1027

BANCO CENTRAL DEL PARAGUAY
Superintendencia de Bancos
Manual de Gobierno y Control de

Tecnologías de Información
Versión 02, revisión 00 del MANUAL DE GOBIERNO Y CONTROL DE

TECNOLOGIAS DE INFORMACIÓN (MGCTI).
Este manual, desarrollado por la SUPERINTENDENCIA DE BANCOS, debe ser

utilizado por las Entidades Financieras, regidas por la Ley 861/06 “General de
Bancos, Empresas Financieras y Otras Entidades de Créditos”, para implementar
el marco de gobierno y de control interno de Tecnología y Seguridad de la
Información.
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 0
TABLA DE CONTENIDOS
1.0. INTRODUCCION ........................................................................................................................................ 2
2.0. MODELO DE PROCESOS ......................................................................................................................... 4
3.0. CATALOGO DE PROCESOS .................................................................................................................... 6
4.0. MARCO DE GOBIERNO Y CONTROL .................................................................................................... 11
5.0. CATALOGO DE SALIDAS ........................................................................................................................ 52
6.0. MATRIZ RACI ........................................................................................................................................... 64
7.0. MATRIZ DE COMPATIBILIDAD ............................................................................................................... 80
8.0. GLOSARIO ............................................................................................................................................... 84
1.0. INTRODUCCION
El Manual de Gobierno y Control de Tecnologías de Información (MGCTI) ha sido elaborado con el objetivo
de ofrecer un marco de referencia común para que las Entidades Financieras, fiscalizadas por la
Superintendencia de Bancos del Banco Central del Paraguay, dispongan e implementen los requisitos mínimos
de gobierno así como de control de las Tecnologías de Información y Comunicación (TICs).
En su proceso de redacción, han sido contemplados modelos de referencia los cuales proporcionan una nueva
generación de principios para el gobierno así como la gestión de las TICs. El MGCTI está basado
primariamente en el modelo de referencia COBIT 5 ®, y al mismo tiempo se alinea técnicamente con otros
estándares, tales como:
• ISO/IEC 27001:2013, emitido por la Organización Internacional de Estándares de Normalización.
• Information Technology Infrastructure Library (ITIL®).
• The Open Group Architecture Framework (TOGAF®).
• Project Management Body of Knowledge (PMBOK®).
• Projects IN Controlled Environments 2 (PRINCE2®).
• Modelo COSO (Committee of Sponsoring Organizations of the Treadway Commission).
De igual forma, este manual incorpora conceptos, definiciones y enunciados orientados a contribuir con el
proceso de mejora en el desempeño de las tecnologías de información, mediante la implementación de
sistemas efectivos. Con la vigencia de este Manual, se pretende lograr la uniformidad de Gobierno y Control
Interno en los procesos de las TICs, en el marco de lo que establece la Ley Nº 861/06 “General de Bancos,
Empresas Financieras y Otras Entidades de Créditos”, bajo los principios de eficiencia y eficacia,
contribuyendo al cumplimiento de los objetivos institucionales de fortalecimiento del Control Interno de las
Entidades Financieras.
El Manual de Gobierno y Control de Tecnologías de Información (MGCTI) se encuentra estructurado de la

siguiente manera:
• Sección 2 – Modelo de Procesos: describe en términos generales el enfoque adoptado en el manual

para estructurar el modelo de procesos de las Tecnologías de Información y Comunicación (TICs) y sus
respectivos componentes. Incluye el mapa de los macro-procesos (dominios) y sus respectivos
procesos, agrupados en cada dominio, así como una descripción general de las partes componentes
del modelo las cuales son desarrolladas detalladamente en la Sección 4.
• Sección 3 – Catálogo de Procesos: proporciona información sobre los procesos incorporados al

manual, sus dominios asociados, así como una breve descripción de los mismos. Cada uno de los
procesos, citados en esta sección, son abordados en la Sección 4.
• Sección 4 - Marco de Gobierno y Control: esta sección incorpora información sobre los procesos,
incluyendo: la descripción, los objetivos, las metas, las prácticas y las salidas generadas en cada caso.
Este apartado es una de las partes más importantes del documento pues incorpora los principios y las
prácticas de Gobierno, así como de Control, que deben ser implementadas por las Entidades
Financieras supervisadas por la Superintendencia de Bancos.
• Sección 5 – Catálogo de Salidas: describe las principales características que deben reunir las salidas
que son generadas en cada uno de los procesos que componen el Manual de Gobierno y Control de
Tecnologías de Información, con la finalidad de cumplir las definiciones y metas establecidas.
• Sección 6 – Matriz RACI: en esta sección se expone información con respecto a los responsables
primarios o principales para gestionar los procesos, prácticas y salidas, identificados en el Manual de
Gobierno y Control de Tecnología de Información. Para tal efecto fueron previstos cuatro roles, a saber:
1) R (responsable); 2) A (quien autoriza o quien aprueba); 3) C (consultado); 4) I (informado).
• Sección 7 – Matriz de Compatibilidad: aporta información sobre el nivel de compatibilidad existente

entre los objetivos de control definidos en el Manual de Control Interno Informático para Entidades
Financieras (MCIIEF) y las prácticas del Manual de Gobierno y Control de las Tecnologías de
Información (MCGTI).
• Sección 8 – Glosario: describe el catálogo alfabetizado de palabras junto con la definición o

explicación general de las mismas.
El Manual de Gobierno y Control de Tecnologías de Información (MGCTI), podría requerir modificaciones y

actualizaciones, producto de cambios ocurridos o surgimiento de nuevas mejores prácticas de gobierno y
control de las Tecnologías de Información y Comunicación (TICs). Dichas actualizaciones serán comunicadas
por medio de disposiciones normativas, emitidas por la Superintendencia de Bancos.
2.0. MODELO DE PROCESOS
El Manual de Gobierno y Control de Tecnologías de Información (MGCTI) contempla un modelo de

procesos que aborda los principales ciclos de gobierno, así como de control, relacionados con las Tecnologías y
la Seguridad de la Información. Los procesos que deben ser implementados por las Entidades Financieras,
regidas por la Ley 861/06 “General de Bancos, Empresas Financieras y Otras Entidades de Créditos”, ofrecen
un marco común para los responsables de las Tecnologías de Información y Comunicación (TIC).
El enfoque adoptado por el Manual de Gobierno y Control de Tecnologías de Información (MGCTI)

subdivide los procesos de gobierno y de control en dos principales áreas o componentes:
• Gobierno: contempla un dominio el cual contiene tres procesos de gobierno. En cada proceso se han
definido las prácticas para Evaluar, Orientar y Supervisar (EOS) dichos procesos.
• Control: tiene cuatro dominios alineados con las prácticas de Planificar, Construir, Ejecutar y
Supervisar (PCES). Cada dominio agrupa varios procesos, relacionados con el control de las
Tecnologías de Información y Comunicación (TIC), relevantes para la Entidad.
La Figura 1 ilustra el conjunto completo de los 27 procesos de gobierno y control diseñados en el contexto del
Marco de Gobierno y Control de las Tecnologías de Información (MGCTI).
Figura 1 – Modelo de Procesos del Marco de Gobierno y Control de Tecnologías de Información (MGCTI)
Cada proceso, desarrollado en el Manual de Gobierno y Control de Tecnologías de Información (MGCTI),

adopta la siguiente taxonomía:
• Identificación del Proceso:
 Nombre de Dominio: identificación del nombre del dominio al cual pertenece el proceso, en este
caso:
o Gestionar Gobierno [GG]: incluye procesos que abordan los objetivos de gobierno de TI y sus
partes interesadas; contempla prácticas y actividades orientadas a evaluar opciones
estratégicas, proporcionando dirección y supervisando resultados.
o Planificar y Organizar [PO]: contempla los procesos relacionados con las acciones, definiciones
y decisiones estratégicas, así como tácticas, que definen la manera en que las tecnologías de
información contribuirán de mejor manera para el logro de los objetivos de la Entidad. Abarca
igualmente, la implementación de la visión estratégica mediante la planificación, comunicación,
y gestión desde diferentes perspectivas.
o Adquirir e Implementar [AI]: este dominio abarca los procesos necesarios para poner en
práctica las estrategias de tecnología de información definidas, así como la identificación,
adquisición, o desarrollo, implementación e integración con los procesos de tecnología y
seguridad de la Entidad.
o Entregar Servicio y Dar Soporte [ES]: cubre la entrega de los servicios requeridos, e incluye la
prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del
servicio a los usuarios, la administración de los datos así como de las instalaciones operativas.
o Supervisar y Monitorear [SM]: abarca los procesos necesarios para realizar el monitoreo del
control interno, del cumplimiento regulatorio y de la aplicación de gobierno. Aborda la
participación de la gerencia y demás órganos de línea en los procesos de retroalimentación de
los mecanismos de verificación así como de evaluación proveniente de auditorías internas y
externas.
 Etiqueta de Proceso: compuesto por el prefijo que identifica al dominio (GG, PO, AI, ES, SM) al cual
pertenece el proceso y adicionalmente un número correlativo que lo identifica (01, 02, 03).
 Nombre del Proceso: breve descripción que identifica al proceso.
• Descripción del Proceso: menciona la visión general del proceso, así como una descripción de alto
nivel acerca de cómo el proceso lleva a cabo el propósito para el cual fue definido.
• Objetivo del Proceso: declaración que describe cual es el propósito general del proceso.
• Metas del Proceso: resultado deseado de un proceso cuyo cumplimiento contribuye o apoya al
cumplimiento de las metas definidas por las Tecnologías de Información y Comunicación (TIC).
• Prácticas de Proceso:
 Título y Descripción de la Práctica: conjunto de requerimientos de alto nivel y declaraciones de

acción para implementar el gobierno o el control de las Tecnologías de Información y
Comunicación (TIC) en las Entidades.
 Salidas de la Práctica: resultados o productos mínimos de cada proceso. Se consideran necesarias

para soportar el adecuado diseño y operación del mismo. La sección Catálogo de Salidas
describe información sobre las principales características de las salidas generadas.
3.0. CATALOGO DE PROCESOS
Un proceso se define como: “una colección de prácticas influenciadas por las políticas y procedimientos de la
Entidad que toma entradas de un número dado de fuentes (incluyéndose otros procesos), procesa las entradas
y genera salidas (ej. Productos, servicios)”.
Esta sección expone el listado de procesos identificados en el Manual de Gobierno y Control de Tecnologías
de Información (MGCTI), incluyendo la descripción general de los mismos.
Dominio Etiqueta/Nombre Descripción
Analizar y articular los requerimientos para el gobierno de las

tecnologías de información, poniendo en marcha y manteniendo
GG.01.Establecer y Mantener
estructuras, procesos y prácticas facilitadoras efectivas, con claridad
Marco de Gobierno
de responsabilidades y la autoridad requerida para contribuir con el
logro de la misión, las metas y objetivos de la Entidad.
Asegurar que el apetito y la tolerancia al riesgo de la Entidad sean

Gestionar
entendidos, articulados y comunicados. Asegurar que los riesgos
Gobierno GG.02.Optimizar Riesgos
relacionados con las tecnologías de la información sean
(GG)
oportunamente identificados, evaluados y tratados apropiadamente.
Asegurar que la medición y la elaboración de informes, en cuanto a

GG.03.Garantizar Transparencia conformidad así como desempeño de TI, son transparentes, y
a las Partes Interesadas cuentan con aprobación de las metas, las métricas y las acciones
correctivas necesarias por parte de los Interesados Claves.
Definir y mantener el Marco de Gestión de TI, incluyendo el diseño e

implementación de un modelo organizacional, alineado con las
necesidades de la Entidad. Implementar y mantener mecanismos
PO.01.Definir Marco de Gestión
así como roles para gestionar la información y la utilización de los
recursos de TI a fin de apoyar los objetivos de gobierno, alineados
con las políticas corporativas y los principios rectores.
Planificar y
Organizar
(PO)
Proporcionar una visión integral de la Entidad y del entorno de
tecnología de información, la dirección futura, y las iniciativas
necesarias para migrar al entorno deseado. Aprovechar los
PO.02. Gestionar Estrategia
componentes de la estructura Empresarial, incluyendo los servicios
externos y las capacidades relacionadas que permitan una respuesta
ágil, confiable y eficiente para el logro de los objetivos estratégicos.
Establecer una arquitectura común integrada por los procesos, las

aplicaciones y las capas de arquitectura tecnológica que utilizan los
datos corporativos. Definir las normas, las directrices, los
PO.03.Gestionar Arquitectura
procedimientos, las plantillas y las herramientas para la gestión de
datos y la información, proporcionando un vínculo entre estos
componentes.
Gestionar las actividades de presupuesto, relacionadas con las

tecnologías de información, desde la priorización del gasto o de la
inversión, mediante el uso de prácticas presupuestarias formales,
PO.04.Gestionar Presupuesto hasta la registración y monitoreo de las mismas. Coordinar con las
partes interesadas la identificación y el control de los costos e
inversiones en el contexto de los planes estratégicos y tácticos de TI,
e iniciar acciones correctivas cuando sea necesario.
Proporcionar un enfoque adecuado para garantizar una óptima

estructuración, ubicación, capacidades de decisión y habilidades de
PO.05.Gestionar Recursos los recursos humanos. Comunicar las funciones y responsabilidades
Humanos definidas, la formación y los planes de desarrollo personal así como
las expectativas de desempeño, con el apoyo de gente competente y
motivada.
Alinear los niveles de servicios de TI con las necesidades y

P0.06.Gestionar Acuerdos de expectativas de la Entidad, incluyendo la identificación, la
Servicios especificación, el diseño, la publicación, el acuerdo y la supervisión
de los niveles de servicio e indicadores de rendimiento.
Administrar los servicios de tecnología de información, prestados por

los proveedores, con la finalidad de satisfacer las necesidades del
PO.07.Gestionar Proveedores negocio, incluyendo la selección del proveedor, la gestión de las
relaciones, la gestión de los contratos, la revisión y supervisión del
desempeño.
Definir, implementar y supervisar el Sistema de Gestión de la

Seguridad de la Información (SGSI), sustentado en la identificación
PO.08.Gestionar Seguridad así como en la evaluación de los riesgos relacionados con TI,
estableciendo acciones para resolver los riesgos dentro de los
niveles de tolerancia establecidos por la Entidad.
Gestionar los proyectos, incluidos en el portafolio de proyectos, en

coordinación con la estrategia de la Entidad. Iniciar, planificar,
AI.01.Gestionar Proyectos
ejecutar, controlar proyectos y cerrarlos con una revisión post-
implementación.
Identificar soluciones y analizar requerimientos (incluyendo

aplicaciones, información/datos, infraestructura y servicios), antes
AI.02.Gestionar Requerimientos de la adquisición o creación de los mismos, para asegurar que estén
de Soluciones en línea con las necesidades estratégicas de la Entidad. Validar las
opciones viables, incluyendo costos, análisis de riesgo, y aprobar los
requerimientos así como las soluciones propuestas.
Diseñar, construir o adquirir soluciones de TI, alineadas con los

requerimientos de la Entidad, las cuales contemplen: el diseño, el
desarrollo, la compra o contratación y asociación con proveedores o
AI.03.Construir y Mantener
fabricantes. Gestionar la configuración, preparación, realización de
Soluciones
pruebas, y gestión de los requerimientos relativos a las aplicaciones,
los datos e informaciones, las infraestructuras así como los servicios
de tecnología de la información.
Adquirir e
Implementar
(AI)
Aceptar formalmente y hacer operativas las nuevas soluciones de TI,

incluyendo la planificación de la implementación, la conversión de los
AI.04.Implementar Soluciones datos y los sistemas (cuando sea aplicable), las pruebas de
aceptación, la comunicación, la capacitación a usuarios, el paso a
producción y la revisión post-implementación de la solución.
Gestionar los cambios requeridos a las soluciones de TI

(aplicaciones, servicios e infraestructura) de forma controlada.
Diseñar, implementar y ejecutar procedimientos de cambio durante
AI.05.Gestionar Cambios
las distintas etapas del proceso, incluyendo la solicitud, el análisis de
impacto, la priorización, la autorización, la ejecución, el cierre y el
monitoreo o seguimiento y la documentación.
Gestionar el ciclo de vida de los activos de TI mediante el diseño e

implementación de procedimientos que permitan la actualización de
AI.06.Gestionar Activos la información relativa a dichos activos (propietario del activo, costo,
número identificación, ubicación, entre otros), protección y utilización
adecuada de los mismos.
Evaluar el rendimiento actual y la previsión de necesidades futuras

de servicios de TI (aplicaciones e infraestructura) basadas en los
AI.07.Gestionar Disponibilidad y requerimientos del negocio, el análisis del impacto en la Entidad y la
Rendimiento evaluación del riesgo, a fin de planificar e implementar acciones
tendientes a lograr los niveles de requerimientos mínimos
identificados.
Coordinar y ejecutar procedimientos operativos para entregar los

servicios de tecnología de información garantizando que las
ES.01. Gestionar Operaciones
funciones de TI se ejecutan con normalidad, en forma ordenada y
segura.
Responder en forma oportuna y efectiva a las solicitudes de los

ES.02. Gestionar Solicitudes e usuarios resolviendo los servicios solicitados.
Incidentes de Servicio Gestionar los incidentes mediante el registro, la investigación, el
diagnostico, el escalamiento y el cierre de los mismos.
Entregar Identificar y clasificar los problemas así como sus causas de origen,
Servicio y Dar ES.03.Gestionar Problemas proporcionando resolución en tiempo para prevenir incidentes
Soporte (ES) recurrentes y establecer recomendaciones de mejora.
Evaluar, diseñar, implementar y mantener estrategias de continuidad

de TI que permitan al negocio responder a situaciones de
ES.04.Gestionar Continuidad contingencia generadas por incidentes técnicos o desastres
naturales los cuales afecten a los servicios e infraestructuras que
soportan las operaciones de la Entidad.
Proteger los recursos tecnológicos de la Entidad considerando los

pilares de Confidencialidad, Integridad y Disponibilidad con el
ES.05.Gestionar Servicios de objetivo de mantener aceptable el nivel de riesgo de seguridad.
Seguridad Establecer y mantener los roles de seguridad, privilegios de acceso
de la información y realizar la supervisión de la seguridad en forma
oportuna y adecuada, de acuerdo a las políticas de seguridad.
Definir, implementar y mantener controles apropiados para asegurar

ES.06.Gestionar Controles de que la información procesada u operada por los sistemas de
Proceso información satisfacen todos los requerimientos relevantes de
seguridad, integridad, confidencialidad, disponibilidad y confiabilidad.
Fortalecer y mejorar los niveles de confianza, así como de

seguridad del entorno de Control Interno Informático de la Entidad
SM.01.Obtener Revisión
ejecutando revisiones externas independientes a intervalos
Independiente
regulares, llevadas a cabo por Auditores Certificados, reconocidos y
habilitados por el regulador.
Supervisar y evaluar de forma continua el entorno de control interno

de la Entidad, incluyendo tanto autoevaluaciones como revisiones
internas independientes, desarrolladas por el Auditor Interno
Supervisar y
SM.02.Supervisar y Monitorear Informático. Facilitar a la Alta Dirección la identificación de
Monitorear
Control Interno deficiencias e ineficiencias en el control interno y emitir
(SM)
recomendaciones para optimizar los riesgos asociados. Planificar,
organizar y mantener normas para la evaluación del control interno y
las actividades de aseguramiento.
Evaluar el cumplimiento de requisitos legales, regulatorios y

contractuales, tanto en los procesos de Tecnología de Información
SM.03.Monitorear Requerimientos (TI) así como de Seguridad de Información (SI). Identificar los
Externos requisitos de cumplimiento de TI y SI, y monitorear que los mismos
se cumplan y hayan sido integrados con los procesos de
cumplimiento de la Entidad en general.
4.0. MARCO DE GOBIERNO Y CONTROL
GESTIONAR GOBIERNO (GG)
01. Establecer y Mantener Marco de Gobierno.

02. Optimizar Riesgos.
03. Garantizar Transparencia a las Partes Interesadas.
Dominio: Gestionar Gobierno GG.01.Establecer y Mantener Marco de Gobierno
Descripción del Proceso: analizar y articular los requerimientos para el gobierno de las tecnologías de
información, poniendo en marcha y manteniendo estructuras, procesos y prácticas facilitadoras efectivas, con
claridad de responsabilidades y la autoridad requerida para contribuir con el logro de la misión, las metas y
objetivos de la Entidad.
Objetivo del Proceso: proporcionar un enfoque consistente, integrado y alineado con el alcance del gobierno
de la Entidad, para garantizar que las decisiones relativas a las tecnologías de información sean adoptadas en
línea con las estrategias y objetivos de la Entidad, garantizando: la supervisión de los procesos de manera
efectiva y transparente, el cumplimiento con los requerimientos regulatorios así como legales y alcanzado los
requerimientos de gobierno de la Alta Dirección.
Metas del Proceso
1. Definir el modelo para toma de decisiones a fin de lograr la efectividad de TI, su alineación con el entorno
externo e interno de la Entidad y con los requerimientos de las partes interesadas.
2. Integrar el sistema de Gobierno de TI al modelo de Gobierno Corporativo de la Entidad.
3. Monitorear que el sistema de Gobierno para TI está operando de manera efectiva.
Prácticas Salidas/Productos
GG.01.01.Evaluar Sistema de Gobierno: identificar los requerimientos de las

• Manual de Gobierno
partes interesadas de la Entidad, y formalizar el modelo de Gobierno de las
Corporativo.
tecnologías de información.
GG.01.02.Orientar Sistema de Gobierno: informar el modelo de Gobierno de

TI y obtener apoyo, aceptación y compromiso de la Alta Gerencia. Guiar las • Políticas Corporativas.
estructuras, procesos y prácticas para el Gobierno de TI alineados con los • Resultados de
principios, modelos para la toma de decisiones y niveles de autoridad Comunicación.
definidos.
GG.01.03.Supervisar Sistema de Gobierno: supervisar la ejecución y la

efectividad del Gobierno de TI. Analizar si el sistema de gobierno y los
• Prácticas de Supervisión.
mecanismos implementados (incluyendo estructuras, principios y procesos)
• Resultados de Supervisión.
está operando de forma efectiva y proporcionan una supervisión apropiada a
las tecnologías de información.
Dominio: Gestionar Gobierno GG.02. Optimizar Riesgos
Descripción del Proceso: asegurar que el apetito y la tolerancia al riesgo de la Entidad sean entendidos,
articulados y comunicados. Asegurar que los riesgos relacionados con las tecnologías de la información sean
oportunamente identificados, evaluados y tratados apropiadamente
Objetivo del Proceso: asegurar que los riesgos relacionados con las tecnologías de información no excedan,
el apetito ni la tolerancia al riesgo de la Entidad. Así mismo, que el impacto de los riesgos de tecnología de
información sean identificados, gestionados y tratados a un nivel aceptable.
Metas del Proceso
1. Definir y comunicar los umbrales de riesgos (apetito de riesgo) relacionados con tecnología de información.
2. Gestionar (identificar, evaluar y tratar) los riesgos relacionados con tecnología de información de forma
eficaz y eficiente.
Prácticas Salidas
GG.02.01.Evaluar Gestión de Riesgos: examinar y evaluar continuamente el

efecto del riesgo sobre el uso actual y futuro de las tecnologías de • Declaración del Apetito de
información. Analizar si el apetito de riesgo es apropiado y si los riesgos de TI Riesgo.
son identificados y gestionados.
GG.02.02.Orientar Gestión de Riesgos: establecer prácticas de gestión de

riesgos para otorgar certeza razonable que los niveles de riesgos son • Políticas de Evaluación y
apropiados y que éstos no excedan el apetito de riesgo aprobado por la Alta Gestión de Riesgos.
Dirección.
GG.02.03.Supervisar Gestión de Riesgos: supervisar los objetivos y las

métricas claves de los procesos de gestión de riesgos y establecer cómo las
• Resultados de Supervisión.
desviaciones serán identificadas, seguidas e informadas para su resolución.
Dominio: Gestionar Gobierno GG.03.Garantizar Transparencia a las Partes Interesadas
Descripción del Proceso: asegurar que la medición y la elaboración de informes, en cuanto a conformidad así
como desempeño de TI, son transparentes, y cuentan con aprobación de las metas, las métricas y las acciones
correctivas necesarias por parte de los Interesados Claves.
Objetivo del Proceso: asegurar que la comunicación con las partes interesadas sea efectiva, oportuna y se ha
establecido una base para la elaboración de informes para mejorar/monitorear el desempeño, identificar áreas
susceptibles de mejora y confirmar que las estrategias u objetivos relacionados con TI concuerdan con la estrategia
de la Entidad.
Metas del Proceso
1. Cumplir con los requisitos de informes demandados por los Interesados Claves.
2. Elaborar informes completos, oportunos y precisos.
3. Comunicar los requisitos de los Interesados Clave de manera eficaz.
Prácticas Salidas
GG.03.01.Evaluar Requisitos de Informes de las Partes Interesadas:

analizar y evaluar continuamente los requisitos de comunicación con las • Declaración de Transparencia a
partes interesadas, incluyendo la elaboración de informes y el cumplimiento las Partes Interesadas.
de requisitos obligatorios (p. ej. de regulación).
GG.03.02.Orientar Comunicación con Partes Interesadas y Elaboración

de Informes: garantizar el establecimiento de un proceso de comunicación y
• Políticas de Transparencia a las
reporte eficaz, incluyendo mecanismos para asegurar la calidad e integridad
Partes Interesadas.
de la información, el monitoreo de la elaboración de reportes y la definición de
una estrategia de comunicación apropiada con las partes interesadas.
GG.03.03.Supervisar Comunicación con Partes Interesadas: supervisar la

eficacia de la comunicación con las partes interesadas. Evaluar los
mecanismos adoptados para lograr la precisión, la fiabilidad, la eficacia y
• Resultados de la Supervisión.
determinar el grado de cumplimiento de las expectativas de los interesados
claves.
PLANIFICAR Y ORGANIZAR (PO)
01. Definir Marco de Gestión.

02. Gestionar Estrategia.
03. Gestionar Arquitectura.
04. Gestionar Presupuesto.
05. Gestionar Recursos Humanos.
06. Gestionar Acuerdos de Servicios.
07. Gestionar Proveedores.
08. Gestionar Seguridad.
Dominio: Planificar y Organizar PO.01.Definir Marco de Gestión
Descripción del Proceso: definir y mantener el Marco de Gestión de TI, incluyendo el diseño e implementación de un
modelo organizacional, alineado con las necesidades de la Entidad. Implementar y mantener mecanismos así como roles
para gestionar la información y la utilización de los recursos de TI a fin de apoyar los objetivos de gobierno, alineados con
las políticas corporativas y los principios rectores.
Objetivo del Proceso: proporcionar un enfoque de gestión consistente que permita cumplir los requisitos de
gobierno y control e incluya procesos de gestión, estructuras organizacionales, roles y responsabilidades
organizativos, habilidades y competencias claramente definidas.
Metas del Proceso
1. Definir y mantener un conjunto eficaz de políticas, procedimientos y modelos organizacionales de TI.

2. Divulgar las políticas, procedimientos o modelos organizacionales de TI.
3. Gestionar (ejecutar, monitorear o controlar y actualizar) las políticas, procedimientos o modelos
organizacionales de TI.
Prácticas Salidas
• Modelo Organizacional
PO.01.01.Definir la Estructura Organizativa: definir e implementar una
(Organigrama).
estructura organizativa interna, alineada con las necesidades del negocio y las
• Comité de Dirección y
prioridades de tecnología de información, que gestione la toma de decisiones
Planificación de los Servicios
de forma eficaz y eficiente.
de TI.
PO.01.02.Establecer los Roles, las Responsabilidades y las Funciones:

establecer, acordar y comunicar roles, responsabilidades y funciones del • Manual de Funciones, Roles
personal, los cuales soporten los objetivos generales del negocio y cumplan y Responsabilidades.
con los principios de autoridad, responsabilidad y rendición de cuentas.
PO.01.03.Definir y Mantener las Políticas: establecer y mantener políticas

que permitan gestionar y controlar los procesos de tecnología de información, • Políticas de Tecnología
garantizar que estén integrados y alineados con la filosofía así como el estilo Informática.
de gobierno y de gestión de la Entidad.
PO.01.04.Comunicar los Objetivos y la Dirección de Gestión: comunicar

oportunamente y adecuadamente, a las partes interesadas, los objetivos, • Resultados de
metas, planes y directrices de la tecnología de información, aprobados por la Comunicación.
Alta Dirección.
PO.01.05.Optimizar la Ubicación de la Función de TI: designar formalmente
al responsable de Tecnología de Información y posicionar el área, en la
estructura organizativa global, reportando a la Alta Gerencia, reflejando su
(Organigrama).
importancia para la organización y considerando su criticidad para la
estrategia empresarial.
PO.01.06.Definir la Propiedad de Información y/o Sistemas: designar a los

propietarios de información y/o sistemas y asegurar que los mismos cumplan
• Propietarios de Información
activamente su rol, incluyendo la toma de decisiones sobre la clasificación de
y/o Sistemas (Designados).
la información y/o los sistemas y la protección de los mismos, alineados con el
nivel de criticidad asignado a dichos activos.
PO.01.07. Mantener el Cumplimiento de las Políticas y Procedimientos:

implementar procedimientos para mantener el cumplimiento y la medición del
cumplimiento de las políticas y/o procedimientos. Seguir las tendencias y • Plan de Mejora y Corrección
considerarlos en el diseño futuro o de mejora continua del marco de gobierno
y control interno.
PO.01.08. Optimizar la Ubicación de la Función de SI: designar

formalmente al responsable de la Seguridad de Información (física y lógica) y
(Organigrama).
posicionar el área en la estructura organizativa global reportando a la Alta
• Manual de Funciones, Roles
Gerencia. Las responsabilidades del gestor de la seguridad de información
y Responsabilidades.
deben ser establecidas en el ámbito de la Entidad en su conjunto.
Dominio: Planificar y Organizar PO.02.Gestionar Estrategia
Descripción del Proceso: proporcionar una visión integral de la Entidad y del entorno de tecnología de
información, la dirección futura, y las iniciativas necesarias para migrar al entorno deseado. Aprovechar los
componentes de la estructura Empresarial, incluyendo los servicios externos y las capacidades relacionadas
que permitan una respuesta ágil, confiable y eficiente para el logro de los objetivos estratégicos.
Objetivo del Proceso: alinear los planes estratégicos de tecnología de información con los objetivos de la
Entidad. Comunicar claramente, a los interesados claves, los objetivos de TI, incluyendo la identificación de las
opciones estratégicas, estructuradas e integradas con los planes de la Entidad.
Metas del Proceso
1. Alinear la estrategia de TI con la estrategia de la Entidad.

2. Definir una estrategia de TI apropiada, realista, factible y enfocada a los objetivos generales de la Entidad.
3. Establecer objetivos que sean claros, concretos, medibles y trazables.
4. Difundir apropiadamente la estrategia de TI y asignar responsabilidades para su ejecución.
Prácticas Salidas
PO.02.01.Desarrollar la Planificación Estratégica de TI: desarrollar un plan

estratégico el cual contemple la manera como los objetivos de TI contribuirán
al logro de los objetivos de la Entidad. Contemplar las diferentes instancias del • Plan Estratégico de TI.
proceso de planificación estratégica, incluyendo: la evaluación del entorno, • Portafolio de Proyectos.
capacidades y rendimientos actuales, la definición del nivel objetivo deseado,
el análisis de brechas y el desarrollo del plan.
PO.02.02.Comunicar la Estrategia y la Dirección de TI: comunicar y crear

conciencia acerca de los objetivos de TI, así como su grado de integración con • Resultados de
los objetivos de la Entidad, a través de comunicaciones a los Interesados Comunicación.
Claves y a los usuarios de toda la Entidad.
PO.02.03. Monitorear la Planificación Estratégica de TI: asegurar que el

proceso de planificación cumpla con los objetivos establecidos y aprobados,
realizando revisiones frecuentes de los logros alcanzados e implementando • Plan Estratégico de TI.
acciones de mejoras oportunas. Adecuar el Plan a los cambios originados en (Actualizado)
el entorno de tecnología de información, así como las modificaciones en los
planes u objetivos de la Entidad.
Dominio: Planificar y Organizar PO.03.Gestionar Arquitectura
Descripción del Proceso: establecer una arquitectura común integrada por los procesos, las aplicaciones y
las capas de arquitectura tecnológica que utilizan los datos corporativos. Definir las normas, las directrices, los
procedimientos, las plantillas y las herramientas para la gestión de datos y la información, proporcionando un
vínculo entre estos componentes.
Propósito del Proceso: representar a los diferentes esquemas de datos, sus interrelaciones, así como los
principios rectores de su diseño y evolución en el tiempo, permitiendo una entrega estándar, sensible y eficiente
de los objetivos operativos y estratégicos.
Metas del Proceso
1. Gestionar en forma eficiente y segura el diccionario de datos corporativo y las reglas de sintaxis.
2. Mantener actualizado el diccionario de datos corporativo y las reglas de sintaxis.
Prácticas Salidas
PO.03.01.Definir la Arquitectura de TI: definir e implementar un Modelo de • Diccionario de Datos

Datos que permita identificar las capas de arquitectura tecnológica que utilizan Corporativo y Reglas de
los datos corporativos. Definir las normas, las directrices, los procedimientos, Sintaxis.
las plantillas y las herramientas para la gestión de datos y la información • Esquema de Clasificación de
relacionada, proporcionando un vínculo entre estos componentes. Información.
PO.03.02. Actualizar la Arquitectura de TI: mantener actualizado el Modelo • Diccionario de Datos

de Datos incluyendo las capas de arquitectura tecnológica que utilizan los Corporativo y Reglas de
datos corporativos. Actualizar las normas, las directrices, los procedimientos, Sintaxis (actualizado).
las plantillas y las herramientas para la gestión de datos y la información • Esquema de Clasificación de
relacionada, proporcionando un vínculo entre estos componentes. Información (actualizado).
Dominio: Planificar y Organizar PO.04.Gestionar Presupuesto
Descripción del Proceso: gestionar las actividades de presupuesto, relacionadas con las tecnologías de
información, desde la priorización del gasto o de la inversión, mediante el uso de prácticas presupuestarias
formales, hasta la registración y monitoreo de las mismas. Coordinar con las partes interesadas la
identificación y el control de los costos e inversiones en el contexto de los planes estratégicos y tácticos de TI, e
iniciar acciones correctivas cuando sea necesario.
Objetivo del Proceso: catalizar el uso eficaz y eficiente de los recursos financieros relacionados con las
tecnologías de información y brindar transparencia al proceso. Monitorear y tomar decisiones informadas con
respecto a la utilización de los recursos financieros para la implementación de soluciones y servicios de
tecnología de información.
Metas del Proceso
1. Aprobar un presupuesto que refleje adecuadamente los gastos e inversiones requeridas para desarrollar los
proyectos de tecnología de información priorizados y aprobados.
2. Priorizar la asignación de los recursos financieros, para las iniciativas de tecnología de información,
basándose en necesidades y objetivos de la Entidad.
3. Comparar en forma oportuna la utilización eficiente de los recursos presupuestarios asignados a tecnología
de información.
Prácticas Salidas
PO.04.01.Priorizar la Asignación de Recursos: definir las guías para las • Acta de Aprobación del
inversiones o gastos de tecnología de información; priorizar y aprobar la Comité de Tecnología.
asignación de recursos financieros, considerando los proyectos identificados, • Guías para Inversiones de
aprobados e incluidos en la cartera de proyectos (portafolio) de la Entidad. TI.
PO.04.02.Crear y Mantener el Presupuesto: elaborar, mantener, aprobar y

actualizar el Presupuesto de TI, priorizando la inversión en función a la • Presupuesto de TI.
cartera de proyectos aprobados y los objetivos estratégicos de la Entidad.
PO.04.03. Monitorear el Presupuesto: establecer y mantener un método de

contabilización de gastos, inversiones y depreciaciones, relacionadas con • Procedimiento de Gestión
tecnología de información, como parte integral del sistema financiero y del Presupuesto de TI.
contable de la Entidad. Capturar y asignar los gastos e inversiones reales, • Informe de Ejecución
analizar las desviaciones contra lo presupuestado e informar y justificar los Presupuestaria.
mismos utilizando los sistemas para la medición financiera de la Entidad.
Dominio: Planificar y Organizar PO.05.Gestionar Recursos Humanos
Descripción del Proceso: proporcionar un enfoque adecuado para garantizar una óptima estructuración,
ubicación, capacidades de decisión y habilidades de los recursos humanos. Comunicar las funciones y
responsabilidades definidas, la formación y los planes de desarrollo personal así como las expectativas de
desempeño, con el apoyo de gente competente y motivada.
Objetivo del Proceso: optimizar las capacidades de los recursos humanos asignados a los procesos de
tecnología de información con la finalidad de cumplir con los objetivos de la Entidad.
Metas del Proceso
1. Contribuir al logro de las metas de tecnología de información contando con recursos flexibles, capacitados y
motivados.
2. Gestionar en forma eficaz y eficiente los recursos humanos asignados a los proyectos de tecnologías de
información.
Prácticas Salidas
PO.05.01.Identificar al Personal Clave y de Respaldo: identificar el personal

clave y de respaldo para reducir al mínimo la dependencia de una sola persona
• Personal Clave y de
en la realización de una función crítica de trabajo mediante la captura de
Respaldo. (Identificados)
conocimiento (documentación), el intercambio de conocimientos, la planificación
de la sucesión y el respaldo (backup) del personal.
PO.05.02.Mantener las Habilidades y las Competencias del Personal: • Manual de Funciones,

definir y gestionar las habilidades y las competencias necesarias del personal. Roles y Responsabilidades
Verificar regularmente que el personal tenga la capacidad necesaria para (Habilidades y
cumplir con sus funciones sobre la base de la educación, formación y/o Competencias)
experiencia y verificar que estas competencias se mantengan u optimicen en el • Planes y Programas de
tiempo aplicando programas de capacitación y de entrenamiento. Capacitación.
PO.05.03. Evaluar el Desempeño Laboral del Personal: realizar evaluaciones

periódicas acerca del cumplimiento de los objetivos de desempeño individual,
las normas establecidas, las responsabilidades específicas del trabajo y el • Informe de Evaluación de
marco de habilidades o competencias. Comunicar al personal los resultados de Desempeño.
la evaluación del desempeño y establecer planes de acción o corrección
oportunos.
Dominio: Planificar y Organizar P0.06.Gestionar Acuerdos de Servicios
Descripción del Proceso: alinear los niveles de servicios de TI con las necesidades y expectativas de la
Entidad, incluyendo la identificación, la especificación, el diseño, la publicación, el acuerdo y la supervisión de
los niveles de servicio e indicadores de rendimiento.
Objetivo del Proceso: asegurar que los servicios de tecnología de información cubren los niveles de servicios
y necesidades presentes así como futuras de la Entidad.
Metas del Proceso
1. Definir y formalizar acuerdos de servicio que reflejen las capacidades y necesidades de tecnología de
información requeridas por la Entidad para el cumplimiento de las metas empresariales.
2. Monitorear que los servicios de tecnología de información tengan un desempeño acorde con lo estipulado
en los acuerdos de servicio.
Prácticas Salidas
PO.06.01.Identificar los Servicios: analizar los requerimientos de la Entidad

así como el modo en que los servicios de tecnología de información soportan
• Catálogo de Servicios de
los procesos del negocio. Discutir y acordar con los Interesados Claves los
TI.
servicios potenciales requeridos y sus correspondientes niveles de prestación
requeridos.
PO.06.02.Identificar, Definir y Preparar los Acuerdos de Servicio: definir y

• Acuerdos Nivel de Servicio
formalizar acuerdos de servicio basándose en los servicios de tecnología de
(ANSs).
información identificados y acordados con los Interesados Claves.
• Informe de Monitoreo de
PO.06.03.Supervisar e Informar los Niveles de Servicio: supervisar los
los Niveles de Servicio.
niveles de servicio, identificar tendencias y proporcionar información adecuada
• Plan de Mejora y
para contribuir con la mejora continua en la gestión del rendimiento.
Corrección.
PO.06.04.Revisar los Acuerdos de Servicio: llevar a cabo revisiones • Acuerdos Nivel de Servicio
periódicas de los acuerdos de niveles de servicio y realizar los ajustes a los (ANSs). (Actualizado)
servicios de tecnología de información, con la finalidad de optimizar los mismos.
Dominio: Planificar y Organizar PO.07.Gestionar Proveedores
Descripción del Proceso: administrar los servicios de tecnología de información, prestados por los
proveedores, con la finalidad de satisfacer las necesidades del negocio, incluyendo la selección del proveedor,
la gestión de las relaciones, la gestión de los contratos, la revisión y supervisión del desempeño.
Objetivo del Proceso: formalizar la relación con los proveedores de servicios y minimizar el riesgo de servicios
ineficientes o insuficientes, monitoreando el desempeño de los mismos y tomando acciones correctivas
oportunas.
Metas del Proceso
1. Gestionar oportunamente los riesgos de los proveedores evaluados como críticos para las operaciones y el
cumplimiento de los objetivos de la Entidad.
2. Formalizar la relación contractual con los proveedores y asegurar la provisión de servicios de calidad.
3. Monitorear la relación contractual con proveedores así como niveles de desempeño mínimos acordados o
esperados.
Prácticas Salidas
PO.07.01.Identificar y Analizar a los Proveedores: identificar proveedores y • Catálogo de Proveedores

categorizarlos por tipo, relevancia y criticidad. Categorizados.
PO.07.02.Seleccionar a Proveedores: seleccionar a los proveedores, de

acuerdo con las políticas y procedimientos de la Entidad, las cuales garanticen • Proveedores.
la elección de aquel que mejor se adapte a los requisitos de la adquisición o (Seleccionados)
contratación.
PO.07.03.Gestionar los Contratos y las Relaciones con Proveedores: • Contrato/Orden de

formalizar y gestionar las relaciones con proveedores mediante contratos u Compra.
órdenes de compra. Gestionar, mantener y supervisar los contratos así como la • Evaluación del
entrega de los servicios. Asegurar que los nuevos contratos o los cambios se Cumplimiento de
realizan conforme a los procedimientos internos de la Entidad, las leyes y las Contrato/Orden de
regulaciones. Compra.
PO.07.04. Gestionar los Riesgos en el Suministro: identificar y gestionar los

riesgos relacionados con la capacidad de los proveedores críticos para • Evaluación de
proporcionar, de manera continua, la entrega de servicios en forma segura, Proveedores.
eficaz y eficiente.
PO.07.05.Evaluar Proveedores: revisar periódicamente el rendimiento general
• Evaluación de
de los proveedores, el cumplimiento con los requisitos contractuales así como
Proveedores.
de calidad del servicio y tratar los incidentes que sean identificados.
Dominio: Planificar y Organizar PO.08.Gestionar Seguridad
Descripción del Proceso: definir, implementar y supervisar el Sistema de Gestión de la Seguridad de la

Información (SGSI), sustentado en la identificación así como en la evaluación de los riesgos relacionados con
TI, estableciendo acciones para resolver los riesgos dentro de los niveles de tolerancia establecidos por la
Entidad.
Objetivo del Proceso: definir, operar y supervisar un sistema para la gestión de la seguridad de la información,
basado en estándares internacionales tales como ISO 27001, manteniendo el impacto y ocurrencia de los
incidentes de la seguridad de la información dentro de los niveles de tolerancia de riesgo establecidos por la
Entidad.
Metas del Proceso
1. Identificar, analizar, gestionar y reportar los riesgos de seguridad de información.

2. Implementar acciones para la gestión de riesgos de la seguridad de la información.
3. Establecer y comunicar un plan de seguridad de información para la Entidad en su conjunto.
4. Implementar soluciones de seguridad de la información en forma continua.
Prácticas Salidas
PO.08.01.Establecer y Mantener SGSI: establecer y mantener el Sistema de • Políticas de Seguridad de

Gestión de Seguridad de la Información (SGSI) que proporcione un enfoque la Información.
estándar, formal y continuo para la gestión de seguridad de la información, • Declaración de Alcance del
alineados con los requerimientos de la Entidad. SGSI.
PO.08.02.Identificar y Evaluar Riegos: recopilar datos relevantes para

• Evaluación de Riesgos de
gestionar (incluyendo la identificación, el análisis y el tratamiento) los riesgos
Seguridad de la
de seguridad de información e identificar en forma oportuna las exposiciones
Información.
que afectan a los activos tecnológicos de la Entidad.
• Plan de Tratamiento de
PO.08.03.Definir y Gestionar Plan de Tratamiento de Riesgos de Seguridad
Riesgos de Seguridad de
de la Información: desarrollar y gestionar un plan de seguridad de información
la Información.
que describa la manera como se gestionan los riesgos e implementar las
• Procedimientos de
acciones para tratar los mismos de tal forma mantener el nivel de tolerancia
Seguridad de la
aceptable definido por la Alta Dirección.
Información.
• Informe de Auditoría del

PO.08.04.Supervisar y Revisar el SGSI: monitorear regularmente el Sistema
SGSI.
de Gestión de Seguridad de la Información (SGSI) recolectando los datos o
• Revisión Periódica de
resultados que permitan medir su efectividad y corregir las no conformidades o
SGSI de la Alta Dirección.
desviaciones de control.
• Plan de Mejoras del SGSI.
ADQUIRIR E IMPLEMENTAR (AI)
01. Gestionar Proyectos.

02. Gestionar Requerimientos de Soluciones.
03. Construir y Mantener Soluciones.
04. Implementar Soluciones.
05. Gestionar Cambios.
06. Gestionar Activos.
07. Gestionar Disponibilidad y Rendimiento.
Dominio: Adquirir e Implementar AI.01.Gestionar Proyectos
Descripción del Proceso: gestionar los proyectos, incluidos en el portafolio de proyectos, en coordinación con
la estrategia de la Entidad. Iniciar, planificar, ejecutar, controlar los proyectos y cerrarlos con una revisión post-
implementación.
Objetivo del Proceso: contribuir al logro de los objetivos de la Entidad mediante la gestión de proyectos
orientados a reducir los riesgos de: retrasos, costos inesperados y deterioro de valor en los mismos. Comunicar
e involucrar, en los proyectos, a los usuarios finales asegurando el cumplimiento de las premisas de valor
agregado para la Entidad así como la calidad de los entregables.
Metas del Proceso
1. Lograr el compromiso y la participación de los Interesados Claves en los proyectos de TI.

2. Alinear el alcance y los resultados de los proyectos con los objetivos de la Entidad.
3. Lograr los resultados esperados en los proyectos de TI.
4. Ejecutar las actividades de proyectos de acuerdo a los planes previamente definidos.
5. Contar con los recursos necesarios para realizar las actividades de los proyectos de TI.
Prácticas Salidas
AI.01.01.Definir Estándar para la Gestión de Proyectos: definir un estándar,

que incluya como mínimo, el análisis de viabilidad (tecnología y económica), la
aprobación y la gestión de proyectos (inicio, gestión con partes interesadas, • Guía para Administración
desarrollo y mantenimiento del plan) que posibilite revisiones y tomas de de Proyectos.
decisión de gobierno, así como de gestión, enfocadas al cumplimiento de los
objetivos (alcance, riesgos, costos, cronograma y calidad) del proyecto.
AI.01.02.Realizar el Estudio de Viabilidad: realizar un estudio de viabilidad • Acta de Constitución del

tecnológica y económica de las probables opciones alternativas, el cual permita Proyecto.
concluir con la elección de la mejor opción para el proyecto. • Estudio de Viabilidad.
AI.01.03.Planificar el Proyecto: desarrollar una descripción detallada del

proyecto, el cual defina los límites del mismo. Definir y actualizar el plan de
• Plan y Alcance del
proyecto, el cual sirva para gestionar el proyecto durante todo el ciclo de vida
Proyecto.
del mismo e incluya métodos para monitorear los tiempos, costos y alcances
planificados y ejecutados.
AI.01.04.Gestionar la Calidad del Proyecto: preparar y ejecutar planes,

procesos y prácticas de gestión de la calidad, en el cual se describa el enfoque • Plan de Aseguramiento de
de calidad a ser adoptado en el proyecto. Revisar y acordar, con los Calidad.
Interesados Claves, el Plan de Calidad e incorporarlo al Plan del Proyecto.
AI.01.05.Gestionar los Riesgos del Proyecto: establecer programas
orientados a minimizar los riesgos específicos asociados con los proyectos
mediante un proceso sistemático de planificación, identificación, análisis, • Registro de Riesgos.
respuesta, supervisión y control de las áreas o eventos que tienen el potencial
de causar cambios no deseados.
AI.01.06.Gestionar y Controlar los Proyectos: comparar el desempeño del

• Informe de Avances del
proyecto con los criterios de rendimiento, relativos al alcance, el tiempo, la
Proyecto.
calidad, el costo, los recursos y los riesgos planificados. Evaluar el impacto y
• Solicitud de Cambio.
aprobar las desviaciones o cambios en el proyecto general e informar los
resultados a las partes interesadas.
AI.01.07.Cerrar los Proyectos: solicitar a las partes interesadas del proyecto,

• Acta de Aceptación del
al final de cada fase o, a la conclusión del proyecto, la aprobación y aceptación
Proyecto.
de los entregables generados y/o implementados.
Dominio: Adquirir e Implementar AI.02.Gestionar Requerimientos de Soluciones
Descripción del Proceso: identificar soluciones y analizar requerimientos (incluyendo aplicaciones,

información/datos, infraestructura y servicios), antes de la adquisición o creación de los mismos, para asegurar
que estén en línea con las necesidades estratégicas de la Entidad. Validar las opciones viables, incluyendo
costos, análisis de riesgo, y aprobar los requerimientos así como las soluciones propuestas.
Objetivo del Proceso: crear soluciones viables y óptimas que cumplan con las necesidades u objetivos de la
Entidad, minimizando el riesgo y optimizando los costos asociados.
Metas del Proceso
1. Satisfacer los requisitos de la Entidad al definir los requerimientos funcionales y técnicos de la solución.
2. Gestionar los riesgos asociados con los requerimientos de la Entidad y la solución propuesta.
3. Cumplir los objetivos, definidos para el caso de negocios (valor esperado y costos probables), al gestionar
los requerimientos de la solución.
Prácticas Salidas
AI.02.01.Definir y Mantener los Requerimientos Técnicos y Funcionales: • Definición de

identificar, priorizar, especificar, acordar y mantener los requerimientos de Requerimientos. (Iniciada)
información, funcionales, técnicos y de control de las soluciones (incluyendo • Criterios de Aceptación.
aplicaciones, información/datos, infraestructura y servicios) propuestas. • Solicitud de Cambio.
AI.02.02.Gestionar Riesgos de los Requerimientos: identificar, documentar,

priorizar y mitigar los riesgos funcionales y técnicos relativos al procesamiento
de la información y asociados con los requerimientos de la Entidad así como de • Registro de Riesgos.
las soluciones (incluyendo aplicaciones, información/datos, infraestructura y
servicios) propuestas.
AI.02.03.Obtener Aprobación de los Requerimientos: solicitar y obtener la

retroalimentación de los Interesados Claves y obtener la aprobación de los • Definición de
mismos con respecto a: 1) los requerimientos técnicos y/o funcionales, 2) los Requerimientos.
estudios de viabilidad, 3) los análisis de riesgos y las acciones para el (Aprobada)
tratamiento del riesgo.
Dominio: Adquirir e Implementar AI.03.Construir y Mantener Soluciones
Descripción del Proceso: diseñar, construir o adquirir soluciones de TI, alineadas con los requerimientos de la
Entidad, las cuales contemplen: el diseño, el desarrollo, la compra o contratación y asociación con proveedores
o fabricantes. Gestionar la configuración, preparación, realización de pruebas, y gestión de los requerimientos
relativos a las aplicaciones, los datos e informaciones, las infraestructuras así como los servicios de tecnología
de la información.
Objetivo del Proceso: diseñar, construir o adquirir soluciones (incluyendo aplicaciones, información/datos,
infraestructura y servicios) que permitan soportar la estrategia de negocio y objetivos operacionales de la
Entidad.
Metas del Proceso
1. Incorporar soluciones que satisfagan las necesidades de la Entidad, los requerimientos legales y minimicen
los riesgos identificados.
2. Cumplir con las normas organizativas, controles, seguridad y ‘auditabilidad’.
3. Establecer los niveles y criterios de aceptación por parte de los Interesados Claves.
4. Aprobar los cambios en los requerimientos e incorporarlos a la solución.
Prácticas Salidas
AI.03.01.Diseñar las Soluciones: desarrollar, documentar y actualizar el

• Especificaciones del
diseño de la solución de TI (aplicaciones, servicios e infraestructura), alineados
Diseño.
con la estrategia TI y de la Entidad. Incluir activamente a los Interesados
• Plan de Adquisición.
Claves en la aprobación del diseño de la solución de TI.
AI.03.02.Desarrollar las Soluciones: desarrollar los componentes de la • Componentes de la

solución de TI (software o aplicaciones) progresivamente conforme el diseño Solución (Desarrollado y
detallado, siguiendo los estándares de documentación así como la metodología Documentado).
de desarrollo de software definida y aprobada por la Entidad. Asegurar que se • Metodología de Desarrollo
consideran todos los requerimientos de control y documentación durante el de Software (Definida y
desarrollo. Aprobada)
AI.03.03. Adquirir los Componentes de la Solución: obtener los

• Componentes de la
componentes de la solución sobre la base del plan de adquisiciones, conforme
Solución. (Adquiridos)
a los requerimientos, los diseños detallados, los principios de arquitectura, los
• Inventario de Activos
estándares o procedimientos generales de adquisición de la Entidad y los
(Actualizado y
requerimientos de calidad (QA). Monitorear que todos los requerimientos
Documentado)
legales así como contractuales sean identificados y cumplidos por el proveedor.
AI.03.04.Construir las Soluciones: integrar y configurar las soluciones

(aplicaciones, servicios e infraestructura) adecuadas a los requerimientos y
• Solución Integrada y
especificaciones aprobadas del proyecto. Implementar controles, medidas de
Configurada.
seguridad y ‘auditabilidad’ para proteger los recursos de TI y garantizar la
disponibilidad e integridad de los mismos.
AI.03.05.Realizar Controles de Calidad: verificar que se cumplan los criterios
de calidad especificados en el Plan de Aseguramiento de Calidad y Definición
de Requerimientos. Ejecutar pruebas iniciales, por parte del equipo de TI, para • Resultados de la Revisión
validar los componentes, individualmente así como de la solución integrada y de Calidad.
de las funcionalidades que soportan los servicios, aplicaciones e infraestructura. • Solicitud de Cambio.
Identificar, registrar y priorizar los errores e incidentes detectados durante las
pruebas.
AI.03.06.Mantener las Soluciones: diseñar, desarrollar y ejecutar un plan para

el mantenimiento de la solución de TI (aplicaciones, infraestructura y servicios)
que incluya revisiones periódicas respecto a las necesidades de negocio y
• Plan de Mantenimiento.
requerimientos operacionales tales como la gestión de parches, estrategias de
actualización, riesgos, análisis de vulnerabilidades y requerimientos de
seguridad.
Dominio: Adquirir e Implementar AI.04.Implementar Soluciones
Descripción del Proceso: aceptar formalmente y hacer operativas las nuevas soluciones de TI, incluyendo la
planificación de la implementación, la conversión de los datos y los sistemas (cuando sea aplicable), las
pruebas de aceptación, la comunicación, la capacitación a usuarios, el paso a producción y la revisión post-
implementación de la solución.
Objetivo del Proceso: implementar soluciones de forma segura, alineadas con las expectativas y los
resultados acordados con los Interesados Claves.
Metas del Proceso
1. Aceptar y aprobar formalmente las soluciones de TI, por parte de los Interesados Claves.
2. Transferir, al entorno de producción, las soluciones de TI en forma segura y monitorear el desempeño de
las mismas.
3. Registrar las lecciones aprendidas y contemplar su impacto en el desarrollo de futuros proyectos de TI.
Prácticas Salidas
AI.04.01.Elaborar el Plan de Implementación: diseñar un plan de
implementación, aprobado por los Interesados Claves, que cubra al menos: la
conversión de datos y sistemas (cuando sea aplicable), los criterios de
aceptación de las pruebas, la comunicación, el entrenamiento de usuarios, la • Plan de Implementación.
preparación para la implementación, el paso a producción, el soporte inicial en
producción, el plan de vuelta atrás o de contingencia y la revisión post-
implementación.
AI.04.02.Planificar la Conversión de Sistemas y Datos: preparar la migración

de los datos y/o sistemas que impacten en los procesos de negocio, los servicios
• Plan de Migración.
y la infraestructura de TI, de acuerdo a la metodología de desarrollo de software
de la Entidad.
AI.04.03. Planificar las Pruebas de Aceptación: establecer un plan de

pruebas, aprobado por los Interesados Claves, basado en estándares de la • Plan de Pruebas.
Entidad. El plan debe definir roles, responsabilidades, casos de negocio, y (Aprobado)
criterios de entrada/salida a ser considerados en las pruebas de aceptación.
AI.04.04.Establecer el Entorno de Pruebas: definir y establecer un entorno

seguro y segregado, independiente al de producción, para realizar las pruebas;
• Entornos y Datos de
el mismo debe ser representativo del proceso de negocio y el entorno de
Prueba.
operaciones de TI, en cuanto a rendimiento y capacidad, seguridad, control
interno, prácticas de operación, calidad de datos y requisitos de privacidad.
AI.04.05.Ejecutar las Pruebas de Aceptación: ejecutar el plan de pruebas de
aceptación para validar los componentes individualmente y/o de la solución
integrada, incluyendo las funcionalidades que soportan los procesos de negocio, • Registro de Pruebas.
los servicios, las aplicaciones e infraestructura. Hacer partícipes a los • Solicitud de Cambio.
Interesados Claves en las pruebas e identificar, registrar y priorizar los errores
así como incidentes detectados durante el proceso.
AI.04.06.Transferir a Producción: realizar el pase a producción de las

soluciones, aceptadas por los Interesados Claves. Ejecutar la puesta en marcha
de acuerdo con la estrategia de implantación adoptada por la Entidad • Solicitud de Paso a
manteniendo los protocolos de seguridad así como de segregación de funciones. Producción.
Restaurar el entorno original, en caso que se dieran problemas significativos, de
acuerdo al plan de vuelta atrás o contingencia.
AI.04.07.Entregar Soporte: capacitar en la solución de TI implementada a los

usuarios y al personal de tecnología informática. Proporcionar soporte a los
• Plan de Soporte.
usuarios y a las operaciones de TI durante un periodo de tiempo acordado con
• Manual de Usuario.
los Interesados Claves para tratar cualquier incidencia y estabilizar la nueva
solución.
AI.04.08.Realizar la Revisión Post-implementación: realizar revisiones post-

implementación para confirmar salidas y resultados obtenidos de la solución • Informe Post-
implementada; identificar lecciones aprendidas y desarrollar acciones Implementación.
correctivas. Evaluar y verificar el rendimiento actual y las salidas con respecto a • Solicitud de Cambio.
los resultados previstos o planificados.
Dominio: Adquirir e Implementar AI.05.Gestionar Cambios
Descripción del Proceso: gestionar los cambios requeridos a las soluciones de TI (aplicaciones, servicios e
infraestructura) de forma controlada. Diseñar, implementar y ejecutar procedimientos de cambio durante las
distintas etapas del proceso, incluyendo la solicitud, el análisis de impacto, la priorización, la autorización, la
ejecución, el cierre y el monitoreo o seguimiento y la documentación.
Objetivo del Proceso: gestionar los cambios en los recursos de tecnología de información en forma eficaz,
eficiente, segura y fiable para la Entidad, mitigando cualquier riesgo que impacte negativamente en la
estabilidad e integridad del entorno en cual se aplica el cambio.
Metas del Proceso
1. Autorizar los cambios y realizarlos de acuerdo a sus cronogramas respectivos y con mínimos errores.
2. Evaluar el impacto y el efecto de los cambios en los componentes de TI afectados.
3. Revisar y aprobar los cambios de emergencia en forma oportuna y apropiada.
4. Informar a los Interesados Claves sobre las etapas y/o resultados del proceso de gestión de cambios.
Prácticas Salidas
AI.05.01.Evaluar, Priorizar y Autorizar las Solicitudes de Cambio: evaluar las

solicitudes de cambio y determinar su impacto en las soluciones de TI
(aplicaciones, servicios, software base e infraestructura). Documentar los • Solicitud de Cambio
cambios en sus distintas fases de ejecución incluyendo: la registración, la (Aprobadas)
priorización, la categorización, el análisis, la autorización y la planificación de los
cambios.
AI.05.02. Gestionar los Cambios de Emergencia: gestionar los cambios de

emergencia utilizando procedimientos que minimicen las incidencias y permitan
• Informe y Revisión
controlarlo en forma segura. Verificar los reportes de incidencia y corroborar que
Cambios de Emergencia.
estén debidamente formalizados, autorizados, analizados y aprobados una vez
realizado el cambio.
AI.05.03.Realizar Seguimiento e Informar los Cambios de Estado: dar

seguimiento al estado de las solicitudes de cambios (solicitadas, aprobadas, • Informe de Estado de
autorizadas, implementadas y cerradas) y tomar decisiones correctivas en cada Solicitud de Cambio.
caso de tal forma gestionar oportunamente las mismas.
AI.05.04.Cerrar y Documentar los Cambios: actualizar la documentación de la

solución implementada así como los procedimientos a los que afecta el cambio. • Solicitud de Cambio.
Actualizar el estado de la solicitud de cambio en caso que la solución no haya (Actualizada)
sido implementada.
Dominio: Adquirir e Implementar AI.06.Gestionar Activos
Descripción del Proceso: gestionar el ciclo de vida de los activos de TI mediante el diseño e implementación
de procedimientos que permitan la actualización de la información relativa a dichos activos (propietario del
activo, costo, número identificación, ubicación, entre otros), protección y utilización adecuada de los mismos.
Objetivo del Proceso: mantener un registro actualizado de los activos de TI, el cual permita individualizar,
clasificar, valorizar claramente los mismos, y optimizar el valor de dichos activos.
Metas del Proceso
1. Mantener los activos de TI identificados y en condiciones óptimas.

2. Mantener actualizado, en forma oportuna e íntegra, el registro de los activos de TI.
3. Disponer de un registro actualizado de licencias de software alineadas con las necesidades de la Entidad.
Prácticas Salidas
AI.06.01.Identificar y Registrar Activos: mantener un registro actualizado y

preciso de todos los activos de TI para la prestación del servicio de tecnología de • Inventario de Activos.
información.
AI.06.02.Gestionar Ciclo de Vida de Activos: gestionar los activos desde su

• Inventario de Activos.
adquisición hasta su desafectación, permitiendo la utilización eficaz y eficiente
(Actualizado)
así como la protección física de los mismos.
AI.06.03.Administrar Licencias: administrar las licencias de software de forma

que se mantenga el número óptimo para soportar los requerimientos de negocio.
• Inventario de Licencias.
Garantizar que el número de licencias, propiedad de la Entidad, sea suficiente
para cubrir/respaldar el software instalado y/o en uso.
Dominio: Adquirir e Implementar AI.07.Gestionar Disponibilidad y Rendimiento
Descripción del Proceso: evaluar el rendimiento actual y la previsión de necesidades futuras de servicios de
TI (aplicaciones e infraestructura) basadas en los requerimientos del negocio, el análisis del impacto en la
Entidad y la evaluación del riesgo, a fin de planificar e implementar acciones tendientes a lograr los niveles de
requerimientos mínimos identificados.
Objetivo del Proceso: mantener la disponibilidad del servicio, gestionar en forma eficiente de recursos y
optimizar el rendimiento de las soluciones de TI mediante el análisis y la predicción de los requerimientos de
capacidad necesaria a futuro.
Metas del Proceso
1. Anticipar los requerimientos de la Entidad en cuanto a las necesidades de procesamiento crítico.

2. Cumplir con los niveles de disponibilidad y rendimiento requeridos por la Entidad.
3. Resolver oportunamente los incidentes de disponibilidad y de rendimiento.
Prácticas Salidas
AI.07.01.Evaluar la Capacidad y Rendimiento: evaluar que los activos críticos

de TI estén respaldados por una capacidad de procesamiento y almacenamiento
adecuadamente dimensionada para responder a los requerimientos de • Evaluación de Capacidad
capacidad y de rendimiento definidos por la Entidad. Realizar las inversiones y Rendimiento.
necesarias para minimizar los riesgos de recursos insuficientes o la consecuente
degradación de la calidad del servicio de TI.
AI.07.02.Evaluar el Impacto en el Negocio: identificar los procesos críticos

• Evaluación de Impacto en
para la Entidad, mapear los mismos con los servicios y recursos TI a efectos de
el Negocio.
evaluar el impacto de “no disponibilidad” y/o falta de capacidad de los mismos.
AI.07.03.Planificar los Requisitos de Servicios: planificar y priorizar acciones

• Plan de Capacidad.
para responder a los requerimientos de disponibilidad, capacidad y rendimiento
• Plan de Disponibilidad.
en los servicios de TI (aplicaciones, servicios e infraestructura).
AI.07.04.Monitorear la Disponibilidad y el Rendimiento: supervisar, medir, • Reporte de Monitoreo

analizar, informar y revisar la disponibilidad y el rendimiento de los recursos de (Disponibilidad y
TI (aplicaciones, servicios e infraestructura). Identificar las desviaciones con Rendimiento)
respecto a los niveles mínimos necesarios y desarrollar acciones correctivas o • Plan de Mejora y
preventivas. Corrección.
ENTREGAR SERVICIO Y DAR SOPORTE (ES)
01. Gestionar Operaciones.

02. Gestionar Solicitudes e Incidentes de Servicio.
03. Gestionar Problemas.
04. Gestionar Continuidad.
05. Gestionar Servicios de Seguridad.
06. Gestionar Controles de Procesos.
Dominio: Entregar Servicio y Dar Soporte ES.01.Gestionar Operaciones
Descripción del Proceso: coordinar y ejecutar procedimientos operativos para entregar los servicios de
tecnología de información garantizando que las funciones de TI se ejecutan con normalidad, en forma ordenada
y segura.
Objetivo del Proceso: entregar los resultados del servicio operativo de TI según lo planificado.
Metas del Proceso
1. Programar las actividades operativas de TI y ejecutar las mismas en forma segura.

2. Documentar y formalizar los resultados o salidas resultantes de las actividades operativas de TI.
3. Monitorear, medir, reportar y corregir las actividades operativas de TI.
Prácticas Salidas
ES.01.01.Ejecutar los Procedimientos Operativos: programar y ejecutar las

tareas operativas (incluyendo el tratamiento y retención de las salidas) en forma • Programación Operativa.
confiable y segura, formalizadas en procedimientos utilizados para operar los • Registro de Operaciones.
recursos y servicios de TI.
ES.01.02.Monitorear los Servicios Tercerizados de TI: monitorear y controlar

la operación de servicios tercerizados con el objetivo de mantener la protección • Registro de Eventos.
de la información y la confiabilidad de la entrega del servicio.
ES.01.03.Supervisar la Infraestructura de TI: supervisar los eventos

relacionados con la infraestructura TI. Almacenar información cronológica en los
• Registro de Eventos.
registros de operaciones para realizar la reconstrucción, la revisión y el análisis
de los mismos.
ES.01.04.Gestionar las Instalaciones: gestionar las instalaciones de TI

• Plan de Mantenimiento de
ejecutando acciones orientadas a prevenir, mitigar y corregir eventos causados
las Instalaciones.
por factores medioambientales o humanos. Desarrollar acciones correctivas
• Pólizas de Seguro.
oportunas o de mejora para mitigar los riesgos y cumplir con los requerimientos
• Plan de Mejora y
legales, regulatorios, técnicos, necesidades de la Entidad, aspectos de salud y
Corrección.
seguridad en el trabajo aplicables a las instalaciones de TI.
Dominio: Entregar Servicio y Dar Soporte ES.02.Gestionar Solicitudes e Incidentes de Servicio
Descripción del Proceso: responder en forma oportuna y efectiva a las solicitudes de los usuarios resolviendo
los servicios solicitados. Gestionar los incidentes mediante el registro, la investigación, el diagnostico, el
escalamiento y el cierre de los mismos.
Objetivo del Proceso: lograr una mayor productividad y minimizar las interrupciones mediante la rápida
resolución de consultas de usuario e incidentes.
Metas del Proceso
1. Cumplir con los niveles de disponibilidad de servicios requeridos por la Entidad.

2. Resolver los incidentes de servicios en forma eficiente y eficaz, cumpliendo los niveles acordados.
3. Incrementar la productividad de los servicios de TI.
4. Identificar incidentes que puedan afectar potencialmente la seguridad y/o el desempeño de los servicios de
TI.
Prácticas Salidas
ES.02.01.Definir la Clasificación de Incidentes y Solicitudes de Servicio:

• Esquema de Clasificación
definir esquemas y modelos de clasificación de incidentes y solicitudes de
y Priorización.
servicio.
• Registro de Incidentes.
ES.02.02.Registrar, Clasificar y Priorizar los Incidentes y las Solicitudes de
(Iniciado)
Servicio: identificar, registrar y clasificar las solicitudes de servicio e incidentes,
• Solicitud de Servicio.
y asignar una prioridad según la criticidad y los acuerdos de servicios.
(Iniciada)
ES.02.03.Verificar, Aprobar y Resolver las Solicitudes de Servicio: utilizar

• Solicitud de Servicio
procedimientos adecuados para verificar que las solicitudes de servicio cumplan
(Aprobada y Ejecutada)
con los criterios definidos.
ES.02.04.Investigar, Diagnosticar y Escalar los Incidentes: identificar y

registrar indicios de incidentes, determinar posibles causas y asignar recursos
(Diagnosticado)
para su resolución.
ES.02.05.Resolver los Incidentes: documentar, solicitar y aprobar las
• Registro de Incidentes
soluciones identificadas o temporales; ejecutar acciones de recuperación para
(Resuelto).
restaurar el servicio TI afectado.
ES.02.06.Cerrar los Incidentes y las Solicitudes de Servicio: verificar la
(Cerrado)
resolución de incidentes, el cumplimiento satisfactorio de solicitudes y cerrarlas
oportunamente.
(Cerrada)
ES.02.07.Realizar el Seguimiento de los Incidentes y las Solicitudes de

Servicios: hacer seguimiento, analizar e informar los incidentes y las tendencias • Informe de Incidentes y
de cumplimiento de las solicitudes proporcionando información para la mejora Solicitudes de Servicios.
continua.
Dominio: Entregar Servicio y Dar Soporte ES.03.Gestionar Problemas
Descripción del Proceso: identificar y clasificar los problemas así como sus causas de origen, proporcionando
resolución en tiempo para prevenir incidentes recurrentes y establecer recomendaciones de mejora.
Objetivo del Proceso: incrementar la disponibilidad, mejorar los niveles de servicio de tecnología de
información, reducir costos, y mejorar el nivel de satisfacción del usuario final reduciendo el número de
problemas operativos de TI.
Metas del Proceso
1. Garantizar que los problemas relativos a TI son resueltos de manera que no sean reincidentes.
2. Identificar problemas que puedan afectar potencialmente la seguridad y/o el desempeño de los servicios de
TI.
Prácticas Salidas
• Esquema de Clasificación
ES.03.01.Identificar y Clasificar los Problemas: definir e implementar
y Priorización.
procedimientos para detectar e informar los problemas identificados, incluyendo
• Registro de Problemas.
la clasificación, la categorización y la priorización de los mismos.
(Iniciado)
ES.03.02.Investigar y Diagnosticar los Problemas: investigar, diagnosticar,

analizar y valorar las causas de origen de los problemas reportados en los
(Solución y Diagnóstico)
servicios de TI. Crear registros y diagnosticar las soluciones apropiadas.
ES.03.03.Resolver y Cerrar los Problemas: identificar e implementar las

soluciones diagnosticadas a los problemas de TI, reportadas a través del
proceso de gestión de cambios. Asegurar que el personal involucrado está al
(Cerrado)
tanto de las acciones tomadas así como de los planes desarrollados para
prevenir que vuelvan a ocurrir.
Dominio: Entregar Servicio y Dar Soporte ES.04.Gestionar Continuidad
Descripción del Proceso: evaluar, diseñar, implementar y mantener estrategias de continuidad de TI que
permitan al negocio responder a situaciones de contingencia generadas por incidentes técnicos o desastres
naturales los cuales afecten a los servicios e infraestructuras que soportan las operaciones de la Entidad.
Objetivo Específico del Proceso: mantener las operaciones críticas, así como la disponibilidad de la
información, a un nivel aceptable para la Entidad; minimizar los riesgos e impactos de una interrupción
significativa generada por una contingencia.
Metas del Proceso
1. Aumentar los tiempos de disponibilidad de los recursos de TI críticos para la Entidad.

2. Disponer de estrategias de contingencia efectivas para minimizar los tiempos de recuperación.
3. Realizar pruebas de continuidad del servicio y verificar la efectividad del plan.
4. Diseñar planes de contingencia alineados con los requisitos de la Entidad.
5. Capacitar a los Interesados Claves en el plan de continuidad de tecnología.
Prácticas Salidas
ES.04.01.Definir la Política de Continuidad de TI: definir la política de

continuidad alineada con los objetivos de la Entidad así como los requisitos de
• Política de Continuidad de
continuidad de los servicios TI y de los Interesados Claves. Establecer
TI.
claramente los objetivos generales, el alcance y el compromiso de la Alta
Dirección con respecto a la continuidad de los servicios de TI.
ES.04.02.Evaluar la Estrategia de Continuidad de TI: analizar el impacto que

una interrupción en los servicios de TI puede tener en la Entidad. Identificar los • Evaluación de Impacto en
procesos o áreas críticas así como los recursos de TI relacionados, evaluar el el Negocio.
impacto en la suspensión de los mismos y determinar la estrategia más • Estrategia de Continuidad
adecuada para gestionar la recuperación y/o continuidad ante un desastre u otro de TI.
incidente mayor.
ES.04.03.Implementar la Estrategia de Continuidad de TI: desarrollar y

formalizar un Plan de Continuidad Informática (PCI), alineado con el Plan de • Plan de Continuidad
Continuidad del Negocio (PCN), ambos basados en estrategias de continuidad Informática (PCI).
evaluadas, aprobadas e implementadas por la Entidad.
ES.04.04.Probar el Plan de Continuidad Informática: realizar regularmente

pruebas de los planes de continuidad con el objetivo de evaluar la efectividad de • Resultado de la Prueba
los mismos. Analizar los resultados de las pruebas y determinar la necesidad de del Plan de Continuidad
ajustar o adecuar las estrategias implementadas así como la documentación Informática.
correspondiente.
ES.04.05.Mantener el Plan de Continuidad Informática: revisar regularmente
los planes de continuidad para asegurar la continua capacidad, adecuación y
• Mantenimiento del Plan
efectividad de los mismos. Gestionar los cambios en el plan de acuerdo al
de Continuidad
proceso de control de cambios para asegurar que el plan de continuidad se
Informática.
mantiene actualizado y refleje permanentemente los requerimientos actuales del
negocio.
ES.04.06.Planificar y Realizar los Entrenamientos: planificar y desarrollar

sesiones formativas regulares, dirigidas a los Interesados Claves, de los planes
• Registro de Capacitación.
de continuidad informática, o procedimientos de TI, que deben ser seguidos para
lograr la recuperación de los servicios en caso de un incidente o desastre.
ES.04.07.Gestionar el Respaldo y la Restauración de Datos: implementar • Procedimientos de

procedimientos de respaldo y restauración de datos, alineados con las Respaldo y Restauración
estrategias del Plan de Continuidad Informática. Realizar el respaldo de datos e de Datos.
identificar, proteger y verificar regularmente los medios de almacenamiento para • Respaldo y Restauración
comprobar que son efectivamente utilizables. Almacenar los medios de respaldo de Datos.
en sitios seguros ubicados dentro y fuera de la Entidad. • Registro de Operaciones.
Dominio: Entregar Servicio y Dar Soporte ES.05.Gestionar Servicios de Seguridad
Descripción del Proceso: proteger los recursos tecnológicos de la Entidad considerando los pilares de
Confidencialidad, Integridad y Disponibilidad con el objetivo de mantener aceptable el nivel de riesgo de
seguridad. Establecer y mantener los roles de seguridad, privilegios de acceso de la información y realizar la
supervisión de la seguridad en forma oportuna y adecuada, de acuerdo a las políticas de seguridad.
Objetivo del Proceso: minimizar el impacto de las vulnerabilidades e incidentes operativos de seguridad en los
recursos de tecnología de información. Mantener los niveles de riesgos de seguridad dentro de los niveles de
apetito de riesgo definido y aprobado por la Alta Dirección.
Metas del Proceso
1. Identificar a los usuarios y asignar derechos de acceso de acuerdo con sus roles en la Entidad.
2. Implementar controles para proteger la información ante accesos no autorizados, daños e interferencias
mientras la misma es procesada, almacenada o transmitida.
3. Proteger la información electrónica implementando medidas de seguridad apropiadas mientras la misma es
almacenada, transmitida o destruida.
Prácticas Salidas
ES.05.01.Implementar la Protección contra Software Malicioso (malware):

• Controles y Protocolos de
implementar y mantener medidas preventivas, detectivas o correctivas efectivas
Prevención de Software
con la finalidad de proteger los sistemas de información ante el potencial impacto
Malicioso.
de software malicioso (virus, gusanos, spyware y spam).
ES.05.02.Gestionar la Seguridad de Red y Conexiones: implementar y

mantener medidas de seguridad y procedimientos apropiados para proteger la
• Controles y Protocolos de
información en todos los modos de conexión a las redes públicas y/o privadas y
Seguridad de Red y
evitar los accesos no autorizados. Definir e implementar procedimientos y
Conexiones.
protocolos para la generación, la distribución, la certificación, el almacenamiento
• Pruebas de Intrusión.
y la utilización de claves de encriptación a fin de proteger las mismas contra la
modificación y el descubrimiento no autorizado.
ES.05.03.Gestionar la Seguridad en Equipos y Dispositivos: asegurar que • Controles y Protocolos de

los equipos y dispositivos de usuario final (incluye portátiles, PCs, dispositivos Seguridad para
móviles y de red) estén protegidos mediante controles de seguridad apropiados. Dispositivos.
ES.05.04. Gestionar la Identidad y el Acceso: asegurar que los usuarios estén • Controles y Protocolos de
identificados y tengan privilegios de acceso a la información de acuerdo con las Autenticación.
políticas de la Entidad. Solicitar, a los Propietarios designados, la aprobación y • Alta, Baja y Modificación
revisión frecuente de los privilegios asignados a usuarios. Restringir el acceso y de Usuarios.
el uso de los recursos de TI mediante la implementación de mecanismos de • Revisión de Cuentas de
autenticación robustos. Usuarios.
ES.05.05.Gestionar el Acceso Físico a los Activos de TI: implementar y
ejecutar procedimientos para gestionar (incluye: solicitar, autorizar, registrar, • Registro de Acceso.
supervisar, otorgar, limitar y revocar) los accesos (de empleados, contratados, • Controles y Protocolos de
clientes, vendedores, visitantes) a edificios y/o oficinas de la Entidad, que estén Acceso Físico.
bajo la responsabilidad de TI.
• Procedimientos de
ES.05.06.Gestionar los Eventos de Seguridad: implementar procedimientos y
Gestión de Eventos de
herramientas para lograr que las violaciones de acceso y la actividad de
Seguridad.
seguridad son registradas automáticamente, estas son informadas, revisadas,
• Registros de Eventos de
priorizadas y mitigadas.
Seguridad.
Dominio: Entregar Servicio y Dar Soporte ES.06.Gestionar Controles de Procesos
Descripción del Proceso: definir, implementar y mantener controles apropiados para asegurar que la
información procesada u operada por los sistemas de información satisfacen todos los requerimientos
relevantes de seguridad, integridad, confidencialidad, disponibilidad y confiabilidad.
Objetivo del Proceso: diseñar, implementar y mantener controles apropiados en los activos de información
que gestionan o dan soporte a los procesos de negocio de la Entidad.
Metas del Proceso
1. Implementar controles claves para cumplir con los requerimientos de procesamiento de la información.
2. Asegurar la protección y trazabilidad de la información procesada por los sistemas de información.
Prácticas Salidas
ES.06.01.Controlar el Procesamiento de la Información: asegurar que el

procesamiento de los datos es válido, completo, preciso, oportuno y seguro. Los
• Controles Implementados
datos de las operaciones ingresadas a los sistemas de información, deben estar
en Procesos.
sujetos a controles, aprobados por las unidades funcionales, a fin de verificar la
exactitud, validez e integridad de los registros procesados.
ES.06.02. Gestionar los Errores y las Excepciones: gestionar las excepciones

y errores de los procesos, automatizados mediante los sistemas de información,
y facilitar su corrección. Incluir procedimientos para escalar la corrección de
errores y excepciones de datos, generados en los procesos de negocio.
ES.06.03. Asegurar la Protección y la Trazabilidad: asegurar que la

información, automatizada mediante los sistemas de información, sea protegida • Controles Implementados
contra el acceso no autorizado y rastreada hasta los responsables que la en Procesos.
originan.
SUPERVISAR Y MONITOREAR (SM)
01. Obtener Revisión Independiente

02. Supervisar y Monitorear Control Interno
03. Monitorear Requerimientos Externos
Dominio: Supervisar y Monitorear SM.01.Obtener Revisión Independiente
Descripción del Proceso: fortalecer y mejorar los niveles de confianza, así como de seguridad del entorno de
Control Interno Informático de la Entidad ejecutando revisiones externas independientes a intervalos regulares,
llevadas a cabo por Auditores Certificados, reconocidos y habilitados por el regulador.
Objetivo del Proceso: proporcionar transparencia, seguridad y confianza verificando los controles (existencia,
diseño y operación de los mismos) implementados por la Entidad (en los procesos de tecnología de
información), el cumplimiento con leyes y las regulaciones vigentes así como el cumplimiento con los
compromisos contractuales asumidos con proveedores.
Metas del Proceso
1. Realizar revisiones Independientes a intervalos regulares con el objetivo de identificar oportunidades para
fortalecer el entorno de Control Interno Informático.
2. Implementar acciones mitigantes como resultado de las Revisiones Independientes ejecutadas.
Prácticas Salidas
SM.01.01.Realizar Revisiones del Control Interno de TI: realizar,

mínimamente una vez al año, revisiones independientes de la Seguridad y
• Informe de Revisión
Control Interno. Emitir informes en un plazo no mayor de 24 horas, cuando se
Independiente.
trate de actos y/o hechos particularmente graves o relevantes sobre la
estabilidad de la Entidad.
SM.01.02.Realizar Revisiones de los Servicios de Proveedores Externos:

realizar, por lo menos una vez al año, revisiones independientes de los • Informe de Revisión
proveedores, contratados por la Entidad, los cuales sean considerados críticos Independiente.
para los servicios de la Entidad.
SM.01.03.Realizar Revisiones de la Efectividad de los Servicios de TI:

realizar, mínimamente una vez al año, revisiones independientes de la
efectividad de los Servicios de TI. Emitir informes en un plazo no mayor de 24
Independiente.
horas, cuando se trate de actos y/o hechos particularmente graves o relevantes
sobre la estabilidad de la Entidad.
SM.01.04.Realizar Revisiones del Cumplimiento de TI: realizar, mínimamente

una vez al año, revisiones independientes de cumplimiento con Leyes,
Regulaciones, Normativas y Compromisos Contractuales de TI. Emitir informes
Independiente.
en un plazo no mayor de 24 horas, cuando se trate de actos y/o hechos
particularmente graves o relevantes sobre la estabilidad de la Entidad.
Dominio: Supervisar y Monitorear SM.02.Supervisar y Monitorear Control Interno
Descripción del Proceso: supervisar y evaluar de forma continua el entorno de control interno de la Entidad,
incluyendo tanto autoevaluaciones como revisiones internas independientes, desarrolladas por el Auditor
Interno Informático. Facilitar a la Alta Dirección la identificación de deficiencias e ineficiencias en el control
interno y emitir recomendaciones para optimizar los riesgos asociados. Planificar, organizar y mantener normas
para la evaluación del control interno y las actividades de aseguramiento.
Objetivo del Proceso: fortalecer la transparencia del sistema de control interno y generar confianza en las
operaciones de la Entidad monitoreando la eficiencia y eficacia del entorno de control interno informático.
Metas del Proceso
1. Establecer un marco de auditoria interna informática que identifique, comunique y mitigue los riesgos.
2. Definir e implementar la función de Auditoría Interna Informática.
3. Monitorear el cumplimiento de los requisitos del sistema de control interno de la Entidad.
4. Planear y ejecutar iniciativas de aseguramiento en forma efectiva.
5. Proporcionar aseguramiento independiente acerca del diseño y operación del sistema de control interno.
Prácticas Salidas
SM.02.01.Definir Marco de la Auditoria Interna Informática: definir, aprobar y

comunicar el Estatuto de Auditoría Interna Informática, así como el Código de • Estatuto de Auditoría
Ética, los cuales deben delinear la responsabilidad, autoridad e independencia Interna Informática.
de la función, razón por la cual debe mantenerse independiente de las unidades • Código de Ética.
funciones auditadas.
• Manual de Funciones,
SM.02.02.Designar a Personal Calificado: asegurar que los Auditores Internos Roles y
Informáticos (AII) estén certificados por organismos profesionales de reconocida Responsabilidades.
trayectoria, se encuentren técnicamente calificados y tengan las habilidades así • Planes y Programas de
como los conocimientos necesarios para ejecutar sus funciones de manera
eficaz, eficiente e independiente. Capacitación.
SM.02.03.Planificar Actividades de Auditoria Interna Informática: planificar

las iniciativas de aseguramiento basándose en los objetivos de la Entidad y las • Plan de Auditoria Interna
prioridades estratégicas, riesgo inherente, restricciones de recursos y suficiente Informática.
conocimiento de la Entidad.
SM.02.04.Ejecutar Actividades de Auditoria Interna Informática: ejecutar la

auditoria planificada e informar oportunamente de los hallazgos identificados.
• Informe de Auditoria
Proveer opiniones de aseguramiento positivo, cuando sea oportuno, y
Interna Informática.
recomendaciones de mejora relativas a los riesgos residuales identificados en el
desempeño operacional, el cumplimiento externo y el sistema de control interno.
SM.02.05.Evaluar Actividades de Auditoria Interna Informática: evaluar, al
menos anualmente, las actividades de la Auditoría Interna Informática con la
• Informe de Evaluación de
finalidad de verificar que se cumplan los objetivos previstos, empleando normas
la Auditoria Interna
y procedimientos aplicables a dicha área. Verificar que la evidencia sea
Informática.
suficiente, fiable, pertinente y útil para lograr eficazmente los objetivos de la
auditoria.
SM.02.06.Realizar el Seguimiento del Informe de Auditoria Interna

Informática: realizar el seguimiento del Informe de auditoría interna informática
• Informe de Seguimiento
para determinar si la Alta Gerencia ha implementado las acciones
de la Auditoría
recomendadas de manera oportuna; informar a la Superintendencia de Bancos,
Informática.
dentro de los diez días siguientes a la terminación de cada seguimiento, sobre
el estado de las mismas.
Dominio: Supervisar y Monitorear SM.03.Monitorear Requerimientos Externos
Descripción del Proceso: evaluar el cumplimiento de requisitos legales, regulatorios y contractuales, tanto en
los procesos de Tecnología de Información (TI) así como de Seguridad de Información (SI). Identificar los
requisitos de cumplimiento de TI y SI, y monitorear que los mismos se cumplan y hayan sido integrados con los
procesos de cumplimiento de la Entidad en general.
Objetivo del Proceso: asegurar que las áreas de Tecnología de Información y de Seguridad de Información
cumplan con todos los requisitos externos que sean aplicables.
Metas del Proceso
1. Identificar los requisitos de cumplimiento que sean aplicables a Tecnología de Información (TI), así como de
Seguridad de Información (SI).
2. Monitorear la implementación de las acciones requeridas por los requisitos de cumplimiento que sean
aplicables a Tecnología de Información (TI), así como de Seguridad de Información (SI).
Prácticas Salidas
SM.03.01.Identificar Requisitos de Cumplimiento: identificar y supervisar de

manera continua los requisitos de cumplimiento derivados de legislaciones y • Registro de Requisitos de
regulaciones, así como cambios en las existentes, para los procesos de Cumplimiento.
Tecnología de Información y Seguridad de Información.
SM.03.02.Implementar Requisitos de Cumplimiento: diseñar e implementar

políticas, principios, estándares, procedimientos y metodologías para asegurar el • Requisitos de
adecuado cumplimiento de los requisitos legales, regulatorios y contractuales Cumplimiento.
identificados para los procesos de Tecnología de Información y Seguridad de (Implementado)
Información.
SM.03.03.Confirmar el Cumplimiento de Requisitos Externos: confirmar el • Requisitos de

cumplimiento de las políticas, los principios, los estándares, los procedimientos y Cumplimiento.
las metodologías con los requisitos legales, regulatorios y contractuales. (Implementado)
5.0. CATALOGO DE SALIDAS
Este capítulo describe las principales características que deben reunir las salidas que son generadas en cada
uno de los procesos que componen el Manual de Gobierno y Control de Tecnologías de Información, con la
finalidad de cumplir las definiciones y metas establecidas.
• Acta de Aceptación del Proyecto: documento que formaliza la aceptación, aprobación y conformidad de
los interesados claves con respecto a los resultados y entregables del proyecto. El mismo puede ser
generado al finalizar cada fase del ciclo del proyecto y antes del inicio de la siguiente fase (aceptación
parcial) o al finalizar un proyecto (aceptación final).
• Acta de Aprobación del Comité de Tecnología: documento que formaliza las autorizaciones o
aprobaciones relacionadas con decisiones que afecten a los Planes, Presupuestos, Recursos y Gobierno
de TI, realizados por el Comité de Tecnología.
• Acta de Constitución del Proyecto: documento que autoriza formalmente el inicio de un proyecto y
confiere al director del proyecto la autoridad para asignar los recursos de la organización a las actividades
del proyecto. Debe contemplar como mínimo lo siguiente: la descripción del proyecto, definición del
producto/servicio, requisitos preliminares, objetivos, justificación, definición del encargado, principales
riesgos, presupuesto preliminar.
• Acuerdos Nivel de Servicio (ANSs): acuerdo formalizado entre el proveedor de servicios y la Entidad con
el objeto de fijar el nivel mínimo de calidad para un determinado servicio, incluyendo entre otros aspectos:
tiempo de respuesta, disponibilidad, documentación disponible, personal asignado al servicio.
• Alta, Baja y Modificación de Usuarios: establece definiciones sobre los procedimientos de la Entidad para
gestionar los identificadores de usuario asignados al personal; incluyendo aspectos tales como: a) asignar
los derechos de acceso de los usuarios de acuerdo con los requerimientos de las funciones y procesos de
negocio; b) alinear la gestión de identidades y derechos de acceso, basándose en los principios de menor
privilegio, necesidad de tener y necesidad de conocer; c) administrar los cambios de derechos de acceso
(creación, modificación y eliminación) para que tengan efecto en el momento oportuno basándose sólo en
transacciones aprobadas y documentadas y autorizadas por los gestores individuales designados; d)
segregar y gestionar cuentas de usuario privilegiadas.
• Catálogo de Proveedores Categorizados: repositorio de datos el cual contiene la identificación y

categorización de los proveedores por relevancia, tipo, criticidad, así como el detalle de sus respectivos
contratos vigentes.
• Catálogo de Servicios de TI: identifica los servicios gestionados por el área de tecnología de información,
los recursos asignados para tal efecto y los interesados claves que son los usuarios de los mismos.
• Código de Ética: documento que promueve la cultura ética a desarrollar por la Auditoría Interna
Informática. Debe establecer los Principios relevantes para la función y práctica de la auditoría interna
informática, así como las Reglas de Conductas que describen las normas de comportamiento que se
espera sean observadas por el Auditor, incluyendo el debido cuidado profesional, objetividad, integridad,
competencia, entre otros. El Código de Ética debe estar alineado con los macos de referencia aplicables
(ejemplo estándares y directrices emitidas por la ISACA).
• Comité de Dirección y Planificación de los Servicios de TI: los miembros de este Comité deben ser
nombrados por la Alta Dirección; su principal objetivo consiste en dirigir la planificación y ejecutar el
monitoreo de los servicios de tecnología de información así como sus actividades. Este Comité debe contar
al menos entre sus miembros a representantes de la Alta Gerencia, Auditoría Interna, Gerentes de las áreas
usuarias así como de la Unidad Funcional de Servicios de TI. El Comité debe reunirse periódicamente, sus
decisiones registradas (en acta) y reportadas frecuentemente a la Alta Dirección.
• Componentes de la Solución: piezas, componentes o entregables que forman parte de la solución ante un
requerimiento o proyecto específico y que sean necesarios ser adquiridos, desarrollados o documentados.
• Contrato/Orden de Compra: documento que describe los servicios o productos, términos de entrega,
responsabilidades, precios y plazos pactados con el Proveedor de Servicio. El mismo establece un acuerdo
legal entre las partes que intervienen en la adquisición así como los procedimientos para la aceptación del
producto o servicio, las especificaciones de pruebas y/o inspección.
• Controles Implementados en Procesos: controles aplicativos implementados en los procesos internos,

con el objetivo de asegurar que el procesamiento de los datos e información sea válido, completo, preciso,
oportuno y seguro. Estos controles deben estar diseñados con la finalidad de validar que los datos de las
operaciones, ingresadas a los sistemas, cumplan con requisitos mínimos, tales como exactitud, validez e
integridad de la información, los mismos son aprobados por los propietarios de procesos e implementados
al diseñar o construir la solución tecnológica.
• Controles y Protocolos de Acceso Físico: directrices e instrucciones definidas por la Entidad para
gestionar las peticiones y autorizaciones de acceso a las instalaciones de procesamiento. Las peticiones
formales de acceso deben ser completadas, autorizadas y registradas debidamente y actualizadas
regularmente. El acceso a las ubicaciones de TI (salas de servidores, edificios, áreas o zonas) debe
basarse en funciones de trabajo y responsabilidades.
• Controles y Protocolos de Autenticación: establece definiciones sobre las políticas de la Entidad para
gestionar el proceso de identificación y autenticación de usuarios; incluyendo aspectos tales como: a)
identificar unívocamente todas las actividades de proceso de la información (ej: por roles funcionales),
coordinando con las unidades de negocio y asegurando que todos los roles están definidos
consistentemente, incluyendo los definidos por el propio negocio en las aplicaciones de procesos de
negocio, b) autenticar el acceso a los activos de información basándose en su clasificación de seguridad;
c) asegurar que todos los usuarios (internos, externos y temporales) y su actividad en sistemas de TI
(aplicaciones de negocio, infraestructura de TI, operaciones de sistema, desarrollo y mantenimiento) son
identificables unívocamente; d) establecer mecanismos de autenticación robustos (ej: contraseñas, tokens,
u otros) de acuerdo con el nivel de criticidad del recurso de TI.
• Controles y Protocolos de Prevención de Software Malicioso: establece definiciones sobre las políticas
de la Entidad para prevenir y detectar software de carácter malicioso; incluyendo aspectos tales como: a)
instalar y activar herramientas de protección para software malicioso que se actualicen según se requiera
(automática o semi-automáticamente), b) concienciar sobre software malicioso y forzar procedimientos de
prevención, c) distribuir el software de protección de forma centralizada, d) revisar y evaluar regularmente la
información sobre nuevas posibles amenazas, d) filtrar el tráfico entrante, como correos electrónicos y
descargas, para protegerse frente a información no solicitada (por ejemplo, software espía y correos de
phishing).
• Controles y Protocolos de Seguridad de Red y Conexiones: establece definiciones sobre las políticas
de la Entidad para dar seguridad a la red y conexiones públicas; incluyendo aspectos tales como: a) permitir
sólo a los dispositivos autorizados acceso a la información y a la red de la Entidad; b) implementar
mecanismos de filtrado de red, como cortafuegos y software de detección de intrusiones, con políticas
apropiadas para controlar el tráfico entrante y saliente; c) cifrar la información en tránsito de acuerdo con su
clasificación; d) aplicar los protocolos de seguridad aprobados a las conexiones de red; e) configurar los
equipamientos de red de forma segura; f) establecer mecanismos de confianza para dar soporte a la
transmisión y recepción segura de información; g) realizar pruebas de intrusión periódicas para determinar
la adecuación de la protección de la red; h) realizar pruebas periódicas de la seguridad del sistema para
determinar la adecuación de la protección del sistema.
• Controles y Protocolos de Seguridad para Dispositivos: establece definiciones sobre las políticas de la
Entidad para la protección de dispositivos; incluyendo aspectos tales como: a) configurar los sistemas
operativos de forma segura; b) implementar mecanismos de bloqueo de los dispositivos; c) cifrar la
información almacenada de acuerdo a su clasificación; d) gestionar el acceso y control remoto; e) gestionar
la configuración de la red de forma segura; f) implementar el filtrado del tráfico de la red en dispositivos de
usuario final; g) proteger la integridad del sistema; h) proveer de protección física a los dispositivos de
usuario final; i) procesar la baja de los dispositivos en forma segura; j) prevenir y verificar periódicamente la
existencia de software no autorizado.
• Criterios de Aceptación: documento en el cual se describen el conjunto de condiciones técnicas y de
calidad que debe cumplirse para que los Interesados Claves acepten los entregables generados en las
distintas fases de cada proyecto.
• Declaración de Alcance del SGSI: definición del ámbito de la Entidad que abarca el Sistema de Gestión
de Seguridad de la Información, incluyendo una identificación clara de las dependencias, relaciones y
límites que pudieran existir o aquellas partes que no han sido contempladas.
• Declaración de Transparencia a las Partes Interesadas: documento que establece los principios de
comunicación con los interesados externos e internos a la Entidad, incluyendo formatos de reportes y
canales de comunicación efectivos, principios de aceptación y aprobación de los reportes, e implementación
de mecanismos o medios para proporcionar fiabilidad e integridad a la información.
• Declaración del Apetito de Riesgo: documento que contempla la definición y comunicación del apetito al
riesgo, tolerado por la Alta Dirección, y que deben ser observados por el Área de Tecnología de Información
así como de Seguridad de Información durante los procesos de evaluación de riesgos que desarrollen.
• Definición de Requerimientos: documento que incluye (con base al caso de negocio) las condiciones, las
capacidades, los resultados de información de negocio (funcional, técnica y de control) y los requerimientos
(identificados, priorizados, especificados y acordados con los interesados claves) que debe cubrir la
solución de TI propuesta para lograr los resultados esperados por los Interesados Claves.
• Diccionario de Datos Corporativo y Reglas de Sintaxis: documento que contiene características e

informaciones actualizadas de los datos, incluyendo repositorio, tabla, nombre, descripción, alias,
contenido, tipo, organización. Identifica los procesos y/o sistemas que utilizan los datos así como las
reglas de sintaxis para su utilización.
• Entornos y Datos de Prueba: selección de datos que sean representativos del entorno de producción los
cuales deben ser replicados a un ambiente segregado e independiente para realizar las pruebas sin alterar
las operaciones o procesos rutinarios de la Entidad. Los entornos de prueba o de homologación deben ser
definidos y diseñados precautelando los principios y buenas prácticas de seguridad, control interno y
criterios de desempeño requeridos.
• Especificaciones del Diseño: describe la solución propuesta y el requerimiento de los procesos de

negocios, aplicaciones, servicios e infraestructuras necesarias para ser implementados. Para el caso de
desarrollo de soluciones de software abarca, entre otros, las especificaciones de transiciones y reglas de
negocios, controles automatizados, definiciones de datos/objetos, interfaz externa, entradas y salidas de
datos, salidas identificadas, interfaz del sistema/solución, requerimientos para el almacenamiento de datos,
aspectos de redundancia y recuperación, controles de seguridad y auditoría mínimos necesarios, entre
otros. En el caso de los proyectos de infraestructura y servicios contempla, como mínimo, un diagrama de la
solución, la descripción de sus componentes (hardware, software base, entre otros), requisitos de
desempeño y compatibilidad, la especificación de los requisitos de seguridad así como de auditoría
necesarios, entre otros.
• Esquema de Clasificación de Información: documento que contempla niveles de categorización

asignados a la información (ejemplo: pública, privada, confidencial), las reglas de acceso para cada
clasificación, y los niveles de seguridad necesarios para proteger las mismas (con respecto a su
confidencialidad, integridad y disponibilidad).
• Esquema de Clasificación y Priorización: contempla la definición de métodos o procedimientos para

clasificar, priorizar y escalar los incidentes y peticiones de servicio, así como los criterios para el registro de
problemas, con el fin de facilitar la resolución eficiente y efectiva de los mismos.
• Estatuto de Auditoría Interna Informática: describe y comunica, a toda la Organización, la decisión de la

Alta Dirección de implantar la Auditoría Interna Informática. El Estatuto considera mínimamente los
siguientes aspectos: la misión, objetivos, organización y atribuciones, funciones, competencias,
independencias y responsabilidades de la Función de Auditoría Interna Informática. Estas definiciones
deben revisarse periódicamente para asegurar que se mantienen en el tiempo sus principales definiciones.
• Estrategia de Continuidad de TI: es un plan que especifica una serie de pasos o de conceptos que tienen
como fin lograr la continuidad de los servicios TI. Puede conseguirse bien mediante medidas preventivas,
que eviten la interrupción de los servicios, o medidas reactivas, que recuperen unos niveles aceptables de
servicio en el menor tiempo posible.
• Estudio de Viabilidad: documento que incluye el análisis exhaustivo de todos aquellos factores y
condiciones, tecnológicas así como económicas, que intervendrán en el proyecto, a fin de establecer
preliminarmente el nivel de factibilidad del proyecto y su alineación con los requerimientos de la Entidad.
• Evaluación de Capacidad y Rendimiento: análisis generado como resultado del proceso diseñado para
evaluar periódicamente los niveles reales de rendimiento y del procesamiento de los recursos críticos de TI
(la demanda del negocio, capacidad de servicio y capacidad de los recursos) mediante la comparación de
las tendencias con los niveles de servicios mínimos establecidos o requeridos.
• Evaluación de Impacto en el Negocio: procedimiento que evalúa los procesos de negocios o las áreas
críticas, así como los activos tecnológicos de la Entidad que los soportan, y que requieran ser recuperados
o restaurados en un tiempo óptimo definido por la Entidad. El objetivo del mismo consiste en asignar
prioridades a las estrategias de recuperación ante una interrupción de la actividad del negocio o de los
recursos de TI.
• Evaluación de Proveedores: procedimiento consistente en la evaluación periódica del desempeño de los

proveedores con la finalidad de identificar oportunidades de mejora o la necesidad forzosa de reconsiderar
los contratos vigentes. Incluye la identificación, evaluación y, cuando sea apropiado, gestión de los riesgos
relacionados con la capacidad del proveedor de entregar el servicio de forma eficiente, eficaz, segura, fiable
y continua.
• Evaluación de Riesgos de Seguridad de la Información: documento que contiene los riesgos de

seguridad identificados y evaluados conforme a su nivel de probabilidad u ocurrencia así como el impacto
de los mismos en la confidencialidad, integridad y disponibilidad de los activos de información.
• Evaluación del Cumplimiento de Contrato/Orden de Compra: proceso de control consistente en el

monitoreo del cumplimiento de las condiciones contractuales acordadas con el proveedor, a lo largo del
ciclo de vida del contrato.
• Guía para Administración de Proyectos: contempla pautas y conceptos que deben ser seguidas por la
Entidad para la administración de proyectos, así como la aplicación de conocimientos, procesos,
habilidades, herramientas y técnicas para influir positivamente en el éxito del proyecto. Debe cubrir, como
mínimo: a) los requerimientos para la definición de la naturaleza, alcance y aprobación del proyecto, b) los
grupos de procesos de dirección de proyecto que sean aplicables (inicio, planificación, ejecución, monitoreo
y control, cierre), c) las áreas de conocimiento (alcances, tiempos, costos, recursos humanos, riesgos, y
adquisiciones) con sus respectivos procesos que sean aplicables para la administración de proyectos de la
Entidad, d) la identificación y participación del personal que represente a las unidades funcionales
afectadas, en todas las etapas del Proyecto (inicio, planificación, ejecución, monitoreo y control, cierre), e)
los criterios para asignar al personal de TI a un proyecto, así como la definición de sus responsabilidades y
atribuciones, f) los criterios para realizar el análisis de viabilidad requerido para el proyecto, g) los criterios
de aprobación parciales y definitivos de entregables, h) las definiciones para la realización de pruebas de
validación y aceptación así como de entrenamiento y capacitación a usuarios.
• Guías para Inversiones de TI: conjunto de principios que definen las orientaciones y guías definidas por la
Alta Dirección para apoyar y ayudar en la toma de decisiones referentes a inversiones de TI, incluyendo:
formas de aprobación, elegibilidad de la inversión, retornos esperados, niveles de autorización, entre otros.
• Informe de Auditoría del SGSI: informe que reporta sobre el resultado de la evaluación del Sistema de
Gestión de Seguridad de la Información (SGSI), y cuya finalidad está orientado a colaborar con la eficacia y
eficiencia en la implementación del SGSI.
• Informe de Auditoria Interna Informática: reporte que detalla el alcance y los objetivos de la auditoria, el
periodo cubierto, los destinatarios del reporte, así como la naturaleza y oportunidad del trabajo realizado.
De igual manera contempla las evidencias, conclusiones y recomendaciones resultantes del trabajo
realizado, y cualquier salvedad o calificación identificada por el auditor. Este reporte es emitido por un
Auditor Interno con el objetivo de informar sobre:
 Control Interno y Efectividad de los Servicios Internos: resultados de la revisión del control
interno informático, producto de las evaluaciones realizadas para verificar el diseño, existencia y
operación de las políticas, procedimientos y controles implementados en el entorno de Control
Interno Informático.
 Control Interno y Efectividad de los Servicios Externos (proveedores): resultados de la

evaluación realizada a los proveedores críticos, desde la perspectiva de la implementación de
políticas, procedimientos y controles los cuales garanticen la Disponibilidad, Integridad y
Confidencialidad de los servicios que son prestados a la Entidad que contrata los servicios.
 Cumplimiento: resultados de la revisión realizada sobre el cumplimiento, por parte de la Entidad,

de las leyes, decretos, resoluciones, requerimientos de seguros u otras disposiciones similares que
establezcan requisitos que deban ser contemplados e implementados en el Entorno de Control
• Informe de Avances del Proyecto: documento que describe el seguimiento, revisión e información del
avance del proyecto, con respecto a los objetivos de desempeño definidos en el plan para la dirección del
proyecto. La principal función de la actividad de reporte de avances es mantener informados a todos los
interesados claves acerca del cumplimiento de las tareas planeadas.
• Informe de Ejecución Presupuestaria: contiene la comparación del monto presupuestado, el comparativo

con los montos ejecutados en cada proyecto autorizado y las desviaciones respectivas. La fuente de
información para la generación de este reporte debe ser el Sistema Presupuestario/Contable de la Entidad.
• Informe de Estado de Solicitud de Cambio: contiene información sobre el estado (ej: abierta, cerrada,
ejecutada) actualizado de las solicitudes de cambios generadas en los procesos de gestión de cambio de
las soluciones de TI.
• Informe de Evaluación de Desempeño: indica los resultados de la evaluación y el rendimiento global del
empleado, con respecto al cumplimiento de las funciones asignadas, las actividades y los objetivos logrados
durante un periodo determinado de tiempo.
• Informe de Evaluación de la Auditoria Interna Informática: resultado de la revisión y/o evaluación del
marco, metodologías y procedimientos ejecutados por la Auditoria Interna Informática con el fin de evaluar
el nivel de cumplimiento de los objetivos e identificar mejoras continuas en el modelo de trabajo.
• Informe de Incidentes y Solicitudes de Servicios: documento que resume información acerca de los
incidentes y requerimientos de servicios atendidos, la frecuencia y el estado (iniciado, proceso, cerrado) de
los mismos, de tal forma de establecer tendencias e identificar patrones de hechos recurrentes, infracciones
de ANSs o ineficiencias en los procesos, los cuales permitan el inicio de la mejora continua.
• Informe de Monitoreo de los Niveles de Servicio: reportes que detallan resultados del análisis y el
monitoreo de los niveles de servicios acordados con los interesados clave, los cuales proporcionan
información para ayudar a la gestión del rendimiento, informar de las mejoras e identificar tendencias.
• Informe de Revisión Independiente: reporte emitido por un Auditor Externo Independiente con el objetivo
de informar sobre los siguientes aspectos:
 Control Interno y Efectividad de los Servicios Internos: resultados de la revisión del control
interno informático, producto de las evaluaciones realizadas para verificar el diseño, existencia y
operación de las políticas, procedimientos y controles implementados en el entorno de Control
 Control Interno y Efectividad de los Servicios Externos (proveedores): resultados de la

evaluación realizada a los proveedores críticos, desde la perspectiva de la implementación de
políticas, procedimientos y controles los cuales garanticen la Disponibilidad, Integridad y
Confidencialidad de los servicios que son prestados a la Entidad que contrata los servicios.
 Cumplimiento: resultados de la revisión realizada sobre el cumplimiento, por parte de la Entidad,

de las leyes, decretos, resoluciones, requerimientos de seguros u otras disposiciones similares que
establezcan requisitos que deban ser contemplados e implementados en el Entorno de Control
• Informe de Seguimiento de la Auditoría Informática: reporta el resultado de las revisiones realizadas con
respecto el avance logrado por la Alta Gerencia en la implementación de las medidas preventivas y/o
correctivas recomendadas por el Auditor Interno Informático para los casos que se observaran debilidades o
posibles problemas para la Entidad.
• Informe Post- Implementación: reporte que incluye los principales resultados originados tras la
implementación de una solución de TI (incluyendo: servicios, aplicaciones e infraestructura) con el objetivo
de determinar el éxito de la misma e identificar oportunidades para mejorar el proceso de implementación o
la solución en sí misma.
• Informe y Revisión Cambios de Emergencia: reporte desarrollado tras la implementación de un cambio

realizado en carácter excepcional y ante la ocurrencia de un evento que pone en riesgo la disponibilidad,
continuidad o integridad de un servicio de TI (aplicaciones, infraestructura o servicios). Este informe incluye
mínimamente información con respecto al evento ocurrido y las acciones desarrolladas en respuesta así
como los registros de eventos o log de auditorías para su revisión posterior.
• Inventario de Activos: lista de activos informáticos de la Entidad, que incluye, entre otras, información
sobre su condición (crítico o no), fecha de adquisición, estado actual, propietario, valor, ubicación del
mismo, clasificación (hardware, software, instalaciones, u otro). Este listado debe ser documentado y
actualizado periódicamente a partir de las entradas y las salidas de activos.
• Inventario de Licencias: registro ordenado y actualizado en el cual se identifica a los componentes

intangibles de un ordenador o computadora, es decir, al conjunto de programas necesarios para hacer
posible la realización de una tarea específica. Incluye al menos la siguiente información: a) nombre del
software, b) versión/marca, c) documento que ampara la licencia, d) número de licencia, e) plataforma, f)
clasificación, g) datos de la plataforma donde están instalado, h) observaciones.
• Mantenimiento del Plan de Continuidad Informática: procedimiento para ejecutar la revisión

periódica del plan de continuidad de TI e implementar las actualizaciones que surjan como resultado de los
cambios tecnológicos y los nuevos requerimientos de la Entidad. Su objetivo consiste en asegurar la
capacidad, la adecuación y la efectividad continúa de dichos planes.
• Manual de Funciones, Roles y Responsabilidades: establece las descripciones actualizadas de cargos

(observando un nivel de segregación de funciones adecuado) e incluye mínimamente: a) el título del cargo,
b) la autoridad y responsabilidades de cada cargo, c) principales funciones y responsabilidades, d) el nivel
de reporte y e) la definición de niveles de formación, habilidades, experiencias y competencias que sean
necesarios para cada cargo. Los Roles, Responsabilidades y Funciones deben ser comunicados en forma
oportuna y apropiada al personal.
• Manual de Gobierno Corporativo: contiene el conjunto de funciones, roles principios y responsabilidades,

que regulan el funcionamiento de los órganos de gobierno de Tecnología de Información en el ámbito de la
Entidad en su conjunto. Este documento puede formar parte del Manual de Gobierno Corporativo de la
Entidad e incluir como mínimo la siguiente información: estructura de administración y control de TI (breve
descripción de los objetivos del Comité de TI, reglas de organización y funcionamiento, facultades de
asesoramiento y consulta), integrantes del comité de TI, roles y responsabilidades (indicando cargo, fecha
de primer y último nombramiento, procedimiento de elección, perfil y breve descripción de funciones así
como facultades), sistema de gestión de riesgos tecnológicos.
• Manual de Usuario: documento técnico destinado a dar asistencia al usuario de una determinada solución
de TI (aplicaciones, infraestructura o servicios). El manual de usuario, en formato impreso o digital, incluye
al menos: a) un prefacio, con información sobre cómo usar el propio manual, b) índice, c) guía rápida sobre
cómo usar las funciones principales de la solución, d) sección para la resolución de problemas, e)
Preguntas Frecuentas (FAQ), f) Información de contacto, e) glosario.
• Metodología de Desarrollo de Software: normas definidas y actualizadas para administrar el proceso de

desarrollo o adquisición, implantación y mantenimiento de sistemas de información. Debe considerar, al
menos los siguientes alcances: a) normas para la identificación, evaluación, análisis y aprobación de los
requerimientos funcionales y técnicos de los procesos de negocios, b) normas para el diseño técnico y
funcional de la solución que será implementada, c) normas para la codificación y documentación de los
programas, d) normas para definir y documentar los formatos de archivos/datos con base a las reglas del
Diccionario de Datos, e) criterios para identificación de programas críticos y documentación de las
especificaciones técnicas, f) normas para la identificación y documentación de interfaces, g) requisitos para
el procesamiento de datos, h) principios para el diseño de controles mínimos de seguridad para lograr la
veracidad, integridad, oportunidad y autorización de las entradas y salidas, i) normas para la ejecución y
evaluación de pruebas (unitarias e integradas, pilotos o paralelas), e) normas para la implantación de las
soluciones, incluyendo la formación, comunicación e interacción con los usuarios, j) normas para el
mantenimiento del software, k) normas para la evaluación del cumplimiento de las políticas de calidad
adoptadas para el desarrollo de software.
• Modelo Organizacional (Organigrama): comprende la definición y aprobación de la estructura

organización de Tecnología Informática, así como de Seguridad Informática, cuyo nivel de reporte cuente
con el apropiado nivel de autoridad, la cantidad adecuada de personal, así como la suficiente
independencia de las demás unidades funcionales, con la finalidad de garantizar la implantación de
soluciones tecnológicas efectivas, oportunas y seguras, alineadas con la estrategia del negocio. Esta
estructura organizacional debe ser evaluada periódicamente, ante la existencia de cambios importantes
generados por factores externos e internos, de tal forma que la misma responda a los requerimientos del
negocio.
• Personal Clave y de Respaldo: documento que formaliza la nómina del personal clave del área y la
estrategia (ejemplo: mediante la captura de conocimiento, el intercambio de conocimientos, la planificación
de la sucesión, el respaldo o backup del personal, el entrenamiento cruzado e iniciativas de rotación de
puestos) para minimizar la dependencia en una sola persona en la realización de una función crítica.
• Plan de Adquisición: describe cómo se gestionarán los procesos de adquisición, desde la elaboración de
los documentos de compra hasta el cierre del contrato. El plan de gestión de las adquisiciones incluye
directivas para: a) la descripción general de los componentes a ser adquiridos; b) los tipos de contratos a
utilizar; c) determinar si se utilizarán estimaciones independientes y si son necesarios criterios de
evaluación; d) las restricciones y los supuestos que podrían afectar las adquisiciones planificadas; e) la
determinación de las fechas planificadas en cada contrato para los entregables del mismo; f) la
identificación de requisitos para obtener garantías de cumplimiento o contratos de seguros a fin de mitigar
algunas formas de riesgo del proyecto; g) la identificación de vendedores precalificados, si los hubiera, que
se utilizarán; h) las métricas de adquisiciones que se emplearán para gestionar contratos y evaluar
vendedores.
• Plan de Aseguramiento de Calidad: este documento contempla la identificación de los requisitos y/o
estándares de calidad para el proyecto y sus entregables, así como la manera que serán aprobados con
base a los requisitos de calidad. Describe cómo se implementarán las políticas de calidad del proyecto de la
Entidad, promoviendo la filosofía de mejora continua, incluyendo los requisitos y tipos de actividades,
ejemplo: revisiones, auditorias, inspecciones que deben ser ejecutadas para alcanzar los objetivos
definidos.
• Plan de Auditoria Interna Informática: contiene el planeamiento anual del trabajo de auditoria de TI,
diseñado para alcanzar los objetivos de la auditoria y evaluar el cumplimiento de las Políticas,
Procedimientos y Controles implementados en la Entidad. Debe incluir al menos las siguientes definiciones:
áreas o procesos a ser auditados, tipo de auditoría (ordinaria o extraordinaria), marco de tiempo en el cual
se desarrollará la evaluación, recursos que participación de los trabajos o revisiones y las horas que serán
aplicadas para cada revisión.
• Plan de Capacidad: documento que resume los objetivos de capacidad y rendimiento presentes y futuros,
así como las medidas necesarias para su cumplimiento: a) evaluar y prever que se cumplan las
necesidades de capacidad de TI tanto presentes como futuras, b) controlar o contrastar el rendimiento de la
infraestructura de TI, c) desarrollar planes de capacidad asociados a los niveles de servicio acordados, y d)
gestionar y racionalizar la demanda de servicios TI.
• Plan de Continuidad Informática (PCI): formaliza los procedimientos que debe realizar la Entidad para
gestionar la recuperación y continuidad de determinados recursos de tecnología, definidos como críticos
para las operaciones de la Entidad, de tal forma gestionar los riesgos de interrupción en los mismos. El
alcance de este documento normalmente contempla procedimientos cronológicos y técnicos específicos
para lograr la recuperación de los recursos de TI así como los responsables de su ejecución.
• Plan de Disponibilidad: documento que resume los objetivos de disponibilidad presentes y futuros, así
como las medidas necesarias para su cumplimiento. Este plan contempla al menos: a) la situación actual de
disponibilidad de los servicios TI; b) las herramientas para la monitorización de la disponibilidad; c) los
métodos y técnicas de análisis a utilizar; d) las definiciones relevantes y precisas de las métricas a utilizar,
e) los planes de mejora de la disponibilidad; f) las expectativas futuras de disponibilidad.
• Plan Estratégico de TI: es el resultado del proceso de planificación estratégica de la Entidad, al cual debe
estar alineado estrechamente. El Plan Estratégico de TI formaliza los ejes estratégicos de TI, la meta
definida para cada línea estratégica, los programas a desarrollar para lograr el cumplimiento de las metas,
el horizonte de tiempo durante el cual se desarrollaran las iniciativas y los responsables. Incorpora
acciones en diferentes marcos de tiempo:
 Largo Plazo: iniciativas tecnológicas que sirven como herramientas para el logro de la misión
global y metas de la Entidad.
 Corto Plazo: contempla acciones y directrices tecnológicas, con un plazo de ejecución de un año o
menos, y cuyos logros en su conjunto permiten alcanzar las metas de largo plazo.
• Plan de Implementación: documento que describe la estrategia y la secuencia de acciones que deben
desarrollarse para implementar la solución de TI (servicios, aplicaciones o infraestructura), los recursos
necesarios, las interdependencias, los criterios para la aceptación en producción, los requisitos para
verificar la instalación, las estrategias de transición para el soporte en producción, y los plazos/fechas
estimados.
• Plan de Mantenimiento: documento que detalla información sobre las revisiones/acciones periódicas que
deben efectuarse a las soluciones de TI implementadas (aplicaciones, servicios e infraestructura) para
mantenerlas actualizadas, incluyendo requerimientos operacionales tales como: gestión de los “parches”,
estrategias de actualización, análisis de vulnerabilidades y requerimientos de seguridad.
• Plan de Mantenimiento de las Instalaciones: documento que detalla información sobre las
revisiones/acciones periódicas que deben efectuarse a las instalaciones de TI (centro de cómputos, área de
redes, área de gerencia, área de seguridad, entre otras.) para mantenerlas, incluyendo requerimientos
operacionales tales como: estrategias de actualización, análisis de vulnerabilidades y requerimientos de
seguridad.
• Plan de Mejora y Corrección: documento que permite identificar y jerarquizar las acciones requeridas,
responsables asignados y recursos necesarios, para subsanar falencias, desviaciones, o debilidades
identificadas en procesos, sistemas de control, estructuras organizacionales o recursos de tecnología en
general.
• Plan de Mejoras del SGSI: documento que tiene como finalidad recopilar todas las acciones requeridas
para la mejora continua del Sistema de Gestión de Seguridad de la Información y de sus procesos
relacionados, así como las acciones a implementar, plazos y responsables de su ejecución.
• Plan de Migración: documento que refleja la estrategia de migración y las compatibilidades para realizar la
conversión de los elementos de la anterior solución a la nueva, incluyendo: hardware, redes, sistemas
operativos, software, datos transaccionales, carpetas y archivos, copias de seguridad, interfaces con otros
sistemas (internos y externos), posibles requisitos de cumplimiento y documentación del sistema en el
desarrollo del plan.
• Plan de Pruebas: describe los casos de prueba integrados y prácticas, acordes al entorno de la Entidad,
que catalizaran la realización de pruebas apropiadas para verificar que la solución está operativa en forma
satisfactoria y entregará los resultados esperados, incluyendo los controles de seguridad así como de
auditoría adecuados. Este plan debe reproducir los escenarios de prueba, los responsables de aprobación
de las pruebas, y los criterios de evaluación de resultados.
• Plan de Soporte: documento que identifica los recursos y acciones que serán necesarios para resolver las
consultas que surjan acerca del uso de la nueva solución de TI (aplicaciones, infraestructura y servicios) por
parte de los usuarios finales.
• Plan de Tratamiento de Riesgos de Seguridad de la Información: contempla la definición e

implementación de un plan de tratamiento de los riesgos el cual permita: a) seleccionar las opciones
apropiadas de tratamiento de riesgos tomando en consideración el resultado de la evaluación de riesgos, b)
determinar los controles que sean necesarios para implementar las opciones de tratamiento de riesgos
escogidas.
• Plan y Alcance del Proyecto: incluye la definición, alcance, preparación y coordinación de todos los
planes secundarios incorporados en un plan integral para la dirección del proyecto contemplando los sub-
planes de alcances, tiempos, costos, recursos humanos, riesgos y adquisiciones. De igual manera
contempla, la descripción detallada del proyecto, enumerando sus patrocinadores, responsable del
proyecto, áreas afectadas, entregables principales, estimación general de costos e inversiones, los
supuestos y las restricciones del mismo.
• Planes y Programas de Capacitación: engloban las iniciativas, oportunidades, responsables y

beneficiarios de los programas de capacitación dirigidos al personal de TI, los cuales incluyen eventos de
formación y entrenamiento que deben aportar las competencias así como capacidades requeridas por la
personas para cumplir los objetivos fijados para el cargo.
• Política de Continuidad de TI: establece las responsabilidades, define los planes estándares y delinea los
requisitos de implementación necesarios para minimizar el efecto en la interrupción de los servicios
tecnológicos de la Entidad, como consecuencia de una contingencia, con la finalidad de minimizar las
pérdidas financieras y asegurar la reanudación oportuna de las funciones críticas. La Política de
Continuidad debe ser aprobada por la Alta Dirección e implementada por la Alta Gerencia.
• Políticas Corporativas: declaración de principios generales que la Entidad se compromete a cumplir. En

ella se establecen una serie de reglas y directrices básicas acerca del comportamiento que se espera de
sus funcionarios.
• Políticas de Evaluación y Gestión de Riesgos: declaración de principios y definición de los criterios

metodológicos que deben ser adoptados para desarrollar un proceso de evaluación y gestión de riesgos de
la seguridad de la información, incluyendo: la identificación, la evaluación y el tratamiento de los riesgos.
• Políticas de Seguridad de la Información: conjunto de principios y directrices, aprobados por la Alta

Dirección, diseñadas con la finalidad de responder a requisitos de control en materia de Seguridad
Informática (SI). Las mismas deben ser difundidas y cumplidas por parte del personal involucrado. Las
Políticas deben ser actualizadas con frecuencia regular.
• Políticas de Tecnología Informática: conjunto de principios y directrices, aprobados por la Alta Dirección,
diseñados con la finalidad de responder a requisitos de control en materia de Tecnología Informática (TI).
Las mismas deben ser difundidas y cumplidas por parte del personal involucrado. Las Políticas deben ser
actualizadas con frecuencia regular.
• Políticas de Transparencia a las Partes Interesadas: directrices para el mantenimiento de un canal de
comunicación abierto y transparente por parte de la Entidad con sus partes interesadas; incluye
normalmente las reglas para la elaboración, aprobación y publicación de reportes e informes que deben ser
presentados a los Interesados Claves.
• Pólizas de Seguro: documento en el cual se formaliza el contrato de seguro, las obligaciones y derechos
que corresponderán tanto a la aseguradora como al asegurado. En el documento se mencionan las
personas físicas o jurídicas, los recursos de TI u otros objetos e instrumentos que sean sujetos de cobertura
y se establecerán las indemnizaciones así como garantías en caso que se produzca un siniestro que afecte
a los mismos.
• Portafolio de Proyectos: inventario de proyectos o programas (proyectos relacionados) agrupados y

clasificados a fin de satisfacer los objetivos del Plan Estratégico de la Entidad.
• Prácticas de Supervisión: acciones y procedimientos empleados para supervisar el Marco de Gobierno.

Indican que debe supervisarse, quién y cuándo y cuáles serán los resultados esperados.
• Presupuesto de TI: documento que detalla los recursos financieros previstos y aprobados para financiar
las inversiones que soportan los Planes de TI, así como los gastos recurrentes (ej: adquisición de
infraestructura, contratación de servicios). El presupuesto debe ser elaborado, aprobado y actualizado
siguiendo los procesos internos de la Entidad.
• Procedimiento de Gestión del Presupuesto de TI: incluye la definición de los procesos, entradas, salidas
y responsabilidades para la registración y el reconocimiento, en el sistema contable de la Entidad de
aquellos gastos e inversiones realizadas por el Área de TI, conforme al presupuesto aprobado. Incluye
asimismo la definición e implementación de un conjunto de tareas, controles y responsables con el objetivo
de comparar el monto presupuestado con el monto ejecutado, el análisis, la justificación de los gastos, las
inversiones y los beneficios derivados.
• Procedimientos de Gestión de Eventos de Seguridad: documento que describe las tareas, actividades o
controles para garantizar que las violaciones de acceso y la actividad de seguridad son registradas,
informadas, revisadas, priorizadas y mitigadas.
• Procedimientos de Respaldo y Restauración de Datos: define las tareas o actividades, controles y

responsables para gestionar el proceso de respaldo de los datos así como las pruebas de restauración
correspondientes. El alcance de este documento contempla al menos los siguientes requisitos: a) estrategia
del respaldo de datos, b) procedimientos de restauración y prueba de los datos, c) medidas de protección
de los medios de almacenamiento, d) criterios para identificación externa de volúmenes y los controles para
su movimiento físico y almacenamiento, e) responsabilidades respecto a los medios de almacenamiento, f)
normas de resguardo seguro de los medios de almacenamiento.
• Procedimientos de Seguridad de la Información: guías detalladas que indican como aplicar y ejecutar
las definiciones establecidas en las Políticas de Seguridad. Incluye todos los procedimientos necesarios
para asegurar la planificación, operación y control de los procesos de seguridad de la información, así como
para el cumplimiento de los controles implantados.
• Programación Operativa: calendario de procesos y actividades operativas de los servicios de TI. Incluye
como mínimo: a) el nombre del proceso/servicio y su secuencia, b) el responsable, c) los usuarios del
servicio, d) los resultados del servicio. El objetivo de este documento consiste en asegurar que se cumpla
con los estándares de calidad y seguridad aplicables para la recepción, procesamiento y almacenamiento
de salidas o resultados, de forma tal que se satisfagan los objetivos de la Entidad, la política de seguridad
interna y los requerimientos regulatorios.
• Propietarios de Información y/o Sistemas: listado de personas nombradas en calidad de propietarios de

la información o de sistemas informáticos, cuyas designaciones, funciones y responsabilidades deben estar
definidas y formalizadas claramente.
• Pruebas de Intrusión: procedimientos técnicos con la finalidad identificar y evaluar las vulnerabilidades de
seguridad a las cuales se encuentran expuestos los activos de TI. Los resultados y las recomendaciones de
las pruebas deben ser formalizados en un informe, emitido por un profesional independiente debidamente
calificado y certificado.
• Registro de Acceso: documento que contiene los datos para la identificación (ej. nombre y apellido, CI,
departamento u organización a la que pertenece, hora de entrada, hora de salida, motivo de visita) de las
personas que acceden a los sitios críticos de TI.
• Registro de Capacitación: contiene datos e informaciones relativas a la participación del personal a las
sesiones de capacitación, entrenamiento y formación profesional o técnica, promovidas por la Alta
Gerencia.
• Registro de Eventos: contiene el registro cronológico de los eventos que afectan a la infraestructura de TI,
los cuales permiten la reconstrucción, la revisión oportuna y el examen de la secuencia de los mismos.
Deben ser retenidos por un periodo de tiempo prudencial y ser revisados frecuentemente. Los Registros de
Eventos deben ser creados sobre la base de una lista de activos críticos o dependiendo de la criticidad del
servicio los cuales requieran ser monitoreados permanentemente.
• Registro de Incidentes: conjunto de datos con los detalles de un Incidente el cual documenta la historia de
los mismos (ejemplo: iniciado, diagnosticado, resuelto y cerrado). En este registro se encuentran todos los
eventos que generen una interrupción no planificada o la reducción de calidad de algún servicio de TI.
• Registro de Operaciones: contiene el registro cronológico de los resultados de las operaciones de TI los
cuales permiten la reconstrucción, la revisión oportuna así como el examen de la secuencia de los procesos
o las actividades ejecutadas por el sector operativo. Este registro debe ser retenido por un periodo de
tiempo prudencial y revisado oportunamente. Los Registros de Operaciones deben ser creados sobre la
base de una lista de activos críticos o dependiendo de la criticidad del servicio.
• Registro de Problemas: catálogo único para registrar e informar sobre los detalles de los problemas (ej.:
evento que afecta a los recursos de TI y cuyas causas son analizadas e investigadas) identificados y para
establecer pistas de auditoría sobre el proceso de referencia, incluyendo el estado los mismos (ej: iniciado,
diagnosticado, solucionado, cerrado).
• Registro de Pruebas: documento en el cual se registran los resultados de las pruebas realizadas conforme
al Plan de Pruebas definido. Debe contener un detalle preciso de las fechas de las pruebas, los escenarios
testeados, datos e informaciones del proyecto, los responsables de la prueba, los resultados de la prueba y
la aprobación o aceptación del grupo de usuarios de pruebas, de operaciones y de seguridad.
• Registro de Requisitos de Cumplimiento: documento en el cual se registran todas aquellas

reglamentaciones, requisitos legales, regulatorios o contractuales identificados y que afectan a las
operaciones de tecnología de información y seguridad de información aplicables a la Entidad.
• Registro de Riesgos: documento en el cual se registran los resultados del análisis de riesgos y de la
planificación de la respuesta a los mismos. Contempla la actualización y monitoreo frecuente de los
registros de riesgos a medida que transcurre el proyecto.
• Registros de Eventos de Seguridad: repositorio o registro que contiene información que permite la
identificación, el análisis, la evaluación y el cierre de los eventos de seguridad registrados por las
herramientas de monitoreo de seguridad implementadas.
• Reporte de Monitoreo (Disponibilidad y Rendimiento): resultado del proceso continuo e iterativo que
monitoriza, analiza y evalúa el rendimiento, la capacidad y disponibilidad de la infraestructura TI. Con los
datos obtenidos se debe buscar optimizar los servicios o elevar un requerimiento de cambio al proceso
Gestión de Cambios. La información es obtenida mediante el monitoreo efectuado a las operaciones de TI,
el registro de los KPI y el análisis de los datos para evaluar la conveniencia de adoptar acciones correctivas
tales como el aumento de la capacidad o mejorar gestión de la demanda.
• Requisitos de Cumplimiento: comprenden las exigencias obligatorias derivadas de legislaciones y
regulaciones vigentes implementadas por la Entidad (en sus procesos, políticas, procedimientos y normas
internas) para dar cumplimiento a las mismas.
• Respaldo y Restauración de Datos: copias de respaldo de datos (backup), conforme al cronograma de

operaciones establecido.
• Resultado de la Prueba del Plan de Continuidad Informática: documento que respalda los resultados de
las pruebas efectuadas al Plan de Continuidad Informática así como la identificación de cambios o ajustes
en la estrategia implementada.
• Resultados de Comunicación: instrumentos y/o documentos internos por medio de los cuales la Entidad
se asegura que la información (incluyendo Misión, los Objetivos y Planes de TI, la Seguridad, los Controles
Internos, la Calidad, el Código de Ética/Conducta, políticas, procedimientos, entre otros) sea comunicada
oportuna y adecuadamente a los Interesados Claves.
• Resultados de la Revisión de Calidad: salidas (informe, reporte o recomendaciones de mejoras de

calidad) generadas como resultado de la evaluación (interna y/o externa) de los elementos y actividades
resultantes del proceso de construcción de las soluciones de TI, con el objetivo de determinar si los
entregables o salidas cumplen con lo establecido en el Plan de Aseguramiento de Calidad y Definición de
Requerimientos.
• Resultados de Supervisión: informe a las partes interesadas sobre los resultados y los aspectos
relevantes de la supervisión del Gobierno de TI. Normalmente se da por la supervisión directa
implementada en la misma Alta Gerencia, los Informes de Auditores Internos, o Informes de Auditores
Externos.
• Revisión de Cuentas de Usuarios: proceso de verificación de las cuentas de usuarios y los privilegios de
acceso asignados, con la finalidad de determinar si los mismos deben mantenerse, modificarse o revocarse.
Normalmente este procedimiento se realiza con una frecuencia regular y considerando la rotación del
personal en la Entidad.
• Revisión Periódica de SGSI de la Alta Dirección: proceso de verificación y revisión por parte de la Alta
Dirección acerca del cumplimiento de los objetivos propuestos y el alcance proyectado para el modelo de
seguridad de la información, así como de las medidas de seguridad definidas para mitigar los riesgos
identificados. Este proceso se realiza con base a los resultados que arrojan los indicadores de la seguridad
de la información, propuestos para verificación de la eficacia y efectividad de los controles implementados..
• Solicitud de Cambio: documento que formaliza todos los requerimientos de modificaciones y/o ajustes al
alcance del proyecto o a cualquier componente de infraestructura, como resultado de los controles de
validación y de calidad o a solicitud de los Interesados Claves. El mismo debe ser evaluado, aprobado o
rechazado y actualizado por los Interesados Claves a fin de gestionar los cambios a los entregables, los
activos de los procesos de la Entidad, los documentos del proyecto y el plan para la dirección del proyecto.
• Solicitud de Paso a Producción: documenta el pedido y la aprobación del traspaso al entorno

de producción de las soluciones de TI, incluyendo: a) procedimientos de negocio, b) servicios de TI, y c)
aplicaciones e infraestructura de TI, siguiendo los estándares de calidad así como de seguridad de la
Entidad.
• Solicitud de Servicio: documento que registra información sobre un pedido de servicio, manejo de errores
y excepciones de TI y solicita asistencia al área de Soporte de Usuarios a fin de resolverlo. Normalmente
estas solicitudes son priorizadas para gestionar la atención y el soporte en forma efectiva. Las mismas
tienen estados tales como: solicitud iniciada, aprobada, ejecutada y cerrada.
• Solución Integrada y Configurada: constituyen los componentes de la solución de TI (servicios,

infraestructura o aplicaciones) integrados y configurados, así como los repositorios de información (en línea
con las especificaciones detalladas y los requerimientos de calidad) listos para ser probados, con la
participación de los usuarios e Interesados Claves para transferir a producción.
5.0. MATRIZ RACI
En esta sección se expone información con respecto a los responsables primarios o principales para gestionar los procesos, prácticas y salidas, identificados
en el Manual de Gobierno y Control de Tecnología de Información. Los niveles mínimos de responsabilidad previstos son:
• R (responsable de hacer): roles responsables que se encargan de realizar la actividad principal esperada del proceso.
• A (responsable de que se haga): roles responsables de que se cumpla la actividad principal esperada del proceso;
• C (consultado): indica los roles que proporcionan información o son consultados respecto a las actividades del proceso;
• I (informado): son los roles que son informados de los resultados de la actividad principal del proceso.
Responsables Primarios o Principales
Gerencia General o Equivalente
Responsable Infraestructura TI
Responsable de Proyectos TI
Auditoría Interno Informático

Responsable Operaciones TI
Responsable Desarrollo TI
Gerente de Cumplimiento
Propietario de Procesos
Directorio o Equivalente
Gerente de Operaciones
Auditoría Independiente
Gerente de Tecnología
Gerente de Seguridad
Comité de Tecnología
Gerente de Finanzas
Gerente de Riesgos
Proceso Prácticas
Gerente de RRHH
• GG.01.01.Evaluar Sistema de Gobierno A R R C C C C C C R C
• GG.01.Establecer y Mantener
• GG.01.02.Orientar Sistema de Gobierno. A R R I I I I I I I I I I I R C
Marco de Gobierno
• GG.01.03.Supervisar Sistema de Gobierno. A R R I I I I I I I I I I I R C
• GG.02. Optimizar Riesgos

• GG.02.01.Evaluar Gestión de Riesgos A R R R R R C
• GG.02.02.Orientar Gestión de Riesgos A R I I I R I I I I I I I R C
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017
64

Gerente de Finanzas
Gerente de Riesgos
Proceso Prácticas
Gerente de RRHH
• GG.02. Optimizar Riesgos (cont.) • GG.02.03.Supervisar Gestión de Riesgos A R I I I R I I I I I I I R C
• GG.03.01.Evaluar Requisitos de Informes de las Partes

A R R C C C I C
Interesadas
• GG.03.Garantizar Transparencia a • GG.03.02.Orientar Comunicación con Partes Interesadas y

A R R C C C I C
las Partes Interesadas Elaboración de Informes
• GG.03.03.Supervisar Comunicación con Partes Interesadas A R R C C C I C
• PO.01.01.Definir la Estructura Organizativa A R I R I I I I I I I I I I I
• PO.01.02.Establecer los Roles, las Responsabilidades y las

A R I R I I I I I I I I I I I
Funciones
• PO.01.Definir Marco de Gestión
• PO.01.03.Definir y Mantener las Políticas A R R R I C C I I I I I I I I C
• PO.01.04.Comunicar los Objetivos y la Dirección de Gestión A R R I I I I I I I I I I I I

Gerente de Finanzas
Gerente de Riesgos
Proceso Prácticas
Gerente de RRHH
• PO.01.05.Optimizar la Ubicación de la Función de TI A I R I I I I I I I
• PO.01.06.Definir la Propiedad de Información y/o Sistemas A R I C I

(cont.)
• PO.01.07. Mantener el Cumplimiento de las Políticas y
A R R R R C R R R R R R R I R
Procedimientos
• PO.01.08. Optimizar la Ubicación de la Función de SI A I R I I
• PO.02.01.Desarrollar la Planificación Estratégica de TI A R C C C C C C C C C C C I
• PO.02.Gestionar Estrategia • PO.02.02.Comunicar la Estrategia y la Dirección de TI A R I I I I I I I I I I I I I
• PO.02.03. Monitorear la Planificación Estratégica de TI A R C I
I/
• PO.03.Gestionar Arquitectura • PO.03.01.Definir la Arquitectura de TI A R I
C
C

Gerente de Finanzas
Gerente de Riesgos
Proceso Prácticas
Gerente de RRHH
• PO.03.Gestionar Arquitectura
• PO.03.02. Actualizar la Arquitectura de TI A R I C C
(cont.)
• PO.04.01.Priorizar la Asignación de Recursos A C I R I I I I I I
• PO.04.Gestionar Presupuesto • PO.04.02.Crear y Mantener el Presupuesto A R R C C C C C C I
• PO.04.03. Monitorear el Presupuesto A R I R I I
• PO.05.01.Identificar al Personal Clave y de Respaldo A R R R R R I
• PO.05.Gestionar Recursos • PO.05.02.Mantener las Habilidades y las Competencias del

A A R
Humanos Personal
• PO.05.03. Evaluar el Desempeño Laboral del Personal I R R A I I I I
• P0.06.Gestionar Acuerdos de
• PO.06.01.Identificar los Servicios A R I I I I I R R R I
Servicios

Gerente de Finanzas
Gerente de Riesgos
Proceso Prácticas
Gerente de RRHH
• PO.06.02.Identificar, Definir y Preparar los Acuerdos de
A R I I I I I R R R C I
Servicio
• P0.06.Gestionar Acuerdos de
• PO.06.03.Supervisar e Informar los Niveles de Servicio I A R I I I I I R R R I I
Servicios (cont.)
• PO.06.04.Revisar los Acuerdos de Servicio A R I I I I I R R R I I
• PO.07.01.Identificar y Analizar a los Proveedores R R A I
• PO.07.02.Seleccionar a Proveedores R R A C
• PO.07.03.Gestionar los Contratos y las Relaciones con

• PO.07.Gestionar Proveedores R R A R R R R C I
Proveedores
• PO.07.04. Gestionar los Riesgos en el Suministro R A C R R R R I
• PO.07.05.Evaluar Proveedores A R C R R R R C I

Gerente de Finanzas
Gerente de Riesgos
Proceso Prácticas
Gerente de RRHH
• PO.08.01.Establecer y Mantener SGSI I A I R C I I I C I
• PO.08.02.Identificar y Evaluar Riegos I I R A R C C R R R R R C I
• PO.08.Gestionar Seguridad
• PO.08.03.Definir y Gestionar Plan de Tratamiento de
I A I R C I I I C I
Riesgos de Seguridad de la Información
• PO.08.04.Supervisar y Revisar el SGSI I A I I I R
• AI.01.01.Definir Estándar para la Gestión de Proyectos A I I I R I C
• AI.01.02.Realizar el Estudio de Viabilidad C C R R R A
• AI.01.Gestionar Proyectos
• AI.01.03.Planificar el Proyecto C C R R R A
• AI.01.04.Gestionar la Calidad del Proyecto I C C R R R A I

Gerente de Finanzas
Gerente de Riesgos
Proceso Prácticas
Gerente de RRHH
• AI.01.05.Gestionar los Riesgos del Proyecto I C C C R R R A I
A
• AI.01.Gestionar Proyectos (cont.) • AI.01.06.Gestionar y Controlar los Proyectos I I I I I I / I
R
• AI.01.07.Cerrar los Proyectos I I I R R R A I
• AI.02.01.Definir y Mantener los Requerimientos Técnicos y

I C R R R A I I
Funcionales
• AI.02.Gestionar Requerimientos de
• AI.02.02.Gestionar Riesgos de los Requerimientos I C C R R R A I I
Soluciones
• AI.02.03.Obtener Aprobación de los Requerimientos I I A R
• AI.03.01.Diseñar las Soluciones I I R R R A R

• AI.03.Construir y Mantener
Soluciones
• AI.03.02.Desarrollar las Soluciones I I R I I A I

Gerente de Finanzas
Gerente de Riesgos
Proceso Prácticas
Gerente de RRHH
• AI.03.03. Adquirir los Componentes de la Solución I A C R R R R I C
• AI.03.04.Construir las Soluciones I C R R R A I

• AI.03.Construir y Mantener
Soluciones (cont.)
• AI.03.05.Realizar Controles de Calidad I R R R A I I
AI.03.6.Mantener las Soluciones I A I R I
• AI.04.01.Elaborar el Plan de Implementación I C R R R A I
• AI.04.02.Planificar la Conversión de Sistemas y Datos I R R R A I
• AI.04.Implementar Soluciones
• AI.04.03. Planificar las Pruebas de Aceptación I C R R R A R
• AI.04.04.Establecer el Entorno de Pruebas I C R R R A I

Gerente de Finanzas
Gerente de Riesgos
Proceso Prácticas
Gerente de RRHH
• AI.04.05.Ejecutar las Pruebas de Aceptación I C I I I A R
• AI.04.06.Transferir a Producción R A C C C C I
(cont.)
• AI.04.07.Entregar Soporte I C R R R A I
• AI.04.08.Realizar la Revisión Post-implementación I C R R A I
• AI.05.01.Evaluar, Priorizar y Autorizar las Solicitudes de

A C R R R I C
Cambio
• AI.05.02. Gestionar los Cambios de Emergencia A C R R R I
• AI.05.Gestionar Cambios
• AI.05.03.Realizar Seguimiento e Informar los Cambios de
A C R R R I
Estado
• AI.05.04.Cerrar y Documentar los Cambios A C R R R I

Gerente de Finanzas
Gerente de Riesgos
Proceso Prácticas
Gerente de RRHH
• AI.06.01.Identificar y Registrar Activos I A C R
• AI.06.Gestionar Activos • AI.06.02.Gestionar Ciclo de Vida de Activos I A C R
• AI.06.03.Administrar Licencias I A C C R I
• AI.07.01.Evaluar la Capacidad y Rendimiento I A C C C C C C R R I
• AI.07.02.Evaluar el Impacto en el Negocio I A C C C C C C R R C

• AI.07.Gestionar Disponibilidad y
Rendimiento
• AI.07.03.Planificar los Requisitos de Servicios I A R R C
• AI.07.04.Monitorear la Disponibilidad y el Rendimiento I A R R I
• ES.01.Gestionar Operaciones • ES.01.01.Ejecutar los Procedimientos Operativos A C C C

Gerente de Finanzas
Gerente de Riesgos
Proceso Prácticas
Gerente de RRHH
• ES.01.02.Monitorear los Servicios Tercerizados de TI I A C R R I
• ES.01.Gestionar Operaciones
• ES.01.03.Supervisar la Infraestructura de TI I A C R I
(cont.)
• ES.01.04.Gestionar las Instalaciones A R I I I I I I R R I I I I
• ES.02.01.Definir la Clasificación de Incidentes y Solicitudes

A C R R R I
de Servicio
• ES.02.02.Registrar, Clasificar y Priorizar los Incidentes y las

A C R R I
Solicitudes de Servicio
• ES.02.Gestionar Solicitudes e • ES.02.03.Verificar, Aprobar y Resolver las Solicitudes de

A C R R I
Incidentes de Servicio Servicio
• ES.02.04.Investigar, Diagnosticar y Escalar los Incidentes A C R R R I
• ES.02.05.Resolver los Incidentes A C R R R I

Gerente de Finanzas
Gerente de Riesgos
Proceso Prácticas
Gerente de RRHH
• ES.02.06.Cerrar los Incidentes y las Solicitudes de Servicio A C R R I
• ES.02.Gestionar Solicitudes e
Incidentes de Servicio (cont.)
• ES.02.07.Realizar el Seguimiento de los Incidentes y las
I A C R R I I
Solicitudes de Servicios
• ES.03.01.Identificar y Clasificar los Problemas A C R R R I
• ES.03.Gestionar Problemas • ES.03.02.Investigar y Diagnosticar los Problemas A C R R R I
• ES.03.03.Resolver y Cerrar los Problemas I A C R R R I I
• ES.04.01.Definir la Política de Continuidad de TI A R R R C
• ES.04.Gestionar Continuidad • ES.04.02.Evaluar la Estrategia de Continuidad de TI A R R C C C C C C C C I C I
• ES.04.03.Implementar la Estrategia de Continuidad de TI A R R I I I I I I R R I I C I

Gerente de Finanzas
Gerente de Riesgos
Proceso Prácticas
Gerente de RRHH
• ES.04.04.Probar el Plan de Continuidad Informática R A I I I I I I R R I I I I
• ES.04.05.Mantener el Plan de Continuidad Informática R A I I I I I I R R I I I I

• ES.04.Gestionar Continuidad
(cont.)
• ES.04.06.Planificar y Realizar los Entrenamientos R A I I I I I I R R I I I I
• ES.04.07.Gestionar el Respaldo y la Restauración de Datos A I R C
• ES.05.01.Implementar la Protección contra Software

R A I I I I R R I I
Malicioso (malware)
• ES.05.02.Gestionar la Seguridad de Red y Conexiones R A I I I I R R I I

• ES.05.Gestionar Servicios de
Seguridad
• ES.05.03.Gestionar la Seguridad en Equipos y Dispositivos R A I I I I R R I I
• ES.05.04. Gestionar la Identidad y el Acceso R A I I I I R R R I

Gerente de Finanzas
Gerente de Riesgos
Proceso Prácticas
Gerente de RRHH
• ES.05.05.Gestionar el Acceso Físico a los Activos de TI A I R C I
• ES.05.Gestionar Servicios de
Seguridad (cont.)
• ES.05.06.Gestionar los Eventos de Seguridad I C A R R R I
• ES.06.01.Controlar el Procesamiento de la Información A C R R R R
• ES.06.Gestionar Controles de
• ES.06.02. Gestionar los Errores y las Excepciones A C R R I
Procesos
• ES.06.03. Asegurar la Protección y la Trazabilidad A C R R R
• SM.01.01.Realizar Revisiones del Control Interno de TI A I I I I I R
• SM.01.Obtener Revisión • SM.01.02.Realizar Revisiones de los Servicios de

A I I I I I R
Independiente Proveedores Externos
• SM.01.03.Realizar Revisiones de la Efectividad de los

A I I I I I R
Servicios de TI

Gerente de Finanzas
Gerente de Riesgos
Proceso Prácticas
Gerente de RRHH
• SM.01.Obtener Revisión
• SM.01.04.Realizar Revisiones del Cumplimiento de TI A I I I I I R
Independiente (cont.)
• SM.02.01.Definir Marco de la Auditoria Interna Informática A I I I I R
• SM.02.02.Designar a Personal Calificado A I I I I R
• SM.02.03.Planificar Actividades de Auditoria Interna

A I I I I R
Informática
• SM.02.Supervisar y Monitorear
Control Interno
• SM.02.04.Ejecutar Actividades de Auditoria Interna
A I I I I R
Informática
• SM.02.05.Evaluar Actividades de Auditoria Interna

A I I I I R
Informática
• SM.02.06.Realizar el Seguimiento del Informe de Auditoria

A I I I I R
Interna Informática
• SM.03.Monitorear Requerimientos
• SM.03.01.Identificar Requisitos de Cumplimiento A I I R I I
Externos
Externos (cont.)
Proceso
• SM.03.Monitorear Requerimientos
Prácticas
• SM.03.02.Implementar Requisitos de Cumplimiento
• SM.03.03.Confirmar el Cumplimiento de Requisitos Externos
I
A
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017
R
R
R
Gerente de RRHH
C
Gerente de Riesgos
A
C
Gerente de Finanzas
I
I
I
I
I
I
I

79
7.0. MATRIZ DE COMPATIBILIDAD
Esta sección aporta información sobre el nivel de compatibilidad existente entre los objetivos de control
definidos en el Manual de Control Interno Informático para Entidades Financieras (MCIIEF) y las prácticas del
Manual de Gobierno y Control de las Tecnologías de Información (MCGTI).
Manual de Control Interno Informático para Entidades Manual de Gobierno y Control de las Tecnologías de
Financieras (MCIIEF) Información (MCGTI).
PO1.1 PO.02.01.
PO1.2 PO.02.01.
PO1.3 PO.02.01.
PO1.4 PO.02.03.
PO1.5 PO.02.01.
PO1.6 PO.02.01.
PO2.1 PO.03.01.
PO2.2 PO.03.01.
PO2.3 PO.03.01.
PO2.4 PO.03.01.
PO3.1 PO.02.01.
PO3.2 SM.03.01, SM.03.02, SM.03.03.
PO3.3 ES.04.01, ES.04.02, ES.04.03, ES.04.04.
PO3.4 PO.07.03, AI.03.03.
PO3.5 PO.01.03.
PO4.1 PO.01.01.
PO4.2 PO.01.01, PO.01.05.
PO4.3 PO.01.01.
PO4.4 PO.01.02.
PO4.5 PO.01.08.
PO4.6 PO.01.05.
PO4.7 PO.01.02.
PO4.8 PO.01.01.
PO4.9 PO.01.02.
PO4.10 PO.01.05.
PO4.11 No se contempla como proceso; es una función de TI.
PO5.1 PO.04.02.
PO5.2 PO.04.03.
PO5.3 PO.04.03.
PO6.1 PO.05.02.
PO6.2 PO.05.02.
PO6.3 PO.05.01.
PO6.4 PO.05.03.
PO6.5 ES.05.04.
PO7.1 SM.03.03.
PO7.2 SM.03.02.
PO7.3 PO.07.03, ES.05.02.
PO7.4 SM.03.04.
PO8.1 AI.01.01.
PO8.2 AI.01.01.
PO8.3 AI.01.01.
PO8.4 AI.01.01.
PO8.5 AI.01.01.
PO8.6 AI.01.01; AI.01.02.
PO8.7 AI.01.01; AI.01.02.
PO8.8 AI.04.02.
PO8.9 AI.01.01; AI.01.06.
PO8.10 AI.01.04.
PO8.11 AI.01.03.
PO8.12 AI.01.05.
PO8.13 AI.01.04; AI.02.03.
PO8.14 AI.01.01; AI.04.05.
PO8.15 AI.01.01; AI.04.07.
PO9.1 AI.01.05.
PO9.2 AI.01.05.
PO9.3 No se contempla como proceso; es una función de TI.
PO9.4 AI.03.02.
PO9.5 AI.03.02.
PO9.6 AI.03.02.
PO9.7 PO.05.03, PO.07.03.
PO9.8 AI.03.02.
PO9.9 AI.03.02.
PO9.10 AI.03.02.
PO9.11 AI.03.02.
PO9.12 AI.03.02.
PO9.13 AI.03.02.
PO9.14 AI.01.04, AI.01.05.
AI1.1 AI.03.03.
AI1.2 AI. 02.01, AI.03.01, AI.03.03.
AI1.3 AI.03.03.
AI1.4 AI.03.01.
AI1.5 AI.02.01.
AI1.6 PO.07.03, AI.03.03
AI2.1 AI.03.01, AI.03.02.
AI2.2 AI.03.01, AI.03.02.
AI2.3 AI.03.01, AI.03.02.
AI2.4 AI.03.01, AI.03.02.
AI2.5 AI.03.01, AI.03.02.
AI2.6 AI.03.01, AI.03.02.
AI2.7 AI.03.01, AI.03.02.
AI2.8 AI.03.01, AI.03.02.
AI2.9 AI.03.01, AI.03.02.
AI2.10 AI.03.05.
AI2.11 AI.04.08.
AI3.1 AI.02.01, AI.02.02.
AI3.2 AI.04.07.
AI3.3 AI.03.05, AI.04.05, AI.04.06.
AI3.4 AI.03.01.
AI3.5 AI.04.07.
AI3.6 AI.05.01, AI.05.02, AI.05.03, AI.05.04
AI4.1 AI.03.05., AI.04.05.
AI4.2 AI.03.05., AI.04.03, AI.04.04., AI.04.05.
AI4.3 AI.03.05., AI.04.03, AI.04.04., AI.04.05.
AI4.3 AI.03.05., AI.04.03, AI.04.04., AI.04.05.
AI4.5 AI.04.06.
AI5.1 AI.05.01.
AI5.2 AI.05.01.
AI5.3 AI.05.01, AI.05.03., AI.05.04.
AI5.4 PO.01.01, PO.01.02, PO.05.03.
AI5.5 ES.06.01, ES.06.02, ES.06.03.
PS1.1 ES.01.02.
PS1.2 PO.07.03.
PS1.3 PO.07.05.
PS1.4 ES.01.02.
PS2.1 ES.04.01, ES.04.02, ES.04.03.
PS2.2 ES.04.05.
PS2.3 ES.04.04.
PS2.4 ES.04.06.
PS2.5 ES.04.06.
PS2.6 ES.04.02.
PS2.7 ES.04.03.
PS3.1 PO.08.01, PO.08.02, PO.08.03, PO.08.04.
PS3.2 ES.05.04.
PS3.3 ES.05.04.
PS3.4 ES.05.04.
PS3.5 ES.05.07.
PS3.6 ES.05.04.
PS3.7 ES.05.02.
PS3.8 ES.05.02.
PS4.1 ES.02.01.
PS4.2 ES.02.02.
PS4.3 ES.02.02.
PS4.4 ES.02.06; ES.02.07.
PS4.5 ES.02.07.
PS5.1 ES.06.01.
PS5.2 ES.06.03.
PS5.3 ES.06.01.
PS5.4 ES.06.05.
PS5.5 ES.06.05.
PS5.6 ES.06.04.
PS5.7 ES.04.07.
PS5.8 ES.04.07.
PS6.1 ES.05.05.
PS6.2 ES.05.05.
PS6.3 ES.01.04, ES.01.05.
PS6.4 ES.01.04, ES.01.05.
PS7.1 ES.05.03.
PS7.2 ES.01.01.
PS7.3 ES.01.01, ES.04.07, ES.04.03.
PS7.4 ES.01.03.
PS7.5 ES.05.02.
M1.1 SM.01.01.
M1.2 SM.01.02.
M1.3 SM.01.03.
M1.4 SM.01.04.
M2.1 SM.02.01.
M2.2 SM.02.01.
M2.3 SM.02.01.
M2.4 SM.02.02.
M2.5 SM.02.03.
M2.6 SM.02.05.
M2.7 SM.02.04.
M2.8 SM.02.06.
8.0. GLOSARIO
• Alta Dirección: máximo órgano de Administración de una Entidad al que le corresponde la representación,
la dirección y supervisión de la misma, así como la realización de cuantos actos resulten necesarios para la
consecución del objeto social.
• Alta Gerencia: representada por la Gerencia General o similar, y soportada por las líneas de reporte
relevantes, quienes en su conjunto gestionan de la toma de decisiones estratégicas de la Institución,
siguiendo los mandatos de la Alta Dirección.
• ANS (Acuerdo de Nivel de servicio): acuerdo escrito entre un proveedor de servicio y su cliente con
objeto de fijar el nivel acordado para la calidad de dicho servicio.
• BCP (Business Continuity Plan): Plan de Continuidad del Negocio.
• ERM (Enterprise Risk Management): Gestión de Riesgo Corporativo.
• OLA (Operational Level Agreement), Acuerdo del Nivel de Operación: especifican las
responsabilidades y compromisos en la prestación de un determinado servicio.
• QA (Quality Assurance) Aseguramiento de la Calidad: conjunto de actividades planificadas y

sistemáticas, aplicadas en un Sistema de Calidad para que los requisitos de calidad de un producto o
servicio sean satisfechos.
• ROI (Return on Investment) Retorno sobre la inversión: razón financiera que compara el beneficio o la
utilidad obtenida en relación a la inversión realizada.
• RFI (Request for Information) Solicitud de Información: proceso de negocios estándar cuyo propósito
consiste en obtener información, por escrito, acerca de las capacidades de proveedores.
• RFQ (Request for Quotation) Solicitud de Oferta: carta por medio de la cual se solicita una cotización a
un proveedor de servicios.
• RFP (Request for Proposal) Solicitud de Propuesta: documento que contiene las bases y premisas para
que los proveedores pre-seleccionados realicen sus propuestas de servicio.
• SGR: Sistema de Gestión de Riesgos.
• SGSI: Sistema de Gestión de Seguridad de la Información.
• TIC: Tecnología de Información y Comunicaciones.
• SI: Seguridad de Información.
ANEXO 1 - FORMA PARTE DE LA RESOLUCIÓN SB. SG. N° 00124/2017 DE FECHA 20 DE NOVIEMBRE DE 2017
Nivel Meses
Proceso Prácticas
N1 M1 M2 M3 M4 M5 M6 M7 M8 M9 M10 M11 M12 M13 M14 M15 M16 M17 M18
• GG.01.01.Evaluar Sistema de Gobierno M
• GG.01.Establecer y Mantener Marco de Gobierno • GG.01.02.Orientar Sistema de Gobierno. M
• GG.01.03.Supervisar Sistema de Gobierno. M
• GG.02.01.Evaluar Gestión de Riesgos M
• GG.02. Optimizar Riesgos • GG.02.02.Orientar Gestión de Riesgos M
• GG.02.03.Supervisar Gestión de Riesgos M
• GG.03.01.Evaluar Requisitos de Informes de las Partes Interesadas M
• GG.03.Garantizar Transparencia a las Partes Interesadas • GG.03.02.Orientar Comunicación con Partes Interesadas y Elaboración de Informes M
• GG.03.03.Supervisar Comunicación con Partes Interesadas M
• PO.01.01.Definir la Estructura Organizativa M
• PO.01.02.Establecer los Roles, las Responsabilidades y las Funciones M
• PO.01.03.Definir y Mantener las Políticas M
• PO.01.04.Comunicar los Objetivos y la Dirección de Gestión M
• PO.01.05.Optimizar la Ubicación de la Función de TI M
• PO.01.06.Definir la Propiedad de Información y/o Sistemas M
• PO.01.07. Mantener el Cumplimiento de las Políticas y Procedimientos M
• PO.01.08. Optimizar la Ubicación de la Función de SI M
• PO.02.01.Desarrollar la Planificación Estratégica de TI M
• PO.02.Gestionar Estrategia • PO.02.02.Comunicar la Estrategia y la Dirección de TI M
• PO.02.03. Monitorear la Planificación Estratégica de TI M
• PO.03.01.Definir la Arquitectura de TI M
• PO.03.02. Actualizar la Arquitectura de TI M
• PO.04.01.Priorizar la Asignación de Recursos M
• PO.04.Gestionar Presupuesto • PO.04.02.Crear y Mantener el Presupuesto M
• PO.04.03. Monitorear el Presupuesto M
• PO.05.01.Identificar al Personal Clave y de Respaldo M
• PO.05.Gestionar Recursos Humanos • PO.05.02.Mantener las Habilidades y las Competencias del Personal M
• PO.05.03. Evaluar el Desempeño Laboral del Personal M
• PO.06.01.Identificar los Servicios M
• PO.06.02.Identificar, Definir y Preparar los Acuerdos de Servicio M
• P0.06.Gestionar Acuerdos de Servicios
• PO.06.03.Supervisar e Informar los Niveles de Servicio M
• PO.06.04.Revisar los Acuerdos de Servicio M
• PO.07.01.Identificar y Analizar a los Proveedores M
• PO.07.02.Seleccionar a Proveedores M
• PO.07.Gestionar Proveedores • PO.07.03.Gestionar los Contratos y las Relaciones con Proveedores M
• PO.07.04. Gestionar los Riesgos en el Suministro M
• PO.07.05.Evaluar Proveedores M
• PO.08.01.Establecer y Mantener SGSI M
• PO.08.02.Identificar y Evaluar Riegos M
• PO.08.03.Definir y Gestionar Plan de Tratamiento de Riesgos de Seguridad de la Información M
• PO.08.04.Supervisar y Revisar el SGSI M
• AI.01.01.Definir Estándar para la Gestión de Proyectos M
• AI.01.02.Realizar el Estudio de Viabilidad M
• AI.01.03.Planificar el Proyecto M
• AI.01.Gestionar Proyectos • AI.01.04.Gestionar la Calidad del Proyecto M
• AI.01.05.Gestionar los Riesgos del Proyecto M
• AI.01.06.Gestionar y Controlar los Proyectos M
• AI.01.07.Cerrar los Proyectos M
• AI.02.01.Definir y Mantener los Requerimientos Técnicos y Funcionales M
• AI.02.Gestionar Requerimientos de Soluciones • AI.02.02.Gestionar Riesgos de los Requerimientos M
• AI.02.03.Obtener Aprobación de los Requerimientos M
• AI.03.01.Diseñar las Soluciones M
• AI.03.02.Desarrollar las Soluciones M
• AI.03.Construir y Mantener Soluciones
Nivel Meses
Proceso Prácticas
• AI.03.03. Adquirir los Componentes de la Solución M
• GG.01.Establecer y Mantener Marco de Gobierno • AI.03.04.Construir las Soluciones M
• AI.03.05.Realizar Controles de Calidad M
• AI.03.06.Mantener Soluciones M
• AI.04.01.Elaborar el Plan de Implementación M
• AI.04.02.Planificar la Conversión de Sistemas y Datos M
• AI.04.03. Planificar las Pruebas de Aceptación M
• AI.04.04.Establecer el Entorno de Pruebas M
• AI.04.05.Ejecutar las Pruebas de Aceptación M
• AI.04.06.Transferir a Producción M
• AI.04.07.Entregar Soporte M
• AI.04.08.Realizar la Revisión Post-implementación M
• AI.05.01.Evaluar, Priorizar y Autorizar las Solicitudes de Cambio M
• AI.05.02. Gestionar los Cambios de Emergencia M
• AI.05.03.Realizar Seguimiento e Informar los Cambios de Estado M
• AI.05.04.Cerrar y Documentar los Cambios M
• AI.06.01.Identificar y Registrar Activos M
• AI.06.Gestionar Activos • AI.06.02.Gestionar Ciclo de Vida de Activos M
• AI.06.03.Administrar Licencias M
• AI.07.01.Evaluar la Capacidad y Rendimiento M
• AI.07.02.Evaluar el Impacto en el Negocio M
• AI.07.Gestionar Disponibilidad y Rendimiento
• AI.07.03.Planificar los Requisitos de Servicios M
• AI.07.04.Monitorear la Disponibilidad y el Rendimiento M
• ES.01.01.Ejecutar los Procedimientos Operativos M
• ES.01.02.Monitorear los Servicios Tercerizados de TI M
• ES.01.03.Supervisar la Infraestructura de TI M
• ES.01.04.Gestionar las Instalaciones M
• ES.02.01.Definir la Clasificación de Incidentes y Solicitudes de Servicio M
• ES.02.02.Registrar, Clasificar y Priorizar los Incidentes y las Solicitudes de Servicio M
• ES.02.03.Verificar, Aprobar y Resolver las Solicitudes de Servicio M
• ES.02.Gestionar Solicitudes e Incidentes de Servicio • ES.02.04.Investigar, Diagnosticar y Escalar los Incidentes M
• ES.02.05.Resolver los Incidentes M
• ES.02.06.Cerrar los Incidentes y las Solicitudes de Servicio M
• ES.02.07.Realizar el Seguimiento de los Incidentes y las Solicitudes de Servicios M
• ES.03.01.Identificar y Clasificar los Problemas M
• ES.03.Gestionar Problemas • ES.03.02.Investigar y Diagnosticar los Problemas M
• ES.03.03.Resolver y Cerrar los Problemas M
• ES.04.01.Definir la Política de Continuidad de TI M
• ES.04.02.Evaluar la Estrategia de Continuidad de TI M
• ES.04.03.Implementar la Estrategia de Continuidad de TI M
• ES.04.Gestionar Continuidad • ES.04.04.Probar el Plan de Continuidad Informática M
• ES.04.05.Mantener el Plan de Continuidad Informática M
• ES.04.06.Planificar y Realizar los Entrenamientos M
• ES.04.07.Gestionar el Respaldo y la Restauración de Datos M
• ES.05.01.Implementar la Protección contra Software Malicioso (malware ) M
• ES.05.02.Gestionar la Seguridad de Red y Conexiones M
• ES.05.03.Gestionar la Seguridad en Equipos y Dispositivos M
• ES.05.Gestionar Servicios de Seguridad
• ES.05.04. Gestionar la Identidad y el Acceso M
• ES.05.05.Gestionar el Acceso Físico a los Activos de TI M
• ES.05.06.Gestionar los Eventos de Seguridad M
• ES.06.01.Controlar el Procesamiento de la Información M
• ES.06.Gestionar Controles de Procesos • ES.06.02. Gestionar los Errores y las Excepciones M
• ES.06.03. Asegurar la Protección y la Trazabilidad M
• SM.01.01.Realizar Revisiones del Control Interno de TI M
• SM.01.Obtener Revisión Independiente
Nivel Meses
Proceso Prácticas
• SM.01.02.Realizar Revisiones de los Servicios de Proveedores Externos M
• GG.01.Establecer y Mantener Marco de Gobierno • SM.01.03.Realizar Revisiones de la Efectividad de los Servicios de TI M
• SM.01.04.Realizar Revisiones del Cumplimiento de TI M
• SM.02.01.Definir Marco de la Auditoria Interna Informática M
• SM.02.02.Designar a Personal Calificado M
• SM.02.03.Planificar Actividades de Auditoria Interna Informática M
• SM.02.Supervisar y Monitorear Control Interno
• SM.02.04.Ejecutar Actividades de Auditoria Interna Informática M
• SM.02.05.Evaluar Actividades de Auditoria Interna Informática M
• SM.02.06.Realizar el Seguimiento del Informe de Auditoria Interna Informática M
• SM.03.01.Identificar Requisitos de Cumplimiento M
• SM.03.Monitorear Requerimientos Externos • SM.03.02.Implementar Requisitos de Cumplimiento M
• SM.03.03.Confirmar el Cumplimiento de Requisitos Externos M
O = Optativo
M = Mandatorio
Nivel Meses
Proceso Prácticas
• GG.01.01.Evaluar Sistema de Gobierno M
• GG.01.Establecer y Mantener Marco de Gobierno • GG.01.02.Orientar Sistema de Gobierno. M
• GG.01.03.Supervisar Sistema de Gobierno. M
• GG.02.01.Evaluar Gestión de Riesgos O
• GG.02. Optimizar Riesgos • GG.02.02.Orientar Gestión de Riesgos O
• GG.02.03.Supervisar Gestión de Riesgos O
• GG.03.01.Evaluar Requisitos de Informes de las Partes Interesadas O
• GG.03.Garantizar Transparencia a las Partes
• GG.03.02.Orientar Comunicación con Partes Interesadas y Elaboración de Informes O
Interesadas
• GG.03.03.Supervisar Comunicación con Partes Interesadas O
• PO.02.01.Desarrollar la Planificación Estratégica de TI M
• PO.02.Gestionar Estrategia • PO.02.02.Comunicar la Estrategia y la Dirección de TI M
• PO.02.03. Monitorear la Planificación Estratégica de TI M
• PO.03.01.Definir la Arquitectura de TI M
• PO.03.02. Actualizar la Arquitectura de TI M
• PO.04.01.Priorizar la Asignación de Recursos M
• PO.04.Gestionar Presupuesto • PO.04.02.Crear y Mantener el Presupuesto M
• PO.04.03. Monitorear el Presupuesto M
• PO.05.01.Identificar al Personal Clave y de Respaldo O
• PO.05.Gestionar Recursos Humanos • PO.05.02.Mantener las Habilidades y las Competencias del Personal O
• PO.05.03. Evaluar el Desempeño Laboral del Personal O
• PO.06.01.Identificar los Servicios O
• PO.06.02.Identificar, Definir y Preparar los Acuerdos de Servicio O
• PO.06.03.Supervisar e Informar los Niveles de Servicio O
• PO.06.04.Revisar los Acuerdos de Servicio O
• PO.07.01.Identificar y Analizar a los Proveedores O
• PO.07.02.Seleccionar a Proveedores O
• PO.07.Gestionar Proveedores • PO.07.03.Gestionar los Contratos y las Relaciones con Proveedores O
• PO.07.04. Gestionar los Riesgos en el Suministro O
• PO.07.05.Evaluar Proveedores O
• AI.01.01.Definir Estándar para la Gestión de Proyectos M
• AI.01.02.Realizar el Estudio de Viabilidad M
• AI.01.03.Planificar el Proyecto M
• AI.01.Gestionar Proyectos • AI.01.04.Gestionar la Calidad del Proyecto M
• AI.01.05.Gestionar los Riesgos del Proyecto M
• AI.01.06.Gestionar y Controlar los Proyectos M
• AI.01.07.Cerrar los Proyectos M
• AI.02.Gestionar Requerimientos de Soluciones • AI.02.02.Gestionar Riesgos de los Requerimientos M
Nivel Meses
Proceso Prácticas
• AI.06.01.Identificar y Registrar Activos M
• AI.06.Gestionar Activos • AI.06.02.Gestionar Ciclo de Vida de Activos M
• AI.07.01.Evaluar la Capacidad y Rendimiento O
• AI.07.02.Evaluar el Impacto en el Negocio O
• AI.07.03.Planificar los Requisitos de Servicios O
• AI.07.04.Monitorear la Disponibilidad y el Rendimiento O
• ES.02.01.Definir la Clasificación de Incidentes y Solicitudes de Servicio M
• ES.02.02.Registrar, Clasificar y Priorizar los Incidentes y las Solicitudes de Servicio M
• ES.02.03.Verificar, Aprobar y Resolver las Solicitudes de Servicio M
• ES.02.Gestionar Solicitudes e Incidentes de
• ES.02.04.Investigar, Diagnosticar y Escalar los Incidentes M
Servicio
• ES.02.05.Resolver los Incidentes M
• ES.02.06.Cerrar los Incidentes y las Solicitudes de Servicio M
• ES.02.07.Realizar el Seguimiento de los Incidentes y las Solicitudes de Servicios M
• ES.03.01.Identificar y Clasificar los Problemas O
• ES.03.Gestionar Problemas • ES.03.02.Investigar y Diagnosticar los Problemas O
• ES.03.03.Resolver y Cerrar los Problemas O
Nivel Meses
Proceso Prácticas
O = Optativo
M = Mandatorio
Nivel Meses
Proceso Prácticas
• GG.01.01.Evaluar Sistema de Gobierno O
• GG.01.Establecer y Mantener Marco de Gobierno • GG.01.02.Orientar Sistema de Gobierno. O
• GG.01.03.Supervisar Sistema de Gobierno. O
• GG.02.01.Evaluar Gestión de Riesgos O
• GG.02. Optimizar Riesgos • GG.02.02.Orientar Gestión de Riesgos O
• GG.02.03.Supervisar Gestión de Riesgos O
• GG.03.01.Evaluar Requisitos de Informes de las Partes Interesadas O
• GG.03.Garantizar Transparencia a las Partes Interesadas • GG.03.02.Orientar Comunicación con Partes Interesadas y Elaboración de Informes O
• GG.03.03.Supervisar Comunicación con Partes Interesadas O
• PO.02.01.Desarrollar la Planificación Estratégica de TI O
• PO.02.Gestionar Estrategia • PO.02.02.Comunicar la Estrategia y la Dirección de TI O
• PO.02.03. Monitorear la Planificación Estratégica de TI O
• PO.03.01.Definir la Arquitectura de TI O
• PO.03.02. Actualizar la Arquitectura de TI O
• PO.04.01.Priorizar la Asignación de Recursos O
• PO.04.Gestionar Presupuesto • PO.04.02.Crear y Mantener el Presupuesto O
• PO.04.03. Monitorear el Presupuesto O
• PO.05.01.Identificar al Personal Clave y de Respaldo O
• PO.05.Gestionar Recursos Humanos • PO.05.02.Mantener las Habilidades y las Competencias del Personal O
• PO.05.03. Evaluar el Desempeño Laboral del Personal O
• PO.06.01.Identificar los Servicios O
• PO.06.02.Identificar, Definir y Preparar los Acuerdos de Servicio O
• PO.06.03.Supervisar e Informar los Niveles de Servicio O
• PO.06.04.Revisar los Acuerdos de Servicio O
• PO.07.01.Identificar y Analizar a los Proveedores O
• PO.07.02.Seleccionar a Proveedores O
• PO.07.Gestionar Proveedores • PO.07.03.Gestionar los Contratos y las Relaciones con Proveedores O
• PO.07.04. Gestionar los Riesgos en el Suministro O
• PO.07.05.Evaluar Proveedores O
• AI.01.01.Definir Estándar para la Gestión de Proyectos O
• AI.01.02.Realizar el Estudio de Viabilidad O
• AI.01.03.Planificar el Proyecto O
• AI.01.Gestionar Proyectos • AI.01.04.Gestionar la Calidad del Proyecto O
• AI.01.05.Gestionar los Riesgos del Proyecto O
• AI.01.06.Gestionar y Controlar los Proyectos O
• AI.01.07.Cerrar los Proyectos O
• AI.02.Gestionar Requerimientos de Soluciones • AI.02.02.Gestionar Riesgos de los Requerimientos O
Nivel Meses
Proceso Prácticas
• AI.06.01.Identificar y Registrar Activos O
• AI.06.Gestionar Activos • AI.06.02.Gestionar Ciclo de Vida de Activos O
• AI.07.01.Evaluar la Capacidad y Rendimiento O
• AI.07.02.Evaluar el Impacto en el Negocio O
• AI.07.03.Planificar los Requisitos de Servicios O
• AI.07.04.Monitorear la Disponibilidad y el Rendimiento O
• ES.02.01.Definir la Clasificación de Incidentes y Solicitudes de Servicio O
• ES.02.02.Registrar, Clasificar y Priorizar los Incidentes y las Solicitudes de Servicio O
• ES.02.03.Verificar, Aprobar y Resolver las Solicitudes de Servicio O
• ES.02.Gestionar Solicitudes e Incidentes de Servicio • ES.02.04.Investigar, Diagnosticar y Escalar los Incidentes O
• ES.02.05.Resolver los Incidentes O
• ES.02.06.Cerrar los Incidentes y las Solicitudes de Servicio O
• ES.02.07.Realizar el Seguimiento de los Incidentes y las Solicitudes de Servicios O
• ES.03.01.Identificar y Clasificar los Problemas O
• ES.03.Gestionar Problemas • ES.03.02.Investigar y Diagnosticar los Problemas O
• ES.03.03.Resolver y Cerrar los Problemas O
Nivel Meses
Proceso Prácticas
O = Optativo
M = Mandatorio

1027

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

1027

Diunggah oleh

Hak Cipta:

Format Tersedia

BANCO CENTRAL DEL PARAGUAY

Manual de Gobierno y Control de

Versión 02, revisión 00 del MANUAL DE GOBIERNO Y CONTROL DE

Este manual, desarrollado por la SUPERINTENDENCIA DE BANCOS, debe ser

1.0. INTRODUCCION ........................................................................................................................................ 2

2.0. MODELO DE PROCESOS ......................................................................................................................... 4

3.0. CATALOGO DE PROCESOS .................................................................................................................... 6

4.0. MARCO DE GOBIERNO Y CONTROL .................................................................................................... 11

5.0. CATALOGO DE SALIDAS ........................................................................................................................ 52

6.0. MATRIZ RACI ........................................................................................................................................... 64

7.0. MATRIZ DE COMPATIBILIDAD ............................................................................................................... 80

8.0. GLOSARIO ............................................................................................................................................... 84

• ISO/IEC 27001:2013, emitido por la Organización Internacional de Estándares de Normalización.

• Information Technology Infrastructure Library (ITIL®).

• The Open Group Architecture Framework (TOGAF®).

• Project Management Body of Knowledge (PMBOK®).

• Projects IN Controlled Environments 2 (PRINCE2®).

• Modelo COSO (Committee of Sponsoring Organizations of the Treadway Commission).

El Manual de Gobierno y Control de Tecnologías de Información (MGCTI) se encuentra estructurado de la

• Sección 2 – Modelo de Procesos: describe en términos generales el enfoque adoptado en el manual

• Sección 3 – Catálogo de Procesos: proporciona información sobre los procesos incorporados al

• Sección 7 – Matriz de Compatibilidad: aporta información sobre el nivel de compatibilidad existente

• Sección 8 – Glosario: describe el catálogo alfabetizado de palabras junto con la definición o

El Manual de Gobierno y Control de Tecnologías de Información (MGCTI), podría requerir modificaciones y

El Manual de Gobierno y Control de Tecnologías de Información (MGCTI) contempla un modelo de

El enfoque adoptado por el Manual de Gobierno y Control de Tecnologías de Información (MGCTI)

Cada proceso, desarrollado en el Manual de Gobierno y Control de Tecnologías de Información (MGCTI),

• Identificación del Proceso:

 Nombre del Proceso: breve descripción que identifica al proceso.

 Título y Descripción de la Práctica: conjunto de requerimientos de alto nivel y declaraciones de

 Salidas de la Práctica: resultados o productos mínimos de cada proceso. Se consideran necesarias

Dominio Etiqueta/Nombre Descripción

Analizar y articular los requerimientos para el gobierno de las

Asegurar que el apetito y la tolerancia al riesgo de la Entidad sean

Asegurar que la medición y la elaboración de informes, en cuanto a

Definir y mantener el Marco de Gestión de TI, incluyendo el diseño e

Establecer una arquitectura común integrada por los procesos, las

Gestionar las actividades de presupuesto, relacionadas con las

Proporcionar un enfoque adecuado para garantizar una óptima

Alinear los niveles de servicios de TI con las necesidades y

Administrar los servicios de tecnología de información, prestados por

Definir, implementar y supervisar el Sistema de Gestión de la

Gestionar los proyectos, incluidos en el portafolio de proyectos, en

Identificar soluciones y analizar requerimientos (incluyendo

Diseñar, construir o adquirir soluciones de TI, alineadas con los

Aceptar formalmente y hacer operativas las nuevas soluciones de TI,

Gestionar los cambios requeridos a las soluciones de TI

Gestionar el ciclo de vida de los activos de TI mediante el diseño e

Evaluar el rendimiento actual y la previsión de necesidades futuras

Coordinar y ejecutar procedimientos operativos para entregar los

Responder en forma oportuna y efectiva a las solicitudes de los

Evaluar, diseñar, implementar y mantener estrategias de continuidad

Proteger los recursos tecnológicos de la Entidad considerando los

Definir, implementar y mantener controles apropiados para asegurar

Fortalecer y mejorar los niveles de confianza, así como de

Supervisar y evaluar de forma continua el entorno de control interno

Evaluar el cumplimiento de requisitos legales, regulatorios y

GESTIONAR GOBIERNO (GG)

01. Establecer y Mantener Marco de Gobierno.

Metas del Proceso

GG.01.01.Evaluar Sistema de Gobierno: identificar los requerimientos de las

GG.01.02.Orientar Sistema de Gobierno: informar el modelo de Gobierno de

GG.01.03.Supervisar Sistema de Gobierno: supervisar la ejecución y la

Metas del Proceso