Ups GT000307 PDF

SEDE GUAYAQUIL
FACULTAD DE INGENIERÍAS
CARRERA:
INGENIERÍA EN SISTEMAS
Tesis previa a la obtención del título de:

Ingeniero en Sistemas con mención en Informática para
la Gestión
Tema:
Diagnóstico para la Implantación de COBIT en una
Empresa de Producción
Área Piloto: Departamento de Sistemas
Tesistas:
Martha Elizabeth de la Torre Morales
Ingrid Kathyuska Giraldo Martínez
Carmen Azucena Villalta Gómez
Director:
Ing. Bertha Alice Naranjo Sánchez, MSC
Septiembre 2012
DECLARACIÓN
Nosotras; Martha Elizabeth de la Torre Morales, Ingrid Kathyuska Giraldo Martínez

y Carmen Azucena Villalta Gómez, declaramos bajo juramento que este trabajo es de
nuestra autoría y que hemos consultado las referencias bibliográficas incluidas en
este documento.
Dejamos constancia que cedemos los derechos de propiedad intelectual a la

Universidad Politécnica Salesiana – Sede Guayaquil según lo establecido por la ley
de Propiedad Intelectual, por su Reglamento y por la Normativa institucional vigente.
__________________________________
MARTHA E. DE LA TORRE MORALES
______________________________
INGRID K. GIRALDO MARTÍNEZ
_____________________________
CARMEN A. VILLALTA GÓMEZ
2
AGRADECIMIENTO Y DEDICATORIA
Primero a Dios, el centro de mi vida y mi fortaleza.
A Santiago y Haydeé, mis padres, mi inspiración, por su eterno

apoyo.
A Ángel Santiago, mi amado hijo, por soportar y comprender mis

ausencias mientras recorría este largo camino.
A Gustavo, mi partner, por su solidaridad y complicidad en esta

travesía.
A mi familia en general, por estar siempre conmigo.
A mis amigos, por su incondicionalidad.
Sin ustedes no podría avanzar en mis propósitos.
Gracias. Los amo infinitamente.
Un agradecimiento especial, a la Ing. Lilia Santos.
Martha E. de la Torre Morales
3
Principalmente a Dios.
A mi madre y mi tío, porque creyeron en mí y porque me sacaron

adelante, dándome ejemplos dignos de superación y entrega. Gracias
a ellos, hoy puedo ver alcanzada esta meta, ya que siempre estuvieron
impulsándome en los momentos más difíciles y porque el orgullo que
sienten por mí, fue lo que me hizo ir hasta el final. Esto es por ustedes,
por lo que significan para mí, y porque admiro su esfuerzo a pesar de
las dificultades.
A mis hermanas, primos, abuelos y amigos. Gracias por haber

fomentado en mí el deseo de superación y el anhelo de triunfo en la
vida. Sin ustedes este trabajo no hubiera podido ser realizado.
No me alcanzarían las palabras para agradecerles su apoyo y sus

consejos.
A todos, espero no defraudarlos y contar siempre con su valioso

apoyo, sincero e incondicional.
Ingrid Giraldo Martínez
4
Quiero dar gracias a:
DIOS: Por haberme dado la vida, sabiduría y su infinita misericordia.
MI ESPOSO: Por su amor, comprensión y apoyo; brindados en los momentos más

difíciles de mi vida.
MIS PADRES: Por brindarme su ejemplo, amor y tiempo para ser una persona de
bien.
MIS HERMANOS: Porque juntos formamos un futuro mejor para nuestra familia.
MI FAMILIA: Por fomentar los buenos valores y principios morales.
MIS AMIGOS: Por su apoyo incondicional a lo largo de mi carrera.
A todas las personas que hicieron que hoy cumpla mi meta mil gracias. Dios los
bendiga
Carmen Villalta Gómez
5
CERTIFICADO
Certifico que el presente trabajo fue realizado por las estudiantes Ingrid Kathyuska
Giraldo Martínez, Martha Elizabeth de la Torre Morales y Carmen Azucena Villalta
Gómez; bajo mi dirección.
Guayaquil, Septiembre del 2012.
-----------------------------------------------
Ing. Bertha Naranjo Sánchez, MSC
DIRECTORA DE TESIS
6
ÍNDICE
CAPÍTULO 1 18
1.1 PLANTEAMIENTO DEL PROBLEMA 18
1.1.1 FORMULACIÓN DEL PROBLEMA DE INVESTIGACIÓN 19

1.1.2 PREGUNTAS DEL PROBLEMA DE INVESTIGACIÓN 19
1.2 OBJETIVOS 20
1.2.1 OBJETIVO GENERAL 20

1.2.2 OBJETIVOS ESPECÍFICOS 20
1.3 ALCANCE 20
1.4 VARIABLES E INDICADORES 21
1.5 MATRIZ CAUSA – EFECTO 22
CAPÍTULO 2 23
2.1 MARCO TEÓRICO 23
2.1.1 INTRODUCCIÓN COBIT 23

2.1.1.1 DOMINIOS EN LA UTILIZACIÓN DE COBIT 4.1 23
2.1.1.1.1 DOMINIO PLANEAR Y ORGANIZAR (PO) 31
2.1.1.1.2 DOMINIO ADQUIRIR E IMPLEMENTAR (AI) 45
2.1.1.1.3 DOMINIO ENTREGAR Y DAR SOPORTE (DS) 53
2.1.1.1.4 DOMINIO MONITOREAR Y EVALUAR (ME) 67
2.1.1.2 MISIÓN DE COBIT 72
2.1.1.2.1 ÁREAS DE ENFOQUE DEL GOBIERNO DE TI 72
2.1.1.2.2 CRITERIOS DE INFORMACIÓN DE COBIT 74
2.1.1.2.3 RECURSOS DE TI 76
2.1.1.2.4 MODELO DE MADUREZ COBIT 77
2.1.2 BENEFICIOS PARA LA EMPRESA EN APLICAR LA METODOLOGÍA
COBIT 79
7
CAPÍTULO 3 80
3.1 ASPECTOS METODOLÓGICOS DE LA INVESTIGACIÓN 80
3.1.1 TIPO DE INVESTIGACIÓN 80

3.1.2 MÉTODO DE INVESTIGACIÓN 80
3.1.3 FUENTES Y TÉCNICAS PARA LA RECOLECCIÓN DE
INFORMACIÓN 81
3.1.4 LIBROS DE COBIT UTILIZADOS PARA EL DIAGNÓSTICO 81
3.1.5 MÉTODO MATRICIAL PARA EL ANÁLISIS DE RIESGOS 82
3.1.5.1 DEFINICIONES PARA EL ANÁLISIS DE RIESGOS 82
3.1.6 ANÁLISIS FODA 83
CAPITULO 4 86
4.1 DIAGNÓSTICO DEL DEPARTAMENTO DE SISTEMAS DE LA

EMPRESA EP 86
4.1.1 BREVE DESCRIPCIÓN DE LA EMPRESA EP 86

4.1.1.1 HISTORIA 86
4.1.1.2 PRODUCTOS FABRICADOS POR LA EMPRESA EP 87
4.1.1.3 SERVICIOS QUE OFRECE LA EMPRESA EP 87
4.1.1.4 PROMOCIONES DISPONIBLES EN LA EMPRESA EP 88
4.1.1.5 ESTRUCTURA ORGÁNICA ACTUAL DE LA EMPRESA EP 89
4.1.1.6 ORGANIGRAMA FUNCIONAL DE LAS TECNOLOGÍAS DE
INFORMACIÓN EN LA EMPRESA EP 90
4.1.1.7 ORGANIGRAMA ESTRUCTURAL DE LAS TECNOLOGÍAS DE
INFORMACIÓN EN LA EMPRESA EP 91
4.1.1.8 ANÁLISIS FODA DEL DEPARTAMENTO DE TECNOLOGÍAS DE
INFORMACIÓN 92
4.1.2 DISEÑO DEL MODELO DE EVALUACIÓN 93
4.1.2.1 EVALUACIÓN DEL DEPARTAMENTO DE SISTEMAS DE LA
EMPRESA EP APLICANDO LA METODOLOGÍA COBIT 4.1 117
4.1.2.1.1 RESULTADOS FINALES OBTENIDOS 117
4.1.2.1.1.1 RESULTADO DE LA EVALUACIÓN DEL CUMPLIMIENTO A
NIVEL GENERAL 117
4.1.2.1.1.2 RESULTADO FINAL DE LA EVALUACIÓN POR DOMINIO 119
8
4.1.2.1.1.3 RESULTADO FINAL DE LA EVALUACIÓN POR PROCESO 120
4.1.2.1.1.4 RESULTADO FINAL DE LA EVALUACIÓN POR OBJETIVOS
DE CONTROL 127
DE CONTROL DE MENOR CUMPLIMIENTO 172
4.1.3 EVALUACIÓN DE RIESGOS DE TI 174
4.1.4 ELABORACIÓN DE POLÍTICAS A APLICAR ACORDE A LOS
OBJETIVOS DE CONTROL CRÍTICOS 180
CONCLUSIONES y RECOMENDACIONES 188
BIBLIOGRAFÍA 211
DEFINICIONES DE TÉRMINOS 212
9
ÍNDICE DE ILUSTRACIONES
ILUSTRACIÓN 1: MARCO DE TRABAJO COMPLETO DE COBIT 4.1 ............ 24
ILUSTRACIÓN 2: DOMINIOS COBIT 4.1 ............................................................. 31
ILUSTRACIÓN 3: PROCESOS DEL DOMINIO PLANEAR Y ORGANIZAR .... 32
ILUSTRACIÓN 4: OBJETIVOS DE CONTROL DEL PROCESO

PO1- DEFINIR UN PLAN ESTRATÉGICO DE TI ................................................. 33

PO2- DEFINIR LA ARQUITECTURA DE LA INFORMACIÓN .......................... 34

PO3 - DETERMINAR LA DIRECCIÓN TECNOLÓGICA .................................... 35

PO4 - DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI .. 37

PO5 – ADMINISTRAR LA INVERSIÓN DE TI .................................................... 38

PO6 – COMUNICAR LAS ASPIRACIONES Y LA DIRECCIÓN DE LA
GERENCIA ............................................................................................................... 39

PO7 –ADMINISTRAR RECURSOS HUMANOS DE TI ........................................ 40

PO8 - ADMINISTRAR LA CALIDAD .................................................................... 42

PO9 - EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI ................................ 43

PO10 - ADMINISTRAR PROYECTOS ................................................................... 44
ILUSTRACIÓN 14: PROCESOS DEL DOMINIO ADQUIRIR E

IMPLEMENTAR ....................................................................................................... 45

AI1– IDENTIFICAR SOLUCIONES AUTOMATIZADAS .................................... 46
10
AI2 –ADQUIRIR Y MANTENER SOFTWARE APLICATIVO ............................ 47

AI3 – ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA ...... 48

AI4 – FACILITAR LA OPERACIÓN Y EL USO.................................................... 49

AI5 – ADQUIRIR RECURSOS DE TI ..................................................................... 50

AI6 – ADMINISTRAR CAMBIOS .......................................................................... 51

AI7 – INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS ......................... 52
ILUSTRACIÓN 22: PROCESOS DEL DOMINIO ENTREGAR Y

DAR SOPORTE ........................................................................................................ 53

DS1 – DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIO .................... 54

DS2 – ADMINISTRAR LOS SERVICIOS DE TERCEROS ................................... 55

DS3 – ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD ........................... 56

DS4 – GARANTIZAR LA CONTINUIDAD DEL SERVICIO ............................... 57

DS5 – GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS ............................. 58

DS6 – IDENTIFICAR Y ASIGNAR COSTOS ........................................................ 59

DS7 – EDUCAR Y ENTRENAR A LOS USUARIOS ............................................ 60

DS8 – ADMINISTRAR LA MESA DE SERVICIO Y LOS INCIDENTES ............ 61

DS9 – ADMINISTRAR LA CONFIGURACIÓN .................................................... 62
11
DS10 – ADMINISTRAR LOS PROBLEMAS ......................................................... 63

DS11 – ADMINISTRAR LOS DATOS .................................................................... 64
ILUSTRACIÓN 34: OBJETIVOS DE CONTROL DEL PROCESO....................... 65

DS13 – ADMINISTRAR LAS OPERACIONES ...................................................... 66
ILUSTRACIÓN 36: PROCESOS DEL DOMINIO MONITOREAR Y

EVALUAR ................................................................................................................. 67

ME1 - MONITOREAR Y EVALUAR EL DESEMPEÑO DE TI ............................ 68

ME2 – MONITOREAR Y EVALUAR EL CONTROL INTERNO ......................... 69

ME3 – GARANTIZAR EL CUMPLIMIENTO CON REQUERIMIENTOS
EXTERNOS ............................................................................................................... 70

M4 - PROPORCIONAR GOBIERNO DE TI .......................................................... 71
ILUSTRACIÓN 41: ÁREAS DE ENFOQUE DEL GOBIERNO DE TI ................. 72
ILUSTRACIÓN 42: CRITERIOS DE INFORMACIÓN .......................................... 74
ILUSTRACIÓN 43: RECURSOS DE TI .................................................................. 76
ILUSTRACIÓN 44: ANÁLISIS FODA .................................................................... 84
ILUSTRACIÓN 45: MATRIZ FODA ....................................................................... 85
ILUSTRACIÓN 46: ESTRUCTURA ORGÁNICA ACTUAL DE

LA EMPRESA EP ..................................................................................................... 89
ILUSTRACIÓN 47: ORGANIGRAMA FUNCIONAL DE LAS TI

EN LA EMPRESA EP ............................................................................................... 90
ILUSTRACIÓN 48: ORGANIGRAMA ESTRUCTURAL DE LAS TI

EN LA EMPRESA EP ............................................................................................... 91
12
ÍNDICE DE TABLAS
TABLA 1: VARIABLES E INDICADORES ........................................................... 21
TABLA 2: MATRIZ CAUSA – EFECTO ................................................................ 22
TABLA 3: MARCO DE TRABAJO COMPLETO DE COBIT 4.1 ......................... 25
TABLA 4: ANÁLISIS FODA – ÁREA TI................................................................ 92
TABLA 5: MATRIZ GENERAL COBIT 4.1 ........................................................... 94
TABLA 6: EVALUACIÓN DEL CUMPLIMIENTO DEL

DEPARTAMENTO DE SISTEMAS A NIVEL GENERAL .................................. 118
TABLA 7: EVALUACIÓN POR DOMINIO.......................................................... 119
TABLA 8: LISTADO DE AMENAZAS/OBJETOS DEFINIDOS POR EL

DEPARTAMENTO DE SISTEMAS ...................................................................... 174
TABLA 9: COMPARACIÓN DE CATEGORÍAS DE RIESGOS

POR AMENAZAS ................................................................................................... 175
TABLA 10: COMPARACIÓN DE CATEGORÍAS DE RIESGOS

POR OBJETOS ........................................................................................................ 176
TABLA 11: MATRIZ RESULTADO AMENAZAS/OBJETOS ............................ 177
TABLA 12: DEFINICIÓN DE LOS NIVELES DE RIESGO/SENSIBILIDAD

DE TI........................................................................................................................ 178
TABLA 13: MATRIZ IDENTIFICACIÓN DE LOS NIVELES DE RIESGO ...... 179
13
ÍNDICE DE GRÁFICOS
GRÁFICO 1: EVALUACIÓN DEL CUMPLIMIENTO DEL DEPARTAMENTO

DE SISTEMAS A NIVEL GENERAL ................................................................... 118
GRÁFICO 2: EVALUACIÓN POR DOMINIO ..................................................... 119
GRÁFICO 3: PROCESOS DEL DOMINIO PLANEAR Y ORGANIZAR ........... 120
GRÁFICO 4: PROCESOS DEL DOMINIO ADQUIRIR E IMPLEMENTAR ..... 122
GRÁFICO 5: PROCESOS DEL DOMINIO ENTREGAR Y DAR SOPORTE ..... 123
GRÁFICO 6: PROCESOS DEL DOMINIO MONITOREAR Y EVALUAR........ 126
GRÁFICO 7: OBJETIVOS DE CONTROL DEL PROCESO

PO1 – DEFINIR UN PLAN ESTRATÉGICO DE TI ............................................. 127

PO2 – DEFINIR LA ARQUITECTURA DE TI ..................................................... 128

PO3 - DETERMINAR LA DIRECCIÓN TECNOLÓGICA .................................. 129

PO4 - DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI 130

PO5 - ADMINISTRAR LA INVERSION DE TI ................................................... 132

PO6 - COMUNICAR LAS ASPIRACIONES Y LA DIRECCIÓN DE LA
GERENCIA ............................................................................................................. 133

PO7 - ADMINISTRAR RECURSOS HUMANOS DE TI ..................................... 134

PO8 - ADMINISTRAR LA CALIDAD .................................................................. 135

PO9 - EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI .............................. 137

PO10 - ADMINISTRAR PROYECTOS ................................................................. 139
14
AI1 - IDENTIFICAR SOLUCIONES AUTOMATIZADAS.................................. 140

AI2 - ADQUIRIR Y MANTENER SOFTWARE APLICATIVO .......................... 141

AI3 - ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA ..... 142

AI4 - FACILITAR LA OPERACIÓN Y EL USO .................................................. 143

AI5 - ADQUIRIR RECURSOS DE TI .................................................................... 144

AI6 - ADMINISTRAR CAMBIOS ......................................................................... 145

AI7 - INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS ........................ 146

DS1 – DEFININIR Y ADMINISTRAR LOS NIVELES DE SERVICIO .............. 148

DS2 – ADMINISTRAR LOS SERVICIOS DE TERCEROS ................................. 150

DS3 – ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD ......................... 151

DS4 – GARANTIZAR LA CONTINUIDAD DEL SERVICIO ............................. 153

DS5 – GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS ........................... 155

DS6 – IDENTIFICAR Y ASIGNAR COSTOS ...................................................... 157

DS7 – EDUCAR Y ENTRENAR A LOS USUARIOS .......................................... 158

DS8 – ADMINISTRAR LA MESA DE SERVICIO Y LOS INCIDENTES .......... 159

DS9 – ADMINISTRAR LA CONFIGURACIÓN .................................................. 160
15
DS10 – ADMINISTRAR LOS PROBLEMAS ....................................................... 162

DS11 – ADMINISTRAR LOS DATOS .................................................................. 163

DS12 – ADMINISTRAR EL AMBIENTE FÍSICO................................................ 165

DS13 – ADMINISTRAR LAS OPERACIONES .................................................... 166

ME1 - MONITOREAR Y EVALUAR EL DESEMPEÑO DE TI .......................... 168

ME2 - MONITOREAR Y EVALUAR EL CONTROL INTERNO ....................... 169

ME3 - GARANTIZAR EL CUMPLIMIENTO REGULATORIO ......................... 170

ME4 - PROPORCIONAR GOBIERNO DE TI ....................................................... 171
GRÁFICO 41: RESUMEN DE LOS OBJETIVOS DE CONTROL DE

MENOR CUMPLIMIENTO.................................................................................... 172
GRÁFICO 42: EVALUACIÓN DE OBJETIVOS DE CONTROL CRÍTICOS ..... 173
16
ANEXOS
ANEXO 1: EVALUACIÓN POR PROCESOS ...................................................... 190
ANEXO 2: EVALUACIÓN POR OBJETIVOS DE CONTROL ........................... 191
ANEXO 3: RESUMEN DE OBJETIVOS DE CONTROL DE MENOR

CUMPLIMIENTO ................................................................................................... 202
ANEXO 4: EVALUACIÓN DE OBJETIVOS DE CONTROL CRÍTICOS .......... 204
ANEXO 5: FORMATO DE APLICACIÓN ANÁLISIS DE RIESGOS DE

TI (A) ....................................................................................................................... 205
ANEXO 6: FORMATO DE APLICACIÓN ANÁLISIS DE RIESGOS DE

TI (B)........................................................................................................................ 206
ANEXO 7: APLICACIÓN ANÁLISIS DE RIESGOS EN EL

DEPARTAMENTO DE SISTEMAS (1) ................................................................. 207



17
CAPÍTULO 1
1.1 PLANTEAMIENTO DEL PROBLEMA
Las empresas ecuatorianas evolucionan constantemente en el crecimiento general de

sus economías, se van creando nuevas oportunidades de negocios que demandan
controles más estrictos para que el desarrollo organizacional vaya continuamente por
el camino de la eficiencia y la pro-actividad de quienes conforman la organización.
La orientación del crecimiento institucional suele ser un problema centrado en las

preocupaciones sin medir las reglas claras y normas conscientes que permitan buscar
certificaciones internacionales para el eficiente progreso de la organización donde se
detalla la importancia del actuar empresarial. Es motivo de consideración el manejo
correcto de la información en base a las nuevas metodologías y estándares que
beneficia en tiempo y costo a las organizaciones y de esa forma se logra un mayor
entendimiento claro y básico en una dirección sistemática.
La tecnología implica mucho riesgo, siendo un problema constante el manejo de las

tecnologías de Información reales y progresivas con estándares de control adecuados
para ser eficientes en el desarrollo de la información, la mayor parte de empresas se
desplazan en la despreocupación de controlar sus técnicas de información y evalúan
solo los procedimientos y no aplican los indicadores secuenciales de control.
COBIT es una metodología que garantiza el indicador de despliegue de la

información con el uso de materiales tecnológicos, siendo práctico y responsable en
las plataformas de comunicación establecidas. COBIT analiza los procedimientos de
información y ayuda a determinar qué sector o espacio está fallando y promueve los
controles para mejorar la actividad eficiente de la información.
La inversión en sistemas de control contribuye a descubrir que podemos mejorar a

través del desglose y transformación de los medios y recursos de tecnologías de
información aplicada. Por lo tanto, se debería de emplear en las organizaciones
dominios en base a la planificación, la parte organizativa en manejo de los
requerimientos y la entrega de tales requerimientos con soportes físicos y digitales.
18
Así mismo deberían tomar como recomendación el uso de metodologías o estándares
que les permitan determinar procesos críticos a nivel de la empresa o departamento.
1.1.1 FORMULACIÓN DEL PROBLEMA DE INVESTIGACIÓN
¿Cuáles son los principales aspectos de concienciación en los procesos aplicados

para la implementación del uso de COBIT en el departamento de sistemas de la
empresa EP1?
1.1.2 PREGUNTAS DEL PROBLEMA DE INVESTIGACIÓN
Con la aplicación de la metodología COBIT ¿Cuáles serían los principales problemas

resueltos en el departamento de sistemas de las diferentes empresas ecuatorianas?
¿Con la aplicación de la metodología COBIT los empleados del departamento de

sistemas podrán realizar mejor su trabajo en la empresa EP?
Es voluntaria la aplicación de una metodología de calidad de la información en las

industrias públicas y privadas, pero a nuestro criterio todo departamento de TI
debería considerar obligatoria su implementación en aras de mejorar en su calidad.
1 El nombre de la Empresa se lo mantiene en reserva para proteger su información
19
1.2 OBJETIVOS
1.2.1 OBJETIVO GENERAL
Contribuir a mejorar los procesos del departamento de sistemas mediante el

diagnóstico con la metodología COBIT aplicada en la empresa EP.
1.2.2 OBJETIVOS ESPECÍFICOS
• Estudiar los treinta y cuatro procesos de COBIT para poder evaluar la

situación del departamento de sistemas de la empresa EP.
• Realizar el Diagnóstico de los Procesos y Objetivos de Control de COBIT en

el departamento de sistemas.
• Determinar los riesgos relacionados con la prestación de servicios de TI en el

departamento de sistemas.
• Evaluar el resultado del diagnóstico realizado en el departamento de sistemas

considerando los procesos críticos y las falencias de los controles para
extender las recomendaciones respectivas.
• Definir políticas a desarrollar de cinco de los objetivos críticos para el control

de TI en el departamento de sistemas de la empresa EP.
1.3 ALCANCE
El proyecto será desarrollado en la matriz de la empresa EP ubicada al sur de la

ciudad de Guayaquil, comprende un diagnóstico de sus procesos para determinar el
grado de cumplimiento de los procesos y objetivos de control planteados en el
modelo metodológico de COBIT 4.1 e identificar los más críticos de la organización.
20
1.4 VARIABLES E INDICADORES
En la tabla siguiente se determinan las variables dependiente e independiente con sus

respectivos indicadores a utilizarse en el desarrollo del proyecto. Como variable
dependiente se define la mejora de los procesos del departamento de sistemas de la
empresa EP que dependería de la metodología COBIT la que se constituye por lo
tanto en variable independiente.
TABLA 1: VARIABLES E INDICADORES
VARIABLES INDICADORES
Independiente Grado de utilización

Metodología COBIT 4.1 Nivel de satisfacción de usuario final
Toma de decisiones
Optimización de recursos
Dependiente Control
Mejorar procesos Políticas
Análisis de Riesgos
Elaborado: Las Autoras
21
1.5 MATRIZ CAUSA – EFECTO
Se identifica el problema, las causas y las soluciones viables que se deberían aplicar
en el departamento de sistemas de la empresa EP, detallados en la tabla 2.
TABLA 2: MATRIZ CAUSA – EFECTO
Problema general Objetivo general Hipótesis general
¿Cuáles son los Contribuir a mejorar los Con COBIT, la

principales aspectos de procesos del departamento organización podrá
concienciación en los de sistemas mediante el controlar sus procesos de
procesos aplicados para diagnóstico de la TI y sus ejecutivos
la implementación del metodología COBIT tomarán decisiones
uso de COBIT en el aplicada en la empresa EP. oportunas y efectivas en el
departamento de sistemas departamento de sistemas
de la empresa EP? en la empresa EP.
Sus Problemas Objetivos específicos Hipótesis particulares
específicos
Estudiar los treinta y Realizar el Diagnóstico de El departamento de

cuatro procesos de los Procesos y Objetivos sistemas de la empresa EP
COBIT 4.1 para poder de Control de COBIT en el aplica los procesos de
evaluar la situación del departamento de sistemas. COBIT para alcanzar los
departamento de sistemas objetivos del negocio.
de la empresa EP.
Determinar los riesgos Evaluar los resultados de Definiendo políticas se
relacionados con la los diagnósticos realizados mejoran los controles y los
prestación de servicios de en el departamento de procesos críticos en el
TI en el departamento de sistemas considerando los departamento de sistemas.
sistemas. procesos críticos y las
falencias de los controles
para extender las
recomendaciones
respectivas.
Definir políticas a
desarrollar para el control
de TI en el departamento
de sistemas en la empresa
EP.
22
CAPÍTULO 2
2.1 MARCO TEÓRICO
2.1.1 INTRODUCCIÓN COBIT
DEFINICIÓN DE COBIT
Objetivos de Control para Tecnologías de información y

relacionadas (COBIT, en inglés: Control Objetives for Information and
related Technology) es un conjunto de mejores prácticas para el manejo de
información creado por la Asociación para la Auditoría y Control de Sistemas
de Información,(ISACA, en inglés: Information Systems Audit and Control
Association), y el Instituto de Administración de las Tecnologías de la
Información (IT Governance Institute) en 1992. (Fundación Wikimedia,
2012)
COBIT fue creado para ayudar a la alta dirección a garantizar el logro de objetivos
de los negocios mediante la dirección y control adecuado de las TI, sin embargo la
aplicación de COBIT se debería de dar en todos los niveles organizativos de la
empresa y no tan solo concentrarse en la tecnología de la información. COBIT está
involucrado en reflejar las principales directrices jerárquicas que permitan el control
de la tecnología de información aplicada en la empresa.
2.1.1.1 DOMINIOS EN LA UTILIZACIÓN DE COBIT 4.1
En la ilustración siguiente se resume cómo los distintos elementos del marco de

trabajo COBIT 4.1 se relacionan con las áreas de Gobierno de TI.
23
ILUSTRACIÓN 1: MARCO DE TRABAJO COMPLETO DE COBIT 4.1
Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)
Para la realización de la siguiente tabla nos hemos basado en el Manual COBIT 4.1
cuya clasificación por dominio, procesos y objetivos de control servirá de guía en la
ejecución del diagnóstico de este proyecto.
24
TABLA 3: MARCO DE TRABAJO COMPLETO DE COBIT 4.1
COBIT 4.1
DOMINIO PROCESOS OBJETIVOS DE CONTROL
PO1.1 - Administración del Valor de TI
PO1.2 - Alineación de TI con el Negocio
PO1.3 - Evaluación del Desempeño y la Capacidad
PO1 - Definir un Plan Estratégico Actual
de TI
PO1.4 - Plan Estratégico de TI
PO1.5 - Planes Tácticos de TI
PO1.6 - Administración del Portafolio de TI
PO2.1 - Modelo de Arquitectura de Información
Empresarial
PO2 - Definir la Arquitectura de la PO2.2 - Diccionario de Datos Empresarial y Reglas de
Información Sintaxis de Datos
PO2.3 - Esquema de Clasificación de Datos
PO2.4 - Administración de Integridad
PO3.1 - Planeación de la Dirección Tecnológica
PO3.2 - Plan de Infraestructura Tecnológica
PO3 - Determinar la Dirección PO3.3 - Monitoreo de Tendencias y Regulaciones
PLANEAR Y ORGANIZAR
Tecnológica Futuras
PO3.4 - Estándares Tecnológicos
PO3.5 - Consejo de Arquitectura de TI
PO4.1 - Marco de Trabajo de Procesos de TI
PO4.2 - Comité Estratégico de TI
PO4.3 - Comité Directivo de TI
PO4.4 - Ubicación Organizacional de la Función de TI
PO4.5 - Estructura Organizacional
PO4.6 - Establecimiento de Roles y Responsabilidades
PO4.7 - Responsabilidad de Aseguramiento de Calidad
de TI
PO4 - Definir los Procesos, PO4.8 - Responsabilidad sobre el Riesgo, la Seguridad
Organización y Relaciones de TI y el Cumplimiento
PO4.9 - Propiedad de Datos y de Sistemas
PO4.10 - Supervisión
PO4.11 - Segregación de Funciones
PO4.12 - Personal de TI
PO4.13 - Personal Clave de TI
PO4.14 - Políticas y Procedimientos para Personal
Contratado
PO4.15 - Relaciones
PO5.1 - Marco de Trabajo para la Administración
Financiera
PO5 - Administrar la Inversión en PO5.2 - Prioridades dentro del Presupuesto de TI
TI PO5.3 - Proceso Presupuestal
PO5.4 - Administración de Costos de TI
PO5.5 - Administración de Beneficios
25
COBIT 4.1
PO6.1 - Ambiente de Políticas y de Control
PO6.2 - Riesgo Corporativo y Marco de Referencia de
Control Interno de TI
PO6 - Comunicar las Aspiraciones y
PO6.3 - Administración de Políticas para TI
la Dirección de la Gerencia
PO6.4 - Implantación de Políticas de TI
PO6.5 - Comunicación de los Objetivos y la Dirección de
TI
PO7.1 - Reclutamiento y Retención del Personal
PO7.2 - Competencias del Personal
PO7.3 - Asignación de Roles
PO7 - Administrar Recursos PO7.4 - Entrenamiento del Personal de TI
Humanos de TI PO7.5 - Dependencia Sobre los Individuos
PLANEAR Y ORGANIZAR
PO7.6 - Procedimientos de Investigación del Personal

PO7.7 - Evaluación del Desempeño del Empleado
PO7.8 - Cambios y Terminación de Trabajo
PO8.1 - Sistema de Administración de Calidad
PO8.2 - Estándares y Prácticas de Calidad
PO8.3 - Estándares de Desarrollo y de Adquisición
PO8 - Administrar la Calidad
PO8.4 - Enfoque en el Cliente de TI
PO8.5 - Mejora Continua
PO8.6 - Medición, Monitoreo y Revisión de la Calidad
PO9.1 - Marco de Trabajo de Administración de Riesgos
PO9.2 - Establecimiento del Contexto del Riesgo
PO9.3 - Identificación de Eventos
PO9 - Evaluar y Administrar los
Riesgos de TI PO9.4 - Evaluación de Riesgos de TI
PO9.5 - Respuesta a los Riesgos
PO9.6 - Mantenimiento y Monitoreo de un Plan de Acción
de Riesgos
PO10.1 - Marco de Trabajo para la Administración de
Programas
PO10.2 - Marco de Trabajo para la Administración de
Proyectos
PO10.3 - Enfoque de Administración de Proyectos
PO10.4 - Compromiso de los Interesados
PO10.5 - Declaración de Alcance del Proyecto
PO10.6 - Inicio de las Fases del Proyecto
PO10 - Administrar Proyectos PO10.7 - Plan Integrado del Proyecto
PO10.8 - Recursos del Proyecto
PO10.9 - Administración de Riesgos del Proyecto
PO10.10 - Plan de Calidad del Proyecto
PO10.11 - Control de Cambios del Proyecto
PO10.12 - Planeación del Proyecto y Métodos de
Aseguramiento
PO10.13 - Medición del Desempeño, Reporte y Monitoreo
del Proyecto
PO10.14 - Cierre del Proyecto
26
COBIT 4.1
AI1.1 - Definición y Mantenimiento de los Requerimientos
Técnicos y Funcionales del Negocio
AI1.2 - Reporte de Análisis de Riesgos
AI1 - Identificar soluciones
AI1.3 - Estudio de Factibilidad y Formulación de Cursos
automatizadas
de Acción Alternativos.
AI1.4 - Requerimientos, Decisión de Factibilidad y
Aprobación
AI2.1 - Diseño de Alto Nivel
AI2.2 - Diseño Detallado
AI2.3 - Control y Posibilidad de Auditar las Aplicaciones
AI2.4 - Seguridad y Disponibilidad de las Aplicaciones
AI2.5 - Configuración e Implantación de Software
Aplicativo Adquirido
AI2 - Adquirir y mantener software
AI2.6 - Actualizaciones Importantes en Sistemas
aplicativo
Existentes
AI2.7 - Desarrollo de Software Aplicativo
AI2.8 - Aseguramiento de la Calidad del Software
AI2.9 - Administración de los Requerimientos de
Aplicaciones
ADQUIRIR E IMPLEMENTAR
AI2.10 - Mantenimiento de Software Aplicativo

AI3.1 - Plan de Adquisición de Infraestructura Tecnológica
AI3.2 - Protección y Disponibilidad del Recurso de
AI3 - Adquirir y mantener Infraestructura
infraestructura tecnológica
AI3.3 - Mantenimiento de la Infraestructura
AI3.4 - Ambiente de Prueba de Factibilidad
AI4.1 - Plan para Soluciones de Operación
AI4.2 - Transferencia de Conocimiento a la Gerencia del
Negocio
AI4 - Facilitar la operación y el uso
AI4.3 - Transferencia de Conocimiento a Usuarios Finales
AI4.4 - Transferencia de Conocimiento al Personal de
Operaciones y Soporte
AI5.1 - Control de Adquisición
AI5.2 - Administración de Contratos con Proveedores
AI5 - Adquirir recursos de TI
AI5.3 - Selección de Proveedores
AI5.4 - Adquisición de Recursos de TI
AI6.1 - Estándares y Procedimientos para Cambios
AI6.2 - Evaluación de Impacto, Priorización y
Autorización
AI6 - Administrar cambios
AI6.3 - Cambios de Emergencia
AI6.4 - Seguimiento y Reporte del Estatus de Cambio
AI6.5 - Cierre y Documentación del Cambio
AI7.1 - Entrenamiento
AI7.2 - Plan de Prueba
AI7.3 - Plan de Implantación
AI7.4 - Ambiente de Prueba
AI7 - Instalar y acreditar soluciones
AI7.5 - Conversión de Sistemas y Datos
y cambios
AI7.6 - Pruebas de Cambios
AI7.7 - Prueba de Aceptación Final
AI7.8 - Promoción a Producción
AI7.9 - Revisión Posterior a la Implantación
27
COBIT 4.1
DS1.1 - Marco de Trabajo de la Administración de los
Niveles de Servicio
DS1.2 - Definición de Servicios
DS1.3 - Acuerdos de Niveles de Servicio
DS1 – Definir y administrar los
niveles de servicio DS1.4 - Acuerdos de Niveles de Operación
DS1.5 - Monitoreo y Reporte del Cumplimento de los
Niveles de Servicio
DS1.6 - Revisión de los Acuerdos de Niveles de Servicio y
de los Contratos
DS2.1 - Identificación de Todas las Relaciones con
Proveedores
DS2 – Administrar los servicios de DS2.2 - Gestión de Relaciones con Proveedores
terceros
DS2.3 - Administración de Riesgos del Proveedor
DS2.4 - Monitoreo del Desempeño del Proveedor
DS3.1 - Planeación del Desempeño y la Capacidad
DS3.2 - Capacidad y Desempeño Actual
DS3 – Administrar el desempeño y la
DS3.3 - Capacidad y Desempeño Futuros
ENTREGAR Y DAR SOPORTE
capacidad
DS3.4 - Disponibilidad de Recursos de TI
DS3.5 - Monitoreo y Reporte
DS4.1 - Marco de Trabajo de Continuidad de TI
DS4.2 - Planes de Continuidad de TI
DS4.3 - Recursos Críticos de TI
DS4.4 - Mantenimiento del Plan de Continuidad de TI
DS4.5 - Pruebas del Plan de Continuidad de TI
DS4 – Garantizar la continuidad del DS4.6 - Entrenamiento del Plan de Continuidad de TI
servicio
DS4.7 - Distribución del Plan de Continuidad de TI
DS4.8 - Recuperación y Reanudación de los Servicios de
TI
DS4.9 - Almacenamiento de Respaldos Fuera de las
Instalaciones
DS4.10 - Revisión Post Reanudación.
DS5.1 - Administración de la Seguridad de TI
DS5.2 - Plan de Seguridad de TI
DS5.3 - Administración de Identidad
DS5.4 - Administración de Cuentas del Usuario
DS5.5 - Pruebas, Vigilancia y Monitoreo de la Seguridad
DS5.6 - Definición de Incidente de Seguridad
DS5 – Garantizar la seguridad de los
sistemas DS5.7 - Protección de la Tecnología de Seguridad
DS5.8 - Administración de Llaves Criptográficas
DS5.9 - Prevención, Detección y Corrección de Software
Malicioso
DS5.10 - Seguridad de la Red
DS5.11 - Intercambio de Datos Sensitivos
28
COBIT 4.1
DS6.1 - Definición de Servicios
DS6.2 - Contabilización de TI
DS6 – Identificar y asignar costos
DS6.3 - Modelación de Costos y Cargos
DS6.4 - Mantenimiento del Modelo de Costos
DS7.1 - Identificación de Necesidades de Entrenamiento y
Educación
DS7 – Educar y entrenar a usuarios DS7.2 - Impartición de Entrenamiento y Educación
DS7.3 - Evaluación del Entrenamiento Recibido
DS8.1 - Mesa de Servicios
DS8.2 - Registro de Consultas de Clientes
DS8 – Administrar la mesa de
DS8.3 - Escalamiento de Incidentes
servicio y los incidentes
DS8.4 - Cierre de Incidentes
DS8.5 - Análisis de Tendencias
DS9.1 - Repositorio y Línea Base de Configuración
DS9.2 - Identificación y Mantenimiento de Elementos de
ENTREGAR Y DAR SOPORTE
DS9 – Administrar la configuración

Configuración
DS9.3 - Revisión de Integridad de la Configuración
DS10.1 - Identificación y Clasificación de Problemas
DS10.2 - Rastreo y Resolución de Problemas
DS10 –Administrar los problemas DS10.3 - Cierre de Problemas
DS10.4 - Integración de las Administraciones de Cambios,
Configuración y Problemas
DS11.1 - Requerimientos del Negocio para Administración
de Datos
DS11.2 - Acuerdos de Almacenamiento y Conservación
DS11.3 - Sistema de Administración de Librerías de
DS11 – Administrar los datos Medios
DS11.4 - Eliminación
DS11.5 - Respaldo y Restauración
DS11.6 - Requerimientos de Seguridad para la
Administración de Datos
DS12.1 - Selección y Diseño del Centro de Datos
DS12.2 - Medidas de Seguridad Física
DS12 – Administrar el ambiente
DS12.3 - Acceso Físico
físico
DS12.4 - Protección Contra Factores Ambientales
DS12.5 - Administración de Instalaciones Físicas
DS13.1 - Procedimientos e Instrucciones de Operación
DS13.2 - Programación de Tareas.
DS13 – Administrar las operaciones DS13.3 - Monitoreo de la Infraestructura de TI
DS13.4 - Documentos Sensitivos y Dispositivos de Salida
DS13.5 - Mantenimiento Preventivo del Hardware
29
COBIT 4.1
ME1.1 - Enfoque del Monitoreo
ME1.2 - Definición y Recolección de Datos de Monitoreo
ME1.3 - Método de Monitoreo

ME1 - Monitorear y Evaluar el
Desempeño de TI ME1.4 - Evaluación del Desempeño
ME1.5 - Reportes al Consejo Directivo y a Ejecutivos
ME1.6 - Acciones Correctivas
ME2.1 - Monitorización del Marco de Trabajo de Control

Interno
ME2.2 - Revisiones de Auditoría
ME2.3 - Excepciones de Control

MONITOREAR Y EVALUAR
Control Interno ME2.4 - Control de Auto Evaluación
ME2.5 - Aseguramiento del Control Interno
ME2.6 - Control Interno para Terceros
ME2.7 - Acciones Correctivas
ME3.1 - Identificar los Requerimientos de las Leyes,

Regulaciones y Cumplimientos Contractuales
ME3.2 - Optimizar la Respuesta a Requerimientos Externos

ME3 - Garantizar el Cumplimiento
ME3.3 - Evaluación del Cumplimiento con Requerimientos
Regulatorio
Externos
ME3.4 - Aseguramiento Positivo del Cumplimiento
ME3.5 - Reportes Integrados
ME4.1 - Establecimiento de un Marco de Gobierno de TI
ME4.2 - Alineamiento Estratégico
ME4.3 - Entrega de Valor
ME4 - Proporcionar Gobierno de TI ME4.4 - Administración de Recursos
ME4.5 - Administración de Riesgos
ME4.6 - Medición del Desempeño
ME4.7 - Aseguramiento Independiente

30
COBIT se centra en un modelo de gestión basada en cuatro dominios que se
presentan en la siguiente ilustración para luego dar una breve explicación de cada
uno:
ILUSTRACIÓN 2: DOMINIOS COBIT 4.1
Planear Y Adquirir e
Organizar Implementar
Entregar y Monitorear y
Dar Soporte Evaluar
2.1.1.1.1 DOMINIO PLANEAR Y ORGANIZAR (PO)
Este dominio cubre la estrategia y las tácticas, se refiere a la identificación de

la forma en que la tecnología de información puede contribuir de la mejor
manera al logro de los objetivos del negocio. Además, la consecución de la
visión estratégica necesita ser planeada, comunicada y administrada desde
diferentes perspectivas. Finalmente, deberán establecerse una organización y
una infraestructura tecnológica apropiadas. Basado en procesos y estos a su
vez subdivididos en objetivos de control que se muestran en cada ilustración.
(IT Governance Institute, COBIT 4.1, Pág.12, 2007)
31
El dominio planear y organizar está compuesto de 10 procesos que se detallan en la
ilustración siguiente:
ILUSTRACIÓN 3: PROCESOS DEL DOMINIO PLANEAR Y ORGANIZAR
PO5
PO1 Definir un Plan
Administrar la
Estratégico de TI
Inversión en TI
PO2 PO6 Comunicar

Definir la las Aspiraciones y
Arquitectura de la la Dirección de la
Información Gerencia
PO3 Determinar la PO7

Dirección Administrar
Tecnológica Recursos Humanos
de TI
PO4
Definir los
Procesos, PO8 Administrar la
Organización y Calidad
Relaciones de TI
PO9
Evaluar y
Administrar los
riesgos de TI
PO10
Administrar
Proyectos
32
PROCESO PO1- DEFINIR UN PLAN ESTRATÉGICO DE TI
Según COBIT 4.1 “La planeación estratégica de TI es necesaria para gestionar y

dirigir todos los recursos de TI en línea con la estrategia y prioridades del negocio”.
En la siguiente ilustración se detallan los 6 objetivos de control que componen el

proceso definir un plan estratégico de TI.

PO1- DEFINIR UN PLAN ESTRATÉGICO DE TI
ANÁLISIS GENERAL DE LOS OBJETIVOS DE CONTROL:
La viabilidad de todo proceso implica una conjugación de pasos estratégicos que

amerita la concertación de actividades para la búsqueda de beneficios óptimos en
eficiencia de los objetivos de un proceso organizacional. La consecución de los
objetivos depende directamente de los pasos secuenciales difundidos dentro de la
empresa para la correcta administración de los objetivos que inciden en los valores
implementados en la alineación estratégica de la misma, buscan incurrir en las
evaluaciones constantes y perennes para conseguir el plan estratégico institucional
que permita describir los planes tácticos a implementar a la realización del tema.
33
PROCESO PO2 - DEFINIR LA ARQUITECTURA DE LA INFORMACIÓN
La descripción del proceso de COBIT detalla lo siguiente “La función de sistemas de

información debe crear y actualizar de forma regular un modelo de información del
negocio y definir los sistemas apropiados para optimizar el uso de esta información”.
Los 4 objetivos de control que abarca el proceso definir la arquitectura de la

información se detallan en la siguiente ilustración:

PO2- DEFINIR LA ARQUITECTURA DE LA INFORMACIÓN
Cuando los objetivos implican el manejo de una infraestructura basada en la

información es necesario respetar un modelo de tendencia para que los objetivos
incurran en un proceso pro-activo de gestión ilimitada para que con una base
informativa a través de diccionarios de valores y elementos ejecutables dentro de la
organización mantengan las reglas claras en el desarrollo de los datos, realizando una
esquematización que busca integrar la confianza y la responsabilidad de todos
34
quienes conforman las actividades de la TI en su completa y extensa calidad en la
empresa.
PROCESO PO3 - DETERMINAR LA DIRECCIÓN TECNOLÓGICA
El marco de trabajo COBIT indica:
La función de servicios de información debe determinar la dirección

tecnológica para dar soporte al negocio. Esto requiere de la creación de un
plan de infraestructura tecnológica y de un comité de arquitectura que
establezca y administre expectativas realistas y claras de lo que la tecnología
puede ofrecer en términos de productos, servicios y mecanismos de
aplicación. (IT Governance Institute, COBIT 4.1, Pág.37, 2007)
El proceso determinar la dirección tecnológica está compuesto de 5 objetivos de
control que se muestran en la siguiente ilustración:

PO3 - DETERMINAR LA DIRECCIÓN TECNOLÓGICA
La dirección tecnológica involucra la planificación estratégica y la creación de un

consejo de arquitectura con la finalidad de responder oportunamente a los cambios
35
sistemáticos y además permitan planificar de forma eficaz las tendencias y
regulaciones que se presenten en el tiempo y que acojan como prioridad el monitoreo
y la evaluación de sistemas aplicativos así como recursos y capacidades que permitan
aprovechar las oportunidades tecnológicas.
PROCESO PO4 - DEFINIR LOS PROCESOS, ORGANIZACIÓN Y

RELACIONES DE TI
Se define en COBIT este proceso como:
Una organización de TI se debe definir tomando en cuenta los requerimientos

de personal, funciones, rendición de cuentas, autoridad, roles,
responsabilidades y supervisión. La organización está embebida en un marco
de trabajo de procesos de TI que asegure la transparencia y el control, así
como el involucramiento de los altos ejecutivos y de la gerencia del negocio.
Se detallan los 15 objetivos de control que comprende el proceso definir los
procesos, organización y relaciones de TI en la siguiente ilustración:
36
PO4 - DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI
Las relaciones de TI responden a las responsabilidades de entregar calidad en cada

proceso, con la información y los datos que deben de estar adecuadamente
supervisados para que la segregación de funciones sean lo más efectivo posible y el
personal involucrado en la consecución de los objetivos elaboren un marco de trabajo
estratégico que amplíe los constantes esfuerzos por alcanzar nuevas metas en la
infraestructura, las tendencias organizativas incitan a un entorno sólido y
característico para alcanzar roles relativamente responsables en cada meta trazada.
37
PROCESO PO5 - ADMINISTRAR LA INVERSIÓN EN TI
COBIT indica que el proceso debe: “Establecer y mantener un marco de trabajo para
administrar los programas de inversión en TI que abarquen costos, beneficios,
prioridades dentro del presupuesto, un proceso presupuestal formal y administración
contra ese presupuesto”. (IT Governance Institute, COBIT 4.1, Pág.47, 2007)
En la siguiente ilustración se detallan los 5 objetivos de control que conforman el

proceso administrar la inversión en TI.

PO5 – ADMINISTRAR LA INVERSIÓN DE TI
Los objetivos se basan en la meta alcanzada y a mejorar los procesos en las distintas
áreas, sin embargo la inversión consiste en medir el esfuerzo, la eficiencia y
optimizar los recursos con una adecuada gestión financiera, que permita difundir
habilidades de comunicación integradoras para la correcta consecución de beneficios.
El manejo adecuado y garantizado del proceso implica cambios sustanciales que
garanticen beneficios y nuevos objetivos trazados.
38
PROCESO PO6 - COMUNICAR LAS ASPIRACIONES Y LA DIRECCIÓN
DE LA GERENCIA
Lo que menciona COBIT para este proceso es: “La dirección debe elaborar un marco
de trabajo de control empresarial para TI, y definir y comunicar las políticas. El
proceso debe garantizar el cumplimiento de las leyes y reglamentos relevantes”. (IT
Governance Institute, COBIT 4.1, Pág.51, 2007)
En la siguiente ilustración se detallan los 5 objetivos de control que abarca el proceso

comunicar las aspiraciones y la dirección de la gerencia.

PO6 – COMUNICAR LAS ASPIRACIONES Y LA DIRECCIÓN DE LA
GERENCIA
El principal elemento para la consecución de los objetivos es el control siendo

prioridad en las actividades integradoras que aplica la empresa en su proceso de
enlazar la TI con el contorno de comunicación existente en los diferentes
departamentos de la empresa, generando la elaboración y administración de políticas
con el objeto de tener una dirección más efectiva.
39
El efecto comunicación garantiza un síntoma de creer que se pueden hacer las cosas
mejor de lo que se está haciendo, creando un clima de constante motivación y deseo
por alcanzar las metas definidas.
PROCESO PO7 - ADMINISTRAR RECURSOS HUMANOS DE TI
COBIT indica para este proceso:
Adquirir, mantener y motivar una fuerza de trabajo para la creación y entrega

de servicios de TI para el negocio. Esto se logra siguiendo prácticas definidas
y aprobadas que apoyan el reclutamiento, entrenamiento, la evaluación del
desempeño, la promoción y la terminación. Este proceso es crítico, ya que las
personas son activos importantes, y el ambiente de gobierno y de control
interno depende fuertemente de la motivación y competencia del personal.
Los 8 objetivos de control comprendidos en el proceso administrar recursos humanos
de TI se muestran en la siguiente ilustración:

PO7 –ADMINISTRAR RECURSOS HUMANOS DE TI

40
El factor o talento humano implica la correcta aplicación de las competencias en

relación al desempeño de las funciones del recurso más importante para los objetivos
estratégicos de la empresa. Un manejo adecuado en el reclutamiento involucra un
proceso de estudio y análisis de competencias para la asignación de cargos y
ejecución de roles, de esto dependerá que el recurso humano sea proactivo y no se
cree dependencia en cada una de las actividades.
El objetivo es enmarcar una eficiencia de al menos un 90% del personal de toda la

empresa, sin embargo el indicador influye para mejorar y mantener el equilibrio en
las distintas actividades del personal, por eso es necesaria la proactividad, la
evaluación y el desempeño de las actividades grupales.
PROCESO PO8 - ADMINISTRAR LA CALIDAD
Para el cumplimiento del proceso, COBIT indica:
“Se debe elaborar y mantener un sistema de administración de calidad, el cual

incluya procesos y estándares probados de desarrollo y de adquisición. La
administración de calidad es esencial para garantizar que TI está dando valor al
negocio, mejora continua y transparencia para los interesados”. (IT Governance
Institute, COBIT 4.1, Pág.59, 2007)
El proceso administrar la calidad está conformado por 6 objetivos de control que se

presentan en la siguiente ilustración:
41
PO8 - ADMINISTRAR LA CALIDAD
Un servicio es considerado como tal cuando la calidad envuelve el soporte de toda

acción ejecutada por el personal de la empresa, sin embargo la medición de la calidad
está reflejada en las actividades ampliadas y en el desarrollo de nuevas tecnologías
que involucra un proceso de cambio y mejoras para con los clientes internos y
externos de la organización. La calidad forma parte de la planeación, control y
evaluación por lo que refiere varios objetivos enlazados para encontrar los estándares
de calidad y desarrollo, además su enfoque en los clientes internos y externos refleja
una integración en base a la responsabilidad y confianza prescrita en cada analogía
de los objetivos de control que mantiene COBIT.
42
PROCESO PO9 - EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI
De acuerdo con COBIT para este proceso se debe:
Crear y dar mantenimiento a un marco de trabajo de administración de

riesgos. El marco de trabajo documenta un nivel común y acordado de riesgos
de TI, estrategias de mitigación y riesgos residuales. Cualquier impacto
potencial sobre las metas de la organización, causado por algún evento no
planeado se debe identificar, analizar y evaluar. El resultado de la evaluación
debe ser entendible para los Interesados (Stakeholders) y se debe expresar en
términos financieros, para permitirles alinear los riesgos a un nivel aceptable
de tolerancia. (IT Governance Institute, COBIT 4.1, Pág.63, 2007)
En la siguiente ilustración se detallan los 6 objetivos de control comprendidos en el
proceso evaluar y administrar los riesgos de TI.

PO9 - EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI
La administración del riesgo de TI está basada en los indicadores de control que

ayudan en la identificación de eventos, su posterior evaluación y elaboración de
respuestas estratégicas y oportunas que permitan un efectivo control de las amenazas
y disminución del impacto, todo esto encuadrado en un marco de trabajo y
considerado en un plan de acción de riesgo debidamente evaluado y monitoreado
periódicamente.
43
PROCESO PO10 - ADMINISTRAR PROYECTOS
Para COBIT se debe:

Establecer un marco de trabajo de administración de programas y proyectos
para la administración de todos los proyectos de TI establecidos. El marco de
trabajo debe garantizar la correcta asignación de prioridades y la coordinación
de todos los proyectos. Este enfoque reduce el riesgo de costos inesperados y
de cancelación de proyectos, mejora la comunicación y el involucramiento
del negocio y de los usuarios finales, asegura el valor y la calidad de los
entregables de los proyectos, y maximiza la contribución a los programas de
inversión facilitados por TI”. (IT Governance Institute, COBIT 4.1, Pág.67)
Se muestran los 14 objetivos de control que comprende el proceso administrar

proyectos en la siguiente ilustración:

PO10 - ADMINISTRAR PROYECTOS
Estos objetivos de control se relacionan con el manejo adecuado de los proyectos

desde su inicio hasta su culminación, midiendo el desempeño, reportando y
monitoreando su desenvolvimiento, vigilando de esta manera la utilización apropiada
de los recursos para que la calidad del proyecto sea la más efectiva.
44
2.1.1.1.2 DOMINIO ADQUIRIR E IMPLEMENTAR (AI)
“Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas,
desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso
del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados
a sistemas existentes”. (IT Governance Institute, COBIT 4.1, Pág.12, 2007)
Esta definición trata de incursionar en las soluciones eficientes que detalla la

metodología COBIT en los procesos de calidad del negocio, situación que pretende
dar cambios y soportes a los proyectos que se vincula con base al esfuerzo de los
recursos, siendo imprescindible el mantenimiento de los sistemas. Las TI garantizan
que los procesos se ejecuten adecuadamente identificando los inconvenientes o
riesgos para luego poder sistematizar la realización de los nuevos procesos, la
adquisición de un software que permita mantener una mejor infraestructura
tecnológica que agilite las operaciones de la empresa.
En la siguiente ilustración se detallan los 7 procesos del dominio Adquirir e

Implementar.
ILUSTRACIÓN 14: PROCESOS DEL DOMINIO ADQUIRIR E

IMPLEMENTAR
AI2 Adquirir y AI3 Adquirir y

AI1 Identificar
mantener mantener
soluciones
software infraestructura
automatizadas
aplicativo tecnológica
AI4 Facilitar la
operación y el
uso
AI7 Instalar y
AI6 acreditar
AI5 Adquirir
Administrar soluciones y
recursos de TI
cambios cambios

45
PROCESO AI1 – IDENTIFICAR SOLUCIONES AUTOMATIZADAS
La necesidad de una nueva aplicación o función requiere de análisis antes de

la compra o desarrollo para garantizar que los requisitos del negocio se
satisfacen con un enfoque efectivo y eficiente, que permiten a las
organizaciones minimizar el costo para Adquirir e Implementar soluciones,
mientras que al mismo tiempo facilitan el logro de los objetivos del negocio.
Este primer proceso de identificar soluciones automatizadas se compone de 4
objetivos de control que se detallan en la siguiente ilustración:

AI1– IDENTIFICAR SOLUCIONES AUTOMATIZADAS
Los objetivos de control de este proceso permiten identificar en las soluciones

automatizadas su efectividad y eficiencia, mediante la definición de los
requerimientos técnicos del negocio, el análisis de los riesgos, y la aprobación de los
estudios que se realicen de factibilidad y cursos de acción alternativos.
46
PROCESO AI2 – ADQUIRIR Y MANTENER SOFTWARE APLICATIVO
Este proceso cubre el diseño de las aplicaciones, la inclusión apropiada de

controles aplicativos y requerimientos de seguridad, y el desarrollo y la
configuración en sí de acuerdo a los estándares. Esto permite a las
organizaciones apoyar la operatividad del negocio de forma apropiada con las
aplicaciones automatizadas correctas. (IT Governance Institute, COBIT 4.1,
Pág.77, 2007)
Con la siguiente ilustración se muestran los 10 objetivos de control que conforman
el proceso adquirir y mantener software aplicativo.

AI2 –ADQUIRIR Y MANTENER SOFTWARE APLICATIVO
Con estos objetivos de control se contribuye a mantener aplicaciones acordes a los

requerimientos del negocio, garantizando su calidad, seguridad, disponibilidad y
confiabilidad así como la satisfacción de los usuarios, convirtiendo el proceso en
oportuno y rentable si está basado en buenas prácticas de adquisición y
mantenimiento de software aplicativo.
47
PROCESO AI3 – ADQUIRIR Y MANTENER INFRAESTRUCTURA
TECNOLÓGICA
Las organizaciones deben contar con procesos para adquirir, Implementar y

actualizar la infraestructura tecnológica. Esto requiere de un enfoque
planeado para adquirir, mantener y proteger la infraestructura de acuerdo con
las estrategias tecnológicas convenidas y la disposición del ambiente de
desarrollo y pruebas. Esto garantiza que exista un soporte tecnológico
continuo para las aplicaciones del negocio. (IT Governance Institute, COBIT
4.1, Pág.81, 2007)
Con la siguiente ilustración se detallan los 4 objetivos de control que comprende el
proceso adquirir y mantener infraestructura tecnológica:

AI3 – ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA
La infraestructura tecnológica es un elemento primordial en el desarrollo integrado

de la empresa por lo que su adquisición y mantenimiento debe estar basado en un
plan que considere aspectos tales como costos, riesgos, vulnerabilidad, vida útil, etc.
Con estos objetivos se puede proporcionar una infraestructura tecnológica confiable

y segura.
48
PROCESO AI4 – FACILITAR LA OPERACIÓN Y EL USO
“Este proceso requiere la generación de documentación y manuales para usuarios y

para TI, y proporciona entrenamiento para garantizar el uso y la operación correctos
de las aplicaciones y la infraestructura”. (IT Governance Institute, COBIT 4.1,
Pág.85, 2007)
El proceso facilitar la operación y el uso se compone de 4 objetivos de control que se

muestran en la ilustración siguiente:

AI4 – FACILITAR LA OPERACIÓN Y EL USO
Estos controles contribuyen en la planificación de soluciones operativas que

comprenden la transferencia de competencias y conocimientos al recurso humano
para el soporte de las actividades de las TI y la utilización efectiva y eficiente de los
sistemas que sirven de apoyo a los procesos del negocio. La documentación, el
entrenamiento así como la adopción de herramientas y métodos se mantiene en
forma continua y reflejan el apoyo a los requerimientos de la organización.
49
PROCESO AI5 – ADQUIRIR RECURSOS DE TI
Se deben suministrar recursos TI, incluyendo personas, hardware, software y

servicios. Esto requiere de la definición y ejecución de los procedimientos de
adquisición, la selección de proveedores, el ajuste de arreglos contractuales y
la adquisición en sí. El hacerlo así garantiza que la organización tenga todos
los recursos de TI que se requieren de una manera oportuna y rentable. (IT
En la siguiente ilustración se detallan los 4 objetivos de control que abarca en el
proceso adquirir recursos de TI.

AI5 – ADQUIRIR RECURSOS DE TI
El adquirir recursos de TI involucra su control mediante el desarrollo de

procedimientos de adquisición, la administración de contratos con los proveedores
para su correcta selección consiguiendo con estos objetivos de control el
cumplimiento de los intereses del negocio y la optimización de los recursos en
términos monetarios.
50
PROCESO AI6 – ADMINISTRAR CAMBIOS
Según COBIT:
Todos los cambios, incluyendo el mantenimiento de emergencia y parches,

relacionados con la infraestructura y las aplicaciones dentro del ambiente de
producción, deben administrarse formalmente y controladamente. Los
cambios (incluyendo procedimientos, procesos, sistema y parámetros del
servicio) se deben registrar, evaluar y autorizar previo a la implantación y
revisar contra los resultados planeados después de la implantación. Esto
garantiza la reducción de riesgos que impactan negativamente la estabilidad o
integridad del ambiente de producción. (IT Governance Institute, COBIT 4.1,
Pág.93, 2007)
Los 5 objetivos de control comprendidos en el proceso administrar cambios se
muestran en la siguiente ilustración:

AI6 – ADMINISTRAR CAMBIOS
Los objetivos de control de este proceso permiten seguir los pasos secuenciales para
la adecuada administración de cambios definiendo y comunicando oportunamente los
procedimientos a cumplir para realizarlos. El monitoreo y evaluación de los cambios
minimiza errores e interrupciones y agrega valor a la información garantizando que
TI sea un factor que hace posible un incremento en la productividad y crea nuevas
oportunidades de negocio para la organización.
51
PROCESO AI7 – INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS
Para el proceso se define que:
Los nuevos sistemas necesitan estar funcionales una vez que su desarrollo se
completa. Esto requiere pruebas adecuadas en un ambiente dedicado con
datos de prueba relevantes, definir la transición e instrucciones de migración,
planear la liberación y la transición en sí al ambiente de producción, y revisar
la post-implantación. Esto garantiza que los sistemas operativos estén en línea
con las expectativas convenidas y con los resultados. (IT Governance
Los 9 objetivos de control que conforman el proceso instalar y acreditar soluciones y
cambios, se detallan en la siguiente ilustración.

AI7 – INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS
Iniciando con el entrenamiento del personal de operaciones de la función de TI,

pasando por las pruebas de ambiente, de cambios, de aceptación, realizar el
monitoreo posterior a la implementación, evaluar los resultados, medir la satisfacción
del usuario de los sistemas nuevos o modificados, todo esto forma parte de los
objetivos de control de este proceso para garantizar el rendimiento y desarrollo de los
nuevos recursos y asegurar el mejoramiento continuo de la calidad.
52
2.1.1.1.3 DOMINIO ENTREGAR Y DAR SOPORTE (DS)
En este dominio se hace referencia a la entrega de los servicios requeridos,

que abarca desde las operaciones tradicionales hasta el entrenamiento,
pasando por seguridad y aspectos de continuidad. Con el fin de proveer
servicios, deberán establecerse los procesos de soporte necesarios. Este
dominio incluye el procesamiento de los datos por sistemas de aplicación,
frecuentemente clasificados como controles de aplicación. (IT Governance
El dominio Entregar y Dar soporte está compuesto de 13 procesos identificados en la
siguiente ilustración.
ILUSTRACIÓN 22: PROCESOS DEL DOMINIO ENTREGAR Y DAR

SOPORTE
DS1 Definir y DS2 DS3

administrar Administrar Administrar el
los niveles de los servicios desempeño y
servicio de terceros la capacidad
DS5 DS4
Garantizar la Garantizar la
seguridad de continuidad
los sistemas del servicio
DS8
DS7 Educar y Administrar la
DS6 entrenar a los Mesa de
Identificar y usuarios servicio y los
asignar incidentes
costos
DS10
DS9
Administrar los
Administrar la
Problemas
configuración
DS12 DS13
DS11
Administrar el Administrar
Administrar
ambiente las
los datos
físico operaciones
53
PROCESO DS1 – DEFINIR Y ADMINISTRAR LOS NIVELES DE
SERVICIO
Contar con una definición documentada y un acuerdo de servicios de TI y de

niveles de servicio, hace posible una comunicación efectiva entre la gerencia
de TI y los clientes de negocio respecto de los servicios requeridos. Este
proceso también incluye el monitoreo y la notificación oportuna a los
Interesados sobre el cumplimiento de los niveles de servicio. Este proceso
permite la alineación entre los servicios de TI y los requerimientos de negocio
relacionados. (IT Governance Institute, COBIT 4.1, Pág.101, 2007)
Se detallan los 6 objetivos de control del proceso definir y administrar los niveles de
servicio en la siguiente ilustración:

DS1 – DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIO
COBIT relaciona los objetivos de control en base directa de un marco de trabajo

como la estrategia más significativa para la administración de los niveles de servicio
que incluye acuerdo de niveles de servicio (SLA) y de operaciones (OLA). El
monitoreo continuo del cumplimiento de los niveles de servicio y el análisis de los
resultados permite identificar tendencias positivas y negativas consiguiendo asegurar
la alineación de los servicios claves de TI con la estrategia del negocio.
54
PROCESO DS2 – ADMINISTRAR LOS SERVICIOS DE TERCEROS
Este proceso se logra por medio de una clara definición de roles,

responsabilidades y expectativas en los acuerdos con los terceros, así como
con la revisión y monitoreo de la efectividad y cumplimiento de dichos
acuerdos. Una efectiva administración de los servicios de terceros minimiza
los riesgos del negocio asociados con proveedores que no se desempeñan de
forma adecuada. (IT Governance Institute, COBIT 4.1, Pág.105, 2007)
En la siguiente ilustración se muestran los 4 objetivos de control que conforman el
proceso administrar los servicios de terceros.

DS2 – ADMINISTRAR LOS SERVICIOS DE TERCEROS
Utilizando los objetivos de control de este proceso se identifica y categoriza los

servicios con los proveedores y se mide el grado de calidad, confianza y
transparencia existente con ellos empleando SLAs. Con la identificación y
mitigación del riesgo del proveedor y el monitoreo de su desempeño se asegura el
cumplimiento de la calidad del servicio que debe estar acorde con los requerimientos
y acuerdos definidos en los contratos y SLAs.
55
PROCESO DS3 – ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD
“Este proceso incluye el pronóstico de las necesidades futuras, basadas en los

requerimientos de carga de trabajo, almacenamiento y contingencias. Este proceso
brinda la seguridad de que los recursos de información que soportan los
requerimientos del negocio están disponibles de manera continua”. (IT Governance
Con la siguiente ilustración se muestran los 5 objetivos de control que comprende el

proceso administrar el desempeño y la capacidad.

DS3 – ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD
Los objetivos de control de este proceso apuntan a la planeación para revisar la

capacidad y el desempeño de los recursos de TI actuales y determinar pronósticos de
los recursos futuros cuando el actual sea insuficiente. El monitoreo continuo
contribuye a tomar acciones correctivas que permiten la disponibilidad de los
servicios y optimización de su capacidad acordes a los SLAs establecidos en
respuesta a las necesidades del negocio.
56
PROCESO DS4 – GARANTIZAR LA CONTINUIDAD DEL SERVICIO
La necesidad de brindar continuidad en los servicios de TI requiere

desarrollar, mantener y probar planes de continuidad de TI, almacenar
respaldos fuera de las instalaciones y entrenar de forma periódica sobre los
planes de continuidad. Un proceso efectivo de continuidad de servicios,
minimiza la probabilidad y el impacto de interrupciones mayores en los
servicios de TI, sobre funciones y procesos claves del negocio. (IT
Con la siguiente ilustración se muestra los 10 objetivos de control contenidos en el
proceso garantizar la continuidad del servicio.

DS4 – GARANTIZAR LA CONTINUIDAD DEL SERVICIO
Generar un marco de trabajo óptimo que incluya planes de continuidad que considere
entre otras cosas la estructura organizacional, roles y responsabilidades,
identificación de recursos críticos, etc. Considerar el mantenimiento, prueba,
entrenamiento y distribución de los planes de continuidad asegura la recuperación y
reanudación de los servicios de TI con un impacto mínimo. Los objetivos de control
también contemplan una revisión posterior a la reanudación de las funciones de TI
validando la efectividad de los planes de continuidad.
57
PROCESO DS5 – GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS
Este proceso incluye el establecimiento y mantenimiento de roles y

responsabilidades de seguridad, políticas, estándares y procedimientos de TI.
La administración de la seguridad también incluye realizar monitoreos de
seguridad y pruebas periódicas así como realizar acciones correctivas sobre
las debilidades o incidentes de seguridad identificados. Una efectiva
administración de la seguridad protege todos los activos de TI para minimizar
el impacto en el negocio causado por vulnerabilidades o incidentes de
seguridad. (IT Governance Institute, COBIT 4.1, Pág.117, 2007)
El proceso garantizar la seguridad de los sistemas está compuesto por 11 objetivos de
control que se presentan en la siguiente ilustración:

DS5 – GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS
La seguridad de los sistemas de TI debe estar alineada con los objetivos de seguridad
del negocio. Desarrollar un plan de seguridad que contemple los requerimientos de
negocio, riesgos y cumplimiento. Implementar mecanismos de autenticación para
usuarios de las TI, y los permisos de accesos a información crítica y sensible debe
contar con la debida aprobación. El monitoreo y las pruebas periódicas garantizan
que se mantiene el nivel de seguridad aprobado.
58
PROCESO DS6 – IDENTIFICAR Y ASIGNAR COSTOS
“Este proceso incluye la construcción y operación de un sistema para capturar,

distribuir y reportar costos de TI a los usuarios de los servicios. Un sistema
equitativo de costos permite al negocio tomar decisiones más informadas respectos al
uso de los servicios de TI”. (IT Governance Institute, COBIT 4.1, Pág.121, 2007)
Los 4 objetivos de control que comprendidos en el proceso identificar y asignar

costos se detallan en la ilustración siguiente:

DS6 – IDENTIFICAR Y ASIGNAR COSTOS
Los costos de TI deben asignarse en forma justa y equitativa a los consumidores de

TI mediante una modelación adecuada de costos y cargos. Se requiere un monitoreo
y evaluación oportuna para detectar desviaciones que permitan la constante
optimización del costo de los recursos de TI y la toma de decisiones rentable con
respecto al uso de los servicios.
59
PROCESO DS7 – EDUCAR Y ENTRENAR A LOS USUARIOS
Este proceso incluye la definición y ejecución de una estrategia para llevar a

cabo un entrenamiento efectivo y para medir los resultados. Un programa
efectivo de entrenamiento incrementa el uso efectivo de la tecnología al
disminuir los errores, incrementando la productividad y el cumplimiento de
los controles clave tales como las medidas de seguridad de los usuarios. (IT
Con la siguiente ilustración se muestra los 3 objetivos de control contenidos en el
proceso educar y entrenar a los usuarios.

DS7 – EDUCAR Y ENTRENAR A LOS USUARIOS
Estos objetivos de control establecen la identificación de las necesidades de

entrenamiento y educación mediante el desarrollo de un plan de entrenamiento para
cada grupo objetivo de empleados, garantizando con ello el uso apropiado de los
recursos de TI y optimizando su desempeño.
La creación de una cultura moderada en el recurso humano ayuda a apaciguar los

riesgos críticos que se podrían manifestar, mejor respuesta en la entrega de servicios
y un incremento en la productividad.
60
PROCESO DS8 – ADMINISTRAR LA MESA DE SERVICIO Y LOS
INCIDENTES
Este proceso incluye la creación de una función de mesa de servicio con

registro, escalamiento de incidentes, análisis de tendencia, análisis causa-raíz
y resolución. Los beneficios del negocio incluyen el incremento en la
productividad gracias a la resolución rápida de consultas. Además, el negocio
puede identificar la causa raíz (tales como un pobre entrenamiento a los
usuarios) a través de un proceso de reporte efectivo. (IT Governance Institute,
COBIT 4.1, Pág.129, 2007)
En la siguiente ilustración se detallan los 5 objetivos de control contemplados en el
proceso administrar la mesa de servicio y los incidentes.

DS8 – ADMINISTRAR LA MESA DE SERVICIO Y LOS INCIDENTES
Con estos objetivos de control se puede conformar una mesa de servicio bien
diseñada que atienda en forma oportuna y efectiva los requerimientos y problemas de
los usuarios. Establecer procedimientos para el monitoreo y escalamientos de
incidentes, priorizando la resolución de los más críticos corresponde a una adecuada
administración de la mesa de servicio que permite mantener un control apropiado
sobre los incidentes e identificar las tendencias de problemas recurrentes para
mejorar el servicio de manera continua.
61
PROCESO DS9 – ADMINISTRAR LA CONFIGURACIÓN
Este proceso incluye la recolección de información de la configuración

inicial, el establecimiento de normas, la verificación y auditoría de la
información de la configuración y la actualización del repositorio de
configuración conforme se necesite. Una efectiva administración de la
configuración facilita una mayor disponibilidad, minimiza los problemas de
producción y resuelve los problemas más rápido. (IT Governance Institute,
COBIT 4.1, Pág.133, 2007)
Los 3 objetivos de control que constituyen el proceso administrar la configuración se
presentan en la ilustración siguiente:

DS9 – ADMINISTRAR LA CONFIGURACIÓN
Administrar la configuración permite establecer los parámetros que deben de

ejecutarse en cualquier tipo de conflicto en donde podría manifestarse una amenaza,
los objetivos de control señalan los lineamientos a seguir para la optimización de la
infraestructura, recursos y capacidades de TI, con el establecimiento y
mantenimiento de un repositorio central de todos los elementos de configuración y la
revisión periódica de los datos de configuración para verificar su integridad.
62
PROCESO DS10 – ADMINISTRAR LOS PROBLEMAS
El proceso administrar los problemas también incluye la identificación de

recomendaciones para la mejora, el mantenimiento de registros de problemas
y la revisión del estatus de las acciones correctivas. Un efectivo proceso de
administración de problemas mejora los niveles de servicio, reduce costos y
mejora la conveniencia y satisfacción del usuario. (IT Governance Institute,
COBIT 4.1, Pág.137, 2007)
Los 4 objetivos de control incluidos en el proceso administrar los problemas se
detallan en la ilustración siguiente:

DS10 – ADMINISTRAR LOS PROBLEMAS
Luego de la identificación y clasificación del problema, procede calificarlo acorde a

la prioridad de exigencias y categorización. Identificar la causa raíz, definir
soluciones sostenibles y monitorear el avance de estas soluciones contra los SLAs
acordados. Una vez que se resuelve el problema el cierre del mismo amerita la
integración con los procesos interrelacionados como el de administración de
incidentes, de cambios y de configuración. Con la aplicación de estos objetivos se
puede anticipar y prevenir los problemas garantizando la satisfacción de los usuarios
finales.
63
PROCESO DS11 – ADMINISTRAR LOS DATOS
El proceso administrar los datos también incluye el establecimiento de

procedimientos efectivos para administrar la librería de medios, el respaldo y
la recuperación de datos y la eliminación apropiada de medios. Una efectiva
administración de datos ayuda a garantizar la calidad, oportunidad y
disponibilidad de la información del negocio. (IT Governance Institute,
COBIT 4.1, Pág.141, 2007)
Un detalle de los 6 objetivos de control que conforman el proceso administrar los
datos se presenta en la ilustración siguiente:

DS11 – ADMINISTRAR LOS DATOS
Los objetivos de control se plantean en base a un requerimiento del negocio para la

correcta gestión de los datos, dirigida a mantener la integridad, exactitud,
disponibilidad y protección de los mismos. Para esto se requiere el desarrollo de
políticas y procedimientos para el almacenamiento, de inventario, de eliminación, de
respaldos y de seguridad de los datos. Establecer en forma clara las responsabilidades
sobre la propiedad y administración de los datos y son conocidas y actualizadas
periódicamente.
64
PROCESO DS12 –ADMINISTRAR EL AMBIENTE FÍSICO
El proceso de administrar el ambiente físico incluye la definición de los

requerimientos físicos del centro de datos, la selección de instalaciones
apropiadas y el diseño de procesos efectivos para monitorear factores
ambientales y administrar el acceso físico. La administración efectiva del
ambiente físico reduce las interrupciones del negocio ocasionadas por daños
al equipo de cómputo y al personal. (IT Governance Institute, COBIT 4.1,
Pág.145, 2007)
En la siguiente ilustración se detallan los 5 objetivos de control que conforman el
proceso administrar el ambiente físico.

DS12 –ADMINISTRAR EL AMBIENTE FÍSICO
El ambiente físico también debe ser administrado de acuerdo a leyes y reglamentos

así como requerimientos técnicos del negocio y especificaciones de seguridad para
proteger tanto los activos de TI como la información del negocio, y minimizar el
riesgo por interrupciones del servicio. Aplicar los objetivos de control de este
proceso permite una selección y diseño adecuada del centro de datos, adoptar
medidas de seguridad, definir procedimientos para otorgar permisos de acceso a
instalaciones, diseñar e implementar medidas de protección contra factores
ambientales, todo esto brinda un ambiente físico apropiado para los recursos e
infraestructura de TI.
65
PROCESO DS13 – ADMINISTRAR LAS OPERACIONES
Este proceso incluye la definición de políticas y procedimientos de operación

para una administración efectiva del procesamiento programado, protección
de datos de salida sensitivos, monitoreo de infraestructura y mantenimiento
preventivo de hardware. Una efectiva administración de operaciones ayuda a
mantener la integridad de los datos y reduce los retrasos en el trabajo y los
costos operativos de TI. (IT Governance Institute, COBIT 4.1, Pág.149, 2007)
El proceso administrar las operaciones cuenta con 5 objetivos de control que se
muestran en la siguiente ilustración:

DS13 – ADMINISTRAR LAS OPERACIONES
Establecer políticas y procedimientos para la correcta administración de las

operaciones de TI. Estos procedimientos deben extenderse para la programación de
tareas, monitoreo de la infraestructura de TI y para el mantenimiento preventivo del
hardware, todo esto complementado con la protección de datos sensitivos garantiza
la continuidad de las operaciones y contribuyen a un ambiente estable.
66
2.1.1.1.4 DOMINIO MONITOREAR Y EVALUAR (ME)
“Todos los procesos necesitan ser evaluados regularmente a través del tiempo para
verificar su calidad y cumplimiento en cuanto a los requerimientos de control”. (IT
El dominio Monitorear y Evaluar está basado en 4 procesos que se muestran a

continuación:
ILUSTRACIÓN 36: PROCESOS DEL DOMINIO MONITOREAR Y

EVALUAR
ME1
Monitorear y
Evaluar el
Desempeño
de TI
ME2
Monitorear y
Evaluar el
Control
Interno
ME3
Garantizar el
Cumplimiento
Regulatorio
ME4
Proporcionar
Gobierno de
TI
TI
67
PROCESO ME1 - MONITOREAR Y EVALUAR EL DESEMPEÑO DE TI
“El proceso incluye la definición de indicadores de desempeño relevantes, reportes

sistemáticos y oportunos de desempeño y tomar medidas expeditas cuando existan
desviaciones. El monitoreo se requiere para garantizar que las cosas correctas se
hagan y que estén de acuerdo con el conjunto de direcciones y políticas”. (IT
Los 6 objetivos de control que comprende el proceso monitorear y evaluar el

desempeño de TI se muestran en la ilustración siguiente:

ME1 - MONITOREAR Y EVALUAR EL DESEMPEÑO DE TI
Un proceso de control que monitoree y evalúe periódicamente el desempeño de las

TI comparándolo contra las metas acordadas es lo que recomienda Cobit mediante
los objetivos de control. Los servicios proporcionados deberán ser medidos
definiendo indicadores claves de desempeño (KPIs) para actividades internas y
externas, los resultados de estas evaluaciones se reportan a la Gerencia para que esta
disponga las medidas correctivas necesarias para el mejoramiento del desempeño.
68
PROCESO ME2 – MONITOREAR Y EVALUAR EL CONTROL INTERNO
Este proceso incluye el monitoreo y el reporte de las excepciones de control,

resultados de las auto-evaluaciones y revisiones por parte de terceros. Un
beneficio clave del monitoreo del control interno es proporcionar seguridad
respecto a las operaciones eficientes y efectivas y el cumplimiento de las
leyes y regulaciones aplicables. (IT Governance Institute, COBIT 4.1,
Pág.157, 2007)
En la siguiente ilustración se detallan los 7 objetivos de control que abarca el proceso
monitorear y evaluar el control interno.

ME2 – MONITOREAR Y EVALUAR EL CONTROL INTERNO
Un marco de trabajo con sistemas de controles internos definidos, monitorear la

eficiencia y efectividad de los controles internos para los procesos de TI y de ser
necesario someterlos a revisión de terceros para asegurar su completitud, identificar
excepciones y analizar sus causas para establecer correctivos, desarrollar y evaluar
controles internos para proveedores de servicios externos, contar con un equipo de
trabajo calificado para la evaluación de los controles, son parámetros contemplados
en los objetivos de control de este proceso y representan una garantía de seguridad
operacional.
69
PROCESO ME3 – GARANTIZAR EL CUMPLIMIENTO CON
REQUERIMIENTOS EXTERNOS
Este proceso incluye la definición de una declaración de auditoría,

independencia de los auditores, ética y estándares profesionales, planeación,
desempeño del trabajo de auditoría y reportes y seguimiento a las actividades
de auditoría. El propósito de este proceso es proporcionar un aseguramiento
positivo relativo al cumplimiento de TI de las leyes y regulaciones. (IT
Con la ilustración siguiente detallamos los 5 objetivos de control que abarca el
proceso garantizar el cumplimiento con requerimientos externos.

ME3 – GARANTIZAR EL CUMPLIMIENTO CON REQUERIMIENTOS
EXTERNOS
Con la consecución de estos objetivos de control se consigue alinear las políticas,

procedimientos, estándares y metodologías de TI de la organización con las leyes y
regulaciones locales e internacionales con lo cual se minimiza el riesgo por el no
cumplimiento y se optimizan los procesos de TI además la organización adquiere una
cultura administrativa que la proyecta a niveles competitivos.
70
PROCESO M4 - PROPORCIONAR GOBIERNO DE TI
“El establecimiento de un marco de trabajo de gobierno efectivo, incluye la

definición de estructuras, procesos, liderazgo, roles y responsabilidades
organizacionales para garantizar así que las inversiones empresariales en TI estén
alineadas y de acuerdo con las estrategias y objetivos empresariales”. (IT
Los 7 objetivos de control que componen el proceso proporcionar gobierno de TI se

presentan en la ilustración siguiente:

M4 - PROPORCIONAR GOBIERNO DE TI
Estos objetivos de control contemplan la elaboración de informes oportunos al

consejo directivo sobre la estrategia, el desempeño y los riesgos de TI. Establece un
marco de trabajo para el gobierno de TI integrado al gobierno corporativo. El
gobierno de la empresa y el gobierno de TI están ligados estratégicamente utilizando
recursos financieros, humanos y tecnológicos para aumentar la ventaja competitiva
de la empresa.
71
2.1.1.2 MISIÓN DE COBIT
“Investigar, desarrollar, hacer público y promover un marco de control de Gobierno

de TI autorizado, actualizado, aceptado internacionalmente para la adopción por
parte de las empresas y el uso diario por parte de gerentes de negocio, profesionales
de TI y profesionales de aseguramiento”. (IT Governance Institute, COBIT 4.1,
Pág.9, 2007)
2.1.1.2.1 ÁREAS DE ENFOQUE DEL GOBIERNO DE TI
El conjunto de acciones coordinadas entre la alta dirección y el área de TI permiten

proporcionar servicios optimizados y administrar los riesgos en forma efectiva para
alcanzar los objetivos estratégicos definidos de la organización.
Por medio de la siguiente ilustración se indica las áreas de enfoque del Gobierno de
TI dentro de la organización.
ILUSTRACIÓN 41: ÁREAS DE ENFOQUE DEL GOBIERNO DE TI
72
ALINEACIÓN ESTRATÉGICA
“Garantiza la alineación entre los planes de negocio y de TI; definiendo,

manteniendo y validando la propuesta de valor de TI; y alineando las operaciones de
TI con las operaciones de la empresa”. (IT Governance Institute, COBIT 4.1, Pág.6,
2007)
ENTREGA DE VALOR
“Ejecuta la propuesta de valor a todo lo largo del ciclo de entrega, asegurando que TI
genere los beneficios prometidos en la estrategia, concentrándose en optimizar los
costos y en brindar el valor intrínseco de la TI”. (IT Governance Institute, COBIT
4.1, Pág.6, 2007)
ADMINISTRACIÓN DE LOS RECURSOS

“Se trata de la inversión óptima, así como la administración adecuada de los recursos
críticos de TI: aplicaciones, información, infraestructura y personas. Los temas
claves se refieren a la optimización de conocimiento y de infraestructura”. ((IT
ADMINISTRACIÓN DEL RIESGO

“Requiere conciencia de los riesgos por parte de los altos ejecutivos de la empresa,
un claro entendimiento del apetito de riesgo que tiene la empresa, comprender los
requerimientos de cumplimiento, transparencia de los riesgos significativos para la
empresa, y la inclusión de las responsabilidades de administración de riesgos dentro
de la organización”. (IT Governance Institute, COBIT 4.1, Pág.6, 2007)
MEDICIÓN DEL DESEMPEÑO

“Rastrea y monitorea la estrategia de implementación, la terminación del proyecto, el
uso de los recursos, el desempeño de los procesos y la entrega del servicio, con el
uso, por ejemplo, de balanced scorecards que traducen la estrategia en acción para
73
lograr las metas medibles más allá del registro convencional”. (IT Governance
2.1.1.2.2 CRITERIOS DE INFORMACIÓN DE COBIT
Las metas de los negocios dependen del desenvolvimiento de la información que

genera TI que debe estar adaptada a criterios de control. COBIT ha definido los
siguientes criterios:
 Efectividad
 Eficiencia
 Confidencialidad
 Integridad
 Disponibilidad
 Cumplimiento y
 Confiabilidad
Los siete criterios de información que permiten satisfacer los objetivos del negocio
se muestran en la ilustración siguiente:
ILUSTRACIÓN 42: CRITERIOS DE INFORMACIÓN
CRITERIOS DE INFORMACIÓN
Efectividad Confidencialidad DIsponibilidad Confiabilidad
Eficiencia Integridad Cumplimiento
74
Efectividad:
Es la información pertinente en los procesos del negocio, que se proporciona en

forma segura, oportuna, consistente, relevante y utilizable.
Eficiencia:
Es la información generada con el óptimo uso de los recursos.
Confidencialidad:
La información sensible debe estar protegida contra revelación no autorizada.
Integridad:
La completitud y la precisión de la información y la validez que esté acorde a las

expectativas de la empresa.
Disponibilidad:
La información que se desarrolle dentro de la organización esté disponible en todo

momento, también involucra la protección de los recursos y las capacidades
necesarias asociadas.
Cumplimiento:
Se relaciona con el acatamiento de leyes, reglamentos y acuerdos a los cuales está

sujeto el negocio, es decir criterios de negocios externos, así como políticas internas.
75
Confiabilidad:
Consiste en proporcionar la información apropiada para que la gerencia administre la

entidad y ejerza sus responsabilidades fiduciarias y de gobierno.
2.1.1.2.3 RECURSOS DE TI
Las organizaciones invierten en recursos para poder atender a los requerimientos de

TI y garantizar que los procesos se desarrollen acordes a las metas trazadas:
Los recursos de TI se identifican en la siguiente ilustración:
ILUSTRACIÓN 43: RECURSOS DE TI
TI
APLICACIONES
Información
Infraestructura
PERSONAS
Información para la
Gestión correcta en
la organizacion
Aplicaciones:
Se relaciona a los sistemas automatizados así como los procedimientos manuales que
procesan información.
76
Información:
Consiste en los datos generados por los sistemas de información y utilizados por el
negocio en cualquiera de sus formas.
Infraestructura:
Comprende el software, el hardware además de los periféricos y las instalaciones así

como el sitio y ambiente que soporta la tecnología de información.
Personas:
Representan el recurso humano requerido para la ejecución de los procesos de TI.

Estas pueden ser internas, por outsourcing o contratadas según como se requiera.
2.1.1.2.4 MODELO DE MADUREZ COBIT
Un modelo de madurez permite a la organización ir creciendo gradualmente y de

forma equilibrada.
COBIT plantea en su modelo de madurez las escalas siguientes:
0 - Inexistente: “Carencia completa de cualquier proceso reconocible. La empresa

no ha reconocido siquiera que existe un problema a resolver”. (IT Governance
1 - Ad hoc, inicial: “Existe evidencia que la empresa ha reconocido que los

problemas existen y requieren ser resueltos. Sin embargo; no existen procesos
estándar en su lugar existen enfoques ad hoc que tienden a ser aplicados de forma
individual o caso por caso. El enfoque general hacia la administración es
desorganizado. (IT Governance Institute, COBIT 4.1, Pág.19, 2007)
2 - Repetible pero intuitivo: “Se han desarrollado los procesos hasta el punto en que
se siguen procedimientos similares en diferentes áreas que realizan la misma tarea.
No hay entrenamiento o comunicación formal de los procedimientos estándar, y se
deja la responsabilidad al individuo. Existe un alto grado de confianza en el
77
conocimiento de los individuos y, por lo tanto, los errores son muy probables”. (IT
3 – Definido: “Los procedimientos se ha estandarizado y documentado, y se han

difundido a través de entrenamiento. Sin embargo, se deja que el individuo decida
utilizar estos procesos, y es poco probable que se detecten desviaciones. Los
procedimientos en si no son sofisticados pero formalizan las prácticas existentes”.
4 - Administrado y medido: “Es posible monitorear y medir el cumplimiento de los

procedimientos y tomar medidas cuando los procesos no estén trabajando de forma
efectiva. Los procesos están bajo constante mejora y proporcionan buenas prácticas.
Se usa la automatización y herramientas de una manera limitada o fragmentada”. (IT
5 – Optimizado: “Los procesos se han refinado hasta un nivel de mejor práctica, se

basan en los resultados de mejoras continuas y en un modelo de madurez con otras
empresas. TI se usa de forma integrada para automatizar el flujo de trabajo,
brindando herramientas para mejorar la calidad y la efectividad, haciendo que la
empresa se adapte de manera rápida”. (IT Governance Institute, COBIT 4.1, Pág.19,
2007)
Esta herramienta de evaluación le permite a una empresa reconocer su evolución así

como su situación actual y futura teniendo una perspectiva clara del nivel que quiere
alcanzar:
a) El desempeño actual de la empresa - Dónde la empresa está hoy en día.
El nivel que obtiene en la evaluación da la pauta a los ejecutivos de las

medidas correctivas a tomar para cada uno de los procesos y conseguir subir a
la siguiente escala en caso de que no cumpla la ideal que es la de optimizado.
b) El estado actual de la empresa - La comparación.
La empresa podrá comparar su situación con respecto al nivel en el que se

encuentran otras organizaciones similares y servirá igualmente para fijar la
dirección hacia nuevos objetivos.
78
c) El objetivo de la empresa para mejorar - Dónde la empresa quiere estar.
La situación de la empresa amerita un balance en la incorporación de la visión

motivadora con la que establecerá planes, proyectos, mejoras tecnológicas
necesarias que le permitan alcanzar un desarrollo eficaz y posicionarse en el
lugar que desea estar.
d) El camino a recorrer entre la situación actual y el objetivo.
Establecer en el trayecto los cambios necesarios que permitan tener una

visión más optimista en el logro para el alcance de los objetivos y que
contribuyan en la gestión de crecimiento y evolución de la empresa.
Con este modelo de madurez es más sencillo establecer que parámetros se cumplen
y cuáles no. Así mismo definir para el cumplimiento, cómo se lo está haciendo.
2.1.2 BENEFICIOS PARA LA EMPRESA EN APLICAR LA

METODOLOGÍA COBIT
La adopción eficaz de las mejores prácticas ayudará a obtener valor de las

inversiones de TI y los servicios de TI, sus principales beneficios son:
• Optimizar la calidad, la respuesta y la fiabilidad de las soluciones y los

servicios de TI.
• Reformar la viabilidad, previsibilidad y repetitividad de resultados de

negocios exitosos.
• Generar la confianza y el progresivo involucramiento de beneficiarios y

favorecedores del negocio.
• Reducir peligros, sucesos y fracasos en los proyectos.
79
CAPÍTULO 3
3.1 ASPECTOS METODOLÓGICOS DE LA INVESTIGACIÓN
3.1.1 TIPO DE INVESTIGACIÓN
La investigación consiste en la recopilación de datos o información suficiente que

contribuye a la solución de un problema determinado.
A continuación se detallan los tipos de investigación a considerar para el desarrollo

de este proyecto:
Investigación de campo o directa: Es de campo porque se realizó en el ambiente en

el que se desarrollan las actividades de las personas consultadas quienes
proporcionarán los datos relevantes que serán analizados.
Investigación no experimental: Es no experimental porque los datos de interés son

recogidos en forma directa de la realidad para hacer un análisis sistemático del
problema, con la finalidad de interpretarlo, explicar su causa y efecto y recomendar
una solución.
3.1.2 MÉTODO DE INVESTIGACIÓN
En la ejecución de este proyecto se utilizó como método de investigación, el método

de entrevista, el método de análisis, el método comparativo, en los cuales
apoyaremos la relación causa-efecto del problema así como las recomendaciones
para su solución.
La entrevista y cuestionamiento a las personas que laboran en el departamento de

Sistemas se la realiza con la finalidad de reunir los datos necesarios para el análisis
de la situación y efectuar el diagnóstico comparando los resultados con lo que
recomienda COBIT.
80
3.1.3 FUENTES Y TÉCNICAS PARA LA RECOLECCIÓN DE
INFORMACIÓN
Para el desarrollo de nuestro proyecto se elaboró una matriz en la herramienta Excel

donde se elaboraron las preguntas basadas en el detalle de cada objetivo de control
por lo tanto se utilizó el método de entrevista.
Los pasos que se siguieron para obtener la información son:
1. Obtención del Marco de trabajo de COBIT.
2. Diseño de la matriz en Excel del Marco de Trabajo de COBIT.
3. Entrevistas.
4. Calificación y ponderación de los resultados.
3.1.4 LIBROS DE COBIT UTILIZADOS PARA EL DIAGNÓSTICO
Para la evaluación del marco de control de TI hemos considerado el detalle de los

objetivos de control del manual COBIT 4.1 debido a que se investigó que al
momento no hay la guía de aseguramiento de TI por lo que se utilizó la tercera
edición de las directrices de auditoría y la segunda edición de los objetivos de
control, a partir de lo cual se realizó un análisis con las referencias cruzadas que
aparecen en el Apéndice V del manual COBIT 4.1 y se llegó a la conclusión de que
hay una relación de estas versiones con el detalle del objetivo de control de COBIT
4.1.
El diagnóstico realizado en la empresa EP hace énfasis en el control que se debe de

aplicar en los diferentes procesos del departamento de sistemas para el
mantenimiento, distribución y el almacenaje de la información y en el grado de
efectividad de los mismos con relación a lo que COBIT recomienda.
81
3.1.5 MÉTODO MATRICIAL PARA EL ANÁLISIS DE RIESGOS
La seguridad y los controles en los sistemas de información ayudan a disminuir los

riesgos sin deshacerse de ellos por completo, puesto que siempre en toda empresa
existirá un grado de incertidumbre.
Es necesario conocer el grado de riesgo o nivel que la organización esté dispuesta a

aceptar para considerar un estándar, especialmente lo relacionado al análisis del
costo-beneficio para aplicar las técnicas generalmente aceptadas de control y
seguridad en tecnología de información.
3.1.5.1 DEFINICIONES PARA EL ANÁLISIS DE RIESGOS
• Riesgo Informático: “Un riesgo informático se podría definir como la

ausencia de seguridad en el procesamiento automático de datos”. (Fundación
Wikimedia I. , 2012)
• Riesgos de Tecnología de Información: El concepto de riesgo de TI puede

definirse como el efecto de una causa multiplicado por la frecuencia probable
de ocurrencia dentro del entorno de TI. Surge así, entonces la necesidad del
control que actúe sobre la causa del riesgo para minimizar sus efectos.
Cuando se dice que los controles minimizan los riesgos, lo que en verdad
hacen es actuar sobre las causas de los riesgos, para minimizar sus efectos.
• Utilidad del Método Matricial para el análisis de Riesgos: Este método

utiliza una matriz para mostrar gráficamente tanto las amenazas a que están
expuestos los sistemas computarizados como los objetos que comprenden el
sistema. Dentro de cada celda se muestran los controles que atacan a las
amenazas. (José Dagoberto Pinilla Forero, 1992)
82
El método se desarrolló de la siguiente manera:
1. Crear la matriz de amenazas (causas de riesgo) y de objetos del

sistema a analizar.
2. Identificar los controles necesarios.
3. Registrar los controles dentro de la matriz.
4. Categorizar los riesgos.
5. Diseñar los controles definitivos.
6. Resultados del análisis de riesgos.
7. Verificar por parte de sistemas y de auditoría, la incorporación de los
controles.
3.1.6 ANÁLISIS FODA
Según (Talancón, 2006) se define que: “El análisis FODA consiste en realizar una
evaluación de los factores fuertes y débiles que en su conjunto diagnostican la
situación interna de una organización, así como su evaluación externa”
Las evaluaciones deben estar enfocadas en los factores relevantes para el éxito del
negocio, resaltando las fortalezas y debilidades que son internas y contrastándolas
con las oportunidades y amenazas que son externas.
Un análisis crítico y objetivo permite determinar la situación de la empresa con

respecto a su entorno y descubrir los aspectos en los cuales se necesita trabajar para
mejorar y ser más competitivo.
83
A continuación se detalla en la ilustración la aplicación del análisis Foda en una
organización.
ILUSTRACIÓN 44: ANÁLISIS FODA
Fuente: (Annie, 2010)
La matriz FODA permite reconocer los errores y aprovechar las ventajas para poder
elaborar las estrategias que contribuyan a ampliar los objetivos y planificar los
procesos en base a los avances sistemáticos de la organización.
Estrategias FO FA DO DA
Según (Rosas Vázquez, 2007) Algunos modelos de Administración Estratégica se

encontró que son complejos, difíciles de implantar en las personas, grupos y
pequeñas empresas, para procurar un cambio deliberado que promueva el éxito de
dichas instancias.
Estrategia FO. Se basa en la combinación de las fortalezas que posee la

organización con las oportunidades que se presenten, para que con el uso estratégico
de cada uno de ellas alcanzar los objetivos.
84
Estrategia FA. Disminuye al mínimo la situación de los factores externos que se
presentan como amenazas, aprovechando las fortalezas con la que la organización
cuenta. Esto no implica que siempre se deba afrontar las amenazas del entorno de
una forma tan directa, ya que a veces puede resultar más problemático para la
institución.
Estrategia DO. Las oportunidades que tiene la organización es el detonador para

tratar de disminuir las debilidades, logrando un equilibrio o transformándolas en
fortalezas.
Estrategia DA. Consiste en aplicar estrategias muy bien diseñadas para contrarrestar
las amenazas del entorno y a la vez disminuir las debilidades para la supervivencia
de la organización.
A continuación se muestra la matriz FODA con la combinación de las estrategias:

ILUSTRACIÓN 45: MATRIZ FODA
Fuente: (Rico, 2010)
85
CAPITULO 4
4.1 DIAGNÓSTICO DEL DEPARTAMENTO DE SISTEMAS DE LA

EMPRESA EP
4.1.1 BREVE DESCRIPCIÓN DE LA EMPRESA EP
Por razones de seguridad nos referiremos a la empresa como la empresa EP.
La empresa EP pertenece al sector siderúrgico, y se dedica a la fabricación y

comercialización de acero a nivel nacional. Su cartera de productos se orienta a
satisfacer las necesidades del mercado de la construcción. La Empresa trabaja con los
procedimientos de Calidad Total y las Normas ISO 9001:2008.
VISIÓN: Fabricar y entregar oportunamente productos de acero de alta calidad a

precios competitivos.
MISIÓN: Líderes en la industria siderúrgica para satisfacer las necesidades de acero

en el mercado nacional e incursionar en el mercado internacional con calidad,
servicio y protección al medio ambiente.
4.1.1.1 HISTORIA
El crecimiento del sector de la construcción en el Ecuador -a finales de los años 60-,

estaba en pleno auge y demandaba la provisión de hierro de óptima calidad, por lo
que se crea la empresa EP el 19 de octubre de 1969, empresa que instala la primera
planta laminadora ecuatoriana, para abastecer de material al mercado local.
86
El 31 de julio de 2003, la familia de la empresa EP, recibe la Certificación ISO
9001: 2000 al Sistema de Gestión de Calidad. A todos estos logros alcanzados por la
empresa se suma la mano de obra calificada, técnica y tecnología adecuada, manejo
de los recursos residuales, que transforman a la empresa en la primera industria
siderúrgica en el Ecuador con Certificación Internacional a la Calidad.
La empresa EP cuenta con un área destinada exclusivamente a la vigilancia del ISO

9000 que realiza permanentes auditorías internas para mantener el sistema de calidad
y entregar acero altamente confiable a sus clientes y distribuidores.
4.1.1.2 PRODUCTOS FABRICADOS POR LA EMPRESA EP
• Armaduras Conformadas
• Alambre Trefilado
• Varillas Soldables
• Ángulos
• Alambrón
• Alambre Grafilado
• Mallas Electro Soldadas
• Barras Cuadradas
4.1.1.3 SERVICIOS QUE OFRECE LA EMPRESA EP
• Satisfacer la demanda con un equipo de asesores de ventas.

• El equipo de ventas mide la conformidad cliente producto precio.
• La transportación y distribución de un punto a otro dentro y fuera del país.
• La empresa EP despliega sus procesos productivos y las características
técnicas a los diferentes segmentos del mercado mediante:
87
a) Capacitación a los maestros de obra, a fin de explicar las ventajas de los
productos.
b) Charlas y seminarios a los clientes y distribuidores a nivel nacional, cada
año, para exponer las potencialidades de los productos.
c) Auspicios de eventos a los diversos cuerpos colegiados afines: Colegio de
Ingenieros, de Arquitectos, etc.
d) Visitas de los estudiantes de colegios técnicos y universidades del país a
la planta industrial de Acería y Laminación en la empresa EP con el
objetivo de reforzar su formación académica.
4.1.1.4 PROMOCIONES DISPONIBLES EN LA EMPRESA EP
• La empresa EP participa en ferias de la construcción y afines.

• Auspicia a revistas especializadas de la construcción y capacita a organismos
En el estudio de la empresa EP se puede determinar que es una de las productoras de

acero más importante a nivel nacional debido a su amplio recorrido en el mercado y
más aún con la calidad del producto que entrega a sus usuarios a nivel de
construcción.
La adopción de la metodología COBIT por parte del departamento de sistemas,

facilitaría el control y efectiva administración de sus procesos y de manera general
de las funciones de TI.
88
4.1.1.5 ESTRUCTURA ORGÁNICA ACTUAL DE LA EMPRESA EP
La empresa EP cuenta con una estructura conformada por varios departamentos

siendo el departamento de sistemas uno de sus principales ya que depende
directamente de la Gerencia. La ilustración siguiente muestra en detalle la estructura
de la empresa:
ILUSTRACIÓN 46: ESTRUCTURA ORGÁNICA ACTUAL DE LA

EMPRESA EP
Fuente: EMPRESA EP
89
4.1.1.6 ORGANIGRAMA FUNCIONAL DE LAS TECNOLOGÍAS DE
INFORMACIÓN EN LA EMPRESA EP
En la ilustración que se presenta bajo este texto, se muestra el organigrama funcional

de las TI en la empresa EP. El departamento, está conformado por cinco personas; el
jefe de TI y cuatro responsables que ellos denominan “especialistas” de los procesos.
Estos tienen a su cargo tareas específicas, las cuales se ejecutan en coordinación con
el jefe de TI y que en conjunto brindan los servicios que necesita la empresa.
ILUSTRACIÓN 47: ORGANIGRAMA FUNCIONAL DE LAS TI EN LA

EMPRESA EP
Fuente: EMPRESA EP
90
4.1.1.7 ORGANIGRAMA ESTRUCTURAL DE LAS TECNOLOGÍAS DE
INFORMACIÓN EN LA EMPRESA EP
La gestión del departamento de sistemas de la empresa EP está conformada por

niveles como se muestra en el gráfico siguiente:
ILUSTRACIÓN 48: ORGANIGRAMA ESTRUCTURAL DE LAS TI EN LA

EMPRESA EP
Fuente: EMPRESA EP
NIVEL OPERATIVO: Se encarga del análisis de los resultados respecto a los

recursos utilizados en los procesos para la toma de decisiones a corto plazo.
NIVEL TÁCTICO: Se encarga de mejorar el rendimiento de la empresa EP con la

asignación de los recursos a medio plazo.
NIVEL ESTRATÉGICO: En este nivel se toman las decisiones que la empresa

debe seguir a futuro.
91
4.1.1.8 ANÁLISIS FODA DEL DEPARTAMENTO DE TECNOLOGÍAS DE
INFORMACIÓN
La empresa EP para mantener su competitividad en el mercado analiza sus fortalezas

y debilidades así como sus oportunidades y amenazas en la siguiente tabla.
TABLA 4: ANÁLISIS FODA – ÁREA TI
MATRIZ DEL FODA

ACERIAS NACIONALES DEL ECUADOR S.A. "ANDEC"
FORTALEZAS DEBILIDADES
1.- Buena imagen corporativa 1.- Insuficientes contactos con empresas
2.- Cultura de calidad Similares en el exterior
3.- Único complejo siderúrgico del país 2.- Falta de centralización de información de
3.- Fuerza laboral técnica con nivel medio la competencia
y Superior 3.- Falta de optimización en los sistemas de
4.- Pertenecer al grupo DINE información
5.- Certificación y sello de calidad INEN
6.- Diversidad de medidas de productos
7.- Ubicación geográfica de la empresa
8.- Certificación ISO 9002
9.- Planta operativa de alta tecnología
AMENAZAS FA DA
1.- Competencia Nacional 1.1. Mantener y difundir buena imagen 1.1. Tomar contactos técnicos en el exterior
2.- Crecimiento de Importaciones corporativa. 2.2. Evitar Organizaciones Sindicales
3.- Inestabilidad Socio-económical del País 2.2. Mantener Certificación ISO 9002 3.3. Análisis de competencia
4.- Alto Costo de energía eléctrica 3.3. Aprovechar coyuntura con FF.AA.
4.4. Proyecto de ahorro energía eléctrica
OPORTUNIDADES FO DO
1.- Posibilidad de exportar 1.1. Preparación para globalización del 1.1. Acuerdos con empresas del exterior que
2.- Apertura a la inversión Nacional e mercado. provean productos afines a la construccion
Internacional 2.2. Aprovechar ubicación geográfica 2.2. Apoyar a la especialización técnica del
3.- Diversificación de la demanda del 3.3. Brindar al cliente un valor agregado. personal.
producto 4.4. Categorizar a los clientes 3.3. Mantener un buen nivel de abastecimiento
4.- Acercamiento con los centros de 5.5. Adoptar medidas para enfrentar 4.4. Actualización de información de compe-
Educación superior competencia nacional e importaciones. tencia.
5.- Conyuntura con las Fuerzas Armadas
Fuente: EMPRESA EP

92
4.1.2 DISEÑO DEL MODELO DE EVALUACIÓN
Los datos para el diagnóstico son tomados del manual COBIT 4.1, se diseñó una
tabla en Excel considerando los dominios, procesos, actividades de los procesos,
objetivos de control y detalle de los objetivos de control, además de realizar un
cuestionario de preguntas por cada objetivo tomando como referencia la 2da edición
de los Objetivos de Control y la 3ª Edición de las Directrices de Auditoría para
identificar el cumplimiento de los procesos del departamento de sistemas con
relación a lo que indica la metodología COBIT.
Se coordinó con anticipación entrevistas con los encargados de cada proceso del
departamento de sistemas, así como con el jefe del departamento para obtener la
información necesaria de esta investigación en base al cuestionario de preguntas
previamente elaborado, para posteriormente calificar las respuestas obtenidas.
Se determinó a nivel grupal una puntuación de 1(uno) y 0(cero) en donde las

declaraciones de afirmación estaban representadas por el 1 y las de negación por el 0
para cada respuesta, cabe recalcar que dentro de la calificación existen respuestas con
una puntuación intermedia de 0 a 1 de acuerdo al análisis realizado.
A continuación se muestra la tabla que recopila la información del resultado de las

entrevistas realizadas en el departamento de sistemas de la empresa EP.
93
TABLA 5: MATRIZ GENERAL COBIT 4.1
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
1.- ¿El portafolio de inversiones de TI contiene programas con casos de El portafolio cubre el 3% de los procesos de la
negocio sólidos? empresa en la actualidad basado en el
presupuesto anual. Tienen algunos proyectos
en curso como proyecto de seguridad
informáticas, implementación de estandares, 1,00
integración de cliente y proveedores a la
cadena de valor., Adquirir software para las
áreas de mantenimiento y proyectos.
2.- ¿Los procesos de TI proporcionan una entrega efectiva de los Se revisa mensualmente lo presupuestado vs.
componentes TI de los programas? lo real cada gerencia hace seguimiento
mediante reuniones y se verifica las
desviaciones en cuanto a dinero. Hay
procedimientos para establecer los controles
sobre los datos o resultados que se generan
Trabajar con el negocio para garantizar que el portafolio de en los sistemas. En cada area hay monitoreo. 1,00
inversiones de TI de la empresa contenga programas con Si hay herramientas que dan información a
casos de negocio sólidos. Reconocer que existen inversiones los gerentes (tableros gerenciales) para toma
Relacionar las metas del negocio con las de TI.
obligatorias, de sustento y discrecionales que difieren en de decisiones, A nivel operativo los reportes
PO1.1 - Administración del Valor de TI.
complejidad y grado de libertad en cuanto a la asignación de sobre transacciones. A nivel estratégico el

fondos. Los procesos de TI deben proporcionar una entrega balance score card o cuadro de mano
efectiva y eficiente de los componentes TI de los programas y integral.
advertencias oportunas sobre las desviaciones del plan, 3.- ¿Los procesos de TI proporcionan una entrega eficiente de los Ver respuesta anterior.
incluyendo costo, cronograma o funcionalidad, que pudieran 1,00
componentes TI de los programas?
impactar los resultados esperados de los programas. Los 4.- ¿Los procesos de TI advierten oportunamente sobre las desviaciones Ver respuesta anterior.
servicios de TI se deben ejecutar contra acuerdos de niveles del plan, incluyendo costo, cronograma o funcionalidad, que pudieran
de servicios equitativos y exigibles. La rendición de cuentas 1,00
impactar los resultados esperados de los programas?
del logro de los beneficios y del control de los costos es
claramente asignada y monitoreada. Establecer una
5.- ¿Los servicios de TI se ejecutan contra acuerdos de niveles de servicios Si se tiene acuerdos de niveles de servicio. Es
evaluación de los casos de negocio que sea justa,
equitativos? un contrato coorporativo por lo que si son 1,00
transparente, repetible y comparable, incluyendo el valor
equitativos y exigibles.
financiero, el riesgo de no cumplir con una capacidad y el
riesgo de no materializar los beneficios esperados. 6.- ¿Los servicios de TI se ejecutan contra acuerdos de niveles de servicios Ver respuesta anterior.
1,00
exigibles?
P 7.- ¿La rendición de cuentas del logro de los beneficios y del control de los Si está asignada porque se basan en
costos está claramente asignada? presupuesto, y monitoreada porque es
L auditada de manera interna y externa. Es 1,00
corporativa.
A 8.- ¿La rendición de cuentas del logro de los beneficios y del control de los Si.
1,00
N costos está claramente monitoreada?
9.- ¿Se evalúa el riesgo de no cumplir con una capacidad para obtener los Si saben los riesgos a los que están expuestos
E beneficios esperados? pero no hay una evaluación del impacto, se
PO1 - Definir un Plan Estratégico de TI.
0,50
está trabajando en un proyecto de seguridad
A informática.
R 10.- ¿Se evalúa el riesgo de no materializar los beneficios esperados? Ver respuesta anterior.
0,50
1. ¿Los ejecutivos reciben capacitación tecnológica actual? Reciben la especifica al caso por herramienta
adquirida. No hay capacitación.
Y Implementarán programas de capacitacion en
todos los niveles para las personas que van a
trabajar y elaborarán planes de capacitaciòn
0,50
O en base al análisis de las necesidades de los
usuarios. Si se lo hacia por el año 2001 y lo
R piensan retomar.
Relacionar las metas del negocio con las de TI.
Educar a los ejecutivos sobre las capacidades tecnológicas

G
PO1.2 - Alineación de TI con el Negocio.
actuales y sobre el rumbo futuro, sobre las oportunidades

2.- ¿Los ejecutivos saben lo que debe hacer el negocio para capitalizar las No saben como hacerlo porque ya lo
A que ofrece TI, y sobre qué debe hacer el negocio para
capitalizar esas oportunidades. Asegurarse de que el rumbo
oportunidades que ofrece TI? hubieran exigido. 0,00
N del negocio al cual está alineado TI está bien entendido. Las

estrategias de negocio y de TI deben estar integradas,
3.- ¿Está bien entendido el rumbo del negocio al cual está alineado TI La parte administrativa si está bien atendida,
pero la parte operativa no. No hay en planta.
I relacionando de manera clara las metas de la empresa y las Tienen que levantar informaciòn y hacer un 0,50
diagnostico para elaborar los planes de
metas de TI y reconociendo las oportunidades así como las
Z limitaciones en la capacidad actual, y se deben comunicar de acción y asignar prioridades.
manera amplia. Identificar las áreas en que el negocio 4.- ¿Las estrategias de negocio y de TI están integradas? Si están integradas. Toda la gestión de Ti esta
A (estrategia) depende de forma crítica de TI, y mediar entre los alineada con el plan estratégico de TI que
imperativos del negocio y la tecnología, de tal modo que se está hecho en base al plan estratégico de la 1,00
R puedan establecer prioridades concertadas. empresa.
5.- ¿Cuáles son las áreas en que el negocio (estrategia) depende de forma Todas las áreas. Primero hay que garantiar la
crítica de TI? continuidad del negocio mediante un buen
plan de contingencia, implementar políticas 0,00
de seguridad y de seguridad informática.
6.- ¿Entre los imperativos del negocio y la tecnología, están establecidas Si está priorizado. Los proyectos están hechos
prioridades concertadas? en base a las necesidades del negocio. 1,00
1.- ¿En el desempeño de los planes existentes se evalúa la funcionalidad? Si se evaluán. 1,00
Identificar dependencias
PO1.3 - Evaluación del

críticas y desempeño
2.- ¿En el desempeño de los planes existentes se evalúa la estabilidad? Si se evaluán. 1,00
Capacidad Actual.
Desempeño y la
Evaluar el desempeño de los planes existentes y de los

3.- ¿En el desempeño de los planes existentes se evalúa la complejidad? Si se evaluán. 1,00
actual.
sistemas de información en términos de su contribución a los

objetivos de negocio, su funcionalidad, su estabilidad, su 4.- ¿En el desempeño de los planes existentes se evalúa los costos? Si se evaluán. 1,00
complejidad, sus costos, sus fortalezas y debilidades. 5.- ¿En el desempeño de los planes existentes se evalúa la fortaleza? Si se evaluán. 1,00
6.- ¿En el desempeño de los planes existentes se evalúa la debilidad? Si se evaluán.
1,00
1.- ¿Existe un plan estratégico? Si hay PETI. 1,00

Crear un plan estratégico que defina, en cooperación con los 2.- ¿Este plan define cómo TI contribuirá a los objetivos estratégicos de la Si, contempla todo.
1,00
Construir un plan estratégico para TI.
interesados relevantes, cómo TI contribuirá a los objetivos empresa?

PO1.4 - Plan Estratégico de TI.
estratégicos de la empresa (metas) así como los costos y 3.- ¿En este plan están definidos los costos relacionados? Ver respuesta anterior. 1,00
riesgos relacionados. Incluye cómo TI dará soporte a los
4.- ¿En este plan están definidos los riesgos relacionados? Ver respuesta anterior. 1,00
programas de inversión facilitados por TI y a la entrega de
los servicios operativos. Define cómo se cumplirán y medirán 5.- ¿En el plan incluye cómo TI dará soporte a los programas de inversión? Si. Hicieron un analisis FODA.
1,00
los objetivos y recibirán una autorización formal de los
interesados. El plan estratégico de TI debe incluir el 6.- ¿En el plan incluye cómo TI dará soporte a la entrega de los servicios Ver respuesta anterior.
presupuesto de la inversión / operativo, las fuentes de operativos? 1,00
financiamiento, la estrategia de obtención, la estrategia de
7.- ¿El plan define cómo se cumplirán los objetivos? Si. 1,00
adquisición, y los requerimientos legales y regulatorios. El
8.- ¿El plan define cómo se medirán los objetivos? Si. 1,00
plan estratégico debe ser lo suficientemente detallado para
permitir la definición de planes tácticos de TI. 9.- ¿El plan es lo suficientemente detallado para permitir la definición de Si.
planes tácticos de TI? 1,00
94
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
CONTROL
DOMINIO
PROCESO
1.- ¿Existe un portafolio de planes tácticos de TI derivados del plan Si existe.

1,00
estratégico de TI?
Crear un portafolio de planes tácticos de TI que se deriven del 2.- ¿Estos planes tácticos describen los recursos requeridos por TI? Si, incluye todo. 1,00
plan estratégico de TI. Estos planes tácticos deben describir 3.- ¿Estos planes tácticos describen como se monitorean los recursos? Si. 1,00
Construir planes tácticos para TI.
las iniciativas y los requerimientos de recursos requeridos
PO1.5 - Planes Tácticos de TI.

4.- ¿Estos planes tácticos describen como se administran los recursos? Si. 1,00
por TI, y cómo el uso de los recursos y el logro de los
5.- ¿Estos planes tácticos describen como se monitorean los beneficios Si.
beneficios serán monitoreados y administrados. Los planes 1,00
obtenidos?
PO1 - Definir un Plan Estratégico de TI.
tácticos deben tener el detalle suficiente para permitir la

6.- ¿Estos planes tácticos describen como se administran los beneficios Si.
definición de planes de proyectos. Administrar de forma 1,00
obtenidos?
activa los planes tácticos y las iniciativas de TI establecidas
7.- ¿Los planes tácticos permiten la definición de planes de proyectos? Si (planes de acción). 1,00
por medio del análisis de los portafolios de proyectos y
servicios. Esto incluye el equilibrio de los requerimientos y 8.- ¿Se administran los planes tácticos mediante el análisis de los Si se administran.
1,00
recursos de forma regular, comparándolos con el logro de portafolios de proyectos y servicios?
metas estratégicas y tácticas y con los beneficios esperados, 9.- ¿El equilibio de recursos se compara con el logro de metas Si se compara.
1,00
y tomando las medidas necesarias en caso de desviaciones. estratégicas?
10.- ¿El equilibio de recursos se compara con los beneficios esperadps? Si se compara. 1,00
11.- ¿Se toman las medidas necesarias en caso de desviaciones? Si. 1,00
Administrar de forma activa, junto con el negocio, el 1.- Sobre los programas de inversión de TI(proyectos): Si.
1,00
PO1.6 - Administración del Portafolio de TI.
portafolio de programas de inversión de TI requerido para a. ¿Se administran de forma activa la inversión?
administrar portafolios de servicios y
Analizar portafolios de programas y
lograr objetivos de negocio estratégicos específicos por b. ¿Se identifican nuevos proyectos? Si, algunos surgen de las necesidades de los
1,00
medio de la identificación, definición, evaluación, asignación clientes y otros surgen aquí.
de prioridades, selección, inicio, administración y control de c. ¿Se definen nuevos proyectos? Si. 1,00
los programas. Esto incluye clarificar los resultados de d. ¿Se evalúan los nuevos proyectos? Si. 1,00
proyectos.
negocio deseados, garantizar que los objetivos de los e. ¿Se priorizan los proyectos? Si. 1,00
programas den soporte al logro de los resultados, entender el f. ¿Se seleccionan proyectos? Si. 1,00
alcance completo del esfuerzo requerido para lograr los
g. ¿Se administran los proyectos? Si. 1,00
resultados, definir una rendición de cuentas clara con
medidas de soporte, definir proyectos dentro del programa, h. ¿Se controlan los proyectos? Si.
asignar recursos y financiamiento, delegar autoridad, y
1,00
comisionar los proyectos requeridos al momento de lanzar el
programa.
1.- ¿El modelo de información empresarial facilita el desarrollo de Baan funciona mas como repositorio de datos
aplicaciones consistente con los planes de TI? que como resultado. TI hace un levantamiento
de informaciòn por cada necesidad que surge
P . El modelo contribuye un 70% a proporcionar
la informacion que TI necesita para realizar 0,70
L el trabajo. Se trabaja con reporteadores para
unificar la informaciòn de los procesos y que
Crear y mantener modelo de información corporativo/empresarial.
A de informacion necesaria para las diferentes

PO2.1 - Modelo de Arquitectura de Información Empresarial.
areas sobre situaciones críticas.

N 2.- ¿El modelo de información empresarial facilita las actividades de Ver respuesta anterior.
0,70
E soporte a la toma de decisiones, consistente con los planes de TI?
3.- ¿El modelo facilita la creación la información? Solo un 70%. 0,70
A Establecer y mantener un modelo de información empresarial
que facilite el desarrollo de aplicaciones y las actividades de
4.- ¿El modelo facilita el uso de la información? Si en un 70%. 0,70
R soporte a la toma de decisiones, consistente con los planes

5.- ¿El modelo facilita el compartir en forma óptima la información?
6.- ¿El modelo permite que la información se mantenga integra?
Si en un 70%.
En parte. No tanto integra por el tema de la
0,70
de TI como se describen en P01. El modelo debe facilitar la 0,30
creación, uso y el compartir en forma óptima la información seguridad informatica.
por parte del negocio de tal manera que se mantenga su 7.- ¿El modelo permite que la información se mantenga flexible? En cuanto a modelo de informacion se planea
Y integridad, sea flexible, funcional, rentable, oportuna, segura la capacitación con usuarios back up o
y tolerante a fallos. segundo a bordo para que la información no 0,30
esté concentrada en personas específicas. Se
tendrá una base de conocimientos.
O 8.- ¿El modelo permite que la información se mantenga funcional? En parte. 0,30
R 9.- ¿El modelo permite que la información se mantenga rentable? Es rentable en parte aunque no han medido el
beneficio que se ha obtenido en tener este 0,30
G
PO2 - Definir la Arquitectura de la Información.
modelo. No esta todo, hay que trabajar.

10.- ¿El modelo permite que la información se mantenga oportuna? En parte. 0,30
A 11.- ¿El modelo permite que la información se mantenga segura? En parte están en el proceso de implementar
0,30
N un proyecto de seguridad de la información.
12.- ¿El modelo permite que la información se mantenga tolerante a Es rentable en parte aunque no han medido el
I fallos? beneficio que se ha obtenido en tener este 0,30
modelo. No esta todo, hay que trabajar.
Z 1.-¿El diccionario de datos incluye reglas de sintaxis de datos de la No incluye. El Baan si tiene, el Adam no tiene,
0,00
Crear y mantener diccionario de datos corporativo.
organización? el Holding tampoco.

A
PO2.2 - Diccionario de Datos Empresarial y Reglas
2.-¿El diccionario facilita compartir elementos de datos entre las Es una utilidad para el Baan pero si quieren
R aplicaciones? unirlo a nivel empresarial no se puede. a) No
han obtenido a nivel de Baan las fuentes. b)
Tecnologia no ha recibido capacitación
de Sintáxis de Datos.
Mantener un diccionario de datos empresarial que incluya

las reglas de sintaxis de datos de la organización. El técnica sobre la BD y las relaciones de los 0,00
diccionario facilita compartir elementos de datos entre las elementos de la BD. Pero si se puede solicitar
aplicaciones y los sistemas, fomenta un entendimiento capacitación técnica a los proveedores de los
común de datos entre los usuarios de TI y del negocio, y aplicativos y otra alternativa es el
previene la creación de elementos de datos incompatibles. autoaprendizaje.
3.-¿El diccionario facilita compartir elementos de datos entre los Ver respuesta anterior.
0,00
sistemas?
4.- ¿El diccionario fomenta un entendimiento común de datos entre los Ver respuesta anterior.
0,00
usuarios de TI y del negocio?
5.- ¿El diccionario previene la creación de elementos de datos Ver respuesta anterior.
0,00
incompatibles?
1.- ¿El esquema de clasificación de datos aplica a toda la empresa? Es empririco. Como TI, no está establecido un
procedimiento. En ISO 9000 les dicen como
generar los documentos pero no los
*Brindar a los dueños procedimientos y herramientas para
*Establecer y mantener esquema de clasificación de datos.
categoriza. No lo tienen contemplado. Tienen 0,00

proyecto de implementar ISO 27000 y asumen
PO2.3 - Esquema de Clasificación de Datos.
que en este estandar estará contemplado

clasificar los sistemas de información.
Establecer un esquema de clasificación que aplique a toda la esto.

empresa, basado en que tan crítica y sensible es la 2.- ¿Está basado en que tan crítica es la información (pública, Ver respuesta anterior.
0,00
información (esto es, pública, confidencial, secreta) de la confidencial, secreta) de la empresa?
empresa. Este esquema incluye detalles acerca de la 3.- ¿Está basado en que tan sensible es la información (pública, Ver respuesta anterior.
0,00
propiedad de datos, la definición de niveles apropiados de confidencial, secreta) de la empresa?
seguridad y de controles de protección, y una breve 4.- ¿Este esquema incluye detalles cómo la propiedad de datos? Ver respuesta anterior. 0,00
descripción de los requerimientos de retención y destrucción 5.- ¿Este esquema define los niveles apropiados de seguridad? Ver respuesta anterior. 0,00
de datos, además de qué tan críticos y sensibles son. Se usa 6.- ¿Este esquema define los niveles apropiados de controles de Ver respuesta anterior.
como base para aplicar controles como el control de acceso, protección? 0,00
archivo o cifrado. 7.- ¿Este esquema describe los requerimientos de retención de datos? Ver respuesta anterior. 0,00
8.- ¿Este esquema describe los requerimientos de destrucción de datos? Ver respuesta anterior. 0,00
9.- ¿Este esquema describe que tan críticos son los datos? Ver respuesta anterior. 0,00
10.- ¿Este esquema describe que tan sensibles son los datos? Ver respuesta anterior. 0,00
11.- ¿Este esquema se utiliza como base para aplicar controles como el de Ver respuesta anterior.
0,00
acceso, archivo o cifrado?
95
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
CONTROL
DOMINIO
PROCESO
1.- ¿Existen procedimientos que garanticen la integridad de los datos En un pequeño porcentaje, a nivel de
Arquitectura de la
Usar el modelo de
PO2 - Definir la
para planear los

información, el
Administración
diccionario de
de Integridad.
Información.
Definir e Implementar procedimientos para garantizar la almacenados en formato electrónico, tales como bases de datos, respaldo. Los procedimientos no estan en su 0,25
esquema de
clasificación
datos y el
PO2.4 -
sistemas
integridad y consistencia de todos los datos almacenados en almacenes de datos y archivos? mayoria documentados. Se lo piensa hacer.
formato electrónico, tales como bases de datos, almacenes de 2.- ¿Existen procedimientos que garanticen la consistencia de todos los Ver respuesta anterior.
datos y archivos. datos almacenados en formato electrónico, tales como bases de datos, 0,25
almacenes de datos y archivos?
1.- ¿Se analizan las tecnologías existentes? Si. Los proveedores vienen a que les enseñen.
1,00
PO3.1 - Planeación de la Dirección Tecnológica.
2.- ¿Se analizan las tecnologías emergentes? Si.

Crear y mantener un plan de infraestructura
1,00
3.- ¿Se planea cuál dirección tecnológica es apropiada tomar para Si.
Analizar las tecnologías existentes y emergentes y planear 1,00
materializar la estrategia de TI?
cuál dirección tecnológica es apropiada tomar para 4.- ¿Se planea cuál dirección tecnológica es apropiada tomar para Si.
materializar la estrategia de TI y la arquitectura de sistemas materializar la arquitectura de sistemas del negocio? 1,00
tecnológica.
del negocio. También identificar en el plan qué tecnologías 5.- ¿Están identificadas en el plan las tecnologías que tienen el potencial No, a lo mucho el internet, por las
tienen el potencial de crear oportunidades de negocio. El plan de crear oportunidades de negocio? 0,00
exportaciones.
debe abarcar la arquitectura de sistemas, la dirección 6.- ¿El plan abarca la arquitectura de sistemas? El plan de TI abarca todo eso, contingencia,
tecnológica, las estrategias de migración y los aspectos de riesgo, pero en un porcentaje. Falta crear 0,50
contingencia de los componentes de la infraestructura. (tienen seguridad, riesgos, capacitacion).
7.- ¿El plan abarca la dirección tecnológica? En parte. 0,50
8.- ¿El plan abarca las estrategias de migración? En parte. 0,50
9.- ¿El plan abarca los aspectos de contingencia de los componentes de la En parte.
0,50
infraestructura?
1.- ¿Existe un plan de infraestructura tecnológica? En la actualidad no. Se están haciendo
diagnosticos en base de datos, servidores ,
SO. y estandares (ITIL, Cobit, ISO 27000 y
0,00
seguridad informática). En base a ese
diagnostico (3 empresas lo hacen) se
elaborará el plan estratégico.
PO3.2 - Plan de Infraestructura Tecnológica.
2.- ¿El plan de infraestructura tecnológica está acorde con los planes Ver respuesta anterior.
Crear y mantener estándares tecnológicos.
P estratégicos de TI? 0,00
L Crear y mantener un plan de infraestructura tecnológica que

esté de acuerdo con los planes estratégicos y tácticos de TI. El
3- ¿Tienen planes tácticos de TI? Ver respuesta anterior. 0,00
4- ¿El plan de infraestructura tecnológica está acorde con los planes Ver respuesta anterior.
A plan se basa en la dirección tecnológica e incluye acuerdos
para contingencias y orientación para la adquisición de tácticos de TI?
0,00
N recursos tecnológicos. También toma en cuenta los cambios 5.- ¿El plan está basado en la dirección tecnológica? Si está basado en la dirección tecnológica. 1,00
en el ambiente competitivo, las economías de escala para
6.- ¿El plan incluye acuerdos para contingencias? Si.
E inversiones y personal en sistemas de información, y la
7.- ¿El plan incluye la orientación para la adquisición de recursos Si.
1,00
mejora en la interoperabilidad de las plataformas y las 1,00

A aplicaciones.
tecnológicos?
PO3 - Determinar la Dirección Tecnológica.
8.- ¿El plan considera los cambios en el ambiente competitivo? Si considera los cambios en el ambiente
R competitivo.
1,00
9.- ¿El plan considera las economías de escala para inversiones? Ver respuesta anterior. 1,00
10.- ¿El plan considera al personal en sistemas de información? Ver respuesta anterior. 1,00
Y 11.- ¿El plan considera la mejora en la interoperabilidad de las Ver respuesta anterior.
plataformas?
1,00
12.- ¿El plan considera la mejora en la interoperabilidad de las Ver respuesta anterior.
1,00
aplicaciones?
O 1.- ¿Existe un proceso para monitorear las tendencias ambientales del No existe un proceso claro. Se lo hace en base
sector/industria? a los requerimientos del usuario, no es
PO3.3 - Monitoreo de Tendencias y
R
Publicar estándares tecnológicos.
continuo y por el momento el usuario solicita

0,00
algo que está vigente en el mercado. (Software
G
Regulaciones Futuras.
Establecer un proceso para monitorear las tendencias para biblioteca de planos, PDA. Integración
A ambientales del sector / industria, tecnológicas, de
infraestructura, legales y regulatorias. Incluir las 2.- ¿Existe un proceso para monitorear las tendencias tecnológicas?
del Baan con el BSC).
Ver respuesta anterior. 0,00
N consecuencias de estas tendencias en el desarrollo del plan
de infraestructura tecnológica de TI.
3.- ¿Existe un proceso para monitorear las tendencias de infraestructura? Ver respuesta anterior. 0,00
I 4.- ¿Existe un proceso para monitorear las tendencias legales? Ver respuesta anterior. 0,00
5.- ¿Existe un proceso para monitorear las tendencias regulatorias? Ver respuesta anterior. 0,00
Z 6.- ¿Están incluidas las consecuencias de estas tendencias en el No están incluidas las consecuencias porque
0,00
desarrollo del plan de infraestructura tecnológica de TI? no hay plan.
A 1.- ¿Se proporcionan soluciones tecnológicas consistentes para toda la Si se proporcionan soluciones.
1,00
R empresa?
2.- ¿Se proporcionan soluciones tecnológicas efectivas para toda la Ver respuesta anterior.
1,00
empresa?
3.- ¿Se proporcionan soluciones tecnológicas seguras para toda la Ver respuesta anterior.
1,00
empresa?
Monitorear la evolución tecnológica.
PO3.4 - Estándares Tecnológicos.
Proporcionar soluciones tecnológicas consistentes, efectivas 4.- ¿Se brindan directrices tecnológicas sobre los productos de la Si se brindan. El departamento de Logística
y seguras para toda la empresa, establecer un foro infraestructura? envia los requerimientos de los usuarios para
1,00
tecnológico para brindar directrices tecnológicas, asesoría hacer el análisis tecnico y en base a esto se
sobre los productos de la infraestructura y guías sobre la compra o se contrata el servicio.
selección de la tecnología, y medir el cumplimiento de estos 5.- ¿Se brinda asesoría sobre los productos de la infraestructura? Ver respuesta anterior. 1,00
estándares y directrices. Este foro impulsa los estándares y 6.- ¿Se brindan guías sobre la selección de la tecnología? Ver respuesta anterior. 1,00
las prácticas tecnológicas con base en su importancia y 7.- ¿Se mide el cumplimiento de los estándares tecnológicos? Si se lo hace por medio de las auditorías de
riesgo para el negocio y en el cumplimiento de 1,00
calidad.
requerimientos externos. 8.- ¿Se mide el cumplimiento de las directrices tecnológicas? Si. 1,00
9.- ¿Se impulsa los estándares con base en su importancia y riesgo para el No se lo ha hecho, con este proyecto y otros
negocio y en el cumplimiento de requerimientos externos? (diagnostico de ITIL, politicas de calidad para
0,00
certificarse en ISO 27000) se lo está
impulsando.
10.- ¿Se impulsa las prácticas tecnológicas con base en su importancia y Ver respuesta anterior.
0,00
riesgo para el negocio y en el cumplimiento de requerimientos externos?
1.- ¿Existe un comité de arquitectura de TI que proporcione directrices No hay comité de arquitectura. (Se lo piensa
PO3.5 - Consejo de Arquitectura
Establecer un comité de arquitectura de TI que proporcione sobre la arquitectura? crear en aproximadamente 8 meses porque 0,00
(estratégico) de la nueva
Definir el uso (futuro)
directrices sobre la arquitectura y asesoría sobre su les falta asentarse como departamento).
aplicación, y que verifique el cumplimiento. Esta entidad 2.- ¿Existe un comité de arquitectura de TI que proporcione asesoría sobre Ver respuesta anterior.
0,00
tecnología.
orienta el diseño de la arquitectura de TI garantizando que su aplicación?

de TI.
facilite la estrategia del negocio y tome en cuenta el 3.- ¿Existe un comité de arquitectura de TI que verifique el cumplimiento? Ver respuesta anterior. 0,00
cumplimiento regulatorio y los requerimientos de 4.- ¿Esta entidad orienta el diseño de la arquitectura de TI garantizando No hay comité de arquitectura.
0,00
continuidad. Estos aspectos se vinculan con el PO2 (Definir que facilite la estrategia del negocio?
arquitectura de la información). 5.- ¿Esta entidad tome en cuenta el cumplimiento regulatorio? Ver respuesta anterior. 0,00
6.- ¿Esta entidad tome en cuenta los requerimientos de continuidad? Ver respuesta anterior. 0,00
96
COBIT
ACTIVIDADES DEL
CALIFICACIÓN
OBJETIVOS DE
PROCESOS
CONTROL
DOMINIO
PROCESO
Definir un marco de trabajo para el proceso de TI para 1.- ¿Está definido un marco de trabajo para el proceso de TI para ejecutar Si está definido.
1,00
ejecutar el plan estratégico de TI. Este marco incluye el plan estratégico de TI?
Diseñar Marco de Trabajo para el
PO4.1 - Marco de Trabajo de

estructura y relaciones de procesos de TI administrando 2.- ¿El marco de trabajo de procesos de TI está integrado en un sistema de Si está integrado.
brechas y superposiciones de procesos), propiedad, 1,00
administración de calidad?
Procesos de TI.
proceso de TI.
medición del desempeño, mejoras, cumplimiento, metas de 3.- ¿El marco de trabajo de procesos de TI está integrado en un marco de Si.
calidad y planes para alcanzarlas. Proporciona integración trabajo de control interno?
entre los procesos que son específicos para TI,
administración del portafolio de la empresa, procesos de
1,00
negocio y procesos de cambio del negocio. El marco de
trabajo de procesos de TI debe estar integrado en un sistema
de administración de calidad y en un marco de trabajo de
control interno.
Establecer un comité estratégico de TI a nivel del consejo. 1.- ¿Se cuenta con un comité estratégico de TI a nivel del consejo? No existe comité estratégico. 0,00
PO4.2 - Comité
organizacional
Estratégico de
proveedores
interesados y
incluyendo
estructura
Establecer
Este comité deberá asegurar que el gobierno de TI, como

comités y
2.- ¿Este comité asegura que el gobierno de TI, como parte del gobierno No existe comité estratégico (Si se piensa
ligas a los
de TI,
parte del gobierno corporativo, se maneja de forma

TI.
corporativo, se maneja de forma adecuada, asesora sobre la dirección crear el comité y nosotros debemos
adecuada, asesora sobre la dirección estratégica y revisa las 0,00
estratégica y revisa las inversiones principales a nombre del consejo asesorarlos como formar el comité.
inversiones principales a nombre del consejo completo. completo?
1.- ¿Se cuenta con un comité estratégico de TI a nivel del consejo? No existe comité estratégico (Si se piensa
Establecer un comité directivo de TI (o su equivalente)
incluyendo comités y
Establecer estructura
crear el comité y nosotros debemos 0,00

ligas a los interesados
organizacional de TI,
compuesto por la gerencia ejecutiva, del negocio y de TI para:

y proveedores.
PO4.3 - Comité
Directivo de TI.
asesorarlos como formar el comité.

Determinar las prioridades de los programas de inversión
2.- ¿Este comité asegura que el gobierno de TI, como parte del gobierno Ver respuesta anterior.
de TI alineadas con la estrategia y prioridades de negocio de 0,00
corporativo, se maneja de forma adecuada?
la empresa, Dar seguimiento al estatus de los proyectos y
3.- ¿Este comité asesora sobre la dirección estratégica? Ver respuesta anterior. 0,00
resolver los conflictos de recursos, Monitorear los niveles de
servicio y las mejoras del servicio. 4.- ¿Este comité evisa las inversiones principales a nombre del consejo ver respuesta anterior.
0,00
completo?
Ubicar a la función de TI dentro de la estructura 1.- ¿La función de TI está ubicada dentro de la estructura organizacional Si, porque está como una jefatura y se
PO4.4 - Ubicación
Identificar dueños
Organizacional de
organizacional general con un modelo de negocios general con un modelo de negocios supeditado a la importancia de TI reporta directamente a la Gerencia General.
la Función de TI.
de sistemas.
supeditado a la importancia de TI dentro de la empresa, en dentro de la empresa?

especial en función de que tan crítica es para la estrategia 1,00
del negocio y el nivel de dependencia operativa sobre TI. La
línea de reporte del CIO es proporcional con la importancia
de TI dentro de la empresa.
1.- ¿Está establecida una estructura organizacional de TI interna que Si se cuenta. En el Holding Dine hay una
refleje las necesidades del negocio? Gerencia de TI y bajo esta gerencia están las
de TI, incluyendo comités y ligas a los
Establecer estructura organizacional
PO4.5 - Estructura Organizacional.
jefaturas de TI de cada una de las empresas.

interesados y proveedores.
1,00
Establecer una estructura organizacional de TI interna y Con ellos se coordina la adopción de
externa que refleje las necesidades del negocio. Además estandares o cualquier otro requerimiento
P implementar un proceso para revisar la estructura que se necesite.
organizacional de TI de forma periódica para ajustar los 2.- ¿Está establecida una estructura organizacional de TI externa que Ver respuesta anterior.
L requerimientos de personal y las estrategias internas para refleje las necesidades del negocio?
1,00
A satisfacer los objetivos de negocio esperados y las

circunstancias cambiantes.
3.- ¿Existe un proceso que revise la estructura organizacional de TI de Esto se coordina con la gerencia de TI del
forma periódica para ajustar los requerimientos de personal? Holding Dine
1,00
N 4.- ¿Existe un proceso que revise las estrategias internas para satisfacer Ver respuesta anterior.
los objetivos de negocio esperados y las circunstancias cambiantes? 1,00
E
PO4 - Definir los Procesos, Organización y Relaciones de TI.
1.- ¿Se definen los roles y las responsabilidades para el personal de TI? Si se definen. 1,00
A
PO4.6 - Establecimiento de
Roles y Responsabilidades.
supervisión y segregación
roles y responsabilidades
2.- ¿Se comunican los roles y las responsabilidades para el personal de Si se comunican.
Establecer e implantar
1,00
R Definir y comunicar los roles y las responsabilidades para el TI?
de TI, incluida la
de funciones.
personal de TI y los usuarios que delimiten la autoridad 3.- ¿Están definidas las responsabilidades para alcanzar las necesidades Si se definen mediante el plan de actividades
entre el personal de TI y los usuarios finales y definían las del negocio? y de acuerdo a los requerimientos
responsabilidades y rendición de cuentas para alcanzar las 1,00
priorizados por la alta gerencia.
Y necesidades del negocio.
4.- ¿Está definida la rendición de cuentas para alcanzar las necesidades Ver respuesta anterior.
1,00
del negocio?
1.- ¿Está asignada la responsabilidad para el desempeño de la función de No hay implementado un aseguramiento de
O aseguramiento de calidad (QA)? calidad de TI. Se esta definiendo todos los
PO4.7 - Responsabilidad de Aseguramiento de
R
supervisión y segregación de funciones.
procesos, indicadores y procedimientos y se

los va a montar en una plataforma. Además
responsabilidades de TI, incluida la
0,00
G
Establecer e implantar roles y
se recibirá la capacitación de ISO 9000 para

Asignar la responsabilidad para el desempeño de la función saber que falta para la certificación y se
A de aseguramiento de calidad (QA) y proporcionar al grupo de
Calidad de TI.
contratará a una empresa para

QA sistemas de QA, los controles y la experiencia para asesoramiento y logro del objetivo.
N comunicarlos. Asegurar que la ubicación organizacional, las 2.- ¿El grupo de QA cuenta con los sistemas de QA, los controles y la No hay implementado aseguramiento de
0,00
responsabilidades y el tamaño del grupo de QA satisfacen experiencia para comunicarlos? calidad.
I los requerimientos de la organización. 3.- ¿La ubicación organizacional del grupo de QA satisfacen los No hay implementado aseguramiento de
0,00
Z requerimientos de la organización? calidad.
4.- ¿Las responsabilidades del grupo de QA satisfacen los requerimientos No hay implementado aseguramiento de
0,00
A de la organización? calidad.
5.- ¿El tamaño del grupo de QA satisfacen los requerimientos de la No hay implementado aseguramiento de
0,00
R organización? calidad.
1.- ¿Está establecida la responsabilidad de los riesgos relacionados con Si se establece pero, aún falta evaluación con
0,50
Establecer la propiedad y la responsabilidad de los riesgos TI a un nivel superior apropiado? respecto a los incidentes.
Establecer e implantar roles y responsabilidades
de TI, incluida la supervisión y segregación de
PO4.8 - Responsabilidad sobre el Riesgo, la
relacionados con TI a un nivel superior apropiado. Definir y 2.- ¿Están asignados los roles críticos para administrar los riesgos de TI? Se tiene algo básico. Se está trabajando en la
asignar roles críticos para administrar los riesgos de TI, politica de seguridad, se está elaborando
Seguridad y el Cumplimiento.
incluyendo la responsabilidad específica de la seguridad de una política de calidad, están en la etapa de

0,50
la información, la seguridad física y el cumplimiento. revisión de esa política, cada especialista,
Establecer responsabilidad sobre la administración del b.d. , aplicativos y help desk debe elaborar
funciones.
riesgo y la seguridad a nivel de toda la organización para procedimientos que exige esta política.
manejar los problemas a nivel de toda la empresa. Puede ser 3.- ¿Está establecida la responsabilidad sobre la administración del No está establecido formalmente. En cuanto
0,00
necesario asignar responsabilidades adicionales de riesgo? se tenga los procedimiento se va a establecer.
administración de la seguridad a nivel de sistema específico 4.- ¿Está establecida la seguridad para manejar los problemas a nivel de Ver respuesta anterior.
0,00
para manejar problemas relacionados con seguridad. toda la empresa?
Obtener orientación de la alta dirección con respecto al 5.- ¿Están asignadas responsabilidades adicionales de administración de No.
0,00
apetito de riesgo de TI y la aprobación de cualquier riesgo la seguridad a nivel de sistema específico?
residual de TI. 6.- ¿La alta dirección orienta con respecto al apetito de riesgo de TI? No. 0,00
7.- ¿La alta dirección aprueba cualquier riesgo residual de TI? No. 0,00
1.- ¿Existen procedimientos y herramientas que permitan enfrentar las Si, los usuarios disponen de una plataforma
PO4.9 - Propiedad de Datos y
responsabilidades de propiedad sobre los datos y los sistemas de tecnológica que soportan los procesos
segregación de funciones.
responsabilidades de TI,
incluida la supervisión y
Proporcionar al negocio los procedimientos y herramientas información? definidos en la empresa en base a sus 1,00
que le permitan enfrentar sus responsabilidades de necesidades, dependiendo de las funciones
de Sistemas.
propiedad sobre los datos y los sistemas de información. Los establecidad por RR HH.
dueños toman decisiones sobre la clasificación de la 2.- ¿Los dueños toman decisiones sobre la clasificación de la información No, pero se debe hacer. Falta hacer un
información y de los sistemas y sobre cómo protegerlos de para protegerlos de acuerdo a esta clasificación? levantamiento de informacion de cada
0,00
acuerdo a esta clasificación. proceso y categorizarlo según la criticidad de
la información.
3.- ¿Los dueños toman decisiones para proteger los sistemas? Ver respuesta anterior. 0,00
Implementar prácticas adecuadas de supervisión dentro de 1.- ¿Se tienen implementadas prácticas adecuadas de supervisión dentro Si se tiene implementada. Hay indicadores .
Supervisión
supervisión
responsabi
TI, incluida
Establecer
lidades de
PO4.10 -
implantar
la función de TI para garantizar que los roles y las de la función de TI para garantizar que los roles y las responsabilidades 1,00
roles y
la
e
responsabilidades se ejerzan de forma apropiada, para se ejerzan de forma apropiada?

evaluar si todo el personal cuenta con la suficiente 2.- ¿Se revisan en forma general los indicadores claves de desempeño? Ver respuesta anterior. 1,00
Implementar una división de roles y responsabilidades que 1.- ¿Se tiene implementado una división de roles y responsabilidades que Si, por medio de las funciones de RRHH.
responsabilidade
Segregación de
segregación de
s de TI, incluida
la supervisión y
implantar roles
reduzca la posibilidad de que un solo individuo afecte reduzca la posibilidad de que un solo individuo afecte negativamente un
Establecer e
1,00
Funciones.
funciones.
PO4.11 -
negativamente un proceso crítico. La gerencia también se proceso crítico?

y
asegura de que el personal realice sólo las tareas

autorizadas, relevantes a sus puestos y posiciones 2.- ¿La gerencia se asegura de que el personal realice sólo las tareas Si, al igual que lo anterior por las funciones
autorizadas relevantes a sus puestos? definidas por RRHH. 1,00
respectivas.
97
COBIT
ACTIVIDADES DEL
CALIFICACIÓN
OBJETIVOS DE
PROCESOS
CONTROL
DOMINIO
PROCESO
1.-¿ Se evalúan los requerimientos de personal de forma regular para Si, de acuerdo a los requerimientos, si es
Establecer e implantar roles
garantizar que la función de TI cuente con un número suficiente de algo pequeño se usan el recurso humano con
y responsabilidades de TI,
PO4.12 - Personal de TI.

Evaluar los requerimientos de personal de forma regular o recursos para soportar adecuada y apropiadamente las metas del que se cuenta y si es algo grande se lo busca
1,00
cuando existan cambios importantes en el ambiente de negocio? en el mercado. Dependiendo del alcance de
negocios, operativo o de TI para garantizar que la función de requerimiento se lo busca internamente o
TI cuente con un número suficiente de recursos para soportar externamente.
PO4 - Definir los Procesos, Organización y Relaciones de TI.
adecuada y apropiadamente a las metas y objetivos del 2.- ¿ Se evalúan los requerimientos de personal de forma regular para Si.
negocio. garantizar que la función de TI cuente con un número suficiente de
1,00
recursos para soportar adecuada y apropiadamente los objetivos del
negocio?
1.- ¿Se define al personal clave de TI para minimizar la dependencia en un Si. Se busca que el conocimiento critico para
PO4.13 - Personal Clave de TI.
Establecer e implantar roles
solo individuo desempeñando una función de trabajo crítica? el desarrollo o desempeño de TI no se

y responsabilidades de TI,
concentre en un solo individuo o en un solo

usuario, mediante la formación de usuarios y
Definir e identificar al personal clave de TI y minimizar la 1,00
especialistas de Ti (Backups) quienes luego
dependencia en un solo individuo desempeñando una
de la capacitación trabajarán en la
función de trabajo crítica.
actualización de manuales de procedimiento
de cada proceso.
2.- ¿Se identifica al personal clave de TI para minimizar la dependencia Si.
1,00
en un solo individuo desempeñando una función de trabajo crítica?
1.- ¿Se asegura que los consultores cumplan con las políticas Si, mediante la firma de contratos con
PO4.14 - Políticas y
responsabilidades
Asegurar que los consultores y el personal contratado que organizacionales de protección de los activos de información de la clausulas específicas sobre esto.
implantar roles y
Procedimientos
de TI, incluida la
segregación de
para Personal
1,00
supervisión y
Contratado.
Establecer e
funciones.
soporta la función de TI cumplan con las políticas empresa de tal manera que se logren los requerimientos contractuales
organizacionales de protección de los activos de acordados?
información de la empresa de tal manera que se logren los 2.- ¿Se asegura que el personal contratado que soporta la función de TI Ver respuesta anterior.
requerimientos contractuales acordados. cumplan con las políticas organizacionales de protección de los activos 1,00
de información de la empresa?
1.- ¿Existe una estructura óptima de enlace entre la función de TI y otros Si existe, pero falta más. Hay una definición
interesados dentro y fuera de la función de TI? clara para hacer un requerimiento pero falta
Establecer y mantener una estructura óptima de enlace, mayor acercamiento, como por ejemplo: Se
responsabilidades de TI,
PO4.15 - Relaciones.
0,50
comunicación y coordinación entre la función de TI y otros tienen reuniones con cada gerente para saber
interesados dentro y fuera de la función de TI, tales como el que falta o que no se ha atendido en cada
consejo directivo, ejecutivos, unidades de negocio, usuarios área.
individuales, proveedores, oficiales de seguridad, gerentes 2.- ¿Existe una estructura óptima de comunicación entre la función de TI Ver respuesta anterior.
P de riesgo, el grupo de cumplimiento corporativo, los y otros interesados dentro y fuera de la función de TI?
0,50
L contratistas externos y la gerencia externa (offsite). 3.- ¿Existe una estructura óptima de coordinación entre la función de TI y Ver respuesta anterior.
otros interesados dentro y fuera de la función de TI?
0,50
A 4.- ¿Se mantienen estas estructuras óptimas? Ver respuesta anterior. 0,50
1.- ¿Existe un marco de trabajo financiero para administrar las Se tiene establecido que en inversiones
N inversiones de TI a través del portafolios de inversiones y presupuestos mayores a $10.000, estas deben ser
de TI? analizadas por tecnicos o especialistas de TI,
E
Dar mantenimiento al portafolio de
PO5.1 - Marco de Trabajo para la
se elabora un informe tecnico que pasa por

Administración Financiera.
programas de inversión.
el comité de adquisiciones de la empresa. En

A inversiones de hasta $150, se lo adquiere
1,00
Establecer y mantener un marco de trabajo financiero para
R administrar las inversiones y el costo de los activos y
directamente y no pasa por el comité. En
inversiones de $150 a $10.000 se elabora un
servicios de TI a través del portafolios de inversiones
informe tecnico en base a cotizaciones y se lo
habilitadas por TI, casos de negocio y presupuestos de TI.
adquiere.
Y 2.- ¿Existe un marco de trabajo financiero para administrar el costo de Ver respuesta anterior.
1,00
los activos de TI?
3.- ¿Existe un marco de trabajo financiero para administrar los servicios Ver respuesta anterior.
1,00
de TI?
O 4.- ¿Se mantiene este marco de trabajo financiero? Ver respuesta anterior. 1,00
R 1.- ¿Existe un proceso de toma de decisiones para dar prioridades a la Si, las decisiones se basan en la prioridad de
portafolio de proyectos.
dentro del Presupuesto

Dar mantenimiento al
Implementar un proceso de toma de decisiones para dar asignación de recursos a TI? los proyectos que afecten altamente a la 1,00
PO5.2 Prioridades
G prioridades a la asignación de recursos a TI para operatividad del negocio.

operaciones, proyectos y mantenimiento, para maximizar la 2.- ¿Este proceso optimiza el retorno del portafolio empresarial de No se ha hecho un análisis interno, pero se
de TI.
A contribución de TI a optimizar el retorno del portafolio programas de inversión en TI y otros servicios? debería hacer. Las implementaciones del ERP, 0,00
empresarial de programas de inversión en TI y otros BSC fueron hechas por medio del Holding.
N servicios y activos de TI. 3.- ¿Este proceso optimiza el retorno del portafolio empresarial de activos Ver respuesta anterior.
0,00
I de TI?
PO5 - Administrar la Inversión en TI.
1.- ¿Existe un proceso para elaborar un presupuesto que refleje las Si, este incluye todo, como por ejemplo lo que
Z Establecer un proceso para elaborar y administrar un prioridades establecidas en el portafolio empresarial de programas de se paga por el mantenimiento del Erp, de
Dar mantenimiento al portafolio de
1,00
PO5.3 - Proceso Presupuestal.
presupuesto que refleje las prioridades establecidas en el inversión en TI, que incluya los costos recurrentes de operar y mantener licencias, etc.
A portafolio empresarial de programas de inversión en TI,
incluyendo los costos recurrentes de operar y mantener la
la infraestructura actual?
2.- ¿Existe un proceso para administrar este presupuesto? Ver respuesta anterior.
R infraestructura actual. El proceso debe dar soporte al
1,00
servicios.
desarrollo de un presupuesto general de TI así como al 3.- ¿El proceso soporta al desarrollo de un presupuesto general de TI así Si.
desarrollo de presupuestos para programas individuales, como al desarrollo de presupuestos para programas individuales, con 1,00
con énfasis especial en los componentes de TI de esos énfasis especial en los componentes de TI de esos programas?
programas. El proceso debe permitir la revisión, el 4.- ¿El proceso permite la revisión, el refinamiento y la aprobación Si.
1,00
refinamiento y la aprobación constantes del presupuesto constante del presupuesto general?
general y de los presupuestos de programas individuales. 5.- ¿El proceso permite la revisión, el refinamiento y la aprobación Si.
1,00
constante de los presupuestos de programas individuales?
1.- ¿Existe un proceso de administración de costos que compare los Si.
1,00
costos reales con los presupuestados?
Establecer y mantener proceso presupuestal
PO5.4 - Administración de Costos de TI.
2.- ¿Se monitorean los costos? Si. Tienen un proceso de optimización de

Implementar un proceso de administración de costos que costos, estos son monitoreados por el área 1,00
compare los costos reales con los presupuestados. Los de Costos y Presupuestos.
costos se deben monitorear y reportar. Cuando existan 3.- ¿Se reportan los costos? Ver respuesta anterior. 1,00
desviaciones, éstas se deben identificar de forma oportuna y 4.- ¿Se identifican de forma oportuna si existen desviaciones? Si, mes a mes. Tienen como objetivo,
de TI.
el impacto de esas desviaciones sobre los programas se debe optimizar costos del área ya que no cuenta 1,00
evaluar y, junto con el patrocinador del negocio para estos con una persona (Asistente).
programas, se deberán tomar las medidas correctivas 5.- ¿El impacto de las desviaciones sobre los programas se evalúan? Si se corrige apropiadamente. 1,00
apropiadas y, en caso de ser necesario, el caso de negocio 6.- ¿Junto con el patrocinador del negocio para estos programas, se Ver respuesta anterior.
del programa de inversión se deberá actualizar. 1,00
toman medidas correctivas apropiadas?
7.- ¿Se actualiza el caso de negocio del programa de inversión? Cada tres meses se hace un Fore Cast, que es
como un ajuste al presupuesto, pero hasta 1,00
ahora no se ha afectado el presupuesto.
PO5.5 - Administración de Benefici
Implementar un proceso de monitoreo de beneficios. La 1.- ¿Se cuenta con un proceso de monitoreo de beneficios? No. Se piensa implementar con nuestra ayuda. 0,00
monitorear la inversión, costo y
contribución esperada de TI a los resultados del negocio, ya

valor de TI para el negocio.
2.- ¿Se reportan estos beneficios? Ver respuesta anterior. 0,00

Identificar, comunicar y
sea como un componente de programas de inversión en TI o

como parte de un soporte operativo regular, se debe 3.- ¿Se toman medidas apropiadas para mejorar la contribución de TI? Si. Como por ejemplo: Reestructuración de
identificar, acordar, monitorear y reportar. Los reportes se funciones dentro del área y recursos como
deben revisar y, donde existan oportunidades para mejorar mobiliario y ambiente de trabajo.
la contribución de TI, se deben definir y tomar las medidas 1,00
apropiadas. Siempre que los cambios en la contribución de
TI tengan impacto en el programa, o cuando los cambios a
otros proyectos relacionados impacten al programa, el caso
de negocio deberá ser actualizado.
98
COBIT
ACTIVIDADES DEL
CALIFICACIÓN
OBJETIVOS DE
PROCESOS
CONTROL
DOMINIO
PROCESO
Definir los elementos de un ambiente de control para TI, 1.- ¿Están definidos los elementos de un ambiente de control para TI? Si, mediante los indicadores del BSC.
1,00
Elaborar y mantener un ambiente y
PO6.1 - Ambiente de Políticas y de

alineados con la filosofía administrativa y el estilo operativo
de la empresa. Estos elementos incluyen las expectativas /
marco de control de TI.
requerimientos respecto a la entrega de valor proveniente de 2.- ¿Estos elementos están alineados con el estilo operativo de la Si, administración basada en procesos y en
las inversiones en TI, el apetito de riesgo, la integridad, los empresa? estandar ISO 9000, 14000 y 18000
PO6 - Comunicar las Aspiraciones y la Dirección de la Gerencia.
Control.
valores éticos, la competencia del personal, la rendición de

cuentas y la responsabilidad. El ambiente de control se basa
en una cultura que apoya la entrega de valor, mientras 1,00
administra riesgos significativos, fomenta la colaboración
entre divisiones y el trabajo en equipo, promueve el
cumplimiento y la mejora continua de procesos, y maneja las
desviaciones (incluyendo las fallas) de forma adecuada.
Elaborar y dar mantenimiento a un marco de trabajo que 1.- ¿Existe un marco de trabajo que establezca el enfoque empresarial Se tienen identificados los riesgos pero no en
PO6.2 - Riesgo
Referencia de
Interno de TI.
control de TI.
Corporativo y
mantener un
ambiente y
establezca el enfoque empresarial general hacia los riesgos y general hacia los riesgos? su totalidad, solo los más relevantes. Se
Marco de
Elaborar y
marco de
Control
0,50
el control que se alinee con la política de TI, el ambiente de piensa mejorar mediante la implementación
control y el marco de trabajo de riesgo y control de la de un sistema de seguridad.
empresa. 2.- ¿Existe un control que se alinee con la política de TI? Si, mediante las auditorias. 1,00
1.- ¿Existen políticas que apoyen la estrategia de TI? Si, política de calidad. 1,00
PO6.3 - Administración de
2.- ¿Estas políticas incluyen los roles y responsabilidades? Si. 1,00

Elaborar y dar mantenimiento a un conjunto de políticas que
Elaborar y mantener
Políticas para TI.
3.- ¿Estas políticas incluyen procesos de excepción? Si. 1,00

políticas de TI.
apoyen la estrategia de TI. Estas políticas deben incluir su

intención, roles y responsabilidades, procesos de excepción, 4.- ¿Estas políticas incluyen un enfoque de cumplimiento? Si. 1,00
enfoque de cumplimiento y referencias a procedimientos, 5.- ¿Estas políticas hacen referencias a procedimientos? Si. 1,00
estándares y directrices. Su relevancia se debe confirmar y 6.- ¿Estas políticas hacen referencias a estándares? Si. 1,00
aprobar en forma regular.
7.- ¿Estas políticas hacen referencias a directrices? Si. 1,00
8.- ¿Estas políticas se aprueban en forma regular? Si, lo hace la alta gerencia. 1,00
P 1.- ¿Se asegura que las políticas de TI se implanten? Si. 1,00
políticas de TI.
Objetivos y la de Políticas de
Asegurarse de que las políticas de TI se implantan y se

L
Implantación
Elaborar y
mantener
2.- ¿Se asegura que las políticas de TI se comuniquen a todo el personal Si.
PO6.4 -
comunican a todo el personal relevante, y se refuerzan, de tal 1,00

relevante?
TI.
A forma que estén incluidas y sean parte integral de las

operaciones empresariales. 3.- ¿Las políticas están incluidas y son parte integral de las operaciones Si.
1,00
empresariales?
N 1.- ¿Se comunica a los usuarios de toda la organización los objetivos de No. Se tiene pensado tener un acercamiento
Comunicación
Asegurarse de que la conciencia y el entendimiento de los 0,00

Comunicar el
dirección de
Dirección de
control y los
objetivos y
E TI? con las gerencias de la empresa.

marco de
PO6.5 -
objetivos y la dirección del negocio y de TI se comunican a

de los
TI.
2.- ¿Los usuarios están concientes de los objetivos de TI? Si. Mediante el análisis del impacto de los
TI.
los interesados apropiados y a los usuarios de toda la

A organización.
planes operativos en el logro de los objetivos 1,00
estratégicos de la empresa.
R Asegurarse que los procesos de reclutamiento del personal 1.- ¿Los procesos de reclutamiento del personal de TI están acordes a las Si, es compartida la responsabilidad del
PO7.1 - Reclutamiento y
Retención del Personal.
políticas y procedimientos generales de personal de la organización (Ej. reclutamiento con RRHH.

salarios y desempeño
de TI estén de acuerdo a las políticas y procedimientos 1,00

benchmarks sobre
puesto, rango de
descripciones de
habilidades de TI,
generales de personal de la organización (Ej. contratación, contratación, un ambiente positivo de trabajo y orientación)?
del personal.
Identificar las
Y un ambiente positivo de trabajo y orientación). La gerencia

implementa procesos para garantizar que la organización
2.- ¿Existe un proceso que garantice que la organización cuente con una En parte. Falta un plan de carrera. Recursos
fuerza de trabajo apropiada? Humanos considera implementar un plan de
cuente con una fuerza de trabajo posicionada de forma carrera. 0,50
apropiada, que tenga las habilidades necesarias para
O alcanzar las metas organizacionales.
1.- ¿Se verifica en forma periódica que el personal tenga las habilidades Si, se verifica mediante auditoría externa.
R 1,00
puesto, rango de salarios y desempeño del
para cumplir sus roles? Deloitte, Price y de Holding Dine.

benchmarks sobre descripciones de
PO7.2 - Competencias del Personal.
G 2.- ¿Se define los requerimientos esenciales de habilidades para TI? Si, Recursos humanos lo hace de acuerdo al
Identificar las habilidades de TI,
1,00
cargo.
A Verificar de forma periódica que el personal tenga las
habilidades para cumplir sus roles con base en su
3.- ¿Se verifica que se les dé mantenimiento, usando programas de Si se verifica pero no se hace nada por
calificación según sea el caso? mejorar. El primer paso, implementar
PO7 - Administrar los Recursos Humanos de TI
personal.
N educación, entrenamiento y/o experiencia. Definir los capacitación de acuerdo a la plataforma de

requerimientos esenciales de habilidades para TI y verificar la empresa para que el personal obtenga
I que se les dé mantenimiento, usando programas de certificaciones de acuerdo a su cargo. El
1,00
calificación y certificación según sea el caso. segundo paso, que tengan maestrias o títulos
Z de cuarto nivel dependiendo de su
A 4.- ¿Se verifica que se les dé mantenimiento, usando programas de Si.
especialidad.
1,00
R certificación según sea el caso?
1.- ¿El marco de trabajo para la asignación de los roles, Si. Lo hace Recursos Humanos.
desempeño del personal.
1,00
descripciones de puesto,
Definir, monitorear y supervisar los marcos de trabajo para responsabilidades y compensación del personal está definido?
PO7.3 - Asignación de
benchmarks sobre
rango de salarios y
los roles, responsabilidades y compensación del personal, 2.- ¿El marco de trabajo para la asignación de los roles, Si.
habilidades de TI,
Identificar las
incluyendo el requerimiento de adherirse a las políticas y responsabilidades y compensación del personal está monitoreado? 1,00
Roles.
procedimientos administrativos, así como al código de ética

y prácticas profesionales. El nivel de supervisión debe estar 3.- ¿El marco de trabajo para la asignación de los roles, Si 1,00
de acuerdo con la sensibilidad del puesto y el grado de responsabilidades y compensación del personal está supervisado?
responsabilidades asignadas. 4.- ¿El nivel de supervisión es acorde con la sensibilidad del puesto y las Si.
1,00
responsabilidades asignadas?
1.- ¿Se proporciona a los empleados de TI entrenamiento continuo? Actualmente no, pero se tiene elaborado un
Proporcionar a los empleados de TI la orientación necesaria
relevantes de RH
benchmarks para TI(reclutar,
procedimientos
del Personal de
Entrenamiento
plan de capacitación de acuerdo a la

compensar,
Ejecutar las
al momento de la contratación y entrenamiento continuo

contratar,
investigar,
políticas y
entrenar
PO7.4 -
plataforma que se tiene.

para conservar su conocimiento, aptitudes, habilidades, 0,00
TI.
controles internos y conciencia sobre la seguridad, al nivel

requerido para alcanzar las metas organizacionales.
1.- ¿Se minimiza las dependencias críticas sobre individuos clave? Recién se lo ha iniciado, está en proceso.
descripcione
Minimizar la exposición a dependencias críticas sobre

s de puesto,
Dependencia
habilidades
Individuos.
Identificar
rango de
Sobre los
PO7.5 -
individuos clave por medio de la captura del conocimiento

sobre
de TI,
0,50
las
(documentación), compartir el conocimiento, planeación de

la sucesión y respaldos de personal.
1.- ¿Se verifican los antecedentes en el proceso de reclutamiento de TI? Si, lo hace Recursos Humanos y el perfil es
compensar, entrenar,
evaluar, promover, y
contratar, investigar,
1,00
Ejecutar las políticas
Procedimientos de
actualizado constantemente.
y procedimientos
Incluir verificaciones de antecedentes en el proceso de

relevantes de RH
Investigación del
para TI(reclutar,
terminar).
reclutamiento de TI. El grado y la frecuencia de estas

Personal.
2.- ¿Se verifican con frecuencia estos antecedentes? Si. 1,00

PO7.6 -
verificaciones dependen de que tan delicada ó crítica sea la 3.- ¿Las verificaciones se aplican a empleados? Si, por medio de ISO 9000 1,00
función y se deben aplicar a los empleados, contratistas y
4.- ¿Las verificaciones se aplican a contratistas? Ver respuesta anterior. 1,00
proveedores.
5.- ¿Las verificaciones se aplican a proveedores? Ver respuesta anterior. 1,00
99
COBIT
ACTIVIDADES DEL
CALIFICACIÓN
OBJETIVOS DE
PROCESOS
CONTROL
DOMINIO
PROCESO
1.- ¿Las evaluaciones de desempeño se realizan periódicamente? Si, cada 6 meses. 1,00
Desempeño del Empleado.

procedimientos relevantes
de RH para TI(reclutar,
PO7.7 - Evaluación del

2.- ¿Las evaluaciones se comparan contra los objetivos individuales Si.
compensar, entrenar,
Ejecutar las políticas y
evaluar, promover, y
contratar, investigar,
Es necesario que las evaluaciones de desempeño se realicen

PO7 - Administrar los Recursos
1,00
periódicamente, comparando contra los objetivos derivados de las metas organizacionales?
terminar).
individuales derivados de las metas organizacionales, 3.- ¿Las evaluaciones se comparan contra los estandares establecidos? Si. 1,00
estándares establecidos y responsabilidades específicas del 4.- ¿Las evaluaciones se comparan contra las responsabilidades Si.
1,00
Humanos de TI
puesto. Los empleados deben recibir adiestramiento sobre su específicas del puesto?
desempeño y conducta, según sea necesario. 5.- ¿Los empleados reciben adiestramiento sobre su desempeño? Sobre el desempeño si, por medio de la
1,00
capacitación.
6.- ¿Los empleados reciben adiestramiento sobre su conducta? De conducta no. 0,50
1.- ¿Se toman medidas expeditas respecto a los cambios en los puestos, Si por medio de RRHH.
Terminación de Trabajo.
1,00
promover, y terminar).
investigar, compensar,
relevantes de RH para
TI(reclutar, contratar,
en especial las terminaciones?

Ejecutar las políticas y
Tomar medidas expeditas respecto a los cambios en los

PO7.8 - Cambios y
entrenar, evaluar,
procedimientos
puestos, en especial las terminaciones. Se debe realizar la 2.- ¿Se realiza la transferencia del conocimiento? Si. 1,00
transferencia del conocimiento, reasignar responsabilidades 3.- ¿Se reasigna responsabilidades? Si. 1,00
y se deben eliminar los privilegios de acceso, de tal modo 4.- ¿Se eliminan los privilegios de acceso, de tal modo que los riesgos se Si.
que los riesgos se minimicen y se garantice la continuidad de 1,00
minimicen?
la función. 5.- ¿Se eliminan los privilegios de acceso, de tal modo que se garantice la Si.
1,00
continuidad de la función?
1.- ¿Se cuenta con un QMS de TI alineados con los requerimientos del No hay un QMS de TI, pero si en forma
negocio? general. Tienen ISO 9000 y tienen proyectado 0,50
implementar ISO 27000.
2.- ¿Este QMS proporciona un enfoque estándar, formal y continuo con Ver respuesta anterior.
0,50
respecto a la administración de la calidad?
3.- ¿El QMS identifica los requerimientos? Ver respuesta anterior.
Definir un sistema de administración de calidad.
Establecer y mantener un QMS que proporcione un enfoque 0,50

PO8.1 - Sistema de Administración de Calidad.
estándar, formal y continuo, con respecto a la 4.- ¿El QMS identifica los criterios de calidad? Ver respuesta anterior. 0,50
administración de la calidad, que esté alineado con los 5.- ¿El QMS identifica los procesos claves de TI? Ver respuesta anterior. 0,50
requerimientos del negocio. El QMS identifica los
6.- ¿El QMS identifica las políticas para definir, detectar, corregir y prever Ver respuesta anterior.
requerimientos y los criterios de calidad, los procesos claves 0,50
las no conformidades?
de TI, y su secuencia e interacción, así como las políticas,
7.- ¿El QMS identifica los criterios para definir, detectar, corregir y prever Ver respuesta anterior.
criterios y métodos para definir, detectar, corregir y prever 0,50
las no conformidades. El QMS debe definir la estructura
8.- ¿El QMS identifica los métodos para definir, detectar, corregir y prever Ver respuesta anterior.
organizacional para la administración de la calidad, 0,50
P cubriendo los roles, las tareas y las responsabilidades.
Todas las áreas clave desarrollan sus planes de calidad de
9.- ¿El QMS define la estructura organizacional para la administración de Ver respuesta anterior.
0,50
la calidad, cubriendo los roles, las tareas y las responsabilidades?
L acuerdo a los criterios y políticas, y registran los datos de
10.- ¿Las áreas clave desarrollan sus planes de calidad de acuerdo a los Ver respuesta anterior.
0,50
calidad. Monitorear y medir la efectividad y aceptación del
A QMS y mejorarla cuando sea necesario.
criterios y políticas, y registran los datos de calidad?
11.- ¿Se monitorea la efectividad del QMS? Ver respuesta anterior. 0,50
N 12.- ¿Se mide la efectividad del QMS? Ver respuesta anterior. 0,50
13.- ¿Se monitorea la aceptación del QMS? Ver respuesta anterior. 0,50
E 14.- ¿Se mide la aceptación del QMS? Ver respuesta anterior. 0,50
A 15.- ¿Se lo mejora cuando es necesario? Ver respuesta anterior. 0,50
Identificar y mantener estándares, procedimientos y 1.- ¿Se identifica estándares para los procesos clave de TI? Ver respuesta anterior. 0,50
R
administración
mantener un
Estándares y
Prácticas de
Establecer y
de calidad.
prácticas para los procesos clave de TI para orientar a la 2.- ¿Se identifica procedimientos para los procesos clave de TI? Ver respuesta anterior. 0,50
sistema de
Calidad.
PO8.2 -
organización hacia el cumplimiento del QMS. Usar las 3.- ¿Se identifica prácticas para los procesos clave de TI? Ver respuesta anterior. 0,50
buenas prácticas de la industria como referencia al mejorar 4.- ¿Se usan las buenas prácticas de la industria como referencia al Ver respuesta anterior.
Y y adaptar las prácticas de calidad de la organización. mejorar y adaptar las prácticas de calidad de la organización?
0,50
1.- ¿Se adoptan estándares para todo desarrollo y adquisición que siga el Los lineamientos los da el Holding Dine.
ciclo de vida, hasta el último entregable? 1,00
O
Crear y comunicar estándares de calidad a toda la organización.
2.- ¿Se mantienen estándares para todo desarrollo y adquisición que siga Si.
1,00
el ciclo de vida, hasta el último entregable?
PO8 - Administrar la Calidad
R
PO8.3 - Estándares de Desarrollo y de Adquisición.
3.- ¿Se incluyen estándares de codificación de software? No se tiene. Se están estableciendo

estandares para todos los aplicativos y se va
G Adoptar y mantener estándares para todo desarrollo y
adquisición que siga el ciclo de vida, hasta el último a tener todo en la plataforma Oracle, Power
0,00
A entregable e incluir la aprobación en puntos clave con base

en criterios de aceptación acordados. Los temas a considerar 4.- ¿Se incluyen normas de nomenclatura?
Builder y Qlik View.
Ver respuesta anterior. 0,00
N incluyen estándares de codificación de software, normas de 5.- ¿Se incluyen formatos de archivos? Ver respuesta anterior. 0,00
nomenclatura; formatos de archivos, estándares de diseño 6.- ¿Se incluyen estándares de diseño para esquemas y diccionario de Ver respuesta anterior.
I para esquemas y diccionario de datos; estándares para la datos?
0,00
interfaz de usuario; inter operabilidad; eficiencia de 7.- ¿Se incluyen estándares para la interfaz de usuario? Ver respuesta anterior.
Z desempeño de sistemas; escalabilidad; estándares para
8.- ¿Se incluye inter operabilidad? Ver respuesta anterior.
0,00
0,00
desarrollo y pruebas; validación contra requerimientos;
A planes de pruebas; y pruebas unitarias, de regresión y de
9.- ¿Se incluye eficiencia de desempeño de sistemas? Ver respuesta anterior. 0,00
10.- ¿Se incluyen escalabilidad? Ver respuesta anterior. 0,00
R integración.
11.- ¿Se incluyen estándares para desarrollo y pruebas? Ver respuesta anterior. 0,00
12.- ¿Se incluyen validación contra requerimientos? Ver respuesta anterior. 0,00
13.- ¿Se incluyen planes de pruebas? Ver respuesta anterior. 0,00
14.- ¿Se incluyen pruebas unitarias de regresión? Ver respuesta anterior. 0,00
15.- ¿Se incluyen pruebas unitarias de integración? Ver respuesta anterior. 0,00
1.- ¿Está enfocada la administración de calidad en los clientes? No se tiene un sistema de calidad pero, si se
PO8.4 - Enfoque en
0,50
Crear y comunicar
Enfocar la administración de calidad en los clientes, enfocan en las necesidades del usuario.
calidad a toda la
el Cliente de TI.
organización.
estándares de
determinando sus requerimientos y alineándolos con los 2.- ¿Están definidos los roles respecto a la resolución de conflictos entre Si se sabe que datos corrige el usuario y la
estándares y prácticas de TI. Definir roles y el usuario/cliente y la organización de TI? organización en lo que respecta a errores del 1,00
responsabilidades respecto a la resolución de conflictos aplicativo.
entre el usuario/cliente y la organización de TI. 3.- ¿Están definidos las responsabilidades respecto a la resolución de Si.
1,00
conflictos entre el usuario/cliente y la organización de TI?
1.- ¿Se mantiene un plan global de calidad que promueva la mejora No en lo relacionado a TI. A nivel de ISO 9000
PO8.5 - Mejora
plan de calidad
continua? se la tiene en forma global como

para la mejora
administrar el
Continua.
continua.
Crear y
Mantener y comunicar regularmente un plan global de departamento, se planea, se hace y se 0,00

calidad que promueva la mejora continua. controla y se toma medidas correctivas o
preventivas. Ciclo DEMI.
2.- ¿Se comunica regularmente el plan global de calidad? No. 0,00
1.- ¿Están definidas mediciones para monitorear el cumplimiento Ver respuesta anterior.
0,00
PO8.6 - Medición, Monitoreo y Revisión de
continuo del QMS?

cumplimiento de las metas de calidad.
2.- ¿Están planeadas mediciones para monitorear el cumplimiento Ver respuesta anterior.
0,00
Medir, monitorear y revisar el
continuo del QMS?

Definir, planear e implementar mediciones para monitorear 3.- ¿Están implementadas mediciones para monitorear el cumplimiento Ver respuesta anterior.
0,00
el cumplimiento continuo del QMS, así como el valor que el continuo del QMS?
la Calidad.
QMS proporciona. La medición, el monitoreo y el registro de 4.- ¿Está definido el valor que el QMS proporciona? Ver respuesta anterior. 0,00
la información deben ser usados por el dueño del proceso
5.- ¿Está planeado el valor que el QMS proporciona? Ver respuesta anterior. 0,00
para tomar las medidas correctivas y preventivas
6.- ¿Está implementado el valor que el QMS proporciona? Ver respuesta anterior. 0,00
apropiadas.
7.- ¿Esta medición, monitoreo y registro de la información son usados por Ver respuesta anterior.
0,00
el dueño del proceso para tomar las medidas correctivas apropiadas?
8.- ¿Esta medición, monitoreo y registro de la información son usados por Ver respuesta anterior.
0,00
el dueño del proceso para tomar las medidas preventivas apropiadas?
100
COBIT
ACTIVIDADES DEL
CALIFICACIÓN
OBJETIVOS DE
PROCESOS
CONTROL
DOMINIO
PROCESO
1.- ¿Está establecido un marco de trabajo de administración de riesgos de Se lo tiene en parte. Se está trabajando en la
ón de riesgos
Administraci
administraci
la alineación
Determinar
0,50
(ej: Evaluar
Trabajo de
Establecer un marco de trabajo de administración de riesgos TI?
Marco de
riesgo). seguridad para minimizar los riesgos.
Riesgos.
PO9.1 -
ón de
de la
de TI que esté alineado al marco de trabajo de

2.- ¿El marco de trabajo de administración de riesgos de TI está alineado En parte.
administración de riesgos de la organización. 0,50
al marco de trabajo de administración de riesgos de la organización?
1.- ¿El marco de trabajo de evaluación de riesgos se aplica para Actualmente no.
0,00
garantizar resultados apropiados?
PO9.2 - Establecimiento del
Determinar la alineación de
la administración de riesgos
Contexto del Riesgo.

Establecer el contexto en el cual el marco de trabajo de 2.- ¿Está incluida la determinación del contexto interno de cada No. Se va a actualizar el plan de
(ej: Evaluar riesgo).
0,00
evaluación de riesgos se aplica para garantizar resultados evaluación de riesgos? contingencia y revisar la matriz de riesgos.
apropiados. Esto incluye la determinación del contexto 3.- ¿Está incluida la determinación del contexto externo de cada Ver respuesta anterior.
0,00
interno y externo de cada evaluación de riesgos, la meta de evaluación de riesgos?
la evaluación y los criterios contra los cuales se evalúan los 4.- ¿Está incluida la meta de la evaluación contra los cuales se evalúan Ver respuesta anterior.
0,00
riesgos. los riesgos?
5.- ¿Están incluidos los criterios contra los cuales se evalúan los riesgos? Ver respuesta anterior.
0,00
1.- ¿Están identificadas las amenazas importantes con impacto potencial En parte. Se analizan los riesgos potenciales
*Entender los objetivos de los
negativo sobre las metas o las operaciones de la empresa? de criticidad media, frente a los cuales tienen
tiempos de respuesta adecuados. Para los
*Entender los objetivos de negocio
PO9.3 - Identificación de Eventos.

procesos de negocios relevantes.
riesgos de criticidad alta como perdida del 0,50

Identificar eventos (una amenaza importante y realista que
centro de cómputo, perdida de servidores, no
PO9 - Evaluar y Administrar los Riesgos de TI
explota una vulnerabilidad aplicable y significativa) con un

se tiene una evaluación real del tiempo de
impacto potencial negativo sobre las metas o las
respuesta.
operaciones de la empresa, incluyendo aspectos de negocio,
2.- ¿Se determina la naturaleza del impacto? Se lo está haciendo aproximadamente desde
regulatorios, legales, tecnológicos, de sociedad comercial, de 0,50
estratégicos relevantes.
hace un mes. Antes no se lo registraba.

recursos humanos y operativos. Determinar la naturaleza del
3.- ¿Se mantiene esta información? Ver respuesta anterior.
impacto y mantener esta información. Registrar y mantener 0,50
los riesgos relevantes en un registro de riesgos.
4.- ¿Se registran los riesgos relevantes en un registro de riesgos? Se lo está haciendo aproximadamente desde
0,50
hace un mes. Antes no se lo registraba.
5.- ¿Se mantienen los riesgos relevantes en un registro de riesgos? Ver respuesta anterior.
0,50
1.- ¿Se evalúa en forma recurrente la probabilidad e impacto de todos los No.
0,00
A, negocio es C). *Asesorar el riesgo
PO9.4 - Evaluación de Riesgos de TI.

TI y establecer el contexto del riesgo.
riesgos identificados?
*Identificar los objetivos internos de
orientados a negocio (negocio es A);

*Identificar eventos asociados con
algunos están orientados a TI (TI es
2.- ¿Se usan métodos cualitativos? No.

objetivos, algunos eventos están
0,00
P Evaluar de forma recurrente la probabilidad e impacto de
todos los riesgos identificados, usando métodos cualitativos
3.- ¿Se usan métodos cuantitativos? No.
0,00
L y cuantitativos. La probabilidad e impacto asociados a los 4.- ¿Se determina de forma individual la probabilidad e impacto Si.
1,00
riesgos inherentes y residuales se debe determinar de forma asociados a los riesgos inherentes y residuales?
A
con los eventos.
individual, por categoría y con base en el portafolio.

5.- ¿Se determina por categoría la probabilidad e impacto asociados a los Si.
1,00
N riesgos inherentes y residuales?
6.- ¿Se determina con base en el portafolio la probabilidad e impacto Si.
E asociados a los riesgos inherentes y residuales? 1,00
1.- ¿Se cuenta con un proceso de respuesta a riesgos diseñado para En parte por medio del plan de contingencia,
A Desarrollar y mantener un proceso de respuesta a riesgos
PO9.5 - Respuesta a
respuestas a riesgo.
diseñado para asegurar que controles efectivos en costo asegurar que controles efectivos en costo mitigan la exposición en forma pero falta. 0,50
R
los Riesgos.
seleccionar
mitigan la exposición en forma continua. El proceso de continua?

Evaluar y
respuesta a riesgos debe identificar estrategias tales como 2.- ¿El proceso de respuesta a riesgos identifica estrategias tales como No.
0,00
evitar, reducir, compartir o aceptar riesgos; determinar evitar, reducir, compartir o aceptar riesgos?
responsabilidades y considerar los niveles de tolerancia a 3.- ¿El proceso de respuesta a riesgos considera los niveles de tolerancia Ver respuesta anterior.
Y riesgos. a riesgos?
0,00
Priorizar y planear las actividades de control a todos los 1.- ¿Se prioriza las actividades de control a todos los niveles para No.
0,00
*Aprobar y asegurar fondos
*Mantener y monitorear un
plan de acción de riesgos.
implementar las respuestas a los riesgos?

Monitoreo de un Plan de
PO9.6 - Mantenimiento y
para planes de acción de
niveles para implementar las respuestas a los riesgos,

actividades de control.
O
*Priorizar y Planear
Acción de Riesgos.
identificadas como necesarias, incluyendo la identificación 2.- ¿Se obtiene la aprobación para las acciones recomendadas de Si, pero no lo han propuesto. La gerencia si
cualquier riesgo residual? tiene apertura para esto. 1,00
de costos, beneficios y la responsabilidad de la ejecución.
R Obtener la aprobación para las acciones recomendadas y la 3.- ¿Se obtiene la aceptaciónde las acciones recomentadas de cualquier Si. 1,00
aceptación de cualquier riesgo residual, y asegurarse de que i ¿Se asegura
id l?que las acciones comprometidas están a cargo del dueño No.
G 4.- 0,00
riesgos.
las acciones comprometidas están a cargo del dueño (s) de

(5.-) d
¿Sel monitorea la ejecución
f d ? de los planes? No. 0,00
A los procesos afectados. Monitorear la ejecución de los
planes y reportar cualquier desviación a la alta dirección. 6.- ¿Se reporta cualquier desviación a la alta dirección? Si. 1,00
N Mantener el programa de los proyectos, relacionados con el 1.- ¿Se mantiene un programa de proyectos, relacionados con el Si.
1,00
portafolio de programas de inversiones facilitadas por TI?
PO10.1 - Marco de Trabajo
I portafolio de programas de inversiones facilitadas por TI,

programas/portafolio para
para la Administración de
Definir un marco de
por medio de la identificación, definición, evaluación, 2.- ¿Se asegura que los proyectos apoyen los objetivos del programa? Si. 1,00
administración de
inversiones en TI.
Z otorgamiento de prioridades, selección, inicio,

Programas.
3.- ¿Se coordina las actividades e interdependencias de múltiples Si.

administración y control de los proyectos. Asegurarse de que 1,00
proyectos?
A los proyectos apoyen los objetivos del programa. Coordinar
4.- ¿Se administra la contribución de todos los proyectos dentro del Si.
las actividades e interdependencias de múltiples proyectos,
1,00
R administrar la contribución de todos los proyectos dentro programa hasta obtener los resultados esperados?
del programa hasta obtener los resultados esperados, y 5.- ¿Se resuelven los requerimientos y conflictos de recursos? Si.
resolver los requerimientos y conflictos de recursos. 1,00
1.- ¿Existe un marco de trabajo para la administración de proyectos que Si.

Establecer y mantener un marco de trabajo para la 1,00
Establecer y mantener
defina el alcance?
un Marco de Trabajo
para la administración
de proyectos de TI.
PO10.2 - Marco de
Administración de
administración de proyectos que defina el alcance y los 2.- ¿Este marco de trabajo defina los límites de la administración de Si.
Trabajo para la
Proyectos.
límites de la administración de proyectos, así como las 1,00

proyectos?
PO10 - Administrar Proyectos.
metodologías a ser adoptadas y aplicadas en cada proyecto

3.- ¿Este marco de trabajo define las metodologías a ser adoptadas y Si.
emprendido. El marco de trabajo y los métodos de soporte se 1,00
aplicadas en cada proyecto emprendido?
deben integrar con los procesos de administración de
4.- ¿El marco de trabajo y los métodos de soporte están integrados con Si.
programas. 1,00
los procesos de administración de programas?
1.- ¿Está establecido un enfoque de administración de proyectos que Si. Hay una Unidad de Proyectos y Unidad de
corresponda al tamaño de cada proyecto? Desarrollo Organizacional pero falta reforzar
1,00
administración de sistemas. *Elaborar estatutos, calendarios, planes
la metodología para la generación de

*Establecer y mantener un sistema de monitoreo, medición y
proyectos.
de calidad, presupuestos y planes de comunicación y de
PO10.3 - Enfoque de Administración de Proyectos.
2.- ¿Está establecido un enfoque de administración de proyectos que Ver respuesta anterior.
1,00
Establecer un enfoque de administración de proyectos que corresponda a la complejidad de cada proyecto?
corresponda al tamaño, complejidad y requerimientos 3.- ¿Está establecido un enfoque de administración de proyectos que Ver respuesta anterior.
1,00
regulatorios de cada proyecto. La estructura de gobierno de corresponda a los requerimientos regulatorios de cada proyecto?
administración de riesgos.
proyectos puede incluir los roles, las responsabilidades y la 4.- ¿La estructura de gobierno de proyectos incluye los roles del Ver respuesta anterior.
rendición de cuentas del patrocinador del programa, patrocinador del programa, patrocinadores de proyectos, comité de 1,00
patrocinadores de proyectos, comité de dirección, oficina de dirección, oficina de proyectos, y gerente del proyecto?
proyectos, y gerente del proyecto, así como los mecanismos 5.- ¿La estructura de gobierno de proyectos incluye las responsabilidades Ver respuesta anterior.
por medio de los cuales pueden satisfacer esas del patrocinador del programa, patrocinadores de proyectos, comité de 1,00
responsabilidades (tales como reportes y revisiones por dirección, oficina de proyectos, y gerente del proyecto?
etapa). Asegurarse que todos los proyectos de TI cuenten con 6.- ¿La estructura de gobierno de proyectos incluye la rendición de Ver respuesta anterior.
patrocinadores con la suficiente autoridad para apropiarse cuentas del patrocinador del programa, patrocinadores de proyectos, 1,00
de la ejecución del proyecto dentro del programa estratégico comité de dirección, oficina de proyectos, y gerente del proyecto?
global. 7.- ¿La estructura de gobierno de proyectos incluye los mecanismos por Ver respuesta anterior.
medio de los cuales pueden satisfacer esas responsabilidades (tales 1,00
como reportes y revisiones por etapa)?
8.- ¿Se asegura que todos los proyectos de TI cuenten con patrocinadores Si.
con suficiente autoridad para apropiarse de la ejecución del proyecto 1,00
dentro del programa estratégico global?
101
COBIT
ACTIVIDADES DEL
CALIFICACIÓN
OBJETIVOS DE
PROCESOS
CONTROL
DOMINIO
PROCESO
1.- ¿Existe el compromiso de los interesados afectados en la definición y Si.
PO10.4 - Compromiso
proyecto. *Asegurar
cambios a proyectos.
el control efectivo de
los proyectos y de los
ejecución del proyecto dentro del contexto del programa global de
de los Interesados.
compromiso de los
1,00
interesados del
participación y
Obtener el compromiso y la participación de los interesados inversiones facilitadas por TI?

*Asegurar la
afectados en la definición y ejecución del proyecto dentro del

contexto del programa global de inversiones facilitadas por 2.- ¿Se cuenta con la participación de los interesados afectados en la Si.
TI. definición y ejecución del proyecto dentro del contexto del programa
1,00
global de inversiones facilitadas por TI?
1.- ¿Está definida la naturaleza del proyecto para confirmar y desarrollar Si.
1,00
métodos de aseguramiento
entre los interesados, un entendimiento común del alcance del proyecto?

PO10.5 - Declaración de
y revisión de proyectos.
Definir y documentar la naturaleza y alcance del proyecto

Alcance del Proyecto.
Definir e implementar
para confirmar y desarrollar, entre los interesados, un 2.- ¿Está documentada la naturaleza del proyecto?
Si. 1,00
entendimiento común del alcance del proyecto y cómo se 3.- ¿Está definido el alcance del proyecto? Si. 1,00
relaciona con otros proyectos dentro del programa global de 4.- ¿Está documentado el alcance del proyecto? Si. 1,00
inversiones facilitadas por TI. La definición se debe aprobar 5.- ¿Está definid como se relaciona con otros proyectos dentro del Si.
de manera formal por parte de los patrocinadores del 1,00
programa global de inversiones facilitadas por TI?
programa y del proyecto antes de iniciar el proyecto.
6.- ¿La definición se aprueba de manera formal por parte de los Si.
1,00
patrocinadores del proyecto antes de iniciar el proyecto?
Aprobar el inicio de las etapas importantes del proyecto y 1.- ¿Se aprueba el inicio de las etapas importantes del proyecto? Si. 1,00
métodos de aseguramiento y
PO10.6 - Inicio de las Fases
comunicarlo a todos los interesados. La aprobación de la 2.- ¿Se comunica a todos los interesados? Si. 1,00
revisión de proyectos.
fase inicial se debe basar en las decisiones de gobierno del

3.- ¿La aprobación de la fase inicial está basada en las decisiones de Si.
del Proyecto.
programa. La aprobación de las fases subsiguientes se debe 1,00

gobierno del programa?
basar en la revisión y aceptación de los entregables de la
4.- ¿La aprobación de las fases subsiguientes están basadas en la Si.
fase previa, y la aprobación de un caso de negocio 1,00
revisión y aceptación de los entregables de la fase previa?
actualizado en la próxima revisión importante del programa.
5.- ¿En fases traslapadas, está establecido un punto de aprobación por Si.
En el caso de fases traslapadas, se debe establecer un punto
parte de los patrocinadores del programa y del proyecto, para autorizar 1,00
de aprobación por parte de los patrocinadores del programa
así el avance del proyecto?
y del proyecto, para autorizar así el avance del proyecto.
1.- ¿Existe un plan aprobadp para el proyecto que guie la ejecución y el Si.
1,00
aseguramiento y revisión de proyectos.
PO10.7 - Plan Integrado del Proyecto.
control del proyecto a lo largo de la vida de éste?

Definir e implementar métodos de
Establecer un plan integrado para el proyecto, aprobado y

2.- ¿Están entendidas las actividades e interdependencias de múltiples Si. Antes no había una planificación, pero
formal (que cubra los recursos de negocio y de los sistemas
proyectos dentro de un mismo programa? hoy existe un plan de aplicación generada
de información) para guiar la ejecución y el control del 1,00
P proyecto a lo largo de la vida del éste. Las actividades e
por cada especialista que se consolida en un
plan integrado.
interdependencias de múltiples proyectos dentro de un
L mismo programa se deben entender y documentar. El plan del
3.- ¿Están documentadas las actividades e interdependencias de Si. Antes no había una planificación, pero
múltiples proyectos dentro de un mismo programa? hoy existe un plan de aplicación generada
proyecto se debe mantener a lo largo de la vida del mismo. El 1,00
A plan del proyecto, y las modificaciones a éste, se deben
por cada especialista que se consolida en un
plan integrado.
N aprobar de acuerdo al marco de trabajo de gobierno del
programa y del proyecto.
4.- ¿El plan del proyecto se mantiene a lo largo de la vida del mismo? Si. 1,00
5.- ¿El plan del proyecto, y las modificaciones a éste, se aprueban de Si.
E acuerdo al marco de trabajo de gobierno del programa y del proyecto?
1,00
A Definir las responsabilidades, relaciones, autoridades y 1.- ¿Están definidas las responsabilidades, relaciones, autoridades y Si.
1,00
PO10.8 - Recursos del

criterios de desempeño de los miembros del equipo del proyecto?

PO10 - Administrar Proyectos.
criterios de desempeño de los miembros del equipo del

aseguramiento y
R proyecto y especificar las bases para adquirir y asignar a los 2.- ¿Se especifica las bases para adquirir y asignar a los miembros Si.
métodos de
Proyecto.
1,00
miembros competentes del equipo y/o a los contratistas al competentes del equipo y/o a los contratistas al proyecto?
proyecto. La obtención de productos y servicios requeridos 3.- ¿Se planea y administra la obtención de productos y servicios Si.
1,00
para cada proyecto se debe planear y administrar para requeridos para cada proyecto?
Y alcanzar los objetivos del proyecto, usando las prácticas de 4.- ¿Se utilizan las prácticas de adquisición de la organización? Si.
1,00
adquisición de la organización.
Eliminar o minimizar los riesgos específicos asociados con 1.- ¿Existe un proceso sistemático que elimine o minimice riesgos Si.
1,00
O
Riesgos del Proyecto.
los proyectos individuales por medio de un proceso especificos asociados con los proyectos individuales?
Administración de
aseguramiento y
sistemático de planeación, identificación, análisis, 2.- ¿Están establecidos y registrados de forma central los riesgos Si. Se elabora un contrato en el que se
métodos de
R
PO10.9 -
respuesta, monitoreo y control de las áreas o eventos que afrontados por el proceso de administración de proyectos y el producto incluyen clausulas que contemple esto y se lo
tengan el potencial de ocasionar cambios no deseados. Los entregable del proyecto? supervisa mediante actas de trabajo hasta el
G riesgos afrontados por el proceso de administración de cumplimiento final del mismo.
1,00
proyectos y el producto entregable del proyecto se deben
A establecer y registrar de forma central.
N Preparar un plan de administración de la calidad que 1.- ¿Se cuenta con un plan de administración de la calidad que describa Si.
PO10.10 - Plan
aseguramiento
de Calidad del
1,00
y revisión de
implementar
métodos de
proyectos.
el sistema de calidad del proyecto y cómo será implantado?

Proyecto.
describa el sistema de calidad del proyecto y cómo será

Definir e
I implantado. El plan debe ser revisado y acordado de manera 2.- ¿Se revisa este plan y se acuerda de manera formal por todas las Si.
formal por todas las partes interesadas para luego ser partes interesadas para luego ser incorporado en el plan integrado del 1,00
Z incorporado en el plan integrado del proyecto. proyecto?
A Establecer un sistema de control de cambios para cada 1.- ¿Existe un sistema de control de cambios para cada proyecto? Si. Si cambia el escenario antes de la
PO10.11 - Control
1,00
aseguramiento y
de Cambios del
proyecto, de tal modo que todos los cambios a la línea base planificación como algo impredecible.
implementar
métodos de
proyectos.
revisión de
Proyecto.
R
Definir e
del proyecto (Ej. costos, cronograma, alcance y calidad) se 2.- ¿Estos cambios (Ej. costos, cronograma, alcance y calidad) se revisan, Si.
revisen, aprueben e incorporen de manera apropiada al plan aprueben e incorporan apropiadamente al plan integrado del proyecto?
1,00
integrado del proyecto, de acuerdo al marco de trabajo de
gobierno del programa y del proyecto.
1.- ¿Están identificadas las tareas de aseguramiento requeridas para Si.
del Proyecto y Métodos
PO10.12 - Planeación
Identificar las tareas de aseguramiento requeridas para apoyar la acreditación de sistemas nuevos o modificados durante la
de Aseguramiento.
1,00
aseguramiento y
apoyar la acreditación de sistemas nuevos o modificados planeación del proyecto?

métodos de
durante la planeación del proyecto e incluirlos en el plan

integrado. Las tareas deben proporcionar la seguridad de 2.- ¿Están incluidos en el plan integrado? Si. 1,00
que los controles internos y las características de seguridad 3.- ¿Las tareas proporcionan la seguridad de que los controles internos y Si.
satisfagan los requerimientos definidos. las características de seguridad satisfagan los requerimientos definidos? 1,00
1.- ¿Se mide el desempeño del proyecto contra los criterios clave del Si, mediante actas de trabajo.
Desempeño, Reporte y Monitoreo
1,00
Definir e implementar métodos
de aseguramiento y revisión de
proyecto (Ej. alcance, cronograma, calidad, costos y riesgos)?

Medir el desempeño del proyecto contra los criterios clave
PO10.13 - Medición del
2.- ¿Se identifica las desviaciones con respecto al plan? Si. 1,00
del proyecto (Ej. alcance, cronograma, calidad, costos y
3.- ¿Se evalúa su impacto sobre el proyecto? Si. 1,00
del Proyecto.
riesgos); identificar las desviaciones con respecto al plan;

proyectos.
evaluar su impacto sobre el proyecto y sobre el programa 4.- ¿Se evalúa su impacto sobre el programa global? Si. 1,00
global; reportar los resultados a los interesados clave; y 5.- ¿Se reportan los resultados a los interesados clave? Si. 1,00
recomendar, Implementar y monitorear las medidas 6.- ¿Se recomienda las medidas correctivas, según sea requerido, de Si.
correctivas, según sea requerido, de acuerdo con el marco de 1,00
acuerdo con el marco de trabajo de gobierno del proyecto?
trabajo de gobierno del programa y del proyecto. 7.- ¿Se implementa las medidas correctivas? Si. 1,00
8.- ¿Se monitorea las medidas correctivas? Si. 1,00
1.- ¿Al final de cada proyecto, los interesados se cercioran de que el Si. Se lo hace mediante la firma de un acta de
Solicitar que al finalizar cada proyecto, los interesados del
aseguramiento y revisión
proyecto haya proporcionado los resultados y los beneficios esperados? entrega-recepcion provisional, despues de 30
PO10.14 - Cierre del
proyecto se cercioren de que el proyecto haya proporcionado

dias si no hay problemas se elabora el acta 1,00
de proyectos.
los resultados y los beneficios esperados. Identificar y

métodos de
Proyecto.
de entrega-recepcion definitiva y se paga por

comunicar cualquier actividad relevante requerida para
medio del departamento legal.
alcanzar los resultados planeados del proyecto y los
2.- ¿Se comunica cualquier actividad requerida para alcanzar los Si.
beneficios del programa, e identificar y documentar las 1,00
resultados planeados del proyecto y los beneficios del programa?
lecciones aprendidas a ser usadas en futuros proyectos y
3.- ¿Se documenta las lecciones aprendidas para ser usadas en futuros No se documenta, pero si piensan que deben
programas. 0,00
proyectos y programas? hacerlo.
102
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
CONTROL
DOMINIO
PROCESO
1.- ¿Se identifica los requerimientos funcionales del negocio que cubran Si. Lo hace la persona que recibe las
el alcance completo de los programas de inversión en TI? llamadas, identifica si lo cumplen. Se basa en
negocio. *Establecer procesos para la integridad/válidez de
AI1.1 - Definición y Mantenimiento de los Requerimientos

el presupuesto que se elabora en Noviembre
Definir los requerimientos funcionales y técnicos del
1,00
de cada año para el siguiente año, en el se
incluyen todos los requerimientos de TI (tanto
Técnicos y Funcionales del Negocio.

de inversión como de operación).
2.- ¿Se identifica los requerimientos técnicos del negocio que cubran el Si.
1,00
alcance completo de los programas de inversión en TI?
los requerimientos.
Identificar, dar prioridades, especificar y acordar los

3.- ¿Se prioriza los requerimientos funcionales del negocio que cubran el Si esta priorizado en base a un estudio para
requerimientos de negocio funcionales y técnicos que cubran 1,00
alcance completo de los programas de inversión en TI? la elaboración del presupuesto.
el alcance completo de todas las iniciativas requeridas para
4.- ¿Se prioriza los requerimientos técnicos del negocio que cubran el Si.
lograr los resultados esperados de los programas de 1,00
inversión en TI.
5.- ¿Se especifica los requerimientos funcionales del negocio que cubran Si.
1,00
el alcance completo de los programas de inversión en TI?
6.- ¿Se especifica los requerimientos técnicos del negocio que cubran el Si.
1,00
7.- ¿Se acorda los requerimientos funcionales del negocio que cubran el Si cubren todo el alcance.
1,00
AI1 - Identificar soluciones automatizadas.
8.- ¿Se acorda los requerimientos técnicos del negocio que cubran el Si.
1,00
1.- ¿Se Identifica los riesgos asociados con los requerimientos del negocio Si. Se registra en una base de datos , se
AI1.2 - Reporte de Análisis
Identificar, documentar y
como parte de los procesos organizacionales para el desarrollo de los imprime y se atiende. Se evalua el riesgo 1,00
proceso de negocio.
analizar el riesgo del
requerimientos? antes de hacer el presupuesto.

Identificar, documentar y analizar los riesgos asociados con
de Riesgos.
2.- ¿Se identifica los riesgos asociados con el diseño de soluciones como Si.
los requerimientos del negocio y diseño de soluciones como
parte de los procesos organizacionales para el desarrollo de los 1,00
parte de los procesos organizacionales para el desarrollo de
requerimientos?
los requerimientos.
3.- ¿Se documenta los riesgos asociados con los requerimientos del Si.
1,00
negocio?
4.- ¿Se analiza los riesgos asociados con los requerimientos del negocio? Si. 1,00
1.- ¿Se desarrolla un estudio de factibilidad que examine la posibilidad de No por el momento. Lo van a implementar.
Formulación de Cursos de Acción
implementar los requerimientos? Los proyectos no han estado saliendo con un

Evaluar los beneficios de negocio
AI1.3 - Estudio de Factibilidad y
0,00
de las soluciones propuestas.
formato de análisis. Se establece en el

Desarrollar un estudio de factibilidad que examine la momento el riesgo, la utilidad, etc.
A posibilidad de Implementar los requerimientos. La
Alternativos.
2.- ¿La administración del negocio, apoyada por la función de TI evalúa la Desde Marzo se está haciendo levantamiento
administración del negocio, apoyada por la función de TI, factibilidad? de funciones. Hay cambios en la actualidad y
0,00
D debe evaluar la factibilidad y los cursos alternativos de aún no están establecidos procedimientos
acción y realizar recomendaciones al patrocinador del definidos.
Q negocio. 3.- ¿La administración del negocio, apoyada por la función de TI evalúa No.
0,00
los cursos alternativos de acción?
U 4.- ¿La administración del negocio, apoyada por la función de TI realiza No.
0,00
recomendaciones al patrocinador del negocio?
I 1.- ¿El patrocinador del negocio aprueba los requisitos funcionales de Como área de tecnología se está bajo la
*Elaborar un proceso de aprobación de
R
requerimientos de negocio propuestos.
negocio? Gerencia General. No se hace nada si no está

requerimientos. *Aprobar y Autorizar
factibilidad/evaluación de impacto con
1,00
AI1.4 - Requerimientos, Decisión de
aprobado en algún informe o comunicado de

respecto a la implantación de los
I la gerencia.
Factibilidad y Aprobación.
Conducir un estudio de
soluciones propuestas.
Verificar que el proceso requiere al patrocinador del negocio 2.- ¿El patrocinador del negocio aprueba los requisitos técnicos de Si.
1,00
R para aprobar y autoriza los requisitos de negocio, tanto negocio?
funcionales como técnicos, y los reportes del estudio de 3.- ¿El patrocinador del negocio autoriza los requisitos funcionales de Si.
1,00
factibilidad en las etapas clave predeterminadas. El negocio?
patrocinador del negocio tiene la decisión final con respecto 4.- ¿El patrocinador del negocio autoriza los requisitos técnicos de Si.
E a la elección de la solución y al enfoque de adquisición. negocio?
1,00
5.- ¿El patrocinador del negocio aprueba los reportes del estudio de Si, ver respuesta anterior
1,00
factibilidad en las etapas clave predeterminadas?
I 6.- ¿El patrocinador del negocio autoriza los reportes del estudio de Si, ver respuesta anterior
factibilidad en las etapas clave predeterminadas?
1,00
M 1.- ¿Se traduce los requerimientos del negocio a una especificación de No hay formato, no hay documento.
0,00
Traducir los requerimientos del negocio
diseño de alto nivel para la adquisición de software?

en especificaciones de diseño de alto
P Traducir los requerimientos del negocio a una especificación 2.- ¿Las especificaciones de diseño son aprobadas por la Gerencia? Solo a traves de comunicados o informes de
AI2.1 - Diseño de Alto Nivel.
0,50
de diseño de alto nivel para la adquisición de software, la gerencia general.
L teniendo en cuenta las directivas tecnológicas y la 3.- ¿Se reevalúa los requerimientos cuando sucedan discrepancias Si, se reevalúa los requerimientos aunque sin
significativas técnicas durante el desarrollo o mantenimiento.? procedimientos, solo leyendo los pedidos.
E arquitectura de información dentro de la organización. Tener
nivel.
aprobadas las especificaciones de diseño por gerencia para Ejemplo, piden Autocad para el área de
M garantizar que el diseño de alto nivel responde a los
requerimientos. Reevaluar cuando sucedan discrepancias
despacho, se evalua si realmente lo necesitan
o no, se lo hace de manera informal porque
0,50
E significativas técnicas o lógicas durante el desarrollo o no hay cumplimiento de procedimientos en

general para todas las cosas.
mantenimiento.
N 4.- ¿Se reevalúa los requerimientos cuando sucedan discrepancias Si.
0,50
significativas lógicas durante el desarrollo o mantenimiento.?
T 1. ¿Se prepara el diseño detallado del software de aplicación? Los requerimiento son solicitados por los
A usuarios, el departamento de TI analiza la
AI2 - Adquirir y mantener software aplicativo.
Preparar diseño detallado y los requerimientos técnicos del
factibilidad técnica de esos requerimientos y 1,00

R se asientan en un acta de requerimiento que
son firmadas por los usuarios involucrados.
2. ¿Se prepara los requerimientos técnicos del software de aplicación? Si. 1,00
3.- ¿Se define el criterio de aceptación de los requerimientos? Se define en parte a tráves del módulo de
0,50
AI2.2 - Diseño Detallado.
Preparar el diseño detallado y los requerimientos técnicos soporte y mediante el acta.

software aplicativo.
del software de aplicación. Definir el criterio de aceptación 4.- ¿Se aprueba los requerimientos para garantizar que corresponden al Si. Son aprobados por los usuarios y por el
de los requerimientos. Aprobar los requerimientos para diseño de alto nivel? departamento de TI, (El especialista en
1,00
garantizar que corresponden al diseño de alto nivel. Realizar aplicativos y la Especialista en base de datos
reevaluaciones cuando sucedan discrepancias significativas y aplicativos).
técnicas o lógicas durante el desarrollo o mantenimiento. 5.- ¿Se realiza reevaluaciones cuando sucedan discrepancias Si se realizan reevaluaciones, en el caso de
significativas técnicas durante el desarrollo o mantenimiento del Software adquisición de sofware hay contratos con
de aplicación? parámetros hay una base técnica y de lo
1,00
contrario se lo hace con el personal interno
en base a procedimientos establecidos con
soporte técnico coordinado con logística.
6.- ¿Se realiza reevaluaciones cuando sucedan discrepancias Si.
significativas lógicas durante el desarrollo o mantenimiento del Software 1,00
de aplicación?
1.- ¿Se implementa controles de negocio cuando aplique, en controles de Se realizan auditorías al departamento,
aplicación automatizados? (auditoría interna) mediante documentos se 1,00
Preparar diseño detallado y los requerimientos
AI2.3 - Control y Posibilidad de Auditar las
las analiza y se las implementa.

2.-¿El procesamiento de los controles de negocio son exactos? Si son exactos. 1,00
técnicos del software aplicativo.
3.- ¿El procesamiento de los controles de negocio son completos? Si son completas. Realizan auditorias
1,00
completas tres veces al año.
Aplicaciones.
Implementar controles de negocio, cuando aplique, en 4.- ¿El procesamiento de los controles de negocio son oportunos? Si son oportunos. (auditoria bases, procesos,
1,00
controles de aplicación automatizados tal que el etc.).
procesamiento sea exacto, completo, oportuno, autorizado y 5.- ¿El procesamiento de los controles de negocio son autorizados? Si son autorizados por el auditor interno de la
auditable. empresa junto con el departamento de TI a
nivel de la Empresa de Producción. Para el
Baan lo hacen a nivel corporativo desde 1,00
Quito así como lo relacionado a base de
datos o cualquier contrato o proceso que se
maneje corporativamente.
6.- ¿El procesamiento de los controles de negocio son auditables? Si son auditables. 1,00
103
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
CONTROL
DOMINIO
PROCESO
1.- ¿Se aborda la seguridad de las aplicaciones? Si se aborda. Los auditores tienen su propia
metodología, verifican los roles que tienen los
Especificar los controles de aplicación dentro
AI2.4 - Seguridad y Disponibilidad de las

usuarios, aplicaciones, número de
conexiones y accesibilidad. Ellos tienen 1,00
politicas de manejo de claves para todos los
Abordar la seguridad de las aplicaciones y los aplicativos.
requerimientos de disponibilidad en respuesta a los riesgos
Aplicaciones.
del diseño.
2.- ¿Se aborda los requerimientos de disponibilidad en respuesta a los Si,Los auditores evalúan que las
identificados y en línea con la clasificación de datos, la
riesgos identificados? recomendaciones hayan sido implementadas. 1,00
arquitectura de la información, la arquitectura de seguridad
de la información y la tolerancia a riesgos de la
3.- ¿Se aborda los requerimentos en línea con la clasificación de datos? Si, lo hacen en linea. 1,00
organización.
4.- ¿Se aborda la arquitectura de la información? Eso lo hacen poco. No auditan modelo de
datos, integridad referencial, a ese nivel no 0,00
llegan las auditorías.
5.- ¿Se aborda la arquitectura de seguridad de la información? No. 0,00
6.- ¿Se aborda la tolerancia a riesgos de la organización.? Si lo auditan. 1,00
1.- ¿Se configura el software de aplicaciones adquiridas para conseguir Si, todos los sistemas son parametrizables,
AI2.5 - Configuración e Implantación
los objetivos de negocio? una vez comprado,se personaliza y

de Software Aplicativo Adquirido.
parametriza de acuerdo a las necesidades de

Personalizar e implementar la
funcionalidad automatizada
la empresa, tanto software como hardware.

Se lo realiza en el área técnica pero a través 1,00
adquirida.
Configurar e implementar software de aplicaciones de los especialistas de los aplicativos y bases

adquiridas para conseguir los objetivos de negocio. de datos. Ellos disponen y el área ejecuta.
2.- ¿Se implementa software de aplicaciones adquiridas para conseguir Si. Por ejemplo el BAAN es una aplicación
los objetivos de negocio? adquirida. Los especialistas de los
aplicativos y bases de datos tambien 1,00
implementan.
1.- ¿Se realizan cambios importantes a los sistemas existentes que Si se realizan mejoras. Estas van de acuerdo a
AI2.6 - Actualizaciones Importantes
A resulten cambios significativos al diseño actual? las necesidades de cada departamento y que
Personalizar e implementar la
funcionalidad automatizada
además ayuden a mejorar el negocio. Los

en Sistemas Existentes.
D En caso de cambios importantes a los sistemas existentes que

especialistas de los aplicativos y bases de 1,00
datos coordinan y analizan los cambios
adquirida.
Q resulten en cambios significativos al diseño actual y/o importantes a los sistemas.

funcionalidad, seguir un proceso de desarrollo similar al
U empleado para el desarrollo de sistemas nuevos.
2.- ¿Se realizan cambios importantes a los sistemas existentes que Ver respuesta anterior
1,00
I resulten cambios significativos en su funcionalidad?
3.- ¿Se sigue un proceso de desarrollo similar al empleado en los sistemas Si. Usan el ciclo de vida clásico para la
R
AI2 - Adquirir y mantener software aplicativo.
existentes para el desarrollo de sistemas nuevos? implementación de todos los sistemas. 1,00
I 1.- ¿Se garantiza que la funcionalidad de automatización se desarrolla de Si, está supervisado por el Holding Dinner.
acuerdo con las especificaciones de diseño? Ellos realizan auditorías y constantemente
R monitorean por medio de actas de trabajo y
Desarrollar las metodologías y procesos formales para administrar el proceso de desarrollo de la
actas de requerimiento en donde los usuarios

dan las especificaciones de lo que desean y 1,00
esto se plasma en un documento opción x
E opción y se firma usuarios, gerentes de áreas,
jefes involucrados y tecnología.
I 2.- ¿Se garantiza que la funcionalidad de automatización se desarrolla de La jefatura de TI se encarga de la

AI2.7 - Desarrollo de Software Aplicativo.
acuerdo los estándares de desarrollo y documentación? administracion de Power Builder y Microsoft

M y Autocad son administrados por los
tecnicos de soporte. Los especialistas de
P Garantizar que la funcionalidad de automatización se
desarrolla de acuerdo con las especificaciones de diseño, los
aplicativos y base de datos se encargan del 1,00
desarrollo de 4ta. generación y la
L
aplicación.
estándares de desarrollo y documentación, los programacion orientado a objetos.

requerimientos de calidad y estándares de aprobación.
E Asegurar que todos los aspectos legales y contractuales se
identifican y direccionan para el software aplicativo 3.- ¿Se garantiza que la funcionalidad de automatización se desarrolla de Las pruebas se hacen de calidad y de
M desarrollado por terceros. acuerdo a los requerimientos de calidad y estándares de aprobación.? rendimientos pero no estan regidas a ningún 0,50
standar o a metodología reconocida.
E 4.- ¿Se asegura que todos los aspectos legales se identifican y direccionan Si, mediante contrato establecido por medio
para el software aplicativo desarrollado por terceros.? de asesoria juridica en caso de compra de
N sofware, en el contrato se especifica tiempo,
T entregables en conjunto con TI, en el caso de
desarrollo, lo que hace es de 3 maneras, 1,00
A actas de requerimiento, entrega
(provisionales y definitivas) todas firmadas
R por ambas partes ese es el respaldo.
5.- ¿Se asegura que todos los aspectos contractuales se identifican y Si.
1,00
direccionan para el software aplicativo desarrollado por terceros.?
1.- ¿Se desarrolla un plan de aseguramiento de calidad del software? No tienen plan, hay planes de prueba, se
Aseguramiento de la
aseguramiento de la
calidad del software
para el proyecto.
Crear un plan de
Desarrollar, Implementar los recursos y ejecutar un plan de cogen casos criticos y con eso se hace la
0,00
Calidad del
prueba, pero plan de calidad con

Software.
aseguramiento de calidad del software, para obtener la

AI2.8 -
calidad que se especifica en la definición de los procedinmientos establecidos no hay.

requerimientos y en las políticas y procedimientos de calidad 2.- ¿Se Implementa los recursos de un plan de aseguramiento de calidad ver respuesta anterior
0,00
de la organización. del software?
3.- ¿Se ejecuta un plan de aseguramiento de calidad del software? ver respuesta anterior 0,00
1. ¿Se sigue el estado de los requerimientos individuales durante el Si se lo sigue, se ha creado un sistema de
diseño, desarrollo e implementación? soporte técnico, se registra el requertimiento,
se hace el seguimiento y la solución,
Requerimientos de Aplicaciones.
Dar seguimiento y administrar los
requerimientos de la aplicación.
siguiendo los 3 niveles de servicio que ITIL 1,00

AI2.9 - Administración de los
recomienda, telefonico, correo y personal.

Seguir el estado de los requerimientos individuales
(incluyendo todos los requerimientos rechazados) durante el
2.- ¿Se sigue el estado de todos los requerimientos rechazados durante el No se hace seguimiento de lo rechazado.
diseño, desarrollo e implementación, y aprobar los cambios 0,00
diseño, desarrollo e implementación.?
a los requerimientos a través de un proceso de gestión de
3.- ¿Se aprueba los cambios a los requerimientos a través de un proceso Si hay un proceso de gestión, cuando un
cambios establecido.
de gestión de cambios establecido? sistema está en marcha si tienen un
procedimiento. mediante acta de
1,00
modificaciones se establece cual es el
requerimiento que va a cambiar y en que
afecta.
1.- ¿Se desarrolla una estrategia para el mantenimiento de aplicaciones Aplican el mismo ciclo de vida, desde
mantenimie
Mantenimie
aplicacione
Desarrollar
Aplicativo.
1,00
software.
Software
AI2.10 -
un plan
de software? analizar hasta aplicar la solución.

nto de
nto de
para el
Desarrollar una estrategia y un plan para el mantenimiento

s de
de aplicaciones de software. 2.-¿Se desarrolla un plan para el mantenimiento de aplicaciones de No hay plan.
software.? 0,00
104
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
CONTROL
DOMINIO
PROCESO
1.- ¿Se genera un plan para adquirir la infraestructura tecnológica? No cuentan con un plan para reunirse y
verificar el requerimiento del usuario. Por
política del área TI cada 2 Años se cambian
los equipos, se puede decir que con este
Negociar la compra y adquirir la infraestructura requerida con
AI3.1 - Plan de Adquisición de Infraestructura Tecnológica.

análisis aproximadamente el 20% del parte 0,00
tecnológico es candidato a cambio, en esta
planificación puede haber distinción en
tiempo ya que se depende de otras áreas y de
Generar un plan para adquirir, Implementar y mantener la proveedores.
infraestructura tecnológica que satisfaga los requerimientos
proveedores(aprobados).
2.- ¿Se implementa el plan para adquirir la infraestructura tecnológica? Si. 1,00
establecidos funcionales y técnicos del negocio, y que esté de
acuerdo con la dirección tecnológica de la organización. El 3.- ¿Se mantiene el plan para adquirir la infraestructura tecnológica que Si se evalúa, se realiza una cotización y el
plan debe considerar extensiones futuras para adiciones de satisfaga los requerimientos establecidos funcionales del negocio, y que departamento de adquisiciones aprueba la 1,00
capacidad, costos de transición, riesgos tecnológicos y vida esté de acuerdo con la dirección tecnológica de la organización? compra a través de un cómite.
útil de la inversión para actualizaciones de tecnología. 4.- ¿Se mantiene el plan para adquirir la infraestructura tecnológica que Sí.
Evaluar los costos de complejidad y la viabilidad comercial satisfaga los requerimientos establecidos técnicos del negocio, y que esté 1,00
del proveedor y el producto al añadir nueva capacidad de acuerdo con la dirección tecnológica de la organización?
técnica. 5.- ¿El plan considera extensiones futuras para adiciones de capacidad, No hay un documento de planificación que
costos de transición, riesgos tecnológicos y vida útil de la inversión para abarque estos temas. 0,00
actualizaciones de tecnología?
6.- ¿Se evalúa los costos de complejidad del proveedor? Es independiente del proceso de la compra, el
área de TI no evalúa al proveedor, este es un 1,00
proceso de logistica.
7.- ¿Se evalúa los costos de la viabilidad comercial del proveedor y el Ver respuesta anterior.
1,00
producto al añadir nueva capacidad técnica?
1.- ¿Se Implementa medidas de control interno, seguridad y auditabilidad Si se lo hace a nivel de desarrollo y de
durante la configuración de la infraestructura para proteger los recursos producción, cuando es necesario se crea base
y garantizar su disponibilidad e integridad? de datos para hacer pruebas a los aplicativos
para no afectar el proceso en linea una vez
probado se envia los aplicativos al Ing.
AI3.2 - Protección y Disponibilidad del Recurso de Infraestructura.
1,00
Orellana encargado de los servidores para
que los pase a los servidores de producción.
Definir el procedimiento/ proceso de adquisición.
A Del hardware no se hace, el software

desarrolladores de aplicativos y Base de
D Implementar medidas de control interno, seguridad y
Datos.
2.- ¿Se Implementa medidas de control interno, seguridad y auditabilidad Ver respuesta anterior.
Q auditabilidad durante la configuración, integración y
mantenimiento del hardware y del software de la
durante la integración de la infraestructura para proteger los recursos y 1,00
garantizar su disponibilidad e integridad?
U infraestructura para proteger los recursos y garantizar su
disponibilidad e integridad. Se deben definir y comprender
3.- ¿Se Implementa medidas de control interno, seguridad y auditabilidad Ver respuesta anterior.
durante el mantenimiento del hardware y del software de la
I
AI3 - Adquirir y mantener infraestructura tecnológica.
claramente las responsabilidades al utilizar componentes de 1,00

infraestructura para proteger los recursos y garantizar su disponibilidad
infraestructura sensitivos por todos aquellos que desarrollan
R e integran los componentes de infraestructura. Se debe
e integridad?
4.- ¿Se define claramente las responsabilidades al utilizar componentes Si cada especialista es reponsable del manejo
monitorear y evaluar su uso.
I de infraestructura sensitivos por todos aquellos que desarrollan e
integran los componentes de infraestructura?
del componente de infraestructura sensitivo
de cada uno de los procesos.
1,00
R 5.- ¿Se comprende claramente las responsabilidades al utilizar Sí cada especialista tiene asignado las
componentes de infraestructura sensitivos por todos aquellos que responsabilidades de sus procesos. 1,00
desarrollan e integran los componentes de infraestructura?
6.- ¿Se monitorea el uso del recurso de infraestructura? Se monitorea, se hace un mantenimiento
E preventivo, mas o menos cada 4 meses a los
1,00
equipos, (servidores, equipos de
usuarios,etc).
I 7.- ¿Se evalúa el uso del recurso de infraestructura? No se evalúa.

1.- ¿Se desarrolla una estrategia para el mantenimiento de la Si se desarrolla, cumplen un cronograma de
0,00
1,00
M infraestrucutura? acuerdo el reporte de Help Desk.
2.- ¿Se desarrolla un plan de mantenimiento de la infraestructura? A Nivel de equipos de computación. Son
P servicios que estan tercerizados.
1,00
Definir estrategia y planear el mantenimiento de infraestructura.
3.- ¿La estrategia desarrollada para el mantenimiento de la Si se garantiza pero no hay documentación
L infraestructura garantiza que se controlan los cambios, de acuerdo con el pero si hay análisis. 0,50
procedimiento de administración de cambios de la organización?
E
AI3.3 - Mantenimiento de la Infraestructura.
4.- ¿El plan desarrollado para el Mantenimiento de la Infraestructura Ver respuesta anterior.
M garantiza que se controlan los cambios, de acuerdo con el procedimiento
de administración de cambios de la organización?
0,50
E Desarrollar una estrategia y un plan de mantenimiento de la 5.- ¿El plan de Mantenimiento de la Infraestructura incluye una revisión
infraestructura y garantizar que se controlan los cambios, de periódica contra las necesidades del negocio?
No hay.
0,00
N acuerdo con el procedimiento de administración de cambios 6.- ¿El plan de Mantenimiento de la Infraestructura incluye una revisión Desarrolladores de aplicativos y Base de
de la organización. Incluir una revisión periódica contra las periódica contra la administración de parches? Datos se encargan en que versiones estan
T necesidades del negocio, administración de parches y desarrolladas las aplicaciones, Si hay 1,00
estrategias de actualización, riesgos, evaluación de actualizaciones, todo es con licencia no hay
A vulnerabilidades y requerimientos de seguridad. nada pirata.
R 7.- ¿El plan de Mantenimiento de la Infraestructura incluye una revisión

periódica contra las estrategias de actualización?
Se hace un monitorieo preventivo, se hace un
diagnostico para ver prosibles problemas e 1,00
implementar alguna mejora.
8.- ¿El plan de Mantenimiento de la Infraestructura incluye una revisión No se lo hace, no manejan matriz de riesgo
0,00
periódica contra los riesgos?
9.- ¿El plan de Mantenimiento de la Infraestructura incluye una revisión No hay plan, lo hacen obligados por auditoria
periódica contra la evaluación de vulnerabilidades? por los eventos que se presentan para ir 0,00
solucionando las cosas.
10.- ¿El plan de Mantenimiento de la Infraestructura incluye una revisión No.
0,00
periódica contra los requerimientos de seguridad?
1.- ¿Se establece el ambiente de desarrollo de las aplicaciones? Si cumplen,cuando se adquiere un aplicativo
o un software realizan un periodo de prueba, 1,00
Carlos Orellana, David Guillen y soporte.
2.- ¿Se establece el ambiente de pruebas de las aplicaciones? Si se cumple. 1,00
3.- ¿Se considera la funcionalidad de las aplicaciones en el ambiente de Si se considera cuando hay cambios lo hacen
Configurar componentes de la infraestructura.
adquisición y desarrollo? en un solo repositorio y es fácil porque toda

AI3.4 - Ambiente de Prueba de Factibilidad.
1,00
la empresa se actualiza, en los cambios de
versiones es igual.
Establecer el ambiente de desarrollo y pruebas para soportar 4.- ¿Se considera la integración de las aplicaciones en el ambiente de Si.
la efectividad y eficiencia de las pruebas de factibilidad e 1,00
adquisición y desarrollo?
integración de aplicaciones e infraestructura, en las primeras 5.- ¿Se considera el desempeño de las aplicaciones en el ambiente de Si.
fases del proceso de adquisición y desarrollo. Hay que 1,00
considerar la funcionalidad, la configuración de hardware y 6.- ¿Se considera la migración entre ambientes de las aplicaciones en el Si.
software, pruebas de integración y desempeño, migración 1,00
ambiente de adquisición y desarrollo?
entre ambientes, control de la versiones, datos y 7.- ¿Se considera el control de la versiones de las aplicaciones en el Si.
herramientas de prueba y seguridad. 1,00
ambiente de adquisición y desarrollo?
8.- ¿Se considera los datos y herramientas de prueba de las aplicaciones Si.
1,00
en el ambiente de adquisición y desarrollo?
9.- ¿Se considera la seguridad de las aplicaciones en el ambiente de Si.
1,00
10.- ¿Se considera la configuración de hardware y software de la Si se considera Cuando hay cambios lo hacen
infraestructura en el ambiente de adquisición y desarrollo? en un solo repositorio y es facil porque toda
1,00
la empresa se actualiza, en los cambios de
versiones es igual.
105
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
CONTROL
DOMINIO
PROCESO
1.- ¿Se desarrolla un plan donde se identifique todos los aspectos No cuentan con un plan, A nivel de aplicativos
técnicos, la capacidad de operación y los niveles de servicio requeridos se hace manual de usuarios y manual tecnico,
Desarrollar estrategia para que la solución sea
AI4.1 - Plan para Soluciones de Operación.

en las aplicaciones? se esta trabajando en una base de
conocimiento en un servidor para en caso de 0,50
Desarrollar un plan para identificar y documentar todos los ausencia todos tengan acceso y puedan
aspectos técnicos, la capacidad de operación y los niveles de solucionar cualquier inconveniente que
servicio requeridos, de manera que todos los interesados normalmente lo haría la persona ausente.
operativa.
puedan tomar la responsabilidad oportunamente por la 2.- ¿Se desarrolla un plan donde se documente todos los aspectos Si, ver respuesta anterior.
producción de procedimientos de administración, de usuario técnicos, la capacidad de operación y los niveles de servicio requeridos 0,50
y operativos, como resultado de la introducción o en las aplicaciones?
actualización de sistemas automatizados o de 3.- ¿Se desarrolla un plan donde se identifique todos los aspectos Si, ver respuesta anterior.
infraestructura. técnicos, la capacidad de operación y los niveles de servicio requeridos 0,50
en la infraestructura?
4.- ¿Se desarrolla un plan donde se documente todos los aspectos Si, ver respuesta anterior.
técnicos, la capacidad de operación y los niveles de servicio requeridos 0,50
en la infraestructura?
1.- ¿Se transfiere el conocimiento de los sistemas a la gerencia de la Se entrega en forma general a la gerencia lo
empresa? que es beneficio. Si se entrega, el plan
1,00
AI4.2 - Transferencia de Conocimiento a la Gerencia del Negocio.
estrategico de sistemas está hecho en base al

Desarrollar metodología de transferencia de conocimiento.
plan estratégico de la empresa.

2.- ¿Se transfiere el conocimiento de los datos de la aplicación a la Si.
1,00
gerencia de la empresa?
3.- ¿Se incluye en la transferencia del conocimiento la aprobación de Siguen la linea de Holding Dine pero basadas
Transferir el conocimiento a la gerencia de la empresa para acceso de las aplicaciones e infraestructura? en las necesidades de Empresa. Cada 15 días,
permitirles tomar posesión del sistema y los datos y ejercer se le informa a la GG sobre equipos, permisos 1,00
la responsabilidad por la entrega y calidad del servicio, del para inversión. proyectos, permisos para
control interno, y de los procesos administrativos de la ciertos privilegios.
AI4 - Facilitar la operación y el uso.
aplicación. La transferencia de conocimiento incluye la 4.- ¿Se incluye en la transferencia del conocimiento la administración de Si.
1,00
aprobación de acceso, administración de privilegios, privilegios de las aplicaciones e infraestructura?
segregación de tareas, controles automatizados del negocio, 5.- ¿Se incluye en la transferencia del conocimiento la segregación de Si.
1,00
respaldo/recuperación, seguridad física y archivo de la tareas de las aplicaciones e infraestructura?
documentación fuente. 6.- ¿Se incluye en la transferencia del conocimiento los controles Si.
1,00
automatizados del negocio de las aplicaciones e infraestructura?
7.- ¿Se incluye en la transferencia del conocimiento el Si.
1,00
respaldo/recuperación de las aplicaciones e infraestructura?
8.- ¿Se incluye en la transferencia del conocimiento la seguridad física de Si.
1,00
las aplicaciones e infraestructura?
9.- ¿Se incluye en la transferencia del conocimiento el archivo de la Si.
1,00
documentación fuente de las aplicaciones e infraestructura?
A Transferencia de conocimiento y habilidades para permitir 1.- ¿Se mejora la transferencia de conocimiento para permitir que los Si realizan a traves de la capacitacion del jefe
resultados del entrenamiento
y ampliar la documentación
procedimiento del usuario
que los usuarios finales utilicen con efectividad y eficiencia usuarios finales utilicen con efectividad y eficiencia el sistema de y el a su vez transmite al resto del personal. 1,00
D
Conocimiento a Usuarios
AI4.3 - Transferencia de
Desarrollar manuales de
el sistema de aplicación como apoyo a los procesos del aplicación como apoyo a los procesos del negocio?
como se requiera.
final. * Evaluar los
negocio. La transferencia de conocimiento incluye el 2.- ¿Se mejora las habilidades para permitir que los usuarios finales Si.
Q
Finales.
desarrollo de un plan de entrenamiento que aborde al utilicen con efectividad y eficiencia el sistema de aplicación como apoyo 1,00
U entrenamiento inicial y al continuo, así como el desarrollo de a los procesos del negocio.?
habilidades, materiales de entrenamiento, manuales de 3.- ¿Se incluye en la transferencia de conocimiento el desarrollo de un Si realizan en linea via remota con virtual
I usuario, manuales de procedimiento, ayuda en línea,
asistencia a usuarios, identificación del usuario clave, y
plan de entrenamiento? network conection , manuales
usuario,procedimiento no, asistencia a
de
1,00
R evaluación. usuarios y son dadas por el personal de TI.

1.- ¿Se capacita al personal de operaciones en relación a las aplicaciones Se lo hace de forma verbal, no hay
I e infraestructura atendiendo a los requerimientos de los usuarios de procedimientos. Estan retomando o queriendo
0,50
operaciones y personal de soporte. * Desarrollar y dar
manera efectiva y eficiente? formalizar el proceso estableciendo el

R
AI4.4 - Transferencia de Conocimiento al Personal de
Desarrollar documentación de soporte técnica para
procedimiento.
2.- ¿Se capacita al personal técnico en relación a las aplicaciones e Si, en parte.
infraestructura atendiendo a los requerimientos de los usuarios de 0,50
E Transferir el conocimiento y las habilidades para permitir al manera efectiva y eficiente?
Operaciones y Soporte.
personal de soporte técnico y de operaciones que entregue, 3.- ¿Se incluye en el entrenamiento inicial y continuo, el desarrollo de las Si.
1,00
apoyen y mantenga la aplicación y la infraestructura habilidades del personal de soporte técnico y de operaciones?
entrenamiento.
asociada de manera efectiva y eficiente de acuerdo a los 4.- ¿Se incluye en el entrenamiento inicial y continuo, los materiales de Si.
I niveles de servicio requeridos. La transferencia del entrenamiento en el desarrollo de las habilidades del personal de soporte 1,00
conocimiento debe incluir al entrenamiento inicial y técnico y de operaciones?
M continuo, el desarrollo de las habilidades, los materiales de 5.- ¿Se incluye en el entrenamiento inicial y continuo, los manuales de No.
entrenamiento, los manuales de operación, los manuales de operación en el desarrollo de las habilidades del personal de soporte 0,00
P procedimientos y escenarios de atención al usuario. técnico y de operaciones?
L 5.- ¿Se incluye en el entrenamiento inicial y continuo, los manuales de No hay procedimiento.
procedimientos en el desarrollo de las habilidades del personal de 0,00
E soporte técnico y de operaciones?
7.- ¿Se incluye en el entrenamiento inicial y continuo, los escenarios de Si.
M atención al usuario en el desarrollo de las habilidades del personal de 1,00
soporte técnico y de operaciones?
E 1.- ¿Se adquiere instalaciones para el área de TI? Si, (presupuesto) 1,00
acuerdo con las politicas
de adquisiciones a nivel
Desarrollar políticas y
2.- ¿Se adquiere hardware para el área de TI? Si.

N Desarrollar y seguir un conjunto de procedimientos y 1,00
adquisición de TI de
procedimientos de
AI5.1 - Control de
estándares consistente con el proceso general de 3.- ¿Se adquiere software para el área de TI? Si.
corporativo.
Adquisición.
1,00
T adquisiciones de la organización y con la estrategia de
adquisición para adquirir infraestructura relacionada con TI,
4.- ¿Se adquiere servicios necesarios por el negocio para el área de TI? Si. 1,00
5.- ¿Se desarrolla y se sigue un conjunto de procedimientos y estándares No
A instalaciones, hardware, software y servicios necesarios por
consistente con el proceso general de adquisiciones de la organización?
0,00
el negocio.
R 6.- ¿Se desarrolla y se sigue un conjunto de procedimientos y estándares
consistente con la estrategia de adquisición?
No
0,00
1.- ¿Se formula un procedimiento para establecer contratos para todos los Salir a convocatoria, se define lo que se va a
proveedores? generar el contrato, las ofertas y documentos,
adicional deben presentarse a sobre cerrado,
minimo tres propuesta de oferta. Es factible
tener mas proveedores, miden la parte
social(todos los trabajadores q esten
gozando el seguro), medio ambiente(dentro de
sus proceso cumplan con el medio ambiente.) 1,00
financiera(informe de los estados de cuenta
AI5 - Adquirir recursos de TI.
balance), las ofertas pueden haber

excepciones de modificacion en ese caso el
Establecer/mantener una lista de proveedores acreditados.
AI5.2 - Administración de Contratos con Proveedores.
gerente general llega a un acuerdo con la

responsabilidad de la jefe de area, se
contacta al proveedor ganador y a los que no
ganaron igual se los comunica.
Formular un procedimiento para establecer, modificar y
2.- ¿Se formula un procedimiento para modificar contratos para todos los Si.
concluir contratos para todos los proveedores. El 1,00
proveedores?
procedimiento debe cubrir, como mínimo, responsabilidades
3.- ¿Se formula un procedimiento para concluir contratos para todos los Si.
y obligaciones legales, financieras, organizacionales, 1,00
proveedores?
documentales, de desempeño, de seguridad, de propiedad
4.- ¿El procedimiento cubre las responsabilidades y obligaciones legales? Si cumplen con todos los parametros piden
intelectual y responsabilidades de conclusión, así como
una poliza de anticipacion el 10% del valor 1,00
obligaciones (que incluyan cláusulas de penalización). Todos
del contrato.
los contratos y las modificaciones a contratos las deben
5.- ¿El procedimiento cubre las responsabilidades y obligaciones Si.
revisar asesores legales. 1,00
financieras?
1,00
organizacionales?
1,00
documentales?
8.- ¿El procedimiento cubre las responsabilidades y obligaciones de Si.
1,00
desempeño?
1,00
seguridad?
1,00
propiedad intelectual?
11.- ¿El procedimiento cubre las responsabilidades de conclusión? Si. 1,00
12.- ¿Los contratos las revisan los asesores legales? Si pero lo hacen soportando con los tecnicos
1,00
usuario o supervisores del contrato.
13.- ¿Las modificaciones a contratos las revisan los asesores legales? Si. 1,00
106
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
CONTROL
DOMINIO
PROCESO
1.- ¿Se selecciona proveedores de acuerdo a una práctica justa y formal? Si.
Proveedores.
1,00
de propuesta
Seleccionar proveedores de acuerdo a una práctica justa y
Selección de
proveedores
un proceso
de solicitud
seleccionar
a través de
Evaluar y
AI5.3 -
formal para garantizar la mejor viable y encajable según los
(RFP). 2.- ¿Se selecciona proveedores de acuerdo a una práctica formal? Si. 1,00
requerimientos especificados. Los requerimientos deben estar 3.- ¿Los requerimientos estan optimizados con las entradas de los Si.
optimizados con las entradas de los proveedores potenciales. 1,00
AI5 - Adquirir recursos de TI.
proveedores potenciales?
1.- ¿Se protege los intereses de la organización en todo los contratos de Si.
1,00
Desarrollar contratos que protejan los intereses
adquisiciones de software?
de la organización. *Realizar adquisiciones de
AI5.4 - Adquisición de Recursos de TI.
conformidad con los procedimientos
1,00
adquisiciones de recursos de desarrollo?
1,00
adquisiciones de infraestructura?
Proteger y hacer cumplir los intereses de la organización en
establecidos.
todo los contratos de adquisiciones, incluyendo los derechos 1,00

adquisiciones de servicios?
y obligaciones de todas las partes en los términos
5.- ¿Se hace cumplir los intereses de la organización en todo los contratos Si.
contractuales para la adquisición de software, recursos de 1,00
de adquisiciones de software?
desarrollo, infraestructura y servicios.
1,00
de adquisiciones de recursos de desarrollo?
1,00
de adquisiciones de infraestructura?
1,00
de adquisiciones de servicios?
1.- ¿Se maneja de manera estándar todas las solicitudes para cambios a Si se lo hace. El requerimiento llega a TI y se
AI6.1 - Estándares y Procedimientos para
para registrar, evaluar y dar prioridad en
las aplicaciones? lo resuelve en unos casos y en otros se

Desarrollar e implementar un proceso
1,00
forma consistente a las solicitdes de
contacta con el proveedor del aplicativo, le

ponen fecha de entrega y se da el soporte.
Establecer procedimientos de administración de cambio 2.- ¿Se maneja de manera estándar todas las solicitudes para cambios a Si.
1,00
formales para manejar de manera estándar todas las los procedimientos?
Cambios.
cambio.
solicitudes (incluyendo mantenimiento y parches) para 3.- ¿Se maneja de manera estándar todas las solicitudes para cambios a Si.
1,00
cambios a aplicaciones, procedimientos, procesos, los procesos?
parámetros de sistema y servicio, y las plataformas 4.- ¿Se maneja de manera estándar todas las solicitudes para cambios a Si.
1,00
fundamentales. los parámetros de sistema?
5.- ¿Se maneja de manera estándar todas las solicitudes para cambios a Si.
1,00
los servicios?
6.- ¿En las plataformas fundamentales se establecen procedimientos de No hay procedimientos.
0,00
A administración de cambio formales?
1.- ¿Se garantiza que todas las solicitudes de cambio se evalúan los Si se evalúan.
D 1,00
Impacto, Priorización y
prioridad a cambios en
Evaluar impacto y dar
AI6.2 - Evaluación de
base a las necesidades
Garantizar que todas las solicitudes de cambio se evalúan de impactos en el sistema operacional?
una estructurada manera en cuanto a impactos en el sistema 2.- ¿Se garantiza que todas las solicitudes de cambio se evalúan los Si.
Autorización.
Q
del negocio.
1,00
impactos en el sistema en su funcionalidad?
AI6 - Administrar cambios.
operacional y su funcionalidad. Esta evaluación deberá

incluir categorización y priorización de los cambios. Previo a 3.- ¿La evaluación incluye la categorización de los cambios? Si.
U la migración hacia producción, los interesados 4.- ¿La evaluación incluye la priorización de los cambios? Si.
1,00
1,00
I correspondientes autorizan los cambios. 5.- ¿Se autorizan los cambios en la migración hacia la producción de las Si. Si ellos no firman, TI no procede a realizar
1,00
aplicaciones por los interesados? los cambios.
R 1.- ¿Se establece un proceso para definir los cambios de emergencia que No hay procedimiento para emergencias.
0,00
no sigan el proceso de cambio establecido?
Garantizar que cualquier cambio
I
AI6.3 - Cambios de Emergencia.
crítico y de emergencia sigue el
2.- ¿Se establece un proceso para plantear los cambios de emergencia que No.
0,00
R no sigan el proceso de cambio establecido?
proceso aprobado.
Establecer un proceso para definir, plantear, evaluar y

3.- ¿Se establece un proceso para evaluar los cambios de emergencia que No.
autorizar los cambios de emergencia que no sigan el proceso 0,00
no sigan el proceso de cambio establecido?
de cambio establecido. La documentación y pruebas se
4.- ¿Se establece un proceso para autorizar los cambios de emergencia No.
realizan, posiblemente, después de la implantación del 0,00
E cambio de emergencia.
que no sigan el proceso de cambio establecido?
5.- ¿Se realiza la documentación después de la implantación del cambio Si.
1,00
de emergencia?
6.- ¿Se realiza las pruebas después de la implantación del cambio de Si.
I emergencia?
1,00
Establecer un sistema de seguimiento y reporte para 1.- ¿Se establece un sistema de seguimiento para mantener actualizados a No se lo hace, pero se está trabajando para
M
Seguimiento y
mantener actualizados a los solicitantes de cambio y a los los solicitantes de cambio y a los interesados relevantes? que a través del sistema ellos conozcan el
Reporte del
Estatus de
Autorizar
0,00
cambios.
Cambio.
AI6.4 -
P interesados relevantes, acerca del estatus del cambio a las

aplicaciones, a los procedimientos, a los procesos,
estado en el que se encuentra su
requerimiento.
L parámetros del sistema y del servicio y las plataformas
fundamentales.
2.- ¿Se establece un sistema de reporte para mantener actualizados a los
solicitantes de cambio y a los interesados relevantes?
No.
0,00
E 1.- ¿Se actualiza los cambios en los sistemas? Si se actualiza el sistema asociado. 1,00
relevante referente
Siempre que se implantan cambios al sistema, actualizar el

Documentación
AI6.5 - Cierre y
Administrar y
2.- ¿Se actualiza la documentación de usuario? No, a veces se lo hace y otras no 0,50
información
del Cambio.
M
diseminar la
a cambios.
sistema asociado y la documentación de usuario y

procedimientos correspondientes. Establecer un proceso de 3.- ¿Se establece un proceso de revisión para garantizar la implantación Si. Se hace una revisión presencial en la
E revisión para garantizar la implantación completa de los completa de los cambios? prueba y una vez aprobado por el usuario, se
efectua el cambio y se lo envia a produccion
1,00
cambios.
N por medio del especialista de infraestructura.
Entrenar al personal de los departamentos de usuario 1.- ¿Se entrena al personal de los departamentos de usuario afectados de No hay plan y no se los entrena pero se dan
T
revisar planes de
Entrenamiento.
acuerdo con el plan definido de entrenamiento e implantación de casa indicaciones básicas de acuerdo al 0,30
investigación.
afectados y al grupo de operaciones de la función de TI de

Construir y
AI7.1 -
acuerdo con el plan definido de entrenamiento e proyecto de sistemas? requerimiento.

A implantación y a los materiales asociados, como parte de 2.- ¿Se entrena al grupo de operaciones de la función de TI de acuerdo con No.
R cada proyecto de sistemas de la información de desarrollo,
implementación o modificación.
el plan definido de entrenamiento e implantación de cada proyecto de
sistemas?
0,30
1.- ¿Se establece un plan de pruebas basado en los estándares de la No cuentan con un plan pero si se realizan
0,50
AI7.2 - Plan de Prueba.
sálida) y la metodología
(criterio de entrada y
organización? pruebas.
estrategia de prueba
Definir y revisar una
de plan de prueba
Establecer un plan de pruebas basado en los estándares de la 2.- ¿Dentro de los estándares de la organización se definen los roles? No hay estandares. 0,00
operacional.
AI7 - Instalar y acreditar soluciones y cambios.
organización que define roles, responsabilidades, y criterios 3.- ¿Dentro de los estándares de la organización se definen las No.
0,00
de entrada y salida. Asegurar que el plan esta aprobado por responsabilidades?
las partes relevantes. 4.- ¿Dentro de los estándares de la organización se definen los criterios No.
0,00
de entrada y salida?
5.- ¿Se asegura que el plan está aprobado por las partes relevantes? Si se aprueban por las partes. 1,00
1.- ¿Se establece un plan de implantación y respaldo y vuelta atrás? Hay un cronograma de trabajo aprobado por
requirimientos de negocio
Construir y mantener un
los usuarios en el que se establece el tiempo

y técnicos y casos de
prueba para sistemas
que les va a tomar echar a andar el sistema.

AI7.3 - Plan de
repositorio de
Implantación.
acreditados.
En cuanto a respaldo no hay procedimiento

Establecer un plan de implantación y respaldo y vuelta atrás. 0,50
establecido, se lo hace de manera informal,
Obtener aprobación de las partes relevantes.
no está documentado el procedimiento. En lo
referente a base de datos y aplicativos se lo
hace pero no se documenta.
2.- ¿Se obtiene la aprobación de las partes relevantes? Si se lo hace. 1,00
1.- ¿Se define un entorno seguro de pruebas representativo del entorno de Si se asegura de no afectar el entorno. Se lo
AI7.4 - Ambiente
Definir y establecer un entorno seguro de pruebas

operaciones? hace en un ambiente de prueba y este no esta
ambiente de
pruebas de
de Prueba.
aceptación
Establecer
representativo del entorno de operaciones planeado relativo 0,50

prueba y
conducir
finales.
basado en un estandar pero si cuidan de no

a seguridad, controles internos, practicas operativos, calidad
afectar los datos.
de los datos y requerimientos de privacidad, y cargas de
2.- ¿Se establece un entorno seguro de pruebas representativo del entorno En parte.
trabajo. 0,50
de operaciones?
1.- ¿Cuentan con un Plan de conversión de datos como parte de los No tienen.
pruebas de
Conversión
conversaci
Ejecutar la
integració
Sistemas y
Plan de conversión de datos y migración de infraestructuras 0,00

ambiente
sistema y
AI7.5 -
ón del
Datos.
métodos de desarrollo de la organización?

n en
como parte de los métodos de desarrollo de la organización,

de
las
2.- ¿Cuentan con una migración de infraestructuras como parte de los No.
incluyendo pistas de auditoria, respaldo y vuelta atrás. 0,00
métodos de desarrollo de la organización?
1.- ¿Las Pruebas de cambios independientemente están de acuerdo con los No tienen plan de pruebas.
AI7.6 - Pruebas
Pruebas de cambios independientemente en acuerdo con los

ambiente de
de Cambios.
pruebas de
aceptación
planes de pruebas definidos antes de la migración al entorno de 0,00

Establecer
prueba y
conducir
finales.
planes de pruebas definidos antes de la migración al entorno operaciones?

de operaciones. Asegurar que el plan considera la seguridad 2.- ¿Se asegura que el plan de pruebas considera la seguridad? Si pero no cuentan con un plan. 0,50
y el desempeño.
3.- ¿Se asegura que el plan de pruebas considera el desempeño? Si lo hacen pero no cuentan con el plan. 0,50
107
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
CONTROL
DOMINIO
PROCESO
Asegurar que el dueño de proceso de negocio y los 1.- ¿Se asegura que el dueño de proceso de negocio evalúa los resultados No hay plan pero si lo hacen
0,50
Establecer ambiente de
pruebas de aceptación
interesados de TI evalúan los resultados de los procesos de de los procesos de pruebas como determina el plan de pruebas?
prueba y conducir
AI7.7 - Prueba de
Aceptación Final.
AI7 - Instalar y acreditar soluciones y
pruebas como determina el plan de pruebas. Remediar los 2.- ¿Se asegura que los interesados de TI evalúan los resultados de los Si se lo realiza empiricamente.
I 0,50
A procesos de pruebas como determina el plan de pruebas?
finales.
errores significativos identificados en el proceso de pruebas,

M habiendo completado el conjunto de pruebas identificadas en 3.- ¿Se remedia los errores significativos identificados en el proceso de Si.
D el plan de pruebas y cualquier prueba de regresión necesaria. pruebas?
1,00
P
Q Siguiendo la evaluación, aprobación promoción a 4.- ¿Se monitorea la evaluación de los procesos de prueba? Si. 1,00
L producción. 5.- ¿Se monitorea la aprobación de los procesos de prueba? Si. 1,00
U
E
cambios.
Seguimiento a pruebas, controlar la entrega de los sistemas 1.- ¿Se controla la entrega de los sistemas cambiados a operaciones, Si.
producción con base
I 1,00
AI7.8 - Promoción a
manteniéndolo en línea con el plan de implantación.?

en los criterios de
M cambiados a operaciones, manteniéndolo en línea con el plan

Recomendar la
convenidos.
Producción.
acreditación
R
liberación a
de implantación. Obtener la aprobación de los interesados 2.- ¿Se obtiene la aprobación de los interesados clave, tales como Si.
E clave, tales como usuarios, dueño de sistemas y gerente de usuarios, dueño de sistemas y gerente de operaciones cuando sea 1,00
I apropiado?
N operaciones. Cuando sea apropiado, ejecutar el sistema en
R paralelo con el viejo sistema por un tiempo, y comparar el 3.- ¿Se ejecuta el sistema en paralelo con el viejo sistema por un tiempo? Si. 1,00
T comportamiento y los resultados. 4.- ¿Se compara el comportamiento y los resultados? Si. 1,00
A 1.- ¿Se establece procedimientos en línea con los estándares de gestión de No cuentan con un software. Cuando el
E
Implantación.
Establecer procedimientos en línea con los estándares de

Posterior a la
ambiente de
pruebas de
aceptación
Establecer
R cambios organizacionales? usuario presenta inconvenientes y lo reporta, 0,50

prueba y
conducir
Revisión
AI7.9 -
finales.
gestión de cambios organizacionales para requerir una

lo atienden.
revisión posterior a la implantación como conjunto de salida
2.- ¿Se requiere una revisión posterior a la implantación como conjunto Si se hace.
en el plan de implementación. 1,00
de salida en el plan de implementación?
1.- ¿El marco de trabajo brinda un proceso formal de administración de Si existen pero no es formal. Se tiene pensado
niveles de servicio entre el cliente y el prestador de servicio? implementar ITIL para realizar procesos de
Crear un marco de trabajo para los servicios de
DS1.1 - Marco de Trabajo de la Administración
Definir un marco de trabajo que brinde un proceso formal de

0,50
administración de niveles de servicio entre el cliente y el mejora, ya que las áreas no estan conformes
prestador de servicio. El marco de trabajo mantiene una con el resultado.
alineación continua con los requerimientos y las prioridades 2.- ¿El marco de trabajo mantiene una alineación continua con los No cuentan con un marco de trabajo.
de los Niveles de Servicio.
0,00
de negocio y facilita el entendimiento común entre el cliente y requerimientos y las prioridades de negocio?
el(los) prestador(es) de servicio. El marco de trabajo incluye 3.- ¿El marco de trabajo facilita el entendimiento común entre el cliente y No cuentan con un marco de trabajo.
0,00
procesos para la creación de requerimientos de servicio, el(los) prestador(es) de servicio?
TI.
definiciones de servicio, acuerdos de niveles de servicio 4.- ¿El marco de trabajo incluye procesos para la creación de No cuentan con marco de trabajo pero si con
0,50
(SLAs), acuerdos de niveles de operación (OLAs) y las fuentes requerimientos de servicio? SLAs.
de financiamiento. Estos atributos están organizados en un 5.- ¿El marco de trabajo mantiene acuerdos de niveles de servicio (SLAs), No cuentan con Marco de Trabajo.
0,25
catálogo de servicios. El marco de trabajo define la acuerdos de niveles de operación (OLAs) y las fuentes de financiamiento?
estructura organizacional para la administración del nivel de 6.- ¿El marco de trabajo define la estructura organizacional para la No cuentan con Marco de Trabajo.
servicio, incluyendo los roles, tareas y responsabilidades de administración del nivel de servicio incluyendo los roles, tareas y
los proveedores externos e internos y de los clientes. 0,00
responsabilidades de los proveedores externos e internos y de los
clientes?
DS1 – Definir y administrar los niveles de servicio
1.- ¿Se definen los servicios de TI sobre las características del servicio y
Si lo definen. Tienen un sofware de soporte
Definiciones base de los servicios de TI sobre las
servicios de TI.
Definición de
Construir un
los requerimientos de negocio? donde registran en base de datos los

catálogo de
características del servicio y los requerimientos de negocio,

Servicios.
DS1.2 -
requerimientos de los usuarios así como los

organizados y almacenados de manera centralizada por 1,00
problemas que ellos detectan. Hacen
medio de la implantación de un enfoque de
E catálogo/portafolio de servicios.
seguimiento de cada registro y de las
soluciones y sacan reportes.
N Definir y acordar convenios de niveles de servicio para todos 1.- ¿Existen acuerdos de convenios de niveles de servicio para todos los 1.- No existe un acuerdo de niveles de servicio
Definir los convenios de niveles de
procesos críticos de TI? con el usuario, si cuentan con SLAs

DS1.3 - Acuerdos de Niveles de
servicio (SLAs) para los servicios
T los procesos críticos de TI con base en los requerimientos del

cliente y las capacidades en TI. Esto incluye los compromisos implementado por el especialista en
aplicaciones, pero falta implementar los
R del cliente, los requerimientos de soporte para el servicio,
críticos de TI.
métricas cualitativas y cuantitativas para la medición del parámetros al 100%. Esto está en proyecto.
Servicio.
E servicio firmado por los interesados, en caso de aplicar, los 0,50

arreglos comerciales y de financiamiento, y los roles y
G responsabilidades, incluyendo la revisión del SLA. Los puntos
a considerar son disponibilidad, confiabilidad, desempeño,
A capacidad de crecimiento, niveles de soporte, planeación de
continuidad, seguridad y restricciones de demanda.
R 1.- ¿Se asegura que los acuerdos de niveles de operación expliquen cómo Se lo hace pero sin considerar ningún
DS1.4 - Acuerdos de
operación (OLAs)
Asegurar que los acuerdos de niveles de operación expliquen

para soportar las
serán entregados técnicamente los servicios para soportar el (los) SLA(s) estandar. 0,50
convenios de
Operación.
Niveles de
Definir los
cómo serán entregados técnicamente los servicios para

niveles de
de manera óptima?
Y
SLAs.
soportar el (los) SLA(s) de manera óptima. Los OLAs 2.- ¿Los OLAs especifican los procesos técnicos en términos entendibles No en su totalidad, solo una parte.
0,50
especifican los procesos técnicos en términos entendibles para el proveedor?
para el proveedor y pueden soportar diversos SLAs. 3.- ¿Los OLAs pueden soportar diversos SLAs? No tecnicamente, los soportan empíricamente.
0,50
D 1.- ¿Se monitorean continuamente los criterios de desempeño No se monitorean, sólo en el sistema se
Monitorear continuamente los criterios de desempeño 0,50
Monitorear y reportar
DS1.5 - Monitoreo y
A
Cumplimento de los
actualizar el catálago
especificados para el nivel de servicio? verifican los nuevos requerimientos.

Niveles de Servicio.
servicio de punta a
de servicios de TI.
el desempeño del
punta. *Revisar y
especificados para el nivel de servicio. Los reportes sobre el

2.- ¿Los reportes sobre el cumplimiento de los niveles de servicio se Por ahora si, desde hace dos meses se emiten
Reporte del
cumplimiento de los niveles de servicio deben emitirse en un

R formato que sea entendible para los interesados. Las
emiten en un formato que sea entendible para los interesados? informes pero los responsabes no ingresan 1,00
información.
estadísticas de monitoreo son analizadas para identificar
3.- ¿Las estadísticas de monitoreo son analizadas para identificar Todavia no.
tendencias positivas y negativas tanto de servicios
tendencias positivas y negativas tanto de servicios individuales como de 0,00
S individuales como de los servicios en conjunto.
los servicios en conjunto?
1.- ¿Se revisan regularmente con los proveedores internos los acuerdos de No, una parte con los proveedores externos
O Revisar regularmente con los proveedores internos y externos
DS1.6 - Revisión de
y de los Contratos.
Niveles de Servicio
0,50
plan de mejora de
apoyo. *Crear un
Revisar los SLAs y
los Acuerdos de
los contratos de
los acuerdos de niveles de servicio y los contratos de apoyo, los niveles de servicio y los controles de apoyo? pero no formalmente.
servicios.
P para asegurar que son efectivos, que están actualizados y que 2.- ¿Se revisan regularmente con los proveedores externos los acuerdos de En parte.
se han tomado en cuenta los cambios en requerimientos, los niveles de servicio y los controles de apoyo?
O para asegurar que son efectivos, que están actualizados y que
0,50
se han tomado en cuenta los cambios en requerimientos.
R 1.- ¿Se identifican todos los servicios de los proveedores? Si, pero falta estructurar. Tener una sola
Identificar y categorizar las
T
relaciones de los servicios
DS2.1 - Identificación de
matriz de tal forma que una persona pueda

Todas las Relaciones con
Identificar todos los servicios de los proveedores, y 0,50

saber a quien llamar cuando se presente un
DS2 – Administrar los servicios de terceros
Proveedores.
E categorizar los de acuerdo al tipo de proveedor, significado y

de terceros.
inconveniente.
criticidad. Mantener documentación formal de relaciones
2.- ¿Se categorizan los de acuerdo al tipo de proveedor, significado y No.
técnicas y organizacionales que cubren los roles y 0,00
criticidad?
responsabilidades, metas, entregables esperados, y
3.- ¿Se mantiene una documentación formal de relaciones técnicas? No. 0,00
credenciales de los representantes de estos proveedores.
4.- ¿Se mantiene una documentación formal de relaciones No hay.
0,00
organizacionales?
1.- ¿Se formaliza el proceso de gestión de relaciones con proveedores para
Habría que revisar el requerimento de
cada proveedor? calificación de proveedores. Logistica debe de
Definir y documentar los procesos de
evaluar los proveedores, lo maneja a traves

DS2.2 - Gestión de Relaciones con
administración del proveedor.
del correo electrónico o por llamadas

telefónicas y si hay problemas tratan de
Formalizar el proceso de gestión de relaciones con hablar con el gerente. Cuando es un nuevo 1,00
Proveedores.
proveedores para cada proveedor. Los dueños de las proveedor en el sistema BAAN se almacena
relaciones deben enlazar las cuestiones del cliente y los datos del proveedor, caso contrario por
proveedor y asegurar la calidad de las relaciones basadas en internet, otra opción es por paginas amarillas
la confianza y transparencia. (Ej.: a través de SLAs). o contactar a través de otros amigos de otras
empresas.
2.- ¿Los dueños de las relaciones enlazan las cuestiones del cliente y Si.
1,00
proveedor?
3.-¿aseguran la calidad de las relaciones basadas en la confianza y Si.
1,00
transparencia?
108
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
CONTROL
DOMINIO
PROCESO
1.- ¿Se identifican los riesgos relacionados con la habilidad de los No se tienen identificados los riesgos a pesar
proveedores para mantener un efectivo servicio de entrega de forma de que se tiene la matriz de riesgo. Si está
*Monitore plazo de la relación del servicio para todos los interesados.
suspensión de proveedores. *Evaluar las metas de largo
segura sobre una base de continuidad? estipulado cuando se califica al proveedor,

DS2 – Administrar los servicios de terceros
Establecer políticas y procedimientos de evaluación y
0,00
DS2.3 - Administración de Riesgos del Proveedor.

pero cuando hay urgencias el plazo de
entrega es de 2 dias. Cuando es importación
Identificar y mitigar los riesgos relacionados con la
depende del producto.
habilidad de los proveedores para mantener un efectivo
2.- ¿Se aseguran que los contratos están de acuerdo con los Si porque existe un proceso para la
servicio de entrega de forma segura y eficiente sobre una
requerimientos legales de los estándares universales del negocio? elaboración de contratos donde interviene el 1,00
base de continuidad. Asegurar que los contratos están de
departamento Legal y TI.
acuerdo con los requerimientos legales y regulatorios de los
3.- ¿La administración del riesgo considera acuerdos de confidencialidad No.
estándares universales del negocio. La administración del 0,00
(NDAs)?
riesgo debe considerar además acuerdos de confidencialidad
4.- ¿La administración del riesgo considera los contratos de garantía? Si. 1,00
(NDAs), contratos de garantía, viabilidad de la continuidad
del proveedor, conformidad con los requerimientos de 5.- ¿La administración del riesgo considera la viabilidad de la Si.
1,00
seguridad, proveedores alternativos, penalizaciones e continuidad del proveedor?
incentivos, etc. 6.- ¿La administración del riesgo considera la conformidad con los Si.
1,00
requerimientos de seguridad?
7.- ¿La administración del riesgo considera a los proveedores En el plan de contingencia no se ha hecho
0,50
alternativos? mucho incapié con los proveedores.
8.- ¿La administración del riesgo considera las penalizaciones e Si.
1,00
incentivos?
Establecer un proceso para monitorear la prestación del 1.- ¿Se establece un proceso para monitorear la prestación del servicio del No.
proveedor.
Proveedor.
Monitoreo
Desempeñ
Identificar,
riesgos del
prestación
mitigar los
0,00
valorar y
DS2.4 -
servicio para asegurar que el proveedor está cumpliendo con proveedor?

o del
ar la
del
del
los requerimientos del negocio actuales y que se adhiere 2.- ¿Se aseguran que el proveedor está cumpliendo con los requerimientos Si.
1,00
continuamente a los acuerdos del contrato y a SLAs, y que el del negocio?
1.- ¿Se establece un proceso de planeación para la revisión del Si se establece. (Especialista en Soporte).
1,00
Establecer un proceso de planeación para la revisión del desempeño?
desempeño y la capacidad de
Planeación para la revisión del
Desempeño y la Capacidad.
Establecer un proceso de
desempeño y la capacidad de los recursos de TI, para 2.- ¿Se establece un proceso de planeación para la revisión de la Si. Se esta haciendo diagnóstico de redes,
DS3.1 - Planeación del
1,00
los recursos de TI.
asegurar la disponibilidad de la capacidad y del desempeño, capacidad de los recursos de TI? Base de Datos, Sistema Operativo.
con costos justificables, para procesar las cargas de trabajo 3.- ¿Los planes de capacidad y desempeño hacen uso de técnicas de Indirectamente si aprovechan los recursos y
acordadas tal como se determina en los SLAs. Los planes de modelo apropiadas para producir un modelo de desempeño, de capacidad metodologias de los proveedores, se basan en
capacidad y desempeño deben hacer uso de técnicas de de los recursos de TI, tanto actual como pronosticado? tècnicas apropiadas. Cada especialista de la
modelo apropiadas para producir un modelo de desempeño, Empresa de Producción interactúa con los 0,50
E de capacidad y de desempeño de los recursos de TI, tanto

actual como pronosticado.
expertos del mercado para integrar a los
procesos normales las mejores tecnicas
N vigentes.
Revisar la capacidad y desempeño actual de los recursos de 1.- ¿Se revisa el desempeño actual de los recursos de TI en intervalos Se los revisa pero no hay formato o
Desempeño
los recursos
desempeño
Capacidad y
T
capacidad
actiual de
Revisar el
DS3.2 -
TI en intervalos regulares para determinar si existe suficiente regulares? documento, solo se lo hace como una función
Actual.
DS3 – Administrar el desempeño y la capacidad
de TI.
y la
de la persona a cargo. 0,00

capacidad y desempeño para prestar los servicios con base
R en los niveles de servicio acordados.
E Llevar a cabo un pronóstico de desempeño y capacidad de los

1.- ¿Se lleva a cabo un pronóstico de desempeño de los recursos de TI en No se hace,
0,00
desempeño y capacidad
Realizar pronósticos de
intervalos regulares para minimizar el riesgo de interrupciones?

de los recursos de TI.
Desempeño Futuros.
DS3.3 - Capacidad y
recursos de TI en intervalos regulares para minimizar el

G riesgo de interrupciones del servicio originadas por falta de
2.- ¿Se identifican también el exceso de capacidad para una posible No.
redistribución?
0,00
capacidad o degradación del desempeño. Identificar también
A el exceso de capacidad para una posible redistribución.
3.- ¿Se identifican las tendencias de las cargas de trabajo? No. Se adquiere el equipo de acuerdo al
análisis de lo que va a hacer el usuario y sus 0,00
R Identificar las tendencias de las cargas de trabajo y
determinar los pronósticos que serán parte de los planes de
necesidades de operación.
4.- ¿Se determina los pronósticos que serán parte de los planes de No.
capacidad y de desempeño. 0,00
capacidad de desempeño?
1.- ¿Se toman en cuenta, planes de contingencias, en los ciclos de vida de Si.
Y Brindar la capacidad y desempeño requeridos tomando en 1,00
disponibilidad de recursos de
contingencia respecto a una
cuenta aspectos como cargas de trabajo normales, los recursos de TI?

DS3.4 - Disponibilidad de
contingencias, requerimientos de almacenamiento y ciclos de 2.- ¿La empresa garantiza que los planes de contingencia son El plan de contingencia existe pero falta la
Realizar un plan de
falta potencial de
Recursos de TI.
vida de los recursos de TI. Deben tomarse medidas cuando el considerados de forma apropiada sobre los recursos individuales de TI? implementación, solo está escrito. Falta
D desempeño y la capacidad no están en el nivel requerido, inversión que permita la implementación.
TI.
tales como dar prioridad a las tareas, mecanismos de

A tolerancia de fallas y prácticas de asignación de recursos. La
0,00
gerencia debe garantizar que los planes de contingencia
R consideran de forma apropiada la disponibilidad, capacidad
y desempeño de los recursos individuales de TI.
1.- ¿Monitorean continuamente el desempeño de los recursos de TI? No se lo hace, solo cada dos años para la
Monitorear continuamente el desempeño y la capacidad de
S
continuamente la disponibilidad, el
renovacion de equipos según la politica de la

desempeño y la capacidad de los
DS3.5 - Monitoreo y Reporte.
los recursos de TI. La información reunida sirve para dos

empresa.
propósitos:
O
Monitorear y reportar
• Mantener y poner a punto el desempeño actual dentro de TI

recursos de TI.
P y atender temas como elasticidad, contingencia, cargas de

trabajo actuales y proyectadas, planes de almacenamiento y 0,50
O adquisición de recursos.
• Para reportar la disponibilidad hacia el negocio del
R servicio prestado como se requiere en los SLAs.
Acompañar todos los reportes de excepción con
T recomendaciones para acciones correctivas
E Desarrollar un marco de trabajo de continuidad de TI para

1.- ¿La empresa desarrolla un marco de trabajo de continuidad de TI? Si lo hacen por medio del presupesto.
Desarrollar un marco de trabajo de continuidad de TI.
soportar la continuidad del negocio con un proceso

DS4.1 - Marco de Trabajo de Continuidad de TI.
consistente a lo largo de toda la organización. El objetivo del

marco de trabajo es ayudar en la determinación de la
resistencia requerida de la infraestructura y de guiar el
desarrollo de los planes de recuperación de desastres y de
DS4 – Garantizar la continuidad del servicio
contingencias. El marco de trabajo debe tomar en cuenta la

estructura organizacional para administrar la continuidad,
la cobertura de roles, las tareas y las responsabilidades de 1,00
los proveedores de servicios internos y externos, su
administración y sus clientes; así como las reglas y
estructuras para documentar, probar y ejecutar la
recuperación de desastres y los planes de contingencia de TI.
El plan debe también considerar puntos tales como la
identificación de recursos críticos, el monitoreo y reporte de
la disponibilidad de recursos críticos, el procesamiento
alternativo y los principios de respaldo y recuperación.
Desarrollar planes de continuidad de TI con base en el marco 1.- ¿La empresa desarrolla planes de continuidad de TI con base en el No.
planes de continuidad de
Desarrollar y mantener
de trabajo, diseñado para reducir el impacto de una marco de trabajo, diseñado para reducir el impacto de una interrupción
Continuidad de TI.
DS4.2 - Planes de
interrupción mayor de las funciones y los procesos clave del mayor de las funciones?
negocio. Los planes deben considerar requerimientos de
resistencia, procesamiento alternativo, y capacidad de 0,00
TI.
recuperación de todos los servicios críticos de TI. También

deben cubrir los lineamientos de uso, los roles y
responsabilidades, los procedimientos, los procesos de
comunicación y el enfoque de pruebas.
Centrar la atención en los puntos determinados como los más 1.- ¿Existen puntos determinados en el plan de continuidad de TI? Falta identificar los puntos críticos, elaborar
DS4.3 - Recursos
0,00
Críticos de TI.
valoración de
críticos en el plan de continuidad de TI, para construir los procedimentos y difundirlos.

Realizar un
impacto al
negocio y
análisis de
riesgo.
resistencia y establecer prioridades en situaciones de 2.- ¿Los puntos determinados en el plan construyen resistencia Si lo tienen pero está incompleto, pero si
0,00
recuperación. Evitar la distracción de recuperar los puntos estableciendo prioridades en situaciones de recuperacion? estan conscientes que se debe hacer.
menos críticos y asegurarse de que la respuesta y la 3.- ¿Se considera los requerimientos de resistencia, respuesta y Si, en el plan de contingencia, pero el plan no
0,00
recuperación están alineadas con las necesidades recuperación para diferentes niveles de prioridad? esta implantado.
109
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
CONTROL
DOMINIO
PROCESO
1.- ¿Se ejecutan procedimientos de control de cambios, para asegurar que Si , se lo hace desde el Holding.
DS4.4 - Mantenimiento
Exhortar a la gerencia de TI a definir y ejecutar
base a los objetivos de
procedimientos de control de cambios, para asegurar que el el plan de continuidad de TI se mantenga actualizado?
recursos de TI con
Continuidad de TI.
recuperación.
categorizar los
Identificar y
del Plan de
plan de continuidad de TI se mantenga actualizado y que
refleje de manera continua los requerimientos actuales del 1,00
negocio. Es esencial que los cambios en los procedimientos y
las responsabilidades sean comunicados de forma clara y
oportuna.
Probar el plan de continuidad de TI de forma regular para 1.- ¿Se prueba el plan de continuidad de TI de forma regular para asegurar No hay plan de continuidad, en el manual de
plan de continuidad sea vigente.
procedimientos de control de
que los sistemas de TI pueden ser recuperados de forma efectiva? procedimiento están descritas las funciones
cambios para asegurar que el
DS4.5 - Pruebas del Plan de
asegurar que los sistemas de TI pueden ser recuperados de

forma efectiva, que las deficiencias son atendidas y que el de cada uno y en base a eso se garantiza la
Continuidad de TI.
Definir y ejecutar
plan permanece aplicable. Esto requiere una preparación continuidad.

cuidadosa, documentación, reporte de los resultados de las
0,50
pruebas y, de acuerdo con los resultados, la implementación
de un plan de acción. Considerar el alcance de las pruebas de
recuperación en aplicaciones individuales, en escenarios de
pruebas integrados, en pruebas de punta a punta y en
pruebas integradas con el proveedor.
1.- ¿Se asegura de que todos las partes involucradas reciban sesiones de No.
habilitación de forma regular respecto a los procesos en caso de incidente 0,00
DS4.6 - Entrenamiento del Plan de
Probar regularmente el plan de
o desastre?
2.- ¿Se asegura de que todos las partes involucradas reciban sesiones de No.
Asegurarse de que todos las partes involucradas reciban
Continuidad de TI.
continuidad de TI.
habilitación de forma regular respecto a sus roles en caso de incidente o 0,00

sesiones de habilitación de forma regular respecto a los
desastre?
procesos y sus roles y responsabilidades en caso de
3.- ¿Se asegura de que todos las partes involucradas reciban sesiones de Si, cada encargado sabe de sus
incidente o desastre. Verificar e incrementar el entrenamiento
habilitación de forma regular respecto a las responsabilidades en caso de responsabilidades. 1,00
de acuerdo con los resultados de las pruebas de
incidente o desastre?
contingencia.
4.- ¿Se verifica el entrenamiento de acuerdo con los resultados de las No se hacen pruebas de contingencia.
0,00
pruebas de contingencia?
5.- ¿Se incrementa el entrenamiento de acuerdo con los resultados de las No.
0,00
pruebas de contingencia?
1.- ¿Existe una estrategia de distribución definida y administrada para No tienen, sólo se hacen reuniones periódicas
DS4.7 - Distribución
Determinar que existe una estrategia de distribución definida

Desarrollar un plan
ón de los Continuidad de TI.

de acción a seguir
asegurar que los planes se distribuyan de manera segura? con el Departamento de Desarrollo
resultados de las
con base en los
y administrada para asegurar que los planes se distribuyan

E
del Plan de
Organizacional y se reporta a Gerencia

pruebas.
de manera apropiada y segura y que estén disponibles entre

General. Tiene que estar apegado al plan 0,50
las partes involucradas y autorizadas cuando y donde se
N requiera. Se debe prestar atención en hacerlos accesibles
estratégico de la empresa, si no es así no se lo
hace. Hay áreas definidas para cada
T bajo cualquier escenario de desastre.
actividad.
Planear las acciones a tomar durante el período en que TI 1.- ¿Se planean las acciones a tomar durante el período en que TI está Si se lo hace pero de manera emergente, solo
R
Recuperaci
continuida
Reanudaci
0,50
planes de
capacitaci
ón sobre
Servicios
Planear y
DS4.8 -
d de TI.
llevar a
está recuperando y reanudando los servicios. Esto puede recuperando y reanudando los servicios? cuando ocurre.
de TI.
cabo
ón y
representar la activación de sitios de respaldo, el inicio de 2.- ¿Se aseguran que los responsables del negocio entiendan los tiempos No.
E procesamiento alternativo, la comunicación a clientes y a los de recuperación de TI?
0,00
G Almacenar fuera de las instalaciones todos los medios de 1.- ¿Se almacena fuera de las instalaciones todos los medios de respaldo No.
0,00
DS4.9 - Almacenamiento de Respaldos Fuera de
respaldo, documentación y otros recursos de TI críticos,

para llevar a cabo revisiones post reanudación.
servicios de TI. *Establecer los procedimientos
para los planes de continuidad del negocio?

Planear la recuperación y reanudación de los
A necesarios para la recuperación de TI y para los planes de

continuidad del negocio. El contenido de los respaldos a
2.- ¿El respaldo de la informacion se realiza bajo la politica del contenido Si se hacen en los respaldos del sistema.
de los respaldos a almacenar se determinan en conjunto entre los Diarios de la base de datos y con los
1,00
R almacenar debe determinarse en conjunto entre los responsables del negocio y el personal de TI? respaldos semestrales de la información de
responsables de los procesos de negocio y el personal de TI. cada usuario.
las Instalaciones.
La administración del sitio de almacenamiento externo a las 3.- ¿La administración del sitio de almacenamiento externo a las No tienen.
instalaciones, debe apegarse a la política de clasificación de instalaciones, está apegada a la política de almacenamiento de datos de 0,00
Y datos y a las prácticas de almacenamiento de datos de la la empresa?
empresa. La gerencia de TI debe asegurar que los acuerdos 4.- ¿La gerencia de TI se asegura que los acuerdos con sitios externos sean No.
0,00
con sitios externos sean evaluados periódicamente, al menos evaluados periódicamente?
D una vez por año, respecto al contenido, a la protección 5.- ¿Se aseguran de la compatibilidad del hardware y del software para Si, pero falta implementar la política de
ambiental y a la seguridad. Asegurarse de la compatibilidad poder recuperar los datos archivados y periódicamente probar y renovar renovar y probar.
A del hardware y del software para poder recuperar los datos los datos archivados?
archivados y periódicamente probar y renovar los datos
0,50
R archivados.
Una vez lograda una exitosa reanudación de las funciones de 1.-¿La gerencia de TI ha establecido procedimientos para valorar lo Se está implementando.
protección
Definir, establecer implement
administración de miento y la
la Seguridad de TI. Reanudaci

respaldos.
Planear e
almacena
DS4.10 -
Revisión
TI después de un desastre, determinar si la gerencia de TI ha adecuado del plan?

Post
ar el
ón.
0,50
de
establecido procedimientos para valorar lo adecuado del

S plan y actualizar el plan en consecuencia.
O 1.- ¿El nivel apropiado de seguridad de TI dentro de la organización esta No, falta implementar bastante. Se cambió
de Seguridad Administración de
Administrar la seguridad de TI al nivel más alto apropiado en linea sobre los requerimientos del negocio? todas las configuraciones de los ruteadores,
y operar un
proces de
(cuentas).
identidad
P
DS5.1 -
dentro de la organización, de manera que las acciones de se lleva registro de todos los que se están
0,30
administración de la seguridad estén en línea con los conectando, hicieron un estudio (Sliced cord,
O requerimientos del negocio. Deloitte, proporcionaron una matriz para
implementar las seguridades. y controles).
R Trasladar los requerimientos de negocio, riesgos y 1.- ¿Los requerimientos del negocio dentro de un plan de seguridad de TI Si.
mantener un
seguridad de
DS5.2 - Plan
cumplimiento dentro de un plan de seguridad de TI completo, se trasladan teniendo en consideracion la infraestructura de TI en cuanto 1,00
T
Definir y
plan de
de TI.
teniendo en consideración la infraestructura de TI y la a la seguridad?

TI.
E cultura de seguridad. Asegurar que el plan esta implementado

en las políticas y procedimientos de seguridad junto con las
2.- ¿El plan de seguridad de TI esta implementado en las políticas de No hay plan.
procedimientos de seguridad?
0,00
Asegurar que todos los usuarios (internos, externos y 1.- ¿Los usuarios y su actividad en TI son identificados de manera unica? Si.
DS5 – Garantizar la seguridad de los sistemas
*El usuario se identifica a través de mecanismos de autenticación? 1,00

temporales) y su actividad en sistemas de TI (aplicación de
negocio, entorno de TI, operación de sistemas, desarrollo y 2.- ¿Se confirma que los permisos de acceso del usuario al sistema están Si.
Monitorear incidentes de seguridad, reales y
1,00
mantenimiento) deben ser identificables de manera única. en línea con las necesidades del negocio?
DS5.3 - Administración de Identidad.
Permitir que el usuario se identifique a través de mecanismos 3.- ¿Se asegura que los derechos de acceso del usuario se solicitan por la Si.
de autenticación. Confirmar que los permisos de acceso del gerencia del usuario para ser aprobados por el responsable del sistema? 1,00
usuario al sistema y los datos están en línea con las
necesidades del negocio definidas y documentadas y que los 4.- ¿Las identidades del usuario y los derechos de acceso se mantienen en Cada aplicativo tiene su administrador. El
potenciales.
requerimientos de trabajo están adjuntos a las identidades un repositorio central? administrador del aplicativo maneja las
del usuario. Asegurar que los derechos de acceso del usuario seguridades, el adminstrador de Base de
1,00
se solicitan por la gerencia del usuario, aprobados por el Datos las seguridades a nivel de BD., y el
responsable del sistema e implementado por la persona Administrador de comunicaciones el acceso a
responsable de la seguridad. Las identidades del usuario y la red.
los derechos de acceso se mantienen en un repositorio 5.- ¿Se despliegan técnicas efectivas en procedimientos rentables, que se No lo tienen.
central. Se despliegan técnicas efectivas en coste y mantienen actualizados para establecer la identificación del usuario?
procedimientos rentables, y se mantienen actualizados para 0,00
establecer la identificación del usuario, realizar la
autenticación y habilitar los derechos de acceso.
Garantizar que la solicitud, establecimiento, emisión, 1.- ¿Los privilegios relacionados con la creacion de cuentas de usuarios, Es uno de los puntos a mejorar, actualmente
suspensión, modificación y cierre de cuentas de usuario y de son tomados en cuenta por un conjunto de procedimientos de la gerencia se hace a través de los procedimientos de
DS5.4 - Administración de Cuentas del
privilegios y derechos de acceso de los
los privilegios relacionados, sean tomados en cuenta por un de cuentas de usuario? soporte. No hay manual de usuario. No hay
Revisar y validar periódicamente los
conjunto de procedimientos de la gerencia de cuentas de criterios para creación de usuario. Falta

usuario. Debe incluirse un procedimiento de aprobación que trabajar en esto.
describa al responsable de los datos o del sistema otorgando
usuarios.
Usuario.
los privilegios de acceso. Estos procedimientos deben

0,00
aplicarse a todos los usuarios, incluyendo administradores
(usuarios privilegiados), usuarios externos e internos, para
casos normales y de emergencia. Los derechos y obligaciones
relativos al acceso a los sistemas e información de la
empresa deben acordarse contractualmente para todos los
tipos de usuarios. Realizar revisiones regulares de la gestión
de todas las cuentas y los privilegios asociados.
110
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
CONTROL
DOMINIO
PROCESO
1.- ¿Se garantiza que la implementación de la seguridad en TI sea probada En un 20 %. El administrador de la red
procedimientos para mantener y
y monitoreada de forma pro-activa? monitorea como está la red, los enlaces y el
DS5.5 - Pruebas, Vigilancia y

Monitoreo de la Seguridad.
Garantizar que la implementación de la seguridad en TI sea perimetro.
Establecer y mantener
salvaguardar las llaves
probada y monitoreada de forma pro-activa. La seguridad en

criptográficas.
TI debe ser reacreditada periódicamente para garantizar que 0,20

se mantiene el nivel seguridad aprobado. Una función de
ingreso al sistema (logging) y de monitoreo permite la
detección oportuna de actividades inusuales o anormales
que pueden requerir atención.
2.- ¿La seguridad en TI se reacreditada periódicamente para garantizar Una parte lo maneja TI a través de los
1,00
que se mantiene el nivel seguridad aprobado? softwares de gestión y monitoreo y otra parte
1.- ¿Se define claramente las características de incidentes de seguridad No. Se está trabajando en el plan de
DS5.6 - Definición
para proteger el
de Incidente de
procedimientos
Implementar y
través de la red
información a
técnicos y de
Definir claramente y comunicar las características de para que puedan ser clasificados propiamente por el proceso de gestión contingencia. Si hay mal uso en la red, lo
Seguridad.
mantener
controles
flujo de
incidentes de seguridad potenciales para que puedan ser de incidentes? primero que se hace es bloquear el problema
0,00
clasificados propiamente y tratados por el proceso de gestión y comunicar al jefe y se toman medidas
de incidentes y problemas. correctivas. No hay procedimiento
establecido.
1.- ¿Se garantiza que la tecnología relacionada con la seguridad sea Si. No tienen problemas con eso a pesar de
Protección de
de Seguridad.
d de menera
la Tecnología
vulnerabilida
evaluaciones
Garantizar que la tecnología relacionada con la seguridad resistente al sabotaje? que no hay sotfware que revise cada
regular.
DS5.7 -
Realizar
sea resistente al sabotaje y no revele documentación de documento o correo, no tienen ese tipo de 0,50
de
seguridad innecesaria. seguridad solo lo que es interno. Está en

proyecto.
1.- ¿Se determinan politicas de procedimientos para garantizar la Trabajan con seguridad de encriptación WPA.
mantener controles
Determinar que las políticas y procedimientos para organizar

Administración de
para proteger el
través de la red.
procedimientos
la generación, cambio, revocación, destrucción, distribución, proteccion de las llaves contra modificaciones o divulgaciones no En la mayoria de los casos encriptan la
Criptográficas.
Implementar y
información a
técnicos y de
autorizadas? información.
flujo de
DS5.8 -
certificación, almacenamiento, captura, uso y archivo de

Llaves
1,00
llaves criptográficas estén implantadas, para garantizar la
protección de las llaves contra modificaciones y divulgación
no autorizadas.
1.- ¿La empresa cuenta con medidas preventivas en toda la organización Utilizan Kapersky y a través de la consola
DS5.9 - Prevención, Detección
administración de identidad
Definir, establecer y operar
para proteger los sistemas de la información de TI? controlan como va el tema de los virus. El
y Corrección de Software
sistema es bastante completo. Es una consola

Poner medidas preventivas, detectivas y correctivas (en 1,00
un proceso de
de las mejores y mas costosas que da informe

(cuentas).
Malicioso.
especial contar con parches de seguridad y control de virus

en tiempo real de cómo está la protección de
E actualizados) en toda la organización para proteger los
sistemas de la información y a la tecnología contra malware
la red.
2.- ¿La empresa cuenta con medidas detectivas en toda la organización Si.
N (virus, gusanos, spyware, correo basura).
para proteger los sistemas de la información de TI?
1,00
T 3.- ¿La empresa cuenta con medidas correctivas en toda la organización

para proteger los sistemas de la información de TI?
Si,
1,00
R Uso de técnicas de seguridad y procedimientos de 1.- ¿La empresa usa técnicas de seguridad y procedimientos de Si. Routeadores, firewall estàn trabajando
Seguridad de
d de menera
vulnerabilida
evaluaciones
administración asociados (por ejemplo, firewalls, administración asociados para autorizar acceso y controlar los flujos de para ver quienes pueden acceder a la red.
DS5.10 -
regular.
Realizar
la Red.
E dispositivos de seguridad, segmentación de redes, y detección información hacia las redes? Kapersky tambien tienen un firewall local y 1,00
de
de intrusos) para autorizar acceso y controlar los flujos de otro perimetral que siempre está trabajando
G información desde y hacia las redes. en la seguridad de acceso a la red.
1.- ¿Las transacciones de datos sensibles se intercambian a través de una Tienen un proxy para la web pero no tienen
A
DS5.11 - Intercambio de
0,50
privilegios y derechos
ruta o medio con controles para proporcionar autenticidad de contenido? para el correo electronico.
periódicamente los
Datos Sensitivos.
de acceso de los
Revisar y validar
R Transacciones de datos sensibles se intercambian solo a 2.- ¿Las transacciones de datos sensibles se intercambian a través de una En parte.
0,50
usuarios.
través de una ruta o medio con controles para proporcionar ruta o medio con controles para prueba de envío?
autenticidad de contenido, prueba de envío, prueba de 3.- ¿Las transacciones de datos sensibles se intercambian a través de una En parte.
0,50
recepción y no repudio del origen. ruta o medio con controles prueba de recepción?
Y 4.- ¿Las transacciones de datos sensibles se intercambian a través de una En parte.
0,50
ruta o medio con controles para no repudio del origen?
Identificar todos los costos de TI y equipararlos a los 1.- ¿Se identifican todos los costos de TI para soportar un modelo de Se identifican los costos en términos globales
mapearlos a los brindados/proce
tecnología, etc) y con los servicios
infraestructura
sos de negocio
Definición de
servicios de TI para soportar un modelo de costos costos transparente? por departamento pero no está detallado o
soportados.
D
Mapear la
Servicios.
DS6.1 -
transparente. Los servicios de TI deben alinearse a los clasificado.

0,50
A procesos del negocio de forma que el negocio pueda
identificar los niveles de facturación de los servicios
R asociados.
Registrar y asignar los costos actuales de acuerdo con el 1.- ¿Se registra los costos actuales de acuerdo con el modelo de costos Si se lo registra.
Identificar todos
costos unitarios.
los costos de TI
Contabilización
servicios de TI
con bases en
modelo de costos definido. Las variaciones entre los definido?

(personas,
DS6.2 -
presupuestos y los costos actuales deben analizarse y

de TI.
1,00
S reportarse de acuerdo con los sistemas de medición
financiera de la empresa.
O
1.- ¿Se define un modelo de costos de TI? Si. 1,00
P
DS6.3 - Modelación de Costos y Cargos.
2.- ¿El modelo de costos está alineado con los procedimientos de Si.
Establecer y mantener un proceso de
control de contabilización de TI y de
1,00
O Con base en la definición del servicio, definir un modelo de
costos que incluya costos directos, indirectos y fijos de los
contabilización de costos de la empresa?
3.- ¿Se garantiza que los cargos por servicios son identificables en el Si.
1,00
R servicios, y que ayude al cálculo de tarifas de reintegros de
cobro por servicio. El modelo de costos debe estar alineado
modelo de costos de TI?
4.- ¿Se garantiza que los cargos por servicios son medibles en el modelo Si.
1,00
T
costos.
con los procedimientos de contabilización de costos de la de costos de TI?

empresa. El modelo de costos de TI debe garantizar que los 5.- ¿Se garantiza que los cargos por servicios son predecibles por parte de Si.
E cargos por servicios son identificables, medibles y los usuarios para propiciar el adecuado uso de recursos en el modelo de 1,00
predecibles por parte de los usuarios para propiciar el costos de TI ?
adecuado uso de recursos. La gerencia del usuario debe 6.- ¿La gerencia del usuario verifica el uso actual del modelo de costos de Si puede, pero necesitan un sistema de costeo.
0,50
poder verificar el uso actual y los cargos de los servicios. TI?
7.- ¿La gerencia del usuario verifica los cargos de los servicios en el Si puede, pero necesitan un sistema de costeo.
0,50
modelo de costos de TI?
1.- ¿Se revisa de forma regular lo apropiado del modelo de Si.
procedimientos y
Mantenimiento
del Modelo de
costos/recargos para mantener su relevancia para el negocio en evolución 1,00

facturación.
Establecer y
políticas de
mantener
Revisar y comparar de forma regular lo apropiado del modelo

DS6.4 -
Costos.
para las actividades de TI?

de costos/recargos para mantener su relevancia para el
2.- ¿Se compara de forma regular lo apropiado del modelo de Si.
negocio en evolución y para las actividades de TI.
costos/recargos para mantener su relevancia para el negocio en evolución 1,00
para las actividades de TI?
1.- ¿Se establece de forma regular un programa de entrenamiento para Se lo està realizando pero no existe un
cada grupo objetivo de empleados? programa de entrenamiento. 0,00
DS7.1 - Identificación de Necesidades de
Establecer y actualizar de forma regular un programa de

Identificar y categorizar las necesidades
entrenamiento para cada grupo objetivo de empleados, que

de capacitación de los usuarios.
Entrenamiento y Educación.
DS7 – Educar y entrenar a usuarios
incluya: 2.- ¿Se actualiza de forma regular el programa de entrenamiento para Ver respuesta anterior.
• Estrategias y requerimientos actuales y futuros del negocio. cada grupo objetivo de empleados? 0,00
• Valores corporativos (valores éticos, cultura de control y
seguridad, etc.) 3.- ¿El programa de entrenamiento incluye estrategias y requerimientos Si.
1,00
• Implementación de nuevo software e infraestructura de TI actuales y futuros del negocio?
(paquetes y aplicaciones) 4.- ¿El programa de entrenamiento incluye valores corporativos? Si. 1,00
• Habilidades, perfiles de competencias y certificaciones 5.- ¿El programa de entrenamiento incluye la Implementación de nuevo Si incluye. (BAAN).
1,00
actuales y/o credenciales necesarias. software e infraestructura de TI?
• Métodos de impartición (por ejemplo, aula, web), tamaño 6.- ¿El programa de entrenamiento incluye habilidades, perfiles de Recursos Humanos elegirá a las personas
0,00
del grupo objetivo, accesibilidad y tiempo. competencias y certificaciones actuales y/o credenciales necesarias? indicadas.
7.- ¿El programa de entrenamiento incluye métodos de impartición? Si. 1,00
Con base en las necesidades de entrenamiento identificadas, 1.- ¿Se designa instructores de entrenamiento a los grupos objetivo? Si. 1,00
DS7.2 - Impartición de
identificar: a los grupos objetivo y a sus miembros, a los 2.- ¿Se organiza el entrenamiento de los grupos objetivo con tiempo Si.
Entrenamiento y
programa de
capacitación.
Construir un
Educación.
mecanismos de impartición eficientes, a maestros, suficiente?

instructores y consejeros. Designar instructores y organizar
el entrenamiento con tiempo suficiente. Debe tomarse nota 1,00
del registro (incluyendo los prerrequisitos), la asistencia, y
de las evaluaciones de desempeño.
111
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
CONTROL
DOMINIO
PROCESO
1.- ¿Se evalúa el contenido del entrenamiento al finalizar la capacitación Se está armando el plan de capacitación y se
DS7 – Educar y entrenar a
mejores métodos y herramientas

concienciación. *Llevar a cabo
respecto a la relevancia? va a seleccionar por cada gerencia usuarios 0,00

evaluaciones de capacitación.
para impartir la capacitación.
Entrenamiento Recibido.
*Identificar y evaluar los
capacitación, intrusión y
claves para capacitarlos.

Realizar actividades de
DS7.3 Evaluación del

Al finalizar el entrenamiento, evaluar el contenido del
2.- ¿Se evalúa el contenido del entrenamiento al finalizar la capacitación No.
entrenamiento respecto a la relevancia, calidad, efectividad, 0,00
usuarios
respecto a la calidad?
percepción y retención del conocimiento, costo y valor. Los
resultados de esta evaluación deben contribuir en la 0,00
respecto a la efectividad?
definición futura de los planes de estudio y de las sesiones de
entrenamiento. 0,00
respecto a la percepción y retención del conocimiento?
0,00
respecto al costo y valor?
1.- ¿Existen procedimientos de monitoreo basados en los niveles de No hay procedimientos definidos.
0,00
Crear procedimientos de clasificación (severidad e
servicio acordados en los SLAs?

2.- ¿Los procedimientos de monitoreo permiten clasificar cualquier No,
0,00
impacto) y de escalamiento (funcional y
problema?
Establecer la función de mesa de servicio, la cual es la
3.- ¿Los procedimientos de monitoreo permiten priorizar cualquier No.
conexión del usuario con TI, para registrar, comunicar, 0,00
DS8.1 - Mesa de Servicios.
problema?
atender y analizar todas las llamadas, incidentes reportados,
4.- ¿Existen procedimientos de escalamiento basados en los niveles de No.
requerimientos de servicio y solicitudes de información.
jerárquicos).
servicio acordados en los SLAs, que permitan clasificar y priorizar 0,00

Deben existir procedimientos de monitoreo y escalamiento
cualquier problema?
basados en los niveles de servicio acordados en los SLAs, que
5.- ¿Los procedimientos de escalamiento permiten clasificar cualquier No.
permitan clasificar y priorizar cualquier problema reportado 0,00
problema?
como incidente, solicitud de servicio o solicitud de
6.- ¿Los procedimientos de escalamiento permiten priorizar cualquier No.
información. Medir la satisfacción del usuario final respecto 0,00
problema?
a la calidad de la mesa de servicios y de los servicios de TI
7.- ¿Se mide la satisfacción del usuario final respecto a la calidad de la No lo hacen porque no les conviene.
0,00
DS8 – Administrar la mesa de servicio y los incidentes
mesa de servicios de TI?

8.- ¿Se mide la satisfacción del usuario final respecto a la calidad de los No lo hacen porque no les conviene.
0,00
servicios de TI?
1.- ¿Se cuenta con un sistema que permita el registro y rastreo de Si, se lo implementó recientemente. (Hace dos
Detectar y registrar incidentes/solicitudes de
llamadas, incidentes, solicitudes de servicio y necesidades de meses). 1,00

DS8.2 - Registro de Consultas de Clientes.
Establecer una función y sistema que permita el registro y información?

servicio/solicitudes de información.
rastreo de llamadas, incidentes, solicitudes de servicio y 2.- ¿El sistema trabaja estrechamente con los procesos de administración Si.
1,00
necesidades de información. Debe trabajar estrechamente
E con los procesos de administración de incidentes,
de incidentes?
3.- ¿El sistema trabaja estrechamente con los procesos de administración Si.
1,00
N administración de problemas, administración de cambios,
administración de capacidad y administración de
de problemas?
4.- ¿El sistema trabaja estrechamente con los procesos de administración Si.
1,00
T disponibilidad. Los incidentes deben clasificarse de acuerdo de cambios?
al negocio y a la prioridad del servicio y enrutarse al equipo 5.- ¿El sistema trabaja estrechamente con los procesos de administración Si.
R de administración de problemas apropiado y se debe de capacidad?
1,00
mantener informados a los clientes sobre el estatus de sus 6.- ¿El sistema trabaja estrechamente con los procesos de administración Si.
E consultas. de disponibilidad?
1,00
7.- ¿Se mantiene informado a los clientes sobre el estatus de sus Si.
G consultas?
1,00
A Establecer procedimientos de mesa de servicios de manera 1.- ¿Existen procedimientos de mesa de servicios? No existen procedimientos bien elaborados. 0,00
DS8.3 - Escalamiento de
que los incidentes que no puedan resolverse de forma

diagnosticar consultas.
2.- ¿Se escalan apropiadamente los incidentes que no pueden resolverse No.
Clasificar, investigar y
0,00
R inmediata sean escalados apropiadamente de acuerdo con de forma inmediata de acuerdo con los límites acordados en el SLA?
Incidentes.
los límites acordados en el SLA (niveles de servicio) y, si es 3.- Se garantiza que la asignación de incidentes permanece en la mesa de No.
adecuado, brindar soluciones alternas. Garantizar que la servicios?
asignación de incidentes y el monitoreo del ciclo de vida
Y permanecen en la mesa de servicios, independientemente de 0,00
qué grupo de TI esté trabajando en las actividades de
resolución.
D 1.- ¿Existen procedimientos para el monitoreo puntual de la resolución de No.

DS8.4 - Cierre de
*Hacer reportes
Establecer procedimientos para el monitoreo puntual de la 0,00

para la gerencia.
consultas de los clientes?

recuperar y
incidentes.
Incidentes.
resolución de consultas de los clientes. Cuando se resuelve el

Resolver,
A
cerrar
2.- ¿Cuándo se resuelve el incidente la mesa de servicios registra la causa No.

incidente la mesa de servicios debe registrar la causa raíz, si 0,00
raíz, sí la conoce?
la conoce, y confirmar que la acción tomada fue acordada
R con el cliente.
3.- ¿Cuándo se resuelve el incidente la mesa de servicios confirma que la No.
0,00
acción tomada fue acordada con el cliente?
Emitir reportes de la actividad de la mesa de servicios para 1.- ¿Se emiten los reportes de la actividad de la mesa de servicios a la Solo se lo emite como informativo.
actualizacione
0,50
usuarios (por
s de estatus)
Tendencias.
Informar a
Análisis de
permitir a la gerencia medir el desempeño del servicio y los gerencia?

ejemplo,
S
DS8.5 -
tiempos de respuesta, así como para identificar tendencias de 2.- ¿Los reportes emitidos por la mesa de servicios permite a la gerencia Solo se lo emite como informativo.
problemas recurrentes de forma que el servicio pueda medir el desempeño del servicio y los tiempos de respuesta? 0,50
O mejorarse de forma continua.
Establecer una herramienta de soporte y un repositorio
P 1.- ¿Existe una herramienta de soporte que contenga toda la información No.
procedimientos de
Repositorio y Línea
0,00
administración de
la configuración.
central que contenga toda la información relevante sobre los relevante sobre los elementos de configuración?
Configuración.
configuración.
repositorio de
planeación de
*Actualizar el
O
Desarrollar
elementos de configuración. Monitorear y grabar todos los 2.- ¿Existe un repositorio central que contenga toda la información No.
Base de
DS9.1 -
activos y los cambios a los activos. Mantener una línea base relevante sobre los elementos de configuración? 0,00
DS9 – Administrar la configuración
R de los elementos de la configuración para todos los sistemas 3.- ¿Se monitorean todos los activos y los cambios a los activos?
y servicios como punto de comprobación al que volver tras el
En parte. 0,50
T cambio.
4.- ¿Se graban todos los activos y los cambios a los activos?
1.- ¿Existen procedimientos de configuración?
En parte.
No.
0,50
0,00
E
inicial y establecer líneas
DS9.2 - Identificación y
Recopilar información
sobre la configuración
2.- ¿El procedimiento soporta todos los cambios al repositorio de No.

0,00
Mantenimiento de
Establecer procedimientos de configuración para soportar la configuración?

Configuración.
Elementos de
gestión y rastro de todos los cambios al repositorio de 3.- ¿Está integrado el procedimiento de configuración con la gestión de No.
0,00
base.
configuración. Integrar estos procedimientos con la gestión cambios?

de cambios, gestión de incidentes y procedimientos de 4.- ¿Está integrado el procedimiento de configuración con la gestión de No.
gestión de problemas. 0,00
incidentes?
5.- ¿Está integrado el procedimiento de configuración con la gestión de No.
0,00
problemas?
Revisar periódicamente los datos de configuración para 1.- ¿Se revisan periódicamente los datos de configuración para verificar la No. Solo en parte. No existe un procediemto
0,00
DS9.3 - Revisión de
la información de la
Verificar y auditar
verificar y confirmar la integridad de la configuración actual integridad de la configuración actual e histórica? formal o establecido.
Integridad de la
Configuración.
configuración
detección del
autorizado).
software no
(incluye la
e histórica. Revisar periódicamente el software instalado 2.- ¿Se revisan periódicamente los datos de configuración para confirmar No.
0,00
contra la política de uso de software para identificar la integridad de la configuración actual e histórica?
software personal o no licenciado o cualquier otra instancia 3.- ¿Se revisa periódicamente el software instalado contra la política de Si. Se lo revisa cada seis meses cuando se
de software en exceso del contrato de licenciamiento actual. uso de software personal o no licenciado o cualquier otra instancia de hace el mantenimiento de equipos. 1,00
Reportar, actuar y corregir errores y desviaciones. software en exceso del contrato de licenciamiento actual?
Implementar procesos para reportar y clasificar problemas 1.- ¿Existen procesos para reportar problemas que han sido identificados No.
0,00
que han sido identificados como parte de la administración como parte de la administración de incidentes?
DS10 – Administrar los problemas
Clasificación de Problemas.
de incidentes. Los pasos involucrados en la clasificación de 2.- ¿Existen procesos para clasificar problemas que han sido No.
Identificar y clasificar
problemas son similares a los pasos para clasificar identificados como parte de la administración de incidentes?
problemas.
incidentes; son determinar la categoría, impacto, urgencia y

prioridad. Los problemas deben categorizar se de manera
apropiada en grupos o dominios relacionados (por ejemplo, 0,00
hardware, software, software de soporte). Estos grupos
pueden coincidir con las responsabilidades organizacionales
o con la base de usuarios y clientes, y son la base para
asignar los problemas al personal de soporte.
El sistema de administración de problemas debe mantener
1.- ¿Se cuenta con un sistema de administración de problemas? No. 0,00
pistas de auditoría adecuadas que permitan rastrear,
DS10.2 - Rastreo y
Realizar análisis de
2.- ¿El sistema mantiene pistas de auditoría que pemita rastrear la causa No.
Resolución de
analizar y determinar la causa raíz de todos los problemas 0,00

Problemas.
causa raíz.
reportados considerando: raíz de todos los problemas reportados?

• Todos los elementos de configuración asociados 3.- ¿El sistema mantiene pistas de auditoría que pemita analizar la causa No.
0,00
• Problemas e incidentes sobresalientes raíz de todos los problemas reportados?
• Errores conocidos y sospechados 4.- ¿El sistema mantiene pistas de auditoría que pemita determinar la No.
0,00
• Seguimiento de las tendencias de los problemas causa raíz de todos los problemas reportados?
112
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
CONTROL
DOMINIO
PROCESO
1.- ¿Existe un procedimiento para cerrar registros de problemas? No.
DS10.3 - Cierre
registros de los
de Problemas.
Disponer de un procedimiento para cerrar registros de
*Mantener
problemas.
problemas.
DS10 – Administrar los
*Revisar el
problemas
estatus de
Resolver
problemas ya sea después de confirmar la eliminación

0,00
exitosa del error conocido o después de acordar con el
negocio cómo manejar el problema de manera alternativa.
problemas
Para garantizar una adecuada administración de problemas 1.- ¿Se garantiza una adecuada administración de problemas? No. 0,00
DS10.4 - Integración
Administraciones de
almacenamiento y para mejorar y crear
procedimientos. cambio relacionada.

recomendaciones
e incidentes, integrar los procesos relacionados de

Configuración y
una solicitud de
2.- ¿Se garantiza una adecuada administración de incidentes? No. 0,00

Problemas.
administración de cambios, configuración y problemas.
Cambios,
3.- ¿Se monitorea cuánto esfuerzo se aplica en apagar fuegos? No. 0,00
Emitir
de las
Monitorear cuánto esfuerzo se aplica en apagar fuegos, en

4.- ¿Se mejora los procesos de administración de cambios,configuración y No.
lugar de permitir mejoras al negocio y, en los casos que sean
problemas para minimizar los problemas? 0,00
necesarios, mejorar estos procesos para minimizar los
problemas.
1.- ¿Se verifica que todos los datos que se espera procesar se reciban Se cumple pero no en un 100%
requerimientos de
Administración de
0,50
del Negocio para
Verificar que todos los datos que se espera procesar se

Requerimientos
conservación a
completamente, de forma precisa y a tiempo?

Traducir los
reciben y procesan completamente, de forma precisa y a

DS11.1 -
2.- ¿Se verifica que todos los datos que se espera procesar se procesan Se cumple pero no en un 100%
Datos.
tiempo, y que todos los resultados se entregan de acuerdo a 0,50

completamente, de forma precisa y a tiempo?
los requerimientos de negocio. Las necesidades de reinicio y 3.- ¿Las necesidades de reinicio están soportadas? No. 0,00
reproceso están soportadas.
4.- ¿Las necesidades de reproceso están soportadas? No. 0,00
1.- ¿Existen procedimientos para el archivo de los datos? No. Esto se cumple en una pequeña parte
DS11.2 - Acuerdos de
administrar librerías de
procedimientos para
cuando se hace mantenimiento se respalda lo

Definir, mantener e
Almacenamiento y
Definir e implementar procedimientos para el archivo,

Conservación.
que el usuario indica. Pero en caso de

implementar
almacenamiento y retención de los datos, de forma efectiva y 0,50

medios.
emergencia no tienen alcamacenada la

eficiente para conseguir los objetivos de negocio, la política información para recuperarla
de seguridad de la organización y los requerimientos inmediatamente.
DS11 – Administrar los datos
regulatorios. 2.- ¿Existen procedimientos para el almacenaniento de los datos? Ver respuesta anterior. 0,50
3.- ¿Existen procedimientos para la retención de los datos? Ver respuesta anterior. 0,50
1.- ¿Existen procedimientos para mantener un inventario de medios No. Se lo hace empíricamente.
procedimientos
segura, medios
Administración
de Librerías de
0,00
para desechar
implementar
mantener e
almacenados?
Sistema de
Definir e implementar procedimientos para mantener un

de forma
y equipo.
DS11.3 -
Medios.
Definir,
inventario de medios almacenados y archivados para 2.- ¿Existen procedimientos para mantener un inventario de medios No.
0,00
asegurar su usabilidad e integridad. archivados?
E 3.- ¿Se aseguran de la usabilidad e integridad de los medios? No. 0,00
N Definir e implementar procedimientos para asegurar que los 1.- ¿Existen procedimientos para la protección de datos sensitivos que No hay procedimientos.
de acuerdo
esquema.
Eliminació
Respaldar
0,00
DS11.4 -
los datos
requerimientos de negocio para la protección de datos aseguren los requerimientos del negocio?
n.
T
al
sensitivos y el software se consiguen cuando se eliminan o 2.- ¿Existen procedimientos para la protección del software que aseguren No.
0,00
transfieren los datos y/o el hardware. los requerimientos del negocio?
R 1. ¿Existen procedimientos de respaldo de los sistemas en línea alineado Existen un procedimiento pero no está
0,50
restauración de datos.
procedimientos para
DS11.5 - Respaldo y
Definir, mantener e
con los requerimientos de negocio y el plan de continuidad? documentado.

E
Restauración.
Definir e implementar procedimientos de respaldo y 2. ¿Existen procedimientos de respaldo de las aplicaciones en línea Existen un procedimiento pero no está
implementar
0,50
restauración de los sistemas, aplicaciones, datos y alineado con los requerimientos de negocio y el plan de continuidad? documentado.
G documentación en línea con los requerimientos de negocio y 3. ¿Existen procedimientos de respaldo de los datos en línea alineado con Existen un procedimiento pero no está
0,50
el plan de continuidad.
A los requerimientos de negocio y el plan de continuidad?
4. ¿Existen procedimientos de respaldo de la documentación en línea
documentado.
Existen un procedimiento pero no está
0,50
R alineado con los requerimientos de negocio y el plan de continuidad?
Definir e implementar las políticas y procedimientos para 1.- ¿Existen procedimientos para identificar los requerimientos de
documentado.
No hay procedimientos.
procedimiento
Requerimiento
s de Seguridad
Administració
identificar y aplicar los requerimientos de seguridad

restauración
implementar
0,00
mantener e
n de Datos.
seguridad aplicables al recibo?

de datos.
DS11.6 -
Definir,
para la
aplicables al recibo, procesamiento, almacén y salida de los

s para
Y datos para conseguir los objetivos de negocio, las políticas 2.- ¿Existen procedimientos para aplicar los requerimientos de seguridad
de seguridad de la organización y requerimientos aplicables al recibo?
No.
0,00
regulatorios
1.- ¿Se define los centros de datos físicos para el equipo de TI? Están Implícitos en el proceso porque solo
D están aquí. En las otras partes no hay, solo se 1,00
DS12.1 - Selección y Diseño del
Definir el nivel requerido de
Definir y seleccionar los centros de datos físicos para el lo maneja en forma remota.
A equipo de TI para soportar la estrategia de tecnología ligada 2.- ¿Se selecciona los centros de datos físicos para el equipo de TI? Si. 1,00
protección física.
Centro de Datos.
a la estrategia del negocio. Esta selección y diseño del 3.- ¿Se soporta la estrategia de tecnología ligada a la estrategia del Si por medio del plan estrátegico.
R esquema de un centro de datos debe tomar en cuenta el riesgo negocio?
1,00
asociado con desastres naturales y causados por el hombre. 4.- ¿La selección de un centro de datos toma en cuenta el riesgo asociado Se tienen identificado los desastres en el data
0,50
También debe considerar las leyes y regulaciones con desastres naturales y causados por el hombre? center.
correspondientes, tales como regulaciones de seguridad y de 5.- ¿El diseño del esquema de un centro de datos toma en cuenta el riesgo Se tienen identificado los desastres en el data
S salud en el trabajo. asociado con desastres naturales y causados por el hombre? center.
0,50
O 6.- ¿Se considera las leyes y regulaciones correspondientes, tales como Si, por medio del comitè de salud y seguridad
regulaciones de seguridad y de salud en el trabajo? en el trabajo.
1,00
P 1.- ¿Existen medidas de seguridad físicas alineadas con los Si pero falta implementar medidas de
DS12 – Administrar el ambiente físico
Definir e implementar medidas de seguridad físicas alineadas 0,50

Seleccionar y comisionar el
requerimientos del negocio? seguridad física.

O con los requerimientos del negocio. Las medidas deben
sitio (centro de datos,
DS12.2 - Medidas de
2.- ¿Se establecen las responsabilidades sobre el monitoreo? Si. 1,00

Seguridad Física.
incluir, pero no limitarse al esquema del perímetro de

oficina, etc).
3.- ¿Se establecen las responsabilidades sobre los procedimientos de Si.

R seguridad, de las zonas de seguridad, la ubicación de equipo
crítico y de las áreas de envío y recepción. En particular, reporte?
1,00
T mantenga un perfil bajo respecto a la presencia de 4.- ¿Se establecen las responsabilidades sobre la resolución de incidentes Si.
de seguridad física?
operaciones críticas de TI. Deben establecerse las
E responsabilidades sobre el monitoreo y los procedimientos 1,00
de reporte y de resolución de incidentes de seguridad física.
1.- ¿Existen procedimientos para otorgar el acceso a locales, edificios y Si.
Implementar medidas de
DS12.3 - Acceso Físico.
áreas de acuerdo con las necesidades del negocio, incluyendo las 1,00
Definir e implementar El acceso a locales, edificios y áreas emergencias?
ambiente físico.
debe justificarse, autorizarse, registrarse y monitorearse. 2.- ¿Existen procedimientos para limitar el acceso a locales, edificios y Si.
Esto aplica para todas las personas que accedan a las áreas de acuerdo con las necesidades del negocio, incluyendo las 1,00
instalaciones, incluyendo personal, clientes, proveedores, emergencias?
visitantes o cualquier tercera persona. 3.- ¿Existen procedimientos para revocar el acceso a locales, edificios y Si.
áreas de acuerdo con las necesidades del negocio, incluyendo las 1,00
emergencias?
1.- ¿Existen medidas de protección contra factores ambientales? Si. 1,00
o, monitoreo y
(mantenimient
Administrar el
Ambientales.
Protección
incluidos).
Diseñar e implementar medidas de protección contra factores 2.- ¿ Existen dispositivos especializados para monitorear y controlar el
ambiente
DS12.4 -
Si.
reportes
Factores
Contra
1,00
físico
ambientales. Deben instalarse dispositivos y equipo ambiente?

especializado para monitorear y controlar el ambiente 3- ¿ Existen equipos especializado para monitorear y controlar el Si.
1,00
ambiente?
1.- ¿El equipo de comunicaciones está administrado de acuerdo con las Falta implementar en ciertas áreas.
Administración de
mantenimiento y
Administrar las instalaciones, incluyendo el equipo de

autorización de
procesos para
leyes y los reglamentos, los requerimientos técnicos y del negocio, las 0,50
acceso físico.
implementar
Instalaciones
comunicaciones y de suministro de energía, de acuerdo con especificaciones del proveedor y los lineamientos de seguridad y salud?
DS12.5 -
Definir e
Físicas.
las leyes y los reglamentos, los requerimientos técnicos y del 2.- ¿El equipo de suministro de energía, esta administrado de acuerdo con Ver respuesta anterior.
negocio, las especificaciones del proveedor y los las leyes y los reglamentos, los requerimientos técnicos y del negocio, las 0,50
lineamientos de seguridad y salud. especificaciones del proveedor y los lineamientos de seguridad y salud?
Definir, implementar y mantener procedimientos estándar 1.- ¿Existen procedimientos estándar para operaciones de TI? Falta elaborar procedimientos. 0,00
DS13 – Administrar las
DS13.1 - Procedimientos e
cambios, procedimientos
operación (incluyendo
para operaciones de TI y garantizar que el personal de 2.- ¿El personal de operaciones está familiarizado con todas las tareas de Si.
de escalamiento, etc).
manuales, planes de
procedimientos de
Instrucciones de
operaciones está familiarizado con todas las tareas de

Crear/modificar
operación relativas a ellos?

operaciones
Operación.
operación relativas a ellos. Los procedimientos de operación

deben cubrir los procesos de entrega de turno (transferencia
1,00
formal de la actividad, estatus, actualizaciones, problemas
de operación, procedimientos de escalamiento, y reportes
sobre las responsabilidades actuales) para garantizar la
continuidad de las operaciones.
113
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
CONTROL
DOMINIO
PROCESO
1.- ¿La programacion de trabajos está organizado de una manera mas Si, para eso se aplica el PHVA (Planear, Hacer,
DS13.2 - Programación de
Pogramación de cargas de
trabajo y de programas en
E Organizar la programación de trabajos, procesos y tareas en eficiente, maximizando el desempeño y la utilizacion para cumplir con los Verificar y Actuar).
requerimientos del negocio?
1,00
la secuencia más eficiente, maximizando el desempeño y la
N utilización para cumplir con los requerimientos del negocio. 2.- ¿La programacion de procesos esta organizado de una manera mas Si.
Tareas.
lote.
Deben autorizarse los programas iniciales así como los eficiente, maximizando el desempeño y la utilizacion para cumplir con los 1,00
T cambios a estos programas. Los procedimientos deben requerimientos del negocio?
R implementarse para identificar, investigar y aprobar las 3.- ¿La programacion de tareas esta organizado de una manera mas Si.
salidas de los programas estándar agendados. eficiente, maximizando el desempeño y la utilizacion para cumplir con los 1,00
E requerimientos del negocio?
G Definir e implementar procedimientos para monitorear la 1.- ¿Existen procedimientos para monitorear la infraestructura de TI? No está claramente, se lo hace empíricamente
0,00
DS13.3 - Monitoreo
de la Infraestructura
procesar y resolver
porque no esta definido.

infraestructura y
infraestructura de TI y los eventos relacionados. Garantizar

Monitorear la
DS13 – Administrar las operaciones
A
problemas.
que en los registros de operación se almacena suficiente 2.- ¿Existen procedimientos para monitorear los eventos relacionados? No.
de TI.
información cronológica para permitir la reconstrucción,

R revisión y análisis de las secuencias de tiempo de las 0,00
operaciones y de las otras actividades que soportan o que
están alrededor de las operaciones.
Y 1.- ¿Existen resguardos físicos sobre los activos de TI más sensitivos tales No, solo en parte.
Administrar y asegurar la
como formas, instrumentos negociables, impresoras de uso especial o

información (reportes,
Sensitivos y Dispositivos
0,50
DS13.4 - Documentos
Establecer resguardos físicos, prácticas de registro y dispositivos de seguridad?

salida física de
D
medios, etc).
administración de inventarios adecuados sobre los activos

de Salida.
2.- ¿Existen prácticas de registros sobre los activos de TI más sensitivos No, solo en parte.
de TI más sensitivos tales como formas, instrumentos
A negociables, impresoras de uso especial o dispositivos de
tales como formas, instrumentos negociables, impresoras de uso especial
o dispositivos de seguridad?
0,50
R seguridad. 3.- ¿Existe una administración de inventarios adecuados sobre los activos No, solo en parte.
de TI más sensitivos tales como formas, instrumentos negociables, 0,50
impresoras de uso especial o dispositivos de seguridad?
S 1.- ¿Existen procedimientos para garantizar el mantenimiento oportuno de Si.
*Implementar/establecer un proceso
DS13.5 - Mantenimiento Preventivo
la infraestructura?
Establecer el enfoque de para salvaguardar los dispositivos
O 1,00
interferencia, perdida o robo.
programa de infraestructura.
Aplicar cambios o arreglos al
*Programar y llevar a cabo

mantenimiento preventivo
de autenticación contra
P
del Hardware.
Definir e implementar procedimientos para garantizar el 2.- ¿Existen procedimientos para reducir la frecuencia y el impacto de las Si.
O mantenimiento oportuno de la infraestructura para reducir la fallas de la infraestructura?
1,00
frecuencia y el impacto de las fallas o de la disminución del
R desempeño.
T 3.- ¿Existen procedimientos para reducir la disminución del desempeño de Si.
la infraestructura?
E 1,00
1.- ¿Se establece un marco de trabajo de monitoreo general que definan el No hay.
ME1.1 - Enfoque del
Establecer un marco de trabajo de monitoreo general y un alcance, la metodología y el proceso a seguir para medir la solución y la 0,00
enfoque que definan el alcance, la metodología y el proceso a entrega de servicios de TI?
monitoreo.
Monitoreo.
seguir para medir la solución y la entrega de servicios de TI, y 2.- ¿Se establece un enfoque que definan el alcance, la metodología y el No hay.
0,00
Monitorear la contribución de TI al negocio. Integrar el marco proceso a seguir para medir la solución y la entrega de servicios de TI?
de trabajo con el sistema de administración del desempeño 3.- ¿Se monitorea la contribución de TI al negocio? No hay. 0,00
corporativo. 4.- ¿Se integra el marco de trabajo de TI con el sistema de administración No hay.
0,00
del desempeño corporativo?
1.- ¿Se definen un conjunto balanceado de objetivos de desempeño que Si por medio del Balance Score Card, se
ME1.2 - Definición y Recolección de
1,00
van acordes con las metas del negocio? registran los indicadores.
Identificar y recolectar objetivos
2.- ¿Se aprueban los objetivos de desempeño de cada uno de los procesos Si.
medibles que apoyen a los
Trabajar con el negocio para definir un conjunto balanceado 1,00

Datos de Monitoreo.
objetivos el negocio.
de TI por la gerencia y otros interesados relevantes?

de objetivos de desempeño y tenerlos aprobados por el
3.- ¿Se definen referencias con las que se compara los objetivos de Si por medio del Balanced Scorecard, se
negocio y otros interesados relevantes. Definir referencias 1,00
desempeño? registran los indicadores.
con las que comparar los objetivos, e identificar datos
4.- ¿Se identifican datos disponibles a recolectar para medir los Si.
disponibles a recolectar para medir los objetivos. Se deben 1,00
objetivos?
establecer procesos para recolectar información oportuna y
M precisa para reportar el avance contra las metas.
5.- ¿Se establecen procesos para recolectar información oportuna para Si.
1,00
reportar el avance contra las metas?
O 6.- ¿Se establecen procesos para recolectar información precisa para Si.
1,00
reportar el avance contra las metas?
N 1.- ¿Se garantiza la implantación de un método en el proceso de Si.
Crear cuadro
Garantizar que el proceso de monitoreo implante un método 1,00

de mandos.
Método de
Monitoreo.
monitoreo?
I
ME1.3 -
(Ej. Balanced Scorecard), que brinde una visión sucinta y

2.- ¿El proceso de monitoreo brinda una visión sucinta desde todos los Si.
desde todos los ángulos del desempeño de TI y que se adapte
ME1 - Monitorear y Evaluar el Desempeño de TI.
T al sistema de monitoreo de la empresa.

ángulos del desempeño de TI, que se adapte al sistema de monitoreo de la
empresa?
1,00
O 1.- ¿Se comparan de forma periódica el desempeño contra las metas? Si por medio del Balanced Scorecard, se
Desempeño.
desempeño
1,00
Evaluación
Comparar de forma periódica el desempeño contra las metas,

Evaluar el
registran los indicadores.

ME1.4 -
R
del
realizar análisis de la causa raíz e iniciar medidas

2.- ¿Se analiza la causa raíz para resolver las causas subyacentes Si por medio del Balanced Scorecard, se
correctivas para resolver las causas subyacentes. 1,00
tomando las medidas correctivas? registran los indicadores.
E 1.- ¿Existe una revisión administrativa de los reportes de desempeño de Si, cada gerente revisa el BSC para tomar las
1,00
A los recursos de TI? medidas correctivas.
ME1.5 - Reportes al Consejo Directivo y a
Proporcionar reportes administrativos para ser revisados

2.- ¿Los reportes de estatus incluyen el grado en el que se han alcanzado Si.
R por la alta dirección sobre el avance de la organización hacia
metas identificadas, específicamente en términos del
los objetivos planeados?
Reportar el desempeño.
desempeño del portafolio empresarial de programas de 1,00
los entregables obtenidos?
inversión habilitados por TI, niveles de servicio de programas
Ejecutivos.
Y individuales y la contribución de TI a ese desempeño. Los

4.- ¿Los reportes de estatus incluyen el grado en el que se han alcanzado
las metas de desempeño alcanzadas?
Si.
1,00
reportes de estatus deben incluir el grado en el que se han
alcanzado los objetivos planeados, los entregables 1,00
los riesgos mitigados?
obtenidos, las metas de desempeño alcanzadas y los riesgos
E mitigados. Durante la revisión, se debe identificar cualquier
6.- ¿Durante la revisión de los reportes, se identifican cualquier Si por medio del Balanced Scorecard, se
1,00
desviación respecto al desempeño esperado? registran los indicadores.
V desviación respecto al desempeño esperado y se deben
iniciar y reportar las medidas de administración adecuadas.
7.- ¿Se inicia las medidas de administración adecuadas? Si.
8.- ¿Se reporta las medidas de administración adecuadas? Si por medio del Balanced Scorecard, se
A registran los indicadores.
1,00
L 1.- ¿Se identifican e inician medidas correctivas basadas en el monitoreo Si.

del desempeño?
1,00
U 2.- ¿Se identifican e inician medidas correctivas basadas en la Si.

Identificar y monitorear las medidas de mejora del desempeño.
1,00
evaluación?
A 3.- ¿Se identifican e inician medidas correctivas basadas en reportes? Si. 1,00
4.- ¿En el seguimiento del monitoreo se incluye: Si.
R a) Una revisión.
ME1.6 - Acciones Correctivas.
b) La negociación.
1,00
Identificar e iniciar medidas correctivas basadas en el c) Establecimiento de respuestas de administración
monitoreo del desempeño, evaluación y reportes. Esto incluye d) Asiganción de responsabilidades por la corrección.
el seguimiento de todo el monitoreo, de los reportes y de las e) Rastreo de los resultados de las acciones comprometidas?
evaluaciones con: • Revisión, negociación y establecimiento 5.- ¿En el seguimiento de los reportes se incluye: Si.
de respuestas de administración. • Asignación de a) Una revisión.
responsabilidades por la corrección. • Rastreo de los b) La negociación.
1,00
resultados de las acciones comprometidas. c) Establecimiento de respuestas de administración.
d) Asignación de responsabilidades por la corrección.
e) Rastreo de los resultados de las acciones comprometidas?
6.- ¿En el seguimiento de las evaluaciones se incluye: Si.
a) Una revisión.
b) La negociación.
1,00
c) Establecimiento de respuestas de administración.
d) Asignación de responsabilidades por la corrección.
e) Rastreo de los resultados de las acciones comprometidas?
114
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
CONTROL
DOMINIO
PROCESO
control interno de TI 1.- ¿Se monitorea de forma continua el ambiente de control de TI y el Si.
de Control Interno.
Monitorización del
Marco de Trabajo
marco de trabajo de control de TI para satisfacer los objetivos 1,00
actividades de
Monitorear y
controlar las
Monitorear de forma continua, comparar y mejorar el organizacionales?
ME2.1 -
ambiente de control de TI y el marco de trabajo de control de 2.- ¿Se compara el ambiente de control de TI y el marco de trabajo de Si.
1,00
TI para satisfacer los objetivos organizacionales. control de TI para satisfacer los objetivos organizacionales?
3.- ¿Se mejora el ambiente de control de TI y el marco de trabajo de control Si.
1,00
de TI para satisfacer los objetivos organizacionales?
1.- ¿Se monitorea la eficiencia y efectividad de los controles internos de Si. AuditorÍa interna ejecuta las auditorías
Crear cuadro
Revisiones de
de mandos.
Auditoría.
revisión de la gerencia de TI? informáticas y ellos emiten un irforme de lo 1,00
ME2.2 -
Monitorear y evaluar la eficiencia y efectividad de los

que se debe mejorar.
controles internos de revisión de la gerencia de TI.
2.- ¿Se evalúa la eficiencia y efectividad de los controles internos de Si.
1,00
revisión de la gerencia de TI?
1.- ¿Se identifican las excepciones de control? Si, se reunen con los usuarios de los procesos
ME2.3 - Excepciones de
excepciones de control.
Monitorear el proceso
1,00
auditados.
para identificar y
Identificar las excepciones de control, y analizar e identificar

2.- ¿Se analizan e identifican sus causas raíz subyacentes de las Si.
evaluar las
1,00
ME2 Monitorear y Evaluar el Control Interno
Control.
sus causas raíz subyacentes. Escalar las excepciones de excepciones de control?

control y reportar a los interesados apropiadamente. 3.- ¿Se escalan las excepciones de control reportando a los interesados Si.
1,00
Establecer acciones correctivas necesarias. apropiadamente?
4.- ¿Se establecen acciones correctivas necesarias para las excepciones Si.
1,00
de control?
1.- ¿Se evalúa la completitud y efectividad de los controles de gerencia No, cuentan con un control de autoevaluación
Monitorear el proceso de
ME2.4 - Control de Auto
sobre los procesos de TI por medio de un programa continuo de auto- 0,00

auto evaluación.
evaluación?
Evaluación.
Evaluar la completitud y efectividad de los controles de 2.- ¿Se evalúa la completitud y efectividad de los controles de gerencia No.
gerencia sobre los procesos, políticas y contratos de TI por sobre las políticas de TI por medio de un programa continuo de auto- 0,00
medio de un programa continuo de auto-evaluación. evaluación?
3.- ¿Se evalúa la completitud y efectividad de los controles de gerencia No tienen control de autoevaluación solo las
sobre los contratos de TI por medio de un programa continuo de auto- auditorías internas y externas. 0,00
evaluación?
1.- ¿Se obtiene un aseguramiento adicional de la completitud de los Si.
Monitorear el
proceso para
excepciones
remediar las
identificar y
de control.
1,00
miento del
Obtener, según sea necesario, aseguramiento adicional de la controles internos por medio de revisiones de terceros?
Asegura-
evaluar y
Interno.
ME2.5 -
Control
completitud y efectividad de los controles internos por medio

2.- ¿Se obtiene un aseguramiento adicional de la efectividad de los Si.
de revisiones de terceros. 1,00
controles internos por medio de revisiones de terceros?
1.- ¿Se evalúa el estado de los controles internos de los proveedores de Si, lo hace el Holding.
ME2.6 - Control Interno
1,00
los controles operados
Monitorear el proceso
aseguramiento sobre
servicios externos?
M Evaluar el estado de los controles internos de los
para Terceros.
por terceros.
para obtener
2.- ¿Se confirma que los proveedores de servicios externos cumplen con Si.
proveedores de servicios externos. Confirmar que los 1,00
O proveedores de servicios externos cumplen con los
los requerimientos legales?
requerimientos legales y regulatorios y obligaciones 1,00
N contractuales.
los requerimientos regulatorios?
1,00
I las obligaciones contractuales?
1.- ¿Se identifican acciones correctivas derivadas de los controles de Si.
T evaluación y los informes?
1,00
ME2.7 - Acciones
interesados clave.
Reportar a los
2.- ¿Se inician acciones correctivas derivadas de los controles de Si.

Correctivas.
O Identificar, iniciar, rastrear e implementar acciones

correctivas derivadas de los controles de evaluación y los
evaluación y los informes?
1,00
3.- ¿Se rastrean acciones correctivas derivadas de los controles de Si.

R informes.
1,00
E 4.- ¿Se implementan acciones correctivas derivadas de los controles de

Si.
1,00
A 1.- ¿Se identifican, sobre una base continua, leyes locales e Si.
legales, contractuales de
proceso para identificar
internacionales que se deben de cumplir para incorporar en las políticas, 1,00

políticas y regulatorios.
ME3.1 - Identificar los

Requerimientos de las
Leyes, Regulaciones y
Definir y ejecutar un
R
los requerimientos
Identificar, sobre una base continua, leyes locales e estándares, procedimientos y metodologías de TI de la organización?
Cumplimientos
Contractuales.
internacionales, regulaciones, y otros requerimientos 2.- ¿Se identifican, sobre una base continua, regulaciones que se deben de Si.
externos que se deben de cumplir para incorporar en las cumplir para incorporar en las políticas, estándares, procedimientos y 1,00
políticas, estándares, procedimientos y metodologías de TI de metodologías de TI de la organización?
Y la organización. 3.- ¿Se identifican, sobre una base continua, otros requerimientos Si.
externos que se deben de cumplir para incorporar en las políticas, 1,00
estándares, procedimientos y metodologías de TI de la organización?
E 1.- ¿Se revisan las políticas, estándares, procedimientos y metodologías de Si.
1,00
Requerimientos Externos.
Evaluar cumplimiento de
ME3 Garantizar el Cumplimiento Regulatorio
TI?
procedimientos de TI.
políticas, estándares y
actividades de TI con
ME3.2 - Optimizar la
V Revisar y ajustar las políticas, estándares, procedimientos y

2.- ¿Se ajustan las políticas, estándares, procedimientos y metodologías Si.
1,00
Respuesta a
de TI?
A metodologías de TI para garantizar que los requisitos legales,
regulatorios y contractuales son direccionados y
3.- ¿Se garantizan que los requisitos legales son direccionados y Si.
1,00
comunicados?
L comunicados. 4.- ¿Se garantizan que los requisitos regulatorios son direccionados y Si.
1,00
comunicados?
U 5.- ¿Se garantizan que los requisitos contractuales son direccionados y Si.
1,00
comunicados?
A 1.- ¿Se verifica el cumplimiento de políticas de TI con los requerimientos Si.
1,00
ME3.3 - Evaluación del
legales y regulatorios?
Cumplimiento con
R
Crear cuadro de
Requerimientos
2.- ¿Se verifica el cumplimiento de los estándares de TI con los Si.

Externos.
Confirmar el cumplimiento de políticas, estándares, 1,00

mandos.
requerimientos legales y regulatorios?

procedimientos y metodologías de TI con requerimientos
3.- ¿Se verifica el cumplimiento de los procedimientos de TI con los Si.
legales y regulatorios. 1,00
4.- ¿Se verifica el cumplimiento de las metodologías de TI con los Si.
1,00
1.- ¿Se obtiene una garantía de cumplimiento y adhesión a todas las Si. Tratan de cumplir con todo lo que exige la
ME3.4 - Aseguramiento
con los requerimientos
Obtener y reportar garantía de cumplimiento y adhesión a 1,00

procedimientos de TI
políticas internas o requerimientos legales externos? ley.

alinear las políticas,
alimentación para
de cumplimiento.
todas las políticas internas derivadas de directivas internas

Cumplimiento.
Brindar retro
2.- ¿Se reporta una garantía de cumplimiento y adhesión a todas las Si.
estándares y
Positivo del
o requerimientos legales externos, regulatorios o 1,00

políticas internas o requerimientos legales externos?
contractuales, confirmando que se ha tomado cualquier
3.- ¿Se toman acciones correctivas para garantizar el cumplimiento de las Si.
acción correctiva para resolver cualquier brecha de 1,00
políticas internas o requerimientos legales externos?
cumplimiento por el dueño responsable del proceso de forma
4.- ¿Se resuelve cualquier brecha de cumplimiento por el dueño Si. Se toman todas las medidas
oportuna. 1,00
responsable del proceso de forma oportuna?
1.- ¿Se integra los reportes de TI sobre requerimientos legales con las Si, por medio del departamento legal.
reportes e TI sobre
los requerimientos
ME3.5 - Reportes
1,00
regulatorios con
otras funciones
provenientes e
salidas similares provenientes de otras funciones del negocio?

del negocio.
Integrados.
Integrar los
Integrar los reportes de TI sobre requerimientos legales,

similares
2.- ¿Se integra los reportes de TI sobre requerimientos regulatorios con las Si, por medio del departamento legal.
regulatorios y contractuales con las salidas similares 1,00
salidas similares provenientes de otras funciones del negocio?
provenientes de otras funciones del negocio.
3.- ¿Se integra los reportes de TI sobre requerimientos contractuales con Si, por medio del departamento legal.
1,00
las salidas similares provenientes de otras funciones del negocio?
1.- ¿Se define el marco de gobierno de TI con la visión completa del Si se lo hace.
1,00
ME4 Proporcionar Gobierno de
entorno de control y Gobierno Corporativo?

ME4.1 - Establecimiento de un Marco de
2.- ¿Se establece el marco de gobierno de TI con la visión completa del Si.
Establecer visibilidad y facililitación del
1,00
consejo y de los ejecutivos hacia las
Definir, establecer y alinear el marco de gobierno de TI con la entorno de control y Gobierno Corporativo?
visión completa del entorno de control y Gobierno 3.- ¿Se alinea el marco de gobierno de TI con la visión completa del Si.
Corporativo. Basar el marco de trabajo en un adecuado 1,00
entorno de control y Gobierno Corporativo?
actividades de TI.
Gobierno de TI.
proceso de TI y modelo de control y proporcionar la rendición 4.- ¿Se basa el marco de trabajo en un adecuado proceso de TI? Si. 1,00
de cuentas y prácticas inequívocas para evitar una rotura en
5.- ¿Se basa el marco de trabajo en un adecuado modelo de control? Si.
TI
1,00
el control interno y la revisión. Confirmar que el marco de
gobierno de TI asegura el cumplimiento con las leyes y 6.- ¿El marco de trabajo proporciona la rendición de cuentas y prácticas Si.
1,00
regulaciones y que esta alineado, y confirma la entrega de, la inequívocas para evitar una rotura en el control interno y la revisión?
estrategia y objetivos empresariales. Informa del estado y 7.- ¿Se aseguran que el marco de gobierno de TI está cumpliendo con las Si.
1,00
cuestiones de gobierno de TI. leyes y regulaciones?
8.- ¿Se aseguran que el marco de gobierno de TI está alineado con las Si.
1,00
leyes y regulaciones?
9.- ¿Se informa del estado y cuestiones de gobierno de TI? Si. 1,00
115
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
CONTROL
DOMINIO
PROCESO
Facilitar el entendimiento del consejo directivo y de los 1.- ¿Se da a conocer al consejo directivo sobre temas estratégicos de TI? Solo en parte. 0,50
ejecutivos sobre temas estratégicos de TI tales como el rol de 2.- ¿Se da a conocer a los ejecutivos sobre temas estratégicos de TI?
Revisar, avalar, alinear y comunicar el desempeño
de TI, la estrategia de TI, el manejo de recursos y
Solo en parte. 0,50

TI, características propias y capacidades de la tecnología.
3.- ¿Se garantiza que la contribución potencial de TI cumple con la No, solo en parte.
riesgos de TI con respecto a la estrategia
Garantizar que existe un entendimiento compartido entre el 0,00

ME4.2 - Alineamiento Estratégico.
estrategia del negocio?

negocio y la función de TI sobre la contribución potencial de
4.- ¿Se trabaja con el consejo directivo para definir organismos de No.
TI a la estrategia del negocio. Trabajar con el consejo 0,00
gobierno (tales como un comité estratégico de TI)?
directivo para definir e implementar organismos de gobierno,
5.- ¿Se trabaja con el consejo directivo para implementar organismos de No.
empresarial.
tales como un comité estratégico de TI, para brindar una 0,00

gobierno (tales como un comité estratégico de TI)?
orientación estratégica a la gerencia respecto a TI,
6.- ¿Se brinda una orientación estratégica a la gerencia respecto a TI? Si. 1,00
garantizando así que tanto la estrategia como los objetivos se
distribuyan en cascada hacia las unidades de negocio y 7.- ¿Se facilita la alineación de TI con el negocio en cuanto a estrategia y No, solo en parte.
0,50
hacia las unidades de TI y que se desarrolle certidumbre y operaciones?
M confianza entre el negocio y TI. Facilitar la alineación de TI 8.- ¿Se fomenta la co-responsabilidad entre el negocio y TI en la toma de No, solo en parte.
decisiones estratégicas y en la obtención de los beneficios provenientes
O con el negocio en lo referente a estrategia y operaciones,
fomentando la co-responsabilidad entre el negocio y TI en la de las inversiones habilitadas con TI? 0,50
N toma de decisiones estratégicas y en la obtención de los
beneficios provenientes de las inversiones habilitadas con TI.
I
ME4.3 - Entrega de Va
Administrar los programas de inversión habilitados con TI, 1.- ¿Se administra los programas de inversión habilitados con TI, así como Si.
1,00
así como otros activos y servicios de TI, para asegurar que otros activos y servicios de TI?
T
Crear cuadro
ofrezcan el mayor valor posible para apoyar la estrategia y 2.- ¿Se implementa un enfoque disciplinado de la administración del Si.
mandos.
1,00
los objetivos empresariales. Asegurarse de que los resultados portafolio?
O de negocio esperados de las inversiones habilitadas por TI y 3.- ¿El departamento de TI garantiza la optimización de los costos por la Si.
ME4 Proporcionar Gobierno de TI
1,00
R el alcance completo del esfuerzo requerido para lograr esos
resultados esté bien entendido, que se generen casos de
prestación de servicios?
4.- ¿El departamento garantiza las capacidades de TI? Si. 1,00
E 1.- ¿Se revisa la inversión de TI por medio de evaluaciones periódicas? Si, por medio del presupuesto y el control
parte de la gerencia de
Resolver los hallazgos
las recomendaciones
presupuestario. 1,00
Administración de
de la evaluaciones
implantación por
independientes y
A Revisar inversión, uso y asignación de los activos de TI por

garantizar la
acordadas.
Recursos.
medio de evaluaciones periódicas de las iniciativas y 2.- ¿Se revisa el uso de los activos de TI por medio de evaluaciones Si.
ME4.4 -
R operaciones de TI para asegurar recursos y alineamiento periódicas?

apropiados con los objetivos estratégicos y los imperativos
1,00
de negocio actuales y futuros. 3.- ¿Se revisa la asignación de los activos de TI por medio de evaluaciones Si.
periódicas? 1,00
Y Trabajar con el consejo directivo para definir el nivel de 1.- ¿Se trabaja con el consejo directivo para definir el nivel de riesgo de TI No.
Generar un reporte de gobierno
0,00
riesgo de TI aceptable por la empresa y obtener garantía aceptable por la empresa?
ME4.5 - Administración de
razonable que las practicas de administración de riesgos de 2.- ¿Se aseguran que el riesgo actual de TI no excede el riesgo aceptable de No.
0,00
E TI son apropiadas para asegurar que el riesgo actual de TI no dirección?
Riesgos.
excede el riesgo aceptable de dirección. Introducir las 3.- ¿Se introduce las responsabilidades de administración de riesgos en la No.
de TI.
V responsabilidades de administración de riesgos en la organización?

0,00
organización, asegurando que el negocio y TI regularmente 4.- ¿Se evalúan los riesgos relacionados con TI y su impacto?
A evalúan y reportan riesgos relacionados con TI y su impacto y
No.
0,00
L que la posición de los riesgos de TI de la empresa es

transparente a los interesados.
5.- ¿Se reportan los riesgos relacionados con TI y su impacto? No.
0,00
U Confirmar que los objetivos de TI confirmados se han

1.- ¿Se verifica que los objetivos de TI cumple las expectativas de la Si.
comunicar el desempeño de
riesgos de TI con respecto a
empresa? 1,00
A
la estrategia empresarial.
Revisar, avalar, alinear y
conseguido o excedido, o que el progreso hacia las metas de

TI, la estrategia de TI, el
manejo de recursos y
ME4.6 - Medición del
TI cumple las expectativas. Donde los objetivos confirmados 2.- ¿Se informa a la alta dirección sobre los portafolios relevantes de TI? Si.
Desempeño.
R no se han alcanzado o el progreso no es el esperado, revisar 1,00

las acciones correctivas de gerencia. Informar a dirección los
3.- ¿Se informa a la alta dirección sobre los programas de TI? Si.
portafolios relevantes, programas y desempeños de TI, 1,00
soportados por informes para permitir a la alta dirección
revisar el progreso de la empresa hacia las metas 4.- ¿Se informa a la alta dirección sobre el desempeño de TI? Si.
identificadas. 1,00
1.- ¿Se garantiza de forma independiente la conformidad de TI con la Si.

Garantizar de forma independiente (interna o externa) la legislación de la organización? 1,00
gobierno de TI.
Independiente.
Aseguramiento
Generar un
reporte de
conformidad de TI con la legislación y regulación relevante; 2.- ¿Se garantiza de forma independiente la conformidad de TI con las Si.
ME4.7 -
las políticas de la organización, estándares y procedimientos; políticas de la organización? 1,00

practicas generalmente aceptadas; y la efectividad y 3.- ¿Se garantiza la efectividad del desempeño de TI? Si. 1,00
eficiencia del desempeño de TI.
4.- ¿Se garantiza la eficiencia del desempeño de TI? Si. 1,00

116
4.1.2.1 EVALUACIÓN DEL DEPARTAMENTO DE SISTEMAS DE LA
EMPRESA EP APLICANDO LA METODOLOGÍA COBIT 4.1
4.1.2.1.1 RESULTADOS FINALES OBTENIDOS
4.1.2.1.1.1 RESULTADO DE LA EVALUACIÓN DEL CUMPLIMIENTO A

NIVEL GENERAL
Para obtener el resultado general de cumplimiento del departamento de sistemas con

lo que indica la metodología COBIT se realizó las siguientes tablas de evaluación:
1. Evaluación por objetivos de control (Ver anexo # 2) se tomó en cuenta las

siguientes columnas procesos, actividades de los procesos, objetivos de control,
peso del objetivo y calificación porcentual del objetivo, donde se da un peso
ponderado de acuerdo a la cantidad de objetivos de control de cada proceso y a
su vez la calificación es el promedio de la sumatoria de los puntajes de cada
objetivo de control expresándolo en porcentaje (%).
2. Evaluación por procesos (Ver anexo # 1) se consideró las siguientes columnas;

dominios, procesos, cantidad de objetivos y calificación porcentual de cada
proceso. En la columna cantidad de objetivos se ingresó el número de acuerdo a
lo establecido en la metodología COBIT, para la calificación porcentual por
procesos se realizó un enlace con la tabla de evaluación por objetivos de control
multiplicando lo obtenido en la columna peso del objetivo por lo obtenido en la
columna calificación porcentual del objetivo, a este resultado se le agrega la
sumatoria de las celdas siguientes del objetivo de control.
3. Evaluación por dominio (Ver tabla # 6) se utilizó las columnas dominios,

cantidad de procesos y calificación porcentual del dominio. En la columna
cantidad de procesos se ingresó el número que aplica según la metodología
COBIT y para la calificación porcentual del dominio se aplicó un promedio de
la sumatoria de los valores porcentuales de cada uno de los procesos tomando
como referencia el anexo # 1.
Para la conclusión del cuadro general de COBIT se determinó que el promedio de

cumplimiento del departamento de sistemas es igual a: la multiplicación de las
columna “cantidad de procesos” por “calificación porcentual del dominio” más las
celdas siguientes del dominio, dividido para los 34 procesos que suman en la
metodología utilizada.
De acuerdo a la decisión tomada de manera grupal se estandarizó para la evaluación

general de COBIT, dominios, procesos y objetivos de control el porcentaje >=60%
117
para el cumplimiento aceptable y el porcentaje <60% para el cumplimiento no
aceptable.
En la tabla y gráfico siguiente se detallan los valores obtenidos:
TABLA 6: EVALUACIÓN DEL CUMPLIMIENTO DEL DEPARTAMENTO

DE SISTEMAS A NIVEL GENERAL
EVALUACIÓN DEL CUMPLIMIENTO A NIVEL GENERAL

PROMEDIO CUMPLIMIENTO 62%
PROMEDIO NO CUMPLIMIENTO 38%
GRÁFICO 1: EVALUACIÓN DEL CUMPLIMIENTO DEL

DEPARTAMENTO DE SISTEMAS A NIVEL GENERAL
ANÁLISIS:
En el análisis de cumplimiento se verifica que el departamento de sistemas obtuvo

un porcentaje de 62% considerado como un nivel aceptable, con relación al modelo
de madurez de COBIT se lo ubicaría en el nivel 2 (Repetible).
El promedio de los procesos no cumplidos están relacionados en un 38%, es decir

que aún falta complementar el desarrollo de más políticas, procedimientos,
118
documentación, y capacitación al personal involucrado para controlar los procesos,
que permita reducir las brechas existentes con lo establecido por COBIT.
4.1.2.1.1.2 RESULTADO FINAL DE LA EVALUACIÓN POR DOMINIO
Para la evaluación por dominio se desarrolló la siguiente tabla y gráfico donde se

muestran los resultados de acuerdo a la aplicación del diagnóstico realizado de los
procesos respectivos.
TABLA 7: EVALUACIÓN POR DOMINIO
EVALUACIÓN POR DOMINIO

DOMINIO # PROCESOS %
PLANEAR Y ORGANIZAR 10 68%

ADQUIRIR E IMPLEMENTAR 7 69%
ENTREGAR Y DAR SOPORTE 13 47%
MONITOREAR Y EVALUAR 4 86%
GRÁFICO 2: EVALUACIÓN POR DOMINIO
119
ANÁLISIS:
Acorde a los resultados obtenidos se verifica que el de menor cumplimiento es el

dominio Entregar y Dar Soporte con un porcentaje de 47% lo que indica que el
departamento de sistemas no cumple en su totalidad con la entrega de los servicios
requeridos, que incluyen: prestación del servicio, administración de la seguridad,
continuidad y administración de los datos e instalaciones operativas.
4.1.2.1.1.3 RESULTADO FINAL DE LA EVALUACIÓN POR PROCESO
Para la evaluación final de los procesos de cada dominio se desarrolló la tabla

evaluación por procesos (Ver anexo # 1) cuyo resultado nos permite establecer los de
menor cumplimiento para realizar su respectivo análisis.
RESULTADO DE LOS PROCESOS DEL DOMINIO PLANEAR Y

ORGANIZAR
Los resultados de los procesos del dominio Planear y Organizar se presentan en el
siguiente gráfico, con estos resultados se elaboró la tabla de evaluación por procesos
(Ver anexo # 1) para su posterior análisis:
GRÁFICO 3: PROCESOS DEL DOMINIO PLANEAR Y ORGANIZAR
120
ANÁLISIS:
A continuación se presenta un análisis detallado de los procesos de menor

cumplimiento del dominio planear y organizar:
• Definir la arquitectura de la información, con un 18% indica que el

departamento de sistemas carece de una infraestructura tecnológica apropiada
para la implantación de tecnología eficiente en la comunicación de las TI.
• Determinar la dirección tecnológica, con un 43% representa un nivel no

aceptable considerando los cambios tecnológicos que se presentan y las
innovaciones que se dan en el tiempo lo que impide una buena gestión de los
sistemas de información.
• Administrar la calidad, con un 33% implica que el departamento de

sistemas no está realiza monitoreos continuos y revisiones internas - externas
del desempeño contra los estándares y prácticas establecidos.
• Evaluar y Administrar los riesgos de TI, con un 36% indica que no se

realiza una evaluación de riesgos y vulnerabilidades que evite exponer el
logro de las metas de la empresa, se debe alinear los riesgos informáticos y
los costos de la empresa para minimizar las inversiones, priorizar y planificar
opciones de mitigación y realizar un cálculo de los impactos comerciales.
121
RESULTADO DE LOS PROCESOS DEL DOMINIO ADQUIRIR E
IMPLEMENTAR
Con el siguiente gráfico se muestra los procesos evaluados en el dominio Adquirir e
Implementar:
GRÁFICO 4: PROCESOS DEL DOMINIO ADQUIRIR E IMPLEMENTAR
ANÁLISIS:
El proceso Instalar y Acreditar Soluciones y Cambios con un 53% refleja que no se

adopta una metodología de prueba en las aplicaciones e infraestructura con el
propósito de disminuir los errores, y planear las liberaciones de nuevos procesos en
el departamento de sistemas.
122
RESULTADO DE LOS PROCESOS DEL DOMINIO ENTREGAR Y DAR
SOPORTE
Se detallan los procesos del dominio Entregar y Dar Soporte los cuáles han sido
evaluados en el siguiente gráfico:
GRÁFICO 5: PROCESOS DEL DOMINIO ENTREGAR Y DAR SOPORTE
ANÁLISIS:
Para este análisis se detallan a continuación los procesos de menor cumplimiento del
dominio Entregar y Dar Soporte:
• Definir y administrar los Niveles de Servicio, con un 53% representa que el

servicio brindado por el departamento de sistemas no es del todo aceptable lo
que indica que se deben establecer una definición de los niveles para
administrarlos de la manera más adecuada alineándolos con la estrategia del
negocio.
123
• Administrar los servicios de Terceros, con un 58% el departamento no
cuenta con un control donde se asegure las tareas y responsabilidades de las
terceras partes que estén claramente definidas, que cumplan y satisfagan los
requerimientos del negocio.
• Administrar el desempeño y la Capacidad, con un 37% representa poco

interés del personal del departamento de brindar nuevas medidas de acción y
cambios para rescatar la capacidad y rendimiento de los recursos
implementados para alcanzar el desempeño deseado por la empresa.
• Garantizar la Continuidad del Servicio, con un 43% implica que el

departamento no realiza mejoras en las acciones a tomar para garantizar la
recuperación de los procesos en caso de interrupción y aplicar en forma
inmediata un plan de contingencia que permita mantener el servicio
disponible en el menor tiempo posible y acorde a los requerimientos.
• Garantizar la Seguridad de los Sistemas, con un 56% está por debajo del
límite de aceptación no se salvaguarda la información contra uso no
autorizado, divulgación, modificación, daño o pérdida.
• Educar y entrenar a los usuarios, con un 52% representa que la formación

que se da a los usuarios para el uso efectivo de la tecnología no está acorde a
las responsabilidades.
• Administrar la mesa de servicio y los incidentes, con un 30% los servicios

requeridos por los usuarios de la empresa no se atiende y/o despacha
eficientemente para desenvolverse adecuadamente en los diferentes procesos.
• Administrar la Configuración, con un 39% no se realiza una gestión

completa de todos los componentes de los servicios de TI para prevenir
alteraciones en los procesos donde deben estar bien definidos los roles y
responsabilidades de cada encargado del departamento de sistemas de la
empresa.
124
• Administrar los Problemas, con un 0% no se investigan las causas
subyacentes de las alteraciones de los servicios de TI, que permitan
determinar posibles soluciones de la manera más eficaz para que no vuelvan a
ocurrir.
• Administrar los Datos, con un 21% el departamento de sistemas no cuenta

con procedimientos efectivos y documentados para administrar cada uno de
los procesos que permite asegurar la disponibilidad y seguridad de la
información.
125
RESULTADO DE LOS PROCESOS DEL DOMINIO MONITOREAR Y
EVALUAR
El dominio Monitorear y Evaluar se compone de 4 procesos que son evaluados en el
gráfico siguiente:
GRÁFICO 6: PROCESOS DEL DOMINIO MONITOREAR Y EVALUAR
ANÁLISIS:
De acuerdo a la evaluación realizada en el dominio Monitorear y Evaluar todos los

procesos se encuentran en un promedio aceptable dentro de lo establecido con
COBIT cabe recalcar que en la evaluación realizada por objetivos de control
hubieron algunos que no cumplían con los parámetros los cuales serán analizados
posteriormente.
126
DE CONTROL
Para el diagnóstico de los objetivos de control en el departamento de sistemas en la

empresa EP se tomará en consideración la evaluación de los mismos cuyo valor es <
60. Se desarrolló la tabla “Evaluación por controles” (Ver anexo # 2) para obtener los
resultados los cuáles serán presentados a continuación:
PROCESO PO1 – DEFINIR UN PLAN ESTRATÉGICO DE TI
Se detallan los objetivos de control que comprende el proceso definir un plan

estratégico de TI en el siguiente gráfico:

PO1 – DEFINIR UN PLAN ESTRATÉGICO DE TI
127
ANÁLISIS:
Se verifica en el gráfico presentado anteriormente que el objetivo de control de

menor cumplimiento es alineación de TI con el negocio con un 50%, el departamento
no cuenta con la tecnología adecuada que permita buscar una ventaja competitiva
minimizando los rubros de la empresa.
PROCESO PO2 – DEFINIR LA ARQUITECTURA DE LA INFORMACIÓN
El proceso definir la arquitectura de la información se muestra con sus respectivos

objetivos de control en el siguiente gráfico:

PO2 – DEFINIR LA ARQUITECTURA DE TI
ANÁLISIS:
Para el análisis se considera el proceso, debido a que todos los objetivos de control
son de menor cumplimiento indicándonos que el departamento de sistemas debe
128
optar por un diseño estructural en entornos de información para facilitar la
comprensión y asimilación de las interfaces para los usuarios.
PROCESO PO3 - DETERMINAR LA DIRECCIÓN TECNOLÓGICA
En el siguiente gráfico se detallan los objetivos de control de menor cumplimiento

que comprende el proceso determinar la dirección tecnológica.

PO3 - DETERMINAR LA DIRECCIÓN TECNOLÓGICA
ANÁLISIS:
Para el análisis se considera los de menor cumplimiento que los detallamos a

continuación:
• Monitoreo de tendencias y regulaciones futuras con un 0%, nos indica

que no existe un proceso contemplado en el plan de infraestructura
tecnológica de TI para monitorear las tendencias ambientales, tecnológicas,
de infraestructura, legales y regulatorias como recomienda COBIT.
129
• Consejo de arquitectura de TI, con un 0% el departamento no cuenta con
un consejo de arquitectura que establezca un control prioritario para el control
de las TI donde se vincule a progresos para una dirección adecuada en la
empresa.
PROCESO PO4 - DEFINIR LOS PROCESOS, ORGANIZACIÓN Y

RELACIONES DE TI
Definiremos en el siguiente gráfico los objetivos de control de menor cumplimiento

del proceso definir los procesos, organización y relaciones de TI.

PO4 - DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI
130
ANÁLISIS:
A continuación detallaremos los objetivos de control:
• Comité Estratégico de TI, con un 0% el departamento de sistemas no cuenta

con un consejo estratégico de TI que asegure el manejo adecuado de la
dirección estratégica de la empresa.
• Comité Directivo de TI, con un 0% no se cuenta con un comité directivo de

TI que permita dar seguimiento al avance de los proyectos y resolver los
conflictos de recursos, así mismo monitorear los niveles de servicios y las
mejoras del servicio.
• Responsabilidad de Aseguramiento de Calidad de TI, con un 0% no se

asignan responsabilidades para asegurar la calidad del grupo de sistemas y
satisfacer los requerimientos del negocio.
• Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento, con un

14% no se mantiene un control de los riesgos de TI que ocasionan pérdidas
de la información, se debe mantener la integridad de los datos para asegurar
los objetivos del negocio.
• Propiedad de Datos y de Sistemas, con un 33% el departamento no cuenta

procedimientos y herramientas que permitan enfrentar responsabilidades de
propiedad sobre los datos y los sistemas de información.
• Relaciones, con un 50% no se cuenta con una estructura óptima de enlace y

coordinación entre la función de TI y otros interesados dentro y fuera como
por ejemplo el consejo directivo, ejecutivos, unidades de negocio,
proveedores.
131
PROCESO PO5 - ADMINISTRAR LA INVERSION DE TI
A continuación se detallan los objetivos de control del proceso Administrar la

Inversión de TI.

PO5 - ADMINISTRAR LA INVERSION DE TI
ANÁLISIS:
Para el análisis se considera los de menor cumplimiento lo que detallamos a

continuación:
• Prioridades dentro del Presupuesto de TI, con un 33% no cuenta con un

proceso para la toma de decisiones para dar prioridades a la asignación de
recursos de TI para proyectos de operaciones y mantenimiento.
• Administración de Beneficios, con un 33% no cuenta con un proceso de

monitoreo de beneficios que contengan reportes para mejorar la contribución
de TI.
132
PROCESO PO6 - COMUNICAR LAS ASPIRACIONES Y LA DIRECCIÓN
DE LA GERENCIA
En el siguiente gráfico se detalla los objetivos de control de menor cumplimiento que

abarca en el proceso comunicar las aspiraciones y la dirección de la gerencia.

PO6 - COMUNICAR LAS ASPIRACIONES Y LA DIRECCIÓN DE LA
GERENCIA
ANÁLISIS:
En el proceso se evaluó cada objetivo donde se puede determinar que el objetivo de

control con menor porcentaje de cumplimiento es:
• Comunicación de los Objetivos y la Dirección de TI, con un 50% los

objetivos del departamento no son comunicados adecuadamente a los
usuarios de la organización.
133
PROCESO PO7 - ADMINISTRAR RECURSOS HUMANOS DE TI
Del estudio realizado al proceso Administrar Recursos Humanos de TI, se detallan

los objetivos de control en el siguiente gráfico.

PO7 - ADMINISTRAR RECURSOS HUMANOS DE TI
ANÁLISIS:
A continuación se realiza un detalle de los objetivos con menor cumplimiento:
• Entrenamiento del Personal de TI, con un 0% el departamento de recursos

humanos de la empresa no cuenta con la orientación necesaria al momento de
la contratación del personal del departamento de sistemas para medir su
conocimiento, aptitud, responsabilidad, conciencia sobre la seguridad, al
nivel requerido para alcanzar las metas del negocio.
• Dependencia sobre los Individuos, con un 50% no cuenta con la

capacitación de los usuarios claves de cada departamento en cuanto al uso de
las tecnologías para poder cumplir con los procesos de la empresa.
134
PROCESO PO8 - ADMINISTRAR LA CALIDAD
A continuación se presenta el gráfico donde se muestra el resultado de la evaluación

de los objetivos de control del proceso de Administrar la Calidad.

PO8 - ADMINISTRAR LA CALIDAD
ANÁLISIS:
La evaluación de cada objetivo de control refleja que cinco de los seis objetivos de
este proceso, tienen el menor porcentaje de cumplimiento y son:
• Sistema de Administración de Calidad, con un 50% establece que no

cuentan con políticas o modelos que proporcionen un enfoque estándar con
respecto a la administración de la calidad y que estén alineados con los
requerimientos del negocio, la estructura organizacional para la
administración de la calidad no cubre todas las responsabilidades.
135
• Estándares y Prácticas de Calidad, con un 50% refleja que no identifican y
mantienen estándares, procedimientos y prácticas para los procesos claves de
TI para orientar a la organización hacia el cumplimiento del QMS.
• Estándares de Desarrollo y Adquisición, con un 13% revela que no

mantienen estándares para todo desarrollo y adquisición que siga el ciclo de
vida que incluya la aprobación en puntos claves basados en criterios de
aceptación acordados.
• Mejora Continua, con un 0% demuestra que no se mantiene ni comunica

con regularidad un plan global de calidad que promueva el fortalecimiento
del área.
• Medición, Monitoreo y Revisión de la Calidad, con un 0% indica que no

definen, planean e implementan mediciones para monitorear el cumplimiento
continuo del QMS, así como el valor que éste proporciona.
136
PROCESO PO9 - EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI
En el siguiente gráfico se muestra el resultado de la evaluación de los objetivos de

control del proceso Evaluar y Administrar los Riesgos de TI.

PO9 - EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI
ANÁLISIS:
En este proceso los seis objetivos de control que lo conforman tienen un menor
porcentaje de cumplimiento, lo cual se detalla a continuación:
• Marco de Trabajo de Administración de Riesgos, con un 50% demuestra

que el marco de trabajo de administración de riesgos de TI no está alineado al
marco de trabajo de administración de riesgos de la organización.
• Establecimiento del Contexto del Riesgo, con un 0% indica que no tienen

establecido un contexto en el cual el marco de trabajo de evaluación de
riesgos garantice los resultados apropiados.
137
• Identificación de Eventos, con un 50% revela que los riesgos relevantes no
son registrados, lo que dificulta identificar los eventos para reducir el impacto
y conservar el potencial del negocio.
• Evaluación de Riesgos de TI, con un 50% refleja que la evaluación de los

riesgos de TI no se la hace periódicamente y en forma apropiada.
• Respuesta a los Riesgos, con un 50% implica que el proceso de respuesta a

riesgos no establece controles efectivos que mitiguen la exposición en forma
continua y que identifique estrategias para evitar, reducir, compartir o aceptar
riesgos así como determinar responsabilidades dentro del departamento.
• Mantenimiento y Monitoreo de un Plan de Acción de Riesgos, con un 50%

muestra que las actividades de control de todos los niveles que dan
respuestas a los riesgos no están debidamente priorizadas, mantenidas y
monitoreadas.
138
PROCESO PO10 - ADMINISTRAR PROYECTOS
La evaluación de los objetivos de control del proceso de Administrar Proyectos se

detalla en el siguiente gráfico:

PO10 - ADMINISTRAR PROYECTOS
ANÁLISIS:
La evaluación de los 10 objetivos de control que conforman el proceso Administrar

Proyectos nos muestra que están por encima del porcentaje establecido como nivel
de cumplimiento.
La administración de proyectos en la empresa EP cumple con los parámetros que

permiten que su ejecución asegure la calidad de los entregables.
139
DOMINIO ADQUIRIR E IMPLEMENTAR
PROCESO AI1 - IDENTIFICAR SOLUCIONES AUTOMATIZADAS
En el siguiente gráfico se detalla el resultado de la evaluación de los objetivos de

control del proceso Identificar Soluciones Automatizadas.

AI1 - IDENTIFICAR SOLUCIONES AUTOMATIZADAS
ANÁLISIS:
De los cuatro objetivos de control que conforman este proceso solo uno, que
corresponde al Estudio de Factibilidad y Formulación de Cursos de Acción
Alternativos tiene un 0% lo que indica que no realizan estudios de factibilidad para
la implementación de requerimientos como se define en los estándares de desarrollo
y tampoco identifican soluciones alternas que sean rentables para la organización.
140
PROCESO AI2 - ADQUIRIR Y MANTENER SOFTWARE APLICATIVO
El resultado de la evaluación de los objetivos de control que conforman el proceso

adquirir y mantener software aplicativo se presentan en el siguiente gráfico.

AI2 - ADQUIRIR Y MANTENER SOFTWARE APLICATIVO
ANÁLISIS:
La evaluación de cada uno de los 10 objetivos que conforman este proceso revela
que tres de ellos obtuvieron menor porcentaje de cumplimiento y son:
• Diseño de Alto Nivel, con un 38% indica que para la adquisición de software,
no se tiene en cuenta las directivas tecnológicas y la arquitectura de
información de la organización y que la incompatibilidad técnica o lógica no
es evaluada.
• Aseguramiento de la Calidad del Software, con un 0% demuestra que no se

cuenta con un plan de aseguramiento de calidad y que el desarrollo e
implementación de recursos no están acordes a las políticas y procedimientos
de calidad de la organización.
141
• Mantenimiento de Software Aplicativo, con un 50% significa que no se
desarrollan estrategias para un buen mantenimiento de las aplicaciones del
software.
PROCESO AI3 - ADQUIRIR Y MANTENER INFRAESTRUCTURA

TECNOLÓGICA
Con la evaluación de los objetivos de control del proceso Adquirir y mantener

infraestructura tecnológica se pudo determinar los objetivos de menor cumplimiento
como se muestra en el siguiente gráfico:

AI3 - ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA
ANÁLISIS:
Este proceso está conformado por cuatro objetivos de control de los cuales el de
menor cumplimiento es el que corresponde al Mantenimiento de la Infraestructura
que obtuvo un 50% lo que implica que no tienen un plan de mantenimiento bien
definido en lo referente al control de cambios en la infraestructura tecnológica que
garantice que las aplicaciones críticas de la empresa se vean afectadas en su
desempeño.
142
PROCESO AI4 - FACILITAR LA OPERACIÓN Y EL USO
Facilitar la operación y el uso hace referencia a cuatro objetivos de control los cuales
no todos pasan el porcentaje de cumplimiento, en el siguiente gráfico se detalla el
porcentaje de cumplimiento.

AI4 - FACILITAR LA OPERACIÓN Y EL USO
ANÁLISIS:
Dos de los objetivos de control de este proceso tienen un porcentaje de menor

cumplimiento y son:
• Plan para Soluciones de Operación, con un 50% que refleja la ausencia de

un plan que permita identificar y documentar los aspectos técnicos así como
la capacidad de operación y los niveles de servicios requeridos. Actualmente
solo a nivel de aplicativos desarrollan manual de usuarios y manual técnico
• Transferencia de Conocimiento al Personal de Operaciones y Soporte,

con un 57% lo que indica que existe disponibilidad de manuales efectivos de
143
usuario y de operación, así como entrenamiento necesario al personal
involucrado incluyendo la gerencia, para el correcto uso del sistema. La base
de conocimientos está en proceso.
PROCESO AI5 - ADQUIRIR RECURSOS DE TI
En el gráfico siguiente se detalla la evaluación de los objetivos de control del proceso

Adquirir recursos de TI.

AI5 - ADQUIRIR RECURSOS DE TI
ANÁLISIS:
La valoración de los cuatro objetivos de control de este proceso nos revela que todos
los objetivos superan el porcentaje aceptable de cumplimiento, lo que refleja que se
aplican políticas y procedimientos para la adquisición de las TI y que la relación con
los proveedores se maneja en forma estratégica cuidando todos los aspectos.
144
PROCESO AI6 - ADMINISTRAR CAMBIOS
El gráfico que se muestra a continuación detalla la evaluación de los objetivos de

control del proceso Administrar Cambios.

AI6 - ADMINISTRAR CAMBIOS
ANÁLISIS:
De los cinco objetivos de control que conforman este proceso, dos no alcanzan el
porcentaje aceptable de cumplimiento y son:
• Cambios de Emergencia, con un 33% lo que hace referencia a que no hay un

proceso establecido para estos casos, aunque si se documenta y se realizan las
pruebas correspondientes, falta el desarrollo y aplicación de procedimientos.
• Seguimiento y Reporte del Estatus de Cambio, con un 0% que indica que

no hay un sistema que administre los cambios y actualice su estatus y que
esté integrada con la administración del negocio.
145
PROCESO AI7 - INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS
En el gráfico que se presenta a continuación se muestra el resultado de la evaluación

de los objetivos de control del proceso Instalar y Acreditar Soluciones y Cambios.

AI7 - INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS
ANÁLISIS:
Este proceso está compuesto de nueve objetivos de control, cinco de los cuales
obtuvieron un porcentaje de menor cumplimiento y son:
• Entrenamiento, con un 30% indica que no existe un plan definido para el

entrenamiento del personal y que las indicaciones básicas que reciben de
acuerdo al requerimiento no es suficiente,
• Plan de Prueba, con un 30% refleja la inexistencia de un plan de pruebas

que defina roles, responsabilidades y criterios de entrada y salida, a pesar de
que si se realizan pruebas estas no contempla lo recomendado en un plan.
146
• Ambiente de Prueba, con un 50% implica que aunque cuentan con un
ambiente de prueba, este no está basado en un estándar pero si cuidan de no
afectar los datos.
• Conversión de Sistemas y Datos, con un 0% indica que no cuentan con un

plan de conversión de datos y migración de infraestructuras y una
metodología de prueba para que las soluciones de aplicaciones e
infraestructura esté libre de errores.
• Pruebas de Cambio, con un 33% muestra que a pesar que en las pruebas de
cambio se considera la seguridad y el desempeño el no contar con un plan de
pruebas las acciones que se tomen son inconsistentes.
147
DOMINIO ENTREGAR Y DAR SOPORTE
PROCESO DS1 – DEFINIR Y ADMINISTRAR LOS NIVELES DE

SERVICIO
Se muestra la evaluación de los objetivos del proceso Definir y Administrar los

niveles de Servicios en el siguiente gráfico:

DS1 – DEFININIR Y ADMINISTRAR LOS NIVELES DE SERVICIO
ANÁLISIS:
De los seis objetivos de control que conforman el proceso Definir y Administrar los
niveles de servicio, los de menor cumplimiento son los cinco que se detallan a
continuación:
• Marco de Trabajo de la Administración de los Niveles de Servicios con un

21% refleja la inexistencia de un marco de trabajo que permita la alineación
de los servicios claves de TI con la estrategia del negocio.
148
• Acuerdos de Niveles de Servicios, con un 50% muestra que a pesar de que a
nivel de aplicaciones cuentan con SLAs, no es suficiente para asegurar la
alineación de TI con los objetivos del negocio.
• Acuerdos de Niveles de Operación, con un 50% indica que no consideran

un estándar para que los acuerdos de niveles de operación especifiquen en
términos claros los procesos para entregar los servicios que soporten los
SLAs,
• Monitoreo y Reporte del Cumplimiento de los Niveles de Servicios, con

un 50% hace referencia a que no se monitorean en forma adecuada el
cumplimiento de los niveles de servicio mantener monitoreado
continuamente los criterios de desempeño, así mismo y solo se verifican en
el sistema los nuevos requerimientos, se hacen informes pero los responsables
no ingresan la información por lo tanto no existen estadísticas para analizar
tendencias.
• Revisión de los Acuerdos de Niveles de Servicios y de los Contratos, con

un 50% indica que la revisión de los acuerdos de niveles de servicio es
informal y solo se lo hace a proveedores externos lo que asegura parcialmente
su efectividad.
149
PROCESO DS2 – ADMINISTRAR LOS SERVICIOS DE TERCEROS
En el siguiente gráfico se muestra el resultado de la evaluación de los objetivos de

control del proceso Administrar los servicios de terceros:

DS2 – ADMINISTRAR LOS SERVICIOS DE TERCEROS
ANÁLISIS:
En el resultado de la evaluacion de los objetivos de control de este proceso se

verifica que dos de ellos tienen un menor cumplimiento y estos son:
• Identificación de Todas las Relaciones con Proveedores, con un 13%

señala que la identificación y categorización de los servicios del proveedor no
está estructurada, es insuficiente.
• Monitoreo del Desempeño del Proveedor, con un 50% que indica que se
monitorea el desempeño del proveedor aunque no existe un proceso definido.
150
PROCESO DS3 – ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD
El gráfico que se muestra a continuación detalla la evaluación de los objetivos de

control del proceso Administrar el desempeño y la capacidad.

DS3 – ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD
ANÁLISIS:
En la evaluación de los cinco objetivos de control que conforman este proceso se

observa que los que tienen el menor cumplimiento son:
• Capacidad y Desempeño Actual, con un 0% indica que no se revisa en

forma regular la capacidad y el desempeño de los recursos de TI para
verificar si alcanzan los niveles de servicios acordados.
• Capacidad y Desempeño Futuros, con un 0% refleja que no se hace una

proyección de la capacidad y desempeño de los recursos de TI, ni se analizan
los excesos de capacidad para optimizar su uso.
151
• Disponibilidad de Recursos de TI, con un 50% demuestra que toman
medidas para que los recursos de TI cumplan con su capacidad y desempeño
pero a su vez no cuentan con un plan de contingencia implantado.
• Monitoreo y Reporte, con un 50% implica que la política que se aplica de

revisar cada dos años el desempeño y la capacidad de los recursos de TI
representa un estado de poca calidad en el servicio y en la adquisición de los
recursos.
152
PROCESO DS4 – GARANTIZAR LA CONTINUIDAD DEL SERVICIO
En el gráfico siguiente se detallan los objetivos de control del proceso Garantizar la

Continuidad del Servicio y su evaluación de cumplimiento:

DS4 – GARANTIZAR LA CONTINUIDAD DEL SERVICIO
ANÁLISIS:
En este análisis se consideran los objetivos de control críticos del proceso, los cuales
se detallan a continuacion:
• Planes de Continuidad de TI, con un 0%, nos demuestra que no existen

planes de continuidad lo cual significa que no están preparados para el
impacto que se produciría por una interrupción mayor.
• Recursos Críticos de TI, con un 0% implica que no están identificados los

puntos más vulnerables de TI ni cuentan con procedimientos para asegurar la
continuidad.
153
• Pruebas del Plan de Continuidad de TI, con un 50% revela que al no haber
plan de continuidad de TI tampoco se pueden realizar pruebas y que
garantizan la continuidad de TI basándose en la descripción de funciones que
están en el manual de procedimientos.
• Entrenamiento del Plan de Continuidad de TI, con un 20% demuestra que

el personal involucrado no recibe regularmente el entrenamiento adecuado en
caso de incidente o desastre, pero que cada uno si conoce sus
responsabilidades.
• Distribución del Plan de Continuidad de TI, con un 50% determina que las
reuniones que se realizan con el departamento de desarrollo organizacional
para definir estrategias en caso de emergencia, cumplen a medias con lo que
significa contar con un plan de continuidad probado y debidamente
comunicado.
• Recuperación y Reanudación de los Servicios de TI, con un 25% implica

que las acciones para recuperación y reanudación de los servicios de TI no
son planeadas y solo en el momento que ocurren los eventos se improvisan
las acciones a seguir.
• Almacenamiento de Respaldos Fuera de las Instalaciones, con un 30% es

decir que la información es respaldada en el sistema, de la base de datos se lo
hace diariamente y cada usuario respalda su información semestralmente. No
existe almacenamiento fuera de las instalaciones.
• Revisión Post Reanudación, con un 50% representa que si hacen revisiones

luego de una interrupción a pesar de no contar con un plan de continuidad de
TI.
154
PROCESO DS5 – GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS
En el gráfico siguiente se muestran el resultado de la evaluación de los objetivos de

control del proceso garantizar la seguridad de los sistemas.

DS5 – GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS
ANÁLISIS:
Se puede determinar que en este proceso los objetivos de control de menor

cumplimiento son los siguientes:
• Administración de la Seguridad de TI, con un 30% indica que la

administración de la seguridad, no está alineada con los requerimientos del
negocio.
• Plan de Seguridad de TI, con un 50% implica que no existe un plan de

seguridad de TI, pero si hacen una consideración de la infraestructura de TI
con los requerimientos del negocio.
155
• Administración de Cuentas del Usuario, con un 0% demuestra que no
existen procedimientos para la administración de cuentas de usuario, no
tienen manuales de usuario, tampoco criterios para la creación de cuentas de
usuario, se basan en los procedimientos de soporte.
• Definición de Incidente de Seguridad, con un 0% es decir que no existen

procedimientos establecidos, cuando existe mal uso de la red solo bloquean el
problema y lo comunican al jefe y luego se toman medidas correctivas.
• Protección de la Tecnología de Seguridad, con un 50% refleja que la

seguridad no está cubierta en su totalidad, solo a nivel interno.
• Intercambio de Datos Sensitivos, con un 50% muestra que solo protegen la

web por medio de un proxy, no tienen protección para el correo electrónico.
156
PROCESO DS6 – IDENTIFICAR Y ASIGNAR COSTOS
En el siguiente gráfico se detalla la evaluación de los objetivos de control del proceso

Identificar y asignar costos.

DS6 – IDENTIFICAR Y ASIGNAR COSTOS
ANÁLISIS:
En los cuatro objetivos de control que conforman este proceso se identificó que el de
menor cumplimiento es:
DS6.1 Definición de Servicios con un 50% indica que se los costos de TI son
identificados en términos globales pero no están clasificados.
157
PROCESO DS7 – EDUCAR Y ENTRENAR A LOS USUARIOS
Con el siguiente gráfico se muestra la evaluación de los objetivos de control del

proceso Educar y entrenar a los usuarios.

DS7 – EDUCAR Y ENTRENAR A LOS USUARIOS
ANÁLISIS:
Este proceso consta de tres objetivos de control y en la evaluación los que obtuvieron
el menor cumplimiento son:
• Identificación de Necesidades de Entrenamiento y Educación, con un 57%

implica que no cuentan con un programa definido de entrenamiento, pero que
si incluyen la implementación de nuevo software (BAAN) y por medio de
Recursos Humanos se certifican habilidades y competencias en el personal
seleccionado.
• Evaluación del Entrenamiento Recibido, con un 0% demuestra que al no

contar con un programa definido de entrenamiento no se realizan las
evaluaciones necesarias luego de una capacitación que contribuirían a futuro
en nuevos planes de estudio o de entrenamiento.
158
PROCESO DS8 – ADMINISTRAR LA MESA DE SERVICIO Y LOS
INCIDENTES
En el siguiente gráfico se detalla la evaluación de los objetivos de control del proceso

Administrar la mesa de servicio y los incidentes.

DS8 – ADMINISTRAR LA MESA DE SERVICIO Y LOS INCIDENTES
ANÁLISIS:
Se evaluó cada objetivo de este proceso determinando que los que obtuvieron el
menor porcentaje de cumplimiento son:
• Mesa de Servicios, con un 0% que implica que no tienen procedimientos de

monitoreo basados en los SLAs, que permitan registrar, comunicar, atender y
analizar todas las llamadas e incidentes reportados.
• Escalamiento de Incidentes, con un 0% indica que no han desarrollado

procedimientos basados en los acuerdos de los SLAs, se escalen los
problemas no resueltos en primera instancia otorgando una solución alterna.
159
• Cierre de Incidentes, con un 0% nos revela que los incidentes no son
registrados apropiadamente y tampoco se confirma cual fue la acción tomada
y acordada con el cliente.
• Análisis de Tendencias, con un 50% refleja que no se emiten reportes de la

actividad de la mesa de servicios que permita a la gerencia medir su
desempeño y los tiempos de respuesta, así como llevar el registro de la causa
raíz de los incidentes y su recurrencia. Y de esta manera identificar cuáles son
los problemas más comunes y mejorar el servicio.
PROCESO DS9 – ADMINISTRAR LA CONFIGURACIÓN
La evaluación obtenida de los objetivos de control del proceso Administrar la

Configuración se presenta en el siguiente gráfico:

DS9 – ADMINISTRAR LA CONFIGURACIÓN
160
ANÁLISIS:
El resultado de la evaluación de los objetivos de control críticos de este proceso son:
• Repositorio y Línea Base de Configuración, con un 25% indica que carecen

de una herramienta de soporte y un repositorio que contenga la información
relevante. Tampoco existen procedimientos para el monitoreo y cambios que
realizan en la configuración.
• Identificación y Mantenimiento de Elementos de Configuración, con un

0%, revela que no cuentan con procedimientos que soporten la gestión de
cambios.
• Revisión de Integridad de la Configuración, con un 33% demuestra que las

revisiones del software instalado que realizan cada seis meses no es suficiente
para alcanzar el cumplimiento de este objetivo ya que lo hacen de manera
informal, es decir que no se basan en un procedimiento bien definido y
establecido.
161
PROCESO DS10 – ADMINISTRAR LOS PROBLEMAS
En el gráfico siguiente se presenta la evaluación de los objetivos de control del

proceso Administrar los Problemas.

DS10 – ADMINISTRAR LOS PROBLEMAS
ANÁLISIS:
En la evaluación de este proceso los cuatro objetivos de control que lo conforman no

alcanzan el porcentaje aceptable de cumplimiento, ya que tienen un 0% lo que
permite identificar que no existe una adecuada administración de los problemas
desde contar con procesos o procedimientos para identificar los incidentes hasta el
cierre del mismo pasando por determinar la causa raíz.
162
PROCESO DS11 – ADMINISTRAR LOS DATOS
En el siguiente gráfico se muestra la evaluación de los objetivos de control del

proceso Administrar los datos:

DS11 – ADMINISTRAR LOS DATOS
ANÁLISIS:
Los objetivos de control con menor porcentaje de cumplimiento son:
• Requerimientos del Negocio para Administración de Datos, con un 25%

nos muestra que no existe un seguimiento adecuado para que el recibimiento
y procesamiento de los datos sea oportuno, y no se soportan los reinicios y los
reprocesos.
163
• Acuerdos de Almacenamiento y Conservación, con un 50% relaciona que
no existen procedimientos para el archivo, almacenamiento y retención de los
datos, solo se hacen respaldos de información y únicamente lo que indica el
usuario cuando realizan mantenimiento.
• Sistema de Administración de Librerías de Medios, con un 0% demuestra

que tampoco para este objetivo están establecidos los procedimientos para
mantener un inventario de medios almacenados y archivados que permitan
asegurar su usabilidad e integridad.
• Eliminación, con un 0% implica la inexistencia de procedimientos para la

protección de datos y software que asegure los requerimientos del negocio.
• Respaldo y Restauración, con un 50% indica que los procedimientos para el

respaldo de los sistemas, aplicaciones, datos y documentación que vayan de
la mano con el plan de continuidad y los requerimientos del negocio al no
estar documentados impide verificar su real cumplimiento.
• Requerimientos de Seguridad para la Administración de Datos, con un

0% establece que no se tienen desarrolladas políticas y procedimientos para la
restauración de datos durante todo el ciclo de vida.
164
PROCESO DS12 – ADMINISTRAR EL AMBIENTE FÍSICO
A continuación se detalla la evaluación de los objetivos de control del proceso

Administrar el Ambiente Físico como lo muestra el siguiente gráfico:

DS12 – ADMINISTRAR EL AMBIENTE FÍSICO
ANÁLISIS:
La Administración de Instalaciones Físicas con 50% implica que falta implementar

una adecuada administración para estos componentes necesarios para que el
ambiente físico en el que se desarrollan las TI se complemente con los otros
objetivos de control que permitan que el proceso alcance el nivel de cumplimiento
deseado.
165
PROCESO DS13 – ADMINISTRAR LAS OPERACIONES
Se muestra en el siguiente gráfico la evaluación de los objetivos de control que

forman parte del proceso Administrar las operaciones:

DS13 – ADMINISTRAR LAS OPERACIONES
ANÁLISIS:
Los objetivos de menor cumplimiento de este proceso son los que se detallan a
continuación:
• Procedimientos e Instrucciones de Operación, con un 50% demuestra la

falta de procedimientos para el manejo de las operaciones de TI y que solo se
basan en el desempeño del personal a cargo de las actividades relacionadas
con las TI.
166
• Monitoreo de la Infraestructura de TI, con un 0% revela la falta de
procedimientos definidos ya que de manera empírica realizan el monitoreo de
la infraestructura de TI.
• Documentos Sensitivos y Dispositivos de Salida, con un 50% implica que

esta actividad no se administra apropiadamente y lo activos de TI no están
asegurados en su totalidad.
167
DOMINIO MONITOREAR Y EVALUAR
En el siguiente gráfico se detalla la evaluación de los objetivos de control que

conforman el proceso Monitorear y evaluar el desempeño de TI.

ANÁLISIS:
El Enfoque del Monitoreo con un 0% es el único objetivo de control que no alcanza

el nivel de cumplimiento aceptable en vista de que no cuentan con un marco de
trabajo de monitoreo general, tampoco tienen un proceso para medir la solución y la
entrega de servicios de TI y monitorear la contribución de TI al negocio.
168
PROCESO ME2 - MONITOREAR Y EVALUAR EL CONTROL INTERNO
En el siguiente gráfico se detallan los objetivos de control del proceso Monitorear y

Evaluar el Control Interno.

ME2 - MONITOREAR Y EVALUAR EL CONTROL INTERNO
ANÁLISIS:
El Control de Auto Evaluación, con 0% demuestra que no tienen programas de

auto evaluación y solo se basan en los resultados de las auditorías internas y externas.
169
PROCESO ME3 - GARANTIZAR EL CUMPLIMIENTO REGULATORIO
A continuación se detalla el gráfico con los objetivos de control del proceso

Garantizar el Cumplimiento Regulatorio.

ME3 - GARANTIZAR EL CUMPLIMIENTO REGULATORIO
ANÁLISIS:
Se puede verificar que después del análisis desarrollado en este proceso, los objetivos
de control que lo conforman cumplen con el 100% lo que indica que por medio del
departamento legal de la empresa se toman todas las medidas para garantizar el
cumplimiento con las regulaciones internas y externas.
170
PROCESO ME4 - PROPORCIONAR GOBIERNO DE TI
En el gráfico siguiente se muestra la evaluación de los objetivos de control

pertenecientes al proceso Proporcionar Gobierno de TI.

ME4 - PROPORCIONAR GOBIERNO DE TI
ANÁLISIS:
Los objetivos de control con menor porcentaje de cumplimiento en este proceso son:
• Alineamiento Estratégico, con un 38% revela que la falta de comunicación

con los directivos sobre temas estratégicos de TI no les permite facilitar la
alineación de TI con el negocio y tampoco tomar decisiones para la obtención
de los beneficios provenientes de las inversiones habilitadas con TI.
• Administración de Riesgos, con un 0% indica que no se evalúan ni reportan

los riesgos relacionados con TI así como su impacto. Tampoco se define el
nivel de riesgo de TI a través de un consejo directivo que asegure que el
riesgo actual no exceda el riesgo aceptable de dirección.
171
DE CONTROL DE MENOR CUMPLIMIENTO
RESUMEN DE LOS OBJETIVOS DE CONTROL DE MENOR

CUMPLIMIENTO
En el siguiente gráfico se detallan los 96 objetivos de control con menor

cumplimiento, es decir los que tuvieron un resultado <60% establecido como nivel
aceptable.
GRÁFICO 41: RESUMEN DE LOS OBJETIVOS DE CONTROL DE MENOR

CUMPLIMIENTO

172
ANÁLISIS:
Mediante la evaluación realizada a nivel de los 210 objetivos de control de COBIT se

obtiene el resultado de 96 objetivos de control de menor cumplimiento (<60) y 114
objetivos de control (>=60) lo que indica que se encuentran en un nivel aceptable de
acuerdo a lo que establece la metodología.
EVALUACIÓN DE OBJETIVOS DE CONTROL CRÍTICOS
Los 37 objetivos de control considerados críticos porque obtuvieron 0% de

cumplimiento se registra en el gráfico siguiente:
GRÁFICO 42: EVALUACIÓN DE OBJETIVOS DE CONTROL CRÍTICOS

173
ANÁLISIS:
En el gráfico se puede verificar que solo están detallados todos los objetivos críticos
que tienen un porcentaje de 0% de los cuales se dieron a conocer al jefe del
departamento de TI quien escogió cinco de estos objetivos para que sean
desarrolladas las políticas.
4.1.3 EVALUACIÓN DE RIESGOS DE TI
Para la evaluación de riesgos de TI nos hemos basado en el método DELPHI ya que

nos permite la categorización individual de las amenazas a que están expuestos los
sistemas computarizados y de los objetos de riesgo que comprenden los sistemas, con
el fin de identificar las áreas de alto, medio y bajo riesgo para minimizar sus efectos.
Para la realización de la matriz de identificación de los niveles de riesgo se coordinó
con cuatro personas del departamento de sistemas para:
1. Definir amenazas y objetos del sistema que detallaremos en la siguiente tabla:
TABLA 8: LISTADO DE AMENAZAS/OBJETOS DEFINIDOS POR EL

DEPARTAMENTO DE SISTEMAS

174
2. Aplicar el formato amenazas y objetos para su evaluación respectiva. (Ver
anexo # 5)
3. Recopilar datos para el registro en la tabla # 9 (comparación de categorías por

amenazas) y la tabla # 10 (comparación de categorías por objetos) de acuerdo
a la evaluación realizada por cada uno de los colaboradores del departamento
de sistemas. (Ver anexos # 7,8,9 y 10)
TABLA 9: COMPARACIÓN DE CATEGORÍAS DE RIESGOS POR

AMENAZAS
Fuente: (José Dagoberto Pinilla Forero, Auditoría informática, Un enfoque

operacional, Pág.175, 1992)
ANÁLISIS:
Las amenazas causan pérdidas o daños a los activos de la empresa y colocan en

riesgo la integridad, confidencialidad y disponibilidad de la información. Las
amenazas pueden ser causadas por: desastres naturales, desastres no naturales, causas
175
internas o externas, pero siempre serán constantes y pueden ocurrir en cualquier
momento, el objetivo es impedir impactos al negocio.
En la tabla anterior podemos verificar que el índice de mayor riesgo es Violación de

privacidad lo que indica que existe una vulnerabilidad de la seguridad de las redes de
la información de la empresa, lo que se recomienda es implementar: políticas y guías
por el uso indebido de la información, un sistema de detección de intrusiones de host,
capacitación constante a los usuarios sobre los peligros que involucra abrir páginas
electrónicas no autorizadas.
En la siguiente tabla se detallan los resultados obtenidos de la evaluación de riesgos

por objetos:
TABLA 10: COMPARACIÓN DE CATEGORÍAS DE RIESGOS POR

OBJETOS


176
ANÁLISIS:
En la evaluación realizada anteriormente verificamos que el objeto a analizar son los

programas debido a que presentan un mayor índice de riesgo lo que implica que la
persona encargada de la seguridad debe controlar el manejo de la información
proporcionada a los diferentes usuarios de la empresa para evitar fraudes internos o
externos.
En la siguiente tabla se detalla la matriz resultado amenazas/objetos aplicados en el

departamento de sistemas para su posterior análisis:
TABLA 11: MATRIZ RESULTADO AMENAZAS/OBJETOS

ANÁLISIS:
La combinación de las dos categorizaciones permite realizar un control de los riesgos

colocando los totales de amenazas/objetos en orden de mayor a menor, seguidamente
se multiplican cada uno de los valores para obtener el nivel de riesgo/sensibilidad de
las celdas de acuerdo al producto. Como se observa en la tabla anterior cada color
177
indica la repetición de los valores que al final solo uno será considerado, es decir el
repetido no será tomado en cuenta para la definición de los niveles
riesgo/sensibilidad de alto, medio y bajo riesgo.
Para obtener los resultados de los niveles de riesgo/sensibilidad se elaboró la tabla #

12 Definición de los niveles de riesgo/sensibilidad de TI.
TABLA 12: DEFINICIÓN DE LOS NIVELES DE RIESGO/SENSIBILIDAD

DE TI

ANÁLISIS:
Para segmentar los niveles de riesgo/sensibilidad se realizó una tabla donde se ubicó
los valores repetidos de la multiplicación de amenazas/objetos de mayor a menor con
el número de repeticiones, además el número total de celdas de la matriz. Para dividir
las celdas en regiones de mayor, mediano y menor riesgo se realizó la resta del total
de celdas con el total de las repeticiones dividido para cuatro (= ((48-12)/4)), dando
un total de nueve (9) para determinar los siguientes rangos:
178
ALTO RIESGO = De 1 a 9 celdas
MEDIANO RIESGO = De 10 a 27 celdas
BAJO RIESGO = De 28 a 36 celdas
En la siguiente tabla se verifica las áreas de alto, mediano y bajo riesgos clasificados
por color:
TABLA 13: MATRIZ IDENTIFICACIÓN DE LOS NIVELES DE RIESGO
MATRIZ DE IDENTIFICACIÓN DE LOS NIVELES DE RIESGO

VIOLACIÓN DE
AMENAZAS PÉRDIDA DE DATOS ERRORES DESASTRE FÍSICO ACCESO ILEGAL ROBO
PRIVACIDAD
OBJETOS 14 13 11 10 7 5
ARCHIVOS DE
294 273 231 210 147 105
BASES DE DATOS
21 1 2 6 8 18 23
INFRAESTRUCTURA 266 247 209 190 133 95
19 3 4 9 11 20 25
COMPUTADORAS/
238 221 187 170 119 85
DISCOS
17 5 7 12 14 22 27
REPORTES 210 195 165 150 105 75
15 8 10 16 17 23 29
CIRCUITOS DE
210 195 165 150 105 75
COMUNICACIÓN
15 8 10 16 17 23 29
TERMINALES 182 169 143 130 91 65
13 13 15 19 21 26 31
TERMINAL DE
98 91 77 70 49 35
OPERACIÓN
7 24 26 28 30 34 35
PROGRAMAS 70 65 55 50 35 25
5 30 31 32 33 35 36
ALTO RIESGO De 1 a 9 celdas 9
MEDIANO RIESGO De 10 a 27 celdas 18

BAJO RIESGO De 28 a 36 celdas 9

Nota: Las celdas con valor repetido se las considera una sola vez para la numeración
de los niveles de riesgo.
179
ANÁLISIS:
Se considera como nivel de alto riesgo, las amenazas/objetos que se encuentran en

las celdas numeradas del 1 al 9. Con el resultado del trabajo realizado, se recomienda
diseñar y documentar controles a nivel preventivo, detectivo y correctivo de acuerdo
con el área seleccionada para minimizar sus efectos en el negocio. El análisis con
respecto a COBIT identifica al objetivo de control PO4.8 (Responsabilidad sobre el
riesgo, la seguridad y el cumplimiento para implementar prácticas de supervisión)
como el objetivo con el que se pueda cerrar la brecha existente, ya que permite
evaluar si todo el personal del departamento de sistemas cuenta con los
conocimientos adecuados para llevar a cabo las responsabilidades de los servicios
brindados a la empresa.
4.1.4 ELABORACIÓN DE POLÍTICAS A APLICAR ACORDE A LOS

OBJETIVOS DE CONTROL CRÍTICOS
En la realización de esta propuesta el departamento de sistemas seleccionó 5

objetivos críticos acorde a los resultados obtenidos en el diagrama, los cuales se
detallan a continuación:
1. Política para el Monitoreo de tendencias y regulaciones futuras.
2. Política del Comité estratégico de TI.
3. Política de Estudio para la factibilidad de cursos de acción.
4. Política de Continuidad de TI.
5. Política de los Recursos críticos.
180
POLÍTICA PARA EL MONITOREO DE Código:
TENDENCIAS Y REGULACIONES FUTURAS XXX-GG-TI-P005
TECNOLOGÍA DE LA INFORMACIÓN Versión: 1
Página 1 de 1
I. OBJETIVO
Asegurar que los servicios de información mantengan un monitoreo continuo

de las tendencias futuras y condiciones regulatorias para que sean
considerados en el desarrollo y mantenimiento del plan de infraestructura
tecnológica.
II. ALCANCE
Estas políticas deben ser cumplidas por todo el personal de TI.
III. POLÍTICAS
a) Considerar en el plan de infraestructura tecnológica las tendencias

ambientales y de la tecnología presente y futura así como las legales y
regulatorias.
b) Establecer estándares de tecnología que sean consistentes con el plan de

infraestructura tecnológica.
c) Definir procedimientos para la evaluación y monitoreo de las tendencias y

regulaciones futuras
d) Identificar las inconsistencias en el Modelo de Arquitectura de

Información y en el Modelo de Datos Corporativo con el fin de
precautelar la integridad de los datos.
Elaborado por: Aprobado por:
Jefe de Sistemas Gerente General
181
POLÍTICA DEL COMITÉ ESTRATÉGICO Código:
DE TI XXX-GG-TI-P005
Versión: 1
TECNOLOGÍA DE LA INFORMACIÓN
Página 1 de 2
I. OBJETIVO
Asegurar la adecuada gobernabilidad de las tecnologías de información y

asesorar a la Gerencia General en la toma de decisiones.
II. ALCANCE
III. POLÍTICAS
a) Establecer las prioridades de TI, comunicarlas en forma clara al personal

involucrado y cuidar que no existan desviaciones de estas prioridades para
que no se afecte negativamente el cumplimiento de los objetivos
estratégicos.
b) Dar seguimiento al plan estratégico de TI para su actualización y velar

que se cumpla.
c) Controlar en forma periódica el avance de los proyectos de TI para

proteger el valor de la inversión.
d) Estudiar el presupuesto anual de las TIC para asesorar sobre su

aprobación.
e) Respaldar los procesos de TI fomentando programas de capacitación para

los funcionarios.

182
POLÍTICA DEL COMITÉ ESTRATÉGICO DE Código:
TI XXX-GG-TI-P005
Versión: 1
Página 2 de 2
f) El cumplimiento de las disposiciones del Comité son responsabilidad del

Jefe de TI.
g) Cuidar la correcta gestión de los recursos informáticos en el ámbito

general de la empresa y su buen funcionamiento bajo criterios de
eficiencia y eficacia.
h) Informar a la Gerencia General de las incidencias producidas y las

medidas adoptadas.

183
POLÍTICA PARA EL ESTUDIO DE Código:
FACTIBILIDAD Y FORMULACIÓN DE XXX-GG-TI-P005
CURSOS DE ACCIÓN ALTERNATIVOS Versión: 1
Pagina 1 de 1
I. OBJETIVO
Evaluar mediante estudios la factibilidad para la implementación de los

requerimientos de TI y determinar cursos de acción alternos para su
recomendación.
II. ALCANCE
III. POLÍTICAS
a) Elaborar estudios de: factibilidad económica y de desempeño tecnológico,

de arquitectura de información y de análisis de riesgos.
b) Estudiar y analizar soluciones alternativas a los requerimientos de los

usuarios considerando su costo-beneficio y observando el modelo de
datos de la arquitectura de información de la empresa.
c) Definir procedimientos a cumplir e identificar estándares a seguir en la

adquisición de hardware, software y servicios de tecnología de
información.
d) Regular todas las adquisiciones bajo contratos que estipulen todo tipo de
pruebas y revisiones antes de ser aceptadas.

184
POLÍTICA PARA PLANES DE Código:
CONTINUIDAD DE TI XXX-GG-TI-P005
Versión: 1
Pagina 1 de 2
I. OBJETIVO
Reducir el impacto por la interrupción de las funciones de TI y los procesos

claves del negocio.
II. ALCANCE
III. POLÍTICAS
a) Desarrollar un plan de cotinuidad de TI que abarque los servicios de

información, así como los recursos dependientes del sistema de
información.
b) Establecer procedimientos emergentes que garanticen la seguridad del

personal afectado.
c) Desarrollar programas de entrenamiento para las personas que intervienen

en el plan de continuidad.
d) Realizar pruebas periodicas de los planes de contingencia para verificar si

los resultados son los esperados.
e) Documentar los procedimientos manuales alternos y mantener

actualizados los planes que forman parte del plan global y comunicar a
todo el personal involucrado verificando su total entendimiento.

185
POLÍTICA PARA PLANES DE Código:
CONTINUIDAD DE TI XXX-GG-TI-P005
Versión: 1
Pagina 2 de 2
f) Realizar mediciones comparativas con los planes de continuidad de

organizaciones similares o estándares internacionales probados.
186
POLÍTICA PARA RECURSOS CRÍTICOS Código:
DE TI XXX-GG-TI-P005
Versión: 1
Pagina 1 de 1
I. OBJETIVO
Recuperar los puntos considerados como críticos y asegurar que corresponden

a las necesidades prioritarias del negocio.
II. ALCANCE
III. POLÍTICAS
a) Mantener una lista actualizada de los recursos y aplicaciones del sistema

priorizados de mayor a menor que incluya los tiempos de recuperación
requeridos y las normas de desempeño esperados.
b) Determinar la recuperación de los servicios para los diferentes niveles de

prioridad, considerando los costos y cumplimiento de regulaciones.
c) Evaluar los riesgos y considerar el aseguramiento de los recursos tanto de

infraestructura como de personas.
d) Mantener un programa detallado paso a paso de las respuestas para

situaciones emergentes tanto para pérdidas mínimas como totales.
187
CONCLUSIONES y RECOMENDACIONES
CONCLUSIONES
En el departamento de sistemas de la empresa EP se verificó en el transcurso del

desarrollo del proyecto que no cuentan con procedimientos y políticas definidas para
cada proceso; Base de datos, aplicativos, comunicaciones, seguridades y soporte a
usuarios que permitan llevar un seguimiento de los roles y responsabilidades del
personal para cumplir con los requerimientos del negocio.
El análisis de riesgos reveló que la infraestructura tecnológica no es la adecuada para

respaldar toda la información manejada en la empresa EP por lo que se deben tomar
las medidas respectivas.
La brecha que se encontró en el manejo de los procesos contrastados con lo definido

por la metodología COBIT refirió un promedio del 38% generalizando todos los
objetivos críticos existentes.
Se concluye que los objetivos de control son necesarios para garantizar el correcto
funcionamiento, la calidad de los resultados y la mejora continua de las operaciones
así como también para detectar debilidades y riesgos potenciales de cada proceso del
departamento.
188
RECOMENDACIONES
Nuestro proyecto está basado en el análisis de los procesos de TI del departamento

de sistemas de la Empresa EP con la finalidad de determinar el grado de
cumplimiento con relación a lo recomendado por la metodología COBIT 4.1.
Hay muchas razones de importancia por las que se recomienda a la empresa EP

implementar la metodología COBIT 4.1, entre ellas se mencionan las siguientes:
• Optimización de los recursos de TI.
• Disponibilidad de información oportuna, segura y confiable.
• Infraestructura Tecnológica robusta, escalable y rentable.
• Actualizaciones puntuales, efectivas y eficaces.
• Soporte a usuarios garantizados.
• Protección de datos.
• Recurso humano calificado.
• Equilibrio entre los riesgos y las inversiones de TI.
• Políticas y procedimientos adecuados para cada proceso.
Lo anteriormente descrito permitirá al departamento de sistemas alcanzar todo el

potencial que promete la tecnología, generando un clima de confianza con los
directivos y los usuarios finales, y contribuir en el logro de los objetivos estratégicos
de la empresa.
189
ANEXOS
ANEXO 1: EVALUACIÓN POR PROCESOS
EVALUACIÓN POR PROCESOS - COBIT

#
DOMINIOS PROCESOS OBJETIVOS %
PO1 - Definir un Plan Estratégico de TI 6 89%

PO2 - Definir la Arquitectura de la Información 4 18%
PO3 - Determinar la Dirección Tecnológica 5 43%
PO4 - Definir los Procesos, Organización y
15 67%
Relaciones de TI
PLANEAR Y PO5 - Administrar la Inversión en TI 5 73%
ORGANIZAR PO6 - Comunicar las Aspiraciones y la Dirección
5 85%
de la Gerencia
PO7 - Administrar Recursos Humanos de TI 8 77%
PO8 - Administrar la Calidad 6 33%
PO9 - Evaluar y Administrar los Riesgos de TI 6 36%
PO10 - Administrar Proyectos 14 98%
AI1 - Identificar soluciones automatizadas 4 75%
AI2 - Adquirir y mantener software aplicativo 10 70%
AI3 - Adquirir y mantener infraestructura
4 77%
ADQUIRIR E tecnológica
IMPLEMENTAR AI4 - Facilitar la operación y el uso 4 77%
AI5 - Adquirir recursos de TI 4 92%
AI6 - Administrar cambios 5 60%
AI7 - Instalar y acreditar soluciones y cambios 9 53%
DS1 - Definir y administrar los niveles de
6 53%
servicio
DS2 - Administrar los servicios de terceros 4 58%
DS3 - Administrar el desempeño y la capacidad 5 37%
DS4 - Garantizar la continuidad del servicio 10 43%
DS5 - Garantizar la seguridad de los sistemas 11 56%
DS6 - Identificar y asignar costos 4 84%
ENTREGAR Y
DS7 - Educar y entrenar a los usuarios 3 52%
DAR SOPORTE
DS8 - Administrar la mesa de servicio y los
5 30%
incidentes
DS9 - Administrar la configuración 3 19%
DS10 - Administrar los problemas 4 0%
DS11 - Administrar los datos 6 21%
DS12 - Administrar el ambiente físico 5 84%
DS13 - Administrar las operaciones 5 60%
ME1 - Monitorear y Evaluar el Desempeño de TI 6 83%
MONITOREAR ME2 - Monitorear y Evaluar el Control Interno 7 86%
Y EVALUAR ME3 - Garantizar el Cumplimiento Regulatorio 5 100%
ME4 - Proporcionar Gobierno de TI 7 77%

190
ANEXO 2: EVALUACIÓN POR OBJETIVOS DE CONTROL
EVALUACIÓN POR CONTROLES - COBIT

PROCESOS ACTIVIDADES DEL PROCESO OBJETIVOS DE CONTROL PESO %
PO1 - Definir un Plan Estratégico de
Relacionar las metas del negocio con las de PO1.1 - Administración del Valor
0,17 90%
TI. de TI.
Relacionar las metas del negocio con las de PO1.2 - Alineación de TI con el
0,17 50%
TI. Negocio.
Identificar dependencias críticas y desempeño PO1.3 - Evaluación del Desempeño
TI
0,17 100%
actual. y la Capacidad Actual.
Construir un plan estratégico para TI. PO1.4 - Plan Estratégico de TI. 0,17 100%
Construir planes tácticos para TI. PO1.5 - Planes Tácticos de TI. 0,16 100%
Analizar portafolios de programas y
PO1.6 - Administración del
administrar portafolios de servicios y 0,16 100%
Portafolio de TI.
proyectos.
Crear y mantener modelo de información PO2.1 - Modelo de Arquitectura de
0,25 47%
corporativo/empresarial. Información Empresarial.
PO2 - Definir la Arquitectura de la
PO2.2 - Diccionario de Datos

Crear y mantener diccionario de datos
Empresarial y Reglas de Sintáxis de 0,25 0%
corporativo.
Datos.
Información
*Establecer y mantener esquema de

clasificación de datos.
PO2.3 - Esquema de Clasificación
*Brindar a los dueños procedimientos y 0,25 0%
de Datos.
herramientas para clasificar los sistemas de
información.
Usar el modelo de información, el diccionario

PO2.4 - Administración de
de datos y el esquema de clasificación para 0,25 25%
Integridad.
planear los sistemas optimizados del negocio.
PO3 - Determinar la Dirección
Crear y mantener un plan de infraestructura PO3.1 - Planeación de la Dirección

0,20 67%
tecnológica. Tecnológica.
Tecnológica
PO3.2 - Plan de Infraestructura

Crear y mantener estándares tecnológicos. 0,20 67%
Tecnológica.
PO3.3 - Monitoreo de Tendencias y
Publicar estándares tecnológicos. 0,20 0%
Regulaciones Futuras.
Monitorear la evolución tecnológica. PO3.4 - Estándares Tecnológicos. 0,20 80%
Definir el uso (futuro) (estratégico) de la nueva PO3.5 - Consejo de Arquitectura de
0,20 0%
tecnología. TI.
191
Diseñar Marco de Trabajo para el proceso de PO4.1 - Marco de Trabajo de

0,07 100%
TI. Procesos de TI.
Establecer estructura organizacional de TI,

incluyendo comités y ligas a los interesados y PO4.2 - Comité Estratégico de TI. 0,07 0%
proveedores.
incluyendo comités y ligas a los interesados y PO4.3 - Comité Directivo de TI. 0,07 0%
proveedores.
PO4.4 - Ubicación Organizacional
Identificar dueños de sistemas. 0,07 100%
de la Función de TI.
PO4 - Definir los Procesos, Organización y Relaciones de TI
incluyendo comités y ligas a los interesados y PO4.5 - Estructura Organizacional. 0,07 100%
proveedores.
PO4.6 - Establecimiento de Roles y
responsabilidades de TI, incluida la 0,07 100%
Responsabilidades.
PO4.7 - Responsabilidad de
Aseguramiento de Calidad de TI.
Establecer e implantar roles y PO4.8 - Responsabilidad sobre el
responsabilidades de TI, incluida la Riesgo, la Seguridad y el 0,07 14%
supervisión y segregación de funciones. Cumplimiento.
PO4.9 - Propiedad de Datos y de
Sistemas.
responsabilidades de TI, incluida la PO4.10 - Supervisión. 0,07 100%
PO4.11 - Segregación de
Funciones.
responsabilidades de TI, incluida la PO4.12 - Personal de TI. 0,07 100%
responsabilidades de TI, incluida la PO4.13 - Personal Clave de TI. 0,07 100%
PO4.14 - Políticas y Procedimientos
para Personal Contratado.
responsabilidades de TI, incluida la PO4.15 - Relaciones. 0,07 50%
192
PROCES OS ACTIVIDADES DEL PROCES O OBJETIVOS DE CONTROL PES O %
PO6 - Comunicar las Aspiraciones y la PO5 - Administrar la Inversión en Dar mantenimiento al portafolio de programas PO5.1 - Marco de Trabajo para la
0,20 100%
de inversión. Administración Financiera.
PO5.2 Prioridades dentro del
Dar mantenimiento al portafolio de proyectos. 0,20 33%
Presupuesto de TI.
Dar mantenimiento al portafolio de servicios. PO5.3 - Proceso Presupuestal. 0,20 100%

TI
Establecer y mantener proceso presupuestal PO5.4 - Administración de Costos

0,20 100%
de TI. de TI.
Identificar, comunicar y monitorear la PO5.5 - Administración de

0,20 33%
inversión, costo y valor de TI para el negocio. Beneficios.
Elaborar y mantener un ambiente y marco de PO6.1 - Ambiente de Políticas y de

0,20 100%
control de TI. Control.
Dirección de la Gerencia
PO6.2 - Riesgo Corporativo y

Elaborar y mantener un ambiente y marco de
Marco de Referencia de Control 0,20 75%
control de TI.
Interno de TI.
PO6.3 - Administración de Políticas
Elaborar y mantener políticas de TI. 0,20 100%
para TI.
PO6.4 - Implantación de Políticas
Elaborar y mantener políticas de TI. 0,20 100%
de TI.
Comunicar el marco de control y los objetivos PO6.5 - Comunicación de los

0,20 50%
y dirección de TI. Objetivos y la Dirección de TI.
Identificar las habilidades de TI, benchmarks

PO7.1 - Reclutamiento y Retención
sobre descripciones de puesto, rango de 0,13 75%
del Personal.
salarios y desempeño del personal.

sobre descripciones de puesto, rango de PO7.2 - Competencias del Personal. 0,13 100%
PO7 - Administrar Recursos Humanos de TI

sobre descripciones de puesto, rango de PO7.3 - Asignación de Roles. 0,13 100%
Ejecutar las políticas y procedimientos

relevantes de RH para TI(reclutar, contratar, PO7.4 - Entrenamiento del Personal
0,13 0%
investigar, compensar, entrenar, evaluar, de TI.
PO7.5 - Dependencia Sobre los
sobre descripciones de puesto, rango de 0,12 50%
Individuos.
relevantes de RH para TI(reclutar, contratar, PO7.6 - Procedimientos de
0,12 100%
investigar, compensar, entrenar, evaluar, Investigación del Personal.
relevantes de RH para TI(reclutar, contratar, PO7.7 - Evaluación del Desempeño
0,12 92%
investigar, compensar, entrenar, evaluar, del Empleado.
relevantes de RH para TI(reclutar, contratar, PO7.8 - Cambios y Terminación de
0,12 100%
investigar, compensar, entrenar, evaluar, Trabajo.
193
Definir un sistema de administración de PO8.1 - Sistema de Administración
0,17 50%
PO8 - Administrar la Calidad calidad. de Calidad.
Establecer y mantener un sistema de PO8.2 - Estándares y Prácticas de
0,17 50%
administración de calidad. Calidad.
Crear y comunicar estándares de calidad a PO8.3 - Estándares de Desarrollo y
0,17 13%
toda la organización. de Adquisición.
Crear y comunicar estándares de calidad a PO8.4 - Enfoque en el Cliente de
0,17 83%
toda la organización. TI.
Crear y administrar el plan de calidad para la
PO8.5 - Mejora Continua. 0,16 0%
mejora continua.
Medir, monitorear y revisar el cumplimiento PO8.6 - Medición, Monitoreo y
0,16 0%
de las metas de calidad. Revisión de la Calidad.
Determinar la alineación de la administración PO9.1 - Marco de Trabajo de

0,17 50%
de riesgos (ej: Evaluar riesgo). Administración de Riesgos.
Determinar la alineación de la administración PO9.2 - Establecimiento del

0,17 0%
de riesgos (ej: Evaluar riesgo). Contexto del Riesgo.
PO9 - Evaluar y Administrar los Riesgos de TI
*Entender los objetivos de negocio

estratégicos relevantes.
PO9.3 - Identificación de Eventos. 0,17 50%
*Entender los objetivos de los procesos de
negocios relevantes.
*Identificar los objetivos internos de TI y

establecer el contexto del riesgo.
*Identificar eventos asociados con objetivos,
PO9.4 - Evaluación de Riesgos de
algunos eventos están orientados a negocio 0,17 50%
TI.
(negocio es A); algunos están orientados a TI
(TI es A, negocio es C).
*Asesorar el riesgo con los eventos.
Evaluar y seleccionar respuestas a riesgo. PO9.5 - Respuesta a los Riesgos. 0,16 17%
*Priorizar y Planear actividades de control.

*Aprobar y asegurar fondos para planes de
PO9.6 - Mantenimiento y Monitoreo
acción de riesgos. 0,16 50%
de un Plan de Acción de Riesgos.
*Mantener y monitorear un plan de acción de
riesgos.
Definir un marco de administración de PO10.1 - Marco de Trabajo para la

0,07 100%
programas/portafolio para inversiones en TI. Administración de Programas.
Establecer y mantener un Marco de Trabajo PO10.2 - Marco de Trabajo para la

0,07 100%
PO10 - Administrar Proyectos
para la administración de proyectos de TI. Administración de Proyectos.
*Establecer y mantener un sistema de

monitoreo, medición y administración de
sistemas. PO10.3 - Enfoque de
0,07 100%
*Elaborar estatutos, calendarios, planes de Administración de Proyectos.
calidad, presupuestos y planes de
comunicación y de administración de riesgos.
*Asegurar la participación y compromiso de

los interesados del proyecto. PO10.4 - Compromiso de los
0,07 100%
*Asegurar el control efectivo de los proyectos Interesados.
y de los cambios a proyectos.
194
Definir e implementar métodos de PO10.5 - Declaración de Alcance
0,07 100%
aseguramiento y revisión de proyectos. del Proyecto.
Definir e implementar métodos de PO10.6 - Inicio de las Fases del
0,07 100%
aseguramiento y revisión de proyectos. Proyecto.
Definir e implementar métodos de PO10.7 - Plan Integrado del
0,07 100%
PO10 - Administrar Proyectos

PO10.8 - Recursos del Proyecto. 0,07 100%
Definir e implementar métodos de PO10.9 - Administración de Riesgos
0,07 100%
aseguramiento y revisión de proyectos. del Proyecto.
Definir e implementar métodos de PO10.10 - Plan de Calidad del
0,07 100%
Definir e implementar métodos de PO10.11 - Control de Cambios del
0,07 100%
Definir e implementar métodos de PO10.12 - Planeación del Proyecto
0,07 100%
aseguramiento y revisión de proyectos. y Métodos de Aseguramiento.
PO10.13 - Medición del
Desempeño, Reporte y Monitoreo 0,08 100%
del Proyecto.
PO10.14 - Cierre del Proyecto. 0,08 67%
Definir los requerimientos funcionales y
AI1.1 - Definición y Mantenimiento
AI1 - Identificar soluciones automatizadas
técnicos del negocio. *Establecer procesos

de los Requerimientos Técnicos y 0,25 100%
para la integridad/válidez de los
Funcionales del Negocio.
requerimientos.
Identificar, documentar y analizar el riesgo del AI1.2 - Reporte de Análisis de
0,25 100%
proceso de negocio. Riesgos.
AI1.3 - Estudio de Factibilidad y
Evaluar los beneficios de negocio de las
Formulación de Cursos de Acción 0,25 0%
Alternativos.
Conducir un estudio de factibilidad/evaluación

de impacto con respecto a la implantación de
los requerimientos de negocio propuestos. AI1.4 - Requerimientos, Decisión de
0,25 100%
*Elaborar un proceso de aprobación de Factibilidad y Aprobación.
requerimientos. *Aprobar y Autorizar
Traducir los requerimientos del negocio en

AI2.1 - Diseño de Alto Nivel. 0,10 38%
especificaciones de diseño de alto nivel.
Preparar diseño detallado y los requerimientos

AI2.2 - Diseño Detallado. 0,10 92%
técnicos del software aplicativo.
AI2 - Adquirir y mantener software aplicativo
Preparar diseño detallado y los requerimientos AI2.3 - Control y Posibilidad de

0,10 100%
técnicos del software aplicativo. Auditar las Aplicaciones.
Especificar los controles de aplicación dentro AI2.4 - Seguridad y Disponibilidad
0,10 67%
del diseño. de las Aplicaciones.
AI2.5 - Configuración e
Personalizar e implementar la funcionalidad
Implantación de Software Aplicativo 0,10 100%
automatizada adquirida.
Adquirido.
Personalizar e implementar la funcionalidad AI2.6 - Actualizaciones Importantes
0,10 100%
automatizada adquirida. en Sistemas Existentes.
Desarrollar las metodologías y procesos
AI2.7 - Desarrollo de Software
formales para administrar el proceso de 0,10 90%
Aplicativo.
desarrollo de la aplicación.
Crear un plan de aseguramiento de la calidad AI2.8 - Aseguramiento de la
0,10 0%
del software para el proyecto. Calidad del Software.
Dar seguimiento y administrar los AI2.9 - Administración de los
0,10 67%
requerimientos de la aplicación. Requerimientos de Aplicaciones.
Desarrollar un plan para el mantenimiento de AI2.10 - Mantenimiento de
0,10 50%
aplicaciones de software. Software Aplicativo.
195
AI3 - Adquirir y mantener

infraestructura tecnológica
Negociar la compra y adquirir la
AI3.1 - Plan de Adquisición de
infraestructura requerida con proveedores 0,25 71%
Infraestructura Tecnológica.
(aprobados).
Definir el procedimiento/ proceso de AI3.2 - Protección y Disponibilidad
0,25 86%
adquisición. del Recurso de Infraestructura.
Definir estrategia y planear el mantenimiento AI3.3 - Mantenimiento de la
0,25 50%
de infraestructura. Infraestructura.
AI3.4 - Ambiente de Prueba de
Configurar componentes de la infraestructura. 0,25 100%
Factibilidad.
Desarrollar estrategia para que la solución sea AI4.1 - Plan para Soluciones de
0,25 50%
AI4 - Facilitar la operación y el uso
operativa. Operación.
AI4.2 - Transferencia de
Desarrollar metodología de transferencia de
Conocimiento a la Gerencia del 0,25 100%
conocimiento.
Negocio.
Desarrollar manuales de procedimiento del
usuario final. * Evaluar los resultados del AI4.3 - Transferencia de
0,25 100%
entrenamiento y ampliar la documentación Conocimiento a Usuarios Finales.
como se requiera.
Desarrollar documentación de soporte técnica AI4.4 - Transferencia de
para operaciones y personal de soporte. * Conocimiento al Personal de 0,25 57%
Desarrollar y dar entrenamiento. Operaciones y Soporte.
Desarrollar políticas y procedimientos de

AI5 - Adquirir recursos de TI
adquisición de TI de acuerdo con las políticas AI5.1 - Control de Adquisición. 0,25 67%
de adquisiciones a nivel corporativo.
Establecer/mantener una lista de proveedores AI5.2 - Administración de Contratos

0,25 100%
acreditados. con Proveedores.
Evaluar y seleccionar proveedores a través de
AI5.3 - Selección de Proveedores. 0,25 100%
un proceso de solicitud de propuesta (RFP).
Desarrollar contratos que protejan los
intereses de la organización. *Realizar AI5.4 - Adquisición de Recursos de
0,25 100%
adquisiciones de conformidad con los TI.
procedimientos establecidos.
Desarrollar e implementar un proceso para
AI6.1 - Estándares y
registrar, evaluar y dar prioridad en forma 0,20 83%
AI6 - Administrar cambios.
Procedimientos para Cambios.

consistente a las solicitudes de cambio.
Evaluar impacto y dar prioridad a cambios en AI6.2 - Evaluación de Impacto,
0,20 100%
base a las necesidades del negocio. Priorización y Autorización.
Garantizar que cualquier cambio crítico y de
AI6.3 - Cambios de Emergencia. 0,20 33%
emergencia sigue el proceso aprobado.
AI6.4 - Seguimiento y Reporte del
Autorizar cambios. 0,20 0%
Estatus de Cambio.
Administrar y diseminar la información AI6.5 - Cierre y Documentación del
0,20 83%
relevante referente a cambios. Cambio.
196
Construir y revisar planes de investigación. AI7.1 - Entrenamiento. 0,11 30%
Definir y revisar una estrategia de prueba

AI7 - Instalar y acreditar soluciones y cambios
(criterio de entrada y salida) y la metodología AI7.2 - Plan de Prueba. 0,11 30%

de plan de prueba operacional.
Construir y mantener un repositorio de
requerimientos de negocio y técnicos y casos AI7.3 - Plan de Implantación. 0,11 75%
de prueba para sistemas acreditados.
Establecer ambiente de prueba y conducir
AI7.4 - Ambiente de Prueba. 0,11 50%
pruebas de aceptación finales.
Ejecutar la conversación del sistema y las
AI7.5 - Conversión de Sistemas y
pruebas de integración en ambiente de 0,11 0%
Datos.
pruebas.
AI7.6 - Pruebas de Cambios. 0,11 33%
AI7.7 - Prueba de Aceptación Final. 0,11 80%
Recomendar la liberación a producción con
base en los criterios de acreditación AI7.8 - Promoción a Producción. 0,11 100%
convenidos.
Establecer ambiente de prueba y conducir AI7.9 - Revisión Posterior a la
0,12 75%
pruebas de aceptación finales. Implantación.
DS1.1 - Marco de Trabajo de la
Crear un marco de trabajo para los servicios
DS1 – Definir y administrar los niveles de
Administración de los Niveles de 0,17 21%

de TI.
Servicio.
Construir un catálogo de servicios de TI. DS1.2 - Definición de Servicios. 0,17 100%
Definir los convenios de niveles de servicio DS1.3 - Acuerdos de Niveles de

0,17 50%
(SLAs) para los servicios críticos de TI. Servicio.
servicio
Definir los convenios de niveles de operación DS1.4 - Acuerdos de Niveles de

0,17 50%
(OLAs) para soportar las SLAs. Operación.
DS1.5 - Monitoreo y Reporte del
Monitorear y reportar el desempeño del
Cumplimento de los Niveles de 0,16 50%
servicio de punta a punta.
Servicio.
Revisar los SLAs y los contratos de apoyo. DS1.6 - Revisión de los Acuerdos
Revisar y actualizar el catálogo de servicios de de Niveles de Servicio y de los 0,16 50%
TI. Crear un plan de mejora de servicios. Contratos.
DS2 – Administrar los servicios de
Identificar y categorizar las relaciones de los DS2.1 - Identificación de Todas las

0,25 13%
servicios de terceros. Relaciones con Proveedores.
Definir y documentar los procesos de DS2.2 - Gestión de Relaciones con
0,25 100%
administración del proveedor. Proveedores.
terceros
Establecer políticas y procedimientos de DS2.3 - Administración de Riesgos

0,25 69%
evaluación y suspensión de proveedores. del Proveedor.
Identificar, valorar y mitigar los riesgos del
proveedor. Monitorear la prestación del
DS2.4 - Monitoreo del Desempeño
servicio del proveedor. Evaluar las metas de 0,25 50%
del Proveedor
largo plazo de la relación del servicio para
todos los interesados.
Establecer un proceso de Planeación para la
DS3 – Administrar el desempeño y la
DS3.1 - Planeación del Desempeño

revisión del desempeño y la capacidad de los 0,20 83%
y la Capacidad.
recursos de TI.
Revisar el desempeño y la capacidad actual DS3.2 - Capacidad y Desempeño
0,20 0%
de los recursos de TI. Actual.
capacidad
Realizar pronósticos de desempeño y DS3.3 - Capacidad y Desempeño

0,20 0%
capacidad de los recursos de TI. Futuros.
Realizar un plan de contingencia respecto a
DS3.4 - Disponibilidad de Recursos
una falta potencial de disponibilidad de 0,20 50%
de TI.
recursos de TI.
Monitorear y reportar continuamente la
disponibilidad, el desempeño y la capacidad DS3.5 - Monitoreo y Reporte. 0,20 50%
de los recursos de TI.
197
Desarrollar un marco de trabajo de DS4.1 - Marco de Trabajo de

0,10 100%
continuidad de TI. Continuidad de TI.
Desarrollar y mantener planes de continuidad DS4.2 - Planes de Continuidad de
0,10 0%
de TI. TI.
Realizar un análisis de impacto al negocio y
DS4.3 - Recursos Críticos de TI. 0,10 0%
valoración de riesgo.
Identificar y categorizar los recursos de TI con DS4.4 - Mantenimiento del Plan de
0,10 100%
base a los objetivos de recuperación. Continuidad de TI.
Definir y ejecutar procedimientos de control
DS4.5 - Pruebas del Plan de
de cambios para asegurar que el plan de 0,10 50%
Continuidad de TI.
continuidad sea vigente.
Probar regularmente el plan de continuidad de DS4.6 - Entrenamiento del Plan de
0,10 20%
TI. Continuidad de TI.
Desarrollar un plan de acción a seguir con DS4.7 - Distribución del Plan de
0,10 50%
base en los resultados de las pruebas. Continuidad de TI.
Planear y llevar a cabo capacitación sobre DS4.8 - Recuperación y

0,10 25%
planes de continuidad de TI. Reanudación de los Servicios de TI.
DS4.9 - Almacenamiento de
Planear la recuperación y reanudación de los
Respaldos Fuera de las 0,10 30%
servicios de TI.
Instalaciones.
Planear e implementar el almacenamiento y la
protección de respaldos. Establecer los DS4.10 - Revisión Post
0,10 50%
procedimientos para llevar a cabo revisiones Reanudación.
post reanudación.
Definir, establecer y operar un proceso de DS5.1 - Administración de la
0,09 30%
administración de identidad (cuentas). Seguridad de TI.
Definir y mantener un plan de seguridad de TI. DS5.2 - Plan de Seguridad de TI. 0,09 50%
Monitorear incidentes de seguridad, reales y DS5.3 - Administración de

0,09 80%
potenciales. Identidad.
Revisar y validar periódicamente los
DS5.4 - Administración de Cuentas
privilegios y derechos de acceso de los 0,09 0%
del Usuario.
usuarios.
Establecer y mantener procedimientos para
DS5.5 - Pruebas, Vigilancia y
mantener y salvaguardar las llaves 0,09 60%
Monitoreo de la Seguridad.
criptográficas.
Implementar y mantener controles técnicos y
DS5.6 - Definición de Incidente de
de procedimientos para proteger el flujo de 0,09 0%
Seguridad.
información a través de la red.
Realizar evaluaciones de vulnerabilidad de DS5.7 - Protección de la Tecnología
0,09 50%
manera regular. de Seguridad.
Realizar evaluaciones de vulnerabilidad de DS5.8 - Administración de Llaves
0,09 100%
manera regular. Criptográficas.
Establecer y mantener procedimientos para
DS5.9 - Prevención, Detección y
mantener y salvaguardar las llaves 0,09 100%
Corrección de Software Malicioso.
criptográficas.
Monitorear incidentes de seguridad, reales y
DS5.10 - Seguridad de la Red. 0,09 100%
potenciales.
DS5.11 - Intercambio de Datos
Definir y mantener un plan de seguridad de TI. 0,10 50%
Sensitivos.
198

Mapear la infraestructura con los servicios
DS6.1 - Definición de Servicios. 0,25 50%
brindados/procesos de negocio soportados.
Identificar todos los costos de TI (personas,

tecnología, etc) y mapearlos a los servicios de DS6.2 - Contabilización de TI. 0,25 100%
TI con bases en costos unitarios.
Establecer y mantener un proceso de control DS6.3 - Modelación de Costos y

0,25 86%
de contabilización de TI y de costos. Cargos.
Establecer y mantener procedimientos y DS6.4 - Mantenimiento del Modelo

0,25 100%
políticas de facturación. de Costos.
DS7 – Educar y entrenar a los
DS7.1 - Identificación de
Identificar y categorizar las necesidades de
Necesidades de Entrenamiento y 0,33 57%
capacitación de los usuarios.
Educación.
DS7.2 - Impartición de
usuarios
Construir un programa de capacitación. 0,33 100%

Entrenamiento y Educación
Realizar actividades de capacitación, intrusión
y concienciación. Llevar a cabo evaluaciones
DS7.3 - Evaluación del
de capacitación. Identificar y evaluar los 0,34 0%
Entrenamiento Recibido.
mejores métodos y herramientas para impartir
la capacitación.
Crear procedimientos de clasificación
DS8 – Administrar la mesa de
(severidad e impacto) y de escalamiento DS8.1 - Mesa de Servicios. 0,20 0%

servicio y los incidentes
(funcional y jerárquico).
Detectar y registrar incidentes/solicitudes de DS8.2 - Registro de Consultas de
0,20 100%
servicio/solicitudes de información. Clientes.
Clasificar, investigar y diagnosticar consultas. DS8.3 - Escalamiento de Incidentes. 0,20 0%
Resolver, recuperar y cerrar incidentes. DS8.4 - Cierre de Incidentes. 0,20 0%

Informar a usuarios (por ejemplo,
actualizaciones de estatus). Hacer reportes DS8.5 - Análisis de Tendencias. 0,20 50%
para la gerencia.
Desarrollar procedimientos de planeación de DS9.1 Repositorio y Línea Base de
0,33 25%
DS9 – Administrar la
administración de la configuración. Configuración.

configuración
Recopilar información sobre la configuración
Mantenimiento de Elementos de 0,33 0%
inicial y establecer líneas base.
Configuración.
Verificar y auditar la información de la
configuración (incluye la detección del DS9.3 - Revisión de Integridad de la
0,34 33%
software no autorizado). Actualizar el Configuración.
repositorio de configuración.
199
DS10 – Administrar los Identificar y clasificar problemas.
Clasificación de Problemas
0,25 0%
problemas DS10.2 - Rastreo y Resolución de
Realizar análisis de causa raíz. 0,25 0%
Problemas
Resolver problemas. Revisar el estatus de
DS10.3 - Cierre de Problemas 0,25 0%
problemas.
Emitir recomendaciones para mejorar y crear DS10.4 - Integración de las
una solicitud de cambio relacionada. Mantener Administraciones de Cambios, 0,25 0%
registros de los problemas. Configuración y Problemas.
Traducir los requerimientos de DS11.1 - Requerimientos del
almacenamiento y conservación a Negocio para Administración de 0,17 25%
procedimientos. Datos.
DS11 – Administrar los datos
Definir, mantener e implementar

DS11.2 - Acuerdos de
procedimientos para administrar librerías de 0,17 50%
Almacenamiento y Conservación.
medios.
DS11.3 - Sistema de Administración
procedimientos para desechar de forma 0,17 0%
de Librerías de Medios.
segura, medios y equipo.
Respaldar los datos de acuerdo al esquema. DS11.4 - Eliminación. 0,17 0%
DS11.5 - Respaldo y Restauración. 0,16 50%
procedimientos para restauración de datos.
DS11.6 - Requerimientos de
Respaldar los datos de acuerdo al esquema. Seguridad para la Administración de 0,16 0%
Datos.
DS12 – Administrar el ambiente
DS12.1 - Selección y Diseño del

Definir el nivel requerido de protección física. 0,20 83%
Centro de Datos.
Seleccionar y comisionar el sitio (centro de DS12.2 - Medidas de Seguridad
0,20 88%
datos, oficina, etc). Física.
Implementar medidas de ambiente físico. DS12.3 - Acceso Físico. 0,20 100%
físico
Administrar el ambiente físico (mantenimiento, DS12.4 - Protección Contra

0,20 100%
monitoreo y reportes incluidos). Factores Ambientales.
Definir e implementar procesos para DS12.5 - Administración de

0,20 50%
mantenimiento y autorización de acceso físico. Instalaciones Físicas.
Crear/modificar procedimientos de operación

DS13.1 - Procedimientos e
(incluyendo manuales, planes de cambios, 0,20 50%
Instrucciones de Operación.
procedimientos de escalamiento, etc).
DS13 – Administrar las operaciones
Programación de cargas de trabajo y de

DS13.2 - Programación de Tareas. 0,20 100%
programas en lote.
Monitorear la infraestructura y procesar y

DS13.3 - Monitoreo de la
resolver problemas. Programar y llevar a cabo 0,20 0%
Infraestructura de TI.
mantenimiento preventivo.
Administrar y asegurar la salida física de

información (reportes, medios, etc).
DS13.4 - Documentos Sensitivos y
Implementar/establecer un proceso para 0,20 50%
Dispositivos de Salida.
salvaguardar los dispositivos de autenticación
contra interferencia, perdida o robo.
Aplicar cambios o arreglos al programa de DS13.5 - Mantenimiento Preventivo

0,20 100%
infraestructura. del Hardware.
200

Establecer el enfoque de monitoreo. ME1.1 - Enfoque del Monitoreo. 0,17 0%
Desempeño de TI Identificar y recolectar objetivos medibles que ME1.2 - Definición y Recolección

0,17 100%
apoyen a los objetivos el negocio. de Datos de Monitoreo.
Crear cuadro de mandos. ME1.3 - Método de Monitoreo. 0,17 100%
Evaluar el desempeño. 0,17 100%
Desempeño.
ME1.5 - Reportes al Consejo
Reportar el desempeño. 0,16 100%
Directivo y a Ejecutivos.
Identificar y monitorear las medidas de mejora
ME1.6 - Acciones Correctivas. 0,16 100%
del desempeño.
Monitorear y controlar las actividades de ME2.1 - Monitorización del Marco

ME2 - Monitorear y Evaluar el Control
0,14 100%
control interno de TI. de Trabajo de Control Interno.
Crear cuadro de mandos. ME2.2 - Revisiones de Auditoría. 0,14 100%

Monitorear el proceso para identificar y
ME2.3 - Excepciones de Control. 0,14 100%
evaluar las excepciones de control.
Interno
ME2.4 - Control de Auto

Monitorear el proceso de auto evaluación. 0,14 0%
Evaluación.
Monitorear el proceso para identificar y ME2.5 - Aseguramiento del Control
0,14 100%
evaluar y remediar las excepciones de control. Interno.
Monitorear el proceso para obtener

ME2.6 - Control Interno para
aseguramiento sobre los controles operados 0,15 100%
Terceros.
por terceros.
Reportar a los interesados clave. ME2.7 - Acciones Correctivas. 0,15 100%
ME3.1 - Identificar los
Definir y ejecutar un proceso para identificar
ME3 - Garantizar el Cumplimiento Regulatorio
Requerimientos de las Leyes,

los requerimientos legales, contractuales de 0,20 100%
Regulaciones y Cumplimientos
políticas y regulatorios.
Contractuales.
Evaluar cumplimiento de actividades de TI
ME3.2 - Optimizar la Respuesta a
con políticas, estándares y procedimientos de 0,20 100%
Requerimientos Externos
TI.
Crear cuadro de mandos. Cumplimiento con Requerimientos 0,20 100%
Externos.
Brindar retro alimentación para alinear las

ME3.4 - Aseguramiento Positivo del
políticas, estándares y procedimientos de TI 0,20 100%
Cumplimiento.
con los requerimientos de cumplimiento.
Integrar los reportes e TI sobre los

requerimientos regulatorios con similares ME3.5 - Reportes Integrados. 0,20 100%
provenientes e otras funciones del negocio.
Establecer visibilidad y facilitación del consejo
ME4.1 - Establecimiento de un
y de los ejecutivos hacia las actividades de 0,14 100%
Marco de Gobierno de TI.
TI.
Revisar, avalar, alinear y comunicar el
ME4 - Proporcionar Gobierno de TI
desempeño de TI, la estrategia de TI, el

ME4.2 - Alineamiento Estratégico. 0,14 38%
manejo de recursos y riesgos de TI con
respecto a la estrategia empresarial.
Crear cuadro mandos. ME4.3 - Entrega de Valor. 0,14 100%
Resolver los hallazgos de las evaluaciones
independientes y garantizar la implantación ME4.4 - Administración de
0,14 100%
por parte de la gerencia de las Recursos.
recomendaciones acordadas.
Generar un reporte de gobierno de TI. ME4.5 - Administración de Riesgos. 0,14 0%
Revisar, avalar, alinear y comunicar el

desempeño de TI, la estrategia de TI, el
ME4.6 - Medición del Desempeño. 0,15 100%
manejo de recursos y riesgos de TI con
respecto a la estrategia empresarial.
ME4.7 - Aseguramiento
Generar un reporte de gobierno de TI. 0,15 100%
Independiente.
201
ANEXO 3: RESUMEN DE OBJETIVOS DE CONTROL DE MENOR
CUMPLIMIENTO
OBJETIVOS DE CONTROL DE MENOR CUMPLIMIENTO
OBJETIVOS DE CONTROL %
PO1.2 - Alineación de TI con el Negocio 50%
PO2.1 - Modelo de Arquitectura de Información Empresarial 47%
PO2.2 - Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos 0%
PO2.3 - Esquema de Clasificación de Datos 0%
PO2.4 - Administración de Integridad 25%
PO3.3 - Monitoreo de Tendencias y Regulaciones Futuras 0%
PO3.5 - Consejo de Arquitectura de TI 0%
PO4.2 - Comité Estratégico de TI 0%
PO4.3 - Comité Directivo de TI 0%
PO4.7 - Responsabilidad de Aseguramiento de Calidad de TI 0%
PO4.8 - Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento 14%
PO4.9 - Propiedad de Datos y de Sistemas 33%
PO4.15 - Relaciones 50%
PO5.2 - Prioridades dentro del Presupuesto de TI 33%
PO5.5 - Administración de Beneficios 33%
PO6.5 - Comunicación de los Objetivos y la Dirección de TI 50%
PO7.4 - Entrenamiento del Personal de TI 0%
PO7.5 - Dependencia Sobre los Individuos 50%
PO8.1 - Sistema de Administración de Calidad 50%
PO8.2 - Estándares y Prácticas de Calidad. 50%
PO8.3 - Estándares de Desarrollo y de Adquisición 13%
PO8.5 - Mejora Continua 0%
PO8.6 - Medición, Monitoreo y Revisión de la Calidad 0%
PO9.1 - Marco de Trabajo de Administración de Riesgos 50%
PO9.2 - Establecimiento del Contexto del Riesgo 0%
PO9.3 - Identificación de Eventos 50%
PO9.4 - Evaluación de Riesgos de TI 50%
PO9.5 - Respuesta a los Riesgos 17%
PO9.6 - Mantenimiento y Monitoreo de un Plan de Acción de Riesgos 50%
AI1.3 - Estudio de Factibilidad y Formulación de Cursos de Acción Alternativos 0%
AI2.1 - Diseño de Alto Nivel 38%
AI2.8 - Aseguramiento de la Calidad del Software 0%
AI2.10 - Mantenimiento de Software Aplicativo 50%
AI3.3 - Mantenimiento de la Infraestructura 50%
AI4.1 - Plan para Soluciones de Operación 50%
AI4.4 - Transferencia de Conocimiento al Personal de Operaciones y Soporte 57%
AI6.3 - Cambios de Emergencia 33%
AI6.4 - Seguimiento y Reporte del Estatus de Cambio 0%
AI7.1 - Entrenamiento 30%
AI7.2 - Plan de Prueba 30%
AI7.4 - Ambiente de Prueba 50%
AI7.5 - Conversión de Sistemas y Datos 0%
AI7.6 - Pruebas de Cambios 33%
202
OBJETIVOS DE CONTROL DE MENOR CUMPLIMIENTO
DS1.1 - Marco de Trabajo de la Administración de los Niveles de Servicio 21%
DS1.3 - Acuerdos de Niveles de Servicio 50%
DS1.4 - Acuerdos de Niveles de Operación 50%
DS1.5 - Monitoreo y Reporte del Cumplimento de los Niveles de Servicio 50%
DS1.6 - Revisión de los Acuerdos de Niveles de Servicio y de los Contratos 50%
DS2.1 - Identificación de Todas las Relaciones con Proveedores 13%
DS2.4 - Monitoreo del Desempeño del Proveedor 50%
DS3.2 - Capacidad y Desempeño Actual 0%
DS3.3 - Capacidad y Desempeño Futuros 0%
DS3.4 - Disponibilidad de Recursos de TI 50%
DS3.5 - Monitoreo y Reporte 50%
DS4.2 - Planes de Continuidad de TI 0%
DS4.3 - Recursos Críticos de TI 0%
DS4.5 - Pruebas del Plan de Continuidad de TI 50%
DS4.6 - Entrenamiento del Plan de Continuidad de TI 20%
DS4.7 - Distribución del Plan de Continuidad de TI 50%
DS4.8 - Recuperación y Reanudación de los Servicios de TI 25%
DS4.9 - Almacenamiento de Respaldos Fuera de las Instalaciones 30%
DS4.10 - Revisión Post Reanudación 50%
DS5.1 - Administración de la Seguridad de TI 30%
DS5.2 - Plan de Seguridad de TI 50%
DS5.4 - Administración de Cuentas del Usuario 0%
DS5.6 - Definición de Incidente de Seguridad 0%
DS5.7 - Protección de la Tecnología de Seguridad 50%
DS5.11 - Intercambio de Datos Sensitivos 50%
DS6.1 - Definición de Servicios 50%
DS7.1 - Identificación de Necesidades de Entrenamiento y Educación 57%
DS7.3 - Evaluación del Entrenamiento Recibido 0%
DS8.1 - Mesa de Servicios 0%
DS8.3 - Escalamiento de Incidentes 0%
DS8.4 - Cierre de Incidentes 0%
DS8.5 - Análisis de Tendencias 50%
DS9.1 - Repositorio y Línea Base de Configuración 25%
DS9.2 - Identificación y Mantenimiento de Elementos de Configuración 0%
DS9.3 - Revisión de Integridad de la Configuración 33%
DS10.1 - Identificación y Clasificación de Problemas 0%
DS10.2 - Rastreo y Resolución de Problemas 0%
DS10.3 - Cierre de Problemas 0%
DS10.4 - Integración de las Administraciones de Cambios, Configuración y Problemas 0%
DS11.1 - Requerimientos del Negocio para Administración de Datos 25%
DS11.2 - Acuerdos de Almacenamiento y Conservación 50%
DS11.3 - Sistema de Administración de Librerías de Medios 0%
DS11.4 - Eliminación 0%
DS11.5 - Respaldo y Restauración 50%
DS11.6 - Requerimientos de Seguridad para la Administración de Datos 0%
DS12.5 - Administración de Instalaciones Físicas 50%
DS13.1 - Procedimientos e Instrucciones de Operación 50%
DS13.3 - Monitoreo de la Infraestructura de TI 0%
DS13.4 - Documentos Sensitivos y Dispositivos de Salida 50%
ME1.1 - Enfoque del Monitoreo 0%
ME2.4 - Control de Auto Evaluación 0%
ME4.2 - Alineamiento Estratégico 38%
ME4.5 - Administración de Riesgos 0%

203
ANEXO 4: EVALUACIÓN DE OBJETIVOS DE CONTROL CRÍTICOS
OBJETIVOS DE CONTROL CRÍTICOS
PO2.2 - Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos 0%
PO2.3 - Esquema de Clasificación de Datos 0%
PO3.3 - Monitoreo de Tendencias y Regulaciones Futuras 0%
PO3.5 - Consejo de Arquitectura de TI 0%
PO4.2 - Comité Estratégico de TI 0%
PO4.3 - Comité Directivo de TI 0%
PO4.7 - Responsabilidad de Aseguramiento de Calidad de TI 0%
PO7.4 - Entrenamiento del Personal de TI 0%
PO8.5 - Mejora Continua 0%
PO8.6 - Medición, Monitoreo y Revisión de la Calidad 0%
PO9.2 - Establecimiento del Contexto del Riesgo 0%
AI1.3 - Estudio de Factibilidad y Formulación de Cursos de Acción Alternativos 0%
AI2.8 - Aseguramiento de la Calidad del Software 0%
AI6.4 - Seguimiento y Reporte del Estatus de Cambio 0%
AI7.5 - Conversión de Sistemas y Datos 0%
DS3.2 - Capacidad y Desempeño Actual 0%
DS3.3 - Capacidad y Desempeño Futuros 0%
DS4.2 - Planes de Continuidad de TI 0%
DS4.3 - Recursos Críticos de TI 0%
DS5.4 - Administración de Cuentas del Usuario 0%
DS5.6 - Definición de Incidente de Seguridad 0%
DS7.3 - Evaluación del Entrenamiento Recibido 0%
DS8.1 - Mesa de Servicios 0%
DS8.3 - Escalamiento de Incidentes 0%
DS8.4 - Cierre de Incidentes 0%
DS9.2 - Identificación y Mantenimiento de Elementos de Configuración 0%
DS10.1 - Identificación y Clasificación de Problemas 0%
DS10.2 - Rastreo y Resolución de Problemas 0%
DS10.3 - Cierre de Problemas 0%
DS10.4 - Integración de las Administraciones de Cambios, Configuración y Problemas 0%
DS11.3 - Sistema de Administración de Librerías de Medios 0%
DS11.4 - Eliminación 0%
DS11.6 - Requerimientos de Seguridad para la Administración de Datos 0%
DS13.3 - Monitoreo de la Infraestructura de TI 0%
ME1.1 - Enfoque del Monitoreo 0%
ME2.4 - Control de Auto Evaluación 0%
ME4.5 - Administración de Riesgos 0%
204
ANEXO 5: FORMATO DE APLICACIÓN ANÁLISIS DE RIESGOS DE TI
(A)
ANALISIS DE RIESGO DE TI
Objetivo general: Identificar las causas de los riesgos potenciales, en el área de TI y cuantificarlos para que la gerencia pueda tener información suficiente
al respecto y optar por el diseño e implantación de los controles correspondientes a fin de minimizar los efectos de las causas de los riesgos, en los diferente
puntos de análisis.
En conjunto con la Jefe de TI se han identificado las amenazas y los objetos. Para categorizar los riesgos se utilizará el método matricial
Amenazas Objetos
Pérdida de datos Archivos de base de datos
Desastre físico Computadoras/Discos
Robo Programas
Errores Terminal de operación
Acceso ilegal Reportes
Violación de privacidad Circuitos de comunicación
Terminales
Infraestructura
Análisis de Amenazas
Pérdida de Pérdida de
datos datos
Desastre
Desastre físico
físico
Robo Robo
Errores Errores
Acceso ilegal Acceso ilegal
Violación de Violación de
privacidad privacidad
205
ANEXO 6: FORMATO DE APLICACIÓN ANÁLISIS DE RIESGOS DE TI
(B)
Análisis de Objetos
Archivos de Archivos de
base de datos base de datos
Computadoras/ Computadoras
Discos /Discos
Programas Programas
Terminal de Terminal de
operación operación
Reportes Reportes
Circuitos de Circuitos de
comunicación comunicación
Terminales Terminales
Infraestructura Infraestructura
Nota: Si los evaluadores consideran que existen otras amenazas y objetos que los enlistados, pueden incrementarlos en la matriz para el análisis de riesgo y
aplicar la evaluación
206
DEPARTAMENTO DE SISTEMAS (1)
207
208
209
210
BIBLIOGRAFÍA
• Annie. (12 de 11 de 2010). Proyecto Socio – Tecnología Ide Annie.

http://nombrem1t2pnfinf.blogspot.com/2010/11/matriz-foda.html
• Directrices de Auditoría Julio de 2000 - 3a Edición Emitido por el Comité

Directivo de COBIT y El IT Governance Institute TM
• Fundación Wikimedia, I. (04 de 09 de 2012).

http://es.wikipedia.org/wiki/Objetivos_de_control_para_la_informaci%C3%
B3n_y_tecnolog%C3%ADas_relacionadas
• Fundación Wikimedia, I. (26 de 08 de 2012).

http://es.wikipedia.org/wiki/Riesgo_%28inform%C3%A1tica%29
• IT Governance Institute. (2007). COBIT 4.1, Págs. 6, 9, 12, 13, 19, 29 , 33,
37, 41, 47, 51, 55, 59, 63, 67, 73, 77, 81, 85, 89, 93, 97, 101, 105, 109, 113,
117, 121, 125, 129, 133, 137, 141, 145, 149, 153, 157, 161, 165, Rolling
Meadows,EE.UU.: IT Governance Institute.
• José Dagoberto Pinilla Forero. (1992). Auditoría informática, Un enfoque

operacional, Pág.167, 175, 181, 183, 184, 186 Colombia: ECOE
EDICIONES.
• Objetivos de Control Abril de 1998 – 2da Edición Emitido por el Comité

Directivo de COBIT y la Information Systems Audit and Control Foundation
• Rico, J. R. (18 de 05 de 2010). Suite101.net. Recuperado el 31 de 08 de 2012,

de http://suite101.net/view_image.cfm/148232
• Rosas Vázquez. (2007). Propuesta de un Modelo de Administración

Estratégica. Vol 1, No 2.
• Talancón, H. P. (2006). La matriz FODA: una alternativa para realizar

diagnósticos y. Santo Tomás: ESCA UNAM .
211
DEFINICIONES DE TÉRMINOS
AD HOC: Es una locución latina que significa literalmente «para esto». Se refiere a
una solución elaborada específicamente para un problema o fin preciso.
ARQUITECTURA DE TI: Un marco integrado para evolucionar o dar

mantenimiento a TI existente y adquirir nueva TI para alcanzar las metas
estratégicas y de negocio de la empresa.
BAAN: Es un ERP (Planificador de Recursos Empresariales). Es un sistema que

integra la información de todas las operaciones de la empresa, siguiendo el objetivo
de manejo y control de información actualizada para la toma de decisiones.
BALANCED SCORECARDS: Cuadro de Mando Integral – CMI es un método

para medir las actividades de una compañía en términos de su visión y estrategia.
Proporciona a los gerentes una mirada global del desempeño del negocio.
COBIT: Control Objetives for Information and Related Technology (objetivos de

control para la información y las tecnologías relacionadas). Su misión es investigar,
desarrollar, publicar y promover un marco de trabajo de control de gobierno de TI
autorizado y actualizado, internacionalmente aceptado y adoptado para el uso
cotidiano de las empresas, gerentes de negocios, profesionales de TI y de
Aseguramiento.
CONTROL: Las políticas, procedimientos, practicas y estructuras organizacionales

diseñadas para garantizar razonablemente que los objetivos del negocio serán
alcanzados y que eventos no deseable serán prevenidos o detectados y corregidos.
COSO: (COMMITTEE OF SPONSORING ORGANIZATIONS). Comité de

Organizaciones Patrocinadoras de la comisión Treadway. Estándar aceptado a nivel
internacional para el gobierno corporativo.
212
DELPHI: Es una metodología de investigación multidisciplinaria para la realización
de pronósticos y predicciones.
DIRECTRICES DE AUDITORÍA: Es una herramienta complementaria que

permiten al auditor comparar los procesos específicos de TI con los objetivos de
control de COBIT recomendados para ayudar a los directivos a identificar en qué
casos los controles son suficientes, o para asesorarlos respectos a los procesos que
requieren ser mejorados.
DOFA: Debilidades, Oportunidades, Fortalezas y Amenazas. Es una herramienta

utilizada para la formulación y evaluación de estrategia. Generalmente es utilizada
para empresas.
DOMINIO: Agrupación de objetivos de control en etapas lógicas en el ciclo de vida

de inversión en TI.
GOBIERNO DE TI: Una estructura de relaciones y procesos para dirigir y controlar

la empresa con el fin de lograr sus objetivos al añadir valor mientras se equilibran los
riesgos contra el retorno sobre TI y sus procesos.
HOST: Se refiere a las computadoras conectadas a una red, que proveen y utilizan
servicios de ella.
INCIDENTE: Cualquier evento que no sea parte de la operación estándar de un

servicio que ocasione, o pueda ocasionar, una interrupción o una reducción de la
calidad de ese servicio (alineado a ITIL).
INFRAESTRUCTURA: La tecnología, los recursos humanos y las instalaciones

que permiten el procesamiento de las aplicaciones:
ISACA: Asociación para la Auditoría y Control de Sistemas de Información.
ITGI: Instituto de Administración de las Tecnologías de la Información.

213
KPI: Indicadores Clave de Desempeño, miden el nivel del desempeño de un
proceso, enfocándose en el "cómo" e indicando el rendimiento de los procesos, de
forma que se pueda alcanzar el objetivo fijado.
MARCO DE TRABAJO: Es un Marco de control que permite a los dueños del

negocio facilitar las descargas de sus responsabilidades a través de la procuración de
un modelo de soporte.
MARCO REFERENCIAL COBIT: Explica cómo COBIT organiza los objetivos

de Gobierno y las mejores prácticas de TI con base en dominios y procesos de TI, y
los alinea a los requerimientos del negocio.
METODOLOGÍA: Modo de hacer o definir con orden una cosa.
OBJETIVOS DE CONTROL: Brindan objetivos a la dirección basados en las

mejores prácticas genéricas para todos los procesos de TI.
OLA: Acuerdo de nivel de operación, es un documento interno de la organización

donde se especifican las responsabilidades y compromisos de los diferentes
departamentos de la organización TI en la prestación de un determinado servicio.
ORGANIZACIÓN: La manera en que una empresa está estructurada.
OUTSOURCING: La subcontratación o tercerización, es el proceso económico en

el cual una empresa mueve o destina los recursos orientados a cumplir ciertas tareas
hacia una empresa externa por medio de un contrato.
PLAN ESTRATÉGICO DE TI: Es un plan a largo plazo con un horizonte de tres a

cinco años, en el cual la gerencia del negocio y de TI describen de forma cooperativa
cómo los recursos de TI contribuirán a los objetivos estratégicos empresariales
(metas).
214
PROCESO: Por lo general, un conjunto de procedimientos influenciados por las
políticas y estándares de la organización.
RIESGO: El potencial de que una amenaza específica explote las debilidades de un

activo o grupo de activos para ocasionar y/o daños a los activos.
QMS: Asegurar las funciones de una organización eficiente y ofrecer sus objetivos
de negocio, incluyendo el cumplimiento de los requisitos del cliente.
SLA: Acuerdo de nivel de servicio, es un contrato escrito entre un proveedor de

servicio y su cliente con objeto de fijar el nivel acordado para la calidad de dicho
servicio.
STAKEHOLDERS: Son las personas a quienes pueden afectar o son afectados por
las actividades de una empresa.
TI: Tecnologías de la Información y la Comunicación (TIC o bien NTIC para nuevas

tecnologías de la información y de la comunicación) agrupan los elementos y las
técnicas usadas en el tratamiento y la transmisión de la información.
TIC: Las tecnologías de la información y la comunicación (TIC o bien NTIC para

nuevas tecnologías de la información y de la comunicación) agrupan los elementos y
las técnicas usadas en el tratamiento y la transmisión de la información,
principalmente la informática, Internet y las telecomunicaciones.
USUARIO: Una persona que utiliza los sistemas empresariales.
215

Ups GT000307 PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Ups GT000307 PDF

Cargado por

Copyright:

Formatos disponibles

SEDE GUAYAQUIL

Tesis previa a la obtención del título de:

Nosotras; Martha Elizabeth de la Torre Morales, Ingrid Kathyuska Giraldo Martínez

Dejamos constancia que cedemos los derechos de propiedad intelectual a la

MARTHA E. DE LA TORRE MORALES

INGRID K. GIRALDO MARTÍNEZ

CARMEN A. VILLALTA GÓMEZ

Primero a Dios, el centro de mi vida y mi fortaleza.

A Santiago y Haydeé, mis padres, mi inspiración, por su eterno

A Ángel Santiago, mi amado hijo, por soportar y comprender mis

A Gustavo, mi partner, por su solidaridad y complicidad en esta

A mi familia en general, por estar siempre conmigo.

A mis amigos, por su incondicionalidad.

Sin ustedes no podría avanzar en mis propósitos.

Gracias. Los amo infinitamente.

Un agradecimiento especial, a la Ing. Lilia Santos.

Martha E. de la Torre Morales

A mi madre y mi tío, porque creyeron en mí y porque me sacaron

A mis hermanas, primos, abuelos y amigos. Gracias por haber

No me alcanzarían las palabras para agradecerles su apoyo y sus

A todos, espero no defraudarlos y contar siempre con su valioso

Ingrid Giraldo Martínez

Quiero dar gracias a:

DIOS: Por haberme dado la vida, sabiduría y su infinita misericordia.

MI ESPOSO: Por su amor, comprensión y apoyo; brindados en los momentos más

MI FAMILIA: Por fomentar los buenos valores y principios morales.

MIS AMIGOS: Por su apoyo incondicional a lo largo de mi carrera.

Carmen Villalta Gómez

Guayaquil, Septiembre del 2012.

Ing. Bertha Naranjo Sánchez, MSC

1.1 PLANTEAMIENTO DEL PROBLEMA 18

1.1.1 FORMULACIÓN DEL PROBLEMA DE INVESTIGACIÓN 19

1.2.1 OBJETIVO GENERAL 20

1.4 VARIABLES E INDICADORES 21

1.5 MATRIZ CAUSA – EFECTO 22

2.1 MARCO TEÓRICO 23

2.1.1 INTRODUCCIÓN COBIT 23

3.1 ASPECTOS METODOLÓGICOS DE LA INVESTIGACIÓN 80

3.1.1 TIPO DE INVESTIGACIÓN 80

4.1 DIAGNÓSTICO DEL DEPARTAMENTO DE SISTEMAS DE LA

4.1.1 BREVE DESCRIPCIÓN DE LA EMPRESA EP 86

DEFINICIONES DE TÉRMINOS 212

ILUSTRACIÓN 1: MARCO DE TRABAJO COMPLETO DE COBIT 4.1 ............ 24

ILUSTRACIÓN 2: DOMINIOS COBIT 4.1 ............................................................. 31

ILUSTRACIÓN 3: PROCESOS DEL DOMINIO PLANEAR Y ORGANIZAR .... 32

ILUSTRACIÓN 4: OBJETIVOS DE CONTROL DEL PROCESO

ILUSTRACIÓN 5: OBJETIVOS DE CONTROL DEL PROCESO

ILUSTRACIÓN 6: OBJETIVOS DE CONTROL DEL PROCESO

ILUSTRACIÓN 7: OBJETIVOS DE CONTROL DEL PROCESO

ILUSTRACIÓN 8: OBJETIVOS DE CONTROL DEL PROCESO

ILUSTRACIÓN 9: OBJETIVOS DE CONTROL DEL PROCESO

ILUSTRACIÓN 10: OBJETIVOS DE CONTROL DEL PROCESO

ILUSTRACIÓN 11: OBJETIVOS DE CONTROL DEL PROCESO

ILUSTRACIÓN 12: OBJETIVOS DE CONTROL DEL PROCESO

ILUSTRACIÓN 13: OBJETIVOS DE CONTROL DEL PROCESO

ILUSTRACIÓN 14: PROCESOS DEL DOMINIO ADQUIRIR E

ILUSTRACIÓN 15: OBJETIVOS DE CONTROL DEL PROCESO

ILUSTRACIÓN 17: OBJETIVOS DE CONTROL DEL PROCESO

ILUSTRACIÓN 18: OBJETIVOS DE CONTROL DEL PROCESO

ILUSTRACIÓN 19: OBJETIVOS DE CONTROL DEL PROCESO

ILUSTRACIÓN 20: OBJETIVOS DE CONTROL DEL PROCESO

ILUSTRACIÓN 21: OBJETIVOS DE CONTROL DEL PROCESO

ILUSTRACIÓN 22: PROCESOS DEL DOMINIO ENTREGAR Y