Beruflich Dokumente
Kultur Dokumente
LOZANO HERRERA, CLAUDIA CASTILLO PALOMINO CIRCA DANERIN RUIZ PEZO ERICK MARTN
OBJETIVOS DE CONTROL
El sistema de informacin El rendimiento ante la cada de contribuye con los objetivos de internet es nulo y que el sistema negocio. solo funciona con internet.
ACTIVIDAD
Administracin del Valor de TI Alineacin de TI con el Negocio Evaluacin del Desempeo y la Capacidad Actual Plan Estratgico de TI Planes Tcticos de TI Administracin del Portafolio de TI TOTAL
PUNTUACIN 2 2 2 2 2 2 12
Universo = 18 12*100/18 = 66.6 66.6*5/100 = 3.33 Evaluacin de modelo de madurez del PO1 = 3 (DEFINIDO) DEFINIDO: Una poltica define cmo y cundo realizar la planeacin estratgica de TI. La planeacin estratgica de TI sigue un enfoque estructurado, el cual se documenta y se da a conocer a todo el equipo. El proceso de planeacin de TI es razonablemente slido y garantiza que es factible realizar una planeacin adecuada. Sin embargo, se otorga discrecionalidad a gerentes individuales especficos con respecto a la implantacin del proceso, y no existen procedimientos para analizar el proceso. La estrategia general de TI incluye una definicin consistente de los riesgos que la organizacin est dispuesta a tomar como innovador o como seguidor. Las estrategias de recursos humanos, tcnicos y financieros de TI influencian cada vez ms la adquisicin de nuevos productos y tecnologas. La planeacin estratgica de TI se discute en reuniones de la direccin del negocio.
PUNTUACIN 3 2 3 3 11
definicin de la arquitectura de informacin es proactivo y se enfoca en resolver necesidades futuras del negocio. La organizacin de administracin de datos est activamente involucrada en todos los esfuerzos de desarrollo de las aplicaciones, para garantizar la consistencia. Un repositorio automatizado est totalmente implementado. Se encuentran en implantacin modelos de datos ms complejos para aprovechar el contenido informativo de las bases de datos. Los sistemas de informacin ejecutiva y los sistemas de soporte a la toma de decisiones aprovechan la informacin existente. PO3. Determinar la Direccin
y Tecnologa.
ACTIVIDAD
Planeacin de la de la Direccin Tecnolgica. Plan de Infraestructura Tecnolgica Monitoreo de Tendencias y Regulaciones Futuras Estndares Tecnolgicos Consejo de Arquitectura de TI
PUNTUACIN 3 2 3 3 3
TOTAL
14
Universo = 15 14*100/15 = 93.33 93.33*5/100 = 4.66 Evaluacin de modelo de madurez del PO3 = 4 (ADMINISTRADO Y MEDIBLE) ADMINISTRADO Y MEDIBLE:
La direccin garantiza el desarrollo del plan de infraestructura tecnolgica. El equipo de TI cuenta con la experiencia y las habilidades necesarias para desarrollar un plan de infraestructura tecnolgica. El impacto potencial de las tecnologas cambiantes y emergentes se toma en cuenta. La direccin puede identificar las desviaciones respecto al plan y anticipar los problemas. La responsabilidad del desarrollo y mantenimiento del plan de infraestructura tecnolgica ha sido asignado. El proceso para desarrollar el plan de infraestructura tecnolgica es sofisticado y sensible a los cambios. Se han incluido buenas prcticas internas en el proceso. La estrategia de recursos humanos est alineada con la direccin tecnolgica, para garantizar que el equipo de TI pueda administrar los cambios tecnolgicos. Los planes de migracin para la introduccin de nuevas tecnologas estn definidos. Los recursos externos y las asociaciones se aprovechan para tener acceso a la experiencia y a las habilidades necesarias. La direccin ha evaluado la aceptacin del riesgo de usar la tecnologa como lder, o rezagarse en su uso, para desarrollar nuevas oportunidades de negocio o eficiencias operativas.
Administrador
Area ventas
Area Contabilidad
Area de Almacen
Externo
PO4.10 Supervisin
Los trabajadores que forma parte de la estructura organizacional de la empresa tiene roles y responsabilidades que ejercen de manera apropiada para evaluar la suficiente autoridad y recursos que tiene sobre cada proceso.
PO4.12 Personal de TI
La empresa cuenta con personal externo que verifica el funcionamiento de las TI dentro de la empresa.
PO4.15 Relaciones
La empresa cuenta con relaciones sobre TI de manera formal e informal.
ACTIVIDAD Marco de Trabajo de Procesos de TI Comit Estratgico de TI Comit Directivo de TI Ubicacin Organizacional de la Funcin de TI Estructura Organizacional Establecimiento de roles y responsabilidades Responsabilidad de Aseguramiento de Calidad de TI Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento PO4.9 Propiedad de Datos y Sistemas PO4.10 Supervisin PO4.11 Segregacin de Funciones PO4.12 Personal de TI PO4.13 Personal clave de TI PO4.14 Polticas y Procedimientos para Personal Contratado PO4.15 Relaciones TOTAL
PUNTUACIN 2 3 2 3 3 3 3 2 2 2 3 3 3 3 3 40
Universo = 45 40*100/45 = 88.88 88.88*5/100 = 4.44 Evaluacin de modelo de madurez del PO4 = 4 (ADMINISTRADO Y MEDIBLE) ADMINISTRADO Y MEDIBLE: Cuando La organizacin de TI responde de forma proactiva al cambio e incluye todos los roles necesarios para satisfacer los requerimientos del negocio. La administracin, la propiedad de procesos, la delegacin y la responsabilidad de TI estn definidas y balanceadas. Se han aplicado buenas prcticas internas en la organizacin de las funciones de TI. La gerencia de TI cuenta con la experiencia y habilidades apropiadas para definir, implementar y monitorear la organizacin deseada y las relaciones. Las mtricas medibles para dar soporte a los objetivos del negocio y los factores crticos de xito definidos por el usuario siguen un estndar. Existen inventarios de habilidades para apoyar al personal de los proyectos y el desarrollo profesional. El equilibrio entre las habilidades y los recursos disponibles internamente, y los que se requieren de organizaciones externas estn definidos y reforzados. La estructura organizacional de TI refleja de manera apropiada las necesidades del negocio proporcionando servicios alineados con los procesos estratgicos del negocio, en lugar de estar alineados con tecnologas aisladas.
PUNTUACIN 3 3 3 3 2 14
Universo = 15 14*100/15 = 93.33 93.33*5/100 = 4.66 Evaluacin de modelo de madurez del PO5 = 4 (Administrado y Medible)
Administrado y Medible: Cuando La responsabilidad y la rendicin de cuentas por la seleccin y presupuestos de inversiones se asignan a un individuo especfico. Las diferencias en el presupuesto se identifican y se resuelven. Se realizan anlisis formales de costos que cubren los costos directos e indirectos de las operaciones existentes, as como propuestas de inversiones, considerando todos los costos a lo largo del ciclo completo de vida. Se usa un proceso de presupuestos proactivo y estndar. El impacto en los costos operativos y de desarrollo debidos a cambios en hardware y software, hasta cambios en integracin de sistemas y recursos humanos de TI, se reconoce en los planes de inversin. Los beneficios y los retornos se calculan en trminos financieros y no financieros.
PUNTUACIN 3 3 2 3 2 13
Universo = 15 13*100/15 = 86.66 86.66*5/100 = 4.33 Evaluacin de modelo de madurez del PO6 = 4 (Administrado y Medible) Administrado y Medible: Cuando La gerencia asume la responsabilidad de comunicar las polticas de control interno y delega la responsabilidad y asigna suficientes recursos para mantener el ambiente en lnea con los cambios significativos. Se ha establecido un ambiente de control de informacin positivo y proactivo. Se ha establecido un juego completo de polticas, procedimientos y estndares, los cuales se mantienen y comunican, y forman un componente de buenas prcticas internas. Se ha establecido un marco de trabajo para la implantacin y las verificaciones subsiguientes de cumplimiento
ACTIVIDAD
Reclutamiento y Retencin del Personal Competencias del Personal Asignacin de Roles Entrenamiento del Personal de TI Dependencia Sobre los Individuos Procedimientos de Investigacin del Personal Evaluacin del Desempeo del Empleado Cambios y Terminacin de Trabajo. TOTAL
PUNTUACIN 3 2 3 3 2 2 3 3 21
Universo = 24 21*100/24 = 87.5 87.5*5/100 = 4.33 Evaluacin de modelo de madurez del PO7= 4 (Administrado y Medible) Administrado y Medible: Cuando La responsabilidad de la elaboracin y el mantenimiento de un plan de administracin de recursos humanos para TI ha sido asignado a un individuo o grupo con las habilidades y experiencia necesarias para elaborar y mantener el plan. El proceso para elaborar y mantener el plan de administracin de recursos humanos de TI responde al cambio. La organizacin cuenta con mtricas estandarizadas que le permiten identificar desviaciones respecto al plan de administracin de recursos humanos de TI con nfasis especial en el manejo del crecimiento y rotacin del personal. Las revisiones de compensacin y de desempeo se estn estableciendo y se comparan con otras organizaciones de TI y con las mejores prcticas de la industria. La administracin de recursos humanos es proactiva, tomando en cuenta el desarrollo de un plan de carrera.
PUNTUACIN 0 2 0 3 2 0 7
Universo = 18 7*100/18 = 38.88 38.88*5/100 = 1.94 Evaluacin de modelo de madurez del PO8= 1 (Inicial / Ad Hoc) Inicial / Ad Hoc
Cuando Existe conciencia por parte de la direccin de la necesidad de un QMS. El QMS es impulsado por individuos cuando ste ocurre. La direccin realiza juicios informales sobre la calidad.
Martnez Gmez 1 Fallas de Hardware. 2 Corte inesperado del sistema de Informacin 3 Insuficiente capacidad de la lnea de Internet 4 Software instalado sin ser usados. 5 Corte de la energa Elctrica 6 Contaminacin de Virus en las Computadoras 7 Mal funcionamiento de Software.
Anlisis de Impacto
Nro. 1 2 3 4 5 6 7 RIESGO Fallas de Hardware. Corte inesperado del sistema de Informacin Insuficiente capacidad de la lnea de Internet Software instalado sin ser usados. Corte de la energa Elctrica Contaminacin de Virus en las Computadoras Mal funcionamiento de Software. IMPACTO 3 3 2 1 5 4 2
Riesgo Residual
Riesgo residual A A M A E E M
Nro. 1 2 3 4 5 6 7
RIESGO Fallas de Hardware. Corte inesperado del sistema de Informacin Insuficiente capacidad de la lnea de Internet Software instalado sin ser usados. Corte de la energa Elctrica Contaminacin de Virus en las Computadoras Mal funcionamiento de Software.
RIESGO
SOLUCIN
Soporte tcnico Fallas de Hardware. Corte inesperado del sistema de Cronograma de mantenimiento del sistema Informacin Insuficiente capacidad de la lnea de Revisin de las redes y adquisicin de una Internet lnea de internet de mejor capacidad. Software instalado sin ser usados. Eliminacin de programas innecesarios Corte de la energa Elctrica Adquisicin de UPS Contaminacin de Virus en las Instalacin de antivirus Computadoras Mal funcionamiento de Software. Actualizar el software
SOLUCIN Soporte tcnico Cronograma de mantenimiento del sistema Revisin de las redes y adquisicin de una lnea de internet de mejor capacidad. Eliminacin de programas innecesarios Adquisicin de UPS Instalacin de antivirus Actualizar el software
PERIODO DE VERIFICACIN Cada 3 Meses. Cada fin de Mes. Cada fin de Mes. Cada 3 Meses. 1 Ao. Cada 3 Meses. Cada 3 Meses.
PUNTUACIN 0 0 0 2 2 0 0 2 0 0 0 0 0 0 6
Universo = 42
6*100/42 = 14.28 14.28*5/100 = 0.71 Evaluacin de modelo de madurez del PO10= 0 (No Existente) No Existente Cuando Las tcnicas de administracin de proyectos no se usan y la organizacin no toma en cuenta los impactos al negocio asociados con la mala administracin de los proyectos y con las fallas de desarrollo en el proyecto.
Adquirir e Implementar
AL1 Identificar Soluciones Automatizadas
Al1.1 Definicin y Mantenimiento de los Requerimientos Tcnicos y Funcionales del Negocio La empresa identifica y da prioridades a los requerimientos de negocio funcionales para lograr los resultados esperados de acuerdo a las inversiones de TI Al 1.2 Reporte de Anlisis de Riesgos La empresa analiza e identifica los riesgos que puedan afectar a los requerimientos del proceso dando soluciones inmediatas, documentados de manera digital Al 1.3 Estudio de Factibilidad y Formulacin de Cursos de Accin Alternativos La organizacin utiliza TI establecidas por las Altas Gerencias desde la apertura de las sucursales. Al 1.4 Requerimientos, Decisin de Factibilidad y Aprobacin El proceso requiere la aprobacin del patrocinador del negocio tanto funcional como tcnico teniendo conocimiento de cada una de las etapas de desarrollo. AI1 AI1.1 AI1.2 AI1.3 AI1.4 PUNTUACIN Definicin y Mantenimiento de los Requerimientos Tcnicos y 2
Funcionales del Negocio Reporte de Anlisis de Riesgos Estudio de Factibilidad y Formulacin de Cursos de Accin Alternativos Requerimientos, Decisin de Factibilidad y Aprobacin TOTAL
ACTIVIDAD
3 3 3 11
Universo = 12 11*100/12 = 91.66 91.66*5/100 = 4.58 Evaluacin de modelo de madurez del AI1= 4 (Administrado y Medible) Administrado y Medible
Existe una metodologa establecida para la identificacin y la evaluacin de las soluciones de TI y se usa para la mayora de los proyectos. La documentacin de los proyectos es de buena calidad y cada etapa se aprueba adecuadamente. Los requerimientos estn bien articulados y de acuerdo con las estructuras predefinidas. Se consideran soluciones alternativas, incluyendo el anlisis de costos y beneficios. La metodologa es clara, definida, generalmente entendida y medible. Existe una interfaz definida de forma clara entre la gerencia de TI y la del negocio para la identificacin y evaluacin de las soluciones de TI.
AI2 AI2.1 AI2.2 AI2.3 AI2.4 AI2.5 AI2.6 AI2.7 AI2.8 AI2.9 AI2.10
ACTIVIDAD
Diseo de Alto Nivel Diseo Detallado Control y Posibilidad de Auditar las Aplicaciones Seguridad y Disponibilidad de las Aplicaciones Configuracin e Implantacin de Software Aplicativo Adquirido Actualizaciones Importantes en Sistemas Existentes Desarrollo de Software Aplicativo Aseguramiento de la Calidad del Software Administracin de los Requerimientos de Aplicaciones Mantenimiento de Software Aplicativo TOTAL
PUNTUACIN
AI3.2 Proteccin y Disponibilidad del Recurso de Infraestructura Se han implementado medidas de control interno de manera formal donde se detalla el uso de las TI para garantizar su disponibilidad e integridad. AI3.3 Mantenimiento de la Infraestructura La organizacin tiene un plan de mantenimiento de la infraestructura de TI de manera informal, donde indica los cambios que se realizan y estn alineados a la administracin de cambios de la organizacin. Donde se incluye la revisin peridica (3 meses), seguridad, etc. AI3.4 Ambiente de Prueba de Factibilidad La organizacin no desarrolla pruebas de factibilidad en la adquisicin de las TI. AI3 AI3.1 AI3.2 AI3.3 AI3.4 ACTIVIDAD
Plan de Adquisicin de Infraestructura Tecnolgica Proteccin y Disponibilidad del Recurso de Infraestructura Mantenimiento de la Infraestructura Ambiente de Prueba de Factibilidad TOTAL
PUNTUACIN 2 3 2 0 7
Universo = 12 7*100/12 = 58.33 58.33*5/100 = 2.91 Evaluacin de modelo de madurez del AI3 = 2 (Repetible pero Intuitivo) Repetible pero Intuitivo Cuando no hay consistencia entre enfoques tcticos al adquirir y dar mantenimiento a la infraestructura de TI. La adquisicin y mantenimiento de la infraestructura de TI no se basa en una estrategia definida y no considera las necesidades de las aplicaciones del negocio que se deben respaldar. Se tiene la nocin de que la infraestructura de TI es importante, que se apoya en algunas prcticas formales. Algunos mantenimientos se programan, pero no se programa ni se coordina en su totalidad. Para algunos ambientes, existe un ambiente de prueba por separado.
ACTIVIDAD
11
Universo = 12 11*100/12 = 91.66 91.66*5/100 = 4.58 Evaluacin de modelo de madurez del AI4= 4 (Administrado y Medible) Administrado y Medible Cuando existe un esquema definido para los procedimientos de mantenimiento y para los materiales de entrenamiento que cuentan con el soporte de la administracin de TI. El enfoque considerado para los procedimientos de mantenimiento y los manuales de entrenamiento cubren todos los sistemas y las unidades de negocio, de manera que se pueden observar los procesos desde una perspectiva de negocio. Los
procedimientos y materiales de entrenamiento se integran para que contengan interdependencias e interfaces. Existen controles para garantizar que se adhieren los estndares y que se desarrollan y mantienen procedimientos para todos los procesos. La retroalimentacin del negocio y del usuario sobre la documentacin y el entrenamiento se recopila y evala como parte de un proceso continuo de mejora. Los materiales de documentacin y entrenamiento se encuentran generalmente a un buen nivel, predecible, de confiabilidad y disponibilidad. Se implanta un proceso emergente para el uso de documentacin y administracin automatizada de procedimiento. El desarrollo automatizado de procedimientos se integra cada vez ms con el desarrollo de sistemas aplicativos, facilitando la consistencia y el acceso al usuario. El entrenamiento de negocio y usuario es sensible a las necesidades del negocio. La administracin de TI est desarrollando medidas para el desarrollo y la entrega de documentacin, materiales y programas de entrenamiento.
PUNTUACIN 2 3 3 3 11
91.66*5/100 = 4.58 Evaluacin de modelo de madurez del AI5= 4 (Administrado y Medible) Administrado y Medible Cuando la adquisicin de TI se integra totalmente con los sistemas generales de adquisicin de la organizacin. Se utilizan los estndares para la adquisicin de recursos de TI en todos los procesos de adquisicin. Se toman medidas para la administracin de contratos y adquisiciones relevantes para los casos de negocio que requieran la adquisicin de TI. Se dispone de reportes que sustentan los objetivos de negocio. La administracin est consciente por lo general, de las excepciones a las polticas y procedimientos para la adquisicin de TI. Se est desarrollando una administracin estratgica de relaciones. La administracin de TI implanta el uso de procesos de administracin para adquisicin y contratos en todas las adquisiciones mediante la revisin de medicin al desempeo.
ACTIVIDAD
Estndares y Procedimientos para Cambios Evaluacin de Impacto, Priorizacin y Autorizacin Cambios de Emergencia Seguimiento y Reporte del Estatus de Cambio Cierre y documentacin del Cambio TOTAL
PUNTUACIN 3 2 2 2 2 11
Universo = 15 11*100/15 = 73.33 73.33*5/100 = 3.66 Evaluacin de modelo de madurez del AI6= 3 (Definido) Definido Cuando existe un proceso formal definido para la administracin del cambio, que incluye la categorizacin, asignacin de prioridades, procedimientos de emergencia, autorizacin del cambio y administracin de liberacin, y va surgiendo el cumplimiento. Se dan soluciones temporales a los problemas y los procesos a menudo se omiten o se hacen a un lado. An pueden ocurrir errores y los cambios no autorizados ocurren ocasionalmente. El anlisis de impacto de los cambios de TI en operaciones de negocio se est volviendo formal, para apoyar la implantacin planeada de nuevas aplicaciones y tecnologas.
AI7.4 Ambiente de Prueba La organizacin no realiza un ambiente de pruebas concerniente a seguridad AI7.5 Conversin de Sistemas y Datos La compaa realiza planes de conversin de datos y migracin de infraestructuras, incluyendo auditoria y revisin de los cambios realizados. De manera formal. AI7.6 Pruebas de Cambios La compaa solo realiza pruebas de funcionalidad de los cambios que se realicen al Sistema de informacin, de manera informal. AI7.7 Prueba de Aceptacin Final El dueo de negocio y los interesados de TI valoran los resultados de las pruebas realizadas anteriormente para definir las pruebas de aceptacin finales, siguiendo la evaluacin de las pruebas. AI7.8 Promocin a Produccin Se control la entrega de la versin del sistema de informacin a operaciones, mantenindolo en lnea obteniendo la aprobacin de los interesados. AI7.9 Revisin Posterior a la Implantacin La empresa estableci en conjunto con los estndares de gestin organizacionales para una revisin posterior a la implantacin.
AI7 AI7.1 AI7.2 AI7.3 AI7.4 AI7.5 AI7.6 AI7.7 AI7.8 AI7.9
ACTIVIDAD
Entrenamiento Plan de Prueba Plan de Implantacin Ambiente de Prueba Conversin de Sistemas y Datos Pruebas de Cambios Prueba de Aceptacin Final Promocin a Produccin Revisin Posterior a la Implantacin TOTAL
PUNTUACIN 3 3 2 0 3 2 3 3 3 23
Universo = 27 23*100/27 = 85.18 85.18*5/100 = 4.25 Evaluacin de modelo de madurez del AI7= 4 (Administrado y Medible) Administrado y Medible Cuando los procedimientos son formales y se desarrollan para ser organizados y prcticos con ambientes de prueba definidos y con
procedimientos de acreditacin. En la prctica, todos los cambios mayores de sistemas siguen este enfoque formal. La evaluacin de la satisfaccin a los requerimientos del usuario es estndar y medible, y produce mediciones que la gerencia puede revisar y analizar de forma efectiva. La calidad de los sistemas que entran en produccin es satisfactoria para la gerencia, an con niveles razonables de problemas posteriores a la implantacin. La automatizacin del proceso es ad hoc y depende del proyecto. Es posible que la gerencia est satisfecha con el nivel actual de eficiencia a pesar de la ausencia de una evaluacin posterior a la implantacin. El sistema de prueba refleja adecuadamente el ambiente de produccin. La prueba de stress para los nuevos sistemas y la prueba de regresin para sistemas existentes se aplican para proyectos mayores.
ACTIVIDAD
Marco de Trabajo de la Administracin de los Niveles de Servicio Definicin de Servicios Acuerdos de Niveles de Servicio Acuerdos de Niveles de Operacin Monitoreo y Reporte del Cumplimento de los Niveles de Servicio Revisin de los Acuerdos de Niveles de Servicio y de los Contratos TOTAL
PUNTUACIN 3 2 0 0 0 0 5
Evaluacin de modelo de madurez del DS1 = 1 (Inicial / Ad Hoc) Inicial / Ad Hoc Cuando Hay conciencia de la necesidad de administrar los niveles de servicio, pero el proceso es informal y reactivo. La responsabilidad y la rendicin de cuentas sobre para la definicin y la administracin de servicios no est definida. Si existen las medidas para medir el desempeo son solamente cualitativas con metas definidas de forma imprecisa. La notificacin es informal, infrecuente e inconsistente.
ACTIVIDAD
Identificacin de Todas las Relaciones con Proveedores Administracin de Riesgos del Proveedor Acuerdos de Niveles de Servicio Monitoreo del Desempeo del Proveedor TOTAL
PUNTUACIN 3 0 2 2 7
58.33*5/100 = 2.91 Evaluacin de modelo de madurez del DS2= 2 (Repetible pero Intuitivo)
Repetible pero Intuitivo Cuando el proceso de supervisin de los proveedores de servicios de terceros, de los riesgos asociados y de la prestacin de servicios es informal. Se utiliza un contrato pro-forma con trminos y condiciones estndares del proveedor (por ejemplo, la descripcin de servicios que se prestarn). Los reportes sobre los servicios
existen, pero no apoyan los objetivos del negocio.
ACTIVIDAD
Planeacin del Desempeo y la Capacidad
Monitoreo y Reporte
TOTAL
PUNTUACIN 2 2 2 2 2 10
Universo = 15 10*100/15 = 66.66 66.66*5/100 = 3.33 Evaluacin de modelo de madurez del DS3= 3 (Definido)
Definido Cuando los requerimientos de desempeo y capacidad estn definidos a lo largo del ciclo de vida del sistema. Hay mtricas y requerimientos de niveles de servicio bien definidos, que pueden utilizarse para medir el desempeo operacional. Los pronsticos de la capacidad y el desempeo se modelan por medio de un proceso definido. Los reportes se generan con estadsticas de desempeo. Los problemas relacionados al desempeo y a la capacidad siguen siendo susceptibles a ocurrir y su resolucin sigue consumiendo tiempo. A pesar de los niveles de servicio publicados, los usuarios y los clientes pueden sentirse escpticos acerca de la capacidad del servicio.
DS4 DS4.1 DS4.2 DS4.3 DS4.4 DS4.5 DS4.6 DS4.7 DS4.8 DS4.9 DS4.10
ACTIVIDAD
Marco de Trabajo de Continuidad de TI Planes de Continuidad de TI Recursos Crticos de TI Mantenimiento del Plan de Continuidad de TI Pruebas del Plan de Continuidad de TI Entrenamiento del Plan de Continuidad de TI Distribucin del Plan de Continuidad de TI Recuperacin y Reanudacin de los Servicios de TI Almacenamiento de Respaldos Fuera de las Instalaciones Revisin Post Reanudacin TOTAL
PUNTUACIN 0 0 0 0 0 0 2 0 0 0 2
Universo = 30 2*100/30 = 3.33 3.33*5/100 =0.16 Evaluacin de modelo de madurez del DS4= 0 (No existe)
No Existente Cuando No hay entendimiento de los riesgos, vulnerabilidades y amenazas a las operaciones de TI o del impacto en el negocio por la prdida de los servicios de TI. No se considera que la continuidad en los servicios deba tener atencin de la gerencia.
DS5 DS5.1 DS5.2 DS5.3 DS5.4 DS5.5 DS5.6 DS5.7 DS5.8 DS5.9 DS5.10 DS5.11
ACTIVIDAD
Administracin de la seguridad de TI Plan de seguridad de TI Administracin de identidad Administracin de cuentas del usuario Pruebas, vigilancia y monitoreo de la seguridad Definicin del incidente de seguridad Proteccin de la tecnologa de seguridad Administracin de llaves criptogrficas Prevencin, deteccin y correccin de software malicioso Seguridad de la red Intercambio de datos sensitivos TOTAL
PUNTUACIN 2 2 3 3 2 2 2 0 2 2 0 20
Universo = 33 20*100/33 = 60.60 60.60*5/100 =3.01 Evaluacin de modelo de madurez del DS5= 3 (Definido) Definido Cuando existe conciencia sobre la seguridad y sta es promovida por la gerencia. Los procedimientos de seguridad de TI estn definidos y alineados con la poltica de seguridad de TI. Las responsabilidades de la seguridad de TI estn asignadas y entendidas, pero no continuamente implementadas. Existe un plan de seguridad de TI y existen soluciones de seguridad motivadas por un anlisis de riesgo. Los reportes no contienen un enfoque claro de negocio. Se realizan pruebas de seguridad adecuadas (por ejemplo, pruebas contra intrusos). Existe entrenamiento en seguridad para TI y para el negocio, pero se programa y se comunica de manera informal.
DS6.2 Contabilizacin de TI
La empresa no realiza una contabilizacin ya que la tampoco realiza una definicin de servicios.
ACTIVIDAD
Administracin de la seguridad de TI Plan de seguridad de TI Administracin de identidad Mantenimiento del modelo de costos TOTAL
PUNTUACIN 0 0 0 0 0
Universo = 12 0*100/12 = 0 0*5/100 =0 Evaluacin de modelo de madurez del DS6= 0 (No Existente) No Existente Cuando hay una completa falta de cualquier proceso reconocible de identificacin y distribucin de costos en relacin a los servicios de informacin brindados. La organizacin no reconoce incluso que hay un problema que atender respecto a la contabilizacin de costos y que no hay comunicacin respecto a este asunto.
ACTIVIDAD
Identificacin de necesidades de entrenamiento y educacin Imparticin de entrenamiento y educacin Evaluacin del entrenamiento recibido TOTAL
PUNTUACIN 2 2 2
Universo = 9 6*100/9 = 66.66 66.66*5/100 =3.33 Evaluacin de modelo de madurez del DS7= 3 (Definido) Definido Cuando el programa de entrenamiento y educacin se institucionaliza y comunica, y los empleados y gerentes identifican y documentan las necesidades de entrenamiento. Los procesos de entrenamiento y educacin se estandarizan y documentan. Para soportar el programa de entrenamiento y educacin, se establecen presupuestos, recursos, instructores e instalaciones. Se imparten clases formales sobre conducta tica y sobre conciencia y prcticas de seguridad en los sistemas. La mayora de los procesos de entrenamiento y educacin son monitoreados, pero no todas las desviaciones son susceptibles de deteccin por parte de la gerencia. El anlisis sobre problemas de entrenamiento y educacin solo se aplica de forma ocasional.
ACTIVIDAD
Mesa de Servicios Registro de consultas de clientes Escalamiento de Incidentes Cierre de incidentes Anlisis de tendencias TOTAL
PUNTUACIN 0 0 2 0 0 2
Universo = 15 2*100/15 = 13.33 13.33*5/100 =0.66 Evaluacin de modelo de madurez del DS8= 0 (No Existente)
No Existente Cuando no hay soporte para resolver problemas y preguntas de los usuarios. Hay una completa falta de procesos para la administracin de incidentes. La organizacin no reconoce que hay un problema que atender.
ACTIVIDAD
Repositorio y lnea base de configuracin Identificacin y mantenimiento de elementos de configuracin Revisin de integridad de la configuracin TOTAL
PUNTUACIN 0 0 0 0
Universo = 9 0*100/15 = 0 0*5/100 =0 Evaluacin de modelo de madurez del DS9= 0 (No Existente) No Existente Cuando la gerencia no valora los beneficios de tener un proceso implementado que sea capaz de reportar y administrar las configuraciones de la infraestructura de TI, tanto para configuraciones de hardware como de software.
ACTIVIDAD
Identificacin y clasificacin de problemas Rastreo y resolucin de problemas Cierre de problemas Integracin de la administracin de cambios, configuracin y problemas TOTAL
PUNTUACIN 0 2 0 0 2
Universo = 12 2*100/12 = 16.66 16.66*5/100 =0.83 Evaluacin de modelo de madurez del DS10= 0 (No Existente) No Existente Cuando No hay conciencia sobre la necesidad de administrar problemas, y no hay diferencia entre problemas e incidentes. Por lo tanto, no se han hecho intentos por identificar la causa raz de los incidentes.
DS11.4 Eliminacin
Actualmente la empresa no ha realizado la eliminacin de informacin sensitiva que ha sido borrada
ACTIVIDAD
Requerimientos del negocio para administracin de datos Acuerdos de almacenamiento y conservacin sistema de administracin de libreras de medios Eliminacin Respaldo y restauracin Requerimientos de seguridad para la administracin de datos TOTAL
PUNTUACIN 3 2 0 0 0 0 5
Universo = 15 5*100/15 = 33.33 33.33*5/100 =1.66 Evaluacin de modelo de madurez del DS11= 1 (Inicial / Ad Hoc) Inicial / Ad Hoc Cuando la organizacin reconoce la necesidad de una correcta administracin de los datos. Hay un mtodo adecuado para especificar requerimientos de seguridad en la administracin de datos, pero no hay
procedimientos implementados de comunicacin formal. No se lleva a cabo entrenamiento especfica sobre administracin de los datos. La responsabilidad sobre la administracin de los datos no es clara. Los procedimientos de respaldo y recuperacin y los acuerdos sobre desechos estn en orden.
ACTIVIDAD
Seleccin y diseo del centro de datos Medidas de seguridad fsica Acceso fsico Proteccin contra factores ambientales Administracin de instalaciones fsicas TOTAL
PUNTUACIN 3 2 2 0 2 7
ACTIVIDAD
Procedimientos e instrucciones de operacin Programacin de tareas Monitoreo de la infraestructura de TI Documentos sensitivos y dispositivos de salida Mantenimiento preventivo del hardware TOTAL
PUNTUACIN 2 0 0 2 2 6
Universo = 15 6*100/15 = 40 40*5/100 =2 Evaluacin de modelo de madurez del DS13= 2 (Repetible pero Intuitivo)
Repetible pero Intuitivo Cuando la organizacin esta consiente del rol clave que las actividades de operaciones de TI juegan en brindar funciones de soporte de TI. Se asignan presupuestos para herramientas con un criterio de caso por caso. Las operaciones de soporte de TI son informales e intuitivas. Hay una alta dependencia sobre las habilidades de los individuos. Las instrucciones de qu hacer, cundo y en qu orden no estn documentadas. Existe algo de entrenamiento para el operador y hay algunos estndares de operacin formales.