Superintendencia de Bancos
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 0
TABLA DE CONTENIDOS
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 1
1.0. INTRODUCCION
El Manual de Gobierno y Control de Tecnologías de Información (MGCTI) ha sido elaborado con el objetivo
de ofrecer un marco de referencia común para que las Entidades Financieras, fiscalizadas por la
Superintendencia de Bancos del Banco Central del Paraguay, dispongan e implementen los requisitos mínimos
de gobierno así como de control de las Tecnologías de Información y Comunicación (TICs).
En su proceso de redacción, han sido contemplados modelos de referencia los cuales proporcionan una nueva
generación de principios para el gobierno así como la gestión de las TICs. El MGCTI está basado
primariamente en el modelo de referencia COBIT 5 ®, y al mismo tiempo se alinea técnicamente con otros
estándares, tales como:
De igual forma, este manual incorpora conceptos, definiciones y enunciados orientados a contribuir con el
proceso de mejora en el desempeño de las tecnologías de información, mediante la implementación de
sistemas efectivos. Con la vigencia de este Manual, se pretende lograr la uniformidad de Gobierno y Control
Interno en los procesos de las TICs, en el marco de lo que establece la Ley Nº 861/06 “General de Bancos,
Empresas Financieras y Otras Entidades de Créditos”, bajo los principios de eficiencia y eficacia,
contribuyendo al cumplimiento de los objetivos institucionales de fortalecimiento del Control Interno de las
Entidades Financieras.
• Sección 4 - Marco de Gobierno y Control: esta sección incorpora información sobre los procesos,
incluyendo: la descripción, los objetivos, las metas, las prácticas y las salidas generadas en cada caso.
Este apartado es una de las partes más importantes del documento pues incorpora los principios y las
prácticas de Gobierno, así como de Control, que deben ser implementadas por las Entidades
Financieras supervisadas por la Superintendencia de Bancos.
• Sección 5 – Catálogo de Salidas: describe las principales características que deben reunir las salidas
que son generadas en cada uno de los procesos que componen el Manual de Gobierno y Control de
Tecnologías de Información, con la finalidad de cumplir las definiciones y metas establecidas.
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 2
• Sección 6 – Matriz RACI: en esta sección se expone información con respecto a los responsables
primarios o principales para gestionar los procesos, prácticas y salidas, identificados en el Manual de
Gobierno y Control de Tecnología de Información. Para tal efecto fueron previstos cuatro roles, a saber:
1) R (responsable); 2) A (quien autoriza o quien aprueba); 3) C (consultado); 4) I (informado).
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 3
2.0. MODELO DE PROCESOS
• Gobierno: contempla un dominio el cual contiene tres procesos de gobierno. En cada proceso se han
definido las prácticas para Evaluar, Orientar y Supervisar (EOS) dichos procesos.
• Control: tiene cuatro dominios alineados con las prácticas de Planificar, Construir, Ejecutar y
Supervisar (PCES). Cada dominio agrupa varios procesos, relacionados con el control de las
Tecnologías de Información y Comunicación (TIC), relevantes para la Entidad.
La Figura 1 ilustra el conjunto completo de los 27 procesos de gobierno y control diseñados en el contexto del
Marco de Gobierno y Control de las Tecnologías de Información (MGCTI).
Figura 1 – Modelo de Procesos del Marco de Gobierno y Control de Tecnologías de Información (MGCTI)
Nombre de Dominio: identificación del nombre del dominio al cual pertenece el proceso, en este
caso:
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 4
o Gestionar Gobierno [GG]: incluye procesos que abordan los objetivos de gobierno de TI y sus
partes interesadas; contempla prácticas y actividades orientadas a evaluar opciones
estratégicas, proporcionando dirección y supervisando resultados.
o Planificar y Organizar [PO]: contempla los procesos relacionados con las acciones, definiciones
y decisiones estratégicas, así como tácticas, que definen la manera en que las tecnologías de
información contribuirán de mejor manera para el logro de los objetivos de la Entidad. Abarca
igualmente, la implementación de la visión estratégica mediante la planificación, comunicación,
y gestión desde diferentes perspectivas.
o Adquirir e Implementar [AI]: este dominio abarca los procesos necesarios para poner en
práctica las estrategias de tecnología de información definidas, así como la identificación,
adquisición, o desarrollo, implementación e integración con los procesos de tecnología y
seguridad de la Entidad.
o Entregar Servicio y Dar Soporte [ES]: cubre la entrega de los servicios requeridos, e incluye la
prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del
servicio a los usuarios, la administración de los datos así como de las instalaciones operativas.
o Supervisar y Monitorear [SM]: abarca los procesos necesarios para realizar el monitoreo del
control interno, del cumplimiento regulatorio y de la aplicación de gobierno. Aborda la
participación de la gerencia y demás órganos de línea en los procesos de retroalimentación de
los mecanismos de verificación así como de evaluación proveniente de auditorías internas y
externas.
Etiqueta de Proceso: compuesto por el prefijo que identifica al dominio (GG, PO, AI, ES, SM) al cual
pertenece el proceso y adicionalmente un número correlativo que lo identifica (01, 02, 03).
• Descripción del Proceso: menciona la visión general del proceso, así como una descripción de alto
nivel acerca de cómo el proceso lleva a cabo el propósito para el cual fue definido.
• Objetivo del Proceso: declaración que describe cual es el propósito general del proceso.
• Metas del Proceso: resultado deseado de un proceso cuyo cumplimiento contribuye o apoya al
cumplimiento de las metas definidas por las Tecnologías de Información y Comunicación (TIC).
• Prácticas de Proceso:
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 5
3.0. CATALOGO DE PROCESOS
Un proceso se define como: “una colección de prácticas influenciadas por las políticas y procedimientos de la
Entidad que toma entradas de un número dado de fuentes (incluyéndose otros procesos), procesa las entradas
y genera salidas (ej. Productos, servicios)”.
Esta sección expone el listado de procesos identificados en el Manual de Gobierno y Control de Tecnologías
de Información (MGCTI), incluyendo la descripción general de los mismos.
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 6
Dominio Etiqueta/Nombre Descripción
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 7
Dominio Etiqueta/Nombre Descripción
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 8
Dominio Etiqueta/Nombre Descripción
Entregar Identificar y clasificar los problemas así como sus causas de origen,
Servicio y Dar ES.03.Gestionar Problemas proporcionando resolución en tiempo para prevenir incidentes
Soporte (ES) recurrentes y establecer recomendaciones de mejora.
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 9
Dominio Etiqueta/Nombre Descripción
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 10
4.0. MARCO DE GOBIERNO Y CONTROL
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 11
Dominio: Gestionar Gobierno GG.01.Establecer y Mantener Marco de Gobierno
Descripción del Proceso: analizar y articular los requerimientos para el gobierno de las tecnologías de
información, poniendo en marcha y manteniendo estructuras, procesos y prácticas facilitadoras efectivas, con
claridad de responsabilidades y la autoridad requerida para contribuir con el logro de la misión, las metas y
objetivos de la Entidad.
Objetivo del Proceso: proporcionar un enfoque consistente, integrado y alineado con el alcance del gobierno
de la Entidad, para garantizar que las decisiones relativas a las tecnologías de información sean adoptadas en
línea con las estrategias y objetivos de la Entidad, garantizando: la supervisión de los procesos de manera
efectiva y transparente, el cumplimiento con los requerimientos regulatorios así como legales y alcanzado los
requerimientos de gobierno de la Alta Dirección.
1. Definir el modelo para toma de decisiones a fin de lograr la efectividad de TI, su alineación con el entorno
externo e interno de la Entidad y con los requerimientos de las partes interesadas.
2. Integrar el sistema de Gobierno de TI al modelo de Gobierno Corporativo de la Entidad.
3. Monitorear que el sistema de Gobierno para TI está operando de manera efectiva.
Prácticas Salidas/Productos
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 12
Dominio: Gestionar Gobierno GG.02. Optimizar Riesgos
Descripción del Proceso: asegurar que el apetito y la tolerancia al riesgo de la Entidad sean entendidos,
articulados y comunicados. Asegurar que los riesgos relacionados con las tecnologías de la información sean
oportunamente identificados, evaluados y tratados apropiadamente
Objetivo del Proceso: asegurar que los riesgos relacionados con las tecnologías de información no excedan,
el apetito ni la tolerancia al riesgo de la Entidad. Así mismo, que el impacto de los riesgos de tecnología de
información sean identificados, gestionados y tratados a un nivel aceptable.
1. Definir y comunicar los umbrales de riesgos (apetito de riesgo) relacionados con tecnología de información.
2. Gestionar (identificar, evaluar y tratar) los riesgos relacionados con tecnología de información de forma
eficaz y eficiente.
Prácticas Salidas
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 13
Dominio: Gestionar Gobierno GG.03.Garantizar Transparencia a las Partes Interesadas
Descripción del Proceso: asegurar que la medición y la elaboración de informes, en cuanto a conformidad así
como desempeño de TI, son transparentes, y cuentan con aprobación de las metas, las métricas y las acciones
correctivas necesarias por parte de los Interesados Claves.
Objetivo del Proceso: asegurar que la comunicación con las partes interesadas sea efectiva, oportuna y se ha
establecido una base para la elaboración de informes para mejorar/monitorear el desempeño, identificar áreas
susceptibles de mejora y confirmar que las estrategias u objetivos relacionados con TI concuerdan con la estrategia
de la Entidad.
1. Cumplir con los requisitos de informes demandados por los Interesados Claves.
2. Elaborar informes completos, oportunos y precisos.
3. Comunicar los requisitos de los Interesados Clave de manera eficaz.
Prácticas Salidas
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 14
PLANIFICAR Y ORGANIZAR (PO)
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 15
Dominio: Planificar y Organizar PO.01.Definir Marco de Gestión
Descripción del Proceso: definir y mantener el Marco de Gestión de TI, incluyendo el diseño e implementación de un
modelo organizacional, alineado con las necesidades de la Entidad. Implementar y mantener mecanismos así como roles
para gestionar la información y la utilización de los recursos de TI a fin de apoyar los objetivos de gobierno, alineados con
las políticas corporativas y los principios rectores.
Objetivo del Proceso: proporcionar un enfoque de gestión consistente que permita cumplir los requisitos de
gobierno y control e incluya procesos de gestión, estructuras organizacionales, roles y responsabilidades
organizativos, habilidades y competencias claramente definidas.
Prácticas Salidas
• Modelo Organizacional
PO.01.01.Definir la Estructura Organizativa: definir e implementar una
(Organigrama).
estructura organizativa interna, alineada con las necesidades del negocio y las
• Comité de Dirección y
prioridades de tecnología de información, que gestione la toma de decisiones
Planificación de los Servicios
de forma eficaz y eficiente.
de TI.
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 16
PO.01.05.Optimizar la Ubicación de la Función de TI: designar formalmente
al responsable de Tecnología de Información y posicionar el área, en la
• Modelo Organizacional
estructura organizativa global, reportando a la Alta Gerencia, reflejando su
(Organigrama).
importancia para la organización y considerando su criticidad para la
estrategia empresarial.
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 17
Dominio: Planificar y Organizar PO.02.Gestionar Estrategia
Descripción del Proceso: proporcionar una visión integral de la Entidad y del entorno de tecnología de
información, la dirección futura, y las iniciativas necesarias para migrar al entorno deseado. Aprovechar los
componentes de la estructura Empresarial, incluyendo los servicios externos y las capacidades relacionadas
que permitan una respuesta ágil, confiable y eficiente para el logro de los objetivos estratégicos.
Objetivo del Proceso: alinear los planes estratégicos de tecnología de información con los objetivos de la
Entidad. Comunicar claramente, a los interesados claves, los objetivos de TI, incluyendo la identificación de las
opciones estratégicas, estructuradas e integradas con los planes de la Entidad.
Prácticas Salidas
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 18
Dominio: Planificar y Organizar PO.03.Gestionar Arquitectura
Descripción del Proceso: establecer una arquitectura común integrada por los procesos, las aplicaciones y
las capas de arquitectura tecnológica que utilizan los datos corporativos. Definir las normas, las directrices, los
procedimientos, las plantillas y las herramientas para la gestión de datos y la información, proporcionando un
vínculo entre estos componentes.
Propósito del Proceso: representar a los diferentes esquemas de datos, sus interrelaciones, así como los
principios rectores de su diseño y evolución en el tiempo, permitiendo una entrega estándar, sensible y eficiente
de los objetivos operativos y estratégicos.
1. Gestionar en forma eficiente y segura el diccionario de datos corporativo y las reglas de sintaxis.
2. Mantener actualizado el diccionario de datos corporativo y las reglas de sintaxis.
Prácticas Salidas
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 19
Dominio: Planificar y Organizar PO.04.Gestionar Presupuesto
Descripción del Proceso: gestionar las actividades de presupuesto, relacionadas con las tecnologías de
información, desde la priorización del gasto o de la inversión, mediante el uso de prácticas presupuestarias
formales, hasta la registración y monitoreo de las mismas. Coordinar con las partes interesadas la
identificación y el control de los costos e inversiones en el contexto de los planes estratégicos y tácticos de TI, e
iniciar acciones correctivas cuando sea necesario.
Objetivo del Proceso: catalizar el uso eficaz y eficiente de los recursos financieros relacionados con las
tecnologías de información y brindar transparencia al proceso. Monitorear y tomar decisiones informadas con
respecto a la utilización de los recursos financieros para la implementación de soluciones y servicios de
tecnología de información.
1. Aprobar un presupuesto que refleje adecuadamente los gastos e inversiones requeridas para desarrollar los
proyectos de tecnología de información priorizados y aprobados.
2. Priorizar la asignación de los recursos financieros, para las iniciativas de tecnología de información,
basándose en necesidades y objetivos de la Entidad.
3. Comparar en forma oportuna la utilización eficiente de los recursos presupuestarios asignados a tecnología
de información.
Prácticas Salidas
PO.04.01.Priorizar la Asignación de Recursos: definir las guías para las • Acta de Aprobación del
inversiones o gastos de tecnología de información; priorizar y aprobar la Comité de Tecnología.
asignación de recursos financieros, considerando los proyectos identificados, • Guías para Inversiones de
aprobados e incluidos en la cartera de proyectos (portafolio) de la Entidad. TI.
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 20
Dominio: Planificar y Organizar PO.05.Gestionar Recursos Humanos
Descripción del Proceso: proporcionar un enfoque adecuado para garantizar una óptima estructuración,
ubicación, capacidades de decisión y habilidades de los recursos humanos. Comunicar las funciones y
responsabilidades definidas, la formación y los planes de desarrollo personal así como las expectativas de
desempeño, con el apoyo de gente competente y motivada.
Objetivo del Proceso: optimizar las capacidades de los recursos humanos asignados a los procesos de
tecnología de información con la finalidad de cumplir con los objetivos de la Entidad.
1. Contribuir al logro de las metas de tecnología de información contando con recursos flexibles, capacitados y
motivados.
2. Gestionar en forma eficaz y eficiente los recursos humanos asignados a los proyectos de tecnologías de
información.
Prácticas Salidas
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 21
Dominio: Planificar y Organizar P0.06.Gestionar Acuerdos de Servicios
Descripción del Proceso: alinear los niveles de servicios de TI con las necesidades y expectativas de la
Entidad, incluyendo la identificación, la especificación, el diseño, la publicación, el acuerdo y la supervisión de
los niveles de servicio e indicadores de rendimiento.
Objetivo del Proceso: asegurar que los servicios de tecnología de información cubren los niveles de servicios
y necesidades presentes así como futuras de la Entidad.
1. Definir y formalizar acuerdos de servicio que reflejen las capacidades y necesidades de tecnología de
información requeridas por la Entidad para el cumplimiento de las metas empresariales.
2. Monitorear que los servicios de tecnología de información tengan un desempeño acorde con lo estipulado
en los acuerdos de servicio.
Prácticas Salidas
• Informe de Monitoreo de
PO.06.03.Supervisar e Informar los Niveles de Servicio: supervisar los
los Niveles de Servicio.
niveles de servicio, identificar tendencias y proporcionar información adecuada
• Plan de Mejora y
para contribuir con la mejora continua en la gestión del rendimiento.
Corrección.
PO.06.04.Revisar los Acuerdos de Servicio: llevar a cabo revisiones • Acuerdos Nivel de Servicio
periódicas de los acuerdos de niveles de servicio y realizar los ajustes a los (ANSs). (Actualizado)
servicios de tecnología de información, con la finalidad de optimizar los mismos.
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 22
Dominio: Planificar y Organizar PO.07.Gestionar Proveedores
Descripción del Proceso: administrar los servicios de tecnología de información, prestados por los
proveedores, con la finalidad de satisfacer las necesidades del negocio, incluyendo la selección del proveedor,
la gestión de las relaciones, la gestión de los contratos, la revisión y supervisión del desempeño.
Objetivo del Proceso: formalizar la relación con los proveedores de servicios y minimizar el riesgo de servicios
ineficientes o insuficientes, monitoreando el desempeño de los mismos y tomando acciones correctivas
oportunas.
1. Gestionar oportunamente los riesgos de los proveedores evaluados como críticos para las operaciones y el
cumplimiento de los objetivos de la Entidad.
2. Formalizar la relación contractual con los proveedores y asegurar la provisión de servicios de calidad.
3. Monitorear la relación contractual con proveedores así como niveles de desempeño mínimos acordados o
esperados.
Prácticas Salidas
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 23
PO.07.05.Evaluar Proveedores: revisar periódicamente el rendimiento general
• Evaluación de
de los proveedores, el cumplimiento con los requisitos contractuales así como
Proveedores.
de calidad del servicio y tratar los incidentes que sean identificados.
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 24
Dominio: Planificar y Organizar PO.08.Gestionar Seguridad
Objetivo del Proceso: definir, operar y supervisar un sistema para la gestión de la seguridad de la información,
basado en estándares internacionales tales como ISO 27001, manteniendo el impacto y ocurrencia de los
incidentes de la seguridad de la información dentro de los niveles de tolerancia de riesgo establecidos por la
Entidad.
Prácticas Salidas
• Plan de Tratamiento de
PO.08.03.Definir y Gestionar Plan de Tratamiento de Riesgos de Seguridad
Riesgos de Seguridad de
de la Información: desarrollar y gestionar un plan de seguridad de información
la Información.
que describa la manera como se gestionan los riesgos e implementar las
• Procedimientos de
acciones para tratar los mismos de tal forma mantener el nivel de tolerancia
Seguridad de la
aceptable definido por la Alta Dirección.
Información.
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 25
ADQUIRIR E IMPLEMENTAR (AI)
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 26
Dominio: Adquirir e Implementar AI.01.Gestionar Proyectos
Descripción del Proceso: gestionar los proyectos, incluidos en el portafolio de proyectos, en coordinación con
la estrategia de la Entidad. Iniciar, planificar, ejecutar, controlar los proyectos y cerrarlos con una revisión post-
implementación.
Objetivo del Proceso: contribuir al logro de los objetivos de la Entidad mediante la gestión de proyectos
orientados a reducir los riesgos de: retrasos, costos inesperados y deterioro de valor en los mismos. Comunicar
e involucrar, en los proyectos, a los usuarios finales asegurando el cumplimiento de las premisas de valor
agregado para la Entidad así como la calidad de los entregables.
Prácticas Salidas
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 27
AI.01.05.Gestionar los Riesgos del Proyecto: establecer programas
orientados a minimizar los riesgos específicos asociados con los proyectos
mediante un proceso sistemático de planificación, identificación, análisis, • Registro de Riesgos.
respuesta, supervisión y control de las áreas o eventos que tienen el potencial
de causar cambios no deseados.
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 28
Dominio: Adquirir e Implementar AI.02.Gestionar Requerimientos de Soluciones
Objetivo del Proceso: crear soluciones viables y óptimas que cumplan con las necesidades u objetivos de la
Entidad, minimizando el riesgo y optimizando los costos asociados.
1. Satisfacer los requisitos de la Entidad al definir los requerimientos funcionales y técnicos de la solución.
2. Gestionar los riesgos asociados con los requerimientos de la Entidad y la solución propuesta.
3. Cumplir los objetivos, definidos para el caso de negocios (valor esperado y costos probables), al gestionar
los requerimientos de la solución.
Prácticas Salidas
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 29
Dominio: Adquirir e Implementar AI.03.Construir y Mantener Soluciones
Descripción del Proceso: diseñar, construir o adquirir soluciones de TI, alineadas con los requerimientos de la
Entidad, las cuales contemplen: el diseño, el desarrollo, la compra o contratación y asociación con proveedores
o fabricantes. Gestionar la configuración, preparación, realización de pruebas, y gestión de los requerimientos
relativos a las aplicaciones, los datos e informaciones, las infraestructuras así como los servicios de tecnología
de la información.
Objetivo del Proceso: diseñar, construir o adquirir soluciones (incluyendo aplicaciones, información/datos,
infraestructura y servicios) que permitan soportar la estrategia de negocio y objetivos operacionales de la
Entidad.
1. Incorporar soluciones que satisfagan las necesidades de la Entidad, los requerimientos legales y minimicen
los riesgos identificados.
2. Cumplir con las normas organizativas, controles, seguridad y ‘auditabilidad’.
3. Establecer los niveles y criterios de aceptación por parte de los Interesados Claves.
4. Aprobar los cambios en los requerimientos e incorporarlos a la solución.
Prácticas Salidas
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 30
AI.03.05.Realizar Controles de Calidad: verificar que se cumplan los criterios
de calidad especificados en el Plan de Aseguramiento de Calidad y Definición
de Requerimientos. Ejecutar pruebas iniciales, por parte del equipo de TI, para • Resultados de la Revisión
validar los componentes, individualmente así como de la solución integrada y de Calidad.
de las funcionalidades que soportan los servicios, aplicaciones e infraestructura. • Solicitud de Cambio.
Identificar, registrar y priorizar los errores e incidentes detectados durante las
pruebas.
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 31
Dominio: Adquirir e Implementar AI.04.Implementar Soluciones
Descripción del Proceso: aceptar formalmente y hacer operativas las nuevas soluciones de TI, incluyendo la
planificación de la implementación, la conversión de los datos y los sistemas (cuando sea aplicable), las
pruebas de aceptación, la comunicación, la capacitación a usuarios, el paso a producción y la revisión post-
implementación de la solución.
Objetivo del Proceso: implementar soluciones de forma segura, alineadas con las expectativas y los
resultados acordados con los Interesados Claves.
1. Aceptar y aprobar formalmente las soluciones de TI, por parte de los Interesados Claves.
2. Transferir, al entorno de producción, las soluciones de TI en forma segura y monitorear el desempeño de
las mismas.
3. Registrar las lecciones aprendidas y contemplar su impacto en el desarrollo de futuros proyectos de TI.
Prácticas Salidas
AI.04.01.Elaborar el Plan de Implementación: diseñar un plan de
implementación, aprobado por los Interesados Claves, que cubra al menos: la
conversión de datos y sistemas (cuando sea aplicable), los criterios de
aceptación de las pruebas, la comunicación, el entrenamiento de usuarios, la • Plan de Implementación.
preparación para la implementación, el paso a producción, el soporte inicial en
producción, el plan de vuelta atrás o de contingencia y la revisión post-
implementación.
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 32
AI.04.05.Ejecutar las Pruebas de Aceptación: ejecutar el plan de pruebas de
aceptación para validar los componentes individualmente y/o de la solución
integrada, incluyendo las funcionalidades que soportan los procesos de negocio, • Registro de Pruebas.
los servicios, las aplicaciones e infraestructura. Hacer partícipes a los • Solicitud de Cambio.
Interesados Claves en las pruebas e identificar, registrar y priorizar los errores
así como incidentes detectados durante el proceso.
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 33
Dominio: Adquirir e Implementar AI.05.Gestionar Cambios
Descripción del Proceso: gestionar los cambios requeridos a las soluciones de TI (aplicaciones, servicios e
infraestructura) de forma controlada. Diseñar, implementar y ejecutar procedimientos de cambio durante las
distintas etapas del proceso, incluyendo la solicitud, el análisis de impacto, la priorización, la autorización, la
ejecución, el cierre y el monitoreo o seguimiento y la documentación.
Objetivo del Proceso: gestionar los cambios en los recursos de tecnología de información en forma eficaz,
eficiente, segura y fiable para la Entidad, mitigando cualquier riesgo que impacte negativamente en la
estabilidad e integridad del entorno en cual se aplica el cambio.
1. Autorizar los cambios y realizarlos de acuerdo a sus cronogramas respectivos y con mínimos errores.
2. Evaluar el impacto y el efecto de los cambios en los componentes de TI afectados.
3. Revisar y aprobar los cambios de emergencia en forma oportuna y apropiada.
4. Informar a los Interesados Claves sobre las etapas y/o resultados del proceso de gestión de cambios.
Prácticas Salidas
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 34
Dominio: Adquirir e Implementar AI.06.Gestionar Activos
Descripción del Proceso: gestionar el ciclo de vida de los activos de TI mediante el diseño e implementación
de procedimientos que permitan la actualización de la información relativa a dichos activos (propietario del
activo, costo, número identificación, ubicación, entre otros), protección y utilización adecuada de los mismos.
Objetivo del Proceso: mantener un registro actualizado de los activos de TI, el cual permita individualizar,
clasificar, valorizar claramente los mismos, y optimizar el valor de dichos activos.
Prácticas Salidas
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 35
Dominio: Adquirir e Implementar AI.07.Gestionar Disponibilidad y Rendimiento
Descripción del Proceso: evaluar el rendimiento actual y la previsión de necesidades futuras de servicios de
TI (aplicaciones e infraestructura) basadas en los requerimientos del negocio, el análisis del impacto en la
Entidad y la evaluación del riesgo, a fin de planificar e implementar acciones tendientes a lograr los niveles de
requerimientos mínimos identificados.
Objetivo del Proceso: mantener la disponibilidad del servicio, gestionar en forma eficiente de recursos y
optimizar el rendimiento de las soluciones de TI mediante el análisis y la predicción de los requerimientos de
capacidad necesaria a futuro.
Prácticas Salidas
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 36
ENTREGAR SERVICIO Y DAR SOPORTE (ES)
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 37
Dominio: Entregar Servicio y Dar Soporte ES.01.Gestionar Operaciones
Descripción del Proceso: coordinar y ejecutar procedimientos operativos para entregar los servicios de
tecnología de información garantizando que las funciones de TI se ejecutan con normalidad, en forma ordenada
y segura.
Objetivo del Proceso: entregar los resultados del servicio operativo de TI según lo planificado.
Prácticas Salidas
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 38
Dominio: Entregar Servicio y Dar Soporte ES.02.Gestionar Solicitudes e Incidentes de Servicio
Descripción del Proceso: responder en forma oportuna y efectiva a las solicitudes de los usuarios resolviendo
los servicios solicitados. Gestionar los incidentes mediante el registro, la investigación, el diagnostico, el
escalamiento y el cierre de los mismos.
Objetivo del Proceso: lograr una mayor productividad y minimizar las interrupciones mediante la rápida
resolución de consultas de usuario e incidentes.
Prácticas Salidas
• Registro de Incidentes.
ES.02.02.Registrar, Clasificar y Priorizar los Incidentes y las Solicitudes de
(Iniciado)
Servicio: identificar, registrar y clasificar las solicitudes de servicio e incidentes,
• Solicitud de Servicio.
y asignar una prioridad según la criticidad y los acuerdos de servicios.
(Iniciada)
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 39
ES.02.05.Resolver los Incidentes: documentar, solicitar y aprobar las
• Registro de Incidentes
soluciones identificadas o temporales; ejecutar acciones de recuperación para
(Resuelto).
restaurar el servicio TI afectado.
• Registro de Incidentes.
ES.02.06.Cerrar los Incidentes y las Solicitudes de Servicio: verificar la
(Cerrado)
resolución de incidentes, el cumplimiento satisfactorio de solicitudes y cerrarlas
• Solicitud de Servicio.
oportunamente.
(Cerrada)
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 40
Dominio: Entregar Servicio y Dar Soporte ES.03.Gestionar Problemas
Descripción del Proceso: identificar y clasificar los problemas así como sus causas de origen, proporcionando
resolución en tiempo para prevenir incidentes recurrentes y establecer recomendaciones de mejora.
Objetivo del Proceso: incrementar la disponibilidad, mejorar los niveles de servicio de tecnología de
información, reducir costos, y mejorar el nivel de satisfacción del usuario final reduciendo el número de
problemas operativos de TI.
1. Garantizar que los problemas relativos a TI son resueltos de manera que no sean reincidentes.
2. Identificar problemas que puedan afectar potencialmente la seguridad y/o el desempeño de los servicios de
TI.
Prácticas Salidas
• Esquema de Clasificación
ES.03.01.Identificar y Clasificar los Problemas: definir e implementar
y Priorización.
procedimientos para detectar e informar los problemas identificados, incluyendo
• Registro de Problemas.
la clasificación, la categorización y la priorización de los mismos.
(Iniciado)
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 41
Dominio: Entregar Servicio y Dar Soporte ES.04.Gestionar Continuidad
Descripción del Proceso: evaluar, diseñar, implementar y mantener estrategias de continuidad de TI que
permitan al negocio responder a situaciones de contingencia generadas por incidentes técnicos o desastres
naturales los cuales afecten a los servicios e infraestructuras que soportan las operaciones de la Entidad.
Objetivo Específico del Proceso: mantener las operaciones críticas, así como la disponibilidad de la
información, a un nivel aceptable para la Entidad; minimizar los riesgos e impactos de una interrupción
significativa generada por una contingencia.
Prácticas Salidas
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 42
ES.04.05.Mantener el Plan de Continuidad Informática: revisar regularmente
los planes de continuidad para asegurar la continua capacidad, adecuación y
• Mantenimiento del Plan
efectividad de los mismos. Gestionar los cambios en el plan de acuerdo al
de Continuidad
proceso de control de cambios para asegurar que el plan de continuidad se
Informática.
mantiene actualizado y refleje permanentemente los requerimientos actuales del
negocio.
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 43
Dominio: Entregar Servicio y Dar Soporte ES.05.Gestionar Servicios de Seguridad
Descripción del Proceso: proteger los recursos tecnológicos de la Entidad considerando los pilares de
Confidencialidad, Integridad y Disponibilidad con el objetivo de mantener aceptable el nivel de riesgo de
seguridad. Establecer y mantener los roles de seguridad, privilegios de acceso de la información y realizar la
supervisión de la seguridad en forma oportuna y adecuada, de acuerdo a las políticas de seguridad.
Objetivo del Proceso: minimizar el impacto de las vulnerabilidades e incidentes operativos de seguridad en los
recursos de tecnología de información. Mantener los niveles de riesgos de seguridad dentro de los niveles de
apetito de riesgo definido y aprobado por la Alta Dirección.
1. Identificar a los usuarios y asignar derechos de acceso de acuerdo con sus roles en la Entidad.
2. Implementar controles para proteger la información ante accesos no autorizados, daños e interferencias
mientras la misma es procesada, almacenada o transmitida.
3. Proteger la información electrónica implementando medidas de seguridad apropiadas mientras la misma es
almacenada, transmitida o destruida.
Prácticas Salidas
ES.05.04. Gestionar la Identidad y el Acceso: asegurar que los usuarios estén • Controles y Protocolos de
identificados y tengan privilegios de acceso a la información de acuerdo con las Autenticación.
políticas de la Entidad. Solicitar, a los Propietarios designados, la aprobación y • Alta, Baja y Modificación
revisión frecuente de los privilegios asignados a usuarios. Restringir el acceso y de Usuarios.
el uso de los recursos de TI mediante la implementación de mecanismos de • Revisión de Cuentas de
autenticación robustos. Usuarios.
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 44
ES.05.05.Gestionar el Acceso Físico a los Activos de TI: implementar y
ejecutar procedimientos para gestionar (incluye: solicitar, autorizar, registrar, • Registro de Acceso.
supervisar, otorgar, limitar y revocar) los accesos (de empleados, contratados, • Controles y Protocolos de
clientes, vendedores, visitantes) a edificios y/o oficinas de la Entidad, que estén Acceso Físico.
bajo la responsabilidad de TI.
• Procedimientos de
ES.05.06.Gestionar los Eventos de Seguridad: implementar procedimientos y
Gestión de Eventos de
herramientas para lograr que las violaciones de acceso y la actividad de
Seguridad.
seguridad son registradas automáticamente, estas son informadas, revisadas,
• Registros de Eventos de
priorizadas y mitigadas.
Seguridad.
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 45
Dominio: Entregar Servicio y Dar Soporte ES.06.Gestionar Controles de Procesos
Descripción del Proceso: definir, implementar y mantener controles apropiados para asegurar que la
información procesada u operada por los sistemas de información satisfacen todos los requerimientos
relevantes de seguridad, integridad, confidencialidad, disponibilidad y confiabilidad.
Objetivo del Proceso: diseñar, implementar y mantener controles apropiados en los activos de información
que gestionan o dan soporte a los procesos de negocio de la Entidad.
1. Implementar controles claves para cumplir con los requerimientos de procesamiento de la información.
2. Asegurar la protección y trazabilidad de la información procesada por los sistemas de información.
Prácticas Salidas
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 46
SUPERVISAR Y MONITOREAR (SM)
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 47
Dominio: Supervisar y Monitorear SM.01.Obtener Revisión Independiente
Descripción del Proceso: fortalecer y mejorar los niveles de confianza, así como de seguridad del entorno de
Control Interno Informático de la Entidad ejecutando revisiones externas independientes a intervalos regulares,
llevadas a cabo por Auditores Certificados, reconocidos y habilitados por el regulador.
Objetivo del Proceso: proporcionar transparencia, seguridad y confianza verificando los controles (existencia,
diseño y operación de los mismos) implementados por la Entidad (en los procesos de tecnología de
información), el cumplimiento con leyes y las regulaciones vigentes así como el cumplimiento con los
compromisos contractuales asumidos con proveedores.
1. Realizar revisiones Independientes a intervalos regulares con el objetivo de identificar oportunidades para
fortalecer el entorno de Control Interno Informático.
2. Implementar acciones mitigantes como resultado de las Revisiones Independientes ejecutadas.
Prácticas Salidas
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 48
Dominio: Supervisar y Monitorear SM.02.Supervisar y Monitorear Control Interno
Descripción del Proceso: supervisar y evaluar de forma continua el entorno de control interno de la Entidad,
incluyendo tanto autoevaluaciones como revisiones internas independientes, desarrolladas por el Auditor
Interno Informático. Facilitar a la Alta Dirección la identificación de deficiencias e ineficiencias en el control
interno y emitir recomendaciones para optimizar los riesgos asociados. Planificar, organizar y mantener normas
para la evaluación del control interno y las actividades de aseguramiento.
Objetivo del Proceso: fortalecer la transparencia del sistema de control interno y generar confianza en las
operaciones de la Entidad monitoreando la eficiencia y eficacia del entorno de control interno informático.
1. Establecer un marco de auditoria interna informática que identifique, comunique y mitigue los riesgos.
2. Definir e implementar la función de Auditoría Interna Informática.
3. Monitorear el cumplimiento de los requisitos del sistema de control interno de la Entidad.
4. Planear y ejecutar iniciativas de aseguramiento en forma efectiva.
5. Proporcionar aseguramiento independiente acerca del diseño y operación del sistema de control interno.
Prácticas Salidas
• Manual de Funciones,
SM.02.02.Designar a Personal Calificado: asegurar que los Auditores Internos Roles y
Informáticos (AII) estén certificados por organismos profesionales de reconocida Responsabilidades.
trayectoria, se encuentren técnicamente calificados y tengan las habilidades así • Planes y Programas de
como los conocimientos necesarios para ejecutar sus funciones de manera
eficaz, eficiente e independiente. Capacitación.
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 49
SM.02.05.Evaluar Actividades de Auditoria Interna Informática: evaluar, al
menos anualmente, las actividades de la Auditoría Interna Informática con la
• Informe de Evaluación de
finalidad de verificar que se cumplan los objetivos previstos, empleando normas
la Auditoria Interna
y procedimientos aplicables a dicha área. Verificar que la evidencia sea
Informática.
suficiente, fiable, pertinente y útil para lograr eficazmente los objetivos de la
auditoria.
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 50
Dominio: Supervisar y Monitorear SM.03.Monitorear Requerimientos Externos
Descripción del Proceso: evaluar el cumplimiento de requisitos legales, regulatorios y contractuales, tanto en
los procesos de Tecnología de Información (TI) así como de Seguridad de Información (SI). Identificar los
requisitos de cumplimiento de TI y SI, y monitorear que los mismos se cumplan y hayan sido integrados con los
procesos de cumplimiento de la Entidad en general.
Objetivo del Proceso: asegurar que las áreas de Tecnología de Información y de Seguridad de Información
cumplan con todos los requisitos externos que sean aplicables.
1. Identificar los requisitos de cumplimiento que sean aplicables a Tecnología de Información (TI), así como de
Seguridad de Información (SI).
2. Monitorear la implementación de las acciones requeridas por los requisitos de cumplimiento que sean
aplicables a Tecnología de Información (TI), así como de Seguridad de Información (SI).
Prácticas Salidas
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 51
5.0. CATALOGO DE SALIDAS
Este capítulo describe las principales características que deben reunir las salidas que son generadas en cada
uno de los procesos que componen el Manual de Gobierno y Control de Tecnologías de Información, con la
finalidad de cumplir las definiciones y metas establecidas.
• Acta de Aceptación del Proyecto: documento que formaliza la aceptación, aprobación y conformidad de
los interesados claves con respecto a los resultados y entregables del proyecto. El mismo puede ser
generado al finalizar cada fase del ciclo del proyecto y antes del inicio de la siguiente fase (aceptación
parcial) o al finalizar un proyecto (aceptación final).
• Acta de Aprobación del Comité de Tecnología: documento que formaliza las autorizaciones o
aprobaciones relacionadas con decisiones que afecten a los Planes, Presupuestos, Recursos y Gobierno
de TI, realizados por el Comité de Tecnología.
• Acta de Constitución del Proyecto: documento que autoriza formalmente el inicio de un proyecto y
confiere al director del proyecto la autoridad para asignar los recursos de la organización a las actividades
del proyecto. Debe contemplar como mínimo lo siguiente: la descripción del proyecto, definición del
producto/servicio, requisitos preliminares, objetivos, justificación, definición del encargado, principales
riesgos, presupuesto preliminar.
• Acuerdos Nivel de Servicio (ANSs): acuerdo formalizado entre el proveedor de servicios y la Entidad con
el objeto de fijar el nivel mínimo de calidad para un determinado servicio, incluyendo entre otros aspectos:
tiempo de respuesta, disponibilidad, documentación disponible, personal asignado al servicio.
• Alta, Baja y Modificación de Usuarios: establece definiciones sobre los procedimientos de la Entidad para
gestionar los identificadores de usuario asignados al personal; incluyendo aspectos tales como: a) asignar
los derechos de acceso de los usuarios de acuerdo con los requerimientos de las funciones y procesos de
negocio; b) alinear la gestión de identidades y derechos de acceso, basándose en los principios de menor
privilegio, necesidad de tener y necesidad de conocer; c) administrar los cambios de derechos de acceso
(creación, modificación y eliminación) para que tengan efecto en el momento oportuno basándose sólo en
transacciones aprobadas y documentadas y autorizadas por los gestores individuales designados; d)
segregar y gestionar cuentas de usuario privilegiadas.
• Catálogo de Servicios de TI: identifica los servicios gestionados por el área de tecnología de información,
los recursos asignados para tal efecto y los interesados claves que son los usuarios de los mismos.
• Código de Ética: documento que promueve la cultura ética a desarrollar por la Auditoría Interna
Informática. Debe establecer los Principios relevantes para la función y práctica de la auditoría interna
informática, así como las Reglas de Conductas que describen las normas de comportamiento que se
espera sean observadas por el Auditor, incluyendo el debido cuidado profesional, objetividad, integridad,
competencia, entre otros. El Código de Ética debe estar alineado con los macos de referencia aplicables
(ejemplo estándares y directrices emitidas por la ISACA).
• Comité de Dirección y Planificación de los Servicios de TI: los miembros de este Comité deben ser
nombrados por la Alta Dirección; su principal objetivo consiste en dirigir la planificación y ejecutar el
monitoreo de los servicios de tecnología de información así como sus actividades. Este Comité debe contar
al menos entre sus miembros a representantes de la Alta Gerencia, Auditoría Interna, Gerentes de las áreas
usuarias así como de la Unidad Funcional de Servicios de TI. El Comité debe reunirse periódicamente, sus
decisiones registradas (en acta) y reportadas frecuentemente a la Alta Dirección.
• Componentes de la Solución: piezas, componentes o entregables que forman parte de la solución ante un
requerimiento o proyecto específico y que sean necesarios ser adquiridos, desarrollados o documentados.
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 52
• Contrato/Orden de Compra: documento que describe los servicios o productos, términos de entrega,
responsabilidades, precios y plazos pactados con el Proveedor de Servicio. El mismo establece un acuerdo
legal entre las partes que intervienen en la adquisición así como los procedimientos para la aceptación del
producto o servicio, las especificaciones de pruebas y/o inspección.
• Controles y Protocolos de Acceso Físico: directrices e instrucciones definidas por la Entidad para
gestionar las peticiones y autorizaciones de acceso a las instalaciones de procesamiento. Las peticiones
formales de acceso deben ser completadas, autorizadas y registradas debidamente y actualizadas
regularmente. El acceso a las ubicaciones de TI (salas de servidores, edificios, áreas o zonas) debe
basarse en funciones de trabajo y responsabilidades.
• Controles y Protocolos de Autenticación: establece definiciones sobre las políticas de la Entidad para
gestionar el proceso de identificación y autenticación de usuarios; incluyendo aspectos tales como: a)
identificar unívocamente todas las actividades de proceso de la información (ej: por roles funcionales),
coordinando con las unidades de negocio y asegurando que todos los roles están definidos
consistentemente, incluyendo los definidos por el propio negocio en las aplicaciones de procesos de
negocio, b) autenticar el acceso a los activos de información basándose en su clasificación de seguridad;
c) asegurar que todos los usuarios (internos, externos y temporales) y su actividad en sistemas de TI
(aplicaciones de negocio, infraestructura de TI, operaciones de sistema, desarrollo y mantenimiento) son
identificables unívocamente; d) establecer mecanismos de autenticación robustos (ej: contraseñas, tokens,
u otros) de acuerdo con el nivel de criticidad del recurso de TI.
• Controles y Protocolos de Prevención de Software Malicioso: establece definiciones sobre las políticas
de la Entidad para prevenir y detectar software de carácter malicioso; incluyendo aspectos tales como: a)
instalar y activar herramientas de protección para software malicioso que se actualicen según se requiera
(automática o semi-automáticamente), b) concienciar sobre software malicioso y forzar procedimientos de
prevención, c) distribuir el software de protección de forma centralizada, d) revisar y evaluar regularmente la
información sobre nuevas posibles amenazas, d) filtrar el tráfico entrante, como correos electrónicos y
descargas, para protegerse frente a información no solicitada (por ejemplo, software espía y correos de
phishing).
• Controles y Protocolos de Seguridad de Red y Conexiones: establece definiciones sobre las políticas
de la Entidad para dar seguridad a la red y conexiones públicas; incluyendo aspectos tales como: a) permitir
sólo a los dispositivos autorizados acceso a la información y a la red de la Entidad; b) implementar
mecanismos de filtrado de red, como cortafuegos y software de detección de intrusiones, con políticas
apropiadas para controlar el tráfico entrante y saliente; c) cifrar la información en tránsito de acuerdo con su
clasificación; d) aplicar los protocolos de seguridad aprobados a las conexiones de red; e) configurar los
equipamientos de red de forma segura; f) establecer mecanismos de confianza para dar soporte a la
transmisión y recepción segura de información; g) realizar pruebas de intrusión periódicas para determinar
la adecuación de la protección de la red; h) realizar pruebas periódicas de la seguridad del sistema para
determinar la adecuación de la protección del sistema.
• Controles y Protocolos de Seguridad para Dispositivos: establece definiciones sobre las políticas de la
Entidad para la protección de dispositivos; incluyendo aspectos tales como: a) configurar los sistemas
operativos de forma segura; b) implementar mecanismos de bloqueo de los dispositivos; c) cifrar la
información almacenada de acuerdo a su clasificación; d) gestionar el acceso y control remoto; e) gestionar
la configuración de la red de forma segura; f) implementar el filtrado del tráfico de la red en dispositivos de
usuario final; g) proteger la integridad del sistema; h) proveer de protección física a los dispositivos de
usuario final; i) procesar la baja de los dispositivos en forma segura; j) prevenir y verificar periódicamente la
existencia de software no autorizado.
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 53
• Criterios de Aceptación: documento en el cual se describen el conjunto de condiciones técnicas y de
calidad que debe cumplirse para que los Interesados Claves acepten los entregables generados en las
distintas fases de cada proyecto.
• Declaración de Alcance del SGSI: definición del ámbito de la Entidad que abarca el Sistema de Gestión
de Seguridad de la Información, incluyendo una identificación clara de las dependencias, relaciones y
límites que pudieran existir o aquellas partes que no han sido contempladas.
• Declaración de Transparencia a las Partes Interesadas: documento que establece los principios de
comunicación con los interesados externos e internos a la Entidad, incluyendo formatos de reportes y
canales de comunicación efectivos, principios de aceptación y aprobación de los reportes, e implementación
de mecanismos o medios para proporcionar fiabilidad e integridad a la información.
• Declaración del Apetito de Riesgo: documento que contempla la definición y comunicación del apetito al
riesgo, tolerado por la Alta Dirección, y que deben ser observados por el Área de Tecnología de Información
así como de Seguridad de Información durante los procesos de evaluación de riesgos que desarrollen.
• Definición de Requerimientos: documento que incluye (con base al caso de negocio) las condiciones, las
capacidades, los resultados de información de negocio (funcional, técnica y de control) y los requerimientos
(identificados, priorizados, especificados y acordados con los interesados claves) que debe cubrir la
solución de TI propuesta para lograr los resultados esperados por los Interesados Claves.
• Entornos y Datos de Prueba: selección de datos que sean representativos del entorno de producción los
cuales deben ser replicados a un ambiente segregado e independiente para realizar las pruebas sin alterar
las operaciones o procesos rutinarios de la Entidad. Los entornos de prueba o de homologación deben ser
definidos y diseñados precautelando los principios y buenas prácticas de seguridad, control interno y
criterios de desempeño requeridos.
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 54
• Estrategia de Continuidad de TI: es un plan que especifica una serie de pasos o de conceptos que tienen
como fin lograr la continuidad de los servicios TI. Puede conseguirse bien mediante medidas preventivas,
que eviten la interrupción de los servicios, o medidas reactivas, que recuperen unos niveles aceptables de
servicio en el menor tiempo posible.
• Estudio de Viabilidad: documento que incluye el análisis exhaustivo de todos aquellos factores y
condiciones, tecnológicas así como económicas, que intervendrán en el proyecto, a fin de establecer
preliminarmente el nivel de factibilidad del proyecto y su alineación con los requerimientos de la Entidad.
• Evaluación de Capacidad y Rendimiento: análisis generado como resultado del proceso diseñado para
evaluar periódicamente los niveles reales de rendimiento y del procesamiento de los recursos críticos de TI
(la demanda del negocio, capacidad de servicio y capacidad de los recursos) mediante la comparación de
las tendencias con los niveles de servicios mínimos establecidos o requeridos.
• Evaluación de Impacto en el Negocio: procedimiento que evalúa los procesos de negocios o las áreas
críticas, así como los activos tecnológicos de la Entidad que los soportan, y que requieran ser recuperados
o restaurados en un tiempo óptimo definido por la Entidad. El objetivo del mismo consiste en asignar
prioridades a las estrategias de recuperación ante una interrupción de la actividad del negocio o de los
recursos de TI.
• Guía para Administración de Proyectos: contempla pautas y conceptos que deben ser seguidas por la
Entidad para la administración de proyectos, así como la aplicación de conocimientos, procesos,
habilidades, herramientas y técnicas para influir positivamente en el éxito del proyecto. Debe cubrir, como
mínimo: a) los requerimientos para la definición de la naturaleza, alcance y aprobación del proyecto, b) los
grupos de procesos de dirección de proyecto que sean aplicables (inicio, planificación, ejecución, monitoreo
y control, cierre), c) las áreas de conocimiento (alcances, tiempos, costos, recursos humanos, riesgos, y
adquisiciones) con sus respectivos procesos que sean aplicables para la administración de proyectos de la
Entidad, d) la identificación y participación del personal que represente a las unidades funcionales
afectadas, en todas las etapas del Proyecto (inicio, planificación, ejecución, monitoreo y control, cierre), e)
los criterios para asignar al personal de TI a un proyecto, así como la definición de sus responsabilidades y
atribuciones, f) los criterios para realizar el análisis de viabilidad requerido para el proyecto, g) los criterios
de aprobación parciales y definitivos de entregables, h) las definiciones para la realización de pruebas de
validación y aceptación así como de entrenamiento y capacitación a usuarios.
• Guías para Inversiones de TI: conjunto de principios que definen las orientaciones y guías definidas por la
Alta Dirección para apoyar y ayudar en la toma de decisiones referentes a inversiones de TI, incluyendo:
formas de aprobación, elegibilidad de la inversión, retornos esperados, niveles de autorización, entre otros.
• Informe de Auditoría del SGSI: informe que reporta sobre el resultado de la evaluación del Sistema de
Gestión de Seguridad de la Información (SGSI), y cuya finalidad está orientado a colaborar con la eficacia y
eficiencia en la implementación del SGSI.
• Informe de Auditoria Interna Informática: reporte que detalla el alcance y los objetivos de la auditoria, el
periodo cubierto, los destinatarios del reporte, así como la naturaleza y oportunidad del trabajo realizado.
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 55
De igual manera contempla las evidencias, conclusiones y recomendaciones resultantes del trabajo
realizado, y cualquier salvedad o calificación identificada por el auditor. Este reporte es emitido por un
Auditor Interno con el objetivo de informar sobre:
Control Interno y Efectividad de los Servicios Internos: resultados de la revisión del control
interno informático, producto de las evaluaciones realizadas para verificar el diseño, existencia y
operación de las políticas, procedimientos y controles implementados en el entorno de Control
Interno Informático.
• Informe de Avances del Proyecto: documento que describe el seguimiento, revisión e información del
avance del proyecto, con respecto a los objetivos de desempeño definidos en el plan para la dirección del
proyecto. La principal función de la actividad de reporte de avances es mantener informados a todos los
interesados claves acerca del cumplimiento de las tareas planeadas.
• Informe de Estado de Solicitud de Cambio: contiene información sobre el estado (ej: abierta, cerrada,
ejecutada) actualizado de las solicitudes de cambios generadas en los procesos de gestión de cambio de
las soluciones de TI.
• Informe de Evaluación de Desempeño: indica los resultados de la evaluación y el rendimiento global del
empleado, con respecto al cumplimiento de las funciones asignadas, las actividades y los objetivos logrados
durante un periodo determinado de tiempo.
• Informe de Evaluación de la Auditoria Interna Informática: resultado de la revisión y/o evaluación del
marco, metodologías y procedimientos ejecutados por la Auditoria Interna Informática con el fin de evaluar
el nivel de cumplimiento de los objetivos e identificar mejoras continuas en el modelo de trabajo.
• Informe de Incidentes y Solicitudes de Servicios: documento que resume información acerca de los
incidentes y requerimientos de servicios atendidos, la frecuencia y el estado (iniciado, proceso, cerrado) de
los mismos, de tal forma de establecer tendencias e identificar patrones de hechos recurrentes, infracciones
de ANSs o ineficiencias en los procesos, los cuales permitan el inicio de la mejora continua.
• Informe de Monitoreo de los Niveles de Servicio: reportes que detallan resultados del análisis y el
monitoreo de los niveles de servicios acordados con los interesados clave, los cuales proporcionan
información para ayudar a la gestión del rendimiento, informar de las mejoras e identificar tendencias.
• Informe de Revisión Independiente: reporte emitido por un Auditor Externo Independiente con el objetivo
de informar sobre los siguientes aspectos:
Control Interno y Efectividad de los Servicios Internos: resultados de la revisión del control
interno informático, producto de las evaluaciones realizadas para verificar el diseño, existencia y
operación de las políticas, procedimientos y controles implementados en el entorno de Control
Interno Informático.
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 56
políticas, procedimientos y controles los cuales garanticen la Disponibilidad, Integridad y
Confidencialidad de los servicios que son prestados a la Entidad que contrata los servicios.
• Informe de Seguimiento de la Auditoría Informática: reporta el resultado de las revisiones realizadas con
respecto el avance logrado por la Alta Gerencia en la implementación de las medidas preventivas y/o
correctivas recomendadas por el Auditor Interno Informático para los casos que se observaran debilidades o
posibles problemas para la Entidad.
• Informe Post- Implementación: reporte que incluye los principales resultados originados tras la
implementación de una solución de TI (incluyendo: servicios, aplicaciones e infraestructura) con el objetivo
de determinar el éxito de la misma e identificar oportunidades para mejorar el proceso de implementación o
la solución en sí misma.
• Inventario de Activos: lista de activos informáticos de la Entidad, que incluye, entre otras, información
sobre su condición (crítico o no), fecha de adquisición, estado actual, propietario, valor, ubicación del
mismo, clasificación (hardware, software, instalaciones, u otro). Este listado debe ser documentado y
actualizado periódicamente a partir de las entradas y las salidas de activos.
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 57
• Manual de Usuario: documento técnico destinado a dar asistencia al usuario de una determinada solución
de TI (aplicaciones, infraestructura o servicios). El manual de usuario, en formato impreso o digital, incluye
al menos: a) un prefacio, con información sobre cómo usar el propio manual, b) índice, c) guía rápida sobre
cómo usar las funciones principales de la solución, d) sección para la resolución de problemas, e)
Preguntas Frecuentas (FAQ), f) Información de contacto, e) glosario.
• Personal Clave y de Respaldo: documento que formaliza la nómina del personal clave del área y la
estrategia (ejemplo: mediante la captura de conocimiento, el intercambio de conocimientos, la planificación
de la sucesión, el respaldo o backup del personal, el entrenamiento cruzado e iniciativas de rotación de
puestos) para minimizar la dependencia en una sola persona en la realización de una función crítica.
• Plan de Adquisición: describe cómo se gestionarán los procesos de adquisición, desde la elaboración de
los documentos de compra hasta el cierre del contrato. El plan de gestión de las adquisiciones incluye
directivas para: a) la descripción general de los componentes a ser adquiridos; b) los tipos de contratos a
utilizar; c) determinar si se utilizarán estimaciones independientes y si son necesarios criterios de
evaluación; d) las restricciones y los supuestos que podrían afectar las adquisiciones planificadas; e) la
determinación de las fechas planificadas en cada contrato para los entregables del mismo; f) la
identificación de requisitos para obtener garantías de cumplimiento o contratos de seguros a fin de mitigar
algunas formas de riesgo del proyecto; g) la identificación de vendedores precalificados, si los hubiera, que
se utilizarán; h) las métricas de adquisiciones que se emplearán para gestionar contratos y evaluar
vendedores.
• Plan de Aseguramiento de Calidad: este documento contempla la identificación de los requisitos y/o
estándares de calidad para el proyecto y sus entregables, así como la manera que serán aprobados con
base a los requisitos de calidad. Describe cómo se implementarán las políticas de calidad del proyecto de la
Entidad, promoviendo la filosofía de mejora continua, incluyendo los requisitos y tipos de actividades,
ejemplo: revisiones, auditorias, inspecciones que deben ser ejecutadas para alcanzar los objetivos
definidos.
• Plan de Auditoria Interna Informática: contiene el planeamiento anual del trabajo de auditoria de TI,
diseñado para alcanzar los objetivos de la auditoria y evaluar el cumplimiento de las Políticas,
Procedimientos y Controles implementados en la Entidad. Debe incluir al menos las siguientes definiciones:
áreas o procesos a ser auditados, tipo de auditoría (ordinaria o extraordinaria), marco de tiempo en el cual
se desarrollará la evaluación, recursos que participación de los trabajos o revisiones y las horas que serán
aplicadas para cada revisión.
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 58
• Plan de Capacidad: documento que resume los objetivos de capacidad y rendimiento presentes y futuros,
así como las medidas necesarias para su cumplimiento: a) evaluar y prever que se cumplan las
necesidades de capacidad de TI tanto presentes como futuras, b) controlar o contrastar el rendimiento de la
infraestructura de TI, c) desarrollar planes de capacidad asociados a los niveles de servicio acordados, y d)
gestionar y racionalizar la demanda de servicios TI.
• Plan de Continuidad Informática (PCI): formaliza los procedimientos que debe realizar la Entidad para
gestionar la recuperación y continuidad de determinados recursos de tecnología, definidos como críticos
para las operaciones de la Entidad, de tal forma gestionar los riesgos de interrupción en los mismos. El
alcance de este documento normalmente contempla procedimientos cronológicos y técnicos específicos
para lograr la recuperación de los recursos de TI así como los responsables de su ejecución.
• Plan de Disponibilidad: documento que resume los objetivos de disponibilidad presentes y futuros, así
como las medidas necesarias para su cumplimiento. Este plan contempla al menos: a) la situación actual de
disponibilidad de los servicios TI; b) las herramientas para la monitorización de la disponibilidad; c) los
métodos y técnicas de análisis a utilizar; d) las definiciones relevantes y precisas de las métricas a utilizar,
e) los planes de mejora de la disponibilidad; f) las expectativas futuras de disponibilidad.
• Plan Estratégico de TI: es el resultado del proceso de planificación estratégica de la Entidad, al cual debe
estar alineado estrechamente. El Plan Estratégico de TI formaliza los ejes estratégicos de TI, la meta
definida para cada línea estratégica, los programas a desarrollar para lograr el cumplimiento de las metas,
el horizonte de tiempo durante el cual se desarrollaran las iniciativas y los responsables. Incorpora
acciones en diferentes marcos de tiempo:
Largo Plazo: iniciativas tecnológicas que sirven como herramientas para el logro de la misión
global y metas de la Entidad.
Corto Plazo: contempla acciones y directrices tecnológicas, con un plazo de ejecución de un año o
menos, y cuyos logros en su conjunto permiten alcanzar las metas de largo plazo.
• Plan de Implementación: documento que describe la estrategia y la secuencia de acciones que deben
desarrollarse para implementar la solución de TI (servicios, aplicaciones o infraestructura), los recursos
necesarios, las interdependencias, los criterios para la aceptación en producción, los requisitos para
verificar la instalación, las estrategias de transición para el soporte en producción, y los plazos/fechas
estimados.
• Plan de Mantenimiento: documento que detalla información sobre las revisiones/acciones periódicas que
deben efectuarse a las soluciones de TI implementadas (aplicaciones, servicios e infraestructura) para
mantenerlas actualizadas, incluyendo requerimientos operacionales tales como: gestión de los “parches”,
estrategias de actualización, análisis de vulnerabilidades y requerimientos de seguridad.
• Plan de Mantenimiento de las Instalaciones: documento que detalla información sobre las
revisiones/acciones periódicas que deben efectuarse a las instalaciones de TI (centro de cómputos, área de
redes, área de gerencia, área de seguridad, entre otras.) para mantenerlas, incluyendo requerimientos
operacionales tales como: estrategias de actualización, análisis de vulnerabilidades y requerimientos de
seguridad.
• Plan de Mejora y Corrección: documento que permite identificar y jerarquizar las acciones requeridas,
responsables asignados y recursos necesarios, para subsanar falencias, desviaciones, o debilidades
identificadas en procesos, sistemas de control, estructuras organizacionales o recursos de tecnología en
general.
• Plan de Mejoras del SGSI: documento que tiene como finalidad recopilar todas las acciones requeridas
para la mejora continua del Sistema de Gestión de Seguridad de la Información y de sus procesos
relacionados, así como las acciones a implementar, plazos y responsables de su ejecución.
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 59
• Plan de Migración: documento que refleja la estrategia de migración y las compatibilidades para realizar la
conversión de los elementos de la anterior solución a la nueva, incluyendo: hardware, redes, sistemas
operativos, software, datos transaccionales, carpetas y archivos, copias de seguridad, interfaces con otros
sistemas (internos y externos), posibles requisitos de cumplimiento y documentación del sistema en el
desarrollo del plan.
• Plan de Pruebas: describe los casos de prueba integrados y prácticas, acordes al entorno de la Entidad,
que catalizaran la realización de pruebas apropiadas para verificar que la solución está operativa en forma
satisfactoria y entregará los resultados esperados, incluyendo los controles de seguridad así como de
auditoría adecuados. Este plan debe reproducir los escenarios de prueba, los responsables de aprobación
de las pruebas, y los criterios de evaluación de resultados.
• Plan de Soporte: documento que identifica los recursos y acciones que serán necesarios para resolver las
consultas que surjan acerca del uso de la nueva solución de TI (aplicaciones, infraestructura y servicios) por
parte de los usuarios finales.
• Plan y Alcance del Proyecto: incluye la definición, alcance, preparación y coordinación de todos los
planes secundarios incorporados en un plan integral para la dirección del proyecto contemplando los sub-
planes de alcances, tiempos, costos, recursos humanos, riesgos y adquisiciones. De igual manera
contempla, la descripción detallada del proyecto, enumerando sus patrocinadores, responsable del
proyecto, áreas afectadas, entregables principales, estimación general de costos e inversiones, los
supuestos y las restricciones del mismo.
• Política de Continuidad de TI: establece las responsabilidades, define los planes estándares y delinea los
requisitos de implementación necesarios para minimizar el efecto en la interrupción de los servicios
tecnológicos de la Entidad, como consecuencia de una contingencia, con la finalidad de minimizar las
pérdidas financieras y asegurar la reanudación oportuna de las funciones críticas. La Política de
Continuidad debe ser aprobada por la Alta Dirección e implementada por la Alta Gerencia.
• Políticas de Tecnología Informática: conjunto de principios y directrices, aprobados por la Alta Dirección,
diseñados con la finalidad de responder a requisitos de control en materia de Tecnología Informática (TI).
Las mismas deben ser difundidas y cumplidas por parte del personal involucrado. Las Políticas deben ser
actualizadas con frecuencia regular.
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 60
• Políticas de Transparencia a las Partes Interesadas: directrices para el mantenimiento de un canal de
comunicación abierto y transparente por parte de la Entidad con sus partes interesadas; incluye
normalmente las reglas para la elaboración, aprobación y publicación de reportes e informes que deben ser
presentados a los Interesados Claves.
• Pólizas de Seguro: documento en el cual se formaliza el contrato de seguro, las obligaciones y derechos
que corresponderán tanto a la aseguradora como al asegurado. En el documento se mencionan las
personas físicas o jurídicas, los recursos de TI u otros objetos e instrumentos que sean sujetos de cobertura
y se establecerán las indemnizaciones así como garantías en caso que se produzca un siniestro que afecte
a los mismos.
• Presupuesto de TI: documento que detalla los recursos financieros previstos y aprobados para financiar
las inversiones que soportan los Planes de TI, así como los gastos recurrentes (ej: adquisición de
infraestructura, contratación de servicios). El presupuesto debe ser elaborado, aprobado y actualizado
siguiendo los procesos internos de la Entidad.
• Procedimiento de Gestión del Presupuesto de TI: incluye la definición de los procesos, entradas, salidas
y responsabilidades para la registración y el reconocimiento, en el sistema contable de la Entidad de
aquellos gastos e inversiones realizadas por el Área de TI, conforme al presupuesto aprobado. Incluye
asimismo la definición e implementación de un conjunto de tareas, controles y responsables con el objetivo
de comparar el monto presupuestado con el monto ejecutado, el análisis, la justificación de los gastos, las
inversiones y los beneficios derivados.
• Procedimientos de Gestión de Eventos de Seguridad: documento que describe las tareas, actividades o
controles para garantizar que las violaciones de acceso y la actividad de seguridad son registradas,
informadas, revisadas, priorizadas y mitigadas.
• Procedimientos de Seguridad de la Información: guías detalladas que indican como aplicar y ejecutar
las definiciones establecidas en las Políticas de Seguridad. Incluye todos los procedimientos necesarios
para asegurar la planificación, operación y control de los procesos de seguridad de la información, así como
para el cumplimiento de los controles implantados.
• Programación Operativa: calendario de procesos y actividades operativas de los servicios de TI. Incluye
como mínimo: a) el nombre del proceso/servicio y su secuencia, b) el responsable, c) los usuarios del
servicio, d) los resultados del servicio. El objetivo de este documento consiste en asegurar que se cumpla
con los estándares de calidad y seguridad aplicables para la recepción, procesamiento y almacenamiento
de salidas o resultados, de forma tal que se satisfagan los objetivos de la Entidad, la política de seguridad
interna y los requerimientos regulatorios.
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 61
• Pruebas de Intrusión: procedimientos técnicos con la finalidad identificar y evaluar las vulnerabilidades de
seguridad a las cuales se encuentran expuestos los activos de TI. Los resultados y las recomendaciones de
las pruebas deben ser formalizados en un informe, emitido por un profesional independiente debidamente
calificado y certificado.
• Registro de Acceso: documento que contiene los datos para la identificación (ej. nombre y apellido, CI,
departamento u organización a la que pertenece, hora de entrada, hora de salida, motivo de visita) de las
personas que acceden a los sitios críticos de TI.
• Registro de Capacitación: contiene datos e informaciones relativas a la participación del personal a las
sesiones de capacitación, entrenamiento y formación profesional o técnica, promovidas por la Alta
Gerencia.
• Registro de Eventos: contiene el registro cronológico de los eventos que afectan a la infraestructura de TI,
los cuales permiten la reconstrucción, la revisión oportuna y el examen de la secuencia de los mismos.
Deben ser retenidos por un periodo de tiempo prudencial y ser revisados frecuentemente. Los Registros de
Eventos deben ser creados sobre la base de una lista de activos críticos o dependiendo de la criticidad del
servicio los cuales requieran ser monitoreados permanentemente.
• Registro de Incidentes: conjunto de datos con los detalles de un Incidente el cual documenta la historia de
los mismos (ejemplo: iniciado, diagnosticado, resuelto y cerrado). En este registro se encuentran todos los
eventos que generen una interrupción no planificada o la reducción de calidad de algún servicio de TI.
• Registro de Operaciones: contiene el registro cronológico de los resultados de las operaciones de TI los
cuales permiten la reconstrucción, la revisión oportuna así como el examen de la secuencia de los procesos
o las actividades ejecutadas por el sector operativo. Este registro debe ser retenido por un periodo de
tiempo prudencial y revisado oportunamente. Los Registros de Operaciones deben ser creados sobre la
base de una lista de activos críticos o dependiendo de la criticidad del servicio.
• Registro de Problemas: catálogo único para registrar e informar sobre los detalles de los problemas (ej.:
evento que afecta a los recursos de TI y cuyas causas son analizadas e investigadas) identificados y para
establecer pistas de auditoría sobre el proceso de referencia, incluyendo el estado los mismos (ej: iniciado,
diagnosticado, solucionado, cerrado).
• Registro de Pruebas: documento en el cual se registran los resultados de las pruebas realizadas conforme
al Plan de Pruebas definido. Debe contener un detalle preciso de las fechas de las pruebas, los escenarios
testeados, datos e informaciones del proyecto, los responsables de la prueba, los resultados de la prueba y
la aprobación o aceptación del grupo de usuarios de pruebas, de operaciones y de seguridad.
• Registro de Riesgos: documento en el cual se registran los resultados del análisis de riesgos y de la
planificación de la respuesta a los mismos. Contempla la actualización y monitoreo frecuente de los
registros de riesgos a medida que transcurre el proyecto.
• Registros de Eventos de Seguridad: repositorio o registro que contiene información que permite la
identificación, el análisis, la evaluación y el cierre de los eventos de seguridad registrados por las
herramientas de monitoreo de seguridad implementadas.
• Reporte de Monitoreo (Disponibilidad y Rendimiento): resultado del proceso continuo e iterativo que
monitoriza, analiza y evalúa el rendimiento, la capacidad y disponibilidad de la infraestructura TI. Con los
datos obtenidos se debe buscar optimizar los servicios o elevar un requerimiento de cambio al proceso
Gestión de Cambios. La información es obtenida mediante el monitoreo efectuado a las operaciones de TI,
el registro de los KPI y el análisis de los datos para evaluar la conveniencia de adoptar acciones correctivas
tales como el aumento de la capacidad o mejorar gestión de la demanda.
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 62
• Requisitos de Cumplimiento: comprenden las exigencias obligatorias derivadas de legislaciones y
regulaciones vigentes implementadas por la Entidad (en sus procesos, políticas, procedimientos y normas
internas) para dar cumplimiento a las mismas.
• Resultado de la Prueba del Plan de Continuidad Informática: documento que respalda los resultados de
las pruebas efectuadas al Plan de Continuidad Informática así como la identificación de cambios o ajustes
en la estrategia implementada.
• Resultados de Comunicación: instrumentos y/o documentos internos por medio de los cuales la Entidad
se asegura que la información (incluyendo Misión, los Objetivos y Planes de TI, la Seguridad, los Controles
Internos, la Calidad, el Código de Ética/Conducta, políticas, procedimientos, entre otros) sea comunicada
oportuna y adecuadamente a los Interesados Claves.
• Resultados de Supervisión: informe a las partes interesadas sobre los resultados y los aspectos
relevantes de la supervisión del Gobierno de TI. Normalmente se da por la supervisión directa
implementada en la misma Alta Gerencia, los Informes de Auditores Internos, o Informes de Auditores
Externos.
• Revisión de Cuentas de Usuarios: proceso de verificación de las cuentas de usuarios y los privilegios de
acceso asignados, con la finalidad de determinar si los mismos deben mantenerse, modificarse o revocarse.
Normalmente este procedimiento se realiza con una frecuencia regular y considerando la rotación del
personal en la Entidad.
• Revisión Periódica de SGSI de la Alta Dirección: proceso de verificación y revisión por parte de la Alta
Dirección acerca del cumplimiento de los objetivos propuestos y el alcance proyectado para el modelo de
seguridad de la información, así como de las medidas de seguridad definidas para mitigar los riesgos
identificados. Este proceso se realiza con base a los resultados que arrojan los indicadores de la seguridad
de la información, propuestos para verificación de la eficacia y efectividad de los controles implementados..
• Solicitud de Cambio: documento que formaliza todos los requerimientos de modificaciones y/o ajustes al
alcance del proyecto o a cualquier componente de infraestructura, como resultado de los controles de
validación y de calidad o a solicitud de los Interesados Claves. El mismo debe ser evaluado, aprobado o
rechazado y actualizado por los Interesados Claves a fin de gestionar los cambios a los entregables, los
activos de los procesos de la Entidad, los documentos del proyecto y el plan para la dirección del proyecto.
• Solicitud de Servicio: documento que registra información sobre un pedido de servicio, manejo de errores
y excepciones de TI y solicita asistencia al área de Soporte de Usuarios a fin de resolverlo. Normalmente
estas solicitudes son priorizadas para gestionar la atención y el soporte en forma efectiva. Las mismas
tienen estados tales como: solicitud iniciada, aprobada, ejecutada y cerrada.
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 63
5.0. MATRIZ RACI
En esta sección se expone información con respecto a los responsables primarios o principales para gestionar los procesos, prácticas y salidas, identificados
en el Manual de Gobierno y Control de Tecnología de Información. Los niveles mínimos de responsabilidad previstos son:
• R (responsable de hacer): roles responsables que se encargan de realizar la actividad principal esperada del proceso.
• A (responsable de que se haga): roles responsables de que se cumpla la actividad principal esperada del proceso;
• C (consultado): indica los roles que proporcionan información o son consultados respecto a las actividades del proceso;
• I (informado): son los roles que son informados de los resultados de la actividad principal del proceso.
Responsable Infraestructura TI
Responsable de Proyectos TI
Propietario de Procesos
Directorio o Equivalente
Gerente de Operaciones
Auditoría Independiente
Gerente de Tecnología
Gerente de Seguridad
Comité de Tecnología
Gerente de Finanzas
Gerente de Riesgos
Proceso Prácticas
Gerente de RRHH
• GG.01.01.Evaluar Sistema de Gobierno A R R C C C C C C R C
• GG.01.Establecer y Mantener
• GG.01.02.Orientar Sistema de Gobierno. A R R I I I I I I I I I I I R C
Marco de Gobierno
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017
64
Responsables Primarios o Principales
Responsable Infraestructura TI
Responsable de Proyectos TI
Propietario de Procesos
Directorio o Equivalente
Gerente de Operaciones
Auditoría Independiente
Gerente de Tecnología
Gerente de Seguridad
Comité de Tecnología
Gerente de Finanzas
Gerente de Riesgos
Proceso Prácticas
Gerente de RRHH
• GG.02. Optimizar Riesgos (cont.) • GG.02.03.Supervisar Gestión de Riesgos A R I I I R I I I I I I I R C
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 65
Responsables Primarios o Principales
Responsable Infraestructura TI
Responsable de Proyectos TI
Propietario de Procesos
Directorio o Equivalente
Gerente de Operaciones
Auditoría Independiente
Gerente de Tecnología
Gerente de Seguridad
Comité de Tecnología
Gerente de Finanzas
Gerente de Riesgos
Proceso Prácticas
Gerente de RRHH
• PO.01.05.Optimizar la Ubicación de la Función de TI A I R I I I I I I I
I/
• PO.03.Gestionar Arquitectura • PO.03.01.Definir la Arquitectura de TI A R I
C
C
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 66
Responsables Primarios o Principales
Responsable Infraestructura TI
Responsable de Proyectos TI
Propietario de Procesos
Directorio o Equivalente
Gerente de Operaciones
Auditoría Independiente
Gerente de Tecnología
Gerente de Seguridad
Comité de Tecnología
Gerente de Finanzas
Gerente de Riesgos
Proceso Prácticas
Gerente de RRHH
• PO.03.Gestionar Arquitectura
• PO.03.02. Actualizar la Arquitectura de TI A R I C C
(cont.)
• P0.06.Gestionar Acuerdos de
• PO.06.01.Identificar los Servicios A R I I I I I R R R I
Servicios
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 67
Responsables Primarios o Principales
Responsable Infraestructura TI
Responsable de Proyectos TI
Propietario de Procesos
Directorio o Equivalente
Gerente de Operaciones
Auditoría Independiente
Gerente de Tecnología
Gerente de Seguridad
Comité de Tecnología
Gerente de Finanzas
Gerente de Riesgos
Proceso Prácticas
Gerente de RRHH
• PO.06.02.Identificar, Definir y Preparar los Acuerdos de
A R I I I I I R R R C I
Servicio
• P0.06.Gestionar Acuerdos de
• PO.06.03.Supervisar e Informar los Niveles de Servicio I A R I I I I I R R R I I
Servicios (cont.)
• PO.07.02.Seleccionar a Proveedores R R A C
• PO.07.05.Evaluar Proveedores A R C R R R R C I
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 68
Responsables Primarios o Principales
Responsable Infraestructura TI
Responsable de Proyectos TI
Propietario de Procesos
Directorio o Equivalente
Gerente de Operaciones
Auditoría Independiente
Gerente de Tecnología
Gerente de Seguridad
Comité de Tecnología
Gerente de Finanzas
Gerente de Riesgos
Proceso Prácticas
Gerente de RRHH
• PO.08.01.Establecer y Mantener SGSI I A I R C I I I C I
• PO.08.Gestionar Seguridad
• PO.08.03.Definir y Gestionar Plan de Tratamiento de
I A I R C I I I C I
Riesgos de Seguridad de la Información
• AI.01.Gestionar Proyectos
• AI.01.03.Planificar el Proyecto C C R R R A
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 69
Responsables Primarios o Principales
Responsable Infraestructura TI
Responsable de Proyectos TI
Propietario de Procesos
Directorio o Equivalente
Gerente de Operaciones
Auditoría Independiente
Gerente de Tecnología
Gerente de Seguridad
Comité de Tecnología
Gerente de Finanzas
Gerente de Riesgos
Proceso Prácticas
Gerente de RRHH
• AI.01.05.Gestionar los Riesgos del Proyecto I C C C R R R A I
A
• AI.01.Gestionar Proyectos (cont.) • AI.01.06.Gestionar y Controlar los Proyectos I I I I I I / I
R
• AI.02.Gestionar Requerimientos de
• AI.02.02.Gestionar Riesgos de los Requerimientos I C C R R R A I I
Soluciones
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 70
Responsables Primarios o Principales
Responsable Infraestructura TI
Responsable de Proyectos TI
Propietario de Procesos
Directorio o Equivalente
Gerente de Operaciones
Auditoría Independiente
Gerente de Tecnología
Gerente de Seguridad
Comité de Tecnología
Gerente de Finanzas
Gerente de Riesgos
Proceso Prácticas
Gerente de RRHH
• AI.03.03. Adquirir los Componentes de la Solución I A C R R R R I C
• AI.04.Implementar Soluciones
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 71
Responsables Primarios o Principales
Responsable Infraestructura TI
Responsable de Proyectos TI
Propietario de Procesos
Directorio o Equivalente
Gerente de Operaciones
Auditoría Independiente
Gerente de Tecnología
Gerente de Seguridad
Comité de Tecnología
Gerente de Finanzas
Gerente de Riesgos
Proceso Prácticas
Gerente de RRHH
• AI.04.05.Ejecutar las Pruebas de Aceptación I C I I I A R
• AI.04.06.Transferir a Producción R A C C C C I
• AI.04.Implementar Soluciones
(cont.)
• AI.04.07.Entregar Soporte I C R R R A I
• AI.05.Gestionar Cambios
• AI.05.03.Realizar Seguimiento e Informar los Cambios de
A C R R R I
Estado
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 72
Responsables Primarios o Principales
Responsable Infraestructura TI
Responsable de Proyectos TI
Propietario de Procesos
Directorio o Equivalente
Gerente de Operaciones
Auditoría Independiente
Gerente de Tecnología
Gerente de Seguridad
Comité de Tecnología
Gerente de Finanzas
Gerente de Riesgos
Proceso Prácticas
Gerente de RRHH
• AI.06.01.Identificar y Registrar Activos I A C R
• AI.06.03.Administrar Licencias I A C C R I
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 73
Responsables Primarios o Principales
Responsable Infraestructura TI
Responsable de Proyectos TI
Propietario de Procesos
Directorio o Equivalente
Gerente de Operaciones
Auditoría Independiente
Gerente de Tecnología
Gerente de Seguridad
Comité de Tecnología
Gerente de Finanzas
Gerente de Riesgos
Proceso Prácticas
Gerente de RRHH
• ES.01.02.Monitorear los Servicios Tercerizados de TI I A C R R I
• ES.01.Gestionar Operaciones
• ES.01.03.Supervisar la Infraestructura de TI I A C R I
(cont.)
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 74
Responsables Primarios o Principales
Responsable Infraestructura TI
Responsable de Proyectos TI
Propietario de Procesos
Directorio o Equivalente
Gerente de Operaciones
Auditoría Independiente
Gerente de Tecnología
Gerente de Seguridad
Comité de Tecnología
Gerente de Finanzas
Gerente de Riesgos
Proceso Prácticas
Gerente de RRHH
• ES.02.06.Cerrar los Incidentes y las Solicitudes de Servicio A C R R I
• ES.02.Gestionar Solicitudes e
Incidentes de Servicio (cont.)
• ES.02.07.Realizar el Seguimiento de los Incidentes y las
I A C R R I I
Solicitudes de Servicios
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 75
Responsables Primarios o Principales
Responsable Infraestructura TI
Responsable de Proyectos TI
Propietario de Procesos
Directorio o Equivalente
Gerente de Operaciones
Auditoría Independiente
Gerente de Tecnología
Gerente de Seguridad
Comité de Tecnología
Gerente de Finanzas
Gerente de Riesgos
Proceso Prácticas
Gerente de RRHH
• ES.04.04.Probar el Plan de Continuidad Informática R A I I I I I I R R I I I I
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 76
Responsables Primarios o Principales
Responsable Infraestructura TI
Responsable de Proyectos TI
Propietario de Procesos
Directorio o Equivalente
Gerente de Operaciones
Auditoría Independiente
Gerente de Tecnología
Gerente de Seguridad
Comité de Tecnología
Gerente de Finanzas
Gerente de Riesgos
Proceso Prácticas
Gerente de RRHH
• ES.05.05.Gestionar el Acceso Físico a los Activos de TI A I R C I
• ES.05.Gestionar Servicios de
Seguridad (cont.)
• ES.05.06.Gestionar los Eventos de Seguridad I C A R R R I
• ES.06.Gestionar Controles de
• ES.06.02. Gestionar los Errores y las Excepciones A C R R I
Procesos
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 77
Responsables Primarios o Principales
Responsable Infraestructura TI
Responsable de Proyectos TI
Propietario de Procesos
Directorio o Equivalente
Gerente de Operaciones
Auditoría Independiente
Gerente de Tecnología
Gerente de Seguridad
Comité de Tecnología
Gerente de Finanzas
Gerente de Riesgos
Proceso Prácticas
Gerente de RRHH
• SM.01.Obtener Revisión
• SM.01.04.Realizar Revisiones del Cumplimiento de TI A I I I I I R
Independiente (cont.)
• SM.03.Monitorear Requerimientos
• SM.03.01.Identificar Requisitos de Cumplimiento A I I R I I
Externos
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 78
Externos (cont.)
Proceso
• SM.03.Monitorear Requerimientos
Prácticas
Directorio o Equivalente
I
A
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017
Gerencia General o Equivalente
R
R
Gerente de Tecnología
R
Gerente de Seguridad
Gerente de RRHH
C
Gerente de Riesgos
A
C
Gerente de Cumplimiento
Gerente de Finanzas
Gerente de Operaciones
I
Responsable Desarrollo TI
I
Responsable Operaciones TI
I
Responsable Infraestructura TI
I
Responsables Primarios o Principales
Responsable de Proyectos TI
Propietario de Procesos
I
I
Comité de Tecnología
I
Auditoría Independiente
7.0. MATRIZ DE COMPATIBILIDAD
Esta sección aporta información sobre el nivel de compatibilidad existente entre los objetivos de control
definidos en el Manual de Control Interno Informático para Entidades Financieras (MCIIEF) y las prácticas del
Manual de Gobierno y Control de las Tecnologías de Información (MCGTI).
Manual de Control Interno Informático para Entidades Manual de Gobierno y Control de las Tecnologías de
Financieras (MCIIEF) Información (MCGTI).
PO1.1 PO.02.01.
PO1.2 PO.02.01.
PO1.3 PO.02.01.
PO1.4 PO.02.03.
PO1.5 PO.02.01.
PO1.6 PO.02.01.
PO2.1 PO.03.01.
PO2.2 PO.03.01.
PO2.3 PO.03.01.
PO2.4 PO.03.01.
PO3.1 PO.02.01.
PO3.2 SM.03.01, SM.03.02, SM.03.03.
PO3.3 ES.04.01, ES.04.02, ES.04.03, ES.04.04.
PO3.4 PO.07.03, AI.03.03.
PO3.5 PO.01.03.
PO4.1 PO.01.01.
PO4.2 PO.01.01, PO.01.05.
PO4.3 PO.01.01.
PO4.4 PO.01.02.
PO4.5 PO.01.08.
PO4.6 PO.01.05.
PO4.7 PO.01.02.
PO4.8 PO.01.01.
PO4.9 PO.01.02.
PO4.10 PO.01.05.
PO4.11 No se contempla como proceso; es una función de TI.
PO5.1 PO.04.02.
PO5.2 PO.04.03.
PO5.3 PO.04.03.
PO6.1 PO.05.02.
PO6.2 PO.05.02.
PO6.3 PO.05.01.
PO6.4 PO.05.03.
PO6.5 ES.05.04.
PO7.1 SM.03.03.
PO7.2 SM.03.02.
PO7.3 PO.07.03, ES.05.02.
PO7.4 SM.03.04.
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 80
Manual de Control Interno Informático para Entidades Manual de Gobierno y Control de las Tecnologías de
Financieras (MCIIEF) Información (MCGTI).
PO8.1 AI.01.01.
PO8.2 AI.01.01.
PO8.3 AI.01.01.
PO8.4 AI.01.01.
PO8.5 AI.01.01.
PO8.6 AI.01.01; AI.01.02.
PO8.7 AI.01.01; AI.01.02.
PO8.8 AI.04.02.
PO8.9 AI.01.01; AI.01.06.
PO8.10 AI.01.04.
PO8.11 AI.01.03.
PO8.12 AI.01.05.
PO8.13 AI.01.04; AI.02.03.
PO8.14 AI.01.01; AI.04.05.
PO8.15 AI.01.01; AI.04.07.
PO9.1 AI.01.05.
PO9.2 AI.01.05.
PO9.3 No se contempla como proceso; es una función de TI.
PO9.4 AI.03.02.
PO9.5 AI.03.02.
PO9.6 AI.03.02.
PO9.7 PO.05.03, PO.07.03.
PO9.8 AI.03.02.
PO9.9 AI.03.02.
PO9.10 AI.03.02.
PO9.11 AI.03.02.
PO9.12 AI.03.02.
PO9.13 AI.03.02.
PO9.14 AI.01.04, AI.01.05.
AI1.1 AI.03.03.
AI1.2 AI. 02.01, AI.03.01, AI.03.03.
AI1.3 AI.03.03.
AI1.4 AI.03.01.
AI1.5 AI.02.01.
AI1.6 PO.07.03, AI.03.03
AI2.1 AI.03.01, AI.03.02.
AI2.2 AI.03.01, AI.03.02.
AI2.3 AI.03.01, AI.03.02.
AI2.4 AI.03.01, AI.03.02.
AI2.5 AI.03.01, AI.03.02.
AI2.6 AI.03.01, AI.03.02.
AI2.7 AI.03.01, AI.03.02.
AI2.8 AI.03.01, AI.03.02.
AI2.9 AI.03.01, AI.03.02.
AI2.10 AI.03.05.
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 81
Manual de Control Interno Informático para Entidades Manual de Gobierno y Control de las Tecnologías de
Financieras (MCIIEF) Información (MCGTI).
AI2.11 AI.04.08.
AI3.1 AI.02.01, AI.02.02.
AI3.2 AI.04.07.
AI3.3 AI.03.05, AI.04.05, AI.04.06.
AI3.4 AI.03.01.
AI3.5 AI.04.07.
AI3.6 AI.05.01, AI.05.02, AI.05.03, AI.05.04
AI4.1 AI.03.05., AI.04.05.
AI4.2 AI.03.05., AI.04.03, AI.04.04., AI.04.05.
AI4.3 AI.03.05., AI.04.03, AI.04.04., AI.04.05.
AI4.3 AI.03.05., AI.04.03, AI.04.04., AI.04.05.
AI4.5 AI.04.06.
AI5.1 AI.05.01.
AI5.2 AI.05.01.
AI5.3 AI.05.01, AI.05.03., AI.05.04.
AI5.4 PO.01.01, PO.01.02, PO.05.03.
AI5.5 ES.06.01, ES.06.02, ES.06.03.
PS1.1 ES.01.02.
PS1.2 PO.07.03.
PS1.3 PO.07.05.
PS1.4 ES.01.02.
PS2.1 ES.04.01, ES.04.02, ES.04.03.
PS2.2 ES.04.05.
PS2.3 ES.04.04.
PS2.4 ES.04.06.
PS2.5 ES.04.06.
PS2.6 ES.04.02.
PS2.7 ES.04.03.
PS3.1 PO.08.01, PO.08.02, PO.08.03, PO.08.04.
PS3.2 ES.05.04.
PS3.3 ES.05.04.
PS3.4 ES.05.04.
PS3.5 ES.05.07.
PS3.6 ES.05.04.
PS3.7 ES.05.02.
PS3.8 ES.05.02.
PS4.1 ES.02.01.
PS4.2 ES.02.02.
PS4.3 ES.02.02.
PS4.4 ES.02.06; ES.02.07.
PS4.5 ES.02.07.
PS5.1 ES.06.01.
PS5.2 ES.06.03.
PS5.3 ES.06.01.
PS5.4 ES.06.05.
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 82
Manual de Control Interno Informático para Entidades Manual de Gobierno y Control de las Tecnologías de
Financieras (MCIIEF) Información (MCGTI).
PS5.5 ES.06.05.
PS5.6 ES.06.04.
PS5.7 ES.04.07.
PS5.8 ES.04.07.
PS6.1 ES.05.05.
PS6.2 ES.05.05.
PS6.3 ES.01.04, ES.01.05.
PS6.4 ES.01.04, ES.01.05.
PS7.1 ES.05.03.
PS7.2 ES.01.01.
PS7.3 ES.01.01, ES.04.07, ES.04.03.
PS7.4 ES.01.03.
PS7.5 ES.05.02.
M1.1 SM.01.01.
M1.2 SM.01.02.
M1.3 SM.01.03.
M1.4 SM.01.04.
M2.1 SM.02.01.
M2.2 SM.02.01.
M2.3 SM.02.01.
M2.4 SM.02.02.
M2.5 SM.02.03.
M2.6 SM.02.05.
M2.7 SM.02.04.
M2.8 SM.02.06.
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 83
8.0. GLOSARIO
• Alta Dirección: máximo órgano de Administración de una Entidad al que le corresponde la representación,
la dirección y supervisión de la misma, así como la realización de cuantos actos resulten necesarios para la
consecución del objeto social.
• Alta Gerencia: representada por la Gerencia General o similar, y soportada por las líneas de reporte
relevantes, quienes en su conjunto gestionan de la toma de decisiones estratégicas de la Institución,
siguiendo los mandatos de la Alta Dirección.
• ANS (Acuerdo de Nivel de servicio): acuerdo escrito entre un proveedor de servicio y su cliente con
objeto de fijar el nivel acordado para la calidad de dicho servicio.
• OLA (Operational Level Agreement), Acuerdo del Nivel de Operación: especifican las
responsabilidades y compromisos en la prestación de un determinado servicio.
• ROI (Return on Investment) Retorno sobre la inversión: razón financiera que compara el beneficio o la
utilidad obtenida en relación a la inversión realizada.
• RFI (Request for Information) Solicitud de Información: proceso de negocios estándar cuyo propósito
consiste en obtener información, por escrito, acerca de las capacidades de proveedores.
• RFQ (Request for Quotation) Solicitud de Oferta: carta por medio de la cual se solicita una cotización a
un proveedor de servicios.
• RFP (Request for Proposal) Solicitud de Propuesta: documento que contiene las bases y premisas para
que los proveedores pre-seleccionados realicen sus propuestas de servicio.
Manual de Gobierno y Control de Tecnologías de Información – Resolución SB. SG. N° 00124/2017 de fecha 20/11/2017 84
ANEXO 1 - FORMA PARTE DE LA RESOLUCIÓN SB. SG. N° 00124/2017 DE FECHA 20 DE NOVIEMBRE DE 2017
Nivel Meses
Proceso Prácticas
N1 M1 M2 M3 M4 M5 M6 M7 M8 M9 M10 M11 M12 M13 M14 M15 M16 M17 M18
• GG.01.01.Evaluar Sistema de Gobierno M
• GG.01.Establecer y Mantener Marco de Gobierno • GG.01.02.Orientar Sistema de Gobierno. M
• GG.01.03.Supervisar Sistema de Gobierno. M
• GG.02.01.Evaluar Gestión de Riesgos M
• GG.02. Optimizar Riesgos • GG.02.02.Orientar Gestión de Riesgos M
• GG.02.03.Supervisar Gestión de Riesgos M
• GG.03.01.Evaluar Requisitos de Informes de las Partes Interesadas M
• GG.03.Garantizar Transparencia a las Partes Interesadas • GG.03.02.Orientar Comunicación con Partes Interesadas y Elaboración de Informes M
• GG.03.03.Supervisar Comunicación con Partes Interesadas M
• PO.01.01.Definir la Estructura Organizativa M
• PO.01.02.Establecer los Roles, las Responsabilidades y las Funciones M
• PO.01.03.Definir y Mantener las Políticas M
• PO.01.04.Comunicar los Objetivos y la Dirección de Gestión M
• PO.01.Definir Marco de Gestión
• PO.01.05.Optimizar la Ubicación de la Función de TI M
• PO.01.06.Definir la Propiedad de Información y/o Sistemas M
• PO.01.07. Mantener el Cumplimiento de las Políticas y Procedimientos M
• PO.01.08. Optimizar la Ubicación de la Función de SI M
• PO.02.01.Desarrollar la Planificación Estratégica de TI M
• PO.02.Gestionar Estrategia • PO.02.02.Comunicar la Estrategia y la Dirección de TI M
• PO.02.03. Monitorear la Planificación Estratégica de TI M
• PO.03.01.Definir la Arquitectura de TI M
• PO.03.Gestionar Arquitectura
• PO.03.02. Actualizar la Arquitectura de TI M
• PO.04.01.Priorizar la Asignación de Recursos M
• PO.04.Gestionar Presupuesto • PO.04.02.Crear y Mantener el Presupuesto M
• PO.04.03. Monitorear el Presupuesto M
• PO.05.01.Identificar al Personal Clave y de Respaldo M
• PO.05.Gestionar Recursos Humanos • PO.05.02.Mantener las Habilidades y las Competencias del Personal M
• PO.05.03. Evaluar el Desempeño Laboral del Personal M
• PO.06.01.Identificar los Servicios M
• PO.06.02.Identificar, Definir y Preparar los Acuerdos de Servicio M
• P0.06.Gestionar Acuerdos de Servicios
• PO.06.03.Supervisar e Informar los Niveles de Servicio M
• PO.06.04.Revisar los Acuerdos de Servicio M
• PO.07.01.Identificar y Analizar a los Proveedores M
• PO.07.02.Seleccionar a Proveedores M
• PO.07.Gestionar Proveedores • PO.07.03.Gestionar los Contratos y las Relaciones con Proveedores M
• PO.07.04. Gestionar los Riesgos en el Suministro M
• PO.07.05.Evaluar Proveedores M
• PO.08.01.Establecer y Mantener SGSI M
• PO.08.02.Identificar y Evaluar Riegos M
• PO.08.Gestionar Seguridad
• PO.08.03.Definir y Gestionar Plan de Tratamiento de Riesgos de Seguridad de la Información M
• PO.08.04.Supervisar y Revisar el SGSI M
• AI.01.01.Definir Estándar para la Gestión de Proyectos M
• AI.01.02.Realizar el Estudio de Viabilidad M
• AI.01.03.Planificar el Proyecto M
• AI.01.Gestionar Proyectos • AI.01.04.Gestionar la Calidad del Proyecto M
• AI.01.05.Gestionar los Riesgos del Proyecto M
• AI.01.06.Gestionar y Controlar los Proyectos M
• AI.01.07.Cerrar los Proyectos M
• AI.02.01.Definir y Mantener los Requerimientos Técnicos y Funcionales M
• AI.02.Gestionar Requerimientos de Soluciones • AI.02.02.Gestionar Riesgos de los Requerimientos M
• AI.02.03.Obtener Aprobación de los Requerimientos M
• AI.03.01.Diseñar las Soluciones M
• AI.03.02.Desarrollar las Soluciones M
• AI.03.Construir y Mantener Soluciones
Nivel Meses
Proceso Prácticas
N1 M1 M2 M3 M4 M5 M6 M7 M8 M9 M10 M11 M12 M13 M14 M15 M16 M17 M18
• AI.03.03. Adquirir los Componentes de la Solución M
• AI.03.Construir y Mantener Soluciones
• GG.01.Establecer y Mantener Marco de Gobierno • AI.03.04.Construir las Soluciones M
• AI.03.05.Realizar Controles de Calidad M
• AI.03.06.Mantener Soluciones M
• AI.04.01.Elaborar el Plan de Implementación M
• AI.04.02.Planificar la Conversión de Sistemas y Datos M
• AI.04.03. Planificar las Pruebas de Aceptación M
• AI.04.04.Establecer el Entorno de Pruebas M
• AI.04.Implementar Soluciones
• AI.04.05.Ejecutar las Pruebas de Aceptación M
• AI.04.06.Transferir a Producción M
• AI.04.07.Entregar Soporte M
• AI.04.08.Realizar la Revisión Post-implementación M
• AI.05.01.Evaluar, Priorizar y Autorizar las Solicitudes de Cambio M
• AI.05.02. Gestionar los Cambios de Emergencia M
• AI.05.Gestionar Cambios
• AI.05.03.Realizar Seguimiento e Informar los Cambios de Estado M
• AI.05.04.Cerrar y Documentar los Cambios M
• AI.06.01.Identificar y Registrar Activos M
• AI.06.Gestionar Activos • AI.06.02.Gestionar Ciclo de Vida de Activos M
• AI.06.03.Administrar Licencias M
• AI.07.01.Evaluar la Capacidad y Rendimiento M
• AI.07.02.Evaluar el Impacto en el Negocio M
• AI.07.Gestionar Disponibilidad y Rendimiento
• AI.07.03.Planificar los Requisitos de Servicios M
• AI.07.04.Monitorear la Disponibilidad y el Rendimiento M
• ES.01.01.Ejecutar los Procedimientos Operativos M
• ES.01.02.Monitorear los Servicios Tercerizados de TI M
• ES.01.Gestionar Operaciones
• ES.01.03.Supervisar la Infraestructura de TI M
• ES.01.04.Gestionar las Instalaciones M
• ES.02.01.Definir la Clasificación de Incidentes y Solicitudes de Servicio M
• ES.02.02.Registrar, Clasificar y Priorizar los Incidentes y las Solicitudes de Servicio M
• ES.02.03.Verificar, Aprobar y Resolver las Solicitudes de Servicio M
• ES.02.Gestionar Solicitudes e Incidentes de Servicio • ES.02.04.Investigar, Diagnosticar y Escalar los Incidentes M
• ES.02.05.Resolver los Incidentes M
• ES.02.06.Cerrar los Incidentes y las Solicitudes de Servicio M
• ES.02.07.Realizar el Seguimiento de los Incidentes y las Solicitudes de Servicios M
• ES.03.01.Identificar y Clasificar los Problemas M
• ES.03.Gestionar Problemas • ES.03.02.Investigar y Diagnosticar los Problemas M
• ES.03.03.Resolver y Cerrar los Problemas M
• ES.04.01.Definir la Política de Continuidad de TI M
• ES.04.02.Evaluar la Estrategia de Continuidad de TI M
• ES.04.03.Implementar la Estrategia de Continuidad de TI M
• ES.04.Gestionar Continuidad • ES.04.04.Probar el Plan de Continuidad Informática M
• ES.04.05.Mantener el Plan de Continuidad Informática M
• ES.04.06.Planificar y Realizar los Entrenamientos M
• ES.04.07.Gestionar el Respaldo y la Restauración de Datos M
• ES.05.01.Implementar la Protección contra Software Malicioso (malware ) M
• ES.05.02.Gestionar la Seguridad de Red y Conexiones M
• ES.05.03.Gestionar la Seguridad en Equipos y Dispositivos M
• ES.05.Gestionar Servicios de Seguridad
• ES.05.04. Gestionar la Identidad y el Acceso M
• ES.05.05.Gestionar el Acceso Físico a los Activos de TI M
• ES.05.06.Gestionar los Eventos de Seguridad M
• ES.06.01.Controlar el Procesamiento de la Información M
• ES.06.Gestionar Controles de Procesos • ES.06.02. Gestionar los Errores y las Excepciones M
• ES.06.03. Asegurar la Protección y la Trazabilidad M
• SM.01.01.Realizar Revisiones del Control Interno de TI M
• SM.01.Obtener Revisión Independiente
Nivel Meses
Proceso Prácticas
N1 M1 M2 M3 M4 M5 M6 M7 M8 M9 M10 M11 M12 M13 M14 M15 M16 M17 M18
• SM.01.02.Realizar Revisiones de los Servicios de Proveedores Externos M
• SM.01.Obtener Revisión Independiente
• GG.01.Establecer y Mantener Marco de Gobierno • SM.01.03.Realizar Revisiones de la Efectividad de los Servicios de TI M
• SM.01.04.Realizar Revisiones del Cumplimiento de TI M
• SM.02.01.Definir Marco de la Auditoria Interna Informática M
• SM.02.02.Designar a Personal Calificado M
• SM.02.03.Planificar Actividades de Auditoria Interna Informática M
• SM.02.Supervisar y Monitorear Control Interno
• SM.02.04.Ejecutar Actividades de Auditoria Interna Informática M
• SM.02.05.Evaluar Actividades de Auditoria Interna Informática M
• SM.02.06.Realizar el Seguimiento del Informe de Auditoria Interna Informática M
• SM.03.01.Identificar Requisitos de Cumplimiento M
• SM.03.Monitorear Requerimientos Externos • SM.03.02.Implementar Requisitos de Cumplimiento M
• SM.03.03.Confirmar el Cumplimiento de Requisitos Externos M
O = Optativo
M = Mandatorio
ANEXO 2 - FORMA PARTE DE LA RESOLUCIÓN SB. SG. N° 00124/2017 DE FECHA 20 DE NOVIEMBRE DE 2017
Nivel Meses
Proceso Prácticas
N2 M1 M2 M3 M4 M5 M6 M7 M8 M9 M10 M11 M12 M13 M14 M15 M16 M17 M18
• GG.01.01.Evaluar Sistema de Gobierno M
• GG.01.Establecer y Mantener Marco de Gobierno • GG.01.02.Orientar Sistema de Gobierno. M
• GG.01.03.Supervisar Sistema de Gobierno. M
• GG.02.01.Evaluar Gestión de Riesgos O
• GG.02. Optimizar Riesgos • GG.02.02.Orientar Gestión de Riesgos O
• GG.02.03.Supervisar Gestión de Riesgos O
• GG.03.01.Evaluar Requisitos de Informes de las Partes Interesadas O
• GG.03.Garantizar Transparencia a las Partes
• GG.03.02.Orientar Comunicación con Partes Interesadas y Elaboración de Informes O
Interesadas
• GG.03.03.Supervisar Comunicación con Partes Interesadas O
• PO.01.01.Definir la Estructura Organizativa M
• PO.01.02.Establecer los Roles, las Responsabilidades y las Funciones M
• PO.01.03.Definir y Mantener las Políticas M
• PO.01.04.Comunicar los Objetivos y la Dirección de Gestión M
• PO.01.Definir Marco de Gestión
• PO.01.05.Optimizar la Ubicación de la Función de TI M
• PO.01.06.Definir la Propiedad de Información y/o Sistemas M
• PO.01.07. Mantener el Cumplimiento de las Políticas y Procedimientos M
• PO.01.08. Optimizar la Ubicación de la Función de SI M
• PO.02.01.Desarrollar la Planificación Estratégica de TI M
• PO.02.Gestionar Estrategia • PO.02.02.Comunicar la Estrategia y la Dirección de TI M
• PO.02.03. Monitorear la Planificación Estratégica de TI M
• PO.03.01.Definir la Arquitectura de TI M
• PO.03.Gestionar Arquitectura
• PO.03.02. Actualizar la Arquitectura de TI M
• PO.04.01.Priorizar la Asignación de Recursos M
• PO.04.Gestionar Presupuesto • PO.04.02.Crear y Mantener el Presupuesto M
• PO.04.03. Monitorear el Presupuesto M
• PO.05.01.Identificar al Personal Clave y de Respaldo O
• PO.05.Gestionar Recursos Humanos • PO.05.02.Mantener las Habilidades y las Competencias del Personal O
• PO.05.03. Evaluar el Desempeño Laboral del Personal O
• PO.06.01.Identificar los Servicios O
• PO.06.02.Identificar, Definir y Preparar los Acuerdos de Servicio O
• P0.06.Gestionar Acuerdos de Servicios
• PO.06.03.Supervisar e Informar los Niveles de Servicio O
• PO.06.04.Revisar los Acuerdos de Servicio O
• PO.07.01.Identificar y Analizar a los Proveedores O
• PO.07.02.Seleccionar a Proveedores O
• PO.07.Gestionar Proveedores • PO.07.03.Gestionar los Contratos y las Relaciones con Proveedores O
• PO.07.04. Gestionar los Riesgos en el Suministro O
• PO.07.05.Evaluar Proveedores O
• PO.08.01.Establecer y Mantener SGSI M
• PO.08.02.Identificar y Evaluar Riegos M
• PO.08.Gestionar Seguridad
• PO.08.03.Definir y Gestionar Plan de Tratamiento de Riesgos de Seguridad de la Información M
• PO.08.04.Supervisar y Revisar el SGSI M
• AI.01.01.Definir Estándar para la Gestión de Proyectos M
• AI.01.02.Realizar el Estudio de Viabilidad M
• AI.01.03.Planificar el Proyecto M
• AI.01.Gestionar Proyectos • AI.01.04.Gestionar la Calidad del Proyecto M
• AI.01.05.Gestionar los Riesgos del Proyecto M
• AI.01.06.Gestionar y Controlar los Proyectos M
• AI.01.07.Cerrar los Proyectos M
• AI.02.01.Definir y Mantener los Requerimientos Técnicos y Funcionales M
• AI.02.Gestionar Requerimientos de Soluciones • AI.02.02.Gestionar Riesgos de los Requerimientos M
• AI.02.03.Obtener Aprobación de los Requerimientos M
• AI.03.01.Diseñar las Soluciones M
• AI.03.02.Desarrollar las Soluciones M
• AI.03.Construir y Mantener Soluciones
Nivel Meses
Proceso Prácticas
N2 M1 M2 M3 M4 M5 M6 M7 M8 M9 M10 M11 M12 M13 M14 M15 M16 M17 M18
• AI.03.03. Adquirir los Componentes de la Solución M
• AI.03.Construir y Mantener Soluciones
• GG.01.Establecer y Mantener Marco de Gobierno • AI.03.04.Construir las Soluciones M
• AI.03.05.Realizar Controles de Calidad M
• AI.03.06.Mantener Soluciones M
• AI.04.01.Elaborar el Plan de Implementación M
• AI.04.02.Planificar la Conversión de Sistemas y Datos M
• AI.04.03. Planificar las Pruebas de Aceptación M
• AI.04.04.Establecer el Entorno de Pruebas M
• AI.04.Implementar Soluciones
• AI.04.05.Ejecutar las Pruebas de Aceptación M
• AI.04.06.Transferir a Producción M
• AI.04.07.Entregar Soporte M
• AI.04.08.Realizar la Revisión Post-implementación M
• AI.05.01.Evaluar, Priorizar y Autorizar las Solicitudes de Cambio M
• AI.05.02. Gestionar los Cambios de Emergencia M
• AI.05.Gestionar Cambios
• AI.05.03.Realizar Seguimiento e Informar los Cambios de Estado M
• AI.05.04.Cerrar y Documentar los Cambios M
• AI.06.01.Identificar y Registrar Activos M
• AI.06.Gestionar Activos • AI.06.02.Gestionar Ciclo de Vida de Activos M
• AI.06.03.Administrar Licencias M
• AI.07.01.Evaluar la Capacidad y Rendimiento O
• AI.07.02.Evaluar el Impacto en el Negocio O
• AI.07.Gestionar Disponibilidad y Rendimiento
• AI.07.03.Planificar los Requisitos de Servicios O
• AI.07.04.Monitorear la Disponibilidad y el Rendimiento O
• ES.01.01.Ejecutar los Procedimientos Operativos M
• ES.01.02.Monitorear los Servicios Tercerizados de TI M
• ES.01.Gestionar Operaciones
• ES.01.03.Supervisar la Infraestructura de TI M
• ES.01.04.Gestionar las Instalaciones M
• ES.02.01.Definir la Clasificación de Incidentes y Solicitudes de Servicio M
• ES.02.02.Registrar, Clasificar y Priorizar los Incidentes y las Solicitudes de Servicio M
• ES.02.03.Verificar, Aprobar y Resolver las Solicitudes de Servicio M
• ES.02.Gestionar Solicitudes e Incidentes de
• ES.02.04.Investigar, Diagnosticar y Escalar los Incidentes M
Servicio
• ES.02.05.Resolver los Incidentes M
• ES.02.06.Cerrar los Incidentes y las Solicitudes de Servicio M
• ES.02.07.Realizar el Seguimiento de los Incidentes y las Solicitudes de Servicios M
• ES.03.01.Identificar y Clasificar los Problemas O
• ES.03.Gestionar Problemas • ES.03.02.Investigar y Diagnosticar los Problemas O
• ES.03.03.Resolver y Cerrar los Problemas O
• ES.04.01.Definir la Política de Continuidad de TI M
• ES.04.02.Evaluar la Estrategia de Continuidad de TI M
• ES.04.03.Implementar la Estrategia de Continuidad de TI M
• ES.04.Gestionar Continuidad • ES.04.04.Probar el Plan de Continuidad Informática M
• ES.04.05.Mantener el Plan de Continuidad Informática M
• ES.04.06.Planificar y Realizar los Entrenamientos M
• ES.04.07.Gestionar el Respaldo y la Restauración de Datos M
• ES.05.01.Implementar la Protección contra Software Malicioso (malware ) M
• ES.05.02.Gestionar la Seguridad de Red y Conexiones M
• ES.05.03.Gestionar la Seguridad en Equipos y Dispositivos M
• ES.05.Gestionar Servicios de Seguridad
• ES.05.04. Gestionar la Identidad y el Acceso M
• ES.05.05.Gestionar el Acceso Físico a los Activos de TI M
• ES.05.06.Gestionar los Eventos de Seguridad M
• ES.06.01.Controlar el Procesamiento de la Información M
• ES.06.Gestionar Controles de Procesos • ES.06.02. Gestionar los Errores y las Excepciones M
• ES.06.03. Asegurar la Protección y la Trazabilidad M
• SM.01.01.Realizar Revisiones del Control Interno de TI M
• SM.01.Obtener Revisión Independiente
Nivel Meses
Proceso Prácticas
N2 M1 M2 M3 M4 M5 M6 M7 M8 M9 M10 M11 M12 M13 M14 M15 M16 M17 M18
• SM.01.02.Realizar Revisiones de los Servicios de Proveedores Externos M
• SM.01.Obtener Revisión Independiente
• GG.01.Establecer y Mantener Marco de Gobierno • SM.01.03.Realizar Revisiones de la Efectividad de los Servicios de TI M
• SM.01.04.Realizar Revisiones del Cumplimiento de TI M
• SM.02.01.Definir Marco de la Auditoria Interna Informática M
• SM.02.02.Designar a Personal Calificado M
• SM.02.03.Planificar Actividades de Auditoria Interna Informática M
• SM.02.Supervisar y Monitorear Control Interno
• SM.02.04.Ejecutar Actividades de Auditoria Interna Informática M
• SM.02.05.Evaluar Actividades de Auditoria Interna Informática M
• SM.02.06.Realizar el Seguimiento del Informe de Auditoria Interna Informática M
• SM.03.01.Identificar Requisitos de Cumplimiento M
• SM.03.Monitorear Requerimientos Externos • SM.03.02.Implementar Requisitos de Cumplimiento M
• SM.03.03.Confirmar el Cumplimiento de Requisitos Externos M
O = Optativo
M = Mandatorio
ANEXO 3 - FORMA PARTE DE LA RESOLUCIÓN SB. SG. N° 00124/2017 DE FECHA 20 DE NOVIEMBRE DE 2017
Nivel Meses
Proceso Prácticas
N3 M1 M2 M3 M4 M5 M6 M7 M8 M9 M10 M11 M12 M13 M14 M15 M16 M17 M18
• GG.01.01.Evaluar Sistema de Gobierno O
• GG.01.Establecer y Mantener Marco de Gobierno • GG.01.02.Orientar Sistema de Gobierno. O
• GG.01.03.Supervisar Sistema de Gobierno. O
• GG.02.01.Evaluar Gestión de Riesgos O
• GG.02. Optimizar Riesgos • GG.02.02.Orientar Gestión de Riesgos O
• GG.02.03.Supervisar Gestión de Riesgos O
• GG.03.01.Evaluar Requisitos de Informes de las Partes Interesadas O
• GG.03.Garantizar Transparencia a las Partes Interesadas • GG.03.02.Orientar Comunicación con Partes Interesadas y Elaboración de Informes O
• GG.03.03.Supervisar Comunicación con Partes Interesadas O
• PO.01.01.Definir la Estructura Organizativa M
• PO.01.02.Establecer los Roles, las Responsabilidades y las Funciones M
• PO.01.03.Definir y Mantener las Políticas M
• PO.01.04.Comunicar los Objetivos y la Dirección de Gestión M
• PO.01.Definir Marco de Gestión
• PO.01.05.Optimizar la Ubicación de la Función de TI M
• PO.01.06.Definir la Propiedad de Información y/o Sistemas M
• PO.01.07. Mantener el Cumplimiento de las Políticas y Procedimientos M
• PO.01.08. Optimizar la Ubicación de la Función de SI M
• PO.02.01.Desarrollar la Planificación Estratégica de TI O
• PO.02.Gestionar Estrategia • PO.02.02.Comunicar la Estrategia y la Dirección de TI O
• PO.02.03. Monitorear la Planificación Estratégica de TI O
• PO.03.01.Definir la Arquitectura de TI O
• PO.03.Gestionar Arquitectura
• PO.03.02. Actualizar la Arquitectura de TI O
• PO.04.01.Priorizar la Asignación de Recursos O
• PO.04.Gestionar Presupuesto • PO.04.02.Crear y Mantener el Presupuesto O
• PO.04.03. Monitorear el Presupuesto O
• PO.05.01.Identificar al Personal Clave y de Respaldo O
• PO.05.Gestionar Recursos Humanos • PO.05.02.Mantener las Habilidades y las Competencias del Personal O
• PO.05.03. Evaluar el Desempeño Laboral del Personal O
• PO.06.01.Identificar los Servicios O
• PO.06.02.Identificar, Definir y Preparar los Acuerdos de Servicio O
• P0.06.Gestionar Acuerdos de Servicios
• PO.06.03.Supervisar e Informar los Niveles de Servicio O
• PO.06.04.Revisar los Acuerdos de Servicio O
• PO.07.01.Identificar y Analizar a los Proveedores O
• PO.07.02.Seleccionar a Proveedores O
• PO.07.Gestionar Proveedores • PO.07.03.Gestionar los Contratos y las Relaciones con Proveedores O
• PO.07.04. Gestionar los Riesgos en el Suministro O
• PO.07.05.Evaluar Proveedores O
• PO.08.01.Establecer y Mantener SGSI M
• PO.08.02.Identificar y Evaluar Riegos M
• PO.08.Gestionar Seguridad
• PO.08.03.Definir y Gestionar Plan de Tratamiento de Riesgos de Seguridad de la Información M
• PO.08.04.Supervisar y Revisar el SGSI M
• AI.01.01.Definir Estándar para la Gestión de Proyectos O
• AI.01.02.Realizar el Estudio de Viabilidad O
• AI.01.03.Planificar el Proyecto O
• AI.01.Gestionar Proyectos • AI.01.04.Gestionar la Calidad del Proyecto O
• AI.01.05.Gestionar los Riesgos del Proyecto O
• AI.01.06.Gestionar y Controlar los Proyectos O
• AI.01.07.Cerrar los Proyectos O
• AI.02.01.Definir y Mantener los Requerimientos Técnicos y Funcionales M
• AI.02.Gestionar Requerimientos de Soluciones • AI.02.02.Gestionar Riesgos de los Requerimientos O
• AI.02.03.Obtener Aprobación de los Requerimientos M
• AI.03.01.Diseñar las Soluciones M
• AI.03.02.Desarrollar las Soluciones M
• AI.03.Construir y Mantener Soluciones
Nivel Meses
Proceso Prácticas
N3 M1 M2 M3 M4 M5 M6 M7 M8 M9 M10 M11 M12 M13 M14 M15 M16 M17 M18
• AI.03.03. Adquirir los Componentes de la Solución M
• AI.03.Construir y Mantener Soluciones
• GG.01.Establecer y Mantener Marco de Gobierno • AI.03.04.Construir las Soluciones M
• AI.03.05.Realizar Controles de Calidad M
• AI.03.06.Mantener Soluciones M
• AI.04.01.Elaborar el Plan de Implementación M
• AI.04.02.Planificar la Conversión de Sistemas y Datos M
• AI.04.03. Planificar las Pruebas de Aceptación M
• AI.04.04.Establecer el Entorno de Pruebas M
• AI.04.Implementar Soluciones
• AI.04.05.Ejecutar las Pruebas de Aceptación M
• AI.04.06.Transferir a Producción M
• AI.04.07.Entregar Soporte M
• AI.04.08.Realizar la Revisión Post-implementación M
• AI.05.01.Evaluar, Priorizar y Autorizar las Solicitudes de Cambio M
• AI.05.02. Gestionar los Cambios de Emergencia M
• AI.05.Gestionar Cambios
• AI.05.03.Realizar Seguimiento e Informar los Cambios de Estado M
• AI.05.04.Cerrar y Documentar los Cambios M
• AI.06.01.Identificar y Registrar Activos O
• AI.06.Gestionar Activos • AI.06.02.Gestionar Ciclo de Vida de Activos O
• AI.06.03.Administrar Licencias M
• AI.07.01.Evaluar la Capacidad y Rendimiento O
• AI.07.02.Evaluar el Impacto en el Negocio O
• AI.07.Gestionar Disponibilidad y Rendimiento
• AI.07.03.Planificar los Requisitos de Servicios O
• AI.07.04.Monitorear la Disponibilidad y el Rendimiento O
• ES.01.01.Ejecutar los Procedimientos Operativos M
• ES.01.02.Monitorear los Servicios Tercerizados de TI M
• ES.01.Gestionar Operaciones
• ES.01.03.Supervisar la Infraestructura de TI M
• ES.01.04.Gestionar las Instalaciones M
• ES.02.01.Definir la Clasificación de Incidentes y Solicitudes de Servicio O
• ES.02.02.Registrar, Clasificar y Priorizar los Incidentes y las Solicitudes de Servicio O
• ES.02.03.Verificar, Aprobar y Resolver las Solicitudes de Servicio O
• ES.02.Gestionar Solicitudes e Incidentes de Servicio • ES.02.04.Investigar, Diagnosticar y Escalar los Incidentes O
• ES.02.05.Resolver los Incidentes O
• ES.02.06.Cerrar los Incidentes y las Solicitudes de Servicio O
• ES.02.07.Realizar el Seguimiento de los Incidentes y las Solicitudes de Servicios O
• ES.03.01.Identificar y Clasificar los Problemas O
• ES.03.Gestionar Problemas • ES.03.02.Investigar y Diagnosticar los Problemas O
• ES.03.03.Resolver y Cerrar los Problemas O
• ES.04.01.Definir la Política de Continuidad de TI M
• ES.04.02.Evaluar la Estrategia de Continuidad de TI M
• ES.04.03.Implementar la Estrategia de Continuidad de TI M
• ES.04.Gestionar Continuidad • ES.04.04.Probar el Plan de Continuidad Informática M
• ES.04.05.Mantener el Plan de Continuidad Informática M
• ES.04.06.Planificar y Realizar los Entrenamientos M
• ES.04.07.Gestionar el Respaldo y la Restauración de Datos M
• ES.05.01.Implementar la Protección contra Software Malicioso (malware ) M
• ES.05.02.Gestionar la Seguridad de Red y Conexiones M
• ES.05.03.Gestionar la Seguridad en Equipos y Dispositivos M
• ES.05.Gestionar Servicios de Seguridad
• ES.05.04. Gestionar la Identidad y el Acceso M
• ES.05.05.Gestionar el Acceso Físico a los Activos de TI M
• ES.05.06.Gestionar los Eventos de Seguridad M
• ES.06.01.Controlar el Procesamiento de la Información M
• ES.06.Gestionar Controles de Procesos • ES.06.02. Gestionar los Errores y las Excepciones M
• ES.06.03. Asegurar la Protección y la Trazabilidad M
• SM.01.01.Realizar Revisiones del Control Interno de TI M
• SM.01.Obtener Revisión Independiente
Nivel Meses
Proceso Prácticas
N3 M1 M2 M3 M4 M5 M6 M7 M8 M9 M10 M11 M12 M13 M14 M15 M16 M17 M18
• SM.01.02.Realizar Revisiones de los Servicios de Proveedores Externos M
• SM.01.Obtener Revisión Independiente
• GG.01.Establecer y Mantener Marco de Gobierno • SM.01.03.Realizar Revisiones de la Efectividad de los Servicios de TI M
• SM.01.04.Realizar Revisiones del Cumplimiento de TI M
• SM.02.01.Definir Marco de la Auditoria Interna Informática M
• SM.02.02.Designar a Personal Calificado M
• SM.02.03.Planificar Actividades de Auditoria Interna Informática M
• SM.02.Supervisar y Monitorear Control Interno
• SM.02.04.Ejecutar Actividades de Auditoria Interna Informática M
• SM.02.05.Evaluar Actividades de Auditoria Interna Informática M
• SM.02.06.Realizar el Seguimiento del Informe de Auditoria Interna Informática M
• SM.03.01.Identificar Requisitos de Cumplimiento M
• SM.03.Monitorear Requerimientos Externos • SM.03.02.Implementar Requisitos de Cumplimiento M
• SM.03.03.Confirmar el Cumplimiento de Requisitos Externos M
O = Optativo
M = Mandatorio