CONTROLES DE LAS

DIFERENTES
ACTIVIDADES
OPERATIVAS

1. Cumplimiento de procedimientos, normas,

control de cambios y versiones de software

2. Controles sobre la produccin diaria

3.-Controles sobre la calidad y eficiencia del

desarrollo y mantenimiento de software y del
servicio de informtica

4.- Controles en las redes de comunicaciones

4.- Controles en las redes de comunicaciones

5.- controles sobre el software de base

6.- CONTROLES EN LOS SISTEMAS

MICROINFORMATICOS

6.- CONTROLES EN LOS SISTEMAS

MICROINFORMATICOS

7.- La seguridad informtica

CONTROLES DE LAS
DIFERENTES
ACTIVIDADES
OPERATIVAS

CONTROLES DE LAS
DIFERENTES
ACTIVIDADES
OPERATIVAS

8. Usuarios, responsables y perfiles de usos de

archivos, base de datos.

9. Normas de seguridad

9. Normas de seguridad

10. Control de informacin clasificada

11.- Control de la seguridad informtica

12.-Licencias y relaciones contractuales con

terceros

13.-Asesorar y transmitir cultura sobre el riesgo

informtico

PREGUNTAS PLANTEADAS

Tiene manuales de procedimientos para el uso y

mantenimiento de hardware y software?

Se realizan capacitaciones de los cambios de hardware y

software?

Las instalaciones tienen una adecuada iluminacin,

cableado, ventilacin y acceso para su uso?

El hardware y software soportan las actividades diarias de

la empresa?

Los equipos e instalaciones son adecuadas para procesar

la informacin ?

Existe un encargado de revisar la productividad de los

equipos?

Existen controles de la calidad del software?

Existen polticas que regulen el mantenimiento del

sistema informtico?

Existen actualizaciones del software?

Se realizan mantenimientos en las redes de

comunicacin?

Utiliza seguridad para la infraestructura fsica en las redes

de comunicacin?

Las redes de comunicacin funcionan adecuadamente?

Se puede acceder al software base fuera de las horas de

trabajo?

Tiene Ti la custodia y almacenamiento de todos los

programas informticos de la empresa?

Es factible desinstalar el Antivirus de un equipo?

Esta establecido quienes son los nicos autorizados para

la utilizacin de sistemas microinformticos?

Que funcin desempeara el encargado de realizar los

controles en los sistemas microinformticos?

Los usuarios podrn usar equipos personales como:

laptops, dispositivo de la emprara o rea de trabajo

El personal encargado Velar porque todo el software

instalado, este legalmente licenciado?

Tienen que todos los sistemas de informtica estar

resguardados dentro del rea asignada a TI?

Pueden los usuarios externos acceder al rea destinada a

Ti?

PREGUNTAS PLANTEADAS

PREGUNTAS PLANTEADAS

Existen controles en el ingreso en la base de datos por

parte de los usuarios?

Existen restricciones al personal de la organizacin a los

archivos y programas?

Cada que tiempo se realiza un respaldo de la base de

datos?

Existen contraseas para los equipos de computo en el

departamento de TI?

Existen medidas de seguridad fsicas en el departamento

de TI?

Cada cuanto tiempo se realizan las reformas de las

normas de seguridad?

Existen una proteccin correcta en la informacin

clasificada?

Existe un control en el acceso a la informacin por medio

de permisos centralizados y mantenidos

Existen polticas de copias de seguridad hacia la

informacin?

Considera que las medidas de seguridad que manejan

dentro del centro de computo sean seguros?

Existe restricciones en el acceso a los programas y

archivos?

Cul es la persona encargada de los controles de

seguridad informtica?

Existen licencias y relaciones contractuales con terceros?

Existen documentacin que respalde el contrato de

licencias?

Existe un informe tcnico en el que se justifique la

adquiran del software?

Cuando se realizan asesoras para transmitir cultura sobre

el riesgo informtico?

Los usuarios estn capacitados para la prevencin del

riesgo informtico?

Se ha realizado un anlisis de la gestin de los sistemas de

informacin desde un punto de vista de riesgos de
seguridad, de gestin y de efectividad de la gestin?

ARGUMENTACION DE LA
RESPUESTA

Posee manuales acerca de los procedimientos y el

mantenimiento lo realiza el supervisor del rea del
departamento de TI.

Se realizan capacitaciones y se les informa los cambios

realizados.

Existe adecuada iluminacin, cableado, ventilacin y acceso

seguro para el personal de las diferentes reas.

El sistema soporta las actividades de la empresa pero tiene

a veces fallas por la cantidad de informacin al menos falla
una vez a la semana

Los equipos y las instalaciones son seguras para procesar y

almacenar la informacin

El supervisor del departamento de TI revisa por lo menos

dos veces al mes la productividad de los equipos

Se establecen en el manual de polticas de TI donde hace

referencia que el software cumpla con los atributos de
calidad adecuados.

Se realizan mantenimientos de forma ocasional, no esta

estipulado en las polticas

No muy a menudo actualizaciones del software de la

empresa

El mantenimiento y revisin de las redes de comunicacin

se lo realiza una vez la mes.

La infraestructura fsica si esta protegida.

Las redes de comunicacin no han ocasionado problemas

frecuentes.

Se restringir el acceso a los equipos tecnolgicos fuera de

horario de trabajo, a aquellos usuarios que no cuenten con
una autorizacin previa de su superior inmediato para
laborar fuera de horario.

Tendr la custodia y almacenamiento de todos los

programas informticos de la Institucin. Definir los discos
de Red de todas las reas, para poder fragmentar el acceso
a la informacin y una mejor organizacin

Est prohibido desinstalar el Antivirus de su equipo, ya es

de alto riesgo para la seguridad ante el peligro de los virus.

Para la utilizacin de base de datos el nico autorizado es la

Gerencia de informtica.

El encargado de los controles en los sistemas informticos

velar por el adecuado uso de las instalaciones elctricas
requerida para el funcionamiento de los equipos
tecnolgicos.

Los usuarios responsables no podrn usar equipos

tecnolgicos personales como: laptops, dispositivo
informtico, etc., en el rea de trabajo.

El supervisor del departamento de TI revisa que todas las

computadoras tengan los programas y licencias.

Todos los sistemas de informtica debern estar

resguardados dentro del rea asignada a TI

Los Usuarios o visitantes externos no podrn acceder al rea

destinada a TI, sin la previa autorizacin del Encargado o
acompaados de un empleado de la misma

ARGUMENTACION DE LA
RESPUESTA

ARGUMENTACION DE LA
RESPUESTA

En el manual de polticas de TI en su pagina, hace

referencia a la asignacin usuarios.

En el manual de polticas de TI , hace referencia a la

responsabilidad de los usuarios.

Se realiza un respaldo cada tres das a la base de datos de

la empresa.

Las contraseas son establecidas acorde a un patrn fijo

Si se encuentra el personal de seguridad para la vigilancia

de dicho departamento

Cada seis meses

En el manual de polticas de TI en su pagina, hace

referencia a la seguridad de informacin.

Asegurar que se utilicen los datos, archivos y programas correctos

en el procedimiento elegido.

Copias de seguridad completa y copias de seguridad

incrementales

En el manual de polticas de TI, hace referencia de la

seguridad del rea informtica

Restringe el acceso a los equipos tecnolgicos fuera de

horario de trabajo.

Encargado de Informtica

En el manual de polticas de TI, hace referencia sobre las

licencia isa que cuenta la compaa

El responsable de TI es el encargado de Velar que todo el

software instalado, este legalmente
licenciado.

La compaa no realiza informes tcnicos

Se realiza asesoras cuando se implementa un nuevo

sistema

Regularmente debido a la complejidad del sistema

1 vez al ao

PONDERACION

PROBABILIDAD

Los manuales no detallen adecuadamente

todas las actividades de los procesos

58%

Se cometa errores en el manejo del

sistema

22%

Problemas en el uso de los equipos y

comodidad de los usuarios

20%

1. RARO

2. IMPROBABLE

3. POSIBLE

4. PROBABLE

5. CASI CERTEZA

RIESGO

Fallas en las operaciones del sistema de la

empresa

38%

Seguridad del sistema y equipos

35%

Se realizan chequeos a los problemas

encontrados

28%

Inadecuado control de calidad del

Software

41%

Falta de mantenimientos peridicos del

sistema informtico.

Manejar un software desactualizado

Que no se realicen mantenimientos en las

redes de comunicacin.

63%

82%

42%

Deficiencia en las seguridades de la

infraestructura fsica de comunicacin

25%

Mal funcionamiento de las redes de

comunicacin

13%

Riesgo que se robe informacin de la

empresa

35%

Se cometa errores en el manejo del

sistema

55%

Existencia de un virus que borre la

informacin y dae el software

Existen responsables por cada computador

y sobre el uso de cada uno

Falta de polticas especificas para el

control en los sistemas y equipos
informticos

13%

61%

60%

Se realice mal uso de los equipos o

informacin de la empresa.

23%

No exista un adecuado control de las

licencias

60%

Riesgo a que no exista un resguardo de los

archivos en el rea Ti

60%

No exista una persona responsable de la

seguridad informtica

23%

PONDERACI

PROBABILIDAD

RIESGO

No existen controles en la base de datos

El personal tiene la posibilidad de

modificar ciertos archivos

no existe un alto grado de confiabilidad

por parte del nuevo personal

1. RARO

42%

61%

No existe un sistema el cual nos ayuda a

recuperar de inmediato la informacin

No existe una complejidad en las

contraseas

2. IMPROBABLE

3. POSIBLE

4. PROBABLE

5. CASI CERTEZA

RIESGO

45%

63%

25%

Ya que la tecnologa se vuelve obsoleta

62%

No existe ya que las contraseas de los

responsables son simples

60%

La informacin sea alterada por parte de

personal no autorizado

81%

Los datos son almacenados en su totalidad la

primera vez

82%

No existe un adecuado monitoreo

Algunas personas no respetan el horario

No existe un adecuado monitoreo

72%

60%

62%

No existe un adecuada supervisin

El control no se realiza adecuadamente

Registro transaccional inadecuado

41%

25%

45%

No se realiza asesoras regularmente

Inadecuado manejo del sistema

No se realice una adecuada revisin de los

diferentes riesgos

35%

60%

50%

60%
5. CATASTROFICO

4. MAYOR

3. MODERADO

2. MENOR

1. INSIGNIFICATIVO

IMPACTO
PORCENTAJE

PONDERACION

59%

25%
24%

21%

21%

35%

37%

29%

32%

42%

35%

40%

41%

75%

69%

23%

53%

40%

41%

76%

40%

51%

27%

25%

40%

30%

48%

43%

28%

25%

43%

20%

40%

30%

27%

60%

60%

65%

30%

63%

27%

IMPACTO

PORCENTAJE

PONDERACION

42%

40%
42%

65%
63%

45%
45%

81%
72%

33%

5. CATASTROFICO

4. MAYOR

3. MODERADO

2. MENOR

1. INSIGNIFICATIVO

PORCENTAJE

45%

54%

55%

58%

21%

51%

23%

53%

79%

40%

76%

50%

78%

70%

62%

52%

40%

33%

58%

52%

42%

39%

75%

70%

68%

60%

MATRIZ DE RIESGO

A1
A2
A3

B1
B2
B3
C1
C2
C3
D1

D2
D3
E1
E2
E3
F1
F2

F3
G1
G2
G3

MATRIZ DE
RIESGO

MATRIZ DE
RIESGO

H1
H2
H3
I1
I2

I3
J1
J2
J3
K1
K2
K3

L1
L2
L3
M1
M2
M3

SCORE DEL RIESGO

PROBABILIDAD

INSIGNIFICANTE
1

MENOR
2

C3
CASI CERTEZA

IMPACTO
MODERADO
3

J2

J3

ENTRE 81% Y
100%

F1
PROBABLE

ENTRE 61% Y
80%

POSIBLE

ENTRE 41% Y
60%

RARO

ENTRE 21% Y
40%

I3

C2
K3

F2

IMPROBABLE

MAYOR
4

C1

D1

E2

E3

K2

A2

B1

B2

E1

F3

G3

I2

L2

A3

D3

A1

G1

H1

H3

J1

L3

B3

M1

G2

D2

ENTRE 0% Y
20%

EXTREMO

Los riesgos Extremos deben ponerse en conocimiento de los Directores y ser objeto de seguimiento permanente

ALTO
MEDIO
BAJO

Los riesgos altos requieren atencin del Director General

Los riesgos medios deben ser objeto de seguimiento adecuado por parte de los niveles medios de Direccin
Los riesgos bajos deben ser objeto de seguimiento por parte de supervisores

rmanente

MAYOR
4

H2

CATASTROFICO
5

K1

M3
L1

M2

I1

ccin

METAS CORPORATIVAS DE COBI

DIMENSION
DE CMI

META CORPORATIVA

FINANCIERA

CLIENTE

10

11

AP Y CREC

INTERNA

12

13

14

15

16

17

METAS CORPORATIVAS DE COBIT 5

META CORPORATIVA

Valor para las partes interesadas de las Inversiones de Negocio

Riesgos de negocio gestionados (salvaguarda de activo)

Cartera de productos y servicios competitivos

Cumplimiento de leyes y regulaciones externas

Cultura de servicio orientada al cliente

Transparencia financiera

Respuestas giles a un entorno de negocio cambiante

Toma estratgica de Decisiones basadas en informacin

Continuidad y disponibilidad del servicio de negocio

Optimizacin de la funcionalidad de los procesos de negocio

Optimizacin de los costes de los procesos de negocio

Optimizacin de costes de entrega del servicio

Programas gestionados de cambio en el negocio

Productividad operacional y de los empleados

Cumplimiento con las polticas internas

Cultura de innovacin del producto y del negocio

Personas preparadas y motivadas

DE COBIT 5
REALIZACION CON LOS OBJETIVOS DE GOBIERNO
Prestar
servicios de
asesora de
calidad

Promover
negocios
rentables con
clientes

Optimizar el uso
de de activos y
infraestructura

METAS RELACIONADAS CO
DIMENSION DE CMI

META DE INFORMACION Y TECNOLOGIA RELACIONADA

CLIENTE

FINANCIERA

1 Alineamiento de TI y la estrategia de negocio

Cumplimiento y soporte de la TI al cumplimiento del

negocio de las leyes y regulaciones externas

Compromiso de la direccin ejecutiva para tomar

decisiones relacionadas con TI

4 Riesgos de negocio relacionados con las TI gestionados

Realizacin de beneficios del portafolio de Inversiones y

Servicios relacionados con las TI

Transparencia de los costes, beneficios y riesgos de las

TI

Entrega de servicios de TI de acuerdo a los requisitos

del negocio

Uso adecuado de aplicaciones, informacin y soluciones

tecnolgicas

9 Agilidad de las TI

NA

10

Seguridad de la informacin, infraestructuras de

procesamiento y aplicaciones

INTERNA

11

Optimizacin de activos, recursos y capacidades de las

TI

Capacitacin y soporte de procesos de negocio

12 integrando aplicaciones y tecnologa en procesos de
negocio
Entrega de Programas que proporcionen beneficios a
13 tiempo, dentro del presupuesto y satisfaciendo los
requisitos y normas de calidad

14

Disponibilidad de informacin til y relevante para la

toma de decisiones

AP Y CREC

15 Cumplimiento de TI con las polticas internas

16 Personal del negocio y de las TI competente y motivado

17

Conocimiento, experiencia e iniciativas para la

innovacin de negocio

ACIONADAS CON TI
REALIZACION CON LOS OBJETIVOS TI
Controlar la efectividad
Capacitar a los usuarios
de los sistemas, equipos
del sistema
y instalaciones

Mantener control de
activos y informacin

P
P
P
P
P
P
P
P
P

P
P

P
P

P
P

META RELACIONADA CON LAS

FINANCIERA

CLIENTE

10

INTERNA

11

12

AP Y CREC

13

14

15

16

IN

17

AP Y CREC

META RELACIONADA CON LAS TI

Alineamiento de TI y la estrategia de negocio

Cumplimiento y soporte de la TI al cumplimiento

negocio de las leyes y regulaciones externas

Compromiso de la direccin ejecutiva para tomar

decisiones relacionadas con TI

Riesgos de negocio relacionados con las TI gestio

Realizacin de beneficios del portafolio de Inversi

Servicios relacionados con las TI

Transparencia de los costes, beneficios y riesgos d

TI

Entrega de servicios de TI de acuerdo a los requis

negocio

Uso adecuado de aplicaciones, informacin y solu

tecnolgicas

Agilidad de las TI

Seguridad de la informacin, infraestructuras de

procesamiento y aplicaciones

Optimizacin de activos, recursos y capacidades d

TI

Capacitacin y soporte de procesos de negocio

integrando aplicaciones y tecnologa en procesos
negocio

Entrega de Programas que proporcionen beneficio

tiempo, dentro del presupuesto y satisfaciendo lo
requisitos y normas de calidad

Disponibilidad de informacin til y relevante para

toma de decisiones

Cumplimiento de TI con las polticas internas

Personal del negocio y de las TI competente y mo

Conocimiento, experiencia e iniciativas para la

innovacin de negocio

Cumplimiento de leyes y
regulaciones externas

Cartera de productos y servicios

competitivos

Riesgos de negocio gestionados

(salvaguarda de activo)

Valor para las partes interesadas

de las Inversiones de Negocio

MAPEO ENTRE LAS METAS CORPORATIVAS DE

FINANCIERA

Toma estratgica de Decisiones

basadas en informacin

Respuestas giles a un entorno de

negocio cambiante

Transparencia financiera

Cultura de servicio orientada al

cliente

CORPORATIVAS DE COBIT 5 Y LAS METAS RELACIONADAS CON LAS TI

CLIENTE

10

11

Optimizacin de costes de entrega

del servicio

Optimizacin de los costes de los

procesos de negocio

Optimizacin de la funcionalidad
de los procesos de negocio

Continuidad y disponibilidad del

servicio de negocio

S CON LAS TI

12

NTE

INTERNA

13

14

15

16

Cultura de innovacin del producto

y del negocio

Cumplimiento con las polticas

internas

Productividad operacional y de los

empleados

Programas gestionados de cambio

en el negocio

INTERNA

AP Y CREC

17

Personas preparadas y motivadas

AP Y CREC

Alineamiento de TI y la
estrategia de negocio
1
Procesos de COBIT 5

Supervisar

EDM01

Asegurar el
Establecimiento y
Mantenimiento del
Marco de Gobierno

Evaluar, Orientar y Supervisar

EDM02

Asegurar la Entrega de
Beneficios

EDM03

Asegurar la
Optimizacin del
Riesgo

EDM04

Asegurar la
Optimizacin de los
Recursos

EDM05

Asegurar la
Transparencia hacia las
partes interesadas

APO01

Gestionar el Marco de
Gestin de TI

APO02

Gestionar la Estrategia

Alinear, Planificar y Organizar

APO03

Gestionar la
Arquitectura
Empresarial

APO04

Gestionar la Innovacin

APO05

Gestionar el portafolio

APO06

Gestionar el
Presupuesto y los Coste

APO07

Gestionar los Recursos

Humanos

APO08

Gestionar las Relaciones

Al
APO09

Gestionar los Acuerdos

de Servicio

APO10

Gestionar los
Proveedores

APO11

Gestionar la Calidad

APO12

Gestionar el Riesgo

APO13

Gestionar la Seguridad

Alineamiento de TI y la estrategia de
negocio
1
Procesos de COBIT 5

BAI01

Gestionar los Programas

y Proyectos

Construccin, Adquisicin e Implementacin

BAI02

Gestionar la Definicin
de Requisitos

BAI03

Gestionar la
Identificacin y la
Construccin de
Soluciones

BAI04

Gestionar la
Disponibilidad y la
Capacidad

BAI05

Gestionar la
introduccin de
Cambios Organizativos

BAI06

Gestionar los Cambios

BAI07

Gestionar la Aceptacin
del Cambio y de la
Transicin

tregar, dar Servicio y Soporte

BAI08

Gestionar el
Conocimiento

BAI09

Gestionar los Activos

BAI10

Gestionar la
Configuracin

DSS01

Gestionar las
Operaciones

DSS02

Gestionar las Peticiones

y los Incidentes del
Servicio

DSS03

Gestionar los Problemas

Entregar, dar Servicio

Supervisin, Evaluacin y Verificacin

DSS04

Gestionar la
Continuidad

DSS05

Gestionar los Servicios

de Seguridad

DSS06

Gestionar los Controles

de los Procesos del
Negocio

MEA01

Supervisar, Evaluar y
Valorar Rendimiento y
Conformidad

MEA02

Supervisar, Evaluar y
Valorar el Sistema de
Control Interno

MEA03

Supervisar, Evaluar y
Valorar la Conformidad
con los Requerimientos
Externos

Cumplimiento y soporte de la TI
al cumplimiento del negocio de
las leyes y regulaciones externas
Compromiso de la direccin
ejecutiva para tomar decisiones
relacionadas con TI
Riesgos de negocio relacionados
con las TI gestionados
Realizacin de beneficios del
portafolio de Inversiones y
Servicios relacionados con las TI

MAPEO ENTRE LAS METAS RELAC

2
3
4
5

FINANCIERA

Cumplimiento y soporte de la TI al
cumplimiento del negocio de las leyes
y regulaciones externas
Compromiso de la direccin ejecutiva
para tomar decisiones relacionadas
con TI
Riesgos de negocio relacionados con
las TI gestionados
Realizacin de beneficios del portafolio
de Inversiones y Servicios relacionados
con las TI

2
3
4
5

FINANCIERA

Transparencia de los costes,

beneficios y riesgos de las TI
Entrega de servicios de TI de
acuerdo a los requisitos del
negocio
Uso adecuado de aplicaciones,
informacin y soluciones
tecnolgicas

Agilidad de las TI

S METAS RELACIONADAS CON LAS TI DE COBIT 5

META RELACIONADA CON TI

6
7
8
9

CLIENTE

Transparencia de los costes, beneficios

y riesgos de las TI

Entrega de servicios de TI de acuerdo

a los requisitos del negocio

Uso adecuado de aplicaciones,

informacin y soluciones tecnolgicas

Agilidad de las TI

META RELACIONADA CON TI

6
7
8
9

CLIENTE

Optimizacin de activos, recursos

y capacidades de las TI

10
11

Capacitacin y soporte de
procesos de negocio integrando
aplicaciones y tecnologa en
procesos de negocio
Entrega de Programas que
proporcionen beneficios a
tiempo, dentro del presupuesto y
satisfaciendo los requisitos y
normas de calidad.

Seguridad de la informacin,
infraestructura de procesamiento
y aplicaciones

TI DE COBIT 5 Y LOS PROCESOS

NADA CON TI

12

S
13

INTERNA

Seguridad de la informacin,
infraestructura de procesamiento y
aplicaciones
Optimizacin de activos, recursos y
capacidades de las TI
Capacitacin y soporte de procesos de
negocio integrando aplicaciones y
tecnologa en procesos de negocio
Entrega de Programas que
proporcionen beneficios a tiempo,
dentro del presupuesto y satisfaciendo
los requisitos y normas de calidad.

NADA CON TI

10
11
12
13

INTERNA

Disponibilidad de informacin til

y relevante para la toma de
decisiones
Cumplimiento de las polticas
internas por parte de las TI

Personal del negocio y de las TI

competente y motivado
Conocimiento, experiencia e
iniciativas para la innovacin de
negocio

14
15
16
17

APR Y CRE

Disponibilidad de informacin til y

relevante para la toma de decisiones

Cumplimiento de las polticas internas

por parte de las TI

Personal del negocio y de las TI

competente y motivado

Conocimiento, experiencia e iniciativas

para la innovacin de negocio

14
15
16
17

APR Y CRE

PONDERACION

10

11

PONDERACION

10

10

13

EVALUAR ORIENTAR Y SUPERVISAR

EDM01

Asegurar el Establecimiento y
Mantenimiento del Marco de Gobierno

ALINEAR, PLANIFICAR ORGANIZAR

AP001

Gestionar el Marco de Gestin de TI

AP008

Gestionar las Relaciones

CONSTRU
CONSTRUIR ADQUIRIR IMPLEMENTAR

BAI01

Gestionar los Programas y Proyectos

BAI 08

Gestionar el Conocimiento

ENTREGAR DAR SERVICIO Y SOPO

DSS01

Gestionar las Operaciones

SUPERVISAR

EDM02

Asegurar la Entrega de Beneficios

ORGANIZAR

AP002

Gestionar la Estrategia

AP009

Gestionar los Acuerdos de Servicio

IMPLEMENTAR

BAI02

Gestionar la Definicin de Requisitos

BAI09

Gestionar los Activos

ERVICIO Y SOPORTE
DSS02

Gestionar las Peticiones y los Incidentes

del Servicio

PROCESO G

EDM03

Asegurar la Optimizacin del Riesgo

AP003

Gestionar la Arquitectura Empresarial

AP010

Gestionar los Proveedores

BAI03

Gestionar la Identificacin y la
Construccin de Soluciones

BAI10

Gestionar la Configuracin

DSS03

Gestionar los Problemas

PROCESO GOBIERNO DE TI

EDM04

Asegurar la Optimizacin de los Recursos

AP004

Gestionar la Innovacin

AP011

Gestionar la Calidad

BAI04

Gestionar la Disponibilidad y la
Capacidad

DSS04

Gestionar la Continuidad

GOBIERNO DE TI EMPRESARIAL

EDM05

Asegurar la Transparencia hacia las

partes interesadas

AP005

Gestionar el portafolio

AP012

Gestionar el Riesgo

BAI05

Gestionar la introduccin de Cambios

Organizativos

DSS05

Gestionar los Servicios de Seguridad

I EMPRESARIAL

AP006

Gestionar el Presupuesto y los Coste

AP013

Gestionar la Seguridad

BAI06

Gestionar los Cambios

DSS06

Gestionar los Controles de los Procesos

del Negocio

AP007

Gestionar los Recursos Humanos

BAI07

Gestionar la Aceptacin del Cambio y de

la Transicin

SUPERVISAR EVALUAR Y
VALORAR

MEA01

Supervisar, Evaluar y Valorar

Rendimiento y Conformidad

MEA02

Supervisar, Evaluar y Valorar el Sistema

de Control Interno

MEA03

Supervisar, Evaluar y Valorar la

Conformidad con los Requerimientos
Externos

AP001

Gestionar el Marco de
Gestin de TI

Descripcin de Proceso

Aclarar y mantener el gobierno de la misin y visin corporativa de TI implementar y man

el uso de TI en la empresa para apoyar a los objetivos del gobierno en consonancia con la

Declaracin del Propsito del Proceso

Proporcionar un enfoque de gestin consistente que permita cumplir los requisitos de gob
y responsabilidades organizativos, actividades fiables y reproducibles y habilidades comp

META TI

METRICAS RELACIONAD

Alineamiento de TI y la
estrategia de negocio

Nivel de satisfaccin de las partes interesadas con el al

programas y servicios planeados

Cumplimiento y soporte de
la TI al cumplimiento del
negocio de las leyes y
regulaciones externas

Numero de problemas de no conformidad con respecto

proveedores de servicios de TI

Agilidad de las TI

Nivel de Satisfaccin de ejecutivos ese la empresa con

TI

Optimizacin de activos,
11 recursos y capacidades de
las TI

Frecuencia de evaluaciones de la madurez de la capacid

costes

Cumplimiento de las
15 polticas internas por parte

Porcentaje de partes interesadas que comprenden las p

de las TI
Personal del negocio y de
16 las TI competente y
motivado

Numero de horas de aprendizaje practicadas por trabaj

Conocimiento ,experiencia e
Nivel de satisfaccin de las partes interesadas con los n
17 iniciativas para la
de innovacin de TI
motivacin del negocio
PROMEDIO

META DEL PROCESO

METRICA

Se han definido y se mantiene

un conjunto eficaz de polticas

Numero de Exposiciones a riesgos debidas a la

Todos tienen conocimiento de

las polticas y de cmo
deberan implementarse

Numero de empleados que asistieron a sesione

JUSTIFICACION
1 El nivel de satisfaccin de las partes interesadas respecto a los servicios prestados es buena
2 La no conformidad respecto a los proveedores es baja debido a que no existen problemas co
3 La respuesta de Ti respecto a ejecutivos de la empresa es alta debido q se solucionan los inc
4 Se trata de optimizar los costes y evaluaciones de madurez para reducir costes innecesarios
5 La mayora del personal conoce las polticas de seguridad y uso de equipos
6 No existe una capacitacin por parte de TI para el uso de equipos y actualizaciones
7 Se mantiene actualizaciones continuas para mejorar el servicio y la experiencia del usuario

APO11

Gestionar la Calidad

Descripcin de Proceso

Definir y comunicar los requisitos de calidad en todos los procesos, procedimientos y resultados r
constante y el uso de prcticas probadas y estndares de mejora continua y esfuerzos de eficienc

Declaracin del Propsito del Proceso

Asegurar la entrega consistente de soluciones y servicios que cumplan con los requisitos de la org

META TI

METRICAS RELACIONAD

Realizacin de beneficios del

portafolio de inversiones y
servicios relacionados con las TI

Porcentaje de servicios TI en los que se realizan los beneficio

Entrega de servicios de TI de
acuerdo a los requisitos del
negocio.

Porcentaje de partes interesadas satisfechas con el cumplim

respecto a los niveles de servicio acordado.

13

Entrega de programas que

proporcionen beneficios a tiempo,
dentro del presupuesto y
Porcentaje de partes interesadas satisfechas con la calidad d
satisfaciendo los requisitos y
normas de calidad.

PROMEDIO

META DEL PROCESO

METRICA

Las partes interesadas estn

satisfechas con la calidad de
los servicios y las soluciones.

Los resultados de los proyectos

y de los servicios entregados Porcentaje
son predecibles.

Los requisitos de calidad estn

implementados en todos los
procesos.

JUSTIFICACION

Porcentaje de partes interesadas satisfechos co

de proyectos revisados que cumplen

Porcentaje de procesos con un requisito de calid

Existen 5 beneficios esperados en TI relacionados con un mantenimiento continuo, actualiza

externos, ahorrar tiempo. Y el nico que no se cumple es el de innovar el sistema, debido a
esta en funcionamiento.
2 Las partes interesadas corresponden a los 33 empleados de la empresa.
3 Los beneficios esperados son iguales a los proyectos revisados.
4 De 13 procesos revisados 11 cumplen con los requisitos de calidad

DSS05

Gestionar Servicios de
Seguridad

Descripcin de Proceso

Proteger la informacin e la empresa para mantener aceptable el nivel de riesgo de seguridad de

mantener los roles de seguridad y privilegios de acceso de la informacin y realizar la supervisin

Declaracin del Propsito del Proceso

Minimizar el impacto en el negocio de las vulnerabilidades e incidentes operativos de seguridad e

que satisfagan las necesidades de las partes interesadas.

META TI

METRICAS RELACIONAD

Cumplimiento y soporte de TI al
cumplimiento del negocio de las
leyes y regulaciones externas

Nmero de problemas de no conformidad con respecto a acu

proveedores de servicios TI.

Riesgos de negocio relacionadas

con las TI gestionados.

Nmero de incidentes significativos relacionados con las TI q

evaluacin de rieses.

10

Seguridad de la informacin,
infraestructura de procesamiento Frecuencia de la evaluacin de seguridad frente a los ltimo
y aplicaciones.

PROMEDIO

META DEL PROCESO

METRICA

La seguridad de las redes y las

comunicaciones cumple con
las necesidades del negocio.

La informacin procesada,
almacenada y transmitida en Porcentaje de
los dispositivos de usuario final usuario final.
est protegida.

Todos los usuarios estn

identificados de manera nica
y tienen derechos de acceso
Promedio de tiempo entre los cambios y actualizaciones de c
de acuerdo con sus roles en el
negocio.

Numero de vulnerabilidades descubiertas.

individuos que reciben formacin

Justificacin

Se ha supervisado el cumplimiento y soporte de TI al cumplimiento del negocio de las leyes

problemas de no conformidad con respecto a acuerdos contractuales con proveedores de se
cuales 1 tiene una no conformidad ya que no se cumpli con uno de los puntos establecidos
significa que hay que ir mejorando esas falencias para el bienestar de la organizacin.

Con relacin a los riesgos del negocio relacionados con las TI se identificaron, analizaron y e
son 10 riesgos significativos para la empresa de los cuales se detectaron que dos de estos r
resolviendo dichos indicadores nos da un promedio del 20% lo que significa que se ha evalu
tratamiento apropiado y as llvalos a un nivel aceptable para la organizacin.

Para finalizar con respecto a la seguridad de la informacin, infraestructura de procesamient

seguridad frente a los ltimos estndares y guas basndonos en e papel de trabajo que se r
tres controles al mes los cuales se detecto que los tres controles se cumplen con eficiencia y

DSS06

Gestionar los Controles de los

Procesos del Negocio

Descripcin de Proceso

Definir y mantener contorles apropiados de proceso de negocio para asegurar que la informacin
satisface todos los requerimientos relevantes para el control d la informacin. Identificar los requi
adecuado har asegurar que la informacin y su procedimiento satisfacen estos requerimientos.
informacin de acuerdo con la poltica de seguridad. Establecer y mantener los roles de seguridad
seguridad.

Declaracin del Propsito del Proceso

Mantener la integridad de la informacin y la seguridad de los activos de informacin manejados

META TI

Riesgo de negocio relacionado

con las TI gestionados

Entrega de servicios de TI de
acuerdo a los requisitos del
negocio.

METRICAS RELACIONAD

Nmero de incidentes significativos relacionados con las TI q

evaluacin de riesgos.

Porcentaje de usuarios satisfechos con la calidad de los serv

PROMEDIO

META DEL PROCESO

METRICA

La cobertura y efectividad de
los controles clave para
cumplir con los requerimientos
de negocio para el
procedimiento de la
informacin es completa.

Numero de incidentes y evidencias del informe

El inventario de roles, respons

Porcentaje de roles de proceso de negocio con d

Las transacciones de negocio

son retenidas completamente
Porcentaje de completitud de registro de transacciones rastr
y segn se requiera en
registros

1
2
3
4

Justificacin
De 45 procesos revisados 10 no fueron identificado en la evaluacin de riesgos.
Los usuarios se sienten satisfechos con la calidad de servicios en TI ya que de 55 procesos s
Las partes interesadas corresponden a los 33 empleados de la empresa.
Los beneficios esperados son iguales a los proyectos revisados.

MEA02

Descripcin de Proceso

Supervisar, Evaluar y Valorar el

Sistema de Control Interno

Supervisar y evaluar de forma continua el entorno de control, incluyendo tanto autoevaluaciones

identificacin de deficiencias e ineficiencias en el control y el inicio de acciones de mejora. Planifi
y las actividades de aseguramiento.

Declaracin del Propsito del Proceso

Ofrecer transparencia a las partes interesadas claves respecto de la adecuacin del sistema de co
los objetivos de la compaa y un entendimiento adecuado del riesgo residual.

META TI

METRICAS RELACIONAD

Cumplimiento y soporte de la TI al
Numero de problemas de no conformidad con respecto a acu
cumplimiento del negocio de las
proveedores de servicios de TI
leyes y regulaciones externas

Riesgos de negocio relacionados

con las TI gestionados

Porcentaje de evaluaciones de riesgo de la empresa que incl

TI

15

Cumplimiento de las polticas

internas por parte de las TI

Porcentaje de parte interesadas que comprenden las politica

PROMEDIO

META DEL PROCESO

METRICA

Los procesos recursos e

informacin cumplen con los
requisitos del sistema de
control interno de la empresa

Porcentaje de procesos con la seguridad de que

Todas las iniciativas de asegur

Porcentaje de iniciativas de aseguramiento que

estndares de planificacin

Se proporciona aseguramiento
independiente de que el
Porcentaje de procesos bajo revisin independiente.
sistema de control interno es
operativo y efectivo

El control interno esta

establecido y las deficiencias
son identificadas y
comunicadas.

Tiempo transcurrido entre la ocurrencia de la deficiencia de

Justificacin
1

La supervisin se realizo de manera continua el entorno de control de la compaa con el fin

falencias en cumplimiento y soporte de la TI al cumplimiento del negocio de las leyes y regu
no se ha cumplido con el plazo establecido de pago.

Con relacin a los riesgos del negocio relacionados con las TI se identificaron, analizaron y e
que se ha evaluado la mayor parte de los riesgos identificados, con el fin de darles un tratam
organizacin.

En el cumplimiento de las polticas internas por parte de las TI, la compaa dispone de docu
de control. La falencia es que algunos manuales de politicas no han sido socializados al pers

REA
DOMINIO

Gestin
Alinear, Planificar y Organizar

orporativa de TI implementar y mantener mecanismos y autoridades para la gestin de informacin

del gobierno en consonancia con las polticas y principios rectores.

ermita cumplir los requisitos de gobierno corporativo e incluya procesos de gestin, estructuras, role
y reproducibles y habilidades competitivas.

METRICAS RELACIONADAS

INDICADOR

de las partes interesadas con el alcance del portafolio de

os planeados

4/5

as de no conformidad con respecto a acuerdos contractuales con

icios de TI

1/5

n de ejecutivos ese la empresa con la capacidad de respuesta de

8/9

aciones de la madurez de la capacidad y de la optimizacin de

5/6

s interesadas que comprenden las polticas

4/5

aprendizaje practicadas por trabajador

3/8

de las partes interesadas con los niveles de experiencia de ideas

4/5

PROMEDIO

METRICAS RELACIONADAS

siciones a riesgos debidas a la inadecuacin del diseo del entorno de control

eados que asistieron a sesiones de formacin o de sensibilizacin

ecto a los servicios prestados es buena debido a la atencin personalizada a cada cliente
debido a que no existen problemas con los acuerdos ni con los servicios prestados con TI
a es alta debido q se solucionan los inconvenientes y se da soluciones oportunas a problemas
durez para reducir costes innecesarios en los procesos de TI
dad y uso de equipos
de equipos y actualizaciones
el servicio y la experiencia del usuario

REA
DOMINIO

Gestin
Alinear, Planificar y Organizar

rocesos, procedimientos y resultados relacionados de la organizacin, incluyendo controles, vigilancia

mejora continua y esfuerzos de eficiencia.

ue cumplan con los requisitos de la organizacin y que satisfagan las necesidades de las partes interesadas.

METRICAS RELACIONADAS

s TI en los que se realizan los beneficios esperados.

INDICADOR

4/5

nteresadas satisfechas con el cumplimiento del servicio de TI entregado

de servicio acordado.

24/33

nteresadas satisfechas con la calidad del programa/proyecto.

21/33

PROMEDIO

METRICAS RELACIONADAS

tes interesadas satisfechos con la calidad de TI

yectos revisados que cumplen con las metas y objetivos de calidad.

cesos con un requisito de calidad definido.

un mantenimiento continuo, actualizacin, innovacin de sistemas, satisfaccin de los clientes internos y

e es el de innovar el sistema, debido a que, la empresa tiene Comp. proyecto implantar un ERP, el cual an n

dos de la empresa.
evisados.
os de calidad

REA
DOMINIO

Gestin
Entregar, dar Servicio y Soporte

able el nivel de riesgo de seguridad de la informacin de acuerdo con la poltica de seguridad. Establecer y
la informacin y realizar la supervisin de la seguridad.

e incidentes operativos de seguridad en la informacin.

METRICAS RELACIONADAS

de no conformidad con respecto a acuerdos contractuales con

ios TI.

INDICADOR

1/3

2/10
significativos relacionados con las TI que no fueron identificados en la

3/3

acin de seguridad frente a los ltimos estndares y guas.

PROMEDIO

METRICAS RELACIONADAS

rabilidades descubiertas.

ividuos que reciben formacin de concienciacin relativa al uso de dispositivos de

ntre los cambios y actualizaciones de cuentas.

cumplimiento del negocio de las leyes y regulaciones externas, en los cuales se analiz el nmero de
s contractuales con proveedores de servicios TI. Se Encontr que existen 3 acuerdos contractuales de los
pli con uno de los puntos establecidos en dicho acuerdo es por esto que nos da un promedio del 33% lo que
a el bienestar de la organizacin.

n las TI se identificaron, analizaron y evaluaron los diferentes riesgos encontrados en la matriz de calor que
uales se detectaron que dos de estos riesgos tienen que ver directamente con los servicios de seguridad
el 20% lo que significa que se ha evaluado los riesgos identificados en este proceso, con el fin de darles un
ble para la organizacin.

acin, infraestructura de procesamiento y aplicaciones, en el cual se analiz la frecuencia de la evaluacin d

ndonos en e papel de trabajo que se realiz anteriormente se determin que la empresa tiene establecidos
s controles se cumplen con eficiencia y eficacia ya que nos dio un promedio del 100% en esta meta.

REA
DOMINIO

Gestin
Entregar, dar Servicio y Soporte

ocio para asegurar que la informacin de negocio y procesada dentro de la organizacin o de forma externa
ol d la informacin. Identificar los requisitos de control de la informacin y gestionar y operar los controles
ento satisfacen estos requerimientos.
ecer y mantener los roles de seguridad y privilegios de acceso de la informacin y realizar la supervisin de

los activos de informacin manejados en los procesos de negocio dentro de la empresa o externalizados.

METRICAS RELACIONADAS

significativos relacionados con las TI que no fueron identificados en la

s satisfechos con la calidad de los servicios de TI entregados.

PROMEDIO

METRICAS RELACIONADAS

INDICADOR

20/45

20/55

entes y evidencias del informe de auditoria indicando fallos de los controles clave.

es de proceso de negocio con derechos de acceso y niveles de autorizacin asignados

itud de registro de transacciones rastreables

n la evaluacin de riesgos.
servicios en TI ya que de 55 procesos se realizaron 20 con los mejores estndares de calidad.
dos de la empresa.
evisados.

REA
DOMINIO

Direccin
Supervisar, evaluar y valorar

ol, incluyendo tanto autoevaluaciones como revisiones externas independientes. Facilitar a la Direccin la
el inicio de acciones de mejora. Planificar, organizar y mantener normas para la evaluacin del control intern

cto de la adecuacin del sistema de control interno para generar confianza en las operaciones, en el logro de
del riesgo residual.

METRICAS RELACIONADAS

de no conformidad con respecto a acuerdos contractuales con

ios de TI

iones de riesgo de la empresa que incluyen los riesgos relacionados con

teresadas que comprenden las politicas

INDICADOR

3/5

5/6

7/10

PROMEDIO

METRICAS RELACIONADAS

cesos con la seguridad de que son conformes con las metas de control interno

ciativas de aseguramiento que siguen as programas de aseguramiento aprobados y

anificacin

s bajo revisin independiente.

ntre la ocurrencia de la deficiencia de control interno y su comunicacin

no de control de la compaa con el fin de identificar las deficiencias en el control. Se identificaron ciertas
miento del negocio de las leyes y regulaciones externas debido a que en el contrato con algunos proveedore

n las TI se identificaron, analizaron y evaluaron los diferentes riesgos encontrados en un 83% lo que significa
ntificados, con el fin de darles un tratamiento apropiado y as llvalos a un nivel aceptable para la

de las TI, la compaa dispone de documentos formales de polticas, esto implica tener adecuadas directrice
oliticas no han sido socializados al personal.

gestin de informacin y

gestin, estructuras, roles

PORCENTAJE

80%

20%

89%

83%

80%

38%

80%
67%

no de control

cliente
s con TI
problemas

ontroles, vigilancia

de las partes interesadas.

ad.

PORCENTAJE

80%

73%

64%

72%

e los clientes internos y

ntar un ERP, el cual an no

seguridad. Establecer y

PORCENTAJE

33%

20%

100%

51%

de dispositivos de

aliz el nmero de
os contractuales de los
n promedio del 33% lo que

en la matriz de calor que

servicios de seguridad
o, con el fin de darles un

cuencia de la evaluacin de
mpresa tiene establecidos
0% en esta meta.

zacin o de forma externa

r y operar los controles

realizar la supervisin de la

presa o externalizados.

PORCENTAJE

44%

36%

40%

s controles clave.

utorizacin asignados.

de calidad.

acilitar a la Direccin la
aluacin del control interno

operaciones, en el logro de

PORCENTAJE

60%

83%

70%

71%

control interno

miento aprobados y

Se identificaron ciertas
to con algunos proveedores

en un 83% lo que significa

eptable para la

ener adecuadas directrices

MATR
MATRIZ RACI

AP001

Prctica Clave del Gobierno

AP001.01

Definir la estructura organizativa

AP001.02

Establecer roles y responsabilidades

AP001.03

Mantener los elementos catalizadores del sistema de gestin

AP001.04

Comunicar los objetivos y la direccin de gestin

AP001.05

Optimizar la ubicacin de la funcin de TI

AP001.06

Definir la propiedad de informacin y del sistema

AP001.07

Gestionar la mejora continua de los procesos

AP001.08

Mantener el cumplimiento con las polticas y procedimientos

MATRIZ RACI

Director de Informtica

ilidades

Auditoria

Jefe de Recursos Humanos

ativa

Director de Operaciones

e del Gobierno

Director General

Gestionar el Marco de Gestin de TI

alizadores del sistema de gestin

direccin de gestin

funcin de TI

macin y del sistema

a de los procesos

on las polticas y procedimientos

Supervisor de Operaciones de TI

Gestor de seguridad de informacin

Gestor de privacidad de informacin

R
I
I

C
I
I

R
C
I
I

R
C
C

Gestor de servicios

Jefe de operaciones de TI

MATRIZ DE MADUREZ
Atributo de
Rendimiento
del Proceso
Proceso
Incompleto

Proceso
Ejecutado

Gestin de
Rendimiento

Gestin de
Definicin de Despliegue de
Resultado de
Procesos
Procesos
trabajos

Proceso Gestionado

Proceso Establecido

Gestin de
Procesos

Control de
Procesos

Proceso Predecible
AP001
GESTIONAR
EL MARCO DE
GESTION DE
TI

APO011
GESTIONAR
LA CALIDAD
DSS05
GESTIONAR
SERVICIOS DE
SEGURIDAD

DSS06
Gestionar los
Controles de
los Procesos del
Negocio
MEA 02
Supervisar,
Evaluar y Valorar
el Sistema de CI

Innovacin de
Procesos
Proceso Optimizado

Optimizacin
de Procesos

Proceso Optimizado