AREA GOBIERNO CORPORATIVO DE TI

DOMINIO Evaluar, Orientar y Supervisar (EDM)

EDM02.01 Evaluar la optimización de valor.

PROCESOS EDM03.01 Evaluar la gestión de riesgos.

EVIDENCIAS O EXISTENCIA DE CRITERIOS DE: ¿EXISTENCIA?

EDM02.01 - Evaluar la optimización de valor. Evaluar continuamente las inversiones, servicios y activos del portafolio de TI para determinar la
probabilidad de alcanzar los objetivos de la empresa y aportar valor a un coste razonable. Identificar y juzgar cualquier cambio en la dirección que necesita
ser dada a la gestión para optimizar la creación de valor.
1. Se lleva a cabo una estrategia en la que se comprendan los
requerimientos de las partes interesadas, los temas estratégicos
de TI, tales como la dependencia de las TI; considerando la Sí No Parcialmente
importancia actual y potencial de TI para la estrategia de la
empresa.
2. Se lleva a cabo regularmente una discusión o conversatorio de
las oportunidades que podrían surgir, de los cambios habilitados
en la empresa por las tecnologías actuales, nuevas o Sí No Parcialmente
emergentes; para sí, optimizar el valor creado por estas
oportunidades.
3. Se tiene un plan para evaluar la efectividad de la integración y
Sí No Parcialmente
alineamiento de las estrategias de TI en la empresa.

EDM03.01 Evaluar la gestión de riesgos. Examinar y evaluar continuamente el efecto del riesgo sobre el uso actual y futuro de las TI en la empresa.
Considerar si el apetito de riesgo de la empresa es apropiado y el riesgo sobre el valor de la empresa relacionado con el uso de TI es identificado y
gestionado.

1. Existe la forma de determinar los niveles de riesgos

relacionados con las TI; y que la empresa está dispuesta a Sí No Parcialmente
asumir para cumplir con sus objetivos.
2. Se evalúa constantemente y proactivamente los factores de
riesgo TI, con anterioridad a las decisiones estratégicas de la
Sí No Parcialmente
empresa pendientes y asegurar que las decisiones de la
empresa se toman conscientes de los riesgos.
3. Se tiene conciencia de que el uso de TI está sujeto a una
valoración y evaluación de riesgos adecuados, según lo descrito Sí No Parcialmente
en estándares nacionales e internacionales más relevantes.

DOMINIO APO (ALINEAR, PLANIFICAR Y ORGANIZAR)

APO12 (GESTIONAR EL RIESGO)
PROCESOS
APO13 (GESTIONAR LA SEGURIDAD
EVIDENCIAS O EXISTENCIA DE CRITERIOS DE: ¿EXISTENCIA? LUGAR OBSERVACION

APO12 (GESTIONAR EL RIESGO) Gestionar el Riesgo: Identificar, evaluar y reducir los riesgos relacionados con TI de forma continua, dentro
de niveles de tolerancia establecidos por la dirección ejecutiva de la empresa

1.Desarrolla y analiza información útil para soportar las decisiones

relacionadas con el riesgo, evaluando amenazas proporcionando el
Sí No Parcialmente
resultado del análisis de riesgo

2. Mantiene un inventario del riesgo mediante niveles de tolerancia al

riesgo obteniendo un perfil que incluya el estado de las acciones de
Sí No Parcialmente
gestión del riesgo.

3.Proporciona medidas que limiten la magnitud de pérdida de eventos

relacionados con TI aplicando planes de respuesta relacionadas con el Sí No Parcialmente
riesgo.

APO13 (GESTIONAR LA SEGURIDAD) Definir, operar y supervisar un sistema para la gestión de la seguridad de la información.

1.Establece un SGSI a través del enfoque de seguridad de la empresa

Sí No Parcialmente
proporcionando políticas de SGSI definiendo el alcance de la misma.

2.Mantiene un plan de seguridad de la información alineándose con los

objetivos estratégicos y la arquitectura de la empresa implementando un Sí No Parcialmente
plan de tratamiento de riesgos de SI.
3.Recolecta y analiza datos sobre el SGSI y la mejora de su efectividad
Sí No Parcialmente
utilizando incidentes clasificados y priorizados realizando informes de
auditoría del SGSI y sus posibles recomendaciones.

DOMINIO BAI (CONSTRUIR, ADQUIRIR E IMPLEMENTAR)

BAI03 Gestionar la Identificación y Construcción de Soluciones
PROCESOS
BAI07 Gestionar la Aceptación del Cambio y la Transición
EVIDENCIAS O EXISTENCIA DE CRITERIOS DE: ¿EXISTENCIA? LUGAR OBSERVACION

BAI03 Establecer y mantener soluciones identificadas en línea con los requerimientos de la empresa que abarcan el diseño, desarrollo,
compras/contratación y asociación con proveedores/fabricantes. Gestionar la configuración, preparación de pruebas, realización de pruebas, gestión de
requerimientos y mantenimiento de procesos de negocio, aplicaciones, datos/información, infraestructura y servicios.

1.Instala y configura las soluciones con las actividades de los procesos de

negocio, implementando controles y medidas de seguridad para proteger
Sí No Parcialmente
los recursos y asegurar la disponibilidad e integridad de los datos.

2. Desarrollar y ejecutar un plan de calidad (QA) para obtener la calidad

especificada en la definición de los requerimientos. Sí No Parcialmente
3. Desarrolla y ejecuta un plan para el mantenimiento de la solución y
componentes de la infraestructura con revisiones periódicas respecto a Sí No Parcialmente
las necesidades de negocio.

BAI07 Aceptar formalmente y hacer operativas las nuevas soluciones, incluyendo la planificación de la implementación, la conversión de los
datos y los sistemas, las pruebas de aceptación, la comunicación, la preparación del lanzamiento, el paso a producción de procesos de
negocio o servicios TI nuevos o modificados, el soporte temprano en producción y una revisión post-implementación.

1.Establecer un plan de pruebas basado en estándares corporativos que

Sí No Parcialmente
defina roles, responsabilidades, y criterios de entrada y salida. Asegurar
que el plan es aprobado por las partes relevantes.
2. Define un entorno seguro de pruebas para el entorno de operaciones Sí No Parcialmente
de TI planeados, en cuanto a rendimiento y capacidad, seguridad,
controles internos, prácticas de operación, calidad de los datos y
requisitos de privacidad y carga de trabajo.

3. Proporcionar soporte desde el primer momento a los usuarios y a las

operaciones de TI durante un periodo de tiempo acordado para tratar
cualquier incidencia y ayudar a estabilizar la nueva solución Sí No Parcialmente

DOMINIO Entrega, Servicio y Soporte (DSS)

DSS01.01 Ejecutar procedimientos operativos
PROCESOS DSS01.03 Supervisar la infraestructura de TI.
EVIDENCIAS O EXISTENCIA DE CRITERIOS DE: ¿EXISTENCIA?

DSS01.01 Ejecutar procedimientos operativos. Mantener y ejecutar procedimientos y tareas operativas de forma confiable y consistente.

1. Se desarrollan y se mantienen procedimientos operativos y

actividades relacionadas, para dar apoyo a todos los
Sí No Parcialmente
servicios que se llevan a cabo, con la finalidad de que se
establezcan mejoras en sus operaciones.
2. Se llevan a cabo la programación de actividades operativas,
de conformidad a lo establecido, para que ejecutar y se
Sí No Parcialmente
gestionar el desempeño y rendimiento de las actividades ya
programadas.
3. Se entregan los resultados de acuerdo con los requisitos de
la empresa; para así dar soporte a las necesidades de
reinicio y reprocesamiento y asegurar que los usuarios Sí No Parcialmente
reciben los resultados adecuados de una forma segura y
oportuna.

DSS01.03 Supervisar la infraestructura de TI. Supervisar las infraestructuras TI y los eventos relacionados con ella. Almacenar la suficiente información
cronológica en los registros de operaciones para permitir la reconstrucción, revisión y examen de las secuencias de tiempo de las operaciones y las
actividades relacionadas con el soporte a esas operaciones.

4. Se identifican y se mantiene una lista de activos de Sí No Parcialmente

 infraestructura que necesiten ser monitorizados, con base a
su servicio y a la relación entre los elementos de
configuración y los servicios que de ellos dependen.
5. Se mantienen los registros de los eventos por un periodo de
tiempo apropiado, con la finalidad de hacer investigaciones Sí No Parcialmente
futuras.
6. Se establecen procedimientos, que permitan la supervisión
de los registros de eventos y llevar a cabo revisiones Sí No Parcialmente
periódicas
AREA ADMINISTRACION DE TI CORPORATIVA

DOMINIO SUPERVISAR, EVALUAR Y VALORAR (MEA)

MEA 01 Supervisar, evaluar y valorar rendimiento y conformidad
PROCESOS MEA 02 Supervisar, evaluar y valorar el sistema de control interno
MEA 03 Supervisar, evaluar y valorar la conformidad con los requerimientos ext
EVIDENCIAS O EXISTENCIA DE
¿EXISTENCIA? LUGAR OBSERVACION
CRITERIOS DE:

1. Se realizan verificaciones diarias a

Sí No Parcialmente
fin de eliminar archivos basura
2. Los usuarios del software de utilidad
tienen cada uno clave de usuario Sí No Parcialmente
diferente.
3. Las computadoras tienen acceso
Sí No Parcialmente
libre al internet.
4. La conexión de internet es banda
Sí No Parcialmente
ancha.
5. El servidor utilizado es a medida. Sí No Parcialmente
6. El acceso a los programas es
Sí No Parcialmente
sencillo
7. Cuentan con aplicaciones de
Sí No Parcialmente
acceso remoto.
8. Se pueden hacer modificaciones al
sistema sin contraseñas del Sí No Parcialmente