PROCESOS N° Actividades

APO12 Gestionar el Riesgo 6

APO13 Gestionar la seguridad 3
DSS02 Gestionar las peticiones y los incedentes de servicio 7

Primera Regla: Ejecutado > 50% d

Segunda Regla: Ejecutado > 85%

DOMINIOS

Alinear, Planificar y Organizar (APO) aborda la organización general, estrategia

APO y actividades de apoyo para la información y la
tecnología (I&T)

Construir, Adquirir e Implementar (BAI) se encarga de la definición, adquisición

BAI e implementación de soluciones y su integración
en los procesos de negocio

Entregar, Dar Servicio y Soporte (DSS) aborda la entrega operativa y el soporte

DSS de los servicios de información y tecnología
(I&T), incluida la seguridad

MEA Monitorizar, Evaluar y Valorar (MEA) aborda la monitorización del rendimiento

y la conformidad de I&T con los objetivos de
rendimiento internos, los objetivos de control interno y los requisitos externos.
 Nivel de Capacidad Nivel de Capacidad
N° Prácticas
2 3 4 5 Requerido Actual
36 6 18 10 2 4 3
19 7 6 5 1 4 3
25 15 7 2 1 4 2

mera Regla: Ejecutado > 50% del nivel evaluado

unda Regla: Ejecutado > 85% del nivel anterior al nivel evaluado CALIFICACION DE CAPACIDADES
85% 85% 50% 2 3 4
APO12 6 16 6 6 12 1
APO13 6 6 3 6 6 1
DSS02 13 6 2 6 5 1
CAPACIDADES Resultado
5
n/a 3
n/a 3
n/a 2
PROCESO EVALUADO: APO12 - GESTIONAR LOS RIESGOS
PRÁCTICAS EVALUADAS: APO12.01
APO12.02
APO12.03
APO12.04
APO12.05
APO12.06

Nivel de capacidad 2: mejorar 6 actividades en total

Nivel de capacidad 3: mejorar 18 actividades adicionales (24 en total)
Nivel de capacidad 4: mejorar 10 actividades adicionales (34 en total)
Nivel de capacidad 5: mejorar 2 actividades adicionales (36 en total)

Alcance de auditoria del proceso APO12:

34 actividades

Nivel de capacidad
requerido:
4
Nivel de capacidad actual: 3

Resultado de la evaluacion
Nivel de capacidad 2: 6 actividades evaluadas en total, de los cuales los 6 actividades estan cubiertas
Nivel de capacidad 3: 18 actividades adicionales evaluadas, de los cuales 12 estan cubiertas y 6 actividades no se ejecutan
Nivel de capacidad 4: 10 actividades adicionales evaluadas de los cuales 2 estan cubiertas y 8 actividades no se ejecutan

PROCESO EVALUADO: APO13 - GESTIONAR LA SEGURIDAD

PRÁCTICAS EVALUADAS: APO13.01
APO13.02
APO13.03

Nivel de capacidad 2: mejorar 7 actividades en total

Nivel de capacidad 3: mejorar 6 actividades adicionales (13 en total)
Nivel de capacidad 4: mejorar 5 actividades adicionales (18 en total)
Nivel de capacidad 5: mejorar 1 actividades adicionales (19 en total)

Alcance de auditoria del proceso APO13:

18 actividades

Nivel de capacidad
requerido: 4
Nivel de capacidad actual: 3

Resultado de la evaluacion
Nivel de capacidad 2: 7 actividades evaluadas en total, de los cuales los 7 actividades estan cubiertas
Nivel de capacidad 3: 6 actividades adicionales evaluadas, de los cuales 6 estan cubiertas
Nivel de capacidad 4: 5 actividades adicionales evaluadas de los cuales 1 esta cubierta y 4 actividades no se ejecutan
PROCESO EVALUADO: DSS02 - GESTIONAR LAS PETICIONES Y LOS INCIDENTES DE SERVICIO
PRÁCTICAS EVALUADAS: DSS02.01
DSS02.02
DSS02.03
DSS02.04
DSS02.05
DSS02.06
DSS02.07

Nivel de capacidad 2: mejorar 15 actividades en total

Nivel de capacidad 3: mejorar 7 actividades adicionales (22 en total)
Nivel de capacidad 4: mejorar 2 actividades adicionales (24 en total)
Nivel de capacidad 5: mejorar 1 actividades adicionales (25 en total)

Alcance de auditoria del proceso APO12:

24 actividades

Nivel de capacidad
requerido: 4
Nivel de capacidad actual: 2

Resultado de la evaluacion
Nivel de capacidad 2: 15 actividades evaluadas en total, de los cuales los 8 actividades estan cubiertas y 7 actividades no se
Nivel de capacidad 3: 7 actividades adicionales evaluadas, de los cuales 5 estan cubiertas y 2 actividades no se ejecutan
Nivel de capacidad 4: 2 actividades adicionales evaluadas de los cuales 1 esta cubierta y 1 actividad no se ejecuta

OBJETIVOS CRITICOS
APO12 - GESTIONAR LOS RIESGOS
APO13 - GESTIONAR LA SEGURIDAD
DSS02 - GESTIONAR LAS PETICIONES Y LOS INCIDENTES DE SERVICIO
PROCESOS
6 prácticas y 34 actividades
3 prácticas y 18 actividades
7 prácticas y 24 actividades
NIVEL REQUERIDO NIVEL ACTUAL
4 3
4 3
4 2
- GESTIONAR LOS RIESGOS
Recopilar Datos
Analizar el riesgo
Mantener un perfil de riesgo
Articular el riesgo
Definir un portafolio con acciones de gestión de riesgos
Responder al riesgo

6 actividades en total
18 actividades adicionales (24 en total)
10 actividades adicionales (34 en total)
2 actividades adicionales (36 en total)

ades evaluadas en total, de los cuales los 6 actividades estan cubiertas

dades adicionales evaluadas, de los cuales 12 estan cubiertas y 6 actividades no se ejecutan
dades adicionales evaluadas de los cuales 2 estan cubiertas y 8 actividades no se ejecutan

- GESTIONAR LA SEGURIDAD
Establecer y mantener un sistema de gestión de seguridad de la información (SGSI).
Definir y gestionar un plan de tratamiento de riesgos de seguridad de la información y privacidad
Monitorizar y revisar el sistema de gestión de seguridad de la información (SGSI).

7 actividades en total
6 actividades adicionales (13 en total)
5 actividades adicionales (18 en total)
1 actividades adicionales (19 en total)

ades evaluadas en total, de los cuales los 7 actividades estan cubiertas

ades adicionales evaluadas, de los cuales 6 estan cubiertas
ades adicionales evaluadas de los cuales 1 esta cubierta y 4 actividades no se ejecutan
- GESTIONAR LAS PETICIONES Y LOS INCIDENTES DE SERVICIO
Definir esquemas de clasificación para incidentes y peticiones de servicio.
Registrar, clasificar y priorizar las peticiones e incidentes
Verificar, aprobar y resolver peticiones de servicio
Investigar, diagnosticar y asignar incidentes
Resolver y recuperarse de los incidentes
Cerrar las peticiones de servicio y los incidentes
Hacer seguimiento al estado y producir informes

15 actividades en total
7 actividades adicionales (22 en total)
2 actividades adicionales (24 en total)
1 actividades adicionales (25 en total)

dades evaluadas en total, de los cuales los 8 actividades estan cubiertas y 7 actividades no se ejecutan
ades adicionales evaluadas, de los cuales 5 estan cubiertas y 2 actividades no se ejecutan
ades adicionales evaluadas de los cuales 1 esta cubierta y 1 actividad no se ejecuta

IONES Y LOS INCIDENTES DE SERVICIO

NIVEL ACTUAL
METODOLOGIA DE EVALUACION

Nivel 2 (6 actividades) Nivel 3 (18 actividades) Nivel 4 (10 actividades)

a) > 50% b) >85% a) > 50% b) >85% a) > 50%
4 6 10 16 6
6/4 6/6 12/10 12/16 2/6
Cumple Cumple Cumple No Cumple No Cumple

Nivel 2 (7 actividades) Nivel 3 (6 actividades) Nivel 4 (5 actividades)

a) > 50% b) >85% a) > 50% b) >85% a) > 50%
4 6 4 6 3
7/4 7/6 6/4 6/6 1/3
Cumple Cumple Cumple Cumple No Cumple
Nivel 2 (15 actividades) Nivel 3 (7 actividades) Nivel 4 (2 actividades)
a) > 50% b) >85% a) > 50% b) >85% a) > 50%
8 13 4 6 2
8/8 7/13 5/4 5/6 1/2
Cumple No Cumple Cumple No Cumple No Cumple
Proceso: APO12 Gestionar el Riesgo
Descripción: Identificar, evaluar y reducir continuamente los riesgos relacionados
con I&T dentro de los niveles de tolerancia establecidos por la gerencia ejecutiva
de la empresa

Nivel de capacidad
requerido: 4
Nivel de capacidad
actual: 3

Proceso Práctica Nombre práctica

APO12 APO12.01 Recopilar Datos

APO12 APO12.02 Analizar el riesgo

APO12 APO12.03 Mantener un perfil de riesgo

APO12 APO12.04 Articular el riesgo

APO12 APO12.05 Definir un portafolio con

acciones de gestión de riesgos

APO12 APO12.06 Responder al riesgo

Propósito: Integrar la gestión del riesgo empresarial relacionado con la I&T con la gestión del riesgo empresarial global (ERM), y
equilibrar los costes y beneficios de la gestión del riesgo empresarial relacionado con las I&T.

Descripcion práctica
Identificar y recopilar datos relevantes para habilitar una efectiva identificación, análisis y reporte de los riesgos
relacionados con I&T.
Desarrollar una visión fundamentada del riesgo de I&T vigente, que soporte las decisiones de riesgo.
Mantener un inventario de los riesgos conocidos y los atributos de riesgo, incluidos la frecuencia esperada, impacto
potencial y respuestas. Documentar los recursos, capacidades y actividades de control actuales relacionados con
elementos de riesgo.

Comunicar de manera oportuna información sobre el estado actual de las exposiciones y oportunidades relacionadas con
I&T a todas las partes interesadas requeridas para obtener una respuesta apropiada
Gestionar las oportunidades para reducir el riesgo a un nivel aceptable como un portafolio.

Responder de manera oportuna a eventos de riesgo materializados con medidas eficaces para limitar la magnitud de las
pérdidas.
 Código Código Código
Nro.
Proceso practica actividad

1 APO12 APO12.01 01

2 APO12 APO12.01 02

3 APO12 APO12.01 03

4 APO12 APO12.01 04

5 APO12 APO12.01 05

6 APO12 APO12.01 06

7 APO12 APO12.01 07

8 APO12 APO12.01 08

9 APO12 APO12.02 01

10 APO12 APO12.02 02

11 APO12 APO12.02 03

12 APO12 APO12.02 04

13 APO12 APO12.02 05

14 APO12 APO12.02 06

15 APO12 APO12.02 07

16 APO12 APO12.02 08

17 APO12 APO12.03 01

18 APO12 APO12.03 02

19 APO12 APO12.03 03
20 APO12 APO12.03 04
21 APO12 APO12.03 05

22 APO12 APO12.03 06

23 APO12 APO12.03 07

24 APO12 APO12.04 01

25 APO12 APO12.04 02

26 APO12 APO12.04 03

27 APO12 APO12.04 04

28 APO12 APO12.04 05

29 APO12 APO12.05 01

30 APO12 APO12.05 02

31 APO12 APO12.05 03

32 APO12 APO12.06 01

33 APO12 APO12.06 02

34 APO12 APO12.06 03

35 APO12 APO12.06 04

36 APO12 APO12.06 05
Descripción Larga
Establecer y mantener un método para la recogida, clasificación y análisis de datos relacionados con el riesgo de I&T

Registrar datos relevantes y significativos relacionados con los riesgos de I&T en el entorno operativo interno y externo de la e

Adoptar o definir una taxonomía de riesgo para las definiciones consistentes de escenarios de riesgo y categorías de im
probabilidad

Registrar datos de eventos de riesgo que han causado o podrían causar impacto en el negocio conforme a las categorías de
definidas en la taxonomía de riesgo. Capturar datos relevantes de cuestiones, incidentes, problemas e investigaciones

Estudiar y analizar los datos históricos de riesgo de I&T y de pérdidas experimentadas a partir de datos y tendencias e
disponibles, homólogos de la industria a través de logs de eventos de la industria, bases de datos, y acuerdos de la industria
publicación común de eventos

Para clases de eventos similares, organizar los datos recopilados y resaltar los factores causantes. Determinar los factores ca
comunes en múltiples eventos.
Determinar las condiciones específicas que existieron o estuvieron ausentes cuando tuvieron lugar los eventos de riesgo y l
en que las condiciones afectaron a la frecuencia del evento y la magnitud de la pérdida
Realizar un análisis periódico de eventos y factores de riesgo para identificar riesgos nuevos o emergentes y para me
entendimiento de los factores de riesgo internos y externos asociados
Definir el alcance adecuado de los esfuerzos en análisis de riesgos, considerando todos los factores de riesgo y/o la criticida
activos para el negocio
Crear y actualizar regularmente los escenarios de riesgo de I&T; las exposiciones a pérdidas relacionadas con I&T; y los esc
relacionados con el riesgo reputacional, incluidos escenarios compuestos de tipos de amenazas y eventos en casca
coincidentes. Desarrollar previsiones para actividades de control específicas y capacidades de detección

Estimar la frecuencia (o probabilidad) y la magnitud de la pérdida o ganancia asociada con escenarios de riesgos de I&T. T
cuenta todos los factores de riesgo aplicables y evaluar controles operativos conocidos
Comparar el riesgo actual (exposición a pérdidas de I&T) con el apetito al riesgo y la tolerancia de riesgo aceptable. Identi
riesgo inaceptable o elevado
Proponer respuestas al riesgo para riesgos que excedan el apetito al riesgo y los niveles de tolerancia
Especificar los requisitos de alto nivel para los proyectos o programas que implementarán las respuestas a los riesgos selecci
Identificar los requisitos y expectativas para los controles clave adecuados a fin de proporcionar respuestas de mitigación de r

Validar el análisis de riesgo y los resultados del análisis de impacto del negocio (BIA) antes de usarlos en la toma de dec
Confirmar que el análisis se corresponde con los requisitos empresariales y comprobar que los sesgos de las estimaci
calibraron y analizaron de forma adecuada.

Analizar el coste/beneficio de las posibles opciones de respuesta al riesgo, como evitar, reducir/mitigar, transferir/com
aceptar y explotar/aprovechar. Confirmar la respuesta óptima al riesgo
Hacer un inventario de los procesos de negocio y documentar su dependencia con los procesos de gestión de servicios de I
recursos de infraestructura de TI. Identificar el personal de apoyo, aplicaciones, infraestructura, instalaciones, registros m
críticos, contratistas, proveedores, y terceros.

Determinar y acordar qué servicios de I&T y recursos de infraestructura de TI son esenciales para sostener el funcionamient
procesos de negocio. Analizar las dependencias e identificar los eslabones débiles.
Agregar los escenarios de riesgos actuales por categoría, línea de negocio y área funcional.
Capturar regularmente toda la información del perfil de riesgo y consolidarla en un perfil de riesgo agregado.
Capturar información sobre el estado del plan de acción de riesgos para su inclusión en el perfil de riesgo de I&T de la empresa

Con base en todos los datos del perfil de riesgo, definir un conjunto de indicadores de riesgo que permitan una identific
monitorización rápida del riesgo actual y las tendencias de riesgo.
Capturar información sobre eventos de riesgo de I&T que se han materializado para su inclusión en el perfil de riesgo de
empresa
Informar sobre los resultados del análisis de riesgo a todas las partes interesadas afectadas en términos y formatos úti
soportar las decisiones empresariales. Siempre que sea posible, incluir las probabilidades y rangos de pérdidas o ganancias, ju
los niveles de confianza, para permitir que la gerencia haga balance del retorno del riesgo

Proporcionar a los responsables de la toma de decisiones la comprensión de los escenarios más probables y peores, exposi
pérdidas de I&T y consideraciones significativas de reputación, legales y regulatorias, o cualquier otra categoría de impacto co
a la taxonomía de riesgos

Informar sobre el perfil de riesgo actual a todas las partes interesadas. Incluir información sobre la eficacia del proceso de ge
riesgos, eficacia del control, brechas, inconsistencias, redundancias, estado de remediación y sus impactos en el perfil de riesg

De forma periódica, en áreas con riesgos relativos y capacidades de riesgo similares, identificar oportunidades relacionadas
que permitirían la aceptación de un riesgo mayor y un mayor crecimiento y retorno
Revisar los resultados de las evaluaciones objetivas de terceros y revisiones de auditoría interna y de aseguramiento de la
Incluirlos en el perfil de riesgo. Revisar las brechas identificadas y las exposiciones de pérdidas relacionadas con I&T para det
la necesidad de un análisis de riesgos adiciona

Mantener un inventario de las actividades de control que se han implantado para mitigar el riesgo y que permiten que se
riesgos alineados con el apetito y la tolerancia al riesgo. Clasificar las actividades de control y asignarlas a escenarios de riesgo
específicos y escenarios de riesgos de I&T agregados

Determinar si cada entidad organizativa monitoriza el riesgo y acepta la responsabilidad de actuar dentro de los niveles de to
individuales y del portafolio
Definir un conjunto de propuestas de proyectos equilibrada diseñada para reducir el riesgo y/o proyectos que p
oportunidades empresariales estratégicas, con consideración de los costes, beneficios, efecto en el perfil de riesgo actual
regulaciones

Preparar, mantener y probar planes que documenten los pasos específicos que deben darse cuando un evento de riesgo
causar un incidente significativo de desarrollo u operativo con un impacto grave para el negocio. Asegurar que los planes i
vías de escalamiento en la empresa

Aplicar el plan de respuesta adecuado para minimizar el impacto cuando ocurren incidentes de riesgo

Clasificar los incidentes y comparar las exposiciones a pérdidas relacionadas con I&T con los umbrales de tolerancia al
Comunicar los impactos de negocio a los responsables de la toma de decisiones como parte del reporte y actualización del p
riesgo

Examinar eventos adversos/pérdidas y oportunidades del pasado no consideradas y determinar las causas raíz

Comunicar la causa raíz, requisitos adicionales de respuestas al riesgo y mejoras del proceso a los responsables de la t
decisiones correspondientes. Asegurar que la causa, requisitos de respuesta y mejora del proceso se incluyan en los proc
gobierno del riesgo
 Nivel 1-Cumple /
Observaciones
capacidad 0-No cumple

2 1

2 1

3 1

3 1

4 1

No se recopilaron la totalidad de eventos ocurridos.

4 0
No de identificaron adecuadamente las condiciones causa de los
4 0 eventos de riesgo
No se realizan eventos orientados a identificar nuevos riesgos
4 0 internos y externos

3 1

3 1

3 1

3 1

3 1
No se cuenta con requisitos que permitan la implementacion de
3 0 respuestas a riesgos.

4 1

Capacidad No Evaluada
5

2 1

2 1

2 1
3 1
3 1
No se cuenta con la totalidad de indicadores de riesgos
4 0 emergentes de su identificacion
No todos los eventos materializados estan incluidos en el perfil de
4 0 riesgos
Los informes emitidos a las partes interesadas no considera la
integridad de riesgos identificados que permita la toma de
3 0 decisiones empresariales

3 1

3 1

No se identifican oportunidades de mayor crecimiento

3 0 relacionados con la adopcion de mayores riesgos de IT
Solo consideran los resultados de auditoria interna en el analisis
4 0 de perfiles de riesgo

2 1

3 1
No se cuenta con proyectos relacionados a la disminucion de
3 0 riesgos

No se cuenta con protocolos para incidentes significativos en

3 0 operaciones con afectacion critica para el negocio

No se cuenta con protocolos para incidentes significativos en

3 0 operaciones con afectacion critica para el negocio
Los resportes de incidentes no exponen informacion completa
4 0 sobre los incidentes y el efecto de perdidas de IT.

No se identifica las causas raiz de los incidentes en un 100%

4 0
Capacidad No Evaluada
5
Proceso: APO13 Gestionar la seguridad
Descripción: Definir, operar y monitorizar un sistema de gestión de seguridad de
la información

Nivel de capacidad
requerido: 4
Nivel de capacidad
actual: 3

Proceso Práctica Nombre práctica

APO13 APO13.01 Establecer y mantener un
sistema de gestión de seguridad
de la información (SGSI).

APO13 APO13.02 Definir y gestionar un plan de

tratamiento de riesgos de
seguridad de
la información y privacidad

APO13 APO13.03 Monitorizar y revisar el sistema

de gestión de seguridad de la
información (SGSI).
Propósito: Mantener el impacto y la ocurrencia de incidentes de seguridad de la información dentro de los niveles de apetito de riesgo
de la empresa.

Descripcion práctica
Establecer y mantener un sistema de gestión de seguridad de la información (SGSI) que proporcione un enfoque estándar,
formal y continuo para la gestión de la seguridad de la información, mediante la habilitación de tecnología segura y
procesos de negocio alineados con los requisitos del negocio.

Mantener un plan de seguridad de la información que describa cómo se debe manejar el riesgo de seguridad de la
información y cómo se debe alinear con la estrategia y la arquitectura de la empresa. Asegurar que las recomendaciones
para implementar mejoras a la seguridad se basen en casos de negocio aprobados, implementados como una parte
integral del desarrollo de servicios y soluciones, y que operen como una parte integral de la operación del negocio

Mantener y comunicar periódicamente la necesidad y los beneficios de una mejora continua de seguridad de la
información. Recopilar y analizar datos sobre el sistema de gestión de seguridad de la información (SGSI) y mejorar su
efectividad. Corregir los incumplimientos para evitar la recurrencia.
 Código Código Código
Nro.
Proceso practica actividad

1 APO13 APO13.01 01

2 APO13 APO13.01 02
3 APO13 APO13.01 03
4 APO13 APO13.01 04
5 APO13 APO13.01 05
6 APO13 APO13.01 06
7 APO13 APO13.01 07

8 APO13 APO13.02 01

9 APO13 APO13.02 02

10 APO13 APO13.02 03

11 APO13 APO13.02 04

12 APO13 APO13.02 05

13 APO13 APO13.02 06

14 APO13 APO13.02 07

15 APO13 APO13.03 01

16 APO13 APO13.03 02

17 APO13 APO13.03 03

18 APO13 APO13.03 04

19 APO13 APO13.03 05
Descripción Larga
Definir el alcance y los límites del sistema de gestión de seguridad de la información (SGSI) en términos de las característic
empresa, organización, ubicación, activos y tecnología. Incluir detalles y justificación de las exclusiones del alcance

Definir un SGSI conforme a la política empresarial y el contexto en el que opera la empresa

Alinear el SGSI con el enfoque global de la empresa hacia la gestión de la seguridad
Obtener la autorización de la dirección para implementar y operar o cambiar el SGSI.
Preparar y mantener una declaración de aplicabilidad que describa el alcance del SGSI
Definir y comunicar los roles y responsabilidades de la gestión de seguridad de la información.
Comunicar la estrategia de SGSI.
Formular y mantener un plan de tratamiento de riesgos de seguridad de la información alineado con objetivos estratégi
arquitectura empresarial. Asegurar que el plan identifique las prácticas de gestión y las soluciones de seguridad apropiadas y ó
con los recursos, responsabilidades y prioridades asociados para la gestión de los riesgos de seguridad de la información identi

Mantener, como parte de la arquitectura de la empresa, un inventario de los componentes de la solución establecida para g
los riesgos relacionados con la seguridad
Desarrollar propuestas para implementar el plan de tratamiento de riesgos de seguridad, apoyadas por casos de negocio apr
que incluyan consideraciones de financiación y asignación de roles y responsabilidades
Proporcionar aportes para el diseño y desarrollo de prácticas y soluciones de gestión, seleccionadas en el plan de tratami
riesgos de seguridad de la información
Implementar programas de formación y concienciación sobre seguridad de la información y privacidad
Integrar la planificación, diseño, implementación y monitorización de procedimientos de seguridad de la información y priva
otros controles capaces de permitir la prevención, detección rápida de eventos de seguridad y la respuesta a incidentes de seg

Definir cómo medir la eficacia de las prácticas de gestión seleccionadas. Especificar cómo deben usarse estas medidas para ev
eficacia para producir resultados comparables y reproducibles.
Llevar a cabo revisiones regulares de la eficacia del SGSI. Incluir el cumplimiento de la política y los objetivos del SGSI y re
prácticas de seguridad y privacidad
Realizar auditorías de SGSI a intervalos planificados
Realizar periódicamente una revisión de la gestión del SGSI para asegurar que el alcance sigue siendo adecuado y que se ide
mejoras en el proceso del SGSI
Registrar acciones y eventos que podrían tener un impacto en la eficacia o el rendimiento del SGSI

Hacer aportes para el mantenimiento de los planes de seguridad para tener en cuenta los hallazgos de las activida
monitorización y revisión
 Nivel 1-Cumple /
Observaciones
capacidad 0-No cumple

2 1

2 1
2 1
2 1
2 1
2 1
2 1

3 1

3 1

3 1

3 1

3 1

3 1

No se definio parametros de eficacia que permitan su medicion

4 0
No esposible llevar a acbo revisiones periodicas de eficacia por
4 0 cuanto no estan definidas
4 1
Las revisiones periodicas realizadas al SGSI no exponen ajustes al
4 0 alcance y no reportan mejoras realizadas al SGSI
No se registran formalmente ningun tipo de acciones o eventos
4 0 relacionados al mejoramiento de la eficcacia del SGSI

Capacidad No Evaluada
5
Proceso: DSS02 Gestionar las peticiones y los incedentes de servicio
Descripción: Proporcionar una respuesta oportuna y efectiva a las solicitudes de
los usuarios y la resolución de todos los tipos de incidentes. Restaurar el servicio
normal, registrar y completar las solicitudes de usuario; y registrar, investigar,
diagnosticar, escalar y resolver los incidentes

Nivel de capacidad
requerido: 4
Nivel de capacidad
actual: 2

Proceso Práctica Nombre práctica

DSS02 DSS02.01 Definir esquemas de clasificación
para incidentes y peticiones de
servicio.

DSS02 DSS02.02 Registrar, clasificar y priorizar las

peticiones e incidentes
DSS02 DSS02.03 Verificar, aprobar y resolver
peticiones de servicio

DSS02 DSS02.04 Investigar, diagnosticar y asignar

incidentes
DSS02 DSS02.05 Resolver y recuperarse de los
incidentes
DSS02 DSS02.06 Cerrar las peticiones de servicio y
los incidentes
DSS02 DSS02.07 Hacer seguimiento al estado y
producir informes
es y los incedentes de servicio
Propósito: Lograr una mayor productividad y minimizar las interrupciones mediante la resolución rápida de consultas e incidencias de
los usuarios. Evaluar el impacto de los cambios y hacer frente a los incidentes del servicio. Resolver las solicitudes de los usuarios y
restaurar el servicio como respuesta ante incidentes.

Descripcion práctica
Definir esquemas de clasificación y modelos de incidentes y de peticiones de servicio.

Identificar, registrar y clasificar las peticiones de servicio y los incidentes, y asignarles una prioridad de acuerdo con la
criticidad para el negocio y los acuerdos de servicio
CSeleccionar los procedimientos apropiados para peticiones y verificar que las solicitudes de servicio cumplan con los
criterios de solicitud definidos. Obtener aprobación, si se requiere, y satisfacer las solicitudes.

Identificar y registrar los síntomas de los incidentes, determinar las causas posibles y asignarlos para su resolución

Documentar, aplicar y probar las soluciones definitivas o temporales (workarounds) identificados. Realizar acciones de
recuperación para restaurar el servicio relacionado con I&T
Verificar la solución satisfactoria del incidente y/o el cumplimiento de la petición y su cierre

Hacer seguimiento, analizar e informar regularmente sobre los incidentes y el cumplimiento de las solicitudes. Examinar
tendencias para proporcionar información para la mejora continua
 Código Código Código
Nro.
Proceso practica actividad

1 DSS02 DSS02.01 01

2 DSS02 DSS02.01 02

3 DSS02 DSS02.01 03

4 DSS02 DSS02.01 04

5 DSS02 DSS02.01 05

6 DSS02 DSS02.02 01

7 DSS02 DSS02.02 02

8 DSS02 DSS02.02 03

9 DSS02 DSS02.03 01

10 DSS02 DSS02.03 02

11 DSS02 DSS02.03 03

12 DSS02 DSS02.04 01

13 DSS02 DSS02.04 02

14 DSS02 DSS02.04 03

15 DSS02 DSS02.05 01
16 DSS02 DSS02.05 02

17 DSS02 DSS02.05 03

18 DSS02 DSS02.05 04

19 DSS02 DSS02.06 01

20 DSS02 DSS02.06 02

21 DSS02 DSS02.07 01

22 DSS02 DSS02.07 02
23 DSS02 DSS02.07 03

24 DSS02 DSS02.07 04

25 DSS02 DSS02.07 05
Descripción Larga
Definir esquemas de priorización y clasificación de solicitudes de servicios e incidentes, y los criterios para el registro de pro
Usar esta información para garantizar estrategias constantes a fin de gestionar e informar a los usuarios sobre los problemas
a cabo análisis de tendencias

Definir modelos de incidentes sobre errores conocidos para permitir una resolución eficiente y eficaz
Definir modelos de solicitud de servicios conforme al tipo de solicitud de servicios para permitir la autoayuda y un servicio e
para solicitudes estándar
Definir las reglas y procedimientos de escalamiento de incidentes, sobre todo para incidentes importantes e incidentes de seg

Definir las fuentes de conocimiento sobre incidentes y solicitudes y describir cómo usarlas
Registrar todas las solicitudes e incidentes de servicio, mediante el registro de toda la información relevante, para que
gestionarse de forma eficaz y pueda mantenerse un registro histórico completo
Permitir el análisis de tendencias, clasificar las solicitudes e incidentes de servicio, con identificación del tipo y categoría

Priorizar solicitudes e incidentes de servicio basados en la definición del servicio de SLA según el impacto y la urgencia
negocio.
Comprobar el derecho a las solicitudes de servicio, utilizando un flujo de proceso predefinido y cambios estándar, cuando sea

Obtener la aprobación y confirmación financiera y funcional, si fuera necesario, o las aprobaciones predefinidas para los c
estándar acordados
Cumplir con las solicitudes realizando el proceso de solicitud seleccionado. Cuando sea posible, usar menús automáti
autoayuda y modelos de solicitud predefinidas para elementos solicitados con frecuencia.
Identificar y describir síntomas relevantes para establecer las causas más probables de los incidentes. Referenciar los recu
conocimientos disponibles (incluidos errores y problemas conocido) para identificar posibles resoluciones de incidentes (so
temporales y/o permanentes).

Si un problema relacionado o error conocido no existe todavía y si el incidente satisface los criterios acordados para el reg
problemas, registrarlo como un problema nuevo.
Asignar incidentes a funciones de especialista si se necesita una mayor habilidad. Contar con el nivel directivo adecuado, do
se necesita
Seleccionar y aplicar las resoluciones de incidentes más adecuadas (solución workaround y/o solución permanente).
Registrar, si se usaron, workarounds (metodos alternativos) para la resolución de incidentes
Aplicar medidas correctivas, si se requieren

Documentar la resolución de incidentes y evaluar si la resolución puede usarse como una fuente de conocimiento futura

Comprobar con los usuarios afectados que la solicitud de servicio se ha cumplido de forma satisfactoria o el incidente se ha
de forma satisfactoria dentro de un plazo de tiempo acordado/aceptable
Cerrar las peticiones e incidentes de servicio

Supervisar y hacer seguimiento al escalamientos y resoluciones de incidentes y solicitar procedimientos de manejo para pr
hacia la resolución o finalización de los mismos
Identificar las partes interesadas en la información y sus necesidades de datos o informes. Identificar frecuencia y m
elaboración de los reportes.
Producir y distribuir informes en el plazo debido o proporcionar un acceso controlado a los datos en línea
Analizar incidentes y solicitudes de servicio por categoría y tipo. Establecer tendencias e identificar patrones de pro
recurrentes, violaciones o ineficiencias del SLA.

Usar la información como un insumo a la planificación de la mejora continua

 Nivel 1-Cumple /
capacidad 0-No cumple

3 1

3 0

3 1

3 0

3 1

2 1

2 1

2 1

2 1

2 1

3 1

2 0

2 1

2 0

2 1
2 1

2 0

2 0

2 0

2 0

2 0

3 1
4 1

4 0

5
Observaciones

Los modelos disponibles no permiten la resolucion de incidentes en su totalidad

No se cuenta con procedimientos de manejo orientados a la resolucion o finalizacion de

los incidentes reportados y atendidos

No se identificaron ni describieron en al menos un 60% de las causas probables de los

incidentes registrados

Los incidentes complejos son resueltos de manera parcial por personal con insuficiente
especialidad y/o habilidad

No exite evidencia de haberse generado medidas correctivas a los incidentes reportados.

Solo soluciones temporales.
El archivo fisico y digital solo cuenta con docuemntacion de algunos incidentes resueltos
y no asi la integridad
Las confirmaciones de satisfaccion de solucion de incidentes muestran que mas del 50%
de los usuarios no estan satisfechos con la solucion
Existen peticiones e incicentes que no estan cerrados en su integridad o mantienen en
procesos desde gestiones anteriores. Aproximadamente un 40% de total de reportes

No se cuenta con procedimientos de manejo orientados a la resolucion o finalizacion de

los incidentes reportados y atendidos
No se efectua analisis de incidentes. No se categorizan los reportados y resueltos. No es
posible establecer tendencias por falta de integridad en lainformacion

Capacidad No Evaluada