ANLISIS COBIT

GESTION DE LA UNIDAD INFORMTICA

LOZANO HERRERA, CLAUDIA CASTILLO PALOMINO CIRCA DANERIN RUIZ PEZO ERICK MARTN

OBJETIVOS DE CONTROL

Planear y Organizar P01 Definir un Plan Estratgico de TI.

PO1.1 Administracin del Valor de TI
Las inversiones de T.I. con casos de negocios solidos: las T.I. que tiene la empresa son necesarias para ejecutar los procesos solidos (venta, compra, almacn). La empresa realiza las inversiones de T.I. de acuerdo a las necesidades de los procesos.

PO1.2 Alineacin de TI con el Negocio

Las T.I. con las que actualmente cuenta se adecua a los procesos de negocio. Los trabajadores Comprenden la importancia de la tecnologa que han adoptado.

PO1.3 Evaluacin del Desempeo y la Capacidad Actual

La empresa no cuenta con un plan de direccin estratgico de T.I formal. Fortaleza Debilidad

El sistema de informacin El rendimiento ante la cada de contribuye con los objetivos de internet es nulo y que el sistema negocio. solo funciona con internet.

PO1.4 Plan Estratgico de TI

Por el momento la empresa no cuenta con un portafolio de planes estratgico formal.

PO1.5 Planes Tcticos de TI

Por el momento la empresa no cuenta con un portafolio de planes estratgico formal.

PO1.6 Administracin del Portafolio de TI

Por el momento la empresa no cuenta con un portafolio de planes estratgico formal.

PO1 PO1.1 PO1.2 PO1.3 PO1.4 PO1.5 PO1.6

ACTIVIDAD
Administracin del Valor de TI Alineacin de TI con el Negocio Evaluacin del Desempeo y la Capacidad Actual Plan Estratgico de TI Planes Tcticos de TI Administracin del Portafolio de TI TOTAL

PUNTUACIN 2 2 2 2 2 2 12

Universo = 18 12*100/18 = 66.6 66.6*5/100 = 3.33 Evaluacin de modelo de madurez del PO1 = 3 (DEFINIDO) DEFINIDO: Una poltica define cmo y cundo realizar la planeacin estratgica de TI. La planeacin estratgica de TI sigue un enfoque estructurado, el cual se documenta y se da a conocer a todo el equipo. El proceso de planeacin de TI es razonablemente slido y garantiza que es factible realizar una planeacin adecuada. Sin embargo, se otorga discrecionalidad a gerentes individuales especficos con respecto a la implantacin del proceso, y no existen procedimientos para analizar el proceso. La estrategia general de TI incluye una definicin consistente de los riesgos que la organizacin est dispuesta a tomar como innovador o como seguidor. Las estrategias de recursos humanos, tcnicos y financieros de TI influencian cada vez ms la adquisicin de nuevos productos y tecnologas. La planeacin estratgica de TI se discute en reuniones de la direccin del negocio.

P02. Definir la Arquitectura de la Informacin.

PO2.1. Modelo de Arquitectura de Informacin Empresarial
La arquitectura de informacin que la empresa posee la empresa es jerrquica de tal manera que cada rea administra la informacin de manera constituida con el objetivo de aportar a la toma de decisiones futuras.

PO2.2. Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos

La empresa cuenta con un diccionario de datos que es entendible para los usuarios de T.I pero esta es de manera informal ya que no existe un documento que la respalde

PO2.3 Esquema de Clasificacin de Datos

La empresa cuenta con un esquema de clasificacin de datos cuya seguridad se aplica de acuerdo a la confidencialidad y se hace informa a los trabajadores de acuerdo al cargo que ocupan.

PO2.4 Administracin de Integridad

La administracin de la informacin se almacena mediante formatos electrnicos (Pdf, Word, Excel, MinEdit, etc.) y archivos fsicos de acuerdo a la seguridad de la informacin es de acuerdo a su validez. PO2 PO2.1 PO2.2 PO2.3 PO2.4 Universo = 12 11*100/12 = 91.6 91.6*5/100 = 4.58 Evaluacin de modelo de madurez del PO2 = 4 (ADMINISTRADO Y MEDIBLE) ADMINISTRADO Y MEDIBLE: Se da soporte completo al desarrollo e implantacin de la arquitectura de informacin por medio de mtodos y tcnicas formales. La responsabilidad sobre el desempeo del proceso de desarrollo de la arquitectura se refuerza y se mide el xito de la arquitectura de informacin. Las herramientas automatizadas de soporte estn ampliamente generalizadas, pero todava no estn integradas. Se han identificado mtricas bsicas y existe un sistema de medicin. El proceso de ACTIVIDAD
Modelo de Arquitectura de Informacin Empresarial Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos Esquema de Clasificacin de Datos Administracin de Integridad TOTAL

PUNTUACIN 3 2 3 3 11

definicin de la arquitectura de informacin es proactivo y se enfoca en resolver necesidades futuras del negocio. La organizacin de administracin de datos est activamente involucrada en todos los esfuerzos de desarrollo de las aplicaciones, para garantizar la consistencia. Un repositorio automatizado est totalmente implementado. Se encuentran en implantacin modelos de datos ms complejos para aprovechar el contenido informativo de las bases de datos. Los sistemas de informacin ejecutiva y los sistemas de soporte a la toma de decisiones aprovechan la informacin existente. PO3. Determinar la Direccin

y Tecnologa.

PO3.1 Planeacin de la de la Direccin Tecnolgica.

La empresa cuenta con una direccin tecnolgica de adopcin ya que se adecua a las tecnologas que hayan obtenido buenos resultados en otras empresas similares.

PO3.2 Plan de Infraestructura Tecnolgica

El plan de infraestructura tecnolgica es de acuerdo a la planificacin estratgica que inicialmente la empresa desarrollo.

PO3.3 Monitoreo de Tendencias y Regulaciones Futuras

La empresa realizo monitoreo ante cualquier evento inesperado y crear planes estratgicos para afrontar dichos eventos y as mantener el nivel de competencia.

PO3.4 Estndares Tecnolgicos

La empresa proporciona soluciones tecnolgicas efectivas y seguras de acuerdo a cualquier evento que afecta a la empresa. La empresa cumple con los estndares de regulacin para la adquisicin de T.I que se rigen por organizaciones de estandarizacin.

PO3.5 Consejo de Arquitectura de TI

La empresa cuenta con un comit de arquitectura de informacin que determina polticas de seguridad, arquitecturas de T.I. y verifica el cumplimiento de las funcionalidades.

PO3 PO3.1 PO3.2 PO3.3 PO3.4 PO3.5

ACTIVIDAD
Planeacin de la de la Direccin Tecnolgica. Plan de Infraestructura Tecnolgica Monitoreo de Tendencias y Regulaciones Futuras Estndares Tecnolgicos Consejo de Arquitectura de TI

PUNTUACIN 3 2 3 3 3

TOTAL

14

Universo = 15 14*100/15 = 93.33 93.33*5/100 = 4.66 Evaluacin de modelo de madurez del PO3 = 4 (ADMINISTRADO Y MEDIBLE) ADMINISTRADO Y MEDIBLE:
La direccin garantiza el desarrollo del plan de infraestructura tecnolgica. El equipo de TI cuenta con la experiencia y las habilidades necesarias para desarrollar un plan de infraestructura tecnolgica. El impacto potencial de las tecnologas cambiantes y emergentes se toma en cuenta. La direccin puede identificar las desviaciones respecto al plan y anticipar los problemas. La responsabilidad del desarrollo y mantenimiento del plan de infraestructura tecnolgica ha sido asignado. El proceso para desarrollar el plan de infraestructura tecnolgica es sofisticado y sensible a los cambios. Se han incluido buenas prcticas internas en el proceso. La estrategia de recursos humanos est alineada con la direccin tecnolgica, para garantizar que el equipo de TI pueda administrar los cambios tecnolgicos. Los planes de migracin para la introduccin de nuevas tecnologas estn definidos. Los recursos externos y las asociaciones se aprovechan para tener acceso a la experiencia y a las habilidades necesarias. La direccin ha evaluado la aceptacin del riesgo de usar la tecnologa como lder, o rezagarse en su uso, para desarrollar nuevas oportunidades de negocio o eficiencias operativas.

P04. Definir los Procesos, Organizacin y Relaciones de TI.

PO4.1 Marco de Trabajo de Procesos de TI
Por el momento la empresa no cuenta con un portafolio de planes estratgico formal.

PO4.2 Comit Estratgico de TI

La empresa cuenta con un comit estratgico de T.I que realiza auditorias para la verificacin del cumplimiento adecuado de las polticas establecidas en la empresa.

PO4.3 Comit Directivo de TI

La empresa cuenta con un comit directivo de T.I informal que se encarga de: Determinar las prioridades de los programas de inversin de TI alineadas con la estrategia y prioridades de negocio de la empresa Dar seguimiento al estatus de los proyectos y resolver los conflictos de recursos Monitorear los niveles de servicio y las mejoras del servicio.

PO4.4 Ubicacin Organizacional de la Funcin de TI

La empresa cuenta con los servicios

Gerente General Asistente administrativo Soporte tecnico

Administrador

Area ventas

Area Contabilidad

Area de Almacen

Po4.5 Estructura Organizacional

La estructura organizacional de TI es de manera externa e interna:

Interno Computadoras Ventiladores Nextel Radio mvil(WOKITOKI) Cmaras

Externo

Todo esto se encuentra de manera formal

Po4.6 Establecimiento de roles y responsabilidades

La empresa cuenta de manera formal la asignacin de roles del personal que se encuentran dentro de la estructura organizacional.

PO4.7 Responsabilidad de Aseguramiento de Calidad de TI

Las personas asignadas en la estructura organizacional tienen asignadas sus responsabilidades de AQ de acuerdo a los requerimientos de los procesos en cada rea que satisfacen al objetivo de la organizacin.

PO4.8 Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento

La empresa tiene responsabilidad sobre el riesgo, seguridad y cumplimiento sobre las TI de cada rea en la estructura organizacional a travs del gerente. (De manera informal)

PO4.9 Propiedad de Datos y Sistemas

La empresa cuenta con un esquema de clasificacin de datos cuya responsabilidad de extraccin de informacin lo asume el administrador.

PO4.10 Supervisin
Los trabajadores que forma parte de la estructura organizacional de la empresa tiene roles y responsabilidades que ejercen de manera apropiada para evaluar la suficiente autoridad y recursos que tiene sobre cada proceso.

PO4.11 Segregacin de Funciones

Las tareas asignadas se ejecutan de acuerdo a la estructura organizacional de la empresa.

PO4.12 Personal de TI
La empresa cuenta con personal externo que verifica el funcionamiento de las TI dentro de la empresa.

PO4.13 Personal clave de TI

Existe una persona clave ajena a la empresa que se encarga de las TI

PO4.14 Polticas y Procedimientos para Personal Contratado

La empresa cuenta de manera formal Polticas y Procedimientos para la contratacin y funciones del personal.

PO4.15 Relaciones
La empresa cuenta con relaciones sobre TI de manera formal e informal.

PO4 PO4.1 PO4.2 PO4.3 PO4.4 PO4.5 PO4.6 PO4.7 PO4.8

ACTIVIDAD Marco de Trabajo de Procesos de TI Comit Estratgico de TI Comit Directivo de TI Ubicacin Organizacional de la Funcin de TI Estructura Organizacional Establecimiento de roles y responsabilidades Responsabilidad de Aseguramiento de Calidad de TI Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento PO4.9 Propiedad de Datos y Sistemas PO4.10 Supervisin PO4.11 Segregacin de Funciones PO4.12 Personal de TI PO4.13 Personal clave de TI PO4.14 Polticas y Procedimientos para Personal Contratado PO4.15 Relaciones TOTAL

PUNTUACIN 2 3 2 3 3 3 3 2 2 2 3 3 3 3 3 40

Universo = 45 40*100/45 = 88.88 88.88*5/100 = 4.44 Evaluacin de modelo de madurez del PO4 = 4 (ADMINISTRADO Y MEDIBLE) ADMINISTRADO Y MEDIBLE: Cuando La organizacin de TI responde de forma proactiva al cambio e incluye todos los roles necesarios para satisfacer los requerimientos del negocio. La administracin, la propiedad de procesos, la delegacin y la responsabilidad de TI estn definidas y balanceadas. Se han aplicado buenas prcticas internas en la organizacin de las funciones de TI. La gerencia de TI cuenta con la experiencia y habilidades apropiadas para definir, implementar y monitorear la organizacin deseada y las relaciones. Las mtricas medibles para dar soporte a los objetivos del negocio y los factores crticos de xito definidos por el usuario siguen un estndar. Existen inventarios de habilidades para apoyar al personal de los proyectos y el desarrollo profesional. El equilibrio entre las habilidades y los recursos disponibles internamente, y los que se requieren de organizaciones externas estn definidos y reforzados. La estructura organizacional de TI refleja de manera apropiada las necesidades del negocio proporcionando servicios alineados con los procesos estratgicos del negocio, en lugar de estar alineados con tecnologas aisladas.

P05. Administrar la inversin de TI.

PO5.1 Marco de Trabajo para la administracin financiera
La empresa cuenta de manera formal con un portafolio de inversiones que establece y mantiene un marco de trabajo financiero para administrar las inversiones y el costo de los activos y servicios de TI.

PO5.2 Prioridades dentro del presupuesto de TI

La empresa cuenta de manera formal proceso de toma de decisiones para dar prioridades a la asignacin de recursos a TI para operaciones, proyectos y mantenimiento.

PO5.3 Proceso presupuestal

Dentro de la organizacin se ha establecido un proceso de elaboracin y administracin del presupuesto que refleja las prioridades establecidas en el portafolio empresarial.

PO5.4 Administracin de costos de TI

El monitoreo de los costos reales con los costos presupuestados se realizan de manera formal, lo cual se abala mediante un documento o los comprobantes de pago.

PO5.5 Administracin de Beneficios

El monitoreo de los beneficios que aportan las TI a los procesos funcionales de la organizacin, se realizan de manera informal, y los cambios o adiciones a las TI afectan de manera negativa (hasta pasar el periodo de adaptacin) a dichos procesos. PO5 PO5.1 PO5.2 PO5.3 PO5.4 PO5.5 ACTIVIDAD
Marco de Trabajo para la administracin financiera Prioridades dentro del presupuesto de TI Proceso presupuestal Administracin de costos de TI Administracin de Beneficios TOTAL

PUNTUACIN 3 3 3 3 2 14

Universo = 15 14*100/15 = 93.33 93.33*5/100 = 4.66 Evaluacin de modelo de madurez del PO5 = 4 (Administrado y Medible)

Administrado y Medible: Cuando La responsabilidad y la rendicin de cuentas por la seleccin y presupuestos de inversiones se asignan a un individuo especfico. Las diferencias en el presupuesto se identifican y se resuelven. Se realizan anlisis formales de costos que cubren los costos directos e indirectos de las operaciones existentes, as como propuestas de inversiones, considerando todos los costos a lo largo del ciclo completo de vida. Se usa un proceso de presupuestos proactivo y estndar. El impacto en los costos operativos y de desarrollo debidos a cambios en hardware y software, hasta cambios en integracin de sistemas y recursos humanos de TI, se reconoce en los planes de inversin. Los beneficios y los retornos se calculan en trminos financieros y no financieros.

P06. Comunicar las aspiraciones y la direccin de la gerencia.

PO6.1 Ambiente de polticas y de control
Las polticas establecidas para el manejo de las TI dentro de la organizacin se cumplen de forma que el trabajo conjunto entre reas evita en su gran mayora los riesgos de TI. Y si existe algn problema o riesgo que afecta la ejecucin del proceso, este no se detiene debido a las estrategias de riesgos que estableci la administracin.

PO6.2 Corporativo y Marco de Referencia de Control Interno de TI

La organizacin posee un marco de trabajo que sigue las polticas y regulaciones (de la organizacin) para hacer frentes a los riesgos que pueden presentarse en las TI.

PO6.3 Administracin de Polticas para TI

El conjunto de reglas y polticas establecidas no tiene un mantenimiento constante o peridico, pero si se establecen nuevas polticas referentes a las TI.

PO6.4 Implantacin de Polticas de TI

El personal relevante conoce sobre las polticas de manejo de las TI correspondientes a su cargo dentro de la organizacin de manera formal (Se les entrega un cargo que tiene firmar, en compromiso al cumplimiento de las polticas.)

PO6.5 Comunicacin de Los Objetivos y la Direccin de TI

Todos los trabajadores de la empresa tienen conciencia y entendimiento de los objetivos y la direccin del negocio de TI. PO6 PO6.1 PO6.2 PO6.3 PO6.4 PO6.5 ACTIVIDAD
Ambiente de polticas y de control Corporativo y Marco de Referencia de Control Interno de TI Administracin de Polticas para TI Implantacin de Polticas de TI Comunicacin de Los Objetivos y la Direccin de TI TOTAL

PUNTUACIN 3 3 2 3 2 13

Universo = 15 13*100/15 = 86.66 86.66*5/100 = 4.33 Evaluacin de modelo de madurez del PO6 = 4 (Administrado y Medible) Administrado y Medible: Cuando La gerencia asume la responsabilidad de comunicar las polticas de control interno y delega la responsabilidad y asigna suficientes recursos para mantener el ambiente en lnea con los cambios significativos. Se ha establecido un ambiente de control de informacin positivo y proactivo. Se ha establecido un juego completo de polticas, procedimientos y estndares, los cuales se mantienen y comunican, y forman un componente de buenas prcticas internas. Se ha establecido un marco de trabajo para la implantacin y las verificaciones subsiguientes de cumplimiento

P07. Administrar los Recursos Humanos de TI

PO7.1 Reclutamiento y Retencin del Personal
El reclutamiento y retencin del personal se realiza de forma que el personal contratado esta de acuerdo a las polticas a las que est sujeto durante el periodo de tiempo de trabajo, as como tambin un rea de trabajo aceptable y tiene las habilidades necesarias o requeridas para el puesto de trabajo al que est aspirando.

PO7.2 Competencias del Personal

La organizacin hace un seguimiento semanal de las capacidades y aptitudes del personal en las reas en las que se encuentran.

PO7.3 Asignacin de Roles

Se realiza un seguimiento o monitoreo de las funciones de cada personal segn sea el cargo que ocupa.

PO7.4 Entrenamiento del Personal de TI

Se realizan capacitaciones y charlas motivacionales para conservar las aptitudes y la unin del equipo de trabajo.

PO7.5 Dependencia Sobre los Individuos

Los individuos clave son capaces de responder de manera efectiva de acuerdo al cargo que ostenta de acuerdo a la captura de conocimientos que la empresa le otorga.

PO7.6 Procedimientos de Investigacin del Personal

La empresa incluye verificaciones de antecedentes en el proceso de reclutamiento de TI al personal, a sus contratistas y proveedores.

PO7.7 Evaluacin del Desempeo del Empleado

La empresa realiza evaluaciones constantes de desempeo y conducta de los trabajadores en comparacin a los objetivos idealizados.

PO7.8 Cambios y Terminacin de Trabajo.

Los cambios que se realizan en los puestos de trabajo de los empleados tomando medidas que siguen ciertas regulaciones. Haciendo los cambios correspondientes en los privilegios y el conocimiento de acuerdo al cargo, minimizando riesgos y asegurando la continuacin de este.

PO7 PO7.1 PO7.2 PO7.3 PO7.4 PO7.5 PO7.6 PO7.7 PO7.8

ACTIVIDAD
Reclutamiento y Retencin del Personal Competencias del Personal Asignacin de Roles Entrenamiento del Personal de TI Dependencia Sobre los Individuos Procedimientos de Investigacin del Personal Evaluacin del Desempeo del Empleado Cambios y Terminacin de Trabajo. TOTAL

PUNTUACIN 3 2 3 3 2 2 3 3 21

Universo = 24 21*100/24 = 87.5 87.5*5/100 = 4.33 Evaluacin de modelo de madurez del PO7= 4 (Administrado y Medible) Administrado y Medible: Cuando La responsabilidad de la elaboracin y el mantenimiento de un plan de administracin de recursos humanos para TI ha sido asignado a un individuo o grupo con las habilidades y experiencia necesarias para elaborar y mantener el plan. El proceso para elaborar y mantener el plan de administracin de recursos humanos de TI responde al cambio. La organizacin cuenta con mtricas estandarizadas que le permiten identificar desviaciones respecto al plan de administracin de recursos humanos de TI con nfasis especial en el manejo del crecimiento y rotacin del personal. Las revisiones de compensacin y de desempeo se estn estableciendo y se comparan con otras organizaciones de TI y con las mejores prcticas de la industria. La administracin de recursos humanos es proactiva, tomando en cuenta el desarrollo de un plan de carrera.

P08. Administrar la Calidad

PO8.1 Sistema de Administracin de Calidad
La organizacin no posee un sistema de administracin de calidad.

PO8.2 Estndares y Prcticas de Calidad

La organizacin posee procedimientos y prcticas para los procesos clave de TI pero estos no estn orientados al cumplimiento de un QMS, ya que no cuentan con uno.

PO8.3 Estndares de Desarrollo y Adquisicin

Por el momento la empresa no cuenta con ningn proyecto de desarrollo y adquisicin.

PO8.4 Enfoque en el Cliente de TI

La empresa cuenta con la administracin de calidad hacia los clientes resolviendo requerimientos y conflictos que puedan ocurrir entre los usuarios mediante el uso de las TI.

PO8.5 Mejora Continua

La empresa mantiene y comunica peridicamente un plan global de calidad con el fin de promover mejoras dentro de la organizacin.

PO8.6 Medicin, Monitoreo y Revisin de la Calidad

Actualmente la empresa no ha definido un plan e implementacin de mediciones para monitorear el cumplimiento continuo del QMS PO8 PO8.1 PO8.2 PO8.3 PO8.4 PO8.5 PO8.6 ACTIVIDAD
Sistema de Administracin de Calidad Estndares y Prcticas de Calidad Estndares de Desarrollo y Adquisicin Enfoque en el Cliente de TI Mejora Continua Medicin, Monitoreo y Revisin de la Calidad TOTAL

PUNTUACIN 0 2 0 3 2 0 7

Universo = 18 7*100/18 = 38.88 38.88*5/100 = 1.94 Evaluacin de modelo de madurez del PO8= 1 (Inicial / Ad Hoc) Inicial / Ad Hoc

Cuando Existe conciencia por parte de la direccin de la necesidad de un QMS. El QMS es impulsado por individuos cuando ste ocurre. La direccin realiza juicios informales sobre la calidad.

P09. Evaluar y Administrar los Riesgos de TI

PO9.1 Marco de Trabajo de Administracin de Riesgos
La organizacin no posee un marco der trabajo de administracin de riesgos

PO9.2 Establecimiento del Contexto del Riesgo

Pegar inventario

PO9.3 Identificacin de Eventos

Martnez Gmez 1 Fallas de Hardware. 2 Corte inesperado del sistema de Informacin 3 Insuficiente capacidad de la lnea de Internet 4 Software instalado sin ser usados. 5 Corte de la energa Elctrica 6 Contaminacin de Virus en las Computadoras 7 Mal funcionamiento de Software.

PO9.4 Evaluacin de Riesgos de TI

Anlisis de Probabilidad
Nro. 1 2 3 4 5 6 7 RIESGO Fallas de Hardware. Corte inesperado del sistema de Informacin Insuficiente capacidad de la lnea de Internet Software instalado sin ser usados. Corte de la energa Elctrica Contaminacin de Virus en las Computadoras Mal funcionamiento de Software. PROBABILIDAD 3 3 3 5 3 5 3

Anlisis de Impacto
Nro. 1 2 3 4 5 6 7 RIESGO Fallas de Hardware. Corte inesperado del sistema de Informacin Insuficiente capacidad de la lnea de Internet Software instalado sin ser usados. Corte de la energa Elctrica Contaminacin de Virus en las Computadoras Mal funcionamiento de Software. IMPACTO 3 3 2 1 5 4 2

Riesgo Residual
Riesgo residual A A M A E E M

Nro. 1 2 3 4 5 6 7

RIESGO Fallas de Hardware. Corte inesperado del sistema de Informacin Insuficiente capacidad de la lnea de Internet Software instalado sin ser usados. Corte de la energa Elctrica Contaminacin de Virus en las Computadoras Mal funcionamiento de Software.

PO9.5 Respuesta a los Riesgos

RIESGO

SOLUCIN

Soporte tcnico Fallas de Hardware. Corte inesperado del sistema de Cronograma de mantenimiento del sistema Informacin Insuficiente capacidad de la lnea de Revisin de las redes y adquisicin de una Internet lnea de internet de mejor capacidad. Software instalado sin ser usados. Eliminacin de programas innecesarios Corte de la energa Elctrica Adquisicin de UPS Contaminacin de Virus en las Instalacin de antivirus Computadoras Mal funcionamiento de Software. Actualizar el software

PO9.6 Mantenimiento y Monitoreo de un Plan de Accin de Riesgos

SOLUCIN Soporte tcnico Cronograma de mantenimiento del sistema Revisin de las redes y adquisicin de una lnea de internet de mejor capacidad. Eliminacin de programas innecesarios Adquisicin de UPS Instalacin de antivirus Actualizar el software

PERIODO DE VERIFICACIN Cada 3 Meses. Cada fin de Mes. Cada fin de Mes. Cada 3 Meses. 1 Ao. Cada 3 Meses. Cada 3 Meses.

P010. Administrar Proyectos.

PO10.1 Marco de Trabajo para la Administracin de Programas
La empresa no cuenta con un marco de trabajo temporalmente.

PO10.2 Marco de Trabajo para la Administracin de Proyectos

La empresa no cuenta con un marco de trabajo para la administracin de Proyectos temporalmente, ya que no se dio una reunin formal con los interesados.

PO10.3 Enfoque de Administracin de Proyectos

Por el momento la empresa no cuenta con un enfoque de administracin de proyectos

PO10.4 Compromiso de los Interesados

Los interesados se han comprometido a brindar de toda la informacin, recursos y documentos necesarios durante la ejecucin del proyecto de manera informal.

PO10.5 Declaracin de Alcance del Proyecto

Se ha presentado de manera informal el alcance del proyecto.

PO10.6 Inicio de las Fases del Proyecto

Los interesados no tienen la informacin de las fases del proyecto.

PO10.7 Plan Integrado del Proyecto

La empresa no tiene un plan integrado del proyecto.

PO10.8 Recursos del Proyecto

La empresa brinda recursos al proyecto de manera informal.

PO10.9 Administracin de Riesgos del Proyecto

La empresa no cuenta con un seguimiento de administracin de riesgos del proyecto.

PO10.10 Plan de Calidad del Proyecto

La organizacin no tiene un plan de calidad del proyecto ya que no cuenta con un Marco de Trabajo para la Administracin de Proyectos.

PO10.11 Control de Cambios del Proyecto

La empresa no estableci un control de cambios del proyecto durante la elaboracin de este.

PO10.12 Planeacin del Proyecto y Mtodos de Aseguramiento

La empresa no estableci un Plan del Proyecto y Mtodos de Aseguramiento durante la elaboracin de este.

PO10.13 Medicin del Desempeo, Reporte y Monitoreo del Proyecto

La empresa no estableci una Medicin del Desempeo, Reporte y Monitoreo del Proyecto durante la elaboracin de este.

PO10.14 Cierre del Proyecto

La empresa no estableci el Cierre del Proyecto ya que est en proceso de elaboracin. PO10 PO10.1 PO10.2 PO10.3 PO10.4 PO10.5 PO10.6 PO10.7 PO10.8 PO10.9 PO10.10 PO10.11 PO10.12 PO10.13 PO10.14 ACTIVIDAD
Marco de Trabajo para la Administracin de Programas Marco de Trabajo para la Administracin de Proyectos Enfoque de Administracin de Proyectos Compromiso de los Interesados Declaracin de Alcance del Proyecto Inicio de las Fases del Proyecto Plan Integrado del Proyecto Recursos del Proyecto Administracin de Riesgos del Proyecto Plan de Calidad del Proyecto Control de Cambios del Proyecto Planeacin del Proyecto y Mtodos de Aseguramiento Medicin del Desempeo, Reporte y Monitoreo del Proyecto Cierre del Proyecto TOTAL

PUNTUACIN 0 0 0 2 2 0 0 2 0 0 0 0 0 0 6

Universo = 42

6*100/42 = 14.28 14.28*5/100 = 0.71 Evaluacin de modelo de madurez del PO10= 0 (No Existente) No Existente Cuando Las tcnicas de administracin de proyectos no se usan y la organizacin no toma en cuenta los impactos al negocio asociados con la mala administracin de los proyectos y con las fallas de desarrollo en el proyecto.

Adquirir e Implementar
AL1 Identificar Soluciones Automatizadas
Al1.1 Definicin y Mantenimiento de los Requerimientos Tcnicos y Funcionales del Negocio La empresa identifica y da prioridades a los requerimientos de negocio funcionales para lograr los resultados esperados de acuerdo a las inversiones de TI Al 1.2 Reporte de Anlisis de Riesgos La empresa analiza e identifica los riesgos que puedan afectar a los requerimientos del proceso dando soluciones inmediatas, documentados de manera digital Al 1.3 Estudio de Factibilidad y Formulacin de Cursos de Accin Alternativos La organizacin utiliza TI establecidas por las Altas Gerencias desde la apertura de las sucursales. Al 1.4 Requerimientos, Decisin de Factibilidad y Aprobacin El proceso requiere la aprobacin del patrocinador del negocio tanto funcional como tcnico teniendo conocimiento de cada una de las etapas de desarrollo. AI1 AI1.1 AI1.2 AI1.3 AI1.4 PUNTUACIN Definicin y Mantenimiento de los Requerimientos Tcnicos y 2
Funcionales del Negocio Reporte de Anlisis de Riesgos Estudio de Factibilidad y Formulacin de Cursos de Accin Alternativos Requerimientos, Decisin de Factibilidad y Aprobacin TOTAL

ACTIVIDAD

3 3 3 11

Universo = 12 11*100/12 = 91.66 91.66*5/100 = 4.58 Evaluacin de modelo de madurez del AI1= 4 (Administrado y Medible) Administrado y Medible

Existe una metodologa establecida para la identificacin y la evaluacin de las soluciones de TI y se usa para la mayora de los proyectos. La documentacin de los proyectos es de buena calidad y cada etapa se aprueba adecuadamente. Los requerimientos estn bien articulados y de acuerdo con las estructuras predefinidas. Se consideran soluciones alternativas, incluyendo el anlisis de costos y beneficios. La metodologa es clara, definida, generalmente entendida y medible. Existe una interfaz definida de forma clara entre la gerencia de TI y la del negocio para la identificacin y evaluacin de las soluciones de TI.

AI2 Adquirir y Mantener Software Aplicativo

AI2.1 Diseo de Alto Nivel AI2.2 Diseo Detallado AI2.3 Control y Posibilidad de Auditar las Aplicaciones AI2.4 Seguridad y Disponibilidad de las Aplicaciones AI2.5 Configuracin e Implantacin de Software Aplicativo Adquirido AI2.6 Actualizaciones Importantes en Sistemas Existentes AI2.7 Desarrollo de Software Aplicativo AI2.8 Aseguramiento de la Calidad del Software AI2.9 Administracin de los Requerimientos de Aplicaciones AI2.10 Mantenimiento de Software Aplicativo

AI2 AI2.1 AI2.2 AI2.3 AI2.4 AI2.5 AI2.6 AI2.7 AI2.8 AI2.9 AI2.10

ACTIVIDAD
Diseo de Alto Nivel Diseo Detallado Control y Posibilidad de Auditar las Aplicaciones Seguridad y Disponibilidad de las Aplicaciones Configuracin e Implantacin de Software Aplicativo Adquirido Actualizaciones Importantes en Sistemas Existentes Desarrollo de Software Aplicativo Aseguramiento de la Calidad del Software Administracin de los Requerimientos de Aplicaciones Mantenimiento de Software Aplicativo TOTAL

PUNTUACIN

AI3 Adquirir y Mantener Infraestructura Tecnolgica

AI3.1 Plan de Adquisicin de Infraestructura Tecnolgica La organizacin ha generado un plan para la adquisicin, implementacin y mantenimiento del equipamiento tecnolgico en coordinacin con la direccin tecnolgica de la organizacin de manera informal.

AI3.2 Proteccin y Disponibilidad del Recurso de Infraestructura Se han implementado medidas de control interno de manera formal donde se detalla el uso de las TI para garantizar su disponibilidad e integridad. AI3.3 Mantenimiento de la Infraestructura La organizacin tiene un plan de mantenimiento de la infraestructura de TI de manera informal, donde indica los cambios que se realizan y estn alineados a la administracin de cambios de la organizacin. Donde se incluye la revisin peridica (3 meses), seguridad, etc. AI3.4 Ambiente de Prueba de Factibilidad La organizacin no desarrolla pruebas de factibilidad en la adquisicin de las TI. AI3 AI3.1 AI3.2 AI3.3 AI3.4 ACTIVIDAD
Plan de Adquisicin de Infraestructura Tecnolgica Proteccin y Disponibilidad del Recurso de Infraestructura Mantenimiento de la Infraestructura Ambiente de Prueba de Factibilidad TOTAL

PUNTUACIN 2 3 2 0 7

Universo = 12 7*100/12 = 58.33 58.33*5/100 = 2.91 Evaluacin de modelo de madurez del AI3 = 2 (Repetible pero Intuitivo) Repetible pero Intuitivo Cuando no hay consistencia entre enfoques tcticos al adquirir y dar mantenimiento a la infraestructura de TI. La adquisicin y mantenimiento de la infraestructura de TI no se basa en una estrategia definida y no considera las necesidades de las aplicaciones del negocio que se deben respaldar. Se tiene la nocin de que la infraestructura de TI es importante, que se apoya en algunas prcticas formales. Algunos mantenimientos se programan, pero no se programa ni se coordina en su totalidad. Para algunos ambientes, existe un ambiente de prueba por separado.

AI4 Facilitar la Operacin y el Uso.

AI4.1 Plan para Soluciones de Operacin La organizacin facilita a los usuarios de TI la informacin documentada, capacitacin e informa de los cambios o mejoras que se realizan internamente sobre el uso y manejo de las TI. AI4.2 Transferencia de Conocimiento a la Gerencia del Negocio El personal encargado realiza la transferencia de conocimientos a la gerencia sobre todos los procesos que ocurre dentro de la empresa (aprobacin de acceso, administracin de privilegios, segregacin de tareas, controles Automatizados del negocio, respaldo/recuperacin, seguridad fsica y archivo de la documentacin fuente). AI4.3 Transferencia de Conocimiento a Usuarios Finales El personal encargado realiza la transferencia de conocimiento a los usuarios finales de TI, para que puedan utilizar los recursos de TI con efectividad y eficiencia. AI4.4 Transferencia de Conocimiento al Personal de Operaciones y Soporte EL personal encargado transfiere el conocimiento y las habilidades al personal de soporte tcnica y de operaciones para que pueda apoyar y mantener la aplicacin y la infraestructura asociada de manera efectiva y eficiente de acuerdo a los niveles de servicio requeridos. AI4 AI4.1 AI4.2 AI4.3 AI4.4 PUNTUACIN Plan para Soluciones de Operacin 3 Transferencia de Conocimiento a la Gerencia del Negocio 3 Transferencia de Conocimiento a Usuarios Finales 3 Transferencia de Conocimiento al Personal de Operaciones y 2
Soporte TOTAL

ACTIVIDAD

11

Universo = 12 11*100/12 = 91.66 91.66*5/100 = 4.58 Evaluacin de modelo de madurez del AI4= 4 (Administrado y Medible) Administrado y Medible Cuando existe un esquema definido para los procedimientos de mantenimiento y para los materiales de entrenamiento que cuentan con el soporte de la administracin de TI. El enfoque considerado para los procedimientos de mantenimiento y los manuales de entrenamiento cubren todos los sistemas y las unidades de negocio, de manera que se pueden observar los procesos desde una perspectiva de negocio. Los

procedimientos y materiales de entrenamiento se integran para que contengan interdependencias e interfaces. Existen controles para garantizar que se adhieren los estndares y que se desarrollan y mantienen procedimientos para todos los procesos. La retroalimentacin del negocio y del usuario sobre la documentacin y el entrenamiento se recopila y evala como parte de un proceso continuo de mejora. Los materiales de documentacin y entrenamiento se encuentran generalmente a un buen nivel, predecible, de confiabilidad y disponibilidad. Se implanta un proceso emergente para el uso de documentacin y administracin automatizada de procedimiento. El desarrollo automatizado de procedimientos se integra cada vez ms con el desarrollo de sistemas aplicativos, facilitando la consistencia y el acceso al usuario. El entrenamiento de negocio y usuario es sensible a las necesidades del negocio. La administracin de TI est desarrollando medidas para el desarrollo y la entrega de documentacin, materiales y programas de entrenamiento.

AI5 Adquirir Recursos de TI.

AI5.1 Control de Adquisicin La organizacin Desarrolla y sigue un conjunto de procedimientos y estndares para la adquisicin de la infraestructura de TI, ya sea en hardware, software y servicios necesarios para la empresa, de manera informal AI5.2 Administracin de Contratos con Proveedores Se formulan procedimientos para establecer, modificar y concluir contratos para todos los proveedores que revisan asesores legales. AI5.3 Seleccin de Proveedores La organizacin cuenta nicamente con un proveedor y no busca opciones, todo se realiza de manera formal. AI5.4 Adquisicin de Recursos de TI La empresa protege y hace cumplir los intereses de la organizacin en todos los contratos de adquisiciones de software, recursos de desarrollo, infraestructura y servicios. AI5 AI5.1 AI5.2 AI5.3 AI5.4 ACTIVIDAD
Control de Adquisicin Administracin de Contratos con Proveedores Seleccin de Proveedores Adquisicin de Recursos de TI TOTAL

PUNTUACIN 2 3 3 3 11

Universo = 12 11*100/12 = 91.66

91.66*5/100 = 4.58 Evaluacin de modelo de madurez del AI5= 4 (Administrado y Medible) Administrado y Medible Cuando la adquisicin de TI se integra totalmente con los sistemas generales de adquisicin de la organizacin. Se utilizan los estndares para la adquisicin de recursos de TI en todos los procesos de adquisicin. Se toman medidas para la administracin de contratos y adquisiciones relevantes para los casos de negocio que requieran la adquisicin de TI. Se dispone de reportes que sustentan los objetivos de negocio. La administracin est consciente por lo general, de las excepciones a las polticas y procedimientos para la adquisicin de TI. Se est desarrollando una administracin estratgica de relaciones. La administracin de TI implanta el uso de procesos de administracin para adquisicin y contratos en todas las adquisiciones mediante la revisin de medicin al desempeo.

AI6 Administrar Cambios.

AI6.1 Estndares y Procedimientos para Cambios La compaa establece procedimientos de cambio formales con respecto a aplicaciones, procedimientos, procesos, parmetros de sistemas y servicios acordes a los estndares establecidos. AI6.2 Evaluacin de Impacto, Priorizacin y Autorizacin Se realizan una evaluacin de las solicitudes de cambios antes de realizarlas, de manera informal AI6.3 Cambios de Emergencia La compaa establece procesos para definir, plantear, evaluar y autorizar los cambios de emergencia que no sigan el proceso de cambio establecido. Pero de manera informal AI6.4 Seguimiento y Reporte del Estatus de Cambio La empresa mantiene actualizados a los solicitantes de cambio y a los interesados relevantes de manera informal AI6.5 Cierre y documentacin del Cambio Siempre que se implantan cambios al sistema se realiza un proceso de revisin para garantizar la implantacin completa de los cambios por el personal autorizado.

AI6 AI6.1 AI6.2 AI6.3 AI6.4 AI6.5

ACTIVIDAD
Estndares y Procedimientos para Cambios Evaluacin de Impacto, Priorizacin y Autorizacin Cambios de Emergencia Seguimiento y Reporte del Estatus de Cambio Cierre y documentacin del Cambio TOTAL

PUNTUACIN 3 2 2 2 2 11

Universo = 15 11*100/15 = 73.33 73.33*5/100 = 3.66 Evaluacin de modelo de madurez del AI6= 3 (Definido) Definido Cuando existe un proceso formal definido para la administracin del cambio, que incluye la categorizacin, asignacin de prioridades, procedimientos de emergencia, autorizacin del cambio y administracin de liberacin, y va surgiendo el cumplimiento. Se dan soluciones temporales a los problemas y los procesos a menudo se omiten o se hacen a un lado. An pueden ocurrir errores y los cambios no autorizados ocurren ocasionalmente. El anlisis de impacto de los cambios de TI en operaciones de negocio se est volviendo formal, para apoyar la implantacin planeada de nuevas aplicaciones y tecnologas.

AI7 Administrar Cambios.

AI7.1 Entrenamiento La empresa entrena al personal de cada rea a los usuarios de TI de acuerdo con el plan definido de entrenamiento e implementacin de TI, de manera informal. Cuya peticin de usuarios nuevos se realiza de manera formal. AI7.2 Plan de Prueba La persona encargada aprueba el plan de pruebas que se realizan basadas en los estndares de la organizacin que define roles y responsabilidades que se asignan a los usuarios de TI AI7.3 Plan de Implantacin El personal encargado elabora el plan de implantacin de las TI, y en caso de que ocurra algn inconveniente se realiza un retroceso en el proceso.

AI7.4 Ambiente de Prueba La organizacin no realiza un ambiente de pruebas concerniente a seguridad AI7.5 Conversin de Sistemas y Datos La compaa realiza planes de conversin de datos y migracin de infraestructuras, incluyendo auditoria y revisin de los cambios realizados. De manera formal. AI7.6 Pruebas de Cambios La compaa solo realiza pruebas de funcionalidad de los cambios que se realicen al Sistema de informacin, de manera informal. AI7.7 Prueba de Aceptacin Final El dueo de negocio y los interesados de TI valoran los resultados de las pruebas realizadas anteriormente para definir las pruebas de aceptacin finales, siguiendo la evaluacin de las pruebas. AI7.8 Promocin a Produccin Se control la entrega de la versin del sistema de informacin a operaciones, mantenindolo en lnea obteniendo la aprobacin de los interesados. AI7.9 Revisin Posterior a la Implantacin La empresa estableci en conjunto con los estndares de gestin organizacionales para una revisin posterior a la implantacin.

AI7 AI7.1 AI7.2 AI7.3 AI7.4 AI7.5 AI7.6 AI7.7 AI7.8 AI7.9

ACTIVIDAD
Entrenamiento Plan de Prueba Plan de Implantacin Ambiente de Prueba Conversin de Sistemas y Datos Pruebas de Cambios Prueba de Aceptacin Final Promocin a Produccin Revisin Posterior a la Implantacin TOTAL

PUNTUACIN 3 3 2 0 3 2 3 3 3 23

Universo = 27 23*100/27 = 85.18 85.18*5/100 = 4.25 Evaluacin de modelo de madurez del AI7= 4 (Administrado y Medible) Administrado y Medible Cuando los procedimientos son formales y se desarrollan para ser organizados y prcticos con ambientes de prueba definidos y con

procedimientos de acreditacin. En la prctica, todos los cambios mayores de sistemas siguen este enfoque formal. La evaluacin de la satisfaccin a los requerimientos del usuario es estndar y medible, y produce mediciones que la gerencia puede revisar y analizar de forma efectiva. La calidad de los sistemas que entran en produccin es satisfactoria para la gerencia, an con niveles razonables de problemas posteriores a la implantacin. La automatizacin del proceso es ad hoc y depende del proyecto. Es posible que la gerencia est satisfecha con el nivel actual de eficiencia a pesar de la ausencia de una evaluacin posterior a la implantacin. El sistema de prueba refleja adecuadamente el ambiente de produccin. La prueba de stress para los nuevos sistemas y la prueba de regresin para sistemas existentes se aplican para proyectos mayores.

Entregar y Dar Soporte

DS1 Definir y administrar los Niveles de Servicio
DS1.1 Marco de Trabajo de la Administracin de los Niveles de Servicio
La organizacin posee de manera formal la administracin de niveles de servicio entre el cliente y el prestador de servicio. De modo que se tiene de manera definida los pasos a realizar para la ejecucin de cada proceso referente a TI.

DS1.2 Definicin de Servicios

La empresa no cuenta con un catlogo o portafolios de servicios, pero si cuentan con manuales que definen los servicios de TI con respecto a los servicios del negocio.

DS1.3 Acuerdos de Niveles de Servicio

La distribuidora tiene nicamente definido los niveles de servicio para todos los procesos de TI, pues son nicamente usuarios de TI.

DS1.4 Acuerdos de Niveles de Operacin

La empresa no cuenta con acuerdos de niveles de operacin, ya que el sistema de informacin es restringido.

DS1.5 Monitoreo y Reporte del Cumplimento de los Niveles de Servicio

La empresa no cuenta con un monitoreo y reporte del cumplimiento de los niveles de servicio.

DS1.6 Revisin de los Acuerdos de Niveles de Servicio y de los Contratos

La empresa no cuenta con una revisin de los acuerdos de niveles de servicio y de los contratos.

DS1 DS1.1 DS1.2 DS1.3 DS1.4 DS1.5 DS1.6

ACTIVIDAD
Marco de Trabajo de la Administracin de los Niveles de Servicio Definicin de Servicios Acuerdos de Niveles de Servicio Acuerdos de Niveles de Operacin Monitoreo y Reporte del Cumplimento de los Niveles de Servicio Revisin de los Acuerdos de Niveles de Servicio y de los Contratos TOTAL

PUNTUACIN 3 2 0 0 0 0 5

Universo = 18 5*100/18 = 27.77 27.77*5/100 = 1.38

Evaluacin de modelo de madurez del DS1 = 1 (Inicial / Ad Hoc) Inicial / Ad Hoc Cuando Hay conciencia de la necesidad de administrar los niveles de servicio, pero el proceso es informal y reactivo. La responsabilidad y la rendicin de cuentas sobre para la definicin y la administracin de servicios no est definida. Si existen las medidas para medir el desempeo son solamente cualitativas con metas definidas de forma imprecisa. La notificacin es informal, infrecuente e inconsistente.

DS2 Administrar los Administrar los Servicios de Terceros

DS2.1 Identificacin de Todas las Relaciones con Proveedores
En la empresa todos los servicios prestados por terceros son propiamente identificados y categorizado de acuerdo al tipo de servicio que brinda y las relaciones con los proveedores son documentadas de manera formal.

DS2.2 Gestin de Relaciones con Proveedores

La empresa no cuenta con una gestin de relaciones con proveedores.

DS2.3 Administracin de Riesgos del Proveedor

La empresa verifica los antecedentes de los proveedores antes de su contratacin, una vez contratado la empresa llega a un acuerdo lo cual se rige a la confidencialidad, garanta, penalizaciones.

DS2.4 Monitoreo del Desempeo del Proveedor

La gerencia realiza un proceso de monitoreo sobre la prestacin de servicios de terceros, con el fin de asegurar el cumplimiento de los acuerdos del contrato, este proceso se realiza de manera informal.

DS2 DS2.1 DS2.2 DS2.3 DS2.4

ACTIVIDAD
Identificacin de Todas las Relaciones con Proveedores Administracin de Riesgos del Proveedor Acuerdos de Niveles de Servicio Monitoreo del Desempeo del Proveedor TOTAL

PUNTUACIN 3 0 2 2 7

Universo = 12 7*100/12 = 58.33

58.33*5/100 = 2.91 Evaluacin de modelo de madurez del DS2= 2 (Repetible pero Intuitivo)
Repetible pero Intuitivo Cuando el proceso de supervisin de los proveedores de servicios de terceros, de los riesgos asociados y de la prestacin de servicios es informal. Se utiliza un contrato pro-forma con trminos y condiciones estndares del proveedor (por ejemplo, la descripcin de servicios que se prestarn). Los reportes sobre los servicios
existen, pero no apoyan los objetivos del negocio.

DS3 Administrar el Desempeo y la Capacidad

DS3.1 Planeacin del Desempeo y la Capacidad
La empresa realiza la revisin del desempeo y la capacidad de los recursos de Tecnologas de Informacin de manera informal.

DS3.2 Capacidad y Desempeo Actual

La empresa ejecuta la revisin de la capacidad y desempeo de los recursos de TI y lo clasifica segn el nivel de magnitud de dao, para determinar si el recurso de TI es apropiado para el uso.

DS3.3 Capacidad y Desempeo Futuros

La organizacin realiza un preveo sobre el desempeo y capacidad de todos los recursos de TI para identificar y minimizar los riesgos de interrupciones futuras.

DS3.4 Disponibilidad de Recursos de TI

La organizacin toma medidas cuando el desempeo de los recursos de TI no est en el nivel esperado. La gerencia toma decisiones para salvaguardar los daos.

DS3.5 Monitoreo y Reporte

La gerencia realiza un proceso que asegure que el desempeo de los recursos de TI sea continuamente monitoreado y que las excepciones sean reportadas de manera oportuna y completa.

DS3 DS3.1 DS3.2 DS3.3 DS3.4 DS3.5

ACTIVIDAD
Planeacin del Desempeo y la Capacidad

Capacidad y Desempeo Actual Capacidad y Desempeo Futuros

Disponibilidad de Recursos de TI

Monitoreo y Reporte
TOTAL

PUNTUACIN 2 2 2 2 2 10

Universo = 15 10*100/15 = 66.66 66.66*5/100 = 3.33 Evaluacin de modelo de madurez del DS3= 3 (Definido)
Definido Cuando los requerimientos de desempeo y capacidad estn definidos a lo largo del ciclo de vida del sistema. Hay mtricas y requerimientos de niveles de servicio bien definidos, que pueden utilizarse para medir el desempeo operacional. Los pronsticos de la capacidad y el desempeo se modelan por medio de un proceso definido. Los reportes se generan con estadsticas de desempeo. Los problemas relacionados al desempeo y a la capacidad siguen siendo susceptibles a ocurrir y su resolucin sigue consumiendo tiempo. A pesar de los niveles de servicio publicados, los usuarios y los clientes pueden sentirse escpticos acerca de la capacidad del servicio.

DS4 Garantizar la Continuidad del Servicio

DS4.1 Marco de Trabajo de Continuidad de TI
La organizacin no cuenta con un marco de trabajo de continuidad de TI.

DS4.2 Planes de Continuidad de TI

La organizacin no cuenta con planes de continuidad de TI.

DS4.3 Recursos Crticos de TI

La organizacin no cuenta recursos crticos de TI.

DS4.4 Mantenimiento del Plan de Continuidad de TI

En la organizacin no se practican planes de continuidad en caso del surgimiento de algn riesgo, por lo tanto no posee un mantenimiento de plan de continuidad de TI

DS4.5 Pruebas del Plan de Continuidad de TI

La empresa no realiza pruebas del plan de continuidad de TI para aseguramiento de los sistemas de TI, ya que no cuentan con dicho plan.

DS4.6 Entrenamiento del Plan de Continuidad de TI

La empresa no realiza un entrenamiento del plan de continuidad de TI.

DS4.7 Distribucin del Plan de Continuidad de TI

La distribucin de la informacin se distribuye solo al personal autorizado mantenindose de manera segura evitando su divulgacin de manera informal, pero esto no se aplica para el plan de continuidad.

DS4.8 Recuperacin y Reanudacin de los Servicios de TI

La organizacin no cuenta con un plan de reanudacin y recuperacin de los servicios de TI

DS4.9 Almacenamiento de Respaldos Fuera de las Instalaciones

La organizacin no cuenta con un almacenamiento de respaldo fuera de las instalaciones.

DS4.10 Revisin Post Reanudacin

La empresa no realiza revisiones post reanudacin despus de algn desastre.

DS4 DS4.1 DS4.2 DS4.3 DS4.4 DS4.5 DS4.6 DS4.7 DS4.8 DS4.9 DS4.10

ACTIVIDAD
Marco de Trabajo de Continuidad de TI Planes de Continuidad de TI Recursos Crticos de TI Mantenimiento del Plan de Continuidad de TI Pruebas del Plan de Continuidad de TI Entrenamiento del Plan de Continuidad de TI Distribucin del Plan de Continuidad de TI Recuperacin y Reanudacin de los Servicios de TI Almacenamiento de Respaldos Fuera de las Instalaciones Revisin Post Reanudacin TOTAL

PUNTUACIN 0 0 0 0 0 0 2 0 0 0 2

Universo = 30 2*100/30 = 3.33 3.33*5/100 =0.16 Evaluacin de modelo de madurez del DS4= 0 (No existe)
No Existente Cuando No hay entendimiento de los riesgos, vulnerabilidades y amenazas a las operaciones de TI o del impacto en el negocio por la prdida de los servicios de TI. No se considera que la continuidad en los servicios deba tener atencin de la gerencia.

DS5 Garantizar la Seguridad de los Sistemas

DS5.1 Administracin de la seguridad de TI
La organizacin dirige la seguridad de TI de tal manera que la seguridad se encuentra al nivel de los requerimientos del negocio.

DS5.2 Plan de seguridad de TI

La Empresa no cuenta con un plan formal de seguridad de TI, pero que se encuentra acorde con la estructura y usuarios de TI

DS5.3 Administracin de identidad

La organizacin establece procedimientos para asegurar acciones oportunas relacionadas con los privilegios de acceso de los usuarios de TI de manera formal.

DS5.4 Administracin de cuentas del usuario

La empresa realiza una administracin de las cuentas de usuario, identificando claramente el rol que cumple cada perfil de usuario.

DS5.5 Pruebas, vigilancia y monitoreo de la seguridad

La organizacin realiza pruebas de vigilancia y monitoreo a travs de las cuentas de usuario de TI para detectar actividades inusuales o anormales.

DS5.6 Definicin del incidente de seguridad

La organizacin realiza la revisin de los incidentes de seguridad y realiza la toma de decisiones a travs de la persona encargada.

DS5.7 Proteccin de la tecnologa de seguridad

La seguridad de las TI es competente contra algn tipo de sabotaje que pueda surgir dentro de la organizacin.

DS5.8 Administracin de llaves criptogrficas

La empresa no cuenta con una administracin de llaves criptogrficas.

DS5.9 Prevencin, deteccin y correccin de software malicioso

Se realizan las prevenciones y deteccin de cualquier programa malicioso que puede perjudicar la integridad de la informacin del buen funcionamiento de las TI.

DS5.10 Seguridad de la red

Las tcnicas de seguridad de la red utilizadas dentro de la organizacin no estn bien establecidas

DS5.11 Intercambio de datos sensitivos

Los intercambios de datos sensibles son propensos a cualquier sabotaje informtico dentro de la organizacin.

DS5 DS5.1 DS5.2 DS5.3 DS5.4 DS5.5 DS5.6 DS5.7 DS5.8 DS5.9 DS5.10 DS5.11

ACTIVIDAD
Administracin de la seguridad de TI Plan de seguridad de TI Administracin de identidad Administracin de cuentas del usuario Pruebas, vigilancia y monitoreo de la seguridad Definicin del incidente de seguridad Proteccin de la tecnologa de seguridad Administracin de llaves criptogrficas Prevencin, deteccin y correccin de software malicioso Seguridad de la red Intercambio de datos sensitivos TOTAL

PUNTUACIN 2 2 3 3 2 2 2 0 2 2 0 20

Universo = 33 20*100/33 = 60.60 60.60*5/100 =3.01 Evaluacin de modelo de madurez del DS5= 3 (Definido) Definido Cuando existe conciencia sobre la seguridad y sta es promovida por la gerencia. Los procedimientos de seguridad de TI estn definidos y alineados con la poltica de seguridad de TI. Las responsabilidades de la seguridad de TI estn asignadas y entendidas, pero no continuamente implementadas. Existe un plan de seguridad de TI y existen soluciones de seguridad motivadas por un anlisis de riesgo. Los reportes no contienen un enfoque claro de negocio. Se realizan pruebas de seguridad adecuadas (por ejemplo, pruebas contra intrusos). Existe entrenamiento en seguridad para TI y para el negocio, pero se programa y se comunica de manera informal.

DS6 Identificar y Asignar Costos

DS6.1 Definicin de Servicios
La empresa no realiza una definicin de los servicios

DS6.2 Contabilizacin de TI
La empresa no realiza una contabilizacin ya que la tampoco realiza una definicin de servicios.

DS6.3 Modelacin de costos y cargos

La empresa no realiza una modelacin de costos y cargos

DS6.4 Mantenimiento del modelo de costos

En base a los anteriores puntos se determina que la empresa no realiza un mantenimiento del modelo de costos.

DS6 DS6.1 DS6.2 DS6.3 DS6.4

ACTIVIDAD
Administracin de la seguridad de TI Plan de seguridad de TI Administracin de identidad Mantenimiento del modelo de costos TOTAL

PUNTUACIN 0 0 0 0 0

Universo = 12 0*100/12 = 0 0*5/100 =0 Evaluacin de modelo de madurez del DS6= 0 (No Existente) No Existente Cuando hay una completa falta de cualquier proceso reconocible de identificacin y distribucin de costos en relacin a los servicios de informacin brindados. La organizacin no reconoce incluso que hay un problema que atender respecto a la contabilizacin de costos y que no hay comunicacin respecto a este asunto.

DS7 Educar y Entrenar a los Usuarios

DS7.1 Identificacin de necesidades de entrenamiento y educacin
AL empresa identifica establece los procedimientos para identificar las necesidades de entrenamiento de todo el personal que hace uso de TI, teniendo en cuenta el rea en el cual se desempean

DS7.2 Imparticin de entrenamiento y educacin

La organizacin imparte el entrenamiento correspondiente con tutores capacitados al personal tomando registro de asistencias informalmente

DS7.3 Evaluacin del entrenamiento recibido

La organizacin realiza la evaluacin al personal teniendo en cuenta que estos contribuyan con los planes de sesiones de entrenamiento futuras de manera informal.

DS7 DS7.1 DS7.2 DS7.3

ACTIVIDAD
Identificacin de necesidades de entrenamiento y educacin Imparticin de entrenamiento y educacin Evaluacin del entrenamiento recibido TOTAL

PUNTUACIN 2 2 2

Universo = 9 6*100/9 = 66.66 66.66*5/100 =3.33 Evaluacin de modelo de madurez del DS7= 3 (Definido) Definido Cuando el programa de entrenamiento y educacin se institucionaliza y comunica, y los empleados y gerentes identifican y documentan las necesidades de entrenamiento. Los procesos de entrenamiento y educacin se estandarizan y documentan. Para soportar el programa de entrenamiento y educacin, se establecen presupuestos, recursos, instructores e instalaciones. Se imparten clases formales sobre conducta tica y sobre conciencia y prcticas de seguridad en los sistemas. La mayora de los procesos de entrenamiento y educacin son monitoreados, pero no todas las desviaciones son susceptibles de deteccin por parte de la gerencia. El anlisis sobre problemas de entrenamiento y educacin solo se aplica de forma ocasional.

DS8 Administrar la mesa de servicio y los Incidentes

DS8.1 Mesa de Servicios
La empresa no cuenta temporalmente con una mesa de servicios.

DS8.2 Registro de consultas de clientes

La empresa no realiza un registro de consultas de clientes

DS8.3 Escalamiento de Incidentes

La organizacin no cuenta con un escalamiento de incidentes que pase a travs de la mesa de servicios, pero realiza dicho proceso informalmente.

DS8.4 Cierre de incidentes

La empresa realiza este proceso pero no cuenta con una mesa de servicio.

DS8.5 Anlisis de tendencias

La organizacin no realiza este proceso pues no cuenta con una mesa de servicios

DS8 DS8.1 DS8.2 DS8.3 DS8.4 DS8.5

ACTIVIDAD
Mesa de Servicios Registro de consultas de clientes Escalamiento de Incidentes Cierre de incidentes Anlisis de tendencias TOTAL

PUNTUACIN 0 0 2 0 0 2

Universo = 15 2*100/15 = 13.33 13.33*5/100 =0.66 Evaluacin de modelo de madurez del DS8= 0 (No Existente)
No Existente Cuando no hay soporte para resolver problemas y preguntas de los usuarios. Hay una completa falta de procesos para la administracin de incidentes. La organizacin no reconoce que hay un problema que atender.

DS9 Administrar la Configuracin

DS9.1 Repositorio y lnea base de configuracin
La organizacin no posee un repositorio y lnea de base de configuracin.

DS9.2 Identificacin y mantenimiento de elementos de configuracin

La organizacin no realiza ningn tipo de identificacin y mantenimiento de elementos de configuracin, ya que no posee repositorios

DS9.3 Revisin de integridad de la configuracin

La empresa no posee la revisin de integridad de la configuracin.

DS9 DS9.1 DS9.2 DS9.3

ACTIVIDAD
Repositorio y lnea base de configuracin Identificacin y mantenimiento de elementos de configuracin Revisin de integridad de la configuracin TOTAL

PUNTUACIN 0 0 0 0

Universo = 9 0*100/15 = 0 0*5/100 =0 Evaluacin de modelo de madurez del DS9= 0 (No Existente) No Existente Cuando la gerencia no valora los beneficios de tener un proceso implementado que sea capaz de reportar y administrar las configuraciones de la infraestructura de TI, tanto para configuraciones de hardware como de software.

DS10 Administracin de Problemas

DS10.1 Identificacin y clasificacin de problemas
La organizacin no realiza una identificacin y clasificacin de problemas

DS10.2 Rastreo y resolucin de problemas

La empresa no realiza un rastreo y resolucin de problemas (la empresa realiza una solucin de problemas informal al momento en el que suceden)

DS10.3 Cierre de problemas

Se realiza un cierre de problemas informal

DS10.4 Integracin de la administracin de cambios, configuracin y problemas

La empresa no realiza una integracin de la administracin de cambios, configuracin y problemas.

DS10 DS10.1 DS10.2 DS10.3 DS10.4

ACTIVIDAD
Identificacin y clasificacin de problemas Rastreo y resolucin de problemas Cierre de problemas Integracin de la administracin de cambios, configuracin y problemas TOTAL

PUNTUACIN 0 2 0 0 2

Universo = 12 2*100/12 = 16.66 16.66*5/100 =0.83 Evaluacin de modelo de madurez del DS10= 0 (No Existente) No Existente Cuando No hay conciencia sobre la necesidad de administrar problemas, y no hay diferencia entre problemas e incidentes. Por lo tanto, no se han hecho intentos por identificar la causa raz de los incidentes.

DS11 Administracin de Datos

DS11.1 Requerimientos del negocio para administracin de datos
La Empresa realiza un proceso de entrada de datos que ayuda a minimizar los errores y las omisiones de informacin asegurndose de detectar y corregir errores.

DS11.2 Acuerdos de almacenamiento y conservacin

La Empresa asegura que la informacin sea procesada y almacenada apropiadamente por el personal autorizado

DS11.3 sistema de administracin de libreras de medios

La empresa no realiza un inventario de los medios de almacenamiento de la informacin, con la excepcin del aseguramiento de la integridad de la informacin

DS11.4 Eliminacin
Actualmente la empresa no ha realizado la eliminacin de informacin sensitiva que ha sido borrada

DS11.5 Respaldo y restauracin

La organizacin actualmente no cuenta con un plan de respaldo y restauracin de datos

DS11.6 Requerimientos de seguridad para la administracin de datos

La empresa no realiza requerimientos de seguridad para la administracin de datos

DS11 DS11.1 DS11.2 DS11.3 DS11.4 DS11.5 DS11.5

ACTIVIDAD
Requerimientos del negocio para administracin de datos Acuerdos de almacenamiento y conservacin sistema de administracin de libreras de medios Eliminacin Respaldo y restauracin Requerimientos de seguridad para la administracin de datos TOTAL

PUNTUACIN 3 2 0 0 0 0 5

Universo = 15 5*100/15 = 33.33 33.33*5/100 =1.66 Evaluacin de modelo de madurez del DS11= 1 (Inicial / Ad Hoc) Inicial / Ad Hoc Cuando la organizacin reconoce la necesidad de una correcta administracin de los datos. Hay un mtodo adecuado para especificar requerimientos de seguridad en la administracin de datos, pero no hay

procedimientos implementados de comunicacin formal. No se lleva a cabo entrenamiento especfica sobre administracin de los datos. La responsabilidad sobre la administracin de los datos no es clara. Los procedimientos de respaldo y recuperacin y los acuerdos sobre desechos estn en orden.

DS12 Administracin del Ambiente Fsico

DS12.1 Seleccin y diseo del centro de datos
La Organizacin cuenta con un lugar acondicionado y que cumple con las leyes y regulaciones correspondientes para las TI en relacin desastres naturales o ambientales.

DS12.2 Medidas de seguridad fsica

La empresa cuenta con medidas de seguridad fsica con respecto a las TI y a los usuarios de TI de manera informal

DS12.3 Acceso fsico

La organizacin cuenta con seguridad para el acceso fsico de personas internas y externas a la organizacin.

DS12.4 Proteccin contra factores ambientales

La empresa no cuenta actualmente con algn dispositivo especializado de proteccin contra factores ambientales

DS12.5 Administracin de instalaciones fsicas

La empresa sigue ciertas polticas de administracin de instalaciones fsicas para salvaguardar las TI y a los usuarios de TI

DS12 DS12.1 DS12.2 DS12.3 DS12.4 DS12.5

ACTIVIDAD
Seleccin y diseo del centro de datos Medidas de seguridad fsica Acceso fsico Proteccin contra factores ambientales Administracin de instalaciones fsicas TOTAL

PUNTUACIN 3 2 2 0 2 7

Universo = 15 7*100/15 = 46.66 46.66*5/100 =2.33

Evaluacin de modelo de madurez del DS12= 2 (Repetible pero Intuitivo)

Repetible pero Intuitivo Cuando los controles ambientales se implementan y monitorean por parte del personal de operaciones. La seguridad fsica es un proceso informal, realizado por un pequeo grupo de empleados con alto nivel de preocupacin por asegurar las instalaciones fsicas. Los procedimientos de mantenimiento de instalaciones no estn bien documentados y dependen de las buenas prcticas de unos cuantos individuos. Las metas de seguridad fsica no se basan en estndares formales y la gerencia no se asegura de que se cumplan los objetivos de seguridad.

DS13 Administracin de Operaciones

DS13.1 Procedimientos e instrucciones de operacin
El personal de TI est familiarizado con los procesos de TI y el cambio de turno no afecta a la continuidad de dicho proceso.

DS13.2 Programacin de tareas

La organizacin no cuenta con una programacin de tareas.

DS13.3 Monitoreo de la infraestructura de TI

La organizacin no realiza un monitoreo de la infraestructura de TI

DS13.4 Documentos sensitivos y dispositivos de salida

La organizacin realiza inventarios peridicamente sobre los activos de TI propensos a riesgos de manera informal.

DS13.5 Mantenimiento preventivo del hardware

Se desarrollan peridicamente mantenimientos oportunos a las TI para verificar posibles fallas o errores

DS13 DS13.1 DS13.2 DS13.3 DS13.4 DS13.5

ACTIVIDAD
Procedimientos e instrucciones de operacin Programacin de tareas Monitoreo de la infraestructura de TI Documentos sensitivos y dispositivos de salida Mantenimiento preventivo del hardware TOTAL

PUNTUACIN 2 0 0 2 2 6

Universo = 15 6*100/15 = 40 40*5/100 =2 Evaluacin de modelo de madurez del DS13= 2 (Repetible pero Intuitivo)

Repetible pero Intuitivo Cuando la organizacin esta consiente del rol clave que las actividades de operaciones de TI juegan en brindar funciones de soporte de TI. Se asignan presupuestos para herramientas con un criterio de caso por caso. Las operaciones de soporte de TI son informales e intuitivas. Hay una alta dependencia sobre las habilidades de los individuos. Las instrucciones de qu hacer, cundo y en qu orden no estn documentadas. Existe algo de entrenamiento para el operador y hay algunos estndares de operacin formales.