Documentos de Académico
Documentos de Profesional
Documentos de Cultura
BORRADOR
Dominios Criterios de informacin de TI Recursos de TI Procesos Como entender lo Procesos Indicadores de los Procesos Detalle de los Procesos
BORRADOR
Cada dominio es enfocado dentro de tres puntos estratgicos: Recursos de TI; Criterios de la Informacin y Procesos de TI
BORRADOR
Dominios
Monitoreo
Recursos de TI
Datos Aplicaciones Tecnologa Instalaciones Personal
Entrega y Soporte
BORRADOR
Dominios
Planificacin & Organizacin Comprende la estrategia y las tcticas y se refiere a la identificacin de la forma en que la tecnologa de informacin puede contribuir al logro de los objetivos del negocio. Adems, la consecucin de la visin estratgica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente debern ser establecidas la organizacin y una infraestructura tecnolgica apropiada.
Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, as como implementadas e integradas dentro del proceso del negocio. Este dominio cubre los cambios y el mantenimiento realizados a los sistemas existentes.
BORRADOR
Dominios
Entrega y Soporte
Se hace referencia a la entrega de servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, debern establecerse los procesos de soporte necesarios.
Monitoreo
Todos los procesos necesitan ser evaluados regularmente a travs del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control.
BORRADOR
Criterios de la Informacin de TI
Requerimientos relativos a Costos: Efectividad de las operaciones Eficiencia operativa Confiabilidad de la informacin Cumplimiento de las regulaciones
Calidad
Requerimientos de Seguridad:
BORRADOR
Eficiencia
Se refiere a la provisin de informacin a travs de la utilizacin ptima (ms productiva y econmica) de los recursos
Confiabilidad
Se refiere a la provisin de informacin apropiada para la administracin con el fin de operar el negocio y para ejercer sus responsabilidades de reportes y de cumplimiento.
Cumplimiento
Cumplimiento de leyes, regulaciones y acuerdos contractuales a los que el proceso de negocios esta sujeto, p.ej. criterios de negocios impuestos externamente.
BORRADOR
Integridad
Se trata de la precisin y suficiencia de la informacin asi como a su validez de acuerdo con los valores y expectativas del negocio
Disponibilidad
Se refiere a la disponibilidad de la informacin cuando sta es requerida por el proceso del negocio ahora y en el futuro. Tambin se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas
BORRADOR
BORRADOR
10
Recursos TI
Datos Los elementos de datos en su ms amplio sentido (externos e internos), estructurados y no estructurados, grficos, etc.
Aplicaciones
Tecnologa
Cubre hardware, software, sistemas operativos, sistemas de administracin de bases de datos, redes, multimiedia, etc.
Instalaciones
Personal
Habilidades del personal, conocimiento, conciencia y productividad para planear, organizar, adquirir, entregar, soportoar y monitorear servicios y sistemas de informacin.
BORRADOR
11
Informacin TI
Criterios de Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad
Monitoreo
Dominio:
Planificacin & Organizacin
Identificacin de la forma en que la tecnologa de informacin puede contribuir de la mejor manera al logro de los objetivos del negocio
BORRADOR
12
Procesos
Confidencialidad
Disponibilidad
Cumplimiento
Instalaciones
Confiabilidad
Aplicaciones
Efectividad
Tecnologa
Integridad
Eficiencia
A continuacin se muestran los procesos de IT para el presente dominio y su relacin con los criterios de informacin, as como los recursos necesarios para alcanzar los objetivos del proceso
Criterios de informacin
Recursos
Personal
PROCESOS PO1 PO2 PO3 PO4 PO5 Definir un plan estratgico de sistemas Definir la arquitectura de informacin Determinar la direccin tecnolgica Definir la organizacin y sus relaciones Administrar las inversiones (en TI)
P S P S S S P S P S P P P P P P P S S S
PO6
PO7 PO8 PO9 PO10 PO11
S S P P P S S P P P P P S
(P) Primario: Impacto primario (S) Secundario: Impacto indirecto o de menor medida
BORRADOR
Datos
13
Considerando
Prcticas de control
BORRADOR
14
Metas
KGI
(Medida de los Resultados)
Habilitadores
KPI
(Medida de los Procesos)
BORRADOR
15
Informacin TI
Criterios de Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad
Monitoreo
Dominio:
Planificacin & Organizacin Los 11 Procesos y sus Indicadores
BORRADOR
16
PO1
Debe satisfacer
BORRADOR
17
PO1
1. 2. 3.
Objetivos de Control:
La Tecnologa de Informacin debe ser parte del plan a corto y largo plazo de la Organizacin Debe haber un plan a largo plazo deTecnologa de Informacin El Plan deber ser enfocado y estructurado:
4. 5. 6.
Contemplar procesos para hacer cambios al plan a largo plazo Debe haber una traduccin peridica a planes a corto plazo Hay que evaluar regularmente los sistemas existentes
BORRADOR
18
PO1
BORRADOR
19
PO2
Debe satisfacer
Con la creacin y mantenimiento de un modelo de informacin de negocios, asegurando que se definan los sistemas apropiados para optimizar la utilizacin de esta informacin
Documentacin Diccionario de datos Reglas de sintaxis de datos Propiedad de la informacin y clasificacin de severidad
BORRADOR
20
PO2
1.
Objetivos de Control:
Modelo de la Arquitectura de Informacin.
La informacin deber conservar consistencia y ser identificada, capturada y comunicada en la forma y los tiempos que permitan a los responsables llevar a cabo sus tareas.
2. 3.
Creacin y actualizacin contnua de un Diccionario de Datos y Reglas de Sintaxis de Datos de la Corporacin. Esquema de Clasificacin de Datos en clases de informacin.
4.
BORRADOR
21
PO2
BORRADOR
22
PO3
Debe satisfacer
Capacidad de adecuacin y evolucin de la infraestructura actual Monitoreo de desarrollos tecnolgicos Contingencias Planes de adquisicin
BORRADOR
23
PO3
1. 2. 3.
Objetivos de Control:
Creacin y actualizacin regular del plan de la Infraestructura Tecnolgica que concuerde con los planes a corto y largo plazo de Tecnologa de Informacin. Monitoreo continuo de las tendencias futuras de la tecnologa (incluyendo amenazas), de manera tal que sean consideradas durante el desarrollo y mantenimiento del plan. Evaluar sistemticamente el plan de infraestructura tecnolgica en cuanto a redundancia, capacidad de adecuacin y evolucin de la infraestructura Establecer los planes de adquisicin de hardware y software de acuerdo a las necesidades previamente identificadas en el plan de infraestructura tecnolgica Definir las normas de tecnologa con la finalidad de formentar su estandarizacin.
4.
5.
BORRADOR
24
PO3
BORRADOR
25
PO4
Debe Satisfacer
A travs de una organizacin conveniente en nmero y habilidades, con tareas y responsabilidades definidas y comunicadas
Comit de direccin Responsabilidades a nivel de alta gerencia o del consejo Propiedad, custodia Supervisin Segregacin de funciones Roles y responsabilidades Descripcin de puestos Niveles de asignacin de personal Personal clave
BORRADOR
26
PO4
1.
Objetivos de Control:
Designacin de un Comit de Planificacin o direccin para vigilar la funcin de servicios de informacin y sus actividades Ubicacin de la funcin de los servicios de informacin en la estructura organizacional con la finalidad de asegurar la existencia de autoridad, actitud crtica e independencia de la misma, en la ejecucin e implementacin de los planes de tecnologa de informacin. Revisar que la estructura organizacional cumpla con los objetivos y se adapte a los cambios. El personal de la organizacin debe conocer sus funciones y responsabilidades en relacin con los sistemas de informacin Asignacin de la responsabilidad de la funcin de aseguramiento de calidad a miembros del personal de servicios de informacin Asignacin de la responsabilidad de la seguridad lgica y fsica de los activos de informacin de la organizacin Creacin de una estructura para designar los responsables de los datos y sistemas
2.
3. 4. 5. 6. 7.
BORRADOR
27
PO4
8.
9.
10. 11. 12. 13. 14. 15.
BORRADOR
28
PO4
BORRADOR
29
PO5
Manejo de la inversin de IT
Debe Satisfacer
A travs de presupuestos peridicos sobre inversiones y operacin establecidos y aprobados por el negocio
Alternativas de financiamiento Control del gasto real Justificacin de costos Justificacin del beneficio
BORRADOR
30
PO5
1.
Manejo de la inversin de IT
Objetivos de Control:
Implementacin de un proceso de definicin del presupuesto operativo anual para la funcin de servicio de informacin Monitoreo de los costos reales contra los presupuestados Anlisis de los costos y beneficios generados de la funcin de servicios de informacin.
2. 3.
BORRADOR
31
PO5
Manejo de la inversin de IT
Key Performance Indicators
Porcentaje de proyectos de IT que usan los estndares y modelos del presupuesto Porcentaje de proyectos con apoyo de los dueos del negocio Meses desde la ltima revisin de presupuesto Tiempo de retraso en los reporte de desviaciones ocurridas en el presupuesto Porcentaje de proyectos que contienen evaluacin de la inversin Nmero de proyectos donde el beneficio del negocio no es verificado post-facto Nmero de proyectos que revelan conflictos de inversin o recursos despues de la aprobacin Nmero de casos y tiempo de retraso en el uso de nuevas tecnologias
BORRADOR
32
PO6
Debe Satisfacer
A travs de polticas establecidas y transmitidas a la comunidad de usuarios; adems, se necesita estndares para traducir las opciones estratgicas en reglas de usuario prcticas y utilizables.
Cdigo de tica / conducta Directrices tecnolgicas Cumplimiento Compromiso con la calidad Polticas de seguridad
BORRADOR
33
PO6
1.
Objetivos de Control:
Creacin de un programa de previsin que fomente un ambiente positivo de control de la informacin a travs de toda la organizacin. 2. Asumir la responsabilidad de la formulacin, desarrollo, documentacin y control de polticas por parte de la gerencia. 3. Asegurar la adecuada comunicacin de las polticas organizacionales 4. Designacin de los recursos para la implementacin de polticas 5. Mantenimiento de polticas organizacionales 6. Asegurar el establecimiento de procedimientos que aseguren el cumplimiento de polticas, procedimientos y estndares 7. Definicin, documentacin y mantenimiento de los compromisos con la calidad establecida 8. Definicin y establecimiento de la poltica sobre el marco de referencia para la seguridad y el control interno 9. Proveer e implementar una poltica sobre derechos de propiedad intelectual 10. Implementacin de polticas para situaciones especficas con respecto al tratamiento de actividades, aplicaciones, sistemas o tecnologas particulares
BORRADOR
34
PO6
BORRADOR
35
PO7
Debe Satisfacer
Los requerimientos de negocio a fin de maximizar las contribuciones del personal a los procesos de TI
Reclutamiento y promocin Requerimientos de calificaciones Capacitacin Desarrollo de conciencia Entrenamiento cruzado Procedimientos de acreditacin Evaluacin objetiva y medible del desempeo
BORRADOR
36
PO7
1.
Objetivos de Control:
Implementacin y evaluacin de los procesos de reclutamiento y promocin de personal para la funcin de TI Verificar regularmente que el personal este calificado de acuerdo a sus actividades Asegurar el entrenamiento oportuno y adecuado de personal Asegurar el respaldo de personal con la finalidad de solucionar posibles ausencias. Aseguramiento de procedimientos de acreditacin del personal de acuerdo a las necesidades organizacionales Implementacin de un proceso de evaluacin de desempeo de los empleados Asegurar la aplicacin de acciones oportunas con respecto a cambios de puesto y despidos que no perjudiquen los controles internos ni la seguridad
2. 3. 4. 5. 6. 7.
BORRADOR
37
PO7
BORRADOR
38
PO8
Debe Satisfacer
A travs de la identificacin y anlisis de los requerimientos externos en cuanto a su impacto en TI, y llevando a cabo las medidas apropiadas para cumplir con ellos.
Leyes, regulaciones, contratos Monitoreo de evoluciones legales y regulatorios Revisiones regulares en cuanto a cambios Bsqueda de asistencia legal y modificaciones Seguridad y ergonoma Privacidad Propiedad intelectual Flujo de datos
BORRADOR
39
PO8
1.
Objetivos de Control:
Establecer y mantener procesos de revisin de requerimientos externos y coordinacin de estas actividades Aseguramiento de las prcticas y procedimientos para el cumplimiento de requerimientos externos Asegurar el cumplimiento de los estndares de seguridad y ergonoma en el ambiente de trabajo de los usuarios y el personal de la funcin de servicios de informacin Asegurar el cumplimiento de las regulaciones sobre la privacidad, propiedad intelectual y flujo de datos Establecer contratos formales para determinar acuerdos entre socios comerciales sobre procesos de comunicacin, estndares y almacenamiento de datos. Asegurar la identificacin y continuo cumplimiento de los requerimientos de los contratos de seguros
2.
3. 4. 5. 6.
BORRADOR
40
PO8
BORRADOR
41
PO9
Evaluacin de riesgo
Los requerimientos de negocio para asegurar el logro de los objetivos de TI y responder a las amenazas hacia la provisin de servicios de TI
A travs de la participacin de la propia organizacin en la identificacin de riesgos de TI y en el anlisis de impacto, tomando medidas econmicas para mitigar los riesgos
Debe Satisfacer
Diferentes tipos de riesgos de TI (por ejemplo: tecnolgicos, de seguridad, de continuidad, regulatorios, etc.) Alcance: global o de sistemas especficos Actualizacin de evaluacin de riegos Metodologa de evaluacin de riesgos Medicin de riesgos cualitativos y/o cuantitativos Plan de accin de riesgos
BORRADOR
42
PO9
1.
Evaluacin de riesgo
Objetivos de Control:
Establecer un marco de referencia de evaluacin sistemtica de riesgos, proporcionanado evaluaciones tanto a nivel global como especfico del sistema Establecer un enfoque para la evaluacin de riesgos que defina su alcance y sus limitaciones, a travs de un mtodo estructurado. Identificacin de riesgos en elementos esenciales como activos Asegurar que el anlisis de la informacin de identificacin de riesgos genere una medida cuantitativa o cualitativa del mismo. Proporcionar el desarrollo y definicin de un plan de accin contra riesgos para asegurar que existan controles y medidas de seguridad adecuadas Asegurar la aceptacin de riesgos, dependiendo de su identificacin y su medicin a fin de compensarse con una cobertura de seguro adecuada.
2.
3. 4.
5.
6.
BORRADOR
43
PO9
Evaluacin de riesgo
Key Performance Indicators
Nmero de reuniones y talleres sobre gerencia de riesgo Nmero de proyectos para mejorar la gerencia de riesgo Nmero de mejoras al proceso del valoracin de riesgo Nivel del financiamiento asignado al proyecto de gerencia de riesgo Nmero y frecuencia de actualizaciones a los lmites y las polticas de riesgo Nmero y frecuencia de los reportes de monitoreo de riesgo Nmero de personas entrenadas en la metodologia de gerencia de riesgo
BORRADOR
44
PO10
Gerencia de proyectos
Los requerimientos de negocio de establecer prioridades y entregar servicios oportunamente y de acuerdo al presupuesto de inversin. A travs de la identificacin y priorizacin de los proyectos en lnea con el plan operacional por parte de la misma organizacin. Adems, la organizacin deber adoptar y aplicar slidas tcnicas de administracin de proyectos para cada proyecto emprendido La propiedad de los proyectos El involucramiento de los usuarios La estructuracin jerrquica de tareas y los puntos de revisin Asignacin de responsabilidades Aprobacin de fases y proyecto Presupuestos de costos y horas hombre Planes y metodologa de aseguramiento de calidad
Debe Satisfacer
BORRADOR
45
PO10
1.
Gerencia de proyectos
Objetivos de Control:
Establecer un marco de referencia para la administracin de proyectos que defina alcance y limites al igual que la metodologa de administracin a ser adoptada y aplicada 2. Fomentar la participacin del departamento usuario en la iniciacin de los proyectos 3. Especificar los miembros y responsabilidades del equipo del proyecto 4. Generar la creacin de un documento que defina la naturaleza y alcance de cada proyecto de implementacin antes de la iniciacin de los mismos. 5. Aprobacin del proyecto por parte de la alta gerencia 6. Aprobacin de las fases del proyecto 7. Desarrollar un Plan Maestro del Proyecto que asegure el control del mismo a travs de su desarrollo y el monitoero del tiempo y los costos incurridos 8. Implementacin de un plan de aseguramiento de la calidad de sistemas que se integre con el plan de proyectps 9. Definicin y planificacin de los mtodos de aseguramiento dentro del marco de los proyectos 10. Administracin Formal de Riesgos de Proyectos
BORRADOR
46
PO10
Gerencia de proyectos
BORRADOR
47
PO10
Gerencia de proyectos
Key Performance Indicators
Incremento del nmero de proyectos entregados de acuerdo con la metodologia definida Porcentaje de participacin de stakeholder en los proyectos Nmero de das de entrenamiento en gerencia de proyectos del equipo de proyectos Nmero de hitos de proyectos y revisiones de presupuesto Porcentaje de proyectos con revisin de resultados Nmero de aos promedio de experiencia en gerencia de proyecto
BORRADOR
48
PO11
Gerencia de calidad
Los requerimientos de satisfacer los requerimientos del cliente
Debe Satisfacer
Esto se hace posible a travs de la planeacin, implementacin y mantenimiento de estndares y sistemas de administracin de calidad por parte de la organizacin
Estructura del plan de calidad Responsabilidades de aseguramiento de la calidad Metodologa del ciclo de vida de desarrollo de sistemas Pruebas y documentacin de sistemas y programas Revisiones y reporte de aseguramiento de calidad
BORRADOR
49
PO11
1.
Gerencia de calidad
Objetivos de Control:
Desarrollar y mantener un plan general de calidad basado en los planes organizaciones y de tecnologa a largo plazo Establecer un enfoque estndar de aseguramiento de calidad Implementar un proceso de planificacin del aseguramiento de calidad para determinar su alcance y duracin Revisin del aseguramiento de la calidad sobre el cumplimiento de estndares y procedimientos de la funcin de servicios de informacin Definir e implementar una metodologa del ciclo de vida de desarrollo de sistemas Asegurar el cumplimiento de la metodologa del ciclo de vida de desarrollo de sistemas para cambios mayores a la tecnologa actual Actualizacin peridica de la metodologa del ciclo de vida de desarrollo de sistemas para asegurar que incluya tcnicas y procedimientos generales aceptados. Establecer un proceso que asegure la coordinacin y comunicacin entre los clientes de la funcin de servicios de informacin y los implementadores de los sistemas
2. 3.
4.
5. 6.
7.
8.
BORRADOR
50
PO11
9.
Gerencia de calidad
BORRADOR
51
PO11
Gerencia de calidad
Key Performance Indicators
Nmero de procesos y proyectos de IT con participacin activa de la gerencia de aseguramiento de la calidad Nmero de actividades de monitoreo y prueba documentadas Nmero de procesos y proyectos de IT que han sido benchmarked Nmero de reuniones entre stakeholders y desarrolladores Nmero promedio de das de entrenamiento en gerencia de la calidad Nmero de proyectos documentados y medidos con criterio de calidad
BORRADOR
52
Informacin TI
Criterios de Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad
Monitoreo
Dominio:
Adquisicin e Implementacin
Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, as como implementadas e integradas dentro del proceso del negocio.
BORRADOR
53
Procesos
Criterios de informacin Confidencialidad Disponibilidad Cumplimiento Confiabilidad Recursos Instalaciones Aplicaciones
Efectividad
Tecnologa
Integridad
Eficiencia
Personal
PROCESOS AI01 AI02 AI03 AI04 AI05 AI06 Identificar soluciones de automatizacin Adquirir y mantener software de aplicacin Adquirir y mantener la arquitectura tecnolgica Desarrollar y mantener procedimientos Instalar y certificar sistemas de informacin Administrar cambios
P S
P P P P P P S S S S S S S P P S S S
P
P P
(P) Primario: Impacto primario (S) Secundario: Impacto indirecto o de menor medida
A continuacin se muestran los procesos de IT para el presente dominio y su relacin con los criterios de informacin, as como los recursos necesarios para alcanzar los objetivos del proceso
BORRADOR
Datos
54
Informacin TI
Criterios de Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad
Monitoreo
Dominio:
Adquisicin e Implementacin Los 6 Procesos y sus Indicadores
BORRADOR
55
AI01
Debe satisfacer
A travs de un anlisis claro de las oportunidades alternativas comparadas contra los requerimientos de los usuarios
Definicin de requerimientos de informacin Estudios de factibilidad (de costo-beneficio, alternativas, etc) Arquitectura de informacin Seguridad con relacin de costo-beneficio favorable Pistas de auditora Contratacin de terceros Aceptacin de instalaciones y tecnologa
BORRADOR
56
AI01
1. 2. 3. 4. 5. 6. 7. 8.
Objetivos de Control:
Definicin de Requerimientos de los Sistemas de Informacin. Analisis de las opciones alternativas que debern satisfacer los requerimintos del negocio. Formulacin de Estrategias de Adquisicin. Debe considerar la especificaciones a ser suministradas a los proveedores. Estudio de Factibilidad Tecnolgica Estudio de Factibilidad Econmica Considerar el modelos de datos al definir las soluciones y analizar la factibilidad de las mismas Reporte de Anlisis de Riesgos Amenazas de seguridad Puntos de impacto Protecciones factibles Se debe asegurar que los costos de seguridad no excedan los beneficios aportados por la solucin
9.
BORRADOR
57
AI01
BORRADOR
58
AI01
BORRADOR
59
AI02
Debe satisfacer
A travs de la definicin de declaraciones especficas sobre requerimientos funcionales y operacionales y una implementacin estructurada con entregables claros
Requerimientos de usuarios Requerimientos de archivo, entrada, proceso y salida Interface usuario mquina Personalizacin de paquetes Pruebas funcionales Controles de aplicacin y requerimientos funcionales Documentacin
BORRADOR
60
AI02
1. 2. 3.
Objetivos de Control:
Mtodos de Diseo que consideren a los usuarios en la creacin de las especificaciones Se debe seguir un procedimiento igual al de diseo en caso de presentarse Cambios Significativos a Sistemas actuales Aprobacin del Diseo por: Gerencia de TI Usuarios Alta Gerencia Definicin y Documentacin de Requerimientos del formato de los archivos para cada proyecto Especificaciones de Programas Mecanismos adecuados de recopilacin y entrada de datos para cada proyecto Definicin y Documentacin de Requerimientos de Entrada de Datos Definicin de Interfases internas y externas
4.
5. 6. 7. 8.
BORRADOR
61
AI02
9. 10. 11. 12. 13. 14. 15. 16. 17.
BORRADOR
62
AI02
Nmero de cambios de requerimientos relacionados con fallas, errores crticos y nuevas funcionalidades Nmero de problemas de produccin o mal funcionamiento por aplicacin y por cambio de mantenimiento
Nmero de desviaciones de los procedimientos estandar tales como: aplicaciones no documentadas, diseos no aprobados y reduccin del preriodo de prueba para lograr la entrega a tiempo
Nmero de modulos rechazados o nivel de retrabajo requerido despues de las pruebas de aceptacin
BORRADOR
63
AI03
Debe satisfacer
A travs de la evaluacin del desempeo de hardware y software, la provisin de mantenimiento preventivo de hardware y la instalacin, seguridad y control del software del sistema
Evaluacin de tecnologa Mantenimiento preventivo de hardware Seguridad del software de sistema, instalacin, mantenimiento y control sobre cambios
BORRADOR
64
AI03
1.
Objetivos de Control:
Evaluacin del impacto del Nuevo Hardware y Software sobre el rendimiento del sistema en general Mantenimiento Preventivo para Hardware Asegurar qe la instalacin del software no arriesgue la seguridad de los datos Asegurar la Instalacin del Software del Sistema segn procedimiento. Deben realizarse pruebas antes de colocar el software en ambiente de produccin. Se debe asegurar que el Software del Sistema tenga mantenimiento segn procedimiento Establecer controles para cambios del Software del Sistema
2. 3. 4.
5. 6.
BORRADOR
65
AI03
BORRADOR
66
AI04
Debe Satisfacer
A travs de un enfoque estructurado del desarrollo de manuales de procedimientos de operaciones para usuarios, requerimientos de servicio y material de entrenamiento
BORRADOR
67
AI04
1.
Objetivos de Control:
Asegurar la definicin oportuna de requerimientos operaciones y niveles de servicios futuros Preparacin y actualizacin de manuales de Procedimientos para Usuario Preparar y mantener actualizados los Manuales de Operacin Asegurar que se elabore el Material de Entrenamiento como parte del proyecto
2. 3. 4.
BORRADOR
68
AI04
BORRADOR
69
AI05
Debe Satisfacer
Los requerimientos de negocio de verificar y confirmar que la solucin sea adecuada para el propsito deseado
A travs de la realizacin de una migracin de instalacin, conversin y plan de aceptacin adecuadamente formalizados
Capacitacin Conversin / carga de datos Pruebas especficas Certificacin Revisiones post implementacin
BORRADOR
70
AI05
1.
Objetivos de Control:
El personal debera ser entrenado de acuerdo al plan de acuerdo al plan de entrenamiento definido. 2. Adecuacin del Desempeo del Software de Aplicacin 3. Asegurar que los elementos necesarios del sistema anterior sean convertidosal sistema nuevo segn el plan establecido 4. La gerencia debe asegurar que los cambios sean probados por un grupo de prueba independiente y en un ambiente de prueba separado. 5. Establecer Criterios y Desempeo de Pruebas en Paralelo/Piloto 6. Ejecuacin de Prueba de Aceptacin Final 7. Ejecuacin de Pruebas y Certificacin de Seguridad 8. Ejecuacin de Prueba Operacional por parte de los usuarios finales antes de puesta en produccin 9. Controlar la entrega del sistema del ambiente de prueba a Produccin 10. Evaluacin de la Satisfaccin de los Requerimientos del Usuario 11. Revisin Gerencial Post - Implementacin
BORRADOR
71
AI05
BORRADOR
72
AI06
Administracin de cambios
Los requerimientos de negocio de minimizar la probabilidad de interrupciones, alteraciones no autorizadas y errores
Debe Satisfacer
A travs de un sistema de administracin que permita el anlisis, implementacin y seguimiento de todos los cambios requeridos y llevados a cabo a la infraestructura de TI actual
Identificacin de cambios Procedimientos de categorizacin, priorizacin y emergencia Evaluacin del impacto Autorizacin de cambios Manejo de liberacin Distribucin de software
BORRADOR
73
AI06
1.
Administracin de cambios
Objetivos de Control:
Los requerimientos de cambio deben estra estandarizadas y sujetas a procedimientos formales de adminstracin de cambios Los requerimiebntos de Cambio deden por una una Evaluacin del Impacto de forma estructurada, sobre las operaciones y la funcionalidad del sistema Control de Cambios Los Documentacin y Procedimientos deben ser actualizados en virtud de los cambios realizados La s labores de Mantenimiento deben estar debidamente Autorizadas y monitoreados para evitar riesgos de accesos no autorizados Deben disearse Polticas de Liberacin de Software que aseguren: Aprobacin Empaque Pruebas de Regresin Entrega Etc... Asegurar Distribucin de Software de forma y manera oportuna
2.
3. 4.
5.
6.
7.
BORRADOR
74
AI06
Administracin de cambios
Key Performance Indicators
Nmero de diferentes versiones instaladas al mismo tiempo Nmero de actualizaciones de software y mtodo de distribucin por plataforma Nmero de desviaciones de la configuracin estndar Nmero de emergencias corregidas que no se hubieran presentado de tener un proceso de manejo de cambios normalizado Intervalo de tiempo entre la disponibilidad de la solucin y su implementacin Tasa de aceptacin de rechazo de solicitudes de cambio
BORRADOR
75
Informacin TI
Criterios de Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad
Monitoreo
Dominio:
Entrega de Servicios y Soporte
Se hace referencia a la entrega de servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad.
BORRADOR
76
Procesos
Efectividad
Recursos
Instalaciones
Aplicaciones
Tecnologa
Integridad
Eficiencia
Personal
PROCESOS SS01 SS02 SS03 SS04 SS05 SS06 SS07 SS08 SS09 SS10 SS11 SS12 SS13 Definir niveles de servicio Administrar servicios de terceros Administrar desempeo y capacidad Asegurar continuidad de servicio Garantizar seguridad de sistemas Identificar y asignar costos Educar y capacitar a usuarios Apoyar y orientar a clientes Administrar la configuracin Administrar problemas e incidentes Administrar la informacin Administrar las instalaciones Administrar la operacin
P P S S S S S
P P S S S S S
P P P S P P S P P P P P P P P P S S S S P S S P P P S S S P
(P) Primario: Impacto primario (S) Secundario: Impacto indirecto o de menor medida
BORRADOR
Datos
77
Informacin TI
Criterios de Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad
Monitoreo
Dominio:
Entrega de Servicios y Soporte Los 13 Procesos y sus Indicadores
BORRADOR
78
SS01
Debe satisfacer
Los requerimientos de negocio de establecer una comprensin comn del nivel de servicio requerido
A travs de el establecimiento de convenios de niveles de servicio que formalicen los criterios de desempeo contra los cuales se medir la cantidad y la calidad del servicio
Convenios formales Definicin de responsabilidades Tiempos y volmenes de respuesta Dependencias Cargos Garantas de integridad Convenios de confidencialidad
BORRADOR
79
SS01
1. 2. 3. 4. 5. 6.
Objetivos de Control:
Establecer un marco de referencia para el convenio de los niveles de servicio Establecer un acuerdo explicito sobre los Convenios de los niveles de servicio Definicin de los Procedimientos que aseguren la Ejecucin de los niveles de servicio Designacin de un gerente que sea responsable de monitorear y reportar los alcances de los criterios de desempeo del servicio especificado Implementar procesos de revisin de convenios y contratos de nivel de servicio Incluir provisoines para los Elementos sujetos a Cargo en los acuerdos de niveles de servicio para realizar las comparaciones y desisiones de los niveles de servicio contra su costo Implementar un programa de mejoramiento del servicio con el fin de dar seguimiento a mejoras al nivel de servicio de acuerdo a su costo
7.
BORRADOR
80
SS01
BORRADOR
81
SS02
Debe satisfacer
Los requerimientos de negocio de asegurar que las tareas y responsabilidades de las terceras partes estn claramente definidas, que cumplan y continen satisfaciendo los requerimientos
A travs de medidas de control dirigidas a la revisin y monitoreo de contratos y procedimientos existentes, en cuanto a su efectividad y suficiencia, con respecto a las polticas de la organizacin
Acuerdos de servicio con terceras partes Acuerdos de confidencialidad Requerimientos legales regulatorios Monitoreo de la entrega de servicio
BORRADOR
82
SS02
1.
Objetivos de Control:
Asegurar que todos los servicios prestados por terceros sean identificados y que las interfases tcnicas y organizacionales sean documentadas Designacin de un responsable de asegurar la calidad de las Relaciones con terceros Definicin de procedimientos especificos para asegurar los acuerdos de los Contratos con Terceros Asegurar las Calificaciones de terceros a travs de una evaluacin de su capacidad para proporcionar los servicios reuqeridos Definicin de procedimientos especificos para asegurar que los Contratos con Outsourcing cumplan los niveles requeridos Consideracin del riesgo en los negocios en relacin con la participacin de los terceros de acuerdo con la Continuidad de Servicios Asegurar el cumplimiento de las Relaciones de Seguridad de acuerdo con los estandares establecidos Establecer un proceso continuo de Monitoreo sobre la prestacin de servicio a terceros, asegurando el cumplimiento de los acuerdos
2. 3.
4.
5.
6. 7. 8.
BORRADOR
83
SS02
BORRADOR
84
SS03
Debe satisfacer
A travs de controles de manejo de capacidad y desempeo que recopilen datos y reporten acerca del manejo de cargas de trabajo, tamao de aplicaciones, manejo y demanda de recursos
Requerimientos de disponibilidad y desempeo Monitoreo y reporte Herramientas de modelado Administracin de capacidad Disponibilidad de recursos
BORRADOR
85
SS03
1.
Objetivos de Control:
Asegurar la identificacin de las necesidades del negocio en cuanto a los requerimientos de disponibilidad y desempeo de los servicios de informacin Asegurar el establecimiento de un plan de disponibilidad Implementar un proceso de Monitoreo y Reporte del desempeo de los recursos de tecnologia de informacin Desarrollo de Herramientas de Modelado apropiadas para producir un modelo del sistema actual, calibrado y ajustado segn la carga de trabajo y su capacidad Proceso de administracin que incluya la capacidad de pronostico para permitir que los problemas sean resueltos antes que afecten el desempeo de los sistemas Pronstico de Carga de Trabajo con el fin de identificar tendencias y proporcionar la informacin necesaria para su ejecucin. Administracin de la Capacidad del hardware con el fin de asegurar que existe la capacidad necesaria para cubrir las necesidades y los acuerdos de calidad establecidos Prevencin de perdida de Disponibilidad de Recursos, mediante implementacin de mecanismos de tolerancia de fallas Adquisicin oportuna de la capacidad requerida de recursos
2. 3.
4.
5.
6. 7. 8. 9.
BORRADOR
86
SS03
BORRADOR
87
SS04
Debe Satisfacer
A travs de teniendo un plan de continuidad probado y funcional, que est alineado con el plan de continuidad del negocio y relacionado con los requerimientos de negocio
Clasificacin de severidad Plan documentado Procedimientos alternativos Respaldo y recuperacin Pruebas y entrenamiento sistemticos y regulares
BORRADOR
88
SS04
1. 2.
Objetivos de Control:
Crear un marco de referencia de continuidad de tecnologa de informacin Desarrollo de una estrategia y filosofa de continuidad de tecnologa de informacin para asegurar que se encuentra en lnea con el plan de negocios 3. Establecer el contenido del plan de continuidad de tecnologa de informacin 4. Definir procedimientos y guas para la minimizacin de requerimientos de continuidad de tecnologa de informacin con respecto a personal, instalaciones 5. Proveer procedimientos de mantenimiento del plan de continuidad de tecnologa de informacin 6. Desarrollo de pruebas del plan de continuidad de tecnologa de informacin 7. Asegurar la capacitacin sobre el plan de continuidad de tecnologa de informacin a todas las partes interesadas 8. Distribucin del plan de continuidad de tecnologa de informacin solo a personal autorizado bajo estrictas medidas de seguridad 9. Asegurar la definicin de procedimientos de respaldo de procesamiento para departamentos usuarios 10. Identificar los Recursos crticos de Tecnologa de Informacin 11. Centro de Cmputo y Hardware de respaldo
Gerencia de Control y Mejoramiento de Gestin TIC
BORRADOR
89
SS04
BORRADOR
90
SS04
BORRADOR
91
SS05
Debe Satisfacer
Los requerimientos de negocio de salvaguardar la informacin contra uso no autorizados, divulgacin, modificacin, dao o prdida
A travs de controles de acceso lgico que aseguren que el acceso a sistemas, datos y programas est restringido a usuarios autorizados
Autorizacin Autenticacin Acceso Perfiles e identificacin de usuarios Administracin de llaves criptogrficas Manejo, reporte y seguimiento de incidentes Prevencin y deteccin de virus Firewalls
BORRADOR
92
SS05
1.
Objetivos de Control:
Administrar las medidas de seguridad y que se encuentren en lnea con los requerimientos del negocio 2. Identificacin, autenticacin y acceso a los sistemas unicamente por personal previamente autorizado 3. Implementar procedimientos que garanticen el control del acceso a datos en lnea 4. Establecer procedimientos para asegurar acciones oportunas relacionadas con la administracin de cuentas de usuario 5. Desarrollar un proceso de revisin gerencial del acceso de las cuentas de usuario 6. Controlar de forma sistemtica a los usuarios sobre cuentas de usuario 7. Asegurar la vigilancia/ control de la actividad de seguridad 8. Asegurar la adecuada clasificacin de Datos 9. Administracin centralizada de identificacin y derechos de acceso de los usuarios de los sistemas de informacin 10. Elaboracin de reportes de violacin y de actividades de seguridad para identificacr y resolver incidentes que involucren actividades no autorizadas 11. Implementar la capacidad de manejar incidentes de seguridad computacional
BORRADOR
93
SS05
Objetivos de Control: 12. Asegurar que se lleva a cabo de manera periodica la Reacreditacin de seguridad a fin de preservar el nivel de seguridad acordado 13. Las polticas organizacionales deberan asegurar la autenticidad de las Contrapartes que proporcionan instrucciones o transacciones electrnicas 14. Asegurar la autenticidad de las transacciones 15. Las transacciones no pueden ser negadas por ninguna de las partes 16. Asegurar que la informacin de transacciones es enviada y recibida exclusivamente a travs de cabnales o senderos seguros 17. Todo hardware y software relacionado con sistemas de seguridad debe encontrarse permanentemente protegido contra intromisiones para proteger su integridad 18. Definir e implementar procedimientos y protocolos a ser utilizados en la generacin, certificacin y archivo de Llave Criptogrfica asegurando la proteccin de las mismas 19. Prevencin, deteccin y correccin de software malicioso 20. Utilizacin de FireWalls adecuados para proteger cualquier acceso no autirizado si se posee conexin a Internet o a redes pblicas 21. Proteccin de la integridad de los valores electrnicos
BORRADOR
94
SS05
BORRADOR
95
SS06
Debe Satisfacer
A travs de un sistema de contabilidad de costos que asegure que stos sean registrados, calculados y asignados a los niveles de detalle requeridos
BORRADOR
96
SS06
1.
Objetivos de Control:
Asegurar que los elementos sujetos a cargo sean identificables, mediblesy predecibles para los usuarios Definir e implementar procedimientos de costeo para proporcionar informacin gerencial acerca del costo de prestar servicios de informacin, asegurando al mismo tiempo la reduccin de los mismos Definir y utilizar procedimientos de cargo y facturacin a usuarios
2.
3.
BORRADOR
97
SS06
BORRADOR
98
SS07
Debe Satisfacer
Los requerimientos de negocio de asegurar que los usuarios estn haciendo un uso efectivo de la tecnologa y estn conscientes de los riesgos y responsabilidades involucrados
BORRADOR
99
SS07
1.
Objetivos de Control:
En lnea con el plan a largo plazo, es necesario identificar las Necesidades de Entrenamiento de todo el personal que haga uso de los servicios de informacin Una vez definidas las necesidades, se deben definir los objetivos, identificar y asiganr a los entrenadores y organizar las sesiones de entrenamiento Todo el personal debe estar capacitado y entrenado en los principios de seguridad de sistemas.
2.
3.
BORRADOR
100
SS07
BORRADOR
101
SS08
Debe Satisfacer
Consultas de usuarios y respuesta a problemas Monitoreo de consultas y despacho Anlisis y reporte de tendencias
BORRADOR
102
SS08
1. 2. 3. 4. 5.
Objetivos de Control:
Establecer un soporte para los usuarios dentro de una funcin de help desk de Ayuda Desarrollo de procedimientos para registrar las preguntas de los usuarios Desarrollo de procedimientos para el escalamiento de preguntas del cliente que no puedan ser resueltas inmediatamente y que sean reasignadas apropiadamente Establecer procedimientos de monitoreo de atencin a las preguntas de los clientes Definicin de procedimientos de anlisis de los problemas y/o preguntas del cliente y su solucin y reporte e identificacin de las tendencias de las mismas
BORRADOR
103
SS08
BORRADOR
104
SS09
Administracin de la configuracin
Los requerimientos de negocio de dar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia fsica y proporcionar una base para el sano manejo de cambios
Debe Satisfacer
A travs de controles que identifiquen y registren todos los activos de TI as como su localizacin fsica y un programa regular de verificacin que confirme su existencia
Registro de activos Administracin de cambios en la configuracin Chequeo de software no autorizado Controles de almacenamiento de software
BORRADOR
105
SS09
1.
Administracin de la configuracin
Objetivos de Control:
Establecer procedimientos para asegurar que sean registrados elementos de configuracin autorizados e identificables, al igual que dar seguimiento a los cambios en la configuracin Asegurar que exista una configuracin base de elementos como punto de verificacin al cual regresar despus de las modificaciones Asegurar que los registro de configuracin reflejen el estatus de los elementos de la configuracin, incluyendo su historia Revisin de los registros de la configuracin de la funcin de servicios de informacin Revisar periodicamente la presencia de software no autorizado en las computadoras personales de la organizacin Definicin de un rea de almacenamiento de software
2. 3.
4. 5.
6.
BORRADOR
106
SS09
Administracin de la configuracin
Key Performance Indicators
% de los componentes de la configuracin para los cuales la data es guardada y procesada automaticamente. Frecuencia de verificaciones fisicas Frecuencia de correcciones de la configuracin por redundancia, obsolecencia o excepcin Tiempo entre las modificaciones de la configuracin y la actualizacin de los records Nmero de lanzamientos Porcentaje de cambios reaccionarios
BORRADOR
107
SS10
Debe Satisfacer
Los requerimientos de negocio de asegurar que los problemas e incidentes sean resueltos y que sus causas sean investigadas para prevenir cualquier recurrencia
A travs de un sistema de manejo de problemas que registre y d seguimiento a todos los incidentes
Suficientes pistas de auditora de problemas y soluciones Resolucin oportuna de problemas reportados Procedimientos de escalamiento Reportes de incidentes
BORRADOR
108
SS10
1.
Objetivos de Control:
Definir e implementar un sistema de administracin de problemas para asegurar que todos los eventos sean registrados, analizados y resueltos oportunamente Definir e implementar procedimientos de escalamiento de problemas para asegurar que los problemas identificados sean resueltos apropiadamente Proporcionar elementos adecuados para el seguimiento de problemas y pistas de auditora que permitan el seguimiento de las causas a partir de los incidentes
2.
3.
BORRADOR
109
SS10
BORRADOR
110
SS11
Administracin de Datos
Los requerimientos de negocio de asegurar que los datos permanezcan completos, precisos y vlidos durante su entrada, actualizacin y almacenamiento A travs de una combinacin efectiva de controles generales y de aplicacin sobre las operaciones de TI
Debe Satisfacer
Como lo hace posible Diseo de formatos Controles de documentos fuente Controles de entrada Controles de procesamiento Controles de salida Identificacin, movimiento y administracin de la librera de medios Administracin de almacenamiento y respaldo de medios Autenticacin e integridad
BORRADOR
111
SS11
1.
Administracin de Datos
Objetivos de Control:
Establecer procedimientos de Proteccin de Informacin Sensible durante transmisin y transporte de los datos Asegurar la existencia de procedimientos de autorizacin de documentos fuentes Los documentos fuentes deben estar completos, ser precisos, registrados apropiadamente y transmitidos oportunamente para la entrada de datos. Los procedimientos de manejo de errores durante la creacin de datos deberan asegurar razonablemente que los errores sean reportados y corregidos adecuadamente Debern estabecerse procedimientos para aseguara que la organizacin pueda retener los documentos fuente originales Establecer procedimientos apropiados para asegurar que la entrada de la data sea llevada a cabo por personal autorizado Debe chequearse la exactitud, suficiencia y autoridad de los datos asegurando su validez Establecer procedimientos para la correcin y reenvo de datos que hayan sido capturados errneamente Establecer procedimientos para el procesamiento de datos que aseguren su integridad
2. 3.
4.
5.
6. 7. 8. 9.
BORRADOR
112
SS11
Administracin de Datos
Objetivos de Control(cont.):
10. Establecer procedimientos para asegurar que la validacin, autenticacin y edicin del procesamiento sean llevados a cabo tan cerca del punto de origen como sea posible 11. Establecer procedimientos de manejo de errores en el procesamiento de datos que permitan su identificacin temprana y oportuna 12. Establecer procesos para el manejo y retencin de datos de salid de los programas de aplicacin de tecnologia de informacin. 13. Establecer y comunicar los procedimientos para la distribucin de datos de salida de tecnologia de informacin. 14. Establecer procedimientos que aseguren que los datos de salida sean balanceados rutinariamente con los totales de controles relevantes. 15. Establecer procedimientos para asegurar que la precisisn de los reportes de salid sea revisada por el proveedor y por los usuarios relevantes 16. Establecer procedimientos para garantizar que la seguridad de los reportes de salida sea mantenida y verificada 17. Asegurar la proteccin de la informacin sensible durante su transporte y transmisin 18. Asegurar la proteccin de informacin crtica para impedir su divulgacin indebida o el desecho de la misma
Gerencia de Control y Mejoramiento de Gestin TIC
BORRADOR
113
SS11
Administracin de Datos
Objetivos de Control(cont.):
19. Definir periodos de retencin y los trminos de almacenamiento para documentos, datos, reportes y mensajes 20. Establecer procedimientos para asegurar que el contenido de la librera de medios sea inventariada y administrada automticamente 21. Definir las responsabilidades de la administracin de la librera de medios para asegurar la porteccin de la misma 22. Implementar una estrategia apropiada de respaldo y restauracin asegurando que incluya una revisin de los procedimientos del negocio, as como el desarrollo , implementacin y repaldo del plan de recuperacin 23. Asegurar que los respaldos sean realizados de acuerdo a las estrategias acordadas 24. Definir procesos para el almacenamiento apropiado de los archivos de datos, del software y de la documentacin relacionada 25. Implementar una poltica y procedimientos para asegurar que el archivo cumpla con los requerimientos legales y del negocio 26. Definir e implementar procedimientos y protocolos que deben ser utilizados para el aseguramiento, integridad, confiabilidad y no negacin de los datos
BORRADOR
114
SS11
Administracin de Datos
Objetivos de Control(cont.):
27. Verificacin de la autenticidad e integridad de la informacin originada fuera de la organizacin 28. Definir e implementar apropiados procedimientos y prcticas para las transacciones electrnicas que sean sensitivas y crticas para la organizacin 29. Asegurar que la integridad y confiabilidad de la data sea verificado de manera periodica.
BORRADOR
115
SS11
Administracin de Datos
Key Performance Indicators
Porcentaje de errores en la introduccin de la data o en data introducida Porcentaje de reprocesos Porcentaje de prevencin de errores en el momemto del registro de la data Intervalo de tiempo entre la ocurrencia del error, su deteccin y correccin Reduccin de problemas de la data output Reduccin del tiempo para recuperar la data archivada
BORRADOR
116
SS12
Debe Satisfacer
A travs de la instalacin de controles fsicos y ambientales adecuados que sean revisados regularmente para su funcionamiento apropiado
Acceso a instalaciones Identificacin del centro de cmputo Seguridad fsica Salud y seguridad del personal Proteccin contra amenazas ambientales
BORRADOR
117
SS12
1.
Objetivos de Control:
Establecer medidas de Seguridad Fsica y control de acceso para las instalaciones de tecnologa de informacin segn la poltica de seguridad Asegurar discrecin y que la identificacin fsica de las instalaciones relacionadas con sus operaciones de tecnologa de informacin sean limitadas Desarrollo de procedimientos adecuados de escolta de visitantes cuando entran a las instalaciones Establecer y mantener prcticas de salud y seguridad del Personal Asegurar que se establezcan y que se mantengan suficientes medidas para la proteccin contra factores ambientales Evaluar regularmente la necesidad de generadores y baterias de suministro ininterrumpido de energia para aplicaciones de tecnologa de informacin
2.
3. 4. 5. 6.
BORRADOR
118
SS12
BORRADOR
119
SS13
Administracin de la operacin
Los requerimientos de negocio de asegurar que las funciones importantes de soporte de TI estn siendo llevadas a cabo regularmente y de una manera ordenada
Debe Satisfacer
A travs de una calendarizacin de actividades de soporte que sea registrada y completada en cuanto al logro de todas las actividades
Manual de procedimiento de operaciones Documentacin de procedimientos de arranque Administracin de servicios de red Calendarizacin de personal y cargas de trabajo Proceso de cambio de turno Registro de eventos de sistemas
BORRADOR
120
SS13
1.
Administracin de la operacin
Objetivos de Control:
Elaboracin de un manual de procedimientos de operacin e instrucciones para las funciones de tecnologa de informacin Procedimientos de documentacin del proceso de inicio y de otras operaciones Elaborar un calendario de trabajos acorde con los objetivos establecidos en los convenios de niveles de servicio Establecer procedimientos para investigar y aprobar las salidas de la calendarizacin de trabajos estndar Establecer procedimientos de continuidad de procesamiento durante los cambios de turno de operadores Garantizar el almcenamiento de la informacin importante en Bitcoras de Operacin para permitir la recosntruccin y revisin de la data en caso de ser necesario Establecer procedimientos especficos que aseguren la conexin y desconexin en el procesamiento de operaciones remotas
2. 3.
4.
5.
6.
7.
BORRADOR
121
SS13
Administracin de la operacin
Key Performance Indicators
Cumplimiento del tiempo de las distintas etapas en los procesos de computacin Medida de la reduccin de tiempo de intervencin del operador Reduccin del nmero de problemas y desviaciones Reduccin del nmero de reinicios Reduccin de la cantidad de mantenimientos no planificados Reduccin del nmero de trabajos y eventos no programados Increased number of user controlled parameter settings Medicin de la congruencia entre las demandas de los usuarios y la disponibilidad de recursos Frecuencia de anlisis y reportes conducidos por el monitoreo de los resultados de operaciones Frecuencia de los chequeos del backup Edad promedio de los equipos
BORRADOR
122
Informacin TI
Criterios de Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad
Monitoreo
Dominio:
Monitoreo
Todos los procesos necesitan ser evaluados regularmente a travs del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control.
BORRADOR
123
Procesos
A continuacin se muestran los procesos de IT para el presente dominio y su relacin con los criterios de informacin, as como los recursos necesarios para alcanzar los objetivos del proceso
Efectividad
Recursos
Instalaciones
Aplicaciones
Tecnologa
Integridad
Eficiencia
Personal
PROCESOS M1 M2 M3 Monitorear el proceso Evaluar lo adecuado del control interno Obtener aseguramiento independiente
P S S S S
S S
P P S S S S S P P S S S S S P P S S S S S
M4
(P) Primario: Impacto primario (S) Secundario: Impacto indirecto o de menor medida
BORRADOR
Datos
124
Informacin TI
Criterios de Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad
Monitoreo
Dominio:
Monitoreo Los 4 Procesos y sus Indicadores
BORRADOR
125
M1
Monitorear el proceso
Debe satisfacer
Los requerimientos de negocio de asegurar el logro de los objetivos establecidos para los procesos de TI
Como lo hace posible A travs de la definicin por parte de la gerencia de reportes e indicadores de desempeo gerenciales, la implementacin de sistemas de soporte as como la atencin regular a los reportes emitidos
Indicadores clave de desempeo Factores crticos de xito Evaluacin de la satisfaccin de clientes Reportes gerenciales
BORRADOR
126
M1
1.
Monitorear el proceso
Objetivos de Control:
Definicin y Recoleccin de Datos de para la creacin de datos relevantes de desempeo Evaluacin de Desempeo segn las metas a alcanzar Evaluacin de la Satisfaccin de Clientes Elaboracin de Reportes Gerenciales
2. 3. 4.
BORRADOR
127
M1
Monitorear el proceso
Key Performance Indicators
Intervalo de tiempo entre la ocurrencia de la falla de un proceso y su reporte Intervalo de tiempo entre el reporte de la falla y el inicio de la solucin de la misma Factor entre los problemas de procesos reportados y las deficiencias subsecuentemenre aceptadas Nmero de procesos monitoreados Nmero de relaciones causa-efecto identificadas e incorporados en el monitoreo Nmero de benchmarks externos para comparar la efectividad de los procesos Intervalo de tiempo entre los cambios del negocio y cualquier cambio asociado a los indicadores de actuacin Nmero de cambios en el grupo de indicadores monitoreados sin un cambio en las metas del negocio
BORRADOR
128
M2
Debe satisfacer
Los requerimientos de negocio de asegurar el logro de los objetivos de control interno establecidos para los procesos de TI
A travs de el compromiso de la Gerencia de monitorear los controles internos, evaluar su efectividad y emitir reportes sobre ellos en forma regular
Monitoreo permanente de control interno Comparacin con mejores prcticas Reportes de errores y excepciones Autoevaluaciones Reportes gerenciales
BORRADOR
129
M2
1. 2. 3. 4.
Objetivos de Control:
Monitoreo de Control Interno Operacin oportuna del Control Interno para resaltar errores e inconsistencias y que estos sean corregidos antes de que impacten la prestacin de servicio Reporte sobre el Nivel de Control Interno Realizar auditoria para examinar si la seguridad y los controles internos se encuentran operando de acuerdo con los requerimientos establecidos, e identificar puntos vulnerables y problemas de seguridad.
BORRADOR
130
M2
BORRADOR
131
M3
Debe satisfacer
Certificaciones / acreditaciones independientes Evaluaciones independientes de efectividad Aseguramiento independiente sobre cumplimiento de requerimientos legales y regulatorios Aseguramiento independiente de cumplimiento de compromisos contractuales Revisiones a proveedores externos de servicios Aseguramiento de desempeo por personal calificado Involucramiento proactivo de auditora
BORRADOR
132
M3
1. 2. 3. 4. 5. 6. 7.
Objetivos de Control:
Certificacin Independiente de Control y Seguridad de los servicios de TI Certificacin Independiente de Control y Seguridad de proveedores externos de servicios Evaluacin Independiente de la Efectividad de los Servicios de TI Evaluacin Independiente de la Efectividad de proveedores externos de servicios Aseguramiento Independiente del Cumplimiento de leyes y requerimientos regulatorios y compromisos contractuales Aseguramiento Independiente del Cumplimiento de leyes y requerimientos regulatorios y compromisos contractuales de proveedores externos de servicios La funcin de aseguramiento independiente debe tener las Competencias tecnicas, habilidades y conocimientos necesarios para desempear dicha funcin Participacin Proactiva de Auditora de la Gerencia de TI
8.
BORRADOR
133
M3
BORRADOR
134
M4
Debe Satisfacer
Independencia de auditora Involucramiento proactivo de auditora Ejecucin de auditoras por parte de personal calificado Aclaracin de resultados y recomendaciones Actividades de seguimiento
BORRADOR
135
M4
1.
Objetivos de Control:
Establecer los Estatutos de Auditora, definiendo responsabilidad, autoridad y obligaciones de la funcin Los auditores no deberan estar relacionados con la seccin o departamento que este siendo auditado Cumplimiento de los cdigos aplicables de Etica y Estndares Profesionales Los auditores deben contar con la Competencia tcnica, habilidades y conocimientos necesarios Se debe establecer un plan de auditoria para garantizar que se obtenga un aseguramiento regular e independiente. Los auditoes debern asegurarse de obtener evidencia suficiente para alcanzar los objetivos de auditora de forma efectiva Reporte de resultados en un formato adecuado para el personal interesado. Actividades de Seguimiento
2.
3. 4.
5.
6. 7. 8.
BORRADOR
136
M4
BORRADOR
137
BORRADOR
138
Descripcin LAN
Unidad de servicio Equipos Activos Routers Equipos Activos Switches Equipos Activos Hubs
Servidores
MAXIMO
DATA WAREHOUSE INTERNET EXCHANGE SRL OMC APOSTA WEB SAP FAST
Gerencia de Control y Mejoramiento de Gestin TIC
1
1 1 1 1 1 1 1
BORRADOR
139
Descripcin Servidores
Unidad de servicio Servicio Plata Servicio Bronce Bronce Servicios Adicionales: Sun Enterprise 450 Serial 130V0092 Sun Ultra 5 System Serial FW03430525 Sun Ultra 5 System Serial FW03610360
Cantidad 84 182 1
1 1
1
1 1
BORRADOR
140
Descripcin PCs
Cantidad 8.523
656
719 103 850 14 30 68 10.020 58 4 5
BORRADOR
141
BORRADOR
142
Plataforma
Nombre Servidor
SESPE01 SESPE02 SISE SESPE03 SESPE04 SIASER1 SIASER2 SIASER SAPPASP01 SAPPASP02 MAXIMO RS6SVR1 DATA WAREHOUSE S80-01 OMC1 OMC OMC2 OMC3 APOSTA01 APOSTA02 APOSTA APOSTA03 APOSTA04 MAILHUB01 MAILHUB02 MAILHUB03 MAILNEA01 EXCHANGE MAILCAPITAL MAILREGIONES MAILEXCHPBX01 MAILEXCHPBX02
Disponibilidad % Importancia Disponibilidad Individual Servidor Plataforma 100.00% 40% 99.87% 40% 99.95% 100.00% 10% 100.00% 10% 99.50% 40% 99.47% 40% 99.59% 100.00% 10% 100.00% 10% 100.00% 100% 100.00% 100.00% 100% 100.00% 100.00% 35% 100.00% 100.00% 35% 100.00% 30% 100.00% 25% 100.00% 25% 100.00% 100.00% 25% 100.00% 25% 100.00% 13% 100.00% 13% 100.00% 13% 100.00% 13% 100.00% 100.00% 13% 100.00% 13% 100.00% 11% 100.00% 11%
BORRADOR
143
Plataforma
Nombre Servidor SRL01 SRL02 PRNCANTVSRL SASPMSV01 SASPMSV02 SSRLASP01 SSRLASP02 SSRLASP03 SSRLASP04 SSRLASP05 SSRLASP06 SSRLASP07 SSRLASP08 SSRLASP09 SSRLASP10 SSRLASP11 SSRLASP12 SSRLASP13 SSRLASP14 SSRLASP15
SRL
Disponibilidad % Importancia Disponibilidad Individual Servidor Plataforma 100.00% 26% 100.00% 26% 100.00% 11% 99.78% 2% 100.00% 5% 100.00% 2% 100.00% 2% 100.00% 2% 100.00% 2% 100.00% 2% 99.96% 100.00% 2% 100.00% 2% 99.85% 2% 100.00% 2% 100.00% 2% 98.32% 2% 100.00% 2% 100.00% 2% 100.00% 2% 100.00% 2%
BORRADOR
144