtener, segn sea necesario, aseguramiento adicional de la controles internos por medio de revisiones de terceros?
completitud y efectividad de los controles internos por medio
2.- Se obtiene un aseguramiento adicional de la efectividad de los
de revisiones de terceros.
controles internos por medio de revisiones de terceros?

Evaluar el estado de los controles internos de los


proveedores de servicios externos. Confirmar que los
proveedores de servicios externos cumplen con los
requerimientos legales y regulatorios y obligaciones
contractuales.

Identificar, iniciar, rastrear e implementar acciones


correctivas derivadas de los controles de evaluacin y los
informes.

Identificar, sobre una base continua, leyes locales e


internacionales, regulaciones, y otros requerimientos
externos que se deben de cumplir para incorporar en las
polticas, estndares, procedimientos y metodologas de TI de
la organizacin.

Obtener y reportar garanta de cumplimiento y adhesin a


todas las polticas internas derivadas de directivas internas
o requerimientos legales externos, regulatorios o
contractuales, confirmando que se ha tomado cualquier
accin correctiva para resolver cualquier brecha de
cumplimiento por el dueo responsable del proceso de forma
oportuna.

ME3.5 - Reportes
Integrados.

ME3.3 - Evaluacin del


Cumplimiento con
Requerimientos
Externos.

Revisar y ajustar las polticas, estndares, procedimientos y


metodologas de TI para garantizar que los requisitos legales,
regulatorios y contractuales son direccionados y
comunicados.

Integrar los reportes de TI sobre requerimientos legales,


regulatorios y contractuales con las salidas similares
provenientes de otras funciones del negocio.

1.- Se evala el estado de los controles internos de los proveedores de


servicios externos?
2.- Se confirma que los proveedores de servicios externos cumplen con
los requerimientos legales?
3.- Se confirma que los proveedores de servicios externos cumplen con
los requerimientos regulatorios?
4.- Se confirma que los proveedores de servicios externos cumplen con
las obligaciones contractuales?
1.- Se identifican acciones correctivas derivadas de los controles de
evaluacin y los informes?
2.- Se inician acciones correctivas derivadas de los controles de
evaluacin y los informes?
3.- Se rastrean acciones correctivas derivadas de los controles de
evaluacin y los informes?
4.- Se implementan acciones correctivas derivadas de los controles de
evaluacin y los informes?
1.- Se identifican, sobre una base continua, leyes locales e
internacionales que se deben de cumplir para incorporar en las polticas,
estndares, procedimientos y metodologas de TI de la organizacin?
2.- Se identifican, sobre una base continua, regulaciones que se deben de
cumplir para incorporar en las polticas, estndares, procedimientos y
metodologas de TI de la organizacin?
3.- Se identifican, sobre una base continua, otros requerimientos
externos que se deben de cumplir para incorporar en las polticas,
estndares, procedimientos y metodologas de TI de la organizacin?
1.- Se revisan las polticas, estndares, procedimientos y metodologas de
TI?
2.- Se ajustan las polticas, estndares, procedimientos y metodologas
de TI?
3.- Se garantizan que los requisitos legales son direccionados y
comunicados?
4.- Se garantizan que los requisitos regulatorios son direccionados y
comunicados?
5.- Se garantizan que los requisitos contractuales son direccionados y
comunicados?
1.- Se verifica el cumplimiento de polticas de TI con los requerimientos
legales y regulatorios?
2.- Se verifica el cumplimiento de los estndares de TI con los
requerimientos legales y regulatorios?
3.- Se verifica el cumplimiento de los procedimientos de TI con los
requerimientos legales y regulatorios?
4.- Se verifica el cumplimiento de las metodologas de TI con los
requerimientos legales y regulatorios?
1.- Se obtiene una garanta de cumplimiento y adhesin a todas las
polticas internas o requerimientos legales externos?
2.- Se reporta una garanta de cumplimiento y adhesin a todas las
polticas internas o requerimientos legales externos?
3.- Se toman acciones correctivas para garantizar el cumplimiento de las
polticas internas o requerimientos legales externos?
4.- Se resuelve cualquier brecha de cumplimiento por el dueo
responsable del proceso de forma oportuna?
1.- Se integra los reportes de TI sobre requerimientos legales con las
salidas similares provenientes de otras funciones del negocio?

RESPUESTAS

Si.

Si.
Si.

CALIFICACIN

OBJETIVOS DE
CONTROL
ME2.1 Monitorizacin del
Marco de Trabajo
de Control Interno.
ME2.2 ME2.3 - Excepciones de
Revisiones de
Control.
Auditora.
ME2.4 - Control de Auto
Evaluacin.
ME2.5 Aseguramiento del
Control
Interno.
ME2.6 - Control Interno
para Terceros.
ME2.7 - Acciones
Correctivas.
ME3.1 - Identificar los
Requerimientos de las
Leyes, Regulaciones y
Cumplimientos
Contractuales.

PREGUNTAS

ME3.4 - Aseguramiento
Positivo del
Cumplimiento.

ME3.2 - Optimizar la
Respuesta a
Requerimientos Externos.

DETALLE OBJETIVO CONTROL

Confirmar el cumplimiento de polticas, estndares,


procedimientos y metodologas de TI con requerimientos
legales y regulatorios.

ME4.1 - Establecimiento de un Marco de


Gobierno de TI.

ACTIVIDADES DEL
PROCESO
Monitorear el proceso
Monitorear y
Crear cuadro
para identificar y
controlar las
de mandos.
evaluar las
actividades de
excepciones de control.
control interno de TI
Monitorear el proceso de
auto evaluacin.
Monitorear el
proceso para
identificar y
evaluar y
remediar las
excepciones
de control.
Crear cuadro de
mandos.

Evaluar cumplimiento de
actividades de TI con
polticas, estndares y
procedimientos de TI.

Definir y ejecutar un
proceso para identificar
los requerimientos
legales, contractuales de
polticas y regulatorios.

Reportar a los
interesados clave.

Monitorear el proceso
para obtener
aseguramiento sobre
los controles operados
por terceros.

PROCESOS
ME2 Monitorear y Evaluar el Control Interno
ME4 Proporcionar Gobierno de
TI

E
V
A
L
U
A
R

ME3 Garantizar el Cumplimiento Regulatorio

Integrar los
Brindar retro
reportes e TI sobre
alimentacin para
los requerimientos
alinear las polticas,
regulatorios con
estndares y
similares
procedimientos de TI
provenientes e
con los requerimientos
otras funciones
de cumplimiento.
del negocio.

DOMINIO

M
O
N
I
T
O
R
E
A
R

COBIT

1,00
1,00
1,00

Si. Auditora interna ejecuta las auditoras


informticas y ellos emiten un irforme de lo 1,00
que se debe mejorar.
Si.
1,00
Si, se reunen con los usuarios de los procesos
1,00
auditados.
Si.
1,00
Si.
Si.

1,00
1,00

No, cuentan con un control de autoevaluacin


0,00
No.
0,00
No tienen control de autoevaluacin solo las
0,00
auditoras internas y externas.
Si.
Si.
Si, lo hace el Holding.
Si.
Si.
Si.
Si.
Si.
Si.
Si.

1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00

Si.
1,00
Si.
1,00
Si.
1,00
Si.
Si.
Si.
Si.
Si.
Si.
Si.
Si.
Si.

1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00

Si. Tratan de cumplir con todo lo que exige la


1,00
ley.
Si.
1,00
Si.
Si. Se toman todas las medidas
Si, por medio del departamento legal.

1,00
1,00
1,00

2.- Se integra los reportes de TI sobre requerimientos regulatorios con las Si, por medio del departamento legal.
salidas similares provenientes de otras funciones del negocio?

1,00

3.- Se integra los reportes de TI sobre requerimientos contractuales con Si, por medio del departamento legal.
las salidas similares provenientes de otras funciones del negocio?

1,00

1.- Se define el marco de gobierno de TI con la visin completa del Si se lo hace.


entorno de control y Gobierno Corporativo?
2.- Se establece el marco de gobierno de TI con la visin completa del Si.
Definir, establecer y alinear el marco de gobierno de TI con la entorno de control y Gobierno Corporativo?
visin completa del entorno de control y Gobierno
3.- Se alinea el marco de gobierno de TI con la visin completa del Si.
Corporativo. Basar el marco de trabajo en un adecuado
entorno de control y Gobierno Corporativo?
proceso de TI y modelo de control y proporcionar la rendicin 4.- Se basa el marco de trabajo en un adecuado proceso de TI?
Si.
de cuentas y prcticas inequvocas para evitar una rotura en
5.- Se basa el marco de trabajo en un adecuado modelo de control?
Si.
el control interno y la revisin. Confirmar que el marco de
6.El
marco
de
trabajo
proporciona
la
rendicin
de
cuentas
y
prcticas
Si.
gobierno de TI asegura el cumplimiento con las leyes y
regulaciones y que esta alineado, y confirma la entrega de, la inequvocas para evitar una rotura en el control interno y la revisin?
7.Se
aseguran
que
el
marco
de
gobierno
de
TI
est
cumpliendo
con
las
Si.
estrategia y objetivos empresariales. Informa del estado y
leyes y regulaciones?
cuestiones de gobierno de TI.
8.- Se aseguran que el marco de gobierno de TI est alineado con las Si.
leyes y regulaciones?
9.- Se informa del estado y cuestiones de gobierno de TI?
Si.

115

1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00

PREGUNTAS

RESPUESTAS

1.- Se da a conocer al consejo directivo sobre temas estratgicos de TI? Solo en parte.
Facilitar el entendimiento del consejo directivo y de los
ejecutivos sobre temas estratgicos de TI tales como el rol de 2.- Se da a conocer a los ejecutivos sobre temas estratgicos de TI?
Solo en parte.
TI, caractersticas propias y capacidades de la tecnologa.
3.- Se garantiza que la contribucin potencial de TI cumple con la No, solo en parte.
Garantizar que existe un entendimiento compartido entre el
estrategia del negocio?
negocio y la funcin de TI sobre la contribucin potencial de
4.- Se trabaja con el consejo directivo para definir organismos de No.
TI a la estrategia del negocio. Trabajar con el consejo
gobierno (tales como un comit estratgico de TI)?
directivo para definir e implementar organismos de gobierno,
5.- Se trabaja con el consejo directivo para implementar organismos de No.
tales como un comit estratgico de TI, para brindar una
gobierno (tales como un comit estratgico de TI)?
orientacin estratgica a la gerencia respecto a TI,
6.- Se brinda una orientacin estratgica a la gerencia respecto a TI?
Si.
garantizando as que tanto la estrategia como los objetivos se
7.- Se facilita la alineacin de TI con el negocio en cuanto a estrategia y No, solo en parte.
distribuyan en cascada hacia las unidades de negocio y
hacia las unidades de TI y que se desarrolle certidumbre y operaciones?
confianza entre el negocio y TI. Facilitar la alineacin de TI 8.- Se fomenta la co-responsabilidad entre el negocio y TI en la toma de No, solo en parte.
decisiones estratgicas y en la obtencin de los beneficios provenientes
con el negocio en lo referente a estrategia y operaciones,
fomentando la co-responsabilidad entre el negocio y TI en la de las inversiones habilitadas con TI?

CALIFICACIN

OBJETIVOS DE
CONTROL
ME4.2 - Alineamiento Estratgico.

DETALLE OBJETIVO CONTROL

0,50
0,50
0,00
0,00
0,00
1,00
0,50

0,50

ME4.3 - Entrega de Va

toma de decisiones estratgicas y en la obtencin de los


beneficios provenientes de las inversiones habilitadas con TI.
Administrar los programas de inversin habilitados con TI,
as como otros activos y servicios de TI, para asegurar que
ofrezcan el mayor valor posible para apoyar la estrategia y
los objetivos empresariales. Asegurarse de que los resultados
de negocio esperados de las inversiones habilitadas por TI y
el alcance completo del esfuerzo requerido para lograr esos
resultados est bien entendido, que se generen casos de

1.- Se administra los programas de inversin habilitados con TI, as como Si.
otros activos y servicios de TI?
2.- Se implementa un enfoque disciplinado de la administracin del Si.
portafolio?
3.- El departamento de TI garantiza la optimizacin de los costos por la Si.
prestacin de servicios?
4.- El departamento garantiza las capacidades de TI?
Si.

Revisar inversin, uso y asignacin de los activos de TI por


medio de evaluaciones peridicas de las iniciativas y 2.- Se revisa el uso de los activos de TI por medio de evaluaciones Si.
operaciones de TI para asegurar recursos y alineamiento peridicas?
apropiados con los objetivos estratgicos y los imperativos
3.- Se revisa la asignacin de los activos de TI por medio de evaluaciones Si.
de negocio actuales y futuros.
peridicas?

Trabajar con el consejo directivo para definir el nivel de 1.- Se trabaja con el consejo directivo para definir el nivel de riesgo de TI No.
riesgo de TI aceptable por la empresa y obtener garanta aceptable por la empresa?
razonable que las practicas de administracin de riesgos de 2.- Se aseguran que el riesgo actual de TI no excede el riesgo aceptable de No.
TI son apropiadas para asegurar que el riesgo actual de TI no direccin?
excede el riesgo aceptable de direccin. Introducir las 3.- Se introduce las responsabilidades de administracin de riesgos en la No.
responsabilidades de administracin de riesgos en la organizacin?
organizacin, asegurando que el negocio y TI regularmente 4.- Se evalan los riesgos relacionados con TI y su impacto?
No.
evalan y reportan riesgos relacionados con TI y su impacto y
que la posicin de los riesgos de TI de la empresa es
5.- Se reportan los riesgos relacionados con TI y su impacto?
No.
transparente a los interesados.
1.- Se verifica que los objetivos de TI cumple las expectativas de la Si.
empresa?

Confirmar que los objetivos de TI confirmados se han


conseguido o excedido, o que el progreso hacia las metas de
TI cumple las expectativas. Donde los objetivos confirmados 2.- Se informa a la alta direccin sobre los portafolios relevantes de TI? Si.
no se han alcanzado o el progreso no es el esperado, revisar
las acciones correctivas de gerencia. Informar a direccin los
3.- Se informa a la alta direccin sobre los programas de TI?
Si.
portafolios relevantes, programas y desempeos de TI,
soportados por informes para permitir a la alta direccin
4.- Se informa a la alta direccin sobre el desempeo de TI?
Si.
revisar el progreso de la empresa hacia las metas
identificadas.

1.- Se garantiza de forma independiente la conformidad de TI con la Si.


Garantizar de forma independiente (interna o externa) la legislacin de la organizacin?
conformidad de TI con la legislacin y regulacin relevante; 2.- Se garantiza de forma independiente la conformidad de TI con las Si.
las polticas de la organizacin, estndares y procedimientos; polticas de la organizacin?
practicas generalmente aceptadas; y la efectividad y
3.- Se garantiza la efectividad del desempeo de TI?
Si.
eficiencia del desempeo de TI.
4.- Se garantiza la eficiencia del desempeo de TI?
Si.

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
116

1,00
1,00
1,00

1,00
Si, por medio del presupuesto y el control
1,00
presupuestario.

ME4.6 - Medicin del


Desempeo.

ME4.5 - Administracin de
Riesgos.

ME4.4 Administracin de
Recursos.

1.- Se revisa la inversin de TI por medio de evaluaciones peridicas?

ME4.7 Aseguramiento
Independiente.

ACTIVIDADES DEL
PROCESO

PROCESOS

Revisar, avalar, alinear y comunicar el desempeo


de TI, la estrategia de TI, el manejo de recursos y
riesgos de TI con respecto a la estrategia
empresarial.
Crear cuadro
mandos.
Generar un reporte de gobierno
de TI.
Revisar, avalar, alinear y
comunicar el desempeo de
TI, la estrategia de TI, el
manejo de recursos y
riesgos de TI con respecto a
la estrategia empresarial.
Generar un
reporte de
gobierno de TI.

E
V
A
L
U
A
R

Resolver los hallazgos


de la evaluaciones
independientes y
garantizar la
implantacin por
parte de la gerencia de
las recomendaciones
acordadas.

ME4 Proporcionar Gobierno de TI

DOMINIO

M
O
N
I
T
O
R
E
A
R

COBIT

1,00
1,00
0,00
0,00
0,00
0,00
0,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00

4.1.2.1 EVALUACIN DEL DEPARTAMENTO DE SISTEMAS DE LA


EMPRESA EP APLICANDO LA METODOLOGA COBIT 4.1
4.1.2.1.1 RESULTADOS FINALES OBTENIDOS
4.1.2.1.1.1 RESULTADO DE LA EVALUACIN DEL CUMPLIMIENTO A
NIVEL GENERAL
Para obtener el resultado general de cumplimiento del departamento de sistemas con
lo que indica la metodologa COBIT se realiz las siguientes tablas de evaluacin:
1.

Evaluacin por objetivos de control (Ver anexo # 2) se tom en cuenta las


siguientes columnas procesos, actividades de los procesos, objetivos de control,
peso del objetivo y calificacin porcentual del objetivo, donde se da un peso
ponderado de acuerdo a la cantidad de objetivos de control de cada proceso y a
su vez la calificacin es el promedio de la sumatoria de los puntajes de cada
objetivo de control expresndolo en porcentaje (%).

2.

Evaluacin por procesos (Ver anexo # 1) se consider las siguientes columnas;


dominios, procesos, cantidad de objetivos y calificacin porcentual de cada
proceso. En la columna cantidad de objetivos se ingres el nmero de acuerdo a
lo establecido en la metodologa COBIT, para la calificacin porcentual por
procesos se realiz un enlace con la tabla de evaluacin por objetivos de control
multiplicando lo obtenido en la columna peso del objetivo por lo obtenido en la
columna calificacin porcentual del objetivo, a este resultado se le agrega la
sumatoria de las celdas siguientes del objetivo de control.

3.

Evaluacin por dominio (Ver tabla # 6) se utiliz las columnas dominios,


cantidad de procesos y calificacin porcentual del dominio. En la columna
cantidad de procesos se ingres el nmero que aplica segn la metodologa
COBIT y para la calificacin porcentual del dominio se aplic un promedio de
la sumatoria de los valores porcentuales de cada uno de los procesos tomando
como referencia el anexo # 1.

Para la conclusin del cuadro general de COBIT se determin que el promedio de


cumplimiento del departamento de sistemas es igual a: la multiplicacin de las
columna cantidad de procesos por calificacin porcentual del dominio ms las
celdas siguientes del dominio, dividido para los 34 procesos que suman en la
metodologa utilizada.
De acuerdo a la decisin tomada de manera grupal se estandariz para la evaluacin
general de COBIT, dominios, procesos y objetivos de control el porcentaje >=60%

117

para el cumplimiento aceptable y el porcentaje <60% para el cumplimiento no


aceptable.
En la tabla y grfico siguiente se detallan los valores obtenidos:
TABLA 6: EVALUACIN DEL CUMPLIMIENTO DEL DEPARTAMENTO
DE SISTEMAS A NIVEL GENERAL
EVALUACIN DEL CUMPLIMIENTO A NIVEL GENERAL
PROMEDIO CUMPLIMIENTO

62%

PROMEDIO NO CUMPLIMIENTO

38%

GRFICO 1: EVALUACIN DEL CUMPLIMIENTO DEL


DEPARTAMENTO DE SISTEMAS A NIVEL GENERAL

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS:
En el anlisis de cumplimiento se verifica que el departamento de sistemas obtuvo
un porcentaje de 62% considerado como un nivel aceptable, con relacin al modelo
de madurez de COBIT se lo ubicara en el nivel 2 (Repetible).
El promedio de los procesos no cumplidos estn relacionados en un 38%, es decir
que an falta complementar el desarrollo de ms polticas, procedimientos,
118

documentacin, y capacitacin al personal involucrado para controlar los procesos,


que permita reducir las brechas existentes con lo establecido por COBIT.

4.1.2.1.1.2 RESULTADO FINAL DE LA EVALUACIN POR DOMINIO


Para la evaluacin por dominio se desarroll la siguiente tabla y grfico donde se
muestran los resultados de acuerdo a la aplicacin del diagnstico realizado de los
procesos respectivos.
TABLA 7: EVALUACIN POR DOMINIO
EVALUACIN POR DOMINIO
DOMINIO
# PROCESOS
PLANEAR Y ORGANIZAR
ADQUIRIR E IMPLEMENTAR
ENTREGAR Y DAR SOPORTE
MONITOREAR Y EVALUAR

10
7
13
4

%
68%
69%
47%
86%

GRFICO 2: EVALUACIN POR DOMINIO

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras

119

ANLISIS:
Acorde a los resultados obtenidos se verifica que el de menor cumplimiento es el
dominio Entregar y Dar Soporte con un porcentaje de 47% lo que indica que el
departamento de sistemas no cumple en su totalidad con la entrega de los servicios
requeridos, que incluyen: prestacin del servicio, administracin de la seguridad,
continuidad y administracin de los datos e instalaciones operativas.
4.1.2.1.1.3 RESULTADO FINAL DE LA EVALUACIN POR PROCESO
Para la evaluacin final de los procesos de cada dominio se desarroll la tabla
evaluacin por procesos (Ver anexo # 1) cuyo resultado nos permite establecer los de
menor cumplimiento para realizar su respectivo anlisis.

RESULTADO DE LOS PROCESOS DEL DOMINIO PLANEAR Y


ORGANIZAR
Los resultados de los procesos del dominio Planear y Organizar se presentan en el
siguiente grfico, con estos resultados se elabor la tabla de evaluacin por procesos
(Ver anexo # 1) para su posterior anlisis:
GRFICO 3: PROCESOS DEL DOMINIO PLANEAR Y ORGANIZAR

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
120

ANLISIS:
A continuacin se presenta un anlisis detallado de los procesos de menor
cumplimiento del dominio planear y organizar:
Definir la arquitectura de la informacin, con un 18% indica que el
departamento de sistemas carece de una infraestructura tecnolgica apropiada
para la implantacin de tecnologa eficiente en la comunicacin de las TI.
Determinar la direccin tecnolgica, con un 43% representa un nivel no
aceptable considerando los cambios tecnolgicos que se presentan y las
innovaciones que se dan en el tiempo lo que impide una buena gestin de los
sistemas de informacin.
Administrar la calidad, con un 33% implica que el departamento de
sistemas no est realiza monitoreos continuos y revisiones internas - externas
del desempeo contra los estndares y prcticas establecidos.
Evaluar y Administrar los riesgos de TI, con un 36% indica que no se
realiza una evaluacin de riesgos y vulnerabilidades que evite exponer el
logro de las metas de la empresa, se debe alinear los riesgos informticos y
los costos de la empresa para minimizar las inversiones, priorizar y planificar
opciones de mitigacin y realizar un clculo de los impactos comerciales.

121

RESULTADO DE LOS PROCESOS DEL DOMINIO ADQUIRIR E


IMPLEMENTAR
Con el siguiente grfico se muestra los procesos evaluados en el dominio Adquirir e
Implementar:
GRFICO 4: PROCESOS DEL DOMINIO ADQUIRIR E IMPLEMENTAR

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS:
El proceso Instalar y Acreditar Soluciones y Cambios con un 53% refleja que no se
adopta una metodologa de prueba en las aplicaciones e infraestructura con el
propsito de disminuir los errores, y planear las liberaciones de nuevos procesos en
el departamento de sistemas.

122

RESULTADO DE LOS PROCESOS DEL DOMINIO ENTREGAR Y DAR


SOPORTE
Se detallan los procesos del dominio Entregar y Dar Soporte los cules han sido
evaluados en el siguiente grfico:
GRFICO 5: PROCESOS DEL DOMINIO ENTREGAR Y DAR SOPORTE

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS:
Para este anlisis se detallan a continuacin los procesos de menor cumplimiento del
dominio Entregar y Dar Soporte:
Definir y administrar los Niveles de Servicio, con un 53% representa que el
servicio brindado por el departamento de sistemas no es del todo aceptable lo
que indica que se deben establecer una definicin de los niveles para
administrarlos de la manera ms adecuada alinendolos con la estrategia del
negocio.

123

Administrar los servicios de Terceros, con un 58% el departamento no


cuenta con un control donde se asegure las tareas y responsabilidades de las
terceras partes que estn claramente definidas, que cumplan y satisfagan los
requerimientos del negocio.
Administrar el desempeo y la Capacidad, con un 37% representa poco
inters del personal del departamento de brindar nuevas medidas de accin y
cambios para rescatar la capacidad y rendimiento de los recursos
implementados para alcanzar el desempeo deseado por la empresa.
Garantizar la Continuidad del Servicio, con un 43% implica que el
departamento no realiza mejoras en las acciones a tomar para garantizar la
recuperacin de los procesos en caso de interrupcin y aplicar en forma
inmediata un plan de contingencia que permita mantener el servicio
disponible en el menor tiempo posible y acorde a los requerimientos.
Garantizar la Seguridad de los Sistemas, con un 56% est por debajo del
lmite de aceptacin no se salvaguarda la informacin contra uso no
autorizado, divulgacin, modificacin, dao o prdida.
Educar y entrenar a los usuarios, con un 52% representa que la formacin
que se da a los usuarios para el uso efectivo de la tecnologa no est acorde a
las responsabilidades.
Administrar la mesa de servicio y los incidentes, con un 30% los servicios
requeridos por los usuarios de la empresa no se atiende y/o despacha
eficientemente para desenvolverse adecuadamente en los diferentes procesos.
Administrar la Configuracin, con un 39% no se realiza una gestin
completa de todos los componentes de los servicios de TI para prevenir
alteraciones en los procesos donde deben estar bien definidos los roles y
responsabilidades de cada encargado del departamento de sistemas de la
empresa.

124

Administrar los Problemas, con un 0%

no se investigan las causas

subyacentes de las alteraciones de los servicios de TI, que permitan


determinar posibles soluciones de la manera ms eficaz para que no vuelvan a
ocurrir.
Administrar los Datos, con un 21% el departamento de sistemas no cuenta
con procedimientos efectivos y documentados para administrar cada uno de
los procesos que permite asegurar la disponibilidad y seguridad de la
informacin.

125

RESULTADO DE LOS PROCESOS DEL DOMINIO MONITOREAR Y


EVALUAR
El dominio Monitorear y Evaluar se compone de 4 procesos que son evaluados en el
grfico siguiente:
GRFICO 6: PROCESOS DEL DOMINIO MONITOREAR Y EVALUAR

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS:
De acuerdo a la evaluacin realizada en el dominio Monitorear y Evaluar todos los
procesos se encuentran en un promedio aceptable dentro de lo establecido con
COBIT cabe recalcar que en la evaluacin realizada por objetivos de control
hubieron algunos que no cumplan con los parmetros los cuales sern analizados
posteriormente.

126

4.1.2.1.1.4 RESULTADO FINAL DE LA EVALUACIN POR OBJETIVOS


DE CONTROL

Para el diagnstico de los objetivos de control en el departamento de sistemas en la


empresa EP se tomar en consideracin la evaluacin de los mismos cuyo valor es <
60. Se desarroll la tabla Evaluacin por controles (Ver anexo # 2) para obtener los
resultados los cules sern presentados a continuacin:

PROCESO PO1 DEFINIR UN PLAN ESTRATGICO DE TI


Se detallan los objetivos de control que comprende el proceso definir un plan
estratgico de TI en el siguiente grfico:
GRFICO 7: OBJETIVOS DE CONTROL DEL PROCESO
PO1 DEFINIR UN PLAN ESTRATGICO DE TI

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras

127

ANLISIS:
Se verifica en el grfico presentado anteriormente que el objetivo de control de
menor cumplimiento es alineacin de TI con el negocio con un 50%, el departamento
no cuenta con la tecnologa adecuada que permita buscar una ventaja competitiva
minimizando los rubros de la empresa.

PROCESO PO2 DEFINIR LA ARQUITECTURA DE LA INFORMACIN


El proceso definir la arquitectura de la informacin se muestra con sus respectivos
objetivos de control en el siguiente grfico:
GRFICO 8: OBJETIVOS DE CONTROL DEL PROCESO
PO2 DEFINIR LA ARQUITECTURA DE TI

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS:
Para el anlisis se considera el proceso, debido a que todos los objetivos de control
son de menor cumplimiento indicndonos que el departamento de sistemas debe

128

optar por un diseo estructural en entornos de informacin para facilitar la


comprensin y asimilacin de las interfaces para los usuarios.

PROCESO PO3 - DETERMINAR LA DIRECCIN TECNOLGICA


En el siguiente grfico se detallan los objetivos de control de menor cumplimiento
que comprende el proceso determinar la direccin tecnolgica.
GRFICO 9: OBJETIVOS DE CONTROL DEL PROCESO
PO3 - DETERMINAR LA DIRECCIN TECNOLGICA

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS:
Para el anlisis se considera los de menor cumplimiento que los detallamos a
continuacin:
Monitoreo de tendencias y regulaciones futuras con un 0%, nos indica
que no existe un

proceso contemplado en el plan de infraestructura

tecnolgica de TI para monitorear las tendencias ambientales, tecnolgicas,


de infraestructura, legales y regulatorias como recomienda COBIT.
129

Consejo de arquitectura de TI, con un 0% el departamento no cuenta con


un consejo de arquitectura que establezca un control prioritario para el control
de las TI donde se vincule a progresos para una direccin adecuada en la
empresa.

PROCESO PO4 - DEFINIR LOS PROCESOS, ORGANIZACIN Y


RELACIONES DE TI
Definiremos en el siguiente grfico los objetivos de control de menor cumplimiento
del proceso definir los procesos, organizacin y relaciones de TI.
GRFICO 10: OBJETIVOS DE CONTROL DEL PROCESO
PO4 - DEFINIR LOS PROCESOS, ORGANIZACIN Y RELACIONES DE TI

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras

130

ANLISIS:
A continuacin detallaremos los objetivos de control:

Comit Estratgico de TI, con un 0% el departamento de sistemas no cuenta


con un consejo estratgico de TI que asegure el manejo adecuado de la
direccin estratgica de la empresa.

Comit Directivo de TI, con un 0% no se cuenta con un comit directivo de


TI que permita dar seguimiento al avance de los proyectos y resolver los
conflictos de recursos, as mismo monitorear los niveles de servicios y las
mejoras del servicio.
Responsabilidad de Aseguramiento de Calidad de TI, con un 0% no se
asignan responsabilidades para asegurar la calidad del grupo de sistemas y
satisfacer los requerimientos del negocio.
Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento, con un
14% no se mantiene un control de los riesgos de TI que ocasionan prdidas
de la informacin, se debe mantener la integridad de los datos para asegurar
los objetivos del negocio.
Propiedad de Datos y de Sistemas, con un 33% el departamento no cuenta
procedimientos y herramientas que permitan enfrentar responsabilidades de
propiedad sobre los datos y los sistemas de informacin.
Relaciones, con un 50% no se cuenta con una estructura ptima de enlace y
coordinacin entre la funcin de TI y otros interesados dentro y fuera como
por ejemplo el consejo directivo, ejecutivos, unidades de negocio,
proveedores.

131

PROCESO PO5 - ADMINISTRAR LA INVERSION DE TI


A continuacin se detallan los objetivos de control del proceso Administrar la
Inversin de TI.
GRFICO 11: OBJETIVOS DE CONTROL DEL PROCESO
PO5 - ADMINISTRAR LA INVERSION DE TI

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS:
Para el anlisis se considera los de menor cumplimiento lo que detallamos a
continuacin:
Prioridades dentro del Presupuesto de TI, con un 33% no cuenta con un
proceso para la toma de decisiones para dar prioridades a la asignacin de
recursos de TI para proyectos de operaciones y mantenimiento.
Administracin de Beneficios, con un 33% no cuenta con un proceso de
monitoreo de beneficios que contengan reportes para mejorar la contribucin
de TI.

132

PROCESO PO6 - COMUNICAR LAS ASPIRACIONES Y LA DIRECCIN


DE LA GERENCIA
En el siguiente grfico se detalla los objetivos de control de menor cumplimiento que
abarca en el proceso comunicar las aspiraciones y la direccin de la gerencia.
GRFICO 12: OBJETIVOS DE CONTROL DEL PROCESO
PO6 - COMUNICAR LAS ASPIRACIONES Y LA DIRECCIN DE LA
GERENCIA

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS:
En el proceso se evalu cada objetivo donde se puede determinar que el objetivo de
control con menor porcentaje de cumplimiento es:
Comunicacin de los Objetivos y la Direccin de TI, con un 50% los
objetivos del departamento no son comunicados adecuadamente a los
usuarios de la organizacin.

133

PROCESO PO7 - ADMINISTRAR RECURSOS HUMANOS DE TI


Del estudio realizado al proceso Administrar Recursos Humanos de TI, se detallan
los objetivos de control en el siguiente grfico.
GRFICO 13: OBJETIVOS DE CONTROL DEL PROCESO
PO7 - ADMINISTRAR RECURSOS HUMANOS DE TI

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS:
A continuacin se realiza un detalle de los objetivos con menor cumplimiento:
Entrenamiento del Personal de TI, con un 0% el departamento de recursos
humanos de la empresa no cuenta con la orientacin necesaria al momento de
la contratacin del personal del departamento de sistemas para medir su
conocimiento, aptitud, responsabilidad, conciencia sobre la seguridad, al
nivel requerido para alcanzar las metas del negocio.
Dependencia sobre los Individuos, con un 50% no cuenta con la
capacitacin de los usuarios claves de cada departamento en cuanto al uso de
las tecnologas para poder cumplir con los procesos de la empresa.
134

PROCESO PO8 - ADMINISTRAR LA CALIDAD


A continuacin se presenta el grfico donde se muestra el resultado de la evaluacin
de los objetivos de control del proceso de Administrar la Calidad.
GRFICO 14: OBJETIVOS DE CONTROL DEL PROCESO
PO8 - ADMINISTRAR LA CALIDAD

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS:
La evaluacin de cada objetivo de control refleja que cinco de los seis objetivos de
este proceso, tienen el menor porcentaje de cumplimiento y son:
Sistema de Administracin de Calidad, con un 50% establece que no
cuentan con polticas o modelos que proporcionen un enfoque estndar con
respecto a la administracin de la calidad y que estn alineados con los
requerimientos

del

negocio,

la

estructura

organizacional

administracin de la calidad no cubre todas las responsabilidades.


135

para

la

Estndares y Prcticas de Calidad, con un 50% refleja que no identifican y


mantienen estndares, procedimientos y prcticas para los procesos claves de
TI para orientar a la organizacin hacia el cumplimiento del QMS.
Estndares de Desarrollo y Adquisicin, con un 13% revela que no
mantienen estndares para todo desarrollo y adquisicin que siga el ciclo de
vida que incluya la aprobacin en puntos claves basados en criterios de
aceptacin acordados.
Mejora Continua, con un 0% demuestra que no se mantiene ni comunica
con regularidad un plan global de calidad que promueva el fortalecimiento
del rea.
Medicin, Monitoreo y Revisin de la Calidad, con un 0% indica que no
definen, planean e implementan mediciones para monitorear el cumplimiento
continuo del QMS, as como el valor que ste proporciona.

136

PROCESO PO9 - EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI


En el siguiente grfico se muestra el resultado de la evaluacin de los objetivos de
control del proceso Evaluar y Administrar los Riesgos de TI.
GRFICO 15: OBJETIVOS DE CONTROL DEL PROCESO
PO9 - EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS:
En este proceso los seis objetivos de control que lo conforman tienen un menor
porcentaje de cumplimiento, lo cual se detalla a continuacin:
Marco de Trabajo de Administracin de Riesgos, con un 50% demuestra
que el marco de trabajo de administracin de riesgos de TI no est alineado al
marco de trabajo de administracin de riesgos de la organizacin.
Establecimiento del Contexto del Riesgo, con un 0% indica que no tienen
establecido un contexto en el cual el marco de trabajo de evaluacin de
riesgos garantice los resultados apropiados.
137

Identificacin de Eventos, con un 50% revela que los riesgos relevantes no


son registrados, lo que dificulta identificar los eventos para reducir el impacto
y conservar el potencial del negocio.
Evaluacin de Riesgos de TI, con un 50% refleja que la evaluacin de los
riesgos de TI no se la hace peridicamente y en forma apropiada.
Respuesta a los Riesgos, con un 50% implica que el proceso de respuesta a
riesgos no establece controles efectivos que mitiguen la exposicin en forma
continua y que identifique estrategias para evitar, reducir, compartir o aceptar
riesgos as como determinar responsabilidades dentro del departamento.
Mantenimiento y Monitoreo de un Plan de Accin de Riesgos, con un 50%
muestra que

las actividades de control de todos los niveles que dan

respuestas a los riesgos no estn debidamente priorizadas, mantenidas y


monitoreadas.

138

PROCESO PO10 - ADMINISTRAR PROYECTOS


La evaluacin de los objetivos de control del proceso de Administrar Proyectos se
detalla en el siguiente grfico:
GRFICO 16: OBJETIVOS DE CONTROL DEL PROCESO
PO10 - ADMINISTRAR PROYECTOS

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS:
La evaluacin de los 10 objetivos de control que conforman el proceso Administrar
Proyectos nos muestra que estn por encima del porcentaje establecido como nivel
de cumplimiento.
La administracin de proyectos en la empresa EP cumple con los parmetros que
permiten que su ejecucin asegure la calidad de los entregables.

139

DOMINIO ADQUIRIR E IMPLEMENTAR


PROCESO AI1 - IDENTIFICAR SOLUCIONES AUTOMATIZADAS
En el siguiente grfico se detalla el resultado de la evaluacin de los objetivos de
control del proceso Identificar Soluciones Automatizadas.
GRFICO 17: OBJETIVOS DE CONTROL DEL PROCESO
AI1 - IDENTIFICAR SOLUCIONES AUTOMATIZADAS

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS:
De los cuatro objetivos de control que conforman este proceso solo uno, que
corresponde al Estudio de Factibilidad y Formulacin de Cursos de Accin
Alternativos tiene un 0% lo que indica que no realizan estudios de factibilidad para
la implementacin de requerimientos como se define en los estndares de desarrollo
y tampoco identifican soluciones alternas que sean rentables para la organizacin.

140

PROCESO AI2 - ADQUIRIR Y MANTENER SOFTWARE APLICATIVO


El resultado de la evaluacin de los objetivos de control que conforman el proceso
adquirir y mantener software aplicativo se presentan en el siguiente grfico.
GRFICO 18: OBJETIVOS DE CONTROL DEL PROCESO
AI2 - ADQUIRIR Y MANTENER SOFTWARE APLICATIVO

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS:
La evaluacin de cada uno de los 10 objetivos que conforman este proceso revela
que tres de ellos obtuvieron menor porcentaje de cumplimiento y son:
Diseo de Alto Nivel, con un 38% indica que para la adquisicin de software,
no se tiene en cuenta las directivas tecnolgicas y la arquitectura de
informacin de la organizacin y que la incompatibilidad tcnica o lgica no
es evaluada.
Aseguramiento de la Calidad del Software, con un 0% demuestra que no se
cuenta con un plan de aseguramiento de calidad y que el desarrollo e
implementacin de recursos no estn acordes a las polticas y procedimientos
de calidad de la organizacin.
141

Mantenimiento de Software Aplicativo, con un 50% significa que no se


desarrollan estrategias para un buen mantenimiento de las aplicaciones del
software.

PROCESO AI3 - ADQUIRIR Y MANTENER INFRAESTRUCTURA


TECNOLGICA
Con la evaluacin de los objetivos de control del proceso Adquirir y mantener
infraestructura tecnolgica se pudo determinar los objetivos de menor cumplimiento
como se muestra en el siguiente grfico:
GRFICO 19: OBJETIVOS DE CONTROL DEL PROCESO
AI3 - ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLGICA

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS:
Este proceso est conformado por cuatro objetivos de control de los cuales el de
menor cumplimiento es el que corresponde al Mantenimiento de la Infraestructura
que obtuvo un 50% lo que implica que no tienen un plan de mantenimiento bien
definido en lo referente al control de cambios en la infraestructura tecnolgica que
garantice que las aplicaciones crticas de la empresa se vean afectadas en su
desempeo.
142

PROCESO AI4 - FACILITAR LA OPERACIN Y EL USO


Facilitar la operacin y el uso hace referencia a cuatro objetivos de control los cuales
no todos pasan el porcentaje de cumplimiento, en el siguiente grfico se detalla el
porcentaje de cumplimiento.
GRFICO 20: OBJETIVOS DE CONTROL DEL PROCESO
AI4 - FACILITAR LA OPERACIN Y EL USO

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS:
Dos de los objetivos de control de este proceso tienen un porcentaje de menor
cumplimiento y son:
Plan para Soluciones de Operacin, con un 50% que refleja la ausencia de
un plan que permita identificar y documentar los aspectos tcnicos as como
la capacidad de operacin y los niveles de servicios requeridos. Actualmente
solo a nivel de aplicativos desarrollan manual de usuarios y manual tcnico
Transferencia de Conocimiento al Personal de Operaciones y Soporte,
con un 57% lo que indica que existe disponibilidad de manuales efectivos de
143

usuario y de operacin, as como entrenamiento necesario al personal


involucrado incluyendo la gerencia, para el correcto uso del sistema. La base
de conocimientos est en proceso.

PROCESO AI5 - ADQUIRIR RECURSOS DE TI


En el grfico siguiente se detalla la evaluacin de los objetivos de control del proceso
Adquirir recursos de TI.
GRFICO 21: OBJETIVOS DE CONTROL DEL PROCESO
AI5 - ADQUIRIR RECURSOS DE TI

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS:
La valoracin de los cuatro objetivos de control de este proceso nos revela que todos
los objetivos superan el porcentaje aceptable de cumplimiento, lo que refleja que se
aplican polticas y procedimientos para la adquisicin de las TI y que la relacin con
los proveedores se maneja en forma estratgica cuidando todos los aspectos.
144

PROCESO AI6 - ADMINISTRAR CAMBIOS


El grfico que se muestra a continuacin detalla la evaluacin de los objetivos de
control del proceso Administrar Cambios.
GRFICO 22: OBJETIVOS DE CONTROL DEL PROCESO
AI6 - ADMINISTRAR CAMBIOS

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS:
De los cinco objetivos de control que conforman este proceso, dos no alcanzan el
porcentaje aceptable de cumplimiento y son:
Cambios de Emergencia, con un 33% lo que hace referencia a que no hay un
proceso establecido para estos casos, aunque si se documenta y se realizan las
pruebas correspondientes, falta el desarrollo y aplicacin de procedimientos.
Seguimiento y Reporte del Estatus de Cambio, con un 0% que indica que
no hay un sistema que administre los cambios y actualice su estatus y que
est integrada con la administracin del negocio.
145

PROCESO AI7 - INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS


En el grfico que se presenta a continuacin se muestra el resultado de la evaluacin
de los objetivos de control del proceso Instalar y Acreditar Soluciones y Cambios.
GRFICO 23: OBJETIVOS DE CONTROL DEL PROCESO
AI7 - INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS:
Este proceso est compuesto de nueve objetivos de control, cinco de los cuales
obtuvieron un porcentaje de menor cumplimiento y son:
Entrenamiento, con un 30% indica que no existe un plan definido para el
entrenamiento del personal y que las indicaciones bsicas que reciben de
acuerdo al requerimiento no es suficiente,
Plan de Prueba, con un 30% refleja la inexistencia de un plan de pruebas
que defina roles, responsabilidades y criterios de entrada y salida, a pesar de
que si se realizan pruebas estas no contempla lo recomendado en un plan.
146

Ambiente de Prueba, con un 50% implica que aunque cuentan con un


ambiente de prueba, este no est basado en un estndar pero si cuidan de no
afectar los datos.
Conversin de Sistemas y Datos, con un 0% indica que no cuentan con un
plan de conversin de datos y migracin de infraestructuras y una
metodologa de prueba para que las soluciones de aplicaciones e
infraestructura est libre de errores.
Pruebas de Cambio, con un 33% muestra que a pesar que en las pruebas de
cambio se considera la seguridad y el desempeo el no contar con un plan de
pruebas las acciones que se tomen son inconsistentes.

147

DOMINIO ENTREGAR Y DAR SOPORTE


PROCESO DS1 DEFINIR Y ADMINISTRAR
SERVICIO

LOS NIVELES DE

Se muestra la evaluacin de los objetivos del proceso Definir y Administrar los


niveles de Servicios en el siguiente grfico:
GRFICO 24: OBJETIVOS DE CONTROL DEL PROCESO
DS1 DEFININIR Y ADMINISTRAR LOS NIVELES DE SERVICIO

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS:
De los seis objetivos de control que conforman el proceso Definir y Administrar los
niveles de servicio, los de menor cumplimiento son los cinco que se detallan a
continuacin:
Marco de Trabajo de la Administracin de los Niveles de Servicios con un
21% refleja la inexistencia de un marco de trabajo que permita la alineacin
de los servicios claves de TI con la estrategia del negocio.
148

Acuerdos de Niveles de Servicios, con un 50% muestra que a pesar de que a


nivel de aplicaciones cuentan con SLAs, no es suficiente para asegurar la
alineacin de TI con los objetivos del negocio.
Acuerdos de Niveles de Operacin, con un 50% indica que no consideran
un estndar para que los acuerdos de niveles de operacin especifiquen en
trminos claros los procesos para entregar los servicios que soporten los
SLAs,
Monitoreo y Reporte del Cumplimiento de los Niveles de Servicios, con
un

50% hace referencia a que no se monitorean en forma adecuada el

cumplimiento

de

los

niveles

de

servicio

mantener

monitoreado

continuamente los criterios de desempeo, as mismo y solo se verifican en


el sistema los nuevos requerimientos, se hacen informes pero los responsables
no ingresan la informacin por lo tanto no existen estadsticas para analizar
tendencias.
Revisin de los Acuerdos de Niveles de Servicios y de los Contratos, con
un 50% indica que la revisin de los acuerdos de niveles de servicio es
informal y solo se lo hace a proveedores externos lo que asegura parcialmente
su efectividad.

149

PROCESO DS2 ADMINISTRAR LOS SERVICIOS DE TERCEROS


En el siguiente grfico se muestra el resultado de la evaluacin de los objetivos de
control del proceso Administrar los servicios de terceros:
GRFICO 25: OBJETIVOS DE CONTROL DEL PROCESO
DS2 ADMINISTRAR LOS SERVICIOS DE TERCEROS

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS:
En el resultado de la evaluacion de los objetivos de control de este proceso se
verifica que dos de ellos tienen un menor cumplimiento y estos son:
Identificacin de Todas las Relaciones con Proveedores, con un 13%
seala que la identificacin y categorizacin de los servicios del proveedor no
est estructurada, es insuficiente.
Monitoreo del Desempeo del Proveedor, con un 50% que indica que se
monitorea el desempeo del proveedor aunque no existe un proceso definido.
150

PROCESO DS3 ADMINISTRAR EL DESEMPEO Y LA CAPACIDAD


El grfico que se muestra a continuacin detalla la evaluacin de los objetivos de
control del proceso Administrar el desempeo y la capacidad.
GRFICO 26: OBJETIVOS DE CONTROL DEL PROCESO
DS3 ADMINISTRAR EL DESEMPEO Y LA CAPACIDAD

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS:
En la evaluacin de los cinco objetivos de control que conforman este proceso se
observa que los que tienen el menor cumplimiento son:
Capacidad y Desempeo Actual, con un 0% indica que no se revisa en
forma regular la capacidad y el desempeo de los recursos de TI para
verificar si alcanzan los niveles de servicios acordados.
Capacidad y Desempeo Futuros, con un 0% refleja que no se hace una
proyeccin de la capacidad y desempeo de los recursos de TI, ni se analizan
los excesos de capacidad para optimizar su uso.
151

Disponibilidad de Recursos de TI, con un 50% demuestra que toman


medidas para que los recursos de TI cumplan con su capacidad y desempeo
pero a su vez no cuentan con un plan de contingencia implantado.
Monitoreo y Reporte, con un 50% implica que la poltica que se aplica de
revisar cada dos aos el desempeo y la capacidad de los recursos de TI
representa un estado de poca calidad en el servicio y en la adquisicin de los
recursos.

152

PROCESO DS4 GARANTIZAR LA CONTINUIDAD DEL SERVICIO


En el grfico siguiente se detallan los objetivos de control del proceso Garantizar la
Continuidad del Servicio y su evaluacin de cumplimiento:
GRFICO 27: OBJETIVOS DE CONTROL DEL PROCESO
DS4 GARANTIZAR LA CONTINUIDAD DEL SERVICIO

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS:
En este anlisis se consideran los objetivos de control crticos del proceso, los cuales
se detallan a continuacion:
Planes de Continuidad de TI, con un 0%, nos demuestra que no existen
planes de continuidad lo cual significa que no estn preparados para el
impacto que se producira por una interrupcin mayor.
Recursos Crticos de TI, con un 0% implica que no estn identificados los
puntos ms vulnerables de TI ni cuentan con procedimientos para asegurar la
continuidad.
153

Pruebas del Plan de Continuidad de TI, con un 50% revela que al no haber
plan de continuidad de TI tampoco se pueden realizar pruebas y que
garantizan la continuidad de TI basndose en la descripcin de funciones que
estn en el manual de procedimientos.

Entrenamiento del Plan de Continuidad de TI, con un 20% demuestra que


el personal involucrado no recibe regularmente el entrenamiento adecuado en
caso de incidente o desastre, pero que cada uno si conoce sus
responsabilidades.

Distribucin del Plan de Continuidad de TI, con un 50% determina que las
reuniones que se realizan con el departamento de desarrollo organizacional
para definir estrategias en caso de emergencia, cumplen a medias con lo que
significa contar con un plan de continuidad probado y debidamente
comunicado.
Recuperacin y Reanudacin de los Servicios de TI, con un 25% implica
que las acciones para recuperacin y reanudacin de los servicios de TI no
son planeadas y solo en el momento que ocurren los eventos se improvisan
las acciones a seguir.
Almacenamiento de Respaldos Fuera de las Instalaciones, con un 30% es
decir que la informacin es respaldada en el sistema, de la base de datos se lo
hace diariamente y cada usuario respalda su informacin semestralmente. No
existe almacenamiento fuera de las instalaciones.
Revisin Post Reanudacin, con un 50% representa que si hacen revisiones
luego de una interrupcin a pesar de no contar con un plan de continuidad de
TI.

154

PROCESO DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS


En el grfico siguiente se muestran el resultado de la evaluacin de los objetivos de
control del proceso garantizar la seguridad de los sistemas.
GRFICO 28: OBJETIVOS DE CONTROL DEL PROCESO
DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS:
Se puede determinar que en este proceso los objetivos de control de menor
cumplimiento son los siguientes:
Administracin de la Seguridad de TI, con un 30% indica que la
administracin de la seguridad, no est alineada con los requerimientos del
negocio.
Plan de Seguridad de TI, con un 50% implica que no existe un plan de
seguridad de TI, pero si hacen una consideracin de la infraestructura de TI
con los requerimientos del negocio.
155

Administracin de Cuentas del Usuario, con un 0% demuestra que no


existen procedimientos para la administracin de cuentas de usuario, no
tienen manuales de usuario, tampoco criterios para la creacin de cuentas de
usuario, se basan en los procedimientos de soporte.
Definicin de Incidente de Seguridad, con un 0% es decir que no existen
procedimientos establecidos, cuando existe mal uso de la red solo bloquean el
problema y lo comunican al jefe y luego se toman medidas correctivas.
Proteccin de la Tecnologa de Seguridad, con un 50% refleja que la
seguridad no est cubierta en su totalidad, solo a nivel interno.
Intercambio de Datos Sensitivos, con un 50% muestra que solo protegen la
web por medio de un proxy, no tienen proteccin para el correo electrnico.

156

PROCESO DS6 IDENTIFICAR Y ASIGNAR COSTOS


En el siguiente grfico se detalla la evaluacin de los objetivos de control del proceso
Identificar y asignar costos.
GRFICO 29: OBJETIVOS DE CONTROL DEL PROCESO
DS6 IDENTIFICAR Y ASIGNAR COSTOS

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS:
En los cuatro objetivos de control que conforman este proceso se identific que el de
menor cumplimiento es:
DS6.1 Definicin de Servicios con un 50% indica que se los costos de TI son
identificados en trminos globales pero no estn clasificados.

157

PROCESO DS7 EDUCAR Y ENTRENAR A LOS USUARIOS


Con el siguiente grfico se muestra la evaluacin de los objetivos de control del
proceso Educar y entrenar a los usuarios.
GRFICO 30: OBJETIVOS DE CONTROL DEL PROCESO
DS7 EDUCAR Y ENTRENAR A LOS USUARIOS

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS:
Este proceso consta de tres objetivos de control y en la evaluacin los que obtuvieron
el menor cumplimiento son:
Identificacin de Necesidades de Entrenamiento y Educacin, con un 57%
implica que no cuentan con un programa definido de entrenamiento, pero que
si incluyen la implementacin de nuevo software (BAAN) y por medio de
Recursos Humanos se certifican habilidades y competencias en el personal
seleccionado.
Evaluacin del Entrenamiento Recibido, con un 0% demuestra que al no
contar con un programa definido de entrenamiento no se realizan las
evaluaciones necesarias luego de una capacitacin que contribuiran a futuro
en nuevos planes de estudio o de entrenamiento.
158

PROCESO DS8 ADMINISTRAR LA MESA DE SERVICIO Y LOS


INCIDENTES
En el siguiente grfico se detalla la evaluacin de los objetivos de control del proceso
Administrar la mesa de servicio y los incidentes.
GRFICO 31: OBJETIVOS DE CONTROL DEL PROCESO
DS8 ADMINISTRAR LA MESA DE SERVICIO Y LOS INCIDENTES

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS:
Se evalu cada objetivo de este proceso determinando que los que obtuvieron el
menor porcentaje de cumplimiento son:
Mesa de Servicios, con un 0% que implica que no tienen procedimientos de
monitoreo basados en los SLAs, que permitan registrar, comunicar, atender y
analizar todas las llamadas e incidentes reportados.
Escalamiento de Incidentes, con un 0% indica que no han desarrollado
procedimientos basados en los acuerdos de los SLAs, se escalen los
problemas no resueltos en primera instancia otorgando una solucin alterna.

159

Cierre de Incidentes, con un 0% nos revela que los incidentes no son


registrados apropiadamente y tampoco se confirma cual fue la accin tomada
y acordada con el cliente.

Anlisis de Tendencias, con un 50% refleja que no se emiten reportes de la


actividad de la mesa de servicios que permita a la gerencia medir su
desempeo y los tiempos de respuesta, as como llevar el registro de la causa
raz de los incidentes y su recurrencia. Y de esta manera identificar cules son
los problemas ms comunes y mejorar el servicio.

PROCESO DS9 ADMINISTRAR LA CONFIGURACIN


La evaluacin obtenida de los objetivos de control del proceso Administrar la
Configuracin se presenta en el siguiente grfico:
GRFICO 32: OBJETIVOS DE CONTROL DEL PROCESO
DS9 ADMINISTRAR LA CONFIGURACIN

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras

160

ANLISIS:
El resultado de la evaluacin de los objetivos de control crticos de este proceso son:
Repositorio y Lnea Base de Configuracin, con un 25% indica que carecen
de una herramienta de soporte y un repositorio que contenga la informacin
relevante. Tampoco existen procedimientos para el monitoreo y cambios que
realizan en la configuracin.
Identificacin y Mantenimiento de Elementos de Configuracin, con un
0%, revela que no cuentan con procedimientos que soporten la gestin de
cambios.
Revisin de Integridad de la Configuracin, con un 33% demuestra que las
revisiones del software instalado que realizan cada seis meses no es suficiente
para alcanzar el cumplimiento de este objetivo ya que lo hacen de manera
informal, es decir que no se basan en un procedimiento bien definido y
establecido.

161

PROCESO DS10 ADMINISTRAR LOS PROBLEMAS


En el grfico siguiente se presenta la evaluacin de los objetivos de control del
proceso Administrar los Problemas.
GRFICO 33: OBJETIVOS DE CONTROL DEL PROCESO
DS10 ADMINISTRAR LOS PROBLEMAS

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS:
En la evaluacin de este proceso los cuatro objetivos de control que lo conforman no
alcanzan el porcentaje aceptable de cumplimiento, ya que tienen un 0% lo que
permite identificar que no existe una adecuada administracin de los problemas
desde contar con procesos o procedimientos para identificar los incidentes hasta el
cierre del mismo pasando por determinar la causa raz.

162

PROCESO DS11 ADMINISTRAR LOS DATOS


En el siguiente grfico se muestra la evaluacin de los objetivos de control del
proceso Administrar los datos:
GRFICO 34: OBJETIVOS DE CONTROL DEL PROCESO
DS11 ADMINISTRAR LOS DATOS

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS:
Los objetivos de control con menor porcentaje de cumplimiento son:
Requerimientos del Negocio para Administracin de Datos, con un 25%
nos muestra que no existe un seguimiento adecuado para que el recibimiento
y procesamiento de los datos sea oportuno, y no se soportan los reinicios y los
reprocesos.

163

Acuerdos de Almacenamiento y Conservacin, con un 50% relaciona que


no existen procedimientos para el archivo, almacenamiento y retencin de los
datos, solo se hacen respaldos de informacin y nicamente lo que indica el
usuario cuando realizan mantenimiento.
Sistema de Administracin de Libreras de Medios, con un 0% demuestra
que tampoco para este objetivo estn establecidos los procedimientos para
mantener un inventario de medios almacenados y archivados que permitan
asegurar su usabilidad e integridad.
Eliminacin, con un 0% implica la inexistencia de procedimientos para la
proteccin de datos y software que asegure los requerimientos del negocio.
Respaldo y Restauracin, con un 50% indica que los procedimientos para el
respaldo de los sistemas, aplicaciones, datos y documentacin que vayan de
la mano con el plan de continuidad y los requerimientos del negocio al no
estar documentados impide verificar su real cumplimiento.
Requerimientos de Seguridad para la Administracin de Datos, con un
0% establece que no se tienen desarrolladas polticas y procedimientos para la
restauracin de datos durante todo el ciclo de vida.

164

PROCESO DS12 ADMINISTRAR EL AMBIENTE FSICO


A continuacin se detalla la evaluacin de los objetivos de control del proceso
Administrar el Ambiente Fsico como lo muestra el siguiente grfico:
GRFICO 35: OBJETIVOS DE CONTROL DEL PROCESO
DS12 ADMINISTRAR EL AMBIENTE FSICO

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS:
La Administracin de Instalaciones Fsicas con 50% implica que falta implementar
una adecuada administracin para estos componentes necesarios para que el
ambiente fsico en el que se desarrollan las TI se complemente con los otros
objetivos de control que permitan que el proceso alcance el nivel de cumplimiento
deseado.

165

PROCESO DS13 ADMINISTRAR LAS OPERACIONES


Se muestra en el siguiente grfico la evaluacin de los objetivos de control que
forman parte del proceso Administrar las operaciones:
GRFICO 36: OBJETIVOS DE CONTROL DEL PROCESO
DS13 ADMINISTRAR LAS OPERACIONES

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS:
Los objetivos de menor cumplimiento de este proceso son los que se detallan a
continuacin:
Procedimientos e Instrucciones de Operacin, con un 50% demuestra la
falta de procedimientos para el manejo de las operaciones de TI y que solo se
basan en el desempeo del personal a cargo de las actividades relacionadas
con las TI.

166

Monitoreo de la Infraestructura de TI, con un 0% revela la falta de


procedimientos definidos ya que de manera emprica realizan el monitoreo de
la infraestructura de TI.
Documentos Sensitivos y Dispositivos de Salida, con un 50% implica que
esta actividad no se administra apropiadamente y lo activos de TI no estn
asegurados en su totalidad.

167

DOMINIO MONITOREAR Y EVALUAR


ME1 - MONITOREAR Y EVALUAR EL DESEMPEO DE TI
En el siguiente grfico se detalla la evaluacin de los objetivos de control que
conforman el proceso Monitorear y evaluar el desempeo de TI.
GRFICO 37: OBJETIVOS DE CONTROL DEL PROCESO
ME1 - MONITOREAR Y EVALUAR EL DESEMPEO DE TI

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS:
El Enfoque del Monitoreo con un 0% es el nico objetivo de control que no alcanza
el nivel de cumplimiento aceptable en vista de que no cuentan con un marco de
trabajo de monitoreo general, tampoco tienen un proceso para medir la solucin y la
entrega de servicios de TI y monitorear la contribucin de TI al negocio.

168

PROCESO ME2 - MONITOREAR Y EVALUAR EL CONTROL INTERNO


En el siguiente grfico se detallan los objetivos de control del proceso Monitorear y
Evaluar el Control Interno.
GRFICO 38: OBJETIVOS DE CONTROL DEL PROCESO
ME2 - MONITOREAR Y EVALUAR EL CONTROL INTERNO

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS:
El Control de Auto Evaluacin, con 0% demuestra que no tienen programas de
auto evaluacin y solo se basan en los resultados de las auditoras internas y externas.

169

PROCESO ME3 - GARANTIZAR EL CUMPLIMIENTO REGULATORIO


A continuacin se detalla el grfico con los objetivos de control del proceso
Garantizar el Cumplimiento Regulatorio.
GRFICO 39: OBJETIVOS DE CONTROL DEL PROCESO
ME3 - GARANTIZAR EL CUMPLIMIENTO REGULATORIO

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS:
Se puede verificar que despus del anlisis desarrollado en este proceso, los objetivos
de control que lo conforman cumplen con el 100% lo que indica que por medio del
departamento legal de la empresa se toman todas las medidas para garantizar el
cumplimiento con las regulaciones internas y externas.

170

PROCESO ME4 - PROPORCIONAR GOBIERNO DE TI


En el grfico siguiente se muestra la evaluacin de los objetivos de control
pertenecientes al proceso Proporcionar Gobierno de TI.
GRFICO 40: OBJETIVOS DE CONTROL DEL PROCESO
ME4 - PROPORCIONAR GOBIERNO DE TI

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
ANLISIS:
Los objetivos de control con menor porcentaje de cumplimiento en este proceso son:
Alineamiento Estratgico, con un 38% revela que la falta de comunicacin
con los directivos sobre temas estratgicos de TI no les permite facilitar la
alineacin de TI con el negocio y tampoco tomar decisiones para la obtencin
de los beneficios provenientes de las inversiones habilitadas con TI.
Administracin de Riesgos, con un 0% indica que no se evalan ni reportan
los riesgos relacionados con TI as como su impacto. Tampoco se define el
nivel de riesgo de TI a travs de un consejo directivo que asegure que el
riesgo actual no exceda el riesgo aceptable de direccin.
171

4.1.2.1.1.5 RESULTADO FINAL DE LA EVALUACIN POR OBJETIVOS


DE CONTROL DE MENOR CUMPLIMIENTO
RESUMEN DE LOS
CUMPLIMIENTO

OBJETIVOS

DE

CONTROL

DE

MENOR

En el siguiente grfico se detallan los 96 objetivos de control con menor


cumplimiento, es decir los que tuvieron un resultado <60% establecido como nivel
aceptable.
GRFICO 41: RESUMEN DE LOS OBJETIVOS DE CONTROL DE MENOR
CUMPLIMIENTO

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
172

ANLISIS:
Mediante la evaluacin realizada a nivel de los 210 objetivos de control de COBIT se
obtiene el resultado de 96 objetivos de control de menor cumplimiento (<60) y 114
objetivos de control (>=60) lo que indica que se encuentran en un nivel aceptable de
acuerdo a lo que establece la metodologa.

EVALUACIN DE OBJETIVOS DE CONTROL CRTICOS


Los 37 objetivos de control considerados crticos porque obtuvieron 0% de
cumplimiento se registra en el grfico siguiente:
GRFICO 42: EVALUACIN DE OBJETIVOS DE CONTROL CRTICOS

Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)


Elaborado: Las Autoras
173

ANLISIS:
En el grfico se puede verificar que solo estn detallados todos los objetivos crticos
que tienen un porcentaje de 0% de los cuales se dieron a conocer al jefe del
departamento de TI quien escogi cinco de estos objetivos para que sean
desarrolladas las polticas.

4.1.3 EVALUACIN DE RIESGOS DE TI

Para la evaluacin de riesgos de TI nos hemos basado en el mtodo DELPHI ya que


nos permite la categorizacin individual de las amenazas a que estn expuestos los
sistemas computarizados y de los objetos de riesgo que comprenden los sistemas, con
el fin de identificar las reas de alto, medio y bajo riesgo para minimizar sus efectos.
Para la realizacin de la matriz de identificacin de los niveles de riesgo se coordin
con cuatro personas del departamento de sistemas para:
1. Definir amenazas y objetos del sistema que detallaremos en la siguiente tabla:
TABLA 8: LISTADO DE AMENAZAS/OBJETOS DEFINIDOS POR
DEPARTAMENTO DE SISTEMAS

Elaborado: Las Autoras


174

EL

2. Aplicar el formato amenazas y objetos para su evaluacin respectiva. (Ver


anexo # 5)
3. Recopilar datos para el registro en la tabla # 9 (comparacin de categoras por
amenazas) y la tabla # 10 (comparacin de categoras por objetos) de acuerdo
a la evaluacin realizada por cada uno de los colaboradores del departamento
de sistemas. (Ver anexos # 7,8,9 y 10)
TABLA 9: COMPARACIN DE CATEGORAS DE RIESGOS POR
AMENAZAS

Fuente: (Jos Dagoberto Pinilla Forero, Auditora informtica, Un enfoque


operacional, Pg.175, 1992)
Elaborado: Las Autoras
ANLISIS:
Las amenazas causan prdidas o daos a los activos de la empresa y colocan en
riesgo la integridad, confidencialidad y disponibilidad de la informacin. Las
amenazas pueden ser causadas por: desastres naturales, desastres no naturales, causas

175

internas o externas, pero siempre sern constantes y pueden ocurrir en cualquier


momento, el objetivo es impedir impactos al negocio.
En la tabla anterior podemos verificar que el ndice de mayor riesgo es Violacin de
privacidad lo que indica que existe una vulnerabilidad de la seguridad de las redes de
la informacin de la empresa, lo que se recomienda es implementar: polticas y guas
por el uso indebido de la informacin, un sistema de deteccin de intrusiones de host,
capacitacin constante a los usuarios sobre los peligros que involucra abrir pginas
electrnicas no autorizadas.
En la siguiente tabla se detallan los resultados obtenidos de la evaluacin de riesgos
por objetos:
TABLA 10: COMPARACIN DE CATEGORAS DE RIESGOS POR
OBJETOS

Fuente: (Jos Dagoberto Pinilla Forero, Auditora informtica, Un enfoque


operacional, Pg.181, 1992)
Elaborado: Las Autoras
176

ANLISIS:
En la evaluacin realizada anteriormente verificamos que el objeto a analizar son los
programas debido a que presentan un mayor ndice de riesgo lo que implica que la
persona encargada de la seguridad debe controlar el manejo de la informacin
proporcionada a los diferentes usuarios de la empresa para evitar fraudes internos o
externos.
En la siguiente tabla se detalla la matriz resultado amenazas/objetos aplicados en el
departamento de sistemas para su posterior anlisis:
TABLA 11: MATRIZ RESULTADO AMENAZAS/OBJETOS

Fuente: (Jos Dagoberto Pinilla Forero, Auditora informtica, Un enfoque


operacional, Pg.184, 1992)
Elaborado: Las Autoras
ANLISIS:
La combinacin de las dos categorizaciones permite realizar un control de los riesgos
colocando los totales de amenazas/objetos en orden de mayor a menor, seguidamente
se multiplican cada uno de los valores para obtener el nivel de riesgo/sensibilidad de
las celdas de acuerdo al producto. Como se observa en la tabla anterior cada color
177

indica la repeticin de los valores que al final solo uno ser considerado, es decir el
repetido no ser tomado en cuenta para la definicin de los niveles
riesgo/sensibilidad de alto, medio y bajo riesgo.
Para obtener los resultados de los niveles de riesgo/sensibilidad se elabor la tabla #
12 Definicin de los niveles de riesgo/sensibilidad de TI.
TABLA 12: DEFINICIN DE LOS NIVELES DE RIESGO/SENSIBILIDAD
DE TI

Fuente: (Jos Dagoberto Pinilla Forero, Auditora informtica, Un enfoque


operacional, Pg.183, 1992)
Elaborado: Las Autoras
ANLISIS:
Para segmentar los niveles de riesgo/sensibilidad se realiz una tabla donde se ubic
los valores repetidos de la multiplicacin de amenazas/objetos de mayor a menor con
el nmero de repeticiones, adems el nmero total de celdas de la matriz. Para dividir
las celdas en regiones de mayor, mediano y menor riesgo se realiz la resta del total
de celdas con el total de las repeticiones dividido para cuatro (= ((48-12)/4)), dando
un total de nueve (9) para determinar los siguientes rangos:

178

ALTO RIESGO = De 1 a 9 celdas


MEDIANO RIESGO = De 10 a 27 celdas
BAJO RIESGO = De 28 a 36 celdas
En la siguiente tabla se verifica las reas de alto, mediano y bajo riesgos clasificados
por color:
TABLA 13: MATRIZ IDENTIFICACIN DE LOS NIVELES DE RIESGO

MATRIZ DE IDENTIFICACIN DE LOS NIVELES DE RIESGO


AMENAZAS PRDIDA DE DATOS

ERRORES

DESASTRE FSICO ACCESO ILEGAL

ROBO

VIOLACIN DE
PRIVACIDAD

OBJETOS
ARCHIVOS DE
BASES DE DATOS
21

14

13

11

10

294

273

231

210

147

105

18

23

INFRAESTRUCTURA

266

247

209

190

133

95

19
COMPUTADORAS/
DISCOS
17

11

20

25

238

221

187

170

119

85

12

14

22

27

REPORTES

210

195

165

150

105

75

15
CIRCUITOS DE
COMUNICACIN
15

10

16

17

23

29

210

195

165

150

105

75

10

16

17

23

29

TERMINALES

182

169

143

130

91

65

13
TERMINAL DE
OPERACIN
7

13

15

19

21

26

31

98

91

77

70

49

35

24

26

28

30

34

35

PROGRAMAS

70

65

55

50

35

25

30

31

32

33

35

36

ALTO RIESGO

De 1 a 9 celdas

MEDIANO RIESGO
BAJO RIESGO

De 10 a 27 celdas
De 28 a 36 celdas

18
9

Fuente: (Jos Dagoberto Pinilla Forero, Auditora informtica, Un enfoque


operacional, Pg.186, 1992)
Elaborado: Las Autoras
Nota: Las celdas con valor repetido se las considera una sola vez para la numeracin
de los niveles de riesgo.

179

ANLISIS:
Se considera como nivel de alto riesgo, las amenazas/objetos que se encuentran en
las celdas numeradas del 1 al 9. Con el resultado del trabajo realizado, se recomienda
disear y documentar controles a nivel preventivo, detectivo y correctivo de acuerdo
con el rea seleccionada para minimizar sus efectos en el negocio. El anlisis con
respecto a COBIT identifica al objetivo de control PO4.8 (Responsabilidad sobre el
riesgo, la seguridad y el cumplimiento para implementar prcticas de supervisin)
como el objetivo con el que se pueda cerrar la brecha existente, ya que permite
evaluar si todo el personal del departamento de sistemas cuenta con los
conocimientos adecuados para llevar a cabo las responsabilidades de los servicios
brindados a la empresa.

4.1.4

ELABORACIN DE POLTICAS A APLICAR ACORDE

A LOS

OBJETIVOS DE CONTROL CRTICOS

En la realizacin de esta propuesta el departamento de sistemas seleccion 5


objetivos crticos acorde a los resultados obtenidos en el diagrama, los cuales se
detallan a continuacin:

1. Poltica para el Monitoreo de tendencias y regulaciones futuras.


2. Poltica del Comit estratgico de TI.
3. Poltica de Estudio para la factibilidad de cursos de accin.
4. Poltica de Continuidad de TI.
5. Poltica de los Recursos crticos.

180

POLTICA PARA EL MONITOREO DE Cdigo:


TENDENCIAS Y REGULACIONES FUTURAS XXX-GG-TI-P005
TECNOLOGA DE LA INFORMACIN
Versin: 1
Pgina 1 de 1

I.

OBJETIVO
Asegurar que los servicios de informacin mantengan un monitoreo continuo
de las tendencias futuras y condiciones regulatorias para que sean
considerados en el desarrollo y mantenimiento del plan de infraestructura
tecnolgica.

II.

ALCANCE
Estas polticas deben ser cumplidas por todo el personal de TI.

III.

POLTICAS
a) Considerar en el plan de infraestructura tecnolgica las tendencias
ambientales y de la tecnologa presente y futura as como las legales y
regulatorias.
b) Establecer estndares de tecnologa que sean consistentes con el plan de
infraestructura tecnolgica.
c) Definir procedimientos para la evaluacin y monitoreo de las tendencias y
regulaciones futuras
d) Identificar las inconsistencias en el Modelo de Arquitectura de
Informacin y en el Modelo de Datos Corporativo con el fin de
precautelar la integridad de los datos.

Elaborado por:

Aprobado por:

Jefe de Sistemas

Gerente General
181

POLTICA DEL COMIT ESTRATGICO Cdigo:


XXX-GG-TI-P005
DE TI
Versin: 1
TECNOLOGA DE LA INFORMACIN
Pgina 1 de 2

I.

OBJETIVO
Asegurar la adecuada gobernabilidad de las tecnologas de informacin y
asesorar a la Gerencia General en la toma de decisiones.

II.

ALCANCE
Estas polticas deben ser cumplidas por todo el personal de TI.

III.

POLTICAS
a) Establecer las prioridades de TI, comunicarlas en forma clara al personal
involucrado y cuidar que no existan desviaciones de estas prioridades para
que no se afecte negativamente el cumplimiento de los objetivos
estratgicos.
b) Dar seguimiento al plan estratgico de TI para su actualizacin y velar
que se cumpla.
c) Controlar en forma peridica el avance de los proyectos de TI para
proteger el valor de la inversin.
d) Estudiar el presupuesto anual de las TIC para asesorar sobre su
aprobacin.
e) Respaldar los procesos de TI fomentando programas de capacitacin para
los funcionarios.

Elaborado por:

Aprobado por:

Jefe de Sistemas

Gerente General
182

POLTICA DEL COMIT ESTRATGICO DE Cdigo:


XXX-GG-TI-P005
TI
Versin: 1
TECNOLOGA DE LA INFORMACIN
Pgina 2 de 2

f) El cumplimiento de las disposiciones del Comit son responsabilidad del


Jefe de TI.
g) Cuidar la correcta gestin de los recursos informticos en el mbito
general de la empresa y su buen funcionamiento bajo criterios de
eficiencia y eficacia.
h) Informar a la Gerencia General de las incidencias producidas y las
medidas adoptadas.

Elaborado por:

Aprobado por:

Jefe de Sistemas

Gerente General
183

POLTICA PARA EL ESTUDIO DE Cdigo:


FACTIBILIDAD Y FORMULACIN DE XXX-GG-TI-P005
Versin: 1
CURSOS DE ACCIN ALTERNATIVOS
TECNOLOGA DE LA INFORMACIN
Pagina 1 de 1

I.

OBJETIVO
Evaluar mediante estudios la factibilidad para la implementacin de los
requerimientos de TI y determinar cursos de accin alternos para su
recomendacin.

II.

ALCANCE
Estas polticas deben ser cumplidas por todo el personal de TI.

III.

POLTICAS
a) Elaborar estudios de: factibilidad econmica y de desempeo tecnolgico,
de arquitectura de informacin y de anlisis de riesgos.
b) Estudiar y analizar soluciones alternativas a los requerimientos de los
usuarios considerando su costo-beneficio y observando el modelo de
datos de la arquitectura de informacin de la empresa.
c) Definir procedimientos a cumplir e identificar estndares a seguir en la
adquisicin de hardware, software y servicios de tecnologa de
informacin.
d) Regular todas las adquisiciones bajo contratos que estipulen todo tipo de

pruebas y revisiones antes de ser aceptadas.

Elaborado por:

Aprobado por:

Jefe de Sistemas

Gerente General
184

POLTICA
PARA
CONTINUIDAD DE TI

PLANES

DE Cdigo:
XXX-GG-TI-P005
Versin: 1

TECNOLOGA DE LA INFORMACIN
Pagina 1 de 2

I.

OBJETIVO
Reducir el impacto por la interrupcin de las funciones de TI y los procesos
claves del negocio.

II.

ALCANCE
Estas polticas deben ser cumplidas por todo el personal de TI.

III.

POLTICAS
a) Desarrollar un plan de cotinuidad de TI que abarque los servicios de
informacin, as como los recursos dependientes del sistema de
informacin.
b) Establecer procedimientos emergentes que garanticen la seguridad del
personal afectado.
c) Desarrollar programas de entrenamiento para las personas que intervienen
en el plan de continuidad.
d) Realizar pruebas periodicas de los planes de contingencia para verificar si
los resultados son los esperados.
e) Documentar

los

procedimientos

manuales

alternos

mantener

actualizados los planes que forman parte del plan global y comunicar a
todo el personal involucrado verificando su total entendimiento.
Elaborado por:

Aprobado por:

Jefe de Sistemas

Gerente General
185

POLTICA
PARA
CONTINUIDAD DE TI

DE Cdigo:
XXX-GG-TI-P005
Versin: 1

PLANES

TECNOLOGA DE LA INFORMACIN
Pagina 2 de 2

f) Realizar mediciones comparativas con los planes de continuidad de


organizaciones similares o estndares internacionales probados.

Elaborado por:

Aprobado por:

Jefe de Sistemas

Gerente General
186

POLTICA PARA RECURSOS CRTICOS Cdigo:


XXX-GG-TI-P005
DE TI
Versin: 1
TECNOLOGA DE LA INFORMACIN
Pagina 1 de 1

I.

OBJETIVO
Recuperar los puntos considerados como crticos y asegurar que corresponden
a las necesidades prioritarias del negocio.

II.

ALCANCE
Estas polticas deben ser cumplidas por todo el personal de TI.

III.

POLTICAS
a) Mantener una lista actualizada de los recursos y aplicaciones del sistema
priorizados de mayor a menor que incluya los tiempos de recuperacin
requeridos y las normas de desempeo esperados.
b) Determinar la recuperacin de los servicios para los diferentes niveles de
prioridad, considerando los costos y cumplimiento de regulaciones.
c) Evaluar los riesgos y considerar el aseguramiento de los recursos tanto de
infraestructura como de personas.
d) Mantener un programa detallado paso a paso de las respuestas para
situaciones emergentes tanto para prdidas mnimas como totales.

Elaborado por:

Aprobado por:

Jefe de Sistemas

Gerente General
187

CONCLUSIONES y RECOMENDACIONES

CONCLUSIONES

En el departamento de sistemas de la empresa EP se verific en el transcurso del


desarrollo del proyecto que no cuentan con procedimientos y polticas definidas para
cada proceso; Base de datos, aplicativos, comunicaciones, seguridades y soporte a
usuarios que permitan llevar un seguimiento de los roles y responsabilidades del
personal para cumplir con los requerimientos del negocio.

El anlisis de riesgos revel que la infraestructura tecnolgica no es la adecuada para


respaldar toda la informacin manejada en la empresa EP por lo que se deben tomar
las medidas respectivas.

La brecha que se encontr en el manejo de los procesos contrastados con lo definido


por la metodologa COBIT refiri un promedio del 38% generalizando todos los
objetivos crticos existentes.

Se concluye que los objetivos de control son necesarios para garantizar el correcto
funcionamiento, la calidad de los resultados y la mejora continua de las operaciones
as como tambin para detectar debilidades y riesgos potenciales de cada proceso del
departamento.

188

RECOMENDACIONES

Nuestro proyecto est basado en el anlisis de los procesos de TI del departamento


de sistemas de la Empresa EP con la finalidad de determinar el grado de
cumplimiento con relacin a lo recomendado por la metodologa COBIT 4.1.

Hay muchas razones de importancia por las que se recomienda a la empresa EP


implementar la metodologa COBIT 4.1, entre ellas se mencionan las siguientes:
Optimizacin de los recursos de TI.
Disponibilidad de informacin oportuna, segura y confiable.
Infraestructura Tecnolgica robusta, escalable y rentable.
Actualizaciones puntuales, efectivas y eficaces.
Soporte a usuarios garantizados.
Proteccin de datos.
Recurso humano calificado.
Equilibrio entre los riesgos y las inversiones de TI.
Polticas y procedimientos adecuados para cada proceso.
Lo anteriormente descrito permitir al departamento de sistemas alcanzar todo el
potencial que promete la tecnologa, generando un clima de confianza con los
directivos y los usuarios finales, y contribuir en el logro de los objetivos estratgicos
de la empresa.

189

ANEXOS
ANEXO 1: EVALUACIN POR PROCESOS

EVALUACIN POR PROCESOS - COBIT


DOMINIOS

PROCESOS

PO1 - Definir un Plan Estratgico de TI


PO2 - Definir la Arquitectura de la Informacin
PO3 - Determinar la Direccin Tecnolgica
PO4 - Definir los Procesos, Organizacin y
Relaciones de TI
PO5 - Administrar la Inversin en TI
PLANEAR Y
ORGANIZAR PO6 - Comunicar las Aspiraciones y la Direccin
de la Gerencia
PO7 - Administrar Recursos Humanos de TI
PO8 - Administrar la Calidad
PO9 - Evaluar y Administrar los Riesgos de TI
PO10 - Administrar Proyectos
AI1 - Identificar soluciones automatizadas
AI2 - Adquirir y mantener software aplicativo
AI3 - Adquirir y mantener infraestructura
ADQUIRIR E tecnolgica
IMPLEMENTAR AI4 - Facilitar la operacin y el uso
AI5 - Adquirir recursos de TI
AI6 - Administrar cambios
AI7 - Instalar y acreditar soluciones y cambios
DS1 - Definir y administrar los niveles de
servicio
DS2 - Administrar los servicios de terceros
DS3 - Administrar el desempeo y la capacidad
DS4 - Garantizar la continuidad del servicio
DS5 - Garantizar la seguridad de los sistemas
DS6 - Identificar y asignar costos
ENTREGAR Y
DS7 - Educar y entrenar a los usuarios
DAR SOPORTE
DS8 - Administrar la mesa de servicio y los
incidentes
DS9 - Administrar la configuracin
DS10 - Administrar los problemas
DS11 - Administrar los datos
DS12 - Administrar el ambiente fsico
DS13 - Administrar las operaciones
ME1 - Monitorear y Evaluar el Desempeo de TI
MONITOREAR ME2 - Monitorear y Evaluar el Control Interno
Y EVALUAR
ME3 - Garantizar el Cumplimiento Regulatorio
ME4 - Proporcionar Gobierno de TI

Elaborado: Las Autoras


190

#
OBJETIVOS

6
4
5

89%
18%
43%

15

67%

73%

85%

8
6
6
14
4
10

77%
33%
36%
98%
75%
70%

77%

4
4
5
9

77%
92%
60%
53%

53%

4
5
10
11
4
3

58%
37%
43%
56%
84%
52%

30%

3
4
6
5
5
6
7
5
7

19%
0%
21%
84%
60%
83%
86%
100%
77%

ANEXO 2: EVALUACIN POR OBJETIVOS DE CONTROL

EVALUACIN POR CONTROLES - COBIT

PO3 - Determinar la Direccin


Tecnolgica

PO2 - Definir la Arquitectura de la


Informacin

PO1 - Definir un Plan Estratgico de


TI

PROCESOS

ACTIVIDADES DEL PROCESO

OBJETIVOS DE CONTROL

PESO

0,17

90%

0,17

50%

0,17

100%

0,17
0,16

100%
100%

Relacionar las metas del negocio con las de


TI.

PO1.1 - Administracin del Valor


de TI.

Relacionar las metas del negocio con las de


TI.
Identificar dependencias crticas y desempeo
actual.
Construir un plan estratgico para TI.
Construir planes tcticos para TI.
Analizar portafolios de programas y
administrar portafolios de servicios y
proyectos.

PO1.2 - Alineacin de TI con el


Negocio.
PO1.3 - Evaluacin del Desempeo
y la Capacidad Actual.
PO1.4 - Plan Estratgico de TI.
PO1.5 - Planes Tcticos de TI.
PO1.6 - Administracin del
Portafolio de TI.

0,16

100%

Crear y mantener modelo de informacin


corporativo/empresarial.

PO2.1 - Modelo de Arquitectura de


Informacin Empresarial.

0,25

47%

Crear y mantener diccionario de datos


corporativo.

PO2.2 - Diccionario de Datos


Empresarial y Reglas de Sintxis de
Datos.

0,25

0%

*Establecer y mantener esquema de


clasificacin de datos.
*Brindar a los dueos procedimientos y
herramientas para clasificar los sistemas de
informacin.

PO2.3 - Esquema de Clasificacin


de Datos.

0,25

0%

Usar el modelo de informacin, el diccionario


PO2.4 - Administracin de
de datos y el esquema de clasificacin para
Integridad.
planear los sistemas optimizados del negocio.

0,25

25%

Crear y mantener un plan de infraestructura


tecnolgica.

0,20

67%

0,20

67%

0,20

0%

0,20

80%

0,20

0%

PO3.1 - Planeacin de la Direccin


Tecnolgica.

PO3.2 - Plan de Infraestructura


Tecnolgica.
PO3.3 - Monitoreo de Tendencias y
Publicar estndares tecnolgicos.
Regulaciones Futuras.
Monitorear la evolucin tecnolgica.
PO3.4 - Estndares Tecnolgicos.
Definir el uso (futuro) (estratgico) de la nueva PO3.5 - Consejo de Arquitectura de
tecnologa.
TI.
Crear y mantener estndares tecnolgicos.

191

EVALUACIN POR CONTROLES - COBIT

PO4 - Definir los Procesos, Organizacin y Relaciones de TI

PROCESOS

ACTIVIDADES DEL PROCESO

OBJETIVOS DE CONTROL

PESO

Disear Marco de Trabajo para el proceso de PO4.1 - Marco de Trabajo de


TI.
Procesos de TI.

0,07

100%

0,07

0%

0,07

0%

0,07

100%

0,07

100%

0,07

100%

0,07

0%

0,07

14%

0,07

33%

0,07

100%

0,07

100%

0,07

100%

0,07

100%

0,07

100%

0,07

50%

Establecer estructura organizacional de TI,


incluyendo comits y ligas a los interesados y PO4.2 - Comit Estratgico de TI.
proveedores.
Establecer estructura organizacional de TI,
incluyendo comits y ligas a los interesados y PO4.3 - Comit Directivo de TI.
proveedores.
PO4.4 - Ubicacin Organizacional
Identificar dueos de sistemas.
de la Funcin de TI.
Establecer estructura organizacional de TI,
incluyendo comits y ligas a los interesados y PO4.5 - Estructura Organizacional.
proveedores.
Establecer e implantar roles y
PO4.6 - Establecimiento de Roles y
responsabilidades de TI, incluida la
Responsabilidades.
supervisin y segregacin de funciones.
Establecer e implantar roles y
PO4.7 - Responsabilidad de
responsabilidades de TI, incluida la
Aseguramiento de Calidad de TI.
supervisin y segregacin de funciones.
Establecer e implantar roles y
PO4.8 - Responsabilidad sobre el
responsabilidades de TI, incluida la
Riesgo, la Seguridad y el
Cumplimiento.
supervisin y segregacin de funciones.
Establecer e implantar roles y
PO4.9 - Propiedad de Datos y de
responsabilidades de TI, incluida la
Sistemas.
supervisin y segregacin de funciones.
Establecer e implantar roles y
PO4.10 - Supervisin.
responsabilidades de TI, incluida la
supervisin y segregacin de funciones.
Establecer e implantar roles y
PO4.11 - Segregacin de
responsabilidades de TI, incluida la
Funciones.
supervisin y segregacin de funciones.
Establecer e implantar roles y
PO4.12 - Personal de TI.
responsabilidades de TI, incluida la
supervisin y segregacin de funciones.
Establecer e implantar roles y
PO4.13 - Personal Clave de TI.
responsabilidades de TI, incluida la
supervisin y segregacin de funciones.
Establecer e implantar roles y
PO4.14 - Polticas y Procedimientos
responsabilidades de TI, incluida la
para Personal Contratado.
supervisin y segregacin de funciones.
Establecer e implantar roles y
PO4.15 - Relaciones.
responsabilidades de TI, incluida la
supervisin y segregacin de funciones.

192

EVALUACIN POR CONTROLES - COBIT

PO7 - Administrar Recursos Humanos de TI

PO6 - Comunicar las Aspiraciones y la PO5 - Administrar la Inversin en


Direccin de la Gerencia
TI

PROCES OS

ACTIVIDADES DEL PROCES O

OBJETIVOS DE CONTROL

Dar mantenimiento al portafolio de programas PO5.1 - Marco de Trabajo para la


Administracin Financiera.
de inversin.
PO5.2 Prioridades dentro del
Dar mantenimiento al portafolio de proyectos.
Presupuesto de TI.

PES O

0,20

100%

0,20

33%

Dar mantenimiento al portafolio de servicios.

PO5.3 - Proceso Presupuestal.

0,20

100%

Establecer y mantener proceso presupuestal


de TI.

PO5.4 - Administracin de Costos


de TI.

0,20

100%

Identificar, comunicar y monitorear la


PO5.5 - Administracin de
inversin, costo y valor de TI para el negocio. Beneficios.

0,20

33%

Elaborar y mantener un ambiente y marco de


control de TI.

0,20

100%

0,20

75%

0,20

100%

0,20

100%

Comunicar el marco de control y los objetivos PO6.5 - Comunicacin de los


y direccin de TI.
Objetivos y la Direccin de TI.

0,20

50%

Identificar las habilidades de TI, benchmarks


sobre descripciones de puesto, rango de
salarios y desempeo del personal.

PO7.1 - Reclutamiento y Retencin


del Personal.

0,13

75%

Identificar las habilidades de TI, benchmarks


sobre descripciones de puesto, rango de
salarios y desempeo del personal.

PO7.2 - Competencias del Personal.

0,13

100%

Identificar las habilidades de TI, benchmarks


sobre descripciones de puesto, rango de
salarios y desempeo del personal.

PO7.3 - Asignacin de Roles.

0,13

100%

Ejecutar las polticas y procedimientos


relevantes de RH para TI(reclutar, contratar,
investigar, compensar, entrenar, evaluar,
promover, y terminar).

PO7.4 - Entrenamiento del Personal


de TI.

0,13

0%

Identificar las habilidades de TI, benchmarks


sobre descripciones de puesto, rango de
salarios y desempeo del personal.

PO7.5 - Dependencia Sobre los


Individuos.

0,12

50%

PO7.6 - Procedimientos de
Investigacin del Personal.

0,12

100%

PO7.7 - Evaluacin del Desempeo


del Empleado.

0,12

92%

PO7.8 - Cambios y Terminacin de


Trabajo.

0,12

100%

Elaborar y mantener un ambiente y marco de


control de TI.
Elaborar y mantener polticas de TI.
Elaborar y mantener polticas de TI.

Ejecutar las polticas y procedimientos


relevantes de RH para TI(reclutar, contratar,
investigar, compensar, entrenar, evaluar,
promover, y terminar).
Ejecutar las polticas y procedimientos
relevantes de RH para TI(reclutar, contratar,
investigar, compensar, entrenar, evaluar,
promover, y terminar).
Ejecutar las polticas y procedimientos
relevantes de RH para TI(reclutar, contratar,
investigar, compensar, entrenar, evaluar,
promover, y terminar).

193

PO6.1 - Ambiente de Polticas y de


Control.
PO6.2 - Riesgo Corporativo y
Marco de Referencia de Control
Interno de TI.
PO6.3 - Administracin de Polticas
para TI.
PO6.4 - Implantacin de Polticas
de TI.

EVALUACIN POR CONTROLES - COBIT

PO10 - Administrar Proyectos

PO9 - Evaluar y Administrar los Riesgos de TI

PO8 - Administrar la Calidad

PROCES OS

ACTIVIDADES DEL PROCES O

OBJETIVOS DE CONTROL

PES O

0,17

50%

0,17

50%

0,17

13%

0,17

83%

PO8.5 - Mejora Continua.

0,16

0%

Medir, monitorear y revisar el cumplimiento


de las metas de calidad.

PO8.6 - Medicin, Monitoreo y


Revisin de la Calidad.

0,16

0%

Determinar la alineacin de la administracin


de riesgos (ej: Evaluar riesgo).

PO9.1 - Marco de Trabajo de


Administracin de Riesgos.

0,17

50%

Determinar la alineacin de la administracin


de riesgos (ej: Evaluar riesgo).

PO9.2 - Establecimiento del


Contexto del Riesgo.

0,17

0%

*Entender los objetivos de negocio


estratgicos relevantes.
*Entender los objetivos de los procesos de
negocios relevantes.

PO9.3 - Identificacin de Eventos.

0,17

50%

*Identificar los objetivos internos de TI y


establecer el contexto del riesgo.
*Identificar eventos asociados con objetivos,
PO9.4 - Evaluacin de Riesgos de
algunos eventos estn orientados a negocio
TI.
(negocio es A); algunos estn orientados a TI
(TI es A, negocio es C).
*Asesorar el riesgo con los eventos.

0,17

50%

Evaluar y seleccionar respuestas a riesgo.

0,16

17%

*Priorizar y Planear actividades de control.


*Aprobar y asegurar fondos para planes de
PO9.6 - Mantenimiento y Monitoreo
accin de riesgos.
de un Plan de Accin de Riesgos.
*Mantener y monitorear un plan de accin de
riesgos.

0,16

50%

Definir un marco de administracin de


programas/portafolio para inversiones en TI.

PO10.1 - Marco de Trabajo para la


Administracin de Programas.

0,07

100%

Establecer y mantener un Marco de Trabajo


para la administracin de proyectos de TI.

PO10.2 - Marco de Trabajo para la


Administracin de Proyectos.

0,07

100%

*Establecer y mantener un sistema de


monitoreo, medicin y administracin de
sistemas.
*Elaborar estatutos, calendarios, planes de
calidad, presupuestos y planes de
comunicacin y de administracin de riesgos.

PO10.3 - Enfoque de
Administracin de Proyectos.

0,07

100%

0,07

100%

Definir un sistema de administracin de


calidad.
Establecer y mantener un sistema de
administracin de calidad.
Crear y comunicar estndares de calidad a
toda la organizacin.
Crear y comunicar estndares de calidad a
toda la organizacin.
Crear y administrar el plan de calidad para la
mejora continua.

PO8.1 - Sistema de Administracin


de Calidad.
PO8.2 - Estndares y Prcticas de
Calidad.
PO8.3 - Estndares de Desarrollo y
de Adquisicin.
PO8.4 - Enfoque en el Cliente de
TI.

PO9.5 - Respuesta a los Riesgos.

*Asegurar la participacin y compromiso de


PO10.4 - Compromiso de los
los interesados del proyecto.
*Asegurar el control efectivo de los proyectos Interesados.
y de los cambios a proyectos.

194

EVALUACIN POR CONTROLES - COBIT

PO10 - Administrar Proyectos

PROCES OS

ACTIVIDADES DEL PROCES O

OBJETIVOS DE CONTROL

PES O

0,07

100%

0,07

100%

0,07

100%

0,07

100%

0,07

100%

0,07

100%

0,07

100%

0,07

100%

0,08

100%

PO10.14 - Cierre del Proyecto.

0,08

67%

AI1.1 - Definicin y Mantenimiento


de los Requerimientos Tcnicos y
Funcionales del Negocio.

0,25

100%

0,25

100%

0,25

0%

Conducir un estudio de factibilidad/evaluacin


de impacto con respecto a la implantacin de
los requerimientos de negocio propuestos.
AI1.4 - Requerimientos, Decisin de
*Elaborar un proceso de aprobacin de
Factibilidad y Aprobacin.
requerimientos. *Aprobar y Autorizar
soluciones propuestas.

0,25

100%

Traducir los requerimientos del negocio en


especificaciones de diseo de alto nivel.

0,10

38%

Preparar diseo detallado y los requerimientos


AI2.2 - Diseo Detallado.
tcnicos del software aplicativo.

0,10

92%

Preparar diseo detallado y los requerimientos AI2.3 - Control y Posibilidad de


tcnicos del software aplicativo.
Auditar las Aplicaciones.

0,10

100%

0,10

67%

0,10

100%

0,10

100%

0,10

90%

0,10

0%

0,10

67%

0,10

50%

Definir e implementar mtodos de


aseguramiento y revisin de proyectos.
Definir e implementar mtodos de
aseguramiento y revisin de proyectos.
Definir e implementar mtodos de
aseguramiento y revisin de proyectos.
Definir e implementar mtodos de
aseguramiento y revisin de proyectos.
Definir e implementar mtodos de
aseguramiento y revisin de proyectos.
Definir e implementar mtodos de
aseguramiento y revisin de proyectos.
Definir e implementar mtodos de
aseguramiento y revisin de proyectos.
Definir e implementar mtodos de
aseguramiento y revisin de proyectos.

PO10.5 - Declaracin de Alcance


del Proyecto.
PO10.6 - Inicio de las Fases del
Proyecto.
PO10.7 - Plan Integrado del
Proyecto.
PO10.8 - Recursos del Proyecto.
PO10.9 - Administracin de Riesgos
del Proyecto.
PO10.10 - Plan de Calidad del
Proyecto.
PO10.11 - Control de Cambios del
Proyecto.
PO10.12 - Planeacin del Proyecto
y Mtodos de Aseguramiento.
PO10.13 - Medicin del
Desempeo, Reporte y Monitoreo
del Proyecto.

AI2 - Adquirir y mantener software aplicativo

AI1 - Identificar soluciones automatizadas

Definir e implementar mtodos de


aseguramiento y revisin de proyectos.
Definir e implementar mtodos de
aseguramiento y revisin de proyectos.
Definir los requerimientos funcionales y
tcnicos del negocio. *Establecer procesos
para la integridad/vlidez de los
requerimientos.
Identificar, documentar y analizar el riesgo del
proceso de negocio.
Evaluar los beneficios de negocio de las
soluciones propuestas.

AI1.2 - Reporte de Anlisis de


Riesgos.
AI1.3 - Estudio de Factibilidad y
Formulacin de Cursos de Accin
Alternativos.

AI2.1 - Diseo de Alto Nivel.

Especificar los controles de aplicacin dentro AI2.4 - Seguridad y Disponibilidad


del diseo.
de las Aplicaciones.
AI2.5 - Configuracin e
Personalizar e implementar la funcionalidad
Implantacin de Software Aplicativo
automatizada adquirida.
Adquirido.
Personalizar e implementar la funcionalidad
AI2.6 - Actualizaciones Importantes
automatizada adquirida.
en Sistemas Existentes.
Desarrollar las metodologas y procesos
AI2.7 - Desarrollo de Software
formales para administrar el proceso de
Aplicativo.
desarrollo de la aplicacin.
Crear un plan de aseguramiento de la calidad AI2.8 - Aseguramiento de la
del software para el proyecto.
Calidad del Software.
Dar seguimiento y administrar los
AI2.9 - Administracin de los
requerimientos de la aplicacin.
Requerimientos de Aplicaciones.
Desarrollar un plan para el mantenimiento de AI2.10 - Mantenimiento de
aplicaciones de software.
Software Aplicativo.

195

EVALUACIN POR CONTROLES - COBIT

AI6 - Administrar cambios.

AI5 - Adquirir recursos de TI

AI4 - Facilitar la operacin y el uso

AI3 - Adquirir y mantener


infraestructura tecnolgica

PROCES OS

ACTIVIDADES DEL PROCES O

OBJETIVOS DE CONTROL

PES O

AI3.1 - Plan de Adquisicin de


Infraestructura Tecnolgica.

0,25

71%

0,25

86%

0,25

50%

0,25

100%

0,25

50%

0,25

100%

0,25

100%

Desarrollar documentacin de soporte tcnica AI4.4 - Transferencia de


para operaciones y personal de soporte. * Conocimiento al Personal de
Desarrollar y dar entrenamiento.
Operaciones y Soporte.

0,25

57%

Desarrollar polticas y procedimientos de


adquisicin de TI de acuerdo con las polticas AI5.1 - Control de Adquisicin.
de adquisiciones a nivel corporativo.

0,25

67%

Establecer/mantener una lista de proveedores AI5.2 - Administracin de Contratos


acreditados.
con Proveedores.

0,25

100%

Evaluar y seleccionar proveedores a travs de


AI5.3 - Seleccin de Proveedores.
un proceso de solicitud de propuesta (RFP).

0,25

100%

AI5.4 - Adquisicin de Recursos de


TI.

0,25

100%

AI6.1 - Estndares y
Procedimientos para Cambios.

0,20

83%

AI6.2 - Evaluacin de Impacto,


Priorizacin y Autorizacin.

0,20

100%

AI6.3 - Cambios de Emergencia.

0,20

33%

0,20

0%

0,20

83%

Negociar la compra y adquirir la


infraestructura requerida con proveedores
(aprobados).
Definir el procedimiento/ proceso de
adquisicin.
Definir estrategia y planear el mantenimiento
de infraestructura.

AI3.2 - Proteccin y Disponibilidad


del Recurso de Infraestructura.
AI3.3 - Mantenimiento de la
Infraestructura.
AI3.4 - Ambiente de Prueba de
Configurar componentes de la infraestructura.
Factibilidad.
Desarrollar estrategia para que la solucin sea AI4.1 - Plan para Soluciones de
operativa.
Operacin.
AI4.2 - Transferencia de
Desarrollar metodologa de transferencia de
Conocimiento a la Gerencia del
conocimiento.
Negocio.
Desarrollar manuales de procedimiento del
AI4.3 - Transferencia de
usuario final. * Evaluar los resultados del
Conocimiento a Usuarios Finales.
entrenamiento y ampliar la documentacin
como se requiera.

Desarrollar contratos que protejan los


intereses de la organizacin. *Realizar
adquisiciones de conformidad con los
procedimientos establecidos.
Desarrollar e implementar un proceso para
registrar, evaluar y dar prioridad en forma
consistente a las solicitudes de cambio.
Evaluar impacto y dar prioridad a cambios en
base a las necesidades del negocio.
Garantizar que cualquier cambio crtico y de
emergencia sigue el proceso aprobado.

AI6.4 - Seguimiento y Reporte del


Estatus de Cambio.
AI6.5 - Cierre y Documentacin del
Cambio.

Autorizar cambios.
Administrar y diseminar la informacin
relevante referente a cambios.

196

EVALUACIN POR CONTROLES - COBIT


PROCES OS

ACTIVIDADES DEL PROCES O

OBJETIVOS DE CONTROL

0,11

30%

0,11

30%

AI7.3 - Plan de Implantacin.

0,11

75%

AI7.4 - Ambiente de Prueba.

0,11

50%

AI7.5 - Conversin de Sistemas y


Datos.

0,11

0%

AI7.6 - Pruebas de Cambios.

0,11

33%

AI7.7 - Prueba de Aceptacin Final.

0,11

80%

AI7.8 - Promocin a Produccin.

0,11

100%

0,12

75%

0,17

21%

0,17

100%

0,17

50%

0,17

50%

0,16

50%

0,16

50%

0,25

13%

0,25

100%

0,25

69%

DS2.4 - Monitoreo del Desempeo


del Proveedor

0,25

50%

DS3.1 - Planeacin del Desempeo


y la Capacidad.

0,20

83%

0,20

0%

0,20

0%

DS3.4 - Disponibilidad de Recursos


de TI.

0,20

50%

DS3.5 - Monitoreo y Reporte.

0,20

50%

AI7.1 - Entrenamiento.

Definir y revisar una estrategia de prueba


(criterio de entrada y salida) y la metodologa AI7.2 - Plan de Prueba.
de plan de prueba operacional.
Construir y mantener un repositorio de
requerimientos de negocio y tcnicos y casos
de prueba para sistemas acreditados.
Establecer ambiente de prueba y conducir
pruebas de aceptacin finales.
Ejecutar la conversacin del sistema y las
pruebas de integracin en ambiente de
pruebas.
Establecer ambiente de prueba y conducir
pruebas de aceptacin finales.
Establecer ambiente de prueba y conducir
pruebas de aceptacin finales.
Recomendar la liberacin a produccin con
base en los criterios de acreditacin
convenidos.
Establecer ambiente de prueba y conducir
pruebas de aceptacin finales.

Definir los convenios de niveles de servicio


(SLAs) para los servicios crticos de TI.

DS1.3 - Acuerdos de Niveles de


Servicio.

Crear un marco de trabajo para los servicios


de TI.

Identificar y categorizar las relaciones de los


servicios de terceros.

DS2.1 - Identificacin de Todas las


Relaciones con Proveedores.

Definir y documentar los procesos de


administracin del proveedor.
Establecer polticas y procedimientos de
evaluacin y suspensin de proveedores.
Identificar, valorar y mitigar los riesgos del
proveedor. Monitorear la prestacin del
servicio del proveedor. Evaluar las metas de
largo plazo de la relacin del servicio para
todos los interesados.
Establecer un proceso de Planeacin para la
revisin del desempeo y la capacidad de los
recursos de TI.
Revisar el desempeo y la capacidad actual
de los recursos de TI.
Realizar pronsticos de desempeo y
capacidad de los recursos de TI.
Realizar un plan de contingencia respecto a
una falta potencial de disponibilidad de
recursos de TI.
Monitorear y reportar continuamente la
disponibilidad, el desempeo y la capacidad
de los recursos de TI.

DS2.2 - Gestin de Relaciones con


Proveedores.
DS2.3 - Administracin de Riesgos
del Proveedor.

DS3 Administrar el desempeo y la


capacidad

DS1 Definir y administrar los niveles de


servicio

Construir un catlogo de servicios de TI.

AI7.9 - Revisin Posterior a la


Implantacin.
DS1.1 - Marco de Trabajo de la
Administracin de los Niveles de
Servicio.
DS1.2 - Definicin de Servicios.

DS2 Administrar los servicios de


terceros

AI7 - Instalar y acreditar soluciones y cambios

Construir y revisar planes de investigacin.

PES O

Definir los convenios de niveles de operacin


(OLAs) para soportar las SLAs.

DS1.4 - Acuerdos de Niveles de


Operacin.
DS1.5 - Monitoreo y Reporte del
Monitorear y reportar el desempeo del
Cumplimento de los Niveles de
servicio de punta a punta.
Servicio.
DS1.6 - Revisin de los Acuerdos
Revisar los SLAs y los contratos de apoyo.
Revisar y actualizar el catlogo de servicios de de Niveles de Servicio y de los
Contratos.
TI. Crear un plan de mejora de servicios.

197

DS3.2 - Capacidad y Desempeo


Actual.
DS3.3 - Capacidad y Desempeo
Futuros.

EVALUACIN POR CONTROLES - COBIT


PROCES OS

ACTIVIDADES DEL PROCES O

DS4 Garantizar la continuidad del servicio

Desarrollar un marco de trabajo de


continuidad de TI.

OBJETIVOS DE CONTROL

PES O

DS4.1 - Marco de Trabajo de


Continuidad de TI.

0,10

100%

0,10

0%

0,10

0%

0,10

100%

0,10

50%

0,10

20%

Desarrollar y mantener planes de continuidad DS4.2 - Planes de Continuidad de


de TI.
TI.
Realizar un anlisis de impacto al negocio y
DS4.3 - Recursos Crticos de TI.
valoracin de riesgo.
Identificar y categorizar los recursos de TI con DS4.4 - Mantenimiento del Plan de
Continuidad de TI.
base a los objetivos de recuperacin.
Definir y ejecutar procedimientos de control
DS4.5 - Pruebas del Plan de
de cambios para asegurar que el plan de
Continuidad de TI.
continuidad sea vigente.
Probar regularmente el plan de continuidad de DS4.6 - Entrenamiento del Plan de
TI.
Continuidad de TI.
Desarrollar un plan de accin a seguir con
base en los resultados de las pruebas.

DS4.7 - Distribucin del Plan de


Continuidad de TI.

0,10

50%

Planear y llevar a cabo capacitacin sobre


planes de continuidad de TI.

DS4.8 - Recuperacin y
Reanudacin de los Servicios de TI.

0,10

25%

Planear la recuperacin y reanudacin de los


servicios de TI.

DS4.9 - Almacenamiento de
Respaldos Fuera de las
Instalaciones.

0,10

30%

Planear e implementar el almacenamiento y la


DS4.10 - Revisin Post
proteccin de respaldos. Establecer los
procedimientos para llevar a cabo revisiones Reanudacin.
post reanudacin.

0,10

50%

Definir, establecer y operar un proceso de


administracin de identidad (cuentas).

0,09

30%

0,09

50%

DS5.3 - Administracin de
Identidad.

0,09

80%

DS5.4 - Administracin de Cuentas


del Usuario.

0,09

0%

DS5.5 - Pruebas, Vigilancia y


Monitoreo de la Seguridad.

0,09

60%

DS5.6 - Definicin de Incidente de


Seguridad.

0,09

0%

0,09

50%

0,09

100%

DS5.9 - Prevencin, Deteccin y


Correccin de Software Malicioso.

0,09

100%

DS5.10 - Seguridad de la Red.

0,09

100%

DS5.11 - Intercambio de Datos


Sensitivos.

0,10

50%

DS5.1 - Administracin de la
Seguridad de TI.

DS5 Garantizar la seguridad de los sistemas

Definir y mantener un plan de seguridad de TI. DS5.2 - Plan de Seguridad de TI.


Monitorear incidentes de seguridad, reales y
potenciales.
Revisar y validar peridicamente los
privilegios y derechos de acceso de los
usuarios.
Establecer y mantener procedimientos para
mantener y salvaguardar las llaves
criptogrficas.
Implementar y mantener controles tcnicos y
de procedimientos para proteger el flujo de
informacin a travs de la red.
Realizar evaluaciones de vulnerabilidad de
manera regular.
Realizar evaluaciones de vulnerabilidad de
manera regular.
Establecer y mantener procedimientos para
mantener y salvaguardar las llaves
criptogrficas.
Monitorear incidentes de seguridad, reales y
potenciales.
Definir y mantener un plan de seguridad de TI.

198

DS5.7 - Proteccin de la Tecnologa


de Seguridad.
DS5.8 - Administracin de Llaves
Criptogrficas.

EVALUACIN POR CONTROLES - COBIT

DS9 Administrar la
configuracin

DS8 Administrar la mesa de


servicio y los incidentes

DS7 Educar y entrenar a los


usuarios

DS6 Identificar y asignar costos

PROCESOS

ACTIVIDADES DEL PROCESO

OBJETIVOS DE CONTROL

PESO

0,25

50%

Identificar todos los costos de TI (personas,


tecnologa, etc) y mapearlos a los servicios de DS6.2 - Contabilizacin de TI.
TI con bases en costos unitarios.

0,25

100%

Establecer y mantener un proceso de control DS6.3 - Modelacin de Costos y


de contabilizacin de TI y de costos.
Cargos.

0,25

86%

Establecer y mantener procedimientos y


polticas de facturacin.

0,25

100%

0,33

57%

0,33

100%

DS7.3 - Evaluacin del


Entrenamiento Recibido.

0,34

0%

DS8.1 - Mesa de Servicios.

0,20

0%

DS8.2 - Registro de Consultas de


Clientes.

0,20

100%

Clasificar, investigar y diagnosticar consultas. DS8.3 - Escalamiento de Incidentes.

0,20

0%

Resolver, recuperar y cerrar incidentes.


Informar a usuarios (por ejemplo,
actualizaciones de estatus). Hacer reportes
para la gerencia.
Desarrollar procedimientos de planeacin de
administracin de la configuracin.

DS8.4 - Cierre de Incidentes.

0,20

0%

DS8.5 - Anlisis de Tendencias.

0,20

50%

Mapear la infraestructura con los servicios


brindados/procesos de negocio soportados.

Identificar y categorizar las necesidades de


capacitacin de los usuarios.
Construir un programa de capacitacin.
Realizar actividades de capacitacin, intrusin
y concienciacin. Llevar a cabo evaluaciones
de capacitacin. Identificar y evaluar los
mejores mtodos y herramientas para impartir
la capacitacin.
Crear procedimientos de clasificacin
(severidad e impacto) y de escalamiento
(funcional y jerrquico).
Detectar y registrar incidentes/solicitudes de
servicio/solicitudes de informacin.

DS6.1 - Definicin de Servicios.

DS6.4 - Mantenimiento del Modelo


de Costos.
DS7.1 - Identificacin de
Necesidades de Entrenamiento y
Educacin.
DS7.2 - Imparticin de
Entrenamiento y Educacin

DS9.1 Repositorio y Lnea Base de


0,33
Configuracin.
DS9.2 - Identificacin y
Recopilar informacin sobre la configuracin
0,33
Mantenimiento de Elementos de
inicial y establecer lneas base.
Configuracin.
Verificar y auditar la informacin de la
DS9.3 - Revisin de Integridad de la
configuracin (incluye la deteccin del
0,34
Configuracin.
software no autorizado). Actualizar el
repositorio de configuracin.

199

25%
0%

33%

EVALUACIN POR CONTROLES - COBIT

DS11 Administrar los datos

DS10 Administrar los


problemas

PROCES OS

ACTIVIDADES DEL PROCES O

OBJETIVOS DE CONTROL

PES O

0,25

0%

0,25

0%

0,25

0%

0,25

0%

0,17

25%

DS11.2 - Acuerdos de
Almacenamiento y Conservacin.

0,17

50%

DS11.3 - Sistema de Administracin


de Libreras de Medios.

0,17

0%

DS11.4 - Eliminacin.

0,17

0%

DS11.5 - Respaldo y Restauracin.

0,16

50%

0,16

0%

0,20

83%

0,20

88%

0,20

100%

Administrar el ambiente fsico (mantenimiento, DS12.4 - Proteccin Contra


monitoreo y reportes incluidos).
Factores Ambientales.

0,20

100%

Definir e implementar procesos para


DS12.5 - Administracin de
mantenimiento y autorizacin de acceso fsico. Instalaciones Fsicas.

0,20

50%

Crear/modificar procedimientos de operacin


DS13.1 - Procedimientos e
(incluyendo manuales, planes de cambios,
Instrucciones de Operacin.
procedimientos de escalamiento, etc).

0,20

50%

Programacin de cargas de trabajo y de


programas en lote.

0,20

100%

Monitorear la infraestructura y procesar y


DS13.3 - Monitoreo de la
resolver problemas. Programar y llevar a cabo
Infraestructura de TI.
mantenimiento preventivo.

0,20

0%

Administrar y asegurar la salida fsica de


informacin (reportes, medios, etc).
DS13.4 - Documentos Sensitivos y
Implementar/establecer un proceso para
Dispositivos de Salida.
salvaguardar los dispositivos de autenticacin
contra interferencia, perdida o robo.

0,20

50%

Aplicar cambios o arreglos al programa de


infraestructura.

0,20

100%

DS10.1 - Identificacin y
Clasificacin de Problemas
DS10.2 - Rastreo y Resolucin de
Problemas

Identificar y clasificar problemas.


Realizar anlisis de causa raz.
Resolver problemas. Revisar el estatus de
problemas.
Emitir recomendaciones para mejorar y crear
una solicitud de cambio relacionada. Mantener
registros de los problemas.
Traducir los requerimientos de
almacenamiento y conservacin a
procedimientos.
Definir, mantener e implementar
procedimientos para administrar libreras de
medios.
Definir, mantener e implementar
procedimientos para desechar de forma
segura, medios y equipo.
Respaldar los datos de acuerdo al esquema.
Definir, mantener e implementar
procedimientos para restauracin de datos.

DS10.3 - Cierre de Problemas


DS10.4 - Integracin de las
Administraciones de Cambios,
Configuracin y Problemas.
DS11.1 - Requerimientos del
Negocio para Administracin de
Datos.

DS11.6 - Requerimientos de
Seguridad para la Administracin de
Datos.
DS12.1 - Seleccin y Diseo del
Definir el nivel requerido de proteccin fsica.
Centro de Datos.
Seleccionar y comisionar el sitio (centro de
DS12.2 - Medidas de Seguridad
datos, oficina, etc).
Fsica.
Implementar medidas de ambiente fsico.
DS12.3 - Acceso Fsico.

DS13 Administrar las operaciones

DS12 Administrar el ambiente


fsico

Respaldar los datos de acuerdo al esquema.

DS13.2 - Programacin de Tareas.

200

DS13.5 - Mantenimiento Preventivo


del Hardware.

EVALUACIN POR CONTROLES - COBIT

ME4 - Proporcionar Gobierno de TI

ME3 - Garantizar el Cumplimiento Regulatorio

ME2 - Monitorear y Evaluar el Control


Interno

ME1 - Monitorear y Evaluar el


Desempeo de TI

PROCES OS

OBJETIVOS DE CONTROL

ACTIVIDADES DEL PROCES O

Establecer el enfoque de monitoreo.

ME1.1 - Enfoque del Monitoreo.

Identificar y recolectar objetivos medibles que ME1.2 - Definicin y Recoleccin


apoyen a los objetivos el negocio.
de Datos de Monitoreo.
Crear cuadro de mandos.
ME1.3 - Mtodo de Monitoreo.
ME1.4 - Evaluacin del
Evaluar el desempeo.
Desempeo.
ME1.5 - Reportes al Consejo
Reportar el desempeo.
Directivo y a Ejecutivos.
Identificar y monitorear las medidas de mejora
ME1.6 - Acciones Correctivas.
del desempeo.
Monitorear y controlar las actividades de
control interno de TI.

ME2.1 - Monitorizacin del Marco


de Trabajo de Control Interno.

Crear cuadro de mandos.


Monitorear el proceso para identificar y
evaluar las excepciones de control.

PES O

0,17

0%

0,17

100%

0,17

100%

0,17

100%

0,16

100%

0,16

100%

0,14

100%

ME2.2 - Revisiones de Auditora.

0,14

100%

ME2.3 - Excepciones de Control.

0,14

100%

ME2.4 - Control de Auto


Evaluacin.

0,14

0%

0,14

100%

0,15

100%

0,15

100%

0,20

100%

Evaluar cumplimiento de actividades de TI


ME3.2 - Optimizar la Respuesta a
con polticas, estndares y procedimientos de
Requerimientos Externos
TI.

0,20

100%

Crear cuadro de mandos.

ME3.3 - Evaluacin del


Cumplimiento con Requerimientos
Externos.

0,20

100%

Brindar retro alimentacin para alinear las


polticas, estndares y procedimientos de TI
con los requerimientos de cumplimiento.

ME3.4 - Aseguramiento Positivo del


Cumplimiento.

0,20

100%

Integrar los reportes e TI sobre los


requerimientos regulatorios con similares
provenientes e otras funciones del negocio.

ME3.5 - Reportes Integrados.

0,20

100%

ME4.1 - Establecimiento de un
Marco de Gobierno de TI.

0,14

100%

ME4.2 - Alineamiento Estratgico.

0,14

38%

ME4.3 - Entrega de Valor.

0,14

100%

ME4.4 - Administracin de
Recursos.

0,14

100%

Generar un reporte de gobierno de TI.

ME4.5 - Administracin de Riesgos.

0,14

0%

Revisar, avalar, alinear y comunicar el


desempeo de TI, la estrategia de TI, el
manejo de recursos y riesgos de TI con
respecto a la estrategia empresarial.

ME4.6 - Medicin del Desempeo.

0,15

100%

Generar un reporte de gobierno de TI.

ME4.7 - Aseguramiento
Independiente.

0,15

100%

Monitorear el proceso de auto evaluacin.

Monitorear el proceso para identificar y


ME2.5 - Aseguramiento del Control
evaluar y remediar las excepciones de control. Interno.
Monitorear el proceso para obtener
aseguramiento sobre los controles operados
por terceros.
Reportar a los interesados clave.
Definir y ejecutar un proceso para identificar
los requerimientos legales, contractuales de
polticas y regulatorios.

Establecer visibilidad y facilitacin del consejo


y de los ejecutivos hacia las actividades de
TI.
Revisar, avalar, alinear y comunicar el
desempeo de TI, la estrategia de TI, el
manejo de recursos y riesgos de TI con
respecto a la estrategia empresarial.
Crear cuadro mandos.
Resolver los hallazgos de las evaluaciones
independientes y garantizar la implantacin
por parte de la gerencia de las
recomendaciones acordadas.

ME2.6 - Control Interno para


Terceros.
ME2.7 - Acciones Correctivas.
ME3.1 - Identificar los
Requerimientos de las Leyes,
Regulaciones y Cumplimientos
Contractuales.

Elaborado: Las Autoras


201

ANEXO 3: RESUMEN DE OBJETIVOS DE CONTROL DE MENOR


CUMPLIMIENTO

OBJETIVOS DE CONTROL DE MENOR CUMPLIMIENTO


OBJETIVOS DE CONTROL
PO1.2 - Alineacin de TI con el Negocio
PO2.1 - Modelo de Arquitectura de Informacin Empresarial
PO2.2 - Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos
PO2.3 - Esquema de Clasificacin de Datos
PO2.4 - Administracin de Integridad
PO3.3 - Monitoreo de Tendencias y Regulaciones Futuras
PO3.5 - Consejo de Arquitectura de TI
PO4.2 - Comit Estratgico de TI
PO4.3 - Comit Directivo de TI
PO4.7 - Responsabilidad de Aseguramiento de Calidad de TI
PO4.8 - Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento
PO4.9 - Propiedad de Datos y de Sistemas
PO4.15 - Relaciones
PO5.2 - Prioridades dentro del Presupuesto de TI
PO5.5 - Administracin de Beneficios
PO6.5 - Comunicacin de los Objetivos y la Direccin de TI
PO7.4 - Entrenamiento del Personal de TI
PO7.5 - Dependencia Sobre los Individuos
PO8.1 - Sistema de Administracin de Calidad
PO8.2 - Estndares y Prcticas de Calidad.
PO8.3 - Estndares de Desarrollo y de Adquisicin
PO8.5 - Mejora Continua
PO8.6 - Medicin, Monitoreo y Revisin de la Calidad
PO9.1 - Marco de Trabajo de Administracin de Riesgos
PO9.2 - Establecimiento del Contexto del Riesgo
PO9.3 - Identificacin de Eventos
PO9.4 - Evaluacin de Riesgos de TI
PO9.5 - Respuesta a los Riesgos
PO9.6 - Mantenimiento y Monitoreo de un Plan de Accin de Riesgos
AI1.3 - Estudio de Factibilidad y Formulacin de Cursos de Accin Alternativos
AI2.1 - Diseo de Alto Nivel
AI2.8 - Aseguramiento de la Calidad del Software
AI2.10 - Mantenimiento de Software Aplicativo
AI3.3 - Mantenimiento de la Infraestructura
AI4.1 - Plan para Soluciones de Operacin
AI4.4 - Transferencia de Conocimiento al Personal de Operaciones y Soporte
AI6.3 - Cambios de Emergencia
AI6.4 - Seguimiento y Reporte del Estatus de Cambio
AI7.1 - Entrenamiento
AI7.2 - Plan de Prueba
AI7.4 - Ambiente de Prueba
AI7.5 - Conversin de Sistemas y Datos
AI7.6 - Pruebas de Cambios

202

%
50%
47%
0%
0%
25%
0%
0%
0%
0%
0%
14%
33%
50%
33%
33%
50%
0%
50%
50%
50%
13%
0%
0%
50%
0%
50%
50%
17%
50%
0%
38%
0%
50%
50%
50%
57%
33%
0%
30%
30%
50%
0%
33%

OBJETIVOS DE CONTROL DE MENOR CUMPLIMIENTO


OBJETIVOS DE CONTROL
DS1.1 - Marco de Trabajo de la Administracin de los Niveles de Servicio
DS1.3 - Acuerdos de Niveles de Servicio
DS1.4 - Acuerdos de Niveles de Operacin
DS1.5 - Monitoreo y Reporte del Cumplimento de los Niveles de Servicio
DS1.6 - Revisin de los Acuerdos de Niveles de Servicio y de los Contratos
DS2.1 - Identificacin de Todas las Relaciones con Proveedores
DS2.4 - Monitoreo del Desempeo del Proveedor
DS3.2 - Capacidad y Desempeo Actual
DS3.3 - Capacidad y Desempeo Futuros
DS3.4 - Disponibilidad de Recursos de TI
DS3.5 - Monitoreo y Reporte
DS4.2 - Planes de Continuidad de TI
DS4.3 - Recursos Crticos de TI
DS4.5 - Pruebas del Plan de Continuidad de TI
DS4.6 - Entrenamiento del Plan de Continuidad de TI
DS4.7 - Distribucin del Plan de Continuidad de TI
DS4.8 - Recuperacin y Reanudacin de los Servicios de TI
DS4.9 - Almacenamiento de Respaldos Fuera de las Instalaciones
DS4.10 - Revisin Post Reanudacin
DS5.1 - Administracin de la Seguridad de TI
DS5.2 - Plan de Seguridad de TI
DS5.4 - Administracin de Cuentas del Usuario
DS5.6 - Definicin de Incidente de Seguridad
DS5.7 - Proteccin de la Tecnologa de Seguridad
DS5.11 - Intercambio de Datos Sensitivos
DS6.1 - Definicin de Servicios
DS7.1 - Identificacin de Necesidades de Entrenamiento y Educacin
DS7.3 - Evaluacin del Entrenamiento Recibido
DS8.1 - Mesa de Servicios
DS8.3 - Escalamiento de Incidentes
DS8.4 - Cierre de Incidentes
DS8.5 - Anlisis de Tendencias
DS9.1 - Repositorio y Lnea Base de Configuracin
DS9.2 - Identificacin y Mantenimiento de Elementos de Configuracin
DS9.3 - Revisin de Integridad de la Configuracin
DS10.1 - Identificacin y Clasificacin de Problemas
DS10.2 - Rastreo y Resolucin de Problemas
DS10.3 - Cierre de Problemas
DS10.4 - Integracin de las Administraciones de Cambios, Configuracin y Problemas
DS11.1 - Requerimientos del Negocio para Administracin de Datos
DS11.2 - Acuerdos de Almacenamiento y Conservacin
DS11.3 - Sistema de Administracin de Libreras de Medios
DS11.4 - Eliminacin
DS11.5 - Respaldo y Restauracin
DS11.6 - Requerimientos de Seguridad para la Administracin de Datos
DS12.5 - Administracin de Instalaciones Fsicas
DS13.1 - Procedimientos e Instrucciones de Operacin
DS13.3 - Monitoreo de la Infraestructura de TI
DS13.4 - Documentos Sensitivos y Dispositivos de Salida
ME1.1 - Enfoque del Monitoreo
ME2.4 - Control de Auto Evaluacin
ME4.2 - Alineamiento Estratgico
ME4.5 - Administracin de Riesgos

Elaborado: Las Autoras


203

%
21%
50%
50%
50%
50%
13%
50%
0%
0%
50%
50%
0%
0%
50%
20%
50%
25%
30%
50%
30%
50%
0%
0%
50%
50%
50%
57%
0%
0%
0%
0%
50%
25%
0%
33%
0%
0%
0%
0%
25%
50%
0%
0%
50%
0%
50%
50%
0%
50%
0%
0%
38%
0%

ANEXO 4: EVALUACIN DE OBJETIVOS DE CONTROL CRTICOS

OBJETIVOS DE CONTROL CRTICOS


OBJETIVOS DE CONTROL
PO2.2 - Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos
PO2.3 - Esquema de Clasificacin de Datos
PO3.3 - Monitoreo de Tendencias y Regulaciones Futuras
PO3.5 - Consejo de Arquitectura de TI
PO4.2 - Comit Estratgico de TI
PO4.3 - Comit Directivo de TI
PO4.7 - Responsabilidad de Aseguramiento de Calidad de TI
PO7.4 - Entrenamiento del Personal de TI
PO8.5 - Mejora Continua
PO8.6 - Medicin, Monitoreo y Revisin de la Calidad
PO9.2 - Establecimiento del Contexto del Riesgo
AI1.3 - Estudio de Factibilidad y Formulacin de Cursos de Accin Alternativos
AI2.8 - Aseguramiento de la Calidad del Software
AI6.4 - Seguimiento y Reporte del Estatus de Cambio
AI7.5 - Conversin de Sistemas y Datos
DS3.2 - Capacidad y Desempeo Actual
DS3.3 - Capacidad y Desempeo Futuros
DS4.2 - Planes de Continuidad de TI
DS4.3 - Recursos Crticos de TI
DS5.4 - Administracin de Cuentas del Usuario
DS5.6 - Definicin de Incidente de Seguridad
DS7.3 - Evaluacin del Entrenamiento Recibido
DS8.1 - Mesa de Servicios
DS8.3 - Escalamiento de Incidentes
DS8.4 - Cierre de Incidentes
DS9.2 - Identificacin y Mantenimiento de Elementos de Configuracin
DS10.1 - Identificacin y Clasificacin de Problemas
DS10.2 - Rastreo y Resolucin de Problemas
DS10.3 - Cierre de Problemas
DS10.4 - Integracin de las Administraciones de Cambios, Configuracin y Problemas
DS11.3 - Sistema de Administracin de Libreras de Medios
DS11.4 - Eliminacin
DS11.6 - Requerimientos de Seguridad para la Administracin de Datos
DS13.3 - Monitoreo de la Infraestructura de TI
ME1.1 - Enfoque del Monitoreo
ME2.4 - Control de Auto Evaluacin
ME4.5 - Administracin de Riesgos

Elaborado: Las Autoras


204

%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%

ANEXO 5: FORMATO DE APLICACIN ANLISIS DE RIESGOS DE TI


(A)

ANALISIS DE RIESGO DE TI
Objetivo general: Identificar las causas de los riesgos potenciales, en el rea de TI y cuantificarlos para que la gerencia pueda tener informacin suficiente
al respecto y optar por el diseo e implantacin de los controles correspondientes a fin de minimizar los efectos de las causas de los riesgos, en los diferente
puntos de anlisis.
En conjunto con la Jefe de TI se han identificado las amenazas y los objetos. Para categorizar los riesgos se utilizar el mtodo matricial
Amenazas
Objetos
Prdida de datos
Archivos de base de datos
Desastre fsico
Computadoras/Discos
Robo
Programas
Errores
Terminal de operacin
Acceso ilegal
Reportes
Violacin de privacidad
Circuitos de comunicacin
Terminales
Infraestructura

Anlisis de Amenazas
Prdida de
datos
Desastre fsico
Robo

Prdida de
datos
Desastre
fsico
Robo

Errores

Errores

Acceso ilegal

Acceso ilegal

Violacin de
privacidad

Violacin de
privacidad

205

ANEXO 6: FORMATO DE APLICACIN ANLISIS DE RIESGOS DE TI


(B)
Anlisis de Objetos
Archivos de Archivos de
base de datos base de datos
Computadoras/
Discos
Programas
Terminal de
operacin

Computadoras
/Discos
Programas
Terminal de
operacin

Reportes

Reportes

Circuitos de
comunicacin

Circuitos de
comunicacin

Terminales

Terminales

Infraestructura

Infraestructura

Nota: Si los evaluadores consideran que existen otras amenazas y objetos que los enlistados, pueden incrementarlos en la matriz para el anlisis de riesgo y
aplicar la evaluacin

206

ANEXO 7: APLICACIN ANLISIS DE RIESGOS EN EL


DEPARTAMENTO DE SISTEMAS (1)

207

ANEXO 8: APLICACIN ANLISIS DE RIESGOS EN EL


DEPARTAMENTO DE SISTEMAS (2)

208

ANEXO 9: APLICACIN ANLISIS DE RIESGOS EN EL


DEPARTAMENTO DE SISTEMAS (3)

209

ANEXO 10: APLICACIN ANLISIS DE RIESGOS EN EL


DEPARTAMENTO DE SISTEMAS (4)

210

BIBLIOGRAFA

Annie. (12 de 11 de 2010). Proyecto Socio Tecnologa Ide Annie.


http://nombrem1t2pnfinf.blogspot.com/2010/11/matriz-foda.html
Directrices de Auditora Julio de 2000 - 3a Edicin Emitido por el Comit
Directivo de COBIT y El IT Governance Institute TM
Fundacin Wikimedia, I. (04 de 09 de 2012).
http://es.wikipedia.org/wiki/Objetivos_de_control_para_la_informaci%C3%
B3n_y_tecnolog%C3%ADas_relacionadas
Fundacin Wikimedia, I. (26 de 08 de 2012).
http://es.wikipedia.org/wiki/Riesgo_%28inform%C3%A1tica%29
IT Governance Institute. (2007). COBIT 4.1, Pgs. 6, 9, 12, 13, 19, 29 , 33,
37, 41, 47, 51, 55, 59, 63, 67, 73, 77, 81, 85, 89, 93, 97, 101, 105, 109, 113,
117, 121, 125, 129, 133, 137, 141, 145, 149, 153, 157, 161, 165, Rolling
Meadows,EE.UU.: IT Governance Institute.
Jos Dagoberto Pinilla Forero. (1992). Auditora informtica, Un enfoque
operacional, Pg.167, 175, 181, 183, 184, 186 Colombia: ECOE
EDICIONES.
Objetivos de Control Abril de 1998 2da Edicin Emitido por el Comit
Directivo de COBIT y la Information Systems Audit and Control Foundation
Rico, J. R. (18 de 05 de 2010). Suite101.net. Recuperado el 31 de 08 de 2012,
de http://suite101.net/view_image.cfm/148232
Rosas Vzquez. (2007). Propuesta de un Modelo de Administracin
Estratgica. Vol 1, No 2.
Talancn, H. P. (2006). La matriz FODA: una alternativa para realizar
diagnsticos y. Santo Toms: ESCA UNAM .

211

DEFINICIONES DE TRMINOS
AD HOC: Es una locucin latina que significa literalmente para esto. Se refiere a
una solucin elaborada especficamente para un problema o fin preciso.

ARQUITECTURA DE TI: Un marco integrado para evolucionar o dar


mantenimiento a TI existente y adquirir nueva TI para alcanzar las metas
estratgicas y de negocio de la empresa.

BAAN: Es un ERP (Planificador de Recursos Empresariales). Es un sistema que


integra la informacin de todas las operaciones de la empresa, siguiendo el objetivo
de manejo y control de informacin actualizada para la toma de decisiones.

BALANCED SCORECARDS: Cuadro de Mando Integral CMI es un mtodo


para medir las actividades de una compaa en trminos de su visin y estrategia.
Proporciona a los gerentes una mirada global del desempeo del negocio.

COBIT: Control Objetives for Information and Related Technology (objetivos de


control para la informacin y las tecnologas relacionadas). Su misin es investigar,
desarrollar, publicar y promover un marco de trabajo de control de gobierno de TI
autorizado y actualizado, internacionalmente aceptado y adoptado para el uso
cotidiano de las empresas, gerentes de negocios, profesionales de TI y de
Aseguramiento.

CONTROL: Las polticas, procedimientos, practicas y estructuras organizacionales


diseadas para garantizar razonablemente que los objetivos del negocio sern
alcanzados y que eventos no deseable sern prevenidos o detectados y corregidos.

COSO: (COMMITTEE OF SPONSORING ORGANIZATIONS). Comit de


Organizaciones Patrocinadoras de la comisin Treadway. Estndar aceptado a nivel
internacional para el gobierno corporativo.

212

DELPHI: Es una metodologa de investigacin multidisciplinaria para la realizacin


de pronsticos y predicciones.

DIRECTRICES DE AUDITORA: Es una herramienta complementaria que


permiten al auditor comparar los procesos especficos de TI con los objetivos de
control de COBIT recomendados para ayudar a los directivos a identificar en qu
casos los controles son suficientes, o para asesorarlos respectos a los procesos que
requieren ser mejorados.

DOFA: Debilidades, Oportunidades, Fortalezas y Amenazas. Es una herramienta


utilizada para la formulacin y evaluacin de estrategia. Generalmente es utilizada
para empresas.

DOMINIO: Agrupacin de objetivos de control en etapas lgicas en el ciclo de vida


de inversin en TI.

GOBIERNO DE TI: Una estructura de relaciones y procesos para dirigir y controlar


la empresa con el fin de lograr sus objetivos al aadir valor mientras se equilibran los
riesgos contra el retorno sobre TI y sus procesos.

HOST: Se refiere a las computadoras conectadas a una red, que proveen y utilizan
servicios de ella.

INCIDENTE: Cualquier evento que no sea parte de la operacin estndar de un


servicio que ocasione, o pueda ocasionar, una interrupcin o una reduccin de la
calidad de ese servicio (alineado a ITIL).

INFRAESTRUCTURA: La tecnologa, los recursos humanos y las instalaciones


que permiten el procesamiento de las aplicaciones:

ISACA: Asociacin para la Auditora y Control de Sistemas de Informacin.

ITGI: Instituto de Administracin de las Tecnologas de la Informacin.


213

KPI: Indicadores Clave de Desempeo, miden el nivel del desempeo de un


proceso, enfocndose en el "cmo" e indicando el rendimiento de los procesos, de
forma que se pueda alcanzar el objetivo fijado.

MARCO DE TRABAJO: Es un Marco de control que permite a los dueos del


negocio facilitar las descargas de sus responsabilidades a travs de la procuracin de
un modelo de soporte.

MARCO REFERENCIAL COBIT: Explica cmo COBIT organiza los objetivos


de Gobierno y las mejores prcticas de TI con base en dominios y procesos de TI, y
los alinea a los requerimientos del negocio.

METODOLOGA: Modo de hacer o definir con orden una cosa.

OBJETIVOS DE CONTROL: Brindan objetivos a la direccin basados en las


mejores prcticas genricas para todos los procesos de TI.

OLA: Acuerdo de nivel de operacin, es un documento interno de la organizacin


donde se especifican las responsabilidades y compromisos de los diferentes
departamentos de la organizacin TI en la prestacin de un determinado servicio.

ORGANIZACIN: La manera en que una empresa est estructurada.

OUTSOURCING: La subcontratacin o tercerizacin, es el proceso econmico en


el cual una empresa mueve o destina los recursos orientados a cumplir ciertas tareas
hacia una empresa externa por medio de un contrato.

PLAN ESTRATGICO DE TI: Es un plan a largo plazo con un horizonte de tres a


cinco aos, en el cual la gerencia del negocio y de TI describen de forma cooperativa
cmo los recursos de TI contribuirn a los objetivos estratgicos empresariales
(metas).

214

PROCESO: Por lo general, un conjunto de procedimientos influenciados por las


polticas y estndares de la organizacin.

RIESGO: El potencial de que una amenaza especfica explote las debilidades de un


activo o grupo de activos para ocasionar y/o daos a los activos.

QMS: Asegurar las funciones de una organizacin eficiente y ofrecer sus objetivos
de negocio, incluyendo el cumplimiento de los requisitos del cliente.

SLA: Acuerdo de nivel de servicio, es un contrato escrito entre un proveedor de


servicio y su cliente con objeto de fijar el nivel acordado para la calidad de dicho
servicio.

STAKEHOLDERS: Son las personas a quienes pueden afectar o son afectados por
las actividades de una empresa.

TI: Tecnologas de la Informacin y la Comunicacin (TIC o bien NTIC para nuevas


tecnologas de la informacin y de la comunicacin) agrupan los elementos y las
tcnicas usadas en el tratamiento y la transmisin de la informacin.

TIC: Las tecnologas de la informacin y la comunicacin (TIC o bien NTIC para


nuevas tecnologas de la informacin y de la comunicacin) agrupan los elementos y
las tcnicas usadas en el tratamiento y la transmisin de la informacin,
principalmente la informtica, Internet y las telecomunicaciones.

USUARIO: Una persona que utiliza los sistemas empresariales.

215