P01 Definir un Plan Estratgico de TI

La planeacin estratgica de TI es necesaria para gestionar y dirigir todos los recursos

de TI en lnea con la estrategia y prioridades del negocio. La funcin de TI y los
interesados del negocio son responsables de asegurar que el valor ptimo se consigue
desde los proyectos y el portafolio de servicios. El plan estratgico mejora la
comprensin de los interesados clave de las oportunidades y limitaciones de TI, evala
el desempeo actual, identifica la capacidad y los requerimientos de recursos humanos,
y clarifica el nivel de investigacin requerido. La estrategia de negocio y prioridades se
reflejarn en portafolios y se ejecutarn por los planes estratgicos de TI, que
especifican objetivos concisos, planes de accin y tareas que estn comprendidas y
aceptadas tanto por el negocio como por TI.

PO1.4 Plan Estratgico de TI

Crear un plan estratgico que defina, en cooperacin con los interesados relevantes,
cmo TI contribuir a los objetivos estratgicos de la empresa (metas) as como los
costos y riesgos relacionados. Incluye cmo TI dar soporte a los programas de
inversin facilitados por TI y a la entrega de los servicios operativos. Define cmo se
cumplirn y medirn los objetivos y recibirn una autorizacin formal de los interesados.
El plan estratgico de TI debe incluir el presupuesto de la inversin / operativo, las
fuentes de financiamiento, la estrategia de obtencin, la estrategia de adquisicin, y los
requerimientos legales y regulatorios. El plan estratgico debe ser lo suficientemente
detallado para permitir la definicin de planes tcticos de TI.

AI3 Adquirir y Mantener Infraestructura Tecnolgica

Las organizaciones deben contar con procesos para adquirir, Implementar y actualizar
la infraestructura tecnolgica. Esto requiere de un enfoque planeado para adquirir,
mantener y proteger la infraestructura de acuerdo con las estrategias tecnolgicas
convenidas y la disposicin del ambiente de desarrollo y pruebas. Esto garantiza que
exista un soporte tecnolgico continuo para las aplicaciones del negocio.

AI3.2 Proteccin y Disponibilidad del Recurso de Infraestructura

Implementar medidas de control interno, seguridad y auditabilidad durante la

configuracin, integracin y mantenimiento del hardware y del software de la
infraestructura para proteger los recursos y garantizar su disponibilidad e integridad. Se
deben definir y comprender claramente las responsabilidades al utilizar componentes
de infraestructura sensitivos por todos aquellos que desarrollan e integran los
componentes de infraestructura. Se debe monitorear y evaluar su uso.

AI3.3 Mantenimiento de la Infraestructura

Desarrollar una estrategia y un plan de mantenimiento de la infraestructura y garantizar

que se controlan los cambios, de acuerdo con el procedimiento de administracin de
cambios de la organizacin. Incluir una revisin peridica contra las necesidades del
negocio, administracin de parches y estrategias de actualizacin, riesgos, evaluacin
de vulnerabilidades y requerimientos de seguridad.
AI6 Administrar Cambios

Todos los cambios, incluyendo el mantenimiento de emergencia y parches, relacionados

con la infraestructura y las aplicaciones dentro del ambiente de produccin, deben
administrarse formalmente y controladamente. Los cambios (incluyendo
procedimientos, procesos, sistema y parmetros del servicio) se deben registrar, evaluar
y autorizar previo a la implantacin y revisar contra los resultados planeados despus
de la implantacin. Esto garantiza la reduccin de riesgos que impactan negativamente
la estabilidad o integridad del ambiente de produccin.

AI6.1 Estndares y Procedimientos para Cambios

Establecer procedimientos de administracin de cambio formales para manejar de

manera estndar todas las solicitudes (incluyendo mantenimiento y parches) para
cambios a aplicaciones, procedimientos, procesos, parmetros de sistema y servicio, y
las plataformas fundamentales.

DS1 Definir y Administrar los Niveles de Servicio

Contar con una definicin documentada y un acuerdo de servicios de TI y de niveles de

servicio, hace posible una comunicacin efectiva entre la gerencia de TI y los clientes
de negocio respecto de los servicios requeridos. Este proceso tambin incluye el
monitoreo y la notificacin oportuna a los Interesados (Stakeholders) sobre el
cumplimiento de los niveles de servicio. Este proceso permite la alineacin entre los
servicios de TI y los requerimientos de negocio relacionados.

DS12 Administracin del Ambiente Fsico

La proteccin del equipo de cmputo y del personal, requiere de instalaciones bien

diseadas y bien administradas. El proceso de administrar el ambiente fsico incluye la
definicin de los requerimientos fsicos del centro de datos (site), la seleccin de
instalaciones apropiadas y el diseo de procesos efectivos para monitorear factores
ambientales y administrar el acceso fsico. La administracin efectiva del ambiente fsico
reduce las interrupciones del negocio ocasionadas por daos al equipo de cmputo y al
personal.

DS12.2 Medidas de Seguridad Fsica

Definir e implementar medidas de seguridad fsicas alineadas con los requerimientos

del negocio. Las medidas deben incluir, pero no limitarse al esquema del permetro de
seguridad, de las zonas de seguridad, la ubicacin de equipo crtico y de las reas de
envo y recepcin. En particular, mantenga un perfil bajo respecto a la presencia de
operaciones crticas de TI. Deben establecerse las responsabilidades sobre el
monitoreo y los procedimientos de reporte y de resolucin de incidentes de seguridad
fsica.