Propuesta COBIT

Propuesta de Indicadores para Planificacin de Sistemas
Gerencia de Control y Mejoramiento de Gestin TIC
BORRADOR
Indice Introduccin El modelo de Indicadores de TI (COBIT, Control

Objetives for Information and related Technology)
Estructura del Modelo

Dominios Criterios de informacin de TI Recursos de TI Procesos Como entender lo Procesos Indicadores de los Procesos Detalle de los Procesos
Dominio: Planificacin y Organizacin

Inventario de Equipos y Sistemas Ejemplo de variables medidas
BORRADOR
Introduccin El modelo de Indicadores de TI (COBIT)

El Modelo de Indicadores de TI es una herramienta que permite a los gerentes comunicarse y cerrar la brecha existente entre los requerimientos de control, aspectos tcnicos y riesgos del negocio. Este modelo proporciona la informacin necesaria para alcanzar los objetivos y resultados establecidos.
Consta de 34 proceso agrupados en 4 dominios:

Planificacin & Organizacin Adquisicin & Implementacin Entrega de Servicio Monitoreo.
Cada dominio es enfocado dentro de tres puntos estratgicos: Recursos de TI; Criterios de la Informacin y Procesos de TI
BORRADOR
Introduccin El modelo de Indicadores de TI

Objetivos del Negocio Informacin TI
Criterios de Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad
Dominios
Monitoreo
Planificacin & Organizacin
Recursos de TI
Datos Aplicaciones Tecnologa Instalaciones Personal
Entrega y Soporte
Adquisicin & Implementacin
BORRADOR
Dominios
Planificacin & Organizacin Comprende la estrategia y las tcticas y se refiere a la identificacin de la forma en que la tecnologa de informacin puede contribuir al logro de los objetivos del negocio. Adems, la consecucin de la visin estratgica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente debern ser establecidas la organizacin y una infraestructura tecnolgica apropiada.
Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, as como implementadas e integradas dentro del proceso del negocio. Este dominio cubre los cambios y el mantenimiento realizados a los sistemas existentes.
BORRADOR
Dominios
Entrega y Soporte
Se hace referencia a la entrega de servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, debern establecerse los procesos de soporte necesarios.
Monitoreo
Todos los procesos necesitan ser evaluados regularmente a travs del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control.
BORRADOR
Criterios de la Informacin de TI
Requerimientos relativos a Costos: Efectividad de las operaciones Eficiencia operativa Confiabilidad de la informacin Cumplimiento de las regulaciones
Calidad
Requerimientos de Seguridad:
Confidencialidad Integridad Disponibilidad de la informacin
BORRADOR
Criterios de Informacin de TI: Costos

Efectividad Se refiere a que la informacin relevante sea pertinente para el proceso del negocio, asi como a que su entrega sea oportuna, correcta, consistente y de manera utilizable
Eficiencia
Se refiere a la provisin de informacin a travs de la utilizacin ptima (ms productiva y econmica) de los recursos
Confiabilidad
Se refiere a la provisin de informacin apropiada para la administracin con el fin de operar el negocio y para ejercer sus responsabilidades de reportes y de cumplimiento.
Cumplimiento
Cumplimiento de leyes, regulaciones y acuerdos contractuales a los que el proceso de negocios esta sujeto, p.ej. criterios de negocios impuestos externamente.
BORRADOR
Criterios de Informacin de TI: Seguridad

Confidencialidad Se refiere a la proteccin de informacin sensible contra divulgacin no autorizada
Integridad
Se trata de la precisin y suficiencia de la informacin asi como a su validez de acuerdo con los valores y expectativas del negocio
Disponibilidad
Se refiere a la disponibilidad de la informacin cuando sta es requerida por el proceso del negocio ahora y en el futuro. Tambin se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas
BORRADOR
Recursos de TI Datos Aplicaciones Tecnologa Instalaciones Personal
BORRADOR
10
Recursos TI
Datos Los elementos de datos en su ms amplio sentido (externos e internos), estructurados y no estructurados, grficos, etc.
Aplicaciones
Se entiende como sistemas de aplicacin la suma de procedimientos manuales y programados.
Tecnologa
Cubre hardware, software, sistemas operativos, sistemas de administracin de bases de datos, redes, multimiedia, etc.
Instalaciones
Recursos para alojar y dar soporte a los sistemas de informacin
Personal
Habilidades del personal, conocimiento, conciencia y productividad para planear, organizar, adquirir, entregar, soportoar y monitorear servicios y sistemas de informacin.
BORRADOR
11
Objetivos del Negocio
Informacin TI
Monitoreo
Recursos de TI Entrega y Soporte

Dominio:
Identificacin de la forma en que la tecnologa de informacin puede contribuir de la mejor manera al logro de los objetivos del negocio
BORRADOR
12
Procesos
Confidencialidad
Disponibilidad
Cumplimiento
Instalaciones
Confiabilidad
Aplicaciones
Efectividad
Tecnologa
Integridad
Eficiencia
A continuacin se muestran los procesos de IT para el presente dominio y su relacin con los criterios de informacin, as como los recursos necesarios para alcanzar los objetivos del proceso
Criterios de informacin
Recursos
Personal
PROCESOS PO1 PO2 PO3 PO4 PO5 Definir un plan estratgico de sistemas Definir la arquitectura de informacin Determinar la direccin tecnolgica Definir la organizacin y sus relaciones Administrar las inversiones (en TI)
P S P S S S P S P S P P P P P P P S S S
PO6
PO7 PO8 PO9 PO10 PO11
Comunicar la direccin y objetivos de la gerencia

Administrar los recursos humanos Asegurar el apego a disposiciones externas Evaluar riesgos Administrar proyectos Administrar calidad
S S P P P S S P P P P P S
(P) Primario: Impacto primario (S) Secundario: Impacto indirecto o de menor medida
BORRADOR
Datos
13
Como entender los Procesos

El control de Procesos de IT Que satisface Requerimientos del Negocio
Es habilitado por Declaracin de control
Considerando
Prcticas de control
BORRADOR
14
Indicadores de los Procesos de P & O

Balance Business Scorecard Tecnologa de Informacin
Metas
KGI
(Medida de los Resultados)
Habilitadores
KPI
(Medida de los Procesos)
Key Goal Indicators

Es una medida de "qu" tiene que ser logrado. Es un indicador mensurable de las metas alcanzadas.
Key Performance Indicators

Define las medidas para determinar cmo se est realizando el proceso con el fin de alcanzar la meta; son un buen indicativo de si una meta ser alcanzada o no y son buenos indicadores de capacidades, prcticas y de habilidades
BORRADOR
15
Informacin TI
Monitoreo

Dominio:
Planificacin & Organizacin Los 11 Procesos y sus Indicadores
BORRADOR
16
PO1
Definicin de un plan Estratgico de Tecnologa de Informacin

Los requerimientos de negocio para lograr un balance ptimo entre las oportunidades de tecnologa de informacin y los requerimientos de TI, as como para asegurar sus logros futuros. A travs de un proceso de planificacin estratgica emprendido en intervalos regulares, dando lugar a planes a largo plazo. Los planes a largo plazo debern ser traducidos peridicamente en planes operacionales estableciendo metas claras y concretas a corto plazo. Definicin de objetivos de negocio y necesidades de TI Inventario de soluciones tecnolgicas e infraestructura actual Servicios de vigilia tecnolgica Cambios organizacionales Estudios de factibilidad oportunos Evaluacin de sistemas existente.
Debe satisfacer
Como lo hace posible
Que debe tomar en cuenta
BORRADOR
17
PO1
1. 2. 3.
Objetivos de Control:
La Tecnologa de Informacin debe ser parte del plan a corto y largo plazo de la Organizacin Debe haber un plan a largo plazo deTecnologa de Informacin El Plan deber ser enfocado y estructurado:

Qu Quin Cundo ...
4. 5. 6.
Contemplar procesos para hacer cambios al plan a largo plazo Debe haber una traduccin peridica a planes a corto plazo Hay que evaluar regularmente los sistemas existentes
BORRADOR
18
PO1

Validez de la evaluacin de la capacidad tecnolgica - nmero de meses desde la ultima actualizacin. Antiguedad del plan estratgico de IT -nmero de meses desde la ltima actualizacin. Porcentaje de satisfaccin de los participantes con el proceso de planificacin estratgica de IT Tiempo de retardo entre los cambios en el plan estratgico de IT y los cambios en los planes operativos Medida de la participacin en el desarrollo del plan estratgico de IT, medido en tamao del esfuerzo, relacin entre la participacin de los dueos y el personal staff y el nmero de personal clave Indice de la calidad del plan, incluyendo el cronograma de su desarrollo, respeto de las normas de ejecucin y completitud del plan
Key Goal Indicators

Porcentaje de los planes estratgicos de IT que se alinean y se conectan en cascada con los planes de largo y corto plazo y conducen a responsabilidades individuales. Porcentaje de las unidades de negocio que tienen sus capacidades de IT claras, entendidas y actualizadas. Relacin entre las responsabilidades, las metas de IT y las metas del negocio, medidas a travs de una encuesta. Porcentaje de las unidades de negocio usando la estrategia tecnolgica considerada por el plan estratgico de IT. Porcentaje del presupuesto de IT defendido por los dueos del negocio. Nmero razonable y aceptable de proyectos de IT excepcionales.
BORRADOR
19
PO2
Definicin de la Arquitectura de Informacin

Los requerimientos de negocio de organizar los sistemas de informacin de la mejor manera posible
Debe satisfacer
Con la creacin y mantenimiento de un modelo de informacin de negocios, asegurando que se definan los sistemas apropiados para optimizar la utilizacin de esta informacin
Documentacin Diccionario de datos Reglas de sintaxis de datos Propiedad de la informacin y clasificacin de severidad
BORRADOR
20
PO2
1.
Modelo de la Arquitectura de Informacin.
La informacin deber conservar consistencia y ser identificada, capturada y comunicada en la forma y los tiempos que permitan a los responsables llevar a cabo sus tareas.
2. 3.
Creacin y actualizacin contnua de un Diccionario de Datos y Reglas de Sintaxis de Datos de la Corporacin. Esquema de Clasificacin de Datos en clases de informacin.
4.
Definir, implementar y mantener los Niveles de Seguridad.
BORRADOR
21
PO2

Porcentaje del presupuesto IT asignado a desarrollo y mantenimiento de arquitectura de informacin Nmero de cambios realizados en aplicaciones para alinear con el modelo de datos Porcentaje de requerimientos de integridad de informacin documentados en el esquema de clasificacin de datos Nmero de incidentes en aplicaciones y sistemas causados por inconsistencias en el modelo de datos Cantidad de retrabajo causado por inconsistencias en el modelo de datos Nmero de los errores atribuidos a la carencia de estandarizacin de la arquitectura de la informacin. Tiempo de retraso entre la generacin de cambios en la arquitectura de la informacin y su implementacin en las aplicaciones
Key Goal Indicators

Desarrollo ms rpido de aplicaciones. Reduccin del tiempo de lanzamiento de sistemas de informacin mayores. Implementacin de requerimientos de confiabilidad, accesibilidad e integridad. Reduccin de la data redundante Incremento de la interoperabilidad entre sistemas y aplicaciones Porcentaje del diccionario corporativo de datos disponible a los usuarios en forma automatizada.
BORRADOR
22
PO3
Determinacin de la direccin tecnolgica

Los requerimientos de negocio a fin de aprovechar la tecnologa disponible o la emergente
Debe satisfacer
A travs de la creacin y mantenimiento de un plan de infraestructura tecnolgica.
Capacidad de adecuacin y evolucin de la infraestructura actual Monitoreo de desarrollos tecnolgicos Contingencias Planes de adquisicin
BORRADOR
23
PO3
1. 2. 3.
Creacin y actualizacin regular del plan de la Infraestructura Tecnolgica que concuerde con los planes a corto y largo plazo de Tecnologa de Informacin. Monitoreo continuo de las tendencias futuras de la tecnologa (incluyendo amenazas), de manera tal que sean consideradas durante el desarrollo y mantenimiento del plan. Evaluar sistemticamente el plan de infraestructura tecnolgica en cuanto a redundancia, capacidad de adecuacin y evolucin de la infraestructura Establecer los planes de adquisicin de hardware y software de acuerdo a las necesidades previamente identificadas en el plan de infraestructura tecnolgica Definir las normas de tecnologa con la finalidad de formentar su estandarizacin.
4.
5.
BORRADOR
24
PO3

Porcentaje del presupuesto de IT asignado a infraestructura tecnolgica y desarrollo Nmero de meses desde la ultima revisin de la infraestructura tecnolgica Satisfaccin con el tiempo de identificacin y analisis de oportunidades tecnolgicas Porcentaje de dominios tecnolgicos dentro del plan de infraestructura tecnolgica que tienen subplanes especificando el estado actual, visin de futuro y rutas de implementacin Tiempo promedio transcurrido entre la identificacin de una nueva tecnologia con potencial relevante y la decisin de que hacer con dicha tecnologia
Key Goal Indicators

Nmero de soluciones tecnolgicas que no estn alineadas con la estrategia del negocio Porcentaje de proyectos tecnolgicos que no cumplen con lo planificado Nmero de tecnologias y plataformas no compatibles Disminucin del nmero de plataformas tecnolgicas a mantener Reduccin de esfuerzo y tiempo de lanzamiento de aplicaciones y/o productos Incremento de interoperatividad entre sistemas y aplicaciones
BORRADOR
25
PO4
Definicin de la organizacin y de las relaciones de IT

Los requerimientos de negocio de prestacin de servicios de TI
Debe Satisfacer
A travs de una organizacin conveniente en nmero y habilidades, con tareas y responsabilidades definidas y comunicadas
Comit de direccin Responsabilidades a nivel de alta gerencia o del consejo Propiedad, custodia Supervisin Segregacin de funciones Roles y responsabilidades Descripcin de puestos Niveles de asignacin de personal Personal clave
BORRADOR
26
PO4
1.
Designacin de un Comit de Planificacin o direccin para vigilar la funcin de servicios de informacin y sus actividades Ubicacin de la funcin de los servicios de informacin en la estructura organizacional con la finalidad de asegurar la existencia de autoridad, actitud crtica e independencia de la misma, en la ejecucin e implementacin de los planes de tecnologa de informacin. Revisar que la estructura organizacional cumpla con los objetivos y se adapte a los cambios. El personal de la organizacin debe conocer sus funciones y responsabilidades en relacin con los sistemas de informacin Asignacin de la responsabilidad de la funcin de aseguramiento de calidad a miembros del personal de servicios de informacin Asignacin de la responsabilidad de la seguridad lgica y fsica de los activos de informacin de la organizacin Creacin de una estructura para designar los responsables de los datos y sistemas
2.
3. 4. 5. 6. 7.
BORRADOR
27
PO4
8.
Objetivos de Control (cont.):

Asignacin del responsable de la clasificacin y derechos de acceso de los datos y los sistemas Implementacin de prcticas de supervisin adecuadas para asegurar que se lleven a cabo las funciones y responsabilidades de servicios de tecnologa Establecimiento de una segregacin de funciones, evitando que los procesos crticos esten en manos de un solo individuo. Asignacin de personal adecuado para tecnologa de informacin Descripcin de puestos para el personal de la funcin de TI Definicin e identificacin del personal clave de TI Definicin e implementacin de procedimientos para controlar las actividades y funciones del personal externo contratado Establecer y mantener una coordinacin y comunicacin entre la funcin de los servicios de informacin y sus clientes.
9.
10. 11. 12. 13. 14. 15.
BORRADOR
28
PO4

Estabilidad organizacional o tiempo desde la ltima reorganizacin Nmero de recomendaciones de cambio organizacional no ejecutadas Porcentaje de funciones IT que se encuentran dentro de la estrutura organizacional del negocio Nmero de unidades IT con objetivos de negocio conectados directamente en cascada dentro de roles y responsabilidades individuales Porcentaje de roles con descripcin de cargo documentada Tiempo promedio de retardo entre los cambios en la direccin del negocio y su reflejo en la estructura organizacional de IT
Key Goal Indicators

Nmero de proyecto del negocios retrasados debido a la inercia organizacional o falta de disponibildad de capacidades necesarias Nmero de actividades primordiales de IT fuera de la organizacin de IT y que no estn aprobadas o sujetas a los estndares oranizacionales de IT Nmero de unidades de negocios soportados por la organizacin IT Resultado de la encuesta de foco y satisfaccin con el trabajo del personal de IT Porcentaje de utilizacin de personal de IT en procesos de IT que producen beneficio al negocio
BORRADOR
29
PO5
Manejo de la inversin de IT
Debe Satisfacer
Los requerimientos de negocio de asegurar el financiamiento y el control de desembolsos de recursos financieros
A travs de presupuestos peridicos sobre inversiones y operacin establecidos y aprobados por el negocio
Alternativas de financiamiento Control del gasto real Justificacin de costos Justificacin del beneficio
BORRADOR
30
PO5
1.
Implementacin de un proceso de definicin del presupuesto operativo anual para la funcin de servicio de informacin Monitoreo de los costos reales contra los presupuestados Anlisis de los costos y beneficios generados de la funcin de servicios de informacin.
2. 3.
BORRADOR
31
PO5
Porcentaje de proyectos de IT que usan los estndares y modelos del presupuesto Porcentaje de proyectos con apoyo de los dueos del negocio Meses desde la ltima revisin de presupuesto Tiempo de retraso en los reporte de desviaciones ocurridas en el presupuesto Porcentaje de proyectos que contienen evaluacin de la inversin Nmero de proyectos donde el beneficio del negocio no es verificado post-facto Nmero de proyectos que revelan conflictos de inversin o recursos despues de la aprobacin Nmero de casos y tiempo de retraso en el uso de nuevas tecnologias
Key Goal Indicators

Porcentaje de inversiones en IT que alcanzan o exceden los retornos esperados, basados en el retorno de la inversin o la satisfaccin de los usuarios Gasto real en IT como porcentaje de los gastos totales de la organizacin vs. la meta Gasto real en IT como porcentaje de los ingresos vs. la meta Porcentaje de satisfaccin del accionista con el presupuesto IT Retraso en proyectos causado por retardos en decisiones de inversin o no disponibilidad de fondos
BORRADOR
32
PO6
Comunicacin de la direccin y aspiraciones de la gerencia

Los requerimientos de negocio para asegurar el conocimiento y comprensin del usuario sobre dichas aspiraciones
Debe Satisfacer
A travs de polticas establecidas y transmitidas a la comunidad de usuarios; adems, se necesita estndares para traducir las opciones estratgicas en reglas de usuario prcticas y utilizables.
Cdigo de tica / conducta Directrices tecnolgicas Cumplimiento Compromiso con la calidad Polticas de seguridad
BORRADOR
33
PO6
1.
Creacin de un programa de previsin que fomente un ambiente positivo de control de la informacin a travs de toda la organizacin. 2. Asumir la responsabilidad de la formulacin, desarrollo, documentacin y control de polticas por parte de la gerencia. 3. Asegurar la adecuada comunicacin de las polticas organizacionales 4. Designacin de los recursos para la implementacin de polticas 5. Mantenimiento de polticas organizacionales 6. Asegurar el establecimiento de procedimientos que aseguren el cumplimiento de polticas, procedimientos y estndares 7. Definicin, documentacin y mantenimiento de los compromisos con la calidad establecida 8. Definicin y establecimiento de la poltica sobre el marco de referencia para la seguridad y el control interno 9. Proveer e implementar una poltica sobre derechos de propiedad intelectual 10. Implementacin de polticas para situaciones especficas con respecto al tratamiento de actividades, aplicaciones, sistemas o tecnologas particulares
BORRADOR
34
PO6

Intervalo de tiempo entre la aprobacin de polticas y la comunicacin a los usuarios Frecuencia de comunicaciones Edad de los documentos especficos de politicas de informacin (nmero de meses desde la ltima actualizacin) Porcentaje del presupuesto asignado a desarrollar e implementar politicas de informacin Porcentaje de politicas que tienen asociados procedimiento operacionales para asegurar que estn cumpliendo
Key Goal Indicators

Porcentaje de planes y polticas de IT que cubren la misin, visin, objetivos, valores y cdigos de conducta que se desarrollan y documentan Porcentaje de planes y polticas que son comunicadas a todos los stakeholders Porcentaje de la organizacin que esta siendo entrenada en las polticas y procedimientos Desarrollo de mediciones del conocimiento de los usuarios basada en exmenes regulares Nmero de polticas y procedimientos dirigidas al control de la informacin
BORRADOR
35
PO7
Gerencia de Recursos Humanos
Debe Satisfacer
Los requerimientos de negocio a fin de maximizar las contribuciones del personal a los procesos de TI
A travs de tcnicas slidas para administracin de personal
Reclutamiento y promocin Requerimientos de calificaciones Capacitacin Desarrollo de conciencia Entrenamiento cruzado Procedimientos de acreditacin Evaluacin objetiva y medible del desempeo
BORRADOR
36
PO7
1.
Implementacin y evaluacin de los procesos de reclutamiento y promocin de personal para la funcin de TI Verificar regularmente que el personal este calificado de acuerdo a sus actividades Asegurar el entrenamiento oportuno y adecuado de personal Asegurar el respaldo de personal con la finalidad de solucionar posibles ausencias. Aseguramiento de procedimientos de acreditacin del personal de acuerdo a las necesidades organizacionales Implementacin de un proceso de evaluacin de desempeo de los empleados Asegurar la aplicacin de acciones oportunas con respecto a cambios de puesto y despidos que no perjudiquen los controles internos ni la seguridad
2. 3. 4. 5. 6. 7.
BORRADOR
37
PO7

Intervalo de tiempo entre los cambios en el plan estratgico de IT y el plan de manejo del personal de IT Porcentaje del personal de IT con planes completos de desarrollo Porcentaje del personal de IT con revisiones de desempeo documentdos y validados Porcentaje de tiempo de entrenamiento por persona Porcentaje del personal crtico entrenado en otras habilidades y con reemplazo entrenado Nmero de proyectos retrasados o cancelados debido a retardo en la asignacin de personal IT Porcentaje del presupuesto de recurso humano asignado para desarrollo y mantenimiento del plan de manejo de personal de IT Porcentaje de las posiciones del personal de IT con descripcin de cargo y calificaciones para contratacin
Key Goal Indicators

Tiempo de actualizacin del plan de manejo de recursos humanos de IT definido en meses desde la ltima actualizacin Porcentaje del personal de IT que posee las competencias adecuadas a su rol en la organizacin Porcentaje del personal de IT que trabaja sobre proceso IT que generan beneficios directos en el negocio Tasa de salida del personal de IT Porcentaje de logro del desarrollo del personal de IT Tiempo promedio, en meses, que se mantienen cargos vacantes
BORRADOR
38
PO8
Aseguramiento del cumplimiento de requerimientos externos

El cumplimiento con obligaciones legales, regulatorias y contractuales
Debe Satisfacer
A travs de la identificacin y anlisis de los requerimientos externos en cuanto a su impacto en TI, y llevando a cabo las medidas apropiadas para cumplir con ellos.
Leyes, regulaciones, contratos Monitoreo de evoluciones legales y regulatorios Revisiones regulares en cuanto a cambios Bsqueda de asistencia legal y modificaciones Seguridad y ergonoma Privacidad Propiedad intelectual Flujo de datos
BORRADOR
39
PO8
1.
Establecer y mantener procesos de revisin de requerimientos externos y coordinacin de estas actividades Aseguramiento de las prcticas y procedimientos para el cumplimiento de requerimientos externos Asegurar el cumplimiento de los estndares de seguridad y ergonoma en el ambiente de trabajo de los usuarios y el personal de la funcin de servicios de informacin Asegurar el cumplimiento de las regulaciones sobre la privacidad, propiedad intelectual y flujo de datos Establecer contratos formales para determinar acuerdos entre socios comerciales sobre procesos de comunicacin, estndares y almacenamiento de datos. Asegurar la identificacin y continuo cumplimiento de los requerimientos de los contratos de seguros
2.
3. 4. 5. 6.
BORRADOR
40
PO8

Frecuencia de revisiones de cumplimiento Nmero de excepciones identificadas en las revisiones de cumplimiento Tiempo promedio de retraso entre la identificacin de problemas de conformidad y su resolucin
Key Goal Indicators

Incremento del nmero de asuntos legales, regulatorios o contractuales Tiempo promedio de vida de asunto legales, regulatorio o contractuales abiertos Costo de incumplimiento, tales como Indemnizaciones o multas
BORRADOR
41
PO9
Evaluacin de riesgo
Los requerimientos de negocio para asegurar el logro de los objetivos de TI y responder a las amenazas hacia la provisin de servicios de TI
A travs de la participacin de la propia organizacin en la identificacin de riesgos de TI y en el anlisis de impacto, tomando medidas econmicas para mitigar los riesgos
Debe Satisfacer
Diferentes tipos de riesgos de TI (por ejemplo: tecnolgicos, de seguridad, de continuidad, regulatorios, etc.) Alcance: global o de sistemas especficos Actualizacin de evaluacin de riegos Metodologa de evaluacin de riesgos Medicin de riesgos cualitativos y/o cuantitativos Plan de accin de riesgos
BORRADOR
42
PO9
1.
Evaluacin de riesgo
Establecer un marco de referencia de evaluacin sistemtica de riesgos, proporcionanado evaluaciones tanto a nivel global como especfico del sistema Establecer un enfoque para la evaluacin de riesgos que defina su alcance y sus limitaciones, a travs de un mtodo estructurado. Identificacin de riesgos en elementos esenciales como activos Asegurar que el anlisis de la informacin de identificacin de riesgos genere una medida cuantitativa o cualitativa del mismo. Proporcionar el desarrollo y definicin de un plan de accin contra riesgos para asegurar que existan controles y medidas de seguridad adecuadas Asegurar la aceptacin de riesgos, dependiendo de su identificacin y su medicin a fin de compensarse con una cobertura de seguro adecuada.
2.
3. 4.
5.
6.
BORRADOR
43
PO9
Evaluacin de riesgo
Nmero de reuniones y talleres sobre gerencia de riesgo Nmero de proyectos para mejorar la gerencia de riesgo Nmero de mejoras al proceso del valoracin de riesgo Nivel del financiamiento asignado al proyecto de gerencia de riesgo Nmero y frecuencia de actualizaciones a los lmites y las polticas de riesgo Nmero y frecuencia de los reportes de monitoreo de riesgo Nmero de personas entrenadas en la metodologia de gerencia de riesgo
Key Goal Indicators

Aumento de la capacidad de conocimiento sobre la necesidad de evaluar los riesgos Disminuacin del nmero de incidentes causados por los riesgos identificados despus del hecho Incremento del nmero de riesgos identificados que estan suficientemente mitigados Incremento del nmero de procesos de IT que tienen una completa valoracin del riesgo documantada formalmente Porcentaje o medida del costo del riesgo efectivo
BORRADOR
44
PO10
Gerencia de proyectos
Los requerimientos de negocio de establecer prioridades y entregar servicios oportunamente y de acuerdo al presupuesto de inversin. A travs de la identificacin y priorizacin de los proyectos en lnea con el plan operacional por parte de la misma organizacin. Adems, la organizacin deber adoptar y aplicar slidas tcnicas de administracin de proyectos para cada proyecto emprendido La propiedad de los proyectos El involucramiento de los usuarios La estructuracin jerrquica de tareas y los puntos de revisin Asignacin de responsabilidades Aprobacin de fases y proyecto Presupuestos de costos y horas hombre Planes y metodologa de aseguramiento de calidad
Debe Satisfacer
BORRADOR
45
PO10
1.
Establecer un marco de referencia para la administracin de proyectos que defina alcance y limites al igual que la metodologa de administracin a ser adoptada y aplicada 2. Fomentar la participacin del departamento usuario en la iniciacin de los proyectos 3. Especificar los miembros y responsabilidades del equipo del proyecto 4. Generar la creacin de un documento que defina la naturaleza y alcance de cada proyecto de implementacin antes de la iniciacin de los mismos. 5. Aprobacin del proyecto por parte de la alta gerencia 6. Aprobacin de las fases del proyecto 7. Desarrollar un Plan Maestro del Proyecto que asegure el control del mismo a travs de su desarrollo y el monitoero del tiempo y los costos incurridos 8. Implementacin de un plan de aseguramiento de la calidad de sistemas que se integre con el plan de proyectps 9. Definicin y planificacin de los mtodos de aseguramiento dentro del marco de los proyectos 10. Administracin Formal de Riesgos de Proyectos
BORRADOR
46
PO10

11. Creacin de un plan de pruebas para cada proyecto de desarrollo, implementacin y modificacin 12. Requerir la creacin de un plan de entrenamiento para cada poryecto de desarrollo, implementacin y modificacin 13. Desarrollo de un plan post-implementacin para cada sistema de informacin con la finalidad de determinar si los proyectos han generado los beneficios planeados.
BORRADOR
47
PO10
Incremento del nmero de proyectos entregados de acuerdo con la metodologia definida Porcentaje de participacin de stakeholder en los proyectos Nmero de das de entrenamiento en gerencia de proyectos del equipo de proyectos Nmero de hitos de proyectos y revisiones de presupuesto Porcentaje de proyectos con revisin de resultados Nmero de aos promedio de experiencia en gerencia de proyecto
Key Goal Indicators

Incrementar el nmero de proyectos que han cumplido con el tiempo y el presupuesto Disponibilidad del cronograma del proyecto y de la informacin exacta del presupuesto Disminuir los problemas sistmicos y comnes en los proyectos Mejorar la identificacin del riesgo del proyecto Indice de satisfaccin de la organizacin con los servicios/ herrramientas desarrolladas por la gerencia de proyectos. Mejorar la puntualidad de las decisiones de gerencia de proyecto
BORRADOR
48
PO11
Gerencia de calidad
Los requerimientos de satisfacer los requerimientos del cliente
Debe Satisfacer
Esto se hace posible a travs de la planeacin, implementacin y mantenimiento de estndares y sistemas de administracin de calidad por parte de la organizacin
Estructura del plan de calidad Responsabilidades de aseguramiento de la calidad Metodologa del ciclo de vida de desarrollo de sistemas Pruebas y documentacin de sistemas y programas Revisiones y reporte de aseguramiento de calidad
BORRADOR
49
PO11
1.
Gerencia de calidad
Desarrollar y mantener un plan general de calidad basado en los planes organizaciones y de tecnologa a largo plazo Establecer un enfoque estndar de aseguramiento de calidad Implementar un proceso de planificacin del aseguramiento de calidad para determinar su alcance y duracin Revisin del aseguramiento de la calidad sobre el cumplimiento de estndares y procedimientos de la funcin de servicios de informacin Definir e implementar una metodologa del ciclo de vida de desarrollo de sistemas Asegurar el cumplimiento de la metodologa del ciclo de vida de desarrollo de sistemas para cambios mayores a la tecnologa actual Actualizacin peridica de la metodologa del ciclo de vida de desarrollo de sistemas para asegurar que incluya tcnicas y procedimientos generales aceptados. Establecer un proceso que asegure la coordinacin y comunicacin entre los clientes de la funcin de servicios de informacin y los implementadores de los sistemas
2. 3.
4.
5. 6.
7.
8.
BORRADOR
50
PO11
9.
Gerencia de calidad

Establecer un marco de referencia de adquisicin y mantenimiento para la infraestructura de tecnologa Asegurar las relaciones con terceras partes como implementadores Incorporacin de estndares para la documentacin de programas Proporcionar estndares que cubran los requerimientos de pruebas de programas Proporcionar estndares que cubran los requerimientos para pruebas de sistemas Definir las condiciones bajo las cuales debern desarrollarse las pruebas Piloto/En Paralelo de sistemas nuevos y/o actuales Disponer como parte del proyecto de la documentacin de las pruebas del sistema Evaluacin del aseguramiento de la cali dad sobre el cumplimiento de estndar de desarrollo Revisin del aseguramiento de calidad sobre el logro de los objetivos de la funcin de servicios de informacin Definir y utilizar mtricas de calidad para medir los resultados de las actividades, evaluando si las metas de calidad han sido alcanzadas Preparacin y envio a la gerencia de los reportes de revisiones de aseguramiento de la calidad
10. 11. 12. 13. 14.

15. 16. 17. 18. 19.
BORRADOR
51
PO11
Gerencia de calidad
Nmero de procesos y proyectos de IT con participacin activa de la gerencia de aseguramiento de la calidad Nmero de actividades de monitoreo y prueba documentadas Nmero de procesos y proyectos de IT que han sido benchmarked Nmero de reuniones entre stakeholders y desarrolladores Nmero promedio de das de entrenamiento en gerencia de la calidad Nmero de proyectos documentados y medidos con criterio de calidad
Key Goal Indicators

Nmero de procesos y proyectos IT que satisfacen los requerimientos de los stakeholders Tasa de crecimiento de la satisfaccin de clientes con los servicios prestados Nmero de procesos y proyectos IT formalmente realizados con la calidad asegurada y sin retrabajo Decrecimiento del nmero de defectos de calidad Decrecimiento del nmero de reportes de incumplimiento de los estndares de calidad
BORRADOR
52
Informacin TI
Monitoreo

Dominio:
Adquisicin e Implementacin
Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, as como implementadas e integradas dentro del proceso del negocio.
BORRADOR
53
Procesos
Criterios de informacin Confidencialidad Disponibilidad Cumplimiento Confiabilidad Recursos Instalaciones Aplicaciones
Efectividad
Tecnologa
Integridad
Eficiencia
Personal
PROCESOS AI01 AI02 AI03 AI04 AI05 AI06 Identificar soluciones de automatizacin Adquirir y mantener software de aplicacin Adquirir y mantener la arquitectura tecnolgica Desarrollar y mantener procedimientos Instalar y certificar sistemas de informacin Administrar cambios
P S
P P P P P P S S S S S S S P P S S S
P
P P
BORRADOR
Datos
54
Informacin TI
Monitoreo

Dominio:
Adquisicin e Implementacin Los 6 Procesos y sus Indicadores
BORRADOR
55
AI01
Identificar Soluciones Automatizadas

Los requerimientos del negocio de asegurar el mejor enfoque para cumplir con los requerimientos del usuario
Debe satisfacer
A travs de un anlisis claro de las oportunidades alternativas comparadas contra los requerimientos de los usuarios
Definicin de requerimientos de informacin Estudios de factibilidad (de costo-beneficio, alternativas, etc) Arquitectura de informacin Seguridad con relacin de costo-beneficio favorable Pistas de auditora Contratacin de terceros Aceptacin de instalaciones y tecnologa
BORRADOR
56
AI01
1. 2. 3. 4. 5. 6. 7. 8.
Definicin de Requerimientos de los Sistemas de Informacin. Analisis de las opciones alternativas que debern satisfacer los requerimintos del negocio. Formulacin de Estrategias de Adquisicin. Debe considerar la especificaciones a ser suministradas a los proveedores. Estudio de Factibilidad Tecnolgica Estudio de Factibilidad Econmica Considerar el modelos de datos al definir las soluciones y analizar la factibilidad de las mismas Reporte de Anlisis de Riesgos Amenazas de seguridad Puntos de impacto Protecciones factibles Se debe asegurar que los costos de seguridad no excedan los beneficios aportados por la solucin
9.
BORRADOR
57
AI01

10. Se deben establecer los elementos que sern sometidos a auditoria de seguridad. Los mecanismos debern proporcionar la capacidad de proteger los datso sencibles Ej. Identificacin de ususarios contra divulgacin o mal uso 11. Se deben considerar los aspectos ergonmicos asociados con la solucin 12. Seleccin de Software de Sistema adecuado para satisfacer los requerimientos operaciones 13. Implementar un enfoque centralizado para la adquisicin de hardware, software y servicios relacionados 14. Adquisicin de Productos de Software debe seguir las polticas establecidas 15. Mantenimiento de Software de Terceras Partes Debera considerarse el soporte del producto una vez entregado 16. Contratos de Programacin de Aplicaciones deben considerar Justificacin con una solicitud de servicio Pruebas de aceptacin segn estandares definidos 17. Aceptacin de Instalaciones 18. Aceptacin de Tecnologa
BORRADOR
58
AI01

Intervalo de tiempo entre la definicin de requerimientos y la identificacin de la solucin Nmero o Porcentaje de soluciones devueltas en la pruebas de aceptacin Intervalo de tiempo antes de aprobacin de la solucin identificada Nmero de proyectos con involucramiento de usuarios en la definicin y seleccin de la solucin Nmero de soluciones subsecuentemente afectadas por cambios significativos en los requerimientos debido a cambios funcionales
Key Goal Indicators

Nmero o porcentaje de proyectos reiniciados o redireccionados Nmero o porcentaje de soluciones noredireccionadas Nmero o porcentaje de soluciones cerradas por el CTO en lnea con la estrategia de IT Nmero o porcentaje de soluciones cerradas por los usuarios que cumplen con todos los requerimientos acordados Nmero o porcentaje de soluciones que consideran todas las alternativas, viabilidad y riesgo Porcentaje de soluciones formalmente implementadas y aprobadas por los accionstas y por IT
BORRADOR
59
AI02
Adquisicin y mantenimiento de software de aplicacin

Los requerimientos de negocio de proporcionar funciones automatizadas que soporten efectivamente al negocio
Debe satisfacer
A travs de la definicin de declaraciones especficas sobre requerimientos funcionales y operacionales y una implementacin estructurada con entregables claros
Requerimientos de usuarios Requerimientos de archivo, entrada, proceso y salida Interface usuario mquina Personalizacin de paquetes Pruebas funcionales Controles de aplicacin y requerimientos funcionales Documentacin
BORRADOR
60
AI02
1. 2. 3.
Mtodos de Diseo que consideren a los usuarios en la creacin de las especificaciones Se debe seguir un procedimiento igual al de diseo en caso de presentarse Cambios Significativos a Sistemas actuales Aprobacin del Diseo por: Gerencia de TI Usuarios Alta Gerencia Definicin y Documentacin de Requerimientos del formato de los archivos para cada proyecto Especificaciones de Programas Mecanismos adecuados de recopilacin y entrada de datos para cada proyecto Definicin y Documentacin de Requerimientos de Entrada de Datos Definicin de Interfases internas y externas
4.
5. 6. 7. 8.
BORRADOR
61
AI02
9. 10. 11. 12. 13. 14. 15. 16. 17.

Asegurar el desarrollo de una Interfases Usuario-Mquina fcil de utilizar Definicin y Documentacin de Requerimientos de Procesamiento Definicin y Documentacin de Requerimientos de Salida de Datos Asegurar que los sistemas de informacin esten diseados para incluir controles y mecanismos de seguridad La disponibilidad debe estar considerada en el proceso de diseo Apoyar el aseguramiento de la integradad de dtos y el cual haga posible la restauracin de la integridad a traves de procedimientos de restauracin Pruebas de Software de Aplicacin Materiales de Consulta y Soporte para Usuario adecuados como parte de cada proyecto Reevaluacin del Diseo del Sistema siempre que ocurran discrepancias tecnicas yo lgicas durante el desarrollo o mantenimiento del sistema
BORRADOR
62
AI02

Indice del costo actual del mantenimiento por aplicacin vs promedio del total de aplicaciones Tiempo promedio de desarrollo de la funcionalidad basado en las mediciones como funciones puntuales o modulos
Key Goal Indicators

Nmero de aplicaciones entregadas a tiempo, de acuerdo con las especificaciones y en lnea con la arquitectura de IT Nmero de aplicaciones con problemas de integracin durante su implementacin Costo de mantenimiento por aplicacin por debajo del nivel inicial Nmero de problemas de produccin, por aplicacin, causando visiblemente tiempos muertos o degradacin del servicio Nmerode soluciones no consistentes con la estrategia aprobada de IT Tasa de reduccin de esfuerzos de mantenimiento relacionados con los nuevos desarrollos
Nmero de cambios de requerimientos relacionados con fallas, errores crticos y nuevas funcionalidades Nmero de problemas de produccin o mal funcionamiento por aplicacin y por cambio de mantenimiento
Nmero de desviaciones de los procedimientos estandar tales como: aplicaciones no documentadas, diseos no aprobados y reduccin del preriodo de prueba para lograr la entrega a tiempo
Nmero de modulos rechazados o nivel de retrabajo requerido despues de las pruebas de aceptacin
Tiempo para el anlisis y la correccin de problemas

Nmero o porcentaje de aplicaciones de software efectivamente documentadas para mantenimiento
BORRADOR
63
AI03
Adquisicin y mantenimiento de Infraestructura tecnolgica

Los requerimientos de negocio de proporcionar las plataformas apropiadas para soportar aplicaciones de negocios
Debe satisfacer
A travs de la evaluacin del desempeo de hardware y software, la provisin de mantenimiento preventivo de hardware y la instalacin, seguridad y control del software del sistema
Evaluacin de tecnologa Mantenimiento preventivo de hardware Seguridad del software de sistema, instalacin, mantenimiento y control sobre cambios
BORRADOR
64
AI03
1.
Evaluacin del impacto del Nuevo Hardware y Software sobre el rendimiento del sistema en general Mantenimiento Preventivo para Hardware Asegurar qe la instalacin del software no arriesgue la seguridad de los datos Asegurar la Instalacin del Software del Sistema segn procedimiento. Deben realizarse pruebas antes de colocar el software en ambiente de produccin. Se debe asegurar que el Software del Sistema tenga mantenimiento segn procedimiento Establecer controles para cambios del Software del Sistema
2. 3. 4.
5. 6.
BORRADOR
65
AI03

Reduccin del nmero de plataformas Tiempo de vida de las plataformas Nmero de funciones y recursos compartidos Nmero y frecuencia de los cambios Nmero de interrupciones debido a retardo en mantenimiento preventivo Nmero de interrupciones debido a cambios de software de sistemas Costos basados en esfuerzo y tiempo para modificaciones mayores de software de sistemas e infraestructura
Key Goal Indicators

Reduccin del nmero de plataformas divergentes de la infraestructura tecnolgica acordada Nmero de retardos en la implemantacin de sistemas debido a infraestructura inadecuada Tasa de reduccin de esfuerzos de manteniento relativo a nuevos desarrollos Reduccin del tiempo de lanzamiento de sistemas debido a una infraestrutura predefinida y flexible Reduccin de los tiempo muertos en infraestructura Reduccin del nmero de sistemas con serios problemas de interoroperabilidad Nmero de problemas de desempeo de aplicaciones relacionados con infraestructura tecnolgica inadecuada
BORRADOR
66
AI04
Desarrollo y mantenimiento de procedimientos relacionados con tecnologa de informacin

Los requerimientos del negocio de asegurar el uso apropiado de las aplicaciones y de las soluciones tecnolgicas establecidas
Debe Satisfacer
A travs de un enfoque estructurado del desarrollo de manuales de procedimientos de operaciones para usuarios, requerimientos de servicio y material de entrenamiento
Procedimientos y controles de usuarios Procedimientos y controles operacionales Materiales de entrenamiento
BORRADOR
67
AI04
1.
Asegurar la definicin oportuna de requerimientos operaciones y niveles de servicios futuros Preparacin y actualizacin de manuales de Procedimientos para Usuario Preparar y mantener actualizados los Manuales de Operacin Asegurar que se elabore el Material de Entrenamiento como parte del proyecto
2. 3. 4.
BORRADOR
68
AI04

Nivel de asistencia, de usuarios y operadores, alentrenamiento por cada aplicacin Exactitud de las peticiones de cambio y lo completo de la documentacin del usuario, los procedimientos IT y del material de entrenamiento Intervalo de tiempo entre cambios y actualizaciones del material de entrenamiento y procedimientos Encuesta de satisfaccin con respecto al material de entrenamiento, los procedimientos del usuario y los procedimientos de operacionales Reduccin en el nmero de llamadas al help desk relativas al entrenamiento Nmero de incidentes causados por deficiencias en la documentacin Nmero de aplicaciones con usuarios debidamente entrenados
Key Goal Indicators

Nmero de aplicaciones donde los procedimientos de IT no estn integrados transparentemente a los procedimientos del negocio Nmero de soluciones tcnicas que no estn adecuadamente documentadas, incluyendo desactualizacin de manuales de usuario, manuales de operacin y material de entrenamiento Nivel de satisfaccin con el material de entrenamiento, documentacin de usuarios y operacin Reduccin de costo de produccin y mantenimiento de la documentacion de usuarios, procedimiento operacionales y material de entrenamiento Nivel de habilidad de usuarios de sistemas basado en el porcentaje de disponibilidad de uso
BORRADOR
69
AI05
Instalacin y certificacinde sistemas
Debe Satisfacer
Los requerimientos de negocio de verificar y confirmar que la solucin sea adecuada para el propsito deseado
A travs de la realizacin de una migracin de instalacin, conversin y plan de aceptacin adecuadamente formalizados
Capacitacin Conversin / carga de datos Pruebas especficas Certificacin Revisiones post implementacin
BORRADOR
70
AI05
1.
Instalacin y certificacin de sistemas
El personal debera ser entrenado de acuerdo al plan de acuerdo al plan de entrenamiento definido. 2. Adecuacin del Desempeo del Software de Aplicacin 3. Asegurar que los elementos necesarios del sistema anterior sean convertidosal sistema nuevo segn el plan establecido 4. La gerencia debe asegurar que los cambios sean probados por un grupo de prueba independiente y en un ambiente de prueba separado. 5. Establecer Criterios y Desempeo de Pruebas en Paralelo/Piloto 6. Ejecuacin de Prueba de Aceptacin Final 7. Ejecuacin de Pruebas y Certificacin de Seguridad 8. Ejecuacin de Prueba Operacional por parte de los usuarios finales antes de puesta en produccin 9. Controlar la entrega del sistema del ambiente de prueba a Produccin 10. Evaluacin de la Satisfaccin de los Requerimientos del Usuario 11. Revisin Gerencial Post - Implementacin
BORRADOR
71
AI05
Instalacin y certificacinde sistemas

Grado de involucramiento de los stakesholders en el proceso de instalacin y certiticacin Nmero de procesos de instalacin y certificacin automatizados Frecuencia de los reportes de lecciones aprendidas Reporte de satisfaccin de los usuarios con el proceso de instalacin y certificacin (lecciones aprendidas) Nmero de respuestas durante la revisin de aseguramiento de calidad de la funcin de instalacin y certificacin Reutilizacin de la plataforma de prueba
Key Goal Indicators

Reduccin del nmero de hitos de instalacin y certificacin perdidos Tiempo para completar los procesos de instalacin y certificacin, desde el comienzo hasta el final del proceso de certificacin y certificacinde seguridad Reduccin del nmero de sistemas operacionales no certificados, en el caso donde no ocurrio el proceso Nmero de cambios en los sistemas instalados necesarios para optimizar la operacin Nmero de cambios requeridos despus de la prueba de aceptacin del sistema Nmero de respuestas durante la auditorias internas o externas con respecto al proceso de instalacin y certificacin Nmero de cambios requeridos para corregir problemas despues de que solucin es puesta en produccin
BORRADOR
72
AI06
Administracin de cambios
Los requerimientos de negocio de minimizar la probabilidad de interrupciones, alteraciones no autorizadas y errores
Debe Satisfacer
A travs de un sistema de administracin que permita el anlisis, implementacin y seguimiento de todos los cambios requeridos y llevados a cabo a la infraestructura de TI actual
Identificacin de cambios Procedimientos de categorizacin, priorizacin y emergencia Evaluacin del impacto Autorizacin de cambios Manejo de liberacin Distribucin de software
BORRADOR
73
AI06
1.
Los requerimientos de cambio deben estra estandarizadas y sujetas a procedimientos formales de adminstracin de cambios Los requerimiebntos de Cambio deden por una una Evaluacin del Impacto de forma estructurada, sobre las operaciones y la funcionalidad del sistema Control de Cambios Los Documentacin y Procedimientos deben ser actualizados en virtud de los cambios realizados La s labores de Mantenimiento deben estar debidamente Autorizadas y monitoreados para evitar riesgos de accesos no autorizados Deben disearse Polticas de Liberacin de Software que aseguren: Aprobacin Empaque Pruebas de Regresin Entrega Etc... Asegurar Distribucin de Software de forma y manera oportuna
2.
3. 4.
5.
6.
7.
BORRADOR
74
AI06
Nmero de diferentes versiones instaladas al mismo tiempo Nmero de actualizaciones de software y mtodo de distribucin por plataforma Nmero de desviaciones de la configuracin estndar Nmero de emergencias corregidas que no se hubieran presentado de tener un proceso de manejo de cambios normalizado Intervalo de tiempo entre la disponibilidad de la solucin y su implementacin Tasa de aceptacin de rechazo de solicitudes de cambio
Key Goal Indicators

Reduccin del nmero de errores introducidos en el sistema debido a cambios Reduccin del nmero de interrupciones (perdida de disponibilidad) causadas por manejo pobre de los cambios Reduccin del impacto de las interrupciones causadas por cambios Reduccin del nivel de los recursos y el tiempo requerido en relacin al nmero de cambios Nmero de emergencias corregidas
BORRADOR
75
Informacin TI
Monitoreo

Dominio:
Entrega de Servicios y Soporte
Se hace referencia a la entrega de servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad.
BORRADOR
76
Procesos
Efectividad
Criterios de informacin Confidencialidad Disponibilidad Cumplimiento Confiabilidad
Recursos
Instalaciones
Aplicaciones
Tecnologa
Integridad
Eficiencia
Personal
PROCESOS SS01 SS02 SS03 SS04 SS05 SS06 SS07 SS08 SS09 SS10 SS11 SS12 SS13 Definir niveles de servicio Administrar servicios de terceros Administrar desempeo y capacidad Asegurar continuidad de servicio Garantizar seguridad de sistemas Identificar y asignar costos Educar y capacitar a usuarios Apoyar y orientar a clientes Administrar la configuracin Administrar problemas e incidentes Administrar la informacin Administrar las instalaciones Administrar la operacin
P P S S S S S
P P S S S S S
P P P S P P S P P P P P P P P P S S S S P S S P P P S S S P
BORRADOR
Datos
77
Informacin TI
Monitoreo

Dominio:
Entrega de Servicios y Soporte Los 13 Procesos y sus Indicadores
BORRADOR
78
SS01
Definicin de niveles de servicio
Debe satisfacer
Los requerimientos de negocio de establecer una comprensin comn del nivel de servicio requerido
A travs de el establecimiento de convenios de niveles de servicio que formalicen los criterios de desempeo contra los cuales se medir la cantidad y la calidad del servicio
Convenios formales Definicin de responsabilidades Tiempos y volmenes de respuesta Dependencias Cargos Garantas de integridad Convenios de confidencialidad
BORRADOR
79
SS01
1. 2. 3. 4. 5. 6.
Establecer un marco de referencia para el convenio de los niveles de servicio Establecer un acuerdo explicito sobre los Convenios de los niveles de servicio Definicin de los Procedimientos que aseguren la Ejecucin de los niveles de servicio Designacin de un gerente que sea responsable de monitorear y reportar los alcances de los criterios de desempeo del servicio especificado Implementar procesos de revisin de convenios y contratos de nivel de servicio Incluir provisoines para los Elementos sujetos a Cargo en los acuerdos de niveles de servicio para realizar las comparaciones y desisiones de los niveles de servicio contra su costo Implementar un programa de mejoramiento del servicio con el fin de dar seguimiento a mejoras al nivel de servicio de acuerdo a su costo
7.
BORRADOR
80
SS01

Periodo de resolucin de un cambio de nivel de servicio solicitado Frecuencia de la encuesta de satisfacin al cliente Tiempo de resolucin de un problema de nivel de servicio Nmero de veces que el procediemiento de anlisis de causas de un nivel de servicio y su subsecuente resolucin, se completa dentro del tiempo requerido Monto de los fondos adicionales necesarios para entregar los niveles de servicio definidos
Key Goal Indicators

Aceptacin, por parte de la unidad estratgica de negocio, que los niveles de servicio estn alineados con los objetivos claves del negocio Indice de satisfaccin al cliente por logro de los niveles de servicio acordados Relacin de costo actual vs presupuesto en linea con los niveles de servicios Porcentaje de todos los procesos crticos de negocios cubierto por un SLA confiado a IT Porcentaje de los SLA revisados en el periodo convenido o despues de un cambio mayor Cumplimiento del nivel de servicio acordado entre el proveedor y el equipo de monitoreo Porcentaje de servicio IT que concuerdan con sus SLA
BORRADOR
81
SS02
Administracin de servicios prestados por terceros
Debe satisfacer
Los requerimientos de negocio de asegurar que las tareas y responsabilidades de las terceras partes estn claramente definidas, que cumplan y continen satisfaciendo los requerimientos
A travs de medidas de control dirigidas a la revisin y monitoreo de contratos y procedimientos existentes, en cuanto a su efectividad y suficiencia, con respecto a las polticas de la organizacin
Acuerdos de servicio con terceras partes Acuerdos de confidencialidad Requerimientos legales regulatorios Monitoreo de la entrega de servicio
BORRADOR
82
SS02
1.
Asegurar que todos los servicios prestados por terceros sean identificados y que las interfases tcnicas y organizacionales sean documentadas Designacin de un responsable de asegurar la calidad de las Relaciones con terceros Definicin de procedimientos especificos para asegurar los acuerdos de los Contratos con Terceros Asegurar las Calificaciones de terceros a travs de una evaluacin de su capacidad para proporcionar los servicios reuqeridos Definicin de procedimientos especificos para asegurar que los Contratos con Outsourcing cumplan los niveles requeridos Consideracin del riesgo en los negocios en relacin con la participacin de los terceros de acuerdo con la Continuidad de Servicios Asegurar el cumplimiento de las Relaciones de Seguridad de acuerdo con los estandares establecidos Establecer un proceso continuo de Monitoreo sobre la prestacin de servicio a terceros, asegurando el cumplimiento de los acuerdos
2. 3.
4.
5.
6. 7. 8.
BORRADOR
83
SS02

Nmero y frecuencia de las reunin de revisin entre las partes Nmero de enmiendas a contratos Frecuencia de reportes de nivel de servicio Nmero de asuntos excepcionales Tiempo para resolver los asuntos Porcentaje de contratos excepcionales por revisiones legales Periodo desde la ltima revisin de contrato contra las condiciones de mercado Nmero de contratos de servicio que no usan los terminos habituales o con excepciones aprobadas
Key Goal Indicators

Porcentaje de proveedores de servicio con acuerdo formal de objetivos Porcentaje de proveedores de servicio que estan formalmente calificados Nmero de subcontratistas con objetivos definidos y expectativas claras Indice de satisfaccin mutua entre el contratista y el contratado Nmero de subcontratistas sin acuerdo de objetivos o niveles de servicio Nmero y costo de las disputas en curso con subcontratistas por convenios inadecuados o diferencias con respecto al convenio
BORRADOR
84
SS03
Administracin de desempeo y capacidad

Los requerimientos de negocio de asegurar que la capacidad adecuada est disponible y que se est haciendo el mejor uso de ella para alcanzar el desempeo deseado
Debe satisfacer
A travs de controles de manejo de capacidad y desempeo que recopilen datos y reporten acerca del manejo de cargas de trabajo, tamao de aplicaciones, manejo y demanda de recursos
Requerimientos de disponibilidad y desempeo Monitoreo y reporte Herramientas de modelado Administracin de capacidad Disponibilidad de recursos
BORRADOR
85
SS03
1.
Asegurar la identificacin de las necesidades del negocio en cuanto a los requerimientos de disponibilidad y desempeo de los servicios de informacin Asegurar el establecimiento de un plan de disponibilidad Implementar un proceso de Monitoreo y Reporte del desempeo de los recursos de tecnologia de informacin Desarrollo de Herramientas de Modelado apropiadas para producir un modelo del sistema actual, calibrado y ajustado segn la carga de trabajo y su capacidad Proceso de administracin que incluya la capacidad de pronostico para permitir que los problemas sean resueltos antes que afecten el desempeo de los sistemas Pronstico de Carga de Trabajo con el fin de identificar tendencias y proporcionar la informacin necesaria para su ejecucin. Administracin de la Capacidad del hardware con el fin de asegurar que existe la capacidad necesaria para cubrir las necesidades y los acuerdos de calidad establecidos Prevencin de perdida de Disponibilidad de Recursos, mediante implementacin de mecanismos de tolerancia de fallas Adquisicin oportuna de la capacidad requerida de recursos
2. 3.
4.
5.
6. 7. 8. 9.
BORRADOR
86
SS03

Nmero de tiempos muertos causados por insuficiente capacidad o desempeo del hardware Porcentaje de capacidad remanente en cargas normal y mxima Tiempo tomado en resolver un problema de capacidad Porcentaje de actualizacones no planeadas comparadas con el nmero total de actualizaciones Frecuencia de ajustes de capacidad para cumplir con los cambios de demanda
Key Goal Indicators

Nmero de procesos de negocios con interrupciones causadas por inadecuada capacidad o desempeo de IT Nmero de procesos crticos de negocio no cubiertos por un plan de disponibilidad de servicio definido. Porcentaje de recursos crticos de IT con adecuada capacidad y desempeo, tomando en cuenta los picos de demanda
BORRADOR
87
SS04
Garantizar la continuidad del servicio

Los requerimientos de negocio de mantener el servicio disponible de acuerdo con los requerimientos y continuar su provisin en caso de interrupciones
Debe Satisfacer
A travs de teniendo un plan de continuidad probado y funcional, que est alineado con el plan de continuidad del negocio y relacionado con los requerimientos de negocio
Clasificacin de severidad Plan documentado Procedimientos alternativos Respaldo y recuperacin Pruebas y entrenamiento sistemticos y regulares
BORRADOR
88
SS04
1. 2.
Crear un marco de referencia de continuidad de tecnologa de informacin Desarrollo de una estrategia y filosofa de continuidad de tecnologa de informacin para asegurar que se encuentra en lnea con el plan de negocios 3. Establecer el contenido del plan de continuidad de tecnologa de informacin 4. Definir procedimientos y guas para la minimizacin de requerimientos de continuidad de tecnologa de informacin con respecto a personal, instalaciones 5. Proveer procedimientos de mantenimiento del plan de continuidad de tecnologa de informacin 6. Desarrollo de pruebas del plan de continuidad de tecnologa de informacin 7. Asegurar la capacitacin sobre el plan de continuidad de tecnologa de informacin a todas las partes interesadas 8. Distribucin del plan de continuidad de tecnologa de informacin solo a personal autorizado bajo estrictas medidas de seguridad 9. Asegurar la definicin de procedimientos de respaldo de procesamiento para departamentos usuarios 10. Identificar los Recursos crticos de Tecnologa de Informacin 11. Centro de Cmputo y Hardware de respaldo
BORRADOR
89
SS04

12. Procedimientos de Refinamiento del Plan de Continuidad de TI 13. Identificar los Recursos crticos de Tecnologa de Informacin 14. Asegurar que la metodologa de continuidad incorpora la identificacin de alternativas relativas al centro de cmputo y hardware de respaldo 15. Establecer Procedimientos de Refinamiento del Plan de Continuidad de TI para evaluarlo y actualizarlo de acuerdo con los resultados.
BORRADOR
90
SS04

Nmero de fallas de continuidad del servicio excepcionales no resueltos o direccionados Nmero y grado de interrupciones de continuidad del servicio, usando criterios de duracin e impacto Periodo entre cambios organizacionales y la actualizacin del plan de continuidad Tiempo para diagnosticar un incidente y decidir sobre la ejecucin del plan de continuidad Tiempo para normalizar los niveles de servicio despues de la ejecucin del plan de continuidad Cantidad de arreglos de disponibilidad implemantados proactivamente Tiempo para tratar dficit en la continuidad del servicio Frecuencia de entrenamientos de continuidad de servicios ejecutados Frecuencia de pruebas de continuidad de servicios
Key Goal Indicators

Nmero de incidentes que causen verguenza pblica Nmero de procesos crticos de negocio confiados a IT que tiene planes adecuados de la continuidad % de pruebas regulares y formales de que los planes de continuidad funcionan Reducir tiempos muertos Nmero de componentes crticos de infraestructura con monitoreo automtico disponible
BORRADOR
91
SS05
Garantizar la seguridad de sistemas
Debe Satisfacer
Los requerimientos de negocio de salvaguardar la informacin contra uso no autorizados, divulgacin, modificacin, dao o prdida
A travs de controles de acceso lgico que aseguren que el acceso a sistemas, datos y programas est restringido a usuarios autorizados
Autorizacin Autenticacin Acceso Perfiles e identificacin de usuarios Administracin de llaves criptogrficas Manejo, reporte y seguimiento de incidentes Prevencin y deteccin de virus Firewalls
BORRADOR
92
SS05
1.
Administrar las medidas de seguridad y que se encuentren en lnea con los requerimientos del negocio 2. Identificacin, autenticacin y acceso a los sistemas unicamente por personal previamente autorizado 3. Implementar procedimientos que garanticen el control del acceso a datos en lnea 4. Establecer procedimientos para asegurar acciones oportunas relacionadas con la administracin de cuentas de usuario 5. Desarrollar un proceso de revisin gerencial del acceso de las cuentas de usuario 6. Controlar de forma sistemtica a los usuarios sobre cuentas de usuario 7. Asegurar la vigilancia/ control de la actividad de seguridad 8. Asegurar la adecuada clasificacin de Datos 9. Administracin centralizada de identificacin y derechos de acceso de los usuarios de los sistemas de informacin 10. Elaboracin de reportes de violacin y de actividades de seguridad para identificacr y resolver incidentes que involucren actividades no autorizadas 11. Implementar la capacidad de manejar incidentes de seguridad computacional
BORRADOR
93
SS05
Objetivos de Control: 12. Asegurar que se lleva a cabo de manera periodica la Reacreditacin de seguridad a fin de preservar el nivel de seguridad acordado 13. Las polticas organizacionales deberan asegurar la autenticidad de las Contrapartes que proporcionan instrucciones o transacciones electrnicas 14. Asegurar la autenticidad de las transacciones 15. Las transacciones no pueden ser negadas por ninguna de las partes 16. Asegurar que la informacin de transacciones es enviada y recibida exclusivamente a travs de cabnales o senderos seguros 17. Todo hardware y software relacionado con sistemas de seguridad debe encontrarse permanentemente protegido contra intromisiones para proteger su integridad 18. Definir e implementar procedimientos y protocolos a ser utilizados en la generacin, certificacin y archivo de Llave Criptogrfica asegurando la proteccin de las mismas 19. Prevencin, deteccin y correccin de software malicioso 20. Utilizacin de FireWalls adecuados para proteger cualquier acceso no autirizado si se posee conexin a Internet o a redes pblicas 21. Proteccin de la integridad de los valores electrnicos
BORRADOR
94
SS05

Reducir el nmero de llamadas de servicio, solicitudes de cambio y arreglos relacionados a seguridad Cantidad de tiempos muertos causados por incidentes de seguridad Nmero de sistemas sujetos a un proceso de deteccin de la intrusin Nmero de sistemas con monitoreo activo de capacidades Reduccin de tiempo de investigacin de incidentes Periodo entre deteccin, reporte y actuacin sobre un incidente de seguridad Nmero de dias de entrenamiento de seguridad de IT
Key Goal Indicators

Nmero de incidentes que causen problemas pblicos Reporte inmediato sobre incidentes crticos Alineacin de los derechos de acceso con las responsabilidades organizacionales Reducir el nmero de retrazos de nuevas implementaciones en lo que a seguridad concierne Conformidad total o desviaciones convenidas y registradas de requisitos mnimos de la seguridad Reduccin del nmero de incidentes de acceso no autorizado, perdida o corrupcin de informacin
BORRADOR
95
SS06
Identificacin y asignacin de costos

Los requerimientos de negocio de asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI
Debe Satisfacer
A travs de un sistema de contabilidad de costos que asegure que stos sean registrados, calculados y asignados a los niveles de detalle requeridos
Recursos identificables y medibles Procedimientos y polticas de cargo Tarifas
BORRADOR
96
SS06
1.
Asegurar que los elementos sujetos a cargo sean identificables, mediblesy predecibles para los usuarios Definir e implementar procedimientos de costeo para proporcionar informacin gerencial acerca del costo de prestar servicios de informacin, asegurando al mismo tiempo la reduccin de los mismos Definir y utilizar procedimientos de cargo y facturacin a usuarios
2.
3.
BORRADOR
97
SS06

Porcentaje de variacin entre presupuesto, proyecciones y costo real Reduccin del porcentaje en tarifas del servicio de informacin Porcentaje de incremento de las respuestas ptimas a las solicitudes de servicios de usuarios Porcentaje de incremento en optimizacin de uso de recursos de IT Nmero de iniciativas de optimizacin de costo
Key Goal Indicators

Optimizacin continua de costos de servicios de informacin por funcin de IT Optimizacin continua de servicios de informacin por usuario Incremento del factor beneficio/ costo de los servicios de IT Indice de eficiencia, basado en una comparacin de costos internos con proveedores externos Entendimiento y aceptacin de los costos de IT y los niveles de servicio por la gerencia del negocio
BORRADOR
98
SS07
Educacin y entrenamiento de usuarios
Debe Satisfacer
Los requerimientos de negocio de asegurar que los usuarios estn haciendo un uso efectivo de la tecnologa y estn conscientes de los riesgos y responsabilidades involucrados
A travs de un plan completo de entrenamiento y desarrollo
Curriculum de entrenamiento Campaas de concientizacin Tcnicas de concientizacin
BORRADOR
99
SS07
1.
En lnea con el plan a largo plazo, es necesario identificar las Necesidades de Entrenamiento de todo el personal que haga uso de los servicios de informacin Una vez definidas las necesidades, se deben definir los objetivos, identificar y asiganr a los entrenadores y organizar las sesiones de entrenamiento Todo el personal debe estar capacitado y entrenado en los principios de seguridad de sistemas.
2.
3.
BORRADOR
100
SS07

Porcentaje de personal entrenado Vigencia de los planes de estudios del entrenamiento de empleado Tiempo desde la identificacin de necesidades de entrenamiento y el entrenamiento en si Nmero de alternativas de entrenamiento disponibles para empleados hechas en casa y de proveedores externos. Porcentaje de empleados entrenados en requerimiento de conducta tica Nmero de violaciones ticas identificadas en empleados Porcentaje de empleados entrenados en prcticas de seguridad Nmero de incidentes de seguridad identificados relacionados con el personal % de identificacin y documentacin de necesidades de entrenamiento y otorgamiento oportuno del entrenamiento
Key Goal Indicators

Medida de la mejora sobre la utilizacin de los recursos de IT, por los empleados, para maximizar el valor de negocio Medida del incremento del conocimiento de los empleados de los valores eticos, principios de sistemas de seguridad y desempeo de actividades en forma etica y segura Medida de la mejora en practicas de seguridad para proteger contra dao causado por fallas que afecten la disponibilidad, confidencialidad e integridad Nmero de llamadas a hepldesk para entrenamiento o responder preguntas Incremento en la satisfaccin de usuarios con roll out de nuevas tecnologas
BORRADOR
101
SS08
Apoyo y orientacin a clientes de TI

Los requerimientos de negocio de asegurar que cualquier problema experimentado por los usuarios sea atendido apropiadamente
Debe Satisfacer
A travs de un Bur de ayuda que proporcione soporte y asesora de primera lnea
Consultas de usuarios y respuesta a problemas Monitoreo de consultas y despacho Anlisis y reporte de tendencias
BORRADOR
102
SS08
1. 2. 3. 4. 5.
Establecer un soporte para los usuarios dentro de una funcin de help desk de Ayuda Desarrollo de procedimientos para registrar las preguntas de los usuarios Desarrollo de procedimientos para el escalamiento de preguntas del cliente que no puedan ser resueltas inmediatamente y que sean reasignadas apropiadamente Establecer procedimientos de monitoreo de atencin a las preguntas de los clientes Definicin de procedimientos de anlisis de los problemas y/o preguntas del cliente y su solucin y reporte e identificacin de las tendencias de las mismas
BORRADOR
103
SS08

Nmero de solicitudes repetidas Nmero de escalaciones Nmero de solicitudes Tiempo de resolucin de problemas Reduccin de las tendencias en los problemas del usuario Costo por llamadas
Key Goal Indicators

Reduccin del tiempo promedio de resolucin de problemas Reduccin del nmero de tickets repetidos para solucionar un problema (re-llamadas) % de incremento de la confianza del usuario en los servicios de Help Desk Mejoramiento de la eficiencia del help desk por reduccin de los recursos humanos versus los sistemas de soporte % de problemas resueltos en la primera llamada Duracin de la llamada
BORRADOR
104
SS09
Administracin de la configuracin
Los requerimientos de negocio de dar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia fsica y proporcionar una base para el sano manejo de cambios
Debe Satisfacer
A travs de controles que identifiquen y registren todos los activos de TI as como su localizacin fsica y un programa regular de verificacin que confirme su existencia
Registro de activos Administracin de cambios en la configuracin Chequeo de software no autorizado Controles de almacenamiento de software
BORRADOR
105
SS09
1.
Establecer procedimientos para asegurar que sean registrados elementos de configuracin autorizados e identificables, al igual que dar seguimiento a los cambios en la configuracin Asegurar que exista una configuracin base de elementos como punto de verificacin al cual regresar despus de las modificaciones Asegurar que los registro de configuracin reflejen el estatus de los elementos de la configuracin, incluyendo su historia Revisin de los registros de la configuracin de la funcin de servicios de informacin Revisar periodicamente la presencia de software no autorizado en las computadoras personales de la organizacin Definicin de un rea de almacenamiento de software
2. 3.
4. 5.
6.
BORRADOR
106
SS09
% de los componentes de la configuracin para los cuales la data es guardada y procesada automaticamente. Frecuencia de verificaciones fisicas Frecuencia de correcciones de la configuracin por redundancia, obsolecencia o excepcin Tiempo entre las modificaciones de la configuracin y la actualizacin de los records Nmero de lanzamientos Porcentaje de cambios reaccionarios
Key Goal Indicators

% de la configuracin de IT identificada y acordada Reduccin del nmero de variaciones entre las cuentas y las situaciones fisicas Indice de calidad de la informacin incluyendo las interrelaciones, vigencia, cambios, etc. Indice de uso de la informacin para acciones proactivas, incluyendo mantenimiento preventivo y criterios de actualizacin de datos.
BORRADOR
107
SS10
Administracin de problemas e incidentes
Debe Satisfacer
Los requerimientos de negocio de asegurar que los problemas e incidentes sean resueltos y que sus causas sean investigadas para prevenir cualquier recurrencia
A travs de un sistema de manejo de problemas que registre y d seguimiento a todos los incidentes
Suficientes pistas de auditora de problemas y soluciones Resolucin oportuna de problemas reportados Procedimientos de escalamiento Reportes de incidentes
BORRADOR
108
SS10
1.
Definir e implementar un sistema de administracin de problemas para asegurar que todos los eventos sean registrados, analizados y resueltos oportunamente Definir e implementar procedimientos de escalamiento de problemas para asegurar que los problemas identificados sean resueltos apropiadamente Proporcionar elementos adecuados para el seguimiento de problemas y pistas de auditora que permitan el seguimiento de las causas a partir de los incidentes
2.
3.
BORRADOR
109
SS10

Tiempo transcurrido entre el reconocimiento inicial del sntoma a la entrada en el sistema de gerenciacin de problemas Tiempo transcurrido entre el reconocimiento del problema y su resolucin o escalamiento Tiempo transcurrido entre la evaluacin y la aplicacin de las reparaciones propuestas por el vendedor % de problemas reportados con descripcin de la resolucin de los mismos Frecuencia de reuniones de coordinacin con cambios gerenciales y disponibilidad del personal gerencial Frecuencia de reportes con anlisis de los problemas Reduccin del nmero de problemas no controlados dentro de la estructura formal de manejo de problemas.
Key Goal Indicators

% de disminucin del impacto de problemas e incidentes sobre los recursos de TI Reduccin en el tiempo transcurrido desde el informe inicial del sntoma a la resolucin del problema % de reduccin del nmero de problemas e incidentes irresolubles Incremento en el nmero de los problemas evitados con arreglos pre-establecidos Disminucin del tiempo entre la identificacin y escalada de problemas e incidentes de alto riesgo
BORRADOR
110
SS11
Administracin de Datos
Los requerimientos de negocio de asegurar que los datos permanezcan completos, precisos y vlidos durante su entrada, actualizacin y almacenamiento A travs de una combinacin efectiva de controles generales y de aplicacin sobre las operaciones de TI
Debe Satisfacer
Como lo hace posible Diseo de formatos Controles de documentos fuente Controles de entrada Controles de procesamiento Controles de salida Identificacin, movimiento y administracin de la librera de medios Administracin de almacenamiento y respaldo de medios Autenticacin e integridad
BORRADOR
111
SS11
1.
Establecer procedimientos de Proteccin de Informacin Sensible durante transmisin y transporte de los datos Asegurar la existencia de procedimientos de autorizacin de documentos fuentes Los documentos fuentes deben estar completos, ser precisos, registrados apropiadamente y transmitidos oportunamente para la entrada de datos. Los procedimientos de manejo de errores durante la creacin de datos deberan asegurar razonablemente que los errores sean reportados y corregidos adecuadamente Debern estabecerse procedimientos para aseguara que la organizacin pueda retener los documentos fuente originales Establecer procedimientos apropiados para asegurar que la entrada de la data sea llevada a cabo por personal autorizado Debe chequearse la exactitud, suficiencia y autoridad de los datos asegurando su validez Establecer procedimientos para la correcin y reenvo de datos que hayan sido capturados errneamente Establecer procedimientos para el procesamiento de datos que aseguren su integridad
2. 3.
4.
5.
6. 7. 8. 9.
BORRADOR
112
SS11
Objetivos de Control(cont.):
10. Establecer procedimientos para asegurar que la validacin, autenticacin y edicin del procesamiento sean llevados a cabo tan cerca del punto de origen como sea posible 11. Establecer procedimientos de manejo de errores en el procesamiento de datos que permitan su identificacin temprana y oportuna 12. Establecer procesos para el manejo y retencin de datos de salid de los programas de aplicacin de tecnologia de informacin. 13. Establecer y comunicar los procedimientos para la distribucin de datos de salida de tecnologia de informacin. 14. Establecer procedimientos que aseguren que los datos de salida sean balanceados rutinariamente con los totales de controles relevantes. 15. Establecer procedimientos para asegurar que la precisisn de los reportes de salid sea revisada por el proveedor y por los usuarios relevantes 16. Establecer procedimientos para garantizar que la seguridad de los reportes de salida sea mantenida y verificada 17. Asegurar la proteccin de la informacin sensible durante su transporte y transmisin 18. Asegurar la proteccin de informacin crtica para impedir su divulgacin indebida o el desecho de la misma
BORRADOR
113
SS11
19. Definir periodos de retencin y los trminos de almacenamiento para documentos, datos, reportes y mensajes 20. Establecer procedimientos para asegurar que el contenido de la librera de medios sea inventariada y administrada automticamente 21. Definir las responsabilidades de la administracin de la librera de medios para asegurar la porteccin de la misma 22. Implementar una estrategia apropiada de respaldo y restauracin asegurando que incluya una revisin de los procedimientos del negocio, as como el desarrollo , implementacin y repaldo del plan de recuperacin 23. Asegurar que los respaldos sean realizados de acuerdo a las estrategias acordadas 24. Definir procesos para el almacenamiento apropiado de los archivos de datos, del software y de la documentacin relacionada 25. Implementar una poltica y procedimientos para asegurar que el archivo cumpla con los requerimientos legales y del negocio 26. Definir e implementar procedimientos y protocolos que deben ser utilizados para el aseguramiento, integridad, confiabilidad y no negacin de los datos
BORRADOR
114
SS11
27. Verificacin de la autenticidad e integridad de la informacin originada fuera de la organizacin 28. Definir e implementar apropiados procedimientos y prcticas para las transacciones electrnicas que sean sensitivas y crticas para la organizacin 29. Asegurar que la integridad y confiabilidad de la data sea verificado de manera periodica.
BORRADOR
115
SS11
Porcentaje de errores en la introduccin de la data o en data introducida Porcentaje de reprocesos Porcentaje de prevencin de errores en el momemto del registro de la data Intervalo de tiempo entre la ocurrencia del error, su deteccin y correccin Reduccin de problemas de la data output Reduccin del tiempo para recuperar la data archivada
Key Goal Indicators

Disminucin del tiempo de prepacin y entrega de los datos % de mejoramiento de la calidad y disponibilidad de la data % de satisfaccin de los usuarios de la data % de disminucin de las actividades correctivas y de investigacin de data corrupta Reduccin de defectos de los datos en base a la redundancia, duplicacin e inconsistencia
BORRADOR
116
SS12
Administrar las instalaciones

Los requerimientos de negocio de proporcionar un ambiente fsico conveniente que proteja al equipo y al personal de TI contra peligros naturales o fallas humanas
Debe Satisfacer
A travs de la instalacin de controles fsicos y ambientales adecuados que sean revisados regularmente para su funcionamiento apropiado
Acceso a instalaciones Identificacin del centro de cmputo Seguridad fsica Salud y seguridad del personal Proteccin contra amenazas ambientales
BORRADOR
117
SS12
1.
Establecer medidas de Seguridad Fsica y control de acceso para las instalaciones de tecnologa de informacin segn la poltica de seguridad Asegurar discrecin y que la identificacin fsica de las instalaciones relacionadas con sus operaciones de tecnologa de informacin sean limitadas Desarrollo de procedimientos adecuados de escolta de visitantes cuando entran a las instalaciones Establecer y mantener prcticas de salud y seguridad del Personal Asegurar que se establezcan y que se mantengan suficientes medidas para la proteccin contra factores ambientales Evaluar regularmente la necesidad de generadores y baterias de suministro ininterrumpido de energia para aplicaciones de tecnologa de informacin
2.
3. 4. 5. 6.
BORRADOR
118
SS12

Inventario completo y mapas identificando la ubicacin de los puntos de fallas Frecuencia del entrenamiento del personal en seguridad Frecuencia de las revisiones de las alarmas contra incendio y de los planes de evacuacin Nmero de inspecciones fisicas Reduccin del nmero de accesos no autorizados a los cuartos de equipos Intervalo de tiempo entre iniciar y cerrar los incidentes fisicos
Key Goal Indicators

Reduccin del nmero de incidentes sobre las instalaciones, incluyendo daos, problemas de salud, etc Disminucin del tiempo perdido debido a interrupciones Medida del cumplimientos de las leyes y regulaciones sobre las instalaciones Medida del cumplimiento de las politicas de seguridad Mejoramiento de la relacin costo/riesgo de las instalaciones
BORRADOR
119
SS13
Administracin de la operacin
Los requerimientos de negocio de asegurar que las funciones importantes de soporte de TI estn siendo llevadas a cabo regularmente y de una manera ordenada
Debe Satisfacer
A travs de una calendarizacin de actividades de soporte que sea registrada y completada en cuanto al logro de todas las actividades
Manual de procedimiento de operaciones Documentacin de procedimientos de arranque Administracin de servicios de red Calendarizacin de personal y cargas de trabajo Proceso de cambio de turno Registro de eventos de sistemas
BORRADOR
120
SS13
1.
Elaboracin de un manual de procedimientos de operacin e instrucciones para las funciones de tecnologa de informacin Procedimientos de documentacin del proceso de inicio y de otras operaciones Elaborar un calendario de trabajos acorde con los objetivos establecidos en los convenios de niveles de servicio Establecer procedimientos para investigar y aprobar las salidas de la calendarizacin de trabajos estndar Establecer procedimientos de continuidad de procesamiento durante los cambios de turno de operadores Garantizar el almcenamiento de la informacin importante en Bitcoras de Operacin para permitir la recosntruccin y revisin de la data en caso de ser necesario Establecer procedimientos especficos que aseguren la conexin y desconexin en el procesamiento de operaciones remotas
2. 3.
4.
5.
6.
7.
BORRADOR
121
SS13
Cumplimiento del tiempo de las distintas etapas en los procesos de computacin Medida de la reduccin de tiempo de intervencin del operador Reduccin del nmero de problemas y desviaciones Reduccin del nmero de reinicios Reduccin de la cantidad de mantenimientos no planificados Reduccin del nmero de trabajos y eventos no programados Increased number of user controlled parameter settings Medicin de la congruencia entre las demandas de los usuarios y la disponibilidad de recursos Frecuencia de anlisis y reportes conducidos por el monitoreo de los resultados de operaciones Frecuencia de los chequeos del backup Edad promedio de los equipos
Key Goal Indicators

% de reduccin del tiempo y nmero de desviaciones de la planificacin operativa Una medida de los resultados obtenidos y desarrollados por el receptor de la informacin % de disponibilidad de los recursos disponibles en tiempo y de acuerdo a lo planificado % de reduccin de los errores relacionados con la operacin Reduccin del tiempo programado y no programado como consecuencia de las intervenciones de operaciones Reduccin del costo total de la operacin en lo referente a la totalidad de los procesos
BORRADOR
122
Informacin TI
Monitoreo

Dominio:
Monitoreo
Todos los procesos necesitan ser evaluados regularmente a travs del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control.
BORRADOR
123
Procesos
Efectividad
Criterios de informacin Confidencialidad Disponibilidad Cumplimiento Confiabilidad
Recursos
Instalaciones
Aplicaciones
Tecnologa
Integridad
Eficiencia
Personal
PROCESOS M1 M2 M3 Monitorear el proceso Evaluar lo adecuado del control interno Obtener aseguramiento independiente
P S S S S
S S
P P S S S S S P P S S S S S P P S S S S S
M4
Proporcionar auditora independiente
BORRADOR
Datos
124
Informacin TI
Monitoreo

Dominio:
Monitoreo Los 4 Procesos y sus Indicadores
BORRADOR
125
M1
Monitorear el proceso
Debe satisfacer
Los requerimientos de negocio de asegurar el logro de los objetivos establecidos para los procesos de TI
Como lo hace posible A travs de la definicin por parte de la gerencia de reportes e indicadores de desempeo gerenciales, la implementacin de sistemas de soporte as como la atencin regular a los reportes emitidos
Indicadores clave de desempeo Factores crticos de xito Evaluacin de la satisfaccin de clientes Reportes gerenciales
BORRADOR
126
M1
1.
Definicin y Recoleccin de Datos de para la creacin de datos relevantes de desempeo Evaluacin de Desempeo segn las metas a alcanzar Evaluacin de la Satisfaccin de Clientes Elaboracin de Reportes Gerenciales
2. 3. 4.
BORRADOR
127
M1
Intervalo de tiempo entre la ocurrencia de la falla de un proceso y su reporte Intervalo de tiempo entre el reporte de la falla y el inicio de la solucin de la misma Factor entre los problemas de procesos reportados y las deficiencias subsecuentemenre aceptadas Nmero de procesos monitoreados Nmero de relaciones causa-efecto identificadas e incorporados en el monitoreo Nmero de benchmarks externos para comparar la efectividad de los procesos Intervalo de tiempo entre los cambios del negocio y cualquier cambio asociado a los indicadores de actuacin Nmero de cambios en el grupo de indicadores monitoreados sin un cambio en las metas del negocio
Key Goal Indicators

Aplicacin de los reportes de los indicadores de actuacin Nmero creciente de las oportunidades de mejora, detectadas y llevadas a cabo, sobre los proceso Satisfaccin de la gerencia sobre los reportes de los indicadores de actuacin Disminucin del nmero de deficiencias de procesos especiales
BORRADOR
128
M2
Evaluar lo adecuado del control interno
Debe satisfacer
Los requerimientos de negocio de asegurar el logro de los objetivos de control interno establecidos para los procesos de TI
A travs de el compromiso de la Gerencia de monitorear los controles internos, evaluar su efectividad y emitir reportes sobre ellos en forma regular
Monitoreo permanente de control interno Comparacin con mejores prcticas Reportes de errores y excepciones Autoevaluaciones Reportes gerenciales
BORRADOR
129
M2
1. 2. 3. 4.
Monitoreo de Control Interno Operacin oportuna del Control Interno para resaltar errores e inconsistencias y que estos sean corregidos antes de que impacten la prestacin de servicio Reporte sobre el Nivel de Control Interno Realizar auditoria para examinar si la seguridad y los controles internos se encuentran operando de acuerdo con los requerimientos establecidos, e identificar puntos vulnerables y problemas de seguridad.
BORRADOR
130
M2

Intervalo de tiempo entre la ocurrencia de la deficiencia del control interno y su divulgacin Nmero, frecuencia y cobertura de los informes internos Nmero de acciones oportunas en control interno Nmero de mejoras en control provenientes del anlisis de las causas
Key Goal Indicators

Indice de satisfaccin y confort de la gerencia media con los reportes de monitoreo de control interno Disminuir la probabilidad de incidentes a travs del control interno Valoracin positiva de los reportes de control interno Nmero de iniciativas desarrolladas de control Disminuir el nmero de incidentes de seguridad y defectos de calidad
BORRADOR
131
M3
Obtener aseguramiento independiente

Los requerimientos de negocio de incrementar los niveles de confianza entre la organizacin, clientes y proveedores externos
Debe satisfacer
A travs de revisiones de aseguramiento independientes llevadas al cabo en intervalos regulares
Certificaciones / acreditaciones independientes Evaluaciones independientes de efectividad Aseguramiento independiente sobre cumplimiento de requerimientos legales y regulatorios Aseguramiento independiente de cumplimiento de compromisos contractuales Revisiones a proveedores externos de servicios Aseguramiento de desempeo por personal calificado Involucramiento proactivo de auditora
BORRADOR
132
M3
1. 2. 3. 4. 5. 6. 7.
Certificacin Independiente de Control y Seguridad de los servicios de TI Certificacin Independiente de Control y Seguridad de proveedores externos de servicios Evaluacin Independiente de la Efectividad de los Servicios de TI Evaluacin Independiente de la Efectividad de proveedores externos de servicios Aseguramiento Independiente del Cumplimiento de leyes y requerimientos regulatorios y compromisos contractuales Aseguramiento Independiente del Cumplimiento de leyes y requerimientos regulatorios y compromisos contractuales de proveedores externos de servicios La funcin de aseguramiento independiente debe tener las Competencias tecnicas, habilidades y conocimientos necesarios para desempear dicha funcin Participacin Proactiva de Auditora de la Gerencia de TI
8.
BORRADOR
133
M3

Disminucin del overhead como consecuencia del proceso de aseguramiento y las certificaciones obtenidas Cumplimineto del tiempo de los reportes de aseguramiento Cumplimiento del tiempo de las actividades de aseguramiento Nmero de procesos de aseguramiento iniciados Nmero de interaciones aceptadas antes de los reportes de aseguramiento Nmero de decisones de IT que requieren aseguramiento que no lo habian requerido con anterioridad Reducir el nmero de fallas o procesos de IT revertidos despues de obtener un aseguramiento positivo
Key Goal Indicators

Incremento del nmero de opiniones aceptadas sobre el sistema de control interno para todos los dominios acordados Incremento del nmero de certificaciones de calidad Incremento del nmero de opiniones reportadas por los stakeholders sobre decisiones mayores de IT como negociaciones y adquisiciones Porcentaje de recomendaciones realizadas a tiempo relacionadas con las revisiones de control interno,certificados de calidad y opiniones Reducir el nmero de fallas o decisiones de revertir procesos de IT Indice de confiabilidad y veracidad de los stakeholders
BORRADOR
134
M4
Proporcionar auditoria independiente

Los requerimientos de negocio de incrementar los niveles de confianza y beneficiarse de recomendaciones basadas en mejores prcticas
Debe Satisfacer
A travs de auditoras independientes desarrolladas en intervalos regulares
Independencia de auditora Involucramiento proactivo de auditora Ejecucin de auditoras por parte de personal calificado Aclaracin de resultados y recomendaciones Actividades de seguimiento
BORRADOR
135
M4
1.
Establecer los Estatutos de Auditora, definiendo responsabilidad, autoridad y obligaciones de la funcin Los auditores no deberan estar relacionados con la seccin o departamento que este siendo auditado Cumplimiento de los cdigos aplicables de Etica y Estndares Profesionales Los auditores deben contar con la Competencia tcnica, habilidades y conocimientos necesarios Se debe establecer un plan de auditoria para garantizar que se obtenga un aseguramiento regular e independiente. Los auditoes debern asegurarse de obtener evidencia suficiente para alcanzar los objetivos de auditora de forma efectiva Reporte de resultados en un formato adecuado para el personal interesado. Actividades de Seguimiento
2.
3. 4.
5.
6. 7. 8.
BORRADOR
136
M4

Incrementar el nivel de satisfaccin con las funciones de auditoria a traves del manejo de las relaciones Nmero de correctivos y acciones sostenibles llevadas a cabo despues del proceso de auditoria Incrementar el nmero de auditores con certificacin Mejorar el tiempo de ejecucin del proceso de auditoria desde la planificacin hasta la entrega de los resultados
Key Goal Indicators

Incrementar el nivel de confianza derivada desde las actividades de la auditoria independiente. Incrementar la adopcin de las mejores prcticas como un resultado del desarrollo de la auditoria y sus recomendaciones Incrementar el valor del dinero Incrementar el nivel de comunicacin entre el Comit de auditores y la gerencia media
BORRADOR
137
Inventario de Equipos y Sistemas de Cantv
BORRADOR
138
Descripcin LAN
Unidad de servicio Equipos Activos Routers Equipos Activos Switches Equipos Activos Hubs
Cantidad 172 97 448 1 1
Servidores
Servidores Oro: SISE SIASER
MAXIMO
DATA WAREHOUSE INTERNET EXCHANGE SRL OMC APOSTA WEB SAP FAST
1
1 1 1 1 1 1 1
BORRADOR
139
Descripcin Servidores
Unidad de servicio Servicio Plata Servicio Bronce Bronce Servicios Adicionales: Sun Enterprise 450 Serial 130V0092 Sun Ultra 5 System Serial FW03430525 Sun Ultra 5 System Serial FW03610360
Cantidad 84 182 1
1 1
Sun Ultra 5 System Serial FW12420029

IBM Serial 10343AF IBM Serial 10343BF
1
1 1
BORRADOR
140
Descripcin PCs
Unidad de servicio Desktops
Cantidad 8.523
PCs Call Center

Laptops Perifricos SNA Base de Datos Impresoras SNA Terminales SNA Servicio Oro Servicio Plata Servicio Bronce Administracin de Lneas Telefnicas PBXs y ACD Puertos PBX< 56 sin ACD PBX> 56 sin ACD PBX> 56 con ACD
656
719 103 850 14 30 68 10.020 58 4 5
BORRADOR
141
Ejemplo de Indices de Servicio
BORRADOR
142
Plataforma
Nombre Servidor
SESPE01 SESPE02 SISE SESPE03 SESPE04 SIASER1 SIASER2 SIASER SAPPASP01 SAPPASP02 MAXIMO RS6SVR1 DATA WAREHOUSE S80-01 OMC1 OMC OMC2 OMC3 APOSTA01 APOSTA02 APOSTA APOSTA03 APOSTA04 MAILHUB01 MAILHUB02 MAILHUB03 MAILNEA01 EXCHANGE MAILCAPITAL MAILREGIONES MAILEXCHPBX01 MAILEXCHPBX02
Disponibilidad % Importancia Disponibilidad Individual Servidor Plataforma 100.00% 40% 99.87% 40% 99.95% 100.00% 10% 100.00% 10% 99.50% 40% 99.47% 40% 99.59% 100.00% 10% 100.00% 10% 100.00% 100% 100.00% 100.00% 100% 100.00% 100.00% 35% 100.00% 100.00% 35% 100.00% 30% 100.00% 25% 100.00% 25% 100.00% 100.00% 25% 100.00% 25% 100.00% 13% 100.00% 13% 100.00% 13% 100.00% 13% 100.00% 100.00% 13% 100.00% 13% 100.00% 11% 100.00% 11%
BORRADOR
143
Plataforma
Nombre Servidor SRL01 SRL02 PRNCANTVSRL SASPMSV01 SASPMSV02 SSRLASP01 SSRLASP02 SSRLASP03 SSRLASP04 SSRLASP05 SSRLASP06 SSRLASP07 SSRLASP08 SSRLASP09 SSRLASP10 SSRLASP11 SSRLASP12 SSRLASP13 SSRLASP14 SSRLASP15
SRL
Disponibilidad % Importancia Disponibilidad Individual Servidor Plataforma 100.00% 26% 100.00% 26% 100.00% 11% 99.78% 2% 100.00% 5% 100.00% 2% 100.00% 2% 100.00% 2% 100.00% 2% 100.00% 2% 99.96% 100.00% 2% 100.00% 2% 99.85% 2% 100.00% 2% 100.00% 2% 98.32% 2% 100.00% 2% 100.00% 2% 100.00% 2% 100.00% 2%
BORRADOR
144

Propuesta COBIT

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Propuesta COBIT

Cargado por

Copyright:

Formatos disponibles

Propuesta de Indicadores para Planificacin de Sistemas

Gerencia de Control y Mejoramiento de Gestin TIC

Indice Introduccin El modelo de Indicadores de TI (COBIT, Control

Estructura del Modelo

Dominio: Planificacin y Organizacin

Inventario de Equipos y Sistemas Ejemplo de variables medidas

Gerencia de Control y Mejoramiento de Gestin TIC

Introduccin El modelo de Indicadores de TI (COBIT)

Consta de 34 proceso agrupados en 4 dominios:

Planificacin & Organizacin Adquisicin & Implementacin Entrega de Servicio Monitoreo.

Gerencia de Control y Mejoramiento de Gestin TIC

Introduccin El modelo de Indicadores de TI

Planificacin & Organizacin

Adquisicin & Implementacin

Gerencia de Control y Mejoramiento de Gestin TIC

Adquisicin & Implementacin

Gerencia de Control y Mejoramiento de Gestin TIC

Gerencia de Control y Mejoramiento de Gestin TIC

Confidencialidad Integridad Disponibilidad de la informacin

Gerencia de Control y Mejoramiento de Gestin TIC

Criterios de Informacin de TI: Costos

Gerencia de Control y Mejoramiento de Gestin TIC

Criterios de Informacin de TI: Seguridad

Gerencia de Control y Mejoramiento de Gestin TIC

Recursos de TI Datos Aplicaciones Tecnologa Instalaciones Personal

Gerencia de Control y Mejoramiento de Gestin TIC

Se entiende como sistemas de aplicacin la suma de procedimientos manuales y programados.

Recursos para alojar y dar soporte a los sistemas de informacin

Gerencia de Control y Mejoramiento de Gestin TIC

Objetivos del Negocio

Planificacin & Organizacin

Recursos de TI Entrega y Soporte

Adquisicin & Implementacin

Gerencia de Control y Mejoramiento de Gestin TIC

Comunicar la direccin y objetivos de la gerencia

Gerencia de Control y Mejoramiento de Gestin TIC

Como entender los Procesos

Es habilitado por Declaracin de control

Gerencia de Control y Mejoramiento de Gestin TIC

Indicadores de los Procesos de P & O

Key Goal Indicators

Key Performance Indicators

Gerencia de Control y Mejoramiento de Gestin TIC

Objetivos del Negocio

Planificacin & Organizacin

Recursos de TI Entrega y Soporte

Adquisicin & Implementacin

Gerencia de Control y Mejoramiento de Gestin TIC

Definicin de un plan Estratgico de Tecnologa de Informacin

Como lo hace posible

Que debe tomar en cuenta

Gerencia de Control y Mejoramiento de Gestin TIC

Definicin de un plan Estratgico de Tecnologa de Informacin

Qu Quin Cundo ...

Gerencia de Control y Mejoramiento de Gestin TIC

Definicin de un plan Estratgico de Tecnologa de Informacin

Key Goal Indicators

Gerencia de Control y Mejoramiento de Gestin TIC

Definicin de la Arquitectura de Informacin

Como lo hace posible

Que debe tomar en cuenta

Gerencia de Control y Mejoramiento de Gestin TIC

Definicin de la Arquitectura de Informacin