Nivel de MadurezEstado del Control Interno de IT. Establecimeinto de Controles Internos0-No existente O INEXISTENTE No se reconoce la necesidad del control interno. El control no es parte de la cultura o misin organizacional. Existe un alto riesgo de deficiencias e incidentes de control. No existe la intencin de evaluar la necesidad del control interno. Los incidentes se manejan conforme van surgiendo. 1-Inicial / ad hoc Se reconoce algo de la necesidad del control interno. El enfoque hacia los requerimientos de riesgo y control es ad hoc y desorganizado, sin comunicacin o supervisin. No se identifican las deficiencias. Los empleados no estn conscientes de sus responsabilidades. No existe la conciencia de la necesidad de evaluar lo que se necesita en trminos de controles de TI. Cuando se llevan a cabo, son solamente de forma ad hoc, a alto nivel y como reaccin a incidentes significativos. La evaluacin slo se enfoca al incidente presente. 2-Repetible pero intuitivo Existen controles pero no estn documentados. Su operacin depende del conocimiento y motivacin de los individuos. La efectividad no se evala de forma adecuada. Existen muchas debilidades de control y no se resuelven de forma apropiada; el impacto puede ser severo. Las medidas de la gerencia para resolver problemas de control no son consistentes ni tienen prioridades. Los empleados pueden no estar conscientes de sus responsabilidades. La evaluacin de la necesidad de control sucede solo cuando se necesita para ciertos procesos seleccionados de TI para determinar el nivel actual de madurez del control, el nivel meta que debe ser alcanzado, y las brechas existentes. Se utiliza un enfoque de taller informal, que involucra a los gerentes de TI y al equipo participante en el proceso, para definir un enfoque adecuado hacia el control para los procesos, y para generar un plan de accin acordado. 3-Proceso definido Existen controles y estn documentados de forma adecuada. Se evala la efectividad operativa de forma peridica y existe un nmero promedio de problemas. Sin embargo, el proceso de evaluacin no est documentado. Aunque la gerencia puede manejar la mayora de los problemas de control de forma predecible, algunas debilidades de control persisten y los impactos pueden ser severos. Los empleados estn conscientes de sus responsabilidades de control. Los procesos crticos de TI se identifican con base en impulsores de valor y de riesgo. Se realiza un anlisis detallado para identificar requisitos de control y la causa raz de las brechas, as como para desarrollar oportunidades de mejora. Adems de facilitar talleres, se usan herramientas y se realizan entrevistas para apoyar el anlisis y garantizar que los propietarios de los procesos de TI son realmente los dueos e impulsan al proceso de evaluacin y mejora. 4-Administrado y medible Existe un ambiente efectivo de control interno y de administracin de riesgos. La evaluacin formal y documentada de los controles ocurre de forma peridica. Muchos controles estn automatizados y se realizan de forma peridica. Es probable que la gerencia detecte la mayora de los problemas de control, aunque no todos los problemas se identifican de forma rutinaria. Hay un seguimiento consistente para manejar las debilidades de control identificadas. Se aplica un uso de la tecnologa tctico y limitado a los controles automatizados. Se define de forma peridica qu tan crticos son los procesos de TI con el apoyo y acuerdo completo por parte de los propietarios de los procesos correspondientes. La evaluacin de los requisitos de control se basa en las polticas y en la madurez real de estos procesos, siguiendo un anlisis meticuloso y medido, involucrando a los participantes clave. La rendicin de cuentas sobre estas evaluaciones es clara y est reforzada. Las estrategias de mejora estn apoyadas en casos de negocio. El desempeo para lograr los resultados deseados se supervisa de forma peridica. Se organizan de forma ocasional revisiones externas de control. 5-Optimizado Un programa organizacional de riesgo y control proporciona la solucin continua y efectiva a problemas de control y riesgo. El control interno y la administracin de riesgos se integran a las prcticas empresariales, apoyadas con una supervisin en tiempo real, y una rendicin de cuentas completa para la vigilancia de los controles, administracin de riesgos, e implantacin del cumplimiento. La evaluacin del control es continua y se basa en auto-evaluaciones y en anlisis de brechas y de causas raz. Los empleados se involucran de forma pro-activa en las mejoras de control. Los cambios en el negocio toman en cuenta que tan crticos son los procesos de TI, y cubren cualquier necesidad de re-evaluar la capacidad del control de los procesos. Los propietarios de los procesos realizan auto-evaluaciones de forma peridica para confirmar que los controles se encuentran en el nivel correcto de madurez para satisfacer las necesidades del negocio, y toman en cuenta los atributos de madurez para encontrar maneras de hacer que los controles sean ms eficientes y efectivos. La organizacin evala por comparacin con las mejoras prcticas externas y busca asesora externa sobre la efectividad de los controles internos. Para procesos crticos, se realizan evaluaciones independientes para proporcionar seguridad de que los controles se encuentran al nivel deseado de madurez y funcionan como fue planeado.

DptoDptoDptoDptoDptoDptoPromedioObjetivoDescripcinControl sobre el proceso TIDocumentaciones Mnima que formaliza el Proceso?Documentacin Existente?Nivel de MadurezNivel de MadurezNivel de MadurezNivel de MadurezNivel de MadurezNivel de MadurezCountSumaAverageNivel de MadurezObservaciones012345012345012345012345012345012345012345PO1Se requiere una planeacin estratgica de TI para administrar y dirigir todos los recursos de TI de acuerdo con la estrategia del negocio y las prioridades. La funcin de TI y los participantes del negocio son responsables de garantizar que se materialice el valor ptimo de los portafolios de proyectos y servicios. El plan estratgico debe mejorar el entendimiento de los interesados clave respecto a las oportunidades y limitaciones de TI, evaluar el desempeo actual y aclarar el nivel de inversin requerido. La estrategia de negocio y las prioridades se deben reflejar en los portafolios y deben ser ejecutadas por los planes tcticos de TI, los cuales establecen objetivos, planes y tareas especficas, entendidas y aceptadas tanto por el negocio como por TI. Definir un plan estratgico para TI 1.-Plan Estratgico de TI2.-Plan Operativo de TI3.-Portafolio de Proyectos de TI4.-Portafolio de Servicios de TI5.-Estrategia de Tercerizacin de TI6.-Estrategia de Adquisicin de TI00#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!1.- Insertar Observacion 1.PO2La funcin de los sistemas de informacin debe crear y actualizar de forma regular un modelo de informacin del negocio y definir los sistemas apropiados para optimizar el uso de esta informacin. Esto incluye el desarrollo de un diccionario corporativo de datos que contiene las reglas de sintaxis de los datos de la organizacin, el esquema de clasificacin de datos y los niveles de seguridad. Este proceso mejora la calidad de la toma de decisiones gerenciales asegurndose que se proporciona informacin confiable y segura, y permite racionalizar los recursos de los sistemas de informacin para igualarse con las estrategias del negocio. Este proceso de TI tambin es necesario para incrementar la responsabilidad sobre la integridad y seguridad de los datos y para mejorar la efectividad y control de la informacin compartida a lo largo de las aplicaciones y de las entidades Definir la arquitectura de informacin 1.-Esquema de clasificacin de datos2.-Diccionario de datos3.-Nivel de Seguridad sobre Datos. 4.-Clasificaciones de Datos asignada

00#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!1.- Insertar Observacion 1.PO3La funcin de servicios de informacin debe determinar la direccin tecnolgica para dar soporte al negocio. Esto requiere de la creacin de un plan de infraestructura tecnolgica y de un consejo de arquitectura que establezca y administre expectativas realistas y claras de lo que la tecnologa puede ofrecer en trminos de productos, servicios y mecanismos de aplicacin. El plan se debe actualizar de forma regular y abarca aspectos tales como arquitectura de sistemas, direccin tecnolgica, planes de adquisicin, estndares, estrategias de migracin y contingencias. Esto permite contar con respuestas oportunas a cambios en el ambiente competitivo, economas de escala para consecucin de personal de sistemas de informacin e inversiones, as como una interoperabilidad mejorada de las plataformas y de las aplicaciones. Determinar la direccin tecnolgica 1.-Plan de Proyeccin Tecnolgica de la Organizacin. 2.-Plan de infraestructura tecnolgica3.-Polticas & Procedimiento de Monitoreo Evolucin Tendencias Tecnolgicas y de Regulacin. 4.-Conformacin del Comit Estratgico de IT.00#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!1.- Insertar Observacion 1.PO4Una organizacin de TI se debe definir tomando en cuenta los requerimientos de personal, funciones, delegacion, autoridad, roles, responsabilidades y supervisin. La organizacin estar incrustada en un marco de trabajo de procesos de TI que asegura la transparencia y el control, as como el involucramiento de los altos ejecutivos y de la gerencia del negocio. Un comit estratgico debe garantizar la vigilancia del consejo directivo sobre la TI, y uno ms comits administrativos, en los cuales participan tanto el negocio como TI, deben determinar las prioridades de los recursos de TI alineados con las necesidades del negocio. Deben existir procesos, polticas administrativas y procedimientos para todas las funciones, con atencin especfica en el control, el aseguramiento de la calidad, la administracin de riesgos, la seguridad de la informacin, la propiedad de datos y de sistemas y la segregacin de tareas. Para garantizar el soporte oportuno de los requerimientos del negocio, TI se debe involucrar en los procesos importantes de decisin. Definir los procesos, organizacin y relaciones de TI 1.-Conformacin del Comit Estratgico de IT.2.-Organigrama aprobado por el Consejo de Administracin para la Funcin de IT. 3.-Manuales de Funciones y Responsabilidades formalmente documentados y aprobados. 4.-Definicin de una funcin de Control de Calidad sobre los procesos de IT. 5.-Procedimientos de Evaluacin Peridicos del Personal de IT. 6.-Identificacin del Personal Clave de IT. 7.-Polticas & Procedimientos para Contratar & Monitorear las Actividades del Personal de IT. 8.-Polticas & Declaraciones relacionadas con la Segregacin Mnima de Funciones.

00#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!1.- Insertar Observacion 1.PO5Establecer y mantener un marco de trabajo para administrar los programas de inversin en TI que abarquen costos, beneficios, prioridades dentro del presupuesto, un proceso presupuestal formal y administracin contra ese presupuesto. Trabajar con los interesados para identificar y controlar los costos y beneficios totales dentro del contexto de los planes estratgicos y tcticos de TI, y tomar medidas correctivas segn sean necesarias. El proceso fomenta la sociedad entre TI y los interesados del negocio, facilita el uso efectivo y eficiente de recursos de TI, y brinda transparencia y responsabilidad dentro del costo total de la propiedad, la materializacin de los beneficios del negocio y el retorno sobre las inversiones en TI. Administrar la inversin en TI 1.-Presupuesto de IT formalmente aprobado por el Consejo Directivo.2.-Inventario de Proyectos/Servicios de IT.3.-Procedimiento de Compras para requerimientos IT. 4.-Procedimiento de Monitoreo Presupuesto IT.

00#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!1.- Insertar Observacion 1.PO6La direccin debe elaborar un marco de trabajo de control empresarial para TI, y definir y comunicar las polticas. Un programa de comunicacin continua se debe implantar para articular la misin, los objetivos de servicio, las polticas y procedimientos, etc., aprobados y apoyados por la direccin. La comunicacin apoya el logro de los objetivos de TI y asegura la concientizacin y el entendimiento de los riesgos de negocio y de TI. El proceso debe garantizar el cumplimiento de las leyes y reglamentos relevantes. Comunicar las aspiraciones y la direccin de la gerencia 1.-Programa de Concienciacin del Personal. 2.-Plan de Comunicacin de IT (Polticas/Procedimientos/Cdigo de Etica). 3.-Proceso de Evaluacin de Riesgos (RISK ASSESSMENT)0100X1.- Insertar Observacion 1.PO7Adquirir, mantener y motivar una fuerza de trabajo para la creacin y entrega de servicios de TI para el negocio. Esto se logra siguiendo prcticas definidas y aprobadas que apoyan el reclutamiento, entrenamiento, la evaluacin del desempeo, la promocin y la terminacin. Este proceso es crtico, ya que las personas son activos importantes, y el ambiente de gobierno y de control interno depende fuertemente de la motivacin y competencia del personal Administrar los recursos humanos de TI 1.-Polticas & Procedimientos de Reclutamiento del Personal.2.-Polticas & Procedimientos Revisin Antecedentes del Personal (Legales/Laborales/Comerciales).3.-Polticas & Procedimientos de Retencin del Personal.4.-Manual de Funciones.5.-Organigrama de IT.6.-Proceso de Evaluacin de Desempeo. 7.-Polticas & Procedimientos de Capacitacin. 8.-Plan de Capacitacin del Personal. 9.-Polticas & Procedimientos de Respaldo del Personal (Personal Clave + Backup)10.-Polticas & Procedimientos de ABM Usuarios. 00#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!1.- Insertar Observacion 1.PO8Se debe elaborar y mantener un sistema de administracin de calidad, el cual incluya procesos y estndares probados de desarrollo y de adquisicin. Esto se facilita por medio de la planeacin, implantacin y mantenimiento del sistema de administracin de calidad, proporcionando requerimientos, procedimientos y polticas claras de calidad. Los requerimientos de calidad se deben manifestar y documentar con indicadores cuantificables y alcanzables. La mejora continua se logra por medio del constante monitoreo, correccin de desviaciones y la comunicacin de los resultados a los interesados. La administracin de calidad es esencial para garantizar que TI est dando valor al negocio, mejora continua y transparencia para los interesados. Administrar la calidad 1.-Definicin del Sistema de Administracin de Calidad (QMS), incluyendo: Estructura, Responsables, Polticas, Controles y Mtricas de Control/Reporte. 2.-Documentacin del Plan de Calidad. 3.-Estndares de Desarrollo y Adquisicin de Software (estndares de codificacin, normas de nomenclatura, estndares de aprobacin funcional y revisin de cdigos, estndares de pruebas unitarias, integradas y de sistemas).

00#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!PO9Crear y dar mantenimiento a un marco de trabajo de administracin de riesgos. El marco de trabajo documenta un nivel comn y acordado de riesgos de TI, estrategias de mitigacin y riesgos residuales acordados. Cualquier impacto potencial sobre las metas de la organizacin, causado por algn evento no planeado se debe identificar, analizar y evaluar. Se deben adoptar estrategias de mitigacin de riesgos para minimizar los riesgos residuales a un nivel aceptable. El resultado de la evaluacin debe ser entendible para los participantes y se debe expresar en trminos financieros, para permitir a los participantes alinear los riesgos a un nivel aceptable de tolerancia. Evaluar y administrar los riesgos de TI 1.-Polticas & Procedimientos de Evaluacin de Riesgos (Risk Assessment). 2.-Plan de Accin para Mitigar Riesgos Identificados. 3.- Polticas & Procedimientos de Monitoreo Plan de Riesgos (Risk Assessment).00#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!1.- Insertar Observacion 1.PO10Establecer un programa y un marco de control administrativo de proyectos para la administracin de todos los proyectos de TI. El marco de trabajo debe garantizar la correcta asignacin de prioridades y la coordinacin de todos los proyectos. El marco de trabajo debe incluir un plan maestro, asignacin de recursos, definicin de entregables, aprobacin de los usuarios, un enfoque de entrega por fases, aseguramiento de la calidad, un plan formal de pruebas, revisin de pruebas y revisin post-implantacin despus de la implantacin para garantizar la administracin de los riesgos del proyecto y la entrega de valor para el negocio. Este enfoque reduce el riesgo de costos inesperados y de cancelacin de proyectos, mejora la comunicacin y el involucramiento del negocio y de los usuarios finales, asegura el valor y la calidad de los entregables de los proyectos, y maximiza su contribucin a los programas de inversin en TI. Administrar proyectos 1.-Polticas & Procedimientos de Administracin Proyectos (incluye): Inicio del Proyecto. Autorizacin del Proyecto. Plan del Proyecto. Plan de Asignacin de Recursos. Plan de Control de Cambios. Plan de Control de Calidad. Plan de Evaluacin de Resultados. 00#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!1.- Insertar Observacion 1.AI1La necesidad de una nueva aplicacin o funcin requiere de anlisis antes de la compra o desarrollo para garantizar que los requisitos del negocio se satisfacen con un enfoque efectivo y eficiente. Este proceso cubre la definicin de las necesidades, considera las fuentes alternativas, realiza una revisin de la factibilidad tecnolgica y econmica, ejecuta un anlisis de riesgo y de costo-beneficio y concluye con una decisin final de desarrollar o comprar. Todos estos pasos permiten a las organizaciones minimizar el costo para adquirir e implantar soluciones, mientras que al mismo tiempo facilitan el logro de los objetivos del negocio. Identificar soluciones automatizadas 1.-Polticas & Procedimientos de Administracin de Cambios a Programas (CVDS): Identificacin de los Cambios Requeridos a Sistemas. Anlisis de Requerimientos. Anlisis de Riesgos y Factibilidad Tcnica. Aprobacin de la Solucin.

00#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!1.- Insertar Observacion 1.AI2Las aplicaciones deben estar disponibles de acuerdo con los requerimientos del negocio. Este proceso cubre el diseo de las aplicaciones, la inclusin apropiada de controles aplicativos y requerimientos de seguridad, y el desarrollo y la configuracin en s de acuerdo a los estndares. Esto permite a las organizaciones apoyar la operatividad del negocio de forma apropiada con las aplicaciones automatizadas correctas. Adquirir y dar mantenimiento a software aplicativo 1.- Polticas & Procedimientos de Administracin de Cambios a Programas (CVDS): Especificaciones de Controles de seguridad de la Aplicacin Conocimiento del paquete de software y de la Aplicacin Planificacin inicial de SLA. Especificaciones de disponibilidad, continuidad, y recuperacin Control de Calidad en el Desarrollo.00#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!1.- Insertar Observacion 1.AI3Las organizaciones deben contar con procesos para adquirir, implantar y actualizar la infraestructura tecnolgica. Esto requiere de un enfoque planeado para adquirir, mantener y proteger la infraestructura de acuerdo con las estrategias tecnolgicas convenidas y la disposicin del ambiente de desarrollo y pruebas. Esto garantiza que exista un soporte tecnolgico continuo para las aplicaciones del negocio. Adquirir y dar mantenimiento a la infraestructura tecnolgica 1.-Plan de Mantenimiento de Infraestructura de IT (Software/Hardware).2.-Plan de Contingencia de las Plataformas Crticas. 3.-Evaluacin de Riesgos sobre la Plataforma Adquirida/Desarrollada e implementacin de controles. 4.-Polticas & Procedimientos de Prueba de la Infraestructura. 5.-Determinacin del Entorno de Pruebas (unitarias/integradas/sistemas).

00#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!1.- Insertar Observacion 1.AI4El conocimiento sobre los nuevos sistemas debe estar disponible. Este proceso requiere la generacin de documentacin y manuales para usuarios y para TI, y proporciona entrenamiento para garantizar el uso y la operacin correctos de las aplicaciones y la infraestructura. Facilitar la operacin y el uso 1.-Manuales de usuario, operacional, soporte, tcnico, y de administracin. 2.-Materiales de entrenamiento.3.-Plan de Entrenamiento Tcnico & Funcional.

00#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!AI5Se deben suministrar recursos TI, incluyendo personas, hardware, software y servicios. Esto requiere de la definicin y ejecucin de los procedimientos de adquisicin, la seleccin de proveedores, el ajuste de arreglos contractuales y la adquisicin en s. El hacerlo as garantiza que la organizacin tenga todos los recursos de TI que se requieren de una manera oportuna y rentable Adquirir recursos de TI 1.-Procedimiento Tcnico de Compras de IT. Solicitud de Compra. Evaluacin & Aprobacin de Solicitud. Anlisis de Requerimiento Tcnico. Determinacin de los Trminos de Compras. Requerimiento de Cotizacin. Seleccin de Proveedores. Firma de Acuerdos Contractuales. 2.-Procedimiento de Recepcin & Pruebas de Recursos Adquiridos. 3.-Procedimiento de Evaluacin de Proveedores. 00#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!1.- Insertar Observacion 1.AI6Todos los cambios, incluyendo el mantenimiento de emergencia y parches, relacionados con la infraestructura y las aplicaciones dentro del ambiente de produccin, deben administrarse formalmente y controladamente. Los cambios (incluyendo procedimientos, procesos, sistema y parmetros del servicio) se deben registrar, evaluar y autorizar previo a la implantacin y revisar contra los resultados planeados despus de la implantacin. Esto garantiza la reduccin de riesgos que impactan negativamente la estabilidad o integridad del ambiente de produccin. Administrar cambios 1.-Polticas & Procedimientos de Administracin de Cambios a Programas (CVDS): Solicitud de Cambios. Anlisis Tcnico Funcional. Autorizacin del Cambios. Asignacin de Tareas a Programacin. Transferencia de Objetos (Produccin - Desarrollo) Actividades de Programacin. Catalogacin de Productos. Prueba de Productos.

00#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!1.- Insertar Observacion 1.AI6Todos los cambios, incluyendo el mantenimiento de emergencia y parches, relacionados con la infraestructura y las aplicaciones dentro del ambiente de produccin, deben administrarse formalmente y controladamente. Los cambios (incluyendo procedimientos, procesos, sistema y parmetros del servicio) se deben registrar, evaluar y autorizar previo a la implantacin y revisar contra los resultados planeados despus de la implantacin. Esto garantiza la reduccin de riesgos que impactan negativamente la estabilidad o integridad del ambiente de produccin (Continuacin). Administrar cambios Aprobacin de Cambios. Revisin de Calidad Cambios. Transferencia de Objetos (Desarrollo Produccin).2.-Polticas & Procedimientos para la Administracin de Cambios a Programas en Emergencias. 3.-Polticas & Procedimientos para Versionamiento de Fuentes.4.-Polticas & Procedimientos de Prueba. 5.-Polticas & Procedimientos de Control Calidad (QA).6.-Polticas & Procedimientos p/ Transferencia de Objetos.7.-Polticas & Procedimientos p/ Implantacin de Sistemas.8.-Polticas & Procedimientos de Monitoreo Soluciones Implementadas.

00#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!1.- Insertar Observacion 1.AI7Los nuevos sistemas necesitan estar funcionales una vez que su desarrollo se completa. Esto requiere pruebas adecuadas en un ambiente dedicado con datos de prueba relevantes, definir la transicin e instrucciones de migracin, planear la liberacin y la transicin en s al ambiente de produccin, y revisar la post-implantacin. Esto garantiza que los sistemas operacionales estn en lnea con las expectativas convenidas y con los resultados. Instalar y acreditar soluciones y cambios Ver AI6.00#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!1.- Insertar Observacion 1.DS1Contar con una definicin documentada y un acuerdo de servicios de TI y de niveles de servicio, hace posible una comunicacin efectiva entre la gerencia de TI y los clientes de negocio respecto de los servicios requeridos. Este proceso tambin incluye el monitoreo y la notificacin oportuna a los participantes sobre el cumplimiento de los niveles de servicio. Este proceso permite la alineacin entre los servicios de TI y los requerimientos de negocio relacionados Definir y manejar niveles de servicio 1.-Polticas & Procedimientos de SLA. 2.-Polticas & Procedimientos Monitoreo SLAs 3.-Acuerdos SLAs con proveedores crticos. 4.-Revisin Peridicas Acuerdos SLAs con proveedores crticos.5.-Reportes e Informes de Revisin SLAs.6.-Inventario de Contratos con Proveedores.

00#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!1.- Insertar Observacion 1.DS2La necesidad de asegurar que los servicios provistos por terceros cumplan con los requerimientos del negocio, requiere de un proceso efectivo de administracin de terceros. Este proceso se logra por medio de una clara definicin de roles, responsabilidades y expectativas en los acuerdos con los terceros, as como con la revisin y monitoreo de la efectividad y cumplimiento de dichos acuerdos. Una efectiva administracin de los servicios de terceros minimiza los riesgos del negocio asociados con proveedores que no se desempean de forma adecuada. Administrar servicios de terceros 1.-Polticas & Procedimientos de Evaluacin de Proveedores. 2.-Polticas & Procedimientos de Monitoreo Ejecucin de Contratos.

00#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!1.- Insertar Observacion 1.DS3La necesidad de administrar el desempeo y la capacidad de los recursos de TI requiere de un proceso para revisar peridicamente el desempeo actual y la capacidad de los recursos de TI. Este proceso incluye el pronstico de las necesidades futuras, basadas en los requerimientos de carga de trabajo, almacenamiento y contingencias. Este proceso brinda la seguridad de que los recursos de informacin que soportan los requerimientos del negocio estn disponibles de manera continua. Administrar el desempeo y la capacidad 1.-Polticas & Procedimientos de Anlisis Capacidad Procesamiento.2.-Polticas & Procedimientos de Evaluacin Capacidad Procesamiento.3.-Polticas & Procedimientos de Proyeccin Capacidad Procesamiento.4.-Polticas & Procedimientos de Monitoreo Capacidad Procesamiento.

00#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!1.- Insertar Observacion 1.DS4La necesidad de brindar continuidad en los servicios de TI requiere desarrollar, mantener y probar planes de continuidad de TI, almacenar respaldos fuera de las instalaciones y entrenar de forma peridica sobre los planes de continuidad. Un proceso efectivo de continuidad de servicios, minimiza la probabilidad y el impacto de interrupciones mayores en los servicios de TI, sobre funciones y procesos claves del negocio. Garantizar la continuidad del servicio 1.-Plan de Continuidad del Negocio. 2.-Plan de Contingencia Informtica. 3.-Polticas & Procedimientos de Continuidad de IT. 4.-Infraestructura de Contingencia. 5.-Anlisis de Impacto del Negocio.6.- Polticas & Procedimientos de Pruebas de Contingencia.

00#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!1.- Insertar Observacion 1.DS5La necesidad de mantener la integridad de la informacin y de proteger los activos de TI, requiere de un proceso de administracin de la seguridad. Este proceso incluye el establecimiento y mantenimiento de roles y responsabilidades de seguridad, polticas, estndares y procedimientos de TI. La administracin de la seguridad tambin incluye realizar monitoreos de seguridad y pruebas peridicas as como realizar acciones correctivas sobre las debilidades o incidentes de seguridad identificados. Una efectiva administracin de la seguridad protege todos los activos de TI para minimizar el impacto en el negocio causado por vulnerabilidades o incidentes de seguridad Garantizar la seguridad de los sistemas 1.-Plan de Seguridad Informtica. 2.-Polticas & Procedimientos de Seguridad Informtica. 3.-Plan de Concienciacin de Seguridad. 4.-Plan de Entrenamiento al Personal. 5.-Plan de Administracin de Incidentes. 6.-Polticas & Procedimientos de AMB Usuarios.7.-Polticas de Contraseas. 8.-Polticas & Procedimientos de Revisin Log Seguridad. 9.- Polticas & Procedimientos de Monitoreo Red. 10.- Polticas & Procedimientos de Administracin Identidad Usuarios. 11.- Polticas & Procedimientos de Encriptacin de Datos.

00#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!1.- Insertar Observacion 1.DS6La necesidad de un sistema justo y equitativo para asignar costos de TI al negocio, requiere de una medicin precisa y un acuerdo con los usuarios del negocio sobre una asignacin justa. Este proceso incluye la construccin y operacin de una sistema para capturar, distribuir y reportar costos de TI a los usuarios de los servicios. Un sistema equitativo de costos permite al negocio tomar decisiones ms informadas respectos al uso de los servicios de TI. Identificar y asignar costos 1.-Polticas & Procedimientos Registracin de Costos e Inversiones de IT. 00#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!1.- Insertar Observacion 1.DS7Para una educacin efectiva de todos los usuarios de sistemas de TI, incluyendo aquellos dentro de TI, se requieren identificar las necesidades de entrenamiento de cada grupo de usuarios. Adems de identificar las necesidades, este proceso incluye la definicin y ejecucin de una estrategia para llevar a cabo un entrenamiento efectivo y para medir los resultados. Un programa efectivo de entrenamiento incrementa el uso efectivo de la tecnologa al disminuir los errores, incrementando la productividad y el cumplimiento de los controles clave tales como las medidas de seguridad de los usuarios Educar y entrenar a los usuarios 1.-Polticas & Procedimientos de Capacitacin al Personal (aspectos de Seguridad e IT). 00#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!1.- Insertar Observacion 1.DS8Responder de manera oportuna y efectiva a las consultas y problemas de los usuarios de TI, requiere de una mesa de servicio bien diseada y bien ejecutada, y de un proceso de administracin de incidentes. Este proceso incluye la creacin de una funcin de mesa de servicio con registro, escalamiento de incidentes, anlisis de tendencia, anlisis causa-raiz y resolucin. Los beneficios del negocio incluyen el incremento en la productividad gracias a la resolucin rpida de consultas. Adems, el negocio puede identificar la causa raz (tales como un pobre entrenamiento a los usuarios) a travs de un proceso de reporte efectivo Administrar la mesa de servicio y los incidentes 1.-Polticas & Procedimientos p/ Administracin de Requerimientos Usuarios. 2.-Definicin de la Estructura Organizacional de Soporte (Help Desk).3.-Polticas & Procedimientos de Escalamiento Incidentes.4.-Polticas & Procedimientos de Reporte Indicentes/Solicitudes de Usuarios.

00#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!1.- Insertar Observacion 1.DS9Garantizar la integridad de las configuraciones de hardware y software requiere establecer y mantener un repositorio de configuraciones completo y preciso. Este proceso incluye la recoleccin de informacin de la configuracin inicial, el establecimiento de normas, la verificacin y auditora de la informacin de la configuracin y la actualizacin del repositorio de configuracin conforme se necesite. Una efectiva administracin de la configuracin facilita una mayor disponibilidad, minimiza los problemas de produccin y resuelve los problemas ms rpido. Administrar la configuracin 1.-Polticas & Procedimientos p/ Configurar Recursos de IT (Base de Datos, Sistemas Operativos,etc).2.-Polticas & Procedimientos de Registracin Histrico de Configuraciones de Recursos de IT.3.-Polticas & Procedimientos de Revisin de Configuracin Recursos IT.

00#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!1.- Insertar Observacion 1.DS10Una efectiva administracin de problemas requiere la identificacin y clasificacin de problemas, el anlisis de las causas desde su raz, y la resolucin de problemas. El proceso de administracin de problemas tambin incluye la identificacin de recomendaciones para la mejora, el mantenimiento de registros de problemas y la revisin del estatus de las acciones correctivas. Un efectivo proceso de administracin de problemas mejora los niveles de servicio, reduce costos y mejora la conveniencia y satisfaccin del usuario. Administracin de problemas 1.-Polticas & Procedimientos p/ Administracin de Incidentes- 2.-Polticas & Procedimientos p/ Escalar y Reportar Incidentes.

00#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!1.- Insertar Observacion 1.DS11Una efectiva administracin de datos requiere de la identificacin de requerimientos de datos. El proceso de administracin de informacin tambin incluye el establecimiento de procedimientos efectivos para administrar la librera de medios, el respaldo y la recuperacin de datos y la eliminacin apropiada de medios. Una efectiva administracin de datos ayuda a garantizar la calidad, oportunidad y disponibilidad de la informacin del negocio Administracin de datos 1.-Polticas & Procedimientos de Backup/Restauracin.2.-Polticas & Procedimientos de Administracin de Medios. 3.-Polticas & Procedimientos p/ Administrar Data Entry.4.-Polticas & Procedimientos p/ Eliminacin de Medios.

00#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!1.- Insertar Observacion 1.DS12La proteccin del equipo de cmputo y del personal, requiere de instalaciones bien diseadas y bien administradas. El proceso de administrar el ambiente fsico incluye la definicin de los requerimientos fsicos del centro de datos (site), la seleccin de instalaciones apropiadas y el diseo de procesos efectivos para monitorear factores ambientales y administrar el acceso fsico. La administracin efectiva del ambiente fsico reduce las interrupciones del negocio ocasionadas por daos al equipo de cmputo y al personal. Administracin del ambiente fsico 1.-Polticas & Procedimientos de Seguridad Fsica del Centro Datos.2.-Polticas & Procedimientos de Acceso al Centro Datos.

00#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!1.- Insertar Observacion 1.DS13Un procesamiento de informacin completo y apropiado requiere de una efectiva administracin del procesamiento de datos y del mantenimiento del hardware. Este proceso incluye la definicin de polticas y procedimientos de operacin para una administracin efectiva del procesamiento programado, proteccin de datos de salida sensitivos, monitoreo de infraestructura y mantenimiento preventivo de hardware. Una efectiva administracin de operaciones ayuda a mantener la integridad de los datos y reduce los retrasos en el trabajo y los costos operativos de TI. Administrar operaciones 1.-Polticas & Procedimientos Administracin de Operaciones.2.-Polticas & Procedimientos Monitoreo Operaciones.3.-Polticas & Procedimientos Entrega de Output de Procesos Schedulados.

00#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!#DIV/0!1.- Insertar Observacion 1.ME1Una efectiva administracin del desempeo de TI requiere un proceso de monitoreo. El proceso incluye la definicin de indicadores de desempeo relevantes, reportes sistemticos y oportunos de desempeo y tomar medidas expeditas cuando existan desviaciones. El monitoreo se requiere para garantizar que las cosas correctas se hagan y que estn de acuerdo con el conjunto de direcciones y polticas Monitorear y evaluar el desempeo de TI 1.-Polticas & Procedimientos de Medicin de Desempeo de IT (base al Plan de IT).2.-Polticas & Procedimientos de Evaluacin de Desempeo.3.-Polticas & Procedimientos de Reporte al Consejo Directivo. 4.-Plan de Implementacin/Correccin Desviaciones.

0100XME2Establecer un programa de control interno efectivo para TI requiere un proceso bien definido de monitoreo. Este proceso incluye el monitoreo y el reporte de las excepciones de control, resultados de las auto-evaluaciones y revisiones por parte de terceros. Un beneficio clave del monitoreo del control interno es proporcionar seguridad respecto a las operaciones eficientes y efectivas y el cumplimiento de las leyes y regulaciones aplicables. Monitorear y evaluar el control interno 1.-Ejecucin de Auditoras Externas de Sistemas (cubre todos los Requisitos de Informacin).2.-Ejecucin Anual Autoevaluaciones de Control (Control Selft Assessment)3.-Implementacin de la Auditora Interna Informtica.

0100XME3Una supervisin efectiva del cumplimiento regulatorio requiere del establecimiento de un proceso independiente de revisin para garantizar el cumplimiento de las leyes y regulaciones. Este proceso incluye la definicin de un estatuto de auditora, independencia de los auditores, tica y estndares profesionales, planeacin, desempeo del trabajo de auditora y reportes y seguimiento a las actividades de auditora. El propsito de este proceso es proporcionar un aseguramiento positivo relativo al cumplimiento de TI de las leyes y regulaciones. Garantizar el cumplimiento regulatorio 1.-Ejecucin de Auditoras Externas de Sistemas (cubre todos los Requisitos de Informacin).2.-Ejecucin Anual Autoevaluaciones de Control (Control Selft Assessment)3.-Inventario de Normas/Leyes/Regulaciones de IT Aplicables a la Organizacin.

0100XME4El establecimiento de un marco de trabajo de gobierno efectivo, incluye la definicin de estructuras, procesos, liderazgo, roles y responsabilidades organizacionales para garantizar as que las inversiones empresariales en TI estn alineadas y de acuerdo con las estrategias y objetivos empresariales Proporcionar gobierno de TI 1.-Ejecucin de Auditoras Externas de Sistemas (cubre todos los Requisitos de Informacin).2.-Ejecucin Anual Autoevaluaciones de Control (Control Selft Assessment)3.-Implementacin de la Auditora Interna Informtica.4.-Implementacin de Polticas & Procedimientos (P&P) en Dominios. 5.-Evaluacin Independiente del Cumplimiento de P&P implementados.

0100X

???Pgina ??? (???)13/05/2010, 14:11:20Pgina /