ANALISIS DE DOMINIOS COBIT PARA ISSOLUCIONES

Transcripción

1 PLANEAR Y ORGANIZAR ANALISIS DE DOMINIOS COBIT PARA ISSOLUCIONES PROCESOS PO1 Definir un Plan Estratégico de TI P S * * * * P Facilitador primario Definir un plan estrtágico para TI S Facilitador secundario Sostener los requerimientos de la empresa, manteniendo la transparencia en cuanto a beneficios, costos y riesgos. la incorporación de TI en la traducción de los requerimientos de la empresa a ofertas de servicio y el desarrollo de estrategias para entregarlos de una forma clara y transparente. El compromiso con los responsables de la empresa para alinear la planeación estratégica de TI con las necesidades. Entendimiento de las capacidades actuales de TI Un esquema priorisando los objetivos de la empresa con los requerimientos. Porcentaje de objetivos de TI en el plan estratégico. Porcentaje de proyectos TI en el portafolio de proyectos. PO1.1 Administracion del Valor de TI PO1.2 Alineacion de TI con el Negocio PO1.3 Evaluacion del Desempeño y la Capacidad Actual PO1.4 Plan Estrategico de TI PO1.5 Planes tacticos de TI PO1.6 Administracion del Portafolio de TI Relacionar las metas del negocio con las de TI Identificar dependencias críticas y desempeño actual Construir un plan estratégico para TI Construir planes tácticos para TI Analizar portafolios de programas y administrar portafolios de servicios y proyectos Dueno del proceso de negocio, auditoría, riesgo y seguridad C I A R C C C R A C C C C C C R A C C R I C C C C I C A C I A C C C C C C I C C I I A R R C R C R I I Responsable Quien debe ser consultado PO2 Definir la Arquitectura de la S P S P * * Definir la Arquitectura de la Poder dar respuesta a los requerimientos de manera rapida, dando una informacion confiable y consitente, para poder integrar dentro de los procesos del negocio de forma transparente Establecer un modelo de datos empresarial, el mismo que debe incluir un esquema de clasificación para que la información garantice la integridad y consistencia de los datos Aseguramiento de exactitud en la arquitectura de la información y del modelo de datos Asignación de propiedad de datos Clasificación de información usando un esquema de clasificación acordado Porcentaje de elementos de datos redundantes Porcentaje de aplicaciones que no cumplen con la metodología de arquitectura de la información Frecuencia de actividades de validación de datos PO2.1 Modelo de Arquitectura de Informacion Empresarial PO2.2 Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos PO2.3 Esquema de Clasificacion de Datos PO2.4 Administracion de Inicial/Ad Hoc Inicial/Ad Hoc Inicial/Ad Hoc

2 Crear y mantener modelo de información empresarial Crear y mantener un diccionario de datos coorporativo Establecer y mantener un esquema de clasificación de datos Brindar procedimientos y herramientas para los sistemas de información Usar modelo de información, diccionario de datos y esquema de clasificación Dueno del proceso de negocio, auditoría, riesgo y seguridad C I A C R C C C I C A R C R I C A C C I C C R A I C A C C I C C R C C C I A C R C I I Responsable Quien debe ser consultado PO3 Determinar la Dirección Tecnológica P P * * Determinar la Dirección Tecnológica Sistemas aplicativos estándares, bien integrados, rentables y estables. Definición e implementación de una arquitectura y estándares que tomen en cuenta y aprovechen las oportunidades tecnológicas El establecimiento de un plan de infraestructura tecnológica equilibrado versus costos, riesgos y requerimientos. Definición de estándares de infraestructura tecnológica basados en requerimientos de arquitectura de información Frecuencia de las revisiones /actualizaciones del plan de infraestructura tecnológica Número de plataformas de tecnología por función a través de toda la empresa PO3.1 Planeacion de la Direccion Tecnologica PO3.2 Plan de Infraestuctura Tecnologica PO3.3 Monitoreo de Tendencias y Regulaciones Futuras PO3.4 Estandares Tecnologicos PO3.5 Consejo de Arquitectura de TI No existente Inicial/Ad Hoc Inicial/Ad Hoc Crear y mantener un plan de infraestructura tecnológica Crear y mantener estándares tecnológicos Publicar estándares tecnológicos Monitorear la evolución tecnológica Definir el uso de la nueva tecnolgía Dueno de proceso del negocio, auditoría, riesgo y seguridad I I A C R C C C A C R C I I I R I I A I R I I I I A I I A C R C C C C C C A C R C C C I Responsable Quien debe ser consultado PO4 Definir los Procesos, Organización y Relaciones de TI P P * Definir los Procesos, Organización y Relaciones de TI Agilizar la respuesta a las estrategias del negocio Establecimiento de estructuras organizacionales de TI transparentes, flexibles y responsables Definición de un marco de trabajo de procesos de TI Establecimiento de un cuerpo y una estructura organizacional apropiada Definición de roles y responsabilidades Número de unidades/procesos de negocio que no reciben soporte de TI y que deberían recibirlo Número de actividades clave de TI fuera de la organización de TI que no son aprobadas y que no están sujetas a los estándares organizacionales de TI

3 PO4.1 Marco de Trabajo de Procesos de TI PO4.2 Comité Estratégico de TI PO4.3 Comité Directivo de TI PO4.4 Ubicación Organizacional de la Función de TI PO4.5 Estructura Organizacional PO4.6 Establecimiento de Roles y Responsabilidades PO4.7 Responsabilidad de Aseguramiento de Calidad de TI PO4.8 Responsabilidad sobre el Riesgo, la Seguridad y el PO4.9 Propiedad de Datos y de Sistemas PO4.10 Supervisión PO4.11 Segregación de Funciones PO4.12 Personal de TI PO4.13 Personal Clave de TI PO4.14 Políticas y Procedimientos para Personal Contratado PO4.15 Relaciones Relacionar las metas del negocio con las de TI Identificar dependencias críticas y desempeño actual Construir un plan estratégico para TI Construir planes tácticos para TI Analizar portafolios de programas y administrar portafolios de servicios y proyectos Dueno de proceso del negocio, auditoría, riesgo y seguridad C C C A C C C R C I C C C A C C C R C C R C C A C R I I I I I A I A C C I R I I I C C I I A I C C C R C C I Responsable Quien debe ser consultado PO5 Administrar la Inversión en TI P S * * * Administrar la Inversión en TI Mejorar la rentabilidad de TI y su contribución a la rentabilidad del negocio con servicios integrados y estandarizados. Decisiones de portafolio e inversión en TI efectivas y eficientes. El pronóstico y la asignación de presupuestos La medición y evaluación del valor del negocio en comparación con el pronóstico El porcentaje de reducción en el costo unitario del servicio de TI Porcentaje del valor de la desviación respecto al presupuesto en comparación con el presupuesto total PO5.1 Marco de Trabajo para la Administracion Financiera PO5.2 Prioridades dentro del presupuesto de TI PO5.3 Proceso presupuestal PO5.4 Administracion de los Costos de TI PO5.5 Administracion de Beneficios Inicial/Ad Hoc Inicial/Ad Hoc Inicial/Ad Hoc Dar mantenimiento al protafolio de programas de inversion Dar mantenimiento al protafolio de proyectos Dar mantenimiento al protafolio de servicios Establecer y mantener proceso presupuestal de TI Identificar, comunicar y monitorear la inversion, costo y valor de TI para el negocio Dueno de proceso del negocio, auditoría, riesgo y seguridad A R R R C I I I C A A C C C C I R I C A A C C C I A I C C A C C C R C C I C C A C C C R C C I Responsable Quien debe ser consultado PO6 Comunicar las Aspiraciones y la Dirección de la Gerencia P S * * Comunicar las Aspiraciones y la Dirección de la Gerencia Informar oportunamente sobre los servicios de TI actuales y futuros, los riesgos asociados y las responsabilidades Proporcionar políticas y procedimientos, de forma precisa y entendible; que se encuentre dentro del marco de trabajo de control de TI La definición de un marco de trabajo de control para TI La elaboración e implantación de políticas para TI

4 Número de interrupciones en la empresa debidas a interrupciones en el servicio de TI Porcentaje de interesados que entienden el control de TI Porcentaje de interesados que no cumple las políticas PO6.1 Ambiente de Politicas y de Control PO6.2 Riesgo Corporativo y Marco de referencia de control Interno de TI PO6.3 Administracion de Politicas para TI PO6.4 Implantacion de Politicas para TI PO6.5 Comunicacion de los Objetivos y la Direccion de TI Inicial/Ad Hoc No existente Inicial/Ad Hoc Elaborar y mantener un ambiente y marco de control de TI Elaborar y mantener politicas de TI Comunicar el marco de control, objetivos y direccion de TI Dueno de proceso del negocio, auditoría, riesgo y seguridad I C I A I C C C C R I I I A C C C R C A I I I A R C C I Responsable Quien debe ser consultado PO7 Administrar Recursos Humanos de TI P P * Administrar Recursos Humanos de TI Adquirir gente competente y motivada para crear y entregar servicios de TI Contratación y entrenamiento del personal, motivación, asignación de roles segun habilidades La revisión del desempeño del personal La contratación y entrenamiento de personal de TI para apoyar los planes tácticos de TI El nivel de satisfacción de los interesados respecto a la experiencia y habilidades del personal Porcentaje de personal de TI certificado de acuerdo a las necesidades del negocio PO7.1 Reclutamiento y retención del personal PO7.2 Competencias del personal PO7.3 Asignación de roles PO7.4 Entrenamiento del personal de TI PO7.5 Dependencias sobre los individuos PO7.6 Procedimientos de investigación del personal PO7.7 Evaluación del desempeño del empleado PO7.8 Cambios y terminación del trabajo Inicial Identificar habilidades de TI, rango de salarios y desempeno del personal Ejecutar las politicas y procedimientos relevantes de RH para TI PO8 Administrar la Calidad Dueno de proceso del negocio, auditoría, riesgo y seguridad C A C C C R C R A R R R R R C A C I Responsable Quien debe ser consultado P P S S * * * * Administrar la Calidad La mejora continua y medible de la calidad de los servicios prestados por TI La definición de un sistema de administración de calidad y monitoreo del desempeño. La definición de estándares y prácticas de calidad El monitoreo y revisión interna y externa del desempeño contra los estándares y prácticas de calidad La mejorara del QMS de manera continua Porcentaje de Interesados satisfechos con la calidad Porcentaje de procesos que reciben revisiones de aseguramiento de calidad (QA)

5 PO8.1 Sistema de Administración de Calidad PO8.2 Estándares y Prácticas de Calidad PO8.3 Estándares de Desarrollo y de Adquisición PO8.4 Enfoque en el Cliente de TI PO8.5 Mejora Continua PO8.6 Medición, Monitoreo y Revisión de la Calidad Repetible pero intuitivo Repetible pero intuitivo Definir un sistema de administracion de calidad Establecer y mantener un sistema de administracion de calidad Crear y comunicar estandares de calidad a toda la organizacion Crear y administrar el plan de calidad para la mejora continua Medir, monitorear y revisar el cumplimiento de las metas de calidad Dueno de proceso del negocio, auditoría, riesgo y seguridad C C A I I I I I I C R I I I A I C C C C C C A I A I C C C C C C C A I C C C C C C I A I C C C C C C Responsable Quien debe ser consultado PO9 Evaluar y Administrar los Riesgos de TI S S P P P S S * * * * Evaluar y Administrar los Riesgos de TI Analizar y comunicar los riesgos de TI y su impacto potencial sobre los procesos y metas de negocio La elaboración de un marco de trabajo de administración de riesgos, con marcos gerenciales de riesgo operacional, evaluación de riesgos y comunicación de riesgos residuales La garantía de que la administración de riesgos está incluida completamente en los procesos administrativos. La realización de evaluaciones de riesgo La recomendación y comunicación de planes de acción para remediar riesgos Porcentaje de objetivos críticos de TI cubiertos por la evaluación de riesgos Porcentaje de riesgos críticos de TI identificados con planes de acción elaborados PO9.1 Marco de Trabajo de Administración de Riesgos PO9.2 Establecimiento del Contexto del Riesgo PO9.3 Identificación de Eventos PO9.4 Evaluación de Riesgos de TI PO9.5 Respuesta a los Riesgos PO9.6 Mantenimiento y Monitoreo de un Plan de Acción de Riesgos Inicial Repetible pero intuitivo Inicial Inicial Repetible pero intuitivo Repetible pero intuitivo Dueno de proceso del negocio Determinar la alineacion de la administracion de riesgos A A C C A I I Entender los objetivos de negocio estrategicos y relevantes Entender los objetivos de los procesos de negocios relevantes Identificar los objetivos internos de TI y establecer el contexto del riesgo Identificar eventos asociados con objetivos; algunos estan orientados a TI Asesorar el riesgo con los eventos Evaluar y seleccionar respuestas a riesgos Priorizar y planear actividades de control Aprobar y asegurar fondos para planes de accion de riesgos Mantener y monitorear un plan de accion de riesgos, auditoría, riesgo y seguridad C C A C C I R C C A I A A C C C I C I A A R R R R C I A A R R R R C I I A A A R R R R C C C A A R R C C C C A A R I I I I I A C I R R C C C C C R Responsable Quien debe ser consultado PO10 Administrar Proyectos P P * * * Administrar Proyectos La entrega de resultados de proyectos dentro de marcos de tiempo, presupuesto y calidad acordados Un programa y un enfoque de administración de proyectos definidos, el cual se aplica a todos los proyectos de TI La definición e implantación de marcos de trabajo y enfoques de programas y de proyectos La planeación de proyectos para todos los proyectos incluidos en el portafolio de proyectos

6 Porcentaje de proyectos que satisfacen las expectativas de los interesados Porcentaje de proyectos con revisión post-implantación Porcentaje de proyectos que siguen estándares y prácticas de administración de proyectos PO10.1 Marco de Trabajo para la Administración de Programas PO10.2 Marco de Trabajo para la Administración de Proyectos PO10.3 Enfoque de Administración de Proyectos PO10.4 Compromiso de los Interesados PO10.5 Declaración de Alcance del Proyecto PO10.6 Inicio de las Fases del Proyecto PO10.7 Plan Integrado del Proyecto PO10.8 Recursos del Proyecto PO10.9 Administración de Riesgos del Proyecto PO10.10 Plan de Calidad del Proyecto PO10.11 Control de Cambios del Proyecto No existe Repetible pero intuitivo Inicial Repetible pero intuitivo Repetible pero intuitivo No existe Inicial Repetible pero intuitivo Repetible pero intuitivo Inicial Dueno de proceso del negocio Definir un marco de administracion de programas para inversiones en TI C C A R C C Establecer y mantener un marco de trabajo para la administracion de proyectos de TI Establecer y mantener un sistema de monitoreo, medicion y administracion Elaborar planees de calidad, presupuestos y administracion de riesgos Asegurar la participacion y compromiso de los interesados del proyecto, auditoría, riesgo y seguridad I I I A I C C C C R C R I I I R C C C C A C A C C C C C C C A C C I A R C C I Asegurar el control efectivo de los proyectos y de los cambios a proyectos C C C C C A C Definir e implementar metodos de aseguramiento y revision de proyectos I C I A C Responsable Quien debe ser consultado PROCESOS AI1 Identificar soluciones automatizadas ADQUIRIR E IMPLEMENTAR P S Facilitador primario Facilitador secundario P S * * Identificar soluciones automatizadas Traducir los requerimientos funcionales y de control a un diseño efectivo y eficiente de soluciones automatizadas La identificación de soluciones técnicamente factibles y rentables La definición de los requerimientos técnicos y de negocio Realizar estudios de factibilidad como se define en los estándares de desarrollo Aprobar (o rechazar) los requerimientos y los resultados de los estudios de factibilidad Número de proyectos donde los beneficios establecidos no se lograron debido a suposiciones de factibilidad incorrectas Porcentaje de estudios de factibilidad autorizados por el dueño del proceso Porcentaje de usuarios satisfechos con la funcionalidad entregada AI1.1 Definición y Mantenimiento de los Req Técnicos y Funcionales del Negocio AI1.2 Reporte de Análisis de Riesgos AI1.3 Estudio de Factibilidad y Formulación de Cursos de Acción Alternativos AI1.4 Requerimientos, Decisión de Factibilidad y Aprobación Definir los requerimientos funcionales y tecnicos del negocio Establecer procesos para la integridad / validez de los requerimientos Identificar, documentar y analizar el riesgo del proceso del negocio Conducir un estudio de factibilidad / evaluacion de impacto con respecto a la implantacion Evaluar los beneficios operativos de TI para las soluciones propuestas Evaluar los beneficios de negocio de las soluciones propuestas Elaborar un proceso de aprobacion de requerimientos Aprobar y autorizar soluciones propuestas Dueño de proceso del negocio, auditoría, riesgo y seguridad C C C R C R R A/R I C C I A/R C R Responsable A/R R R R C R I A A R R I C C R C C Quien debe ser consultado R R I I I R I A/R R C C C I R C A C C C R C C A/R R R C C C R C AI2 Adquirir y mantener software aplicativo P P S S *

7 Adquirir y dar mantenimiento a software aplicativo Construir las aplicaciones de acuerdo con los requerimientos del negocio y haciéndolas a tiempo y a un costo razonable Garantizar que exista un proceso de desarrollo oportuno y confiable La traducción de requerimientos de negocio a especificaciones de diseño La adhesión a los estándares de desarrollo para todas las modificaciones La separación de las actividades de desarrollo, de pruebas y operativas Número de problemas en producción por aplicación, que causan tiempo perdido significativo Porcentaje de usuarios satisfechos con la funcionalidad entregada AI2.1 Diseño de Alto Nivel AI2.2 Diseño Detallado AI2.3 Control y Posibilidad de Auditar las AI2.4 Seguridad y de las AI2.5 Configuración e Implantación de Software Aplicativo Adquirido AI2.6 Actualizaciones Importantes en Sistemas Existentes AI2.7 Desarrollo de Software Aplicativo AI2.8 Aseguramiento de la Calidad del Software AI2.9 Administración de los Requerimientos de AI2.10 Mantenimiento de Software Aplicativo Inicial Inicial / Ad Hoc Dueño de proceso del negocio Traducir los requerimientos del negocio en especificaciones de diseño de alto nivel C C R A/R C Preparar diseño detallado y los requerimientos tecnicos del software aplicativo Especificar los controles de aplicación dentro del diseño Personalizar e implementar la funcionalidad automatizada adquirida Desarrollar las metodologias y procesos formales para administrar el proceso de desarrollo Crear un plan de aseguramiento de la calidad del software para el proyecto I A/R C Dar seguimineto y administrar los requerimientos de la aplicación A/R Desarrollar un plan para el mantenimento de aplicaciones de software C C A/R C, auditoría, riesgo y seguridad I C C C A/R R C R R C A/R R R A C C A/R R C C C C C A C R C I Responsable Quien debe ser consultado AI3 Adquirir y mantener infraestructura tecnológica S P S S * Adquirir y dar mantenimiento a la infraestructura tecnológica Adquirir y dar mantenimiento a una infraestructura integrada y estándar de TI Proporcionar plataformas adecuadas para las aplicaciones del negocio, de acuerdo con la arquitectura definida de TI y los estándares de tecnología El establecimiento de un plan de adquisición de tecnología que se alinea con el plan de infraestructura tecnológica La planeación de mantenimiento de la infraestructura La implantación de medidas de control interno, seguridad y auditabilidad El porcentaje de plataformas que no se alinean con la arquitectura de TI definida y los estándares de tecnología El número de procesos de negocio críticos soportados por infraestructura obsoleta (o que pronto lo será) El número de componentes de infraestructura que ya no se pueden soportar (o que ya no se podrán en el futuro cercano) AI3.1 Plan de Adquisición de Tecnológica AI3.2 Protección y del Recurso de AI3.3 Mantenimiento de la AI3.4 Ambiente de Prueba de Factibilidad Definir el procedimiento / proceso de adquisicion Negociar la compra y adquirir la infraestructura requerida con proveedores (aprobados) Definir estrategia y Planear el mantenimiento de infraestructura Configurar componentes de la infraestructura Dueño de proceso del negocio, auditoría, riesgo y seguridad C A C C C R I R C/I A I R C C R I A A R R R C I C A R C I Responsable Quien debe ser consultado

8 AI4 Facilitar la operación y el uso P P S S S S * * * Facilitar la operación y el uso Garantizar la satisfacción de los usuarios finales mediante ofrecimientos de servicios y niveles de servicio, y de forma transparente integrar las soluciones de aplicación y tecnología dentro de los procesos del negocio Proporcionar manuales efectivos de usuario y de operación y materiales de entrenamiento para transferir el conocimiento necesario para la operación y el uso exitosos del sistema. El desarrollo y la disponibilidad de documentación para transferir el conocimiento Comunicación y entrenamiento a usuarios y a la gerencia del negocio, al personal de apoyo y al personal de operación La generación de materiales de entrenamiento El número de aplicaciones en que los procedimientos de TI se integran en forma transparente dentro de los procesos de negocio El porcentaje de dueños de negocios satisfechos con el entrenamiento De aplicación y los materiales de apoyo. El número de aplicaciones que cuentan con un adecuado entrenamiento de apoyo al usuario y a la operación AI4.1 Plan para Soluciones de Operación AI4.2 Transferencia de Conocimiento a la Gerencia del Negocio AI4.3 Transferencia de Conocimiento a Usuarios Finales AI4.4 Transferencia de Conocimiento al Personal de Operaciones y Soporte Inicial / Ad Hoc Inicial / Ad Hoc Dueño de proceso del negocio Desarrollar estrategia para que la solucion sea operativa C C C A/R C Desarrollar metodologia de transferencia de conocimiento Desarrollar manuales de procedimineto del usuario final Desarrollar documentaion de soporte tecnico para operaciones y personal de soporte Desarrollar y dar entrenamiento Evaluar los resultados del entrenamiento y ampliar la documentacion como se requiera I A/R R R R AI5 Adquirir recursos de TI, auditoría, riesgo y seguridad I I C R C R I C/I R A/R I A I C R A/R C I R R I Responsable Quien debe ser consultado S P S * * * * Adquirir recursos de TI Mejorar la rentabilidad de TI y su contribución a la utilidad del negocio Adquirir y mantener las habilidades de TI que respondan a la estrategia de entrega, en una infraestructura TI integrada y estandarizada, y reducir el riesgo de adquisición de TI La obtención de asesoría profesional legal y contractual La definición de procedimientos y estándares de adquisición La adquisición de hardware, software y servicios requeridos de acuerdo con los procedimientos definidos El número de controversias en relación con los contratos de adquisición La reducción del costo de compra El porcentaje de interesados clave satisfechos con los proveedores AI5.1 Control de Adquisición AI5.2 Administración de Contratos con Proveedores AI5.3 Selección de Proveedores AI5.4 Adquisición de Recursos de TI No Existente Inicial / Ad Hoc Dueño de proceso del negocio Desarrollar politicas y procedimientos de adquisicion de TI de acuerdo con las politicas de C C C C A/R R Establecer / mantener una lista de proveedores acreditados Evaluar y seleccionar proveedores a traves de un proceso de solicitud de propuesta (RFP) Desarrollar contactos que protejan los intereses de la organizacion Realizar adquisiciones de conformidad con los procedimentos establecidos, auditoría, riesgo y seguridad C C R R C C R I I C A R R R I I I C I C R I I I Responsable Quien debe ser consultado

9 AI6 Administrar cambios P P P P S * * * * Administrar cambios Responder a los requerimientos del negocio de acuerdo con la estrategia de negocio, mientras se reducen los defectos y la repetición de trabajos en la prestación del servicio y en la solución. Controlar la evaluación de impacto, autorización e implantación de todos los cambios a la infraestructura de TI, aplicaciones y soluciones técnicas, minimizando errores que se deben a especificaciones incompletas de la solicitud y detener la implantación de cambios no autorizados La definición y comunicación de los procedimientos de cambio, que incluyen cambios de emergencia La evaluación, la asignación de prioridad y autorización de cambios Seguimiento del estatus y reporte de los cambios El número de interrupciones o errores de datos provocados por especificaciones inexactas o una evaluación de impacto incompleta La repetición de aplicaciones o infraestructura debida a especificaciones de cambio inadecuadas El porcentaje de cambios que siguen procesos de control de cambio formales AI6.1 Estándares y Procedimientos para Cambios AI6.2 Evaluación de Impacto, Priorización y Autorización AI6.3 Cambios de Emergencia AI6.4 Seguimiento y Reporte del Estatus de Cambio AI6.5 Cierre y Documentación del Cambio Repetible pero intuitivo Inicial / Ad Hoc Inicial / Ad Hoc Repetible pero intuitivo Dueño de proceso del negocio Desarrollar e implementar un proceso para registrar, evaluar y dar prioridad en forma C R C A/R C Evaluar impacto y dar prioridad a cambios en base a las necesidades del negocio Garantizar que cualquier cambio critico y de emergencia sigue el proceso aprobado Autorizar cambios Administrar y diseminar la informacion relevante referente a cambios AI7 Instalar y acreditar soluciones y cambios, auditoría, riesgo y seguridad I I I A/R I R I R I A/R A C R R C C I I A/R I Responsable Quien debe ser consultado P S S S * * * * Instalar y acreditar soluciones y cambios Contar con sistemas nuevos o modificados que trabajen sin problemas importantes después de la instalación Probar que las soluciones de aplicaciones e infraestructura son apropiadas para el propósito deseado y estén libres de errores, y planear las liberaciones a producción El establecimiento de una metodología de prueba Realizar la planeación de la liberación (release) Evaluar y aprobar los resultados de las pruebas por parte de la gerencia del negocio Ejecutar revisiones posteriores a la implantación Tiempo perdido de la aplicación o problemas de datos provocados por pruebas inadecuadas Porcentaje de sistemas que satisfacen los beneficios esperados, medidos en el proceso posterior a la implantación Porcentaje de proyectos con plan de prueba documentado y aprobado AI7.1 Entrenamiento AI7.2 Plan de Prueba AI7.3 Plan de Implantación AI7.4 Ambiente de Prueba AI7.5 Conversión de Sistemas y Datos AI7.6 Pruebas de Cambios AI7.7 Prueba de Aceptación Final. AI7.8 Promoción a Producción AI7.9 Revisión Posterior a la Implantación Optimizado

10 Dueño de proceso del negocio, auditoría, riesgo y seguridad Construir y revisar planes de investigacion C A R C C Definir y revisar una estratefia de prueba (criterio de entrada y salida) y una metodologia de C A R Construir y mantener un repositorio de requermimientos de negocio tecnicos y casos de R C R Ejecutar la conversion del sistema y las pruebas de integracion en ambiente de prueba I A/R A Establecer ambiente de prueba y conducir pruebas de aceptacion finales I A/R C C Recomendar la liberacion a produccion con base en los criterios de acreditacion convenidos R R I Responsable Quien debe ser consultado PROCESOS DS1 Definir y administrar los niveles de servicio ENTREGAR Y DAR SOPORTE P S Facilitador primario Facilitador secundario P P S S S S S * * * * Definir y manejar niveles de servicio Garantizar la alineación de los servicios de TI con la estrategia del negocio Identificación de requerimientos de servicio y el monitoreo del cumplimiento de los niveles de servicio Preacuerdos internos para captura de requerimientos y las capacidades de entrega Reuniones y reportes para verificar el cumplimiento de los niveles de servicio La identificación y comunicación de requerimientos de servicios actualizados y nuevos para la planeacion estratégia. EL procentaje de Interesados satisfechos de que los servicios cumplen con los niveles previamente acordados EL número de reuniones formales de revisión del Acuerdo de Niveles de Servicio DS1.1 Marco de Trabajo de la Administración de los Niveles de Servicio DS1.2 Definición de Servicios DS1.3 Acuerdos de Niveles de Servicio DS1.4 Acuerdos de Niveles de Operación DS1.5 Monitoreo y Reporte del Cumplimento de los Niveles de Servicio DS1.6 Revisión de los Acuerdos de Niveles de Servicio y de los Contratos Inicial Repetible Administrado Dueño de proceso de negocio Crear un marco de trabajo para los servicios de TI C A C C I C C I C R Construir un catálogo de servicios de TI Definir los convenios de niveles de servicio SLAS para los servicios críticos de TI Definir los convenios de niveles de Operación OLAs para soportar los SLAs Monitorear y reportar el desempeño del servicio de punta a punta Revisar los SLAs y los contratos de apoyo Revisar y actualizar el catálogo de servicios de TI Crear un plan de mejoras de servicios, auditoría, riesgo y seguridad Administrador de servicio I A C C I C C I I R R Responsable I I C C R I R R C C A/R A I C R I R R C C A/R C Quien debe ser consultado I I R I I I A/R I I I C R R R C A/R I A C C I C C I I R I A I R I R C C I R DS2 Administrar los servicios de terceros P P S S S S S * * * * Administrar servicios del personal Brindar servicios satisfactorios con transparencia acerca de los beneficios, riesgos y costos El establecimiento de relaciones y responsabilidades bilaterales con proveedores calificados de servicios tercerizados y el monitoreo de la prestación del servicio para verificar y asegurar la adherencia a los convenios La identificación y categorización de los servicios del proveedor La identificación y mitigación de riesgos del proveedor El monitoreo y la medición del desempeño del proveedor

11 El número de quejas de los usuarios debidas a los servicios contratados El porcentaje de los principales proveedores sujetos a monitoreo DS2.1 Identificación de Todas las Relaciones con Proveedores DS2.2 Gestión de Relaciones con Proveedores DS2.3 Administración de Riesgos del Proveedor DS2.4 Monitoreo del Desempeño del Proveedor Repetible e intuitivo Repetible e intuitivo Dueño de proceso de negocio Identificar y categorizar las relaciones de los servicios de terceros I C R C R A/R C C Definir y documentar los procesos de administración del proveedor Establecer políticas y procedimientos de evaluación y suspensión de proveedores Identificar, valorar y mitigar los riesgos del proveedor Monitorear la prestación del servicio del proveedor Evaluar las metas de largo plazo de la relación del servicio para todos los interesados, auditoría, riesgo y seguridad C A I R I R R C C R Responsable C A C C C R C C A I A R R R C C C Quien debe ser consultado R A R R R C C I C C C A/R C C C C R C C DS3 Administrar el desempeño y la capacidad de los recursos de TI P P S * * Administrar el desempeño y la capacidad de los recursos de TI Optimiza el desempeño de la infraestructura, los recursos y las capacidades de TI Cumplir con los requerimientos de los niveles de servicio a travéz del monitoreo y la medición La planeación y la entrega del sistema Monitoreando y reportando el desempeño del sistema Modelando y pronosticando el desempeño del sistema Horas perdidas por los usuarios por mes por falta de palneación Porcentaje de picos donde se excede la meta de utilización Porcentaje de el timpo de respueste que no se satisface DS3.1 Planeación del Desempeño y la Capacidad de TI DS3.2 Capacidad y Desempeño Actual de TI DS3.3 Capacidad y Desempeño Futuros de TI DS3.4 de Recursos de TI DS3.5 Monitoreo y Reporte Inicial/Ad Hoc Repetitivo No Existente Inicial/Ad Hoc Establecer un proceso de Planeación para la revision del desempeño de recursos de TI Revisar el desempeño y la capacidad actual de los recursos de TI Realizar pronósticos de desempeño y capacida de los recursos de TI Realizar un plan de contingencia respecto a una falta de potencia de los recursos de TI Monitoriar continuamente la disponibilidad, desempeño y capacidad de recursos de TI Dueño de Proceso de Negocio, auditoría, riesgo y seguridad A R C C C C C I A/R C C C R Responsable C C A/R C C C C A C I A/R C C C C C Quien debe ser consultado I I A/R I I I I I DS4 Garantizar la continuidad del servicio P S P * * * * Garantizar la continuidad del servicio Asegurar un minimo impacto al negocio en caso de una interrupción de servicio de TI' Desarrollar resistencias enlas soluciones automatizadas y desarrollando, manteniendo y probando los planes de continuidad de TI Desarrollando y manteniendo los planes de contingencia de TI Con entrenamiento y pruebas de los planes de contingencia de TI Guardando copias de los planes de contingencia y de los datos fuera de las instalaciones Número de horas perdidas por usuarios por mes, debidas a interrupciones no pleneadas Número de procesos críticos de negocio que dependen de TI, que no están cubiertos por un plan de continuidad

12 DS4.1 Marco de Trabajo de Continuidad de TI DS4.2 Planes de Continuidad de TI DS4.3 Recursos Críticos de TI DS4.4 Mantenimiento del Plan de Continuidad de TI DS4.5 Pruebas del Plan de Continuidad de TI DS4.6 Entrenamiento del Plan de Continuidad de TI DS4.7 Distribución del Plan de Continuidad de TI DS4.8 Recuperación y Reanudación de los Servicios de TI DS4.9 Almacenamiento de Respaldos Fuera de las Instalaciones DS4.10 Revisión Post Reanudación Inicial / Ad Hoc No Existente No Existente No Existente No Existente No Existente Repetible Intuitivo Dueño de Proceso de Negocio, auditoría, riesgo y seguridad Desarrollar un marco de trabajo de continuidad de TI C C A C R R R C C R Responsable Realizar un análisis del impacto al negocio y valoración de riesgo C C C C A/R C C C C A Desarrollar y mantener planes de continuidad de TI I C C C C A/R C C C C Quien debe ser consultado Identificar y categorizar los recursos de TI C I A/R C I C I Definir y ejecutar procedimientos de control de cambios I I A/R R R R Simular una falla en el sistema para probar el plan de contingencia C I A/R C C C I Generar un plan de acción a seguir en base a los resultados de la simulación I R A/R R R R Planear y llevar a cabo una capacitación sobre los planes de continuidad de TI I I C C A/R C C R I Planear e implementar el alamcenamiento y la protección de respaldos I A/R R R R Realizar un procedimiento para llevar a cabo un revisión post reanudación C I A/R C C I DS5 Garantizar la seguridad de los sistemas P P S S S * * * * Garantizar la seguridad de los sistemas Mantener la integridad de la información y la infraestructura para minimizar vulnerabilidades e incidentes de seguridad Definición de políticas, procedimientos y estándares de seguridad de TI y en el monitoreo, detección y reporte de vulnerabilidades del sistema Entendimiento de los requerimientos, vulnerabilidades y amenazas de seguridad. La administración de identidades y autorizaciones de los usuarios de forma estandarizada. Porbar y evaluar la seguridad de forma regular Incidentes que dañan la reputación con el público Numero de sistemas que no cumplen los requerimientos de seguridad Violaciones en la segregacion de tareas DS5.1 Administración de la Seguridad de TI DS5.2 Plan de Seguridad de TI DS5.3 Administración de Identidad DS5.4 Administración de Cuentas del Usuario DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad DS5.6 Definición de Incidente de Seguridad DS5.7 Protección de la Tecnología de Seguridad DS5.8 Administración de Llaves Criptográficas DS5.9 Prevención, Detección y Corrección de Software Malicioso DS5.10 Seguridad de la Red DS5.11 Intercambio de Datos Sensitivos Definir y mantener un plan de seguridad Definir y establecer la administración de cuentas de usuarios Monitorear incidentes de seguridad, reales y potenciales Revisar y validar periódicamente los privilegios y derechos de acceso de los usuarios Mantener y salvaguardar las llaves criptográficas. Implementar controles técnicos para proteger el flujo de información en la red Realizar evaluaciones de vulnerabilidad de manera regular. Dueño de Proceso del negocio Definir y mantener un plan de seguridad I C C A C C C C I I R DS6 Identificar y asignar costos, auditoría, riesgo y seguridad I A C R R I C R Responsable A I R C C R A I A C R C Quien debe ser consultado A R I C I A C C R R C I A I C C C R P P * * * * Identificar y asignar costos Transparentar y entender los costos de TI y mejorar la rentabilidad a travéz del uso de servicios de TI

13 El registro completo y preciso de los costos de TI Aliniación de cargos con la calidad y cantidad de los servicios brindados Construccón y aceptación de un modelo de costos completo La aplicación de cargos con base a la política acordada. Facturas de servicios de TI pagadas por la gerencia del negocio Variaciones entre los presupuestos, pronósticos y costos actuales. Costos totales de TI de acuerdo con los modelos acordados DS6.1 Definicion de Servicios DS6.2 Contabilizacion de TI DS6.3 Modelacion de Costos y Cargos DS6.4 Mantenimiento del Modelo de Costos Inicial / Ad Hoc Repetitivo pero Intuitivo Repetitivo pero Intuitivo Repetitivo pero Intuitivo Dueño de Proceso del negocio, auditoría, riesgo y seguridad Mapear la infraestructura con los servicios brindados C C A C C C C R C R Responsable Identificar todos los costos de TI C A C C C R C A Establecer y mantener un proceso de control de contabilización de TI y de costos C C A C C C C R C C Quien debe ser consultado Establecer y mantener procedimientos y políticas de facturación C C A C C C C R C I DS7 Educar y entrenar a los usuarios P S * Educar y entrenar a los usuarios El uso efectivo y eficiente de soluciones y aplicaciones tecnológicas y el cumplimiento del usuario con las políticas y procedimientos Un claro entendimiento de las necesidades de entrenamiento de los usuarios de TI, la ejecución de una efectiva estrategia de entrenamiento y la medición de resultados Establecer un programa de entrenamiento Organizar e impartir entrenamiento Monitorear y reportar la efectividad del entrenamiento Número de llamadas de soporte debido a problemas de entrenamiento Porcentaje de satisfacción de los Interesados con el entrenamiento recibido Lapso de tiempo entre la identificación de la necesidad de entrenamiento y la impartición del mismo DS7.1 Identificacion de Necesidades de Entrenamiento y Educacion DS7.2 Imparticion de Entrenamiento y Educacion DS7.3 Evaluacion de Entrenamiento Recibido Inicial/ Ad Hoc Repetible e Intuitivo Dueño de Proceso de Negocio, auditoría, riesgo y seguridad Departamento de capacitación Identificar y categorizar las necesidades de capacitación de los usuarios C R C C C C C C C R R Responsable Construir un programa de capacitación C R C C I C C C I R A Realizar actividades de capacitación, instrusión y concienciación I C C C I C C C I R C Quien debe ser consultado Llevar a cabo evaluaciones de la capacitación I R C C I C C C I R I Identificar y evaluar los mejores métodos y herramientas para la capacitación I R C C C C C C C R DS8 Administrar la configuración P S S S * * * Administrar la configuración Optimizar la infraestructura, recursos y capacidades de TI Establecer y mantener un repositorio completo y preciso de atributos de la configuración de los activos. El establecimiento de un repositorio central de todos los elementos de la configuración La identificación de los elementos de configuración y su mantenimiento Revisión de la integridad de los datos de configuración

14 El número de problemas de cumplimiento del negocio debido a inadecuada configuración Porcentaje de licencias compradas y no registradas en el repositorio DS8.1 Repositorio y Linea Base de Configuracion DS8.2 Identificacion y Mantenimiento de Elementos de Configuracion DS8.3 Revision de de la Configuracion Dueño del proceso de negocio, auditoría, riesgo y seguridad Desarrollar procedimientos de planeación de administración de la configuración C A C I C C R R Responsable Recopilar información sobre la configuración inicial y establece líneas base C C C I A/R A Verificar y auditar la información de la configuración. I A I I A/R C Quien debe ser consultado Actualizar el repositorio de la configuración R R R I A/R I PROCESOS ME1. Monitorear y Evaluar el Desempeño de TI MONITOREAR Y EVALUAR P S Facilitador primario Facilitador secundario P P S S S P S * * * * Monitorear y Evaluar el Desempeño de TI. Asegurar el logro de los objetivos establecidos para los procesos de Ti; proporcionar reportes e indicadores de desempeño gerenciales. Método de monitoreo de los procesos del negocio; realizar una evaluación del desempeño laboral e implementar acciones correctivas para corregir las debilidades identificadas en el negocio. Traducir los indicadores de las claves de desempeño y de factores criticos de éxito a Reportes Gerenciales. Comparar los indicadores de desempeño con los objetivos propuestos para evaluar el desempeño de los procesos de la organización. El grado de satisfacción tanto de la gerencia como de los clientes, con respecto a los servicios de información para identificar deficiencias del servicio. El número de acciones correctivas que aplico la gerencia para mejorar el desempeño. ME1.1 Enfoque del Monitoreo ME1.2 Definición y Recolección de Datos de Monitoreo ME1.3 Método de Monitoreo ME1.4 Evaluación del Desempeño ME1.5 Reportes al Consejo Directivo y a Ejecutivos ME1.6 Acciones Correctivas MODELO DE MADUREZ Inicial / Ad hoc Inicial / Ad hoc Inicial / Ad hoc Inicial / Ad hoc Gerente General Socio Monitorear y medir los procesos de TI. I I R Evaluar el desempeño de los procesos de TI. Determinación de acciones correctivas Identificar mejoras y planes de acción Revisar las necesidades de actualización de los procesos de TIC Establecer objetivos de mejoramiento para garantizar el avance de la organización. ME2. Monitorear y Evaluar el Control Interno Presidente Asistencia Técnica Jefe de Comercialización Diseñador Contador Programador C I R R Responsable I I R A C I R A C Quien debe ser consultado R I C C R A P S S S * * * * Monitorear y Evaluar el Control Interno

15 Garantizar el alcance de los objetivos de los procesos de TI, cumplir con las politicas y procedimientos establecidos para el desarrollo de las actividades. Monitorear el marco de trabajo del control interno, e identificar las acciones de mejoramiento que garanticen el el éxito de la seguridad operacional y del control interno La monitorización de la efectividad de los controles internos según las actividades administrativas y de supervisión. Evaluación de la efectividad y la correspondiente emisión del reporte. Evaluación del desempeño organizacional en comparación con las metas establecidas en la organización. El número de acciones correctivas aplicadas sobre problemas de control interno. El resultado de la autoevaluación de control realizada. El grado de cumplimiento de las metas de control interno e iniciativas de mejoramiento. La recolección de datos de monitoreo del control interno ME2.1 Monitoreo del Marco de trabajo de Control Interno ME2.2 Revisiones de Auditoria ME2.3 Excepciones de Control ME2.4 Control de Auto-evaluación ME2.5 Aseguramiento del Control Interno ME2.6 Control Interno para terceros ME2.7 Acciones Correctivas MODELO DE MADUREZ Inicial / Ad hoc Inicial / Ad hoc No existe No existe Gerente General Socio Presidente Monitorear las actividades de control interno de TI I R A A Realizar auditoria de la gerencia de TI. Reporte de auditoria interna y externa. Reporte de las actividades de la función de servicios de información Reportes de las acciones administrativas sobre problemas de control interno. Evaluar el control de gerencia sobre los procesos, políticas y contratos de TI. Identificar acciones correctivas y de mejoramiento. Revisión del control interno real contra lo planeado en todas las áreas de función. Revisar la existencia de puntos vulnerables y problemas de seguridad. Asegurar que TI cumple con la legislación, regulación y contratos. Asistencia Técnica Jefe de Comercialización Diseñador Contador Programador A I R A I R R Responsable I I R A I I R A C Quien debe ser consultado R A A I I I R C R A A R R R R R R ME3. Garantizar el Regulatorio P P S * * * * Garantizar el Regulatorio Incrementar niveles de confianza entre la organización y clientes, aplicando las leyes y regulaciones de la organización. Optimizar la respuesta a requerimientos regulatorios. La certificación o acreditación independiente de seguridad evitando aplicar medidas que resulten críticas. Asegurar el cumplimiento ajustandose a los requerimientos regulatorios y legales. La evaluación sobre la efectiviadad de los servicios de TI. El cumplimiento de los compromisos contractuales de los servicios de TI. Un monitoreo de TI del cumplimiento de las acciones regulatorias. Aseguramiento positivo del cumplimiento. Número de acciones correctivas para resolver incumplimiento de leyes/requerimientos regulatorios. Tiempo máximo entre la identificación del problema de incumplimiento regulatorio hasta su absoluta solución. Número de revisiones de cumplimiento de leyes. Reestructuración de procesos, procedimientos y estandares para el cumplimiento regulatorio. ME3.1 Identificar los Requerimientos de las Leyes, Regulaciones y cumplimientos Contraactuales ME3.2 Optimizar la Respuesta a Requerimientos Externos ME3.3 Evaluación del con Requerimientos Expertos ME3.4 Aseguramiento Positivo del ME3.5 Reportes Integrados MODELO DE MADUREZ Inicial / Ad hoc Inicial / Ad hoc Inicial / Ad hoc No existe Inicial / Ad hoc Gerente General Socio Presidente Asistencia Técnica Jefe de Comercialización Diseñador Contador Definir procesos, procedimientos y estándares para el cumplimiento regulatorio. C C R C A R Responsable Aprobar y comunicar procesos, procedimientos y estandares. R I C A A Verificar el cumplumiento legal y regulatorio de las actividades de TI. I I R A R C Quien debe ser consultado Generar reportes de cumplimientos con regulaciones y leyes. I I R R I Programador

16 ME4. Proporcionar Gobierno de TI P S P S * * * * Proporcionar Gobierno de TI Incrementar los niveles de confianza y beneficiarse de recomendaciones basadas en las mejores prácticas de implementación, para cumplir con los objetivos de un gobierto de TI,cumpliendo con las leyes, regulaciones, ética y estandares profesionales. Establecer un alineamiento estratégico, administración de los riesgos de TI, y la medición del desempeño. Definir un marco de trabajo en un adecuado proceso de TI para asegurar el cumplimiento de la leyes. Definir organismos de gobierno, tal que guien a gerencia hacie una orientación estratégica sobre las TI. Introducción de responsabilidades de administración de posibles riesgos, minimizando los desastres en el negocio. Revisar las acciones correctivas de la empresa. Número de reportes provenientes de TI el nivel gerencial de la organización. Evaluación periódica de las iniciativas y operaciones de TI. Frecuencia de evaluación de riesgos y su respectivo impacto en la organización. ME4.1 Establecimiento de un Marco de Gobierno de TI ME4.2 Alineamiento Estratégico ME4.3 Entrega de Valor ME4.4 Administración de Recursos ME4.5 Administración de Riesgos ME4.6 Medición de Desempeño ME4.7 Aseguramiento Independiente MODELO DE MADUREZ No existe Inicial / Ad hoc Inicial / Ad hoc No existe Generar un informe para dar una visión completa del Entorno de Control y Gobierno Corporativo. Responder los requerimientos de gobierno en linea con la dirección ejecutiva Asegurar la transparencia y comprensión de costes de TI, beneficios, estrategias y políticas. Asegurar que TI demuestra la eficiencia de costes de la calidad de servicios, mejora continua y cambios futuros. Garantizar la conformidad de TI con la legislacion, regulación, estándares y políticas. Revisar las acciones correctivas de Gerencia Revisar el progreso de la empresa hacia las metas identificadas Evaluar y reportar riesgos relacionados con TI y su impacto. Gerente General Socio I I A Presidente Asistencia Técnica C Programador Jefe de Comercialización Diseñador Contador R R R I I R R Responsable A I I R C Quien debe ser consultado I I R R R I I R I I R I A A I I R A

17

18

19

20