Escuela de Ingeniería de Sistemas

LINEA DE INVESTIGACION DE LA ESCUELA DE INGENIERIA DE

SISTEMAS

“PERFIL DE LA GESTION DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES EN LAS MYPES DE LA REGION DE ANCASH”

D OC E N T E I N V E S T I G A D O R : MG . MA R I O F E R N A N D O R A M O S MO S C O L

C H I MB O T E - P E R U

A G O S TO 2 0 1 0

Índice de contenido
1. Planteamiento de la investigación.....................................................................................................4 1.1. Planteamiento del problema...........................................................................................................4 1.1.1. Caracterización del problema......................................................................................................4 1.1.2. Enunciado del problema:.............................................................................................................5 1.2. Objetivos de la investigación.........................................................................................................5 1.2.1  Objetivo general..........................................................................................................................5 1.2.2. Objetivos específicos..................................................................................................................5 1.3. Justificación de la Investigación....................................................................................................6 2. Marco teórico y conceptual..............................................................................................................7 2.1. Antecedentes..................................................................................................................................7 2.1.1. A nivel internacional...................................................................................................................7 2.1.2 Antecedentes a Nivel Nacional..................................................................................................10 2.2. Bases teóricas...............................................................................................................................11 2.2.1. Pequeñas y microempresas........................................................................................................11 2.2.1.1.Orígenes y expansión de las MYPES......................................................................................11 2.2.1.2 Definición................................................................................................................................11 2.2.1.3. Áreas de actividad de una MYPE..........................................................................................12 2.2.1.4. Características de una MYPE.................................................................................................13 2.2.2. Las Tecnologías de Información y comunicaciones (TICs)......................................................14 2.2.2.1. Definición...............................................................................................................................14 2.2.2.2. Áreas de aplicación de las TICs.............................................................................................14 2.2.2.3. Beneficios que aportan las TICs............................................................................................15 2.2.2.3. Principales TICs utilizadas en las empresas..........................................................................15 2.2.2.5. Perfil de uso de las TICs en las MYPES...............................................................................18 2.2.3. Las TICs y las MYPES.............................................................................................................20 2.2.3.1. Utilidad de las TICs en las MYPES.......................................................................................21 2.2.3.2. Aplicaciones de TICs en las MYPES....................................................................................21 2.2.3.3. Criterios para incorporar las TICs en la gestión de las MYPES...........................................21 2.2.3.4. Las TICs y su importancia estratégica para las MYPES en la globalización........................22 2.3. Marco conceptual........................................................................................................................23 2.3.1 El gobierno de las TICs – COBIT.............................................................................................23 2.3.2. La entrega del servicio – ITIL..................................................................................................24 2.3.3. La seguridad – ISO 17999........................................................................................................24 3. Sistema de hipótesis........................................................................................................................25 3.1. Hipótesis principal.......................................................................................................................25 3.2. Hipótesis específicas...................................................................................................................25 4. Metodología....................................................................................................................................25 4.1. Subproyectos de investigación.....................................................................................................25 4.2. Tipo y Nivel de investigación......................................................................................................25 4.2.1 Tipo de Investigación.................................................................................................................25 4.2.2. Nivel de la Investigación ..........................................................................................................26 4.3. Diseño de la Investigación...........................................................................................................26 4.4. Población y muestra.....................................................................................................................26 4.5. Definición operacional de las variables en estudio.....................................................................27 4.5.1. Variables principales.................................................................................................................27 4.5.1.1. Planeamiento y organización..................................................................................................27

.....1...........................44 4............................................................................................................................44 4.................................5............5......................................................................30 4...............................1....................85 Anexo 05............ Instrumentos.45 5....74 Anexo 04..................................................................2....... ENCUESTA PARA MEDIR EL PERFIL DE GESTION DE TICS ­ DOMINIO  “PLANEAMIENTO Y ORGANIZACION” SEGUN EL MODELO COBIT.... Monitorear y evaluar .......................................................................... Variables Intervinientes.........................................................1........34 4............................................................................................ ENCUESTA PARA MEDIR EL PERFIL GESTION DE TICS ­ DOMINIO “ENTREGA  DEL SERVICIO Y SOPORTE” SEGUN EL MODELO COBIT.. Técnica..........................44 4.............2........................35 4..................7.................................2.......................................3............................................................................. Adquisición e implementación..............6....31 4............... ENCUESTA PARA MEDIR EL PERFIL GESTION DE TICS ­ DOMINIO  “MONITOREO Y EVALUACION” SEGUN EL MODELO COBIT..4.............................................................................. Bibliografía....................102 ................................ Entrega y soporte ......................... ENCUESTA PARA MEDIR EL PERFIL GESTION DE TICS ­ DOMINIO “ADQUIRIR  E IMPLEMENTAR” SEGUN EL MODELO COBIT.......................................6..................... Técnica e Instrumentos de medición........................................45 Anexo 01.1..........................................57 Anexo 03............................4......................................................................................................6.................................5.... ENCUESTA PARA MEDIR EL PERFIL DE GESTION DE TICS DE ACUERDO AL  MODELO COBIT....51 Anexo 02....... Plan de análisis.....5...

no hay una suficiente conciencia práctica a la hora de abordar esos cambios. actualmente el quehacer empresarial se soporta en ellas y se requiere por lo tanto modelos adecuados para gestionar la información con criterios de eficiencia. un determinado proceso de datos y a menudo también la comunicación con otras personas. La gestión de las tecnologías ha tomado diversos matices en función de la disponibilidad de las mismas. entre otros La página de Ibermática (3) tratando el tema de oportunidades y amenazas sociales de las TICs concluye “El desarrollo que aportan las TIC transforma poderosamente los modos de vida y la actividad laboral y profesional. Sin embargo.PERFIL DE GESTION DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES EN LAS MYPES DE LA REGION ANCASH 1. y esto es precisamente lo que nos ofrecen las TIC”. los usuarios acceden a servicios externos ajenos a la actividad de la empresa. las aplicaciones web tienen muchos agujeros de seguridad. también se han suscitado una serie de problemas que ponen en riesgo la información y como consecuencia la prestación del servicio. En la página de Techweek (2) se evidencia diez posibles problemas de las tecnologías: la red empresarial se convierte en medio de conversación ajena a la empresa entre el personal.” El procesamiento de la información ha tenido diferentes enfoques en función de la . Planteamiento de la investigación 1. se transmiten por la red datos confidenciales no encriptados. Posteriormente con el advenimiento de Internet el proceso se realiza en servidores distribuidos por todo el mundo y actualmente se brindan servicios en los espacios personales. problemas con las bases de datos -espacio insuficientes. profesionales e institucionales. etc – problemas con los IPs. Caracterización del problema Según el Dr. sean éstos los que sean.1. ni en la dirección a emprender ni en la urgencia de los mismos. inseguras.1. disponibilidad y fiabilidad cumpliendo las normativa tanto interna como externa a la empresa.1. problemas de gestión. Pere Marquez (1) refiriéndose a la tecnología: “Sus principales aportaciones a las actividades humanas se concretan en una serie de funciones que nos facilitan la realización de nuestros trabajos porque. no auditadas. siempre requieren una cierta información para realizarlo. integridad. Planteamiento del problema 1. eficacia. Si bien es cierto que se han evidenciado muchos beneficios del uso de las tecnologías. confidencialidad.

prácticamente no hay empresas que no utilice computadoras.tecnología del momento. Describir el perfil de la adquisición e implementación de tecnologías en las MYPES de la Región Ancash. La experiencia de las empresas respecto al uso de las tecnologías ha sido muy variada en cuanto a la satisfacción del servicio. En estos tiempos se privilegiaban las funciones administrativas afectando el servicio o producción de la empresa. identificando los procesos de digitación. sin embargo es una necesidad de la que no se puede prescindir. procesamiento e impresión de reportes. En este sentido la información es un gran eje sobre el que giran muchas actividades del quehacer humano.1. Según un estudio (4) de la UIT (Unión internacional de telecomunicaciones) la tecnología crece en un 30% manteniendo una brecha digital paralela entre los países desarrollados y los menos favorecidos. 1. para minimizar este problema se ha implementado un Plan Marshall (5) de las tecnología para África.1 Objetivo general Describir el perfil de la gestión de las TICs en las MYPES de la Región Ancash.2.2. validación. Inicialmente la información se procesaba en los llamados “centros de cómputo” por lotes. facturación. 1. Con la aparición de los computadores personales las empresas iniciaron un proceso de descentralización del tratamiento de información y con ello demandaron software especializado para las funciones de contabilidad. permanecer en el mercado y centrarse en su negocio”. pago de remuneraciones. Objetivos específicos Describir el perfil del planeamiento y organización de tecnologías en las MYPES de la Región Ancash. Desde la aparición de las computadoras se inició una revolución en el tratamiento y uso de la información en las organizaciones. dejando de lado el objetivo de las empresa. Enunciado del problema: De lo mencionado en el ítem anterior se plantea el siguiente problema de investigación ¿Cuál es el perfil de la gestión de las TICs que tienen las MYPES de la Región Ancash? 1. Describir el perfil de la entrega del servicio de tecnologías en las MYPES de la Región .2. etc.2. almacén. Salazar (6) comenta ”Las TICs agregan valor a las actividades operacionales y de gestión empresarial en general y permite a las empresas obtener ventajas competitivas. Objetivos de la investigación 1.2. La problemática de las tecnologías es mundial y genera nuevas formas de dependencia.

Se trata. 1. Describir el perfil del monitoreo y control de tecnologías en las MYPES de la Región Ancash. adquisición de tecnologías. Vicepresidente de mercadeo y ventas de Intel Corporation. Justificación de la Investigación El Instituto tecnológico de Galecia (7) que mantiene un proyecto de planificación para 15 MYPES indica que “La Planificación Estratégica es el proceso mediante el que una empresa define cuál es la posición deseada para el futuro y de qué manera pretende alcanzarla”. En este sentido este estudio determinará en que medida las tecnologías están orientadas a soportar los objetivos estratégicos empresariales en el marco de la gestión de calidad. en su forma más básica. Desde el punto de vista financiero. más que un ideal y más de la jerga de los años 90. Gloria Medina (8) cita a John Davies. con el . Planificar está relacionado con el diseño de un modelo de gestión de TICs que tenga como objetivo estratégico el de apoyar al logro de objetivos institucionales o empresariales.3. El manual de atención al usuario (9) de la biblioteca de la Universidad de Cantabria cita a la autora Darlene E Weingand "El excelente servicio al cliente es más que una meta. Llevando esta reflexión al ambiente informático este estudio determinará de que manera el cliente de las TICs percibe el servicio que como consecuencia inmediata se refleja en el servicio o producto ofertado por la empresa.” En este sentido es conveniente mantener los niveles de inversión relacionados con la adquisición de soluciones tecnológicas en valores aceptables y rentables por la rápida obsolescencia debido a su evolución. El presente estudio cobra importancia toda vez que se pretende identificar y describir los factores que afectan la planificación y organización.Ancash. quien en una conferencia que brindó en la Cámara de comercio de Lima recomendó al gobierno peruano la inversión en TICs porque “invertir en tecnología ayuda a los gobiernos y empresas a generar un mayor desarrollo económico. entrega del servicio y monitoreo del servicio informático en las empresas del medio. Los continuos cambios en las tecnologías genera a su vez repercusiones en el servicio entregado a los usuarios afectando su productividad. calidad y agilidad. Este estudio permitirá conocer los mecanismos para adquisición de tecnologías. la buena la práctica empresarial” y agrega que “el servicio al cliente es el eje alrededor de la cual todas las demás operaciones debe girar” y presenta un conjunto de prácticas de atención al usuario ubicándolo en el centro del servicio.

implicancia en los conceptos de politica. codificando y difundiendo conocimiento en forma de estándares proceso. desarrollar.1. gobernabilidad. •Organizar las actividades emmpresariales en un modelo de procesos generalmente aceptado. Antecedentes 2.1. •Valorar el desempeño de la TI en comparación con la competencia (Benchmarking) 2. las TI y los socios externos. A nivel internacional Torres (10) en su tesis doctoral “Acumulación y socialización de capacidades durante la gestión tecnológica: Caso CEMEX” tiene como objetivo “Analizar el proceso de gestión y socialización de capacidades en CEMEX (Cementos Mexicanos). y las conclusiones generan conocimiento en aspectos de universidad y contexto. Parte II”. por otro lado permitirá conocer las TICs a un nivel aceptable por los empresarios. Marco teórico y conceptual 2.objetivo de contribuir al direccionamiento del uso de las TICs y de buenas prácticas. actualizado. redes de trabajo virtual Tancredi et al (11) en su tesis “Gobernabilidad de las políticas de gestión educativa universitaria y las tecnologías asociadas. hacer público y promover un marco de control de gobierno de TI autorizado. gobierno. Se ha considerado el modelo COBIT para este trabajo porquer su misión es precisamente “Investigar.” La alta dirección se está dando cuenta del impacto significativo que tiene la información en el éxito de la empresa. •Estructuras organizacionales que faciliten la implementación de estrategias y el logro de las metas. •Alinear las estrategia de TI con la estrategia del negocio. Tiene como objetivo “Analizar las políticas de gestión educativa universitaria. por lo tanto se espera que las TICs generen un valor agregado y sea aprovechada como ventaja competitiva. organización y administración-gestión y enfoque de toma de decisiones. según sus modos de gobernabilidad en niveles y procesos de toma de decisiones en un período bianual en el ámbito de la Universidad Nacional de Cuyo”. •Crear relaciones beneficiosas entre el negocio. profesionales de TI y profesionales de aseguramiento. en este sentido COBIT como marco referencial basado en buenas prácticas permite: •Asegurar el logro de objetivos tecnológicos y empresariales. aceptado internacionalmente para la adopción por parte de las empresas y el uso diario por parte de gerentes de negocio.. fusionando prácticas y procesos con tecnología. siendo la pregunta que guía la investigación “Cómo se gestionan y socializan capacidades en una gran empresa Mexicana? y las conclusiones se relacionan con la estandarización de procesos. •Flexibilidad para aprender y adaptarse a los cambios tecnológicos y empresariales •Manejo juicioso de mitigación de los riesgos tecnológicos •Reconocer las oportunidades y actuar de acuerdo a ellas. Bravo (12) en su tesis “Visión sistemática aplicada a la gestión de procesos” el objetivo .1.

Habilidades en procesos de negocio. Habilidades en tecnologías de información. trabajar con un mapa de procesos. Gestión de proyecto. y presenta como conclusiones la factibilidad. de gran capacidad y con múltiples funciones. Predisposición para el cambio. Aprendizaje. por el enfoque holístico que provee. cuidar que los procesos y actividades agreguen valor. productividad y conveniencia social de aplicaciones con herramientas sistémicas con las siguientes características: cambio en forma integral. Internet ofrece al mundo de los negocios una nueva infraestructura practicamente universal. gestión de procesos como proyectos con un ciclo de vida y etapas. Por último se analiza el grado de impacto de las tecnologías estudiadas en distintos aspectos de gestión vinculados con las funciones clave en las empresas industriales. calidad de información. procesos en una perspectiva histórica que permita rescatar aprendizajes. el interés por el estudio de las tendencias de administración electrónica va en aumento. . Entrenamiento en ERP.”. Iturbe (15) en su trabajo de tesis “Análisis del impacto de la eficiencia empresarial de las nuevas tecnologías de la información y comunicaciones sobre la PYME industrial Vasca” analiza de manera exhaustiva las alternativas tecnológicas puesta a disposición de las organizaciones industriales para la optimización de recurso información y estudia el grado de implantación de las TIC en las organizaciones industriales caracterizadas por su tamaño. con la diferencia que aquí se propone un modelo y nosotros usamos el modelo COBIT propuesto como buenas prácticas.de la investigación es “Analizar la aplicación de las herramientas que provee la visión sistémica en la gestión de procesos. actividad industrial. Compromiso ejecutivo. Ramirez (13) en su tesis “Rol y contribución de los sistemas de planificación de los recursos de la empresa (ERP)” tiene como objetivo definir un modelo para implementar exitósamente un ERP en enpresas de la realidad chilena basado en cuatro dimensiones básicas: calidad de sistemas. Espinosa (14) en su tesis doctoral “Tecnología y modernización estratégica en la administración pública local: análisis de las estrategias de administración electrónica en los municipios españoles” presenta las siguientes conclusiones: la irrupción de las TICS en las organizaciones enfrenta un nuevo modelo de competencia y de gestión. actividad exportadora y por su ubicación geográfica. Este estudio es importante para nuestro trabajo porque sigue un marco metodológico semejante al nuestro. calidad de servicio y beneficios netos y soportado en 8 factores críticos de éxito: Planificación estratégica de los sistemas de información. La conclusión del estudio comfirma el impacto positivo de los factores críticos de éxito en la implementación de ERP. describir los procesos con la nueva generación de flujogramas de información.

concluye que el 29% de las microempresas de Nicaragua tienen acceso a las computadoras.7% de personas no tienen grado de conocimiento alguno al respecto. la sensibilidad sobre el uso de éstas nuevas tecnologías. realizó un trabajo de investigación (16) titulado “Conocimiento y utilización de las tecnologías de la información y la comunicación (TIC) en los emprendedores y microempresas apoyadas por el Proyecto MICRO”. (IMAES). el 87% cuenta con conexión a internet y el 43. Sólo el 1% de las microempresas cuentan con una página web de su empresa. se realizó un estudio denominado “La competencia de las PYMES en Las Segovias (Nicaragua)” (19). entre otros puntos. mientras que el 7% de las pequeñas empresas cuenta con ésta tecnología. Guatemala. aumentando al 18% en el caso de las pequeñas empresas. este porcentaje sube a 40% en el caso de las pequeñas empresas. Éste porcentaje aumenta al 92% en las pequeñas y medianas empresas. Honduras y Nicaragua respectivamente presentan algún grado de adopción de TICs. el 16% de las microempresas de ese país tienen acceso a Internet. Honduras y Nicaragua respectivamente presentan algún grado de adopción de TICs. en el Ayuntamiento de Murcia (España). el Instituto de Marketing y Estudios S.8% cuenta con una página web. la Agenda Nacional de la Sociedad de la Información y el Conocimiento de Guatemala (20) realizó el denominado “Plan de reducción de la brecha.L. el cual concluye que el 50%. Asimismo el 62% de las pequeñas empresas cuenta con conexión a internet y sólo el 22. En el año 2005. que existe un grado de conocimiento. y que sólo el 7. su conocimiento. El Salvador. el cual. entre otros puntos. En el año 2007.En el año 2004. el sexo y la edad de las personas entrevistadas. 25% y 36% de las microempresas de Costa Rica. 45% y 48% de las pequeñas empresas de Costa Rica. de las TICs. entre medio y medio alto. 32%. 24%. obteniéndose importantes resultados acerca del conocimiento y uso de las TICs según la actividad de la empresa. El Salvador. En el año 2007. el cual determinó que el 71% de las pequeñas empresas chilenas cuentan con computadores. entre otros. 46%. Guatemala. Este estudio concluyó.4% cuenta con una página web. International Development Research Centre y Editorial Tecnológica de Costa Rica (17) realizaron un estudio denominado “TICs en las PYMES de Centroamérica”. el número de trabajadores. En el año 2006. el Ministerio de Economía de Chile (18) realizó un estudio denominado “Acceso y uso de las TICs en las empresas chilenas”. . 74%. En el caso de las pequeñas y medianas empresas. formación para su manejo correcto. Asimismo el 73%. el cual se centró en la captación de información acerca de la disponibilidad de medios de tecnologías de la información y comunicación (TICs) en las empresas estudiadas.

de inclusión y de alineación digital, a los planes de crecimiento económico y de desarrollo social del país”, el cual permitió determinar que el 32% de las microempresas de ése país cuentan con computadoras, mientras que sólo el 2% cuenta con una página web. En el caso de las pequeñas empresas, el 24% cuenta con computadoras y sólo el 2% cuenta con página web. Las instituciones ISACA (Information System Audit and Control Association) junto con el ITGI (Governance Institute) han desarrollado volúmenes de información de COBIT a traveś de informes, manuales y modelos en diferentes versiones que constituyen antecedentes de primera mano. Tienen entre sus colaboradores, desarrolladores y revisores a mas 300 representantes de las empresas mas importantes del mundo que utilizan COBIT como modelo de gestión de TI (Información documentada en todos los libros oficiales de COBIT). El IT Governance Institute realiza encuestas a nivel de América Latina siendo el objetivo de la mismas evaluar en el ámbito global las prioridades y acciones que se estaban realizando en lo relativo a gestión de TI y las necesidades que se plantean en cuanto a herramientas y servicios que aseguren una correcta implementación con COBIT. 2.1.2 Antecedentes a Nivel Nacional Joo (21) en su tesis “Análisis y propuesta de gestión pedagógica y administrativa de las TICs, para construir espacios que generen conocimiento en el colegio Champagnat” rescata el uso y gestión de TICs orientada al servicio educativo. Esta tesis es importante para nuestro estudio porque presenta un esquema de investigación del uso de TICS con un enfoque de procesos, lo que se evidencia en que la mayoría de las conclusiones referencian la presencia o ausencia de procedimientos para usar las TICs en procesos educativos. En el año 2005, el Centro de Promoción de la Pequeña y Microempresa (PROMPyme), realizó en el Perú un estudio denominado “Identificación de necesidades de las Mypes con respecto a las Tecnologías de la Información y Comunicaciones (TIC)” (22), el cual tuvo como uno de sus objetivos determinar la utilización de los sistemas de información y del equipamiento informático de la MYPE, como herramientas para la gestión empresarial. Este estudio llegó a la conclusión de que el 50% del personal de las MYPES tiene un nivel bajo (básico) de conocimiento de las TICs. En el año 2005 se realizó un estudio en las Municipalidades Provinciales de Trujillo y Piura denominado “Manejo de las tecnologías de información y comunicación” (23), el

cual determinó que el 70% de los funcionarios de la Municipalidad Provincial de Trujillo opina que se encuentran bastante avanzado el proceso de estandarización de éstas tecnologías, el 10% consideran que se encuentra avanzado, el 13.33% poco avanzado y 6.67% sin avance alguno en la estandarización de las TICs. En la Municipalidad Provincial de Piura estos porcentajes cambian al 41.67% (bastante avanzado), 33.33% (avanzado), 16.67% 16 (poco avanzado) y 8.33% (sin avance). 2.2. Bases teóricas 2.2.1. Pequeñas y microempresas 2.2.1.1.Orígenes y expansión de las MYPES En el Perú, al igual que la mayoría de países de Latinoamérica, se ha observado en los últimos años un importante incremento del número de micro y pequeñas empresas (MYPES), debido principalmente a los siguientes factores (24): a. Reformas económicas. La fuerte crisis económica experimentada en nuestro país desde la década pasada, obligó a realizar cambios estructurales de gran magnitud, tanto en los aspectos económicos, políticos como sociales; desencadenando un alto crecimiento del nivel de desempleo. b. Reducción del aparato estatal. Las reformas que se implantaron en nuestro país, incluyeron la reducción del aparato estatal que llevo consigo que una importante cantidad de empleados estatales tuvieran que pasar al lado de los desempleados, agudizando la problemática social que de por si generaron las reformas económicas. Es el sector de las pequeñas y micro empresas el que contribuyo a amortiguar eventuales problemas sociales al dirigirse los trabajadores despedidos de empresas públicas y privadas a crear sus propias unidades productivas. En los últimos años se observa un fuerte interés de los demás sectores y en especial del gobierno al sector de la pequeña y micro empresa, habiéndose dado disposiciones que buscan por un lado fomentar el empleo a través de la creación de nuevas MYPES y por otro lado enrumbarlas dentro del aspecto formal. 2.2.1.2 Definición La Ley 28015 – Ley de promoción y formalización de la micro y pequeña empresa, en su artículo 2do. define a la micro y pequeña empresa como “la unidad económica constituida por una persona natural o jurídica, bajo cualquier forma de organización o gestión empresarial contemplada en la legislación vigente, que tiene como objeto desarrollar actividades de extracción, transformación, producción, comercialización de bienes o prestación de servicios” (24).

Existen dos modalidades de MYPES: la microempresa y la pequeña empresa, las cuales son diferenciadas por diferentes entidades en función al número de trabajadores, monto de ventas anuales, monto en activos fijos. Según Yacsahuache (24), las definiciones más acertadas son las siguientes: La comisión de promoción de la pequeña y microempresa PromPyme del Ministerio de Trabajo y Promoción del Empleo hace la diferenciación entre micro y pequeña empresa según el número de trabajadores y en monto de activos fijos – expresado en unidades impositivas tributarias (UIT). La microempresa es aquella que tiene entre 1 a 10 trabajadores y un monto de activos fijos de hasta 150 UIT. La pequeña empresa es aquella que tiene de 1 a 50 trabajadores y un monto de activos entre 150 y 850 UIT. El Ministerio de Industria, Turismo, Integración y Negociaciones Comerciales internacionales (MITINCI) diferencia ambas modalidades por el número de trabajadores y las ventas anuales. La microempresa es aquella que tiene no más de 10 trabajadores y realiza ventas anuales inferiores a las 12 UIT. La pequeña empresa tiene no más de 20 trabajadores y realiza ventas anuales entre 12 a 25 UIT. Por su parte la Superintendencia de Banca y Seguros (SBS) y la CorpoRación Financiera de Desarrollo S.A. (COFIDE), hacen una diferenciación entre micro y pequeña empresa de acuerdo a los montos de sus activos fijos y las ventas anuales (expresados ambos en dólares americanos). La microempresa es aquella que tiene activos fijos hasta por US$ 20000 y ventas anuales menores a US$ 40000. La pequeña empresa tiene activos fijos entre US$ 20000 a US$ 300000 y ventas anuales entre US$ 40000 a US$ 750000 (24). 2.2.1.3. Áreas de actividad de una MYPE Las áreas de actividades y funciones de una MYPE pueden clasificarse en (25): 1.Investigación y desarrollo: Investigación, Desarrollo, Ingeniería de productos. 2.Producción: Ingeniería de fábrica, Ingeniería industrial, Compras, planificación y control de la producción, Fabricación, Control de calidad. 3.Comercialización: Investigación de mercado, Publicidad, Promoción de ventas, Planeamiento de ventas, Operaciones de ventas, Distribución física. 4.Finanzas y control: Finanzas, Control. 5.Administración de personal: empleados. 6.Relaciones externas: Comunicaciones e información, Coordinación de actividades Reclutamiento, Administración de sueldos y jornales, Relaciones industriales, Planeamiento y desarrollo de la información, Servicios para

1 millones de MYPES: 1. ◦No poseen el nivel y tipo de garantías exigidas. debido a que cuentan con escasos recursos tecnológicos. ◦Disponen de insuficiente documentación contable – financiera. •El sector MYPES no es un grupo homogéneo. lo que da como resultado una baja productividad. ◦Las instituciones financieras no han desarrollado una tecnología adecuada para su atención. debido a que: ◦Son consideradas como de muy alto riesgo.2. •La mayoría de las personas del sector MYPES pertenecen a niveles socio económicos bajos. Alta Contribución Al PBI. El ingreso aportado por la unidad productiva representa el principal o único ingreso familiar.6 millones de trabajadores).7 millones de MYPES urbanas y 1. Características de una MYPE Según Yacsahuache (24). Existe alrededor de 3. confundiéndose la fuente de financiamiento de la empresa y la familia.públicas. Las MYPES contribuyen con el 43% del PBI: MYPES urbanas con 34% y MYPES rurales con 9%. por lo cual cualquier tratamiento tiene que ser diferenciado en función al: nivel de crecimiento. ya que sólo el 18% de MYPES posee RUC. . El 75% de las MYPES urbanas no cuenta con licencia de funcionamiento. Poseen maquinarias y equipos obsoletos. •Tienen un escaso acceso al crédito. •Existe una estrecha relación capital trabajo.1. una MYPE presenta las siguientes características: •Constituyen una alta fuente de generación de empleo.4. dándose que el empresario realiza funciones de gestión y producción. •El 78% de las MYPES urbanas están organizadas como “persona natural con negocio propio”. No existen sistemas de producción para operaciones a pequeña escala.4 millones de MYPES rurales. •Incipiente desarrollo tecnológico. 7. ya que la persona que aporta el capital es la misma que trabaja. son muchas las diferencias que existen entre las diversas unidades que conforman este sector.Legales: Secretaría. •Dan ocupación al 74% de la PEA (5. acumulación ampliada. Legales 2. •Poseen una escasa capacidad empresarial. •Poseen una alta tasa de informalidad. lo que se debe a una cultura empresarial incipiente. El 70% de las MYPES que inician sus actividades desaparecen en el primer año de operación. •Los trabajadores realizan múltiples funciones y el proceso de toma decisiones está centralizado.

2. 2. Las TICs.2.2. entrega de productos. así. financiera. proveedores y SChM.2. Hay muchas formas en que las empresas se beneficiarán. formación del equipo humano.2.2. 2.2. permiten realizar básicamente tres funciones (25): a)Obtener más información en mucho menos tiempo. Se observa que las MYPES urbanas se concentran en los sectores de: comercio. b)Procesar esa información de una manera más creativa. todas aquellas tecnologías cuyo objetivo sea tratar o procesar información (25). transporte e industria. Por tanto.3. c)Comunicarnos con más personas más efectiva y eficientemente. aliados.2. d)Control y Evaluación Gerencial: Sistemas de información y MIS. Definición Inicialmente se hablaba del término “tecnologías de la información”.1. las actividades de equipos y servicios de comunicaciones y las personas. El creciente uso de este acrónimo es una medida del acelerado fenómeno de convergencia entre información y comunicaciones (25). todo lo que hagan en relación con la sociedad de la información tiene que encajar con su razón de ser. CAM. b)Procesos productivos: CAD. software y servicios informáticos. procedimientos.acumulación simple. y no sólo las nuevas . e incluso obtener información que no será posible obtener de otra manera.2. rápida y confiable . Áreas de aplicación de las TICs Las TICS se aplican en las siguientes áreas de una empresa (26): a)Administrativa: Contable. servicios. es decir. como herramienta que son. ERP. gestión de calidad. c)Relaciones Externas: Mercadeo y CRM. Beneficios que aportan las TICs Las empresas tienen un objetivo claro: producir beneficios ofreciendo productos y servicios de valor para los que los adquieren. En los últimos años se ha dado un paso hacia delante y se han incluido aquellas tecnologías que tienen como fin difundir o comunicar esta información y compartir conocimiento. confidencialidad. el cuál se definía como el conjunto de tecnologías relacionadas con las actividades de hardware. 2. actividad económica. gestión y organización. Este resultado ampliado conocido como TICs es la denominación genérica que abarca las Tecnologías de la Información. Las Tecnologías de Información y comunicaciones (TICs) 2. ahora se habla de Tecnologías de la Información y de las Comunicaciones. completa. subsistencia.

Principales TICs utilizadas en las empresas Las principales tecnologías de la información y comunicaciones que utiliza una empresa son: Internet. Hasta las empresas más tradicionales pueden conseguir mejoras de productividad por esta vía y seguramente se verán obligadas a hacerlo por sus competidores. •Desarrollar una oferta de servicios y aplicaciones electrónicas. formas de usar las TICs que produzcan aumento de ingresos o reducción de costos. pero también dentro de cada empresa. El ebusiness incluye las conexiones de ventas electrónicas a otras partes de una . la transferencia electrónica de fondos. el suministro on line de contenido digital. •No retraerse ante las innovaciones por miedo a las complicaciones que todo cambio acarrea. El simple hecho de "no estar en Internet” va a generar cada vez más dudas sobre la credibilidad de una empresa.2. actividades de promoción y publicidad de productos y servicios. comercio electrónico.3. gestión de la innovación (25). •Convencer a las personas de que el uso de las nuevas tecnologías no sólo será inevitable. seguimiento e investigación de mercados. sino también las tradicionales (25): •Crear el sitio web de empresa. telecomunicaciones básicas. los servicios postventa. a)Internet ha supuesto una revolución sin precedentes en el mundo de la informática y de las comunicaciones. concursos electrónicos y soporte para la compartición de negocios (27). sino también beneficioso para ellos mismos y conseguir que todas ellas adquieran la formación mínima para usar las nuevas herramientas. aplicación de las TICs en la industria y. facilitación de los contactos entre los agentes de comercio. marketing en general. se puede definir internet como un inmenso conjunto de redes de ordenadores que se encuentran interconectadas entre sí. dentro de cada sector. •Identificar. las compras públicas. por último. es decir.empresas nacidas para Internet. campañas de imagen de las organizaciones. mejora de la competitividad. Desde el punto de vista técnico. dando lugar a la mayor red de redes de ámbito mundial (25). •Recordar que donde suelen estar más claros los beneficios de aplicación de las TIC es en los procesos internos de empresa. Las empresas no pueden permitir que la inercia y la comodidad a corto plazo sean las que marquen su estrategia de futuro. optimizará su trabajo y evitará tareas de poco valor añadido. b)El Comercio Electrónico incluye actividades muy diversas como el intercambio de bienes y servicios.2. 2.

tanto públicos como privados. Por tanto. siendo el más comúnmente conocido.amazon. provisión de personal. Es el que genera un mayor volumen de negocio.uniovi. c)Otros tipos de comercio electrónico: ◦Facilitar las relaciones de las personas o empresas con la administración (por ejemplo:IRPF). Las empresas adoptan el comercio electrónico con el fin de mejorar su organización. b)Business to business (B2B). dispositivos móviles). En nuestro entorno actual es cada vez más frecuente escuchar multitud de términos relacionados con el sector de las Telecomunicaciones. Son ejemplos de servicios de . incluida la posibilidad de ser propietario y explotar la infraestructura independiente de redes de telecomunicaciones. La prestación de los servicios de telecomunicaciones básicas se realiza: mediante el suministro transfronterizo y mediante el establecimiento de empresas extranjeras o de una presencia comercial.organización que se relacionen internamente con las finanzas. y ◦Mayor rendimiento de las inversiones de los accionistas y dueños. a los proveedores y a la gerencia en última instancia.com. Los principales tipos de comercio electrónico son business to consumer. Está enfocado hacia la realización de transacciones comerciales entre dos empresas. y se hará referencia a ebusiness como todas las posibilidades para mejorar los resultados empresariales incorporando internet y las TIC en los procesos organizacionales. intranet.es). que suponen la transmisión de extremo a extremo de la información facilitada por los clientes (30). business to business y otros tipos de comercio electrónico (29): a)Business to consumer (B2C). La colaboración puede “trascender” a los departamentos comerciales. se hablará de ecommerce como la transacción en sí a través de medios electrónicos (internet. y externamente a los clientes. esperando que tales mejoras produzcan tres beneficios principalmente (28): ◦Mejor servicio a clientes. Las telecomunicaciones básicas incluyen todos los servicios de telecomunicaciones. ◦Apoyar las relaciones entre empleados (B2E) o unidades de la misma empresa o institución (por ejemplo: directo. Ejemplo: emisión de pedidos para una fábrica de coches. el servicio de cliente. la comercialización. ◦Mejores relaciones con los proveedores y la comunidad financiera. Ejemplo (paradigmático): www. c)Telecomunicaciones básicas. Está enfocado hacia la realización de transacciones comerciales entre los consumidores y una empresa.

▪Servicios móviles por satélite (incluidos. ▪Servicios de terminales de muy pequeña cobertura. ◦Servicios de transmisión de datos con conmutación de paquetes. telefonía. datos. ▪Servicios de radiobúsqueda. mediante la generación. ◦Otros servicios. ▪Servicios analógicos/digitales de telefonía móvil/celular. e)Gestión de la innovación. ◦Servicios de transmisión de datos con conmutación de circuitos. Existen diversas soluciones que se podrán aplicar en función de las necesidades concretas de cada caso: redes locales. ◦Servicios de facsímil. ▪Servicios móviles de transmisión de datos. ▪Servicios de comunicación personal. ▪Servicios de radiotelefonía con concentración de enlaces. transferencia. (25). CAM). gestión y producción (ERP). ▪Servicios de transmisión de vídeo. ▪Servicios fijos por satélite. con características tecnológicas atrasadas y no hacen sino automatizar algunas de las funciones básicas de la organización. En los últimos años se ha producido una rápida expansión y evolución de la tecnología de los sistemas de información para empresas. ▪Servicios de estación terrestre de acceso. etc. el estado de los sistemas informáticos de las organizaciones no ha evolucionado con sus necesidades. La mayor parte de empresas tienen programas insuficientes.telecomunicaciones básicas (30): ◦Servicios de teléfono. clientes y comunicación (CRM). trabajo colaborativo. ▪Servicios de teleconferencia. ◦Servicios de telégrafo. por ejemplo. Los cambios producidos por el boom de las nuevas tecnologías han obligado a muchas empresas a tomar serias decisiones para adaptarse a estos cambios (25). La Innovación es producto de la . ◦Servicios de télex. d)Aplicaciones de las TICs en la Industria. Sin embargo. ◦Servicios de circuitos privados arrendados. La Innovación Tecnológica constituye una estrategia clave dirigida al desarrollo de nuevos procesos y productos. ingeniería (CAD. radiobúsqueda y/o servicios de comunicación personal). incorporación y adaptación de tecnologías.

2. sin embargo. también requiere una organización y gestión de los Sistemas de Innovación en la Empresa (25). las Mypes presentan los siguientes Perfiles de uso de las TICs. 2. ◦Internet es considerado un costo y no una oportunidad de mejora para el negocio.2. la Administración Pública. no se dispone de sistemas de información para las áreaUniversidad Nacional Mayor de San Marcos. ◦Los sistemas de información internos se desarrollan en las Áreas de contabilidad y de gestión de personal fundamentalmente. compras y/o logística). ◦El computador personal. ◦No se considera internet y el correo electrónico como un canal de relación o comunicación. Curso de Administración de MYPES claves. cada uno con características precisas: a)Ofimática ◦Utilización de las TICs clásicas (teléfono y fax) en la comunicación con nuestros clientes. cómo gestionar el conocimiento y qué metodología seguir para realizar una vigilancia tecnológica que permita a la Empresa mantenerse al día en cuanto a las últimas tecnologías (25). . a)Interacción ◦Las TICs y fundamentalmente Internet se utilizan para entablar un diálogo con nuestros clientes. Habrá que tener en cuenta los criterios y consideraciones para realizar una correcta planificación estratégica de la Innovación. incorporando sistemas de información para alguna de las áreas clave (ventas.5. producción. ◦En general. etc. con sus aplicaciones básicas (procesador de textos y hoja de cálculo) es la herramienta de trabajo para las tareas de administración. ◦La empresa va avanzando en su automatización. proveedores. b)Información ◦Empiezan a ser conocidas las ventajas que las nuevas tecnología pueden aportar a la empresa.creatividad y del empleo eficaz de las herramientas de ciencia y tecnología. centrándose en la incorporación del correo electrónico como medio de comunicación y en Internet como nuevo canal para dar a conocer la compañía y sus productos y facilitar la obtención de información. ◦Existe por lo tanto un intercambio de información aunque la transacción económica (compraventa) se sigue produciendo por el canal tradicional. Perfil de uso de las TICs en las MYPES Según la Sociedad de la Promoción y Reconversión Industrial SPRI (31). proveedores. etc.

◦Adicionalmente existe cierta integración entre los sistemas internos y externos.3. ◦La empresa va avanzando en la integración de sus sistemas de información internos. c)Digitalización ◦Existe una integración de todas las operaciones de la cadena de valor (desde la compra hasta el servicio postventa).2. por lo que se da un cierto tratamiento manual de la información. etc. personalizando sus productos y servicios y entregándolos en el menor tiempo posible.◦Sin embargo. 2. ◦Se puede hablar en esta fase de una organización en tiempo real. •La posibilidad y necesidad de colaborar con otros agentes económicos se acrecienta. donde Internet y las demás TICs. En nuestro trabajo proponemos definir un perfil basado en el modelo COBIT que prioriza el enfoque de procesos y loss criterios de madurez en el uso de las TICs. b)Transacción ◦Se empiezan a realizar transacciones económicas (compraventa) con clientes y proveedores a través de Internet. facilitando el acceso a un mercado más amplio pero favoreciendo también una mayor presión competitiva. procesar y compartir información. pese a que todavía persisten “islas” de información. que es capaz de entender y anticiparse a las necesidades de sus clientes. están configurando un nuevo entorno competitivo en el que (33): •Las barreras geográficas se difuminan. almacenar. proveedores). que éstas . •Los clientes son cada vez más exigentes y esperan un producto/servicio más personalizado. estas aplicaciones todavía no están integradas entre sí. En este contexto. •Los tiempos de respuesta se acortan. lo que hace necesario contar con una mayor capacidad y velocidad en el procesamiento de la información y en la generación y compartición de conocimiento. las tecnologías de la información y comunicación ofrecen grandes oportunidades para mejorar la eficiencia y diferenciación de las empresas. político y educativo. informaciones duplicadas. social. con su capacidad prácticamente ilimitada de obtener. Este impacto es claramente visible en el mundo empresarial. Las TICs y las MYPES El desarrollo en los últimos años de las tecnologías de la información y comunicaciones (TICs) está transformando paulatinamente la forma de actuar y relacionarnos en los ámbitos económico. Asimismo la empresa está integrada y colabora con agentes externos (clientes.

2. cada empresa. almacén. Sin duda existen ya equipos de manufactura textil de pequeña escala que pueden ser controlados por computadora. 2. •Facturación. •Las MYPES no son ajenas a las oportunidades y retos que las TICs generan. las TICs ofrecen.3.2. de manera que se tenga al día el flujo de ingresos y egresos. Utilidad de las TICs en las MYPES Las TIC pueden ser incorporadas al propio proceso productivo de las MYPES. •Control de inventarios a través de simples aplicaciones de hoja de cálculo que permitan saber en el día el stock de productos. gestión comercial.2. Aplicaciones de TICs en las MYPES En una MYPE. aprovechando la capacidad de las nuevas tecnologías de automatizar los procesos internos (compra.). o incluso toda la rama de pequeños servicios TIC a nivel local: fotocopiadora. •Mejorar la calidad del servicio ofrecido. a través de una mayor disponibilidad y velocidad del mismo. que hacen de las TIC el centro mismo del negocio de algunas MYPES. De este modo. •Agilizar la relación con las Administraciones. etc. correo electrónico. Aplicar las TIC de manera racional en la gestión de las MYPES permite mejorar la eficiencia de la misma y además debe permitirle establecer una mejor relación con los clientes (33). 2. en la medida en que la venta a través de Internet puede facilitar la entrada a nuevos mercados geográficos o nuevos grupos de clientes. las TICS pueden ser usadas para (34): •Mejorar el mercadeo de nuestros productos: vía Web. etc. deberá adoptar soluciones diferentes en este campo. •Podemos añadirle movilidad al negocio a través del celular. Se puede ingresar a las pagina de los proveedores y ordenar ciertos productos pagando a través de la propia Internet. •Establecer nuevos canales de comunicación con los clientes (fax.. entidades financieras. •Reducir costes y tiempos. entre otras. •Simplificar los mecanismos de compra y venta.1. escaneados. etc. telemarketing. en función de su tamaño y actividad. o maquinaria de envasado.3. optimizar los procesos de compra o venta. etc. Sin embargo. •Intensificar la colaboración con proveedores y clientes para mejorar el diseño de productos.deben saber aprovechar. Así la bodega de la esquina puede implementar un servicio de Delivery. la posibilidad de (33): •Ampliar la base del negocio. •Establecer alianzas o cadenas virtuales con otras MYPE que permitan atender a clientes . etc. correo electrónico. teléfono).

2. Adoptar una solución tecnológica requiere de un proceso de adopción que debe ser planificado. En algunos casos la incorporación de las TIC deberá contar con la intermediación o asistencia técnica de especialistas. La importancia trasciende en la medida en que las organizaciones. pues a la primera falla se pondrá en riesgo todos los beneficios obtenidos.Hay que adoptar una solución sabiendo antes cual es la necesidad o problema que se quiere atender. •Darle continuidad a la aplicación. es muy importante mantener la aplicación de manera que se incorpore definitivamente en la practica de gestión de la MYPE. medianas o grandes empresas.2.3. un periodo de aplicación de prueba y luego incorporarla definitivamente en la gestión. Si se ha establecido un nuevo canal de comunicación con clientes a través del correo electrónico.aun cuando la MYPE requerida no provea el servicio o producto. por su tamaño.2. de manera tal que la pequeña o microempresa no pierda su capacidad de operación.3. Si se ha obtenido éxito o se esta obteniendo. o verificar si se ha hecho un deposito en el banco y si se le ha pagado o no a algún proveedor. •Evaluar y comparar los resultados. Las TICs y su importancia estratégica para las MYPES en la globalización Actualmente es conocida la importancia que tienen las Tecnologías de Información y Comunicación (TICs) y el uso que se hace de ellas en todas las organizaciones. Criterios para incorporar las TICs en la gestión de las MYPES Los criterios que se deben tomar en cuenta para incorporar las TICs en la gestión de MYPES son (34): •Identificar una necesidad / problema.3. •Buscar la tecnología apropiada. pero en muchos casos son de directa y fácil aplicación por las MYPE (33). •Ahora también podemos entrar en el mundo del comercio electrónico y cerrar tratos desde una cabina. Hay que asesorarse respecto de cual es la tecnología mas adecuada para los fines perseguidos. 2. Es muy caro para las MYPE adoptar tecnología por moda. Las aplicaciones están en aumento y pueden llegar a marearnos si no establecemos claramente algunos criterios para su incorporación en el negocio. Es importante es esta etapa comparar los resultados obtenidos por otras MYPE y aprender de ellas. independientemente de que sean estas pequeñas.No siempre lo mas avanzado en tecnología responderá mejor a una necesidad concreta. En cada etapa de la adopción hay que tener claridad respecto de que resultados se esperan alcanzar. De esa forma podremos evaluar cuan positiva ha sido la adopción y si se esta resolviendo el problema o no. ese canal no se debe descuidar.4. •Planificar su incorporación. giro y . Hay que prever un periodo de entrenamiento en el uso.

En los tiempos actuales ninguna empresa puede estancarse y vivir del éxito del pasado. lo que genera una reestructuración masiva en cada sector de negocios. Con internet y world wide web (www). TICs como ecommerce y ebusiness (35). especialmente la Internet. cada día debe emprender una investigación acerca de su nuevo ambiente para competir sobre bases sólidas. dentro del marco referencial definido.3. gubernamentales y profesionales en todo el mundo. la creación de valor para clientes y empleados de la organización y la creación de ventaja sobre la competencia (38). aspectos técnicos y riesgos de negocio. con el mercado en constante cambio. Por lo tanto.3. Marco conceptual 2. COBIT esta orientado a ser la herramienta de gobierno de TI que ayude al entendimiento y a la administración de riesgos asociados con tecnología de información y con tecnologías relacionadas (40). El desafío consiste en que necesariamente estas empresas tendrán que adoptar e incorporar de manera estratégica esta tecnología a su organización (36). El objetivo de COBIT es proporcionar estos objetivos de control. COBIT se orienta tanto a la gestión como al control y auditoría de TICs. no existe la seguridad de que las empresas establezcan una ventaja competitiva de forma permanente. se mencionan los aumentos a la productividad como resultado de la mejora de procesos.1 El gobierno de las TICs – COBIT El gobierno de las TICs ES “Una estructura de relaciones y procesos para dirigir y controlar la empresa con el objeto de alcanzar los objetivos de la empresa y añadir valor mientras se balancean los riesgos versus el retorno sobre TI y sus procesos” (39). y obtener la aprobación y el apoyo de las entidades comerciales. a nivel mundial. COBIT habilita el desarrollo de una política clara y de buenas prácticas de control de TI a través de organizaciones. COBIT es una herramienta que permite a los gerentes comunicarse y salvar la brecha existente entre los requerimientos de control. Ante la apertura de los mercados mundiales muchas organizaciones se ven afectadas. 2.sector. Las TICs representan un área de oportunidad para las MYPES. . De allí la importancia por aceptar y comprender el efecto de la globalización en las MYPES a fin de que desarrollen un mejor desempeño en el entorno global. Dentro de las ventajas específicas que se generan con las TIC. Por lo que para tener éxito en el siglo XXI. las empresas tienen que aprovechar la tecnología de la información. Por tanto. son capaces de incorporar a su estrategia competitiva. surge una herramienta para forjar una relación más cercana con el cliente (37).

(43) La primera versión de ITIL consistía de 31 libros.Desde el punto de vista del control y auditoría COBIT provee las Directrices de Auditoría ofrecen una herramienta complementaria para la fácil aplicación del Marco Referencial y los Objetivos de Control COBIT dentro de las actividades de auditoría y evaluación. con base en prácticas de auditoría generalmente aceptadas y compatibles con el esquema global COBIT. como otros activos importantes del negocio. La entrega del servicio – ITIL Un servicio es un medio de entregar valor a los clientes facilitando resultados que ellos requieren sin riesgos y a costos específicos.3. Cada uno de ellos puede ser tratado como variables y se utilizan en el presente estudio. 34 procesos y 300 objetivos de control. Proporciona un marco para el gobierno de TI enfocado a medir la continuidad del servicio y mejora de la calidad desde la perspectiva de la empresa y del cliente.¿Cuáles son los indicadores de un buen desempeño? •Determinación del perfil de control de TI—¿Qué es importante? ¿Cuáles son los Factores Críticos de Éxito para el control? •Conocimiento/concientización—¿Cuáles son los riesgos de no alcanzar nuestros objetivos? •Benchmarking—¿Qué hacen los demás? ¿Cómo medimos y comparamos? El marco referencial de COBIT está estructurado en 04 dominios. Las capacidades organizacionales incluyen procesos. roles y actividades que un proveedor debe disponer para entregar un servicio de TI a sus clientes. métodos. funciones. El propósito de las Directrices de Auditoría es contar con una estructura sencilla para auditar y evaluar controles.3. (42) 2. diseño.3. Esto es muy . transición. tiene valor para la organización y requiere en consecuencia una protección adecuada. (40) Desde el punto de vista de gestión COBIT provee un conjunto de directrices gerenciales que son genéricas y que están orientadas a la acción con el fin de resolver los tipos siguientes de preocupaciones de la administración (41): •Medición del desempeño . (43) ITIL Es un marco de referencia que describe buenas prácticas para la administración de servicio de TI.2. operación y mejora continua del servicio. La seguridad – ISO 17999 La seguridad es un activo que. Mientras que la administración del servicio es un conjunto de capacidades organizacionales para proporcionar valor a los clientes en forma de servicios. 2. la segunda de 7 y la tercera cubre 5 libros del ciclo de vida: estrategia.

Estos controles necesitan ser establecidos. Cómo resultado de esta creciente interconectividad. implementados.1. El perfil de la gestión de las Tecnologías de la información y las comunicaciones en las empresas de la región Ancash es Ad-Hoc de acuerdo al modelo COBIT. monitoreados. Subproyectos de investigación El presente estudio propone el desarrollo de subproyectos basados en el perfil de gestión de TICS en MYPES usando el modelo COBIT para ello se hace combinaciòn de dominios de COBIT y tipo de empresa siguiendo el criterio: Uno o varios dominios para aplicar en una o varias MYPES.El perfil de la gestión de la Planificación y Organización de las TICs en las empresas de la región Ancash es Ad-Hoc de acuerdo al modelo COBIT. 2. la información esta expuesta a un mayor rango de amenazas y vulnerablidades. (44) La seguridad de la información protege a esta de un amplio rango de amenazas para asegurar la continuidad del negocio.importante en el creciente ambiente interconectado de negocios.1. Hipótesis principal. 3. Metodología 4.El perfil de la gestión de Adquisición e Implementación de las TICs en las empresas de la región Ancash es Ad-Hoc de acuerdo al modelo COBIT. Sistema de hipótesis 3. prácticas. procedimientos. y funciones de software y hardware. 4.El perfil de la gestión del Monitoreo y Control de las TICs en las empresas de la región Ancash es Ad-Hoc de acuerdo al modelo COBIT. se puede estudiar un dominio aplicado a un conjunto de empresas o los cuatro dominios a una empresa. DOMINIOS COBIT Planeamiento y organización Adquisición e implementación TIPO DE EMPRESA Empresas que por el número de trabajadores  tengan la característica de MYPE. estructuras organizativas. (44) 3. Hipótesis específicas. 3. (44) La seguridad de la información se consigue implantando un conjunto adecuado de controles que pueden ser políticas.2. para asegurar que se cumplan los objetivos específicos de seguridad y negocios de la organización. 1.El perfil de la gestión de la Entrega del Servicio de las TICs en las empresas de la región Ancash es Ad-Hoc de acuerdo al modelo COBIT. minimizar los daños a la organización y maximizar el retorno de las inversiones y las oportunidades del negocio. revisados y mejorados donde sea necesario. 4. y que se  .

 agrario. Nivel de la Investigación De acuerdo a la naturaleza del estudio de la investigación. gobierno local o regional.2. 4. las características de un estudio descriptivo. transversal. Tipo y Nivel de investigación 4. reúne por su nivel.3.2. 4. Diseño de la Investigación Diseño no experimental. por cuotas. industrial.2. por que se requiere una cuidadosa y controlada elección de los sujetos con las características especificadas en el planteamiento del problema.2. Población y muestra Población   La población estará constituida por el total empresas que operan en la Región Ancash. Para la selección de cada unidad de análisis se realizará primero un listado de .  comercial. Unidad de análisis Las unidades de análisis son cada una de las empresas que operan en la Región Ancash.1 Tipo de Investigación El presente estudio por el grado de cuantificación reúne las condiciones de una investigación cuantitativa. de una sola casilla ESQUEMA REGION ANCASH Empresas de la Región Ancash                                                                                            M                                                                                             O Entorno cara a cara   CONTEXTO 4.  salud. metalmecánico. sector público o  privado en general 4. Muestra Se utilizará el muestreo no probabilístico.Entrega del servicio Monitoreo y evaluación encuentren en alguno de los sectores pesqueros.4.

Planeamiento y organización Es el conjunto de estrategias y las tácticas. ◦Empresas que tengan capacidad de decisión en la gestión informática. Planeamiento estratégico.5. Criterios de Inclusión y Exclusión •Inclusión: ◦Empresas que tengan actividad en la Región Ancash. y clarifica el nivel de investigación requerido.1. El plan estratégico mejora la comprensión de los interesados clave de las oportunidades y limitaciones de TI. 4. ◦Aceptación escrita de participar en el estudio •Exclusión: ◦Empresas que no tengan servicios informáticos. evalúa el desempeño actual. •Entrega del servicio.empresas. •Adquisición e implementación. La estrategia de negocio y prioridades se reflejarán en portafolios y se ejecutarán por los . Este dominio cubre los siguientes cuestionamientos típicos de la gerencia: •¿Están alineadas las estrategias de TI y del negocio? •¿La empresa está alcanzando un uso óptimo de sus recursos? •¿Entienden todas las personas dentro de la organización los objetivos de TI? •¿Se entienden y administran los riesgos de TI? •¿Es apropiada la calidad de los sistemas de TI para las necesidades del negocio? tiene las siguientes dimensiones: 1. •Monitoreo y evaluación.1. y posteriormente se visitará cada una de ellas.1.5. La planeación estratégica de TI es necesaria para gestionar y dirigir todos los recursos de TI en línea con la estrategia y prioridades del negocio. ◦Empresas cuyas gerencias informáticas estén fuera de la Región Ancash. ◦No interesa el rubro o servicio ofrecido. Variables principales Las variables del estudio corresponden a las cuatro dimensiones del modelos COBIT: •Planeeamiento y organización.5. Definición operacional de las variables en estudio 4. y la manera en que TI contribuye al logro de los objetivos del negocio. 4. La función de TI y los interesados del negocio son responsables de asegurar que el valor óptimo se consigue desde los proyectos y el portafolio de servicios. identifica la capacidad y los requerimientos de recursos humanos.

Arquitectura de la información. servicios y mecanismos de aplicación. organización y relaciones de TI. La organización está embebida en un marco de trabajo de procesos de TI que asegure la transparencia y el control. Deben existir procesos. así como una interoperabilidad mejorada de las plataformas y de las aplicaciones. Un comité estratégico debe garantizar la vigilancia del consejo directivo sobre TI. Una organización de TI se debe definir tomando en cuenta los requerimientos de personal. La función de servicios de información debe determinar la dirección tecnológica para dar soporte al negocio. 4. en los cuales participen tanto el negocio como TI. Dirección tecnológica. el aseguramiento de la calidad. roles. Esto requiere de la creación de un plan de infraestructura tecnológica y de un comité de arquitectura que establezca y administre expectativas realistas y claras de lo que la tecnología puede ofrecer en términos de productos. que especifican objetivos concisos. 3. el esquema de clasificación de datos y los niveles de seguridad. políticas de administración y procedimientos para todas las funciones. y permite racionalizar los recursos de los sistemas de información para igualarse con las estrategias del negocio. Para garantizar el soporte oportuno de los requerimientos del . planes de acción y tareas que están comprendidas y aceptadas tanto por el negocio como por TI. con atención específica en el control. deben determinar las prioridades de los recursos de TI alineados con las necesidades del negocio. dirección tecnológica. Procesos. la administración de riesgos. La función de sistemas de información debe crear y actualizar de forma regular un modelo de información del negocio y definir los sistemas apropiados para optimizar el uso de esta información. economías de escala para consecución de personal de sistemas de información e inversiones. Este proceso mejora la calidad de la toma de decisiones gerenciales asegurándose que se proporciona información confiable y segura. la seguridad de la información. responsabilidades y supervisión.planes estratégicos de TI. autoridad. El plan se debe actualizar de forma regular y abarca aspectos tales como arquitectura de sistemas. planes de adquisición. así como el involucramiento de los altos ejecutivos y de la gerencia del negocio. rendición de cuentas. funciones. y uno ó más comités de dirección. Esto incluye el desarrollo de un diccionario corporativo de datos que contiene las reglas de sintaxis de los datos de la organización. Esto permite contar con respuestas oportunas a cambios en el ambiente competitivo. estándares. 2. estrategias de migración y contingencias. la propiedad de datos y de sistemas y la segregación de funciones. Este proceso de TI también es necesario para incrementar la responsabilidad sobre la integridad y seguridad de los datos y para mejorar la efectividad y control de la información compartida a lo largo de las aplicaciones y de las entidades.

La administración de calidad es esencial para garantizar que TI está dando valor al negocio. ya que las personas son activos importantes. entrenamiento. la evaluación del desempeño. Se debe elaborar y mantener un sistema de administración de calidad. Recursos humanos de TI. las políticas y procedimientos. un proceso presupuestal formal y administración contra ese presupuesto. Establecer y mantener un marco de trabajo para administrar los programas de inversión en TI que abarquen costos.negocio. 6. beneficios. Esto se logra siguiendo prácticas definidas y aprobadas que apoyan el reclutamiento. Un programa de comunicación continua se debe implementar para articular la misión. estrategias de mitigación y riesgos residuales.. aprobados y apoyados por la dirección. corrección de desviaciones y la comunicación de los resultados a los interesados. la materialización de los beneficios del negocio y el retorno sobre las inversiones en TI. prioridades dentro del presupuesto. La dirección debe elaborar un marco de trabajo de control empresarial para TI. Cualquier impacto potencial sobre las . TI se debe involucrar en los procesos importantes de decisión. proporcionando requerimientos. y el ambiente de gobierno y de control interno depende fuertemente de la motivación y competencia del personal. los objetivos de servicio. y brinda transparencia y responsabilidad dentro del costo total de la propiedad. Los requerimientos de calidad se deben manifestar y documentar con indicadores cuantificables y alcanzables. el cual incluya procesos y estándares probados de desarrollo y de adquisición. El proceso debe garantizar el cumplimiento de las leyes y reglamentos relevantes. Esto se facilita por medio de la planeación. etc. mantener y motivar una fuerza de trabajo para la creación y entrega de servicios de TI para el negocio. facilita el uso efectivo y eficiente de recursos de TI. La mejora continua se logra por medio del constante monitoreo. La comunicación apoya el logro de los objetivos de TI y asegura la concienciación y el entendimiento de los riesgos de negocio y de TI. Este proceso es crítico. 7. mejora continua y transparencia para los interesados. 9. procedimientos y políticas claras de calidad. Crear y dar mantenimiento a un marco de trabajo de administración de riesgos. y tomar medidas correctivas según sean necesarias. Aspiraciones de la gerencia. y definir y comunicar las políticas. Calidad. implantación y mantenimiento del sistema de administración de calidad. la promoción y la terminación. 8. El marco de trabajo documenta un nivel común y acordado de riesgos de TI. Los interesados (stakeholders) son consultados para identificar y controlar los costos y beneficios totales dentro del contexto de los planes estratégicos y tácticos de TI. 5. Inversión en TI. Adquirir. El proceso fomenta la asociación entre TI y los interesados del negocio. Riesgos de TI.

por lo general. asignación de recursos. El resultado de la evaluación debe ser entendible para los Interesados (stakeholders) y se debe expresar en términos financieros. para permitirles alinear los riesgos a un nivel aceptable de tolerancia. analizar y evaluar. Se deben adoptar estrategias de mitigación de riesgos para minimizar los riesgos residuales a un nivel aceptable. considera las fuentes alternativas. asegura el valor y la calidad de los entregables de los proyectos. El marco de trabajo debe garantizar la correcta asignación de prioridades y la coordinación de todos los proyectos. Adquisición e implementación. El marco de trabajo debe incluir un plan maestro. Establecer un marco de trabajo de administración de programas y proyectos para la administración de todos los proyectos de TI establecidos. 10.2. La necesidad de una nueva aplicación o función requiere de análisis antes de la compra o desarrollo para garantizar que los requisitos del negocio se satisfacen con un enfoque efectivo y eficiente. y maximiza la contribución a los programas de inversión facilitados por TI. revisión de pruebas y postimplantación después de la instalación para garantizar la administración de los riesgos del proyecto y la entrega de valor para el negocio. el cambio y el mantenimiento de los sistemas existentes está cubierto por este dominio para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio. un enfoque de entrega por fases. ejecuta un análisis de riesgo y de costo-beneficio y concluye . definición de entregables. realiza una revisión de la factibilidad tecnológica y económica. Este proceso cubre la definición de las necesidades. Este enfoque reduce el riesgo de costos inesperados y de cancelación de proyectos. mejora la comunicación y el involucramiento del negocio y de los usuarios finales. Para llevar a cabo la estrategia de TI. las soluciones de TI necesitan ser identificadas. Proyectos de TI.1.5.metas de la organización. aseguramiento de la calidad. Además. Este dominio. causado por algún evento no planeado se debe identificar. aprobación de los usuarios. Soluciones automatizadas. 4. un plan formal de pruebas. cubre los siguientes cuestionamientos de la gerencia: •¿Es probable que los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio? •¿Es probable que los nuevos proyectos sean entregados a tiempo y dentro del presupuesto? •¿Trabajarán adecuadamente los nuevos sistemas una vez sean implementados? •¿Los cambios no afectarán a las operaciones actuales del negocio? Tiene las siguientes dimensiones: 1. desarrolladas o adquiridas así como implementadas e integradas en los procesos del negocio.

4. Instalación y certificación. planear la liberación y la transición en sí al ambiente de producción. la selección de proveedores. Esto requiere de la definición y ejecución de los procedimientos de adquisición. 5. Todos los cambios. 2. Operación y uso. sistema y parámetros del servicio) se deben registrar. deben administrarse formalmente y controladamente. Esto requiere de un enfoque planeado para adquirir. la inclusión apropiada de controles aplicativos y requerimientos de seguridad. Recursos de TI. hardware. Se deben suministrar recursos TI. Todos estos pasos permiten a las organizaciones minimizar el costo para Adquirir e Implementar soluciones. El hacerlo así garantiza que la organización tenga todos los recursos de TI que se requieren de una manera oportuna y rentable. evaluar y autorizar previo a la implantación y revisar contra los resultados planeados después de la implantación. y proporciona entrenamiento para garantizar el uso y la operación correctos de las aplicaciones y la infraestructura. Esto requiere pruebas adecuadas en un ambiente dedicado con datos de prueba relevantes. y revisar la . definir la transición e instrucciones de migración. Infraestructura tecnológica. 7. El conocimiento sobre los nuevos sistemas debe estar disponible. Los cambios (incluyendo procedimientos. y el desarrollo y la configuración en sí de acuerdo a los estándares. Software aplicativo. procesos. incluyendo el mantenimiento de emergencia y parches. mientras que al mismo tiempo facilitan el logro de los objetivos del negocio. Cambios.con una decisión final de “desarrollar” o “comprar”. 6. Esto permite a las organizaciones apoyar la operatividad del negocio de forma apropiada con las aplicaciones automatizadas correctas. incluyendo personas. Esto garantiza que exista un soporte tecnológico continuo para las aplicaciones del negocio. Los nuevos sistemas necesitan estar funcionales una vez que su desarrollo se completa. relacionados con la infraestructura y las aplicaciones dentro del ambiente de producción. Las aplicaciones deben estar disponibles de acuerdo con los requerimientos del negocio. Implementar y actualizar la infraestructura tecnológica. 3. mantener y proteger la infraestructura de acuerdo con las estrategias tecnológicas convenidas y la disposición del ambiente de desarrollo y pruebas. Esto garantiza la reducción de riesgos que impactan negativamente la estabilidad o integridad del ambiente de producción. Este proceso cubre el diseño de las aplicaciones. el ajuste de arreglos contractuales y la adquisición en sí. software y servicios. Este proceso requiere la generación de documentación y manuales para usuarios y para TI. Las organizaciones deben contar con procesos para adquirir.

Esto garantiza que los sistemas operativos estén en línea con las expectativas convenidas y con los resultados. 4. Entrega y soporte  Este dominio cubre la entrega en sí de los servicios requeridos. Este proceso brinda la seguridad de que los recursos de información que soportan los requerimientos del negocio están disponibles de manera continua. La necesidad de administrar el desempeño y la capacidad de los recursos de TI requiere de un proceso para revisar periódicamente el desempeño actual y la capacidad de los recursos de TI. La necesidad de brindar continuidad en los servicios de TI requiere desarrollar.5. Una efectiva administración de los servicios de terceros minimiza los riesgos del negocio asociados con proveedores que no se desempeñan de forma adecuada. almacenamiento y contingencias. Este proceso se logra por medio de una clara definición de roles. la administración de la seguridad y de la continuidad. 4. 2. Servicios de terceros. Este proceso incluye el pronóstico de las necesidades futuras. Continuidad del servicio.3. 3. La necesidad de asegurar que los servicios provistos por terceros cumplan con los requerimientos del negocio. lo que incluye la prestación del servicio. Este proceso también incluye el monitoreo y la notificación oportuna a los Interesados (stakeholders) sobre el cumplimiento de los niveles de servicio. así como con la revisión y monitoreo de la efectividad y cumplimiento de dichos acuerdos. Por lo general cubre las siguientes preguntas de la gerencia: •¿Se están entregando los servicios de TI de acuerdo con las prioridades del negocio? •¿Están optimizados los costos de TI? •¿Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura? •¿Están implantadas de forma adecuada la confidencialidad. Niveles de servicio. almacenar respaldos . responsabilidades y expectativas en los acuerdos con los terceros. basadas en los requerimientos de carga de trabajo.1. el soporte del servicio a los usuarios. hace posible una comunicación efectiva entre la gerencia de TI y los clientes de negocio respecto de los servicios requeridos.post-implantación. la administración de los datos y de las instalaciones operativos. requiere de un proceso efectivo de administración de terceros. Este proceso permite la alineación entre los servicios de TI y los requerimientos de negocio relacionados. mantener y probar planes de continuidad de TI. Desempeño y capacidad. Contar con una definición documentada y un acuerdo de servicios de TI y de niveles de servicio. la integridad y la disponibilidad? Tiene las siguientes dimensiones: 1.

este proceso incluye la definición y ejecución de una estrategia para llevar a cabo un entrenamiento efectivo y para medir los resultados. requiere de un proceso de administración de la seguridad.fuera de las instalaciones y entrenar de forma periódica sobre los planes de continuidad. Responder de manera oportuna y efectiva a las consultas y problemas de los usuarios de TI. escalamiento de incidentes. 7. distribuir y reportar costos de TI a los usuarios de los servicios. La necesidad de mantener la integridad de la información y de proteger los activos de TI. Además de identificar las necesidades. Garantizar la integridad de las configuraciones de hardware y software . políticas. La necesidad de un sistema justo y equitativo para asignar costos de TI al negocio. análisis causa-raiz y resolución. análisis de tendencia. requiere de una mesa de servicio bien diseñada y bien ejecutada. Mesa de servicios e incidentes. Un programa efectivo de entrenamiento incrementa el uso efectivo de la tecnología al disminuir los errores. Una efectiva administración de la seguridad protege todos los activos de TI para minimizar el impacto en el negocio causado por vulnerabilidades o incidentes de seguridad. minimiza la probabilidad y el impacto de interrupciones mayores en los servicios de TI. Este proceso incluye la construcción y operación de un sistema para capturar. Este proceso incluye la creación de una función de mesa de servicio con registro. y de un proceso de administración de incidentes. el negocio puede identificar la causa raíz (tales como un pobre entrenamiento a los usuarios) a través de un proceso de reporte efectivo. Capacitación. Un proceso efectivo de continuidad de servicios. sobre funciones y procesos claves del negocio. Además. Un sistema equitativo de costos permite al negocio tomar decisiones más informadas respectos al uso de los servicios de TI. 9. Para una educación efectiva de todos los usuarios de sistemas de TI. se requieren identificar las necesidades de entrenamiento de cada grupo de usuarios. 8. estándares y procedimientos de TI. requiere de una medición precisa y un acuerdo con los usuarios del negocio sobre una asignación justa. incrementando la productividad y el cumplimiento de los controles clave tales como las medidas de seguridad de los usuarios. incluyendo aquellos dentro de TI. 5. Configuración. 6. Los beneficios del negocio incluyen el incremento en la productividad gracias a la resolución rápida de consultas. Seguridad de los sistemas. Este proceso incluye el establecimiento y mantenimiento de roles y responsabilidades de seguridad. La administración de la seguridad también incluye realizar monitoreos de seguridad y pruebas periódicas así como realizar acciones correctivas sobre las debilidades o incidentes de seguridad identificados. Costos.

Una efectiva administración de datos requiere de la identificación de requerimientos de datos. El proceso de administración de información también incluye el establecimiento de procedimientos efectivos para administrar la librería de medios. 10. Un efectivo proceso de administración de problemas mejora los niveles de servicio. oportunidad y disponibilidad de la información del negocio.1. 13. El proceso de administrar el ambiente físico incluye la definición de los requerimientos físicos del centro de datos (site). Una efectiva administración de datos ayuda a garantizar la calidad. la verificación y auditoría de la información de la configuración y la actualización del repositorio de configuración conforme se necesite. monitoreo de infraestructura y mantenimiento preventivo de hardware.4. Datos. Una efectiva administración de problemas requiere la identificación y clasificación de problemas. Una efectiva administración de operaciones ayuda a mantener la integridad de los datos y reduce los retrasos en el trabajo y los costos operativos de TI. Ambiente físico. el respaldo y la recuperación de datos y la eliminación apropiada de medios. reduce costos y mejora la conveniencia y satisfacción del usuario. el establecimiento de normas. la selección de instalaciones apropiadas y el diseño de procesos efectivos para monitorear factores ambientales y administrar el acceso físico. Una efectiva administración de la configuración facilita una mayor disponibilidad.5. Operaciones. El proceso de administración de problemas también incluye la identificación de recomendaciones para la mejora. Problemas. minimiza los problemas de producción y resuelve los problemas más rápido. requiere de instalaciones bien diseñadas y bien administradas. Este proceso incluye la recolección de información de la configuración inicial. 4. Monitorear y evaluar Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su . 11. Este proceso incluye la definición de políticas y procedimientos de operación para una administración efectiva del procesamiento programado. La administración efectiva del ambiente físico reduce las interrupciones del negocio ocasionadas por daños al equipo de cómputo y al personal. 12.requiere establecer y mantener un repositorio de configuraciones completo y preciso. protección de datos de salida sensitivos. Un procesamiento de información completo y apropiado requiere de una efectiva administración del procesamiento de datos y del mantenimiento del hardware. el mantenimiento de registros de problemas y la revisión del estatus de las acciones correctivas. La protección del equipo de cómputo y del personal. el análisis de las causas desde su raíz. y la resolución de problemas.

Establecer un programa de control interno efectivo para TI requiere un proceso bien definido de monitoreo. Este proceso incluye la definición de un declaración de auditoría. El propósito de este proceso es proporcionar un aseguramiento positivo relativo al cumplimiento de TI de las leyes y regulaciones. Control interno. 2. ética y estándares profesionales. Una efectiva administración del desempeño de TI requiere un proceso de monitoreo. el cumplimiento regulatorio y la aplicación del gobierno. Requerimientos externos. El establecimiento de un marco de trabajo de gobierno efectivo. Este proceso incluye el monitoreo y el reporte de las excepciones de control. 3. El proceso incluye la definición de indicadores de desempeño relevantes. Desempeño de TI. El monitoreo se requiere para garantizar que las cosas correctas se hagan y que estén de acuerdo con el conjunto de direcciones y políticas. Por lo general abarca las siguientes preguntas de la gerencia: •¿Se mide el desempeño de TI para detectar los problemas antes de que sea demasiado tarde? •¿La Gerencia garantiza que los controles internos son efectivos y eficientes? •¿Puede vincularse el desempeño de lo que TI ha realizado con las metas del negocio? •¿Se miden y reportan los riesgos. Una supervisión efectiva del cumplimiento regulatorio requiere del establecimiento de un proceso independiente de revisión para garantizar el cumplimiento de las leyes y regulaciones. procesos. 4. Variables Intervinientes Características Socio-económicas-tecnológicas: •Número de trabajadores. Número de trabajadores en toda la empresa. el control. el monitoreo del control interno. resultados de las auto-evaluaciones y revisiones por parte de terceros. reportes sistemáticos y oportunos de desempeño y tomar medidas expeditas cuando existan desviaciones. planeación. desempeño del trabajo de auditoría y reportes y seguimiento a las actividades de auditoría. 4.calidad y cumplimiento de los requerimientos de control. independencia de los auditores. .2. el cumplimiento y el desempeño? Tiene las siguientes dimensiones: 1. Un beneficio clave del monitoreo del control interno es proporcionar seguridad respecto a las operaciones eficientes y efectivas y el cumplimiento de las leyes y regulaciones aplicables. roles y responsabilidades organizacionales para garantizar así que las inversiones empresariales en TI estén alineadas y de acuerdo con las estrategias y objetivos empresariales. liderazgo. Este dominio abarca la administración del desempeño.5. Gobierno de TI. incluye la definición de estructuras.

. •Número de trabajadores en TICs. •Monto en activos fijos. Cantidad de inversión en TICs expresados en soles. libre). Número de servicios en TICs. •Número de servicios TICs. Tipo de licenciamiento de software (privado. •Tipo de licenciamiento de software. •Número de aplicaciones software. Número de aplicaciones software. Cantidad anual de ventas expresada en soles.•Monto de ventas anuales. instalados en servidores de red. •Monto de inversión anual en TICS. Número de trabajadores dedicados a las TICs. Cantidad de activos fijos expresada en soles.

roles y responsabilidades documentados -Genera reportes de costo/beneficio -Mantiene presupuestos de TI Inexistente Inicial Intuitivo Definido Administrado Optimizado Arquitectura de la información Inexistente Inicial Intuitivo Definido Administrado Optimizado Dirección tecnológica Inexistente Inicial Intuitivo Definido Administrado Optimizado Procesos. organización y relaciones de TI. Calidad.MATRIZ DE OPERACIONALIZACIÓN DE LA VARIABLE PLANIFICACION Y ORGANIZACION VARIABLE DEFINCIÓN CONCEPTUAL DIMENSIONES INDICADORES ESCALA DE MEDICIÓN DEFINICIÓN OPERACIONAL Planificac Es el conjunto de ión y estrategias y tácticas. Ordinal Inexistente Inicial Intuitivo Definido Administrado Optimizado Inexistente Inicial Intuitivo Definido Administrado Optimizado Inexistente Inicial Intuitivo Definido Administrado Optimizado Inversión en TI. -Define un marco de empresarial para TI -Declara políticas para TI control Recursos humanos de TI. y organizac ión de las la manera en que TI TI contribuye al logro de los objetivos del negocio Plan estratégico de TI -Elabora plan estratégico de TI -Elabora plan táctico de TI -Elabora portafolios de proyectos de TI -Elabora portafolios de servicios de T -Define estrategia de contratación externa de TI -Define estrategia de adquisición de TI -Tiene esquema de clasificación de datos -Elabora plan de sistemas del negocio optimizado -Define diccionario de datos -Define arquitectura de la información -Asigna clasificación de datos -Define procedimientos y herramientas de clasificación -Busca oportunidades tecnológicas -Utiliza estándares tecnológicos -Realiza actualizaciones del estado de la tecnología -Tiene plan de infraestructura tecnológica -Define requerimientos de infraestructura -Define marco de trabajo de TI -Asigna dueños de sistemas documentados -Reglamenta la organización y relaciones de TI -Define marco de procesos. Aspiraciones de la gerencia. -Declara políticas y define procedimientos de recursos humanos de TI -Utiliza una matriz de habilidades de TI -Describe los puestos de trabajo -Evalúa aptitudes y habilidades de los usuarios -Establece los requerimientos de entrenamiento -Define los roles y responsabilidades -Utiliza estándares de adquisición -Utiliza estándares de desarrollo -Define requerimientos de estándares y métricas de calidad -Adopta medidas para la mejora de la Inexistente Inicial Intuitivo Definido Administrado Optimizado Inexistente Inicial Intuitivo Definido Administrado .

de calidad -Realiza evaluación de riesgos -Genera reportes de riesgos -Formula directrices de administración de riesgos de TI -Formula planes de acciones correctivas para riesgos de TI -Genera reportes de desempeño de proyectos -Formula el plan de administración de riesgos del proyecto -Propone directrices de administración del proyecto -Formula planes detallados del proyecto -Mantiene actualizado el portafolio de proyectos de TI Optimizado Inexistente Inicial Intuitivo Definido Administrado Optimizado Inexistente Inicial Intuitivo Definido Administrado Optimizado . Proyectos TI.Riesgos de TI.

continuidad y recuperación. implementadas actualizadas procesos negocio. -Define requerimientos de monitoreo del sistema -Conoce la infraestructura -Tiene OLAS planeados anticipadamente -Utiliza manuales de usuario. -Toma decisiones de adquisición -Tiene un sistema configurado para realizar prueba/instalación -Define requerimientos de ambiente físico -Mantiene actualizados la tecnología en base a estándares. y Inexistente Inicial Intuitivo Definido Administrado Optimizado Inexistente Inicial Intuitivo Definido Administrado Optimizado Inexistente Inicial Intuitivo Definido Administrado Optimizado Inexistente Inicial Intuitivo Definido Administrado Optimizado Recursos TI. de soporte. y e del Soluciones automatizada s -Elabora un estudio de factibilidad de los requerimientos del negocio Software aplicativo integradas en los -Especifica los controles de seguridad de la aplicación -Conoce la aplicación y el paquete de software -Toma decisiones para la adquisición -Tiene SLAS planeados anticipadamente -Especifica la disponibilidad. Instalación de soluciones -Registra los componentes de configuración liberados -Registra los errores conocidos y aceptados -Registra la liberación a producción -Registra la liberación de software y plan de distribución -Realiza revisiones posteriores a la liberación -Monitorea el control interno . de operación. técnicos y de administración -Define requerimientos de transferencia de conocimiento para implantación de soluciones -Materiales de entrenamiento -Define requerimientos de administración de la relación con terceros -Identifica artículos provistos -Reglamenta los arreglos contractuales -Describe el proceso de cambio -Genera reporte de estatus de cambio -Define la autorización de cambio Ordinal Inexistente Inicial Intuitivo Definido Administrado Optimizado Inexistente Inicial Intuitivo Definido Administrado Optimizado Infraestructura tecnológica Inexistente Inicial Intuitivo Definido Administrado Optimizado Operación uso. de Cambios.MATRIZ DE OPERACIONALIZACIÓN DE LA VARIABLE ADQUISICIÓN E IMPLEMENTACION VARIABLE DEFINCIÓN CONCEPTUAL DIMENSIONES INDICADORES ESCALA DE MEDICIÓN DEFINICIÓN OPERACIONAL Adquisición e Es la identificación implementación de las soluciones de TI de TI que deben ser desarrolladas o adquiridas.

seguridad continuidad. lo que incluye la del la y de la el la las prestación servicio.MATRIZ DE OPERACIONALIZACIÓN DE LA VARIABLE ENTREGA Y SOPORTE VARIABLE DEFINCIÓN CONCEPTUAL DIMENSIONES INDICADORES ESCALA DE MEDICIÓN DEFINICIÓN OPERACIONAL Entregar y Es el conjunto de dar soporte actividades de de TI entrega en sí de los servicios requeridos. Continuidad del servicio Desempeño y capacidad Inexistente Inicial Intuitivo Definido Administrado Optimizado Inexistente Inicial Intuitivo Definido Administrado Optimizado Ordinal Inexistente Inicial Intuitivo Definido Administrado Optimizado Seguridad de los sistemas Inexistente Inicial Intuitivo Definido Administrado Optimizado Inexistente Inicial Intuitivo Definido Administrado Optimizado Inexistente Inicial Intuitivo Definido Administrado Optimizado Inexistente Inicial Intuitivo Definido Administrado Optimizado Inexistente Costos Entrenamien to -Se actualiza la documentación requerida -Genera reportes de desempeño del proceso -Existen solicitudes de servicio/cambio -Genera reportes de incidentes -Genera reportes de desempeño del proceso -Genera reportes de satisfacción de usuarios -Define la configuración de TI / detalle Mesa de servicio e incidentes. incluyendo roles y responsabilidades -Genera reporte de desempeño de los procesos -Define los incidentes de seguridad -Define requerimientos específicos de entrenamiento sobre conciencia de seguridad -Genera reportes de desempeño del proceso -Establece los cambios de seguridad requeridos -Analiza las amenazas y vulnerabilidades de seguridad -Se asegura el financiamiento de TI -Genera reportes de desempeño del proceso Inexistente Inicial Intuitivo Definido Administrado Optimizado administración de la Servicios de terceros soporte del servicio a administración de los instalaciones operativas. y de Niveles servicio del -Genera reporte de revisión de contrato -Genera reporte de desempeño de los procesos -Define requerimiento de servicios nuevos / actualizaciones -Define y utiliza SLAS -Define y utiliza OLAS -Mantiene actualizado el portafolio de servicios -Genera reporte de desempeño de los procesos -Recibe un catálogo del proveedor -Recibe información de los riesgos del proveedor -Tiene información del desempeño y capacidad -Formula un plan de desempeño y capacidad -Registra los cambios requeridos -Genera reportes de desempeño del proceso -Analiza los resultados de las pruebas de contingencia -Define la criticidad de puntos de configuración de TI -Formula un plan de almacenamiento de respaldos y de protección -Define los umbrales de incidente/desastre -Define los requerimientos de servicios contra desastres. los datos usuarios. Configuració .

de activos -Conoce los RFC (donde y como aplicar el parche) -Genera reportes de desempeño del proceso -Existen solicitudes de cambio -Registro de problemas -Genera reportes de desempeño del proceso -Registro de problemas conocidos. errores conocidos y soluciones alternas -Genera reportes de desempeño del proceso -Existen instrucciones del operador para administración de datos -Genera reportes de desempeño del proceso Inicial Intuitivo Definido Administrado Optimizado Inexistente Inicial Intuitivo Definido Administrado Optimizado Inexistente Inicial Intuitivo Definido Administrado Optimizado Inexistente Inicial Intuitivo Definido Administrado Optimizado Inexistente Inicial Intuitivo Definido Administrado Optimizado Ambiente físico. Operaciones -Existen tickets de incidentes -Se mantiene una bitácora de errores -Genera reportes de desempeño del proceso .n Problemas. Datos.

monitoreo regulatorio del y de los de la del el control la Desempeño de TI -Se Control interno mantienen indicadores de desempeño a planeación de TI -Control de planes de acciones correctivas -Registro de tendencias y eventos de riesgos históricos -Genera reporte de desempeño de procesos -Genera reporte sobre la efectividad de los controles de TI Inexistente Inicial Intuitivo Definido Administrado Optimizado Inexistente Inicial Intuitivo Definido Administrado Optimizado interno. Requerimien tos externos -Existe un catálogo de requerimientos legales y regulatorios relacionados con la prestación de servicios de TI -Genera reporte sobre el cumplimiento de las actividades de TI con los requerimientos externos legales y regulatorios Ordinal Inexistente Inicial Intuitivo Definido Administrado Optimizado Gobierno de TI -Se utilizan mejoras al marco de trabajo de los procesos -Genera reportes de estatus del gobierno de TI -Se consiguen los resultados de negocios esperados de la inversiones en TI -existe una dirección estratégica empresarial para TI -Se evidencia un compromiso empresarial por los riesgos de TI Inexistente Inicial Intuitivo Definido Administrado Optimizado . Abarca administración desempeño. el cumplimiento aplicación del gobierno.MATRIZ DE OPERACIONALIZACIÓN DE LA VARIABLE MONITOREO Y EVALUACION VARIABLE DEFINCIÓN CONCEPTUAL DIMENSIONES INDICADORES ESCALA DE MEDICIÓN DEFINICIÓN OPERACIONAL Monitoreo Es la evaluación y periódica de los evaluación del servicio procesos de TI en de TI cuanto a su calidad y cumplimiento requerimientos control.

instalados en servidores de red.Tipo de licenciamiento de software (privado.MATRIZ DE OPERACIONALIZACIÓN DE LA VARIABLE CARACTERÍSTICAS SOCIOECONOMICAS-TECNOLOGICAS VARIABLES DEFINCIÓN CONCEPTUA L DIMENSIONES INDICADOR ESCALA DE MEDICIÓN DEFINICIÓN OPERACIONAL Característic as socioeconómicastecnológicas Son las característi cas socioeconómica stecnológic as Número de trabajadores Monto de ventas anuales Monto en activos fijos Número de trabajadores en TICs Monto de inversión anual en TICS Número de servicios TICs Número de aplicaciones software Tipo de licenciamient ode software ....Número de servicios en TICs.100 1.100 1... libre) Rango 1.000..Número de aplicaciones software .000.Cantidad de inversión en TICs expresados en soles . 1.20 Cualitativo nominal Privado Libre ..000.Número de trabajadores dedicados a las TICs ..Cantidad anual de ventas expresada en soles . .. 1.. 1.20 1.Cantidad de activos fijos expresada en soles .Número de trabajadores en la empresa .

Técnica e Instrumentos de medición. 2. Los procesos de TICs se documentan y comunican. número de aplicaciones software. Proceso definido y documentado. Optimizado. monto de ventas anuales. Instrumentos Los instrumentos serán aplicados en las MYPES que conforman la muestra. Inicial / Ad hoc. Los procesos de TICs siguen un patrón regular. No se aplican procesos administrativos en lo absoluto para gestionar la TICs. 5. Las buenas prácticas se siguen y automatizan. Técnica Se utilizará la técnica de la encuesta 4. monto en activos fijos. 3. se empleará un formato donde se identifica las variables de las empresas consideradas en el estudio: número de trabajadores. monto de inversión anual en TICS. Los mencionados cuestionarios no requieren ser validados por cuanto COBIT constituye una buena práctica de reconocimiento mundial.6.1. número de servicios TICs. En el caso de los subproyectos en los que se aplica los cuatros dominios se utiliza un cuestionario de 34 preguntas (Anexo 01) y en el caso de subproyectos en los que se aplica sobre un solo dominio se utiliza el cuestionario correspondiente que se presenta en los Anexos del 2 al 5.6. 1. Repetible pero intuitivo.4. tipo de . b)Características socio-económicas-tecnológicas Para la recogida de los datos socio-económico-tecnológico.. Los procesos de TICs son Ad hoc y desorganizados. Los perfiles de gestión de TICs se establecerán tomando como referencia el modelo de madurez propuesto por COBIT que considera de manera general: 0. número de trabajadores en TICs. 4. Inexistente.2. Administrado y medible. a)Cuestionario de gestión de las TICs en las empresas Para la medición del nivel de gestión de las TICs en las MYPES se utilizarán cuestionarios obtenidos de la estructura del modelo COBIT. 4. Son informales.6. Siguen técnicas tradicionales no documentadas. Los procesos de TICs se monitorean y miden.

Barcelona. 08/07/20. [Una página digital].html (1)Salazar C. Las TICs crecen en el mundo al 30% anual.ibermatica. Evolución de las TIC: Oportunidades y amenazas sociales. Telefónica. 2008. España. Diez problemas de las TICs que probablemente no sabe que tiene. Bibliografía (1)Marquez P. Disponible desde: http://www.com/ibermatica/eventos/2006/mtevolucionticsoportunidadesam enazas (4)Coca J. [citada 2009 Nov 15]. 2008. [Una página digital]. Disponible desde: http://www.licenciamiento de software. [Artículo en Internet]. Telefónica. [Artículo en Internet]. [citada 2009 Nov 15].html (3)Ibermática. Departamento de pedagogía aplicada.pangea. [citada 2009 Nov 15]. [citada 2009 Nov 15]. Las TICs y sus aportaciones a la sociedad. Disponible desde: http://www. España.1. Plan de análisis Los datos obtenidos serán codificados y luego serán ingresados en una hoja de cálculo del programa Open Office Calc. Las TIC como herramienta a la gestión empresarial.org/peremarques/tic. La UIT promueve un Plan Marshall de Internet para África. 4. Disponible desde: http://www. [Artículo en . 08/23/03. Para el análisis de los datos se utilizará el programa estadístico SPSS (Statistical Package for the Sciencies) con el cual se obtendrán los cuadros y gráficos de las variables en estudio.7.htm (2)TechLabs. España.techweek. [Una página digital]. TechWeek.tendencias21.net/La-UIT-promueve-un-Plan-Marshall-de-Internet-paraafrica_a1784. 5. [Artículo en Internet].net/Las-TICs-crecen-en-el-mundo-al-30-anual_a3164.tendencias21.es/voip-telefonia/tech-labs/1003271005401/diez-problemastics-probablemente-no-sabe-tiene. Ibermática. Disponible desde: http://www.html (5)Morales R. [citada 2009 Nov 15]. 2006. España. [Monografía en Internet]. Universidad Autónoma de Barcelona. [Artículo en Internet].

com/content/view/145501 (2)Instituto Tecnológico de Galicia. [citada 2009 Nov 15]. técnica y posgrado. Apaza. [citada 2009 Nov 15].es/proyectos/detalle. Secretaría de ciencia. Inversión en TICs en el Perú. Instituto Académico de Administración. [citada 2009 Nov 15]. 2000.ar/objetos_digitales/1926/proyectotancredi2007-2009. Disponible desde: http://www. Salmerón.es/rebiun/atencionusuario. Universidad Nacional de Cuyo. Fundación Instituto Tecnológico de Galicia.php?IdProyecto=21 (3)Medina G. [Tesis doctoral]. (8)Ramirez P. [Proyecto en Internet]. [Tesis en Internet]. (9)Espinosa J. Universidad de Playa Ancha. Disponible desde:http://bdigital. 2007-2009. Cantabria.pdf (5)Torres C. 2004. et al. Chile. Cuyo. Edición electrónica gratuita. IEDE Chile/Universidad de Lleida. Disponible desde: http://biblioteca. [citada 2009 Nov 15].p df (7)Bravo C. 2008. Chile. Galicia. 2008. Biblioteca Universitaria. 2003. Grifouliere. [Tesis doctoral]. Chile. Fernandez.bligoo. PlaniGestión: Planificación estratégica en las MYPES. Gobernabilidad de las políticas de gestión educativa universitaria y las tecnologías asociadas. Lima. [Noticia en Internet].uncu. Disponible desde: http://www. [citada 2009 Nov 15]. Agencia Press Perú. Parte II. Acumulación y socialización de capacidades durante la gestión tecnológica: Caso CEMEX.edu. Tecnología y modernización estratégica en la administración pública local: análisis de las estrategias de administración electrónica en los municipios .net/tesis/2009/catg/ACUMULACION%20Y%20SOCIALIZACION %20DE%20CAPACIDADES%20DURANTE%20LA%20GESTION20TECNOLOGICA %20INTRODUCCION. [Manual en Internet].peruenvideos.com/intel-recomiendo-a-peru-invertir-en-las-tics/ (4) Manual de atención al cliente Biblioteca universidad Cantabria. Visión sistemática aplicada a la gestión de procesos. [Artículo en Internet]. Disponible desde: http://cibermundos.eumed. Rol y contribución de los sistemas de planificación de los recursos de la empresa (ERP). Universidad Austral de Chile.Internet].itg.unirioja. Universidad de Cantabria. Arenas.htm (6)Tancredi. Disponible desde: http://www. 2009. [citada 2009 Nov 15].

[Tesis doctoral]. (11)Instituto de Marketing y Estudios S. Alicante. Conocimiento y utilización de las tecnologías de la información y la comunicación (TIC) en los emprendedores y microempresas apoyadas por el proyecto MICRO [monografía en internet]. Bilbao. 2004 [citada 2009 Mar 4].pdf (14)Betanco J.shtml (15)Agenda Nacional de la Sociedad de la Información y el Conocimiento de Guatemala.pdf (16)Joo B. 2005 [citada 2007 diciembre 14].monografias. Disponible desde: www.. 2007 [citada 2007 diciembre 28].phpname=Downloads&d_op=getit&lid=62 (12)International Development Research Centre. LARENA ITURBE IÑAKI. 2007 [citada 2007 diciembre 14]. ETS de ingeniería de Bilbao. [Tesis doctoral].españoles. (10)Iturbe L. de inclusión y de alineación digital. España: Instituto de Marketing y Estudios S. La competencia de las PYMES en Las Segovias (Nicaragua) [monografía en internet]. 2005. [Tesis .emicromurcia. TICs en las MYPES de Centroamérica. para construir espacios que generen conocimiento en el colegio Champagnat.com/trabajos45/pymeslassegovias/pymeslassegovias. Disponible desde: http://www. Análisis y propuesta de gestión pedagógica y administrativa de las TICs.ppt (13)Ministerio de Economía de Chile. Departamento de Organización de Empresas. Guatemala: Agenda Nacional de la Sociedad de la Información y el Conocimiento de Guatemala. [monografía en internet].net/congreso/Doc/SegConPYME/ppt/G1.rtcingenieros. Disponible desde: http://www. Análisis del impacto de la eficiencia empresarial de las nuevas tecnologías de la información y comunicaciones sobre la MYPE industrial vasca. Nicaragua: [s.IgnacioAlfaro. Universidad de Alicante. Editorial Tecnológica de Costa Rica.n]. Plan de reducción de la brecha. Disponible desde: www.cl/doc/estudio_2006. Chile: Ministerio de Economía de Chile – División de Tecnologías de Información y Comunicación. 2005.net/portales/1001/10058/10172/docs/GUATEMALA_REPORTE_FINAL_ NOV_2007_CSM.L.L. Costa Rica. 2006 [citada 2008 diciembre 14]. Disponible desde: www. a los planes de crecimiento económico y de desarrollo social del país [monografía en internet]. Acceso y uso de las TICs en las empresas chilenas [monografía en internet].smecongress.com/micro/modules.ahciet.

PROMPyme. Análisis del Financiamiento de las Pequeñas y Micro empresas [monografía en internet]. Comercio Electrónico y Estrategia Empresarial. [citada 2007 . Disponible desde: http://tesis. [citada 2009 Nov 15]. Argentina: [s. Introducción al comercio electrónico [monografía en internet]. 2 ed.pdf (22)Del Águila A.emagister. 2002 [citada 2007 marzo 14]. Curso de Administración de MYPES. Lima.monografias.org/TIC0306/JoseIgnacioAlfaroFUNDACIONCAATEC.n]. (18)Felipe P. 7 ed.n]. 2006 [citada 2007 febrero 182007]. Disponible desde:http://www.com&id_categ=231&haSidoAltaPush=N&idP ush (21)Ignacio J. 2005 [citada 2007 marzo 8].pe/tesis/ver/246 (17)Centro de Promoción de la Pequeña y Microempresa. 2000. (23)McLeod R.edu. Manejo de las tecnologías de la información y la comunicación [monografía en internet]. 2007.pregrado].prompyme. Emagister.pdf. Perú. Cómo maximizar el aprovechamiento e impacto de las TICs en las Pymes [monografía en internet].shtml (20)Universidad Nacional Mayor de San Marcos.com/cursosgratis/emag_users/solicitudes/curso_gratis/dsp/dsp _vcruzada_cursosgratis. (24)García J. 2005 [citada 2007 diciembre 28]. Disponible desde: http://www.pe/upload/publicacion_219200683. México: Editorial Pearson Prentice Hall. Disponible desde: http:// www. Disponible desde: http://www. México: Editorial AlfaomegaRama. Sistemas de información gerencial.monografias.gob. PROMPyme. Identificación de necesidades de las MYPE con respecto a las Tecnologías de la Información y Comunicaciones [monografía en internet]. España: Departamento de Información de la Universidad de Oviedo.com/trabajos39/manejotecnologias/manejotecnologias . Perú: [s. 2004 [citada 2007 marzo 22]. Disponible desde: http://www.shtml (19)Yacsahuache M. Perú: Centro de Promoción de la Pequeña y Microempresa.pucp.com/trabajos7/pyme/pyme. [monografía en internet].iberpymeonline. Costa Rica: CAATEC. 2001.cfmestadoMatUser=&id_centro=5795303005295756486666 6952674548&id_curso=65431010070957515249705354574565&id_tipocurso=16&id _user=&mailuser=jeplasencia@hotmail.

La importancia de la adopción de TIC en las pymes mexicanas: Una propuesta metodológica [monografía en internet]. Perú: Programa de Tecnología de la Información para el Desarrollo de ITDG. Disponible desde:http://www. Software Libre para una Sociedad Libre. Disponible desde: http://www.pdf (27)Stallman R. eNicaragua.iveybusinessjournal. España: Editores Traficantes de Sueños./spanish/tratop_s/serv_s/telecom_s/telecom_coverage_s. España: Sociedad para la Promoción y Reconversión Industrial SPRI.pdf (30)Pedraza N.es/~fanjul/ce/descargas/CETransparenciasTema1v2007. Vecina M. Hacia una PYME eficiente y bien conectada. uso y grado de adopción de las Tics por parte de las grandes y medianas empresas de Nicaragua [monografía en internet]. [citada 2007 abril 2]. 2005.eumed. 1 ed.pe/publicaciones/pdf/Hacia%20una%20PYME %20eficiente%20y%20bien. Disponible desde: http://www.htm (31)Coté L. Disponible desde: http://www.net/cursecon/ecolat/mx/2006/pmsagf. Estudio empírico para evaluar el nivel de acceso.com/view_article.marzo 27].pdf (25)Organización Mundial del Comercio [sede web]. 2002 [citada 2007 abril 2]. 2005 [citada 2007 abril 2]. Guía de Autodiagnóstico para Mypes en la utilización de las TICs [monografía en internet].asp?intArticle_ID=561 . 2004 [citada 2007 febrero 24].org.solucionespracticas.euskadi. (28)eNicaragua.enicaragua. 3 (1). The strategic management process in ebusiness Ivey Business Journal Online [serie en internet]. México: Universidad Autónoma de Tamaulipas. Nicaragua. 2005 [citada 2007 diciembre 28].org. Servicios de Telecomunicaciones: Ambito de las Telecomunicaciones Básicas y de los servicios con valor añadido.uniovi. Sánchez A. [monografía en internet].net/eeuskadi/datos/docs/autodiagnostico. Disponible en: http://www. 2004. 2002 [citada 2007 abril 3]. Disponible desde: http://www. Disponible desde: http://www. España.org.di.ni/SITE/enicaragua/files/Fileseg/encuestaTICempresaNic1 4marzo05.pdf (29)Saravia M.wto.htm (26)Sociedad para la Promoción y Reconversión Industrial SPRI.

1998. Abril 1998. COBIT 4. Copyright 1996. 2da. 2001. (35)Comité directivo de COBIT y el IT Governance Instituite. Edición. 16-01-2007 .(32)Jim C. Becoming a digital business: it's not about technology. Morrison D. Edición. Edición. 1(29): 4. Julio 2000. Strategy & Leadership. (36)Comité directivo de COBIT y el IT Governance Instituite. 2007 (39)Norma Técnica Peruana NTP-ISO/IEC 1799-2007. 3ra. Copyright 2007de la Information Systems Audit and Control Foundation (ISACF). Telecommunications can be strategic business tool. 2000. Directrices gerenciales. Lima Perú. 1 (21): 26 33.1. Computing Canada [serie en internet]. (37)Comité directivo de COBIT y el IT Governance Instituite. Comisión de reglamentos técnicos y comerciales . 3ra. Copyright de la Information Systems Audit and Control Foundation (ISACF). 1995 [citada 2007 abril 2]. (33)Slywotzky A. 2ra. Resumen ejecutivo. de la Information Systems Audit and Control Foundation (ISACF). (34)Comité directivo de COBIT y el IT Governance Instituite. Copyright de la Information Systems Audit and Control Foundation (ISACF). The UK Chapter of the itSMF. SouthWestern College. Directrices de auditoría. INDECOPI. ed. (38)An Introductory Overview of ITIL V3. Alison Cartlidge y otros.

c)La elaboración del plan estratégico sigue técnicas tradicionales no documentadas.Se gestiona la inversión en TI? . c)El direccionamiento de las tecnologías de información se realiza utilizando técnicas tradicionales no documentadas. DOMINIO 01: Planeamiento y organización 1.Existe un marco de trabajo para los procesos. organización y relaciones de TI está monitoreado. d)Se ha definido y documentado un procedimiento para direccionar las tecnologías de información.Existe un método de monitoreo? a) No existe método de monitoreo.Existe un modelo de arquitectura de la información? a)No existe. b)El direccionamiento de las tecnologías de información se hace de manera informal. no mide el grado de tecnología utilizado. b)La elaboración del plan estratégico se hace de manera informal. f)El procedimiento para direccionar las tecnologías de información está automatizado. Recuerde que COBIT mide la implementación del enfoque de procesos en la gestión de tecnologías. c)La arquitectura de la información se modela utilizando técnicas tradicionales no documentadas. 4. b)La arquitectura de la información se modela de manera informal.Se ha elaborado un Plan estratégico? a)No se elabora. Seleccione una opción marcando con una flecha la letra que corresponde a su respuesta. 2. organización y relaciones de TI? a)No existe. 3. organización y relaciones de TI está automatizado 5.Anexo 01. Ejemplo: 1. b)El marco de trabajo es informal. e)El procedimiento para el marco de trabajo de los procesos.Existe direccionamiento de la tecnologías de información? a)No existe. e)El procedimiento para elaborar el plan estratégico es monitoreado. d)Se ha definido y documentado un procedimiento para el marco de trabajo de los procesos. d)Se ha definido y documentado un procedimiento para elaborar el plan estratégico. c)El marco de trabajo sigue técnicas tradicionales no documentados. d)Se ha definido y documentado un procedimiento para modelar la arquitectura de la información. f)El procedimiento para elaborar el plan estratégico está automatizado. b) El método de monitoreo se utiliza de manera informal c) Existe un método de monitoreo con técnicas tradicionales no documentadas --> d) El método de monitoreo está definido en un procedimiento documentado e) El proceso del método de monitoreo es controlado y auditado f) El proceso del método de monitoreo está automatizado 2. e)El procedimiento para direccionar las tecnologías de información es monitoreado. f)El procedimiento para modelar la arquitectura de la información está automatizado. organización y relaciones de TI. f)El procedimiento para el marco de trabajo de los procesos. ENCUESTA PARA MEDIR EL PERFIL DE  GESTION DE TICS DE ACUERDO AL MODELO COBIT (Estudio de los cuatro dominios) INSTRUCCIONES: 1. e)El procedimiento para modelar la arquitectura de la información es monitoreado.

9. c)Se identifican soluciones automatizadas utilizando técnicas tradicionales no documentadas. c)La inversión en TI se realiza siguiendo técnicas tradicionales no documentadas. d)Los recursos humanos de TI se gestionan siguiendo un procedimiento definido y odcumentado. e)El procedimiento para gestionar los proyectos de TI es monitoreado. 7. c)La administración de riesgos se realiza con técnicas tradicionales no documentadas. f)El procedimiento para gestionar la inversión en TI está automatizado. d)Se ha definido y documentado un procedimiento para gestionar los proyectos de TI. f)El procedimiento que gestiona los recursos de TI está automatizado. c)La calidad se gestiona siguiendo técnicas tradicionales no documentadas.Se gestionan proyectos de TI? a)No se gestionan b)Los proyectos de TI se gestionan de manera informal.Existe un sistema de comunicación de las aspiraciones de la alta dirección? a)No existe. e)El procedimiento para el sistema de gestión de la calidad es monitoreado. f)El procedimiento para el sistema de gestión de la calidad está automatizado. e)El procedimiento que gestiona los recursos de TI es monitoreado. 10. b)La inversión en TI se realiza de manera informal. e)El procedimiento para gestionar la inversión en TI es monitoreado. 2. . d)Se ha definido y documentado un procedimiento para gestionar la inversión en TI. c)Los recursos humanos de TI se gestionan siguiendo técnicas tradicionales no documentadas. b)Se identifican soluciones automatizadas de manera informal. b)La calidad se gestiona de manera informal. DOMINIO 02: ADQUIRIR E IMPLANTAR 1. f)El procedimiento para la administración de riesgos está automatizado. d)Se ha definido y documentado un procedimiento para la administración de riesgos.Se gestionan los recursos humanos de TI? a)No se gestionan. f)El procedimiento para gestionar los proyectos de TI está automatizado. 6. e)El procedimiento para la administración de riesgos es monitoreado. c)La gestión de proyectos de TI utiliza técnicas tradicionales no documentadas.Se utiliza metodologias para desarrollar software aplicativo? a)No se utilizan metodologías. d)El procedimiento para identificar soluciones automatizadas está definido y documentado e)El procedimiento para identificar soluciones automatizadas está monitoreado. b)La administración de riesgos es informal.Se identifican soluciones automatizadas? a)No se identifican.Existe administración de riesgos? a)No existe. b)El software aplicativo se desarrolla de manera informal.a)No se gestiona.Existe un sistema de Gestión de la calidad? a)No existe. f)El procedimiento que define el sistema de comunicación de las aspiraciones de la alta dirección está automatizado. f)El procedimiento para identificar soluciones automatizadas está automatizado. d)Se ha definido y documentado un procedimiento para el sistema de gestión de la calidad. c)El sistema de comunicación de las aspiraciones de la alta dirección utiliza técnicas tradicionales no documentadas. b)El sistema de comunicación de las aspiraciones de la alta dirección es informal. b)Los recursos humanos de TI se gestionan de manera informal. d)El sistema de comunicación de las aspiraciones de la alta dirección está definido y documentado en un procedimiento e)El procedimiento que define el sistema de comunicación de las aspiraciones de la alta dirección es monitoreado. 8.

c)Los niveles de servicio se definen y administran utilizando técnicas tradicionales no documentadas. d)La operación y uso de los sistemas tiene un procedimiento definido y documentado. c)Para la instalación de soluciones y cambios se siguen técnicas tradicionales no documentadas. b)La administración de cambios se realiza de manera informal.Existen manuales de operación y uso de los sistemas?. d)Se ha definido un procedimiento para definir y administrar los niveles de servicio. d)Los servicios por terceros se administran siguiendo un procedimiento definido y documentado. DOMINIO 03: Entrega del servicio y soporte  1. c)Los servicios por terceros se administran siguiendo técnicas tradicionales no documentadas. e)El procedimiento para la administración de cambios está monitoreado.La instalación de soluciones y cambios son gestionadas? a)No se gestionan. e)El plan de infraestructura tecnológica ha sido definido en un procedimiento documentado. 5. b)La infraestructura tecnológica se administra de manera informal.  2. c)Para la adquisición de recursos de TI se utilizan técnicas tradicionales no documentadas. f)El procedimiento para la adquisición de recursos de TI está automatizado. b)La adquisición de recursos de TI se realiza de manera informal. g)El procedimiento que define el plan de infraestructura tecnológica está automatizado. d)Se ha definido y documentado un procedimiento para la instalación de soluciones y cambios. c)El plan de infraestructura tecnológica es informal. b)Los servicios por terceros se administran de manera informal. 4. d)El desarrollo del software aplicativo se ha definido en un procedimiento documentado. f)El procedimiento para la instalación de soluciones y cambios esta automatizado.Se definen y administran los niveles de servicios? a)No se definen ni administran. d)La adquisición de recursos de TI está gestionada con un proceso definido y documentado. e)El procedimiento de operación y uso de los sistemas está monitoreado. e)El procedimiento para el desarrollo del software aplicativo está monitoreado. f)El procedimiento para el desarrollo del software aplicativo está automatizado. e)El procedimiento para la instalación de soluciones y cambios es monitoreado. b)La operación y uso de los sistemas es informal. c)La operación y uso de los sistemas sigue técnicas tradicionales no documentadas. 7. c)La administración de cambios se realiza utilizando técnicas tradicionales no documentadas. f)El procedimiento para adiministrar los servicios de terceros está automatizado. e)El procedimiento para adiministrar los servicios de terceros es monitoreado. e)El procedimiento para la adquisición de recursos de TI se monitorea. d)Se ha definido y documentado un procedimiento para la administración de cambios.Se administran los servicios por terceros? a)No se administran. b)Los niveles de servicio se definen y administran de manera informal.Se gestiona la adquisición de recursos de TI? a)No se gestiona. e)El procedimiento para definir y administrar los niveles de servicio es monitoreado. f)El procedimiento que define el plan de infraestructura tecnológica es monitoreado. 6. b)La instalación de soluciones y cambios se realiza de manera informal.c)El desarrollo del software aplicativo utiliza técnicas tradicionales no documentadas. d)El plan de infraestructura tecnológica utiliza técnicas tradicionales no documentadas.Se realiza administración de cambios? a)No se realiza. a)No existen. . 3. f)El procedimiento de operación y uso de los sistemas está automatizado. f)El procedimiento para la administración de cambios está automatizado. Existe un Plan de infraestructura tecnológica? a)No existe. f)El procedimiento para definir y administrar los niveles de servicio está automatizado.

f)El procedimiento para la adminsitración de los problemas está automatizado. 9. d)Se ha definido y documentado un procedimiento para garantizar la continuidad de los servicios de TI.Se administra la configuración de las TI. c)La administración de la configuración de las TI usa técnicas tradicionales no documentadas. b)La continuidad de los servicios de TI se garantiza de manera informal.3. 6. e)El procedimiento para la identificación y asignación de costos de TI es monitoreado. c)La educación y entrenamiento a los usuarios se realiza de manera tradicional y no documentada. c)Para la administración de los problemas se usan técnicas tradicionales no documentadas. b)La identificación y asignación de costos de TI es informal. d)Se ha definido y documentado un procedimiento para la administración de la mesa de servicio y los incidentes. f)El procedimiento para la configuración de las TI está automatizado.Se garantiza la seguridad de los sistemas? a)No se garantiza. b)El desempeño y la capacidad de las TI se administra de manera informal. e)El procedimiento para la configuración de las TI es monitoreado. f)El procedimiento para garantizar la continuidad de los servicios de TI está documentado. e)El procedimiento para la educación y entrenamiento de los usuarios es monitoreado. d)Se ha definido y documentado un procedimiento para la educación y entrenamiento de los usuarios. d)Se ha definido y documentado un procedimiento para la identificación y asignación de costos de TI. b)La administración de la configuración de las TI es informal. d)Se ha definido y documentado un procedimiento para la configuración de las TI. f)El procedimiento para administrar el desempeño y la capacidad de las TI está automatizado. c)La seguridad de los sistemas se garantiza siguiendo técnicas tradicionales no documentadas. f)El procedimiento para la identificación y asignación de costos de TI está automatizado. 7. a)No se administra la mesa de servicio ni los incidentes. c)La continuidad de los servicios de TI se garantiza usando técnicas tradicionales no documentadas. b)La seguridad de los sistemas se garantiza de manera informal. 5. c)La administración de la mesa de servicio y los incidentes usa técnicas tradicionales no documentados. e)El procedimiento para la administración de la mesa de servicio y los incidentes es monitoreado. b)La administración de la mesa de servicio y los incidentes es informal.Se administra el desempeño y la capacidad de las TI? a)No se administra. c)La identificación y asignación de costos de TI usa técnicas tradicionales no documentadas. f)El procedimiento para la educación y entrenamiento de los usuarios está automatizado. d)Se ha definido y documentado un procedimiento para garantizar la seguridad de los sistemas. 8. a)No se administra la configuración de las TI. a)No se identifican ni se asignan costos de TI.Se educa y entrena a los Usuarios? a)No se educa ni entrena a los usuarios. d)Se ha definido y documentado un procedimiento para administrar el desempeño y la capacidad de las TI. c)El desempeño y la capacidad de las TI se administra con técnicas tradicionales no documentadas. b)La educación y entrenamiento a los usuarios es informal. 4. 11.Se administran los datos? . e)El procedimiento para la adminsitración de los problemas es monitoreado.Se administran los problemas? a)No se administran b)Los problemas de administran de manera informal. f)El procedimiento para garantizar la seguridad de los sistemas está automatizado. d)Se ha definido y documentado un procedimiento para la adminsitración de los problemas. e)El procedimiento para garantizar la seguridad de los sistemas es monitoreado. e)El procedimiento para administrar el desempeño y la capacidad de las TI es monitoreado. 10.Se identifican y asignan costos de TI.Se administra la mesa de servicio y los incidentes. f)El procedimiento para la administración de la mesa de servicio y los incidentes está automatizado. e)El procedimiento para garantizar la continuidad de los servicios de TI es monitoreado.Se garantiza la continuidad de los servicios de TI? a)No se garantiza.

f)El procedimiento para el monitoreo y evaluación del desempeño de TI está automatizado. e)El procedimiento para el monitoreo y evaluación del desempeño de TI está monitoreado. 3. b)La administración de las operaciones es informal. d)Para garantizar el cumplimiento de requerimientos externos se utiliza un procedimiento definido y documentado. d)Se ha definido y documentado un procedimiento para la administración de datos.Se proporciona gobierno de TI? a)No se proporciona b)El gobierno de TI es informal. c)Para garantizar el cumplimiento de requerimientos externos se utilizan técnicas tradicionales y no se documenta. f)El procedimiento que define el gobierno de TI está automatizado. e)El procedimiento para la administración de las opperaciones es monitoreado. f)El procedimiento para la administración del ambiente físico está automatizado.Existe un proceso para monitorear y evaluar el control interno de TI? a)No existe b)El monitoreo y evaluación del control interno de TI es informal. a)No se administra el ambiente físico. f)El procedimiento para la administración de datos está automatizado. e)El procedimiento para para garantizar el cumplimiento de requerimientos externos está monitoreado. d)Se ha definido y documentado un procedimiento para la administración del ambiente físico. d)Para el monitoreo y evaluación del desempeño de TI se utiliza un procedimiento definido y documentado.Se administran las operaciones? a)No se administran las operaciones. . 13. f)El procedimiento para el monitoreo y evaluación del control interno de TI está automatizado. etc)? a)No está garantizado b)El cumplimiento de requerimientos externos es informal. e)El procedimiento para la administración de datos es monitoreado. DOMINIO 04: Monitorear y evaluar 1. e)El procedimiento para la administración del ambiente físico es monitoreado. e)El procedimiento para el monitoreo y evaluación del control interno de TI está monitoreado.a)No se administran. c)El gobierno de Ti se realiza con técnicas tradicionales y no se documenta. regulaciones. c)La administración de las operaciones usa técnicas tradicionales no documentadas. f)El procedimiento para para garantizar el cumplimiento de requerimientos externos está automatizado. c)La administración del ambiente físico usa técnicas tradicionales no documentadas.Existe un proceso para monitorear y evaluar el desempeño de TI? a)No existe b)El monitoreo y evaluación del desempeño de TI es informal. d)El gobierno de TI utiliza un procedimiento definido y documentado.Está garantizado el cumplimiento de requerimientos externos (leyes. 2. d)Para el monitoreo y evaluación del control interno de TI se utiliza un procedimiento definido y documentado. 12. 4. c)Para el monitoreo y evaluación del desempeño de TI se utilizan técnicas tradicionales y no se documenta. f)El procedimiento para la administración de las operaciones está automatizado. b)La administración de datos es informal. c)La administración de datos usa técnicas tradicionales no documentadas. d)Se ha definido y documentado un procedimiento para la administración de las operaciones.Se administra el ambiente físico. e)El procedimiento que define el gobierno de TI está monitoreado. b)La administración del ambiente físico es informal. c)Para el monitoreo y evaluación del control interno de TI se utilizan técnicas tradicionales y no se documenta.

Plan estratégico 1.Los procesos de TI garantizan que el portafolio de inversiones de TI contenga programas con casos de negocio sólidos? a)No garantiza b)El portafolio de inversiones de TI. con los objetivos de la organización? a)No están alineados b)Los objetivos de TI están alineados parcialmente. no mide el grado de tecnología utilizado. Recuerde que COBIT mide la implementación del enfoque de procesos en la gestión de tecnologías. ENCUESTA PARA MEDIR EL PERFIL DE  GESTION DE TICS ­ DOMINIO “PLANEAMIENTO Y  ORGANIZACION” SEGUN EL MODELO COBIT INSTRUCCIONES: 1. 2. 4. b) El método de monitoreo se utiliza de manera informal c) Existe un método de monitoreo con técnicas tradicionales no documentadas --> d) El método de monitoreo está definido en un procedimiento documentado e) El proceso del método de monitoreo es controlado y auditado f) El proceso del método de monitoreo está automatizado 2. se realiza de manera informal c)El portafolio de inversiones de TI son inconsistentes y no se documentan d)Los procesos de inversiones de TI están definidos y se documenta e)Los procesos de inversiones TI se monitorean f)Los procesos de inversiones TI estan automatizados . Seleccione una opción marcando con una flecha la letra que corresponde a su respuesta.Los sistemas de información contribuyen al logro de los objetivos del negocio? a)Los Sistemas de Información no contribuyen.Anexo 02. d)Los objetivos de TI están definidos y se documentan e)Los objetivos de TI son monitoreados f)Los objetivos de TI está alineado a los objetivos de la organización 3. Ejemplo: 1.Están alineados los objetivos de TI. c)Los objetivos de TI no son consistentes con la estrategia global de la organización. d)Los Sistemas de Información contribuyen parcialmente. d)La elaboración del plan estratégico está definido y es documentado e)El proceso de elaboración del plan estratégico es monitoreado f)El proceso de elaboración del plan estratégico esta automatizado. b)Los Sistemas de Información no están alineados a los objetivos del negocio c)Los Sistemas de Información son inconsistentes con los objetivos del negocio.Como se elabora el plan estratégico? a)No se elabora b)La elaboración del plan estratégico se realiza de manera informal c)La elaboración del plan estratégico con técnicas tradicionales y no es documentado. e)Los Sistemas de Información están alineados a los objetivos del negocio f)Los Sistemas de Información contribuyen al cumplimiento de los objetivos del negocio. DOMINIO: Planeamiento y organización PROCESO PO01.Existe un método de monitoreo? a) No existe método de monitoreo.

reflejan cambios en la misión y metas de la organización? a)No existe reingeniería de TI b)La reingeniería de iniciativas de TI se realiza de manera informal c)La reingeniería de iniciativas de TI no está documentada d)La reingeniería de iniciativas de TI utiliza procedimientos documentados e)La reingeniería de iniciativas de TI se monitorea f)La reingeniería de iniciativas de TI esta automatizado 9.? a)No existe reingeniería de procesos b)La reingeniería de procesos de TI se realiza de manera informal c)La reingeniería de procesos de TI procedimientos no documentados d)La reingeniería de procesos de TI se documentan y se comunican e)La reingeniería de procesos de TI se monitorea f)La reingeniería de procesos de TI esta automatizado 10.El portafolio de inversiones de TI.Los planes tácticos de TI derivan del plan estratégico? a)No derivan b)Los planes tácticos se realiza de manera informal c)Los planes tácticos derivan parcialmente del plan estratégico y no se documentan d)Los planes tácticos derivan del plan estratégico y está documentado e)Los planes tácticos de TI se monitorea f)Los planes tácticos de TI esta automatizado 6. mas no están alineados a los objetivos de la organización e)Los procesos de los planes de TI son monitoreados.Los propietarios de procesos de TI llevan a cabo revisiones y aprobaciones formales? a)No se lleva acabo revisiones b)Las revisiones se realiza de manera informal c)El plan de revisión y aprobación sigue un patrón regular d)Los procesos de revisión y aprobación de TI es documentado e)Los procesos de revisión y aprobación de TI es monitoreado .Los planes de TI a corto y largo plazo. f)Los procesos de los planes de TI esta automatizado 12. están dirigidos adecuadamente a los objetivos de la institución? a)No existen planes de TI b)Los planes de TI se realiza de manera informal c)Los planes de TI sigue un patrón regular.Las iniciativas de TI dan soporte a la misión y metas de la organización? a)No existe iniciativas de TI b)Las iniciativas de TI no están alineados las metas de la organización c)Las iniciativas de TI no se sustentan con documentación d)Las iniciativas de TI se sustentan con documentación e)El proceso de las iniciativas de TI se monitorea f)El proceso de las iniciativas de TI se automatizan 8. garantiza que los objetivos de los programas den soporte al logro de los resultados? a)No existe portafolio de inversiones de TI b)El portafolio de inversiones de TI garantiza parcialmente el logro de los objetivos c)El portafolio de inversiones de TI no se documenta d)Los procesos de inversiones TI utiliza procedimientos documentados e)Los procesos de inversiones de TI son monitoreados f)Los procesos de inversiones de TI esta automatizado 7.La reingeniería de las iniciativas de TI.Existen puntos de revisión para asegurar que los objetivos de TI a corto y largo plazo continúan satisfaciendo los objetivos de la organización? a)No existe revisión b)Los puntos de revisión se realiza de manera informal c)Los puntos de revisión se realiza siguiendo un patrón regular d)Los procesos de revisión de los objetivos de TI está documentado e)Los proseos de revisión de los objetivos de TI es monitoreado f)Los proseos de revisión de los objetivos de TI esta automatizado 11.La reingeniería de los procesos de negocio están siendo consideradas y dirigidas adecuadamente en el proceso de planeación de TI.5. y no están alineados a los objetivos de la organización d)Los planes de TI. solo se documentan.

6.Se han definido sistemas apropiados para el tratamiento de la información.Utiliza niveles apropiados de seguridad y controles de protección? a)No se utiliza b)Se realiza de manera informal c)Los niveles de seguridad sigue una patrón regular. esta automatizado 7.Se han definido niveles de seguridad para la clasificación de datos identificados? a)No se han definido los niveles de seguridad b)Los niveles de seguridad para la clasificación de datos se realiza de manera informal c)Los niveles de seguridad para la clasificación de datos sigue un patrón .Utiliza buenas prácticas para garantizar la integridad y consistencia de datos? a)No se utiliza b)Utilizan técnicas tradicionales c)Los procedimientos están definidos por no documentados d)Los procedimientos están definidos y documentados e)Los procesos para garantizar la integridad de datos es monitoreado f)Los procesos para garantizar la integridad de datos esta automatizado 4. a)No está alineado b)El modelo de arquitectura de información está alineado parcialmente c)El modelo de arquitectura de información utiliza técnicas tradicionales no documentadas. e)El proceso del modelo de arquitectura de información es monitoreado f)El proceso del modelo de arquitectura de información.f)Los procesos de revisión y aprobación de TI esta automatizado PO02. d)El modelo de arquitectura de información utiliza procedimientos documentados. c)La elaboración del diccionario de dato sigue un patrón regular d)Los procesos de elaboración del diccionario de dato se documentan e)Los procesos de elaboración del diccionario de dato es monitoreado f)Los proceso de elaboración del diccionario de dato esta automatizado 3.Como se elabora el diccionario de datos de TI? a)No se elabora b)La elaboración del diccionario de datos ocurre de manera informal.El modelo de arquitectura de información está alineado a los planes de TI. de tal forma que permita la consistencia de datos? a)No se han definido b)El proceso de consistencia de datos se realiza de manera informal c)El proceso de consistencia de datos sigue un patrón regular d)El proceso de consistencia de datos se documenta y comunica e)El proceso de consistencia de datos es monitoreado f)El proceso de consistencia de datos esta automatizado. está relacionado con los planes de TI. no documentado d)Los procesos de seguridad son documentados y se comunican e)Los procesos de seguridad son monitoreados y se miden f)Los procesos de seguridad esta automatizado 5.Los servicios de información aseguran la creación y actualización de un diccionario de datos corporativo? a)No existe b)La actualización del diccionario de datos se realiza de manera informal c)La actualización del diccionario sigue un patrón d)El proceso de actualización del diccionario de datos se documenta e)El proceso de actualización del diccionario de datos es monitoreado y medible f)El proceso de actualización del diccionario de datos esta automatizado 8. Arquitectura de la Información 1. 2.El modelo de arquitectura conserva consistencia con el largo plazo de las TI? a)No existe modelo de arquitectura b)El modelo de arquitectura se realiza de manera informal c)El modelo de arquitectura sigue un patrón regular d)El modelo de arquitectura conserva consistencia y es documentado e)El modelo de arquitectura es monitoreado f)El modelo de arquitectura conserva consistencia.

El plan de infraestructura tecnológica está alineado a los planes estratégicos y tácticos de TI? a)El plan de infraestructura no está alienado a los planes estratégicos de TI b)La alineación del plan de infraestructura tecnológica y los planes tácticos de TI se realiza de manera informal.Se utiliza algún medio para distribuir el diccionario de datos para asegurar que este sea accesible para las áreas de desarrollo? a)No existe b)La distribución del diccionario de datos se realiza de manera informal c)La distribución del distribución de datos sigue un patrón y no se documenta d)El proceso de distribución del diccionario de datos se documenta e)El proceso de distribución del diccionario de datos se monitorea f)El proceso de distribución del diccionario de datos esta automatizado 11. PO03 Dirección tecnológica 1.d)El proceso de los niveles de seguridad para la clasificación de datos se documenta e)El proceso de los niveles de seguridad para la clasificación de datos se monitorea f)El proceso de los niveles de seguridad para la clasificación de datos esta automatizado. para determinar la dirección tecnológica? a)No se analizan las tecnologías existentes b)El desarrollo e implementación de tecnologías se realiza de manera informal c)El desarrollo e implementación de tecnologías se delega a personas que siguen procesos intuitivos. c)La alineación del plan de infraestructura tecnológica y los planes tácticos de TI utiliza procedimientos no documentados d)La alineación del plan de infraestructura tecnológica y los planes tácticos de TI se documenta e)El proceso de alineación del plan de infraestructura tecnológica y los planes tácticos de TI se monitorea f)El proceso de alineación del plan de infraestructura tecnológica y los planes tácticos de TI esta automatizado 3. d)Este proceso es documentado y medible e)El acceso a los datos son monitoreados y se miden f)Se implementa las mejores prácticas de acceso a los datos delicados.El acceso a datos delicados.Se analizan las tecnologías existentes y emergentes. requiere de la aprobación de los propietarios de la información? a)No existe b)El acceso se realiza de manera informal.Los niveles de seguridad representan el conjunto de medidas de seguridad y control apropiado para cada una de las clasificaciones? a)No existe niveles de seguridad b)Los niveles de seguridad se realiza de realiza de manera informal c)Los niveles de seguridad no son apropiados d)El proceso de niveles de seguridad se documentan e)El proceso de niveles de seguridad se monitorea f)Los niveles de seguridad son los apropiados para cada una de las clasificaciones 10. d)El proceso para definir la infraestructura tecnológica se documenta e)El proceso para analizar las tecnólogas existentes y emergentes se monitorea f)El proceso para analizar las tecnólogas existentes y emergentes esta automatizado 2. f)El proceso para el diseño de la arquitectura de TI se automatiza .Se utiliza estándares tecnológicos para el diseño de arquitectura de TI? a)No se utiliza estándares para el diseño de la arquitectura de TI b)El diseño e implementación de la arquitectura tecnológica se realiza de manera informal c)El diseño de la arquitectura de TI utiliza procedimiento no documentados d)El diseño de la arquitectura de TI se documenta e)El proceso para el diseño de la arquitectura de TI se monitorea. c)Este proceso sigue un patrón regular.Existe un proceso de autorización que requiera que el propietario de los datos autorice todos los accesos a éstos datos? a)No existe b)El proceso de autorización de datos se realiza de manera informal c)El proceso autorización de datos sigue un patrón regular d)El proceso de autorización de datos no utiliza procedimientos documentados e)Los procesos de autorización de datos es monitoreado y se miden f)Los procesos de autorización de datos esta automatizado 12. 9.

y esta automatizado 7. 11. 8. e)El proceso de evaluación del plan tecnológico se monitorea f)El proceso de evaluación del plan tecnológico esta automatizado 10.El plan de infraestructura tecnológica abarca aspectos como dirección tecnológica? a)No existe plan de infraestructura tecnológica b)Los aspectos de dirección tecnológica se realiza de manera informal c)El plan de infraestructura tecnológica abarca aspectos de dirección.Existe un plan de adquisición de hardware y software de tecnología de información? a)No existe b)La adquisición de hardware y software se realiza de manera informal c)La adquisición de hardware y software utiliza procedimientos no documentados d)La adquisición de hardware y software se documenta e)El procesos de adquisición de hardware y software se monitorea f)El procesos de adquisición de hardware y software esta automatizado 9. es monitoreado f)El proceso del diseño de la arquitectura de TI esta automatizado 5.Como elabora la arquitectura de TI? a)No se elabora b)La arquitectura de TI se elabora de manera informal c)La elaboración de la arquitectura de TI utiliza procedimientos no documentados d)La elaboración de la arquitectura de TI se documenta e)El proceso del diseño de la arquitectura de TI. d)La selección de los ambientes para alojar el hardware se documenta e)El proceso de selección de ambientes para alojar el hardware se monitorea f)El proceso de selección de ambientes para alojar el hardware esta automatizado . pero no es documentado d)El plan de infraestructura tecnológica abarca aspectos de dirección y se documenta e)El proceso del plan de infraestructura tecnológica abarca aspectos de dirección y es monitoreado f)El proceso del plan de infraestructura tecnológica abarca aspectos de dirección.4.Existen políticas y procedimientos que aseguren que se considere la necesidad de evaluar el plan tecnológico para aspectos de contingencia? a)No existe políticas y procedimientos para evaluar el plan tecnológico b)La evaluación del plan tecnológico se realiza de manera informal c)La evaluación del plan tecnológico utiliza procedimientos no documentados d)La evaluación del plan tecnológico se documenta.El plan de infraestructura tecnológica abarca la arquitectura de sistemas a)No existe plan de infraestructura tecnológica b)El plan de infraestructura tecnológica se considera en la arquitectura de sistemas de manera informal c)El plan de infraestructura tecnológica y de sistemas no está documentado d)El plan de infraestructura tecnológica y de sistemas se documenta e)El plan de infraestructura tecnológica se monitorea f)El plan de infraestructura tecnológica esta automatizado.El plan de infraestructura tecnológica abarca las estrategias de migración? a)No existe plan de infraestructura tecnológica b)Las estrategias de migración se realiza de manera informal c)Las estrategias de migración utiliza procedimientos no documentados d)Las estrategias de migración se documenta e)El proceso de estrategias de migración se monitorea f)El proceso de estrategias de migración esta automatizado.Existe un ambiente físico adecuado para alojar el hardware y software actualmente instalado? a)No existe un ambiente adecuado b)El ambiente para alojar el hardware se asigna de manera informal c)La selección de los ambientes para alojar el hardware utiliza procedimientos no documentados.Los planes de adquisición de hardware y software suelen satisfacer las necesidades identificadas en el plan de infraestructura tecnológica? a)No existe plan de adquisición b)El plan de adquisición de se realiza de manera informal c)La adquisición de software y hardware utiliza procedimientos nos documentados d)La adquisición de software y hardware se documenta e)El proceso de adquisición de software y hardware se monitorea f)El proceso de adquisición de software y hardware esta automatizado. 6.

Están definidas las políticas y funciones de aseguramiento de la calidad? a)No están definidas. f)El proceso de asignación de responsabilidades de TI esta automatizado 3. f)El proceso de comunicación de las responsabilidades esta automatizado 9.Existen funciones y responsabilidades para procesos claves? a)No existen responsabilidades para procesos claves b)Las responsabilidades para procesos claves se realiza de manera informal c)Las responsabilidades para procesos clave utiliza procedimientos no documentados. 5. b)La definición de políticas de calidad se realiza de manera informal c)La definición de las políticas de TI utiliza procedimientos no documentados d)La definición de las políticas de TI se documenta e)Los procesos de definición de políticas de calidad se monitorea. 7.Existen políticas para controlar las actividades de consultores y demás personal por contrato? a)No existen b)Las actividades de contratación se realiza de manera informal c)Las actividades y políticas de contratación de consultores utiliza procedimientos no documentados d)Las actividades y políticas de contratación de consultores se documenta e)El proceso para controlar las actividades de consultores se monitorea f)El proceso para controlar las actividades de consultores esta automatizado. d)La ejecución del plan estratégico TI se documenta e)El proceso de ejecución del plan estratégico TI se monitorea f)El proceso de ejecución del plan estratégico TI esta automatizado 2. f)Los procesos de definición de políticas de calidad esta automatizado 4.Se realiza eventos para concientizar al personal respecto a la seguridad y control interno? . d)Los procesos de funciones y responsabilidades se documentan y comunican e)Las responsabilidades para los procesos claves se monitorea f)Las responsabilidades para los procesos claves esta automatizado 6.Existen políticas y procedimientos que cubran la propiedad de los sistemas más importantes? a)No existen b)Las políticas para cubrir la propiedad de datos se realiza de manera informal c)Las políticas para cubrir la propiedad de datos utiliza procedimiento no documentados d)Las políticas para cubrir la propiedad de datos se documentan e)El proceso de políticas para cubrir la propiedad de datos se monitorea f)El proceso de políticas para cubrir la propiedad de datos esta automatizado.Se sigue un marco de trabajo para ejecutar el plan estratégico de TI? a)No sigue ningún patrón de trabajo b)Para ejecutar el plan estratégico TI se realiza de manera informal c)La ejecución del plan estratégico TI utiliza procedimientos no documentados. 1.PO04.Se asignan roles y responsabilidades para el personal de TI? a)No se asignan b)Las responsabilidades se asignan de manera informal c)Para la asignación de roles y responsabilidades de TI se utiliza procedimientos no documentados d)La asignación de roles y responsabilidades de TI se documentan e)El proceso de asignación de responsabilidades de TI se monitorea. organización y relaciones de TI.Se informa al personal sobre sus funciones y responsabilidades en relación a los sistemas de información? a)No se informa b)La comunicación de las responsabilidades se realiza de manera informal c)La comunicación de las responsabilidades utiliza procedimientos no documentados d)Las funciones y responsabilidades se documentan y se comunican e)El proceso de comunicación de las responsabilidades se monitorea.Se realiza revisiones de los logros organizacionales? a)No se realiza b)Las revisiones de los logros institucionales se realiza de manera informal c)Las revisiones de los logros institucionales utiliza procedimientos no documentados d)Las revisiones de los logros institucionales se documenta e)El proceso de revisión de los logros institucionales se monitorea f)El proceso de revisión de los logros institucionales esta automatizado? 8. Procesos.

Existen procesos e indicadores de desempeño para determinar la efectividad y aceptación de la función de servicios de información? a)No existe b)Los procesos e indicadores de desempeño se realiza de manera informal c)Los indicadores de desempeño utiliza procedimientos no documentados d)Los procesos e indicadores de desempeño se documentan e)Los procesos e indicadores de desempeño se monitorean. 4.El presupuesto de TI.El proceso de elaboración del presupuesto de la función de servicios de información es consistente con el proceso de la organización? a)No existe presupuesto para la función de servicios b)La elaboración del presupuesto para la función de servicios se realiza de manera informal c)La elaboración del presupuesto para la función de servicios utiliza procedimientos no documentados d)La elaboración del presupuesto para la función de servicios se documenta e)El procesos de elaboración del presupuesto para la función de servicios se monitorea f)El proceso de elaboración del presupuesto para la función de servicios esta automatizado. f)Los procesos e indicadores de desempeño esta automatizado 12.Se asigna formalmente la responsabilidad lógica y física de la información aun gerente de seguridad de información? a)No existe b)La responsabilidad física y lógica a los sistema se realiza de manera informal c)La asignación de responsabilidad física y lógica a los sistemas de información utiliza procedimientos no documentados d)La asignación de responsabilidad física y lógica a los sistemas de información se documenta e)El proceso de asignación de responsabilidad física y lógica a los Sistemas se monitorea. e)El proceso de aseguramiento de calidad es monitoreada y se miden f)El proceso de aseguramiento de calidad es monitoreada esta automatizado PO05. 2. 3.Existe políticas y procedimientos para asegurar la preparación y la aprobación adecuada de un presupuesto operativo anual? a)No existe políticas ni procedimientos para elaborar el presupuesto de TI b)La elaboración del presupuesto operativo anual de TI se realiza de manera informal . es el adecuado para justificar el plan operativo anual? a)No existe presupuesto de TI b)El presupuesto de TI se justifica de manera informal.a)No se realiza b)Los eventos de concientización al personal con respecto a seguridad se realiza de manera informal c)Los eventos de concientización al personal con respecto a seguridad utiliza procedimientos no documentados d)Los eventos de concientización al personal con respecto a seguridad se documenta e)Los procesos de eventos de concientización al personal con respecto a seguridad se monitorea f)Los procesos de eventos de concientización al personal con respecto a seguridad esta automatizado 10.Los análisis de costo/beneficio llevados a cabo por la administración. c)La justificación del presupuesto de TI utiliza procedimientos no documentados d)La justificación del presupuesto de TI para el plan operativo se documenta e)El proceso de justificación del presupuesto de TI para el plan operativo se monitorea f)El proceso de justificación del presupuesto de TI para el plan operativo esta automatizado. f)El proceso de asignación de responsabilidad física y lógica a los Sistemas esta automatizado 11. Inversión en TI 1. son revisados adecuadamente? a)No existe análisis de costo/beneficio en TI b)El análisis de costo beneficio de TI se realiza de manera informal c)El análisis de costo beneficio de TI utiliza procedimientos no documentados d)El análisis de costo beneficio de TI se documenta e)El proceso de análisis de costo beneficio de TI se monitorea f)El proceso de análisis de costo beneficio de TI esta automatizado.Existen políticas y funciones de aseguramiento de la calidad? a)No existe b)El aseguramiento de calidad se realiza de manera informal c)El aseguramiento de calidad utiliza procedimientos no documentados d)El proceso de aseguramiento de calidad se documenta.

c)El proceso de elaboración del presupuesto para vincular con las unidades más importantes utiliza procedimientos no documentados d)El proceso de elaboración del presupuesto para vincular con las unidades más importantes se documenta. pero no utiliza procedimientos documentados d)Los beneficios derivados de TI son analizados.Existe políticas y procedimientos para monitorear regularmente los costos reales y compararlos con los costos proyectados? a)Los costos no son monitoreados b)El monitoreo de los costos reales se realiza de manera informal c)El monitoreo de los costos reales utiliza procedimientos no documentados d)El monitoreo de los costos reales se documentaEl proceso del monitoreo de los costos reales auditados y medibles e)El proceso de monitoreo de los costos reales esta automatizado 6.Los beneficios derivados de TI son analizados? a)Los beneficios derivados de no son analizados b)Los beneficios derivados de TI son analizados de manera informal c)Los beneficios derivados de TI son analizados. 9.El proceso de elaboración del presupuesto está vinculado con la administración de las unidades más importantes que contribuyan a su preparación? a)El presupuesto no está vinculado a las unidades más importantes b)El proceso de elaboración del presupuesto para vincular con las unidades más importantes se realiza de manera informal.Las herramientas utilizadas para monitorear los costos son usadas efectiva y apropiadamente? a)No existe uso de herramientas b)El uso de herramientas para monitorear los costos se realiza de manera informal c)El uso de herramientas para monitorear los costos usa procedimientos no documentados d)El uso de herramientas para monitorear los costos se documenta e)El procesos de monitorear los costos se evalúa y es medible f)El procesos de monitorear los costos esta automatizado.c)La elaboración del presupuesto operativo anual de TI utiliza procedimientos no documentados d)La elaboración del presupuesto operativo anual de TI se documenta e)El proceso de elaboración del presupuesto operativo anual de TI se monitorea f)El proceso de elaboración del presupuesto operativo anual de TI esta automatizado 5.El presupuesto de la TI es el adecuado para justificar el plan operativo anual? a)No existe presupuesto de TI b)La justificación del plan operativo se realiza de manera informal c)La justificación del plan operativo anual utiliza procedimientos no documentados d)La justificación del plan operativo anual se documenta e)El proceso de justificación del plan operativo anual se monitorea f)El proceso de justificación del plan operativo anual esta automatizado 7.El análisis de costo beneficio es revisado adecuadamente? a)El análisis de costo beneficio no es revisado b)El análisis de costo beneficio se revisa de manera informal c)El análisis de costo beneficio utiliza procedimientos no documentados d)El análisis de costo beneficio se documenta e)El proceso de análisis costo beneficio se monitorea f)El proceso de análisis costo beneficio esta automatizado 8. se documenta e)El proceso de análisis de los beneficios de TI se monitorea f)El proceso de análisis de los beneficios de TI esta automatizado 10. e)El proceso de elaboración del presupuesto para vincular con las unidades más importantes se monitorea f)El proceso de elaboración del presupuesto para vincular con las unidades más importantes esta automatizado 11.Se realiza una revisión detallada del presupuesto actual y del año inmediato anterior contra los resultados reales? a)No existe revisión b)La revisión del presupuesto del año inmediato anterior se realiza de manera informal c)La revisión del presupuesto del año inmediato anterior utiliza procedimientos no documentados d)La revisión del presupuesto del año inmediato anterior se documenta e)El proceso de revisión del presupuesto del año inmediato anterior se monitorea f)El proceso de revisión del presupuesto del año inmediato anterior esta automatizado .

Existe procedimientos apropiados para asegurar que el personal comprende las políticas y procedimientos implementadas? a)No existe procedimientos apropiados b)Los procedimientos para asegurar la comprensión de las políticas se realiza de manera informal c)Los procedimientos para asegurar la comprensión de las políticas no se documenta d)Los procedimientos para asegurar la comprensión de las políticas se documenta e)Los procesos para asegurar la comprensión de las políticas se monitorea f)Los procesos para asegurar la comprensión de las políticas esta automatizado 6. no se documenta d)La comunicación de objetivos del negocio y de TI se documenta e)Los procesos de comunicación de los objetivos de TI se monitorea f)Los procesos de comunicación de los objetivos de TI esta automatizado 2.Existe políticas y procedimientos organizacionales para asegurar que los recursos son asignados adecuadamente? a)No existe políticas ni procedimientos para asegurar que los recursos son asignados adecuadamente b)Las políticas y procedimientos para asegurar que los recursos son asignados adecuadamente se realiza de manera informal c)Las políticas y procedimientos para asegurar que los recursos son asignados adecuadamente no se documenta d)Las políticas y procedimientos para asegurar que los recursos son asignados adecuadamente se documenta e)Los procesos para asegurar que los recursos son asignados adecuadamente se monitorea f)Los procesos para asegurar que los recursos son asignados adecuadamente esta automatizado 5.Existe políticas y procedimientos de TI relacionadas con la elaboración del presupuesto y las actividades del costeo? a)No existe b)La elaboración del presupuesto y las actividades de costeo se realiza de manera informal c)La elaboración del presupuesto y las actividades de costeo utiliza procedimientos no documentados d)La elaboración del presupuesto y las actividades de costeo se documenta e)El proceso de elaboración del presupuesto y las actividades de costeo se monitorea f)El proceso de elaboración del presupuesto y las actividades de costeo esta automatizado PO06.Las políticas de TI se comunican a todo el personal relevante.12.Se da a conocer los objetivos del negocio y de TI a los interesados apropiados y a los usuarios de toda la organización? a)Los objetivos del negocio y de TI no se da a conocer b)Los objetivos del negocio y de TI se da a conocer de manera informal c)La comunicación de los objetivos del negocio y de TI. y se refuerzan de tal forma que estén incluidas y sean parte integral de las operaciones? a)El personal desconoce la existencia de políticas de TI b)La comunicación de las políticas de TI al personal relevante se comunican de manera informal c)Para la comunicación de las políticas de TI al personal relevante se utiliza procedimiento no documentados d)La comunicación de las políticas de TI al personal relevante se documenta e)El proceso de comunicación de las políticas de TI al personal relevante se monitorea f)El proceso de comunicación de las políticas de TI al personal relevante esta automatizado 3. políticas relacionados con TI? a)No existe procedimientos para revisar y aprobar las directivas relacionados con TI b)Los procedimientos para revisar y aprobar las directivas relacionados con TI se realiza de manera informal c)Los procedimientos para revisar y aprobar las directivas relacionados con TI no se documenta d)Los procedimientos para revisar y aprobar las directivas relacionados con TI se documenta e)Los procesos para revisar y aprobar las directivas relacionados con TI se monitorea f)Los procesos para revisar y aprobar las directivas relacionados con TI esta automatizado . Nivel de comunicación entre los miembros de TI 1. directivas.La alta gerencia promueve un ambiente de control positivo a través del ejemplo? a)No existe iniciativa para promover un ambiente positivo b)Las iniciativas para promover un ambiente positivo se realiza de manera informal c)Las iniciativas para promover un ambiente positivo no se documenta d)Las iniciativas para promover un ambiente positivo se documenta e)Los procesos para promover un ambiente positivo se monitorea f)Los procesos para promover un ambiente positivo esta automatizado 4.Existen procedimientos que consideren la necesidad de revisar y aprobar periódicamente estándares.

7. desarrollar y promulgar políticas esta automatizado 10. b)Las evaluaciones se realiza de manera informal c)Las evaluaciones se utiliza procedimientos no documentados d)Las evaluaciones se documenta e)Los procesos de evaluación del personal se monitorean f)Los procesos de evaluación del personal esta automatizado 4.Existe procedimientos de medición para asegurar que los objetivos de la organización sean alcanzados? a)No existe procedimientos de medición b)Los procedimientos de medición de objetivos se realiza de manera informal c)Los procedimientos de medición de objetivos no se documenta d)Los procedimientos de medición de objetivos se documenta e)Los procesos para medir los objetivos alcanzado se monitorea f)Los procesos para medir los objetivos alcanzado esta automatizado PO07. 2.Existen políticas para asuntos especiales para documentar las decisiones administrativas sobre aplicaciones y tecnologías particulares? a)No existe políticas para asuntos especiales de TI b)Las políticas para asuntos especiales de TI se realiza de manera informal c)Las políticas para asuntos especiales de TI no se documenta d)Las políticas para asuntos especiales de TI se documenta e)Las procesos para asuntos especiales TI se monitorean y miden f)Los procesos para asuntos especiales de TI esta automatizado 9.Están definidos los procesos para reclutar y seleccionar personal? a)No están definidos b)El reclutamiento y selección de personal se realiza de manera informal c)El reclutamiento y selección de personal no se documenta d)El reclutamiento y selección de personal se documenta e)El proceso de reclutamiento y selección de personal se monitorea f)El proceso de reclutamiento y selección de personal esta automatizado.Las políticas de seguridad y control interno identifican el proceso de control de la revaluación de riesgos? a)Las políticas de seguridad no identifican el proceso de control de revaluación de riesgos b)Las políticas de seguridad que identifican el proceso de control de revaluación de riesgos se realiza de manera informal c)Las políticas de seguridad que identifican el proceso de control de revaluación de riesgos no se documenta d)Las políticas de seguridad que identifican el proceso de control de revaluación de riesgos se documenta e)Los procesos de seguridad que identifican el proceso de control de revaluación de riesgos se monitorea f)Los procesos de seguridad que identifican el proceso de control de revaluación de riesgos esta automatizado. 3.La administración está comprometida con la capacitación y el desarrollo profesional de los empleados? a)No existe compromiso por parte de la administración para la capacitación del personal b)La administración capacita al personal de manera informal c)La capacitación del personal no se documental d)La capacitación del personal se documenta e)Los procesos de capacitación al personal se monitorea f)Los procesos de capacitación al personal esta automatizado. desarrollar y promulgar políticas? a)No existe compromiso por parte de la administración b)El compromiso por parte de la administración en cuanto a los recursos se realiza de manera informal c)El compromiso por parte de la administración en cuanto a los recursos no se documenta d)El compromiso por parte de la administración en cuanto a los recursos se documenta e)Los procesos de disponibilidad de recursos para formular.Se utilizan criterios para reclutar y seleccionar personal para cubrir posiciones vacantes? a)No se utilizan criterios para seleccionar personal del TI b)Los criterios utilizados para seleccionar personal de TI no son los adecuados c)Los criterios utilizados para seleccionar personal de TI no se documenta .Los empleados son evaluados tomando como base un conjunto estándar de perfiles de competencia? a)No se realiza evaluaciones del desempeño al personal de TI. desarrollar y promulgar políticas se monitorea f)Los procesos de disponibilidad de recursos para formular. 1.Existe el compromiso de la administración en cuanto a los recursos para formular. 8. Recursos humanos de TI.

.Los empleados son evaluados tomando como base un conjunto estándar de perfiles de competencia para la posición? a)No existe evaluación b)La evaluación de empleados se realiza de manera informal c)La evaluación de los empleados no se documenta d)La evaluación de los empleados se documenta e)El proceso de evaluación de empleados se monitorea f)El proceso de evaluación de empleados esta automatizado 8.Se realiza orientación a los nuevos empleados mediante talleres de capacitación y entrega de documentación con las normativas? a)No se realiza ningún tipo de orientación b)La orientación a los nuevos empleados se realiza de manera informal c)La orientación a los nuevos empleados no se documenta d)La orientación a los nuevos empleados se documenta e)El proceso de capacitación u orientación a los nuevos empleados se monitorea f)El proceso de capacitación u orientación a los nuevos empleados esta automatizada.Los programas de entrenamiento son consistentes con los requerimientos de la organización relacionados con la educación? a)No existe programas de entrenamiento b)Los programas de entrenamiento se realiza de manera informal c)Los programas de entrenamiento son consistentes con los requerimientos.Se realiza instrucción y entrega de materiales a los empleados contratados para que cumplan sus obligaciones eficiente? a)No se realiza ningún tipo de instrucción b)La instrucción y entrega de materiales a los empleados se realiza de manera informal c)La instrucción y entrega de materiales a los empleados no se documenta d)La instrucción y entrega de materiales a los empleados se documenta e)El proceso de instrucción y entrega de materiales a los empleados se monitorea f)El proceso de instrucción y entrega de materiales a los empleados esta automatizado 11.d)Los criterios utilizados para seleccionar personal de TI se documenta e)El proceso para seleccionar personal para cubrir vacantes se monitorea f)El proceso para seleccionar personal para cubrir vacantes esta automatizado 5.Se realiza talleres de pruebas de inteligencia emocional? a)No se realiza b)Los talleres de prueba de inteligencia emocional se realiza de manera informal c)Los talleres de prueba de inteligencia emocional no se documenta d)Los talleres de prueba de inteligencia emocional se documenta e)Los procesos de prueba de inteligencia emocional se monitorea f)Los procesos de prueba de inteligencia emocional esta automatizado 10.La administración y los empleados aceptan el proceso de competencia del puesto? a)No aceptan b)La aceptación del proceso de competencia del puesto se realiza de manera informal c)El proceso de aceptación de competencia del puesto no se documenta d)El proceso de aceptación de competencia del puesto se documenta e)El proceso de aceptación de competencia del puesto se monitorea f)El proceso de aceptación de competencia del puesto esta automatizado 6.Las políticas y procedimientos de recursos humanos concuerdan con leyes y regulaciones aplicables? a)No existen políticas ni procedimientos b)Las políticas y procedimientos de recursos humanos no son coherentes con las leyes laborales c)Las políticas y procedimientos de recursos humanos son coherentes con las leyes laborales. pero no se documenta d)Los programas de entrenamiento se documenta e)El proceso de programas de entrenamiento se monitorea f)El proceso de programas de entrenamiento esta automatizado 7. pero no se documenta d)Las políticas y procedimientos de recursos humanos son coherentes con las leyes laborales y se documenta e)Los procesos de recursos humanos concuerdan con las leyes laborales y se monitorea f)Los procesos de recursos humanos esta automatizado 9.

Existe políticas y procedimientos para proporcionar a la dirección un enfoque adecuado sobre confidencialidad de tal manera que todos los requerimiento legales caigan dentro de este alcance? a)No existe b)Los procedimientos son ad-hoc y desorganizados c)Los procedimientos siguen un patrón regular . c)El monitoreo del cumplimiento de las layes y regulaciones de seguridad no se documenta d)El monitoreo del cumplimiento de las layes y regulaciones de seguridad se documenta e)El proceso del cumplimiento de las layes y regulaciones de seguridad se monitorea f)El proceso del cumplimiento de las layes y regulaciones de seguridad esta automatizado 8.Existe políticas y procedimientos para monitorear el cumplimiento de las leyes y regulaciones aplicables de seguridad? a)No se monitorea el cumplimiento de las layes y regulaciones de seguridad b)El monitoreo del cumplimiento de las layes y regulaciones de seguridad se realiza de manera informal. Calidad 1.Existen políticas y procedimientos para asegurar que se proporcionan entrenamiento y educación en seguridad y salud a todos los empleados? a)No existe entrenamiento en seguridad y salud b)Los procedimiento de entrenamiento y educación en seguridad se realiza de manera informal c)Los procedimiento de entrenamiento y educación en seguridad no se documenta d)Los procedimiento de entrenamiento y educación en seguridad se documenta e)Los procesos de entrenamiento y educación en seguridad se monitorea f)Los procesos de entrenamiento y educación en seguridad esta automatizado 7.Existen políticas y procedimientos para asegurar las acciones correctivas de los requerimientos externos? a)No existen requerimientos externos b)Los procedimientos de los requerimientos externos se realiza de manera informal c)Los procedimientos de los requerimientos externos no se documenta d)Los procedimientos de los requerimientos externos se documenta e)Los procesos para asegurar los requerimientos externos se monitorea f)Los procesos para asegurar los requerimientos externos esta automatizado 6. b)El desarrollo de proyectos de software se realiza de manera informal c)Los proyectos de software no se documenta d)Los proyectos de software se documenta e)Los procesos de desarrollo de software se monitorea f)Los procesos de desarrollo de software esta automatizado 3.Los proyectos son evaluados.PO08.Existen políticas y procedimientos para asegurar las acciones correctivas.? a)No existe evaluación de proyectos b)La evaluación de proyectos se realiza de manera informal c)La evaluación de proyectos no se documenta d)La evaluación de proyectos se documenta e)Los procesos de evaluación de proyectos se monitorea f)Los procesos de evaluación de proyectos esta automatizado 5.Existe un sistema de gestión de calidad? a)No existe programas de calidad b)Los sistemas de calidad se realiza de manera informal c)Los sistemas de calidad no se documenta d)Los sistemas de calidad se documenta e)Los procesos de gestión calidad se monitorea f)Los procesos de gestión de calidad esta automatizado 4. monitoreados por el sistema de calidad.En desarrollo de proyectos utilizan estándares de desarrollo de software? a)No utilizan ningún estándar. para asegurar un cumplimiento continuo? a)No se revisa la calidad de los proyectos b)Las acciones correctivas de los proyectos se realiza de manera informal c)Las acciones correctivas de los proyectos no se documenta d)Las acciones correctivas de los proyectos se documenta e)El proceso para las acciones correctivas de los proyectos se monitorea f)El proceso para las acciones correctivas de los proyectos esta automatizado 2.

El personal asignado a evaluación de riesgos esta adecuadamente calificado? a)No se realiza evaluación de riesgos b)El personal no está calificado c)Le evaluación de riesgos se realiza de manera empírica d)El personal es capacitado parcialmente para el desempeño de dicha actividad e)El personal asignado a evaluación de riesgos es evaluado constante f)Se implementa las mejores prácticas de la industria 3. 2. pero son inconsistentes e)Los planes de acciones contra riesgos son evaluados y monitoreados f)Se implementan las mejores prácticas de la industria 4. Riesgos de TI 1.Existen políticas y procedimientos para asegurar el cumplimiento con los requerimientos de los contratos de seguros? a)No existe b)Los procedimientos son ad-hoc y desorganizados c)Los procedimientos siguen un patrón regular d)Las políticas y procedimientos se documentan e)Los procedimientos de contratos se monitorean y se miden f)Se implementa las mejores prácticas para asegurar el cumplimiento de los contratos de seguros 10. pero son inconsistentes e)Los planes de acciones contra riesgos son evaluados y monitoreados .Existe un marco referencial para la evaluación sistemática de riesgos? a)No existe b)Los riesgos de TI se toman en cuenta de manera ad-hoc c)Existe un enfoque de evaluación de riesgos en desarrollo y se implementa a discreción de los gerentes del negocio d)La metodología para la evaluación de riesgos es conveniente y solida.Los procedimientos de seguridad van de acuerdo con todos los requerimientos legales? a)No existe b)Los procedimientos de seguridad son ad-hoc c)Los procedimientos de seguridad siguen un patrón d)Los procedimientos de seguridad se documentan y se comunican e)Los procedimientos de seguridad se monitorean y se miden f)Se implementa las mejores prácticas de seguridad PO09.El plan de acción contra riesgos es utilizado en la implementación de medidas apropiadas para mitigar los riesgos y amenazas? a)No se realiza planes de acción para mitigar los riesgos b)Los riesgos se enfrenta de manera empírica c)No existe planes de contingencia d)Están definidos los planes de acción contra riesgos. f)La evaluación de riesgos esta implementado en toda la organización y es bien administrado. e)Existe medidas estándares para evaluar los riesgos.d)Los procedimientos se documentan y comunican e)Los procedimientos son monitoreados y se miden f)Se implementa las mejores prácticas en la implementación de políticas y procedimientos 9.Existe políticas y procedimientos para asegurar que se lleven a cabo las actualizaciones necesarias cuando se inicia un contrato de seguros nuevo/modificado? a)No existe b)Los procedimientos son ad-hoc c)Los procedimientos siguen un patrón regular d)Los procedimientos se documentan y se comunican e)Los procesos de actualización se monitorean y se miden f)Se implementa las mejores prácticas para realizar la actualización de contratos de seguros 11.El plan de acción contra riesgos es utilizado en la implementación de medidas apropiadas para mitigar los riesgos y amenazas? a)No se realiza planes de acción para mitigar los riesgos b)Los riesgos se enfrenta de manera empírica c)No existe planes de contingencia d)Están definidos los planes de acción contra riesgos.

La documentación de riesgos incluye una descripción de la metodología de evaluación de riesgos? a)No existe documentación b)La documentación de riesgos se da de manera informal c)La documentación de riesgos sigue un patrón regular d)Los procesos de documentación de riesgos se documentan y se comunican e)Los procesos de documentación de riesgos se monitorean y se miden f)Se implementa las mejores prácticas en la evaluación de riesgos 7.La aceptación de riesgo toma en cuenta la política organizacional? a)No existe b)No se toma en cuenta en las políticas c)El proceso de aceptación de riesgos sigue un patrón regular d)El proceso de aceptación de riesgos se documentan y se comunican e)Los procesos de aceptación de riesgos son monitoreados y se miden f)Se implementa las mejores prácticas en los procesos de aceptación de riegos en las política organizacional 12.La aceptación de riesgo toma en cuenta el costo y la efectividad de implementar salvaguardas y controles? a)No existe b)No se toma en cuenta en los costos c)El proceso de aceptación de riesgos sigue un patrón regular d)El proceso de aceptación de riesgos se documentan y se comunican e)Los procesos de aceptación de riesgos son monitoreados y se miden f)Se implementa las mejores prácticas en los procesos de aceptación de riegos 11.Existe un enfoque cuantitativo y/o cualitativo formal para la identificación y medición de riesgos y amenazas? a)No existe b)Los procesos son ad-hoc y desorganizados c)Los procesos de identificación de riesgos siguen un patrón regular d)Los procesos de identificación de riesgos se documentan y comunican e)Los procesos de identificación de riegos se monitorean y se miden f)Se implementa las mejores prácticas en la identificación de riesgos 10.Los objetivos de toda la organización están incluidos en el proceso de identificación de riesgos? a)No están definidos b)Los objetivos no están incluidos en la identificación de riesgos c)Los procesos siguen un patrón regular d)Los procesos se documentan y comunican e)Los procesos son monitoreados y se miden f)Se implementa las mejores prácticas en la identificación de riesgos 6.La aceptación de riesgo toma en cuenta la incertidumbre inherente al enfoque de evaluación de riesgos? a)No existe b)No se toma en cuenta en los costos c)El proceso de aceptación de riesgos sigue un patrón regular d)El proceso de aceptación de riesgos se documentan y se comunican e)Los procesos de aceptación de riesgos son monitoreados y se miden f)Se implementa las mejores prácticas en los procesos de identificación y medición de riegos .f)Se implementan las mejores prácticas de la industria 5.Se incluye técnicas de probabilidad. frecuencia y análisis de amenazas en la identificación de riesgos? a)No existe b)Los procesos son ad-hoc y desorganizados c)Los procesos de análisis de riesgos sigue un patrón regular d)Los procesos de análisis de riesgos se documentan y se comunican e)Los procesos de análisis de riesgos son monitoreados y se miden f)Se implementa las mejores prácticas en el análisis de riesgos 9.La documentación de riesgos incluye la identificación de exposiciones significativas y los riesgos correspondientes? a)No existe b)La documentación de riesgos es ad-hoc c)La documentación de riesgos sigue patrón regular d)Los procesos de documentación de riesgos se documentan y se comunican e)Los procesos se monitorean y se miden f)Se implementa las mejores prácticas en los procesos de la documentación de riesgos 8.

para el aseguramiento de la calidad del software 8.Existe procedimientos para documentar el alcance del proyecto. 2. 5. identificación de los miembros de TI.? a)No existe. 6. Proyectos de TI 1. .PO10. aprueben e incorporen de manera apropiada al plan del proyecto. e)Los procedimientos están implementados y documentados f)Se implementan las mejores prácticas de la industria 4. productos requeridos para cada proyecto? a)No existe b)La obtención de productos y servicios se da de manera ad-hoc c)La obtención de productos se realiza de manera informal.. d)Los políticas y procedimiento están definidos. para cada proyecto emprendido? a)Desconocen el termino de metodologías b)Los proyectos se gestiona de manera empírica c)El uso de metodologías se realiza de manera parcial d)Los procesos se documentan y comunican e)La selección de las metodologías son evaluados para la gestión de proyecto f)Se implementan las mejores prácticas de la industria. e)Los proyectos son monitoreados. d)Las metodologías se documentan y se comunican. f)Se implementan las mejores prácticas en la gestión de cambios. de tal modo que todos los cambios al proyecto se revisen. e)Los procedimientos son evaluados y monitoreados f)Se implementa las mejores prácticas de la industria.Existen políticas y procedimientos relacionados con los métodos de aseguramiento de la calidad? a)No existen b)No existe aseguramiento de la calidad de los proyectos c)Los proyectos se desarrolla utilizando técnicas tradicionales. d)Los procesos están definidos.El compromiso. pero son inconsistentes. pero aun no se implementan e)Las políticas y procedimientos son evaluados y monitoreados f)Se implementan las mejores prácticas en el aseguramiento de la calidad de los proyectos. no se realiza en forma organizada. como se relaciona con otros proyectos dentro del programa global? a)No existe b)Los proyectos no son planificados c)El uso de metodologías para la gestión de proyectos se da de forma parcial. d)Los procedimientos son documentados y comunicado a los usuarios responsables. 7. c)No se sigue ningún patrón de desarrollo d)Se utiliza metodologías rígidas para el desarrollo e)Las metodologías son evaluadas para su implementación f)Se implementan las mejores prácticas de la industria. evaluados.Existe procedimientos definidos para la obtención de servicios. c)Se sigue un patrón para la asignación de personal.Se especifica la base sobre la cual los miembros del personal son asignados a los proyectos? a)No existe una base para la asignación de personal a los proyectos.Se define metodologías de administración de proyectos.Existe un sistema de control de cambios para cada proyecto. madurado de forma empírica. afecta la ejecución del proyecto dentro del contexto global? a)No existe compromiso con la institución b)El personal de TI no se identifica con la organización c)No existe programas de motivación para el personal TI d)La ejecución de los proyectos se retrasan por falta de compromiso del personal e)El compromiso se da de forma parcial f)El personal se siente comprometida con la ejecución de los proyectos.Existen un plan de aseguramiento de la calidad del software? a)No existe un plan de aseguramiento b)El software es probado. b)La asignación del personal en los proyectos. b)La gestión de cambios se realiza de manera informal c)Existe ideas básicas de utilizar un sistema de control de cambios. 3.

e)Los procedimientos son evaluados y monitoreados para su implementación. para la asignación de las responsabilidades de los miembros del proyecto. 9. b)Los estudios de factibilidad se da de manera informal. b)La definición de la naturaleza y de los alcances del proyecto. para los cambios tecnológicos. e)Los procedimientos para los cambios tecnológicos son monitoreados y medibles. b)Los procedimientos para los cambios tecnológicos son ad-hoc y desorganizados. se realizan en forma desorganizada. . para el estudio de factibilidad de los proyectos propuestos. c)Se sigue un patrón regular. se documentan y se comunican e)Los procedimientos son evaluadas para su implementación f)Se implementan las mejores prácticas de la industria. c)Los procedimientos para los cambios tecnológicos sigue un patrón regular. f)Se implementan las mejores prácticas de la industria. 11.Existe documentación para cambios tecnológicos? a)No existe. f)Se implementan las mejores prácticas de la industria. d)Los procedimientos para los cambios tecnológicos se documentan y comunican. f)Se implementan las mejores prácticas de la industria. para la definición de procedimientos. d)Los procedimientos de estudios de factibilidad se documentan y comunican e)Los estudios de factibilidad de los proyectos son monitoreados y se miden. d)Los procedimientos se documentan y comunican.Se define las responsabilidades y la autoridad de los miembros del equipo del proyecto? a)No existe definición de responsabilidades. para la asignación de personal en los proyectos. b)La asignación de las responsabilidades de cada miembro del proyecto no son coherentes c)La asignación de las responsabilidades sigue un patrón regular. d)Los procedimientos para la definición de responsabilidades se documentan y se comunican e)Los procedimientos son monitoreados para su implementación. 12.d)Los procedimientos para la asignación de personal a los proyectos. 10.Los estudios de factibilidad de los proyectos propuestos son preparados y aprobados por la presidencia / gerencia? a)No existe un estudio de factibilidad.Se asegura la creación de estatutos claros por escrito que definan la naturaleza y alcance del proyecto antes de comenzar a trabajar sobre el mismo? a)No existe. f)Se implementan las mejores prácticas de la industria. c)El estudio de factibilidad sigue un patrón definido.

3. estándares y buenas prácticas. f)La estrategia de adquisiciones cumplen con las normas. Está automatizado. f)Las factibilidades técnicas cumplen con las normas. d)Las soluciones se define con procesos documentados. estándares y buenas practicas. Ejemplo: 1. ENCUESTA PARA MEDIR EL PERFIL GESTION  DE TICS ­ DOMINIO “ADQUIRIR E IMPLEMENTAR” SEGUN  EL MODELO COBIT INSTRUCCIONES: 1. e)Las soluciones alternativas están monitoreados. d)Las factibilidades técnicas se definen con procesos documentos. estándares y buenas practicas. d)Las estrategias se definen con procesos documentados.Para identificar soluciones se realiza estudios de factibilidad técnica a)No se realizan estudios previos b)La factibilidad técnica se improvisan c)Las factibilidades técnicas no están alineados a los objetivos de la organización. b) El método de monitoreo se utiliza de manera informal c) Existe un método de monitoreo con técnicas tradicionales no documentadas --> d) El método de monitoreo está definido en un procedimiento documentado e) El proceso del método de monitoreo es controlado y auditado f) El proceso del método de monitoreo está automatizado 2.Anexo 03. DOMINIO: ADQUIRIR E IMPLANTAR AI01. Seleccione una opción marcando con una flecha la letra que corresponde a su respuesta. f)Las soluciones están dentro de las buenas prácticas. e)Las estrategias de adquisiciones están monitoreados. Está automatizado.Se cuenta con un plan de soluciones alternativas a)No existen planes alternativos b)Los planes son adhoc o se improvisan c)Las soluciones alternativas se aplican en forma desordenada y no están alineados a los objetivos de la organización.Para identificar soluciones se realiza estudios de factibilidad económica a)No se realizan estudios previos .Se identifican claramente los requerimientos de soluciones a)No se identifican b)Se identifican por intuición.Se cuenta con una estrategia de adquisiciones a)No existen estrategias de adquisiciones b)Las estrategias son adhoc o se improvisan c)Las estrategias se aplican en forma desordenada y no están alineados a los objetivos de la organización. Identificación de Soluciones Automatizadas 1. Está automatizado. Está automatizado. Recuerde que COBIT mide la implementación del enfoque de procesos en la gestión de tecnologías. no mide el grado de tecnología utilizado. c)Se usa técnicas tradicionales para identificar d)Utiliza procedimientos documentados e)El proceso de identificación es monitoreado f)Se implementan las mejores técnicas de identificación de acuerdo a las normas. 2.Existe un método de monitoreo? a) No existe método de monitoreo. e)Las factibilidades técnicas están monitoreados.  4. 5.

Está automatizado.Existe procedimientos o normas de aceptación de las Tecnologías a)No existen b)No están normados. e)Las factibilidades económicas están monitoreados. d)Existe. Software Aplicativo 1. Está automatizado.La arquitectura de la información es considerada en la identificación de soluciones a)No existe arquitectura de la información b)Es considerada de manera informal c)La arquitectura de la información no está alineada a los objetivos de la organización. 6.b)Las factibilidades económica se improvisan c)No están alineados a los objetivos de la organización. 7. no se documenta. Está automatizado. Está automatizado.Existe un registro de los cambios significativos a sistemas actuales a)No existe b)Se usa técnicas tradicionales no estandarizadas c)Se usa técnicas basado en la experiencia / intuitivo. d)El proceso que considera la ergonomía está documentado e)El proceso que considera la ergonomía está monitoreado f)El proceso que considera la ergonomía sigue buenas prácticas y está automatizado. 8. f)Los procedimientos están alineados adecuadamente a los objetivos de la organización y cumplen con las buenas practicas.Es considerada la Ergonomía en la identificación de soluciones a)No se considera b)La ergonomia se considera de manera informal c)La ergonomía se considera siguiendo técnicas tradicionales no documentadas. estándares y buenas prácticas. estándares y buenas prácticas satisfaciendo los objetivos de la organización. d)El registro está debidamente documentada y difundida e)El registro es monitoreado permanentemente . se improvisan. 10. c)Existen los procedimientos siguiendo un patrón. está alineada. Está automatizado.Existe un plan de mantenimiento de software por terceras personas a)No existe b)Los procesos son improvisados c)Existe un patrón de mantenimiento del software d)Los procesos solo se documentan e)El plan está alineado parcialmente a los objetivos de la organización.Se aplica la misma metodología para el desarrollo de software nuevo que para mantenimiento de software existente. f)El plan se realiza de acuerdo a las normas. no están alineados a los objetivos de la organización y no se documentan d)Los procedimientos están definidos y se documentan. AI02. definida y documentada. d)Se definen con procesos documentados. e)La arquitectura de la información es monitoreada f)Se implementa las mejores prácticas y es considerada. a)No existe b)Se aplican metodologías ad-hoc o se improvisan c)Se tiene documentada metodología pero no se utilizan d)La metodología se encuentra debidamente documentada e)La metodología se monitorea permanentemente f)La metodología está alineada con los objetivos del negocio y utiliza buenas prácticas. estándares y buenas practicas. e)Los procedimientos son monitoreados y medibles. 9. 2. Está automatizado.Existe un control del abastecimiento de soluciones a)No existe b)Existe pero no se aplica el control efectivamente c)El control no se alinea a los objetivos de la organización d)El control está debidamente documentado e)El control es correctamente monitoreado f)El control cumple con las normas. f)Las factibilidades económicas cumplen con las normas.

4. ad-hoc y desorganizados c)Los manuales siguen un patrón regular . 5.Se definen y documentan los Requerimientos de Archivos a)No existe este procedimiento b)Se define pero no se documentan c)Se define y documenta de acuerdo los objetivos del negocio. estándares y buenas prácticas. Está automatizado. 9.Se preparan manuales adecuados de soporte y referencia para usuarios como parte del proceso de desarrollo o modificación de cada sistema a)No se preparan b)Se preparan de forma improvisada.Se aplica un diseño para la recopilación de datos a)No existe b)Existe pero muchas veces no se aplica c)El diseño existe y sigue un patrón regular d)El diseño de recopilación de datos se documenta y comunica e)Los procesos son monitoreados y medibles f)El diseño se basa en los estándares y buenas prácticas. f)Los procesos de control y seguridad son los apropiados para cada proyecto nuevo o modificación. 6.Se han definido y documentado los requerimientos de procesamiento a)No se han definido b)Los niveles de seguridad son ad-hoc c)Los niveles de seguridad siguen un patrón d)Los procesos de seguridad se documentan e)Los procesos se monitorean y se miden f)Se implementan las mejores prácticas para definir y documentar los requerimientos de procesamiento. Está automatizado. 8. Está automatizado. d)Existe procedimiento de aprobación debidamente documentando e)Estos procedimientos son monitoreado f)Se realizan en base a las normas. a)No existe este procedimiento b)No se aprueban c)Existe procedimiento de aprobación alineado a los objetivos del negocio. Está automatizado. Está automatizado. 3. Está automatizado. 7. 10.Se definen las interfaces con anterioridad a)No se definen b)La definición de interfaces son improvisadas o ad-hoc c)Las interfaces son definidas pero no aplicadas d)Las interfaces siguen un patrón definido e)Los procesos son monitoreados en forma permanente f)Los procesos están basados en los estándares y buenas prácticas. estándares y buenas prácticas.Las especificaciones de diseño son debidamente aprobadas. Está automatizado.Se definen las especificaciones de Programas a)No se definen b)La definición son improvisadas o ad-hoc c)La validación de especificaciones siguen un patrón regular d)La definición de especificaciones se documentan y comunican e)Las especificaciones son monitoreados y medibles f)La definición de las especificaciones están basadas en las buenas prácticas.f)El registro cumple las normas. Está automatizado. d)Existe procedimiento de aprobación debidamente documentando e)El procedimiento de aprobación es monitoreado f)La aprobación se realiza en base a los estándares y buenas prácticas.Se especifican mecanismos adecuados para asegurar los requerimientos de seguridad y control internos para cada proyecto nuevo de desarrollo o modificación de sistemas a)No existe estos mecanismos de control y seguridad b)Los mecanismos de control y seguridad son ad-hoc c)Los mecanismos de control y seguridad no son apropiados d)Los procesos de control y seguridad se documentan e)Los procesos de control y seguridad se monitorean y se miden.

se documentan y comunican e)Las estrategias son monitoreadas f)La agilidad de las TI está alineado a la dirección tecnológica y a las buenas prácticas. Está automatizado.Existe un plan de adquisición de Infraestructura Tecnológica a)No existe b)Existe en un nivel inicial Ad-hoc c)No existe un plan o estrategia definida son intuitivos. 7. Está automatizado. documentado y bien difundido.Existen procedimientos para el mantenimiento preventivo de hardware a)No existe b)Existe en un nivel inicial Ad-hoc c)No existe procedimientos definidos son intuitivos.d)Los manuales están debidamente alineados a los objetivos de la organización e)El proceso de preparación de manuales es monitoreado.El software es instalado y mantenido de acuerdo a los requerimientos a)No existe esta política b)Es instalado en forma ad-hoc c)Se realizan los procesos utilizando técnicas tradicionales d)Estos procesos se encuentran documentados e)Estos procesos son monitoreados f)Estos procesos son verificados. alineados a las políticas del negocio y a las buenas costumbres.Existen políticas de limitación para la posibilidad de acceso al software a)No existen b)Existen en un nivel inicial Ad-hoc c)No existen políticas definidas son intuitivos. Está automatizado. Está automatizado. 5. f)Se preparan cumpliendo estándares y las buenas prácticas.El plan de infraestructura tecnológica considera la agilidad de las TI a)No existe b)No existe estrategias de agilidad o son iniciales c)La estrategias de agilidad sigue un patrón tradicional d)Las estrategias se agilizan. Está automatizado. d)Existe un plan de infraestructura tecnológica definido. 2. d)Estas políticas están alineadas con los objetivos del negocio e)Las políticas de limitación están organizadas y monitoreadas f)El proceso se alinea con los objetivos del negocio y se ha desarrollado basado en los estándares y buenas prácticas. 3.Se logra mantener la Infraestructura de TI integrada y estandarizada a)No existe b)La integración y estandarización son iniciales c)La estrategias siguen un patrón tradicional intuitivamente d)Las estrategias se documentan y comunican e)Las estrategias son debidamente monitoreadas f)La integridad y estandarización están alineadas a la dirección tecnológica y a las buenas prácticas. d)Los procedimientos está alineado con los objetivos del negocio e)Los procedimientos están bien organizados y monitoreados f)El procedimientos se alinean con los objetivos del negocio y se han desarrollado basado en las buenas prácticas. . AI03. Infraestructura Tecnológica 1. Está automatizado. Está automatizado. 4. c)La planeación es táctica y se enfoca en generar soluciones técnicas a problemas técnicos. e)Se han incluido buenas prácticas internas en el proceso f)El plan de infraestructura está alineado a los planes estratégicos y buenas practicas.El plan de infraestructura tecnológica está alineado a los planes estratégicos y tácticos de TI a)No está alienado b)Existe un enfoque reactivo y con foco operativo hacia la planeación de la infraestructura. Está automatizado. 6. d)El plan está alineado con los objetivos del negocio e)El plan adquisición está bien organizado y es monitoreado f)El plan es preventivo se alinea con los objetivos del negocio y se ha desarrollado basado en los estándares y buenas prácticas.

Está automatizado. los estándares y con las buenas prácticas. 3.Los manuales de usuario se actualizan de acuerdo a las modificaciones a los sistemas a)No existen actualizaciones a los manuales b)Las actualizaciones a los manuales se realizan ad-hoc c)Las actualizaciones a los manuales se realizan en forma intuitiva por experiencia d)Las actualizaciones a los manuales se realizan y se difunden e)Las actualizaciones a manuales son monitoreados f)Las actualizaciones cumplen con los estándares y con las buenas prácticas. a)No existe este procedimiento b)Se garantiza en forma parcial ad-hoc c)Se garantiza basados en la experiencia en forma intuitiva d)La satisfacción del cliente está alineada a los objetivos organizacionales e)La satisfacción del usuario es monitoreado f)La satisfacción del usuario está alineado a los objetivos organizacionales y de acuerdo a las buenas prácticas.Se elabora y entrega material de entrenamiento a)No existe material b)El material es realizado parcialmente / ad-hoc c)El material es elaborado siguiendo un patrón por experiencia d)El material se documenta y se difunden e)Los materiales de entrenamiento son monitoreados f)Los materiales cumplen con los objetivos del negocio. 5. 6.Se realizan sesiones de entrenamiento previo para el uso de sistemas a)No existen b)Los entrenamientos se realizan de forma ad-hoc c)Los entrenamientos se realizan en forma intuitiva d)Los entrenamientos se documentan y se difunden e)Los entrenamientos se monitorean f)Los entrenamiento se realizan de acuerdo a los estándares y a las buenas prácticas. 4.Se elaboran manuales de usuario para el uso de los sistemas a)No existen b)Los manuales se elaboran de forma ad-hoc c)Los manuales son elaborados en forma intuitivos/experiencia d)Los manuales se documentan y se comunican e)Los manuales son debidamente monitoreados f)Los manuales son elaborados de acuerdo a los estándares y a las buenas prácticas. Está automatizado. Operación y Uso 1. 9. 2.8.Todos los cambios en la Infraestructura son controlados de acuerdo con los procedimientos a)No existe b)Los procesos son ad-hoc y desorganizados c)Los procesos son intuitivos d)Los procesos se documentan y comunican e)Los procedimientos y políticas son monitoreados f)Los cambios se controlan de acuerdo a los estándares y a las buenas prácticas.Se garantiza la satisfacción del usuario final con buen nivel de servicio. AI04. Está automatizado. Está automatizado. Está automatizado.Existen procedimientos de respaldo al realizarse una terminación anormal a)No existe b)Se realiza en forma parcial ad-hoc c)Se realiza en forma intuitiva d)Los procedimientos están definidos y alineados a los objetivos organizacionales . Está automatizado.Los planes de adquisición de Infraestructura Tecnológica satisfacen las necesidades identificadas en el plan de infraestructura tecnológica a)No existe b)La satisfacción es parcial e intuitiva c)Los planes de adquisición siguen un patrón regular d)Los planes de adquisición se documentan y comunican e)La adquisición de IT son monitoreados f)Se implementa las mejores prácticas en la adquisición de IT. Está automatizado.

e)Los procedimientos de respaldo son monitoreados f)Los procedimientos de respaldo están acuerdo a las buenas prácticas. Está automatizado. 7.Existen procedimientos de reinicio y recuperación de datos a)No existe b)Se realiza en forma parcial ad-hoc c)Se realiza en forma intuitiva d)Los procedimientos están definidos y alineados a los objetivos organizacionales y se encuentran documentados e)Los procedimientos reinicio y recuperación son monitoreados f)Los procedimientos se realizan de acuerdo a las buenas prácticas. Está automatizado. 8.Existen planes de contingencia ante una posible pérdida de información de los sistemas a)No existe b)La contingencia se realiza en forma parcial ad-hoc c)Se realiza en forma intuitiva basadas en la experiencia d)Los planes de contingencia están definidos y alineados a los objetivos organizacionales e)Los planes de contingencia son monitoreados y medibles f)Los planes de contingencia son óptimos y están basados en las buenas prácticas. Está automatizado. 9.Se establecen contratos de soporte con personal especializado a)No existen b)El soporte se realiza ad-hoc y sin control c)El soporte está basado en la forma intuitiva y en la experiencia d)El soporte se alinea a los objetivos organizacionales e)El soporte es monitoreados por personal especializado f)Los contratos de soporte son óptimos y están basados en las buenas prácticas. Está automatizado. 10.Se realizan estadísticas del uso y operación de los sistemas para que sirvan de base a nuevas implementaciones a)No existe este proceso b)El proceso se realiza en forma inicial y desorganizada c)Las estadísticas se realizan en forma intuitiva/experiencia d)Las estadísticas se alinean a los objetivos organizacionales e)Las estadísticas son monitoreados por personal especializado f)Las estadísticas son óptimas y cumplen las buenas prácticas. Está automatizado. AI05. Adquirir Recursos de TI 1.Existe un control sobre las adquisiciones de Recursos de TI a)No existe b)Se realiza en forma parcial ad-hoc c)Se realiza en forma intuitiva d)El control está definido y alineado a los objetivos organización e)El control sobre las adquisición son monitoreados f)Los procedimientos se realizan de acuerdo a las buenas prácticas. Está automatizado. 2.Se aplican políticas que garanticen la satisfacción de los requerimientos del negocio a)No se aplican b)Se aplican en forma parcial ad-hoc c)Se aplican en forma intuitiva basados en la experiencia d)Las políticas están definidas y documentadas e)Las políticas son monitoreados por los especialistas del área f)Las políticas están alineadas con los objetivos del negocio y están implementadas basadas en las buenas prácticas. Está automatizado. 3.Se utiliza control sobre los servicios contratados que estén alineados a los objetivos de las organización a)No existe el control b)Se aplica en forma parcial ad-hoc c)Se aplica en forma intuitiva pero desordenada d)El control sobre los servicios están definidos y documentadas e)Los controles son monitoreados por los especialistas del área f)Los controles están alineadas a los objetivos organizacionales y están implementadas basadas en las buenas prácticas. Está automatizado. 4.Existe procedimientos para establecer, modificar y concluir contratos que apliquen a todos los proveedores. a)No existe

b)Los procesos son ad-hoc y desorganizados c)Los procesos siguen un patrón regular d)Las políticas se documentan y comunican e)Las políticas y procedimientos se monitorean f)Se implementa las mejores prácticas en la preparación de estos procedimientos. Está automatizado. 5.Está definido la revisión de contratos por parte del área legal y de TI a)No existe b)Los contratos se realizan en forma particular para cada caso c)Los contratos siguen un patrón basados en la experiencia d)Los contratos se documentan y se comunican e)Los contratos son monitoreados por los responsables f)Se implementa las mejores prácticas para la revisión de los contratos con proveedores o terceros. Está automatizado. 6.Existe una práctica justa y formal para garantizar que la selección de proveedores sea la mejor a)No existe b)La selección de proveedores no es la adecuada c)La selección sigue un patrón regular d)La selección se encuentra debidamente documentada e)El proceso de selección es monitoreado f)Se ha implementado las mejores prácticas para garantizar que la selección de proveedores sea la mejor. Está automatizado. 7.En los contratos con proveedores se considera claramente los requerimientos de los usuarios a)No son considerados b)Son considerados parcialmente c)Se consideran en forma muy general bajo un patrón regular d)Se consideran detalladamente y se documenta e)Los requerimientos y el contrato son monitoreados f)Se usa las mejores prácticas para garantizar que en los contratos se consideren los requerimientos de los usuarios. Está automatizado. 8.En la adquisición de software se garantiza que se protegen los intereses de la organización en todos los acuerdos contractuales. a)No se protegen b)Se protegen en forma parcial y particular c)La protección se realiza bajo un patrón regular d)La protección está alineada a los objetivos organizacionales e)Las protección es monitoreada por el área respectiva f)Se implementa las mejores prácticas para garantizar que se protejan los intereses de la organización. Está automatizado. 9.Existen políticas para hacer cumplir la propiedad y licenciamiento de propiedad intelectual a)No existen b)Existen políticas en forma parcial / ad-hoc c)Las políticas se aplican bajo un patrón regular d)Existen y están alineadas a los objetivos organizacionales e)Estas políticas son monitoreadas por el área respectiva f)Se implementa las mejores prácticas para garantizar que se cumplan con la propiedad intelectual. Está automatizado. 10.Están bien definidos los procedimientos y estándares de adquisición de los recursos de TI a)No existen b)Están definidos pero se aplican parcialmente / ad-hoc c)Los procedimientos siguen un patrón regular d)Los procedimientos se documentan y comunican e)Los procedimientos son monitoreados y se miden f)Se implementa la mejores prácticas para garantizar que se defina procedimientos y estándares de adquisición. Está automatizado. AI06. Administración de cambios 1.Existe y se utiliza una metodología para priorizar los requerimientos de cambios a)No existen b)Los requerimientos se realizan ad-hoc y desordenados

c)Los requerimientos se realizan de forma intuitiva/experiencia d)Los requerimientos se alinea a los objetivos organizacionales e)Los requerimientos son monitoreados permanentemente f)La prioridad de requerimientos se basan en buenas prácticas. Está automatizado. 2.Se consideran procedimientos de cambios de emergencia en manuales de operaciones a)No existen b)El procedimiento se realiza ad-hoc c)Los cambios de emergencia se realizan en forma intuitiva d)El procedimiento se alinea a los objetivos organizacionales e)Los cambios de emergencia se documentan y monitorean f)Este procedimiento se basan en buenas prácticas. Está automatizado. 3.La bitácora de control de cambios asegura que todos los cambios mostrados fueron resueltos a)No existe bitácora de control b)Las bitácoras de control son ad-hoc c)Las bitácoras se adecuan a un patrón regular y son intuitivas d)Las bitácoras de control están documentadas y se comunican e)El proceso de cambios son monitoreados por los especialistas f)La bitácora de control de cambios se adecua a los estándares y las buenas prácticas. Está automatizado. 4.Existen procedimientos de entradas y salidas para cambios a)No existen b)Los procedimientos son ad-hoc y desorganizados c)Las políticas y procedimientos sigue un patrón d)Los procedimientos se documentan y comunican e)Las políticas y procedimientos se monitorean adecuadamente  f)Los procedimientos de entrada y salidas se implementan basados en las mejores prácticas. Está automatizado. 5.Los usuarios tienen conciencia de la necesidad de cumplir procedimientos formales de control de cambios a)No existe b)Los usuarios cumplen eventualmente / ad-hoc c)Los procedimientos de los usuarios siguen un patrón regular d)Los usuarios documentan y comunican el control de cambios e)El cumplimiento de los usuarios es monitoreado f)Los usuarios cumplen los procedimientos de acuerdo a los estándares y buenas prácticas en forma optimizada. Está automatizado. 6.Los tipos de análisis de cambios realizados al sistema, identifica las tendencias organizacionales. a)No existe b)Los procedimientos de cambios son ad-hoc c)Los procedimientos de cambios siguen un patrón regular d)Los procedimientos se documentan e)Los procedimientos se monitorean y se miden f)Se implementan con las mejores prácticas para asegurar la identificación de las tendencias organizacionales. Está automatizado. 7.El proceso de cambios es monitoreado en cuanto a mejoras en el conocimiento y efectividad en el tiempo de respuesta a)No existe b)Los procesos se dan de manera ad-hoc c)Los procesos de estándares siguen un patrón d)Los procesos de cambios documentan e)Los procesos se monitorean y miden f)Se implemente las mejores prácticas para lograr mejoras en el conocimiento y efectividad en el tiempo de respuesta. Está automatizado. 8.El usuario está satisfecho con el resultado de los cambios solicitados - calendarización y costos a)No existe b)La satisfacción se da de manera ad-hoc c)La satisfacción sigue un patrón d)Quedan satisfechos y los documentan e)Los procesos se monitorean y miden

Existen criterios predeterminados para probar el acierto. AI07. prueba y producción para los sistemas en proceso a)No existen b)Existen pero son ad-hoc y desorganizadas c)Existen y siguen un patrón regular d)Existen . 2. 10. Instalación y Acreditación de soluciones y cambios 1. 5.Se lleva a cabo el entrenamiento de usuarios como parte de cada tentativa de desarrollo a)No existe entrenamiento de usuarios b)Se realizo el entrenamiento en forma parcial / ad-hoc c)Los entrenamientos siguen un patrón regular d)Los entrenamientos se documentan y se miden e)Los entrenamientos son monitoreados por el área de TI f)Se implementa las mejores prácticas para garantizar que los entrenamientos de usuarios este alineada a los objetivos organizacionales. 9. 4. Está automatizado. Está automatizado. . han sido implementadas bajo las buenas prácticas. Está automatizado. las fallas y la terminación de tentativas futuras a)No existen b)Existen pero son ad-hoc y desorganizadas c)Existen y siguen un patrón regular d)Existen . Está automatizado. Está automatizado. están debidamente documentadas y se comunican e)Existen y son monitoreados por los especialistas del área f)Existen y están alineadas a los objetivos de la organización. Está automatizado.Se aplican mediciones contra organizaciones de buenas prácticas sobre la administración de cambios a)No existe b)Se aplican mediciones eventualmente en forma desordenada c)Las mediciones siguen un patrón regular d)Las mediciones se documentan y se comunican e)Las mediciones se monitorean y se aplican f)Se implementa las mejores prácticas para desarrollar y promulgar políticas comparando con organizaciones externas. 3. han sido implementadas bajo las buenas prácticas. Está automatizado.f)Se implementa las mejores prácticas para definir estándares. están implementadas basados en los estándares y buenas prácticas.Existen políticas y procedimientos relacionados con el proceso de ciclo de vida de desarrollo de sistemas a)No existe estos procedimientos b)Se establecen estas políticas en forma parcial c)El proceso del ciclo de vida sigue un patrón regular d)Existe políticas y procedimientos y se documentan e)Existen políticas y procedimientos y son monitoreados f)Se implementa las mejores prácticas en la implementación de políticas y procedimientos. Está automatizado.Existen varias librerías de desarrollo. están debidamente documentadas y se comunican e)Existen y son monitoreados por los especialistas del área f)Existen y están alineadas a los objetivos de la organización.El proceso de administración de cambios está orientado a alcanzar los objetivos organizacionales a)No existe b)Los procesos son ad-hoc y desorganizados c)Los procesos sigue un patrón regular d)Las procesos se documentan y se comunican e)La administración de cambios se monitorean y miden f)Están alineados a los objetivos de la organización y están implementados basados en los estándares y buenas prácticas. directivas políticas relacionados con TI.Existen metodologías de prueba antes de las instalaciones a)No existe b)Las metodologías son ad-hoc y desorganizados c)Las metodologías siguen un patrón regular d)Las metodologías se documentan y se comunican e)Las metodologías se monitorean y miden f)Están alineadas a los objetivos de la organización.

10. a)No existe b)Los procedimientos de cambios son ad-hoc c)Los procedimientos de cambios siguen un patrón regular d)Los procedimientos se documentan e)Los procedimientos se monitorean y se miden f)Se implementan con las mejores prácticas para asegurar la distribución y correcta. Está automatizado.6.Se ha establecido un ambiente de prueba separado para pruebas y cumple con seguridad. forman parte del proceso y se basan en las buenas prácticas. cumple con los requisitos y se basan en las buenas prácticas.Existen procedimientos formales que aseguren la autorización.Las pruebas paralelas o piloto se consideran parte del plan a)No existen b)Las pruebas se consideran en forma parcial / ad-hoc c)Las prueba siguen un patrón regular d)Las pruebas están debidamente documentadas e)Los procesos son monitoreados por los especialistas del área f)Están alineados a los objetivos de la organización. Está automatizado. forman parte del plan y se basan en las buenas prácticas. 8. a)No existen b)Se realiza la verificación pero en forma parcial / ad-hoc c)Se realiza la verificación siguiendo un patrón regular d)Se realiza la verificación documentándola y comunicándola e)Este proceso es monitoreados por los especialistas del área f)Se realizan. . distribución.Los propietarios de los sistemas llevan a cabo una verificación detallada del proceso inicial del nuevo sistema para confirmar una transición exitosa. Está automatizado. 7. intervalos de proceso y disponibilidad y acreditación de salidas forman parte del proceso a)No existen b)Existen pero son ad-hoc y desorganizadas c)Los planes siguen un patrón regular d)Los planes están debidamente documentadas y se comunican e)Los planes son monitoreados por los especialistas del área f)Están alineados a los objetivos de la organización. transferencia de control. 9.Los planes de prueba para simulación de volúmenes. procedimientos de respaldo y notificación de usuario a)No existe b)Los procedimientos de cambios son ad-hoc c)Los procedimientos de cambios siguen un patrón regular d)Los procedimientos se documentan e)Los procedimientos se monitorean y se miden f)Se implementan con las mejores prácticas para asegurar la distribución y correcta. Está automatizado. Está automatizado. están alineadas a los objetivos de la organización y han sido implementadas bajo las buenas prácticas. rastreo de estatus.Existen procedimientos de control para asegurar la distribución oportuna y correcta. pruebas de regresión. Está automatizado 11. y la actualización de los componentes aprobados de la configuración. controles internos y cargas de trabajo para permitir pruebas acertadas a)No existen b)Las pruebas se realizan en ambientes improvisados c)Existe el ambiente y las pruebas siguen un patrón regular d)Existe ambiente y cumple con los objetivos organizacionales e)El ambiente es monitoreado por los especialistas del área f)Están alineados a los objetivos de la organización. acondicionamiento.

Anexo 04. e)El proceso de sustentación de niveles de servicio se monitorea. Ejemplo: 1. 4. f)El proceso del marco de trabajo está automatizado. Definir y administrar los niveles de servicios 1. ENCUESTA PARA MEDIR EL PERFIL GESTION  DE TICS ­ DOMINIO “ENTREGA DEL SERVICIO Y  SOPORTE” SEGUN EL MODELO COBIT INSTRUCCIONES: 1.¿Existe un Marco de trabajo definido? a)No existe un Marco de trabajo. d)El proceso del marco de trabajo está definido y documentado. f)El proceso del catálogo de servicios está automatizado. d)El proceso del catálogo de servicios está definido y documentado. Recuerde que COBIT mide la implementación del enfoque de procesos en la gestión de tecnologías. b)Los niveles de servicio se sustentan de manera de manera informal. 5. c)Los requerimientos se definen con técnicas tradicionales no documentadas. f)El proceso de requerimientos está automatizado. . d)El proceso de requerimientos está definido y documentado. DOMINIO: Entrega del servicio y soporte DS01. b)Los requerimientos se definen de manera informal. b)El catálogo de servicios se mantiene informalmente. f)El proceso de sustentación de niveles de servicio está automatizado. Seleccione una opción marcando con una flecha la letra que corresponde a su respuesta. c)Los niveles de servicio se sustentan con técnicas tradicionales no documentadas.Los requerimientos. no mide el grado de tecnología utilizado. b) El método de monitoreo se utiliza de manera informal c) Existe un método de monitoreo con técnicas tradicionales no documentadas --> d) El método de monitoreo está definido en un procedimiento documentado e) El proceso del método de monitoreo es controlado y auditado f) El proceso del método de monitoreo está automatizado 2. son óptimos? a)No existen servicios óptimos. b)El trabajo se realiza de manera informal. muestran entendimiento común entre los usuarios y prestadores de servicios? a)No se definen los requerimientos. e)El proceso del marco de trabajo se monitorea.Los servicios que brinda el personal del área de TI. c)El trabajo se realiza con técnicas tradicionales no documentadas. e)El proceso de requerimientos se monitorea. e)El proceso del catálogo de servicios se monitorea. 3. d)El proceso de sustentación de niveles de servicio está definido y documentado. sustentados en el marco de trabajo? a)Los niveles de servicio no están sustentados en el marco de trabajo. 2.¿Existe un portafolio o catalogo de servicios? a)No existe un portafolio o catálogo de servicios. c)El catálogo de servicios se mantiene con técnicas tradicionales no documentadas.Existen niveles de servicios.Existe un método de monitoreo? a) No existe método de monitoreo.

utiliza técnicas tradicionales no documentadas. b)El monitoreo se realizan de manera informal. d)La actualización de datos de los prestadores de servicios. e)El proceso de monitoreo es auditado. e)El proceso de categorizaciones de la agenda se monitorea. utilizan procedimientos documentados.Existen evaluación para la contratación de servicios de terceros? . d)Las categorizaciones.Existe actualización de datos de los prestadores de servicios? a)No existe. b)El control. f)El proceso de categorizaciones de la agenda está automatizado.Existe categorizaciones en la agenda de proveedores? a)No existe categorizaciones.b)Los servicios que brinda el personal se realizan por intuición c)Los servicios que brindan el área de TI. 3. f)El proceso de actualización de la agenda está automatizado.Existe agenda actualizada de los proveedores? a)No existe agenda actualizada. b)La actualización de datos de los prestadores de servicios. e)El proceso de actualización de la agenda se monitorea. d)El plan de mejora. utiliza procedimientos documentados. b)La actualización de la agenda. se realiza de manera informal. e)El proceso de actualización de datos de los prestadores de servicios se monitorea. se realiza de manera informal. f)Los servicios que brinda el personal de TI están automatizados. f)Los procesos de medición estadística de los servicios están automatizados. se realizan de manera informal. se realizan de manera informal. 2. Administrar los servicios por terceros 1. e)Los servicios que brinda el personal de TI. 10. son monitoreados. c)La actualización de datos de los prestadores de servicios. c)El monitoreo se realiza pero no se documenta.Existen niveles de servicios. utiliza técnicas tradicionales no documentadas. 7. e)El proceso de control de los servicios se monitorea. medidos estadísticamente? a)No existen. 9. c)La medición estadística de los servicios se establecen con técnicas tradicionales no documentadas. e)Los procesos de medición estadística de los servicios son monitoreados. se realizan de manera informal. b)Las categorizaciones. b)La medición de los servicios se realiza de manera informal. utiliza procedimientos documentados. d)El monitoreo utiliza procedimientos documentados. d)Los servicios que brinda el área de TI.Existe un plan de mejora de los niveles de servicios? a)No existe plan de mejora. no son documentados. 8. 6. f)El proceso del plan de mejora está automatizado. utiliza técnicas tradicionales no documentadas. utilizan procedimientos documentados. c)La actualización de la agenda. utilizan técnicas tradicionales no documentadas. b)El plan de mejora. c)El control de los servicios.Existe un plan de control de los servicios de TI? a)No existe plan de control. d)La actualización de la agenda. f)El proceso de monitoreo es automatizado. f)El proceso de control de los servicios se automatiza.Existe monitoreo en las actividades que brinda el personal de TI? a)No existe monitoreo. utilizan procedimientos documentados. c)Las categorizaciones se realizan con técnicas tradicionales no documentadas. d)El control de los servicios. f)El proceso de actualización de datos de los prestadores de servicios está automatizado. DS02. c)El plan de mejora. e)El proceso del plan de mejora se monitorea. utilizan procedimientos documentados. d)La medición estadística de los servicios se sustenta en procedimientos documentados.

e)El proceso de control de calidad de los servicios tercerizados se monitorea. d)La administración de servicios tercerizados.Se tiene un plan de contingencia. 7. c)El plan de contingencia.El área de TI. f)El proceso de administración de servicios tercerizados está automatizado. utilizan procedimientos documentados. c)El control de calidad. se realiza de manera informal. utiliza procedimientos documentados. b)Las evaluaciones. no está documentada.Existe eficiencia en los servicios tercerizados? a)No existe eficiencia. d)La evaluación a los proveedores. c)La medición de la eficiencia. 10. b)La factibilidad económica. DS03. Está en la capacidad de evaluar los servicios que ofertan los proveedores? a)No está capacitada. f)El proceso de evaluación está automatizado. se mide de manera informal. f)El proceso de factibilidad económica está automatizado. b)El plan de contingencia. se realizan con técnicas tradicionales no documentadas. utilizan procedimientos documentados. e)El proceso de evaluación se monitorea. d)Las penalidades. d)La medición de la eficiencia de los servicios tercerizados. de los servicios que brindan los terceros? a)No existe plan de contingencia. e)El proceso de evaluación a los proveedores se monitorea. b)La eficiencia. b)El control para asegurar la calidad. está capacitado para administrar los servicios de los terceros? a)No está capacitada. Administrar el desempeño y la capacidad . d)La factibilidad económica. se realizan de manera informal. utilizan procedimientos documentados. f)El proceso de evaluación a los proveedores está automatizado. f)El proceso de penalidades está automatizado. f)El proceso de control de calidad de los servicios tercerizados está automatizado. se realiza de manera informal. c)Las penalidades no son documentadas. d)Las evaluaciones. e)El proceso de factibilidad económica se monitorea. c)La factibilidad económica. e)El proceso del plan de contingencia se monitorea.Existe factibilidad económica. c)La administración de servicios tercerizados. e)El proceso de penalidades se monitorea. f)El proceso del plan de contingencia está automatizado. utiliza procedimientos documentados. 6.El área de TI. d)El control de calidad. utiliza procedimientos documentados.Existen penalidades por los no cumplimientos que brindan los terceros? a)No existen penalidades. c)La evaluación a los proveedores. 9. e)El proceso de medición de la eficiencia de los servicios tercerizados se monitorea. se realiza de manera informal. b)Las penalidades. b)La evaluación de los proveedores. 8. 5. no está documentada. 4. utiliza procedimientos documentados. no está documentada. b)La administración de servicios tercerizados. e)El proceso de administración de servicios tercerizados se monitorea. en los servicios que brindan los terceros? a)No existe factibilidad económica. no está documentado. se realiza de manera informal. no está documentada. f)El proceso de medición de la eficiencia de los servicios tercerizados está automatizado. se realizan de manera informal. tiene un proceso documentado. c)Las evaluaciones se realizan con técnicas tradicionales no documentadas.Existe un control para asegurar la calidad de los servicios que brindan los terceros? a)No existe control de calidad.a)No existen evaluaciones. d)El plan de contingencia. se realizan de manera informal.

f)El proceso de la capacidad de almacenamiento. tiene un proceso documentado.Existen procesos para medir la capacidad de las tecnologías de información? a)No existen procesos para medir la capacidad. d)La medición de la capacidad de los servicios de red e Internet. c)El pronóstico para determinar el rendimiento de las comunicaciones. e)El proceso de justificación económica del desempeño de las tecnologías de información se monitorea. d)Las técnicas para el pronóstico de desempeño. 2. b)La justificación económica del desempeño de las tecnologías de información. se monitorea. f)El proceso para el pronóstico para determinar el rendimiento de las comunicaciones. no son justificables económicamente. c)La asignación de equipos de TI. se monitorea. 8.Existe control del desempeño de las tecnologías de información a)No existe control del desempeño. no se documenta. son justificables económicamente? a)El desempeño de las tecnologías de información. 3. d)La justificación económica del desempeño de las tecnologías de información. está automatizada. está automatizado.1. e)El proceso de medición de la capacidad de los servicios de red e Internet. tiene un proceso documentado. b)La asignación de equipos de TI. se monitorean. b)La capacidad de almacenamiento. e)El proceso de la capacidad de almacenamiento. se realiza de manera informal. 9. no se documenta. se realizan de manera informal c)Los procesos para medir la capacidad.La capacidad de almacenamiento de información es óptima? a)No existe capacidad de almacenamiento. están documentados. d)El pronóstico para determinar el rendimiento de las comunicaciones. no está documentada. tiene un proceso documentado. no está documentado. se monitorea.Existe disponibilidad de equipos de TI? a)No existen disponibilidad de equipos de TI. f)La asignación de equipos de TI. b)La capacidad de los servicios de red e Internet. f)La justificación económica del desempeño de las tecnologías de información. tiene un proceso documentado e)La asignación de equipos de TI. f)El proceso de las técnicas para el pronóstico de desempeño. está automatizado. se realiza de manera informal. no son documentadas. no están documentados.Existen pronósticos para determinar el rendimiento de las comunicaciones internas? a)No existe pronósticos para determinar el rendimiento de las comunicaciones. b)El control del desempeño. b)El pronóstico de desempeño se realiza de manera informal. e)El proceso de control del desempeño se monitorea.Los planes de capacidad y desempeño. d)El control del desempeño. b)Los procesos para medir la capacidad. c)La justificación económica del desempeño de las tecnologías de información. no está documentado. f)El proceso de medición de la capacidad de los servicios de red e Internet. están automatizadas. tiene un proceso documentado.El desempeño de las tecnologías de información. se realiza de manera informal. f)Los procesos para medir la capacidad están automatizados. no está documentado. se realiza de manera informal. f)El proceso de control del desempeño está automatizado. c)La capacidad de almacenamiento. se mide de manera informal.Existe suficiente capacidad para los servicios de red e Internet? a)No existen suficiente capacidad para los servicios. b)El pronóstico para determinar el rendimiento de las comunicaciones. e)Los procesos para medir la capacidad se monitorea. tienen un proceso documentado e)El proceso de las técnicas para el pronóstico de desempeño. c)Las técnicas para el pronóstico de desempeño. d)La capacidad de almacenamiento.Existen evaluación para el rendimiento de los equipos tecnológicos? . utilizan buenas practicas. 4. d)Los procesos para medir la capacidad. se determina de manera informal por intuición. c)La medición de la capacidad de los servicios de red e Internet. está automatizada. e)El proceso para el pronóstico para determinar el rendimiento de las comunicaciones. tiene un proceso documentado. d)La asignación de equipos de TI. se monitorea. utilizan técnicas apropiadas para el adecuado pronostico? a)No se realiza pronóstico de desempeño. 6. 5. c)El control del desempeño. 7.

e)El proceso de identificación de procesos críticos de las TI. c)La continuidad de las TI no está documentada. no está documentado. está automatizado. c)La identificación de procesos críticos de las TI. d)El programa de monitoreo para administrar el desempeño de las TIC tiene un proceso documentado. c)La confidencialidad e integridad de la información. b)La identificación de procesos críticos de las TI se realiza de manera informal. está automatizado. c)El servicio de prueba y madurez. DS04. no está documentada. con respecto a las TI? a)No existen identificación de los procesos críticos de las TI. es monitoreado. f)El proceso del marco de trabajo para establecer la continuidad de las tecnologías de información está automatizado. c)Los planes de continuidad de las TI no estás documentados. b)La confidencialidad e integridad de la información. se realiza de manera informal. f)El proceso del servicio de prueba y madurez. d)Las estrategias de planes de continuidad de las TI tienen un proceso documentado. 5. d)La evaluación para el rendimiento de los equipos tecnológicos. b)El servicio de prueba y madurez de TI se realiza de manera informal. tiene un proceso documentado. d)La identificación de procesos críticos de las TI tiene un proceso documentado. está automatizado. es informal. 3. d)La confidencialidad e integridad de la información. f)El proceso de identificación de procesos críticos de las TI. c)La evaluación para el rendimiento de los equipos tecnológicos. b)La evaluación para el rendimiento de los equipos tecnológicos. es monitoreado. está automatizado. e)El proceso de confidencialidad e integridad de la información. e)El proceso del programa para medir el desempeño es monitoreado. b)La capacidad de recuperación.Existe un marco de trabajo para establecer la continuidad de las tecnologías de información? a)No existe marco de trabajo. no está documentado.a)No existe evaluación para el rendimiento de los equipos tecnológicos. f)El proceso de las estrategias de planes de continuidad de las TI están automatizados. . no está documentada.Existe un programa de monitoreo para administrar el desempeño de las TIC? a)No existe programa de monitoreo para administrar el desempeño de las TIC.Se desarrollan servicios de pruebas y madurez de tecnología de información? a)No existen servicios de prueba y madurez de TI. se garantiza de manera informal. 2. no está documentada. se monitorea.Existen estrategias de planes de continuidad de las tecnologías de información? a)No existen estrategias de planes de continuidad de las TI. f)El proceso para la evaluación del rendimiento de los equipos tecnológicos. en caso de dificultades tecnológicas o propias del área? a)No existe la capacidad de recuperación de las TI. f)El proceso del programa para medir el desempeño está automatizado. Garantizar la continuidad de los servicios 1. f)El proceso de confidencialidad e integridad de la información. e)El proceso del servicio de prueba y madurez. 6.Se garantiza la confidencialidad e integridad de la información? a)No existe confidencialidad e integridad de la información. e)El proceso para la evaluación del rendimiento de los equipos tecnológicos. b)El programa de monitoreo para administrar el desempeño de las TIC. e)El proceso de las estrategias de planes de continuidad de las TI se monitorean. se monitorea. tiene un proceso documentado. 4. tiene un proceso documentado. c)El programa de monitoreo para administrar el desempeño de las TIC. 10.Existe identificación de los procesos críticos.Existe capacidad de recuperación de las tecnologías de la información. se realiza de manera informal. b)Los planes de continuidad de las TI se realizan de manera informal. b)La continuidad de las TI se establece de manera informal. d)El servicio de prueba y madurez. e)El proceso del marco de trabajo para establecer la continuidad de las tecnologías de información es monitoreado. d)El marco de trabajo para establecer la continuidad de las tecnologías de información tiene un proceso documentado.

La seguridad de los sistemas de información. tiene un proceso documentado. b)Las políticas de seguridad en el uso de la Red e Internet. no está documentado. d)El plan de reanudación de las TI. no está documentada. no está documentada. c)La alineación de la seguridad de SI. f)El proceso de reanudación de las TI. c)La gestión de seguridad de los SI. e)El proceso del plan de servicio de mantenimiento. es informal. c)Las políticas de seguridad con respecto a los SI. 8. 10. es monitoreado. d)La gestión de seguridad de los SI. b)El almacenamiento externo de respaldo de archivos. 2. Garantizar la seguridad de los sistemas 1. b)El plan de reanudación de las TI. requerimientos y procesos del negocio. para asegurar la continuidad de estos? a)No existe políticas de seguridad en el uso de la Red e Internet. e)El proceso de las políticas de seguridad con respecto a los SI. f)El proceso de las políticas de seguridad con respecto a los SI. está automatizado. c)El plan de servicio de mantenimiento. b)Las políticas de seguridad con respecto a los SI. no está documentado. son informales. tiene un proceso documentado. tienen un proceso documentado. requerimientos y procesos del negocio. f)El proceso de capacidad de recuperación.Se gestionan medidas de seguridad de los sistemas de información? a)No existe gestión de seguridad de los SI. es monitoreado. es monitoreada. es monitoreado. d)El almacenamiento externo de respaldo de archivos. está automatizado. d)La alineación de la seguridad de SI. e)El proceso de capacidad de recuperación. está automatizado.Existen políticas de seguridad en el uso de la Red e Internet. f)El proceso de almacenamiento externo de respaldo de archivos. se realiza de manera informal. no están documentadas. requerimientos y procesos del negocio. se realiza de manera informal. de respaldo? a)No existe un plan de servicio de mantenimiento. 4. f)El proceso del plan de servicio de mantenimiento. e)El proceso de reanudación de las TI. d)El plan de servicio de mantenimiento.Existen políticas de seguridad en cuanto a los sistemas de información? a)No existen políticas de seguridad con respecto a los SI. b)La alineación de la seguridad de SI. tiene un proceso documentado. f)El proceso de las políticas de seguridad en el uso de la Red e Internet. requerimientos y procesos del negocio. está automatizado. está automatizado. se realiza de manera informal. requerimientos y procesos del negocio. f)El proceso de la gestión de seguridad de los SI. está automatizado. está automatizado. se realiza de manera informal. en caso de desastres naturales? a)No existe plan de reanudación de las TI. está automatizado.Existen plan de reanudación. no está documentada. están alineadas a los requerimientos y procesos de negocios? a)No existe alineación en la seguridad de SI. c)Las políticas de seguridad en el uso de la Red e Internet. e)El proceso de alineación de la seguridad de SI.Se administran la identidad de acceso a los sistemas de información? . 7. c)El plan de reanudación de las TI. e)El proceso de las políticas de seguridad en el uso de la Red e Internet. tiene un proceso documentado. tiene un proceso documentado. no están documentadas. c)El almacenamiento externo de respaldo de archivos. de las TI. d)La capacidad de recuperación. requerimientos y procesos del negocio. es monitoreado. son informales. es monitoreado. DS05. no está documentado.c)La capacidad de recuperación. b)La gestión de seguridad de los SI. 9. es monitoreado. 3. d)Las políticas de seguridad en el uso de la Red e Internet. b)El plan de servicio de mantenimiento.Existe un plan de servicio de mantenimiento de centro de información y equipos de TI. tienen un proceso documentado. e)El proceso de la gestión de seguridad de los SI.Posee sitio externo de almacenamiento de respaldo de archivos? a)No existe un sitio externo de almacenamiento de respaldo de archivos. f)El proceso de alineación de la seguridad de SI. d)Las políticas de seguridad con respecto a los SI. e)El proceso de almacenamiento externo de respaldo de archivos. tiene un proceso documentado. es monitoreado.

b)La seguridad respecto al sabotaje del uso de la información. tiene un proceso documentado. se realiza de manera informal. tienen un proceso documentado. Identificar y Asignar Costos 1. e)El proceso de los privilegios para el uso de los SI. f)El proceso de los privilegios para el uso de los SI. es monitoreado. d)La seguridad respecto al sabotaje del uso de la información. b)Los privilegios para el uso de los SI se administran de manera informal. se realiza de manera informal. c)Los privilegios para el uso de los SI. con respecto a la seguridad de los sistemas de información? a)No existe. e)El proceso de seguridad respecto al sabotaje del uso de la información.Existen planes de seguridad con respecto al sabotaje del uso de la información? a)No existen planes de seguridad respecto al sabotaje del uso de la información. no están documentadas. 7. b)Se realiza de manera informal. no está documentada. f)El proceso de llaves Criptográficas. . c)La autenticación en el intercambio de la información. f)El proceso de autenticación en el intercambio de la información. está automatizado. d)Los privilegios para el uso de los SI. está automatizado. f)El proceso de identificación de acceso a los SI. b)La administración de acceso a los SI. está automatizado. detección y corrección de Software malicioso. c)La seguridad respecto al sabotaje del uso de la información. se realiza de manera informal. e)El proceso es monitoreado. tienen un proceso documentado.Existen identificación de incidentes de seguridad. se realiza de manera informal. d)Las llaves Criptográficas. b)La autenticación en el intercambio de la información. 10. d)La autenticación en el intercambio de la información. es monitoreado. 6. c)No se documenta. 9. f)El proceso de identificación de incidentes de seguridad de los SI. está automatizado. que permitan la seguridad de los sistemas de información? a)No existen llaves Criptográficas. c)La administración de acceso a los SI. está automatizado. d)La identificación de incidentes de seguridad de los SI. b)Las llaves Criptográficas.Existe privilegios de los usuarios. e)El proceso de identificación de acceso a los SI. respecto a los procesos de negocios? a)No existe definición de los servicios. b)La identificación de incidentes de seguridad de los SI. es monitoreado.a)No se administra el acceso a los SI. es monitoreado. se realiza de manera informal. 5. b)La definición de los servicios. no están documentados. c)Las llaves Criptográficas. f)El proceso está automatizado. no está documentada. e)El proceso de identificación de incidentes de seguridad de los SI. tiene un proceso documentado. es monitoreado.Existe una buena definición de los servicios. d)La administración de acceso a los SI. f)El proceso de seguridad respecto al sabotaje del uso de la información. es monitoreado. e)El proceso de autenticación en el intercambio de la información. que se realizan mediante los sistemas? a)No existe autenticación en el intercambio de la información. está automatizado. d)Tiene un proceso documentado.Existe prevención.Existen autenticación en el intercambio de la información. no está documentada. tiene un proceso documentado. respecto a los sistemas de información? a)No existe identificación de incidentes de seguridad de los SI. DS06. son informales. 8.Existen Llaves Criptográficas. no se documenta. respecto al uso de los sistemas de información? a)No existe privilegios de los usuarios para el uso de los SI. e)El proceso de llaves Criptográficas. c)La identificación de incidentes de seguridad de los SI. tiene un proceso documentado.

no está documentada.Los servicios de TI. está automatizado. se realiza de manera informal. 4. se realiza de manera informal. 7. d)La identificación por cargos de servicios de TI. 6. 2. b)El análisis de presupuesto de TI. son automatizado. f)El proceso de identificación por cargos de servicios de TI. son monitoreadas. tiene un proceso documentado. identifican los niveles de facturación? a)No existe identificación de niveles de facturación. e)El proceso de inventarios de tecnologías de información. d)La transparencia de los costos de TI.Existe inventario de las tecnologías de información? a)No existe inventario de tecnologías de información. .Existen modelos definidos para las compras de las Tecnologías de Información? a)No existe modelos definidos para las compras de TI. e)El proceso de identificación por cargos de servicios de TI. c)Los inventarios de tecnologías de información. es automatizado. se realiza de manera informal. f)El proceso de modelación de costos por servicios. que se ejecutan con las tecnologías de información? a)No existe modelación de costos por los servicios. c)La identificación por cargos de servicios de TI. es monitoreado.Existen modelación de costos por los servicios. es monitoreado. no está documentada. d)El análisis de presupuesto de TI. 8. son monitoreadas. d)La identificación de los niveles de facturación. e)El proceso de la identificación de niveles de facturación. f)El proceso de análisis de presupuesto de TI. no está documentada. es automatizado. garantizan la identificación de cargos por servicios de TI? a)No existe identificación de cargos de servicios de TI. d)La definición de los servicios. b)La identificación de los niveles de facturación. c)La definición de modelos de TI. b)La transparencia de los costos de TI. son automatizados. f)El proceso de la definición modelos de TI. se realiza de manera informal. e)El proceso de análisis de presupuesto de TI. tiene un proceso documentado. f)El proceso de la identificación de niveles de facturación. tiene un proceso documentado. c)La modelación de costos por los servicios. e)El proceso de la definición modelos de TI. tiene un proceso documentado.c)La definición de los servicios. f)El proceso de la definición de los servicios. no está documentada. no está documentada. tiene un proceso documentado. se realiza de manera informal. c)El análisis de presupuesto de TI. está automatizado. son monitoreadas. 3. es monitoreado. tiene un proceso documentado. 9. f)El proceso de la transparencia de los costos de TI. es automatizado. son monitoreadas. no está documentada. para los servicios de TI? a)No existe recargos por los servicios de TI. f)El proceso de inventarios de tecnologías de información. c)La identificación de los niveles de facturación. no está documentada. es automatizado.Existe análisis de presupuesto de las tecnologías de información? a)No existe análisis de presupuesto de TI. es monitoreado. b)La identificación por cargos de servicios de TI.Los costos de servicios. tiene un proceso documentado. 5. e)El proceso de la definición de los servicios. d)La definición de modelos de TI. b)La definición de modelos de TI. no está documentada. se realiza de manera informal. e)El proceso de modelación de costos por servicios. c)La transparencia de los costos de TI.Existe recargos. d)La modelación de costos por los servicios. tiene un proceso documentado.Existe transparencia en los costos de las tecnologías de información? a)No existe trasparencia en los costos de TI. se realiza de manera informal. e)El proceso de transparencia de los costos de TI. d)Los inventarios de tecnologías de información. b)La modelación de costos por los servicios. b)Los inventarios de tecnologías de información.

f)El proceso de programas de entrenamientos. puedan verificar el cargo por los servicios de TI? a)No existe opción para verificar el cargo de servicios de TI.Existen estrategias para entrenar y educar a los usuarios? a)No existen estrategias de entrenamiento y educación a los usuarios. tiene un proceso documentado. b)Los programas de valores éticos de seguridad de TI. 1. d)Las estrategias de entrenamiento y educación. tiene un proceso documentado. no está documentada. se realiza de manera informal. d)Los programas de entrenamiento determinados. f)El proceso de estrategias de entrenamiento y educación. respecto a la seguridad de las tecnologías de información a)No existen programas de valores éticos de seguridad de TI. b)Las capacitaciones respecto a los cambios. c)Los recargos por los servicios de TI. son automatizados. tiene un proceso documentado. tiene un proceso documentado e)El proceso de programas de entrenamientos. se realiza de manera informal c)Las estrategias de entrenamiento y educación.Existen programas certificados. se realiza de manera informal. son monitoreadas. d)La identificación de necesidades. 4. f)El proceso de identificación de necesidades. son monitoreadas. son monitoreadas. son automatizados. 2. se realiza de manera informal c)La verificación de cargo por servicios de TI. f)El proceso de programas de valores éticos de seguridad de TI. 6. e)El proceso de los programas certificados. tiene un proceso documentado. no está documentada.Existen programas de entrenamientos determinados para cada grupo? a)No existen programas de entrenamiento determinados. 3.Se implementan capacitaciones. d)Los programas certificados. son monitoreadas. se realiza de manera informal. son automatizados. tiene un proceso documentado. son monitoreadas. e)El proceso de identificación de necesidades. tiene un proceso documenta do e)El proceso de programas de valores éticos de seguridad de TI. respecto al entrenamiento y educación de las tecnologías de información a)No existen programas certificados. se realiza de manera informal. c)Los programas certificados.Se identifican las necesidades de entrenamiento y educación? a)No existen identificación de necesidades. son monitoreadas. 5. son automatizados.b)Los recargos por los servicios de TI. c)Los programas de valores éticos de seguridad de TI. 10. d)Los programas de valores éticos de seguridad de TI. d)La verificación de cargo por servicios de TI. DS07. b)La identificación de necesidades. son automatizados. c)Los programas de entrenamiento determinados. c)La identificación de necesidades. son monitoreadas. . no está documentada. respecto a los cambios del Software e infraestructura tecnológica. b)La verificación de cargo por servicios de TI. no está documentada.Los usuarios. b)Los programas certificados. no está documentada. no está documentada. son automatizados. e)El proceso de estrategias de entrenamiento y educación. d)Los recargos por los servicios de TI. que utiliza la institución? a)No se implementan capacitaciones respecto a los cambios. e)El proceso de verificación de cargo por servicios de TI. e)El proceso de recargos por servicios de TI. se realiza de manera informal. automatizados. f)El proceso de recargos por servicios de TI. f)El proceso de verificación de cargo por servicios de TI. se realiza de manera informal. Educar y Entrenar a los Usuarios. no está documentada.Existen programas de valores éticos. f)El proceso de los programas certificados. b)Las estrategias de entrenamiento y educación. b)Los programas de entrenamiento determinados.

Se registran los incidentes con respecto al uso de las tecnologías de información? a)No se registran los incidentes respecto al uso de las TI. c)La evaluación del entrenamiento y educación. 8. f)El proceso de entrenamiento de los usuarios. e)El proceso de la planificación de los eventos de entrenamiento. se realiza de manera informal. Administrar la Mesa de Servicio y los Incidentes. 10. b)El entrenamiento de los usuarios. e)Los procesos de la mesa de servicios para la comunicación. para las capacitaciones son estructurados y didácticos? a)No existen manuales en las capacitaciones. tienen un proceso documentado. b)La evaluación del entrenamiento y educación. es automatizada. son automatizados. e)El proceso de entrenamiento de los usuarios. tiene un proceso documentado. 3. b)La mesa de servicios de comunicación. no está documentada. f)Los procesos de consultas de los clientes. e)Los procesos de la evaluación del entrenamiento y educación. se realiza de manera informal. no está documentada. f)El proceso de utilización de manuales en las capacitaciones. e)El proceso de capacitaciones respecto a los cambios. . 1. f)Los procesos de los incidentes del uso de TI. f)Los procesos de la evaluación del entrenamiento y educación. d)La planificación de los eventos de entrenamiento. no está documentada. son automatizados. se registran de manera informal. b)Los incidentes del uso de las TI. f)El proceso de las capacitaciones respecto a los cambios. tiene un proceso documentado. son monitoreadas. son monitoreada. f)Los procesos de la mesa de servicios para la comunicación. son monitoreadas. c)La mesa de servicios de comunicación. pero no está documentada. e)Los procesos de los incidentes del uso de TI.Existe mesa de servicios. d)La utilización de manuales en las capacitaciones. son automatizada. b)Las consultas de los clientes son analizados y derivados.c)Las capacitaciones respecto a los cambios. 7.Existe área encargada del entrenamiento de los usuarios? a)No existe área encargada para el entrenamiento de los usuarios. c)Las consultas de los clientes son analizados y derivados. d)El entrenamiento de los usuarios. son automatizados.Existe planificación de los eventos de entrenamiento? a)No existen planificación de los eventos de entrenamiento. es automatizados. f)El proceso de la planificación de los eventos de entrenamiento. son monitoreados. de manera informal. DS08. b)La planificación de los eventos de entrenamiento. son monitoreada. tiene un proceso documentado.Los manuales que utilizan el personal designado. d)Las consultas de los clientes. c)La planificación de los eventos de entrenamiento. no está documentada. tiene un proceso documentado. se realiza de manera informal. no está documentada. tiene un proceso documentado. es monitoreado. d)La evaluación del entrenamiento y educación. e)Los procesos de consultas de los clientes. no está documentada. c)La utilización de manuales en las capacitaciones. d)Las capacitaciones respecto a los cambios. se realiza de manera informal. c)El entrenamiento de los usuarios. son automatizados. tiene un proceso documentado. son analizados y derivados al personal adecuado del área de TI? a)Las consultas de los clientes no son analizados ni derivados. es automatizados. b)La utilización de manuales en las capacitaciones. es monitoreado.Existe evaluación del entrenamiento y educación impartida? a)No existen evaluación del entrenamiento y educación. d)La mesa de servicios de comunicación. e)El proceso de utilización de manuales en las capacitaciones. es monitoreada. se realiza de manera informal.Las consultas de los clientes. tiene un proceso documentado. d)Los incidentes del uso de las TI. c)Los incidentes del uso de las TI. 2. 9. para establecer la comunicación con los usuarios de tecnologías de información? a)No existe mesa de servicios de comunicación. no está documentada.

son automatizados. tiene un proceso documentado. no son documentado. e)Los procesos para resolver incidentes. se realiza de manera informal. tiene un proceso documentado.Existe soluciones alternas. se realiza de manera informal. d)La capacidad inmediata para resolver incidentes. en un acta correspondiente? a)No existe cierre de incidentes. se realiza de manera informal. son monitoreados. permite analizar el desempeño de los servicios? a)No existe análisis de desempeño de servicios. b)El análisis de desempeño de servicios. tiene un proceso documentado. c)La clasificación de los incidentes. e)Los procesos para la solución alterna. no es documentado. b)Las soluciones alternas. 5. son monitoreados.La mesa de servicios. se realiza de manera informal c)La identificación de tendencias de servicios de TI. b)El cierre de incidentes. f)El proceso de cierre de incidentes.Existe la capacidad inmediata para resolver los incidentes registrados en la mesa de servicios? a)No existe la capacidad inmediata para resolver incidentes. se realiza de manera informal. respecto a los incidentes registrados en la mesa de servicios? a)No existen soluciones alternas.La mesa de servicios. e)El proceso del registro de ciclo de vida de servicios de TI. son monitoreado. es monitoreado. d)La estandarización de herramientas. d)El análisis de desempeño de servicios. tiene un proceso documentado. f)Los procesos para resolver incidentes. d)El cierre de incidentes. b)El registro de ciclo de vida de servicios de TI. . c)La estandarización de herramientas. son monitoreados. 10.4. f)El proceso de análisis de desempeño de servicios. son automatizados. c)El análisis de desempeño de servicios. no son documentados. c)El registro de ciclo de vida de servicios de TI. b)La identificación de las tendencias de los servicios de TI. 7. f)El proceso del registro de ciclo de vida de servicios de TI. b)La estandarización de herramientas. f)Los procesos de identificación de tendencias de servicios de TI. son automatizados. no es documentado. tiene un proceso documentado. registra los ciclos de vida de los servicios de TI? a)No existen registros de ciclos de vida de servicios de TI. es monitoreado. respecto a las tecnologías de información? a)No existe identificación de las tendencias de los servicios de TI. no es documentado. no son documentados. no son documentados. e)El proceso de cierre de incidentes. 9. es automatizados. son automatizados. f)Los procesos de clasificación de incidentes. d)La clasificación de los incidentes. de los servicios de TI? a)No existen clasificación de incidentes. tiene un proceso documentado. e)El proceso de análisis de desempeño de servicios. d)El registro de ciclo de vida de servicios de TI.Existen estandarización de las herramientas de configuración? a)No existe estandarización de herramientas. DS09. b)La capacidad inmediata para resolver incidentes. d)La identificación de tendencias de servicios de TI. se realiza de manera informal. e)Los procesos de clasificación de incidentes. son monitoreados. Administrar la Configuración 1. se realiza de manera informal.Existe identificación de las tendencias de servicios registrados. tiene un proceso documentado. d)Las soluciones alternas. no son documentados. e)Los procesos de identificación de tendencias de servicios de TI. c)El cierre de incidentes. 6. b)La clasificación de los incidentes. es automatizados. son automatizados. tiene un proceso documentado.Existe cierre de incidentes. c)La capacidad inmediata para resolver incidentes. c)Las soluciones alternas. 8.Existen clasificación de los incidentes. se establece de manera informal. f)Los procesos para la solución alterna.

3. 9. f)Los procesos de la identificación de elementos de configuración. b)El registro de procesos de configuración. e)Los procesos de supervisión de mantenimiento. d)La supervisión de mantenimiento. c)El repositorio de datos. son monitoreados. se establece de manera informal. b)El repositorios de datos. no son documentados. e)Los procesos de registro de configuración. 2.Existe una línea base de configuración? a)No existe una línea base de configuración. .Existen repositorios de datos.Existe supervisión del mantenimiento de configuración? a)No existe supervisión del mantenimiento. es automatizado. d)El registro de procesos de configuración.Existe supervisión del Software que se utiliza? a)No existe supervisión del Software. f)Los procesos de registro de configuración. no es documentado. no es documentado. se establece de manera informal. se realiza de manera informal.e)El proceso de estandarización de herramientas. es monitoreado. 8.Existe identificación de elementos de configuración? a)No existe identificación de elementos de configuración. son automatizado. b)La evaluación periódica de la configuración. b)La identificación de elementos de configuración. tiene un proceso documentado. son automatizados. e)Los procesos de la identificación de elementos de configuración. no son documentados. c)La supervisión del Software. es automatizado. no es documentado. son monitoreados. f)Los procesos de gestión de configuración en los procedimientos. tiene un proceso documentado. d)La gestión de configuración en los procedimientos. tiene un proceso documentado. son monitoreados. se realiza de manera informal. no son documentados. no es documentado. es automatizado. b)La línea base de configuración. son monitoreados. c)La identificación de elementos de configuración. no es documentado.Existe evaluación periódica de la gestión de configuración? a)No existe evaluación periódica de la configuración. e)El proceso de repositorio de datos. c)La gestión de configuración en los procedimientos. es monitoreado. c)La evaluación periódica de la configuración. e)Los procesos de evaluación periódica de la configuración. 4. se realiza de manera informal. son monitoreados f)Los procesos de evaluación periódica de la configuración. tiene un proceso documentado. d)La línea base de configuración. c)El registro de procesos de configuración. b)La gestión de configuración en los procedimientos. se realiza de manera informal. c)La supervisión de mantenimiento. son automatizados. c)La línea base de configuración. f)Los procesos de supervisión de mantenimiento. se realiza de manera informal. tiene un proceso documentado. d)La evaluación periódica de la configuración. tiene un proceso documentado. f)El proceso de repositorio de datos. 6. 7. se realiza de manera informal. son automatizados. e)Los procesos de línea base de configuración.Se registran los procesos de configuración? a)No se registran los procesos de configuración. para la configuración de la información? a)No existen repositorios de datos. b)La supervisión del Software. b)La supervisión de mantenimiento. d)La identificación de elementos de configuración. tiene un proceso documentado. es monitoreado. 5.Existe gestión de configuración en los cambios de procedimientos? a)No existe gestión de configuración en los procedimientos. d)El repositorio de datos. e)Los procesos de gestión de configuración en los procedimientos. f)El proceso de estandarización de herramientas. f)Los procesos de línea base de configuración. son automatizado.

b)La proyección estadística de los errores. f)Los procesos de identificación de problemas de TI. tiene un proceso documentado. d)La identificación de problemas de TI. no es documentado. se realiza de manera informal. c)La proyección estadística de los errores. tiene un proceso documentado. e)Los procesos de proyección estadística de los errores. son automatizados. e)El proceso de categorización de grupos y dominios. f)Los procesos de proyección estadística de los errores. c)El rastreo y análisis de los problemas de TI. e)Los procesos del plan de resolución de problemas de TI. se realiza de manera informal. 3. e)Los procesos de registros de problemas de TI. tiene un proceso documentado. c)La categorización de grupos y dominios.Existe proyección estadística. tiene un proceso documentado. no es documentado. Administración de Problemas 1. e)Los procesos de rastreo y análisis de los problemas de TI. 5.Existe identificación de los problemas. no es documentado. no es documentado. son automatizados. b)La identificación de problemas de TI. d)La clasificación de incidentes de TI. es automatizado. de los errores de configuración? a)No existe proyección estadística de los errores. e)Los procesos de supervisión del Software. f)Los procesos de supervisión del Software. 7. son monitoreados? . para registrar los problemas de TI. tienen un proceso documentado. d)La categorización de grupos y dominios. se realiza de manera informal. d)La data de registros de problemas de TI. d)El plan de resolución de problemas de TI.Los problemas ocasionados por las TI. son monitoreados. son monitoreados. d)El rastreo y análisis de los problemas de TI.d)La supervisión del Software. e)Los procesos de clasificación de incidentes de TI. tiene un proceso documentado. c)El plan de resolución de problemas de TI. son monitoreados. b)La categorización de grupos y dominios. 10. c)La identificación de problemas de TI. 4. se realiza de manera informal. 6. es monitoreado. de manera que permita una solución eficaz? a)No existe data de registro de problemas de TI.Existe una data. son automatizados. f)Los procesos de clasificación de incidentes de TI. relacionados a las tecnologías de información? a)No existe identificación de problemas de TI. se realiza de manera informal. f)Los procesos de registros de problemas de TI.Existe rastreo y análisis de los problemas. c)La data de registros de problemas de TI.Existe un plan de resolución de problemas de TI? a)No existe un plan de resolución de problemas de TI. son automatizados. b)La clasificación de incidentes de TI. tiene un proceso documentado. son monitoreados. es monitoreado.Los problemas. es automatizada. se realiza de manera informal. no se documenta. es automatizado. no son documentados. ocasionados por las TI? a)No existe rastreo ni análisis de los problemas de TI. son clasificados de acuerdo a incidentes de las TI? a)No existe clasificación de incidentes de TI. no se documentan. e)Los procesos de identificación de problemas de TI. b)La data de registros de problemas de TI. son monitoreados. DS10. 2. f)Los procesos del plan de resolución de problemas de TI. b)El rastreo y análisis de los problemas de TI. c)La clasificación de incidentes de TI. son automatizados.Los problemas. b)El plan de resolución de problemas de TI. d)La proyección estadística de los errores. se realiza de manera informal. son categorizados de acuerdo a grupos y dominios? a)No existe categorización de grupos y dominios. tiene un proceso documentado. es monitoreada. f)El proceso de categorización de grupos y dominios. f)Los procesos de rastreo y análisis de los problemas de TI.

c)Los mecanismos para garantizar la información. f)Los procesos para garantizar la información. no es documentado. 4.Existe procedimientos para prevenir el acceso a datos sensitivos y al software desde equipos o medios una vez que son eliminados o trasferidos para otro uso? a)No existe procedimientos para el acceso a datos sensitivos. e)El procesos de monitoreo de problemas ocasionados por las TI. b)Los procedimientos para el acceso a datos sensitivos. tienen un proceso documentado. d)El registro de cierre de problemas de TI.Se establece mecanismos para garantizar la información recibida y procesada? a)No existe mecanismos para garantizar la información. relacionados a las tecnologías de información? a)No existe plan de mejora de TI. b)El monitoreo de problemas ocasionados por las TI. son monitoreados. 3. e)Los procesos para garantizar la información. es automatizado. d)La administración de cambios de TI. b)Los procedimientos para garantizar la integridad. relacionados a las tecnologías de información? a)No existe administración de cambios de TI. es automatizado. 9. no son documentados. c)El plan de mejora de TI. son monitoreado.Existe un plan de mejora. tiene un proceso documentado. no es documentado. tiene un proceso documentado. son monitoreados. c)Los procedimientos para garantizar la integridad. c)El registro de cierre de problemas de TI. es monitoreado. d)Los acuerdos de almacenamiento y conservación. configuración y problemas. son monitoreados. f)Los procesos para garantizar la integridad de los datos. d)Los procedimientos para el acceso a datos sensitivos. c)El monitoreo de problemas ocasionados por las TI. f)Los procesos del plan de mejora de TI. se realiza de manera informal. b)Los mecanismos para garantizar la información. b)Los acuerdos de almacenamiento y conservación. no es documentada. 2. e)El proceso de registro de cierre de problemas de TI. son monitoreados. b)El registro de cierre de problemas de TI. relacionados a las tecnologías de información? a)No existe registro de cierre de problemas de TI. e)Los procesos del plan de mejora de TI. b)La administración de cambios de TI. d)El monitoreo de problemas ocasionados por las TI. e)Los procesos de administración de cambios de TI. son automatizados. 8. no son documentados. e)Los procedimientos de prevención para el acceso a datos sensitivos. DS11 Administración de Datos 1. f)Los procesos de administración de cambios de TI. tiene un proceso documentado. tienen procesos documentados. f)El proceso de registro de cierre de problemas de TI. d)El plan de mejora de TI. c)La administración de cambios de TI. son automatizados.Existe procedimientos para mantener y garantizar la integridad de los datos? a)No existe procedimientos para garantizar la integridad de los datos. es monitoreado. son automatizado. f)El procesos de monitoreo de problemas ocasionados por las TI. . f)Los procesos de almacenamiento y conservación. tienen un proceso documentado. es automatizado. son de manera informal.a)No existe monitoreo de problemas ocasionados por las TI. 10. se realiza de manera informal. son automatizados.Existe administran de cambios. no es documentada.Existen registros de cierre de problemas. d)Los mecanismos para garantizar la información. e)Los procesos para garantizar la integridad de los datos. c)Los procedimientos para el acceso a datos sensitivos. no son documentados. se realiza de manera informal. se realizan de manera informal. tienen un proceso documentado. se realiza de manera informal. tiene un proceso documentado. e)Los procesos de almacenamiento y conservación.Existe acuerdos de almacenamiento y conservación de la información? a)No existe acuerdos de almacenamiento y conservación. se realizan de manera informal. b)El plan de mejora de TI. se realiza de manera informal. c)Los acuerdos de almacenamiento y conservación. no son documentados d)Los procedimientos para garantizar la integridad. es monitoreado.

no son documentados. d)La limitación de acceso a los centros de TI. e)Los procesos de riesgos asociados a los ambientes. son automatizados. son automatizados. f)Los procesos de políticas de respaldo y restauración.Existe políticas implementadas con respecto a la seguridad física alineadas con los requerimientos del negocio? a)No existen políticas de seguridad física del negocio. e)Los procesos de políticas de protección del medio ambiente. c)Los riesgos asociados a los ambientes. limitar y revocar el acceso a los centros de información (centros de TI)? a)No existen limitación de acceso a los centros de TI. tienen un proceso documentado. son automatizados 5. d)Las políticas de respaldo y restauración. se realizan de manera informal. no son documentados. son monitoreados. b)Las políticas de protección del medio ambiente. se establecen de manera informal.Existe administración periódica de las instalaciones. c)La limitación de acceso a los centros de TI. no son documentados. tienen un proceso documentado. son monitoreadas.Existe procedimientos para otorgar. se establecen de manera informal. tienen un proceso documentado. tienen un proceso documentado. f)Los procedimientos de políticas de seguridad física del negocio. son monitoreados.Existe políticas de protección contra factores ambientales (equipos especializados para monitorear y controlar el ambiente)? a)No existen políticas para proteger el medio ambiente. f)Los procesos de aplicación de seguridad en el almacenamiento físico. e)Los procesos de políticas de respaldo y restauración. f)Los procesos de políticas de protección del medio ambiente. f)Los procedimientos de limitación a los centros de TI. tienen un proceso documentado e)Los procedimientos de limitación a los centros de TI. tienen un proceso documentado. DS12. d)La aplicación de seguridad en el almacenamiento físico. c)Las políticas de protección del medio ambiente. 4. son automatizados.Existe identificación para aplicar requerimientos de seguridad aplicables a la recepción. e)Los procedimientos de políticas de seguridad física del negocio. c)Las políticas de seguridad física del negocio. d)Las políticas de protección del medio ambiente. d)Las políticas de seguridad física del negocio.Existen políticas de respaldo y restauración de los sistemas. Administración del Ambiente Físico 1. se establecen de manera informal.El centro de datos toma en cuenta el riesgo asociado con desastres naturales causados y causados por el hombre? a)No toman en cuenta los riesgos asociados a los ambientes. incluyendo el equipo de comunicaciones y de suministro de energía? a)No existen administración periódica en la instalación de los equipos. procesamiento almacenamiento físico? a)No existe aplicación de seguridad en el almacenamiento físico. son monitoreados. . b)La aplicación de seguridad en el almacenamiento físico. c)Las políticas de respaldo y restauración. se realiza de manera informal. son monitoreados. e)Los procesos de aplicación de seguridad en el almacenamiento físico. 2. se realiza de manera informal. 5. b)La administración periódica en la instalación de los equipos. son monitoreados. 6. se realizan de manera informal. datos y configuraciones que estén alineados con los requerimientos del negocio y con el plan de continuidad? a)No existe políticas de respaldo y restauración b)Las políticas de respaldo y restauración. d)Los riesgos asociados a los ambientes. 3. f)Los procesos de riesgos asociados a los ambientes. no son documentadas. b)Los riesgos asociados a los ambientes. no son documentadas. son automatizados. son automatizados. c)La aplicación de seguridad en el almacenamiento físico.f)Los procedimientos de prevención para el acceso a datos sensitivos. no son documentados. b)La limitación de acceso a los centros de TI. b)Las políticas de seguridad física del negocio. son automatizados.

no son documentadas d)Los procedimientos de autorización de cambios. se realizan de manera informal. e)Los procedimientos del marco referencial de operaciones de TI. DS13.Existe marco referencial para implementar y mantener procedimientos estándar para las operaciones de TI y garantizar que el personal de operaciones está familiarizado con todas operaciones relativas a ellos? a)No existen marco referencial para las operaciones de TI. Administración de Operaciones 1. se establece de manera informal. no son documentadas d)La administración periódica en la instalación de los equipos. e)Los procesos de administración periódica en la instalación de los equipos. son monitoreados. 4. f)Los procedimientos de autorización de cambios. c)Los procedimientos de autorización de cambios.Con el fin de salvaguardar la información. tiene un proceso documentado. son automatizadas. se ha definido resguardos físicos. c)El mantenimiento de la infraestructura. tienen un proceso documentado. c)El resguardo físico de los activos de TI. f)Los procedimientos para el mantenimiento de la infraestructura. se establecen de manera informal. no son documentados. son monitoreadas f)Los procedimientos y políticas de infraestructura y eventos. f)Los procesos de administración periódica en la instalación de los equipos. son monitoreados.Existe procedimientos para garantizar el mantenimiento oportuno de la infraestructura para reducir la frecuencia y el impacto de las fallas o de la disminución del desempeño? a)No existen procedimientos para garantizar el mantenimiento de infraestructura. tiene un proceso documentado. f)Los procesos de resguardo físico de los activos de TI. son automatizados. se realizan de manera informal. son automatizados. b)Las políticas y procedimientos de infraestructura. tiene un proceso documentado. son monitoreados. se monitorean. son automatizados. e)Los procesos de resguardo físico de los activos de TI. se realiza de manera informal. tienen un proceso documentado. b)El mantenimiento de la infraestructura. e)Los procedimientos para el mantenimiento de la infraestructura. respecto a la infraestructura. 5. son monitoreados. no es documentado d)El marco referencial para las operaciones de TI.c)La administración periódica en la instalación de los equipos.Existe procedimientos para autorizar los programas iniciales así como los cambios a estos programas. c)Las políticas y procedimientos de infraestructura. f)Los procedimientos del marco referencial de operaciones de TI. prácticas de registro y administración de inventarios adecuados sobre los activos de TI más sensitivos? a)No se ha definido el resguardo físico de los activos de TI. d)El mantenimiento de la infraestructura. tienen un proceso documentado. 2. e)Los procedimientos de autorización de cambios. son automatizados. 3. son automatizados. b)Los procedimientos de autorización de cambios. . no son documentadas d)Las políticas y procedimientos de infraestructura. b)El resguardo físico de los activos de TI.Existe políticas y procedimientos para monitorear la infraestructura de TI y los eventos relacionados? a)No existen políticas ni procedimientos. b)El marco referencial para las operaciones de TI. para cumplir con los requerimientos del negocio? a)No existen procedimientos de autorización de cambios. c)El marco referencial para las operaciones de TI. e)Los procedimientos y políticas de infraestructura y eventos. no es documentado d)El resguardo físico de los activos de TI.

Recuerde que COBIT mide la implementación del enfoque de procesos en la gestión de tecnologías. b)El método de monitoreo se utiliza de manera informal c)Existe un método de monitoreo con técnicas tradicionales no documentadas d)El método de monitoreo está definido en un procedimiento documentado e)El proceso del método de monitoreo es controlado y auditado f)El proceso del método de monitoreo está automatizado 4. b)Se elaboran reportes pero no se revisan solo se archivan de manera informal.Cómo se recolectan los datos para el monitoreo? a)No se recolectan datos para el monitoreo.Se evalúa el desempeño? a)No se evalúa el desempeño. b)Se realizan evaluaciones esporádicas de manera informal. b) El método de monitoreo se utiliza de manera informal c) Existe un método de monitoreo con técnicas tradicionales no documentadas --> d) El método de monitoreo está definido en un procedimiento documentado e) El proceso del método de monitoreo es controlado y auditado f) El proceso del método de monitoreo está automatizado 2. c)Los reportes contienen el grado de logro de objetivos usando técnicas tradicionales no documentadas. Monitorear y evaluar el desempeño de TI 1. b)Existen datos de monitoreo generados de manera informal.Qué enfoque tiene el monitoreo? a)No existe enfoque del monitoreo b)Se realiza de manera informal c)Usa técnicas tradicionales no documentadas d)Utiliza procedimientos documentados e)El proceso de monitoreo es controlado y auditado f)El proceso de monitoreo está automatizado 2. c)Los datos de monitoreo se obtienen con técnicas tradicionales no documentadas d)Los datos de monitoreo se recolectan siguiendo un proceso documentado e)El proceso de recolección de datos para el monitoreo es controlado y auditado f)El proceso de recolección de datos para el monitoreo está automatizado 3. . c)Existen procedimientos para realizar evaluación del desempeño con técnicas tradicionales no documentadas d)La evaluación del desempeño se realiza utilizando procedimientos documentados e)El proceso de evaluación del desempeño se monitorea f)El proceso de evaluación del desempeño está automatizado 5. no mide el grado de tecnología utilizado. Seleccione una opción marcando con una flecha la letra que corresponde a su respuesta.Se elaboran reportes de desempeño? a)No se elaboran reportes de desempeño.Existe un método de monitoreo? a)No existe método de monitoreo. Ejemplo: 1. DOMINIO: Monitorear y evaluar PROCESO MO01. ENCUESTA PARA MEDIR EL PERFIL GESTION  DE TICS ­ DOMINIO “MONITOREO Y EVALUACION” SEGUN  EL MODELO COBIT INSTRUCCIONES: 1.Existe un método de monitoreo? a) No existe método de monitoreo.Anexo 05.

e)El proceso de elaboración de reportes de desempeño es monitoreado f)El proceso de elaboración de reportes de desempeño está automatizado 6.Existen excepciones de control? . PROCESO MO02.Existen procesos definidos para la evaluación del desempeño? a)No existen procesos para la evaluación del desempeño b)Los procesos se realizan de manera informal c)Existen un patrón para la evaluación del desempeño definido con técnicas tradicionales no documentadas d)Los procesos solo están documentados e)Los procesos están monitoreados.d)Los reportes de desempeño son elaborados siguiendo un procedimiento documentado.Qué documentos se tienen en cuenta para medir el desempeño? a)No se usan documentos para medir el desempeño b)Se solicitan documentos en forma esporádica de manera informal. evaluación y reportes usando técnicas tradicionales no documentadas. c)Las auditorias al marco de trabajo del control interno se realizan usando técnicas tradicionales no documentadas d)Las auditorias al marco de trabajo responden a un procedimiento documentado. e)El proceso es monitoreado. b)Se realizan actividades de monitoreo del marco de trabajo en forma esporádica y de manera informal.Quienes participan en la evaluación del desempeño? a)Nadie realiza evaluación del desempeño. 13. b)La realiza personal administrativo de manera informal c)Se han definido los roles y responsabilidades usando técnicas tradicionales no documentadas d)La participación del personal en la evaluación del desempeño está definida en un procedimiento documentado e)El proceso de evaluación del desempeño es monitoreado. f)El proceso de evaluación del desempeño está automatizado. f)Los procesos están automatizados.Se realizan auditorias al marco de trabajo del control interno? a)No se realizan auditorias al marco de trabajo de control interno. c)El marco de trabajo del control interno se monitorea usando técnicas tradicionales no documentadas d)El marco de trabajo del control interno se monitorea como producto de un procedimiento documentado. e)El proceso es monitoreado.Se monitoriza el marco de trabajo del control interno?. d)Las acciones correctivas se establecen como producto de un procedimento documentado e)El proceso para realizar acciones correctivas es monitoreado f)El proceso para realizar acciones correctivas está automatizado 7.Se realizan acciones correctivas? a)No se realizan acciones correctivas b)Las correciones se realizan de manera informal c)Las acciones correctivas se generan del monitoreo del desempeño. b)Los documentos se generan de acuerdo a la cirscunstancia de manera informal c)Se generan documentos usando técnicas tradicionales no documentadas. 12. b)Se realizan auditorías de manera informal solo cuando hay un problema. c)Los documentos se han definido con técnicas tradicionales no documentadas d)Los documentos para medir el desempeño están definidos en un procedimiento documentad e)El proceso que define los documentos para medir el desempeño es monitoreado f)El proceso que define los documentos para medir el desempeño está automatizado 8. pero son archivados. d)Los documentos que reflejan la medición del desempeño están definidos en un procedimiento documentado e)El proceso que define los documentos que reflejan la medición del desempeño es monitoreado f)El proceso que define los documentos que reflejan la medición del desempeño está automatizado 9. a)No se monitoriza el marco de trabajo del control interno. 10. Monitorear y evaluar el control interno 11. f)El proceso está automatizado. f)El proceso está automatizado.En qué documentos se refleja la medición del desempeño? a)No se generan documentos que reflejan la medición del desempeño.

e)El proceso es monitoreado. . b)Se realizan actividades de aseguramiento de manera informal c)El control interno se asegura con técnicas tradicionales no documentadas d)El aseguramiento del control interno está definido en un procedimiento documentado. 19. 16.Se realizan medidas correctivas al marco de trabajo del control interno? a)No se realizan mediidas correctivas al marco de trabajo del control interno. c)El control interno de los proveedores de servicios externos se evalúa usando técnicas tradicionales no documentadas d)El control interno de los proveedores de servicios externos se evalúa como producto de un procedimiento documentado. 20. d)El proceso de autoevaluación está definido en un procedimiento documentado. e)El proceso es monitoreado. e)El proceso es monitoreado.Existen procesos definidos para el monitoreo y evaluación del marco de trabajo del control interno? a)No existen procesos para monitorear y evaluar el marco de trabajo del control interno b)Los procesos se realizan de manera informal c)Se han definido procesos usando técnicas tradicionales no documentadas d)Los procesos solo están documentados e)El proceso es monitoreado. b)El control interno de los proveedores de servicios externos se evalúa de manera informal. e)El proceso es monitoreado.Quienes participan en el monitoreo y evaluación del marco de trabajo del control interno? a)Nadie realiza monitoreo y evaluación del marco de trabajo del control interno.Se generan reportes del monitoreo y evaluación del marco de trabajo del control interno a)No se generan reportes del monitoreo y evaluación de marco de trabajo del control interno. f)El proceso está automatizado.Se asegura el control interno? a)No se asegura el control interno.Se evalúa el control interno de los proveedores de servicios externos? a)No existe evaluación del control interno de los proveedores de servicios externos. c)El proceso de autoevaluación está definido con técnicas tradicionales no documentadas. f)El proceso está automatizado. e)El proceso es monitoreado. b)Los documentos se generan de acuerdo a la cirscunstancia y de manera informal c)Se generan reportes usando técnicas tradicionales no documentadas y son archivados. f)El proceso está automatizado.a)No existen excepciones de control. 17. f)El proceso está automatizado. d)Existe un procedimiento documentado que define como realizar acciones correctivas al marco de trabajo del control interno. 15. d)Se generan reportes de acuerdo a un procedimiento documentado. 18. e)El proceso es monitoreado. f)El proceso está automatizado. b)Se han identificado excepciones de control de manera informal. b)La realiza personal administrativo de manera informal c)Se han definido los roles y responsabilidades usando técnicas tradicionales no documentadas d)Se han definido los roles y responsabilidades en un procedimiento documentado. 14. f)El proceso está automatizado. f)El proceso está automatizado. c)Existen excepciones de control definidas con técnicas tradicionales no documentadas d)Existe un procedimiento documentado para establecer excepciones de control.Existe un proceso de autoevaluación? a)No existe proceso de autoevaluación b)Se realizan acciones esporádicas de manera informal. b)Se realizan acciones correctivas al mareco de trabajo del control interno de manera informal c)Se usan técnicas tradicionales no documentadas para realizar acciones correctivas al marco de trabajo del control interno. e)El proceso es monitoreado.

c)Se generan reportes usando técnicas tradicionales no documentadas y son archivados. f)El proceso está automatizado. e)El proceso es monitoreado. 26. c)Los requerimientos normativos se definen y realizan cumpliendo la nomatividad vigente siguiendo técnicas tradicionales no documentadas. c)Esporádicamente se se evalúa el cumplimiento de los requerimientos externos en las políticas y estándares de TI suguiendo técnicas tradicionales no documentadas. Garantizar el cumplimiento con requerimientos externos. e)El proceso es monitoreado.En qué documentos se refleja el cumplimiento de normas? .Se verifica la coherencia entre la normatividad y las políticas. e)El proceso es monitoreado. d)Los requerimientos normativos se definen y realizan cumpliendo la nomatividad vigente de acuerdo a un procedimiento documentado. d)La coherencia entre la normatividad y las políticas. c)Esporádicamente se revisa la coherencia entre normatividad y las políticas y estándares de TI usando técnicas tradicionales no documentadas. f)El proceso está automatizado. b)Se generan de acuerdo a la cirscunstancia y de manera informal. e)El proceso es monitoreado. d)Existe un procedimiento documentado de auditorias de cumplimiento de normas.f)El proceso está automatizado. b)Esporádicamente y de manera informal se revisa la coherencia entre la normatividad y los procedimientos de TI. 25. estándares. f)El proceso está automatizado. 21. procedimientos y metodologías es revisada continuamente de acuerdo a un procedimiento documentado. c)Se realizan auditorias eventuales sobre el cumplimiento de la normatividad de los dueños de procesos usando técnicas tradicionales no documentadas. regulaciones y cumplimientos contractuales con requerimientos externos? a)No se han identificado los requerimientos normativos de los requerimientos externos b)Se identifican de manera informal las leyes que respaldan el uso de TICs . d)El cumplimiento de los requerimientos externos se evalúa siguiendo un procedimiento documentado.Qué documentos se tienen en cuenta para auditar el cumplimiento de normas? a)No se usan documentos para auditar el cumplimiento de normas b)Para realizar auditorias del cumplimiento de normas se solicitan documentos en forma esporádica y de manera informal. 22. procedimientos y metodologias de TI? a)No se verifica la coherencia entre la normatividad y los procesos organizacionales. f)El proceso está automatizado. f)El proceso está automatizado.Se evalúa el cumplimiento de los requerimientos externos? a)No se evalúa el cumplimiento de los requerimientos externos b)Esporádicamente y de manera informal se evalúa el cumplimiento de los requerimientos externos. e)El proceso es monitoreado. 27. 24. f)El proceso está automatizado. PROCESO MO03.Se identifican los requerimientos de las leyes.Se asegura positivamente el cumplimiento? a)No se asegura el cumplimiento b)La normatividad ha sido difundida oportunamente entre los dueños de procesos de manera informal. estándares. c)Los documentos para realizar auditorias de cumplimiento de normas se realiza con técnicas tradicionales no documentadas d)Los documentos para realizar auditorias de cumplimiento de normas están definidos en un procedimiento documentado. e)El proceso es monitoreado. 23.Se generan reportes de auditoria del cumplimiento de normas a)No se generan reportes de auditoria del cumplimiento de las normas. d)Se generan reportes sobre el cumplimiento de normas de acuerdo a un procedimiento documentado.

b)El alineamiento estratégico se define de manera informal. d)Los recursos de TI se administran de acuerdo a un procedimiento documentado.a)No existen documentos que sustenten el cumplimiento de normas. c)Existe un patrón para la evaluación del cumplimiento de normas usando técnicas tradicionales no documentadas.Se administran recursos de TI? a)No se administran recursos de TI. 4. d)Existe un patrón para la evaluación del cumplimiento de normas de acuerdo a un procedimiento documentado.Existen procesos definidos para la evaluación del cumplimiento de normas? a)No existen procesos para la evaluación del cumplimiento de normas. e)El proceso es monitoreado. f)El proceso está automatizado. Proporcionar gobierno de TI. f)El proceso está automatizado. e)El proceso es monitoreado. b)Los documentos se generan de acuerdo a la cirscunstancia y de manera informal. 3. f)El proceso está automatizado. b)La realiza personal administrativo de manera informal. c)Los riesgos de TI se administran usando técnicas tradicionales no documentadas. b)Los riesgos de TI se administran de manera informal. d)Los documentos que sustentan el cumplimiento de normas han sido definidos en un procedimiento documentado. f)El proceso está automatizado. b)Se ha definido de manera informal un marco de gobierno de TI con visión de control y gobierno corporativo.Quienes participan en la evaluación del cumplimiento de normas? a)Nadie realiza evaluación del cumplimiento de normas. c)Los recursos de TI se administran usando técnicas tradicionales no documentadas. 1. e)El proceso es monitoreado. 2. d)Se han definido los roles y responsabilidades en un procedimiento documentado. c)El alineamiento estratégico se realiza usando técnicas tradicionales no documentadas. f)El proceso está automatizado. d)Los riesgos de TI se administran de acuerdo a un procedimiento documentado. b)El valor agregado de las TI se administra de manera informal. .Se establece un marco de gobierno de TI? a)No se ha definido un marco de gobierno de TI. e)El proceso es monitoreado.Se administran los riesgos de TI? a)No se administran los riesgos de Ti. f)El proceso está automatizado. d)El valor agregado de las TI se administra siguiendo un procedimiento documentado. b)Los recursos de TI se administran de manera informal. b)Los procesos se realizan de manera informal. e)El proceso es monitoreado. 28. 29. 5.Las TI generan valor agregado? a)Las TI no generan valor agregado. d)El marco de gobierno está definido en un procedimiento documentado. f)El proceso está automatizado. e)El proceso es monitoreado. e)El proceso es monitoreado. c)El marco de gobierno está definido usando técnicas tradicionales no documentadas. d)El alineamiento estratégico se realiza de acuerdo a un procedimiento documentado. c)El valor agregado de las TI se administra usando técnicas tradicionales no documentadas. PROCESO MO04. c)Se han definido los roles y responsabilidades usando técnicas tradicionales no documentadas. c)Los documentos que sustentan el cumplimiento de normas han sido definidos usando técnicas tradicionales no documentadas y son archivados.Existe alineamiento estratégico de las TI a)No existe alineamiento estratégico de las TI.

6. b)El aseguramiento independiente se realiza de manera informal. e)El proceso es monitoreado. 8.Existen procesos definidos para el gobierno de TI? a)No existen procesos definidos para el gobierno de TI. e)El proceso es monitoreado. d)La medición del desempeño de TI se realiza de acuerdo a un procedimiento documentado. pero son archivados. f)El proceso esta automatizado. b)La medición del desempeño de TI se realiza de manera informal. f)El proceso está automatizado.Existe aseguramiento independiente? a)No existe aseguramiento independiente. c)Los procesos para el gobierno de TI usan técnicas tradicionales no documentadas. e)El proceso es monitoreado. b)El personal que realiza la evaluación del gobierno de TI lo hace de manera informal. d)Los procesos para el gobierno de TI están documentados. f)El proceso está automatizado. c)El aseguramiento independiente se realiza usando técnicas tradicionales no documentadas. 9. c)El personal que realiza la evaluación del gobierno de TI usa técnicas tradicionales no documentadas.e)El proceso es monitoreado. e)El proceso es monitoreado. b)Los documentos que sustentan el gobierno de TI se generan de acuerdo a la cirscunstancia y de manera informal. 10.Quienes participan en la evaluación del gobierno de TI? a)Nadie realiza evaluación del gobierno de TI. d)Los documentos que sustentan el gobierno de TI se generan siguiendo un procedimiento documentado. d)El personal que realiza la evaluación del gobierno de TI sigue un procedimiento documentado. f)El proceso está automatizado. e)El proceso es monitroreado. d)El aseguramiento independiente se realiza de acuerdo a un procedimiento documentado. f)El proceso está aautomatizado. c)La medición del desempeño de TI se realiza usando técnicas tradicionales no documentadas. f)El proceso está automatizado.En qué documentos se refleja el gobierno de TI? a)No existen documentos que sustentan el gobierno de TI. c)Los documentos que sustentan el gobierno de TI se generan usando técnicas tradicionales. . 7.Se mide el desempeño de TI? a)No se mide el desempeño de TI. b)Los procesos para el gobierno de TI se realizan de manera informal.

Sign up to vote on this title
UsefulNot useful

Master Your Semester with Scribd & The New York Times

Special offer for students: Only $4.99/month.

Master Your Semester with a Special Offer from Scribd & The New York Times

Cancel anytime.