El nivel de capacidad del proceso APO13, permite definir, operar y supervisar un
sistema para la gestión de la seguridad de la información, a través del cumplimiento de los requisitos de la empresa, que están relacionados con asegurar el lineamiento de los servicios claves de TI que van de acuerdo con la necesidad del negocio. Se debe tener en cuenta criterios de madurez del proceso que consisten en poner en marcha un sistema que considere y trate efectivamente los requisitos de seguridad de la información de la empresa; establecer, aceptar y comunicar a toda la empresa el plan de seguridad; que la solución de seguridad de la información implementada y operada sea de forma consistente en toda la empresa. Gestión del desempeño se debe tener en cuenta que en este proceso que los objetivos del proceso sean identificados, que este planteado y monitoreado, que este ajustado para cumplir los planes de la empresa, que los responsables estén totalmente definidos, que los recursos y la información necesaria se encuentren identificados, disponibles, asignados y utilizados. Para la gestión del producto de trabajo debemos considerar que los requisitos para los procesos estén definidos al igual que la documentación y control de los productos del trabajo, que estén adecuadamente identificados, documentados y controlados, que sean revisados de acuerdo a un plan previsto y ajustado. Ejemplo del Cálculo del nivel de capacidad del APO13 Metas relacionadas con TI Ponderación 04 riesgos de negocio relacionados con 8 las TI Gestionadas 10 seguridad de la Información 12 14 disponibilidad de información útil y 8 relevante para la toma de decisiones
Procesos de catalizadores prioritarios Ponderación
APO13 Gestionar seguridad 9
Proceso Puntuación Nivel de Puntuación Nivel de
Alcanzada capacidad deseada capacidad alcanzado deseada APO13 28.8% Nivel 1 28.8%+8%= Nivel 1 Gestionar la Ejecutado Total = 36.8% Parcialmente seguridad P. alcanzado Parcialmente alcanzado