Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Curso Virtual
Modelo de Gobierno Empresarial para la
Información y Tecnología - COBIT 2019
www.auditool.org
CONTENIDO DEL CURSO
Implementación de una
06 solución de gobierno de TI
www.auditool.org 1
Modelo central de COBIT 2019 Objetivos de Gobierno y Administración de TI
Introducción
Cada empresa debe definir sus procesos de acuerdo con sus características y estructura,
contemplando todas las metas de Gobierno y Administración de TI. En este punto, COBIT
2019 presenta un Modelo Central que contempla 40 Objetivos de Gobierno y
Administración, que se relacionan con cada uno de los procesos que una empresa
desarrolla relacionados a la Tecnología e Información, y que sirve como guía para ser
adecuado a cada empresa, según su situación específica.
Objetivos
Los objetivos del presente módulo son:
• Dominios
El Modelo de Referencia de Procesos de COBIT 5 establecía 2 dominios principales, el de
Gobierno y el de Administración. COBIT 2019 define 5 dominios, que agrupan los objetivos
de gobierno y administración, y que por medio de acciones claves expresan el propósito y
las áreas de actividad de cada objetivo.
www.auditool.org 2
Aborda la organización general, estrategia y
actividades de apoyo para TI. Envuelve las
técnicas y tácticas para identificar la manera
Alinear, Objetivos de
en que la TI puede contribuir al logro de los
APO planear y Gestión
objetivos de la organización. De la misma
organizar Gerencia
manera, comprende la implementación de una
estructura organizacional y una estructura
tecnológica apropiada.
Identificación, desarrollo, adquisición e
implementación de soluciones de TI y su
Construir, integración en los procesos del negocio. Objetivos de
BAI adquirir e Incluye el cambio y mantenimiento de los Gestión
implementar sistemas existes, cuando sea necesario, para Gerencia
garantizar que las soluciones cumplan con los
objetivos del negocio.
Entrega de los servicios requeridos, Objetivos de
incluyendo la prestación del servicio, Gestión
Entregar,
administración de la seguridad y de la Gerencia
DSS servir y dar
continuidad, soporte de servicio a los usuarios,
soporte
administración de los datos y de las
instalaciones operativas.
Evaluación regular en cuanto a calidad y
Monitorear, cumplimiento de los requerimientos de control. Objetivos de
MEA evaluar y Incluye administración del desempeño, Gestión
valorar monitoreo del control interno, cumplimiento Gerencia
regulatorio y aplicación del gobierno.
www.auditool.org 3
A continuación, se presenta el listado de los 40 objetivos de gobierno y administración de
COBIT 2019.
Objetivos de Gobierno
Dominio
EDM - Evaluación, Orientación y Supervisión
EDM01: Asegurar el establecimiento y mantenimiento del Marco de Gobierno de TI
EDM02: Asegurar la obtención de beneficios
EDM03: Asegurar la optimización del riesgo
EDM04: Asegurar la optimización de los recursos
EDM05: Asegurar el compromiso de las partes interesadas
Objetivos de Administración
Dominio
APO - Alinear, Planificar y Organizar
APO01: Administrar el Marco de Administración de TI
APO02: Administrar la estrategia
APO03: Administrar la Arquitectura Empresarial
APO04: Administrar la innovación
APO05: Administrar portafolio
APO06: Administrar el presupuesto y los costos
APO07: Administrar los Recursos Humanos
APO08: Administrar las relaciones
APO09: Administrar los acuerdos de servicios
APO010: Administrar los proveedores
APO011: Administrar la calidad
APO012: Administrar el riesgo
APO013: Administrar la seguridad
APO014: Administrar los datos
www.auditool.org 4
BAI - Construir, Adquirir e Implementar
BAI01: Administrar los programas
BAI02: Administrar la definición de requisitos
BAI03: Administrar la identificación y construcción de soluciones
BAI04: Administrar la disponibilidad y capacidad
BAI05: Administrar el cambio organizativo
BAI06: Administrar los cambios de TI
BAI07: Administrar la aceptación y la transición de los cambios de TI
BAI08: Administrar el conocimiento
BAI09: Administrar los activos
BAI010: Administrar la configuración
BAI011: Administrar los proyectos
DSS - Entregar, Dar servicio y Soporte
DSS01: Administrar las operaciones
DSS02: Administrar las peticiones y los incidentes del servicio
DSS03: Administrar los problemas
DSS04: Administrar la continuidad
DSS05: Administrar los servicios de seguridad
DSS06: Administrar los controles de los procesos del negocio
Supervisar, Evaluar y Valorar – MEA
MEA01: Administrar la supervisión del desempeño y la conformidad
MEA02: Administrar el Sistema de Control Interno
MEA03: Administrar el cumplimiento de los requisitos externos
MEA04: Administrar el aseguramiento
www.auditool.org 5
MÉTRICAS MODELO PARA METAS MÉTRICAS MODELO PARA METAS
EMPRESARIALES EMPRESARIALES
EG Métricas AG Métricas
Luego del encabezado de cada objetivo, se despliega cada uno de los componentes del
Sistema de Gobierno de TI, como se presenta a continuación:
Procesos
Cada objetivo de gobierno y administración incluye varias prácticas de proceso, cada
proceso incluye una o más actividades. Para medir el logro de la práctica y su contribución
al alcance del objetivo se definen unas métricas. Para cada práctica, se asigna un Nivel
de Capacidad, para lo cual COBIT 2019 retoma el Modelo de Madurez de la Capacidad –
(CMMI, siglas en inglés), que se basa en un esquema de capacidad de los procesos que
va de 0 a 5, según la medida en la que un proceso se ha implementado y funciona
adecuadamente. La documentación relacionada hace referencia a estándares, marcos,
requisitos de cumplimiento relevantes para el proceso.
Estructuras Organizativas
Presenta los niveles de responsabilidad y rendición de cuentas para las prácticas de los
procesos. En el Complemento 2 encontramos la matriz RACI con las estructuras
organizativas y roles sugeridos por COBIT 2019.
www.auditool.org 6
COMPONENTE: ESTRUCTURAS ORGANIZATIVAS
ESTRUCTURA ESTRUCTURA
PRÁCTICA
ORGANIZATIVA 1 ORGANIZATIVA 2
Información
Cada práctica incluye entradas y salidas con indicadores de origen y destino. Las salidas
de información, por lo general, tienen como destino otros procesos de COBIT, que a su vez
se convierten en entradas para dichos procesos.
www.auditool.org 7
COMPONENTE: PERSONAS, HABILIDADES Y COMPETENCIAS
HABILIDAD DOCUMENTACIÓN RELACIONADA REF. ESPECÍFICA
SFIA 2015 Código SFIA
Gráfico 4. Estructura del componente
www.auditool.org 8
• Objetivos de Gobierno de TI
www.auditool.org 9
requerimientos legales y regulatorios, y con los requisitos de gobierno
para los miembros de la Junta Directiva.
METAS EMPRESARIALES METAS DE ALINEAMIENTO
EG03 – EG08 – EG12 AG01 – AG03
COMPONENTE: PROCESO
PRÁCTICA DE GOBIERNO
✓ EDM01.01 Evaluar el Sistema de Gobierno de TI
✓ EDM01.02 Orientar el Sistema de Gobierno de TI
✓ EDM01.03 Supervisar el Sistema de Gobierno de TI
www.auditool.org 10
Asegurar que los riesgos relacionados con la TI de la empresa no
excedan ni el apetito ni la toleración al riesgo, que el impacto de los
PROPÓSITO
riesgos de TI en el valor de la empresa sea identificado y gestionado,
y que el potencial de fallas en el cumplimiento se reduzca al mínimo.
METAS EMPRESARIALES METAS DE ALINEAMIENTO
EG02 – EG06 AG02 – AG07
COMPONENTE: PROCESO
PRÁCTICA DE GOBIERNO
✓ EDM03.01 Evaluar la gestión de riesgos
✓ EDM03.02 Orientar la gestión de riesgos
✓ EDM03.03 Supervisar la gestión de riesgos
www.auditool.org 11
Asegurar que la medición y la elaboración de informes en cuanto a
conformidad y desempeño de TI de la empresa sean transparentes
DESCRIPCIÓN
con aprobación por parte de las partes interesadas de las metas, las
métricas y las acciones correctivas necesarias.
Asegurar que las partes interesadas apoyen la estrategia y la hoja de
ruta de TI, que la comunicación con las partes interesadas sea eficaz
y oportuna, y que se establezcan las bases para los informes con el
PROPÓSITO
fin de aumentar el rendimiento. Identificar las áreas de mejora y
confirmar que los objetivos y estrategias relacionados con TI se
ajusten a la estrategia de la empresa.
METAS EMPRESARIALES METAS DE ALINEAMIENTO
EG04 – EG07 AG010
COMPONENTE: PROCESO
PRÁCTICA DE GOBIERNO
✓ EDM05.01 Evaluar los requisitos de elaboración de informes de las partes
interesadas
✓ EDM05.02 Orientar la comunicación con las partes interesadas y la elaboración de
informes
✓ EDM05.03 Supervisar la comunicación con las partes interesadas
www.auditool.org 12
• Objetivos de Administración de TI
APO01: Administrar el
APO05: Administrar el APO09: Administrar los
Marco de
portafolio acuerdos de servicio
Administración de TI
APO03: Administrar la
APO07: Administrar los APO11: Administrar la APO13: Administrar la
Arquitectura
recursos humanos calidad seguridad
Empresarial
APO04: Administrar la APO08: Administrar las APO12: Administrar el APO14: Administrar los
innovación relaciones riesgo datos
www.auditool.org 13
los componentes, estructuras, roles y responsabilidades
organizativas, actividades fiables y reproducibles, y habilidades y
competencias.
METAS EMPRESARIALES METAS DE ALINEAMIENTO
EG03 – EG08 – EG11 - EG12 AG03 – AG11
COMPONENTE: PROCESO
PRÁCTICA DE ADMINISTRACIÓN
✓ APO01.01 Diseñar el sistema de administración de TI de la empresa
✓ APO01.02 Gestionar la comunicación de objetivos, dirección y decisiones tomadas
✓ APO01.03 Gestionar la implementación de procesos
✓ APO01.04 Definir e implementar las estructuras organizativas
✓ APO01.05 Establecer roles y responsabilidades
✓ APO01.06 Optimizar la ubicación de la función de TI
✓ APO01.07 Definir la propiedad de la información y del sistema de información
✓ APO01.08 Definir las habilidades y competencias objetivo
✓ APO01.09 Definir y comunicar políticas y procedimientos
✓ APO01.10 Definir e implementar la infraestructura, servicios y aplicaciones para
respaldar el sistema de gobierno y administración
✓ APO01.11 Gestionar la mejora continua del sistema de administración de TI
www.auditool.org 14
• Usar un enfoque holístico en cuanto a TI, asegurando que
cada iniciativa esté claramente conectada con una estrategia
global.
• Alinear los planes estratégicos de TI con los objetivos del
negocio.
• Habilitar el cambio en todos los diversos aspectos de la
organización, desde los canales y procesos a los datos,
cultura, habilidades, modelo operativo e incentivos.
METAS EMPRESARIALES METAS DE ALINEAMIENTO
EG01 – EG05 - EG08 – EG12 AG08
COMPONENTE: PROCESO
PRÁCTICA DE ADMINISTRACIÓN
✓ APO02.01 Comprender el contexto y la dirección de la empresa
✓ APO02.02 Evaluar las capacidades, rendimiento y madurez digital actual de la
empresa
✓ APO02.03 Definir las capacidades digitales objetivo
✓ APO02.04 Realizar un análisis de diferencias
✓ APO02.05 Definir el plan estratégico y la hoja de ruta
✓ APO02.06 Comunicar la estrategia y la dirección de TI
www.auditool.org 15
Representar a los diferentes módulos que componen la empresa y
sus interrelaciones, así como los principios rectores de su diseño y
PROPÓSITO
evolución en el tiempo, permitiendo una entrega estándar, sensible y
eficiente de los objetivos operativos y estratégicos.
METAS EMPRESARIALES METAS DE ALINEAMIENTO
EG01 – EG05 - EG08 – EG12 AG06 – AG08
COMPONENTE: PROCESO
PRÁCTICA DE ADMINISTRACIÓN
✓ APO03.01 Desarrollar la visión de la arquitectura de la empresa
✓ APO03.02 Definir la arquitectura de referencia
✓ APO03.03 Seleccionar las oportunidades y las soluciones
✓ APO03.04 Definir la implementación de la arquitectura
✓ APO03.05 Proveer los servicios de arquitectura empresarial
www.auditool.org 16
PRÁCTICA DE ADMINISTRACIÓN
✓ APO04.01 Crear un entorno favorable para la innovación
✓ APO04.02 Mantener un entendimiento del entorno de la empresa
✓ APO04.03 Supervisar y explorar el entorno tecnológico
✓ APO04.04 Evaluar el potencial de las tecnologías emergentes y las ideas
innovadoras
✓ APO04.05 Recomendar iniciativas apropiadas adicionales
✓ APO04.06 Supervisar la implementación y el uso de la innovación
www.auditool.org 17
costo y gestión del beneficio; y la priorización del gasto mediante el
uso de prácticas presupuestarias formales; y un sistema justo y
equitativo de reparto de costos a la empresa.
Fomentar la colaboración entre TI y las partes interesadas de la
empresa para catalizar el uso eficaz y eficiente de los recursos
relacionados con las TI; brindar transparencia y responsabilidad sobre
PROPÓSITO
el costo y valor de negocio de soluciones y servicios; permitir a la
empresa tomar decisiones informadas con respecto a la utilización de
soluciones y servicios de TI.
METAS EMPRESARIALES METAS DE ALINEAMIENTO
EG01 – EG04 - EG07 - EG08 – EG09 - AG04 – AG09
EG12
COMPONENTE: PROCESO
PRÁCTICA DE ADMINISTRACIÓN
✓ APO06.01 Gestionar las finanzas y la contabilidad
✓ APO06.02 Priorizar la asignación de recursos
✓ APO06.03 Crear y mantener presupuestos
✓ APO06.04 Modelar y asignar costos
✓ APO06.05 Gestionar costos
www.auditool.org 18
✓ APO07.05 Planificar y realizar un seguimiento del uso de recursos humanos de TI y
del negocio
✓ APO07.06 Gestionar el personal contratado
www.auditool.org 19
METAS EMPRESARIALES METAS DE ALINEAMIENTO
EG0 – EG08 AG05
COMPONENTE: PROCESO
PRÁCTICA DE ADMINISTRACIÓN
✓ APO09.01 Identificar servicios de TI
✓ APO09.02 Catalogar servicios habilitados por TI
✓ APO09.03 Definir y preparar acuerdos de servicio
✓ APO09.04 Supervisar e informar sobre los niveles de servicio
✓ APO09.05 Revisar acuerdos y contratos de servicio
www.auditool.org 20
incluyendo controles, vigilancia constante y el uso de prácticas
probadas, y estándares de mejora continua y esfuerzos de eficiencia.
Asegurar la entrega consistente de soluciones y servicios que
PROPÓSITO cumplan con los requisitos de la organización y que satisfagan las
necesidades de las partes interesadas.
METAS EMPRESARIALES METAS DE ALINEAMIENTO
EG01 – EG04 – EG07 - EG08 – EG12 AG09 – AG10
COMPONENTE: PROCESO
PRÁCTICA DE ADMINISTRACIÓN
✓ APO11.01 Establecer un Sistema de Gestión de Calidad – SGC
✓ APO11.02 Enfocar la gestión de la calidad en los clientes
✓ APO11.03 Definir y gestionar los estándares, prácticas y procedimientos de calidad,
e integrar la gestión de la calidad en los procesos y soluciones clave
✓ APO11.04 Supervisar y hacer controles y revisiones de calidad
✓ APO11.05 Mantener una mejora continua
www.auditool.org 21
ÁREA Modelo Central de
DOMINIO APO
PRIORITARIA: COBIT 2019
OBJETIVO APO13: Administrar la seguridad
Definir, operar y supervisar un Sistema para la Gestión de la
DESCRIPCIÓN
Seguridad de la Información – SGSI.
Mantener el impacto y la ocurrencia de los incidentes de la seguridad
PROPÓSITO de la información dentro de los niveles de apetito de riesgo de la
empresa.
METAS EMPRESARIALES METAS DE ALINEAMIENTO
EG02– EG06 AG07
COMPONENTE: PROCESO
PRÁCTICA DE ADMINISTRACIÓN
✓ APO13.01 Establecer y mantener un SGSI
✓ APO13.02 Definir y gestionar un plan de tratamiento del riesgo de la seguridad de la
información
✓ APO13.03 Supervisar y revisar el SGSI
www.auditool.org 22
✓ APO14.06 Asegurar un enfoque de evaluación de la calidad de los datos
✓ APO14.07 Definir la estrategia de depuración de datos
✓ APO14.08 Gestionar el ciclo de vida de los activos de datos
✓ APO14.09 Soportar el archivo y retención de datos
✓ APO14.10 Gestionar los acuerdos de toma de copias de seguridad y
restauración de datos
www.auditool.org 23
METAS EMPRESARIALES METAS DE ALINEAMIENTO
EG01 – EG08 – EG12 AG03 - AG09
COMPONENTE: PROCESO
PRÁCTICA DE ADMINISTRACIÓN
✓ BAI01.01 Mantener un enfoque estándar para la gestión de programas
✓ BAI01.02 Iniciar un programa
✓ BAI01.03 Gestionar el compromiso de las partes interesadas
✓ BAI01.04 Desarrollar y mantener el plan de programa
✓ BAI01.05 Lanzar y ejecutar el programa
✓ BAI01.06 Supervisar, controlar e informar los resultados del programa
✓ BAI01.07 Gestionar la calidad de los programas
✓ BAI01.08 Gestionar el riesgo de los programas
✓ BAI01.09 Cerrar un programa
www.auditool.org 24
ÁREA Modelo Central de
DOMINIO BAI
PRIORITARIA: COBIT 2019
OBJETIVO BAI03: Administrar la identificación y construcción de soluciones
Establecer y mantener soluciones identificadas en línea con los
requerimientos de la empresa que abarcan el diseño, desarrollo,
compras, contratación y asociación con proveedores y fabricantes.
DESCRIPCIÓN
Gestionar la configuración, preparación y realización de pruebas,
gestión de requerimientos y mantenimiento de procesos de negocio,
aplicaciones, datos, información, infraestructura y servicios.
Garantizar una prestación ágil y escalable de productos y servicios
PROPÓSITO digitales. Establecer soluciones puntuales y rentables capaces de
soportar la estrategia de negocio y objetivos operacionales.
METAS EMPRESARIALES METAS DE ALINEAMIENTO
EG01 – EG08 – EG12 AG05 – AG06 – AG09
COMPONENTE: PROCESO
PRÁCTICA DE ADMINISTRACIÓN
✓ BAI03.01 Diseñar soluciones de alto nivel
✓ BAI03.02 Diseñar los componentes detallados de la solución
✓ BAI03.03 Desarrollar los componentes de la solución
✓ BAI03.04 Obtener los componentes de la solución
✓ BAI03.05 Construir soluciones
✓ BAI03.06 Realizar el aseguramiento de la calidad - QA
✓ BAI03.07 Preparar pruebas de la solución
✓ BAI03.08 Ejecutar pruebas de la solución
✓ BAI03.09 Gestionar cambios a los requerimientos
✓ BAI03.10 Mantener las soluciones
✓ BAI03.11 Definir los productos y servicios de TI, y mantener el catálogo de
servicios
✓ BAI03.12 Diseñar soluciones conforme a la metodología de desarrollo definida
www.auditool.org 25
Incluye la evaluación de las capacidades actuales, la previsión de
necesidades futuras basadas en los requerimientos del negocio, el
análisis del impacto en el negocio y la evaluación del riesgo para
planificar e implementar acciones que permitan alcanzar los
requerimientos identificados.
Mantener la disponibilidad del servicio, la gestión eficiente de
recursos y la optimización del rendimiento de los sistemas mediante
PROPÓSITO
la predicción del rendimiento futuro y de los requerimientos de
capacidad.
METAS EMPRESARIALES METAS DE ALINEAMIENTO
EG01 – EG08 AG05
COMPONENTE: PROCESO
PRÁCTICA DE ADMINISTRACIÓN
✓ BAI04.01 Evaluar la disponibilidad, rendimiento y capacidad actual, y crear una
línea de referencia
✓ BAI04.02 Evaluar el impacto en el negocio
✓ BAI04.03 Planificar requisitos de servicio nuevos o modificados
✓ BAI04.04 Supervisar y revisar la disponibilidad y la capacidad
✓ BAI04.05 Investigar y abordar problemas de disponibilidad, rendimiento y
capacidad
www.auditool.org 26
✓ BAI05.03 Comunicar la visión deseada
✓ BAI05.04 Facultar a los que juegan algún papel e identificar ganancias en el
corto plazo
✓ BAI05.05 Facilitar la operación y el uso
✓ BAI05.06 Integrar nuevos enfoques
✓ BAI05.07 Mantener los cambios
www.auditool.org 27
negocio o servicios de TI nuevos o modificados, el soporte temprano
en producción y una revisión post-implementación.
Implementar soluciones de forma segura en línea con las
PROPÓSITO
expectativas y resultados acordados.
METAS EMPRESARIALES METAS DE ALINEAMIENTO
EG01 AG06
COMPONENTE: PROCESO
PRÁCTICA DE ADMINISTRACIÓN
✓ BAI07.01 Establecer un plan de implementación
✓ BAI07.02 Planificar la conversión de procesos de negocio, sistemas y datos
✓ BAI07.03 Planificar pruebas de aceptación
✓ BAI07.04 Establecer un entorno de pruebas
✓ BAI07.05 Ejecutar pruebas de aceptación
✓ BAI07.06 Pasar a producción y gestionar los lanzamientos
✓ BAI07.07 Proporcionar soporte en producción oportunamente
✓ BAI07.08 Ejecutar una revisión post-implementación
www.auditool.org 28
ÁREA Modelo Central de
DOMINIO BAI
PRIORITARIA: COBIT 2019
OBJETIVO BAI09: Administrar los activos
Gestionar los activos de TI a través de su ciclo de vida para asegurar
que su uso aporta valor a un costo óptimo, que se mantienen en
funcionamiento (acorde a los objetivos), que están justificados y
DESCRIPCIÓN protegidos físicamente.
Administrar las licencias de software para asegurar que se adquiere el
número óptimo, se mantienen y despliegan en relación con el uso
necesario para el negocio.
Contabilización de todos los activos de TI y optimización del valor
PROPÓSITO
proporcionado por estos activos.
METAS EMPRESARIALES METAS DE ALINEAMIENTO
EG04 – EG07 - EG09 AG04
COMPONENTE: PROCESO
PRÁCTICA DE ADMINISTRACIÓN
✓ BAI09.01 Identificar y registrar activos actuales
✓ BAI09.02 Gestionar activos críticos
✓ BAI09.03 Gestionar el ciclo de vida de los activos
✓ BAI09.04 Optimizar el costo de los activos
✓ BAI09.05 Administrar licencias
www.auditool.org 29
COMPONENTE: PROCESO
PRÁCTICA DE ADMINISTRACIÓN
✓ BAI10.01 Establecer y mantener un modelo de configuración
✓ BAI10.02 Establecer y mantener un repositorio de configuración y una línea de
referencia
✓ BAI10.03 Mantener y controlar los elementos de configuración
✓ BAI10.04 Generar informes de estado y configuración
✓ BAI10.05 Verificar y revisar la integridad del repositorio de configuración
www.auditool.org 30
Dominio DSS: Entregar – Dar servicio y Soporte
DSS02: Administrar
DSS01: Administrar las peticiones y los DSS03: Administrar
las operaciones incidentes de los problemas
servicio
www.auditool.org 31
ÁREA Modelo Central de
DOMINIO DSS
PRIORITARIA: COBIT 2019
OBJETIVO DSS02: Administrar las peticiones y los incidentes de servicio
Proveer una respuesta oportuna y efectiva a las peticiones de usuario
y la resolución de todo tipo de incidentes. Recuperar el servicio
DESCRIPCIÓN
normal; registrar y completar las peticiones de usuario; y registrar,
investigar, diagnosticar, escalar y resolver incidentes.
Lograr una mayor productividad y minimizar las interrupciones
mediante la rápida resolución de consultas de usuario e incidentes.
PROPÓSITO
Resolver las solicitudes de los usuarios y restaurar el servicio como
respuesta ante incidentes.
METAS EMPRESARIALES METAS DE ALINEAMIENTO
EG01 – EG08 AG05
COMPONENTE: PROCESO
PRÁCTICA DE ADMINISTRACIÓN
✓ DSS02.01 Definir esquemas de clasificación de incidentes y peticiones de
servicio
✓ DSS02.02 Registrar, clasificar y priorizar peticiones e incidentes
✓ DSS02.03 Verificar, aprobar y resolver peticiones de servicio
✓ DSS02.04 Investigar, diagnosticar y asignar incidentes
✓ DSS02.05 Resolver y recuperarse de incidentes
✓ DSS02.06 Cerrar peticiones de servicio e incidentes
✓ DSS02.07 Seguir el estado y emitir informes
www.auditool.org 32
PRÁCTICA DE ADMINISTRACIÓN
✓ DSS03.01 Identificar y clasificar problemas
✓ DSS03.02 Investigar y diagnosticar problemas
✓ DSS03.03 Presentar los errores conocidos
✓ DSS03.04 Resolver y cerrar problemas
✓ DSS03.05 Realizar una gestión de problemas de manera proactiva
www.auditool.org 33
ÁREA Modelo Central de
DOMINIO DSS
PRIORITARIA: COBIT 2019
OBJETIVO DSS05: Administrar los servicios de seguridad
Proteger la información de la empresa para mantener aceptable el
nivel de riesgo de seguridad de la información de acuerdo con la
DESCRIPCIÓN política de seguridad. Establecer y mantener los roles de seguridad y
privilegios de acceso de la información, y realizar la supervisión de la
seguridad.
Minimizar el impacto en el negocio de las vulnerabilidades e
PROPÓSITO
incidentes operativos de seguridad en la información.
METAS EMPRESARIALES METAS DE ALINEAMIENTO
EG02 – EG06 AG02 - AG07
COMPONENTE: PROCESO
PRÁCTICA DE ADMINISTRACIÓN
✓ DSS05.01 Proteger contra software malicioso (malware)
✓ DSS05.02 Gestionar la seguridad de la red y las conexiones
✓ DSS05.03 Gestionar la seguridad de los puestos de usuario final - endpoint
✓ DSS05.04 Gestionar la identidad del usuario y el acceso lógico
✓ DSS05.05 Gestionar el acceso físico a los activos de TI
✓ DSS05.06 Gestionar documentos sensibles y dispositivos de salida
✓ DSS05.07 Gestionar las vulnerabilidades y supervisar la infraestructura para
detectar eventos relacionados con la seguridad
www.auditool.org 34
METAS EMPRESARIALES METAS DE ALINEAMIENTO
EG01 – EG05 - EG08 – EG12 AG08
COMPONENTE: PROCESO
PRÁCTICA DE ADMINISTRACIÓN
✓ DSS06.01 Alinear las actividades de control integradas en los procesos de
negocio con los objetivos corporativos
✓ DSS06.02 Controlar el procesamiento de la información
✓ DSS06.03 Gestionar roles, responsabilidades, privilegios de acceso y niveles de
autorización
✓ DSS06.04 Gestionar errores y excepciones
✓ DSS06.05 Asegurar la trazabilidad de los eventos y responsabilidades de
información
✓ DSS06.06 Asegurar los activos de información
MEA01: MEA03:
MEA02:
Administrar la Administrar el MEA04:
Administrar el cumplimiento Administrar el
supervisión
Sitema de de los aseguramient
del
Control requerimient o
rendimiento y
Interno os externos
conformidad
www.auditool.org 35
PRÁCTICA DE ADMINISTRACIÓN
✓ MEA01.01 Establecer un enfoque de la supervisión
✓ MEA01.02 Establecer los objetivos de cumplimiento y rendimiento
✓ MEA01.03 Recopilar y procesar los datos de cumplimiento y rendimiento
✓ MEA01.04 Analizar e informar sobre el rendimiento
✓ MEA01.05 Asegurar la implementación de medidas correctivas
www.auditool.org 36
ÁREA Modelo Central de
DOMINIO MEA
PRIORITARIA: COBIT 2019
OBJETIVO MEA03: Administrar el cumplimiento de los requerimientos externos
Evaluar el cumplimiento de requisitos regulatorios y contractuales,
tanto en los procesos de TI como en los procesos de negocio
DESCRIPCIÓN dependientes de las tecnologías de la información. Obtener garantías
de que se ha cumplido, identificado e integrado el cumplimiento de TI
en la empresa general.
Asegurar que la empresa cumple con todos los requisitos externos
PROPÓSITO
que le sean aplicables.
METAS EMPRESARIALES METAS DE ALINEAMIENTO
EG03 AG01
COMPONENTE: PROCESO
PRÁCTICA DE ADMINISTRACIÓN
✓ MEA03.01 Identificar requisitos externos de cumplimiento
✓ MEA03.02 Optimizar la respuesta a requisitos externos
✓ MEA03.03 Confirmar el cumplimiento de requisitos externos
✓ MEA03.04 Obtener garantía de cumplimiento de requisitos externos
www.auditool.org 37
PRÁCTICA DE ADMINISTRACIÓN
✓ MEA04.01 Asegurar que los proveedores de aseguramiento sean
independientes y estén cualificados.
✓ MEA04.02 Desarrollar una planificación de iniciativas de aseguramiento basada
en los riesgos.
✓ MEA04.03 Determinar los objetivos de la iniciativa de aseguramiento.
✓ MEA04.04 Definir el alcance de la iniciativa de aseguramiento.
✓ MEA04.05 Definir el programa de trabajo para la iniciativa de aseguramiento.
✓ MEA04.06 Ejecutar la iniciativa de aseguramiento, enfocándose en la
efectividad del diseño.
✓ MEA04.07 Ejecutar la iniciativa de aseguramiento, enfocándose en la eficacia
operativa.
✓ MEA04.08 Informar y hacer seguimiento a la iniciativa de aseguramiento.
✓ MEA04.09 Hacer seguimiento a las recomendaciones y a las acciones.
Resumen
En el presente módulo se describe cada uno de los objetivos de gobierno y administración
de TI, presentando su dominio, descripción, propósitos, metas, y prácticas.
www.auditool.org 38