Cuadros de La Pag 30 A La 51

Nivel
Nivel
1
Nivel
2
Nivel
3
Nivel
4
Nivel
5
No existe conciencia por parte de

la gerencia de que la planeacin
estratgica de TI es requerida
para dar soporte a las metas del
negocio.
La planeacin estratgica de TI
se discute de forma ocasional en
las reuniones de la gerencia.
Las decisiones estratgicas se
toman proyecto por proyecto,
sin ser consistentes con una
estrategia global de la
organizacin.
La planeacin estratgica de TI
sigue un enfoque estructurado,
el cual se documenta y se da a
conocer a todo el equipo. Las
estrategias de recursos
humanos, tcnicos y financieros
de TI influencian cada vez ms la
adquisicin de nuevos productos
y tecnologas.
Existen procesos bien definidos
para determinar el uso de
recursos internos y externos
requeridos en el desarrollo y las
operaciones de los sistemas.
Se desarrollan planes realistas a
largo plazo de TI y se actualizan
de manera constante para
reflejar los cambiantes avances
tecnolgicos y el progreso
relacionado al negocio.
NO
CUMPLE
NIVEL DE MADUREZ
CUMPLE
DOMINIO: PLANIFICAR Y ORGANIZAR

PO1: Definir el Plan Estratgico de Tecnologa de la Informacin
OBSERVACIONES
GRADO DE MADUREZ
El proceso de Definir el Plan
Estratgico de Tecnologa
Informacin est en el nivel
de madurez 1.
OBJETIVOS NO CUMPLIDOS
Que no existe un plan
estratgico de TI y estrategias
de recursos de la
Organizacin.
No se realizar planes a largo
plazo de TI, haciendo solo
actualizaciones debido a los
avances tecnolgicos.
RECOMENDACIONES
Para el proceso PO1 de COBIT estable los siguientes objetivos de control:
Planes a largo plazo de TI.
Tomar decisiones estratgicas.
Definir los recursos internos y externos necesarios.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Evaluar el desempeo actual, es decir realizar una evaluacin de los planes existentes, as
como de los sistemas de informacin y su impacto de los objetivos de DATA CENTER
E.I.R.L
En el Largo Plazo:
Crear planes tctico de TI a futuro, que resulten del plan estratgico de TI, estos planes
deben ser bien detallados para poder realizar la definicin de planes proyectados.
Nivel
0
Nivel
1
Nivel
2
El conocimiento, la experiencia y
las responsabilidades necesarias
para desarrollar esta
arquitectura no existen en la
organizacin.
La gerencia reconoce la
necesidad deuna arquitectura de
informacin. El desarrollo de
algunos componentes de una
arquitectura de
informacinocurre de manera ad
hoc.
Las personas obtienen sus
habilidades al construir la
arquitectura de informacin por
medio de experiencia prctica y
la aplicacin repetida de
tcnicas.
NO
CUMPLE
NIVEL DE MADUREZ
CUMPLE

PO2: Definir la Arquitectura de la Informacin
OBSERVACIONES
GRADO DE MADUREZ
El proceso de Definir la
Arquitectura de
la Informacin est en el nivel
de madurez 1.
Que no se resolvi
necesidades futuras del
negocio realizando el
proceso de la arquitectura de
la informacin.
Aprovechar las habilidades
personales para la
construccin
de la arquitectura de la
informacin.
Nivel
3
Existe una funcin de

administracinde datos definida
formalmente, queestablece
estndares para toda la
organizacin, y empieza a
reportar sobre la aplicacin y uso
de la arquitectura de la
informacin.
Nivel
4
El proceso de definicin de la
arquitectura de informacin es
X
proactivo y se enfoca en resolver
necesidades futuras del
negocio.
Nivel
El personal de TI cuenta con la
5
experiencia y las habilidades
necesarias para desarrollar y dar
X
mantenimiento a una
arquitectura de informacin
robusta y sensible que refleje
todos los requerimientos del
negocio.
RECOMENDACIONES
Desarrollar y mantener la arquitectura de la informacin.
Tener en claro la definicin del proceso de la arquitectura de la informacin.
Ser partcipe de la construccin de la arquitectura de la informacin para incrementar sus
habilidades.
En el Corto Plazo:
Establecer y mantener un modelo de arquitectura de la informacin para facilitar el
desarrollo de aplicaciones y actividades de soporte a la toma de decisiones, este modelo
ser til para la creacin, uso y comparticin ptimas de la informacin vital.
En el Largo Plazo:
Definir e implementar procedimientos para brindar integridad y consistencia de todos los
datos que se encuentran almacenado en formato electrnico, como bases de datos,
almacenamiento de datos y archivos.
PO3: Determinar la Direccin Tecnologa
Nivel
0
No existe conciencia sobre la

importancia de la planeacin de
la infraestructura tecnolgica
para la entidad.
Nivel
1
La gerencia reconoce la
necesidad de planear la
infraestructura tecnolgica. El
desarrollo de componentes
tecnolgicos y la implantacin de
tecnologas emergentes son ad
hoc y aisladas.
La evaluacin de los cambios
tecnolgicos se delega a
individuos que siguen procesos
intuitivos, aunque similares.
Nivel
2
Nivel
3
Nivel
4
Nivel
5
Existe un plan de infraestructura

tecnolgica definido,
documentado y bien difundido,
aunque se aplica de forma
inconsistente.
El rea de informtica cuenta con
la experiencia y las habilidades
necesarias para desarrollar un
plan de infraestructura
tecnolgica.
La direccin del plan de
infraestructura tecnolgica est
impulsada por los estndares y
avances industriales e
internacionales, en lugar de estar
orientada por los proveedores de
tecnologa.
NO
CUMPLE
CUMPLE
NIVEL DE MADUREZ
OBSERVACIONES
GRADO DE MADUREZ
El proceso de Determinar la
Direccin
Tecnologa est en el nivel de
madurez 1.
Desarrollar las habilidades
para la elaboracin del plan
de la infraestructura
tecnolgica.
Realizar un plan de
infraestructura tecnolgica.
RECOMENDACIONES
Elaborar un plan de infraestructura tecnolgica.
Impulsar la orientacin de la infraestructura tecnolgica hacia los proveedores.
No delegar los cambios tecnolgicos a personas que no tienen la debida experiencia.
En el Corto Plazo:
Planear la direccin tecnolgica, es decir analizar las tecnologas existentes y
emergentes, para tomar en cuenta cual direccin tecnolgica es apropiada para lograr
cumplir con las estrategias de TI, y la arquitectura de sistemas del negocio.
En el Largo Plazo:
Realizar un proceso de monitoreo de tendencias tecnolgicas, si es posible establecer
un foro tecnolgico, para de esta forma brindar directrices tecnolgicas.
Nivel
0
La organizacin de TI no est
establecida de forma efectiva
para enfocarse en el logro de los
objetivos del negocio.
Nivel
1
La funcin de TI se considera
como una funcin de soporte, sin
una perspectiva organizacional
general
La necesidad de contar con una
organizacin estructurada, pero
las decisiones todava depende
del conocimiento y habilidades
de individuos clave.
Se formulan las relaciones con
terceros, incluyendo los comits
de direccin, auditora interna y
administracin de proveedores.
Nivel
2
Nivel
3
NO
CUMPLE
NIVEL DE MADUREZ
CUMPLE

PO4: Definir los Procesos, la Organizacin y las Relaciones de TI
OBSERVACIONES
GRADO DE MADUREZ
El proceso de Definir los
Procesos, la Organizacin y las
Relaciones de TI esta
en el nivel de madurez 2.
Formular las relaciones con
terceros para la TI.
No satisfacer los
requerimientos del negocio.
Nivel
4
Nivel
5
La organizacin de TI responde
de forma pro activa al cambio e
incluye todos los roles necesarios
para satisfacer los
requerimientos
del negocio.
La estructura organizacional de TI
es flexible y adaptable.
RECOMENDACIONES
Ser flexible y adaptable a la estructura organizacional de TI.
Responder de forma pro actica a los requerimientos del negocio.
Formular relaciones con terceros como auditoria interna.
En el Corto Plazo:
Realizar una evaluacin permanente de personal, para as asegurar que el personal
involucrado en las TI sea el pertinente para la funcin asignada.
En el Largo Plazo:
Implantar mtodos de supervisin dentro de las funciones de TI para asegurar que los
roles y responsabilidades se ejerzan correctamente.
Nivel
0
Nivel
1
No existe conciencia de la
importancia de la seleccin y
presupuesto de las inversiones
en TI. No existe seguimiento o
monitoreo de las inversiones y
gastos de TI.
La organizacin reconoce la
necesidad de administrar la
inversin en TI, aunque esta
necesidad se comunica de
manera inconsistente.
NO
CUMPLE
NIVEL DE MADUREZ
CUMPLE

PO5: Administrar la Inversin de TI
OBSERVACIONES
GRADO DE MADUREZ
El proceso de Administrar la
Inversin de TI est en el nivel
de madurez 4.
Formular las relaciones con
terceros para la TI.
Nivel
2
Existe un entendimiento
implcito de la necesidad de
seleccionar y presupuestar las
inversiones en TI.
Nivel
3
El presupuesto de TI est
alineado con los planes
estratgicos de TI y con los
planes del negocio. Los
X
procesos de seleccin de
inversiones en TI y de
presupuestos estn formalizados,
documentados y comunicados.
Nivel
La responsabilidad y la rendicin
4
de cuentas por la seleccin y
presupuestos de inversiones se
X
asignan a un individuo especfico.
Las diferencias en el presupuesto
se identifican y se resuelven.
Nivel
Se utilizan las mejores prcticas
X
5
dela industria para evaluar los
costos por comparacin e
identificar la efectividad de las
inversiones. Se utiliza el anlisis
de los avances tecnolgicos en el
proceso de seleccin y
presupuesto de inversiones.
RECOMENDACIONES
Reconocer la necesidad de administrar la inversin en TI.
Utilizar las mejores prcticas para la evaluacin de costos de inversin.
Documentar y formalizar el presupuesto en TI.
En el Corto Plazo:
Incluir un anlisis de costos y beneficios a largo plazo del ciclo total de vida en la toma de
decisiones de inversiones.
En el Largo Plazo:
Mejorar de forma continua la administracin de inversiones en base a las lecciones
aprendidas del anlisis del desempeo real de las inversiones.
DOMINIO: ADQUIRIR E IMPLEMENTAR
AI1: Identificar Soluciones Automatizadas
Nivel
0
Nivel
1
Nivel
2
Nivel
3
Nivel
4
Nivel
5
La organizacin no requiere de la
identificacin de los
requerimientos funcionales y
operativos para el desarrollo,
implantacin o modificacin de
soluciones, tales como sistemas,
servicios, infraestructura y
datos.
Existe una investigacin o anlisis
estructurado mnimo de la
tecnologa disponible.
El xito de cada proyecto
depende de la experiencia de
unos cuantos individuos clave. La
calidad de la documentacin y de
la toma de decisiones vara de
forma considerable.
El proceso para determinar las
soluciones de TI se aplica para
algunos proyectos con base en
factores tales como las
decisiones tomadas por el
personal involucrado, la cantidad
de tiempo administrativo
dedicado, y el tamao y prioridad
del requerimiento de negocio
original.
La documentacin de los
proyectos es de buena calidad y
cada etapa se aprueba
adecuadamente.
La metodologa est soportada
en bases de datos de
conocimiento internas y externas
que contienen material de
referencia sobre soluciones
tecnolgicas.
NO
CUMPLE
CUMPLE
NIVEL DE MADUREZ
OBSERVACIONES
GRADO DE MADUREZ
El proceso de Identificar
Soluciones Automatizadas
est en el nivel de madurez 1.
Determinar el proceso para
la solucin de TI, segn el
requerimiento del negocio.
Documentacin de los
proyectos realizados.
RECOMENDACIONES
Para el proceso AI1 de COBIT estable los siguientes objetivos de control:
Soportar la metodologa de TI en base de datos.
Determinar los procesos para las soluciones de TI.
Explotar la experiencia de los trabajadores para la buena toma de decisiones.
En el Corto Plazo:
Resaltar, priorizar, especificar los requerimientos funcionales y tcnicos, priorizando el
desempeo, el costo, la confiabilidad, la compatibilidad, la auditora, la seguridad, la
disponibilidad, y continuidad, la ergonoma, funcionalidad y la legislacin.
En el Largo Plazo:
Que exista el alineamiento con las estrategias de la Organizacin y de TI.
Nivel
0
Nivel
1
Nivel
2
Tpicamente, las aplicaciones se

obtienen con base en ofertas de
proveedores, en el
reconocimiento de la marca o en
la familiaridad del personal de TI
con productos especficos,
considerando poco o nada los
requerimientos actuales.
Es probable que se hayan
adquirido en forma
independiente una variedad de
soluciones individuales para
requerimientos particulares del
negocio, teniendo como
resultado ineficiencias en el
mantenimiento y soporte.
Existen procesos de adquisicin y
mantenimiento de aplicaciones,
con diferencias pero similares, en
base a la experiencia dentro de la
operacin de TI.
NO
CUMPLE
NIVEL DE MADUREZ
CUMPLE

AI2: Adquirir y Mantener Software Aplicativo
OBSERVACIONES
GRADO DE MADUREZ
El proceso de Adquirir y
Mantener Software Aplicativo
Dar a conocer el proceso de
adquisicin y mantenimiento
del Sistema de Informacin
(software) y aplicaciones.
Determinar la metodologa
formal para la documentacin
del software en uso.
Nivel
3
Existe un proceso claro, definido

y de comprensin general para la
adquisicin y mantenimiento de
software aplicativo. Este proceso
X
va de acuerdo con la estrategia
de TI y del negocio.
Nivel
Existe una metodologa formal y
4
bien comprendida que incluye un
proceso de diseo y
X
especificacin, un criterio de
adquisicin, un proceso de
prueba y requerimientos para la
documentacin.
Nivel
El enfoque se extiende para toda
X
5
la empresa. La metodologa de
presenta un buen avance y
permite un posicionamiento
estratgico rpido, que permite
un alto grado de reaccin y
flexibilidad para responder a
requerimientos cambiantes del
negocio.
RECOMENDACIONES
Asegurar que el software diseado sea de calidad.
Realizar un diseo detallado, y los requerimientos tcnicos del software.
Identificar los requerimientos del negocio para el desarrollo del software.
En el Corto Plazo:
Desarrollar estrategia y planes de mantenimiento del software aplicativo.
En el Largo Plazo:
Garantizar integridad de la informacin, control de acceso, respaldo y pistas de auditora.
NO
CUMPLE
NIVEL DE MADUREZ
CUMPLE

AI3: Adquirir y Mantener Infraestructura Tecnolgica
OBSERVACIONES
Nivel
0
Nivel
1
Nivel
2
Nivel
3
Nivel
4
Nivel
5
No se reconoce la administracin
de la infraestructura de
tecnologa como un asunto
importante al cual deba ser
resuelto.
Se realizan cambios a la
infraestructura para cada nueva
aplicacin, sin ningn plan en
conjunto. La actividad de
mantenimiento reacciona a
necesidades de corto plazo.
La adquisicin y mantenimiento
de la infraestructura de TI no se
basa en una estrategia definida y
no considera las necesidades de
las aplicaciones del negocio que
se deben respaldar.
El proceso respalda las
necesidades de las aplicaciones
crticas del negocio y concuerda
con la estrategia de negocio de
TI, pero no se aplica en forma
consistente.
La infraestructura de TI soporta
adecuadamente las aplicaciones
del negocio. El proceso est bien
organizado y es preventivo.
GRADO DE MADUREZ
El proceso de Adquirir y
Mantener
Infraestructura Tecnolgica
Definir una estrategia para la
de la infraestructura.
Organizar y prevenir el
proceso de adquisicin y
mantenimiento
de la infraestructura.
El proceso de adquisicin y
X
mantenimiento de la
infraestructura de tecnologa es
preventivo y est estrechamente
en lnea con las aplicaciones
crticas del negocio y con la
arquitectura de la tecnologa.
RECOMENDACIONES
Crear un plan de adquisicin de infraestructura tecnolgica.
Garantizar la disponibilidad de la infraestructura tecnolgica.
Identificar que necesidades se tiene para adquisicin de infraestructura tecnolgica.
En el Corto Plazo:
Crear un plan de adquisicin de infraestructura tecnolgica.
En el Largo Plazo:
Proteger la infraestructura tecnolgica mediante medidas de control interno,
seguridad y auditabilidad durante la configuracin, integracin y mantenimiento de

hardware y software de la infraestructura tecnolgica.
Nivel
0
Nivel
1
Nivel
2
Nivel
3
Nivel
4
Nivel
5
No existe el proceso con

respecto a la produccin de
documentacin de usuario,
manuales de operacin y
material de entrenamiento.
Mucha de la documentacin y
muchos de los procedimientos ya
caducaron. Los materiales de
entrenamiento tienden a ser
esquemas nicos con calidad
variable.
Individuos o equipos de
proyecto generan los materiales
de entrenamiento, y la calidad
depende de los individuos que se
involucran.
Se guardan y se mantienen los
procedimientos en una biblioteca
formal y cualquiera que necesite
saber tiene acceso a ella.
Existen controles para garantizar
que se adhieren los estndares y
que se desarrollan y mantienen
procedimientos para todos los
procesos.
Los materiales de procedimiento
y de entrenamiento se tratan
como una base de conocimiento
en evolucin constante que se
mantiene en forma electrnica,
con el uso de administracin de
conocimiento actualizada,
NO
CUMPLE
NIVEL DE MADUREZ
CUMPLE

AI4: Facilitar la Operacin y el Uso
OBSERVACIONES
GRADO DE MADUREZ
El proceso de Facilitar la
Operacin y el Uso est en el
nivel de madurez 1.
Falta generar los materiales
de entretenimiento buscando
su calidad.
Garantizar la compaa de
estndares para el desarrollo
del proceso.
workflow y tecnologas de
distribucin, que los hacen
accesibles y fciles de mantener.
RECOMENDACIONES
Control para garantizar adherir los estndares para el mantenimiento de los procesos.
Desarrollar un plan para realizar soluciones de operacin el cual sirva para identificar y
documentar todos los aspectos tcnicos, la capacidad de operacin y los niveles de
servicio requeridos.
En el Corto Plazo:
Realizar una transferencia de conocimiento a la parte gerencial lo cual permitir que
estos tomen posesin del sistema y los datos.
En el Largo Plazo:
Mediante la transferencia de conocimientos a los usuarios finales se lograra que
estos usen los sistemas con efectividad y eficiencia para el apoyo a los procesos de la
Organizacin.
Nivel
0
No existe un proceso definido de

adquisicin de recursos de TI.
Nivel
1
Los contratos para la adquisicin

de recursos de TI son elaborados
y administrados por gerentes de
proyecto y otras personas que
ejercen su juicio profesional ms
que seguir resultados de
procedimientos y polticas
formales.
Se determinan responsabilidades
y rendicin de cuentas para la
administracin de adquisicin y
contrato de TI segn la
experiencia particular del
gerente de contrato.
Nivel
2
X
X
NO
CUMPLE
NIVEL DE MADUREZ
CUMPLE

AI5: Adquirir Recursos de TI
OBSERVACIONES
GRADO DE MADUREZ
El proceso de Adquirir
Recursos de TI est en el nivel
de madurez 4.
Falta de buenas relaciones
con algunos proveedores de
forma
estratgica.
Nivel
3
La adquisicin de TI se integra en
gran parte con los sistemas
generales de adquisicin del
negocio.
Nivel
4
La adquisicin de TI se integra en
gran parte con los sistemas
generales de adquisicin del
X
negocio. Existen estndares de TI
para la adquisicin de recursos
de TI.
Nivel
Se establecen buenas relaciones
X
5
con el tiempo con la mayora de
los proveedores y socios, y se
mide y vigila la calidad de estas
relaciones.
Se manejan las relaciones en
forma estratgica..
RECOMENDACIONES
Tomar medidas en la administracin de contratos y adquisiciones.
Establecer buenas relaciones con la mayora de proveedores y socios.
En el Corto Plazo:
Manejar estratgicamente los estndares, polticas y procedimientos de TI para adquirir
los recursos de TI.
En el Largo Plazo:
Cumplir y hacer cumplir los derechos y obligaciones de ambas partes en los trminos
contractuales.
Nivel
0
La gerencia no reconoce la
necesidad de un proceso para
definir los niveles de servicio.
NO
CUMPLE
NIVEL DE MADUREZ
CUMPLE
DOMINIO: ENTREGAR Y DAR SOPORTE

DS1: Definir y Administrar los Niveles de Servicio
OBSERVACIONES
GRADO DE MADUREZ
El proceso de Definir y
Administrar los Niveles de
Nivel
1
La responsabilidad y la rendicin
Servicio est en el nivel de
X
de cuentas sobre para la
madurez 1.
definicin y la administracin de
servicios no est definida.
No ordenar los procesos de
Nivel
Los reportes de los niveles de
desarrollo por niveles de
2
servicio estn incompletos y
servicio.
pueden ser irrelevantes o
Realizar reportes de servicio
X
engaosos para los clientes. Los
de forma completa y
reportes de los niveles de
relevante.
servicio dependen, en forma
individual, de las habilidades y la
iniciativa de los administradores.
Nivel
El proceso de desarrollo del
3
acuerdo de niveles de servicio
X
est en orden y cuenta con
puntos de control para revalorar
los niveles de servicio y la
satisfaccin de cliente.
Nivel
La satisfaccin del cliente es
4
medida y valorada de forma
rutinaria. Las medidas de
X
desempeo reflejan las
necesidades del cliente, en lugar
de las metas de TI.
Nivel
Todos los procesos de
X
5
administracin de niveles de
servicio estn sujetos a mejora
continua. Los niveles de
satisfaccin del cliente son
administrados y monitoreados de
manera continua.
RECOMENDACIONES
Para el proceso DS1 de COBIT estable los siguientes objetivos de control:
Realizar un portafolio de servicios.
Realizar acuerdos de niveles de servicio.
En el Corto Plazo:
Realizar a menudo una revisin con los proveedores internos y externos los acuerdos
de niveles de servicio.
En el Largo Plazo:
Realizar un monitoreo y reporte del cumplimiento de los niveles de servicio, estos
reporte deben mantener un formato entendible por parte de los interesados.
Nivel
0
Nivel
1
Nivel
2
Nivel
3
Nivel
4
Nivel
5
Los servicios de terceros no son

ni aprobados ni revisados por la
gerencia. No hay actividades de
medicin y los terceros no
reportan.
No hay condiciones
estandarizadas para los
convenios con los prestadores de
servicios.
Se utiliza un contrato pro forma
con trminos y condiciones
estndares del proveedor (por
ejemplo, la descripcin de
servicios
que se prestarn).
Cuando se hace un acuerdo de
prestacin de servicios, la
relacin con el tercero es
meramente contractual. La
naturaleza de los servicios a
prestar se detalla en el contrato
e incluye requerimientos legales,
operacionales y de control.
Las aptitudes, capacidades y
riesgos del proveedor son
verificadas de forma continua.
NO
CUMPLE
NIVEL DE MADUREZ
CUMPLE

DS2: Administrar los Servicios de Terceros
OBSERVACIONES
GRADO DE MADUREZ
El proceso de Administrar los
Servicios de Terceros est en
el nivel de madurez 3.
Verificar de forma continua
las capacidades del
proveedor.
Monitorear e implementar
acciones correctivas.
Se monitorea el cumplimiento de
X
las condiciones operacionales,
legales y de control y se
implantan acciones correctivas.
RECOMENDACIONES
Monitorear e implementar acciones correctivas.
Verificar de forma continua las capacidades del proveedor.
En el Corto Plazo:
Establecer criterios formales y estandarizados para realizar la definicin de los trminos del
acuerdo.
En el Largo Plazo:
Mantener acuerdos de confidencialidad con los proveedores.
Realizar a menudo una revisin con los proveedores internos y externos los acuerdos
de niveles de servicio.
En el Largo Plazo:
Realizar un monitoreo y reporte del cumplimiento de los niveles de servicio, estos
reporte deben mantener un formato entendible por parte de los interesados.
Nivel
0
Nivel
1
Nivel
2
Nivel
3
La gerencia no reconoce que los

procesos clave del negocio
pueden requerir altos niveles de
desempeo de TI o que el total
de los requerimientos de
servicios de TI del negocio
pueden exceder la
capacidad.
Los responsables de los procesos
del negocio valoran poco la
necesidad de llevar a cabo una
planeacin de la capacidad y del
desempeo. Las acciones para
administrar el desempeo y la
capacidad son tpicamente
reactivas.
Las necesidades de desempeo
se logran por lo general con base
en evaluaciones de sistemas
individuales y el conocimiento y
soporte de equipos de proyecto.
Los pronsticos de la capacidad y
el desempeo se modelan por
medio de un proceso definido.
Los reportes se generan con
NO
CUMPLE
NIVEL DE MADUREZ
CUMPLE

DS3: Administrar el Desempeo y la Capacidad
OBSERVACIONES
GRADO DE MADUREZ
El proceso de Administrar el
Desempeo y la Capacidad
Realizar evaluaciones de la
infraestructura de TI logrando
una capacidad ptima.
Establecer mtodos de
desempeo y evaluacin.
estadsticas de desempeo.
Nivel
4
Hay informacin actualizada

disponible, brindando
X
estadsticas de desempeo
estandarizadas y alertando
sobre incidentes causados por
falta de desempeo o de
capacidad.
Nivel
La infraestructura de TI y la
X
5
demanda del negocio estn
sujetas a revisiones regulares
para asegurar que se logre una
capacidad ptima con el menor
costo posible.
RECOMENDACIONES
Establecer mtricas de desempeo y evaluacin de la capacidad.
Realizar revisiones de forma peridica la demanda del negocio con menor costo.
En el Corto Plazo:
Realizar pronsticos de la capacidad y el desempeo futuros de los recursos de TI en
intervalos regulares.
En el Largo Plazo:
Realizar un monitoreo continuo del desempeo y la capacidad de los recursos de TI.
Nivel
0
Nivel
1
No hay entendimiento de los

riesgos, vulnerabilidades y
amenazas a las operaciones de
TI.
Las responsabilidades sobre la
continuidad de los servicios son
informales y la autoridad para
ejecutar responsabilidades es
limitada.
NO
CUMPLE
NIVEL DE MADUREZ
CUMPLE

DS4: Garantizar la Continuidad del Servicio
OBSERVACIONES
GRADO DE MADUREZ
El proceso de Garantizar la
Continuidad del Servicio est
Mantener un plan de
servicios.
Integrar los procesos de
Nivel
2
Nivel
3
Nivel
4
Los reportes sobre la

disponibilidad son espordicos,
pueden estar incompletos y no
toman en cuenta el impacto en el
negocio.
Las responsabilidades de la
planeacin y de las pruebas de la
continuidad de los servicios estn
claramente asignadas y
definidas.
Se asigna la responsabilidad de
mantener un plan de continuidad
de servicios.
servicios para mejores

prcticas externas.
X
Nivel
5
Los procesos integrados de

X
servicio continuo toman en
cuenta referencias de la industria
y las mejores prcticas externas.
RECOMENDACIONES
Desarrollar y tomar muy en cuenta planes de continuidad.
Realizar un marco de trabajo de continuidad.
En el Corto Plazo:
Realizar pruebas regulares del plan de continuidad, de esta forma se asegura que los
sistemas de TI sean recuperados de forma efectiva.
En el Largo Plazo:
Una vez realizada la reanudacin exitosa de las funciones de TI, determinar la
efectividad del plan de continuidad y realiza actualizaciones a este segn amerite.
Nivel
0
Las medidas para soportar la

administrar la seguridad de TI no
estn implementadas. No hay
reportes de seguridad de TI ni un
proceso de respuesta para
NO
CUMPLE
NIVEL DE MADUREZ
CUMPLE

DS5: Garantizar la Seguridad de los Sistemas
OBSERVACIONES
GRADO DE MADUREZ
El proceso de Garantizar la
Seguridad de los Sistemas est
resolver brechas de seguridad de

TI.
Nivel
1
Concientizar el valor de la
seguridad de la informacin.
Elaborar un plan de
seguridad de TI.
La seguridad de TI se lleva a cabo

de forma reactiva. No se mide la
seguridad de TI. Las brechas de
seguridad de TI ocasionan
respuestas con acusaciones
X
personales, debido a que las
responsabilidades no son claras.
Las respuestas a las brechas de
seguridad de TI son
impredecibles.
Nivel
La conciencia sobre la necesidad
2
de la seguridad esta fraccionada
y limitada. Aunque los sistemas
X
producen informacin relevante
respecto a la seguridad, sta no
se analiza.
Nivel
Las responsabilidades de la
3
seguridad de TI estn asignadas y
entendidas, pero no
X
continuamente implementadas.
Existe un plan de seguridad de TI
y existen soluciones de seguridad
motivadas por un anlisis de
riesgo.
Nivel
El contacto con mtodos para
4
promover la conciencia de la
X
seguridad es obligatorio. La
identificacin, autenticacin y
autorizacin de los usuarios est
estandarizada.
Nivel
Los usuarios y los clientes se
X
5
responsabilizan cada vez ms de
definir requerimientos de
seguridad, y las funciones de
seguridad estn integradas con
las aplicaciones en la fase de
diseo.
RECOMENDACIONES
Se debe administrar la seguridad TI.
Realizar un plan de seguridad de TI.

En el Corto Plazo:
Implementar seguridad en la red como por ejemplo firewalls, dispositivos de seguridad,
deteccin de intrusos, etc.)
En el Largo Plazo:
Realizar pruebas a la implementacin de la seguridad, de igual forma monitorear
esta.
Nivel
0
Nivel
1
Nivel
2
Nivel
3
TI no lleva a cabo monitoreo de

proyectos o procesos de forma
independiente. No se cuenta con
reportes tiles, oportunos y
precisos. La necesidad de
entender de forma clara los
objetivos de los procesos no se
reconoce.
No se han identificado procesos
estndar de recoleccin y
evaluacin. El monitoreo se
implanta y las mtricas se
seleccionan de acuerdo a cada
caso, de acuerdo a las
necesidades de proyectos y
procesos de TI especficos.
La interpretacin de los
resultados
del monitoreo se basa en la
experiencia de individuos clave.
Las mediciones de la
contribucin
de la funcin de servicios de
informacin al desempeo de la
organizacin se han definido,
NO
CUMPLE
NIVEL DE MADUREZ
CUMPLE
DOMINIO: MONITOREAR Y EVALUAR

ME1: Monitorear y Evaluar el Desempeo de TI
OBSERVACIONES
GRADO DE MADUREZ
El proceso de Monitorear y
Evaluar el Desempeo de TI
Poder identificar los procesos
estndares de evaluacin.
Integrar todos los procesos y
proyectos de TI.
usando criterios financieros y

operativos tradicionales
Nivel
Hay una integracin de mtricas
4
a lo largo de todos los proyectos
X
y procesos de TI. Los sistemas de
reporte de la administracin de
TI estn formalizados.
Nivel
Las mtricas impulsadas por el
X
5
negocio se usan de forma
rutinaria para medir el
desempeo, y estn integradas
en los marcos de trabajo
estratgicos, tales como el
BalancedScorecard.
RECOMENDACIONES
Para el proceso ME1 de COBIT estable los siguientes objetivos de control:
Definir un mtodo de monitoreo como BalancedScorecard.
Evaluar el desempeo comparndolo peridicamente con las metas.
En el Corto Plazo:
Realizar una marco de trabajo de monitoreo general garantizado por la gerencia.
En el Largo Plazo:
Identificar e iniciar medidas correctivas sobre el desempeo de TI.
Nivel
0
Nivel
1
Los mtodos de reporte de

control interno gerenciales no
existen. Existe una falta
generalizada de conciencia sobre
la seguridad operativa y el
aseguramiento del control
interno de TI.
La gerencia de TI no ha asignado
de manera formal las
responsabilidades para
NO
CUMPLE
NIVEL DE MADUREZ
CUMPLE

ME2: Monitorear y Evaluar el Control Interno
OBSERVACIONES
GRADO DE MADUREZ
El proceso de Monitorear y
Evaluar el Control Interno est
Establecer los procesos para
la evaluacin y aseguramiento
del control interno.
Utilizar herramientas
integradas para la deteccin
monitorear la efectividad de los

controles internos.
Nivel
2
del control interno de TI.

X
La gerencia de servicios de
informacin realiza monitoreo
peridico sobre la efectividad de
X
lo que considera controles
internos crticos. Se estn
empezando a usar metodologas
y herramientas para monitorear
los controles internos, aunque no
se basan en un plan.
Nivel
Se ha definido un programa de
3
educacin y entrenamiento para
el monitoreo del control interno.
X
Se ha definido tambin un
proceso para auto evaluaciones y
revisiones de aseguramiento del
control interno, con roles
definidos para los responsables
de la administracin del negocio
y de TI.
Nivel
Se han implantado herramientas
4
para estandarizar evaluaciones y
X
para detectar de forma
automtica las excepciones de
control. Se ha establecido una
funcin formal para el control
interno de TI, con profesionales
especializados y certificados que
utilizan un marco de trabajo de
control formal avalado por la alta
direccin.
Nivel
La organizacin utiliza
X
5
herramientas integradas y
actualizadas, donde es
apropiado, que permiten una
evaluacin efectiva de los
controles crticos de TI y una
deteccin rpida de incidentes
de control de TI.
RECOMENDACIONES
Monitorear el marco de trabajo de control interno de forma continua.
Mediante las revisiones de auditora reportar la efectividad de los controles internos sobre
las TI.
En el Corto Plazo:
Realizar una auto-evaluacin del control interno de la administracin de procesos,
polticas y contratos de TI.
En el Largo Plazo:
Identificar e iniciar medidas correctivas sobre el desempeo de TI.
Nivel
0
Nivel
1
Nivel
2
Nivel
3
Existe poca conciencia respecto a

los requerimientos externos que
afectan a TI, sin procesos
referentes al cumplimiento de
requisitos regulatorios, legales y
contractuales.
Se siguen procesos informales
para mantener el cumplimiento,
pero solo si la necesidad surge en
nuevos proyectos o como
respuesta a auditoras o
revisiones.
No existe, sin embargo, un
enfoque estndar. Hay mucha
confianza en el conocimiento y
responsabilidad de los
individuos, y los errores son
posibles.
Se brinda entrenamiento sobre
requisitos legales y regulatorios
externos que afectan a la
organizacin y se instruye
respecto a los procesos de
cumplimiento definidos.
NO
CUMPLE
NIVEL DE MADUREZ
CUMPLE

ME3: Garantizar el Cumplimiento Regulatorio
OBSERVACIONES
GRADO DE MADUREZ
El proceso de Garantizar el
Cumplimiento Regulatorio
Brindar capacitacin sobre
requisitos legales y
regulatorios externos.
Conocer los requerimientos
aplicables, como la solucin
de nuevas necesidades.
Nivel
4
Las responsabilidades son claras

y el empoderamiento de los
X
procesos es entendido. El
proceso incluye una revisin del
entorno para identificar
requerimientos externos y
cambios recurrentes.
Nivel
Hay un amplio conocimiento de
X
5
los requerimientos externos
aplicables, incluyendo sus
tendencias futuras y cambios
anticipados, as como la
necesidad de nuevas soluciones.
RECOMENDACIONES
Brindar capacitacin sobre requisitos legales y regulatorios externos.
Conocer los requerimientos aplicables, como la solucin de nuevas necesidades.
Integrar los reporte de TI sobre el cumplimiento regulatorio.
Garantizar la identificacin de requerimientos locales e internacionales legales,
contractuales de polticas, y regulatorios.
En el Corto Plazo:
Tener muy en cuenta las leyes y reglamentos del comercio electrnico, privacidad,
flujo de datos, reporte financieros, propiedad intelectual, etc.
En el Largo Plazo:
Evaluar el cumplimiento de las polticas, estndares y procedimientos de TI.
Nivel
0
Existe una carencia completa de

cualquier proceso reconocible de
gobierno de TI. La organizacin ni
siquiera ha reconocido que existe
un problema a resolver; por lo
tanto, no existe comunicacin
respecto al tema.
NO
CUMPLE
NIVEL DE MADUREZ
CUMPLE

ME4: Proporcionar Gobierno de TI
OBSERVACIONES
GRADO DE MADUREZ
El proceso de Proporcionar
Gobierno de TI est en el
nivel de madurez 0.
Comunicar por parte de la
Nivel
1
Nivel
2
El enfoque de la gerencia es
reactivo y solamente existe una
comunicacin espordica e
inconsistente sobre los temas y los
enfoques para resolverlos.
Gerencia los procedimientos

estandarizados.
La gerencia ha identificado
mediciones bsicas para el
gobierno de TI, as como mtodos de
X
evaluacin y tcnicas; sin embargo, el
proceso no ha sido adoptado a lo largo
de la organizacin.
Nivel
La gerencia ha comunicado los
3
procedimientos estandarizados y el
entrenamiento est establecido. Se han
X
identificado herramientas para apoyar
a la supervisin del gobierno de TI.
Nivel
Los procesos de TI y el gobierno de TI
4
estn alineados e integrados con la
X
estrategia corporativa de TI. La mejora
de los procesos de TI se basa
principalmente en un
entendimiento cuantitativo y es
posible monitorear y medir el
cumplimiento con procedimientos y
mtricas de procesos.
Nivel
La implantacin de las polticas de TI ha
X
5
resultado en una
organizacin, personas y procesos que
se adaptan rpidamente, y que dan
soporte completo a los requisitos de
gobierno de TI. Todos los problemas y
desviaciones se
analizan por medio de la tcnica de
causa raz y se identifican e
implementan medidas eficientes
de forma rpida.
RECOMENDACIONES
Administrar los riesgos de forma eficiente.
Garantizar la optimizacin de la inversin, uso y asignacin de los activos de TI mediante
evaluaciones peridicas.
En el Corto Plazo:
Establecer un marco de trabajo de gobierno de TI, incluyendo liderazgo, procesos, roles

y responsabilidades.
En el Largo Plazo:
Conformar un comit de auditora para asegurar el cumplimiento de TI.
Nivel
0
Nivel
1
Nivel
2
Nivel
3
Nivel
4
Existe una carencia completa de

cualquier proceso reconocible de
gobierno de TI. La organizacin ni
siquiera ha reconocido que existe
un problema a resolver; por lo
tanto, no existe comunicacin
respecto al tema.
El enfoque de la gerencia es
reactivo y solamente existe una
comunicacin espordica e
inconsistente sobre los temas y los
enfoques para resolverlos.
La gerencia ha identificado
mediciones bsicas para el
gobierno de TI, as como mtodos de
evaluacin y tcnicas; sin embargo, el
proceso no ha sido adoptado a lo largo
de la organizacin.
La gerencia ha comunicado los
procedimientos estandarizados y el
entrenamiento est establecido. Se han
identificado herramientas para apoyar
a la supervisin del gobierno de TI.
Los procesos de TI y el gobierno de TI
estn alineados e integrados con la
estrategia corporativa de TI. La mejora
de los procesos de TI se basa
principalmente en un
entendimiento cuantitativo y es
posible monitorear y medir el
NO
CUMPLE
NIVEL DE MADUREZ
CUMPLE

ME4: Proporcionar Gobierno de TI
OBSERVACIONES
GRADO DE MADUREZ
El proceso de Proporcionar
Gobierno de TI est en el
nivel de madurez 0.
Comunicar por parte de la
Gerencia los procedimientos
estandarizados.
cumplimiento con procedimientos y

mtricas de procesos.
Nivel
5
La implantacin de las polticas de TI ha

X
resultado en una
organizacin, personas y procesos que
se adaptan rpidamente, y que dan
soporte completo a los requisitos de
gobierno de TI. Todos los problemas y
desviaciones se
analizan por medio de la tcnica de
causa raz y se identifican e
implementan medidas eficientes
de forma rpida.
RECOMENDACIONES
Administrar los riesgos de forma eficiente.
Garantizar la optimizacin de la inversin, uso y asignacin de los activos de TI mediante
evaluaciones peridicas.
En el Corto Plazo:
Establecer un marco de trabajo de gobierno de TI, incluyendo liderazgo, procesos, roles
y responsabilidades.
En el Largo Plazo:
Conformar un comit de auditora para asegurar el cumplimiento de TI.
2.2.2.REPORTE GENERAL DE GRADOS DE MADUREZ

Cuadros de La Pag 30 A La 51

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Cuadros de La Pag 30 A La 51

Cargado por

Copyright:

Formatos disponibles

Nivel

No existe conciencia por parte de

DOMINIO: PLANIFICAR Y ORGANIZAR

DOMINIO: PLANIFICAR Y ORGANIZAR

Existe una funcin de

No existe conciencia sobre la

Existe un plan de infraestructura

DOMINIO: PLANIFICAR Y ORGANIZAR

DOMINIO: PLANIFICAR Y ORGANIZAR

Tpicamente, las aplicaciones se

DOMINIO: ADQUIRIR E IMPLEMENTAR

Existe un proceso claro, definido

DOMINIO: ADQUIRIR E IMPLEMENTAR

Proteger la infraestructura tecnolgica mediante medidas de control interno,

seguridad y auditabilidad durante la configuracin, integracin y mantenimiento de

No existe el proceso con

DOMINIO: ADQUIRIR E IMPLEMENTAR

No existe un proceso definido de

Los contratos para la adquisicin

DOMINIO: ADQUIRIR E IMPLEMENTAR

DOMINIO: ENTREGAR Y DAR SOPORTE

Los servicios de terceros no son

DOMINIO: ENTREGAR Y DAR SOPORTE

La gerencia no reconoce que los

DOMINIO: ENTREGAR Y DAR SOPORTE

Hay informacin actualizada

No hay entendimiento de los

DOMINIO: ENTREGAR Y DAR SOPORTE

Los reportes sobre la

servicios para mejores

Los procesos integrados de

Las medidas para soportar la

DOMINIO: ENTREGAR Y DAR SOPORTE

resolver brechas de seguridad de

La seguridad de TI se lleva a cabo

Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:

TI no lleva a cabo monitoreo de

DOMINIO: MONITOREAR Y EVALUAR

usando criterios financieros y

Los mtodos de reporte de

DOMINIO: MONITOREAR Y EVALUAR

monitorear la efectividad de los

del control interno de TI.

Existe poca conciencia respecto a

DOMINIO: MONITOREAR Y EVALUAR

Las responsabilidades son claras

Existe una carencia completa de

DOMINIO: MONITOREAR Y EVALUAR

Gerencia los procedimientos

Establecer un marco de trabajo de gobierno de TI, incluyendo liderazgo, procesos, roles

Existe una carencia completa de

DOMINIO: MONITOREAR Y EVALUAR

cumplimiento con procedimientos y

La implantacin de las polticas de TI ha

2.2.2.REPORTE GENERAL DE GRADOS DE MADUREZ

También podría gustarte