COBIT 3ra Edición - Directrices Gerenciales

DIRECTRICES GERENCIALES
COBIT
Directrices Gerenciales
Julio de 2000
3ra Edicin
Publicado por El Comit de Direccin de COBIT y el IT Governance InstituteTM
La Misin de COBIT:
Investigar, desarrollar, publicar y promover un conjunto de objetivos
de control en tecnologa de informacin con autoridad, actualizados,
de carcter internacional y aceptados generalmente para el uso cotidiano
de gerentes de empresas y auditores.
IT GOVERNANCE INSTITUTE 1
ARGENTINA LIECHTENSTEIN
ARUBA LITUANIA
AUSTRALIA
AUSTRIA
INFORMATION SYSTEMS AUDIT AND LUXEMBURGO
MALASIA
BAHAMAS
BAHRAIN
CONTROL ASSOCIATION MALTA
MALAWI
BANGLEDESH MXICO
BARBADOS Una sola Fuente Internacional para los Controles PASES BAJOS
BLGICA NUEVA GUINEA
BERMUDA de la Tecnologa de Informacin NUEVA ZELANDA
BOLIVIA NIGERIA
BOSTSWANA Information Systems Audit and Control su programa de educacin profesional NORUEGA
BRASIL Association es una organizacin global OMN
ofrece conferencias tcnicas y
BRUENI PAKISTN
lder de profesionales que representa a administrativas en cinco continentes,
CANAD PANAM
CHILE individuos en ms de 100 pases y as como seminarios en todo el mundo PER
CHINA comprende todos los niveles de la para ayudar a los profesionistas de FILIPINAS
COLOMBIA tecnologa de informacin Direccin todas partes a recibir educacin POLONIA
COSTA RICA PORTUGAL
ejecutiva, gerencia media y practicantes. contina de alta calidad.
CROATA QATAR
CURAZAO La Asociacin est nicamente posesionada su rea de publicidad tcnica
RUSIA
CYPRUS para cubrir el papel de generador central proporciona materiales de desarrollo SAIPAN
REPBLICA CHECA que armoniza los estndares de las profesional y referencias con el fin de ARABIA SAUDITA
DINAMARCA prcticas de control de TI a nivel mundial. aumentar su distinguida seleccin de ESCOCIA
REPBLICA SEYCHELLES
DOMINICANA Sus alianzas estratgicas con otros grupos programas y servicios.
SINGAPUR
ECUADOR dentro del mbito profesional financiero, REP. ESLOVACA
EGIPTO contable, de auditora y de TI aseguran a La Information Systems Audit and Control ESLOVENIA
ESTONIA los dueos del proceso del negocio un nivel Association se cre en 1969 para cubrir las SUDFRICA
ISLAS FAEROE ESPAA
sin paralelo de integracin y compromiso. necesidades nicas, diversas y de alta
FINLANDIA SRI LANKA
tecnologa en el naciente campo de la TI.
FRANCIA
ALEMANIA
Programas y Servicios de En una industria donde el progreso se mide
ST. KITTS
ST. LUCIA
GHANA la Asociacin en nanosegundos, ISACA se ha movido gil SUECIA
GRECIA Los Programas y Servicios de la Asociacin y velozmente para satisfacer las necesidades SUIZA
GUAM SIRIA
han ganado prestigio al establecer los de la comunidad de negocios
GUATEMALA TAIWAN
niveles ms altos de excelencia en internacionales y de la profesin de
HONDURAS TANZANIA
HONG KONG certificacin, estndares, educacin controles de la TI. TASMANIA
HUNGRA profesional y publicidad tcnica. TAILANDIA
ISLANDIA su programa de certificacin (el Para ms Informacin TRINIDAD & TOBAGO
INDIA Para recibir informacin adicional, puede TURQUA
Auditor de Sistemas de Informacin
INDONESIA UGANDA
Certificado) es la nica designacin llamar al (+1.847.253.1545), enviar un
IRLANDA EMIRATOS ARAB UNIDOS
ISRAEL global en toda la comunidad de e-mail a (research@isaca.org) o visitar los
REINO UNIDO
ITALIA control y auditora de la TI. siguentes sitios web: ESTADOS UNIDOS
IVORY COAST URUGUAY
JAMAICA sus actividades estndar establecen la
VENEZUELA
base de calidad mediante la cual otras www.itgovernance.org
JAPN VIETNAM
JORDN actividades de control y auditora de TI www.isaca.org GALES
KENYA se miden. YEMEN
COREA ZAMBIA
KUWAIT ZIMBABWE
LATVIA
LEBANON
Lmite de Responsabilidad
Reconocimientos.........................................................4 La Information Systems Audit and Control AssociationISACA- y el IT
Governance Institute ITGI- (los propietarios) han creado esta
Resumen Ejecutivo ..................................................5-9 publicacin titulada COBIT: Objetivos de Control para la Informacin y
las Tecnologas Relacionadas (el trabajo) principalmente como un
recurso educativo para los profesionales dedicados a las actividades de
Marco Referencial control. Los Propietarios declaran que no responden o garantizan que el
Modelo de Madurez .......................................10-15 uso que se le de al Trabajo asegurar un resultado exitoso. No deber
Factores Crticos de Exito ..............................15-18 considerarse que el Trabajo incluye toda la informacin, los
procedimientos o las pruebas apropiadas o excluye otra informacin,
EntreIndicadores Clave de procedimientos y pruebas que estn razonablemente dirigidas a la
Objectivos/Logros/Resultados......................18-22 obtencin de los mismos resultados. Para determinar la conveniencia de
Indicadores Clave de Desempeo ..................22-23 cualquier informacin, procedimiento o prueba especfica, los expertos en
Conclusin...........................................................24 control debern aplicar su propio juicio profesional a las circunstancias
especficas presentadas por los sistemas o por el ambiente de tecnologa de
informacin en particular.
Directrices Gerenciales
Planeacin y Organizacin.............................27-61 Esta edicin de COBIT fue traducida al idioma espaol por Gustavo
Adolfo Sols Montes, Lucio Augusto Molina Focazzio, Johann Tello
Adquisicin e Implementacion.......................63-85 Meryk y Roco Torres Surez, (los traductores). Los traductores asumen
Entrega y Soporte .........................................87-137 la responsabilidad exclusiva por la actualizacin y por la fidelidad de la
Monitorea ...................................................139-154 traduccin. La Information Systems Audit and Control Association
(ISACA) y el IT Governance Institute (ITGI) declaran que no responden
por la actualizacin, totalidad, o por la calidad de la traduccin. En ningn
Apndice I evento ISACA/ITGI ser responsable ante un individuo u organizacin
por los daos causados en relacin con la edicin del lenguaje, cualquier
Cmo Usar ................................................155-157 actualizacin, modificacin, localizacin o traduccin.
Acuerdo de licencia de uso

Apndice II Copyright 1996, 1998, 2000 por la Fundacin de Auditora y Control de
Sistemas de Informacin (ISACF). La reproduccin para fines
El Marco Referencial de COBIT .................159-170 comerciales no est permitida sin la previa autorizacin escrita de ISACF.
Se otorga por el presente permiso para usar y copiar el Resumen Ejecutivo,
Marco Referencial, Objetivos de Control, Directrices Gerenciales y
Apndice III Conjunto de Herramientas de Implementacin para uso no comercial,
interno, que incluye almacenamiento en un sistema de recuperacin y
transmisin por cualquier medio, incluyendo electrnico, mecnico,
COBIT y el Balanced Business grabacin, u otro. Todas las copias del Resumen Ejecutivo, Marco
Scorecard....................................................159-170 Referencial, Objetivos de Control, Directrices Gerenciales y Conjunto de
Herramientas de Implementacin debern incluir el siguiente aviso y
reconocimiento de copyright: Copyright 1996, 1998, 2000 Fundacin de
Apndice IV Auditora y Control de Sistemas de Informacin. Reimpreso con el
permiso de la Fundacin de Auditora y Control de Sistemas de
Directriz Gerencial Genrica de Proceso . 176-179 Informacin y el IT Governance Institute.
Las Directrices de Auditora no pueden ser usados, copiados,

Apndice V reproducidos, modificados, distribuidos, exhibidos, almacenados en un
sistema de recuperacin, o transmitidos en forma alguna por ningn medio
(electrnico, mecnico, de fotocopia, grabacin u otro), excepto con la
Directrices Gerenciales del previa autorizacin por escrito de ISACF; a menos, sin embargo, que las
Gobierno de TI ........................................182-185 Directrices de Auditora sean usados para fines internos no comerciales
solamente. Excepto como se expresa en el presente, no se otorga ningn
otro derecho o permiso con relacin a este trabajo. Todos los derechos en
este trabajo estn reservados.
Information Systems audit and Control Foundation

IT Governance Institute
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 USA
Telfono: +1.847.253.1545
Fax: +1.847.253.1443
e-mail: research@isaca.org
Sitios web: www.itgi.org
www.isaca.org
ISBN 1-933284-01-3 (Directrices Gerenciales, Espaol)

ISBN 1-933284-02-1 (Paquete completo de los 6 libros y CD)
Impreso en los Estados Unidos de Amrica
RECONOCIMIENTOS
COMIT DE DIRECCIN DE COBIT INVESTIGACIN Y DESARROLLO
Eric Guldentops, S.W.I.F.T. sc, Blgica RESPALDADO Y PATROCINADO POR
John Lainhart, PricewaterhouseCoopers, USA
Eddy Schuermans, PricewaterhouseCoopers, Blgica
John Beveridge, Auditora del Estado, Massachusetts, USA
Michael Donahue, PricewaterhouseCoopers, USA
Gary Hardy, Arthur Andersen, Reino Unido
Ronald Saull, Great-West and Investors Group, Canada
Mark Stanley, Sun America Inc., USA
PANEL DE EXPERTOS
William Malik, Gartner Group, USA
Jayant Ahuja, PricewaterhouseCoopers, USA
Floris Ampe, PricewaterhouseCoopers, Blgica
Mauro Eidi Villola Assano, BBA Creditanstalt, Brasil
Gary Austin, Contadura General de EEUU, USA
Efrim J. Boritz, Ph.D,, Universidad de Waterloo, Canad
Paul Bull, KPMG, USA
Peter De koninck, S.W.I.F.T. sc, USA
Ken Devansky, PricewaterhouseCoopers, USA
John Dubiel, Gartner Group, USA
Chris Frost, PricewaterhouseCoopers, Reino Unido
Nils Kandelin, Universidad George Mason, USA
Werner Lippuner, Ernst & Young, USA
Stuart Macgregor, South African Breweries, Sudfrica
Mario Micallef, National Australia Bank, Australia
Pratparai Oak, Fidelity Investments, USA AGRADECIMIENTO ESPECIAL al Captulo del
Daniel F. Ramos, SAFE Consulting Group, Argentina rea de la Capital Nacional por sus contribuciones a
Deborah Reddish, PricewaterhouseCoopers, USA los Lineamientos de Administracin de COBIT.
Robert J. Reimer, PricewaterhouseCoopers, Canad
Gregory Robertson, Northrop Grumman, USA AGRADECIMIENTO ESPECIAL a los miembros
Susana Sharp, Cmara De Representantes, USA. de la Junta de la Asociacin de Control y Auditora
Craig Silverthorne, Cmara de Representantes, USA de Sistemas de Informacin y a los administradores
Gustavo a. Sols, Grupo Cynthus, Mxico de la Fundacin de Auditora y Control de Sistemas
William Spernow, Gartner Group, USA de Informacin, encabezada por el Presidente
Mike Taylor, Ciudad de Dallas, USA Internacional Paul Williams, por su constante y
Elia Fernndez Torres, Grupo Cynthus, Mxico firme apoyo de COBIT.
Wim Van Grembergen Ph.D., UFSIA, Blgica
Winifred Whelan, PricewaterhouseCoopers, USA
Marc Wise, PricewaterhouseCoopers, USA
Roberta J. Witty, Gartner Group, USA
4 IT GOVERNANCE INSTITUTE
RESUMEN EJECUTIVO
Cmo hacemos para colocar la Tecnologa de Informacin bajo control de modo que brinde la
informacin que necesita la organizacin? Cmo manejamos los riesgos y aseguramos la
infraestructura de la que somos tan dependientes? Como con muchos problemas que enfrenta la
administracin, estas amplias preguntas estratgicas generan las siguientes preguntas tradicionales a las
que responderemos:
Cul es el aspecto / problema?
Cul es la solucin?
De qu est constituido?
Funcionar?
Cmo lo hago?
Una forma de resolver estos problemas ha sido suministrada por el Marco Referencial de COBIT.
COBIT significa Objetivos de Control para Informacin y Tecnologa Relacionada, y es estndar abierto
para el control de la tecnologa de Informacin, desarrollada y promovida por el Instituto de Gobierno
de TI. Este marco identifica 34 procesos de tecnologa de la Informacin (TI, siglas de los trminos en
ingls), un enfoque de alto nivel para controlar esos 34 procesos as como 318 objetivos de control
detallados y directrices de auditoria para evaluar los 34 proceso de TI. Provee un estndar generalmente
aplicable y aceptada para buenas prcticas de seguridad y control de TI para soportar las necesidades de
la administracin para determinar y monitorear el nivel apropiado de seguridad y control de TI para sus
organizaciones.
Adicionalmente, el IT Governance Institute ha construido esta obra con investigacin de vanguardia, en

cooperacin con expertos, analistas y acadmicos de la industria a nivel mundial. Lo anterior ha trado
como resultado la definicin de las Directrices Gerenciales para COBIT, que estn constituidos por
Modelos de Madurez, Factores Crticos del xito (CSFs, siglas de los trminos en ingls), Indicadores
Claves de Objetivo (KGIs, siglas de los trminos en ingls) e Indicadores Claves de Desempeo (KPIs,
siglas de los trminos en ingls). Este entrega un marco significativamente mejorado que responde a la
necesidad de control y mensurabilidad de TI de la administracin suministrndole a la administracin
herramientas para determinar y medir el entorno de TI de su organizacin contra los 34 procesos de TI
que COBIT identifica.
Hay numerosos cambios en TI y en la construccin de redes que hacen nfasis en la necesidad de

manejar mejor los riesgos relacionados con TI. La dependencia de la informacin electrnica y de los
sistemas de TI es esencial para respaldar procesos crticos de negocio. Los negocios exitosos necesitan
manejar mejor la compleja tecnologa que predomina en toda sus organizaciones para responder rpida
y seguramente a las necesidades del negocio. Adems, el entorno regulatorio est exigiendo un control
ms estricto sobre la informacin. Esto a su vez es direccionado por el incremento de la revelacin de
desastres de los sistemas de informacin y el incremento de fraude electrnico. El manejo de los
riesgos relacionados con TI est siendo entendido ahora como una parte clave del gobierno de la
empresa.
Dentro del gobierno de la empresa, el gobierno de TI se est volviendo cada vez ms prominente para el
logro de los objetivos de la organizacin agregando valor mientras balancea el riesgo frente rendimiento
sobre la TI y sus procesos. El gobierno de TI es integral para el xito del gobierno de la empresa
asegurando mejoramientos eficientes y efectivos mesurables en los procesos relacionados de la
empresa.
El gobierno de TI suministra la estructura que vincula los procesos de TI, los recursos de TI y la
informacin para las estrategias y los objetivos de la empresa. Adicionalmente, el gobierno de TI
integra e institucionaliza buenas (o las mejores) prcticas para planificar y organizar, adquirir e
implementar, entregar y respaldar, y monitorear el desempeo de TI para asegurar que la informacin y
la tecnologa relacionada de la empresa respalden sus objetivos de negocios. El gobierno de TI permite
as que la empresa saque todo el provecho de su informacin, maximizando de este modo los beneficios,
capitalizando las oportunidades y ganando ventaja competitiva.
Con la creciente interconexin y dependencia de TI en nuestra economa global cada vez ms

electrnica, la administracin del riesgo general y la garanta dependen de prcticas especficas de
administracin. En nuestro entorno complejo, la administracin est buscando constantemente
informacin condensada y oportuna para tomar decisiones difciles sobre riesgo y control de manera
rpida y exitosa. Aqu hay algunas preguntas tradicionales y el conjunto de herramientas de manejo de
la informacin que se usa para encontrar la respuesta:
Preguntas de la Administracin
Cmo hacen los administradores responsables para DASHBOARDS
mantener la nave en su curso? (Tableros de Instrumentos)
Cmo se logran resultados que sean satisfactorios para el SCORECARDS
mayor segmento posible de nuestros inversionistas? (Tarjetas de Puntuacin)
Cmo adaptar oportunamente la organizacin a las BENCHMARKING
tendencias y desarrollos en el entorno de la empresa? (Referencias)
Pero los tableros de instrumentos necesitan indicadores, las tarjetas de puntuacin necesitan medidas y el
benchmarking necesita una escala de comparacin. Suministrar estos para el manejo de la informacin
ha sido un objetivo primario en el desarrollo de las Directrices Gerenciales de COBIT.
Una necesidad bsica para toda organizacin es entender la situacin de sus propios sistemas de TI y
decidir qu seguridad y control se les debe suministrar. Ningn aspecto de este problemaentender el
nivel de control requerido y decidir sobre el mismoes directo. Obtener una visin objetiva del propio
nivel de una organizacin no es fcil. Qu se debe medir y cmo? Adems de la necesidad de medir
dnde se encuentra una organizacin, est la importancia del constante mejoramiento en las reas de
seguridad y control de TI, y la necesidad de un conjunto de herramientas de administracin para
monitorear esta mejora. Decidir cul es el nivel correcto es igualmente difcil. A los gerentes generales
de las organizaciones corporativas y pblicas se les pide con frecuencia que consideren un caso de
negocio para que el gasto mejore el control y la seguridad de la infraestructura de informacin. Aunque
pocos argumentaran que esto no es bueno, todos deben ocasionalmente preguntarse:
Hasta dnde debemos ir, y el beneficio justifica el costo?
La respuesta la brindan las Directrices Gerenciales de COBIT, que son genricas y que estn orientadas a
la accin con el fin de resolver los tipos siguientes de preocupaciones de la administracin:
Medicin del desempeo - Cules son los indicadores de un buen desempeo?

Determinacin del perfil de control de TIQu es importante? Cules son los Factores
Crticos de xito para el control?
Conocimiento/concientizacinCules son los riesgos de no alcanzar nuestros objetivos?

BenchmarkingQu hacen los dems? Cmo medimos y comparamos?
Una respuesta a estos requerimientos de determinacin y monitoreo del nivel apropiado de seguridad y
control de TI es la definicin especfica de:
Benchmarking de prcticas de control de TI (expresadas como Modelos de Madurez)

Indicadores de Desempeo de los procesos de TIpara su resultado y su desempeo
Factores Crticos de xito para poner estos procesos bajo control
Las Directrices Gerenciales son consistentes con y se basan en el Marco Referencial de COBIT, los
Objetivos de Control y las Directrices de Auditora de COBIT existentes. Adems, para ayudar a enfocar
la administracin del desempeo. Se usaron los principios del Balanced Bussines Scorecard1. stos
sirvieron para definir los Indicadores Clave de Objetivos para identificar y mediar los resultados de los
procesos y los Indicadores Clave de Desempeo para determinar cmo se estaban desempeando los
procesos midiendo los habilitadores del proceso. En nuestro entorno dominado por los servicios de
informacin, TI se ha convertido en el principal posibilitador del negocio. De ah que la relacin entre
los objetivos del negocio y sus medidas de TI con sus objetivos y medidas, es muy importante y puede
ser descrita como sigue:
Balanced Scorecard Tecnologa de la

del Negocio Informacin
(TI)
Objetivos Posibilitadores
Medida Medida
(resultado) (desempeo)
En trminos sencillos, estas medidas asistirn a la administracin para monitorear su organizacin
de TI respondiendo a las preguntas siguientes:
1. Cul es la preocupacin de la administracin?

Asegurarse de que las necesidades de la empresa estn satisfechas.
2. Dnde se mide eso?

En el Scorecard de Negocio Balanceado como un Indicador Clave de Objetivo, que
representa un resultado del proceso del negocio.
3. Cul es la preocupacin de TI?

Que los procesos de TI brinden oportunamente la informacin correcta a la empresa,
permitiendo que las necesidades del negocio sean satisfechas. Este es un Factor Crtico de
xito para la empresa.
4. Dnde se mide eso?

En el Balanced Scorecard de TI considerado como un indicador clave de objetivo que
representa el resultado para TI el cual est compuesto por la informacin que es suministrada
con los criterios correctos (eficacia, eficiencia, confidencialidad, integridad, disponibilidad,
cumplimiento y confiabilidad).
5. Qu mas necesita ser medido?
Si el resultado est influenciado positivamente por un nmero de Factores Crticos de xito
que necesitan ser medidos como Indicadores Clave de Desempeo de cmo se est
desempeando la TI.
LOS MODELOS DE MADUREZ para el control de los procesos de TI consisten en desarrollar un

mtodo de puntaje de modo que una organizacin pueda calificarse a s misma desde inexistente hasta
optimizada (de 0 a 5). Este mtodo ha sido derivado del Modelo de Madurez que el Software
Engineering Institute defini para la madurez de la capacidad de desarrollo de software2. Contra estos
niveles, desarrollados para cada uno de los 34 procesos de TI de COBIT, la administracin puede mapear
o cruzar:
El estado actual de la organizacindnde est la organizacin actualmente

El estado actual de la industria (la mejor de su clase en)la comparacin
El estado actual de los estndares internacionalescomparacin adicional
La estrategia de la organizacin para mejoramientodnde quiere estar la organizacin
Inexistente Inicial Repetible Definida Administrada Optimizada
0 1 2 3 4 5
LEYENDA PARA LOS SMBOLOS USADOS LEYENDA PARA LAS CLASIFICACIONES USADAS
Situacin actual de la empresa 0 Inexistente - los procesos de administracin no se aplican en absoluto

1 Inicial - Los procesos son ad hoc y desorganizados
Lineamientos Estndar Internacionales 2 Repetible - Los procesos siguen un patrn regular
3 Definida - Los procesos son documentados y comunicados
Mejor Prctica de la Industria 4 Administrada - Los procesos son monitoreados y medidos
5 Optimizada - Las mejores prcticas son seguidas y automatizadas
Estrategia de la Empresa
The Balanced Business ScorecardMediciones que impulsan el Desempeo, Robert S. Kaplan y David P.
Norton, Harvarc Business Review, Enero-Febrero de 1992.
Capability Maturity ModelSM para Software, Versin 1.1. Reporte Tcnico CMU/SEI-93-TR-024, Instituto de
Ingeniera de Software, Carnegie Mellon University, Pittsburg, PA, Febrero de 1993. a
LOS FACTORES CRTICOS DE XITO (CSF) definen los aspectos o acciones ms importantes
para que la administracin logre el control sobre y dentro de sus proceso de TI. Ellos deben ser
directrices de implementacin orientados hacia la administracin y deben identificar las cosas ms
importantes para hacer, estratgicamente, tcnicamente, organizacionalmente o procedimentalmente.
LOS INDICADORES CLAVES DE OBJETIVOS (KGI) definen las medidas que indican a la
administracindespus del hechosi un proceso de TI ha satisfecho sus requerimientos de negocio,
usualmente expresado en trminos de criterios de informacin:
Disponibilidad de la informacin necesaria para respaldar las necesidades del negocio

Ausencia de integridad y riesgos de confidencialidad
Eficiencia en costos de los procesos y de las operaciones
Confirmacin de la fiabilidad, efectividad y cumplimiento.
LOS INDICADORES CLAVE DEL DESEMPEO (KPI) definen medidas para determinar que
tambin se est desempeando el proceso de TI para permitir que se alcance el objetivo; son indicadores
gua de que un objetivo probablemente se alcanzar o no; y son buenos indicadores de capacidades,
prcticas y habilidades.
En estas Directrices Gerenciales, los Factores Crticos de xito, los Indicadores Clave de Objetivo y los
Indicadores Clave de Desempeo son breves y concentrados, complementando la orientacin de control
de alto nivel suministrada por el Marco referencial de COBIT (ver Apndice II) que expresa que TI
posibilita el negocio entregando la informacin que necesita el negocio.
En resumen, este desarrollo se ha concentrado en la definicin tanto de los lineamientos orientados hacia
la accin como en los lineamientos genricos para la administracin, requeridos para mantener el control
sobre la informacin de la empresa y sobre los procesos relacionados y la tecnologa:
MODELOS DE MADUREZ para eleccin estratgica y comparacin de referencia

CSFs para poner estos procesos bajo control
KGIs para monitorear el logro de los objetivos del proceso de TI
KPIs para monitorear el desempeo dentro de cada proceso de TI
En una era de creciente negocio electrnico y dependencia de la tecnologa, las organizaciones tendrn
que alcanzar de manera fehaciente crecientes niveles de seguridad y de control. Toda organizacin debe
entender su propio desempeo y debe medir su progreso. Utilizando Benchmarking y midiendo el
progreso en comparacin con sus semejantes y la estrategia de empresa es una forma de alcanzar un nivel
competitivo de seguridad y control de TI. Las Directrices Gerenciales de COBIT proporcionan a la
administracin una gua pragmtica por medio de estos modelos de madurez, factores prcticos y crticos
de xito y medidas sugeridas de desempeo, para responder a la pregunta constante:
Cul es el nivel correcto de control para mi TI para que

sta soporte los objetivos de mi empresa?
MARCO REFERENCIAL
1. MODELOS DE MADUREZ
A los gerentes generales de las organizaciones corporativas y pblicas se les pide frecuentemente que
consideren un caso de negocio para los gastos de recursos para controlar la infraestructura de
informacin. Mientras pocos argumentaran que esto no es bueno, todos se deben preguntar:
Hasta dnde debemos ir, y est el costo justificado por el beneficio?
Para ayudar a responder esa pregunta, a menudo se hacen otras preguntas relacionadas:
Qu estndares reconocidos internacionalmente existen, y cmo estamos nosotros situados

respecto a stos?
Qu estn haciendo los dems, y cmo estamos nosotros situados en relacin a ellos?
Qu est considerado como la mejor prctica de la industria, y cmo estamos nosotros

situados en relacin con esa mejor prctica?
Basados en estas comparaciones externas, podra decirse que nosotros estamos tomando
precauciones razonablespara salvaguardar nuestros activos de informacin?
Usualmente ha sido difcil dar respuestas sensatas a estas preguntas, porque no se ha contado con las
herramientas requeridas para hacer las evaluaciones necesarias.
La administracin de TI est constantemente en la bsqueda de herramientas de referencia y de auto

evaluacin en respuesta a la necesidad de saber qu hacer en una forma eficiente. Comenzando con los
procesos de COBIT y con objetivos de control de alto nivel, el propietario del proceso debe ser capaz de
llevar a cabo cada vez mayores Benchmark en comparacin con dicho objetivo de control. Esto satisface
tres necesidades:
(1) una medida relativa de dnde est la organizacin

(2) una forma de decidir eficientemente dnde ir
(3) una herramienta para medir el progreso con respecto al objetivo
El Marco Referencial de COBIT define 34 procesos de TI dentro de un entorno de TI (ver Apndice II).
Para cada proceso hay una expresin de control de alto nivel y entre 3 y 30 objetivos detallados de
control. El propietario del proceso debe ser capaz de determinar el nivel de cumplimiento de los
objetivos de control ya sea como una rpida auto evaluacin o como una referencia en conjunto con una
revisin independiente. Cualquiera de estas evaluaciones que la administracin pueda desear poner en
contexto comparando con la industria y con el entorno en que ellas se encuentran o en comparacin con
dnde estn evolucionando los estndares y las reglamentaciones internacionales (por ejemplo, las
futuras expectativas que surgen). Para que los resultados se puedan utilizar fcilmente en los reportes de
la administracin, donde ellos sern presentados como un medio para respaldar el caso de negocio para
planes futuros, es necesario suministrar un mtodo grfico de presentacin.
El enfoque de los Modelos de Madurez para el control sobre los procesos de TI consiste en desarrollar un
mtodo de asignacin de puntos para que una organizacin pueda calificarse desde Inexistente hasta
optimizada (de 0 a 5). Este planteamiento se basa en el Modelo de Madurez que el Software Engineering
Institute defini para la madurez de la capacidad de desarrollo de software. Cualquiera sea el modelo, las
escalas no deben estar demasiado simplificadas, lo que hara que el sistema fuera difcil de usar y
sugerira una precisin que no es justificable.
En contraste, uno debe concentrarse en los niveles de madurez basndose en un conjunto de condiciones
que pueden ser satisfechas de una forma que no sea ambigua. En comparacin con los niveles
desarrollados para cada uno de los 34 procesos de TI de COBIT, la administracin puede mapear:
La situacin actual de la organizacindnde est la organizacin actualmente

La situacin actual de la industria (la mejor de su clase en)la comparacin
La situacin actual de los estndares internacionalescomparacin adicional
La estrategia de la organizacin para mejoramientodnde quiere estar la organizacin
0 1 2 3 4 5

Para cada uno e los 34 procesos de TI, hay una escala gradual ascendente de medidas, basada en una
clasificacin de 0 hasta 5. La escala est asociada con las descripciones del modelo genrico
cualitativo de madurez que van desde Inexistente hasta Optimizada de la forma siguiente:
Modelo Genrico de Madurez
0 Inexistente. Total falta de un proceso reconocible. La organizacin ni siquiera ha reconocido que hay un
problema que resolver.
1 Inicial. Hay evidencia de que la organizacin ha reconocido que los problemas existen y que necesitan ser re
sueltos. Sin embargo, no hay procesos estandarizados pero en cambio hay mtodos ad hoc que tienden a ser
aplicados en forma individual o caso por caso. El mtodo general de la administracin es desorganizado.
2 Repetible. Los procesos se han desarrollado hasta el punto en que diferentes personas siguen procedimientos
similares emprendiendo la misma tarea. No hay capacitacin o comunicacin formal de procedimientos
estndar y la responsabilidad se deja a la persona. Hay un alto grado de confianza en los conocimientos de
las personas y por lo tanto es probable que haya errores.
3 Definida. Los procedimientos han sido estandarizados y documentados, y comunicados a travs de

capacitacin. Sin embargo se ha dejado en manos de la persona el seguimiento de estos procesos, y es
improbable que se detecten desviaciones. Los procedimientos mismos no son sofisticados sino que son la
formalizacin de las prcticas existentes.
4 Administrada. Es posible monitorear y medir el cumplimiento de los procedimientos y emprender accin

donde los procesos parecen no estar funcionando efectivamente. Los procesos estn bajo constante
mejoramiento y proveen buena prctica. Se usan la automatizacin y las herramientas en una forma limitada
o fragmentada.
5 Optimizada. Los procesos han sido refinados hasta un nivel de la mejor prctica, basados en los resultados
de mejoramiento continuo y diseo de la madurez con otras organizaciones. TI se usa en una forma
integrada para automatizar el flujo de trabajo, suministrando herramientas para mejorar la calidad y la
efectividad, haciendo que la empresa se adapte con rapidez.
COBIT es un marco de referencia general dirigido a la administracin de TI y como tal estas escalas
necesitan ser prcticas para aplicar y razonablemente fciles de entender. Sin embargo, los tpicos de
riesgo y de control apropiado en los procesos de administracin de TI son inherentemente subjetivos e
imprecisos y no necesitan el enfoque menos automatizado que se encuentra en los modelos de madurez
para la ingeniera de software.
La ventaja de un enfoque de Modelo de Madurez es que es relativamente fcil para la administracin

ponerse en la escala y apreciar lo que est involucrado si necesita mejorar el desempeo. La escala
incluye 0 a 5 porque es bastante probable que no exista ningn proceso en absoluto. La escala 0-5 se
basa en una escala simple de madurez que muestra cmo evoluciona un proceso desde Inexistente hasta
optimizado. Debido a que son procesos de administracin, la madurez y la capacidad aumentada es
tambin sinnimo de mayor manejo del riesgo y mayor eficiencia.
El Modelo de Madurez es una forma de medir qu tan bien desarrollados estn los procesos de administracin.
El grado de desarrollo que deben tener depende de las necesidades del negocio, como se menciona aqu
anteriormente. Las escalas son slo ejemplos prcticos para un proceso dado de administracin que muestra
esquemas tpicos para cada nivel de madurez. Los Criterios de Informacin contenidos en el Marco
Referencial de COBIT (ver Apndice II) ayudan a asegurarse de que estamos enfocados en los aspectos
correctos de la administracin cuando describimos la prctica real. Por ejemplo, la planificacin y
organizacin estn enfocadas en los objetivos de efectividad y eficiencia de administracin, mientras que
asegurar la seguridad de los sistemas se enfocar en el manejo de la confidencialidad y la integridad.
Las escalas del Modelo de Madurez ayudarn al profesional a explicar a los administradores dnde
existen deficiencias en la administracin de TI y a fijarse objetivos para donde necesitan estar
comparando las prcticas de control de su organizacin con los ejemplos de la mejor prctica. El nivel
correcto de madurez estar influenciado por los objetivos de negocio y el entorno operativo de la
empresa. Especficamente, el nivel de madurez de control depender de la dependencia de TI que tenga
la empresa, de la sofisticacin de la tecnologa y, lo que es ms importante, del valor de su informacin.
Un punto estratgico de referencia para que una organizacin mejore la seguridad y el control podra
consistir tambin en mirar las normas internacionales que surgen y las mejores prcticas de su clase. Las
prcticas actuales que surgen pueden llegar a ser el nivel esperado de desempeo de maana y es por lo
tanto til para planificar dnde quiere una organizacin estar en el tiempo.
Los Modelos de Madurez se construyen a partir del modelo genrico cualitativo (ver arriba) a los que se
agregan las prcticas y los principios de los dominios siguientes de forma creciente a travs de todos los
niveles:
Entendimiento y conocimiento de los riesgos y de los problemas de control

Capacitacin y comunicacin aplicadas a los problemas
Proceso y prcticas que son implementados
Tcnicas y automatizacin para hacer los procesos ms efectivos y eficientes
Grado de cumplimiento de la poltica interna, las leyes y las reglamentaciones
Tipo y grado de pericia empleada.
La tabla siguiente describe esta creciente aplicacin de prcticas a travs de todos los niveles para los
distintos tpicos. Junto con el modelo cualitativo, constituye un modelo genrico de madurez aplicable a
la mayora de los procesos de TI.
Entendimiento Capacitacin y Proceso y Prc- Tcnicas y Auto- Cumplimiento Pericia

y Conocimiento Comunicacin ticas matizacin
1 Reconocimiento Comunicacin Enfoque ad hoc
espordica sobre del proceso y de
los problemas la prctica
2 Conocimiento/ Comunicacin Surge un proceso Estn apareciendo Monitoreo
concientizacin sobre el similar/ comn Herramientas inconsistente de
problema general pero intuitivo comunes. Problemas
y las necesidades aislados
3 Entendimiento de La capacitacin Las prcticas son El conjunto de Monitoreo Participacin
la necesidad de informal soporta definidas, herramientas es inconsistente; De
actuar las iniciativas estandarizadas y estandarizado; surge la Especialistas
individuales documentadas; se usan y se hacen medicin; el de TI en los
se comienzan a valer las prcticas Balanced Store- procesos del
compartir las Disponibles card se adopta negocio.
mejores prcticas. actualmente. ocasionalmente;
el anlisis de las
causas originarias
es intuitivo.
4 Entender todos La capacitacin La propiedad y las Se usan tcnicas Los Balanced Participacin
los formal soporta Responsabilidades maduras; se scorecards se de todos los
requerimientos un programa del proceso estn imponen las usan en algunas expertos de
administrado fijadas; el proceso Herramientas reas; se sealan Dominio
es correcto y estndar; uso las excepciones; interno.
completo; se limitado tctico el anlisis de las
aplican las de la tecnologa. causas originarias
mejores prcticas. est estandarizado
5 Entendimiento La capacitacin Se aplican las Se despliegan El Balanced Uso de
avanzado, con Y las mejores prcticas Tcnicas scorecards seaplica Expertos
perspectiva Comunicaciones externas. sofisticadas; uso globalmente; las externos y
futura soportan las Extensivo Excelciones se de lderes de
mejores prcticas optimizado de la Sealan de manera la industria
externas y usan tecnologa consistente y se Para
conceptos de acta sobre las orientacin.
vanguardia mismas; el anlisis
de las causas
originarias se
aplica siempre
En resumen, Los Modelos de Madurez:
Se refieren a los requerimientos del negocio y a los aspectos posibilitadores en los diferentes
niveles de madurez
Son una escala que se presta para la comparacin pragmtica
Son una escala en la que la diferencia puede hacerse mensurable de manera sencilla
Son reconocibles como un perfil de la empresa relativo al gobierno de TI, la seguridad y el
control
Ayudan a fijar posiciones de Como est y Como debe estar en relacin con el gobierno de
TI, la madurez de la seguridad y el control
Se prestan para hacer anlisis de los vacos/gap para determinar lo que es necesario hacer para
alcanzar un nivel determinado
Evitan, donde es posible, niveles discretos que crean umbrales que son difciles de cruzar
Aplican cada vez ms factores crticos de xito
No son especficos de la industria ni son siempre aplicables, el tipo de negocio define lo que
es apropiado.
2. FACTORES CRTICOS DE XITO
Los Factores Crticos de xito proveen administracin con orientacin para implementar el control
sobre TI y sus procesos. Ellos son las cosas ms importantes que se deben hacer que contribuyen a
que el proceso de TI alcance sus metas. Son actividades que pueden ser un proceso estratgico,
tcnico, organizacional, de procesos o de una naturaleza procedimental. Usualmente tratan con
capacidades y destrezas y tienen que ser cortos, enfocados y orientados a la accin, apoyando los
recursos que sean de importancia primordial en el proceso en consideracin.
La orientacin se puede obtener a partir del Modelo de Control estndar que aparece a continuacin.
Sigue los principios que todos conocemos cuando se fija la temperatura de la habitacin (estndar)
para el sistema de calefaccin (proceso) que verificar (comparar) constantemente la temperatura
ambiente de la habitacin (informacin de control) y sealar (actuar) el sistema de calefaccin
para que provea ms calor. Este modelo y sus principios identifican un nmero de Factores Crticos
de xito que usualmente se aplican a todos los procesos que ellos tratan con lo que es la norma,
quin la fija, quin controla o necesita actuar, etc.:
Procesos definidos y documentados

Polticas definidas y documentadas
Responsabilidades claras
Fuerte apoyo/ compromiso de la administracin
Comunicacin apropiada a las personas internas y externas a las que les concierne
Prcticas consistentes de medicin
ACTUAR
Normas
Estndares Comparar Procesar
Objetivos
CONTROLAR
INFORMACIN
Se debe sealar tambin que estos principios de control son necesarios a distintos niveles, por ejemplo, a
nivel estratgico, tctico y administrativo. Hay usualmente cuatro tipos de actividades a cada nivel que
lgicamente se siguen entre s: planificar, hacer, verificar y corregir. Se deben considerar los
mecanismos de retroalimentacin y de control entre los niveles. Por ejemplo, hacer en el nivel
estratgico alimenta a planificar en el tctico, o verificar en el nivel administrativo est consolidado
con verificar en el nivel tctico, etc.
Planificar Hacer Verificar
Corregir
Se puede obtener ms orientacin para desarrollar factores crticos de xito examinando los objetivos y
monitoreando las directrices del Marco de Gobierno de TI. El gobierno de TI es responsabilidad de los
ejecutivos y de los accionistas. Es un sistema de control que asegura que los objetivos del negocio se
alcancen. Esto consiste por lo general en dirigir los esfuerzos de la organizacin despus de revisar su
desempeo reportado y compararlo con algunas normas sencillas que piden:
Que TI est en lnea con el negocio

Que TI posibilite el negocio y maximice sus ganancias
Que los recursos de TI sean usados de manera responsable
Que los riesgos relacionados de TI sean manejados de manera apropiada.
En cuanto al modelo estndar de control, ste ocurrir por lo general en niveles diferentes, con los jefes
de grupo que se reportan a sus gerentes y que reciben indicaciones de stos, con los gerentes que se
reportan al ejecutivo y ste a la Junta Directiva. Tambin, los reportes que indican desviacin de los
objetivos incluirn ya por lo general recomendaciones para que la accin sea aprobada.
La ilustracin que sigue presenta de manera conceptual la interaccin de los objetivos y las actividades
de TI desde una perspectiva de gobierno de TI. Las actividades de TI estn descritas aqu con las
actividades genricas de administracin de planificar, hacer, verificar y corregir. Con el advenimiento
del Marco de Control de COBIT (ver Apndice II), la manera emergente de representar tecnologa de
informacin es usar los cuatro dominios de COBIT de Planeacin y Organizacin; Adquisicin e
Implementacin; Entrega y Soporte; y Monitoreo.
A partir del modelo estndar de control y a partir del Marco de Gobernabilidad de TI, se pueden deducir
un nmero de Factores Crticos de xito que se aplican a la mayora de los procesos de TI:
1. Se aplican a TI en general
Los procesos de TI estn definidos y alineados con la estrategia de TI y los objetivos del
negocio
Se conocen los clientes del proceso y sus expectativas
Los procesos son escalables y sus recursos manejados y apalancados apropiadamente
Existen los requerimientos de calidad del personal (capacitacin, transferencia de
informacin, moral, etc.) y disponibilidad de habilidades (reclutar, retener, re-entrenar).
El desempeo de TI se mide en trminos financieros, en relacin con la satisfaccin del
cliente, la efectividad del proceso y capacidad futura. La administracin de TI se
recompensa con base a estas medidas.
Se aplica un esfuerzo continuo de mejoramiento de la calidad.
2. Se aplican a la mayora de los procesos de TI
Todos los interesados en el proceso /usuarios, administracin, etc.) estn conscientes de los
riesgos, de la importancia de TI y de las oportunidades que puede ofrecer, y proveen un
compromiso y apoyo firme.
Las metas y los objetivos son comunicados en todas las disciplinas y son entendidos; se sabe
cmo los procesos implementan y monitorean los objetivos, y quien es responsable del
desempeo del proceso.
Las personas estn orientadas hacia el cumplimiento de los objetivos y tienen la informacin correcta sobre los
clientes, sobre los procesos internos y sobre las consecuencias de sus decisiones.
Se establece una cultura de negocios, estimulando la cooperacin entre divisiones, el trabajo en

equipo y el mejoramiento continuo del proceso
Hay integracin y alineacin de los principales procesos, por ejemplo, cambio, manejo del
problema y de la configuracin
Se aplican prcticas de control para aumentar el uso eficiente y ptimo de los recursos y para
mejorar la efectividad de los procesos.
3. Se aplican al gobierno de TI
Se aplican prcticas de control para aumentar la transparencia, reducir la complejidad, promover

el aprendizaje, proveer flexibilidad y la escalabilidad, y evitar interrupciones del control interno
y de la supervisin.
La aplicacin de prcticas que posibilitan una supervisin correcta: un entorno y una cultura de
control; un cdigo de conducta; evaluacin del riesgo como prctica estndar; auto evaluaciones;
cumplimiento formal de la acatamiento de las normas establecidas; monitoreo y seguimiento de
las deficiencias de control y de riesgo.
El gobierno de TI est reconocido y definido, y sus actividades estn integradas en el proceso de
gobierno de la empresa, dando una indicacin clara de la estrategia de TI, un marco de manejo
del riesgo, un sistema de controles y una poltica de seguridad
El gobierno de TI se enfoca en los principales proyectos de TI, las iniciativas de cambio y los
esfuerzos de calidad, con conocimiento de los principales procesos de TI, las responsabilidades y
los recursos y capacidades requeridos.
Est establecido un comit de auditora para nombrar y supervisar un auditor independiente,
impulsar el plan de auditora de TI y revisar los resultados de las auditoras y las opiniones de
terceros.
En resumen, los Factores Crticos de xito son:
Posibilitadores esenciales enfocados en el proceso o en soportar el entorno

Una cosa o una condicin que se requiere para el xito ptimo o una actividad recomendada para
el xito ptimo
Las cosas ms importantes que se deben hacer para aumentar la probabilidad de xito del
proceso
Caractersticas observables usualmente medibles de la organizacin y del proceso
Estratgicos, tecnolgicos, organizacionales procedimentales en su naturaleza
Enfocadas a obtener, mantener y respaldar la capacidad y las habilidades
Expresadas en trminos del proceso, no necesariamente del negocio.
3. INDICADORES CLAVE DE OBJETIVOS / LOGROS / RESULTADOS
Un Indicador Clave de Objetivo, que representa la meta del proceso, es una medida de lo que tiene que
lograrse. Es un indicador medible del proceso que alcanza sus metas, definidas a menudo como un
objetivo a alcanzar.
En comparacin, un Indicador Clave de Desempeo, que ser tratado en la prxima seccin, es una medida de
qu tan bien se est desempeando el proceso. Esta relacin est ilustrada mejor a continuacin mediante
un concepto del Balanced Business Scorecards, que tambin busca medidas de resultado de la meta y medidas
de desempeo relativas a los posibilitadores que harn posible que se logre la meta. Y en este contexto
necesitamos recordar que TI es un posibilitador importante del negocio.
Balanced Business Tecnologa de

Scorecard la Informacin
KGI KPI
(medida del resultado/logro) (medida del desempeo)
TI, como uno de los principales posibilitadores del negocio, tendr su propio scorecard. Como un
posibilitador, sus medidas sera los indicadores de desempeo, por ejemplo, qu tan bien se est
desempeando el posibilitador para que pueda dar una indicacin de que la meta del negocio ser
alcanzada. Tambin se debe sealar que las medidas del desempeo relativas al negocio se convierten en
medidas de la meta para TI, es decir, que los Balanced Business scorecard estn en cascada (ver el
Apndice III).
Pero, cmo estn relacionadas metas y medidas del negocio y de TI? El Marco de COBIT expresa los
objetivos para TI en trminos de los criterios de informacin que el negocio necesita para alcanzar los
objetivos del negocio, que sern por lo general expresados en trminos de:
Disponibilidad de sistemas y servicios

Ausencia de riesgos de integridad y de confidencialidad
Eficiencia de costo de los procesos y las operaciones
Confirmacin de confiabilidad, efectividad y cumplimiento
La meta de TI se puede expresar como entrega de la informacin que el negocio necesita en conformidad
con estos criterios. Estos criterios de informacin se brindan en las Directrices Gerenciales con una
indicacin de si ellos tienen importancia primaria o secundaria para el proceso en revisin. En la
prctica, el perfil de criterios de informacin de una empresa sera ms especfico.
1
0.9
0.8
PERFIL 0.7
0.6
de Criterios 0.5
de Informa- 0.4
0.3
cin 0.2
0.1
0
E E C I D C C
F F O N I U O
E E N
T S M N
C C F
T I I E P P F
I E D G O L I
V N E R N I A
I N I I M B
C C
D I I D B I I
A A A A I E L
D L D L N I
I I T D
D D O A
A
D A D
D
El grado de importancia de cada uno de los criterios de informacin citados aqu anteriormente es una
funcin del negocio y del entorno en que opera la empresa. El dibujo que antecede es slo un ejemplo.
Cada organizacin tendr que decidir el grado de importancia que tiene para su negocio cada uno de los
criterios de informacin. Como tal, el perfil expresa tambin la posicin de la empresa respecto al
riesgo. Se debe sealar, sin embargo, que la importancia de los criterios de informacin puede tambin
cambiar para cada proceso en que posiblemente se apliquen objetivos diferentes. Sin embargo, la meta
para la organizacin de TI es entregar la informacin que el negocio necesita para alcanzar sus objetivos,
de acuerdo con el perfil de criterios de informacin.
La importancia relativa de los criterios de informacin implica que es posible que sea necesario extraer
una seleccin de las extensas listas de las mejores prcticas que provee COBIT: las Consideraciones en el
Marco de COBIT (ver el Apndice II); los Objetivos de Control; o incluso los Factores Crticos de xito
de estas Directrices Gerenciales.
Para entender mejor el objetivo y los indicadores de desempeo, hemos tambin mirado las cuatro
dimensiones del Balanced Business scorecard:
FinancieroCmo nos miran los accionistas? (es decir, entrega frente a presupuesto)
De ClienteCmo nos ven los clientes? (por ejemplo,, satisfaccin del cliente, entrega a
tiempo, valor del servicio)
Proceso internoCmo nos miramos a nosotros mismos? (es decir, orientacin y calidad del
proceso)
Aprendizaje /innovacinPodemos continuar mejorando y creando valores? (es decir,
conocimiento del empleado y de la infraestructura tcnica)
Los Indicadores Clave de Objetivo para TI son impulsados por el negocio y por lo general proveen las
medidas que se necesitan para soportar las dimensiones financieras y de cliente del Balanced Business
scorecard de la Empresa, que est descrito en el diagrama siguiente. Los Indicadores Clave de
Desempeo, como veremos en la prxima seccin, se enfocan en las otras dos dimensiones Balanced
Business scorecard: los procesos internos y la innovacin. Los resultados financieros y la satisfaccin
del cliente son tpicamente medidas con base en la meta del negocio que est siendo alcanzada y
medida a posteriori. Por otra parte, la excelencia del proceso y la capacidad de aprender y de innovar
son indicadores de qu tan bien se est desempeando una organizacin y da una indicacin de la
probabilidad de lograr el xito a priori.
Los Indicadores Clave de Objetivo son indicadores de PASADO, ya que ellos slo pueden ser medidos
a posteriori, en oposicin a los Indicadores Clave de Desempeo, que son indicadores de FUTURO que
dan una indicacin del xito a priori. Tambin pueden ser expresados negativamente, es decir, en
trminos del impacto de no alcanzar la meta. La seccin de Justificacin del Riesgo de las directrices de
Auditora de COBIT da ejemplos para cada uno de los 34 Procesos de TI de qu puede salir mal si el
proceso de TI no es debidamente controlado.
Los Indicadores Clave de Objetivo no deben ser vagos, sino medibles como un nmero o un porcentaje.
Estas medidas deben mostrar que la informacin y la tecnologa estn contribuyendo con la misin y la
estrategia de la organizacin. Debido a que las metas y los objetivos son especficos de la empresa y de
su entorno, muchos Indicadores Clave de Objetivo han sido expresados con una direccin, por ejemplo,
mayor disponibilidad, menor costo. En la prctica, la administracin tendr que fijar objetivos
especficos que se necesitan alcanzar, tomando en cuenta los desempeos anteriores y las metas futuras.
Para ilustrar los puntos citados aqu anteriormente, se enumera a continuacin un conjunto de
Indicadores Clave de Objetivo genricos que por lo general se aplican a todos los procesos de TI.
Lograr el rendimiento sobre la inversin o las ganancias de valor del negocio que se tena como
meta
Mayor manejo del desempeo
Riesgos reducidos de TI
Mejoramientos de la productividad
Cadenas integradas de suministros
Procesos estandarizados
Incremento de la entrega del servicio (ventas)
Llegar a nuevos clientes y satisfacer los clientes existentes
Creacin de nuevos canales de entrega de servicios
Disponibilidad de ancho de banda, poder de cmputo y mecanismos de entrega de TI que se
ajustan al negocio, y a la disponibilidad o no de sus recursos
Cumplimiento de las expectativas y requerimientos del cliente del proceso, considerando

presupuesto y tiempo
Nmero de clientes y costo por cliente atendido
Adhesin a las normas de la industria.
En resumen, los Indicadores Clave de Objetivo son:
Una representacin de la meta del proceso, es decir, una medida de qu, o un objetivo a lograr
La descripcin del resultado del proceso y por lo tanto indicadores de PASADO, es decir,
medibles despus del hecho, o a posteriori
Indicadores inmediatos de la terminacin exitosa del proceso o indicadores indirectos del valor
que el proceso entreg al negocio
Posiblemente descripciones de una medida del impacto de no alcanzar la meta del proceso
Enfocado en el cliente y en las dimensiones financieras del Balanced Business scorecard
Orientados hacia TI pero impulsados por el negocio
Expresados en trminos precisos, medibles donde sea posible
Enfocados en los criterios de informacin que hayan sido identificados como de mayor
importancia para este proceso.
4. INDICADORES CLAVES DE DESEMPEO
Los Indicadores Clave de Desempeo son medidas que dicen a la administracin que un proceso de TI
est satisfaciendo los requerimientos de su negocio monitoreando el desempeo de los posibilitadores de
ese proceso de TI. Basndose en los principios del Balanced Business scorecard, la relacin entre los
Indicadores Clave del Desempeo y los Indicadores Clave de Objetivo es la siguiente:
1
0.9
0.8
0.7
METAS 0.6 POSIBILITADORES
0.5
0.4
0.3
0.2
0.1
0
E E C I D C C
F F O N I U O
E I N T S M N
C C F E P F
T P
I I G L I
I E D O
R I A
KGI I
V
C
N
N
E I I
N
M B KPI
D D B I I
(medida del resultado) D
A A
I
I
C
D
A I
N
E
I
L (Medida del Desempeo)
A L
L I T D
I D O A
D A D
A D
D
Los Indicadores Clave del Desempeo son cortos, enfocados e indicadores medibles del desempeo de
los factores posibilitadores de los procesos de TI, que indican en qu medida el proceso posibilita que se
alcance el objetivo. Mientras que los Indicadores Clave de Objetivo se enfocan en qu, los Indicadores
Clave de Desempeo se ocupan de cmo. Ellos son a menudo una medida de un Factor Crtico de
xito y, cuando se les monitorea y se acta sobre ellos, identificarn oportunidades para el mejoramiento
del proceso. Estos mejoramientos deben influir de manera positiva en el resultado y como tales, los
Indicadores Clave de Desempeo tienen una relacin causaefecto con los Indicadores Clave de
Objetivo del proceso.
En algunos casos, se sugieren medidas compuestas para los Indicadores Clave de Desempeo y, en pocos
casos tambin para los Indicadores Clave de Objetivo. Un ejemplo podra ser una medida de lo
adecuado de la organizacin de TI que rastrea, como un nmero, el enfoque del negocio, la moral y la
satisfaccin del trabajo del personal de TI. O, por ejemplo, el ndice de calidad de un plan monitoreando
como un nmero su oportunidad, integridad y enfoque estructurado.
Mientras que los Indicadores Clave de Objetivo son impulsados por el negocio, los Indicadores Clave de
Desempeo estn orientados hacia el proceso y a menudo expresarn cmo los procesos y la
organizacin respaldan y administran los recursos que se necesitan. Similar a los Indicadores Clave de
Objetivo, a menudo se expresan como un nmero o un porcentaje. Una prueba cida buena de un
Indicador Clave de Desempeo es ver si ste predice realmente el xito o el fracaso del objetivo del
proceso y si ayuda o no en la administracin en el mejoramiento del proceso.
Un conjunto de Indicadores Clave de Desempeo genricos est enumerado a continuacin, que en

general son aplicables a todos los procesos de TI:
1. Se aplican a TI en general
Tiempos reducidos de ciclo (es decir, de respuesta de la produccin y desarrollo de TI)

Mayor calidad e innovacin
Utilizacin de ancho de banda de comunicacin y poder de cmputo
Disponibilidad de Servicio y tiempos de respuesta
Satisfaccin de los interesados (encuesta y nmero de quejas)
Nmero de miembros del personal entrenados en nueva tecnologa y habilidades de servicio al
cliente.
2. Se aplican a la mayora de los procesos de TI
Mejor eficiencia de costos del proceso (costos vs. Servicios)

Productividad (nmero de servicios) y moral (encuesta) del personal
Cantidad de errores y repeticin del trabajo.
3. Se aplican al gobierno de TI
Comparaciones Benchmark
Nmero de reportes de incumplimiento
En resumen, los Indicadores Clave de Desempeo:
Son una medida de cmo se est desempeando el proceso

Predicen la probabilidad de xito o fracaso en el futuro, es decir, son indicadores de FUTURO
Estn orientados hacia el proceso, pero impulsados por TI
Se enfocan en el proceso y en las dimensiones de aprendizaje del Balanced Business scorecard
Estn expresados en trminos medibles con precisin
Ayudarn a mejorar el proceso de TI cuando ste sea medido y se acte sobre el mismo
Se enfoca en los recursos identificados como lo ms importante para este proceso.
5. CONCLUSIN
Para colocar la Tecnologa de Informacin bajo control de modo que TI est en concordancia con el
negocio y que lo posibilite entregando la informacin que necesita la organizacin, se ha suministrado en
estas Directrices Gerenciales un nmero de herramientas de administracin. La relacin entre los
Factores Crticos de xito, los Modelos de Madurez, los Indicadores Clave de Desempeo y los
Indicadores Clave de Objetivo se pueden expresar as:
Los CSFs son las cosas ms importantes que hay que hacer en base a las elecciones hechas en el
Modelo de Madurez, mientras se monitorea en todos los KPIs si es probable que uno alcance los
objetivos fijados por las KGIs.
Sin embargo, es necesario enfatizar que estos lineamientos siguen siendo genricos, aplicables en general
y no brindan medidas especficas de la industria. Las organizaciones necesitarn en muchos casos
adaptar este conjunto general de indicaciones a su propio entorno.
Comenzando desde el Marco de COBIT, la aplicacin de normas y lineamientos internacionales, y de

investigacin en las mejores prcticas ha llevado al desarrollo de los Objetivos de Control. Las
Directrices de Auditora han sido desarrolladas para determinar si estos Objetivos de Control estn
debidamente implementados. Sin embargo, la administracin necesita una aplicacin similar del Marco
de modo que ste pueda autoevaluarse y hacer elecciones para la implementacin del control y para las
mejoras sobre su tecnologa de la informacin y otra tecnologa relacionada.
Ese es el propsito principal de los Directrices Gerenciales, desarrolladas con la ayuda de expertos de
todo el mundo en el campo del gobierno de TI, la administracin del desempeo, y la seguridad y control
de la informacin. Ellos proveen un conjunto de herramientas para ayudar a la administracin a
responder a la pregunta:
Cul es el nivel correcto de control para mi TI que soporte los objetivos de mi empresa?
Planeacin y Organizacin Entrega y Soporte

PO1 Definir un Plan Estratgico de TI DS1 Definir y Administrar Niveles de Servicio
PO2 Definir la Arquitectura de la Informacin DS2 Administrar Servicios de Terceros
PO3 Determinar la Direccin Tecnolgica DS3 Administrar el Desempeo y la Capacidad
PO4 Definir la Organizacin y las Relaciones de TI DS4 Asegurar un Servicio Continuo
PO5 Administrar la Inversin de TI DS5 Asegurar Seguridad de Sistemas
PO6 Comunicar los Objetivos y la Direccin de la Admi- DS6 Identificar y Asignar Costos
nistracin DS7 Educar y Capacitar a los Usuarios
PO7 Administrar los Recursos Humanos DS8 Asistir y Asesorar a los Clientes
PO8 Asegurar el Cumplimiento de los Requisitos Externos DS9 Administrar la Configuracin
PO9 Evaluar los Riesgos DS10 Administrar Problemas e Incidentes
PO10 Administrar Proyectos DS11 Administrar Datos
PO11 Administrar la Calidad DS12 Administrar Facilidades
DS13 Administrar Operaciones
Adquisicin e Implementacin
AI1 Identificar Soluciones Automatizadas Monitoreo
AI2 Adquirir y Mantener Software de Aplicacin M1 Monitorear los Procesos
AI3 Adquirir y Mantener Infraestructura de Tecnologa M2 Evaluar lo Adecuado del Control Interno
AI4 Desarrollar y Mantener Procedimientos M3 Obtener aseguramiento Independiente
AI5 Instalar y Acreditar Sistemas M4 Proveer Auditora Independiente
AI6 Administrar Cambios
Las pginas siguientes proveen Directrices Gerenciales detallados para cada uno de los 34 procesos de
COBIT y el Apndice I provee orientacin de cmo leerlos.
PAGINA INTENCIONALMENTE EN BLANCO
PLANEACIN Y ORGANIZACIN
PO1 Planeacin y Organizacin

Definir un Plan Estratgico de Tecnologa de Informacin
El Control sobre el proceso de TI de Definir un Plan Estratgico de TI con el objetivo del negocio de
lograr un equilibrio ptimo de oportunidades de tecnologa de la informacin y de los requerimientos de
TI del negocio as como tambin asegurar su cumplimiento posterior
Asegura la entrega de informacin al negocio que satisface los Criterios de Informacin

requeridos y se mide por los Indicadores Clave de Objetivo
Es posibilitado por un proceso de planeacin estratgica emprendido a intervalos regulares

dando lugar a planes a largo plazo; los planes a largo plazo deben ser traducidos
peridicamente en planes operativos que fijan metas a corto plazo claras y concretas
Considera los Factores Crticos de xito que apalancan Recursos de TI especficos y se

mide por medio de los Indicadores Clave de Desempeo.
Factores Crticos de xito
El proceso de planeacin provee un esquema de prioridades para los objetivos del negocio y
cuantifica, donde es posible, los requerimientos del negocio
La intervencin y el soporte de la administracin se posibilitan mediante una metodologa
documentada para el desarrollo de la estrategia de TI, el soporte de los datos validados y un
proceso estructurado de toma de decisiones
El plan estratgico de TI establece claramente una posicin de riesgo, mediante metodologas o
estndares de vanguardia, comprobados en la prctica, innovadores, y el balance requerido entre
tiempo de mercadear, costo de propiedad y calidad de servicio.
Todos los supuestos del plan estratgico han sido puestos a prueba y comprobados
Los procesos, servicios y funciones que se necesitan para el resultado estn definidos, pero son
flexibles y se pueden cambiar, con un proceso transparente de control de cambio
Un tercero ha llevado a cabo una verificacin de la realidad de la estrategia para aumentar la
objetividad y esta revisin se repite con la frecuencia apropiada
La planificacin estratgica de TI se traduce en mapas alternativos y estrategias de migracin
Criterios de Informacin Recursos de TI

P Efectividad 9 la gente
S Eficiencia 9 las aplicaciones
Confidencialidad 9 la tecnologa
Integridad 9 las instalaciones
Disponibilidad 9 los datos
Cumplimiento
Confiabilidad
(P) primario y (S) secundario (9) aplicable a
Indicadores Clave de Objetivo
Porcentaje de planes estratgicos del negocio y de TI que estn en concordancia y en cascada en

planes de largo y de corto alcance y que se traducen en responsabilidades individuales
Porcentaje de unidades de negocio que han clarificado, entendido y actualizado las capacidades de TI
Las encuestas de la administracin determinan una vinculacin clara entre las responsabilidades y el
negocio y los objetivos estratgicos de TI
Porcentaje de las unidades del negocio que usan tecnologa estratgica cubierta en el plan estratgico
de TI
Porcentaje del presupuesto de TI que es liderado por los propietarios del negocio
Nmero aceptable y razonable de proyectos de TI pendientes
Indicadores Clave de Desempeo
Actualidad de la evaluacin de capacidades de TI (nmero de meses transcurridos desde la ltima

actualizacin)
Edad del plan estratgico de TI (nmero de meses desde la ltima actualizacin)
Porcentaje de satisfaccin de los participantes con el proceso de planificacin estratgica de TI
Demora entre el cambio en los planes estratgicos de TI y los cambios a los planes operativos
ndice de participantes que se involucrarn en el desarrollo del plan estratgico de TI, basado en el
tamao del esfuerzo, la proporcin de participacin de los dueos del negocio frente al personal de
TI y el nmero de participantes clave
ndice de calidad del plan, incluyendo fechas lmite del esfuerzo de desarrollo, adhesin al mtodo
estructurado y terminacin de todo el plan.
PO1 Modelo de Madurez
El control sobre el proceso de TI de Definir un Plan Estratgico de TI con el objetivo del negocio de
alcanzar un balance ptimo de oportunidades de tecnologa de la informacin y requerimientos de TI
del negocio as como tambin asegurando su posterior cumplimiento
0 Inexistente. No se realiza la planeacin estratgica de TI. La administracin no est conciente de

que la planeacin estratgica de TI es necesaria para apoyar los objetivos del negocio.
1 Inicial /Ad hoc La administracin de TI est conciente de la necesidad de planeacin estratgica

de TI, pero no se ha instalado un proceso estructurado de decisin. La planeacin estratgica de TI
se realiza con base a la necesidad en respuesta a un requerimiento especfico del negocio y los
resultados son por lo tanto espordicos e inconsistentes. La planeacin estratgica de TI es
discutida ocasionalmente en las reuniones de administracin de TI, pero no en las reuniones de
administracin del negocio. La correspondencia con los requerimientos del negocio, las
aplicaciones y la tecnologa ocurren de manera reactiva, impulsadas por ofertas de los vendedores,
en lugar de ser por una estrategia en toda la organizacin. La posicin estratgica de riesgo es
identificada informalmente en cada proyecto.
2 Repetible pero Intuitiva La planeacin estratgica de TI es entendida por la administracin de

TI, pero no est documentada. La planeacin estratgica de TI es realizada por la administracin
de TI, pero slo es compartida con la administracin del negocio en la medida en que se necesita.
La actualizacin del plan estratgico de TI se lleva a cabo slo en respuesta a solicitudes de la
administracin y no hay un proceso proactivo para identificar los desarrollos de TI y del negocio
que requieren actualizaciones del plan. Las decisiones estratgicas son impulsadas por proyecto,
sin consistencia con una estrategia general de la organizacin. Los riesgos y los beneficios de
usuario de las principales decisiones estratgicas estn siendo reconocidos, pero su definicin es
intuitiva.
3 Proceso Definido Una poltica define cundo y cmo realizar la planeacin estratgica de TI. La
planeacin estratgica de TI sigue un mtodo estructurado que est documentado y que es
conocido por todos los miembros del personal. El proceso de planeacin de TI es razonablemente
adecuado y asegura que la planeacin apropiada probablemente se realice. Sin embargo, se da
discrecin a los administradores individuales respecto a la implementacin del proceso y no hay
procedimientos para examinar el proceso regularmente. La estrategia general de TI incluye una
definicin consistente de riesgos que la organizacin est dispuesta a correr como un innovador o
seguidor. Las estrategias financiera, tcnica y de recursos humanos de TI impulsan cada vez ms
la adquisicin de nuevos productos y tecnologas.
4 Administrado y Medible La planeacin estratgica de TI es una prctica estndar y la

administracin sealara las excepciones. La planeacin estratgica de TI es una funcin definida
de la administracin con responsabilidades a nivel de alta gerencia. Con respecto al proceso de
planeacin estratgica de TI, la administracin puede monitorearla, tomar decisiones inteligentes
con base en sta y medir su efectividad. Tanto la planeacin a corto como a largo plazo se realiza
y cae en cascada a la organizacin hacindose actualizaciones a medida que se necesitan. La
estrategia de TI y la estrategia de toda la organizacin se estn volviendo cada vez ms
coordinadas resolviendo procesos de negocio y capacidades de valor agregado y apalancando el
uso de aplicaciones y de tecnologas a travs de reingeniera del proceso de negocio. Hay un
proceso bien definido para balancear los recursos internos y externos requeridos en el desarrollo y
en las operaciones del sistema. Benchmarking frente a normas y competidores de la industria se
est volviendo cada vez ms formalizada.
5 Optimizado La planeacin estratgica de TI, es un proceso documentado, viviente, es

constantemente considerado en la determinacin del objetivo del negocio y tiene como resultado
un valor discernible de negocio a travs de inversiones en TI. Constantemente se estn
actualizando las consideraciones de riesgo y de valor agregado en el proceso de planeacin
estratgica de TI. Hay una funcin de planeacin estratgica de TI que es integral con la funcin
de planeacin del negocio. Se desarrollan planes realistas de TI a largo plazo y los mismos estn
siendo constantemente actualizados para que reflejen la tecnologa cambiante y los desarrollos
relacionados con el negocio. Los planes de corto plazo de TI contienen hitos de tareas de
proyectos y productos que son constantemente monitoreados y actualizados, a medidas que
ocurren cambios. El establecimiento de Benchmarking frente a normas de la industria bien
entendidas y confiables es un proceso bien definido y est integrado con el proceso de formulacin
de estrategias. La organizacin de TI identifica y respalda nuevos desarrollos de la tecnologa para
impulsar la creacin de nuevas capacidades de negocios y para mejorar la ventaja competitiva de
la organizacin.

Definir la Arquitectura de la Informacin
El control sobre el proceso de TI Definir la Arquitectura de Informacin con el objetivo del negocio
de optimizar la organizacin de los sistemas de informacin
Asegura la entrega de informacin al negocio que satisface los Criterios de Informacin requeridos y
se mide por medio de Indicadores Clave de Objetivo
Es posibilitado mediante la creacin y el mantenimiento de un modelo de informacin de

negocios y asegurando que estn definidos los sistemas apropiados para optimizar el uso de
esta informacin
Considera los Factores Crticos de xito que respaldan los Recursos especficos de TI y
se mide por medio de Indicadores Clave de Desempeo

Se establece una funcin corporativa de administracin de datos, a un nivel lo suficientemente alto, con
suficiente autoridad para administrar el modelo de datos corporativo de datos y estndares de informacin
Se documentan, comunican y cumplen las estndares de arquitectura de la informacin
El modelo de datos es sencillo y claro para todos
Un modelo corporativo de datos que representa al negocio est definido e impulsa la arquitectura de la
informacin
La propiedad de datos es asignada y aceptada
Los datos y los modelos de datos se mantienen actualizados
Se usa un repositorio automatizado para asegurar la consistencia entre los componentes de la infraestructura
de los sistemas de informacin, como por ejemplo arquitectura de informacin, diccionarios de datos,
aplicaciones, sintaxis de datos, esquemas de clasificacin y niveles de seguridad
Entender los requerimientos de informacin suficientemente con bastante anticipacin

P Efectividad gente
S Eficiencia 9 aplicaciones
S Confidencialidad tecnologa
S Integridad
Disponibilidad Instalaciones
Cumplimiento 9 datos
Confiabilidad
Desarrollo ms rpido de aplicaciones

Menor tiempo para mercadear sistemas mayores de informacin
Implementacin de requisitos definidos de confidencialidad, disponibilidad e integridad
Reduccin de redundancia de datos
Mayor interoperabilidad entre los sistemas y las aplicaciones
Porcentaje del diccionario de datos corporativos disponible a los usuarios en forma automatizada

Porcentaje del presupuesto de TI asignado al desarrollo y mantenimiento de la arquitectura de la informacin
Nmero de cambios de aplicacin que ocurren para realinearse con el modelo de datos
Porcentaje de requisitos de integridad de la informacin documentados en el esquema de clasificacin de
datos
Nmero de incidentes de aplicacin y de sistema causados por inconsistencias en el modelo de datos
Cantidad de repeticiones de trabajo causadas por inconsistencias en el modelo de datos
Nmero de errores atribuidos a la falta de actualizacin de la arquitectura de la informacin
Demora de tiempo entre los cambios en la arquitectura de informacin y las aplicaciones
Control sobre el proceso de TI Definir la Arquitectura de Informacin con el objetivo del negocio de
optimizar la organizacin de los sistemas de informacin.
0 Inexistente. No hay conciencia de la importancia de la arquitectura de la informacin para la

organizacin. El conocimiento, la experiencia y las responsabilidades necesarios para desarrollar
esta arquitectura no existen en la organizacin.
1 Inicial /Ad Hoc. La administracin reconoce la necesidad de una arquitectura de la informacin,

pero no ha formalizado ni un proceso ni un plan para desarrollar una. Est ocurriendo un
desarrollo aislado y reactivo de componentes de una arquitectura de organizacin. Hay
implementaciones aisladas y parciales de diagramas de datos, documentacin, y reglas de sintaxis
de datos. Las definiciones se refieren a datos en lugar de informacin, y estn impulsadas por
ofertas del vendedor de software de aplicacin. Hay comunicacin inconsistente y espordica de
la necesidad de una arquitectura de la informacin.
2 Repetible pero intuitivo. Hay conciencia de la importancia de una arquitectura de la informacin

para la organizacin. Surge un proceso y diferentes personas dentro de la organizacin siguen
procedimientos similares, aunque informales e intuitivos. No hay entrenamiento formal y la gente
obtiene sus habilidades en la prctica y a travs de la aplicacin repetida de tcnicas. Los
requerimientos tcticos de las personas impulsan el desarrollo de los componentes de la
arquitectura de la informacin.
3 Proceso Definido. La importancia de la arquitectura de la informacin es entendida y aceptada, y

la responsabilidad de su entrega es asignada y comunicada con claridad. Los procedimientos
relacionados, herramientas y tcnicas, aunque no son sofisticadas, han sido estandarizadas y
documentadas y forman parte de actividades informales de entrenamiento. Se han desarrollado
polticas bsicas de arquitectura de la informacin, incluyendo algunos requisitos estratgicos,
pero no se hacen cumplir en forma consistente las polticas, estndares y herramientas. Est
establecida una funcin de administracin de datos definida formalmente, que fija estndares a
nivel de toda la organizacin y que est comenzando a reportar sobre la entrega y el uso de la
arquitectura de la informacin. Estn surgiendo herramientas automatizadas de administracin de
datos a nivel de toda la organizacin, pero los procesos y las reglas usadas estn definidas por las
ofertas del vendedor de software de base de datos.
4 Administrado y Medible El desarrollo y la puesta en vigor de la arquitectura de la informacin

est totalmente soportado por medio de mtodos y tcnicas formales. El proceso responde a
cambios y a las necesidades del negocio. Se est midiendo la responsabilidad del desempeo del
proceso de desarrollo de la arquitectura de informacin. Las actividades formales de capacitacin
estn definidas, documentadas y aplicadas de manera consistente. Se han propagado las
herramientas automatizadas de apoyo, pero an no estn integradas. Las mejores prcticas
internas son compartidas y estn introducidas en el proceso. La mtrica bsica ha sido identificada
y est establecido un sistema de medicin. El proceso de definicin de la arquitectura de
informacin es proactiva y est enfocada a resolver las necesidades futuras del negocio. La
organizacin de la administracin de datos est involucrada activamente en todos los esfuerzos de
desarrollo de aplicaciones para asegurar la consistencia. Un repositorio automatizado est
totalmente implementado y los modelos ms complejos de datos estn siendo implementados para
respaldar el contenido de informacin de las bases de datos. Los sistemas ejecutivos de
informacin y los sistemas de soporte de decisiones estn respaldando la informacin disponible.
5 Optimizado La arquitectura de informacin es ejecutada de manera consistente en todos los

niveles y constantemente se hace nfasis en su valor para el negocio. El personal de TI tiene la
experiencia y las habilidades necesarias para desarrollar y mantener una arquitectura de
informacin robusta y responsable que refleja todos los requerimientos del negocio. La
informacin suministrada por la arquitectura de informacin es aplicada de manera consistente y
extensiva. Se hace uso extensivo de las mejores prcticas de la industria en el desarrollo y
mantenimiento de la arquitectura de la informacin incluyendo un proceso constante de
mejoramiento. Est definida la estrategia para respaldar informacin a travs almacenamiento de
datos y tecnologas de minera de datos. La arquitectura de la informacin est mejorando
constantemente y toma en consideracin la informacin no tradicional sobre los procesos, las
organizaciones y los sistemas.

Determinar la Direccin Tecnolgica
Control sobre el proceso de TI Determinar la Direccin Tecnolgica con el objetivo del negocio de
aprovechar la tecnologa disponible y emergente para impulsar y hacer posible la estrategia del
negocio.
Asegura la entrega de informacin al negocio que satisface los Criterios de Informacin requeridos
y se mide por medio de los Indicadores Clave de Objetivo
Es posibilitada por la creacin y el mantenimiento de un plan de infraestructura tcnica que

establece y maneja expectativas claras y realistas de lo que la tecnologa puede ofrecer en
trminos de productos, servicios y mecanismos de entrega
Considera los Factores Crticos de xito que apalancan los Recursos de TI especficos y se
mide por medio de los Indicadores Clave de Desempeo
Los reportes de tecnologa del negocio son distribuidos a las unidades del negocio
Los cambios de tecnologa son monitoreados proactivamente en busca de amenazas y de oportunidades, con
responsabilidades claramente asignadas y con un proceso definido que usa recursos probados y confiables.
Los resultados de monitoreo son evaluados a nivel de gerencia general y las acciones son acordadas e
integradas en el nivel de infraestructura de TI, al tiempo que se mantiene la concordancia con el plan
estratgico de TI.
Est establecida una facilidad de investigacin, determinacin de prototipo y prueba que se dedica a demostrar
el valor de negocio y a identificar limitaciones y oportunidades, en vez de la idoneidad tecnolgica.
La planificacin de la infraestructura de la tecnologa se traduce en planes para la adquisicin de tecnologa,
capacitacin y reclutamiento de personal, con consideracin de las polticas y normas de uso de la tecnologa
Existen planes de desarrollo histrico y estrategias de migracin para sacar a la organizacin desde el estado
actual hasta el estado futuro de infraestructura de TI
La orientacin y los supuestos de planificacin de la tecnologa son reevaluados de manera independiente en
momentos apropiados
El plan de infraestructura de TI es evaluado regularmente para los aspectos de contingencia
Un intercambio abierto sobre los desarrollos de la tecnologa y buenas relaciones con los vendedores y con
terceros promueve las funciones de vigilancia y el establecimiento de Benchmarking de la industria

P Efectividad gente
S Eficiencia aplicaciones
Confidencialidad
Integridad 9 tecnologa
Disponibilidad 9 instalaciones
Cumplimiento datos
Confiabilidad
El nmero de soluciones de tecnologa que no estn alineadas con la estrategia del negocio
Porcentaje de proyectos no planeados que no se ajustan a la tecnologa
Nmero de tecnologas y plataformas no compatibles
Disminucin del nmero de plataformas de tecnologa para mantener
Esfuerzo menor de despliegue de aplicaciones y de tiempo para mercadear
Mayor interoperabilidad entre sistemas y aplicaciones
Porcentaje del presupuesto de TI asignado a infraestructura e investigacin de tecnologas

Nmero de meses transcurridos desde la ltima revisin de infraestructura de tecnologa
Satisfaccin de las funciones del negocio con la oportuna identificacin y anlisis de las oportunidades
tecnolgicas
Porcentaje de dominios tecnolgicos dentro del plan de infraestructura de tecnologa que tienen planes
subordinados que especifican el actual estado, el estado de visin y los mapas de caminos de implementacin
Duracin promedio del tiempo transcurrido entre la identificacin de nueva tecnologa potencialmente
relevante y la decisin respecto a qu hacer con esa tecnologa

Control sobre el proceso de TI de Determinar la Direccin Tecnolgica con el objetivo del negocio de
aprovechar la tecnologa existente y la emergente para impulsar y posibilitar la estrategia del negocio
0 Inexistente. No hay conciencia de la importancia para la entidad de planear la infraestructura de

la tecnologa. No existen los conocimientos y la experiencia necesarios para desarrollar dicho
plan de infraestructura de tecnologa. Hay una falta de entendimiento de que la planeacin para el
cambio tecnolgico es crtica para asignar recursos con efectividad.
1 Inicial /Ad Hoc. La administracin reconoce la necesidad de planear la infraestructura de la

tecnologa, pero no ha formalizado ni un proceso ni un plan. Los desarrollos del componente de
tecnologa y las implementaciones de la tecnologa emergente son ad-hoc y aisladas. Hay un
enfoque reactivo y operativo de la planeacin. Las orientaciones de la tecnologa estn
impulsadas por los planes de evolucin de producto de hardware, software de sistemas y de los
vendedores de software de aplicacin a menudo contradictorios. La comunicacin del impacto
potencial de cambios en la tecnologa es inconsistente.
2 Repetible pero Intuitivo. Hay un entendimiento implcito de la necesidad e importancia de

planificar la tecnologa. Esta necesidad e importancia es comunicada. La planeacin es, sin
embargo, tctica y enfocada en generar soluciones tcnicas a los problemas tcnicos, en vez de
estar enfocada hacia el uso de tecnologa para satisfacer necesidades del negocio. La evaluacin
de los cambios tecnolgicos es dejada a diferentes personas que siguen procesos intuitivos pero
similares. No hay una capacitacin formal y comunicacin formal de roles y responsabilidades.
Las tcnicas y estndares comunes estn emergiendo para el desarrollo de los componentes de la
infraestructura.
3 Proceso Definido. La administracin est conciente de la importancia del plan de infraestructura

de la tecnologa. El proceso de desarrollo del plan de infraestructura de tecnologa es
razonablemente correcto y est en concordancia con el plan estratgico de TI. Hay un plan de
infraestructura de la tecnologa que es definido, documentado y bien comunicado, pero se aplica
de manera inconsistente. La orientacin de la infraestructura de la tecnologa incluye una
comprensin de dnde quiere estar la organizacin: a la vanguardia o quedar retrasada en el uso
de tecnologa, basada en los riesgos y en la concordancia con la estrategia de la organizacin. Los
vendedores claves son seleccionados con base en la comprensin de sus planes de largo plazo de
desarrollo de la tecnologa y de producto, consistente con la orientacin de la organizacin.
4 Administrado y Medible. El personal de TI tiene la experiencia y las habilidades necesarias para

desarrollar un plan de infraestructura de tecnologa. Hay un entrenamiento formal y especializado
para la investigacin de la tecnologa. El impacto potencial de cambiar y de las tecnologas
emergentes es tomado en cuenta y validado. La administracin puede identificar desviaciones del
plan y anticipar problemas. Se ha asignado responsabilidad por el desarrollo y el mantenimiento
de un plan de infraestructura de tecnologa. El proceso es sofisticado y responde al cambio. Se
han introducido al proceso las mejores prcticas internas. La estrategia de recursos humanos est
en concordancia con la orientacin de la tecnologa, para asegurar que los miembros del personal
de TI puedan manejar los cambios de tecnologa. Los planes de migracin para introducir nuevas
tecnologas estn definidos. Se est respaldando el outsourcing y su participacin en el negocio
(participacin como socios) para tener acceso a la experiencia y las habilidades necesarias.
5 Optimizado. Existe una funcin de investigacin para revisar las tecnologas emergentes y que
evolucionan y se llevan a cabo Benchmarks de la organizacin en contraposicin con las normas
de la industria. La organizacin se gua por las normas y desarrollos internacionales de la
industria, en lugar de estar impulsada por los vendedores de tecnologa. El impacto potencial del
cambio tecnolgico sobre el negocio es revisado a nivel de la gerencia general y las decisiones de
actuar reflejan la contribucin de las influencias humanas y tecnolgicas sobre las soluciones de
informacin. Hay aprobacin ejecutiva formal de las orientaciones tecnolgicas nuevas y de las
cambiadas. La participacin en los organismos que establecen normas de la industria y grupos de
usuarios de vendedores est formalizada. La entidad tiene un plan slido de infraestructura de la
tecnologa que refleja los requerimientos del negocio, responsable y puede ser modificada para
reflejar cambios en el entorno del negocio. Est establecido un proceso constante y ejecutado de
mejoras. Se usan extensamente las mejores prcticas de la industria para determinar la orientacin
tcnica.

Definir la Organizacin y las Relaciones de la Tecnologa de la Informacin
El control sobre el proceso de TI de Definir la Organizacin y las Relaciones de TI con el objetivo del
negocio de entregar los servicios correctos de TI
Asegura la entrega de informacin al negocio que satisface los Criterios de Informacin y se mide
por medio de Indicadores Clave de Objetivo
Es posibilitado por una organizacin adecuada en nmeros y en habilidades con roles y

responsabilidades definidos y comunicados, alineados con el negocio y que facilita la estrategia y
provee la orientacin efectiva y el control adecuado
Considera los Factores Crticos de xito que apalancan los Recursos de TI especficos y se
mide por medio de Indicadores Clave de Desempeo.
La organizacin de TI comunica sus objetivos y resultados a todos los niveles

TI est organizada para participar en todos los procesos de decisin, responder a las iniciativas clave del
negocio y enfocarse en todas las necesidades corporativas de automatizacin
El modelo organizacional de TI est en concordancia con las funciones del negocio y se adapta rpidamente a
los cambios en el entorno del negocio
Estimulando y promoviendo la asuncin de responsabilidad, la organizacin de TI desarrolla y cultiva las
personas y eleva la colaboracin
Hay procesos claros de direccin y control, con segregacin donde se necesita, especializacin donde se
requiere y delegacin de autoridad donde sea beneficioso
La organizacin de TI establece debidamente funciones de seguridad, control interno y calidad, y balancea
adecuadamente supervisin y empoderamiento
La organizacin de TI es flexible para adaptarse a situaciones de riesgo y de crisis y va desde un modelo
jerrquico, cuando todo est bien, a un modelo basado en equipo cuando sube la presin, empoderando a las
personas en tiempos de crisis
Se establece un fuerte control de administracin sobre los servicios de outsourcing de TI, con una poltica
clara, y con conocimiento del costo total de outsourcing
Las funciones esenciales de TI estn identificadas explcitamente en el modelo de organizacin, con roles y
responsabilidades especificados claramente.

P Efectividad 9 gente
Confidencialidad
Integridad tecnologa
Disponibilidad instalaciones
Cumplimiento datos
confiabilidad
El nmero de proyectos de negocio atrasados debido a la inercia organizacional de TI o a la no disponibilidad

de las capacidades necesarias
El nmero de actividades fundamentales de TI fuera de la organizacin de TI que no son aprobadas y que no
estn sujetas a las estndares organizacionales de TI
El nmero de unidades de negocio soportadas por la organizacin de TI
La clasificacin de encuesta del enfoque de negocio, la moral y la satisfaccin del trabajo que tienen los
miembros del personal de TI
El porcentaje de utilizacin del personal de TI en los procesos de TI que producen beneficios directos de
negocio
La edad del cambio organizacional, incluyendo reorganizacin o reevaluacin organizacional

El nmero de recomendaciones de evaluacin organizacional sobre las que no se emprendi accin
Porcentaje de funciones organizacionales de TI que tienes su correspondiente en la estructura organizacional
del negocio
Nmero de unidades de TI con objetivos de negocios que recaen directamente en las funciones y
responsabilidades individuales
Porcentaje de funciones con descripciones documentadas del puesto de trabajo
Tiempo promedio que transcurre entre el cambio en la orientacin del negocio y el reflejo del cambio en la
estructura organizacional de TI
Porcentaje de las funciones esenciales que estn identificadas explcitamente en el modelo organizacional con
funciones y responsabilidades claras.

El control sobre el proceso de TI de Definir la Organizacin y las Relaciones de TI con el objetivo del
negocio de entregar los servicios correctos de TI
0 Inexistente. La organizacin de TI no est establecida de manera efectiva para concentrarse en el

logro de los objetivos del negocio
1 Inicial /Ad Hoc. Las actividades y funciones de TI son reactivas e implementadas de manera
inconsistente. No hay una estructura organizacional definida, las funciones y responsabilidades
son asignadas de manera informal, y no existen lneas claras de responsabilidad. La funcin de TI
es considerada una funcin de apoyo, sin una perspectiva general de la organizacin.
2 Repetible pero Intuitivo. Hay un entendimiento implcito de la necesidad de una organizacin de
TI; sin embargo, las funciones y responsabilidades no estn formalizadas y no se hacen cumplir.
La funcin de TI est organizada para responder de manera tctica, pero inconsistente, a las
necesidades del cliente y a las relaciones del vendedor. La necesidad de una organizacin
estructurada y de un manejo de los vendedores es comunicada, pero las decisiones son todava
dependientes de los conocimientos y habilidades de las personas clave. Hay un surgimiento de
tcnicas comunes para manejar la organizacin de TI y las relaciones con los vendedores.
3 Proceso Definido. Existen roles y responsabilidades definidos para la organizacin de TI y para
terceros. La organizacin de TI est desarrollada, documentada, comunicada y en concordancia
con la estrategia de TI. El diseo organizacional y el entorno de control interno estn definidos.
Hay formalizacin de las relaciones con otras partes, incluyendo los comits de direccin,
auditora interna y el manejo de vendedores. La organizacin de TI est completa desde el punto
de vista funcional; sin embargo, est ms enfocada en las soluciones tecnolgicas que en usar la
tecnologa para resolver problemas de negocio. Hay definiciones de las funciones que deben ser
realizadas por el personal de TI y de las que sern ejecutadas por los usuarios.
4 Administrado y Medible. La organizacin de TI es sofisticada, responde a los cambios de
manera proactiva e incluye todos las funciones necesarias para satisfacer los requerimientos del
negocio. La administracin de TI, la propiedad del proceso, la responsabilidad y la obligacin
estn definidas y balanceadas. Los requisitos esenciales de contratacin de personal de TI y las
necesidades de experiencia estn satisfechos. Se han aplicado en la organizacin las mejores
prcticas internas de las funciones de TI. La administracin de TI tiene la experiencia y las
habilidades apropiadas para definir, implementar y monitorear la organizacin y las relaciones
preferidas. Las mtricas de medicin para soportar los objetivos del negocio y los factores crticos
de xito definidos por el usuario estn estandarizados. Hay disponibles inventarios de habilidades
para apoyar la contratacin de personal del proyecto y el desarrollo profesional. El balance entre
las habilidades y los recursos disponibles internamente y los que se necesitan de las organizaciones
externas est definido y se hace valer.
5 Optimizado. La estructura organizacional de TI refleja de manera apropiada las necesidades del
negocio prestando servicios en concordancia con los procesos estratgicos del negocio, en vez de
concordar con tecnologas aisladas. La estructura organizacional de TI es flexible y se adapta
fcilmente. Hay una definicin formal de las relaciones con usuarios y con terceros. Las mejores
prcticas de la industria estn implementadas. El proceso para desarrollar y manejar la estructura
organizacional es sofisticado, seguido y bien manejado. Se utilizan conocimientos tcnicos
extensos internos y externos. Hay un uso extenso de tecnologa para asistir en el monitoreo de
funciones y responsabilidades organizacionales. TI respalda la tecnologa para apoyar las
organizaciones complejas, distribuidas geogrficamente y las virtuales. Est establecido un
constante proceso de mejoramiento.

Administrar la Inversin de Tecnologa de la Informacin
Control sobre el proceso de TI de Administrar la Inversin de TI con el objetivo del negocio de

asegurar el financiamiento y controlar el desembolso de recursos financieros
Es posibilitado por medio de una inversin peridica y de un presupuesto operativo establecido y

aprobado por el negocio
Considera los Factores Crticos de xito que apalancan Recursos de TI especficos y se mide
por medio de Indicadores Clave de Desempeo
Todos los costos relacionados con TI estn identificados y clasificados

Se mantiene un inventario efectivo de activos de TI que facilita la medicin exacta de costos
Estn definidos criterios formales de inversin para la toma de decisiones en un proceso sensible de
aprobacin, que se puede adaptar al tipo de proyecto
Est definido un plan de entrega de TI, proveyendo contexto de modo que exista una visin clara de un
trabajo en progreso y de inversiones, ciclos de vida de la tecnologa y reutilizacin del componente de
tecnologa
Est definido un proceso de toma de decisin de inversiones y el mismo considera impactos de corto y largo
plazo, impactos a travs de las divisiones, justificacin del negocio, realizacin de beneficios, contribucin
estratgica y cumplimiento con la arquitectura y orientacin de la tecnologa
Para permitir elecciones claras basadas en impactos, beneficios mesurables, marcos de tiempo y factibilidad,
las decisiones de inversin necesitan ser presentadas con opciones y alternativas
Los presupuestos e inversiones de TI estn en concordancia con la estrategia y los planes de negocios de TI
La autoridad para aprobar los gastos est claramente delegada
Los presupuestos que abarcan gastos de extremo a extremo tienen propietarios identificables y a los cuales
se puede pedir cuentas y son rastreados a su debido tiempo y en forma detallada, con herramientas
automatizada
Existe una responsabilidad clara de administracin para realizar los beneficios pronosticados y un proceso
para dar seguimiento y reportar sobre la realizacin de beneficios, que elimina los subsidios cruzados
Hay responsabilidades claras de administracin para realizar y dar seguimiento a los beneficios
pronosticados
Los que toman las decisiones consideran el impacto total, incluyendo el ciclo completo de vida y los efectos
adversos, en otras unidades del negocio

P Eficiencia 9 aplicaciones
Confidencialidad
Cumplimiento datos
S Confiabilidad
Porcentaje de las inversiones de TI que alcanzan o exceden los beneficios esperados, basado en el retorno de
la inversin y en la satisfaccin del usuario
Los gastos reales de TI como un porcentaje de los gastos totales de la organizacin vs. el objetivo
Los gastos reales de TI como un porcentaje de ingresos vs. el objetivo
Porcentaje logrado de los presupuestos de TI del dueo del negocio
Ausencia de demoras del proyecto ocasionadas por retrasos en las decisiones de inversin o en la no
disponibilidad de financiamiento
Porcentaje de proyectos que usan la inversin y los modelos de presupuesto estndar de IT

Porcentaje de proyectos con propietarios del negocio
Meses desde la ltima revisin de presupuestos
Demora entre la ocurrencia de la desviacin y el reporte de la misma
Porcentaje de archivos de proyectos que contienen evaluaciones de la inversin
Nmero de proyectos donde los beneficios del negocio no son verificados post-facto
Nmero de proyectos que revelan inversin o conflictos de recursos despus de aprobacin
Nmero de instancias y demora en el uso retrasado de nueva tecnologa

Control sobre el proceso de TI Administrar la Inversin de TI con el objetivo del negocio de asegurar
el financiamiento y controlar el desembolso de recursos financieros.
0 Inexistente. No hay conciencia de la importancia de la seleccin y presupuesto de la inversin de TI.
No hay seguimiento o monitoreo de las inversiones y gastos de TI.
1 Inicial /Ad Hoc. La organizacin reconoce la necesidad de administrar la inversin de TI, pero esta
necesidad es comunicada de manera inconsistente. No hay una asignacin formal de responsabilidad
para la seleccin de la inversin y el desarrollo del presupuesto de TI. Los gastos significativos
percibidos requieren justificaciones que los respalden. Las implementaciones aisladas de la seleccin y
el presupuesto de inversin de TI ocurren, con documentacin informal. Las inversiones de TI son
justificadas ad hoc. Se toman decisiones de presupuestos reactivas enfocadas en las operaciones.
2 Repetible pero Intuitivo. Hay un entendimiento implcito de la necesidad de seleccionar y
presupuestar la inversin de TI. La necesidad de un proceso de seleccin y del establecimiento de un
presupuesto es comunicada. El cumplimiento depende de la iniciativa de personas de la organizacin.
Hay un surgimiento de tcnicas comunes para desarrollar componentes del presupuesto de TI. Ocurren
decisiones reactivas y tcticas de presupuesto. Las expectativas basadas en tendencias de la tecnologa
estn comenzando a ser manifestadas y su impacto sobre la productividad y sobre los ciclos de vida del
sistema estn comenzando a ser considerados en las decisiones de inversin.
3 Proceso Definido. Los procesos de seleccin y presupuestacin de la inversin de TI son
razonablemente correctos y abarcan aspectos claves del negocio y de la tecnologa. La seleccin y
poltica de la inversin es definida, documentada y comunicada. El presupuesto de TI est alineado con
los planes estratgicos de TI y los planes del negocio. Los procesos de presupuestacin y de seleccin
de la inversin de TI estn formalizados, documentados y son comunicados. Est ocurriendo una auto
capacitacin informal. Est ocurriendo la aprobacin formal de las selecciones y presupuestos de
inversin de TI. El balance entre las inversiones en recursos humanos, hardware, software de sistemas
y software de aplicacin est definido y acorde para apalancar los desarrollos tecnolgicos y la
disponibilidad y productividad de los profesionales de TI.
4 Administrado y Medido. La responsabilidad y la obligacin de reportar la seleccin y
presupuestacin de inversiones es asignada a una persona especfica. Las variaciones del presupuesto
son identificadas y resueltas. El personal de TI tiene la experiencia y las habilidades necesarias para
desarrollar el presupuesto de TI y recomienda inversiones apropiadas de TI. Se realizan anlisis
formales de costos que abarcan los costos directos e indirectos de las operaciones existentes, as como
tambin las inversiones propuestas, usando el costo total de los conceptos de propiedad. Se usa un
proceso proactivo y estandarizado para la presupuestacin. El cambio en los costos de desarrollo y de
operacin desde hardware y software a integracin de sistemas y recursos humanos de TI es reconocido
en los planes de inversin.
5 Optimizado. Las ganancias y el rendimientos son calculados tanto en trminos financieros como no
financieros. Se usan las mejores prcticas de la industria para marcar como referencia los costos y
para identificar los mtodos para aumentar la efectividad de las inversiones. Se usa el anlisis de los
desarrollos tecnolgicos en el proceso de seleccin y presupuestacin de la inversin. Est establecido
un proceso de mejoramiento contnuo. Las decisiones de inversin incorporan tendencias de
mejoramiento de precio /desempeo, soportadas por nuevas tecnologas y productos. Las alternativas
de financiamiento son investigadas y evaluadas formalmente dentro del contexto de la estructura de
capital existente de la organizacin, usando mtodos formales de evaluacin. Hay una identificacin
proactiva de variaciones. Un anlisis del costo a largo plazo de propiedad est incorporado en las
decisiones de inversin. El proceso de inversin reconoce la necesidad de apoyar iniciativas
estratgicas de largo plazo creando nuevas oportunidades de negocios por medio del uso de la
tecnologa. La organizacin tiene una poltica bien entendida de riesgo de inversin respecto al uso de
adelanto o atraso de tecnologa en desarrollar nuevas oportunidades de negocio o eficiencias

Comunicar los Objetivos y Orientacin de la Gerencia
Control sobre el proceso de TI Comunicar los Objetivos y la Orientacin de la Gerencia con el
objetivo del negocio de asegurar el conocimiento y comprensin del usuario de estos objetivos
y se mide por medio de Indicadores Clave de Objetivo
Es posibilitado por polticas establecidas y comunicadas a la comunidad de usuarios; por otra

parte, es necesario establecer normas para traducir las opciones estratgicas en reglas prcticas
y utilizables por los usuarios

La ejecucin de polticas es considerada y decidida en el momento de desarrollar la poltica
Est establecido un proceso de confirmacin para medir el conocimiento, entendimiento y cumplimiento de las
polticas
Se cuenta con declaraciones y polticas de misin bien definidas y claramente articuladas
Las polticas de control de informacin estn en concordancia con los planes estratgicos generales
La administracin aprueba y est consagrada a las polticas de control de informacin, enfatizando en la
necesidad de comunicacin, comprensin y cumplimiento
La administracin dirige por medio del ejemplo
Hay orientacin prctica respecto a implementar polticas y procedimientos
Se usan diversos mtodos para atraer la atencin para comunicar repetidamente los mensajes importantes
Las polticas de control de informacin estn al da y actualizadas
Hay un marco de desarrollo de polticas que se aplica constantemente que gua la formulacin, desarrollo,
entendimiento y cumplimiento

Eficiencia aplicaciones
Confidencialidad
S Cumplimiento datos
Confiabilidad
Porcentaje de planes y polticas de TI que abarcan la misin, visin, objetivos, valores y cdigo de
conductque son desarrollados y documentados
Porcentaje de los planes y polticas de TI que son comunicados a todos los interesados
Porcentaje de la organizacin que ha sido entrenada en polticas y procedimientos
Medidas de mejoramiento del conocimiento del usuario basado en encuestas regulares
Nmero de polticas y procedimientos que se ocupan del control de la informacin
Tiempo de demora entre la aprobacin de la poltica y la comunicacin a los usuarios

Frecuencia de las comunicaciones
Edad de los documentos especficos de poltica de informacin (nmero de meses desde la ltima
actualizacin
Porcentaje del presupuesto asignado al desarrollo e implementacin de polticas de informacin
Porcentaje de polticas que tienen procedimientos operativos asociados para asegurar que las mismas se
lleven a cabo

Control sobre el proceso de TI Comunicar los Objetivos y la Orientacin de la Gerencia con el
objetivo del negocio de asegurar el conocimiento y entendimiento de esos objetivos por el usuario
0 Inexistente. La administracin no ha establecido un entorno positivo de control de la informacin.

No hay reconocimiento de la necesidad de establecer un conjunto de polticas, procedimientos,
estndares, y procesos de cumplimiento
1 Inicial /Ad Hoc. La administracin es reactiva para resolver los requerimientos del entorno de
control de la informacin. Las polticas, procedimientos y estndares se desarrollan y se
comunican ad-hoc, en la medida que se necesitan, impulsados primariamente por los problemas.
Los procesos de desarrollo, comunicacin y cumplimiento son informales e inconsistentes.
2 Repetible pero Intuitivo. La administracin tiene una comprensin implcita de las necesidades y
requerimientos de un entorno efectivo de control de informacin. Sin embargo, las prcticas son
informales y no se documentan de manera consistente. La administracin ha comunicado la
necesidad de polticas, procedimientos y estndares de control, pero el desarrollo es dejado a la
discrecin de los administradores y reas de negocio individuales. Las polticas y otros
documentos de respaldo se desarrollan basados en las necesidades individuales y no hay marco
general de desarrollo. La calidad es reconocida como una filosofa deseable a ser seguida, pero las
prcticas son dejadas a la discrecin de los administradores individuales. El entrenamiento se
lleva a cabo de manera individual y en la medida que se necesita.
3 Proceso Definido. La administracin ha desarrollado, documentado y comunicado un entorno

completo de control de informacin y administracin de la calidad que incluye un marco para
polticas, procedimientos y estndares. El proceso de desarrollo de polticas es estructurado,
mantenido y conocido por el personal, y las polticas, procedimientos y estndares existentes son
razonablemente sanas y abarcan aspectos clave. La administracin se ha ocupado de la
importancia de la conciencia de seguridad de TI y ha iniciado programas de concientizacin. Hay
disponible entrenamiento formal para apoyar el entorno de control de informacin pero no se
aplica de manera rigurosa. Hay un monitoreo inconsistente del cumplimiento de las polticas y
estndares de control.
4 Administrado y Medible. La administracin acepta responsabilidad de comunicar las polticas de

control interno y ha delegado responsabilidad y asignado recursos suficientes para mantener el
entorno en concordancia con los cambios significativos. Se ha establecido un entorno positivo,
proactivo de control de la informacin, incluyendo un compromiso con la calidad y la conciencia
de la seguridad de TI. Se ha desarrollado, mantenido y comunicado un conjunto completo de
polticas, procedimientos y estndares y es un compendio de las mejores prcticas internas. Se ha
establecido un marco para el desarrollo y las verificaciones posteriores del cumplimiento.
5 Optimizado. El entorno de control de la informacin est en concordancia con el marco y la

visin estratgicos de administracin y es revisado, actualizado con frecuencia y mejorado
constantemente. Se asignan expertos internos y externos para asegurar que se estn adoptando las
mejores prcticas de la industria respecto a la orientacin del control y a las tcnicas de
comunicacin. El monitoreo, las auto evaluaciones y los procesos de comunicacin son utilizados
a todo lo largo de la organizacin. Se usa la tecnologa para mantener las bases de conocimientos
sobre conciencia y mantenimiento de polticas y para optimizar la comunicacin usando la
automatizacin de oficina y herramientas de entrenamiento basadas en computadora.

Administrar Recursos Humanos
Control sobre el proceso de TI Administrar Recursos Humanos con el objetivo del negocio de adquirir
y mantener una fuerza de trabajo motivada y competente y maximizar las contribuciones del personal a
los procesos de TI
Es posibilitado por prcticas saludables, justas y transparentes de administracin de personal

para reclutar, contratar, pensionar1, compensar, entrenar, evaluar, promover y despedir
Considera los Factores Crticos de xito que apalancan Recursos especficos de TI y se mide
Existe un marco para el desarrollo y mantenimiento de un plan de administracin de recursos humanos

La administracin apoya y est dedicada al plan de administracin de recursos humanos de TI
Hay consistencia entre el plan estratgico de TI y el plan de administracin de recursos humanos de TI
Suficientes recursos y recursos con habilidades apropiadas estn asignados al desarrollo del plan de
administracin de recursos humanos de TI
Estn asignados recursos apropiados de entrenamiento y TI en curso para satisfacer las necesidades del plan
de administracin de recursos humanos de TI
Los planes de sucesin consideran puntos individuales de dependencia para evitar dejar vacos de
experiencia
Est implementada la rotacin de trabajo para el desarrollo de carreras

P Eficiencia aplicaciones
Confidencialidad
Cumplimiento datos
Confiabilidad

La edad del plan de administracin de recursos humanos de TI est definida por el nmero de meses desde la
ltima actualizacin
Porcentaje del personal de TI que satisface el perfil de competencia para su funcin dentro de la organizacin
Porcentaje de utilizacin del personal de TI en los procesos de TI que proveen beneficios directas de negocios
Tasa de movimiento de personal de TI
Porcentaje de logro de complemento de personal
Tiempo promedio, en meses, que los puestos de trabajo de personal de TI estn abiertos
1
Pensionar: Vet. (retiro por cumplimiento de la edad)
Tiempo transcurrido entre los cambios en el plan estratgico de TI y el plan de administracin de recursos
humanos de TI
Porcentaje del personal de TI con planes completados de desarrollo profesional
Porcentaje del personal de TI con revisiones de desempeo documentadas y validadas
Porcentaje de tiempo de entrenamiento por persona
Porcentaje de personal crtico con entrenamiento cruzado y personal asignado como reemplazo en caso de
ausencia del titular
Nmero de proyectos demorados o cancelados debido a la falta de recursos de personal de TI
Porcentaje del presupuesto de recursos humanos asignado al desarrollo y mantenimiento del plan de
administracin de recursos humanos de TI
Porcentaje de posiciones de personal de TI con descripciones documentadas del puesto de trabajo y
calificaciones de contratacin

Control sobre el proceso de TI Administrar Recursos Humanos con el objetivo del negocio de
maximizar las contribuciones del personal a los procesos de IT
0 Inexistente No hay conciencia de la importancia de alinear la administracin de recursos humanos

con el proceso de planeacin de la tecnologa para la organizacin. No hay ninguna persona o
grupo formalmente responsable de la administracin de recursos humanos de TI.
1 Inicial / Ad Hoc La administracin reconoce la necesidad de administrar los recursos humanos,

pero no ha formalizado un proceso o un plan. El proceso de administracin de recursos humanos
de TI es informal y tiene un enfoque reactivo y se concentra en las operaciones para contratar y
administrar el personal de TI. Se est desarrollando conciencia respecto al impacto que tienen los
cambios rpidos del negocio y de la tecnologa y las soluciones cada vez ms complejas sobre la
necesidad de nuevas habilidades y niveles de competencia.
2 Repetible pero Intuitivo Hay un entendimiento implcito de la necesidad de administrar los

recursos humanos de TI. Hay un enfoque tctico de la contratacin y administracin del personal
de TI, impulsado por las necesidades especficas del proyecto, y no por una orientacin de la
tecnologa y un balance entendido de disposicin interna y externa de personal calificado. Se lleva
a cabo un entrenamiento informal para el personal nuevo, quien entonces recibe entrenamiento en
la medida que lo necesita.
3 Proceso Definido Se ha desarrollado un proceso para administrar los recursos humanos de TI y

hay un plan definido y documentado de administracin de recursos humanos de TI. Hay un
enfoque estratgico para la contratacin y administracin del personal de TI. Est establecido un
plan formal de entrenamiento para satisfacer las necesidades de recursos de TI. Se ha diseado un
programa de rotacin para expandir tanto las habilidades tcnicas como de administracin del
negocio.
4 Administrado y Medible. Se ha asignado la responsabilidad del desarrollo y mantenimiento de

un plan de administracin de recursos humanos de TI a una persona especfica con la experiencia y
habilidades requeridas necesarias para desarrollar y mantener el plan. El proceso es sensible al
cambio. La organizacin tiene medidas estandarizadas que le permiten identificar desviaciones del
plan, con nfasis especfico en la administracin del crecimiento y movimiento del personal de TI.
Peridicamente se hace un anlisis de la escala de compensaciones para asegurar que los salarios
sean competitivos con los de organizaciones comparables de TI. La administracin de recursos
humanos de TI es proactiva, tomando en cuenta el desarrollo de la trayectoria de la carrera.
5 Optimizado. La organizacin tiene un plan efectivo de administracin de recursos humanos de TI

que satisface los requerimientos de negocios para TI y el negocio que soporta. La administracin
de recursos humanos de TI est integrada con la planeacin de la tecnologa, asegurando el
desarrollo ptimo y el uso de las habilidades disponibles de TI. Los componentes de la
administracin de recursos humanos de TI son consistentes con las mejores prcticas de la
industria, como por ejemplo la compensacin, las revisiones del desempeo, la participacin en
foros de la industria, la transferencia de conocimientos, el entrenamiento y el asesoramiento. Los
programas de entrenamiento se desarrollan para todas las nuevas normas y productos de tecnologa
antes de su implementacin en la organizacin. La tecnologa se usa para proveer habilidades,
entrenamiento e informacin de requerimientos de competencia en bases de datos fcilmente
accesibles, para asistir en el proceso de administracin de recursos humanos de TI. Estn
definidos y se ejecutan programas de incentivo para la administracin de TI, similares a los que
estn disponibles para otra administracin general de la organizacin, para recompensar a los que
alcanzan las metas de desempeo de TI.

Asegurar el Cumplimiento de los Requerimientos Externos
Control sobre el proceso de TI Asegurar el Cumplimiento de los Requerimientos Externos con el

objetivo del negocio de cumplir con las obligaciones legales, regulatorias y contractuales
Asegura la entrega de informacin al negocio que satisface los Criterios de Informacin y se mide por
medio de Indicadores Clave de Objetivo
Es posibilitado identificando y analizando los requerimientos externos para el impacto de su TI, y

tomando las medidas apropiadas para cumplirlas

Se han documentado y comunicado polticas y procedimientos relativos al cumplimiento de los
requerimientos externos
El cumplimiento es revisado por una funcin de monitoreo
Se mantiene un inventario de acciones correctivas que se necesitan para satisfacer los requerimientos externos
Estn definidos procesos de seguimiento para resolver los problemas de cumplimiento externo
Se cuenta con informacin para determinar el costo de cumplimiento de los requerimientos externos
Se realizan auditoras efectivas que cubren el cumplimiento

Eficiencia 9 aplicaciones
Confidencialidad
P Cumplimiento 9 datos
S Confiabilidad

Nmero de problemas legales, regulatorios o contractuales que surgen
Edad promedio de los problemas abiertos externos legales, regulatorios o contractuales
Costo de incumplimiento, como por ejemplo pagos o multas

Frecuencia de revisiones de cumplimiento
Nmero de excepciones identificadas en las revisiones de cumplimiento
Tiempo promedio entre la identificacin de problemas de cumplimiento externo y la solucin de los mismos

Control sobre el proceso de TI Asegurar el Cumplimiento de los Requerimientos Externos con el objetivo
del negocio de satisfacer las obligaciones legales, regulatorias y contractuales.
0 Inexistente Hay poca conciencia de los requerimientos externos que afectan a TI, y no hay ningn
proceso respecto al cumplimiento de requisitos regulatorios, legales y contractuales.
1 Inicial /Ad Hoc Hay conciencia del cumplimiento de las reglamentaciones, contratos y leyes que impactan a
la organizacin. Se siguen procesos informales para mantener el cumplimiento, pero slo a medida que
surge la necesidad en los proyectos nuevos o en respuesta a auditoras o revisiones.
2 Repetible pero Intuitivo Hay un entendimiento de la necesidad de cumplir los requerimientos
externos y la necesidad es comunicada. Donde el cumplimento se ha convertido en un requerimiento
recurrente, como en las reglamentaciones financieras o en la legislacin privada, se han desarrollado
procedimientos individuales de cumplimiento y stos se siguen anualmente. Sin embargo, no est
establecido un esquema general que asegure que se satisfacen todos los requerimientos de
cumplimiento. Es probable, por lo tanto, que ocurran excepciones y que nuevas necesidades de
cumplimiento slo sean resueltas de manera reactiva. Hay gran confianza en el conocimiento y
responsabilidad de las personas y hay probabilidad de errores. Hay un entrenamiento informal respecto
a los requerimientos externos y a los problemas de cumplimiento.
3 Proceso Definido Se han desarrollado, documentado y comunicado polticas, procedimientos y
procesos para asegura el cumplimiento de las reglamentaciones y de las obligaciones contractuales y
legales. Estas no siempre son seguidas y algunas pueden ser obsoletas o ser imprcticas para
implementar. Se realiza poco monitoreo y hay requisitos de cumplimiento que no hay sido satisfechos.
Se provee entrenamiento en requisitos legales y regulatorios externos que afectan a la organizacin y
los procesos definidos de cumplimiento. Existen contratos pro forma y procesos legales estndar para
minimizar los riesgos asociados con la responsabilidad contractual.
4 Administrado y Medible Hay total entendimiento de los problemas y riesgos provenientes de
requisitos externos y de la necesidad de asegurar el cumplimiento a todos los niveles. Hay un esquema
de entrenamiento formal que asegura que todo el personal est conciente del cumplimiento de sus
obligaciones. Las responsabilidades estn claras y la propiedad del proceso es comprendida. El
proceso incluye una revisin del entorno para identificar los requisitos externos y los cambios en curso.
Est establecido un mecanismo para monitorear el no cumplimiento de los requisitos externos, reforzar
las prcticas externas e implementar acciones correctivas. Los problemas de incumplimiento son
analizados en busca de causas de fondo en una forma estandarizada, con el objetivo de identificar las
soluciones sostenibles. Se utilizan las mejores prcticas internas estandarizadas para necesidades
especficas como por ejemplo lar reglamentaciones vigentes y los contratos recurrentes de servicio.
5 Optimizado Hay un proceso bien organizado, eficiente y en vigor para cumplir con los requisitos
externos, basado en una sola funcin central que provee orientacin y coordinacin con toda la
organizacin. Hay amplio conocimiento de los requisitos externos aplicables, incluyendo sus
tendencias futuras y cambios anticipados, y la necesidad de nuevas soluciones. La organizacin
participa en discusiones externas con grupos regulatorios y de la industria para entender e influir en los
requisitos externos que los afectan. Se han desarrollado las mejores prcticas que aseguran el
cumplimiento eficiente de los requisitos externos, que resultan en muy pocos casos de excepciones de
cumplimiento. Existe un sistema central de rastreo a nivel de toda la organizacin, posibilitando que la
administracin documente el flujo de trabajo y mida y mejore la calidad y efectividad del proceso de
monitoreo de cumplimiento. Est implementado un proceso externo de auto evaluacin de
requerimientos y el mismo ha sido refinado hasta un nivel de la mejor prctica. El estilo y cultura de
administracin de la organizacin relativos al cumplimiento son suficientemente fuertes y los procesos
se desarrollan lo suficientemente bien para que el entrenamiento se limite al personal nuevo y
siempre que haya un cambio significativo.

Evaluar los Riesgos
Control sobre el proceso de TI Evaluar los Riesgos con el objetivo del negocio de apoyar las decisiones
de la administracin para lograr los objetivos de TI y responder a las amenazas reduciendo la
complejidad, la objetividad creciente e identificando factores importantes de decisin
Es posibilitado por la organizacin dedicndose a la identificacin de riesgos y al anlisis de
impactos de TI, que involucran funciones multidisciplinarias y tomando medidas de eficiencia de
costos para mitigar los riesgos
Hay funciones y responsabilidades claramente definidas para la propiedad de la administracin del riesgo y la
obligacin de reportar a la administracin
Est establecida una poltica para definir los lmites de riesgo y la tolerancia de riesgo
La evaluacin del riesgo se efecta observando las vulnerabilidades, amenazas y el valor de la informacin
Se mantiene informacin estructura de riesgos, alimentada por medio del reporte de incidentes
Existen responsabilidades y procedimientos para definir, acordar y financiar mejoras en la administracin del
riesgo
El foco de la evaluacin es primariamente en las amenazas reales y menos en las tericas
Las sesiones de lluvia de ideas2 y de anlisis de la causa que lo origina que conduce a la identificacin y
mitigacin del riesgo se realizan de forma rutinaria
Un tercero lleva a cabo una verificacin de realidad de la estrategia para aumentar la objetividad y la misma es
repetida a intervalos apropiados

P Confidencialidad
P Integridad 9 tecnologa
P Disponibilidad 9 instalaciones
S Cumplimiento
9 datos
S Confiabilidad
Mayor grado de conciencia de la necesidad de evaluaciones de riesgo

Menor nmero de incidentes causados por riesgos identificados despus del hecho
Mayor nmero de riesgos identificados que han sido mitigados de manera suficiente
Mayor nmero de procesos de TI que han completado evaluaciones formales documentadas de riesgo
Porcentaje apropiado o nmero de medidas de estimacin de costo efectivas de la evaluacin del riesgo.
2
Tormenta de Ideas: Brainstorming
Nmero de reuniones y talleres de administracin del riesgo

Nmero de proyectos de mejoramiento de administracin del riesgo
Nmero de mejoramientos del proceso de evaluacin del riesgo
Nivel de financiamiento asignado a proyectos de manejo del riesgo
Nmero y frecuencia de actualizaciones a lmites y polticas de riesgo publicados
Nmero y frecuencia de reportes de monitoreo del riesgo
Nmero de miembros del personal entrenado en metodologa de manejo del riesgo
Control sobre el proceso de TI Evaluar los Riesgos con el objetivo del negocio de apoyar las decisiones
de la administracin en alcanzar los objetivos de TI y en responder a las amenazas reduciendo la
complejidad, aumentando la objetividad e identificando factores de decisin importantes.
0 Inexistente La estimacin del riesgo para los procesos y las decisiones del negocio no ocurre. La
organizacin no considera los impactos del negocio asociados con vulnerabilidades de la seguridad
y con inseguridades de proyectos de desarrollo. Es improbable que la administracin de riesgos
sea identificada dentro del plan de un proyecto o sea asignada a administradores especficos
involucrados en el proyecto. La administracin de TI no especifica responsabilidad para la
administracin del riesgo en las descripciones de los puestos de trabajo u otro medio informal.
Riesgos especficos relacionados con TI como la seguridad, disponibilidad e integridad son
considerados ocasionalmente por proyecto.
1 Inicial /Ad Hoc La organizacin est conciente de sus responsabilidades y obligaciones legales y
contractuales, pero considera los riesgos de TI de manera ad hoc, sin seguir procesos o polticas
definidas. Tienen lugar evaluaciones informales del riesgo de proyecto a medida que lo determina
cada proyecto. No es probable que las evaluaciones de riesgo sean identificadas especficamente
dentro del plan de un proyecto o a ser asignado a administradores especficos involucrados en el
proyecto. La administracin de TI no especifica responsabilidad por la administracin del riesgo
en las descripciones de puestos de trabajo u otro medio informal. Los riesgos especficos
relacionados con TI como son la seguridad, disponibilidad e integridad son ocasionalmente
considerados por proyecto. Los riesgos relacionados con TI que afectan las operaciones cotidianas
se discuten con poca frecuencia en las reuniones de la administracin. Cuando se han considerado
los riesgos, la mitigacin es inconsistente.
2 Repetible pero Intuitivo Ha surgido un entendimiento de que los riesgos de TI son importantes y
que es necesario considerarlos. Existe algn enfoque de evaluacin de riesgos, pero el proceso es
todava inmaduro y est en desarrollo. La evaluacin es usualmente a un nivel elevado y
tpicamente se aplica slo a los proyectos importantes. La evaluacin de las operaciones en curso
depende principalmente de los administradores de TI que lo presentan como un punto de la
agenda, lo cual a menudo slo ocurre cuando surgen problemas. La administracin de TI
generalmente no tiene definidos procedimientos o descripciones de puestos de trabajo que se
encarguen de la administracin del riesgo.
3 Proceso Definido La poltica de manejo del riesgo a nivel de toda una organizacin define
cundo y cmo llevar a cabo evaluaciones de riesgo. La evaluacin del riesgo sigue un proceso
definido que est documentado y disponible para todo el persona a travs de entrenamiento. Las
decisiones de seguir el proceso y recibir entrenamiento se dejan a la discrecin de las personas. La
metodologa es convincente y saludable, y asegura que los riesgos clave del negocio
probablemente sean identificados. Las decisiones de seguir el proceso se dejan a los
administradores individuales de TI y no hay procedimiento para asegurar que todos los proyectos
estn cubiertos o que la operacin en curso es examinada en busca de riesgos de manera regular.
4 Administrado y Medible La evaluacin del riesgo es un procedimientos estndar y las

excepciones a seguir el procedimiento seran anunciadas por la administracin de TI. Es probable
que la administracin del riesgo sea una funcin definida de la administracin con responsabilidad
a nivel general. El proceso es adelantado y el riesgo es evaluado a nivel del proyecto individual y
tambin regularmente respecto a la operacin general de TI. Se advierte a la administracin sobre
los cambios en el entorno de TI que podran afectar significativamente los escenarios de riesgo
como por ejemplo una mayor amenaza proveniente de la red o tendencias tcnicas que afectan la
integridad de la estrategia de TI. La administracin puede monitorear la posicin de riesgo y
tomar decisiones inteligentes respecto a la exposicin que est dispuesta a aceptar. La gerencia
general ha determinado los niveles de riesgo que la organizacin tolerar y tiene medidas estndar
de proporciones de riesgo / rendimiento. Presupuestos de administracin para proyectos de
administracin de riesgos operativos para reevaluar los riesgos regularmente. Est establecida una
base de datos de administracin de riesgos.
5 Optimizado La evaluacin de los riesgos se ha desarrollado hasta una etapa en que un proceso
estructurado, en toda la organizacin, es ejecutado, seguido y bien administrado. La tormenta de
ideas y el anlisis de la causa que origin el riesgo, que involucra a personas expertas, se aplican
en toda la organizacin. La captura, anlisis y reporte de datos de administracin de riesgos estn
altamente automatizados. El asesoramiento se obtiene de los jefes en el terreno y la organizacin
de TI participa en grupos colegas para intercambiar experiencias. La administracin del riesgo
est verdaderamente integrada en todas las operaciones y negocios de TI, es bien aceptada e
involucra extensamente a los usuarios de servicios de TI.

Administrar Proyectos
Control sobre el proceso de TI Administrar Proyectos con el objetivo del negocio de establecer
prioridades y entregar a tiempo y dentro de presupuesto
Es posibilitado por la organizacin que identifica y da prioridad a los proyectos en lnea con el
plan operativo y la adopcin y aplicacin de tcnicas saludables de administracin de proyectos
para cada proyecto emprendido
Se cuenta con administradores experimentados y calificados de proyectos

Est establecido un proceso aceptado y estndar de administracin de programas
Hay un patrocinio de proyectos por parte de la gerencia general y los interesados y el personal de TI
comparten en la definicin, implementacin y administracin de proyectos
Hay un entendimiento de las capacidades y limitaciones de la organizacin y la funcin de TI en administrar
proyectos grandes, complejos
Est definida y se ejecuta una metodologa de evaluacin de riesgo de proyectos en toda la organizacin
Todos los proyectos tienen un plan con estructuras claras de desglose de trabajos, estimados razonablemente
precisos, requerimientos de habilidades, problemas para rastrear, un plan de calidad y un proceso transparente
de cambio
La transicin del equipo de implementacin al equipo operativo es un proceso bien administrado
La organizacin ha definido y usa una metodologa de ciclo de vida de desarrollo de sistemas

Confidencialidad
Cumplimiento
datos
Confiabilidad
Mayor nmero de proyectos entregados en conformidad con una metodologa definida

Disponibilidad de programa de proyectos e informacin de presupuestos
Disminucin en los problemas sistmicos y comunes del proyecto
Mejor tiempo de identificacin de riesgo de proyectos
Mayor satisfaccin de la organizacin con servicios entregados de proyecto
Mejor tiempo de decisiones de administracin de proyectos
Mayor nmero de proyectos entregados en conformidad con una metodologa definida

Porcentaje de participacin de interesados en los proyectos (ndice de participacin)
Nmero de das de entrenamiento de administracin de proyectos por miembro de equipo de proyecto
Nmero de revisiones de hitos del proyecto y de presupuesto
Porcentaje de proyectos con revisiones posteriores al proyecto
Nmero promedio de aos de experiencia de los administradores de proyectos
P10 Modelo de Madurez

Control sobre el proceso de TI Administrar Proyectos con el objetivo del negocio de establecer
prioridades y entregar a tiempo y dentro del presupuesto.
0 Inexistente No se usan tcnicas de administracin de proyectos y la organizacin no considera

impactos de negocio asociados con mala administracin de proyectos y fracasos en el desarrollo de
los proyectos.
1 Inicial /Ad Hoc La organizacin est en general conciente de la necesidad de que los proyectos
sean estructurados y est conciente de los riesgos de los proyectos administrados deficientemente.
El uso de tcnicas y mtodos de administracin de proyectos dentro de TI es una decisin que se
deja a los administradores individuales de TI. Los proyectos son en general definidos de manera
deficiente y no incorporan objetivos de negocio y tcnicos de la organizacin o de los interesados
del negocio. Hay una falta general de dedicacin de la administracin y la propiedad de proyectos y
las decisiones crticas se hacen sin la administracin de usuarios o la contribucin del cliente. Hay
poca o ninguna participacin en la definicin de proyectos de TI. No hay una organizacin clara
dentro de los proyectos de TI y las funciones y responsabilidades no estn definidas. Los
cronogramas e hitos de los proyectos estn pobremente definidos. El tiempo y los gastos del
personal del proyecto no son rastreados y comparados con los presupuestos.
2 Repetible pero Intuitivo La gerencia general ha ganado y comunicado un conocimiento de la

necesidad de la administracin de proyectos de TI. La organizacin est en el proceso de aprender y
repetir ciertas tcnicas y mtodos de un proyecto a otro. Los proyectos de TI han definido de
manera informal objetivos definidos de negocio y tcnicos. Hay una participacin limitada en la
administracin de proyectos de TI por parte de los interesados. Se han desarrollado algunos
lineamientos para la mayora de los aspectos de la administracin de proyectos, pero su aplicacin es
dejada a la discrecin del administrador individual del proyecto.
3 Proceso Definido El proceso y la metodologa de administracin de proyectos de TI han sido

establecidos y comunicados formalmente. Los proyectos de TI estn definidos con objetivos
apropiados de negocio y tcnicos. Los interesados estn involucrados en la administracin de
proyectos de TI. La organizacin de proyectos de TI y algunas funciones y responsabilidades estn
definidos. Los proyectos de TI tienen hitos, cronogramas, presupuesto y medidas de desempeo
definidos y actualizados. Los proyectos de TI tienen procedimientos formales de post-
implementacin al sistema. Se provee entrenamiento informal de administracin de proyectos. Se
han definido procedimientos de aseguramiento de calidad y actividades posteriores a la
implementacin del sistema, pero stas no son aplicadas ampliamente por los administradores de TI.
Se estn definiendo polticas para usar un balance de recursos internos y externos.
4 Administrado y Medible La administracin requiere que la mtrica formal y estandarizada de

proyectos y las lecciones aprendidas sean revisadas a continuacin de la terminacin de un
proyecto. La administracin de proyectos se mide y se evala en toda la organizacin y no slo
dentro de TI. Las ampliaciones al proceso de administracin de proyectos son formalizadas y
comunicadas, y los miembros del equipo de proyectos son entrenados sobre todas las
ampliaciones. La administracin de riesgos se realiza como parte del proceso de administracin de
proyectos. Los interesados participan activamente en los proyectos y los dirigen. Los hitos del
proyecto, as como tambin los criterios para evaluar el xito en cada hito, han sido establecidos.
El valor y el riesgo se miden y se administran antes, durante y despus de la terminacin de los
proyectos. La administracin ha establecido una funcin de administracin de programas dentro
de TI. Los proyectos estn definidos, equipados con personal y administrados para resolver cada
vez ms las metas de la organizacin y no slo las especficas de TI.
5 Optimizado Est implementada y ejecutada una metodologa probada de proyectos de ciclo de

vida completo, y la misma est integrada en la cultura de toda la organizacin. Se ha
implementado un programa en progreso para identificar e institucionalizar las mejores prcticas.
Hay apoyo firme y activo de proyecto por los patrocinadores de gerencia general as como tambin
por los interesados. La administracin de TI ha implementado una estructura de organizacin de
proyectos con funciones documentadas, responsabilidades y criterios de desempeo del personal.
Est definida una estrategia a largo plazo de recursos de TI para apoyar el desarrollo y las
decisiones operativas de outsourcing. Una oficina integrada de administracin de programas es
responsable de los proyectos desde el inicio hasta despus de la implementacin. La oficina de
administracin de programas est bajo la administracin de las unidades de negocios y hace las
requisiciones y dirige los recursos de TI para completar los proyectos. La planeacin a nivel de
toda la organizacin asegura que el usuario y los recursos de TI estn mejor utilizados para apoyar
las iniciativas estratgicas.

Administrar Calidad
Control sobre el proceso de TI Administrar Calidad con el objetivo del negocio de satisfacer los
requerimientos de clientes de TI
Es posibilitado por la planeacin, implementacin y mantenimiento de normas y sistemas de

administracin de calidad proveyendo fases distintas de desarrollo, productos claros y
responsabilidades explcitas
Se ha creado un proceso de desarrollo claramente definido y acordado para ejecutar el aseguramiento de

calidad
La calidad est definida por la organizacin con funciones claras para los procesos de aseguramiento de
calidad y procedimientos de control de calidad
Se ha implementado un programa de aseguramiento de calidad con normas de calidad medibles bien
definidas, y se han definido, provisto de recursos y alineado procesos de control de calidad
Hay un mejoramiento constante y una base definida de conocimientos para procesos y para la mtrica
Hay un programa de educacin y entrenamiento de calidad
Los interesados estn involucrados en el programa de aseguramiento de calidad
Una cultura positiva de calidad es promovida de manera consistente por todos los estratos de la organizacin
Existe conciencia de que las normas de calidad debe aplicarse por igual a los procesos y proyectos donde la
confianza es depositada en terceros
Todo proceso de entrega necesita tener criterios adecuados de aseguramiento de calidad
Se hace nfasis en el entrenamiento del personal de TI y de los usuarios finales para probar los mtodos y
las tcnicas

Confidencialidad
Cumplimiento datos
S Confiabilidad
Nmero de procesos y proyectos de TI que satisfacen los requerimientos de los interesados

Mayor clasificacin para la satisfaccin del cliente con los servicios prestados
Nmero de procesos de TI y de proyectos terminados formalmente por aseguramiento de calidad sin
repeticin significativa del trabajo
Menor nmero de defectos de calidad
Menor nmero de reportes de incumplimiento contra normas de calidad
Nmero de procesos y proyectos de TI con participacin activa de administracin de aseguramiento de

calidad
Nmero de actividades documentadas de monitoreo y prueba de aseguramiento de calidad
Nmero de revisiones del aseguramiento de calidad por colegas
Nmero de proceso y proyectos de TI a los cuales se les a efectuado Benchmark
Nmero de reuniones entre los interesados y los desarrolladores
Nmero promedio de das de entrenamiento en administracin de la calidad
Nmero de proyectos con criterios documentados y medidos de calidad
P11 Modelo de Madurez
Control sobre el proceso de TI Administrar la Calidad con el objetivo del negocio de satisfacer los
requerimientos de TI del cliente.
0 Inexistente La organizacin carece de un proceso de planeacin de aseguramiento de calidad y de

una metodologa de ciclo de vida de desarrollo de sistemas. La gerencia general y el personal de TI
no reconocen que es necesario un programa de calidad. Los proyectos y operaciones no se revisan
nunca por calidad.
1 Inicial /Ad Hoc Hay una conciencia de la administracin de la necesidad de aseguramiento de

calidad. La experiencia individual impulsa la aseguramiento de calidad, cuando sta ocurre. Las
actividades de aseguramiento de calidad cuando ocurren estn enfocadas al proyecto de TI y a las
iniciativas orientadas al proceso, no a procesos a nivel de toda la organizacin. Los proyectos y
operaciones de TI no son medidos generalmente por calidad, sino que la administracin da opiniones
informales sobre la calidad.
2 Repetible pero Intuitivo Se ha definido la mtrica bsica de calidad y podra repetirse de un

proyecto a otro dentro de la organizacin de TI. Se est estableciendo un programa para administrar
actividades de aseguramiento de calidad dentro de TI. Estn establecidas prcticas de planeacin y
monitoreo de administracin de TI sobre las actividades de aseguramiento de calidad, pero no se
ejecutan ampliamente. Estn surgiendo herramientas y prcticas comunes para la administracin de
la calidad. Las encuestas de satisfaccin de calidad de realizan ocasionalmente.
3 Proceso Definido La administracin de TI est construyendo una base de conocimientos para

medicin de la calidad. Hay un proceso definido de aseguramiento de calidad que ha sido
comunicado por la administracin y que involucra tanto a TI como a la administracin de usuarios
finales. Se ha instituido un programa de educacin y entrenamiento para ensear calidad a todos los
niveles de la organizacin. La conciencia de la calidad es alta en toda la organizacin. Se estn
estandarizando herramientas y prcticas y ocasionalmente se aplica un anlisis de las causas de
fondo. Est establecido y bien estructurado un programa estandarizado para medir la calidad. Las
encuestas de satisfaccin de calidad se realizan de manera consistente.
4 Administrado y Medible La organizacin mide de manera constante y consistente la calidad de los

procesos, servicios, productos y proyectos. El aseguramiento de calidad es atendido en todos los
procesos, incluyendo los procesos con confianza depositada en terceros. Se est estableciendo una
base estandarizada de conocimientos para la medicin de la calidad. Las encuestas sobre la
satisfaccin de calidad es un proceso constante y conduce al anlisis de las causas de fondo. Se usan
los mtodos de costo-beneficio para justificar las iniciativas de aseguramiento de calidad. Las
responsabilidades y obligacin de reportar estn siendo cada vez ms definidas para los procesos de
negocio a nivel de toda la organizacin y no slo para los procesos de TI. Cada vez se hace ms
Benchmarking contra la industria y las estndares de los competidores.
5 Optimizado La conciencia de la calidad es muy elevada dentro de toda la organizacin. El

aseguramiento de calidad est integrado y se ejecuta en todas las actividades de TI. Los procesos de
aseguramiento de calidad son flexibles y adaptables a los cambios en el entorno de TI. Todos los
problemas de calidad son analizados en busca de las causas que los originaron. Las encuestas de
satisfaccin de calidad son una parte esencial de un proceso constante de mejoramiento. La base de
conocimientos es complementada con las mejores prcticas externas. Se realiza se manera rutinaria
Benchmarking contra los estndares externos. El aseguramiento de calidad de los procesos de TI
est totalmente integrados con la aseguramiento sobre los procesos del negocio para asegurar que los
productos y servicios de toda la organizacin tengan una ventaja competitiva.
ADQUISICIN E IMPLEMENTACIN
AI1 Adquisicin e Implementacin

Identificar Soluciones Automatizadas
El Control sobre el proceso de TI de Identificar Soluciones Automatizadas con el objetivo del negocio
de asegurar un enfoque efectivo y eficiente para satisfacer los requerimientos del usuario
se mide por los Indicadores Clave de Objetivo
Es posibilitado por una identificacin y anlisis objetivos y claros de las oportunidades

alternativas medidas en contraposicin con los requerimientos del usuario
Considera los Factores Crticos de xito que respaldan Recursos de TI especficos y se

Hay buen conocimiento de las soluciones disponibles en el mercado

Estn definidas las prcticas para resolver no slo la correccin del diseo y la solidez de la funcionalidad, sino
tambin: la operabilidad, incluyendo el desempeo, la escalabilidad, y la integracin; la aceptabilidad, que
abarca la administracin, el mantenimiento y el soporte; y la sostenibilidad, respecto al costo, a la productividad
y a la apariencia
Estn definidos criterios para considerar el desarrollo interno, soluciones compradas y opciones de outsourcing
Hay un mtodo general de adquisicin e implementacin o una metodologa de ciclo de vida de desarrollo del
sistema que est claro, entendido y aceptado
Hay un proceso transparente, rpido y eficiente para planear, iniciar y aprobar soluciones
Los usuarios claves estn identificados para dar apoyo al anlisis y recomendacin de soluciones
Las soluciones estn construidas a partir de componentes predefinidos
Est implementado un proceso estructurado de anlisis de requerimientos
Hay una definicin clara de las responsabilidades del proveedor
Usan tecnologa probada como elemento principal y tecnologa nueva donde se necesita, justificada por un caso
de negocio
Hay conciencia del costo total de propiedad de la solucin
Los requerimientos de seguridad y control son considerados previamente

P Efectividad gente
Confidencialidad
Cumplimiento datos
Confiabilidad
Nmero o porcentaje de proyectos reiniciados o redirigidos

Nmero o acumulacin de soluciones no aplicadas
Nmero o porcentaje de soluciones aprobadas por el funcionario jefe de tecnologa o por el arquitecto que est
en lnea con la estrategia de TI y la arquitectura de TI
Nmero o porcentaje de soluciones aprobadas por el usuario a medida que satisfacen totalmente los
requerimientos del usuario
Nmero o porcentaje de soluciones que consideran plenamente las alternativas, la factibilidad y el riesgo
Porcentaje de soluciones implementadas formalmente aprobadas por los propietarios de negocios y por TI
Tiempo transcurrido entre la definicin de requerimientos y la identificacin de una solucin

Nmero o porcentaje de soluciones devueltas de la prueba de aceptacin
Tiempo transcurrido antes de la aprobacin de la solucin identificada
Nmero de proyectos que involucran a los usuarios en la definicin de requerimientos y en la seleccin de
soluciones
Nmero de soluciones afectadas posteriormente por solicitudes de cambios significativos debido a cambios
funcionales
AI1 Modelo de Madurez
El control sobre el proceso de TI Identificar Soluciones Automatizadas de TI con el objetivo del

negocio de asegurar el mejor mtodo para satisfacer el requerimiento de usuario
0 Inexistente. La organizacin no requiere la identificacin de requerimientos funcionales y

operativos para el desarrollo, implementacin o modificacin de soluciones, como por ejemplo
soluciones de sistema, de servicio, de infraestructura, de software y de datos. La organizacin no
mantiene una conciencia sobre las soluciones tecnolgicas disponibles que son potencialmente
relevantes para su negocio.
1 Inicial /Ad hoc Hay una conciencia de la necesidad de definir requerimientos y de identificar
soluciones tecnolgicas. Sin embargo, los mtodos son inconsistentes y no estn basados en una
metodologa especfica de adquisicin e implementacin. Los grupos individuales tienden a
reunirse para discutir necesidades de manera informal y los requerimientos por lo general no
estn documentados. Las soluciones son identificadas por personas basadas en una conciencia
limitada del mercado, o en respuesta a ofertas de vendedores. Hay poco o ningn anlisis
estructurado o investigacin de la tecnologa disponible.
2 Repetible pero Intuitiva No hay una metodologa de adquisicin e implementacin definida

formalmente, pero los requerimientos tienden a ser definidos en una forma similar en todo el
negocio debido a prcticas comunes dentro de TI. Las soluciones son identificadas de manera
informal sobre la base de la experiencia interna y de los conocimientos de la funcin de TI. El
xito de cada proyecto depende de la experiencia de unas pocas personas claves de TI y la
calidad de la documentacin y de la toma de decisiones vara considerablemente.
3 Proceso Definido La organizacin ha establecido una metodologa de adquisicin e

implementacin, que requiere un mtodo claro y estructurado para determinar soluciones de TI
para satisfacer requerimientos del negocio. El mtodo requiere la consideracin de alternativas
evaluadas contra los requerimientos del usuario, las oportunidades tecnolgicas, la factibilidad
econmica, los anlisis de riesgos y otros factores. El proceso no es, sin embargo, siempre
seguido para cada proyecto y depende de decisiones hechas por el personal individual
involucrado, la cantidad de tiempo de administracin dedicado y el tamao y la prioridad del
requerimiento original del negocio. Tpicamente, el proceso es omitido o considerado no
prctico.
4 Administrado y Medible La organizacin ha establecido una metodologa de adquisicin e

implementacin, que ha evolucionado hasta el punto en que es inusual que no sea aplicada. La
documentacin es de buena calidad y cada etapa es debidamente aprobada. Los requerimientos
son bien articulados y estn en conformidad con estructuras predefinidas. La metodologa obliga
a considerar apropiadamente las soluciones alternativas y del anlisis de costos y beneficios que
permite que se hagan elecciones informadas. La metodologa es clara, definida, generalmente
comprendida y medible. Por lo tanto, las excepciones pueden ser determinadas y corregidas
fcilmente por la administracin. Las soluciones responden eficientemente a los requerimientos
de los usuarios y hay conciencia de que las soluciones consideradas con perspectiva al futuro
pueden mejorar los procesos del negocio y la solucin competitiva.
5 Optimizado La metodologa de adquisicin e implementacin de la organizacin ha estado

sujeta a constante mejoramiento y se ha mantenido a la par de los cambios en la tecnologa.
Tiene flexibilidad, lo que le permite manejar la gama de proyectos desde aplicaciones de gran
escala en toda la organizacin hasta proyectos especficos tcticos. La metodologa es
soportada por bases de datos de conocimientos internos y externos que contienen materiales de
referencia sobre soluciones de tecnologa. La metodologa misma produce documentacin
producida por el computador en una estructura predefinida que hace muy eficientes la
produccin y el mantenimiento. La organizacin puede a menudo identificar nuevas
oportunidades para utilizar la tecnologa para ganar ventaja competitiva, influir en el proceso
de reingeniera del negocio y mejorar la eficiencia general.

Adquirir y Mantener Software de Aplicacin
El Control sobre el proceso de TI de Adquirir y Mantener Software de Aplicacin con el objetivo del
negocio de proveer funciones automatizadas que soporten efectivamente el proceso del negocio
Es posibilitado por la definicin de declaraciones especficas de requerimientos funcionales y
operativos, y una implementacin por fase con productos claros
Considera los Factores Crticos de xito que respaldan Recursos de TI especficos y se mide
por medio de los Indicadores Clave de Desempeo.
La metodologa de adquisicin e implementacin es fuertemente soportada por la alta gerencia

Las prcticas de administracin son claras, comprendidas y aceptadas
Hay una metodologa formal, aceptada, entendida y ejecutada de adquisicin e implementacin
Se cuenta con un conjunto apropiado de herramientas automatizadas de soporte, que ahorran tiempo en la
seleccin de software concentrndose en lo mejor de su especie
Hay separacin entre las actividades de desarrollo y de prueba
Los requerimientos clave son priorizados en vista de posibles reducciones de su alcance, si no se puede transar
en el tiempo, la calidad o el costo
El mtodo emprendido y el esfuerzo dedicado estn relacionados con la relevancia de la aplicacin para el
negocio
Se acuerda el grado y la forma de la documentacin requerida y el acuerdo se mantiene durante la
implementacin
Se monitorea el cumplimiento de la arquitectura corporativa de TI, incluyendo un proceso formal para aprobar
desviaciones

P Efectividad gente
Confidencialidad
S Integridad tecnologa
S Cumplimiento datos
S Confiabilidad
Nmero de aplicaciones entregadas a tiempo, cumpliendo con las especificaciones y en lnea con la
arquitectura de TI
Nmero de aplicaciones sin problemas de integracin durante la implementacin
Costo de mantenimiento por aplicacin por debajo del nivel fijado
Nmero de problemas de produccin, por aplicacin, que causa visible reduccin de tiempo o degradacin del
servicio
Nmero de soluciones no consistentes con la estrategia aprobada y vigente de TI
Proporcin (ratio) reducida de mantenimientos relacionados con nuevos desarrollos
Proporcin del costo real de mantenimiento por aplicacin en comparacin con el promedio del portafolio de
aplicaciones
Tiempo promedio para entregar funcionalidad, sobre la base de medidas tales como puntos o mdulos de
funcin
Nmero de solicitudes de cambio relacionados consoftware maligno, errores crticos y nuevas
especificaciones funcionales
Nmero de problemas de produccin o mal funcionamiento por aplicacin y por cambios generados por el
mantenimiento
Nmero de desviaciones de los procedimientos estndar, tales como aplicaciones no documentadas, diseo no
aprobado y prueba reducida para cumplir con las fechas tope
Nmero de mdulos devueltos o nivel de reprocesamiento requerido despus de la prueba de aceptacin
Demora para analizar y resolver problemas
Nmero o porcentaje de software de aplicacin documentado de manera efectiva despus de mantenimiento

El control sobre el proceso de TI Adquirir y Mantener Software de Aplicacin de TI con el objetivo
del negocio de proveer funciones automatizadas que soporten efectivamente el proceso de negocio
0 Inexistente. No hay un proceso para disear y especificar aplicaciones. Tpicamente, las
aplicaciones se obtienen sobre la base de ofertas impulsadas por vendedores, reconocimiento de
marcas o familiaridad del personal de TI con productos especficos, con poca o ninguna
consideracin de los requerimientos reales.
1 Inicial /Ad hoc Hay una conciencia de que se requiere un proceso para adquirir y mantener
aplicaciones Los mtodos, sin embargo, varan de un proyecto a otro sin consistencia alguna y
tpicamente en aislamiento de los dems proyectos. Es probable que la organizacin haya adquirido
una variedad de soluciones individuales y que ahora est padeciendo de problemas e ineficiencias de
productos de software existente en la organizacin, incluyendo el mantenimiento y el soporte. Los
usuarios del negocio no pueden sacar mucho provecho de las inversiones de TI.
2 Repetible pero Intuitiva Hay procesos similares para adquirir y mantener aplicaciones, pero stos
estn basados en la experiencia dentro de la funcin de TI, no en un proceso documentado. La tasa
de xito con las aplicaciones depende en gran medida de las habilidades internas y de los niveles de
experiencia dentro de TI. El mantenimiento es usualmente problemtico y sufre cuando se han
perdido conocimientos internos de la organizacin.
3 Proceso Definido Hay procesos documentados de adquisicin e implementacin. Se hace un

intento de aplicar consistentemente procesos documentados en todas las diferentes aplicaciones y
proyectos, pero no siempre se les encuentra prcticos de implementar o que reflejen las soluciones
tecnolgicas actuales. Son generalmente inflexibles y difciles de aplicar en todos los casos, de
modo que las medidas son frecuentemente desviadas. En consecuencia, las aplicaciones se
adquieren a menudo en forma fragmentada. El mantenimiento sigue un mtodo definido, pero
frecuentemente absorbe demasiado tiempo y es ineficiente.
4 Administrado y Medido Hay una metodologa formal, clara y bien entendida de adquisicin e
implementacin de sistemas y la poltica que incluye un diseo formal y un proceso de
especificacin, criterios para la adquisicin de software de aplicacin, un proceso para probar y
requerimientos para la documentacin, asegurando que todas las aplicaciones se adquieran y se
mantengan en forma consistente. Existen mecanismos formales de aprobacin para asegurar que se
sigan todos los pasos y que se autoricen las excepciones. Los mtodos han evolucionado de modo
que estn bien adecuados a la organizacin y es probable que sean usados positivamente por todo el
personal, y aplicables a la mayora de los requerimientos de aplicacin.
5 Optimizado Las prcticas de adquisicin y mantenimiento de software de aplicacin estn acordes

con los procesos acordados. El mtodo est basado en componentes, con aplicaciones predefinidas,
estandarizadas adaptadas a las necesidades del negocio. Es usual que se tomen mtodos a nivel de
toda la organizacin. El proceso de adquisicin y mantenimiento es bien avanzado, posibilita un
despliegue rpido y permite una alta capacidad de respuesta, as como tambin flexibilidad, para
responder a los requerimientos cambiantes del negocio. El proceso de adquisicin e implementacin
de software de aplicacin ha estado sujeto a constante mejoramiento y es respaldado por bases de
datos de conocimientos internos y externos que contienen materiales de referencia y las mejores
prcticas. La metodologa crea documentacin automatizada en una estructura predefinida que hace
muy eficiente la produccin y el mantenimiento.

Adquirir y Mantener Infraestructura de Tecnologa
El Control sobre el proceso de TI de Adquirir y Mantener Infraestructura de Tecnologa con el
objetivo del negocio de proveer las plataformas apropiadas para soportar las aplicaciones del negocio
Asegura la entrega de informacin al negocio que satisface los Criterios de Informacin requeridos y se
mide por los Indicadores Clave de Objetivo
Es posibilitado por la adquisicin juiciosa de hardware, estandarizacin sobre el software, evaluacin

del desempeo del hardware y del software, y administracin consistente del sistema
Considera los Factores Crticos de xito que respaldan Recursos de TI especficos y se mide por medio
de los Indicadores Clave de Desempeo.
La metodologa de adquisicin e implementacin es fuertemente soportada por la alta gerencia

Las prcticas de adquisicin son claras, comprendidas y aceptadas
Hay una fcil integracin en todas las distintas plataformas de tecnologa
Estrategia bien articulada del negocio y los requisitos de arquitectura relacionados estn definidos y son
apoyados por la alta gerencia
Se cuenta con un inventario actualizado de infraestructura de hardware y de software
Las relaciones con los vendedores estn bien desarrolladas
Existe capacidad para establecer de manera adecuada el costo de superposicin entre las diferentes plataformas
tecnolgicas
Estn definidas las polticas para promover elecciones bien consideradas entre el desarrollo interno, las
infraestructuras externas de respaldo y el outsourcing
El proceso de seleccin est enfocado en usar componentes reutilizables
Estn definidas polticas para administrar las dependencias de proveedores de una sola fuente
Hay coordinacin con los procesos y sistemas de administracin de cambios
Se usa una metodologa bien definida de ciclo de vida para seleccionar, adquirir, mantener y eliminar tecnologa
de infraestructura
La adquisicin considera debidamente los requerimientos de desempeo y capacidad integrndose con procesos
de administracin de capacidad y desempeo
Se cuenta con un conjunto apropiado de herramientas automatizadas de soporte, ahorrando tiempo en la
seleccin concentrndose en lo mejor de su tipo.

P Efectividad gente
P Eficiencia aplicaciones
Confidencialidad
S Integridad 9 tecnologa
Cumplimiento datos
Confiabilidad
Disminucin del nmero de plataformas que divergen de la infraestructura tecnolgica acordada

Nmero de demoras en la implementacin de sistemas debido a una infraestructura inadecuada
Proporcin reducida de esfuerzos de mantenimiento relativos a nuevo desarrollo
Reduccin de tiempo de mercado de sistemas debido a una infraestructura predefinida y flexible
Tiempo improductivo reducido de la infraestructura
Disminucin del nmero de sistemas con problemas serios de interoperabilidad
Nmero de problemas de desempeo de aplicaciones relacionados con inadecuaciones en la infraestructura
tecnolgica
Disminucin del nmero de plataformas diferentes

Edad de las plataformas
Nmero de funciones y recursos compartidos
Nmero y frecuencia de cambios
Nmero de interrupciones debidas a una falta de mantenimiento preventivo
Nmero de interrupciones debidas a cambios del software de sistema
Costos basados en el esfuerzo y en el tiempo transcurrido, para una modificacin importante del software de
sistema o de la infraestructura
El control sobre el proceso de TI Adquirir y Mantener Infraestructura de Tecnologa de TI con el

objetivo del negocio de proveer las plataformas apropiadas para soportar las aplicaciones del negocio
0 Inexistente. La arquitectura de la tecnologa no es reconocida como un tpico suficientemente

importante que debe ser tratado.
1 Inicial /Ad hoc Se hacen cambios a la infraestructura para cada nueva aplicacin sin un plan
general. A pesar de que hay conciencia de que la infraestructura de TI es importante, no hay un
mtodo general consistente.
2 Repetible pero Intuitiva Hay consistencia entre los mtodos tcticos, cuando se adquiere y se
mantiene la infraestructura de TI; sin embargo, no se basa en una estrategia definida y no
considera las necesidades de las aplicaciones del negocio que debe ser soportado.
3 Proceso Definido Surge un proceso claro, definido y generalmente entendido para administrar la
infraestructura de TI. Soporta las necesidades de aplicacin crticas del negocio y est alineado
con la estrategia de TI y del negocio. Sin embargo, no es posible determinar si el proceso se aplica
de manera consistente y por lo tanto es improbable que la infraestructura soporte plenamente las
necesidades de las aplicaciones del negocio. El outsourcing de la totalidad o de parte de la
infraestructura de TI ocurre generalmente como reaccin a problemas o a oportunidades
especficas.
4 Administrado y Medible El proceso de adquisicin y mantenimiento para la infraestructura de la

tecnologa se ha desarrollado hasta el punto que funciona bien para la mayora de las situaciones,
es seguido de manera consistente dentro de TI y se basa en componentes y se concentra en la
reutilizacin. Los intentos de hacer cambios a la infraestructura sin seguir los procesos definidos
acordados seran detectados e impedidos. Es probable que la infraestructura de TI soporte de
manera adecuada las aplicaciones del negocio. El proceso est bien organizado, pero es a menudo
reactivo en vez de ser proactivo. El costo y el tiempo para alcanzar el nivel esperado de
escalabilidad flexibilidad e integracin no est optimizado. Efectuar un outsourcing de la totalidad
o de una parte de la infraestructura de TI es parte del plan tctico.
5 Optimizado. El proceso de adquisicin y mantenimiento para la infraestructura de la tecnologa es

proactivo y est estrechamente alineado con las aplicaciones crticas del negocio y con la
arquitectura de la tecnologa. Se siguen las mejores prcticas respecto a soluciones de tecnologa y
la organizacin est al tanto de los ltimos desarrollos de plataforma y herramientas de
administracin, incluyendo mtodos en toda la organizacin y de la necesidad de aumentar los
niveles de fiabilidad, disponibilidad y seguridad de la red. Los costos son reducidos
racionalizando y estandarizando los componentes de la infraestructura y usando la automatizacin.
La organizacin mantiene un alto nivel de conocimientos tcnicos y puede identificar las mejores
formas de mejorar proactivamente el desempeo, incluyendo la consideracin de opciones de
outsourcing. Puede monitorear y medir el desempeo de su infraestructura existente para la
deteccin oportuna de los problemas. La infraestructura de TI es vista como el posibilitador clave
para respaldar el uso de TI. Los riesgos de proveedor de una sola fuente son administrados
activamente.

Desarrollar y Mantener Procedimientos
El Control sobre el proceso de TI de Desarrollar y Mantener Procedimientos con el objetivo del

negocio de asegurar el debido uso de las aplicaciones y de las soluciones tecnolgicas establecidas
Es posibilitado por un enfoque estructurado del desarrollo de manuales de procedimiento de

usuario y de operaciones, requerimientos de servicio y materiales de entrenamiento

Existen acuerdos bien definidos a nivel de servicio, con claras vinculaciones con las normas de documentacin
La infraestructura y la organizacin estn diseadas para promover y compartir documentacin de usuario,
procedimientos tcnicos y material de entrenamiento entre instructores, help desk y grupos de usuarios
El entrenamiento del usuario en el uso de los procedimientos est integrado con los planes de la organizacin y
de entrenamiento de TI
Los procesos de inventario del negocio, procedimientos del negocio y procedimientos de TI son mantenidos
usando herramientas automatizadas
El proceso de desarrollo asegura el uso de procedimientos operativos estndar y de una apariencia y percepcin
estndar
Est definido y se monitorea un marco estndar para documentacin y procedimientos
Se usa administracin de conocimientos, tcnicas de flujos de trabajo y herramientas automatizadas para
desarrollar, distribuir y mantener procedimientos.

Confidencialidad
S Cumplimiento
datos
S Confiabilidad
Nmero de aplicaciones donde los procedimientos de TI estn integrados de manera impecable en los procesos
del negocio
El nmero de soluciones tcnicas que no estn documentadas de manera adecuada, incluyendo falta de
manuales de usuario, manuales de operaciones y materiales de entrenamiento
Medicin compuesta del nivel de satisfaccin con material de entrenamiento, documentacin de usuario y
operacional
Costo reducido de producir y mantener documentacin de usuario, procedimientos operacionales y materiales
de entrenamiento
Niveles de suficiencia de los usuarios del sistema basados en el porcentaje de disponibilidad usada.
Nivel de asistencia de los usuarios y de los operadores a los entrenamientos para cada aplicacin
Exactitud de solicitudes de cambio e integridad de la documentacin de usuario, procedimientos de TI y
materiales de entrenamiento
Demora entre cambios y actualizaciones de entrenamiento, procedimientos y materiales de documentacin
ndice de encuestas de satisfaccin con respecto al material de entrenamiento, procedimientos de usuario y
procedimientos de operaciones
Reduccin en el nmero de llamadas de entrenamiento manejadas por el Help Desk
Nmero de incidentes causados por documentacin deficiente
Nmero de aplicaciones con entrenamiento adecuado proporcionado a los usuarios
El control sobre el proceso de TI Desarrollar y Mantener Procedimientos de TI con el objetivo del

negocio de asegurar el debido uso de las aplicaciones y de las soluciones de tecnologa establecidas
0 Inexistente. No hay ningn proceso establecido respecto a la produccin de documentacin de

usuario, manuales de operaciones y material de entrenamiento. Los nicos materiales que existen
son los suministrados con los productos comprados.
1 Inicial /Ad hoc La organizacin est conciente de que se necesita un proceso que resuelva la
documentacin. La documentacin se produce ocasionalmente, pero est dispersa en la
organizacin, es inconsistente y slo est disponible para grupos limitados. Gran parte de la
documentacin y de los procedimientos son obsoletos, y prcticamente no hay integracin de
procedimientos en todos los diferentes sistemas y unidades de negocio. Los materiales de
entrenamiento tienden a ser esquemas que se usan una sola vez con calidad variable, usualmente
de naturaleza genrica y a menudo suministrados por terceros, sin ser adaptados a la organizacin.
2 Repetible pero Intuitiva Se emprenden enfoques similares respecto a producir procedimientos y

documentacin, pero los mismos no estn basados en un enfoque o marco estructurado. Los
procedimientos de usuario y operativos estn documentados, pero no hay un enfoque uniforme y,
por lo tanto, su exactitud y disponibilidad se basan en gran medida en las personas, y no en un
proceso formal. Se cuenta con material de entrenamiento, pero ste tambin tiende a ser producido
individualmente y su calidad depende de las personas involucradas. Los procedimientos reales y
la calidad del soporte de usuario pueden por lo tanto variar de pobre a muy bueno, con muy poca
consistencia e integracin en toda la organizacin.
3 Proceso Definido Hay un marco claramente definido, aceptado y entendido para la documentacin
del usuario, los manuales de operaciones y los materiales de entrenamiento. Los procedimientos
son almacenados y mantenidos en una biblioteca formal y pueden ser accesados por cualquiera que
necesite conocerlos. Se hacen correcciones de manera reactiva. Se cuenta con procedimientos
fuera de lnea y stos pueden ser accesados y mantenidos en caso de desastre. Existe un proceso
que especifica actualizaciones de procedimiento y materiales de entrenamiento son un producto
explcito de un proyecto de cambio. A pesar de la existencia de enfoques definidos, el contenido
real vara porque no hay control para hacer cumplir las normas. Los usuarios estn formalmente
involucrados en el proceso Se usan cada vez ms herramientas automatizadas en la generacin y
distribucin de procedimientos.
4 Administrado y Medible El cumplimiento consistente ha mejorado el marco definido para

mantener los procedimientos y los materiales de entrenamiento. El enfoque asumido abarca todos
los sistemas y unidades de negocio, de modo que los procesos pueden ser vistos desde una
perspectiva de negocio y estn integrados para incluir interdependencias e interfaces. Existen
controles para asegurar que los estndares se cumplan y que los procedimientos se desarrollen y se
mantengan para todos los procesos. Se recoge retroalimentacin de usuario y se emprenden
acciones correctivas cuando los puntajes de retroalimentacin son inaceptables. De ah que, la
documentacin y los materiales de entrenamiento estn por lo general a un buen nivel predecible
de fiabilidad y disponibilidad. Est implementado un proceso formal para usar documentacin y
administracin de procedimientos automatizados. El desarrollo de procedimientos automatizados
est cada vez ms integrado con el desarrollo de sistemas de aplicacin, facilitando la consistencia
y el acceso a los usuarios.
5 Optimizado El Proceso para la documentacin de usuarios y operativa es mejorado

constantemente a travs de la adopcin de nuevas herramientas o mtodos. Los materiales de
procedimiento son tratados como una base de conocimientos que evoluciona constantemente que
es mantenida electrnicamente usando administracin de conocimientos actualizados, flujo de
trabajo y tecnologas de distribucin, hacindolo accesible y fcil de mantener. El material est
actualizado para reflejar cambios organizacionales, operativos y de software y est totalmente
integrado en la definicin de procesos de negocio, soportando as los requerimientos a nivel de
toda la organizacin, en lugar de slo los procedimientos orientados a TI.

Instalar y Acreditar Sistemas
El Control sobre el proceso de TI de Instalar y Acreditar Sistemas con el objetivo del negocio de
verificar y confirmar que la solucin es adecuada para el propsito que se pretende
Es posibilitado por la realizacin de una instalacin, migracin, conversin y plan de aceptacin

bien formalizados
La metodologa de adquisicin e implementacin es establecida y aplicada consistentemente

Se cuenta con recursos para soportar un ambiente separado de prueba y se permite tiempo suficiente para el
proceso de prueba
Se garantiza el compromiso y la participacin de los interesados en la prueba, entrenamiento y procesos de
transicin
Se cuenta con datos de pruebas representativos de datos reales en calidad y cantidad, y el ambiente de prueba
refleja el ambiente real tan aproximadamente como es posible
Est implementado un mecanismo de retroalimentacin para optimizar y mejorar el proceso constantemente
Se realizan pruebas de estrs para los nuevos sistemas antes de que los mismos sean implementados y se realiza
una prueba de regresin para los sistemas existentes cuando se implementan cambios
Se definen y se cumplen constantemente procedimientos para certificar y acreditar formalmente sistemas con
base en la seguridad
Hay un claro entendimiento y verificacin de los requerimientos operativos

Confidencialidad
S Disponibilidad 9 instalaciones
Cumplimiento
9 datos
Confiabilidad
Reduccin del nmerode hitos perdidos de instalacin y acreditacin

Tiempo para concluir el proceso de instalacin y acreditacin desde el principio al fin del proceso de
certificacin y acreditacin de la seguridad
Reduccin del nmero de sistemas operativos no acreditados, en la instancia en que el proceso no ocurri
Nmero de cambios a sistemas instalados que se necesitan para optimizar las operaciones
Nmero de cambios requeridos a continuacin de una prueba de aceptacin del sistema
Nmero de hallazgos durante las auditoras internas o externas relativos al proceso de instalacin y
acreditacin
Nmero de cambios requeridos para corregir problemas despus que las soluciones son puestas en produccin
Grado de participacin de interesados en el proceso de instalacin y acreditacin

Nmero de procesos automatizados de instalacin y acreditacin
Frecuencia de reporte de lecciones aprendidas
Satisfaccin de usuario reportada con el proceso de instalacin y acreditacin (lecciones aprendidas)
Nmero de hallazgos durante la revisin del aseguramiento de calidad de las funciones de instalacin y
acreditacin
Capacidad de reutilizacin de la plataforma de prueba

El control sobre el proceso de TI Instalar y Acreditar Sistemas de TI con el objetivo del negocio de
verificar y confirmar que la solucin es adecuada para el propsito que se pretende
0 Inexistente. Hay una total falta de procesos formales de instalacin o acreditacin y la alta
gerencia o el personal de TI no reconoce la necesidad de verificar que las soluciones estn
adecuadas para el propsito que se pretende.
1 Inicial /Ad hoc Hay conciencia de la necesidad de verificar y confirmar que las soluciones
implementadas sirven para el propsito que se pretende. La prueba se realiza para algunos
proyectos, pero la iniciativa para probar es dejada a los equipos individuales de proyecto y los
enfoques emprendidos varan. La acreditacin formal y la conclusin es rara o no existe en
absoluto.
2 Repetible pero Intuitiva Hay alguna consistencia entre la prueba y los enfoques de acreditacin,
pero la misma no se basa en ninguna metodologa. Los equipos de desarrollo individual
normalmente deciden el mtodo de prueba y hay por lo general una ausencia de prueba de
integracin. Hay un proceso informal de aprobacin, no necesariamente basado en criterios
estandarizados. La acreditacin y conclusin formal se aplica de manera consistente.
3 Proceso Definido Est establecida una metodologa formal relativa a instalacin, migracin, conversin
y aceptacin. Sin embargo, la administracin no tiene la capacidad de determinar el cumplimiento. Los
procesos de instalacin y acreditacin de TI estn integrados en el ciclo de vida el sistema y estn
automatizados en cierta medida. El entrenamiento, prueba y transicin al estado de produccin y a la
acreditacin es probable que varen del proceso definido, sobre la base de las decisiones individuales.
La calidad de los sistemas que entran en produccin es inconsistente, con nuevos sistemas que a
menudo generan un nivel significativos de problemas posteriores a la implementacin.
4 Administrado y Medido Los procedimientos son formalizados y desarrollados para que estn bien
organizados y para que sean prcticos con entornos de prueba definidos y con los procedimientos de
acreditacin. En la prctica, todos los grandes cambios a los sistemas siguen este mtodo formalizado.
La evaluacin de la satisfaccin de los requerimientos de usuario est estandarizada y se puede medir,
produciendo mtricas que pueden ser revisadas y analizadas efectivamente por la administracin. La
calidad de los sistemas que entran a la produccin es satisfactoria para la administracin, con niveles
razonables de problemas posteriores a la implementacin. La automatizacin del proceso es ad hoc y
depende del proyecto. Ni las evaluaciones posteriores a la implementacin ni las constantes revisiones
de calidad se emplean de manera consistente, a pesar de que la administracin puede estar satisfecha
con el nivel actual de eficiencia. El sistema de pruebas refleja adecuadamente el entorno real. La
prueba de estrs para los sistemas nuevos y la prueba de regresin para los sistemas existentes se aplica
para los proyectos mayores.
5 Optimizado Los procesos de instalacin y acreditacin han sido refinados hasta un nivel de
mejores prcticas, basados en los resultados de constante mejoramiento y refinamiento. Los
procesos de TI de instalacin y acreditacin estn totalmente integrados en el ciclo de vida del
sistema y automatizados cuando es conveniente, facilitando el ms eficiente entrenamiento, prueba
y transicin al estatus de produccin de nuevos sistemas. Los entornos de prueba bien
desarrollados, registros de problemas y procesos de resolucin de fallas aseguran una transicin
eficiente y efectiva al entorno de produccin. La acreditacin tiene lugar por lo general con
reprocesamiento limitado y los problemas posteriores a la implementacin estn por lo general
limitados a correcciones menores.
Las revisiones posteriores a la implementacin estn tambin estandarizadas, con lecciones

aprendidas canalizadas de regreso en el proceso para asegurar un constante mejoramiento de
calidad. La prueba de estrs para los sistemas nuevos y la prueba de regresin para los sistemas
modificados se aplican consistentemente.

Administrar Cambios
El Control sobre el proceso de TI de Administrar Cambios con el objetivo del negocio de minimizar la
probabilidad de interrupcin, alteraciones no autorizadas y errores
Es posibilitado por un sistema de administracin que provee para el anlisis, la implementacin y

el seguimiento de todos los cambios solicitados y hechos a la infraestructura existente de TI
Las polticas de cambio son claras y conocidas y son implementadas rigurosa y sistemticamente
La administracin de cambios est fuertemente integrada con administracin de liberacin o puesta en
produccin y forma parte integral de la administracin de configuraciones
Hay un proceso rpido y eficiente de planeacin, aprobacin e iniciacin que abarca la identificacin, la
categorizacin y la evaluacin del impacto y la priorizacin de cambios
Se cuenta con herramientas automatizadas de proceso para soportar la definicin del flujo de trabajo
(workflow) planes de trabajo pro forma, plantillas de aprobacin, prueba, configuracin y distribucin
Se aplican procedimientos oportunos y claros de pruebas de aceptacin antes de efectuar el cambio
Est establecido un sistema para rastrear y dar seguimiento a cambios individuales, as como tambin para
parmetros de proceso de cambio
Est definido un proceso formal para entregar desde desarrollo hasta operaciones
Los cambios toman en cuenta el impacto sobre los requerimientos de capacidad y desempeo
Se cuenta con documentacin completa y actualizada de aplicacin y configuracin
Est establecido un proceso para administrar la coordinacin entre los cambios, reconociendo
interdependencias
Est implementado un proceso independiente para verificar el xito o fracaso del cambio
Hay segregacin de tareas entre desarrollo y produccin

Confidencialidad
P Disponibilidad 9 Instalaciones
Cumplimiento
9 datos
S Confiabilidad
Reduccin del nmero de errores introducidos en los sistemas debido a cambios

Reduccin del nmero de interrupciones (prdida de disponibilidad) causadas por cambio mal administrado
Impacto reducido de interrupciones causadas por el cambio
Reduccin del nivel de recursos y de tiempo requerido como porcentaje del nmero de cambios
Nmero de correcciones de emergencia
Nmero de versiones diferentes instaladas al mismo tiempo

Nmero de mtodos de liberacin y distribucin de software por plataforma
Nmero de desviaciones de la configuracin estndar
Nmero de correcciones de emergencia para las que no se aplic retroactivamente el proceso normal de
administracin de cambios
Demora entre la disponibilidad de la reparacin y su implementacin
Porcentaje entre solicitudes aceptadas y rechazadas de implementacin de cambios
El control sobre el proceso de TI Administrar Cambios de TI con el objetivo del negocio de minimizar
la probabilidad de interrupcin, alteraciones no autorizadas y errores
0 Inexistente. No hay un proceso definido de administracin de cambios y se pueden hacer cambios

prcticamente sin control alguno. No hay conciencia de que los cambios pueden causar
interrupciones tanto para TI como para las operaciones de negocios, y ninguna conciencia de los
beneficios de una buena administracin de cambios.
1 Inicial /Ad hoc Se reconoce que los cambios deben ser administrados y controlados, pero no hay
un proceso consistente para seguimiento. Las prcticas varan y es probable que ocurran cambios
no autorizados. Hay documentacin insuficiente o inexistente de cambios, y la documentacin de
configuracin est incompleta y no es confiable. Es probable que ocurran errores junto con
interrupciones en el entorno de produccin causados por una administracin deficiente del cambio.
2 Repetible pero Intuitiva Hay un proceso informal de administracin de cambios y la mayora de

los cambios siguen este mtodo; sin embargo, el mismo no est estructurado, es rudimentario y
est propenso a error. La precisin de la documentacin de configuracin es inconsistente y slo
tiene lugar una planeacin y un estudio de impacto limitados antes de un cambio. Hay
considerable ineficiencia y repeticin de trabajo.
3 Proceso Definido Est establecido un proceso formal de administracin de cambios, que incluye
procedimientos de categorizacin, priorizacin, emergencia, autorizacin y administracin de
cambios, pero no se impone su cumplimiento. El proceso definido no siempre es visto como
adecuado o prctico y, en consecuencia, ocurren trabajos paralelos y los procesos son desviados.
Es probable que ocurran errores y los cambios no autorizados ocurrirn ocasionalmente. El anlisis
de impacto a los cambios de TI sobre las operaciones del negocio se estn volviendo formales para
soportar la ejecucin de los planes para nuevas aplicaciones y tecnologas.
4 Administrado y Medible El proceso de administracin de cambios est bien desarrollado y es

seguido de manera consistente para todos los cambios, y la administracin confa en que no hay
excepciones. El proceso es eficiente y efectivo, pero se basa en considerables procedimientos y
controles manuales para asegurar que se logre la calidad. Todos los cambios estn sujetos a una
planeacin y estudio de impacto exhaustivos para minimizar la probabilidad de problemas
posteriores a la produccin. Est establecido un proceso de aprobacin para los cambios. La
documentacin de administracin de cambios est al da y es correcta, y los cambios son
rastreados formalmente. La documentacin de la configuracin est generalmente actualizada. La
planeacin e implementacin de la administracin de cambios de TI se est volviendo ms
integrada con cambios en los procesos de negocios, para asegurar ese entrenamiento, se resuelven
cambios organizativos y problemas de continuidad de negocio. Hay mayor coordinacin entre la
administracin de cambios de TI y el rediseo del proceso de negocios.
5 Optimizado El proceso de administracin de cambios es revisado y actualizado regularmente

para mantener en lnea con las mejores prcticas. La informacin de configuracin est
automatizada y provee control de versiones. La distribucin de software es automatizada y se
cuenta con capacidades de monitoreo a distancia. La administracin de configuracin y liberacin
y rastreo de cambios es sofisticado e incluye herramientas para detectar software no autorizado y
sin licencia. La administracin de cambios de TI est integrada con la administracin de cambios
del negocio para asegurar que TI sea un posibilitador para aumentar la productividad y crear
nuevas oportunidades de negocios para la organizacin.
ENTREGA Y SOPORTE
(ENTREGA DE SERVICIOS Y SOPORTE)
DS1 Entrega y Soporte

Definir y Administrar Niveles de Servicio
El Control sobre el proceso de TI de Definir y Administrar Niveles de Servicio con el objetivo del
negocio de establecer un entendimiento comn del nivel de servicio requerido
Es posibilitado por el establecimiento de acuerdos de nivel de servicio que formalizan los criterios
de desempeo contra los cuales se medir la cantidad y la calidad del servicio que ser medido
Los niveles de servicio estn expresados en trminos de negocio de usuario final, donde sea posible
El anlisis del origen de la causa se realiza cuando ocurren violaciones de los niveles de servicio
Se cuenta con habilidades y herramientas para proveer informacin til y oportuna del nivel de servicio
La confiabilidad de los procesos crticos de negocio en TI est definida y amparada por acuerdos de nivel de
servicio
Las obligaciones de rendir cuenta y las responsabilidades de la administracin de TI estn vinculadas con
niveles de servicio
La organizacin de TI puede identificar fuentes de variacin de costos
Se proveen explicaciones detalladas y consistentes para variaciones de costo
Se cuenta con un sistema de rastreo y seguimiento de cambios individuales

S Confidencialidad
S Cumplimiento
9 datos
S Confiabilidad
La conclusin por parte de unidades estratgicas de negocio de que los niveles de servicio estn alineados
con objetivos clave del negocio
La satisfaccin de cliente de que el nivel de servicio llena las expectativas
La proporcin real entre el costo real y el presupuestado est en lnea con los niveles de servicio
El porcentaje de todos los procesos crticos de negocio se basa en que TI est cubierta por acuerdos de nivel
de servicio
El porcentaje de los acuerdos de nivel de servicio revisado en el intervalo acordado o a continuacin de un
cambio importante
Se provee informacin sobre el monitoreo de los niveles de servicio proporcionados por los niveles de
servicio de los socios de negocios
Porcentaje de servicios de TI que cumplen los acuerdos de nivel de servicio
Demora de resolucin de una solicitud de cambio de nivel de servicio

Frecuencia de encuestas sobre la satisfaccin del cliente
Demora para resolver un problema de nivel de servicio
Nmero de veces que se completa un anlisis del origen de las causas de procedimiento de nivel de servicio
y posterior resolucin dentro del perodo de tiempo requerido
Importancia de la cantidad de financiamiento adicional que se necesita para entregar el nivel de servicio
definido
DS1 Modelo de Madurez

El control sobre el proceso de TI Definir y Administrar Niveles de Servicio de TI con el objetivo del
negocio de establecer un entendimiento comn del nivel de servicio requerido
0 Inexistente. La administracin no ha reconocido la necesidad de un proceso para definir niveles
de servicio. Las obligaciones de rendir cuenta y las responsabilidades no estn asignadas.
1 Inicial /Ad hoc Hay conciencia de la necesidad de administrar niveles de servicio, pero el
proceso es informal y reactivo. La responsabilidad y obligacin de rendir cuenta del desempeo
de monitoreo est definida de manera informal. Las mediciones del desempeo son cualitativas,
con metas definidas sin precisin. El reporte del desempeo es poco frecuente e inconsistente.
2 Repetible pero Intuitiva Hay acuerdos celebrados sobre el nivel de servicio, pero son informales
y no son revisados. El reporte de nivel de servicio es incompleto, irrelevante o engaoso y
depende de las habilidades y de la iniciativa de los administradores individuales. Se nombra un
coordinador de nivel de servicio con responsabilidades definidas, pero con autoridad insuficiente.
El proceso de cumplimiento del acuerdo de nivel de servicio es voluntario y su cumplimiento no se
exige.
3 Proceso Definido Las responsabilidades estn bien definidas, pero con autoridad discrecional. El
proceso de desarrollo de los acuerdos de nivel de servicio est establecido con puntos de
verificacin para revaluar los niveles de servicio y la satisfaccin del cliente. Los criterios de
niveles de servicios estn definidos y acordados con los usuarios, con un mayor nivel de
estandarizacin. Las carencias de nivel de servicio estn identificadas, pero la planeacin de la
resolucin es an informal. La relacin entre la financiacin brindada y los niveles de servicio
esperados se est formalizando cada vez ms. El nivel de servicio se basa cada vez ms en el
Benchmarks de la industria y no puede resolver las necesidades especficas de la organizacin.
4 Administrado y Medible Los niveles de servicios son cada vez ms definidos en la fase de
definicin de los requerimientos de sistema e incorporados en el diseo de los ambientes de
aplicacin y operacin. La satisfaccin del cliente se mide y se determina de manera rutinaria.
Las medidas de desempeo estn reflejando cada vez ms las necesidades del usuario final, en
lugar de reflejar nicamente las metas de TI. Los criterios de medicin de los niveles de servicio
de usuario se estn volviendo estandarizados y reflejo de la norma de la industria. El anlisis de
causas originarias se realiza cuando no se cumple con los niveles de servicio. El sistema de
reporte para monitorear los niveles de servicio se est volviendo cada vez ms automatizado. Los
riesgos operativos y financieros asociados con el incumplimiento de los acuerdos de niveles de
servicio estn definidos y son entendidos con claridad.
5 Optimizado Los niveles de servicio son reevaluados constantemente para asegurar que estn en
lnea con los objetivos de TI y del negocio, mientras que se saca provecho de los adelantos
tecnolgicos y de las mejoras en la proporcin precio / desempeo de producto. Todos los
procesos de nivel de servicio estn sujetos a procesos constantes de mejoramiento. Los criterios
para definir niveles de servicio estn definidos basndose en la criticidad del negocio e incluyen la
disponibilidad, confiabilidad, desempeo, capacidad de crecimiento, soporte de usuario,
planeacin de la continuidad y consideraciones de seguridad. Los niveles de satisfaccin del
cliente son monitoreados y exigidos. Los niveles de servicio esperados son evaluados contra las
normas de la industria, pero tambin reflejan las metas especficas estratgicas de las unidades de
negocio. La administracin de TI tiene los recursos y la responsabilidad que se necesitan para
lograr las metas de desempeo de nivel de servicio y la compensacin ejecutiva est estructurada

Administrar Servicios de Terceros
El Control sobre el proceso de TI de Administrar Servicios de Terceros con el objetivo del negocio de
asegurar que los roles y responsabilidades de terceros estn claramente definidos, cumplidos y que
continen satisfaciendo los requerimientos
Es posibilitado por medidas de control dirigidas a la revisin y el monitoreo de acuerdos y

procedimientos existentes para su efectividad y cumplimiento con la poltica de la organizacin
Existen requerimientos de servicio y medidas de desempeo claramente definidos

La organizacin retiene responsabilidad y control, y administra los servicios externos de manera proactiva
El proveedor de servicio tiene un mecanismo establecido para reportar sobre las medidas de desempeo
Los terceros proveedores tienen establecido un programa de garanta de calidad
Todos los productos, incluyendo los requerimientos operativos y de desempeo estn suficientemente
definidos y entendidos por todas las partes
Estn implementados procedimientos efectivos de cambio para los requerimientos de servicios y las
medidas de desempeo
Los contratos estn sujetos a una revisin legal y conclusin exitosas
Hay provisiones para un manejo y una administracin adecuados, resolviendo problemas financieros,
operativos, legales y de control
La aplicacin de contratos de nivel de servicio mutuamente acordados se basa en recompensas y
penalizaciones acordadas asociadas
Un administrador interno de contrato es el nico punto de contacto con el tercero
Existe un proceso de Solicitud de Propuesta (RFP, siglas de los trminos en ingls), que tiene criterios
preestablecidos y acordados de evaluacin
Est establecido un proceso para clasificar problemas de servicio sobre la base de su importancia y las
respuestas requeridas.

S Confidencialidad
S Cumplimiento
9 datos
S Confiabilidad
Porcentaje de proveedores de servicio con objetivos acordados formalmente

Porcentaje de acuerdos significativos para los cuales se emprenden revisiones de calificacin de proveedor
de servicio
Porcentaje de proveedores de servicio que estn formalmente calificados
Nmero de terceros contratistas con metas y productos esperados bien definidos
Satisfaccin mutua con la relacin en curso
Nmero de terceros contratistas que no satisfacen los objetivos o los niveles de servicio
Nmero y costos de problemas contractuales con terceros que fluyen a partir de acuerdos inadecuados o de
la falta de cumplimiento contra acuerdos adecuados
Nmero y frecuencia de reuniones de revisin

Nmero de enmiendas de contrato
Frecuencia de reportes de nivel de servicio
Nmero de problemas pendientes
Demora para resolver los problemas
Porcentaje de contratos pendientes de revisin legal
Demora desde la ltima revisin de contrato frente a las condiciones del mercado
Nmero de contratos de servicio que no usan trminos y condiciones estndar o excepciones aprobadas
El control sobre el proceso de TI Administrar Servicios de Terceros de TI con el objetivo del negocio
de asegurar que los roles y las responsabilidades de terceros estn claramente definidos, se cumplan y
continen satisfaciendo los requerimientos.
0 Inexistente. Las responsabilidades y obligaciones de rendir cuentas no estn definidas. No

hay polticas y procedimientos formales respecto a la contratacin con terceros. Los
servicios de tercero ni son aprobados ni revisados por la administracin. No hay actividades
de medicin y los terceros no presentan reportes. En la ausencia de una obligacin
contractual de reportar, la alta gerencia no tiene conocimiento de la calidad del servicio
entregado.
1 Inicial /Ad hoc La administracin est conciente de la necesidad de tener polticas y

procedimientos documentados para la adquisicin de servicios de terceros, incluyendo haber
firmado contratos. No hay trminos estndar del contrato. La medicin del servicio
prestado es informal y reactiva. Las prcticas dependen de la experiencia de la persona y de
la efectividad comercial del proveedor.
2 Repetible pero Intuitiva El proceso para supervisar a terceros proveedores de servicio y la

entrega de servicios es informal. Un contrato pro forma firmado se usa con trminos y
condiciones estndar de vendedor y con la descripcin de servicios que sern prestados. Se
hacen las mediciones, pero stas no son relevantes. Los reportes estn disponibles, pero los
mismos no soportan los objetivos del negocio.
3 Proceso Definido Estn establecidos procedimientos bien documentados para regir la

adquisicin por terceros, con procesos claros que aseguran la debida revisin y negociacin
con los vendedores. La relacin con el tercero es puramente una relacin contractual. La
naturaleza de los servicios a ser prestados est detallada en el contrato e incluye
requerimientos operativos, legales y de control. La responsabilidad de supervisar la entrega
de servicio de tercero est asignada. Los trminos contractuales se basan en plantillas
estandarizadas. El riesgo del negocio asociado con el contrato es determinado y reportado.
5 Optimizado El contrato firmado conjuntamente es revisado peridicamente despus que

comienza el trabajo. La responsabilidad de la garanta de calidad de entrega de servicio y
de soporte de vendedor es asignada. La evidencia de cumplimiento con disposiciones
operativas, legales y de control del contrato es monitoreada y se impone la accin
correctiva. El tercero est sujeto a revisin peridica independiente, con retroalimentacin
basada en la naturaleza de la revisin. Las medidas seleccionadas varan dinmicamente en
respuesta a las condiciones cambiantes del negocio. Las medidas soportan la deteccin
temprana de los problemas. El reporte comprensivo, definido, est vinculado con el
proceso de compensacin de terceros. El reporte provee una advertencia temprana de los
problemas potenciales para facilitar la resolucin a su debido tiempo.

Administrar el Desempeo y la Capacidad
El Control sobre el proceso de TI de Administrar el Desempeo y la Capacidad con el objetivo del

negocio de asegurar que la capacidad adecuada est disponible y que se haga el mejor y el ptimo uso
de sta para satisfacer las necesidades requeridas de desempeo
Es posibilitado por la recoleccin de datos, anlisis y reporte sobre el desempeo de los recursos,
el dimensionamiento de la aplicacin y la demanda de carga de trabajo
Las implicaciones de desempeo y capacidad de los requerimientos de servicio de TI para todos los
procesos crticos del negocio son claramente entendidas
Los requerimientos de desempeo estn incluidos en todos los proyectos de desarrollo y mantenimiento
de TI
Los aspectos de capacidad y desempeo son tratados en todas las etapas apropiadas en la adquisicin de
sistemas y en la metodologa de implementacin.
La infraestructura de tecnologa es revisada regularmente para aprovechar las proporciones de costo /
desempeo y posibilitar la adquisicin de recursos que proveen la capacidad mxima de desempeo al
precio ms bajo
Se cuenta con habilidades y herramientas para analizar la capacidad actual y la pronosticada
Se pone a disposicin capacidad actual y proyectada e informacin de uso a los usuarios y a la
administracin de TI en una forma comprensible y utilizable

P Efectividad gente
Confidencialidad
Cumplimiento datos
Confiabilidad
Nmero de procesos de negocio final que estn sufriendo interrupciones o cortes causados por la capacidad
y desempeo inadecuados de TI
Nmero de procesos de negocio crticos no cubiertos por un plan definido de disponibilidad de servicio
Porcentaje de recursos crticos de TI con capacidad adecuada y capacidad de desempeo, tomando en cuenta
las cargas pico
Nmero de incidentes de tiempo improductivo causados por capacidad o desempeo de procesamiento

insuficiente
Porcentaje de capacidad que queda en las cargas normales y en las pico
Tiempo tomado para resolver problemas de capacidad
Porcentaje de ampliaciones no planeadas de capacidad en comparacin con el nmero total de ampliaciones
de capacidad
Frecuencia de ajustes de capacidad para satisfacer las demandas de cambio
El control sobre el proceso de TI Administrar el Desempeo y la Capacidad de TI con el objetivo del

negocio de asegurar que se cuente con la capacidad adecuada y que se haga el mejor y ptimo uso de la
misma para satisfacer las necesidades requeridas de desempeo
0 Inexistente. La administracin no ha reconocido que los procesos clave de negocio pueden

requerir altos niveles de desempeo de TI o que la necesidad general de negocio para los
servicios de TI puede exceder la capacidad. No est establecido un proceso de planeacin
de capacidad
1 Inicial /Ad hoc El desempeo y la administracin de la capacidad son reactivos y

espordicos. Los usuarios tienen a menudo que inventar formas para superar las
limitaciones de desempeo y de capacidad. Hay muy poca apreciacin de las necesidades
de servicio de TI por parte de los propietarios de los procesos de negocio. La
administracin de TI est conciente de la necesidad de desempeo y capacidad de
administracin, pero la accin emprendida es por lo general reactiva o est incompleta. El
proceso de planeacin es informal.
2 Repetible pero Intuitivo La administracin de negocio est conciente del impacto de no

administrar el desempeo y la capacidad. Para las reas crticas, las necesidades de
desempeo son generalmente cubiertas, en base a el estudio de los sistemas individuales y al
conocimiento de los equipos de apoyo y de proyecto. Se pueden usar algunas herramientas
individuales para diagnosticar problemas de desempeo y de capacidad, pero la consistencia
de los resultados depende de la experiencia de las personas clave. No hay una apreciacin
general de la capacidad de desempeo de la infraestructura de TI ni consideracin de
situaciones pico y de peor caso de carga. Es probable que ocurran problemas de
disponibilidad en una forma inesperada y al azar y que tome tiempo considerable
diagnosticar y corregir.
3 Proceso Definido Los requerimientos de desempeo y de capacidad estn definidos como

pasos que deben ser resueltos en todas las etapas de la metodologa de adquisicin e
implementacin de sistemas. Hay requerimientos y mtricas definidas de nivel de servicio
que pueden usarse para medir el desempeo operativo. Es posible disear y pronosticar los
requerimientos futuros de desempeo. Los reportes pueden ser producidos dando
estadsticas de desempeo. An es probable que ocurran problemas y que lleve tiempo
corregirlos. A pesar que los niveles de servicio estn publicados el usuario final se sentir
ocasionalmente escptico sobre la capacidad del servicio
4 Administrado y Medible Se cuenta con procesos y herramientas para medir el uso de

sistemas y para compararlo con los niveles definidos de servicio. Se cuenta con informacin
actualizada, dando estadsticas estandarizadas de desempeo y alertando los incidentes tales
como la capacidad o rendimiento insuficiente. Los incidentes causados por fallas de
capacidad y desempeo se manejan en conformidad con los procedimientos definidos y
estandarizados. Se usan herramientas automatizadas para monitorear recursos especficos
tales como almacenamiento de disco, servidores de red y portales de red y gateways. Hay
algn intento de reportar estadsticas de desempeo en trminos de servicio de negocio, de
modo que los usuarios finales puedan entender los niveles de servicio de TI. Los usuarios se
sienten en general satisfechos con la actual capacidad de servicio y estn exigiendo niveles
nuevos y mejorados de disponibilidad.
5 Optimizado Los planes de desempeo y capacidad estn totalmente sincronizados con los
pronsticos de negocio y con los planes operativos y los objetivos. La infraestructura de TI est
sujeta a revisiones regulares para asegurar que se logre la capacidad ptima al menor costo
posible. Los adelantos en la tecnologa estn monitoreados de cerca para aprovechar el
desempeo mejorado de los productos. El sistema para medir el desempeo de TI ha sido
afinado para concentrarse en las reas clave y estn traducidas en KGIs (indicadores clave de
objetivo), KPIs (indicadores clave de desempeo) y CFSs (factores crticos de xito) para todos
los procesos crticos de negocio. Las herramientas para monitorear los recursos crticos de TI
han sido estandarizados, donde es posible, en todas las plataformas y vinculados a un solo
sistema de administracin de incidentes en toda la organizacin. Las herramientas de monitoreo
pueden cada vez ms detectar y corregir automticamente los problemas de desempeo, por
ejemplo, asignar ms espacio de almacenamiento o redirigir el trfico de red. Se detectan las
tendencias que muestran problemas inminentes de desempeo causados por mayores volmenes
de negocio, posibilitando la planificacin y la prevencin de incidentes inesperados. Los
usuarios esperan una disponibilidad de 24 horas al da, 7 das a la semana, 365 das al ao.

Asegurar el Servicio Continuo
El Control sobre el proceso de TI de Asegurar el Servicio Continuo con el objetivo del negocio para
asegurar que los servicios de TI estn disponibles cuando se requieran y asegurar un impacto mnimo en
el negocio en el caso de una interrupcin importante
Es posibilitado teniendo un plan operativo y probado de continuidad de TI que est en lnea con el
plan general de continuidad del negocio y con sus requerimientos de negocio relacionados
Est instalado y se prueba regularmente un sistema de poder ininterrumpido (UPS)

Los riesgos potenciales de disponibilidad son detectados y resueltos de manera proactiva
Los componentes crticos de infraestructura estn identificados y monitoreados constantemente
La prestacin continuada de servicios es una continuacin de la planificacin anticipada de capacidad,
adquisicin de componentes de alta disponibilidad, redundancia necesaria, existencia de planes probados de
contingencia y de la eliminacin de puntos nicos de falla
Se emprende accin sobre las lecciones aprendidas a partir de incidentes reales de tiempo improductivo y se
prueban las ejecuciones de planes de contingencia
Se realizan regularmente anlisis de requerimientos de disponibilidad
Se usan acuerdos de nivel de servicio para elevar la conciencia y aumentar la cooperacin con los
proveedores para las necesidades de continuidad
Se entiende claramente el proceso de escalamiento y el mismo se basa en una clasificacin de los incidentes
de disponibilidad
Los costos de negocio del servicio interrumpido son especificados y cuantificados cada vez que es posible,
proveyendo la motivacin para desarrollar planes apropiados y hacer arreglos para facilidades de
contingencia

Confidencialidad
Cumplimiento
9 datos
Confiabilidad
No hay incidentes que causen mala imagen pblica

Nmero de procesos crticos de negocio que se basan en TI que tienen planes adecuados de continuidad
Prueba regular y formal de que los planes de continuidad funcionan
Reduccin del tiempo improductivo
Nmero de componentes crticos de infraestructura con monitoreo automtico de disponibilidad
Nmero de problemas de servicio continuo pendientes no resueltos o tratados

Nmero y grado de violaciones de servicio continuo, usando criterios de duracin y de impacto
Demora entre el cambio organizacional y la actualizacin del plan de continuidad
Tiempo para diagnosticar un incidente y para decidir sobre la ejecucin del plan de continuidad
Tiempo para normalizar el nivel de servicio despus de la ejecucin del plan de continuidad
Nmero de correcciones disponibles, implementadas proactivamente
Tiempo aproximado para resolver dficit de servicio
Frecuencia de entrenamiento de servicio continuo prestado
Frecuencia de prueba de servicio continuo

El control sobre el proceso de TI Asegurar el Servicio Continuo de TI con el objetivo del negocio de
asegurar que los servicios de TI estn disponibles como se requiere y asegurar un impacto mnimo en el
servicio en el caso de una interrupcin mayor
0 Inexistente. No hay entendimiento de los riesgos, vulnerabilidades y amenazas de las

operaciones de TI o del impacto de la prdida de los servicios de TI para el negocio. La
continuidad del servicio no es considerada como que necesita atencin de la administracin.
1 Inicial /Ad hoc Las responsabilidades de servicio continuo son informales, con autoridad
limitada. La administracin se est volviendo conciente de los riesgos relacionados con el
servicio continuo y de la necesidad de ste. El enfoque es sobre la funcin de TI, en vez de
ser sobre la funcin de negocio. Los usuarios estn implementando formas de evadirlo. La
respuesta a las interrupciones mayores es reactiva e improvisada. Los cortes planeados
estn programados para que satisfagan las necesidades de TI, en vez de para adaptarse a los
requerimientos del negocio.
2 Repetible pero Intuitiva La responsabilidad del servicio continuo est asignada. Los
enfoques del servicio continuo son fragmentados. El reporte sobre la disponibilidad del
sistema es incompleto y no toma en cuenta el impacto sobre el negocio. No hay planes
documentados de usuario o de continuidad, a pesar de que hay dedicacin a la
disponibilidad de servicio continuo y que se conocen sus principios rectores. Existe un
inventario razonablemente confiable de sistemas crticos y componentes. Est surgiendo la
estandarizacin de prcticas de servicio continuo y el monitoreo del proceso, pero el xito
se basa en las personas.
3 Proceso Definido La obligacin de reportar no es ambigua y las responsabilidades de

planificar y probar el servicio continuo estn claramente definidas y asignadas. Los planes
estn documentados y se basan en la importancia del sistema y en el impacto sobre el
negocio. Hay un reporte peridico de prueba de servicio continuo. Las personas toman la
iniciativa para seguir las normas y recibir entrenamiento. La administracin comunica
consistentemente la necesidad de servicio continuo. Los componentes de alta disponibilidad
y la redundancia de sistema se estn aplicando de manera fragmentada. Se mantiene
rigurosamente un inventario de sistemas crticos y componentes.
4 Administrado y Medible Se hacen cumplir las responsabilidades y las normas para el

servicio continuo. La responsabilidad de mantener el plan de servicio continuo est
asignada. Las actividades de mantenimiento toman en cuenta el entorno cambiante del
negocio, los resultados de pruebas de servicio continuo y las mejores prcticas internas. Se
estn recopilando, analizando, reportando y ejecutando datos estructurados sobre el servicio
continuo. Se provee entrenamiento para los procesos de servicio continuo. Las prcticas de
redundancia de sistema, que incluyen el uso de componentes de alta disponibilidad, estn
siendo implementadas de manera consistente. Las prcticas de redundancia y la planeacin
de servicio continuo se influyen mutuamente. Los incidentes de falta de continuidad son
clasificados y el paso cada vez mayor de escala para cada uno es bien conocido para todos
los que estn involucrados.

5 Optimizado Los procesos integrados de servicio continuo son proactivos, se ajustas solos, son
automatizados y auto analticos y toman en cuenta puntos de referencia y las mejores prcticas
externas. Los planes de servicio continuo y los planes de continuidad del negocio estn
integrados, alineados y son mantenidos de manera rutinaria. La compra de las necesidades de
servicio continuo est asegurada por los vendedores y los principales proveedores. Se lleva a
cabo la comprobacin global y los resultados de las pruebas son utilizados como parte del
proceso de mantenimiento. La efectividad del costo del servicio continuo est optimizada a
travs de la innovacin y de la integracin. La recopilacin y el anlisis de datos se usa para
identificar oportunidades de mejoramiento. Las prcticas de redundancia y la planeacin del
servicio continuo estn totalmente alineadas. La administracin no permite puntos nicos de
falla y provee soporte para su solucin. Las prcticas de escalamiento son entendidas y
cumplidas plenamente.


Garantizar la Seguridad de los Sistemas
El Control sobre el proceso de TI de Garantizar la Seguridad de los Sistemas con el objetivo del
negocio de salvaguardar informacin contra el uso, revelacin o modificacin no autorizada, dao o
prdida
Es posibilitado por controles de acceso lgico que aseguran que el acceso a los sistemas, datos y
programas est restringido a los usuarios autorizados
Est desarrollado un plan general de seguridad, el cual cubre la creacin de conciencia, establece polticas y
normas claras, identifica una implementacin con eficiencia de costos y sostenible, y define procesos de
monitoreo y ejecucin
Hay conciencia de que un buen plan de seguridad necesita tiempo para evolucionar
La funcin de seguridad corporativa se reporta a la gerencia general y es responsable de ejecutar el plan de
seguridad
La administracin y el personal tienen un entendimiento comn de los requerimientos de seguridad, las
vulnerabilidades y las amenazas a la misma y entienden y aceptan sus propias responsabilidades de
seguridad
La evaluacin por terceros de la poltica y arquitectura de la seguridad se lleva a cabo peridicamente
Est definido un programa de permiso de construccin, el cual identifica las lneas base de seguridad que
tienen que ser cumplidas
Est establecido un programa de licencia de conduccin para los que desarrollan, implementan y usan
sistemas, haciendo cumplir la certificacin de seguridad del personal
La funcin de seguridad tiene el medio y la capacidad para detectar, registrar, analizar la importancia,
reportar y actuar sobre los incidentes de seguridad cuando stos ocurren, al tiempo que minimizan la
probabilidad de que ocurran aplicando pruebas de intrusin y monitoreo activo
Un proceso y sistema centralizado de administracin de usuario provee un medio para identificar y asignar
autorizaciones a los usuarios en una forma estndar y sencilla de usar
Se cuenta con un proceso para autenticar los usuarios a un costo razonable sencillo de implementar y fcil
Criterios de Informacin Recursos de IT

Efectividad 9 gente
P Confidencialidad
S Disponibilidad 9 Instalaciones
S Cumplimiento
9 datos
S Confiabilidad

No hay incidentes que causen mala imagen pblica

Reporte inmediato de los incidentes crticos
Alineamiento de los derechos de acceso con las responsabilidades organizacionales
Reduccin del nmero de nuevas implementaciones demoradas por preocupaciones de seguridad
Pleno cumplimiento de acuerdos y desviaciones registradas de los requerimientos mnimos de seguridad
Reduccin del nmero de incidentes que involucran acceso no autorizado, prdida o corrupcin de la
informacin
Reduccin del nmero de llamadas de servicio relacionadas con la seguridad, requerimientos de cambio o
correcciones
Cantidad de tiempo improductivo causado por incidentes de seguridad
Reduccin del tiempo de atencin de las solicitudes atendidas por la administracin de seguridad
Nmero de sistemas sujetos a un proceso de deteccin de intrusos
Nmero de sistemas con capacidades de monitoreo activo
Reduccin del tiempo para investigar los incidentes de seguridad
Demora entre la deteccin, reporte y accin sobre los incidentes de seguridad
Nmero de das de entrenamiento de conocimientos de la seguridad de TI

El control sobre el proceso de TI Garantizar la Seguridad de los Sistemas de TI con el objetivo del
negocio de salvaguardar la informacin contra el uso, revelacin o modificacin no autorizada, dao o
prdida
0 Inexistente. La organizacin no reconoce la necesidad de la seguridad de TI. Las

responsabilidades y las obligaciones de reportar no estn asignadas para asegurar la
seguridad. No estn implementadas medidas que soporten la administracin de la
seguridad de TI. No hay ningn reporte de seguridad de TI y ningn proceso de respuesta
de las violaciones de seguridad de TI. Hay una carencia total de un proceso reconocible de
administracin de seguridad de sistemas.
1 Inicial /Ad hoc La organizacin reconoce la necesidad de la seguridad de TI, pero la

conciencia de la seguridad depende de la persona. La seguridad de TI est resuelta de
manera reactiva y no se mide. Las violaciones de seguridad de TI invocan respuestas de
sealamiento si se detectan, porque las responsabilidades no estn claras. Las respuestas
a las violaciones de seguridad de TI son impredecibles.
2 Repetible pero Intuitiva Las responsabilidades y obligaciones de la seguridad de TI estn

asignadas a un coordinador de seguridad de TI que no tiene autoridad de administracin.
La conciencia de seguridad es fragmentada y limitada. La informacin de seguridad de TI
es generada, pero no es analizada. Las soluciones de seguridad tienden a responder de
manera reactiva a los incidentes de seguridad de TI y adoptando propuestas de terceros, sin
resolver las necesidades especficas de la organizacin. Se estn desarrollando polticas de
seguridad, pero an se siguen usando habilidades y herramientas inadecuadas. El reporte
de seguridad de TI es incompleto, engaoso y no es pertinente.
3 Proceso Definido Existe conciencia de la seguridad y la misma es promovida por la

administracin. Se han estandarizado y formalizados reportes de conocimientos de la
seguridad. Los procedimientos de seguridad de TI estn definidos y encajan en una
estructura para polticas y procedimientos de seguridad. Las responsabilidades de
seguridad de TI estn asignadas, pero no se hacen cumplir de manera consistente. Existe
un plan de seguridad de TI, que impulsa el anlisis del riesgo y soluciones de seguridad.
El reporte de seguridad de TI est concentrado en TI, en lugar de concentrarse en el
negocio. Se realizan pruebas Ad hoc de intrusin.
4 Administrado y Medible Las responsabilidades de la seguridad de TI estn claramente

asignadas, administradas y se hacen cumplir. El anlisis de riesgo e impacto de seguridad se
lleva a cabo de manera consistente. Las polticas y prcticas de seguridad son completadas
con bases especficas de seguridad. Los reportes de conocimiento de seguridad se han
vuelto obligatorios. La identificacin, autenticacin y autorizacin de usuario se est
estandarizando. Se est estableciendo la certificacin de seguridad del personal. La prueba
de intrusin es un proceso estndar y formalizado que conduce a mejoras. El anlisis costo /
beneficio, que soporta la implementacin de medidas de seguridad, es cada vez ms
utilizado. Los procesos de seguridad de TI son coordinados con la funcin general de
seguridad de la organizacin. El reporte de seguridad de TI est vinculado con los objetivos
del negocio.

5 Optimizado La seguridad de TI es una responsabilidad conjunta del negocio y de la

administracin de TI y est integrada con objetivos de seguridad corporativa del negocio. Los
requisitos de seguridad de TI estn claramente definidos, optimizados e incluidos en un plan
verificado de seguridad. Las funciones de seguridad estn integradas con aplicaciones en la
etapa de diseo y se les puede pedir a los usuarios finales que rindan cuenta de la seguridad a la
administracin. El reporte de seguridad de TI provee un aviso anticipado del riesgo cambiante
y emergente, usando mtodos activos automatizados de monitoreo para los sistemas crticos.
Los incidentes son prontamente resueltos con procedimientos formalizados de respuesta a
incidentes soportados por herramientas automatizadas. Las evaluaciones peridicas de
seguridad evalan la efectividad de la implementacin del plan de seguridad. Se recoge y
analiza sistemticamente la informacin sobre nuevas amenazas y vulnerabilidades, y se
comunican e implementan prontamente los controles adecuados de mitigacin. La prueba de
intrusin, anlisis de las causas originarias de los incidentes de seguridad y la identificacin
proactiva del riesgo es la base para el mejoramiento continuo. Los procesos y las tecnologas de
seguridad estn integrados en toda la organizacin.


Identificar y Asignar Costos
El Control sobre el proceso de TI de Identificar y Asignar Costos con el objetivo del negocio de
asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI
Es posibilitado por un sistema de contabilidad de costos que asegura que los costos sean
registrados, calculados y asignados al nivel requerido de detalle y a la oferta apropiada de
servicio
Los usuarios finales, los propietarios del proceso de negocio y la organizacin de TI comparten un
entendimiento comn de los requerimientos de determinacin y asignacin de costos
Los costos directos e indirectos son identificados, captados, reportados y analizados a su debido tiempo y en
forma automatizada
Los costos son cargados en base a la utilizacin y son registrados en principios de cargo que son
formalmente aceptados y redeterminados regularmente
El reporte de costos es usado por todas las partes para revisar el desempeo del presupuesto, identificar las
oportunidades de optimizacin de costos y ejecutar Benchmark del desempeo contra fuentes confiables
Hay una vinculacin directa entre el costo del servicio y los acuerdos de nivel de servicio
Los resultados de asignacin y optimizacin de costos se usan para verificar la realizacin de ganancias y
son retroalimentados en el siguiente ciclo de presupuesto.

Efectividad 9 gente
Confidencialidad
Cumplimiento
9 datos
P Confiabilidad

Optimizacin constante de costos de los servicios de informacin de TI por la funcin de TI

Optimizacin constante de costos de los servicios de informacin por los usuarios
Mayor proporcin de beneficios probados para los costos reales de servicios de TI
ndice de eficiencia, basado en una comparacin de costos de proveedor interno y externos
Entendimiento /aceptacin de la administracin del negocio sobre los costos y niveles de servicio de TI
Porcentaje de variacin entre presupuestos, pronsticos y costos reales

Reduccin porcentual en las tasas de servicio de informacin
Aumento porcentual en la optimizacin de las solicitudes de servicio de usuario
Aumento porcentual en la optimizacin del uso de los Recursos de TI
Nmero de iniciativas de optimizacin de costos

El control sobre el proceso de TI Identificar y Asignar Costos de TI con el objetivo del negocio de
asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI
0 Inexistente. Hay una ausencia total de un proceso reconocible para identificar y asignar
costos en relacin con los servicios de informacin que se proveen. La organizacin ni
siquiera ha reconocido que hay un problema que resolver respecto a contabilidad de costos y
no hay comunicacin sobre el tema.
1 Inicial /Ad hoc Hay un entendimiento general de los costos generales de los servicios de
informacin, pero no hay un desglose de costos por usuario, departamento, grupos de
usuarios, funciones de servicio, proyectos o productos. No hay virtualmente ningn
monitoreo de costos, y slo se reporta a la administracin el costo agregado. No est
establecido un proceso de cargo por devolucin o un sistema para facturar a los usuarios por
los costos incurridos en prestar servicios de informacin.
2 Repetible pero Intuitivo Hay una conciencia general de la necesidad de identificar y

asignar costos. La asignacin de costos se basa en supuestos informales y rudimentarios de
costos, por ejemplo, costos de hardware, y virtualmente no hay ninguna vinculacin con los
que impulsan el valor. Los procesos de asignacin de costos se pueden repetir y algunos de
ellos comienzan a ser monitoreados. No hay un entrenamiento formal y comunicacin sobre
procedimientos estndar de identificacin y asignacin de costos. La responsabilidad no est
asignada.
3 Proceso Definido Hay un modelo definido y documentado de modelo de costo de servicios

de informacin. El modelo est institucionalizado y comunicado, y est establecido un
entrenamiento informal. Existe un nivel apropiado de conocimiento de los costos atribuibles
a los servicios de informacin. Existe un sistema automatizado de contabilidad de costos,
pero el mismo est enfocado a la funcin de los servicios de informacin y no sobre los
procesos de negocio.
4 Administrado y Medible Las responsabilidades y las obligaciones de reportar de la

administracin de costo de servicios de informacin estn definidas y plenamente
comprendidas a todos los niveles y las mismas estn soportadas por un entrenamiento
formal. Los costos directos e indirectos estn identificados y son reportados oportunamente
y de manera automatizada a la gerencia, a los propietarios del proceso de negocio y a los
usuarios. En general, hay monitoreo de evaluacin de los costos, y se emprenden acciones
cuando los procesos no funcionan de manera efectiva y eficiente. Se emprenden acciones en
muchos casos pero no en todos. Los procesos de administracin de costos estn siendo
mejorados constantemente y hacen cumplir la mejor prctica interna. El reporte del costo de
los servicios de informacin est vinculado con los objetivos del negocio y con los acuerdos
a nivel de servicio. Hay participacin de todos los expertos requeridos de administracin de
costos internos.

5 Optimizado Los costos de los servicios prestados estn identificados, captados, resumidos
y reportados a la administracin, a los propietarios y a los usuarios del proceso de negocio.
Los costos estn identificados como rubros cobrables y soportan un sistema de cargo por
devolucin que factura apropiadamente a los usuarios por los servicios prestados, en base a
la utilizacin. Los detalles de costo soportan acuerdos de nivel de servicio. Hay un
monitoreo y avaluacin fuertes de los costos de servicios, donde las variaciones de los
importes de presupuesto estn identificados y las discrepancias son detalladas y se toman las
medidas apropiadas sobre lo mismo. Las cifras de costo obtenidas se usan para verificar la
utilizacin de los beneficios y se usan en el proceso de presupuestacin de la organizacin..
El reporte de costos de servicios de informacin provee una advertencia anticipada de los
requerimientos cambiantes del negocio a travs de sistemas inteligentes de reporte. Se
utiliza un modelo de costo variable, derivado de los volmenes procesados para cada
servicio prestado. La administracin de costos ha sido refinada hasta un nivel de las
mejores prcticas, basado en el resultado de mejoramiento constante y tomando como patrn
de madurez a otras organizaciones. Los expertos externos son respaldados y se utilizan
Benchmarks para orientacin de administracin de costos.


Educar y Entrenar a los Usuarios
El Control sobre el proceso de TI de Educar y Entrenar a los Usuarios con el objetivo del negocio de
asegurar que los usuarios estn haciendo uso efectivo de la tecnologa y que estn concientes de los
riesgos y responsabilidades involucradas.
Es posibilitado por un extenso plan de entrenamiento y desarrollo
Est establecido un completo programa de educacin y entrenamiento, enfocado sobre las necesidades
individuales y corporativas
Los programas de educacin y entrenamiento estn soportados por presupuestos, recursos, instalaciones e
instructores
El entrenamiento y la educacin son componentes crticos en la carrera profesional del empleado
Los empleados y los administradores identifican y documentan las necesidades de entrenamiento
El entrenamiento que se necesita es provisto a su debido tiempo
Hay soporte de la alta gerencia para asegurar que los empleados realicen sus tareas en una forma tica y
segura
Los empleados reciben entrenamiento de prcticas de seguridad de sistemas para proteger contra los daos
provenientes de fallas que afecten la disponibilidad, la confidencialidad y la integridad
La poltica corporativa requiere que todos los empleados reciban un programa bsico de entrenamiento que
abarque conductas ticas, prcticas de seguridad de sistemas y uso permitido de los Recursos de TI
Hay aceptacin de la administracin que los costos de entrenamiento son inversiones para bajar los costos
totales de propiedad de tecnologa

Confidencialidad
Cumplimiento datos
Confiabilidad

Medicin del mejoramiento en la optimizacin por los empleados de los recursos de TI para maximizar el
valor del negocio
Medicin del mejoramiento en la conciencia del empleado de los requerimientos ticos de conducta,
principios de seguridad de sistemas y desempeo de las funciones en una forma tica y segura
Medicin del mejoramiento en las prcticas de seguridad para protegerse contra los daos provenientes de
fallas que afectan la disponibilidad, confidencialidad e integridad
Nmero de llamadas al help desk para solicitar entrenamiento o para responder preguntas
Mayor satisfaccin del usuario con el desenvolvimiento de nuevas tecnologas
Porcentaje de empleados entrenados

Antigedad del historial de entrenamiento de los empleados
Demora entre la identificacin de la necesidad de entrenamiento y la entrega del entrenamiento
Nmero de alternativas de entrenamiento disponibles para los empleados de la organizacin y de fuentes
externas
Porcentaje de empleados entrenados en los requerimientos de conducta tica
Nmero de violaciones ticas causadas por los empleados que han sido identificadas
Porcentaje de empleados entrenados en prcticas de seguridad
Nmero de incidentes de seguridad identificados relacionados con empleados
Mayor identificacin y documentacin de necesidades de entrenamiento y entrega de entrenamiento a
tiempo

Control sobre el proceso de TI Educar y Entrenar a los Usuarios con el objetivo del negocio de
asegurar que los usuarios estn haciendo uso efectivo de la tecnologa y que estn concientes de los
riesgos y responsabilidades involucradas
0 Inexistente. Hay un falta total de programas de entrenamiento y educacin. La organizacin ni

siquiera ha reconocido que hay un problema que resolver respecto al entrenamiento y no hay
comunicacin sobre el tema.
1 Inicial /Ad hoc Hay evidencia de que la organizacin ha reconocido la necesidad de un programa
de entrenamiento y educacin, pero no hay procesos estandarizados. En la ausencia de un
programa organizado, los empleados han estado identificando y asistiendo a cursos de
entrenamiento por su cuenta. Algunos de estos cursos de entrenamiento han resuelto los
problemas de conducta tica, conciencia de la seguridad de los sistemas y prcticas de seguridad.
El enfoque general de la administracin carece de cohesin y slo hay comunicacin espordica e
inconsistente sobre los problemas y los mtodos para resolver el entrenamiento y la educacin.
2 Repetible pero Intuitivo Hay conciencia de la necesidad de un programa de entrenamiento y

educacin y de procesos asociados en toda la organizacin. Se est comenzando a identificar el
entrenamiento en los planes individuales de desempeo de los empleados. Se han desarrollado
procesos hasta el grado que diferentes instructores estn dando clases informales de entrenamiento
y educacin, mientras cubren el mismo tema con mtodos diferentes. Algunas de las clases tratan
los aspectos de conducta tica y conciencia y prctica de seguridad de sistemas. Hay gran
confianza en los conocimientos de las personas. Sin embargo, hay comunicacin consistente sobre
los problemas generales y sobre la necesidad de resolverlos.
3 Proceso Definido El programa de entrenamiento y educacin ha sido institucionalizado y

comunicado, y los empleados y administradores identifican y documentan las necesidades de
entrenamiento. Los procesos de entrenamiento y educacin han sido estandarizados y
documentados. Se estn estableciendo presupuestos, recursos, instalaciones e instructores para
soportar el programa de entrenamiento y educacin. Se dan clases formales a los empleados sobre
conducta tica y conciencia y prctica de seguridad de sistemas. Se monitorea la mayora de los
procesos de entrenamiento y educacin, pero probablemente no todas las desviaciones son
detectadas por la administracin. El anlisis de los problemas de entrenamiento y educacin se
aplica slo ocasionalmente.
4 Administrado y Medible Hay un programa completo de entrenamiento y educacin que est

enfocado sobre las necesidades individuales y corporativas y que proporciona resultados medibles.
Las responsabilidades estn claras y la propiedad del proceso est establecido. Entrenamiento y
educacin son componentes de las etapas de carrera del empleado. La administracin soporta y
asiste a las sesiones de entrenamiento y educacin. Todos los empleados reciben entrenamiento de
conducta tica y de conciencia de seguridad de sistemas. Todos los empleados reciben el nivel
apropiado de entrenamiento en prcticas de seguridad de sistemas para proteger de daos
provenientes de fallas que afectan la disponibilidad, la confidencialidad y la integridad. La
administracin monitorea el cumplimiento revisando y actualizando constantemente el programa y
los procesos de entrenamiento y educacin. Los procesos estn bajo mejoramiento y hacen
cumplir las mejores prcticas internas.

5 Optimizado El entrenamiento y la educacin tienen como resultado un mejoramiento del

desempeo individual. El entrenamiento y la educacin son componentes crticos de las etapas de
la carrera de los empleados. Se proveen suficientes presupuestos, recursos, instalaciones e
instructores para los programas de entrenamiento y educacin. Los procesos han sido refinados y
estn bajo constante mejoramiento, sacando provecho de las mejores prcticas externas y modelo
de madurez con otras organizaciones. Todos los problemas y desviaciones son analizados en
busca de las causas que los originan y la accin eficiente es identificada y emprendida en forma
expedita. Hay una actitud positiva con respecto a la conducta tica y los principios de seguridad
de sistemas. TI se usa en una forma extensa, integrada y optimizada para automatizar y proveer
herramientas para el programa de entrenamiento y educacin. Los expertos externos de
entrenamiento son apoyados y se utilizan Benchmarks como guas.


Asistir y Asesorar a los Clientes
El Control sobre el proceso de TI de Asistir y Asesorar a los Clientes con el objetivo del negocio de
asegurar que cualquier problema que experimente el usuario sea resuelto de manera apropiada.
Es posibilitado por una facilidad de Help Desk que provee soporte y asesoramiento de primera
lnea
Las preguntas que se hacen con frecuencia son actualizadas y fcilmente accesibles
Personal de soporte calificado y orientado hacia el cliente resuelve problemas en estrecha cooperacin con
el personal de administracin de problemas
Todas las preguntas de los usuarios son registradas consistentemente y exhaustivamente por el Help Desk
Las preguntas de los usuarios que no pueden ser resueltas oportunamente son escaladas apropiadamente
Las preguntas de los usuarios son resueltas oportunamente
Se monitorea la resolucin de preguntas de usuarios
Las preguntas de usuarios que no pueden ser resueltas oportunamente son investigadas y se toman medidas
sobre las mismas
La administracin monitorea las tendencias para identificar las causas originarias en una forma proactiva y
da seguimiento con anlisis y con el desarrollo de soluciones comprobadas
Las polticas y programas corporativos estn definidos para entrenar a los usuarios en el uso de tecnologa y
en las prcticas de seguridad
Hay conciencia en la administracin del costo de los servicios de soporte y del tiempo improductivo de
usuario y de la necesidad de emprender accin sobre los problemas de causa-origen
Los costos de soporte son cargados al negocio usando herramientas sencillas y polticas claras

Confidencialidad
Cumplimiento datos
Confiabilidad

Menor tiempo promedio para resolver problemas

Menos preguntas repetitivas sobre problemas resueltos
Mayor satisfaccin del usuario con la efectividad y eficiencia del Help Desk
Mayor confianza del usuario en los servicios del Help Desk
Eficiencia mejorada medida por recursos reducidos de Help Desk en relacin con los sistemas soportados
Porcentaje de problemas resueltos en el primer contacto
Tiempo transcurrido por llamada
Nmero de preguntas repetidas

Nmero de escalamientos
Nmero de preguntas
Tiempo para resolver preguntas
Tendencias reducidas en las preguntas de usuarios que requieren resolucin de problemas
Costo por llamada

Control sobre el proceso de TI Asistir y Asesorar a los Clientes con el objetivo del negocio de asegurar
que cualquier problema que experimente el usuario sea resuelto apropiadamente
0 Inexistente. No hay soporte para resolver las preguntas y los problemas de los usuarios.
Hay una total carencia de una funcin de Help Desk. La organizacin no ha reconocido que
hay un problema que debe ser resuelto.
1 Inicial /Ad hoc La organizacin ha reconocido que se requiere de un proceso soportado

por herramientas y personal para responder a las preguntas de los usuarios y para
administrar la resolucin de problemas. No hay sin embargo, un proceso estandarizado y
slo se provee soporte reactivo. La administracin no monitorea las preguntas de usuarios,
los problemas y las tendencias. No hay un proceso de escalamiento para asegurar que los
problemas sean resueltos.
2 Repetible pero Intuitivo Hay conciencia organizacional de la necesidad de una funcin de

Help Desk. Se dispone de asistencia de manera informal a travs de una red de personas
con conocimientos. Estas personas disponen de algunas herramientas comunes para asistir
en la resolucin de problemas. No hay entrenamiento formal ni comunicacin sobre los
procedimientos estndar, y la responsabilidad se deja a la persona. Sin embargo, hay una
comunicacin consistente sobre los problemas generales y sobre la necesidad de resolverlos.
3 Proceso Definido Se reconoce y se acepta la necesidad de una funcin de Help Desk. Los
procedimientos han sido estandarizados y documentados y se est llevando a cabo
entrenamiento informal. Sin embargo, se deja a la persona obtener entrenamiento y seguir
las normas. Se desarrollan las Preguntas que se Hace Con Frecuencia (FAQs) y los
lineamientos de usuario, pero las personas deben encontrarlos y pueden no seguirlos. Las
preguntas y los problemas se rastrean manualmente y se monitorean de manera individual,
pero no existe un sistema formal de reporte. El escalamiento de problemas est apenas
emergiendo. La respuesta a tiempo a las preguntas y a los problemas no se mide y los
problemas pueden seguir sin ser resueltos.
4 Administrado y Medible Hay total entendimiento de los beneficios de Help Desk a todos
los niveles de la organizacin y la funcin ha sido establecida en unidades apropiadas de
negocio. Las herramientas y tcnicas son automatizadas con una base centralizada de
conocimientos de problemas y soluciones. El personal del Help Desk interacta
estrechamente con el personal de administracin de problemas. Las responsabilidades son
claras y se monitorea la efectividad. Los procedimientos para comunicacin, escalamiento,
y resolucin de problemas estn establecidos y son comunicados. El personal del Help
Desk est entrenado y los procesos son mejorados a travs del uso de software especfico de
tarea. Las causas que originan los problemas son identificadas y las tendencias son
reportadas, dando como resultado la correccin oportuna de los problemas. Los procesos
estn bajo mejoramiento y hacen cumplir la mejor prctica interna.

5 Optimizado La funcin de Help Desk est establecida, bien organizada y se dedica a la

orientacin de servicio de clientes, siendo calificada, enfocadas al cliente y son tiles. Un
uso extensivo de preguntas frecuentes (FAQs) son una parte integral de la base de
conocimientos. Estn instaladas herramientas para permitir que un usuario se
autodiagnostique y resuelva los problemas. TI se usa para crear, administrar y mejorar el
acceso a las bases automatizadas de conocimiento que soportan la resolucin de problemas.
El asesoramiento es consistente y los problemas son resueltos rpidamente dentro de un
proceso estructurado de escalamiento. La administracin utiliza un proceso proactivo de
notificacin y un anlisis de tendencias para prevenir y monitorear problemas. Los procesos
han sido refinados hasta el nivel de las mejores prcticas externas, en base a los resultados
de constante mejoramiento y tomando como modelos de madurez a otras organizaciones.


Administrar la Configuracin
El Control sobre el proceso de TI de Administrar la Configuracin con el objetivo del negocio de dar
cuenta de todos los componentes de TI, prevenir las alteraciones no autorizadas, verificar la existencia
fsica y proveer una base para una administracin sensata de cambios.
Es posibilitado por controles que identifican y registran todos los activos de TI y su ubicacin
fsica, y un programa de verificacin regular que confirme su existencia
Los propietarios estn establecidos para todos los elementos de configuracin y son responsables de
mantener el inventario y de controlar el cambio
La informacin de configuracin es mantenida y accesible, basada en inventarios actualizados y en un
convenio comprensivo de nomenclatura
Est establecida una estructura apropiada de biblioteca de software, que resuelve las necesidades de
entornos de desarrollo, prueba y produccin
Existe una poltica de administracin de la divulgacin y un sistema para hacerla cumplir
Las funciones de mantenimiento de registros y de custodia fsica se mantienen separadas
Hay integracin con los procesos de suministro administracin de cambios
Los catlogos de vendedor y la configuracin estn alineados
Existen lneas base de configuracin, que identifican los componentes estndar mnimos y los
requerimientos de integracin, los criterios de consistencia y de integracin
Se dispone de un mecanismo automtico de deteccin y verificacin de la configuracin
Est implementado un proceso automtico de distribucin y actualizacin
Hay cero tolerancia para el software ilegal

P Efectividad gente
Confidencialidad
Cumplimiento datos
S Confiabilidad

Porcentaje de la configuracin de TI identificada y explicada

Reduccin en el nmero de variaciones entre las cuentas y la situacin fsica
ndice de calidad de informacin, que incluye las interrelaciones, la edad, los cambios aplicados, la situacin
y los criterios de los problemas relacionados
ndice de uso de informacin para las acciones proactivas, incluyendo mantenimiento preventivo y criterios
de ampliacin de capacidad
Porcentaje de componentes de configuracin para los que los datos se mantienen y actualizan
automticamente
Frecuencia de las verificaciones fsicas
Frecuencia de anlisis de excepciones, resolviendo la redundancia, la obsolescencia y la correccin de la
configuracin
Demora entre la modificacin de la configuracin y la actualizacin de los registros
Nmero de versiones liberadas
Porcentaje de cambios reactivos


Control sobre el proceso de TI Administrar la Configuracin con el objetivo del negocio de dar cuenta
o registrar todos los componentes de TI, prevenir la alteracin no autorizada, verificar la existencia
fsica y proveer una base para la administracin sensata de cambios
0 Inexistente. La administracin no tiene una apreciacin de los beneficios de tener establecido
un proceso que pueda reportar y administrar la infraestructura de TI, para las configuraciones
de cualquier hardware o software
1 Inicial /Ad hoc Se reconoce la necesidad de administrar la configuracin. Las tareas bsicas
de administracin de la configuracin, como por ejemplo mantener inventarios de hardware y
de software, se realizan de manera individual. No se aplican prcticas estndar.
2 Repetible pero Intuitiva La administracin est conciente de los beneficios de controlar la
configuracin de TI pero hay confianza implcita en los conocimientos y experiencia del
personal tcnico. Las herramientasa de administracin de la configuracin se estn empleando
hasta cierto grado, pero difieren entre las plataformas. Adems, no se han definido prcticas
estndar de trabajo. El contenido de los datos de configuracin es limitado y no es usado por
los procesos interrelacionados, como por ejemplo administracin de cambios y administracin
de problemas
3 Proceso Definido La necesidad de informacin precisa y completa sobre la configuracin es
entendida y se hace cumplir. Los procedimientos y las prcticas de trabajo han sido
documentados, estandarizados y comunicados, pero el entrenamiento y la aplicacin de las
normas dependen de la persona. Adems, se estn implementando herramientas similares de
administracin de la configuracin en todas las plataformas. Es improbable que se detecten las
desviaciones de los procedimientos y las verificaciones fsicas se realizan de manera
inconsistente. Hay alguna automatizacin para asistir en el rastreo de los cambios de equipos y
de software. La configuracin de los datos est siendo utilizada por procesos interrelacionados.
4 Administrado y Medible La necesidad de administrar la configuracin es reconocida en
todos los niveles de la organizacin y las mejores prcticas continan evolucionando. Los
procedimientos y las normas son comunicados e incorporados en el entrenamiento y las
desviaciones son monitoreadas, rastreadas y reportadas. Se utilizan herramientas
automatizadas, como por ejemplo la tecnologa de push, par hacer valer las normas y para
mejorar la estabilidad. Los sistemas de administracin de la configuracin abarcan la mayor
parte de la infraestructura de TI y permiten la administracin apropiada de la liberacin de
versiones y control de la distribucin. El anlisis de excepciones, as como tambin las
verificaciones fsicas, son aplicadas consistentemente y las causas que las originan son
investigadas.
5 Optimizado Todos los componentes de la infraestructura son administrados dentro del sistema
de administracin de la configuracin, que contiene toda la informacin necesaria sobre los
componentes y sus interrelaciones. Los datos de la configuracin est alineados con los
catlogos de los vendedores. Los procesos interrelacionados estn totalmente integrados y usan
tambin datos de actualizacin de la configuracin. Los reportes de auditora de lnea base
proveen datos esenciales para reparacin, servicio, garanta, actualizaciones y estudios tcnicos
de hardware y software para cada unidad individual. Se hacen cumplir las reglas de instalacin
de software autorizado. La administracin pronostica las reparaciones y las actualizaciones a
partir de reportes de anlisis que proveen actualizaciones programadas y capacidades de
renovacin de la tecnologa. El rastreo de activos y el monitoreo de estaciones personales de
trabajo protege los activos y previene el robo, el uso indebido y el abuso.


Administrar los Problemas y los Incidentes
El Control sobre el proceso de TI de Administrar los Problemas y los Incidentes con el objetivo del
negocio de asegurar que los problemas y los incidentes sean resueltos, y que se investigue la causa para
prevenir cualquier recurrencia
Es posibilitado por un sistema de administracin de problemas que registra y procesa todos los
incidentes
Hay una clara integracin de la administracin de problemas con disponibilidad y administracin de

cambios
Se provee accesibilidad a los datos de configuracin, as como tambin la capacidad para mantenerse al
tanto de los problemas para cada componente de configuracin
Est establecido un medio exacto de comunicar los incidentes de problemas, los sntomas, el diagnstico y
las soluciones al personal de soporte apropiado
Existen medios precisos para comunicar a los usuarios y a TI los eventos excepcionales y los sntomas que
necesitan ser reportados a la administracin de problemas
Se provee entrenamiento para soportar al personal en las tcnicas de resolucin de problemas
Se dispone de cuadros actualizados de funciones y responsabilidades para soportar la administracin de
incidentes
Hay involucramiento de los vendedores durante la investigacin y resolucin de los problemas
Se aplica el anlisis post factum de los procedimientos de manejo de problemas

Confidencialidad
Cumplimiento
9 datos
Confiabilidad

Se mide la reduccin del impacto de los problemas y de los incidentes sobre los Recursos de TI
Se mide la reduccin en el tiempo transcurrido desde el reporte inicial de sntomas hasta la resolucin de
problemas
Se mide la reduccin en los problemas e incidentes no resueltos
Un aumento medido en el nmero de problemas evitados por medio de reparaciones preventivas
Se reduce el tiempo entre la identificacin y el escalamiento de los problemas e incidentes de alto riesgo
Tiempo transcurrido desde el reconocimiento inicial de los sntomas hasta la entrada en el sistema de
administracin de problemas
Tiempo transcurrido entre el registro del problema y la resolucin o escalamiento
Tiempo transcurrido entre la evaluacin y la aplicacin de los parches del vendedor
Porcentaje de problemas reportados que tienen enfoques de resolucin ya conocidos
Frecuencia de reuniones de coordinacin con personal de administracin de cambios y de administracin de
disponibilidad
Frecuencia de reporte de anlisis de problemas de componentes
Reduccin del nmero de problemas no controlados a travs de la administracin formal de problemas


Control sobre el proceso de TI Administrar Problemas e Incidentes con el objetivo del negocio de
asegurar que los problemas e incidentes sean resueltos, y que la causa de los mismos sea investigada
para prevenir cualquier recurrencia
0 Inexistente. No hay conciencia de la necesidad de administrar problemas e incidentes. El
proceso de resolucin de problemas es informal y los usuarios y el personal de TI resuelven
los problemas de manera individual caso por caso.
1 Inicial /Ad hoc La organizacin ha reconocido que hay una necesidad de resolver
problemas y de evaluar los incidentes. Las personas con conocimientos clave proveen
alguna asistencia con los problemas relacionados con su rea de experiencia y
responsabilidad. La informacin no es compartida con otros y las soluciones varan de una
persona de soporte a otra, dando como resultado la creacin de ms problemas y la prdida
de tiempo productivo, mientras se buscan las respuestas. La administracin cambia
frecuentemente el enfoque y la direccin de las operaciones y el personal de soporte tcnico.
2 Repetible pero Intuitivo Hay una amplia conciencia de la necesidad de administrar los
problemas e incidentes relacionados con TI dentro de las unidades de negocio como de la
funcin de los servicios de informacin. El proceso de resolucin ha evolucionado hasta un
grado en que unas pocas personas claves son responsables de administrar los problemas e
incidentes que ocurren. La informacin es compartida entre el personal; sin embargo, el
proceso sigue sin estructuracin, es informal y mayormente reactivo. El nivel de servicio
para la comunidad de usuarios vara y es obstaculizado por insuficientes conocimientos
estructurados disponibles para quienes resuelven los problemas. El reporte de la
administracin de incidentes y el anlisis de la creacin de problemas es limitado e informal.
3 Proceso Definido La necesidad de un sistema efectivo de administracin de problemas es
aceptada y evidenciada por presupuestos para la contratacin de personal, entrenamiento del
mismo y soporte de los equipos de respuesta. Los procesos de resolucin, escalamiento y
resolucin de problemas han sido estandarizados, pero no son sofisticados. Sin embargo,
los usuarios han recibido comunicaciones clara sobre dnde y cmo reportar sobre
problemas e incidentes. El registro y rastreo de problemas y sus resoluciones es
fragmentado dentro del equipo de respuestas, usando las herramientas disponibles sin
centralizacin o anlisis. Es probable que las desviaciones de las normas o estndares
establecidos pasen desapercibidas.
4 Administrado y Medible El proceso de administracin de problemas es entendido en
todos los niveles dentro de la organizacin. Las responsabilidades y propiedad son claras y
establecidas. Los mtodos y procedimientos estn documentados, comunicados y medidos
por efectividad. La mayora de los problemas e incidentes estn identificados, registrados,
reportados y analizados en busca de constante mejoramiento y son reportados a las partes
interesadas. El conocimiento y la experiencia son cultivados, mantenidos y desarrollados a
los ms altos niveles y la funcin es vista como un activo y uno de los mayores
contribuyentes al logro de los objetivos de TI. La capacidad de responder a los incidentes es
probada peridicamente. La administracin de problemas e incidentes est bien integrada
dentro de los procesos interrelacionados as como los cambios, la disponibilidad y la
administracin de la configuracin y ayudan a los clientes a administrar los datos, las
instalaciones y las operaciones.

5 Optimizado El proceso de administracin de problemas ha evolucionado en un proceso que

mira hacia adelante y es proactivo, contribuyendo a los objetivos de TI. Los problemas son
anticipados y pueden incluso ser prevenidos. El conocimiento es mantenido, a travs de
contactos regulares con vendedores y expertos, respecto de patrones de problemas e
incidentes pasados y futuros. El registro, reporte y anlisis de problemas y resoluciones es
automatizado y est totalmente integrado con la administracin de configuracin de datos.
La mayora de los sistemas han sido equipados con mecanismos automticos de deteccin y
de advertencia, que son constantemente rastreados y evaluados.


Administrar los Datos
El Control sobre el proceso de TI de Administrar los Datos con el objetivo del negocio de asegurar que
los datos sigan siendo completos, precisos y vlidos durante su ingreso, actualizacin y
almacenamiento.
Es posibilitado por una combinacin efectiva de controles generales y de aplicacin sobre las
operaciones de TI
Los requerimientos de ingreso de datos estn claramente establecidos, se les hacen valer y se les soporta por
medio de tcnicas automatizadas en todos los niveles, incluyendo bases de datos e interfaces de archivos
Las responsabilidades de los requerimientos de propiedad e integridad de los datos estn claramente
establecidas y aceptadas en toda la organizacin
La exactitud y los estndares de los datos estn claramente comunicados e incorporados en los procesos de
entrenamiento y de desarrollo de personal
Las normas de ingreso y de correccin de datos se hacen cumplir en el punto de ingreso
Las normas de integridad del ingreso, procesamiento y salida de los datos son formalizadas y ejecutadas
Los datos son mantenidos en suspenso hasta ser corregidos
Se usan mtodos efectivos de deteccin para hacer que se cumplan las normas de exactitud y de integridad
de datos
La traduccin efectiva de datos en todas las plataformas est implementada sin prdida de integridad o
confiabilidad para satisfacer las exigencias cambiantes del negocio
Hay una menor confiabilidad en los procesos de ingreso manual y redigitacin de datos
Las soluciones eficientes y flexibles promueven el uso efectivo de datos
Los datos son archivados y protegidos y estn disponibles cuando se necesitan para ser recuperados

Efectividad gente
Confidencialidad
tecnologa
P Integridad
P Confiabilidad

Una reduccin que se mide en el proceso de preparacin de datos y en las tareas

Un mejoramiento que se mide en la calidad, lnea de tiempo y disponibilidad de datos
Un aumento que se mide en la satisfaccin del cliente y en la confianza en los datos
Una disminucin que se mide en las actividades correctivas y en la exposicin a la corrupcin de datos
Reduccin del nmero de defectos de datos, como por ejemplo la redundancia, la duplicacin y la
inconsistencia
No hay conflictos legales o regulatorios de cumplimiento de los datos
Porcentaje de errores en el ingreso de datos

Porcentaje de actualizaciones reprocesadas
Porcentaje de verificaciones automatizadas de integridad de datos incorporadas a las aplicaciones
Porcentaje de errores evitados en el punto de ingreso
Nmero de verificaciones automatizadas de integridad de datos corridas independientemente de las
aplicaciones
Intervalo de tiempo entre la ocurrencia, deteccin y correccin de errores
Reduccin de problemas en la salida de datos
Reduccin del tiempo para la recuperacin de los datos archivados


Control sobre el proceso de TI de Administrar los Datos con el objetivo del negocio de asegurar que
los datos se mantengan completos, exactos y vlidos durante su ingreso, actualizacin y almacenamiento
0 Inexistente. No se reconocen los datos como un recurso y un activo corporativo. No hay

propiedad asignada de datos ni responsabilidad individual de la integridad y confiabilidad de
los datos. La calidad y seguridad de los datos son deficientes o inexistentes.
1 Inicial /Ad hoc La organizacin reconoce una necesidad de datos exactos. Algunos mtodos son
desarrollados a nivel individual para prevenir y detectar el ingreso, procesamiento y errores en la salida de
los datos. El proceso de identificacin y correccin de errores depende de las actividades manuales de la
persona, y las reglas y requerimientos no son transmitidos a medida que se llevan a cabo movimientos y
cambios de personal. La administracin asume que los datos son exactos porque una computadora est
involucrada en el proceso. La integridad y seguridad de los datos no son requerimientos de
administracin y, si existe la seguridad, sta est administrada por la funcin de servicios de informacin.
2 Repetible pero Intuitivo La conciencia de la necesidad de la exactitud de los datos y de

mantener la integridad prevalece en toda la organizacin. La propiedad de los datos
comienza a tener lugar, pero a nivel de un departamento o grupo. Las reglas y
requerimientos son documentados por personas clave y no son consistentes en toda la
organizacin y plataformas. Los datos estn en custodia de la funcin de los servicios de
informacin y las reglas y definiciones estn impulsadas por los requerimientos de TI. La
seguridad e integridad de los datos son primariamente responsabilidades de la funcin de los
servicios de informacin con una participacin departamental menor.
3 Proceso Definido La necesidad de integridad de los datos dentro y en toda la organizacin

es entendida y aceptada. Las normas de ingreso, procesamiento y salida de datos han sido
formalizadas y se hacen cumplir. El proceso de identificacin y correccin de errores es
automatizado. La propiedad de los datos es asignada, y la integridad y seguridad son
controladas por el responsable. Se utilizan tcnicas automatizadas para prevenir y detectar
errores e inconsistencias. Las definiciones, reglas y requerimientos de datos estn
claramente documentados y son mantenidos por una funcin de administracin de base de
datos. Los datos se vuelven consistentes en todas las plataformas y a travs de toda la
organizacin. La funcin de los servicios de informacin tiene un rol de custodio, mientras
que el control de integridad de datos pasa al propietario de los datos. La administracin se
basa en los reportes y anlisis para las decisiones y la planeacin futuras.
4 Administrado y Medible Los datos son definidos como un recurso y un activo

corporativo, a medida que la administracin exige ms soporte de decisiones y ms reporte
de rentabilidad. La responsabilidad por la calidad de datos est claramente definida,
asignada y comunicada dentro de la organizacin. Los mtodos estandarizados estn
documentados, mantenidos, y usados para controlar la calidad de los datos, se hacen cumplir
las reglas y los datos son consistentes en todas las plataformas y unidades de negocio. La
calidad de los datos es medida y la satisfaccin del cliente respecto a la informacin es
monitoreada. El reporte de administracin asume un valor estratgico para asesorar clientes,
tendencias y evaluaciones de productos. La integridad de los datos se vuelve un factor
significativo, con la seguridad de datos reconocida como un requerimiento de control. Se ha
establecido una funcin formal de administracin de datos a nivel de toda la organizacin,
con los recursos y la autoridad para hacer cumplir la estandarizacin de datos.

5 Optimizado La administracin de datos es un proceso maduro, integrado y de

funcionamiento cruzado que tiene una meta claramente definida y bien entendida de
entregar informacin de calidad al usuario, con criterios claramente definidos de integridad,
disponibilidad y confiabilidad. La organizacin maneja activamente datos, informacin y
conocimientos como los recursos y los activos corporativos, con el objetivo de maximizar el
valor del negocio. La cultura corporativa hace nfasis en la importancia de datos de alta
calidad que necesitan ser protegidos y tratados como un componente clave de capital
intelectual. La propiedad de datos es una responsabilidad estratgica con todos los
requerimientos, reglas, reglamentaciones y consideraciones claramente documentados,
mantenidos y comunicados.


Administrar Instalaciones
El Control sobre el proceso de TI de Administrar Instalaciones con el objetivo del negocio de proveer
un entorno fsico adecuado que proteja el equipo de TI y la gente contra riesgos naturales y provocados
por el hombre
Es posibilitado por la instalacin de controles ambientales y fsicos adecuados que sean revisados
regularmente en busca de su funcionamiento apropiado
Estn definidas estrategias y normas para todas las instalaciones, que abarcan la seleccin del sitio, la
construccin, custodia, seguridad de personal, sistemas mecnico y elctrico, proteccin contra incendio,
rayo e inundacin
La estrategia y las normas de las Instalaciones estn alineadas con los objetivos de disponibilidad de los
servicios de TI y con las polticas de seguridad de informacin, y estn integradas con la planeacin de
continuidad del negocio y con la administracin de crisis
Las Instalaciones son monitoreadas regularmente usando sistemas automatizados con tolerancias claras y
logs de auditora, CCTV (Circuito Cerrado de Televisin ) y sistemas de deteccin de intrusos donde es
necesario, as como tambin a travs de inspecciones fsicas y auditoras
Hay un cumplimiento estricto de los programas de mantenimiento preventivo y estricta disciplina en el
mantenimiento de las Instalaciones
El acceso fsico es rigurosamente monitoreado y se basa en principios de necesidad de ser y de
zonificacin, con autorizacin de identificacin y procedimientos de excepcin donde se necesita.
Hay buenas relaciones e intercambio de informacin con las fuerzas de la ley, las brigadas de incendios y
otras autoridades locales.
Hay claros, concisos y actualizados procedimientos de deteccin, inspeccin y escalamiento soportados por
un programa de entrenamiento

Efectividad gente
Confidencialidad
tecnologa
P Integridad
Cumplimiento datos
Confiabilidad

Una reduccin en el nmero de incidentes de seguridad fsica instalaciones , incluyendo robo, daos,
revelacin, cortes de energa, salud, y problemas de seguridad
Una reduccin en la cantidad de tiempo improductivo debido a cortes de energa en las instalaciones
Un cumplimiento medido de las leyes y reglamentaciones aplicables
Una adherencia medida a los requerimientos de polticas de seguro
Un mejoramiento medido en la proporcin costo /riesgo
Inventario completo y mapas con identificacin de puntos nicos de falla

Frecuencia de entrenamiento de personal en seguridad, Instalaciones y medidas de seguridad
Frecuencia de prueba de alarma de incendio y planes de evacuacin
Frecuencia de inspecciones fsicas
Reduccin del nmero de accesos no autorizados a salas de equipos restringidas
Cambio transparente y regular que garantiza que no habr interrupcin de energa
Demora entre el registro y la finalizacin de incidentes fsicos


Control sobre el proceso de TI Administrar Instalaciones con el objetivo del negocio de proveer un
entorno fsico adecuado que proteja el equipo y la gente de TI contra los riesgos naturales y provocados
por el hombre
0 Inexistente. No hay conciencia de la necesidad de proteger las Instalaciones o la inversin en los

recursos de computacin. Los factores ambientales, incluyendo la proteccin contra incendios, el
polvo, la energa y el calor y la humedad excesivos, no son monitoreados ni controlados.
1 Inicial /Ad hoc La organizacin ha reconocido un requerimiento del negocio de proveer un
entorno fsico adecuado que proteja los recursos y el personal de los riesgos naturales y
provocados por el hombre. No existen procedimientos estndar y la administracin de
Instalaciones y equipo depende de las habilidades y capacidades de las personas clave. No se
revisa el mantenimiento y la gente se mueve dentro de las Instalaciones sin restriccin. La
administracin no monitorea los controles ambientales de la instalacin ni el movimiento de
personal.
2 Repetible pero intuitivo La conciencia de la necesidad de proteger y de controlar el entorno
fsico de computacin es reconocida y evidente en la asignacin de los presupuestos y de otros
recursos. Los controles ambientales son implementados y monitoreados por el personal de
operaciones. La seguridad fsica es un proceso informal, impulsado por un pequeo grupo de
empleados que tienen un alto nivel de preocupacin sobre la seguridad de las Instalaciones fsicas.
Los procedimientos de mantenimiento de las Instalaciones no estn bien documentados y se basan
en las mejores prcticas de unas pocas personas. Las metas de la seguridad fsica no se basan en
ningn estndar formal y la administracin no asegura que se logren los objetivos de seguridad.
3 Proceso Definido La necesidad de mantener un entorno controlado de computacin es entendida
y aceptada dentro de la organizacin. Los controles ambientales, de mantenimiento preventivo y
de seguridad fsica son rubros del presupuesto aprobados y la administracin les hace seguimiento.
Se aplican restricciones de acceso, permitindose el acceso a las Instalaciones de computacin slo
al personal aprobado. Los visitantes son registrados y a veces escoltados, dependiendo del
personal responsable. Las Instalaciones fsicas tienen perfil bajo y no se pueden identificar
fcilmente. Las autoridades civiles monitorean el cumplimiento de las reglamentaciones sanitarias
y de seguridad. Los riesgos estn asegurados, pero no se hace esfuerzo alguno para optimizar los
costos de seguros.
4 Administrado y Medible La necesidad de mantener un entorno controlado de computacin es
entendida totalmente, como es evidente en la estructura organizacional y en la asignacin de
presupuesto. Los requerimientos ambientales y de seguridad fsica estn documentados y el
acceso est estrictamente controlado y monitoreado. La responsabilidad y la propiedad han sido
establecidas y comunicadas. El personal de las Instalaciones ha sido totalmente entrenado en
situaciones de emergencia, as como tambin en prcticas sanitarias y de seguridad. Estn
estandarizados los mecanismos de control para restringir el acceso a las Instalaciones y para
resolver factores ambientales y de seguridad. La administracin monitorea la efectividad de los
controles y el cumplimiento de las normas establecidas. La recuperacin de los recursos de
computacin est incorporada al proceso corporativo de administracin de riesgos. Estn
desarrollados planes para toda la organizacin, se llevan a cabo pruebas regulares e integradas y
las lecciones aprendidas son incorporadas en las revisiones de los planes. La informacin
integrada se usa para optimizar la cobertura de seguros y los costos relacionados.

5 Optimizado Hay un plan a largo plazo para las Instalaciones que se requiere que soporten
el entorno de computacin de la organizacin. Las normas estn definidas para todas las
Instalaciones, abarcando la seleccin del sitio, la construccin, custodia, seguridad de
personal, sistemas mecnico y elctrico, proteccin contra incendio, rayo e inundacin.
Todas las Instalaciones son inventariadas y clasificadas en conformidad con el proceso de
administracin de riesgos de la organizacin en progreso. El acceso est estrictamente
controlado y se basa en la necesidad para el trabajo, es monitoreado constantemente y los
visitantes son escoltados en todo momento. El entorno es monitoreado y controlado por
medio de equipo especializado y las salas de equipos se vuelven automatizadas. Los
programas de mantenimiento preventivo hacen cumplir estrictamente los programas y se
aplican pruebas regulares a los equipos sensitivos. La estrategia y normas de las
Instalaciones estn en correspondencia con los objetivos de disponibilidad de servicios de TI
y estn integradas con la planeacin de la continuidad del negocio y con la administracin
de crisis. La administracin revisa y optimiza las Instalaciones constantemente,
capitalizando sobre las oportunidades de mejorar la contribucin del negocio.


Administrar las Operaciones
El Control sobre el proceso de TI de Administrar las Operaciones con el objetivo del negocio de
asegurar que las funciones importantes de soporte de TI se realicen regularmente y en la forma debida
Es posibilitado por un programa de actividades de soporte que es registrado y aprobado para la

realizacin de todas las actividades
Las instrucciones de las operaciones estn bien definidas, en conformidad con las normas acordadas, y con
disposicin de puntos claramente eliminados y puntos de reinicio
Hay un alto grado de estandarizacin de las operaciones
Hay una estrecha coordinacin con procesos relacionados, incluyendo funciones de administracin de
problemas y de cambios, y administracin de la disponibilidad y de la continuidad
Hay un alto grado de automatizacin de las tareas de operaciones
Los procesos operativos son reestructurados para que funcionen efectivamente con herramientas
automatizadas
La racionalizacin y la estandarizacin de las herramientas de administracin de sistemas est implementada
El manejo de entradas y salidas est hasta donde es posible, confinado a los usuarios
Los cambios en la programacin de trabajos estn estrictamente controlados
Hay procedimientos estrictos de aceptacin para nuevos cronogramas de trabajo, incluyendo documentacin
entregada
Estn establecidos esquemas de mantenimiento preventivo
Los acuerdos de soporte de servicio con los vendedores estn definidos y se hacen cumplir
Estn establecidos procedimientos claros y concisos de deteccin, inspeccin y escalamiento

Confidencialidad
S Integridad tecnologa
Confiabilidad

Una reduccin en la medicin en las demoras y desviaciones de los cronogramas

La medicin de los medios de salida producidos y entregados a su debido destinatario
Una medida de los recursos disponibles a tiempo y dentro de lo programado
Una reduccin medida en los errores relacionados con las operaciones
Una cantidad reducida de tiempo improductivo programado y tambin no programado debido a
intervenciones de operaciones
Un costo general reducido de operacin en relacin con la carga general de procesamiento
Una conclusin medida del proceso de cmputo en diversas etapas

Una reduccin medida en intervencin de operador
Reduccin en el nmero de problemas, demoras y desviaciones
Reduccin en el nmero de repeticiones y reinicio de procesos
Cantidad reducida de mantenimiento no planeado
Reduccin en el nmero de trabajos y eventos no programados
Mayor nmero de configuracin de parmetros controlados por los usuarios
Congruencia medida entre la demanda de usuarios y la disponibilidad de capacidad de recursos
Frecuencia de anlisis y de reporte realizados para monitorear el desempeo de operaciones
Frecuencia de verificaciones de copias de seguridad
Edad promedio del equipo


Control sobre el proceso de TI de Administrar las Operaciones con el objetivo del negocio de asegurar
que las funciones importantes de soporte de TI se realicen regularmente y en la forma debida
0 Inexistente. La organizacin no dedica tiempo y recursos al establecimiento de actividades

bsicas de soporte y operaciones de TI
1 Inicial /Ad hoc La organizacin reconoce la necesidad de estructurar las funciones de
soporte de TI. Sin embargo, no estn establecidos procedimientos estndar y las actividades
de operaciones son reactivas por naturaleza. La mayora de las operaciones no estn
formalmente programadas y las solicitudes de procesamiento son aceptadas sin validacin
previa. Las computadoras que soportan los procesos de negocio son interrumpidas con
frecuencia, demoradas o no estn disponibles. Se pierde tiempo mientras los empleados
esperan recursos. Los sistemas no son estables o no estn disponibles y los medios de salida
aparecen a menudo en lugares inesperados o no aparecen en absoluto.
2 Repetible pero intuitivo La organizacin es plenamente conciente del rol clave que juegan
las actividades de operaciones de TI en proveer funciones de soporte de TI. Adems, la
organizacin comunica la necesidad de coordinacin entre los usuarios y las operaciones de
sistemas. Los presupuestos para herramientas se estn asignando caso por caso. Las
operaciones de soporte de TI son informales e intuitivas. Hay una gran dependencia de las
habilidades y capacidades de las personas. Las instrucciones de qu hacer, cundo y en qu
orden, no estn documentadas. No hay normas de operacin y no existe un entrenamiento
formal de operador. La administracin no mide el cumplimiento de los programas por las
operaciones de TI o las demoras de los anlisis.
3 Proceso Definido La necesidad de administrar operaciones de computadora es entendida y
aceptada dentro de la organizacin. Se han asignado recursos y se lleva a cabo algn
entrenamiento en el puesto de trabajo. Las funciones repetibles estn definidas
formalmente, estandarizadas, documentadas y comunicadas al personal de operaciones y de
clientes. Los casos y resultados de tarea completados son registrados, pero el reporte a la
administracin es limitado o inexistente. El uso de programacin automatizada y de otras
herramientas es extendido y estandarizado para limitar la intervencin del operador. Otras
actividades regulares de soporte de TI estn tambin definidas y se estn definiendo las
tareas relacionadas. Se ejercen controles estrictos sobre poner en operacin nuevos procesos
(jobs) y se usa una poltica formal para reducir el nmero de casos no programados. Los
contratos de mantenimiento y de servicios con los vendedores an son informales por
naturaleza.
4 Administrado y Medible Las operaciones de computadora y las responsabilidades de
soporte estn claramente definidas y la propiedad est asignada. Las operaciones son
soportadas por medio de presupuestos de recursos para los gastos de capital y para recursos
humanos. El entrenamiento est formalizado y en curso, como parte de desarrollo de
carreras. Los programas y tareas estn documentados y comunicados, tanto al interior de la
funcin de TI como del cliente de negocio. Es posible medir y monitorear las actividades
diarias con contratos estandarizados de ejecucin y niveles establecidos de servicio.
Cualquier desviacin de las normas establecidas son resueltas y corregidas con rapidez. La
administracin monitorea el uso de los recursos de cmputo y la realizacin de los trabajos o
tareas asignadas. Existe un esfuerzo constante para aumentar el nivel de automatizacin del
proceso como un medio de asegurar mejoramiento constante. Contratos formales de

mantenimiento y servicio estn establecidos con los vendedores. Hay total concordancia
con los procesos de administracin de problemas y de disponibilidad, soportados por un
anlisis de las causas de errores y fallas.
5 Optimizado Las operaciones de soporte de TI son efectivas, eficientes y lo suficientemente

flexibles como para satisfacer las necesidades de nivel de servicio rpidamente y sin prdida
de productividad. Los procesos operativos de administracin de TI estn estandarizados y
documentados sobre una base de conocimiento y estn sujetos a constante mejoramiento.
Los procesos automatizados que soportan los sistemas operan de manera impecable y
contribuyen a un entorno estable que es transparente y que puede ser usado por el usuario.
Esto permite a los usuarios maximizar la correspondencia entre las operaciones de TI y sus
necesidades. Todos los problemas y fallas son analizados para identificar la causa que los
origin. Las reuniones peridicas con la administracin de cambios aseguran que se
incluyan a tiempo los cambios en los programas de produccin. En cooperacin con los
vendedores, el equipo es analizado en busca de edad y sntomas de mal funcionamiento, y el
mantenimiento es principalmente preventivo por naturaleza.


MONITOREO

M1 Monitoreo
Monitorear los Procesos
El Control sobre el proceso de TI de Monitorear los Procesos con el objetivo del negocio de asegurar el
logro de los objetivos de desempeo fijados para los procesos de TI.
Es posibilitado por la definicin de indicadores relevantes de desempeo, el reporte sistemtico y

oportuno del desempeo y la pronta accin frente a las desviaciones
Se cuenta con reportes tiles, precisos y oportunos de administracin

Los procesos tienen Indicadores Clave de Objetivo e Indicadores Clave de Desempeo definidos y
entendidos
Las medidas del desempeo de TI incluyen criterios financieros, operacionales, de cliente y criterios de
aprendizaje organizacional que asegura la correspondencia con los objetivos en toda la organizacin y que
pueden ser integrados con herramientas tales como el Balanced Business Scorecard de TI
Hay objetivos de proceso claramente entendidos y comunicados
Est establecido un marco para definir e implementar los requerimientos de reporte de gobernabilidad de TI
Est establecida una base de conocimientos de desempeo histrico

S Confidencialidad
S Cumplimiento
9 datos
S Confiabilidad

Aplicacin consistente del nmero limitado correcto de indicadores de desempeo

Mayor nmero de oportunidades de mejoramiento de proceso detectadas y sobre las cuales se actu
Satisfaccin de la entidad de administracin y gobernabilidad con el reporte de desempeo
Reduccin en el nmero de deficiencias de proceso pendientes
Demora entre la ocurrencia y el reporte de deficiencia de proceso

Demora entre el reporte de una deficiencia y la accin iniciada
Proporcin entre las deficiencias de proceso reportadas y las deficiencias aceptadas posteriormente que
requieren seguimiento de atencin de la administracin (ndice de ruido)
Nmero de procesos monitoreados
Nmero de relaciones causa efecto identificadas e incorporadas en el monitoreo
Nmero de Benchmarks externos de efectividad de proceso
Demora entre los cambios de negocio y cualquier cambios asociados a los indicadores de desempeo
Nmero de cambios del conjunto de indicadores de desempeo sin el cambio de objetivos de negocio

M1 Modelo de Madurez
Control sobre el proceso de TI de Monitorear los Procesos con el objetivo del negocio de asegurar el
logro de los objetivos de desempeo fijados para los procesos de TI
0 Inexistente. La organizacin no ha implementado un proceso de monitoreo. TI no lleva a

cabo el monitoreo de los proyectos o de los procesos de manera independiente. No se
cuenta con reportes tiles, oportunos y precisos. No se reconoce la necesidad de objetivos
de procesos claramente entendidos.
1 Inicial /Ad hoc La administracin reconoce una necesidad de recoger y estudiar

informacin sobre los procesos de monitoreo. No se han identificado los procesos de
recopilacin y estudio de los estndares. El monitoreo est implementado y la mtrica se
escoge segn el caso, en conformidad con las necesidades de proyectos y procesos
especficos de TI. El monitoreo es en general implementado de manera reactiva frente a un
incidente que haya causado alguna prdida o dificultad a la organizacin. El monitoreo es
implementado por la funcin de servicios de informacin para el beneficio de otros
departamentos, pero no est implementado sobre los procesos de TI. Las medidas de
definicin y monitoreo de procesos siguen los mtodos tradicionales de control financiero,
de operaciones e interno, sin resolver especficamente las necesidades de la funcin de
servicios de informacin.
2 Repetible pero intuitivo Se han identificado las medidas bsicas a ser monitoreadas. Se ha
definido la recoleccin y estudio de mtodos y tcnicas, pero no se han adoptado los
procesos en toda la organizacin. Las funciones de planificacin y administracin son
creadas para determinar los procesos de monitoreo, pero las decisiones se toman en base a la
experiencia de las personas clave. Se escogen y se implementan herramientas limitadas para
recoger informacin, pero no se pueden usar en toda su capacidad debido a una falta de
experiencia en su funcionalidad. La funcin de servicios de informacin es administrada
como un centro de costo, sin determinar su contribucin a las entidades de la organizacin
que generan ingresos.
3 Proceso Definido La administracin ha comunicado e institucionalizado proceso estndar

de monitoreo. Se han implementado programas educativos y de entrenamiento para
monitoreo. Se ha desarrollado una base formalizada de conocimientos de informacin de
desempeo histrico. An se realizan evaluaciones a nivel del proceso individual de TI y al
nivel del proyecto, y las mismas no estn integradas entre todos los procesos. Se estn
implementando las herramientas para monitorear los procesos internos y los niveles de
servicio de TI. Las medidas de la contribucin de la funcin de servicios de informacin al
desempeo de la organizacin han sido definidas usando criterios financieros y operativos
tradicionales. Las medidas especficas de desempeo de TI estn definidas e
implementadas, pero las medidas no financieras y estratgicas son todava informales. Las
medidas de los niveles de satisfaccin de cliente y de servicio suministradas a las entidades
de la organizacin estn siendo implementadas.
4 Administrado y Medible La administracin ha definido las tolerancias bajo las cuales los
procesos deben operar. La determinacin de la lnea base de los resultados de monitoreo
est siendo estandarizada y normalizada. Hay integracin de mtrica en todo los proyectos
y procesos de TI. Los sistemas de reporte a la administracin de la funcin de servicios de
informacin estn formalizados y total mente automatizados.

Las herramientas automatizadas estn integradas y respaldadas en toda la organizacin para

recolectar y monitorear informacin operativa sobre las aplicaciones, los sistemas y los
procesos. Se ha definido un marco para identificar estratgicamente los KGIs, KPIs y CSFs
orientados para medir el desempeo. Se han definido criterios para evaluar el desarrollo
organizacional basado en los Modelos de Madurez. Las medidas del desempeo de la
funcin de servicios de informacin incluyen criterios de aprendizaje financieros,
operativos, de clientes y organizacionales que aseguran la correspondencia con los objetivos
a nivel de toda la organizacin.
5 Optimizado Se desarrolla un proceso constante de mejoramiento de calidad para actualizar

las normas de monitoreo en toda la organizacin y las polticas y para incorporar las mejores
prcticas de la industria. Todos los procesos de monitoreo estn optimizados y soportan
objetivos de toda la organizacin. Los KGIs, KPIs Y CSFs se usan de manera rutinaria para
medir el desempeo y estn integrados en marcos de evaluacin estratgica tales como el
Balanced Scorecard de TI. El monitoreo de procesos y el rediseo en progreso son
consistentes con los planes desarrollados basados en modelos de madurez de proceso y con
planes de mejoramiento del proceso de negocio en toda la organizacin. Se ha vuelto
formal el establecimiento de Benchmarking comparndose con la industria y los
competidores clave, con criterios bien entendidos de comparacin.

M2 Monitoreo
Determinar lo Adecuado del Control Interno
El Control sobre el proceso de TI de Determinar lo Adecuado del Control Interno con el objetivo del
negocio de asegurar el logro de los objetivos de control interno fijados para los procesos de TI
Es posibilitado por el compromiso de monitorear el control interno, determinar su efectividad, y

reportar sobre ellos regularmente
La administracin define claramente qu componentes de los procesos necesitan ser controlados

las responsabilidades de control interno, de cumplimiento y de auditora interna estn claramente entendidas
La competencia y la autoridad de la funcin de cumplimiento del control interno existen, resolviendo la
delegacin donde sea apropiado
Est establecido un marco debidamente definido de proceso de control de TI
Se usa un proceso claro para reportar oportunamente las deficiencias de control interno
Los datos de monitoreo de control interno son precisos, completos y oportunos
Hay compromiso de la administracin de tomar accin sobre las deficiencias de control interno
Hay correspondencia con los procesos de evaluacin del riesgo y los procesos de seguridad
Est establecido un proceso para soportar la participacin de los conocimientos en los incidentes y
soluciones de control interno

S Confidencialidad
P Cumplimiento
9 datos
S Confiabilidad

ndice de satisfaccin de la alta gerencia y de conformidad con el reporte sobre monitoreo de control interno
Menos probabilidad de incidentes de control interno
Reportes positivos de calificacin y certificacin externa
Nmero de iniciativas de mejoramiento del control
Ausencia de casos de incumplimiento regulatorios o legal
Menos nmero de incidentes de seguridad y de defectos de calidad
Nmero y cobertura de auto evaluaciones de control

Tiempo entre el acontecimiento y el reporte de deficiencias de control interno
Nmero, frecuencia y cobertura de los reportes de cumplimiento de control interno
Nmero de acciones oportunas sobre problemas de control interno
Nmero de mejoramientos de control que provienen del anlisis de las causas que los originan

Control sobre el proceso de TI de Determinar lo Adecuado del Control Interno con el objetivo del
negocio de asegurar el logro de los objetivos de control interno fijados para los procesos de TI
0 Inexistente. La organizacin carece de procedimientos para monitorear la efectividad de

los controles internos. Los mtodos de reporte de control interno de administracin estn
ausentes. Hay una ausencia general de conciencia de la seguridad operativa y del
aseguramiento de control interno de TI. La administracin y los empleados tienen una falta
general de conciencia de los controles internos.
1 Inicial /Ad hoc La organizacin tiene una falta de compromiso de administracin para la
seguridad operativa regular y el aseguramiento de control interno. Se aplica ad hoc la
experiencia individual en determinar la adecuacin de control interno. La administracin de
TI no ha asignado formalmente responsabilidad de monitorear la efectividad de los controles
internos. Las evaluaciones de control interno de TI son realizadas como parte de auditoras
financieras tradicionales, con metodologas y conjuntos de habilidades que no reflejan las
necesidades de la funciones de servicios de informacin.
2 Repetible pero intuitivo La organizacin usa reportes informales de control para iniciar
iniciativas de accin correctiva. Los procesos de planificacin y administracin estn
definidos, pero la evaluacin depende de los conjuntos de habilidades de las personas clave.
La organizacin tiene una mayor conciencia del monitoreo de control interno. La
administracin ha comenzado a establecer mtricas bsicas. La administracin de servicios
de informacin realiza regularmente monitoreo sobre la efectividad de los controles crticos
internos. Los controles sobre la seguridad son monitoreados y los resultados son revisados
regularmente. Las metodologas y herramientas especficas para el entorno de TI estn
comenzando a usarse, pero no consistentemente. El personal calificado de TI est
participando de manera rutinaria en las evaluaciones de control interno. Los factores de
riesgo especficos del entorno de TI estn siendo definidos.
3 Proceso Definido La administracin soporta y ha institucionalizado un monitoreo de control interno. Se

han desarrollado polticas y procedimientos para evaluar y reportar sobre las actividades de control
interno. Se est estableciendo una base de conocimientos de mtrica para informacin histrica sobre el
monitoreo de control interno. Se ha implementado un programa de educacin y entrenamiento para el
monitoreo de control interno. Se han establecidos revisiones peridicas para el monitoreo del control
interno. Estn establecidas auto evaluaciones y revisiones de aseguramiento de control interno y las
mismas involucran la administracin de la funcin de servicios de informacin trabajando con los
administradores de negocios. Se estn utilizando herramientas pero las mismas no estn necesariamente
integradas en todos los procesos. Se estn usando las polticas de evaluacin del riesgo del proceso de TI
dentro de los marcos de control desarrollados especficamente para la organizacin de TI. La funciones
de servicios de sistema de informacin est desarrollando sus propias capacidades orientadas
tcnicamente al control interno de TI.
4 Administrado y Medible La administracin ha establecido Benchmarking y metas cuantitativas para

los procesos de revisin del control interno. La organizacin estableci niveles de tolerancia para el
proceso de monitoreo de control interno. Estn incorporadas herramientas integradas y cada vez ms
automatizadas en los procesos de revisin del control interno, con un mayor uso de anlisis y control
cuantitativo. Los riesgos especficos del

proceso y las polticas de mitigacin estn definidas para toda la funcin de servicios de
informacin. Est establecida una funcin formal de control interno de TI, con
profesionales especializados y certificados que utilizan un marco formal de control aprobado
por la alta gerencia. Se est formalizando Benchmarking contra los estndares de la
industria y el desarrollo de las mejores prcticas.
5 Optimizado La administracin ha establecido un programa de mejoramiento continuo a

travs de toda la organizacin que toma en cuenta las lecciones aprendidas y las mejores
prcticas de la industria para el monitoreo de control interno. La organizacin usa
herramientas avanzadas que son integradas y actualizadas, cuando es apropiado. Est
formalizada la participacin de los conocimientos y estn implementados programas
formales de entrenamiento especficos para la funcin de los servicios de informacin. Los
marcos de control de TI resuelven no solamente problemas tcnicos, sino que estn
integrados con marcos y metodologas a nivel de toda la organizacin para asegurar
consistencia con las metas de la organizacin.

M3 Monitoreo
Obtener Aseguramiento Independiente
El Control sobre el proceso de TI de Obtener Aseguramiento Independiente con el objetivo del

negocio de aumentar la confianza entre la organizacin, los clientes y los terceros proveedores
Es posibilitado por revisiones de Aseguramiento independientes llevadas a cabo regularmente
Hay una correspondencia constante con las necesidades de los interesados

La organizacin ha definido los procesos para las actividades de Aseguramiento de TI, en especial el control
interno general, la certificacin y las decisiones mayores
Se realiza rutinariamente Benchmarking de los proveedores de servicio externos
Las principales decisiones de TI tienen un anlisis directo de requerimientos para una opinin de
Aseguramiento de terceros
Antes de obtener Aseguramiento independiente, se realiza una evaluacin de riesgo de alto nivel con los
interesados clave
Hay un compromiso de respaldar Aseguramiento independiente para el mejoramiento sostenible
Las actividades de Aseguramiento se realizan en conformidad con las prcticas generalmente aceptadas,
como por ejemplo SysTrust
Hay una sociedad entre auditor y auditado, para estimular la cooperacin

S Confidencialidad
P Cumplimiento
9 datos
S Confiabilidad

Incremento de nmero de opiniones aceptadas sobre el sistema general de control interno para todos los
dominios acordados
Mayor nmero de certificaciones de calidad o acreditaciones para todos los dominios acordados
Mayor nmero de segundas opiniones reportadas a los interesados para las decisiones importantes de TI
como por ejemplo, salir en vivo, negociaciones de contrato, empresas colectivas (Joint Ventures), y
adquisiciones importantes
Porcentaje de recomendaciones cerradas a tiempo en relacin con las revisiones independientes de control
interno, certificaciones de calidad o acreditaciones y segundas opiniones
Menor nmero de decisiones importantes que fracasaron o que fueron revertidas
ndice de confianza de los interesados
Menores gastos generales de obtener aseguramiento y certificaciones

Puntualidad de reporte de Aseguramiento
Puntualidad de las actividades de Aseguramiento
Nmero de procesos de Aseguramiento iniciados
Nmero de reiteraciones antes de que los reportes de Aseguramiento sean aceptados
Nmero de decisiones de TI que requieren Aseguramiento donde no se buscaba aseguramiento
Nmero de decisiones de TI que no requeran de aseguramiento donde se buscaba aseguramiento
Menor nmero de decisiones importantes de TI fracasadas o revertidas despus de que se obtuvo un
Aseguramiento positivo

Control sobre el proceso de TI de Obtener Aseguramiento Independiente con el objetivo del negocio
de aumentar la confianza entre la organizacin, los clientes y los terceros proveedores
0 Inexistente. La organizacin no tiene establecidos procesos de aseguramiento. No estn

implementadas polticas de seguridad. No se han desarrollado acuerdos de nivel de servicio y los
procesos no se miden. La administracin no ha instituido ningn programa de Aseguramiento o de
certificacin.
1 Inicial /Ad hoc La organizacin administra los procesos de TI de manera independiente. Estn
establecidos procesos de certificacin y de Aseguramiento en manera excepcional. La
certificacin y el Aseguramiento son impulsados por casos tales como los cambios regulatorios o
requerimiento o la demanda de clientes. El proceso de Aseguramiento es llevado a cabo de
manera reactiva por equipos especiales o por especialistas tcnicos que no tienen habilidades
especficas de aseguramiento.
2 Repetible pero intuitivo La administracin de funciones de servicios de informacin ha

implementado procesos para administrar las actividades de aseguramiento. Los requisitos de
Aseguramiento estn an vinculados con las necesidades del negocio y con los requerimientos y
estn impulsados por la funcin de servicios de sistema de informacin. La administracin del
riesgo como parte de la administracin de funciones de servicios del sistema de informacin,
impulsa los programas de certificacin y aseguramiento. La funcin de servicios de informacin
realiza evaluaciones de riesgo para identificar los riesgo a nivel de sistema. La alta gerencia
soporta y se ha comprometido al Aseguramiento independiente. Estn desarrollados los mtodos
y las tcnicas para certificacin y Aseguramiento y los mismos estn siendo referidos para
desarrollar las mejores prcticas. El proceso para seleccionar los recursos internos o externos se
est formalizando.
3 Proceso Definido La organizacin ha definido e institucionalizado los procesos para las actividades
de Aseguramiento de TI y los criterios para usar recursos internos y externos en base al nivel de
experiencia, sensibilidad e independencia requeridos. Los procesos de Aseguramiento incluyen
requerimientos legales y regulatorios, necesidades de certificacin, efectividad organizacional
general e identificacin de las mejores prcticas. Se han desarrollado requerimientos de
Aseguramiento para los procesos de TI. La administracin lleva a cabo revisiones participativas de
todas las actividades de aseguramiento. La administracin que no hace parte de la funcin de
servicios de informacin lleva a cabo revisiones proactivas que involucran aseguramiento y
certificacin. Una base de conocimientos de las mejores prcticas de aseguramiento y de
certificaciones ha sido desarrollada. Los procesos claves de TI han sido certificados.
4 Administrado y Medible La administracin ha implementado procesos de Aseguramiento para

asegurar que los procesos crticos de TI sean identificados y tengan planes especficos de
aseguramiento. Los procesos de TI son revisados en el contexto del proceso de negocio que ellos
soportan. Los procesos de Aseguramiento son administrados y controlados de manera cuantitativa.
La administracin usa lo que se aprende de los procesos de Aseguramiento y de certificacin para
mejorar otros procesos, basados en lo que se aprendi. La base de conocimientos es utilizada para
asegurar que las mejores prcticas sean usadas en nuevos procesos y para hacer Benchmark a otros
procesos. Est establecido un proceso formal para asegurar la competencia de la funcin de
Aseguramiento evaluando constantemente el equilibrio entre los conocimientos disponibles interna
y externamente y las habilidades. Estn definidos los criterios costo /beneficio para llevar a cabo
evaluaciones internas y externas.

5 Optimizado La administracin ha implementado medidas para asegurar que todos los

procesos crticos de negocio tengan procesos de aseguramiento sobre las infraestructuras
de TI que los soportan. La organizacin tienen un programa de mejoramiento constante
para los procesos de aseguramiento y certificacin que refleja las mejores prcticas de la
industria. La administracin ha desarrollado la capacidad de integrar rpidamente los
resultados de las actividades de aseguramiento y certificacin en procesos a nivel de toda
la organizacin. La efectividad de los proveedores de servicios de terceros y relaciones con
socios de negocio son evaluadas de manera rutinaria. Hay una estrategia definida
formalmente, soportada por la alta gerencia, para desarrollar el cumplimiento de las normas
nacionales e internacionales y para obtener certificaciones que son vistas como que proveen
reconocimiento y una ventaja competitiva.

M4 Monitoreo
Proveer Auditora Independiente
El Control sobre el proceso de TI de Proveer Auditora Independiente con el objetivo del negocio de
aumentar los niveles de confianza y aprovechar el asesoramiento de la mejor prctica
Es posibilitado por auditoras independientes llevadas a cabo regularmente

Un comit de auditora que define y soporta un mandato de auditora que provee la independencia,
responsabilidad, autoridad y obligacin de rendir cuentas de la funcin de auditora
La planificacin basada en el riesgo se usa para identificar el negocio y las actividades de TI para revisiones
iniciales y cclicas
La planificacin y la realizacin de auditoras son proactivas
La metodologa de auditora est debidamente soportada por herramientas y tcnicas
Estn establecidas prcticas claramente acordadas entre la administracin y la auditora para rastrear y cerrar
recomendaciones de auditora y para reportar sobre la situacin global
Los auditores realizan evaluaciones de impacto de recomendaciones, incluyendo costo, beneficio y riesgo
Las auditoras se realizan en conformidad con normas de auditora generalmente aceptadas

S Confidencialidad
9 tecnologa
S Integridad
P Cumplimiento 9 datos
S Confiabilidad

Mayor nivel de confianza derivado de las actividades de auditora independiente
Mayor adopcin de las mejores prcticas como resultado de asesoramiento y recomendaciones de auditora
independiente
Mayor valor por el dinero
Mayor nivel de comunicacin con el comit de auditora y la alta gerencia

Mayor nivel de satisfaccin con la relacin de trabajo de la funcin de auditora
Nmero de acciones correctivas y sostenibles emprendidas como un resultado de nuevas hallazgos de
auditora
Mayor nmero de auditores con certificaciones profesionales y tcnicas
Tiempo mejorado del ciclo del proceso de auditora desde la planificacin hasta el reporte

Control sobre el proceso de TI de Proveer Auditora Independiente con el objetivo del negocio de
aumentar los niveles de confianza y aprovechar el asesoramiento de la mejor prctica
0 Inexistente. La administracin no est conciente de la importancia de una funcin de

auditora independiente y no se llevan a cabo auditoras independientes.
1 Inicial /Ad hoc Existe una Funcin informal de auditora de TI que realiza diferentes
revisiones cada cierto tiempo. No hay un plan general para proveer auditoras
independientes ni coordinacin entre las revisiones. La planeacin, administracin y reporte
de auditora independiente se basa en la experiencia individual. La calidad de planeacin y
entrega de los servicios de auditora es en general deficiente, con resultados variables y
participacin muy limitada de la administracin.
2 Repetible pero intuitivo La disposicin de una funcin de auditora independiente es

reconocida por la administracin como potencialmente til, pero no hay ninguna poltica
escrita que defina su propsito, autoridad y responsabilidades. La alta gerencia no ha
establecido una infraestructura y un proceso para asegurar que las auditoras independientes
se lleven a cabo regularmente. La planeacin, administracin y reporte de auditoras
independientes sigue un patrn similar, basado en la experiencia ganada anteriormente y en
la experiencia y conocimientos de los miembros del equipo. Hay poca coordinacin entre
las auditoras y un seguimiento limitado de las conclusiones de las auditoras anteriores. El
inters y la participacin de la administracin de TI en el proceso de auditora es
inconsistente y depende de la calidad percibida del equipo especfico de auditora.
3 Proceso Definido La alta gerencia ha establecido un estatuto para la funcin de auditora de

TI y ste se sigue para proveer la independencia y autoridad de la funcin de auditora. La
administracin de auditora ha identificado y entiende el entorno y las iniciativas de TI.
Est establecido un proceso para planear y administrar las auditoras. Del personal de
auditora se espera que cumpla con las normas de auditora, pero los resultados pueden ser
variables. La resolucin de los comentarios de auditora ocurren, pero a menudo hay un
seguimiento y cierre deficientes. Estn establecidos los elementos bsicos de garanta de
calidad para garantizar que las prcticas cumplan con las normas de auditora aplicables y
para mejorar la efectividad de las actividades de la funcin de auditora. Las funciones
financieras y de proceso de auditora de TI en general no estn integradas. La
administracin de TI est conciente de la necesidad de auditoras independientes, pero no
siempre est satisfecha de la calidad que se provee y no tiene confianza que la funcin tenga
conocimientos adecuados para hacer recomendaciones vlidas.
4 Administrado y Medible Estn establecidos planes estratgicos y operativos de auditora

basados en el riesgo, basados en una evaluacin de las necesidades actuales y futuras. Estn
desarrollados planes individuales de auditora, basados en un plan cclico operativo y en la
disponibilidad de recursos. El proceso de auditora puede ser diseado para asignaciones
especficas. Est establecida y desarrollada una base de conocimientos del proceso para
asegurar que las evaluaciones de calidad se puedan hacer y que se generen recomendaciones
tiles. Las auditoras estn coordinadas e integradas con cualquier auditora financieras y de
proceso asociadas. Los resultados son reportados a la administracin y se llevan a cabo

seguimientos para asegurar que la administracin haya emprendido acciones correctivas

sobre los problemas crticos identificados por las auditoras. Una funcin estructurada de
aseguramiento de calidad facilita la administracin y control cuantitativos del proceso de
auditora. La funcin de auditora de TI participa en el desarrollo de acciones correctivas y
en proyectos para asegurar que los controles estn debidamente integrados en procesos. La
administracin de TI est usualmente involucrada positivamente en todas las auditoras y
hace uso de los resultados de auditora para mejorar el desempeo.
5 Optimizado La funcin de auditora es capaz de responder rpidamente a las

preocupaciones de la administracin relacionadas con el proceso del negocio y con los
aspectos de control de riesgo de manera constante a nivel de toda la organizacin. La
planificacin de auditora est estrechamente integrada con las estrategias de negocio y de
TI. Los procesos de auditora son monitoreados y analizados en busca de mejoramiento
para adaptarse a las condiciones cambiantes del entorno. Esto incluye actividades de
monitoreo cuantitativo en la comunidad de auditora y tomando en cuenta las mejores
prcticas de la industria tecnolgica avanzada y otras tendencias en la adaptacin a los
procesos de auditora. La auditora estn involucrada en el desarrollo de los planes de
negocio y en todos los proyectos que soportan los planes de negocio, para asegurar que los
controles apropiados estn incluidos en todos los procesos. La auditora es consultada sobre
todos los proyectos en busca de control y asesoramiento de negocio.

APNDICE ICMO USAR

1. LAS DIRECTRICES GERENCIALES
Cada Directriz Gerencial provee un nmero de elementos de cada uno de los 34 procesos de COBIT:
Identificacin de proceso
Declaracin del objetivo para el proceso
Declaracin de habilitacin (cmo mantener el proceso bajo control para determinar si ste logra
sus objetivos)
Recursos de TI, con una indicacin de relevancia para este proceso
Criterios de informacin, con una indicacin de importancia relativa (P = de importancia
primordial, S = de importancia secundaria, o en blanco = menos importante, no necesariamente
para no ser tenido en cuenta)
Estos elementos estn estructurados como se describe en la grfica siguiente. La relacin se basa en los
principios del Balanced Business Scorecard, que vincula los objetivos con sus medidas de resultado
(KGI) a los habilitadores con sus medidas de desempeo (KPI). Los habilitadores son hechos de manera
especfica y pragmtica con un nmero de factores crticos de xito y utilizan recursos de TI especficos.
1
0.9
Objetivo 0.8 Posibilitador Recursos de TI

0.7
0.6
0.5
0.4
0.3
0.2
E E C I D C C
F F O N I U O
E I N T S M N
T
C
I
C
I
F
G
E
O
P
L
P
I
F CFS
I E D
KGI I
V
C
N
N
E I
R
I
N
M
I
B
A
KPI
C D B I I
I I E L
A L I
L I
Adicionalmente, se puede obtener orientacin de Las directrices Gerenciales Genricas (ver Apndice
IV) y de las Directrices de Gobernabilidad de TI (ver Apndice V). Ambos darn una indicacin rpida
de los requerimientos de alto nivel para mantener manejable un proceso de TI.
Finalmente, es necesario sealar que estas directrices no proponen que sea necesario aplicar en todos los
casos todas las prcticas resueltas a travs de CSFs y KPIs. Es necesario que se efecte una seleccin
apropiada. Los Modelos de Madurez (ver la siguiente seccin de este Apndice) suministrados con cada
directriz de proceso pueden ayudar a hacer dicha seleccin. Sin embargo, en los negocios con
requerimientos de alta fiabilidad para TI y donde la supervivencia depende de la disponibilidad de
informacin, la aplicacin casi global de las directrices lineamientos, a los niveles 3 o 4 de madurez,
constituiran una buena prctica.

2. EL MODELO DE MADUREZ
Como una herramienta separada, un Modelo de Madurez tambin es suministrado para cada uno de los
34 procesos de COBIT. Esta herramienta puede ser la base para las siguientes aplicaciones
incrementales:
Un mtodo para auto evaluacin contra las escalas, que decide dnde se encuentra la
organizacin
Un mtodo para usar los resultados de la auto evaluacin para fijar objetivos para desarrollo
futuro, basados en dnde quiere estar la organizacin en la escala, que no es necesariamente en el
nivel 5.
Un mtodo para planificar proyectos para lograr los objetivos basado en un anlisis de las
brechas entre esos objetivos y la situacin actual
Un mtodo para priorizar el trabajo de proyectos basado en la clasificacin de proyectos y en un
anlisis de su impacto en el beneficio en comparacin con su costo
0 1 2 3 4 5

2.1 Auto Evaluacin e Identificacin de Objetivo
Para cada tpico de evaluacin la organizacin debe usar la escala de medida de seis puntos de 0 a 5,
para definir su posicin estimada. Esto puede luego ser comparado con facilidad y grficamente con los
tres puntos de referencia (desempeo, normas internacionales y la mejor prctica, que se busca obtener).
Una organizacin que hace una auto evaluacin necesita sencillamente considerar cada tpico de
evaluacin por vez, leyendo las descripciones de la escala de seis puntos y determinando cual de estas
seis posiciones describe mejor la actual situacin de la organizacin. Cuanto ms importante es el
proceso para la organizacin, ms alto debe uno estar en la escala. Por ejemplo, en un entorno comercial
relativamente estable, la madurez incremental de los 13 procesos de TI en el dominio de Entrega y
Soporte es lo que diferencia a las organizaciones exitosas de las dems. Por otra parte, en un entorno
comercial altamente dinmico, el xito organizacional, si no la supervivencia, depende mucho de la
madurez de los dominios de Planeacin y Organizacin y de Adquisicin e Implementacin.
Cada punto de Benchmark es estrictamente incremental y todas las condiciones de la descripcin deben
ser satisfechas para calificar para la clasificacin en ese nivel. Se debe sealar tambin que hay una
diferencia entre medir la capacidad y medir el desempeo. Por ejemplo, adquirir la capacidad y las
habilidades para ciertas prcticas de seguridad o de control es una decisin que necesita hacerse y darle
seguimiento, pero la aplicacin consistente de la capacidad, una vez que ha sido adquirida, tambin
necesita ser medida.

La organizacin necesita tambin considerar cul de las seis descripciones describe mejor adnde
quisiera ir como resultado de su estrategia de TI, con especial nfasis en el grado de dependencia y valor
de informacin para alcanzar sus requerimientos de negocio. Los Benchmarks externos pueden ser muy
tiles para conformar una opinin sobre qu nivel realista de seguridad y de control requiere la
organizacin en relacin con su entorno y con sus objetivos estratgicos.
2.2 Anlisis de Brechas
En muchos casos los dos marcadores de auto evaluacin (dnde se est y dnde se quiere estar) estarn
separados por una brecha en el cuadro, su tamao da una impresin visual de cunto trabajo es necesario
hacer para cerrar la brecha y de ese modo lograr el objetivo estratgico. Sin embargo, esta brecha
tambin necesita ser descrita con ms detalle para facilitar el uso de los resultados del anlisis de la
brecha para planificar una serie de proyectos que emprender la organizacin en pos de sus objetivos
estratgicos de seguridad y control de TI.
El proceso de anlisis de la brecha compilar una lista de todas las acciones que se necesitan para cerrar
las brechas entre los marcadores del estado actual y su correspondientes marcadores de objetivo
estratgico. Esta lista de brechas debe entonces ser usada para planear una lista de proyectos que
ejecutar acciones que servirn para cerrar cada una de estas brechas. Probablemente habr mapeos de
muchos a muchos entre brechas y proyectos (ver diagrama a continuacin).
2.3 Clasificacin de Proyecto
Para facilitar la planificacin y la comunicacin, los proyectos pueden ser clasificados segn el tipo:
Iniciativas estratgicas, proyectos tcticos, mejoramientos organizacionales o desarrollos de procesos.
Cada proyecto es luego marcado con una etiqueta secuencial nica, por ejemplo: S1, T3, O2, P5, como
en el diagrama que aparece a continuacin.
2.4 Priorizacin de Proyectos
El objetivo de priorizar proyectos es identificar los proyectos donde se pueden lograr beneficios rpidos.
Los mejores candidatos para beneficios rpidos son usualmente aquellos en que las brechas son
pequeas, donde el costo de cerrar la brecha es bajo, donde el riesgo de fracaso del proyecto es bajo y
donde el impacto sobre las ganancias del negocio ser el mayor.
Los proyectos deben por lo tanto ser evaluados en funcin del impacto y del costo /riesgo, en una escala
de 0 a 10, para cada una de estas variables. Los proyectos pueden ser impresos en un cuadro que se
convierte en una herramienta de soporte de decisiones de la administracin, mostrando los impactos
relativos y los costos /riesgos. Los proyectos que son de alto impacto y de bajo costo /riesgo son buenos
candidatos para ser seleccionados como ganancias rpidas.
Brechas Proyectos Impacto

Proyectos de Alta Prioridad
10
1 A
T3
2 B S1
3 C 5
. . P5
.. ..
O2 Costo / Riesgo
n m
0
5 10


Apndice IIEL MARCO REFERENCIAL DE COBIT
LA NECESIDAD DE CONTROL EN LA TECNOLOGA DE INFORMACIN
En los ltimos aos, se ha vuelto cada vez ms evidente para los reguladores, legisladores, usuarios y
proveedores de servicios que hay una necesidad de marco de referencia para seguridad y control en TI.
Crticamente importante para el xito y la supervivencia de una organizacin es la administracin
efectiva de la Tecnologa de Informacin (IT, siglas de los trminos en ingls). En esta sociedad de
informacin global donde la informacin viaja a travs del ciberespacio sin las limitaciones de tiempo,
distancia y velocidad esto surge de manera crtica de:
La dependencia cada vez mayor de la informacin y de los sistemas que entregan esta
informacin;
Las vulnerabilidades cada vez mayores y un amplio espectro de amenazas, tales como las cyber
amenazas y la guerra por la informacin;
La escala y el costo de las inversiones actuales y futuras en la informacin y en los sistemas de
informacin; y
El potencial para que las tecnologas cambien dramticamente las prcticas de las organizaciones
y de los negocios, creen nuevas oportunidades y reduzcan costos.
Para muchas organizaciones, la informacin y la tecnologa que la soporta representan el activo ms

valioso de la organizacin. Verdaderamente, la informacin y los sistemas de informacin son
penetrantes en toda la organizacin desde la plataforma del usuario hasta las redes locales y de rea,
amplia hasta los servidores de clientes, hasta las computadoras mainframe. Muchas organizaciones
reconocen los beneficios potenciales que puede rendir la tecnologa. Las organizaciones exitosas,
sin embargo, entienden y manejan los riesgos asociados con la implementacin de tecnologas
nuevas. De ese modo, la administracin necesita tener una apreciacin y un entendimiento bsico de los
riesgos y limitaciones de TI para proveer direccin efectiva y controles adecuados.
LA ADMINISTRACIN tiene que decidir qu invertir razonablemente para seguridad y control en TI

y cmo balancear la inversin en riesgo y control en un entorno frecuentemente impredecible de TI.
Aunque la seguridad y el control de los sistemas de informacin ayudan a manejar los riesgos, no los
elimina. Adicionalmente, el nivel exacto de riesgo nunca se puede saber ya que siempre hay algn grado
de incertidumbre. En ltima instancia, la administracin debe decidir sobre el nivel de riesgo que est
dispuesta a aceptar. Juzgar qu nivel de riesgo se puede tolerar, en particular cuando se pondera en
comparacin con el costo, puede ser una decisin difcil para la administracin. Por lo tanto, la
administracin necesita claramente un marco de prcticas de seguridad y control de TI generalmente
aceptadas para usar como referencia su entorno existente y planeado de TI.
Hay una necesidad cada vez mayor de que los usuarios de los servicios de TI se aseguren, por medio de
acreditacin y de servicios de auditora de TI suministrados por personas internas o por terceros, de que
existe la seguridad y el control adecuados. Actualmente, sin embargo, la implementacin de buenos
controles de TI en los sistemas de informacin, ya sean comerciales, sin fines de lucro o
gubernamentales, est dificultada por la confusin. La confusin surge de los diferentes mtodos de
evaluacin como por ejemplo las evaluaciones ITSEC, TCSEC. ISO 9000, las evaluaciones COSO de
control interno que estn surgiendo, etc. Como resultado, los usuarios necesitan que se establezca, como
primera medida, una base general.

Con frecuencia, los AUDITORES han tomado la delantera en tales esfuerzos de estandarizacin
internacional porque estn constantemente confrontados con la necesidad de soportar su opinin en el
control interno a la administracin. Sin un marco, esta es una tarea difcil. Esto ha sido ilustrado por
varios estudios recientes sobre cmo los auditores juzgan las situaciones complejas de seguridad y
control en TI estudios que se llevaron a cabo casi simultneamente en diferencies partes del mundo.
Adems, los auditores son llamados cada vez ms por la administracin para consultar y asesorar
proactivamente sobre asuntos relacionados con la seguridad y el control de TI.
EL ENTORNO DE NEGOCIO: COMPETENCIA, CAMBIO Y COSTO
La competencia global est aqu. Las organizaciones estn reestructurando para operaciones modernas y
simultneamente aprovechar los adelantos en TI para mejorar su posicin competitiva. La reingeniera
del negocio, right-sizing, outsourcing, empowerment, organizaciones aplanadas y procesamiento
distribuido son todos ellos cambios que impactan la forma en que operan el negocio y las organizaciones
gubernamentales. Estos cambios estn teniendo, y continuarn teniendo, profundas implicaciones para la
administracin y las estructuras de control operativo dentro de las organizaciones en todo el mundo.
El nfasis en obtener ventaja competitiva y eficiencia en costos implica una confianza cada vez mayor en
la tecnologa como un componente importante en la estrategia de la mayora de las organizaciones.
Automatizar las funciones organizacionales es, por su misma naturaleza, dictar la incorporacin de
mecanismos de control ms poderosos en las computadoras y en las redes, tanto basados en el hardware
como en el software. Adicionalmente, las caractersticas estructurales fundamentales de estos controles
estn evolucionando a la misma tasa y en la misma manera de salto de rana en que estn
evolucionando las tecnologas subyacentes de computacin y de red.
Dentro del marco de cambio acelerado, si los administradores, los especialistas en sistemas de
informacin y los auditores van en efecto a poder efectivamente cumplir sus roles, sus habilidades deben
evolucionar tan rpidamente como la tecnologa y el entorno. Uno debe entender la tecnologa de
controles involucrada y su naturaleza cambiante si uno va a emitir juicios razonables y prudentes para
evaluar las prcticas de control encontradas en las organizaciones tpicas del negocio o del gobierno.
RESPUESTA A LA NECESIDAD
En vista de estos cambios en progreso, el desarrollo de este marco para objetivos de control para TI,
junto con la investigacin aplicada y continua en los controles de TI basada en este marco, son pilares
para el progreso efectivo en el terreno de la informacin y de los controles de tecnologas relacionadas.
Por otra parte, hemos sido testigos del desarrollo y la publicacin de modelos generales de control de
negocios como COSO (Commitee of Sponsoring Organizations of the Treadway Commission) Control
Interno-Marco Integrado, 1992) en los EEUU, Cadbury, CoCo en Canada y King en Sudfrica. Por otra
parte, un nmero importante de modelos ms especficos de control estn en existencia en el nivel de TI.
Buenos ejemplos de esta ltima categora son el Cdigo de Conducta de Seguridad del DTI
(Departament of Trade and Industry, Reino Unido), Lineamientos de Control de Tecnologa de
Informacin de CICA (Canadian Institute of Chartered Accountants, Canad), y el Manual de Seguridad
de NIST (National Institute of Stadards and Technology, EEUU).

Sin embargo, estos modelos especficos de control no proveen un modelo comprensivo y utilizable de
control sobre TI en apoyo de los procesos de negocios. El propsito de COBIT es salvar esta brecha
suministrando una fundacin que est estrechamente vinculada con los objetivos de negocio mientras se
estn concentrando en TI.
(El ms estrechamente relacionado con COBIT es la publicacin reciente sobre Principles and Criteria for
Systems Reliability, de AICPA/ CICA SysTrust. SysTrust es una emisin autoritativa tanto del
Comit Ejecutivo de Servicios de Aseguramiento en los Estados Unidos y la Junta de Desarrollo de
Servicios de Aseguramiento en Canad, basados en parte en los Objetivos de Control de COBIT.
SysTrust est diseado para aumentar la comodidad de la administracin, los clientes, y los socios de
negocios con los sistemas que soportan un negocio o una actividad en particular. El servicio SysTrust
implica que el contador pblico provee un servicio de aseguramiento en el cual l o ella evalan y
prueban si un sistema es confiable cuando se le mide frente a cuatro principios esenciales:
disponibilidad, seguridad, integridad y sostenibilidad).
Un enfoque en los requerimientos de control del negocio en TI y la aplicacin de los modelos de control
que surgen y las normas internacionales relacionadas, los Objetivos de Control evolucionados a partir de
una herramienta de auditor para COBIT, a una herramienta de administracin. Adems, el desarrollo de
Directrices Gerenciales ha llevado a COBIT al siguiente nivel proveyendo administracin con
Indicadores Clave de Objetivo (KGIs), Indicadores Clave de Desempeo (KPIs), Factores Crticos de
xito (CSFs), y Modelos de Madurez de modo que pueda tener acceso a su entorno de TI y hacer
elecciones para la implementacin de control y mejoramientos de control sobre la informacin y
tecnologa relacionada de la organizacin. COBIT es entonces la herramienta de avanzada de
gobernabilidad de TI que ayuda a la administracin a comprender y administra los riesgos asociados con
TI.
De ese modo, el principal objetivo del proyecto COBIT es el desarrollo de polticas claras y de buenas
prcticas para la seguridad y el control en TI, para ser aprobado por las organizaciones comerciales,
gubernamentales y profesionales, en todo el mundo. Es el objetivo del proyecto desarrollar estos
objetivos de control en forma primaria desde los objetivos del negocio y la perspectiva de las
necesidades. (Esto cumple con la perspectiva de COSO, que es antes que nada un marco de
administracin para los controles internos). Posteriormente, se desarrollaron objetivos de control a partir
de la perspectiva de los objetivos de auditora (certificacin de informacin financiera, certificacin de
medidas de control interno, eficiencia y efectividad, etc.).
AUDIENCIA: ADMINISTRACIN, USUARIOS Y AUDITORES
COBIT est diseado para ser usado por tres audiencias diferentes:
ADMINISTRACIN para ayudarlos a balacear el riesgo y la inversin en control en un entorno de TI

frecuentemente impredecible.
USUARIOS para obtener aseguramiento sobre la seguridad y los controles de los servicios de TI
suministrados por personas internas o por terceros.
AUDITORES para soportar sus opiniones y/o proveer asesoramiento a la administracin sobre los
controles internos.

Aparte de responder a las necesidades de la audiencia inmediata de la alta gerencia, los auditores y
profesionales de la seguridad y del control, COBIT puede ser usado dentro de las empresas por el
propietario del proceso de negocio en su responsabilidad de controlar los aspectos de informacin del
proceso y por los responsables de TI en la empresa.
ORIENTACIN DE LOS OBJETIVOS DEL NEGOCIO
COBIT est dirigida a alcanzar los objetivos del negocio. Los Objetivos de Control tienen una
vinculacin clara y distinta con los objetivos del negocio para apoyar el uso significativo fuera de la
comunidad de auditora. Los Objetivos de Control estn definidos en una forma orientada hacia el
proceso siguiendo el principio de reingeniera del negocio. En los dominios y procesos identificados, un
objetivos de control de alto nivel es identificado y se provee un criterio racional para documentar la
relacin con los objetivos del negocio. Adems, se proveen consideraciones y directrices para definir e
implementar el Objetivo de Control de TI.
La clasificacin de los dominios donde se aplican los objetivos de control de alto nivel (dominios y
procesos), una indicacin de los requerimientos del negocio para informacin en ese dominio, as como
tambin los recursos de TI impactados primariamente por el objetivo de control, constituyen juntos el
Marco Referencial de COBIT. El Marco Referencial se basa en las actividades de investigacin que han
identificado 34 objetivos de control de alto nivel y 318 objetivos de control detallado. El Marco
Referencia fue expuesto a la industria y a la profesin de auditora de TI para dar una oportunidad de
revisar, cuestionar y comentar. Las opiniones obtenidas han sido debidamente incorporadas.

DEFINICIONES
Para los fines de este proyecto, se proveen las definiciones siguientes. Control est adaptado del
Reporte COSO [Control InternoMarco Integrado, Committee of Sponsoring Organizations of the
Treadway Commission, 1992] y Objetivo de Control de TI est adaptado del Reporte SAC [Systems
Auditability and Control Report, El Instituto de la Fundacin de Investigaciones de Auditores Internos,
1991 y 1994].
Las polticas, procedimientos, prcticas y estructuras organizacionales

El Control se define diseadas para proveer aseguramiento razonable de que los objetivos del
como negocio sern alcanzados y de que se prevendrn o se detectarn y corregirn
los eventos no deseados.
Una expresin del resultado o propsito deseado a ser alcanzado mediante la

El Objetivo de Control implementacin de procedimientos de control en una actividad particular de
de TI se define como TI.
Una estructura de relaciones y de procesos para dirigir y controlar la empresa

La Gobernabilidad de para alcanzar los objetivos de la empresa dando valor agregado mientras se
TI se define como balancea el riesgo en relacin con el rendimiento sobre TI y sus procesos.
PRINCIPIOS DEL MARCO

Hay dos clases diferentes de modelos de control que estn actualmente disponibles; .los de la clase de
modelo de control del negocio (por ejemplo, COSO) y los modelos de control ms enfocado para
TI (por ejemplo DTI). COBIT pretende salvar la brecha que existe entre los dos. COBIT est por lo
tanto en posicin de ser ms comprensivo para la administracin y operar a un nivel ms alto que las
normas de tecnologa para la administracin de los sistemas de informacin. De ese modo, COBIT es el
modelo apropiado para la gobernabilidad de TI.
El concepto de apuntalamiento del Marco Referencial de COBIT es que el control en TI se enfoca

mirando la informacin que es necesaria para soportar los objetivos o requerimientos del negocio, y
mirando la informacin como resultado de la aplicacin combinada de los recursos relacionados con TI
que necesitan ser administrados por los procesos de TI.

Para satisfacer los objetivos del negocio, la informacin necesita conformarse a ciertos criterios a los que
COBIT hace referencia como requerimientos de informacin del negocio. Para establecer la lista de
requerimientos, COBIT combina los principios integrados en los modelos de referencia existentes y
conocidos.
Requisitos de Calidad
Calidad Costo
Entrega
Requisitos Efectividad y Eficiencia de operaciones

Fiduciarios Confiabilidad de Informacin
(Reporte COSO) Cumplimiento de las leyes y reglamentaciones
Confidencialidad
Requisitos de Integridad
Seguridad Disponibilidad
La calidad ha sido retenida primariamente por su efecto negativo (ninguna falta, confiabilidad, etc.)
que es tambin captado en gran medida por el criterio de integridad. Los aspectos positivos pero
menos tangibles de Calidad (estilo, atraccin, apariencia y sensacin, desempeo ms all de las
expectativas, etc.) no estuvieron por una vez, siendo considerados desde un punto de vista de los
objetivos de control de TI. La premisa es que la primera prioridad debe dirigirse a administrar
debidamente los riesgos en oposicin a las oportunidades. El aspecto de utilidad de la Calidad est
cubierto por el criterio de efectividad. El aspecto entrega de Calidad fue considerado como una
superposicin con el aspecto de Disponibilidad de los requerimientos de Seguridad y tambin en
cierta medida con la Efectividad y la Eficiencia. Finalmente, Tambin se considera el Costo cubierto
por la Eficiencia.
Para los Requerimientos Fiduciarios, COBIT no trat de reinventar la ruedase usaron las
definiciones de COSO para la efectividad y la eficiencia de las operaciones, la confiabilidad de la
informacin y el cumplimiento de las leyes y reglamentaciones. Sin embargo, la confiabilidad de la
Informacin fue expandida para incluir toda la informacinno slo la informacin financiera.
Con respecto a los Requerimientos de Seguridad, COBIT identific Confidencialidad, Integridad y

Disponibilidad como los elementos claveestos tres mismos aspectos, se encontr, son usados en
todo el mundo para describir los requerimientos de seguridad de TI.
Comenzando el anlisis desde los requerimientos ms amplios de Calidad, Fiduciarios y de

Seguridad, se extrajeron siete categoras distintas, ciertamente superpuestas. Las definiciones de
COBIT son las siguientes:

Trata con la informacin que es relevante y pertinente para el proceso del negocio as como
Efectividad tambin que est siendo entregada en una forma oportuna, correcta, consistente y utilizable.
Se enfoca al suministro de informacin a travs del uso ptimo (el ms productivo y

Eficiencia econmico) de los recursos.
Confidencialidad Se ocupa de la proteccin de la informacin sensitiva de la revelacin no autorizada.
Se relaciona con la exactitud y la integridad de la informacin as como tambin a su

Integridad validez en conformidad con los valores y expectativas del negocio.
Se relaciona con la informacin que est disponible cuando lo requiere el proceso del
Disponibilidad negocio ahora y en el futuro. Tambin se ocupa de la salvaguarda de los recursos
necesarios y las capacidades asociadas.
Se refiere a cumplir con las leyes, reglamentaciones y arreglos contractuales a los que est
Cumplimiento sujeto el proceso del negocio; es decir, criterios de negocio impuestos externamente.
Se relaciona con el suministro de informacin apropiada para que la administracin opere

Confiabilidad de la entidad y para que la administracin ejerza sus responsabilidades financieras y de reporte
la Informacin de cumplimiento.
Los recursos de TI identificados en COBIT pueden ser explicados /definidos como sigue:
Son objetos en el mas amplio sentido (por ejemplo externos e internos) estructurados y no
Datos
estructurados , grficas, sonidos, etc.
Sistemas de
Aplicacin Se entienden como la suma de procedimientos manuales y programados
Abarca hardware, sistemas operativos, sistemas de administracin de base de datos, redes,

Tecnologa
multimedia, etc.
Instalaciones Son todos los recursos para alojar y soportar sistemas de informacin
Incluye habilidades del personal, conocimiento y productividad para planear, organizar,

Gente
adquirir, entregar, soportar y monitorear sistemas de informacin y servicios.
Son objetos
Datoso el capital
El dinero no fueenconsiderado
su sentido ms amplio
como un (es decir,de
recurso externo e interno),
TI para estructurados
clasificacin de los yobjetivos
no estructu-
de
rados, grficas, sonidos, etc.
control porque puede considerarse como la inversin en cualquiera de los recursos citados aqu
anteriormente. Tambin se debe sealar que el Marco Referencial no se refiere especficamente a la
documentacin de todos los aspectos materiales relativos a un proceso de TI en particular. Como un
asunto de buena prctica, la documentacin es considerada esencial para el buen control, y por lo tanto la
falta de documentacin ocasionara revisin y anlisis adicional para compensar los controles en
cualquier rea especfica bajo revisin.

Para asegurar que los requerimientos de informacin del negocio sean satisfechos, es necesario que se
definan, implementen y monitoreen adecuadas medidas de control sobre estos recursos. Cmo entonces
pueden las organizaciones satisfacerse ellas mismas de que la informacin que obtienen muestra las
caractersticas que ellas necesitan? Es aqu donde se requiere un marco sensato de los Objetivos de
Control de TI. El siguiente diagrama ilustra este concepto
El Marco Referencial de COBIT est constituido por Objetivos de Control de alto nivel y una
estructura general para su clasificacin. La teora subyacente para la clasificacin es que hay, en
esencia, tres niveles de esfuerzos de TI cuando se considera la administracin de los recursos de TI.
Comenzando de abajo, estn las actividades y tareas que se necesitan para lograr un resultado
medible. Las actividades tienen un concepto de ciclo de vida mientras que las tareas son ms
discretas. El concepto de ciclo de vida tiene requerimientos tpicos de control diferentes de las
actividades discretas. Los procesos son luego definidos una capa hacia arriba como una serie de
actividades o tareas conjuntas con frenos (de control) naturales. En el nivel ms alto, los procesos
estn agrupados naturalmente en dominios. Su agrupamiento natural es a menudo confirmado como
dominios de responsabilidad en una estructura organizacional y est acorde con el ciclo de
administracin o ciclo de vida aplicable a los procesos de TI.
De ese modo, el marco conceptual puede ser enfocado desde tres puntos de ventaja: (1) Criterios de
Informacin, (2) Recursos de TI y (3) Procesos de TI. Por ejemplo, los administradores pueden
querer mirar con un inters en la Calidad, Fiduciario o de Seguridad (incluido en el Marco
Referencial como siete criterios especficos de informacin). Un administrador de TI, por otra parte,
puede querer considerar los recursos de TI para los que est obligado a rendir cuentas. Los
propietarios del proceso, los especialistas de TI y los usuarios pueden tener un inters especfico en
procesos o actividades /tareas particulares. Los auditores pueden querer enfocar el Marco Referencial
desde un punto de vista de cobertura de control. Estos tres puntos de ventaja estn descritos en el
Cubo de COBIT.

Con lo que antecede como marco, los dominios estn identificados usando el vocabulario que la
administracin usara en las actividades cotidianas de la organizacino en la jerga de auditora. De
ese modo, estn identificados cuatro dominios amplios: planeacin y organizacin, adquisicin e
implementacin, entrega y soporte, y monitoreo.

Las definiciones para los cuatro dominios identificados para la clasificacin de alto nivel son:
Este dominio abarca estrategia y tctica, y concierne a la identificacin de la forma en

que TI puede contribuir mejor al logro de los objetivos del negocio. Adems, la
Planeacin y realizacin de la visin estratgica necesita ser planeada, comunicada y administrada
Organizacin para perspectivas diferentes. Finalmente, se debe instalar una organizacin apropiada
as como tambin una infraestructura tecnolgica apropiada.
Para realizar la estrategia de TI, es necesario que las soluciones de TI sean

identificadas, desarrolladas o adquiridas, as como tambin implementadas e integradas
Adquisicin en el proceso del negocio. Adems, los cambios en los sistemas existentes y el
e Implementacin mantenimiento de los mismos estn amparados por este dominio para asegurarse que el
ciclo de vida contine para estos sistemas.
A este dominio le concierne la entrega efectiva de los servicios requeridos, que van
desde las operaciones tradicionales pasando por los aspectos de seguridad y
Entrega y Soporte continuidad hasta el entrenamiento. Para prestar servicios, se deben establecer los
procesos de soporte necesarios. Este dominio incluye el procesamiento efectivo de
datos mediante los sistemas de aplicacin, clasificados a menudo bajo los controles de
Todos los procesos de TI necesitan ser evaluados regularmente a travs del tiempo por
su calidad y el cumplimiento con los requerimientos de control. Este dominio resuelve
Monitoreo as la supervisin del proceso de control de la administracin y el aseguramiento
independiente suministrada por la auditora interna y externa u obtenida de fuentes
alternativas.
Se debe sealar que estos procesos pueden ser aplicados a diferentes niveles dentro de una organizacin.
Por ejemplo, algunos de estos procesos sern aplicados a nivel de la empresa, otros a nivel de funcin de
los servicios de informacin, otros al nivel del propietario del proceso del negocio, etc.
Tambin se debe sealar que el criterio de efectividad de los procesos que planean o brindan soluciones
para los requerimientos del negocio abarcarn a veces los criterios de disponibilidad, integridad y
confidencialidaden la prctica, ellos se han convertido en requerimientos del negocio. Por ejemplo, el
proceso de identificar soluciones tiene que ser efectivo en proveer los requisitos de Disponibilidad,
Integridad y Confidencialidad.
Es claro que todas las medidas de control no necesariamente satisfarn los diferentes requerimientos de
informacin del negocio en el mismo grado.
Primario es el grado en el que el objetivo definido de control impacta directamente el criterio
de informacin considerado.
Secundario es el grado en el que el objetivo definido de control satisface solamente en un menor
grado o indirectamente el criterio de informacin considerado.
En blanco podra ser aplicable; sin embargo, los requerimientos son satisfechos de manera ms
apropiada por otros criterios en este proceso y/ o por otro proceso.
De manera similar, no todas las medidas de control impactarn necesariamente los diferentes recursos de
TI en la misma medida. Por lo tanto, el Marco Referencial de COBIT indica especficamente la
aplicabilidad de los recursos de TI que son manejados especficamente por el proceso en consideracin
(no los que slo participan en el proceso). Esta clasificacin se hace dentro del Marco Referencial de
COBIT basado en el mismo proceso riguroso de entrada proveniente de los investigadores, los expertos y
los revisores, usando las estrictas definiciones indicadas anteriormente aqu.

OBJETIVOS DE CONTROL DE ALTO NIVEL
El Marco Referencial de COBIT ha sido limitado a objetivos de control de alto nivel en la forma de una
necesidad del negocio dentro de un proceso particular de TI, cuyo logro es posibilitado por una sentencia
de control, para la cual se deben tomar en consideracin los controles potencialmente aplicables.
El Control de
Los Procesos de Que Satisfacen

TI
Los Requerimientos Es Posibilitado por
del negocio
Sentencias de Con- Que Considera
trol
Las Prcticas de
Control
Los Objetivos de Control han sido organizados por proceso /actividad, para facilitar los enfoques
combinados o globales, como la instalacin /implementacin de un proceso, las responsabilidad de
administracin global para un proceso y el uso de los recursos de TI por un proceso.
Los Objetivos de Control tambin han sido suministrados con referencias a los dominios de TI, los
recursos de TI y a los criterios de informacin del negocio. Esto permite mirar los requerimientos de
control de TI desde tres puntos de vista, como lo ilustr anteriormente aqu el Cubo de COBIT (ver
pgina 162). Cada objetivo de control de alto nivel indica a qu dominio pertenece, qu criterios de
informacin son los ms importantes y los que les siguen en importancia para el proceso que abarca y
qu recursos necesitan la atencin especial de la administracin.
Los Objetivos de Control han sido definidos en una forma genrica, es decir, que no dependen de la
plataforma tcnica, a pesar que aceptan el hecho de que es probable que los entornos especiales de
tecnologa necesiten una cobertura separada para los objetivos de control.
En resumen, para proveer la informacin que necesita la organizacin para alcanzar sus objetivos, el
gobierno de TI debe ser ejercido por la organizacin para asegurar que los recursos de TI sean
administrados por un conjunto de procesos de TI agrupados naturalmente. El diagrama siguiente
ilustra este concepto.


APNDICE IIICOBIT Y EL BALANCED BUSINESS SCORECARD

El Marco Referencial de COBIT establece que TI posibilita el negocio entregando la informacin que el
negocio necesita. El objetivo de TI es por lo tanto medido mirando los Criterios de Informacin de
COBIT contenidos en el Marco Referencial de COBIT.
Balanced Business Tecnologa de la

Scorecard Informacin
1
0.9
Criterios de Informa- 0.8
0.7
cin 0.6 Posibilitadores
Efectividad Objetivos 0.5
0.4
Eficiencia 0.3
0.2
Confidencialidad 0.1
Integridad E E C I D C C
Disponibilidad E
F F O N I U O
Cumplimiento Medida C C
I
F
N
E
T
P
S
P
M
F
N Medida
T I I
Confiabilidad (Resultado) V
I
N
E
E
D R
G
N
O
I
L
A
I
(Desempeo)
I I I M B
C N
D I C D B I I
A A A I E L
D I
A D L N I
L I T D
I D O A
D A D
A D
D
Todos estos criterios no tendrn la misma importancia. Su importancia depende del negocio de la
empresa y del proceso especfico que uno mira. La importancia relativa de los criterios (expresada como
un mini cuadro en la grfica que aparece aqu anteriormente) expresan la expectativa del negocio y son
por lo tanto el objetivo de TI, que de ese modo posibilita el negocio. Estos principios de medir los
resultados y los desempeos son inherentes al Balanced Business Scorecard y han sido usados para
desarrollar las Directrices Gerenciales.
Las medidas de desempeo de los posibilitadores se convierten en el objetivo de TI, los cuales a su vez
tendrn un nmero de posibilitadores. Estos podran ser los dominios de COBIT. Aqu nuevamente las
medidas pueden ser escalonadas, y la medida de desempeo del dominio convertirse en un objetivo para
el proceso.

Balanced Business Tecnologa de la

Scorecard Informacin
Medida Medida
Scorecard Estratgico de TI Planeacin y Organizacin
Medida Medida
PO Plan Estratgico
Scorecard de TI
Medida Medida
Otra forma de mirar esto es comenzando desde el Balanced Business Scorecard y sus 4 dimensiones y
luego considerar que TI posibilita el negocio, monitoreado por un Balanced Business Scorecard de
TI. La entrega de los objetivos estratgicos de TI es tpicamente hecha por dos dominios diferentes
de responsabilidad en la empresa, que lleva a un anotador de desarrollo y a un anotador de
operaciones.
Ahora podemos fcilmente mapear los 4 dominios de TI que ha identificado el Marco Referencial de
COBIT en estos anotadores . Planeacin y Organizacin (PO) dando las medidas del Balanced
Business Scorecard estratgico para TI, Adquisicin e Implementacin (AI) suministrando lo mismo
para el anotador de desarrollo, mientras que Entrega y Soporte (DS) suministra el anotador operativo.
Por encima de estos dominios est el dominio de Monitoreo (MO) que provee a travs de la
supervisin y mensurabilidad de la administracin, por medio de auditora y a travs de
aseguramiento la gobernabilidad general de TI de la empresa.

MO
Anotador de Desarro-
llo Balanceado de TI
REQUERIMIENTOS Financiero AI
PO Clientes
Balanced Business
Scorecard Procesos
Balanced Business
Financiero Scorecard de TI Aprendizaje
Clientes Financiero
DS
Procesos Clientes
Aprendizaje Procesos
Anotador Operativo
Balanceado de TI
Aprendizaje
INFORMACIN
Financiero
Clientes
Procesos
Aprendizaje


APNDICE IV

APNDICE IVDIRECTRIZ DE ADMINISTRACIN GENRICA DE PROCESO *
El Control de un proceso de TI y de sus actividades con objetivos especficos de negocio
y se mide por los Indicadores Clave de Objetivo
Es posibilitado creando y manteniendo un sistema de excelencia y control de proceso

apropiado para el negocio
Considera los Factores Crticos de xito que respaldan los Recursos de TI especficos y se
El desempeo de TI se mide en trminos financieros, en relacin con la satisfaccin del cliente, para la
efectividad del proceso y para capacidad futura, y su administracin de TI es compensada en base a estas
medidas
Los procesos estn alineados con la estrategia de TI y con los objetivos del negocio; se pueden escalar y sus
recursos son manejados y respaldados de manera apropiada
Todos los que participan en el proceso estn enfocados al objetivo y tienen la informacin apropiada sobre
los clientes, los procesos internos y las consecuencias de sus decisiones
Una cultura de negocio est establecida, estimulando la cooperacin entre departamentos y el trabajo en
equipo, as como tambin un constante mejoramiento del proceso
Las prcticas de control son aplicadas para aumentar la transparencia, reducir la complejidad, promover el
aprendizaje, proveer la flexibilidad y permitir escalabilidad
Las metas y objetivos son comunicados en todas las disciplinas y son comprendidos
Se sabe cmo implementar y monitorear los objetivos de proceso y quin debe dar cuenta del desempeo del
proceso
Se aplica un proceso continuo de mejoramiento de calidad
Hay claridad en quines son los clientes del proceso
Existe la calidad requerida de personal (entrenamiento, transferencia de informacin, moral, etc.) y
disponibilidad de habilidades (reclutar, retener, re-entrenar)

Efectividad gente
Confidencialidad
tecnologa
Integridad
Disponibilidad Instalaciones
Cumplimiento datos
Confiabilidad
* Muchos de los elementos de esta gua pueden adems aplicarse en las Directrices Gerenciales del Gobierno de TI en el apndice V

Mayor nivel de entrega de servicio

Nmero de clientes y de costo por cliente servido
Disponibilidad de sistemas y de servicios
Ausencia de integridad y de riesgos de confidencialidad
Eficiencia de costos de procesos y de operaciones
Confirmacin de confiabilidad y de efectividad
Adherencia al costo y al programa de desarrollo
Eficiencia de costos del proceso
Productividad y moral del personal
Nmero de cambios a tiempo a los procesos y a los sistemas
Incremento de productividad (es decir, entrega de valor por empleado)
Tiempo improductivo del sistema

Rendimiento y tiempos de respuesta
Cantidad de errores y de repeticin del trabajo
Nmero de miembros del personal entrenados en nueva tecnologa y habilidades de servicio al cliente
Comparaciones de Benchmark
Nmero de reportes de incumplimiento
Reduccin en el tiempo de desarrollo y procesamiento

Modelo de Madurez de Proceso Genrico
Control sobre un proceso de TI y de sus actividades con objetivos de negocio especficos
0 Inexistente. Hay completa ausencia de procesos reconocibles. La organizacin ni siquiera

ha reconocido que hay un problema que debe ser resuelto.
1 Inicial /Ad hoc Hay evidencia de que la organizacin ha reconocido que los problemas
existen y que necesitan ser resueltos. No hay, sin embargo, ningn proceso estandarizado,
pero hay en cambio enfoques ad hoc aplicados de manera individual y caso por caso. El
enfoque de la administracin es catico y slo hay comunicacin espordica e inconsistente
sobre los problemas y los mtodos que se necesitan para resolverlos.
2 Repetible pero intuitivo Hay un conocimiento global de los problemas. Los procesos se
han desarrollado hasta el grado que se siguen procedimientos similares aunque informales e
intuitivos por parte de diferentes personas que emprenden la misma tarea, por los cuales
estn surgiendo herramientas comunes. De ah que, estos procesos se pueden repetir y
algunos de ellos comienzan a ser monitoreados. No hay un entrenamiento formal y la
comunicacin sobre los procedimientos y las responsabilidades estndar se deja a la
persona. Hay una elevada confianza en los conocimientos de las personas y los errores son,
por lo tanto, probables. Sin embargo, hay comunicacin consistente sobre los problemas
generales y sobre la necesidad de resolverlos.
3 Proceso Definido La necesidad de actuar es entendida y aceptada. Los procedimientos han

sido estandarizados, documentados e implementados. Ellos estn siendo comunicados y
est establecido un entrenamiento informal. Los procedimientos no son sofisticados y son la
formalizacin de las prcticas existentes. Las herramientas estn estandarizadas, usando
tcnicas disponibles actualmente. Los especialistas de TI estn involucrados en esta
formalizacin, pero especialistas internos que no pertenecen a TI participan slo
ocasionalmente. Sin embargo, se deja a la discrecin de la persona el recibir entrenamiento,
seguir las normas y aplicarlas. La mayora de los procesos son monitoreados
comparndolos con algn tipo de medicin, pero cualquier desviacin, a pesar de que se
tomen medidas sobre ellas principalmente a travs de la iniciativa individual, es improbable
que sean detectadas por la administracin. El anlisis de la causa que las origin se aplica
slo ocasionalmente.
4 Administrado y Medible Hay pleno entendimiento de los problemas en todos los niveles,
soportado por entrenamiento formal. Las responsabilidades son claras y la propiedad de
procesos est establecida. Es posible monitorear y medir el cumplimiento con los
procedimientos y la mtrica del proceso y emprender accin donde el proceso parece no estar
funcionando de manera efectiva o eficiente. Se emprende accin en muchos, pero no en todos,
los casos. La mtrica de desempeo est an dominada por las medidas financieras y operativas
tradicionales, pero gradualmente se estn implementando nuevos criterios. Los procesos son
mejorados ocasionalmente y se hacen cumplir las mejores prcticas internas. Se est
estandarizando el anlisis de las causas que originan los problemas. Se est comenzando a
considerar el mejoramiento constante. Las prcticas de control se estn volviendo cada vez ms
transparentes, flexibles y escalables. Hay un uso limitado, primariamente tctico de la
tecnologa, basado en las tcnicas maduras y en herramientas estndar impuestas. La estrategia
de TI se est volviendo cada vez ms acorde con la estrategia de la empresa. Hay participacin
de todos los expertos de dominio interno requeridos.
5 Optimizado Hay una comprensin avanzada y de perspectivas futuras de los problemas y

de las soluciones. El entrenamiento y la comunicacin son soportados por conceptos y
tcnica de avanzada. Las metas y objetivos son comunicados entre las funciones, usando
KGIs, CSFs y KPIs para monitorear el desempeo. Los procesos han sido refinados hasta
un nivel de la mejor prctica externa, basados en los resultados de mejoramiento continuo y
modelos de madurez con otras organizaciones. Ellos han conducido a una organizacin,
personas y procesos que son rpidos para adaptarse. La estrategia de TI est en total
correspondencia con la estrategia de la empresa y est establecida una cultura del negocio
para involucrar a la organizacin de TI en el mejoramiento del proceso del negocio y en
crear nuevas oportunidades de negocio. Todos los problemas y desviaciones son analizados
en busca de las causas que los originan, se identifican, se toman y se inician acciones
rpidas y eficientes. TI se usa en una forma extensiva, integrada y optimizada para
respaldar de manera estratgica la tecnologa y la automatizacin del flujo de trabajo y en
proveer herramientas que mejoren la calidad y la efectividad. Se respaldan los expertos
externos se utilizan Benchmarks como guas. Las prcticas de control se hacen cumplir y se
mejoran constantemente. Las medidas de desempeo de TI se ocupan de los criterios
financieros, la satisfaccin de clientes, la efectividad de las operaciones y el desarrollo de
las capacidades futuras. La compensacin de la administracin de TI incluye incentivos
para alcanzar las metas de la empresa.


APNDICE V

APNDICE VDIRECTRICES GERENCIALES DEL GOBIERNO DE TI

El gobierno de la tecnologa de informacin y de sus procesos con el objetivo del negocio de agregar
valor, mientras se balancea el riesgo con el rendimiento
Asegura la entrega de informacin al negocio que satisface los Criterios de Informacin requeridos y se
mide por los Indicadores Clave de Objetivo
Es posibilitado creando y manteniendo un sistema de excelencia de proceso y de control apropiado para

el negocio que dirige y monitorea la entrega de TI de valor comercial
Las actividades de gobierno de TI estn integradas en el proceso de gobierno de la empresa y en

comportamientos de liderazgo
El gobierno de TI est enfocado en las metas de la empresa, las iniciativas estratgicas, el uso de tecnologa
para ampliar el negocio y en la disponibilidad de recursos y capacidades suficientes para mantenerse al nivel
de las demandas del negocio
Las actividades de gobierno de TI estn definidas con un propsito claro, documentado e implementado,
basado en las necesidades de la empresa y con obligaciones que no son ambiguas de rendir cuentas
Las prcticas de administracin estn implementadas para aumentar el uso eficiente y ptimo de los recursos
y para aumentar la efectividad de los procesos de TI
Estn establecidas prcticas organizacionales para posibilitar una supervisin correcta; un ambiente /una
cultura de control; una evaluacin del riesgo como prctica estndar; un grado de adherencia a las normas
establecidas; monitoreo y seguimiento de las deficiencias y riesgos de control
Estn definidas prcticas de control para evitar interrupciones en el control interno y en la supervisin
Hay integracin y una cmoda interoperabilidad de los procesos ms complejos de TI como pueden ser
administracin de problemas, de cambios y de configuracin
Est establecido un comit de auditora para nombrar y supervisar un auditor independiente, enfocndose en
TI cuando se impulsan planes de auditora, y para revisar los resultados de las auditoras y las revisiones de
terceros.

Efectividad gente
Confidencialidad
tecnologa
Integridad
Cumplimiento datos
Confiabilidad

Mayor desempeo y administracin de costos

Mejor rendimiento de las inversiones mayores en TI
Mejor tiempo de mercadeo
Mayor calidad, innovacin y administracin del riesgo
Procesos de negocio integrados y estandarizados de manera apropiada
Bsqueda de clientes nuevos y satisfaccin de los ya existentes
Disponibilidad del ancho de banda apropiado, potencia de cmputo y mecanismos de entrega de TI
Se satisfacen los requerimientos y expectativas del cliente del proceso en presupuesto y a tiempo
Cumplimiento de las leyes, reglamentaciones, normas de la industria y compromisos contractuales
Transparencia sobre asumir riesgos y adherencia al perfil organizacional del riesgos acordado
Comparaciones Benchmarking de la madurez del gobierno de TI
Creacin de nuevos canales de entrega de servicios
Mejor eficiencia de costos de los procesos de TI (costos vs. Productos/entregables)

Mayor nmero de planes de accin de TI para iniciativas de mejoramiento del proceso
Mayor utilizacin de la infraestructura de TI
Mayor satisfaccin de los interesados (encuestas y nmero de quejas)
Mejor productividad del personal (nmero de productos/entregables) y moral (encuesta)
Mayor disponibilidad de conocimientos y de informacin para administrar la empresa
Mayor relacin entre TI y el gobierno de la empresa
Mejor desempeo medido por los Balanced Scorecards de TI

Modelo de Madurez de Gobierno de TI
El gobierno sobre la tecnologa de informacin y sus procesos con el objetivo del negocio de agregar
valor, mientras balancea el riesgo con el rendimiento
0 Inexistente. Hay completa ausencia de cualquier proceso reconocible de gobierno de TI.

La organizacin ni siquiera ha reconocido que hay un problema que debe ser resuelto y por
ello no hay comunicacin sobre el problema.
1 Inicial /Ad hoc Hay evidencia de que la organizacin ha reconocido que los problemas de
gobernabilidad de TI existen y que necesitan ser resueltos. No hay, sin embargo, ningn
proceso estandarizado, pero hay en cambio enfoques ad hoc aplicados de manera individual
y caso por caso. El enfoque de la administracin es catico y slo hay comunicacin
espordica e inconsistente sobre los problemas y los mtodos que se necesitan para
resolverlos. Puede haber algn reconocimiento de captar el valor de TI en el desempeo de
los procesos relacionados de la empresa orientados hacia el resultado. No hay un proceso
estndar de evaluacin. El monitoreo de TI slo es implementado de manera reactiva frente
a un incidente que ha causado alguna prdida o dificultad a la organizacin.
2 Repetible pero intuitivo Hay un conocimiento global de los problemas de gobernabilidad

de TI. Las actividades de gobierno de TI y los indicadores de desempeo estn en
desarrollo, lo cual incluye los procesos de planeacin, entrega y monitoreo de TI. Como
parte de este esfuerzo, las actividades de gobierno de TI estn formalmente establecidas en
el proceso de administracin de cambios de la organizacin, con la participacin y
supervisin activa de la alta gerencia. Los procesos seleccionados de TI estn identificados
para mejorar y /o controlar los procesos centrales de la empresa y estn planeados y
monitoreados de manera efectiva como inversiones, y se derivan dentro del contexto de un
marco definido infraestructural de TI. La administracin ha identificado medidas bsicas de
gobierno de TI y mtodos y tcnicas de evaluacin , sin embargo, el proceso no ha sido
adoptado en toda la organizacin. No hay un entrenamiento formal y la comunicacin sobre
las normas y responsabilidades de gobierno son dejadas a la discrecin individual. Las
personas impulsan los procesos de gobierno dentro de diversos proyectos y procesos. Se han
escogido e implementado herramientas limitadas de gobierno para recolectar mtricas de
gobernabilidad, pero pueden no ser usadas a su plena capacidad debido a una falta de
experiencia en su funcionalidad.
3 Proceso Definido La necesidad de actuar con respecto a la gobernabilidad de TI es

entendida y aceptada. Un conjunto de base de indicadores de gobernabilidad de TI est
desarrollado, donde las vinculaciones entre las medidas de resultado y lo que impulsa el
desempeo estn definidas, documentadas e integradas en procesos estratgicos y operativos
de planificacin y monitoreo. Los procedimientos se han estandarizado, documentado e
implementado. La administracin ha comunicado procedimientos estandarizados y est
establecido un entrenamiento informal. Los indicadores de desempeo sobre todas las
actividades de gobernabilidad de TI estn siendo registradas y rastreadas, lo que conduce a
mejoras en toda la empresa. A pesar de que los procedimientos son medibles, no son
sofisticados, sino que son la formalizacin de las prcticas existentes. Las herramientas
estn estandarizadas, usando tcnicas disponibles en la actualidad. Las ideas del Balanced

Business Scorecard de TI estn siendo adoptadas por la organizacin. Es, sin embargo
dejado a la discrecin de las personas el obtener entrenamiento, seguir las normas y
aplicarlas. El anlisis de las causas que originan los problemas es aplicado slo de manera
ocasional. La mayora de los procesos son monitoreados comparndolos con algunas
mtricas (de lnea de base), pero cualquier desviacin, a pesar de que se toman medidas para
corregirla por medio de la iniciativa personal, sera improbable que fuera detectada por la
administracin. Sin embargo, la obligacin de rendir cuentas a nivel general del desempeo
clave del proceso es claro y la administracin es compensada en base a medidas clave de
desempeo.
4 Administrado y Medible Hay pleno entendimiento de los problemas de gobernabilidad de

TI en todos los niveles, soportado por entrenamiento formal. Hay un claro entendimiento de
quin es el cliente y las responsabilidades estn definidas y son monitoreadas a travs de
acuerdos de nivel de servicio. Las responsabilidades son claras y la propiedad de procesos
est establecida. Los procesos de TI estn alineados con el negocio y con la estrategia de
TI. El mejoramiento en los procesos de TI est basado primariamente en una comprensin
cuantitativa y es posible monitorear y medir el cumplimiento con los procedimientos y las
medidas de proceso. Todos los interesados en el proceso estn en conocimiento de los
riesgos, la importancia de TI y las oportunidades que sta puede ofrecer. La administracin
ha definido tolerancias bajo las que deben operar los procesos. Se emprenden acciones en
muchos casos pero no en todos los casos en los que los procesos parecen no estn
funcionando de manera efectiva o eficiente. Los procesos son ocasionalmente mejorados y
se hacen cumplir las mejores prcticas internas. Se est estandarizando el anlisis de las
causas que originan los problemas. Se est comenzando a llevar a cabo un mejoramiento
constante. Hay un uso limitado, primariamente tctico de la tecnologa, basado en tcnicas
maduras y en herramientas estndar impuestas. Hay participacin de todos los expertos
requeridos de dominio interno. La gobernabilidad de TI evoluciona en una proceso a nivel
de toda la empresa. Las actividades de gobernabilidad de TI se estn integrando con el
proceso de gobernabilidad de la empresa.
5 Optimizado Hay un entendimiento avanzado y con perspectivas futuras de los problemas y

de las soluciones de gobernabilidad de TI. El entrenamiento y la comunicacin son
soportados por conceptos y tcnicas de avanzada. Los procesos han sido refinados hasta un
nivel de la mejor prctica externa, basado en los resultados de mejoramiento constante y
tomando como modelo de madurez a otras organizaciones. La implementacin de estas
polticas ha conducido a una organizacin, gente y procesos que se adaptan rpidamente y
que soportan plenamente los requerimientos de gobernabilidad de TI. Todos los problemas
y desviaciones son analizados en busca de las causas que los originaron y la accin eficiente
es identificada e iniciada de manera expedita. TI se usa en una forma extensiva, integrada y
optimizada para automatizar el flujo de trabajo y proveer herramientas para mejorar la
calidad y la efectividad. Los riesgos y rendimientos de los procesos de TI son definidos,
balanceados y comunicados en toda la empresa. Los expertos externos son respaldados y se
utilizan Benchmarks como guas. El monitoreo, auto evaluacin, y comunicacin sobre las
expectativas de gobernabilidad penetran en la organizacin y hay un uso ptimo de la
tecnologa para soportar la medicin, el anlisis, la comunicacin y el entrenamiento. La
gobernabilidad de la empresa y la gobernabilidad de TI estn ligadas estratgicamente,
apoyando la tecnologa y los recursos humanos y financieros para aumentar la ventaja
competitiva de la empresa.

3701 ALGONQUIN ROAD, SUITE 1010

ROLLING MEADOWS, ILLINOIS 60008, USA
Telfono: +1.847.253.1545 e-mail: research@isaca.org

Fax: +1.847.253.1443 web sits: www.itgi.org
www.isaca.org
DGANOS QU PIENSA ACERCA DE COBIT
Nos interesa conocer su reaccin frente a COBIT: Objetivos de Control para Informacin y Tecnologa
relacionada. Por favor registre sus comentarios a continuacin.
____________________________________________________________________________________________
____________________________________________________________________________________________
____________________________________________________________________________________________
____________________________________________________________________________________________
____________________________________________________________________________________________
____________________________________________________________________________________________
____________________________________________________________________________________________
Nombre
Compaa
Direccin
Ciudad Estado /Provincia
Pas ZIP /Cdigo Postal
Nmero de Fax
Direccin de correo electrnico
Estoy interesado en saber ms sobre cmo se puede usar COBIT en mi organizacin

Por favor dgale a un representante que se comunique conmigo
Por favor, enveme ms informacin sobre:

Comprar otros productos de COBIT
Cursos de Entrenamiento de COBIT (localmente o en sesin general)
Certificacin de Auditor de Sistemas de Informacin Certificado (CISA)
Information Systems Control Journal
Asociacin de Auditora y Control de los Sistemas de Informacin (ISACA)
Gracias!
Se responder a todos los que nos escriban.

COBIT 3ra Edición - Directrices Gerenciales

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

COBIT 3ra Edición - Directrices Gerenciales

Hochgeladen von

Copyright:

Verfügbare Formate

DIRECTRICES GERENCIALES

Publicado por El Comit de Direccin de COBIT y el IT Governance InstituteTM

Acuerdo de licencia de uso

Las Directrices de Auditora no pueden ser usados, copiados,

Information Systems audit and Control Foundation

ISBN 1-933284-01-3 (Directrices Gerenciales, Espaol)

Impreso en los Estados Unidos de Amrica

Adicionalmente, el IT Governance Institute ha construido esta obra con investigacin de vanguardia, en

Hay numerosos cambios en TI y en la construccin de redes que hacen nfasis en la necesidad de

Con la creciente interconexin y dependencia de TI en nuestra economa global cada vez ms

Hasta dnde debemos ir, y el beneficio justifica el costo?

Medicin del desempeo - Cules son los indicadores de un buen desempeo?

Conocimiento/concientizacinCules son los riesgos de no alcanzar nuestros objetivos?

Benchmarking de prcticas de control de TI (expresadas como Modelos de Madurez)

Balanced Scorecard Tecnologa de la

1. Cul es la preocupacin de la administracin?

2. Dnde se mide eso?

3. Cul es la preocupacin de TI?

4. Dnde se mide eso?

LOS MODELOS DE MADUREZ para el control de los procesos de TI consisten en desarrollar un

El estado actual de la organizacindnde est la organizacin actualmente

Inexistente Inicial Repetible Definida Administrada Optimizada

Situacin actual de la empresa 0 Inexistente - los procesos de administracin no se aplican en absoluto

Disponibilidad de la informacin necesaria para respaldar las necesidades del negocio

MODELOS DE MADUREZ para eleccin estratgica y comparacin de referencia

Cul es el nivel correcto de control para mi TI para que

Hasta dnde debemos ir, y est el costo justificado por el beneficio?

Qu estndares reconocidos internacionalmente existen, y cmo estamos nosotros situados

Qu est considerado como la mejor prctica de la industria, y cmo estamos nosotros

La administracin de TI est constantemente en la bsqueda de herramientas de referencia y de auto

(1) una medida relativa de dnde est la organizacin

La situacin actual de la organizacindnde est la organizacin actualmente

Inexistente Inicial Repetible Definida Administrada Optimizada

Situacin actual de la empresa 0 Inexistente - los procesos de administracin no se aplican en absoluto

Modelo Genrico de Madurez

3 Definida. Los procedimientos han sido estandarizados y documentados, y comunicados a travs de

4 Administrada. Es posible monitorear y medir el cumplimiento de los procedimientos y emprender accin

La ventaja de un enfoque de Modelo de Madurez es que es relativamente fcil para la administracin

Entendimiento y conocimiento de los riesgos y de los problemas de control

Entendimiento Capacitacin y Proceso y Prc- Tcnicas y Auto- Cumplimiento Pericia

2. FACTORES CRTICOS DE XITO

Procesos definidos y documentados

Planificar Hacer Verificar

Que TI est en lnea con el negocio

2. Se aplican a la mayora de los procesos de TI

Se establece una cultura de negocios, estimulando la cooperacin entre divisiones, el trabajo en

Se aplican prcticas de control para aumentar la transparencia, reducir la complejidad, promover

En resumen, los Factores Crticos de xito son:

Posibilitadores esenciales enfocados en el proceso o en soportar el entorno

3. INDICADORES CLAVE DE OBJETIVOS / LOGROS / RESULTADOS

Balanced Business Tecnologa de

Disponibilidad de sistemas y servicios

Cumplimiento de las expectativas y requerimientos del cliente del proceso, considerando

4. INDICADORES CLAVES DE DESEMPEO

Un conjunto de Indicadores Clave de Desempeo genricos est enumerado a continuacin, que en

Tiempos reducidos de ciclo (es decir, de respuesta de la produccin y desarrollo de TI)

2. Se aplican a la mayora de los procesos de TI

Mejor eficiencia de costos del proceso (costos vs. Servicios)

En resumen, los Indicadores Clave de Desempeo:

Son una medida de cmo se est desempeando el proceso

Comenzando desde el Marco de COBIT, la aplicacin de normas y lineamientos internacionales, y de

Planeacin y Organizacin Entrega y Soporte

PAGINA INTENCIONALMENTE EN BLANCO