BAI02.

01
El objetivo principal de este proceso es asegurar que “La solución propuesta
satisface los requerimientos funcionales, técnicos y de cumplimiento del negocio”
de tal manera que la práctica BAI02.01, indica que se debe: “Definir e implementar
la definición de requerimientos y el procedimiento de mantenimiento y un
repositorio de requisitos acorde al tamaño, complejidad, objetivos y riesgos de la
iniciativa que la empresa está considerando acometer.”.

Está implementada la definición de los requerimientos? ¿Está definido el

procedimientode mantenimiento de los procesos? ¿Existe un repositorio de
requisitos acorde al tamaño,objetivos y riesgos de la organización?
¿Los requerimientos de la empresa están expresados en base a las capacidades
delnegocio existentes?3.
¿Son comprensibles los requerimientos de las partes interesadas? ¿Contemplan
loscambios inesperados?4.
¿Prioriza los requerimientos técnicos, funcionales, de control, procesos
automatizados yde TI de la organización?5.
¿Usa aproximaciones para validar los requerimientos?6.
¿Están confirmados los aspectos clave de los requerimientos?7.
¿Se hace el seguimiento del ciclo de vida del proyecto?8.
¿Considera los requerimientos relativos a procesos de TI internos y
externalizados?
APO07.03
Capacitación: En la práctica APO07.03 Mantener las habilidades y competencias
del personal, se recomienda “Definir y administrar las habilidades y competencias
que necesita el personal”, “Identificar las habilidades y competencias disponibles
actuales, tanto de recursos internos como externos”, “Identificar las brechas entre
las habilidades requeridas y las disponibles”, “Revisar los materiales y programas
de capacitación de forma regular”.

¿Los administradores de TI tienen conocimientos y experiencia adecuados para

cumplir con sus responsabilidades?
¿Ofrece la administración de TI programas educativos y de formación continua
que incluyen la conducta ética, las prácticas de seguridad del sistema, las normas
de confidencialidad, las normas de integridad y de las responsabilidades de
seguridad de todo el personal?
Contar con personal capacitado para la operación y mantenimiento diario del
cajero.
Los procesos de permanencia.- Que cubren la creación de condiciones laborales
idóneas; la promoción de actividades de capacitación y formación que permitan al
personal aumentar y perfeccionar sus conocimientos, competencias y destrezas;
la existencia de un sistema de evaluación del desempeño; desarrollo de carrera;
rendición de cuentas; e incentivos que motiven la adhesión a los valores y
controles institucionales
Las instituciones controladas deberán analizar su organización con el objeto de
evaluar si han definido el personal necesario y las competencias idóneas para el
desempeño de cada puesto, considerando no sólo experiencia profesional,
formación académica, sino también los valores, actitudes y habilidades personales
que puedan servir como criterio para garantizar la excelencia institucional.
Capacitación y entrenamiento técnico al personal del área de tecnología de
información y de los usuarios de la misma.

PA: Analizar si las remuneraciones y sistema de incentivos de la empresa para el

personal de la mesa de ayuda se ajustan a las pagadas por el mercado para
evaluar la fidelización de los empleados y la motivación laboral.
BAI03.04
BAI03.04 Obtener los componentes de la solución.
COBIT 5 en su objetivo BAI03.04 define obtener los componentes de la solución
sobre la base del plan de adquisiciones y conforme a los requerimientos y diseños
detallados, principios de arquitectura y estándares. Las organizaciones deben
posibilitar la implementación de los diversos avances presentes en el ámbito
tecnológico, para lograr una adaptación del negocio con las posibilidades en la
tecnología y que estas sean las más apropiadas es necesario la implementación
de un plan que permita vigilar la implementación, puesta en marcha y seguimiento
de estos vínculos de negocio y tecnología.
El plan debe poder establecer con anticipación aspectos tales como los costos, los
riesgos y las ventajas presentes y como va a influir en el desarrollo de la
organización tales vínculos. A su vez es importante vigilar que las tecnologías
estén cumpliendo con los requerimientos establecidos.
Dentro del caso de estudio que se amplía en el capítulo 5:
Estrategia: Adquirir en la organización nuevos firewall que posibiliten la venta y
compra de internet inalámbrico pospago de manera segura.
Arquitectura Tecnológica actual: Actualmente la organización cuenta con firewall
que permiten bloquear el acceso no autorizado, permitiendo al mismo tiempo
comunicaciones autorizadas, pero por temas de capacidad se tiene la necesidad
de comprar nuevos dispositivos que permitan limitar, cifrar, descifrar el tráfico
entre los diferentes ámbitos sobre normas internacionales.
Procesos afectados: Adquisición de nuevos firewall para la venta de internet
inalámbrico desde el portal web, licitaciones para la compra.
Para el ejemplo que se presenta, la función dada en el MEM f(Estratégico, CMMI
nivel 3, Arquitectura Tecnológica) para hacer la gestión de proceso se debe aplicar
el objetivo BAI03.04 y otros objetivos que se muestran en la tabla 13. Esto
significa que se debe realizar un plan de adquisición en nuevas infraestructuras ya
que actualmente la organización no se encuentra en capacidad de soportar la
oferta que requiere la unidad estratégica de negocio hogares y personas.
BAI03.10
Nivel Táctico – Arquitectura de Aplicaciones – BAI03.10 Mantener soluciones El
objetivo BAI03.10 de COBIT 5, establece desarrollar y ejecutar un plan para el
mantenimiento de la solución y componentes de la infraestructura. Incluir
revisiones periódicas respecto a las necesidades de negocio y requerimientos
operacionales. La disponibilidad de las aplicación y el desarrollo de los objetivos
depende en gran medida de generar estrategia y modelos que verifiquen el estado
del software, realizar un mantenimiento oportuno aporta en gran medida a la
velocidad de las transacciones y para esto la organización debe establecer
mecanismos de evaluación y soporte que sean oportunos y constantes.
DSS05.03
COBIT 5 en el objetivo DSS05.03, establece asegurar que los puestos de usuario
final (es decir, portátil, equipo sobremesa, servidor y otros dispositivos y software
móvil y de red) están asegurados a un nivel que es igual o mayor al definido en los
requerimientos de seguridad de la información procesada, almacenada o
transmitida. La gestión por procesos en la organización debe velar por el
mantenimiento de las condiciones de los procesos y actividades, por este motivo
es importante custodiar por la seguridad en herramientas como en la información y
los datos, estos son vulnerables a muchos factores por este motivo es importante
generar tácticas que garanticen la protección de datos y de esta manara generar
llaves criptográficas que sean seguras, además de verificar constantemente la
integridad de estas y los posibles riesgos presentes.
Para el logro de estos parámetros de control es importante tener en las
organizaciones políticas de calidad y vigilancia de las llaves criptográficas que
ayudan en el manejo de la información.
Determine si hay un proceso para revisión de los derechos de los usuarios, dado
un cambio en el puesto y las funciones o salida de un empleado, así como los
derechos de privilegios para asegurarse que no se hayan obtenido accesos o
privilegios no autorizados.
Obtener y revisar las políticas, reglas y procedimientos relacionados con el acceso
a la información, al software de base y de aplicación, y a las bases de datos.
Revise la aplicación, adquisición, implementación y planes de pruebas para
confirmar que se han abordado la seguridad de las aplicaciones y la disponibilidad
en el entorno integrado.
DSS05.04
Todos los usuarios tienen un único identificador y los derechos de acceso acordes
con su función en la empresa

Verificar si se mantienen los derechos de acceso lógico de los usuarios de

acuerdo con los requerimientos de las funciones y procesos de negocio.
Obtener y revisar los manuales de procedimientos donde se definen los perfiles,
roles y niveles de privilegio, y para la identificación y autenticación para el acceso
a la información de los usuarios.
Verificar la segregación y gestión de cuentas de usuarios privilegiadas.
Verificar que se cumplen los procedimientos para el uso y control de medios de
autenticación (identificación de usuario, contraseñas y otros medios) que permitan
identificar y responsabilizar a quienes utilizan los recursos de TI.
DSS05.05
Verifique el registro y supervisión de todos los puntos de entrada a los
emplazamientos de TI. A su vez, valide la bitácora de registro de todos los
visitantes a las dependencias, incluyendo contratistas y proveedores.
Validar que estén autenticados todos los accesos a los activos de información
basándose en su clasificación de seguridad, coordinando con las unidades de
negocio que gestionan la autenticación en las aplicaciones usadas en los procesos
de negocio para asegurar que los controles de autenticación han sido
administrados adecuadamente.
Verificar el registro y supervisión de todos los puntos de entrada a los
emplazamientos de TI. A su vez, validar la bitácora de registro de todos los
visitantes a las dependencias, incluyendo contratistas y proveedores.
Compruebe que los dispositivos restringen el acceso y disparen una alarma en
caso de acceso no autorizado. Ejemplos de estos dispositivos incluyen placas o
tarjetas de acceso, teclados (keypads), circuitos cerrados de televisión y
escáneres biométricos.
Seleccionar una muestra de empleados desvinculados en los últimos seis meses y
revise las listas de acceso de usuarios actuales para verificar que sus ID se hayan
desactivado o eliminado.
DSS05.06
DSS05.07
Verificar el registro de los eventos relacionados con la seguridad, que sean
reportados por las herramientas de monitorización de la seguridad de la
infraestructura, identificando el nivel de información que debe guardarse en base a
la consideración de riesgo.
Asegurarse de que los tickets de incidentes de seguridad se crean en el momento
oportuno cuando el monitoreo identifique incidentes de seguridad potenciales.
Determinar si existe un sistema de monitoreo que considere: usuario, fecha y hora
de los eventos claves, tipos de eventos, archivos a los cuales se tuvo acceso a
programas/utilidades utilizados, intentos no autorizados, detección de intrusos,
alerta o falla del sistema entre otros, a través del cual se pueda determinar la
eficacia de estos controles.
Determinar si los servicios prestados por terceros son analizados, monitoreados y
revisados regularmente considerando: Niveles de desempeño del servicio,
Reportes de servicios, Incidentes de seguridad de la información, Rastros de
auditoría, Eventos de seguridad, Problemas operacionales y Fallas de monitoreo e
interrupciones del servicio entregado.
DSS02.07
Escaladas monitorear y rastrear incidentes y resoluciones y solicitar
procedimientos de manipulación para avanzar hacia la resolución o terminación.
Identificar a los interesados información y sus necesidades de datos o informes.
Identificar frecuencia de notificación y medio.
Analizar las incidencias y peticiones de servicio por categoría y tipo de establecer
tendencias e identificar patrones de los problemas recurrentes, incumplimientos o
ineficiencias del SLA. Utilice la información como insumo para la planificación de la
mejora continua.
Producir y distribuir informes oportunos o proporcionar acceso controlado a los
datos en línea.
DSS04.01
Dado que en el plan de continuidad de los servicios de TI hay información
confidencial, verificar:
 La estrategia de distribución de los planes de continuidad de TI.
 Lista de personal con acceso al Plan.
 Ubicación de los lugares donde están almacenados las copias de los planes
de continuidad de los servicios de TI.
Solicite al personal con acceso a los planes del Plan de Continuidad de TI.

Verificar que se ha identificado los eventos a los que está expuesta la empresa,
que pueden causar interrupciones a los procesos, junto con la probabilidad de
impacto, así como las consecuencias que puede tener sobre la seguridad de la
información.

DSS04.02
Identificar escenarios posibles que puedan dar lugar a eventos que podrían causar
incidentes perturbadores significativos.
Realizar un análisis de impacto en el negocio para evaluar el impacto en el tiempo
de una interrupción de funciones críticas del negocio y el efecto que una
interrupción podría tener en ellos.
Establecer el tiempo mínimo necesario para recuperar un proceso de negocio y de
TI de apoyo basado en una longitud aceptable de interrupción del negocio y la
interrupción máxima tolerable.
Evaluar la probabilidad de amenazas que podrían causar la pérdida de la
continuidad del negocio e identificar medidas que reduzcan la probabilidad e
impacto mediante la mejora de la prevención y el aumento de la capacidad de
recuperación.
Analizar los requisitos de continuidad para identificar las posibles opciones
estratégicas de negocios y técnicos.
Determinar las condiciones y los propietarios de las decisiones clave que hará que
los planes de continuidad a ser invocados.
Identificar las necesidades de recursos y los costes de cada opción técnica
estratégica y hacer recomendaciones estratégicas.
Obtener la aprobación ejecutivo de negocios para las opciones estratégicas
seleccionadas.

DSS04.03
Definir las acciones de respuesta a incidentes y las comunicaciones que deben
adoptarse en caso de perturbación. Definir las funciones y responsabilidades
relacionadas, incluyendo la rendición de cuentas y aplicación de políticas.
Desarrollar y mantener operativos los pasos fronterizos que contienen los
procedimientos que deben seguirse para permitir el funcionamiento continuo de
los procesos críticos de negocio y / o régimen de temporales, incluyendo enlaces a
los planes de los proveedores de servicios externos.
Asegurar que los proveedores clave y externalizar socios tienen planes de
continuidad eficaces en su lugar. Obtener evidencia auditado según sea
necesario.
Definir las condiciones y los procedimientos de recuperación que permitan la
reanudación del proceso de negocio, incluyendo la actualización y la reconciliación
de bases de datos de información para preservar la integridad de la información.
Definir y documentar los recursos necesarios para apoyar los procedimientos de
continuidad y recuperación, teniendo en cuenta las personas, instalaciones e
infraestructura de TI.
Definir y documentar los requisitos de información de seguridad necesarias para
apoyar los planes, incluyendo planos y documentos de papel, así como archivos
de datos, y considerar la necesidad de seguridad y fuera de las instalaciones de
almacenamiento.
Determinar las habilidades requeridas para las personas que participan en la
ejecución del plan y procedimientos.
Distribuir los planos y la documentación de apoyo de forma segura a las partes
interesadas debidamente autorizado y asegurarse de que son accesibles en todos
los escenarios de desastre.

DSS04.04
Definir los objetivos para el ejercicio y probar el negocio, los sistemas técnicos,
logísticos, administrativos, de procedimiento y operativos del plan para verificar la
integridad de BUSINESS CONTINUITY PLAN en el cumplimiento de los riesgos
empresariales.
Definir y acordar con las partes interesadas ejercicios que sean realistas, validar
los procedimientos de continuidad, e incluyen funciones y responsabilidades y
arreglos de retención de datos que causan una interrupción mínima de los
procesos de negocio.
Asignar funciones y responsabilidades para la realización de ejercicios de planes
de continuidad y pruebas.
ejercicios horario y actividades de prueba como se define en el plan de
continuidad.
Llevar a cabo una reunión de información y análisis post-ejercicio para considerar
el logro.
Desarrollar recomendaciones para mejorar el plan de continuidad del actual,
basado en los resultados de la revisión.

DSS04.05
Revisar el plan de continuidad y capacidad sobre una base regular contra los
supuestos realizados y los objetivos operativos y estratégicos de negocio actual.
Considere si puede ser necesaria una evaluación de impacto de negocio revisado,
dependiendo de la naturaleza del cambio.
Recomendar y comunicar los cambios en las políticas, planes, procedimientos, la
infraestructura y los roles y responsabilidades para la aprobación de la gestión y
procesamiento a través del proceso de gestión del cambio.
Revisar el plan de continuidad de forma regular para considerar el impacto de los
cambios nuevos o mayores a: organización empresarial, procesos de negocio, los
acuerdos de subcontratación, tecnologías, infraestructura, sistemas operativos y
sistemas de aplicación.
DSS04.06
Definir y mantener los requisitos de formación y planes para los que realizan la
planificación de continuidad, las evaluaciones de impacto, evaluaciones de riesgo,
medios de comunicación y respuesta a incidentes. Asegúrese de que los planes
de formación consideran frecuencia de los mecanismos de entrega de
capacitación y formación.
Desarrollar las competencias basadas en la formación práctica incluida la
participación en ejercicios y pruebas.
Seguir las habilidades y competencias basada en el ejercicio y resultados de
pruebas.

DSS04.07
Copia de seguridad de sistemas, aplicaciones, datos y documentación de acuerdo
con un horario definido, teniendo en cuenta: • Frecuencia (mensual, semanal,
diario, etc.) • Modo de copia de seguridad (por ejemplo, la duplicación de disco
para copias de seguridad en tiempo real contra DVD-ROM para la retención a
largo plazo) • Tipo de copia de seguridad (por ejemplo, completa vs. incremental) •
Tipo de medios • automatizada copias de seguridad en línea • Los tipos de datos
(por ejemplo, voz, óptica) • Creación de registros • Los datos críticos de
computación de usuario final (por ejemplo, hojas de cálculo) • Ubicación física y
lógica de las fuentes de datos • Seguridad y derechos de acceso • cifrado
Asegurarse de que los sistemas, aplicaciones, datos y documentación mantenidos
o procesados por terceros están respaldados adecuadamente hacia arriba o
asegurados de otra manera. Considere que requiere devolución de las copias de
seguridad de terceros. Considere arreglos de depósito en garantía o depósito.
Definir los requisitos para el almacenamiento in situ y ex situ de los datos de copia
de seguridad que cumplen con los requerimientos del negocio. Considere la
accesibilidad necesaria para realizar copias de seguridad de datos.
Estirar la sensibilización y la formación BUSINESS CONTINUITY PLAN.
prueba y actualizar periódicamente los datos archivados y de respaldo.

DSS04.08
Evaluar el cumplimiento del BUSINESS CONTINUITY PLAN documentado.
Determinar la efectividad de los planes de continuidad, capacidades, funciones y
responsabilidades, habilidades y competencias, la capacidad de recuperación del
incidente, la infraestructura técnica, y las estructuras organizativas y las
relaciones.
Identificar los puntos débiles u omisiones en el plan y las capacidades y hacer
recomendaciones para la mejora.
Obtener la aprobación de la gestión para cualquier cambio en el plan y solicitar a
través del proceso de control de cambios en la empresa.