Beruflich Dokumente
Kultur Dokumente
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
DOMINIO
CONTROL
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
1.- ¿El portafolio de inversiones de TI contiene programas con casos de No se dispone de un programa establecido, pero se
Nivel 0
negocio sólidos? piensa implementar próximamente.
2.- ¿Los procesos de TI proporcionan una entrega efectiva de los Son poco efectivos al momento, se planea Nivel
componentes TI de los programas? mejorarlos después de este análisis. 1
6.- ¿Los servicios de TI se ejecutan contra acuerdos de niveles de servicios Aun no se implementan completamente pero Nivel
P exigibles? esta planificado. 1
7.- ¿La rendición de cuentas del logro de los beneficios y del control de los Faltan algunos indicadores, pero se esta Nivel
L costos está claramente asignada? ejecutando. 1
A
N 8.- ¿La rendición de cuentas del logro de los beneficios y del control de los Se maneja un control en este caso, pero puede Nivel
costos está claramente monitoreada? mejorar significativamente. 2
E Nivel
9.- ¿Se evalúa el riesgo de no cumplir con una capacidad para obtener los Se lo realiza al empezar un nuevo proyecto.
A beneficios esperados? 2
PO1 - Definir un Plan Estratégico de TI.
R
10.- ¿Se evalúa el riesgo de no materializar los beneficios esperados? Se lleva un control trimestral y se realiza un Nivel
balance. 2
Y 1. ¿Los ejecutivos reciben capacitación tecnológica actual? Es poco frecuente al momento. Nivel
0
O
R
G
Relacionar las metas del negocio con las de TI.
3.- ¿Está bien entendido el rumbo del negocio al cual está alineado TI? No se tiene un camino planificado todavía.
I negocio al cual está alineado TI está bien entendido. Las Nivel
estrategias de negocio y de TI deben estar integradas, 0
Z relacionando de manera clara las metas de la empresa y las
metas de TI y reconociendo las oportunidades así como las
A limitaciones en la capacidad actual, y se deben comunicar de
manera amplia. Identificar las áreas en que el negocio 4.- ¿Las estrategias de negocio y de TI están integradas? Se esta trabajando en este objetivo. Nivel
R (estrategia) depende de forma crítica de TI, y mediar entre los 0
imperativos del negocio y la tecnología, de tal modo que se
puedan establecer prioridades concertadas.
5.- ¿Cuáles son las áreas en que el negocio (estrategia) depende de forma El área de Software, al implementar la Facturación Nivel
crítica de TI? online, y comunicación con clientes. 3
6.- ¿Entre los imperativos del negocio y la tecnología, están establecidas Se está trabajando actualmente en este objetivo. Nivel
prioridades concertadas? 1
1.- ¿En el desempeño de los planes existentes se evalúa la funcionalidad? Si se evalúa. Nivel
3
Capacidad Actual.
PO1.3 - Evaluación del Desempeño y la
4.- ¿En el desempeño de los planes existentes se evalúa los costos? Si se evalúa. Nivel
3
desempeño
5.- ¿En el desempeño de los planes existentes se evalúa la fortaleza? Si se evalúa. Nivel
3
6.- ¿En el desempeño de los planes existentes se evalúa la debilidad? Si se evalúa. Nivel
3
Construir un plan estratégico para
1.- ¿Existe un plan estratégico? Se cuenta con un plan estratégico, pero debe ser Nivel
actualizado. 3
Crear un plan estratégico que defina, en cooperación con los
interesados relevantes, cómo TI contribuirá a los objetivos
2.- ¿Este plan define cómo TI contribuirá a los objetivos estratégicos de la Al ser actualizado contara con estos objetivos. Nivel
estratégicos de la empresa (metas) así como los costos y 3
empresa?
riesgos relacionados. Incluye cómo TI dará soporte a los
programas de inversión facilitados por TI y a la entrega de 3.- ¿En este plan están definidos los costos relacionados? Si se encuentran contemplados los costos Nivel
los servicios operativos. Define cómo se cumplirán y medirán relacionados. 3
los objetivos y recibirán una autorización formal de los
4.- ¿En este plan están definidos los riesgos relacionados? Se encuentran contemplados los riesgos Nivel
interesados. El plan estratégico de TI debe incluir el
relacionados. 3
presupuesto de la inversión / operativo, las fuentes de
TI.
financiamiento, la estrategia de obtención, la estrategia de 5.- ¿En el plan incluye cómo TI dará soporte a los programas de inversión? Este objetivo será revisado al actualizar el plan Nivel
estratégico. 2
adquisición, y los requerimientos legales y regulatorios. El plan 6.- ¿En el plan incluye cómo TI dará soporte a la entrega de los servicios Este objetivo será revisado al actualizar el plan Nivel
estratégico debe ser lo suficientemente detallado para operativos? estratégico. 1
permitir la definición de planes tácticos de TI.
7.- ¿El plan define cómo se cumplirán los objetivos? Si define los objetivos anteriores, pero debe ser Nivel
actualizado. 3
8.- ¿El plan define cómo se medirán los objetivos? Si define los objetivos anteriores, pero debe ser Nivel
actualizado. 3
9.- ¿El plan es lo suficientemente detallado para permitir la definición de Necesita una actualización para tal finalidad. Nivel
planes tácticos de TI? 2
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
1.- ¿Existe un portafolio de planes tácticos de TI derivados del plan No existe el portafolio de planes tácticos Nivel
estratégico de TI? actualmente. 0
Crear un portafolio de planes tácticos de TI que se deriven del 2.- ¿Estos planes tácticos describen los recursos requeridos por TI? No existe el portafolio de planes tácticos Nivel
plan estratégico de TI. Estos planes tácticos deben describir actualmente. 0
las iniciativas y los requerimientos de recursos requeridos 3.- ¿Estos planes tácticos describen como se monitorean los recursos? No existe el portafolio de planes tácticos Nivel
por TI, y cómo el uso de los recursos y el logro de los actualmente. 0
beneficios serán monitoreados y administrados. Los planes
tácticos deben tener el detalle suficiente para permitir la 4.- ¿Estos planes tácticos describen como se administran los recursos? No existe el portafolio de planes tácticos Nivel
actualmente. 0
definición de planes de proyectos. Administrar de forma
activa los planes tácticos y las iniciativas de TI establecidas por 5.- ¿Estos planes tácticos describen como se monitorean los beneficios No existe el portafolio de planes tácticos
medio del análisis de los portafolios de proyectos y Nivel
obtenidos? actualmente.
0
servicios. Esto incluye el equilibrio de los requerimientos y
recursos de forma regular, comparándolos con el logro de 6.- ¿Estos planes tácticos describen como se administran los beneficios No existe el portafolio de planes tácticos
Nivel
actualmente.
Construir planes tácticos para TI.
y tomando las medidas necesarias en caso de desviaciones. 7.- ¿Los planes tácticos permiten la definición de planes de proyectos? No existe el portafolio de planes tácticos Nivel
actualmente. 0
8.- ¿Se administran los planes tácticos mediante el análisis de los portafolios No existe el portafolio de planes tácticos
Nivel
de proyectos y servicios? actualmente.
0
9.- ¿El equilibio de recursos se compara con el logro de metas estratégicas? No existe el portafolio de planes tácticos
Nivel
actualmente.
0
PO1 - Definir un Plan Estratégico de TI.
10.- ¿El equilibio de recursos se compara con los beneficios esperadps? No existe el portafolio de planes tácticos Nivel
actualmente. 0
11.- ¿Se toman las medidas necesarias en caso de desviaciones? No existe el portafolio de planes tácticos Nivel
actualmente. 0
Administrar de forma activa, junto con el negocio, el 1.- Sobre los programas de inversión de TI(proyectos): No se revisa regularmente.
Nivel
portafolio de programas de inversión de TI requerido para a. ¿Se administran de forma activa la inversión? 1
lograr objetivos de negocio estratégicos específicos por
Analizar portafolios de programas y administrar
programas den soporte al logro de los resultados, entender el d. ¿Se evalúan los nuevos proyectos? Una vez aceptados se evalúan. Nivel
proyectos.
L medidas de soporte, definir proyectos dentro del programa, e. ¿Se priorizan los proyectos? Se lo realiza de acuerdo al nivel de complejidad. Nivel
3
asignar recursos y financiamiento, delegar autoridad, y
A comisionar los proyectos requeridos al momento de lanzar el f. ¿Se seleccionan proyectos? Si, dependiendo del alcance y beneficio. Nivel
programa. 3
N
g. ¿Se administran los proyectos? Si se o realiza regularmente. Nivel
E 3
Y
2.- ¿El modelo de información empresarial facilita las actividades de soporte Necesita una actualización para ser consistente Nivel
a la toma de decisiones, consistente con los planes de TI? con los planes de Ti. 2
O 3.- ¿El modelo facilita la creación la información? Si facilita la creación de información. Nivel
3
R
Crear y mantener modelo de información corporativo/empresarial.
4.- ¿El modelo facilita el uso de la información? Si facilita este objetivo. Nivel
G
PO2.1 - Modelo de Arquitectura de Información Empresarial.
A Establecer y mantener un modelo de información empresarial 5.- ¿El modelo facilita el compartir en forma óptima la información? Si facilita este objetivo Nivel
que facilite el desarrollo de aplicaciones y las actividades de 3
N soporte a la toma de decisiones, consistente con los planes
6.- ¿El modelo permite que la información se mantenga integra? Uno de los objetivos de la empresa es este, asi
de TI como se describen en P01. El modelo debe facilitar la Nivel
I creación, uso y el compartir en forma óptima la información
que se mantiene integra la información. 3
R
8.- ¿El modelo permite que la información se mantenga funcional? Es muy importante que este objetivo se cumpla, la Nivel
información debe ser funcional a todo momento. 3
9.- ¿El modelo permite que la información se mantenga rentable? Lo permite de acuerdo a las necesidades. Nivel
Arquitectura de
3
PO2 - Definir la
la Información.
10.- ¿El modelo permite que la información se mantenga oportuna? Es importante también que la información sea Nivel
accesible a todo momento. 3
11.- ¿El modelo permite que la información se mantenga segura? Es uno de los objetivos mas importantes.
Nivel
3
12.- ¿El modelo permite que la información se mantenga tolerante a Debe ser flexible, y tolerante a estos problemas. Nivel
fallos? 3
1.-¿El diccionario de datos incluye reglas de sintaxis de datos de la Se esta trabajando en este objetivo. Nivel
organización? 0
Reglas de Sintáxis
Crear y mantener diccionario de
2.-¿El diccionario facilita compartir elementos de datos entre las Se esta trabajando en este objetivo. Nivel
Empresarial y
PO2.2 - Diccionario de Datos
aplicaciones? 0
de Datos.
3.-¿El diccionario facilita compartir elementos de datos entre los sistemas? Se esta trabajando en este objetivo.
Nivel
Mantener un diccionario de datos empresarial que incluya 0
datos corporativo.
las reglas de sintaxis de datos de la organización. El 4.- ¿El diccionario fomenta un entendimiento común de datos entre los Se esta trabajando en este objetivo.
Nivel
diccionario facilita compartir elementos de datos entre las usuarios de TI y del negocio? 0
aplicaciones y los sistemas, fomenta un entendimiento
común de datos entre los usuarios de TI y del negocio, y 5.- ¿El diccionario previene la creación de elementos de datos incompatibles? Se esta trabajando en este objetivo.
Nivel
previene la creación de elementos de datos incompatibles. 0
1.- ¿El esquema de clasificación de datos aplica a toda la empresa? No se tiene un esquema de planificación de datos. Nivel
PO2.3 - Esquema
esquema de clasificación
de Clasificación
0
*Establecer y mantener
herramientas para
de Datos.
procedimientos y
2.- ¿Está basado en que tan crítica es la información (pública, No se tiene un esquema de planificación de datos.
Nivel
confidencial, secreta) de la empresa? 0
de datos.
3.- ¿Está basado en que tan sensible es la información (pública, confidencial, No se tiene un esquema de planificación de datos.
Establecer un esquema de clasificación que aplique a toda la Nivel
secreta) de la empresa? 0
empresa, basado en que tan crítica y sensible es la
información (esto es, pública, confidencial, secreta) de la 4.- ¿Este esquema incluye detalles cómo la propiedad de datos? No se tiene un esquema de planificación de datos Nivel
0
empresa. Este esquema incluye detalles acerca de la 5.- ¿Este esquema define los niveles apropiados de seguridad? No se tiene un esquema de planificación de datos. Nivel
propiedad de datos, la definición de niveles apropiados de 0
seguridad y de controles de protección, y una breve 6.- ¿Este esquema define los niveles apropiados de controles de protección? No se tiene un esquema de planificación de datos.
Nivel
descripción de los requerimientos de retención y destrucción
0
de datos, además de qué tan críticos y sensibles son. Se usa
como base para aplicar controles como el control de acceso, 7.- ¿Este esquema describe los requerimientos de retención de datos? No se tiene un esquema de planificación de datos Nivel
archivo o cifrado. 0
8.- ¿Este esquema describe los requerimientos de destrucción de datos? No se tiene un esquema de planificación de datos. Nivel
0
9.- ¿Este esquema describe que tan críticos son los datos? No se tiene un esquema de planificación de datos. Nivel
0
10.- ¿Este esquema describe que tan sensibles son los datos? No se tiene un esquema de planificación de datos. Nivel
0
11.- ¿Este esquema se utiliza como base para aplicar controles como el de No se tiene un esquema de planificación de datos.
Nivel
acceso, archivo o cifrado? 0
clasificar los sistemas de información.
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
Administración de
Usar el modelo de
almacenados en formato electrónico, tales como bases de datos, No existen aun este tipo de procedimientos, 0
PO2 - Definir la
el esquema de
Información.
clasificación
Integridad.
integridad y consistencia de todos los datos almacenados en almacenes de datos y archivos? debemos trabajar en ellos actualmente.
PO2.4 -
sistemas
formato electrónico, tales como bases de datos, almacenes de 2.- ¿Existen procedimientos que garanticen la consistencia de todos los No existen aun este tipo de procedimientos, Nivel
datos y archivos. datos almacenados en formato electrónico, tales como bases de datos, debemos trabajar en ellos actualmente. 0
almacenes de datos y archivos?
1.- ¿Se analizan las tecnologías existentes? Se esta empezando con este objetivo, para
Nivel
optimizar las tecnologías.
1
2.- ¿Se analizan las tecnologías emergentes? No se revisan las tecnologías emergentes.
Nivel
Crear y mantener un plan de infraestructura tecnológica.
del negocio. También identificar en el plan qué tecnologías materializar la estrategia de TI? 1
tienen el potencial de crear oportunidades de negocio. El plan
debe abarcar la arquitectura de sistemas, la dirección
4.- ¿Se planea cuál dirección tecnológica es apropiada tomar para No se realiza este control.
tecnológica, las estrategias de migración y los aspectos de Nivel
materializar la arquitectura de sistemas del negocio? 0
contingencia de los componentes de la infraestructura.
5.- ¿Están identificadas en el plan las tecnologías que tienen el potencial No se contempla este objetivo.
Nivel
de crear oportunidades de negocio? 0
6.- ¿El plan abarca la arquitectura de sistemas? No lo abarca. Nivel
0
esté de acuerdo con los planes estratégicos y tácticos de TI. El 5.- ¿El plan está basado en la dirección tecnológica? No existe un plan de infraestructura Nivel 0
R plan se basa en la dirección tecnológica e incluye acuerdos actualmente.
para contingencias y orientación para la adquisición de Nivel 0
6.- ¿El plan incluye acuerdos para contingencias? No existe un plan de infraestructura
recursos tecnológicos. También toma en cuenta los cambios actualmente.
PO3 - Determinar la Dirección
O actualmente.
9.- ¿El plan considera las economías de escala para inversiones? No existe un plan de infraestructura Nivel 0
R actualmente.
10.- ¿El plan considera al personal en sistemas de información? No existe un plan de infraestructura Nivel 0
G actualmente.
A 11.- ¿El plan considera la mejora en la interoperabilidad de las No existe un plan de infraestructura Nivel 0
plataformas? actualmente.
N 12.- ¿El plan considera la mejora en la interoperabilidad de las No existe un plan de infraestructura Nivel 0
actualmente.
I aplicaciones?
1.- ¿Existe un proceso para monitorear las tendencias ambientales del No existe un proceso para este caso. Nivel
Z sector/industria? 0
PO3.3 - Monitoreo de Tendencias y
Publicar estándares tecnológicos.
2.- ¿Existe un proceso para monitorear las tendencias tecnológicas? Existe cierto interés en este proceso, pero no Nivel
A la implementacion 0
Regulaciones Futuras.
Proporcionar soluciones tecnológicas consistentes, efectivas 4.- ¿Se brindan directrices tecnológicas sobre los productos de la La empresa se encuentra trabajando en este Nivel 0
y seguras para toda la empresa, establecer un foro infraestructura? aspecto.
tecnológico para brindar directrices tecnológicas, asesoría
5.- ¿Se brinda asesoría sobre los productos de la infraestructura? La empresa se encuentra trabajando en este Nivel 0
sobre los productos de la infraestructura y guías sobre la
aspecto.
selección de la tecnología, y medir el cumplimiento de estos
estándares y directrices. Este foro impulsa los estándares y 6.- ¿Se brindan guías sobre la selección de la tecnología? La empresa se encuentra trabajando en este Nivel 0
las prácticas tecnológicas con base en su importancia y aspecto.
riesgo para el negocio y en el cumplimiento de 7.- ¿Se mide el cumplimiento de los estándares tecnológicos? La empresa se encuentra trabajando en este Nivel 0
requerimientos externos. aspecto.
8.- ¿Se mide el cumplimiento de las directrices tecnológicas? La empresa se encuentra trabajando en este Nivel 0
aspecto.
9.- ¿Se impulsa los estándares con base en su importancia y riesgo para el La empresa se encuentra trabajando en este Nivel 0
negocio y en el cumplimiento de requerimientos externos? aspecto.
10.- ¿Se impulsa las prácticas tecnológicas con base en su importancia y La empresa se encuentra trabajando en este Nivel 0
riesgo para el negocio y en el cumplimiento de requerimientos externos? aspecto.
Nivel
ACTIVIDADES DEL
CALIFICACIÓN
OBJETIVOS DE
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
Definir un marco de trabajo para el proceso de TI para 1.- ¿Está definido un marco de trabajo para el proceso de TI para ejecutar No se tiene un plan estratégico de Ti. Nivel
ejecutar el plan estratégico de TI. Este marco incluye el plan estratégico de TI? 0
proceso
Trabajo
Proceso
Diseñar Marco de
Trabajo
para el
PO4.1 - Marco
s de TI.
estructura y relaciones de procesos de TI administrando
de TI. brechas y superposiciones de procesos), propiedad, 2.- ¿El marco de trabajo de procesos de TI está integrado en un sistema de No se tiene un plan estratégico de Ti.
de
de
Nivel
medición del desempeño, mejoras, cumplimiento, metas de administración de calidad?
0
calidad y planes para alcanzarlas. Proporciona integración Nivel
3.- ¿El marco de trabajo de procesos de TI está integrado en un marco de No se tiene un plan estratégico de Ti.
entre los procesos que son específicos para TI, trabajo de control interno? 0
administración del portafolio de la empresa, procesos de
Estratégico de negocio y procesos
Establecer un comitédeestratégico
cambio deldenegocio.
TI a nivelEldel
marco de
consejo. 1.- ¿Se cuenta con un comité estratégico de TI a nivel del consejo? No se dispone de un comité. Nivel
organizacion
proveedore
interesados
incluyendo
estructura
Establecer
comités y
0
ligas a los
trabajo
Este de procesos
comité de TI debe
deberá asegurar estar
que integrado
el gobierno deenTI,un sistema
como
PO4.2 -
al de TI,
Comité
TI.
de administración
parte del gobiernode calidad y enseun
corporativo, marco de
maneja de forma
trabajo de
y
2.- ¿Este comité asegura que el gobierno de TI, como parte del gobierno No se dispone de un comité. Nivel
control interno.
adecuada, asesora sobre la dirección estratégica y revisa las 0
corporativo, se maneja de forma adecuada, asesora sobre la dirección
inversiones principales a nombre del consejo completo.
estratégica y revisa las inversiones principales a nombre del consejo completo?
1.- ¿Se cuenta con un comité estratégico de TI a nivel del consejo? No se dispone de un comité. Nivel
Establecer un comité directivo de TI (o su equivalente)
TI,
estructura
0
compuesto por la gerencia ejecutiva, del negocio y de TI para:
Determinar las prioridades de los programas de inversión 2.- ¿Este comité asegura que el gobierno de TI, como parte del gobierno No se dispone de un comité. Nivel
de
0
y proveedores.
3.- ¿Este comité asesora sobre la dirección estratégica? No se dispone de un comité. Nivel
resolver los conflictos de recursos, Monitorear los niveles de
0
Establecer
Ubicar a la función de TI dentro de la estructura 1.- ¿La función de TI está ubicada dentro de la estructura organizacional Se encuentra trabajando en la implantación de
Nivel
Organizacional de
PO4.4 - Ubicación
organizacional general con un modelo de negocios general con un modelo de negocios supeditado a la importancia de TI dentro esta función en la estructura organizacional.
Identificar dueños
0
la Función de TI.
de sistemas.
1.- ¿Está establecida una estructura organizacional de TI interna que refleje Se está trabajando en este objetivo actualmente. Nivel
las necesidades del negocio? 0
incluyendo comités y ligas
Establecer estructura
organizacional de TI,
2.- ¿Está establecida una estructura organizacional de TI externa que Se está trabajando en este objetivo actualmente. Nivel 0
interesados y
proveedores.
implementar un proceso para revisar la estructura 3.- ¿Existe un proceso que revise la estructura organizacional de TI de forma Se está trabajando en este objetivo actualmente. Nivel 0
P organizacional de TI de forma periódica para ajustar los
requerimientos de personal y las estrategias internas para
periódica para ajustar los requerimientos de personal?
Nivel 0
L satisfacer los objetivos de negocio esperados y las 4.- ¿Existe un proceso que revise las estrategias internas para satisfacer
los objetivos de negocio esperados y las circunstancias cambiantes?
Se está trabajando en este objetivo actualmente.
circunstancias cambiantes.
A 1.- ¿Se definen los roles y las responsabilidades para el personal de TI? Se esta trabajando en este objetivo, y Nivel
Establecer e implantar roles
estableciendo roles. 0
N
y responsabilidades de TI,
PO4.6 - Establecimiento de
incluida la supervisión y
Roles y Responsabilidades.
estableciendo roles.
PO4 - Definir los Procesos, Organización y Relaciones
Y 1.- ¿Está asignada la responsabilidad para el desempeño de la función de Se planea realizarlo a futuro, dependiendo del Nivel 0
de TI.
2.- ¿El grupo de QA cuenta con los sistemas de QA, los controles y la
responsabilidades de TI,
Establecer e implantar
3.- ¿La ubicación organizacional del grupo de QA satisfacen los Se planea realizarlo a futuro, dependiendo del Nivel 0
R
roles y
de aseguramiento de calidad (QA) y proporcionar al grupo de requerimientos de la organización? crecimiento del negocio.
QA sistemas de QA, los controles y la experiencia para
G comunicarlos. Asegurar que la ubicación organizacional, las 4.- ¿Las responsabilidades del grupo de QA satisfacen los requerimientos de Se planea realizarlo a futuro, dependiendo del Nivel 0
la organización? crecimiento del negocio.
responsabilidades y el tamaño del grupo de QA satisfacen
A los requerimientos de la organización.
5.- ¿El tamaño del grupo de QA satisfacen los requerimientos de la Se planea realizarlo a futuro, dependiendo del Nivel 0
N organización? crecimiento del negocio.
I 1.- ¿Está establecida la responsabilidad de los riesgos relacionados con TI Se esta trazando el plan para esta responsabilidad Nivel 0
Establecer la propiedad y la responsabilidad de los riesgos a un nivel superior apropiado? y roles.
Establecer e implantar roles y responsabilidades de
Z relacionados con TI a un nivel superior apropiado. Definir y 2.- ¿Están asignados los roles críticos para administrar los riesgos de TI? Se esta trazando el plan para esta responsabilidad y Nivel 0
TI, incluida la supervisión y segregación de
3.- ¿Está establecida la responsabilidad sobre la administración del riesgo? Se esta trazando el plan para esta responsabilidad y Nivel 0
R información, la seguridad física y el cumplimiento.
Establecer responsabilidad sobre la administración del roles.
funciones.
riesgo y la seguridad a nivel de toda la organización para Se esta trazando el plan para esta responsabilidad y Nivel 0
4.- ¿Está establecida la seguridad para manejar los problemas a nivel de
manejar los problemas a nivel de toda la empresa. Puede ser roles.
toda la empresa?
necesario asignar responsabilidades adicionales de
administración de la seguridad a nivel de sistema específico 5.- ¿Están asignadas responsabilidades adicionales de administración de la Se esta trazando el plan para esta responsabilidad y Nivel 0
para manejar problemas relacionados con seguridad. seguridad a nivel de sistema específico? roles.
Obtener orientación de la alta dirección con respecto al
6.- ¿La alta dirección orienta con respecto al apetito de riesgo de TI? Se esta trazando el plan para esta responsabilidad y Nivel 0
apetito de riesgo de TI y la aprobación de cualquier riesgo
roles.
residual de TI.
7.- ¿La alta dirección aprueba cualquier riesgo residual de TI? Se esta trazando el plan para esta responsabilidad y Nivel 0
roles.
1.- ¿Existen procedimientos y herramientas que permitan enfrentar las Se tiene un procedimiento establecido, pero Nivel
responsabilidades de propiedad sobre los datos y los sistemas de información? necesita depuración. 1
responsabilidades de
PO4.9 - Propiedad de
Establecer e implantar
propiedad sobre los datos y los sistemas de información. Los 2.- ¿Los dueños toman decisiones sobre la clasificación de la información para A si es, se lo realiza mediante una reunión. Nivel
funciones.
información y de los sistemas y sobre cómo protegerlos de 3.- ¿Los dueños toman decisiones para proteger los sistemas? Lo hacen constantemente. Nivel
acuerdo a esta clasificación. 1
Implementar prácticas adecuadas de supervisión dentro de la 1.- ¿Se tienen implementadas prácticas adecuadas de supervisión dentro Se tiene establecido un responsable para este Nivel
e implantar roles
de la función de TI para garantizar que los roles y las responsabilidades se plan de implementación en TI. 1
lidades de TI,
Supervisión
supervisión
incluida la
Establecer
PO4.10 -
Implementar una división de roles y responsabilidades que 1.- ¿Se tiene implementado una división de roles y responsabilidades que Se encuentra trabajando en la división de roles.
Nivel
reduzca la posibilidad de que un solo individuo afecte reduzca la posibilidad de que un solo individuo afecte negativamente un 0
s de TI, incluida la
Segregación de
supervisión y
funciones.
Funciones.
PO4.11 -
ACTIVIDADES DEL
CALIFICACIÓN
OBJETIVOS DE
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
1.-¿ Se evalúan los requerimientos de personal de forma regular para Se evalúa al personal cada cierto tiempo, Nivel
garantizar que la función de TI cuente con un número suficiente de para garantizar que cumplen con los 2
Establecer e implantar roles
segregación de funciones.
y responsabilidades de TI,
Evaluar los requerimientos de personal de forma regular o recursos para soportar adecuada y apropiadamente las metas del requerimientos.
cuando existan cambios importantes en el ambiente de negocio?
negocios, operativo o de TI para garantizar que la función de
TI cuente con un número suficiente de recursos para soportar
PO4 - Definir los Procesos, Organización y Relaciones de TI.
adecuada y apropiadamente a las metas y objetivos del 2.- ¿ Se evalúan los requerimientos de personal de forma regular para Se evalúa al personal cada cierto tiempo, Nivel
negocio. garantizar que la función de TI cuente con un número suficiente de para garantizar que cumplen con los 2
recursos para soportar adecuada y apropiadamente los objetivos del objetivos del negocio.
negocio?
1.- ¿Se define al personal clave de TI para minimizar la dependencia en un Después de analizar las evaluaciones se toma Nivel
PO4.13 - Personal Clave
solo individuo desempeñando una función de trabajo crítica? decisiones en este aspecto. 2
responsabilidades
implantar roles y
de TI, incluida la
segregación de
supervisión y
funciones.
dependencia en un solo individuo desempeñando una 2.- ¿Se identifica al personal clave de TI para minimizar la dependencia Después de analizar las evaluaciones se toma Nivel
función de trabajo crítica. en un solo individuo desempeñando una función de trabajo crítica? decisiones en este aspecto. 2
de TI.
1.- ¿Se asegura que los consultores cumplan con las políticas Antes de ingresar a la empresa se analiza Nivel
PO4.14 - Políticas
y Procedimientos
s de TI, incluida la
responsabilidade
implantar roles y
Asegurar que los consultores y el personal contratado que organizacionales de protección de los activos de información de la estos requerimientos 2
segregación de
para Personal
Establecer e
supervisión y
Contratado.
funciones.
soporta la función de TI cumplan con las políticas empresa de tal manera que se logren los requerimientos contractuales
organizacionales de protección de los activos de acordados?
información de la empresa de tal manera que se logren los 2.- ¿Se asegura que el personal contratado que soporta la función de TI Antes de ingresar a la empresa se analiza Nivel
requerimientos contractuales acordados. cumplan con las políticas organizacionales de protección de los activos de estos requerimientos 2
información de la empresa?
1.- ¿Existe una estructura óptima de enlace entre la función de TI y otros No existe esta estructura por el momento se Nivel
interesados dentro y fuera de la función de TI? esta trabajando en esto. 0
responsabilidades de TI, incluida
la supervisión y segregación de
programas de
Administración
Trabajo para la
portafolio de
PO5.1 - Marco de
A 2.- ¿Existe un marco de trabajo financiero para administrar el costo de Se esta trabajando en este marco financiero
inversión.
Financiera.
Nivel
los activos de TI?
0
R Establecer y mantener un marco de trabajo financiero para
administrar las inversiones y el costo de los activos y 3.- ¿Existe un marco de trabajo financiero para administrar los servicios Se esta trabajando en este marco financiero
Nivel
servicios de TI a través del portafolios de inversiones de TI?
0
habilitadas por TI, casos de negocio y presupuestos de TI. 4.- ¿Se mantiene este marco de trabajo financiero? Se esta trabajando en este marco financiero
Nivel
Y 0
1.- ¿Existe un proceso de toma de decisiones para dar prioridades a la Se lo realizara mediante reuniones. Nivel
portafolio de proyectos.
incluyendo los costos recurrentes de operar y mantener la 2.- ¿Existe un proceso para administrar este presupuesto? Se lo realiza en la reunión. Nivel
Z
Dar mantenimiento al portafolio de servicios.
programas. El proceso debe permitir la revisión, el como al desarrollo de presupuestos para programas individuales, con 0
refinamiento y la aprobación constantes del presupuesto énfasis especial en los componentes de TI de esos programas?
general y de los presupuestos de programas individuales.
TI.
4.- ¿El proceso permite la revisión, el refinamiento y la aprobación Si, permite esta revisión en futuras
Nivel
constante del presupuesto general? reuniones.
1
1.- ¿Existe un proceso de administración de costos que compare los Si, se lo realiza en las reuniones.
Nivel
costos reales con los presupuestados?
1
5.- ¿El impacto de las desviaciones sobre los programas se evalúan? Si, se lo realiza en las reuniones.
Nivel
1
6.- ¿Junto con el patrocinador del negocio para estos programas, se Si, se lo realiza en las reuniones.
Nivel
toman medidas correctivas apropiadas?
1
7.- ¿Se actualiza el caso de negocio del programa de inversión? Si, se lo realiza en las reuniones.
Nivel
1
Implementar un proceso de monitoreo de beneficios. La 1.- ¿Se cuenta con un proceso de monitoreo de beneficios? Si, se lo realiza en las reuniones.
Identificar, comunicar y
como parte de un soporte operativo regular, se debe
identificar, acordar, monitorear y reportar. Los reportes se 2.- ¿Se reportan estos beneficios? Si, se lo realiza en las reuniones.
Nivel
deben revisar y, donde existan oportunidades para mejorar 1
la contribución de TI, se deben definir y tomar las medidas
apropiadas. Siempre que los cambios en la contribución de
TI tengan impacto en el programa, o cuando los cambios a 3.- ¿Se toman medidas apropiadas para mejorar la contribución de TI? Si, se lo realiza en las reuniones.
Nivel
otros proyectos relacionados impacten al programa, el caso 1
de negocio deberá ser actualizado.
de TI.
valor de TI para el negocio.
COBIT
ACTIVIDADES DEL
CALIFICACIÓN
OBJETIVOS DE
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
Definir los elementos de un ambiente de control para TI, 1.- ¿Están definidos los elementos de un ambiente de control para TI? Se encuentra trabajando en este Nivel
aspecto. 0
Elaborar y mantener un ambiente y
requerimientos respecto a la entrega de valor proveniente de 2.- ¿Estos elementos están alineados con el estilo operativo de la Se encuentra trabajando en este Nivel
Control.
las inversiones en TI, el apetito de riesgo, la integridad, los empresa? aspecto. 0
valores éticos, la competencia del personal, la rendición de
cuentas y la responsabilidad. El ambiente de control se basa
en una cultura que apoya la entrega de valor, mientras
administra riesgos significativos, fomenta la colaboración
entre divisiones y el trabajo en equipo, promueve el
cumplimiento y la mejora continua de procesos, y maneja las
desviaciones (incluyendo las fallas) de forma adecuada.
Elaborar y dar mantenimiento a un marco de trabajo que 1.- ¿Existe un marco de trabajo que establezca el enfoque empresarial Si se tiene un marco, pero debe
Control Interno de
ambiente y marco
Nivel
de control de TI.
establezca el enfoque empresarial general hacia los riesgos y general hacia los riesgos? actualizarse
PO6.2 - Riesgo
Corporativo y
Referencia de
mantener un
1
Elaborar y
Marco de
1.- ¿Existen políticas que apoyen la estrategia de TI? Si tienen políticas establecidas que Nivel
serán implantadas en este proyecto. 1
Elaborar y dar mantenimiento a un conjunto de políticas que
apoyen la estrategia de TI. Estas políticas deben incluir su 2.- ¿Estas políticas incluyen los roles y responsabilidades? Si tienen políticas establecidas que Nivel
intención, roles y responsabilidades, procesos de excepción, serán implantadas en este proyecto. 1
enfoque de cumplimiento y referencias a procedimientos,
PO6 - Comunicar las Aspiraciones y la Dirección de la Gerencia.
estándares y directrices. Su relevancia se debe confirmar y 3.- ¿Estas políticas incluyen procesos de excepción? Si tienen políticas establecidas que Nivel
P aprobar en forma regular. serán implantadas en este proyecto. 1
L 4.- ¿Estas políticas incluyen un enfoque de cumplimiento? Si tienen políticas establecidas que Nivel
PO6.3 - Administración de Políticas para TI.
5.- ¿Estas políticas hacen referencias a procedimientos? Si tienen políticas establecidas que Nivel
N serán implantadas en este proyecto. 1
E 6.- ¿Estas políticas hacen referencias a estándares? Si tienen políticas establecidas que Nivel
A serán implantadas en este proyecto. 1
R 7.- ¿Estas políticas hacen referencias a directrices? Si tienen políticas establecidas que Nivel
serán implantadas en este proyecto. 1
8.- ¿Estas políticas se aprueban en forma regular? Si tienen políticas establecidas que se Nivel
Y revisan en reuniones. 1
1.- ¿Se asegura que las políticas de TI se implanten? Se plantea asegurar que sean Nivel
Implantación de Políticas
de TI.
N 1.- ¿Se comunica a los usuarios de toda la organización los objetivos de Se lo realizara mediante integraciones
de los Objetivos
y la Dirección
Comunicar el
dirección de
control y los
TI? empresariales.
objetivos y
I
marco de
de TI.
TI.
R 2
PO7 - Administrar los Recursos
descripcione
políticas y procedimientos generales de personal de la organización (Ej. contratación, y después con las
benchmarks
s de puesto,
salarios y
rango de
onal.
un ambiente positivo de trabajo y orientación). La gerencia 2.- ¿Existe un proceso que garantice que la organización cuente con una
implementa procesos para garantizar que la organización fuerza de trabajo apropiada? forma regular. 2
cuente con una fuerza de trabajo posicionada de forma
apropiada, que tenga las habilidades necesarias para 1.- ¿Se verifica en forma periódica que el personal tenga las habilidades Las evaluaciones que se realizan de Nivel
para cumplir sus roles? forma regular. 2
desempeño del
2.- ¿Se define los requerimientos esenciales de habilidades para TI? Las evaluaciones que se realizan de Nivel
personal.
puesto, rango de salarios y
1.- ¿El marco de trabajo para la asignación de los roles, Se encuentra trabajando en la creación
Nivel
benchmarks sobre descripciones
Definir, monitorear y supervisar los marcos de trabajo para responsabilidades y compensación del personal está definido? de roles.
Identificar las habilidades de TI,
0
PO7.3 - Asignación de Roles.
incluyendo el requerimiento de adherirse a las políticas y 2.- ¿El marco de trabajo para la asignación de los roles, Se encuentra trabajando en la creación Nivel
procedimientos administrativos, así como al código de ética responsabilidades y compensación del personal está monitoreado? de roles. 0
y prácticas profesionales. El nivel de supervisión debe estar
de acuerdo con la sensibilidad del puesto y el grado de 3.- ¿El marco de trabajo para la asignación de los roles, Se encuentra trabajando en la creación Nivel
responsabilidades asignadas. responsabilidades y compensación del personal está supervisado? de roles. 0
4.- ¿El nivel de supervisión es acorde con la sensibilidad del puesto y las Se encuentra trabajando en la creación Nivel
responsabilidades asignadas? de roles. 0
1.- ¿Se proporciona a los empleados de TI entrenamiento continuo? Se tiene como objetivo empezar a Nivel
compe
dimien
contra
investi
entren
TI(recl
Proporcionar a los empleados de TI la orientación necesaria
releva
proce
RH
polític
Entre
Perso
nsar,
utar,
nami
para
ento
ntes
de7.4
gar,
as y
PO
tar,
TI.
0
tos
del
nal
brindar capacitaciones a los miembros
de
ar
ut
ec
ar
-
la
Ej
s
al momento de la contratación y entrenamiento continuo
del personal.
para conservar su conocimiento, aptitudes, habilidades,
1.- ¿Se minimiza las dependencias críticas sobre individuos clave? Si, después de aplicar las evaluaciones. Nivel
habilid
puesto
bench
descri
marks
Identifi
rango
e s de
sobre
pcion
de TI,
PO7.5
dencia
Individ
Minimizar la exposición a dependencias críticas sobre
Depen
ades
Sobre
controles internos y conciencia sobre la seguridad, al nivel
uos.
de
las
car
1
los
,
-
individuos clavealcanzar
requerido para por medio
las de la captura
metas del conocimiento
organizacionales.
(documentación), compartir el conocimiento, planeación de
1.- ¿Se verifican los antecedentes en el proceso de reclutamiento de TI? Se lo realiza frecuentemente, o cuando Nivel
la sucesión y respaldos de personal.
PO7.6 -
la organización lo solicite. 1
Procedimientos de
y procedimientos
para TI(reclutar,
COBIT
ACTIVIDADES DEL
CALIFICACIÓN
OBJETIVOS DE
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
1.- ¿Las evaluaciones de desempeño se realizan periódicamente? Se realizan evaluaciones regularmente. Nivel
para TI(reclutar, contratar, investigar, compensar, entrenar,
2
Ejecutar las políticas y procedimientos relevantes de RH
desempeño y conducta, según sea necesario. 3.- ¿Las evaluaciones se comparan contra los estandares establecidos? Si, estandares empresariales Nivel
1
terminar).
4.- ¿Las evaluaciones se comparan contra las responsabilidades Si, se lo compara con estas
Nivel
específicas del puesto? responsabilidades
1
PO7 - Administrar los Recursos Humanos de TI
5.- ¿Los empleados reciben adiestramiento sobre su desempeño? No, pero se plantea realizar capaciationes
Nivel
a futuro. 0
6.- ¿Los empleados reciben adiestramiento sobre su conducta? No, pero se plantea realizar capaciationes
Nivel
a futuro.
0
1.- ¿Se toman medidas expeditas respecto a los cambios en los puestos, Si, antes de realizar los cambios se analiza.
Nivel
Tomar medidas expeditas respecto a los cambios en los en especial las terminaciones?
2
relevantes de RH para TI(reclutar, contratar,
4.- ¿Se eliminan los privilegios de acceso, de tal modo que los riesgos se Si, antes de realizar los cambios se realiza.
Nivel
minimicen?
2
P 5.- ¿Se eliminan los privilegios de acceso, de tal modo que se garantice la Si, antes de realizar los cambios se realiza.
Nivel
L continuidad de la función?
2
A 1.- ¿Se cuenta con un QMS de TI alineados con los requerimientos del No se dispone de una QMS por el momento Nivel
negocio?
N 0
E 2.- ¿Este QMS proporciona un enfoque estándar, formal y continuo con No se dispone de una QMS por el momento Nivel
respecto a la administración de la calidad? 0
A Establecer y mantener un QMS que proporcione un enfoque
estándar, formal y continuo, con respecto a la
3.- ¿El QMS identifica los requerimientos? No se dispone de una QMS por el momento
R administración de la calidad, que esté alineado con los Nivel
requerimientos del negocio. El QMS identifica los 0
requerimientos y los criterios de calidad, los procesos claves
de TI, y su secuencia e interacción, así como las políticas, 4.- ¿El QMS identifica los criterios de calidad? No se dispone de una QMS por el momento Nivel
Y criterios y métodos para definir, detectar, corregir y prever 0
las no conformidades. El QMS debe definir la estructura
organizacional para la administración de la calidad, 5.- ¿El QMS identifica los procesos claves de TI? No se dispone de una QMS por el momento Nivel
O cubriendo los roles, las tareas y las responsabilidades. 0
Todas las áreas clave desarrollan sus planes de calidad de
R acuerdo a los criterios y políticas, y registran los datos de
6.- ¿El QMS identifica las políticas para definir, detectar, corregir y prever No se dispone de una QMS por el momento
calidad. Monitorear y medir la efectividad y aceptación del Nivel
G QMS y mejorarla cuando sea necesario.
las no conformidades? 0
A 7.- ¿El QMS identifica los criterios para definir, detectar, corregir y prever No se dispone de una QMS por el momento Nivel
las no conformidades?
N 0
I 8.- ¿El QMS identifica los métodos para definir, detectar, corregir y prever No se dispone de una QMS por el momento Nivel
las no conformidades? 0
Z
9.- ¿El QMS define la estructura organizacional para la administración de No se dispone de una QMS por el momento
A la calidad, cubriendo los roles, las tareas y las responsabilidades?
Nivel
0
m
O
A
d
d
P
C
8
a
s
r
t
-
R
i
l
i
10.- ¿Las áreas clave desarrollan sus planes de calidad de acuerdo a los No se dispone de una QMS por el momento Nivel
Definir un sistema de administración de calidad.
11.- ¿Se monitorea la efectividad del QMS? No se dispone de una QMS por el momento Nivel
0
12.- ¿Se mide la efectividad del QMS? No se dispone de una QMS por el momento Nivel
0
13.- ¿Se monitorea la aceptación del QMS? No se dispone de una QMS por el momento Nivel
0
14.- ¿Se mide la aceptación del QMS? No se dispone de una QMS por el momento Nivel
0
15.- ¿Se lo mejora cuando es necesario? No se dispone de una QMS por el momento Nivel
0
Identificar y mantener estándares, procedimientos y 1.- ¿Se identifica estándares para los procesos clave de TI? No se dispone de una QMS por el momento Nivel
Establecer y mantener un sistema de
buenas prácticas de la industria como referencia al mejorar 2.- ¿Se identifica procedimientos para los procesos clave de TI? No se dispone de una QMS por el momento Nivel
y adaptar las prácticas de calidad de la organización. 0
PO8.2 -
3.- ¿Se identifica prácticas para los procesos clave de TI? No se dispone de una QMS por el momento Nivel
0
4.- ¿Se usan las buenas prácticas de la industria como referencia al No se dispone de una QMS por el momento Nivel
mejorar y adaptar las prácticas de calidad de la organización? 0
100
1.- ¿Se adoptan estándares para todo desarrollo y adquisición que siga el Se esta trabajando en este tipo de control Nivel
ciclo de vida, hasta el último entregable? actualmente. 0
2.- ¿Se mantienen estándares para todo desarrollo y adquisición que siga Se esta trabajando en este tipo de control Nivel
el ciclo de vida, hasta el último entregable? actualmente. 0
Adoptar y mantener estándares para todo desarrollo y
adquisición que siga el ciclo de vida, hasta el último 3.- ¿Se incluyen estándares de codificación de software? Se esta trabajando en este tipo de control Nivel
entregable e incluir la aprobación en puntos clave con base actualmente. 0
en criterios de aceptación acordados. Los temas a considerar
incluyen estándares de codificación de software, normas de 4.- ¿Se incluyen normas de nomenclatura? Se esta trabajando en este tipo de control
nomenclatura; formatos de archivos, estándares de diseño Nivel
actualmente. 0
para esquemas y diccionario de datos; estándares para la
interfaz de usuario; inter operabilidad; eficiencia de
desempeño de sistemas; escalabilidad; estándares para 5.- ¿Se incluyen formatos de archivos? Se esta trabajando en este tipo de control Nivel
desarrollo y pruebas; validación contra requerimientos; actualmente. 0
planes de pruebas; y pruebas unitarias, de regresión y de
integración. 6.- ¿Se incluyen estándares de diseño para esquemas y diccionario de Se esta trabajando en este tipo de control Nivel
datos? actualmente. 0
7.- ¿Se incluyen estándares para la interfaz de usuario? Se esta trabajando en este tipo de control Nivel
actualmente. 0
8.- ¿Se incluye inter operabilidad? Se esta trabajando en este tipo de control Nivel
actualmente. 0
9.- ¿Se incluye eficiencia de desempeño de sistemas? Se esta trabajando en este tipo de control Nivel
actualmente. 0
Crear y comunicar estándares de calidad a toda la organización.
10.- ¿Se incluyen escalabilidad? Se esta trabajando en este tipo de control Nivel
PO8.3 - Estándares de Desarrollo y de Adquisición.
actualmente. 0
11.- ¿Se incluyen estándares para desarrollo y pruebas? Se esta trabajando en este tipo de control Nivel
actualmente. 0
12.- ¿Se incluyen validación contra requerimientos? Se esta trabajando en este tipo de control Nivel
actualmente. 0
13.- ¿Se incluyen planes de pruebas? Se esta trabajando en este tipo de control Nivel
actualmente. 0
14.- ¿Se incluyen pruebas unitarias de regresión? Se esta trabajando en este tipo de control Nivel
actualmente. 0
15.- ¿Se incluyen pruebas unitarias de integración? Se esta trabajando en este tipo de control Nivel
actualmente. 0
1.- ¿Está enfocada la administración de calidad en los clientes? Si se realiza reuniones constantes con el
PO8.4 - Enfoque en el Cliente
Nivel
Enfocar la administración de calidad en los clientes, cliente para garantizar su satisfacción.
estándares de calidad a
2
toda la organización.
3.- ¿Están definidos las responsabilidades respecto a la resolución de Se dispone de personal para este caso. Nivel
de TI.
1.- ¿Se mantiene un plan global de calidad que promueva la mejora No se tiene un plan global actualmente.
Nivel
plan de calidad
PO8.5 - Mejora
continua?
para la mejora
administrar el
0
continua.
Continua.
Crear y
1.- ¿Están definidas mediciones para monitorear el cumplimiento No se dispone de una QMS por el momento Nivel
continuo del QMS? 0
Medir, monitorear y revisar el cumplimiento de las metas de calidad.
2.- ¿Están planeadas mediciones para monitorear el cumplimiento No se dispone de una QMS por el momento Nivel
Definir, planear e implementar mediciones para monitorear continuo del QMS? 0
el cumplimiento continuo del QMS, así como el valor que el
QMS proporciona. La medición, el monitoreo y el registro de
3.- ¿Están implementadas mediciones para monitorear el cumplimiento No se dispone de una QMS por el momento Nivel
la información deben ser usados por el dueño del proceso
continuo del QMS? 0
para tomar las medidas correctivas y preventivas
apropiadas.
PO8.6 - Medición, Monitoreo y Revisión de la Calidad.
4.- ¿Está definido el valor que el QMS proporciona? No se dispone de una QMS por el momento Nivel
0
5.- ¿Está planeado el valor que el QMS proporciona? No se dispone de una QMS por el momento Nivel
0
6.- ¿Está implementado el valor que el QMS proporciona? No se dispone de una QMS por el momento Nivel
0
7.- ¿Esta medición, monitoreo y registro de la información son usados por No se dispone de una QMS por el momento Nivel
el dueño del proceso para tomar las medidas correctivas apropiadas? 0
8.- ¿Esta medición, monitoreo y registro de la información son usados por No se dispone de una QMS por el momento Nivel
el dueño del proceso para tomar las medidas preventivas apropiadas? 0
100
C O B IT
ACTIVIDADES DEL
CALIFICACIÓN
OBJETIVOS DE
PROCESOS
DOMINIO
CONTROL
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
Administraci
la alineación
administraci
Determinar
(ej: Evaluar
Trabajo de
Marco de
Establecer un marco de trabajo de administración de riesgos TI?
Riesgos.
PO9.1 -
riesgo).
ón de
de la
Establecer el contexto en el cual el marco de trabajo de 2.- ¿Está incluida la determinación del contexto interno de cada
evaluación de riesgos se aplica para garantizar resultados evaluación de riesgos?
apropiados. Esto incluye la determinación del contexto 3.- ¿Está incluida la determinación del contexto externo de cada
riesgos
riesgos identificados?
*Identificar eventos asociados con
P Evaluar de forma recurrente la probabilidad e impacto de 3.- ¿Se usan métodos cuantitativos?
todos los riesgos identificados, usando métodos cualitativos
riesgo con los eventos.
L y cuantitativos. La probabilidad e impacto asociados a los 4.- ¿Se determina de forma individual la probabilidad e impacto
riesgos inherentes y residuales se debe determinar de forma asociados a los riesgos inherentes y residuales?
A individual, por categoría y con base en el portafolio. 5.- ¿Se determina por categoría la probabilidad e impacto asociados a los
N riesgos inherentes y residuales?
6.- ¿Se determina con base en el portafolio la probabilidad e impacto
E asociados a los riesgos inherentes y residuales?
A Desarrollar y mantener un proceso de respuesta a riesgos 1.- ¿Se cuenta con un proceso de respuesta a riesgos diseñado para
PO9.5 - Respuesta a
diseñado para asegurar que controles efectivos en costo asegurar que controles efectivos en costo mitigan la exposición en forma
respuestas a
los Riesgos.
R
seleccionar
continua?
Evaluar y
respuesta a riesgos debe identificar estrategias tales como 2.- ¿El proceso de respuesta a riesgos identifica estrategias tales como
evitar, reducir, compartir o aceptar riesgos; determinar evitar, reducir, compartir o aceptar riesgos?
responsabilidades y considerar los niveles de tolerancia a 3.- ¿El proceso de respuesta a riesgos considera los niveles de tolerancia
Y riesgos. a riesgos?
Priorizar y planear las actividades de control a todos los 1.- ¿Se prioriza las actividades de control a todos los niveles para
*Aprobar y asegurar fondos
*Mantener y monitorear un
plan de acción de riesgos.
PO9.6 - Mantenimiento y
para planes de acción de
niveles para implementar las respuestas a los riesgos, implementar las respuestas a los riesgos?
Monitoreo de un Plan
de Acción de Riesgos.
*Priorizar y Planear
O identificadas como necesarias, incluyendo la identificación 2.- ¿Se obtiene la aprobación para las acciones recomendadas de
actividades de
Obtener la aprobación para las acciones recomendadas y la 3.- ¿Se obtiene la aceptaciónde las acciones recomentadas de cualquier
aceptación de cualquier riesgo residual, y asegurarse de que
G 4.- ¿Se asegura que las acciones comprometidas están a cargo del dueño
riesgos.
PO10.1 - Marco de
2.- ¿Se asegura que los proyectos apoyen los objetivos del programa?
administración de
Trabajo para la
para la administración
de proyectos de TI.
defina el alcance?
PO10.2 - Marco de
Administración de
proyectos puede incluir los roles, las responsabilidades y la 4.- ¿La estructura de gobierno de proyectos incluye los roles del
rendición de cuentas del patrocinador del programa, patrocinador del programa, patrocinadores de proyectos, comité de
patrocinadores de proyectos, comité de dirección, oficina de dirección, oficina de proyectos, y gerente del proyecto?
proyectos, y gerente del proyecto, así como los mecanismos 5.- ¿La estructura de gobierno de proyectos incluye las responsabilidades
por medio de los cuales pueden satisfacer esas del patrocinador del programa, patrocinadores de proyectos, comité de
responsabilidades (tales como reportes y revisiones por dirección, oficina de proyectos, y gerente del proyecto?
etapa). Asegurarse que todos los proyectos de TI cuenten con 6.- ¿La estructura de gobierno de proyectos incluye la rendición de
patrocinadores con la suficiente autoridad para apropiarse cuentas del patrocinador del programa, patrocinadores de proyectos,
de la ejecución del proyecto dentro del programa estratégico comité de dirección, oficina de proyectos, y gerente del proyecto?
global. 7.- ¿La estructura de gobierno de proyectos incluye los mecanismos por
medio de los cuales pueden satisfacer esas responsabilidades (tales como
reportes y revisiones por etapa)?
8.- ¿Se asegura que todos los proyectos de TI cuenten con patrocinadores
con suficiente autoridad para apropiarse de la ejecución del proyecto
dentro del programa estratégico global?
101
COBIT
ACTIVIDADES DEL
CALIFICACIÓN
OBJETIVOS DE
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
PO10.4 - Compromiso
los proyectos y de los
proyecto. *Asegurar
el control efectivo de
cambios a proyectos.
compromiso de los
de los Interesados.
ejecución del proyecto dentro del contexto del programa global de
interesados del
participación y
para confirmar y desarrollar, entre los interesados, un 2.- ¿Está documentada la naturaleza del proyecto? ¾
de proyectos.
métodos de
entendimiento común del alcance del proyecto y cómo se 3.- ¿Está definido el alcance del proyecto?
relaciona con otros proyectos dentro del programa global de 4.- ¿Está documentado el alcance del proyecto?
inversiones facilitadas por TI. La definición se debe aprobar 5.- ¿Está definid como se relaciona con otros proyectos dentro del
de manera formal por parte de los patrocinadores del programa global de inversiones facilitadas por TI?
programa y del proyecto antes de iniciar el proyecto.
6.- ¿La definición se aprueba de manera formal por parte de los
patrocinadores del proyecto antes de iniciar el proyecto?
Aprobar el inicio de las etapas importantes del proyecto y 1.- ¿Se aprueba el inicio de las etapas importantes del proyecto?
métodos de aseguramiento
criterios de desempeño de los miembros del equipo del criterios de desempeño de los miembros del equipo del proyecto?
aseguramiento y
R proyecto y especificar las bases para adquirir y asignar a los 2.- ¿Se especifica las bases para adquirir y asignar a los miembros
métodos de
Proyecto.
miembros competentes del equipo y/o a los contratistas al competentes del equipo y/o a los contratistas al proyecto?
proyecto. La obtención de productos y servicios requeridos 3.- ¿Se planea y administra la obtención de productos y servicios
para cada proyecto se debe planear y administrar para requeridos para cada proyecto?
Y alcanzar los objetivos del proyecto, usando las prácticas de 4.- ¿Se utilizan las prácticas de adquisición de la organización?
adquisición de la organización.
Eliminar o minimizar los riesgos específicos asociados con 1.- ¿Existe un proceso sistemático que elimine o minimice riesgos
revisión de proyectos.
Definir e implementar
O los proyectos individuales por medio de un proceso especificos asociados con los proyectos individuales?
Administración de
aseguramiento y
Riesgos del
R respuesta, monitoreo y control de las áreas o eventos que afrontados por el proceso de administración de proyectos y el producto
tengan el potencial de ocasionar cambios no deseados. Los entregable del proyecto?
G riesgos afrontados por el proceso de administración de
proyectos y el producto entregable del proyecto se deben
A establecer y registrar de forma central.
N 1.- ¿Se cuenta con un plan de administración de la calidad que describa
PO10.10 - Plan
o y revisión
Proyecto.
A Establecer un sistema de control de cambios para cada 1.- ¿Existe un sistema de control de cambios para cada proyecto?
aseguramiento
Cambios del
y revisión de
proyectos.
métodos de
Control de
PO10.11 -
Proyecto.
R
Definir e
del proyecto (Ej. costos, cronograma, alcance y calidad) se 2.- ¿Estos cambios (Ej. costos, cronograma, alcance y calidad) se revisan,
revisen, aprueben e incorporen de manera apropiada al plan aprueben e incorporan apropiadamente al plan integrado del proyecto?
integrado del proyecto, de acuerdo al marco de trabajo de
gobierno del programa y del proyecto.
1.- ¿Están identificadas las tareas de aseguramiento requeridas para
revisión de proyectos.
PO10.12 - Planeación
Definir e implementar
Identificar las tareas de aseguramiento requeridas para apoyar la acreditación de sistemas nuevos o modificados durante la
aseguramiento y
Aseguramiento.
del Proyecto y
1.- ¿Se mide el desempeño del proyecto contra los criterios clave del
Desempeño, Reporte y Monitoreo
Definir e implementar métodos
de aseguramiento y revisión de
evaluar su impacto sobre el proyecto y sobre el programa 4.- ¿Se evalúa su impacto sobre el programa global?
global; reportar los resultados a los interesados clave; y 5.- ¿Se reportan los resultados a los interesados clave?
recomendar, Implementar y monitorear las medidas 6.- ¿Se recomienda las medidas correctivas, según sea requerido, de
correctivas, según sea requerido, de acuerdo con el marco de acuerdo con el marco de trabajo de gobierno del proyecto?
trabajo de gobierno del programa y del proyecto. 7.- ¿Se implementa las medidas correctivas?
8.- ¿Se monitorea las medidas correctivas?
1.- ¿Al final de cada proyecto, los interesados se cercioran de que el
Solicitar que al finalizar cada proyecto, los interesados del
aseguramiento y revisión
Proyecto.
102
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
1.- ¿Se identifica los requerimientos funcionales del negocio que cubran
negocio. *Establecer procesos para la integridad/válidez de
Identificar, dar prioridades, especificar y acordar los alcance completo de los programas de inversión en TI?
requerimientos de negocio funcionales y técnicos que cubran el 3.- ¿Se prioriza los requerimientos funcionales del negocio que cubran el
alcance completo de todas las iniciativas requeridas para lograr alcance completo de los programas de inversión en TI?
los resultados esperados de los programas de 4.- ¿Se prioriza los requerimientos técnicos del negocio que cubran el
inversión en TI. alcance completo de los programas de inversión en TI?
5.- ¿Se especifica los requerimientos funcionales del negocio que cubran
el alcance completo de los programas de inversión en TI?
6.- ¿Se especifica los requerimientos técnicos del negocio que cubran el
alcance completo de los programas de inversión en TI?
7.- ¿Se acorda los requerimientos funcionales del negocio que cubran el
alcance completo de los programas de inversión en TI?
AI1 - Identificar soluciones automatizadas.
8.- ¿Se acorda los requerimientos técnicos del negocio que cubran el alcance
completo de los programas de inversión en TI?
1.- ¿Se Identifica los riesgos asociados con los requerimientos del negocio como
y analizar el riesgo del
proceso de negocio.
requerimientos?
Identificar, documentar y analizar los riesgos asociados con los
Análisis de
AI1.2 - Reporte de
2.- ¿Se identifica los riesgos asociados con el diseño de soluciones como parte
Riesgos.
Acción Alternativos.
A posibilidad de Implementar los requerimientos. La 2.- ¿La administración del negocio, apoyada por la función de TI evalúa la
administración del negocio, apoyada por la función de TI, factibilidad?
D debe evaluar la factibilidad y los cursos alternativos de
propuestas.
de Factibilidad y Aprobación.
respecto a la implantación de los
de requerimientos. *Aprobar y
requerimientos de negocio
I
Conducir un estudio de
Verificar que el proceso requiere al patrocinador del negocio 2.- ¿El patrocinador del negocio aprueba los requisitos técnicos de
R para aprobar y autoriza los requisitos de negocio, tanto
propuestos.
negocio?
funcionales como técnicos, y los reportes del estudio de 3.- ¿El patrocinador del negocio autoriza los requisitos funcionales de
factibilidad en las etapas clave predeterminadas. El negocio?
patrocinador del negocio tiene la decisión final con respecto a 4.- ¿El patrocinador del negocio autoriza los requisitos técnicos de
E la elección de la solución y al enfoque de adquisición. negocio?
5.- ¿El patrocinador del negocio aprueba los reportes del estudio de
factibilidad en las etapas clave predeterminadas?
con
I 6.- ¿El patrocinador del negocio autoriza los reportes del estudio de
factibilidad en las etapas clave predeterminadas?
M 1.- ¿Se traduce los requerimientos del negocio a una especificación de diseño
negocio en especificaciones de diseño
Traducir los requerimientos del negocio a una especificación 2.- ¿Las especificaciones de diseño son aprobadas por la Gerencia?
de diseño de alto nivel para la adquisición de software,
L teniendo en cuenta las directivas tecnológicas y la 3.- ¿Se reevalúa los requerimientos cuando sucedan discrepancias
de alto nivel.
R
2. ¿Se prepara los requerimientos técnicos del software de aplicación?
3.- ¿Se define el criterio de aceptación de los requerimientos?
AI2.2 - Diseño Detallado.
software aplicativo.
Implementar controles de negocio, cuando aplique, en 4.- ¿El procesamiento de los controles de negocio son oportunos?
controles de aplicación automatizados tal que el
procesamiento sea exacto, completo, oportuno, autorizado y 5.- ¿El procesamiento de los controles de negocio son autorizados?
auditable.
103
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
identificados y en línea con la clasificación de datos, la 2.- ¿Se aborda los requerimientos de disponibilidad en respuesta a los
arquitectura de la información, la arquitectura de seguridad riesgos identificados?
de la información y la tolerancia a riesgos de la
organización. 3.- ¿Se aborda los requerimentos en línea con la clasificación de datos?
4.- ¿Se aborda la arquitectura de la información?
automatizada adquirida.
la funcionalidad
automatizada adquirida.
en Sistemas Existentes.
D
la funcionalidad
E 4.- ¿Se asegura que todos los aspectos legales se identifican y direccionan
para el software aplicativo desarrollado por terceros.?
N
T
A
R
5.- ¿Se asegura que todos los aspectos contractuales se identifican y
direccionan para el software aplicativo desarrollado por terceros.?
1.- ¿Se desarrolla un plan de aseguramiento de calidad del software?
Aseguramiento de
aseguramiento de
Crear un plan de
software para el
Software.
proyecto.
Requerimientos de Aplicaciones.
requerimientos de la aplicación.
Mantenimi
Aplicativo.
aplicacion
Desarrolla
software.
AI2.10 -
e nto de
Software
nto de
para el
de software?
e s de
104
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
DOMINIO
CONTROL
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
7.- ¿Se evalúa los costos de la viabilidad comercial del proveedor y el producto
al añadir nueva capacidad técnica?
1.- ¿Se Implementa medidas de control interno, seguridad y auditabilidad
durante la configuración de la infraestructura para proteger los recursos y
garantizar su disponibilidad e integridad?
AI3.2 - Protección y Disponibilidad del Recurso de Infraestructura.
Definir el procedimiento/ proceso de adquisición.
A
D Implementar medidas de control interno, seguridad y
2.- ¿Se Implementa medidas de control interno, seguridad y auditabilidad
Q auditabilidad durante la configuración, integración y
mantenimiento del hardware y del software de la
durante la integración de la infraestructura para proteger los recursos y
garantizar su disponibilidad e integridad?
U infraestructura para proteger los recursos y garantizar su
3.- ¿Se Implementa medidas de control interno, seguridad y auditabilidad
disponibilidad e integridad. Se deben definir y comprender
I durante el mantenimiento del hardware y del software de la infraestructura
AI3 - Adquirir y mantener infraestructura tecnológica.
adquisición y desarrollo?
Establecer el ambiente de desarrollo y pruebas para soportar la 4.- ¿Se considera la integración de las aplicaciones en el ambiente de
efectividad y eficiencia de las pruebas de factibilidad e adquisición y desarrollo?
integración de aplicaciones e infraestructura, en las primeras 5.- ¿Se considera el desempeño de las aplicaciones en el ambiente de
fases del proceso de adquisición y desarrollo. Hay que adquisición y desarrollo?
considerar la funcionalidad, la configuración de hardware y 6.- ¿Se considera la migración entre ambientes de las aplicaciones en el
software, pruebas de integración y desempeño, migración ambiente de adquisición y desarrollo?
entre ambientes, control de la versiones, datos y 7.- ¿Se considera el control de la versiones de las aplicaciones en el ambiente
herramientas de prueba y seguridad. de adquisición y desarrollo?
8.- ¿Se considera los datos y herramientas de prueba de las aplicaciones
en el ambiente de adquisición y desarrollo?
9.- ¿Se considera la seguridad de las aplicaciones en el ambiente de
adquisición y desarrollo?
10.- ¿Se considera la configuración de hardware y software de la
infraestructura en el ambiente de adquisición y desarrollo?
105
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
1.- ¿Se desarrolla un plan donde se identifique todos los aspectos técnicos, la
capacidad de operación y los niveles de servicio requeridos en las
Desarrollar estrategia para que la solución sea
aplicación. La transferencia de conocimiento incluye la 4.- ¿Se incluye en la transferencia del conocimiento la administración de
aprobación de acceso, administración de privilegios, privilegios de las aplicaciones e infraestructura?
segregación de tareas, controles automatizados del negocio, 5.- ¿Se incluye en la transferencia del conocimiento la segregación de tareas
respaldo/recuperación, seguridad física y archivo de la de las aplicaciones e infraestructura?
documentación fuente. 6.- ¿Se incluye en la transferencia del conocimiento los controles
automatizados del negocio de las aplicaciones e infraestructura?
7.- ¿Se incluye en la transferencia del conocimiento el
respaldo/recuperación de las aplicaciones e infraestructura?
8.- ¿Se incluye en la transferencia del conocimiento la seguridad física de las
aplicaciones e infraestructura?
9.- ¿Se incluye en la transferencia del conocimiento el archivo de la
documentación fuente de las aplicaciones e infraestructura?
A Transferencia de conocimiento y habilidades para permitir 1.- ¿Se mejora la transferencia de conocimiento para permitir que los usuarios
entrenamiento y ampliar la
que los usuarios finales utilicen con efectividad y eficiencia finales utilicen con efectividad y eficiencia el sistema de aplicación como
documentación como se
D
Desarrollar manuales de
AI4.3 - Transferencia
de Conocimiento a
el sistema de aplicación como apoyo a los procesos del apoyo a los procesos del negocio?
procedimiento del
Usuarios Finales.
resultados del
Q negocio. La transferencia de conocimiento incluye el 2.- ¿Se mejora las habilidades para permitir que los usuarios finales utilicen
requiera.
desarrollo de un plan de entrenamiento que aborde al con efectividad y eficiencia el sistema de aplicación como apoyo a los
los
efectiva y eficiente?
R
AI4.4 - Transferencia de Conocimiento al Personal de
Desarrollar documentación de soporte técnica para
personal de soporte técnico y de operaciones que entregue, 3.- ¿Se incluye en el entrenamiento inicial y continuo, el desarrollo de las
entrenamiento.
apoyen y mantenga la aplicación y la infraestructura habilidades del personal de soporte técnico y de operaciones?
asociada de manera efectiva y eficiente de acuerdo a los 4.- ¿Se incluye en el entrenamiento inicial y continuo, los materiales de
I niveles de servicio requeridos. La transferencia del entrenamiento en el desarrollo de las habilidades del personal de soporte
conocimiento debe incluir al entrenamiento inicial y técnico y de operaciones?
M continuo, el desarrollo de las habilidades, los materiales de 5.- ¿Se incluye en el entrenamiento inicial y continuo, los manuales de
entrenamiento, los manuales de operación, los manuales de operación en el desarrollo de las habilidades del personal de soporte técnico
P procedimientos y escenarios de atención al usuario. y de operaciones?
L 5.- ¿Se incluye en el entrenamiento inicial y continuo, los manuales de
procedimientos en el desarrollo de las habilidades del personal de soporte
E técnico y de operaciones?
7.- ¿Se incluye en el entrenamiento inicial y continuo, los escenarios de atención
M al usuario en el desarrollo de las habilidades del personal de soporte técnico y
de operaciones?
E 1.- ¿Se adquiere instalaciones para el área de TI?
Desarrollar políticas y
adquisiciones a nivel
N Desarrollar y seguir un conjunto de procedimientos y 2.- ¿Se adquiere hardware para el área de TI?
procedimientos de
adquisición de TI de
acuerdo con las
Adquisición.
AI5.1 - Control
estándares consistente con el proceso general de 3.- ¿Se adquiere software para el área de TI?
corporativo.
politicas de
T adquisiciones de la organización y con la estrategia de 4.- ¿Se adquiere servicios necesarios por el negocio para el área de TI?
adquisición para adquirir infraestructura relacionada con TI,
5.- ¿Se desarrolla y se sigue un conjunto de procedimientos y estándares
A
de
106
C O B IT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
Proveedores.
1.- ¿Se selecciona proveedores de acuerdo a una práctica justa y formal?
de propuesta
Selección de
proveedores
a través de
Evaluar y
AI5.3 -
(RFP).
formal para garantizar la mejor viable y encajable según los
2.- ¿Se selecciona proveedores de acuerdo a una práctica formal?
requerimientos especificados. Los requerimientos deben estar
3.- ¿Los requerimientos estan optimizados con las entradas de los
optimizados con las entradas de los proveedores potenciales.
AI5 - Adquirir recursos de TI.
proveedores potenciales?
1.- ¿Se protege los intereses de la organización en todo los contratos de
Desarrollar contratos que protejan los intereses
adquisiciones de software?
de la organización. *Realizar adquisiciones de
AI5.4 - Adquisición de Recursos de TI. 2.- ¿Se protege los intereses de la organización en todo los contratos de
conformidad con los procedimientos
las aplicaciones?
en forma consistente a las solicitdes de
Desarrollar e implementar un proceso
para registrar, evaluar y dar prioridad
Establecer procedimientos de administración de cambio 2.- ¿Se maneja de manera estándar todas las solicitudes para cambios a
formales para manejar de manera estándar todas las los procedimientos?
Cambios.
cambio.
solicitudes (incluyendo mantenimiento y parches) para 3.- ¿Se maneja de manera estándar todas las solicitudes para cambios a
cambios a aplicaciones, procedimientos, procesos, los procesos?
parámetros de sistema y servicio, y las plataformas 4.- ¿Se maneja de manera estándar todas las solicitudes para cambios a
fundamentales. los parámetros de sistema?
5.- ¿Se maneja de manera estándar todas las solicitudes para cambios a
los servicios?
6.- ¿En las plataformas fundamentales se establecen procedimientos de
A administración de cambio formales?
1.- ¿Se garantiza que todas las solicitudes de cambio se evalúan los
D
AI6.2 - Evaluación de
Evaluar impacto y dar
Impacto, Priorización
prioridad a cambios
Garantizar que todas las solicitudes de cambio se evalúan de una impactos en el sistema operacional?
necesidades del
y Autorización.
estructurada manera en cuanto a impactos en el sistema 2.- ¿Se garantiza que todas las solicitudes de cambio se evalúan los
en base a las
Q
negocio.
AI6 - Administrar cambios.
U incluir categorización y priorización de los cambios. Previo a la 3.- ¿La evaluación incluye la categorización de los cambios?
migración hacia producción, los interesados 4.- ¿La evaluación incluye la priorización de los cambios?
I correspondientes autorizan los cambios. 5.- ¿Se autorizan los cambios en la migración hacia la producción de las
aplicaciones por los interesados?
R 1.- ¿Se establece un proceso para definir los cambios de emergencia que
AI6.3 - Cambios de Emergencia.
2.- ¿Se establece un proceso para plantear los cambios de emergencia que
Garantizar que cualquier
M Establecer un sistema de seguimiento y reporte para 1.- ¿Se establece un sistema de seguimiento para mantener actualizados a
y Reporte del
Seguimiento
mantener actualizados a los solicitantes de cambio y a los los solicitantes de cambio y a los interesados relevantes?
Estatus de
cambios.
Autoriza
Cambio.
AI6.4 -
parámetros del sistema y del servicio y las plataformas 2.- ¿Se establece un sistema de reporte para mantener actualizados a los
fundamentales. solicitantes de cambio y a los interesados relevantes?
E 1.- ¿Se actualiza los cambios en los sistemas?
AI6.5 - Cierre y
Documentació
información
diseminar la
M
relevante
cambios.
investigación.
afectados y al grupo de operaciones de la función de TI de acuerdo con el plan definido de entrenamiento e implantación de casa
Construir y
AI7.1 -
proyecto de sistemas?
A acuerdo con el plan definido de entrenamiento e
de
implantación y a los materiales asociados, como parte de 2.- ¿Se entrena al grupo de operaciones de la función de TI de acuerdo con el
R cada proyecto de sistemas de la información de desarrollo, plan definido de entrenamiento e implantación de cada proyecto de
implementación o modificación. sistemas?
1.- ¿Se establece un plan de pruebas basado en los estándares de la
AI7.2 - Plan de Prueba.
(criterio de entrada y
Definir y revisar una
estrategia de prueba
metodología de plan
organización?
Establecer un plan de pruebas basado en los estándares de la 2.- ¿Dentro de los estándares de la organización se definen los roles?
operacional.
sálida) y la
de prueba
AI7 - Instalar y acreditar soluciones y cambios.
organización que define roles, responsabilidades, y criterios de 3.- ¿Dentro de los estándares de la organización se definen las
entrada y salida. Asegurar que el plan esta aprobado por responsabilidades?
las partes relevantes. 4.- ¿Dentro de los estándares de la organización se definen los criterios de
entrada y salida?
5.- ¿Se asegura que el plan está aprobado por las partes relevantes?
1.- ¿Se establece un plan de implantación y respaldo y vuelta atrás?
Construir y mantener un
Implantación.
repositorio de
AI7.3 - Plan
operaciones?
y conducir
de prueba
Establecer
ambiente
Prueba.
integració
Sistemas y
Ejecutar la
Conversió
ambiente
sistema y
pruebas
Datos.
n en
de
aceptació
n finales.
Cambios.
107
C O B IT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
Asegurar que el dueño de proceso de negocio y los 1.- ¿Se asegura que el dueño de proceso de negocio evalúa los resultados
Establecer ambiente de
pruebas de aceptación
interesados de TI evalúan los resultados de los procesos de de los procesos de pruebas como determina el plan de pruebas?
prueba y conducir
AI7.7 - Prueba de
Aceptación Final.
AI7 - Instalar y acreditar soluciones y
I pruebas como determina el plan de pruebas. Remediar los 2.- ¿Se asegura que los interesados de TI evalúan los resultados de los
finales.
errores significativos identificados en el proceso de pruebas, procesos de pruebas como determina el plan de pruebas?
A 3.- ¿Se remedia los errores significativos identificados en el proceso de
M habiendo completado el conjunto de pruebas identificadas en
D el plan de pruebas y cualquier prueba de regresión necesaria. pruebas?
P Siguiendo la evaluación, aprobación promoción a 4.- ¿Se monitorea la evaluación de los procesos de prueba?
Q
L producción. 5.- ¿Se monitorea la aprobación de los procesos de prueba?
U
cambios.
E Seguimiento a pruebas, controlar la entrega de los sistemas 1.- ¿Se controla la entrega de los sistemas cambiados a operaciones,
producción con base
AI7.8 - Promoción a
en los criterios de
V cambiados a operaciones, manteniéndolo en línea con el plan manteniéndolo en línea con el plan de implantación.?
Recomendar la
M
acreditación
Producción.
convenidos.
liberación a
de implantación. Obtener la aprobación de los interesados 2.- ¿Se obtiene la aprobación de los interesados clave, tales como
R usuarios, dueño de sistemas y gerente de operaciones cuando sea
E clave, tales como usuarios, dueño de sistemas y gerente de
I operaciones. Cuando sea apropiado, ejecutar el sistema en apropiado?
N paralelo con el viejo sistema por un tiempo, y comparar el 3.- ¿Se ejecuta el sistema en paralelo con el viejo sistema por un tiempo?
R
T comportamiento y los resultados. 4.- ¿Se compara el comportamiento y los resultados?
A 1.- ¿Se establece procedimientos en línea con los estándares de gestión de
Implantación.
ambiente de
conducir
prueba y
E cambios organizacionales?
Revisión
finales.
AI7.9 -
de negocio y facilita el entendimiento común entre el cliente y requerimientos y las prioridades de negocio?
el(los) prestador(es) de servicio. El marco de trabajo incluye 3.- ¿El marco de trabajo facilita el entendimiento común entre el cliente y
procesos para la creación de requerimientos de servicio, el(los) prestador(es) de servicio?
TI.
definiciones de servicio, acuerdos de niveles de servicio 4.- ¿El marco de trabajo incluye procesos para la creación de
(SLAs), acuerdos de niveles de operación (OLAs) y las fuentes requerimientos de servicio?
de financiamiento. Estos atributos están organizados en un 5.- ¿El marco de trabajo mantiene acuerdos de niveles de servicio (SLAs),
catálogo de servicios. El marco de trabajo define la acuerdos de niveles de operación (OLAs) y las fuentes de financiamiento?
estructura organizacional para la administración del nivel de 6.- ¿El marco de trabajo define la estructura organizacional para la
servicio, incluyendo los roles, tareas y responsabilidades de administración del nivel de servicio incluyendo los roles, tareas y
los proveedores externos e internos y de los clientes. responsabilidades de los proveedores externos e internos y de los
clientes?
1.- ¿Se definen los servicios de TI sobre las características del servicio y
DS1 – Definir y administrar los niveles de servicio
Definición de
Construir un
Servicios.
N Definir y acordar convenios de niveles de servicio para todos 1.- ¿Existen acuerdos de convenios de niveles de servicio para todos los
Definir los convenios de niveles de
servicio (SLAs) para los servicios
los procesos críticos de TI con base en los requerimientos del procesos críticos de TI?
DS1.3 - Acuerdos de Niveles de
Asegurar que los acuerdos de niveles de operación expliquen serán entregados técnicamente los servicios para soportar el (los) SLA(s)
convenios de
Operación.
Definir los
niveles de
Niveles de
soportar el (los) SLA(s) de manera óptima. Los OLAs 2.- ¿Los OLAs especifican los procesos técnicos en términos entendibles
especifican los procesos técnicos en términos entendibles para el proveedor?
para el proveedor y pueden soportar diversos SLAs. 3.- ¿Los OLAs pueden soportar diversos SLAs?
Cumplimento de los
Niveles de Servicio.
servicio de punta a
punta. *Revisar y
O
y de los Contratos.
Niveles de Servicio
plan de mejora de
apoyo. *Crear un
Revisar los SLAs y
los contratos de
los Acuerdos de
los acuerdos de niveles de servicio y los contratos de apoyo, los niveles de servicio y los controles de apoyo?
servicios.
P para asegurar que son efectivos, que están actualizados y que 2.- ¿Se revisan regularmente con los proveedores externos los acuerdos de
se han tomado en cuenta los cambios en requerimientos, los niveles de servicio y los controles de apoyo?
O para asegurar que son efectivos, que están actualizados y que
se han tomado en cuenta los cambios en requerimientos.
R 1.- ¿Se identifican todos los servicios de los proveedores?
Identificar y categorizar las
relaciones de los servicios
DS2.1 - Identificación de
Todas las Relaciones con
Proveedores.
2.- ¿Los dueños de las relaciones enlazan las cuestiones del cliente y
proveedor?
3.-¿aseguran la calidad de las relaciones basadas en la confianza y
transparencia?
108
C O B IT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
Proveedor.
proveedor.
*Monitore
Establecer un proceso para monitorear la prestación del 1.- ¿Se establece un proceso para monitorear la prestación del servicio del
Monitoreo
prestación
Desempeñ
Identificar,
DS2.4 -
o del
proveedor?
del
del
los requerimientos del negocio actuales y que se adhiere 2.- ¿Se aseguran que el proveedor está cumpliendo con los requerimientos
continuamente a los acuerdos del contrato y a SLAs, y que el del negocio?
1.- ¿Se establece un proceso de planeación para la revisión del
Establecer un proceso de planeación para la revisión del
Planeación para la revisión del
desempeño?
desempeño y la capacidad de
Desempeño y la Capacidad.
Establecer un proceso de
Capacidad y
Desempeño
desempeño
capacidad
actiual de
Revisar el
T
DS3.2 -
Actual.
y la
Desempeño Futuros.
DS3.3 - Capacidad y
Recursos de TI.
vida de los recursos de TI. Deben tomarse medidas cuando el considerados de forma apropiada sobre los recursos individuales de TI?
D desempeño y la capacidad no están en el nivel requerido,
TI.
Desarrollar planes de continuidad de TI con base en el marco 1.- ¿La empresa desarrolla planes de continuidad de TI con base en el marco
planes de continuidad de
Desarrollar y mantener
de trabajo, diseñado para reducir el impacto de una de trabajo, diseñado para reducir el impacto de una interrupción mayor de las
Continuidad de TI.
DS4.2 - Planes de
impacto al
negocio y
análisis de
riesgo.
resistencia y establecer prioridades en situaciones de 2.- ¿Los puntos determinados en el plan construyen resistencia estableciendo
recuperación. Evitar la distracción de recuperar los puntos prioridades en situaciones de recuperacion?
menos críticos y asegurarse de que la respuesta y la 3.- ¿Se considera los requerimientos de resistencia, respuesta y
recuperación están alineadas con las necesidades recuperación para diferentes niveles de prioridad?
109
C O B IT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
DOMINIO
CONTROL
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
DS4.4 - Mantenimiento
Exhortar a la gerencia de TI a definir y ejecutar
base a los objetivos de
Continuidad de TI.
el plan de continuidad de TI se mantenga actualizado?
recursos de TI con
recuperación.
Identificar y
del Plan de
plan de continuidad de TI se mantenga actualizado y que
refleje de manera continua los requerimientos actuales del
negocio. Es esencial que los cambios en los procedimientos y
las responsabilidades sean comunicados de forma clara y
oportuna.
Probar el plan de continuidad de TI de forma regular para 1.- ¿Se prueba el plan de continuidad de TI de forma regular para asegurar
plan de continuidad sea vigente.
procedimientos de control de
cambios para asegurar que el
1.- ¿Se asegura de que todos las partes involucradas reciban sesiones de
habilitación de forma regular respecto a los procesos en caso de incidente o
DS4.6 - Entrenamiento del Plan de
Probar regularmente el plan de
desastre?
DS4 – Garantizar la continuidad del servicio
2.- ¿Se asegura de que todos las partes involucradas reciban sesiones de
Asegurarse de que todos las partes involucradas reciban
Continuidad de TI.
continuidad de TI.
Continuidad de TI.
de acción a seguir
resultados de las
E
pruebas.
Reanudaci
capacitaci
planes de
R
ón de los
Servicios
Planear y
ón sobre
DS4.8 -
llevar a
d de TI.
de TI.
está recuperando y reanudando los servicios. Esto puede recuperando y reanudando los servicios?
cabo
ón y
representar la activación de sitios de respaldo, el inicio de 2.- ¿Se aseguran que los responsables del negocio entiendan los tiempos
E procesamiento alternativo, la comunicación a clientes y a los de recuperación de TI?
Almacenar fuera de las instalaciones todos los medios de
G 1.- ¿Se almacena fuera de las instalaciones todos los medios de respaldo para
DS4.9 - Almacenamiento de Respaldos Fuera de
Planear la recuperación y reanudación de los
servicios de TI. *Establecer los procedimientos
La administración del sitio de almacenamiento externo a las 3.- ¿La administración del sitio de almacenamiento externo a las instalaciones,
instalaciones, debe apegarse a la política de clasificación de está apegada a la política de almacenamiento de datos de la empresa?
Y datos y a las prácticas de almacenamiento de datos de la
empresa. La gerencia de TI debe asegurar que los acuerdos 4.- ¿La gerencia de TI se asegura que los acuerdos con sitios externos sean
con sitios externos sean evaluados periódicamente, al menos evaluados periódicamente?
D una vez por año, respecto al contenido, a la protección
ambiental y a la seguridad. Asegurarse de la compatibilidad del
5.- ¿Se aseguran de la compatibilidad del hardware y del software para poder
recuperar los datos archivados y periódicamente probar y renovar los datos
A hardware y del software para poder recuperar los datos archivados?
archivados y periódicamente probar y renovar los datos
R archivados.
Una vez lograda una exitosa reanudación de las funciones de 1.-¿La gerencia de TI ha establecido procedimientos para valorar lo adecuado
miento y la
protección
implement
Reanudaci
respaldos.
Planear e
almacena
DS4.10 -
Revisión
Post
ón.
de
Administrar la seguridad de TI al nivel más alto apropiado en linea sobre los requerimientos del negocio?
y operar un
proces de
(cuentas).
identidad
DS5.1 -
R Trasladar los requerimientos de negocio, riesgos y 1.- ¿Los requerimientos del negocio dentro de un plan de seguridad de TI se
de Seguridad
mantener un
seguridad de
DS5.2 - Plan
de TI.
TI.
temporales) y su actividad en sistemas de TI (aplicación de *El usuario se identifica a través de mecanismos de autenticació n?
negocio, entorno de TI, operación de sistemas, desarrollo y 2.- ¿Se confirma que los permisos de acceso del usuario al sistema están
Monitorear incidentes de seguridad, reales y
mantenimiento) deben ser identificables de manera única. en línea con las necesidades del negocio?
DS5.3 - Administración de Identidad.
Permitir que el usuario se identifique a través de mecanismos 3.- ¿Se asegura que los derechos de acceso del usuario se solicitan por la
de autenticación. Confirmar que los permisos de acceso del gerencia del usuario para ser aprobados por el responsable del sistema?
usuario al sistema y los datos están en línea con las
necesidades del negocio definidas y documentadas y que los
potenciales.
Garantizar que la solicitud, establecimiento, emisión, 1.- ¿Los privilegios relacionados con la creacion de cuentas de usuarios, son
suspensión, modificación y cierre de cuentas de usuario y de los tomados en cuenta por un conjunto de procedimientos de la gerencia de
DS5.4 - Administración de Cuentas del
privilegios y derechos de acceso de los
110
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
DOMINIO
CONTROL
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
de Incidente de
través de la red
Implementar y
información a
técnicos y de
Definir claramente y comunicar las características de que puedan ser clasificados propiamente por el proceso de gestión de
Seguridad.
mantener
controles
flujo de
de Seguridad.
la Tecnología
vulnerabilida
evaluaciones
d de menera
regular.
de
Determinar que las políticas y procedimientos para organizar 1.- ¿Se determinan politicas de procedimientos para garantizar la proteccion
mantener controles
Administración de
para proteger el
través de la red.
procedimientos
Criptográficas.
Implementar y
información a
la generación, cambio, revocación, destrucción, distribución, de las llaves contra modificaciones o divulgaciones no autorizadas?
técnicos y de
DS5.8 -
flujo de
Llaves
y Corrección de Software
(cuentas).
Malicioso.
T 3.- ¿La empresa cuenta con medidas correctivas en toda la organización para
proteger los sistemas de la información de TI?
R Uso de técnicas de seguridad y procedimientos de 1.- ¿La empresa usa técnicas de seguridad y procedimientos de administración
Seguridad de
vulnerabilida
evaluaciones
d de menera
DS5.10 -
administración asociados (por ejemplo, firewalls, asociados para autorizar acceso y controlar los flujos de información hacia las
Realizar
regular.
la Red.
E
de
A
privilegios y derechos
Datos Sensitivos.
de acceso de los
Revisar y validar
través de una ruta o medio con controles para proporcionar ruta o medio con controles para prueba de envío?
autenticidad de contenido, prueba de envío, prueba de 3.- ¿Las transacciones de datos sensibles se intercambian a través de una
recepción y no repudio del origen. ruta o medio con controles prueba de recepción?
Y 4.- ¿Las transacciones de datos sensibles se intercambian a través de una
ruta o medio con controles para no repudio del origen?
Identificar todos los costos de TI y equipararlos a los servicios 1.- ¿Se identifican todos los costos de TI para soportar un modelo de costos
mapearlos a los brindados/proce
tecnología, etc) y con los servicios
infraestructura
sos de negocio
Definición de
soportados.
Servicios.
DS6.1 -
R Registrar y asignar los costos actuales de acuerdo con el modelo 1.- ¿Se registra los costos actuales de acuerdo con el modelo de costos
Identificar todos
Contabilización
servicios de TI
costos unitarios.
con bases en
los costos de TI
DS6.2 -
O
1.- ¿Se define un modelo de costos de TI?
P
DS6.3 - Modelación de Costos y Cargos.
Mantenimiento
del Modelo de
facturación.
Establecer y
políticas de
Costos.
de TI?
de costos/recargos para mantener su relevancia para el
2.- ¿Se compara de forma regular lo apropiado del modelo de costos/recargos
negocio en evolución y para las actividades de TI.
para mantener su relevancia para el negocio en evolución para las actividades
de TI?
1.- ¿Se establece de forma regular un programa de entrenamiento para
DS7.1 - Identificación de Necesidades de
Entrenamiento y Educación.
DS7 – Educar y entrenar a usuarios
Con base en las necesidades de entrenamiento identificadas, 1.- ¿Se designa instructores de entrenamiento a los grupos objetivo?
DS7.2 - Impartición de
Entrenamiento y
identificar: a los grupos objetivo y a sus miembros, a los 2.- ¿Se organiza el entrenamiento de los grupos objetivo con tiempo
programa de
Construir un
capacitación.
Educación.
111
C O B IT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
Entrenamiento Recibido.
capacitación, intrusión y
respecto a la calidad?
percepción y retención del conocimiento, costo y valor. Los
3.- ¿Se evalúa el contenido del entrenamiento al finalizar la capacitación
resultados de esta evaluación deben contribuir en la
respecto a la efectividad?
definición futura de los planes de estudio y de las sesiones de
4.- ¿Se evalúa el contenido del entrenamiento al finalizar la capacitación
entrenamiento.
respecto a la percepción y retención del conocimiento?
5.- ¿Se evalúa el contenido del entrenamiento al finalizar la capacitación
respecto al costo y valor?
1.- ¿Existen procedimientos de monitoreo basados en los niveles de
Crear procedimientos de clasificación (severidad e
problema?
Establecer la función de mesa de servicio, la cual es la
3.- ¿Los procedimientos de monitoreo permiten priorizar cualquier
DS8.1 - Mesa de Servicios.
de servicios de TI?
8.- ¿Se mide la satisfacción del usuario final respecto a la calidad de los
servicios de TI?
1.- ¿Se cuenta con un sistema que permita el registro y rastreo de llamadas,
Detectar y registrar incidentes/solicitudes de
rastreo de llamadas, incidentes, solicitudes de servicio y 2.- ¿El sistema trabaja estrechamente con los procesos de administración
necesidades de información. Debe trabajar estrechamente de incidentes?
E con los procesos de administración de incidentes, 3.- ¿El sistema trabaja estrechamente con los procesos de administración
acordados en el SLA (niveles de servicio) y, si es adecuado, brindar 3.- Se garantiza que la asignación de incidentes permanece en la mesa de
soluciones alternas. Garantizar que la asignación de incidentes y servicios?
el monitoreo del ciclo de vida permanecen en la mesa de
Y servicios, independientemente de qué grupo de TI esté
trabajando en las actividades de resolución.
Incidentes.
Resolver,
s de estatus)
Tendencias.
Informar a
Análisis de
DS8.5 -
S tiempos de respuesta, así como para identificar tendencias de 2.- ¿Los reportes emitidos por la mesa de servicios permite a la gerencia
problemas recurrentes de forma que el servicio pueda medir el desempeño del servicio y los tiempos de respuesta?
O mejorarse de forma continua.
Establecer una herramienta de soporte y un repositorio
P 1.- ¿Existe una herramienta de soporte que contenga toda la información
procedimientos de
Repositorio y Línea
administración de
la configuración.
Configuración.
planeación de
Base de
DS9.2 - Identificación y
Recopilar información
sobre la configuración
configuración?
Elementos de
gestión y rastro de todos los cambios al repositorio de 3.- ¿Está integrado el procedimiento de configuración con la gestión de
base.
DS9.3 - Revisión de
Verificar y auditar
Integridad de la
detección del
autorizado).
software no
(incluye la
e histórica. Revisar periódicamente el software instalado 2.- ¿Se revisan periódicamente los datos de configuración para confirmar
contra la política de uso de software para identificar la integridad de la configuración actual e histórica?
software personal o no licenciado o cualquier otra instancia de 3.- ¿Se revisa periódicamente el software instalado contra la política de uso
software en exceso del contrato de licenciamiento actual. de software personal o no licenciado o cualquier otra instancia de software
Reportar, actuar y corregir errores y desviaciones. en exceso del contrato de licenciamiento actual?
Implementar procesos para reportar y clasificar problemas que 1.- ¿Existen procesos para reportar problemas que han sido identificados
han sido identificados como parte de la administración de como parte de la administración de incidentes?
DS10 – Administrar los problemas
Clasificación de Problemas.
DS10.1 - Identificación y
incidentes. Los pasos involucrados en la clasificación de 2.- ¿Existen procesos para clasificar problemas que han sido
Identificar y clasificar
problemas son similares a los pasos para clasificar identificados como parte de la administración de incidentes?
problemas.
2.- ¿El sistema mantiene pistas de auditoría que pemita rastrear la causa raíz
Resolución de
Problemas.
112
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
DS10.3 - Cierre
registros de los
de Problemas.
Disponer de un procedimiento para cerrar registros de
estatus de
*Revisar el
*Mantener
problemas.
problemas.
problemas
DS10 – Administrar los
Resolver
Para garantizar una adecuada administración de problemas 1.- ¿Se garantiza una adecuada administración de problemas?
DS10.4 - Integración
Administraciones de
para mejorar y crear
cambio relacionada.
recomendaciones
Problemas.
Cambios,
administración de cambios, configuración y problemas. 3.- ¿Se monitorea cuánto esfuerzo se aplica en apagar fuegos?
Emitir
de las
Administración de
almacenamiento y
Requerimientos
2.- ¿Se verifica que todos los datos que se espera procesar se procesan
Datos.
tiempo, y que todos los resultados se entregan de acuerdo a completamente, de forma precisa y a tiempo?
los requerimientos de negocio. Las necesidades de reinicio y 3.- ¿Las necesidades de reinicio están soportadas?
reproceso están soportadas.
4.- ¿Las necesidades de reproceso están soportadas?
1.- ¿Existen procedimientos para el archivo de los datos?
DS11.2 - Acuerdos de
administrar librerías de
procedimientos para
Definir, mantener e
Almacenamiento y
segura, medios
Administración
de Librerías de
para desechar
implementar
mantener e
Sistema de
almacenados?
y equipo.
de forma
Medios.
inventario de medios almacenados y archivados para 2.- ¿Existen procedimientos para mantener un inventario de medios
asegurar su usabilidad e integridad. archivados?
E 3.- ¿Se aseguran de la usabilidad e integridad de los medios?
N Definir e implementar procedimientos para asegurar que los 1.- ¿Existen procedimientos para la protección de datos sensitivos que
de acuerdo
esquema.
Eliminació
Respaldar
los datos
DS11.4 -
requerimientos de negocio para la protección de datos aseguren los requerimientos del negocio?
n.
al
T sensitivos y el software se consiguen cuando se eliminan o 2.- ¿Existen procedimientos para la protección del software que aseguren
transfieren los datos y/o el hardware. los requerimientos del negocio?
R 1. ¿Existen procedimientos de respaldo de los sistemas en línea alineado
restauración de datos.
procedimientos para
Definir, mantener e
DS11.5 - Respaldo y
Definir e implementar procedimientos de respaldo y 2. ¿Existen procedimientos de respaldo de las aplicaciones en línea
implementar
restauración de los sistemas, aplicaciones, datos y alineado con los requerimientos de negocio y el plan de continuidad?
G documentación en línea con los requerimientos de negocio y 3. ¿Existen procedimientos de respaldo de los datos en línea alineado con
el plan de continuidad. los requerimientos de negocio y el plan de continuidad?
A 4. ¿Existen procedimientos de respaldo de la documentación en línea
R alineado con los requerimientos de negocio y el plan de continuidad?
Definir e implementar las políticas y procedimientos para 1.- ¿Existen procedimientos para identificar los requerimientos de
procedimiento
Requerimiento
s de Seguridad
Administració
implementar
restauración
n de Datos.
DS11.6 -
Definir,
para la
s para
Centro de Datos.
a la estrategia del negocio. Esta selección y diseño del 3.- ¿Se soporta la estrategia de tecnología ligada a la estrategia del
R esquema de un centro de datos debe tomar en cuenta el riesgo negocio?
asociado con desastres naturales y causados por el hombre. 4.- ¿La selección de un centro de datos toma en cuenta el riesgo asociado
También debe considerar las leyes y regulaciones con desastres naturales y causados por el hombre?
correspondientes, tales como regulaciones de seguridad y de
S salud en el trabajo.
5.- ¿El diseño del esquema de un centro de datos toma en cuenta el riesgo
asociado con desastres naturales y causados por el hombre?
O 6.- ¿Se considera las leyes y regulaciones correspondientes, tales como
regulaciones de seguridad y de salud en el trabajo?
P 1.- ¿Existen medidas de seguridad físicas alineadas con los
DS12 – Administrar el ambiente físico
DS12.2 - Medidas de
R seguridad, de las zonas de seguridad, la ubicación de equipo 3.- ¿Se establecen las responsabilidades sobre los procedimientos de
crítico y de las áreas de envío y recepción. En particular, reporte?
T mantenga un perfil bajo respecto a la presencia de 4.- ¿Se establecen las responsabilidades sobre la resolución de incidentes
operaciones críticas de TI. Deben establecerse las de seguridad física?
E responsabilidades sobre el monitoreo y los procedimientos
de reporte y de resolución de incidentes de seguridad física.
1.- ¿Existen procedimientos para otorgar el acceso a locales, edificios y
Implementar medidas de
emergencias?
debe justificarse, autorizarse, registrarse y monitorearse. 2.- ¿Existen procedimientos para limitar el acceso a locales, edificios y
Esto aplica para todas las personas que accedan a las áreas de acuerdo con las necesidades del negocio, incluyendo las
instalaciones, incluyendo personal, clientes, proveedores, emergencias?
visitantes o cualquier tercera persona. 3.- ¿Existen procedimientos para revocar el acceso a locales, edificios y
áreas de acuerdo con las necesidades del negocio, incluyendo las
emergencias?
1.- ¿Existen medidas de protección contra factores ambientales?
o, monitoreo y
(mantenimient
Administrar el
Ambientales.
Protección
incluidos).
ambiente
DS12.4 -
Diseñar e implementar medidas de protección contra factores 2.- ¿ Existen dispositivos especializados para monitorear y controlar el
reportes
Factores
Contra
físico
Administrar las instalaciones, incluyendo el equipo de leyes y los reglamentos, los requerimientos técnicos y del negocio, las
autorización de
procesos para
acceso físico.
Instalaciones
implementar
DS12.5 -
comunicaciones y de suministro de energía, de acuerdo con especificaciones del proveedor y los lineamientos de seguridad y salud?
Definir e
Físicas.
las leyes y los reglamentos, los requerimientos técnicos y del 2.- ¿El equipo de suministro de energía, esta administrado de acuerdo con
negocio, las especificaciones del proveedor y los las leyes y los reglamentos, los requerimientos técnicos y del negocio, las
lineamientos de seguridad y salud. especificaciones del proveedor y los lineamientos de seguridad y salud?
Definir, implementar y mantener procedimientos estándar 1.- ¿Existen procedimientos estándar para operaciones de TI?
DS13 – Administrar las
DS13.1 - Procedimientos e
cambios, procedimientos
operación (incluyendo
para operaciones de TI y garantizar que el personal de 2.- ¿El personal de operaciones está familiarizado con todas las tareas de
manuales, planes de
de escalamiento, etc).
procedimientos de
Instrucciones de
Crear/modificar
operaciones está familiarizado con todas las tareas de operación relativas a ellos?
operaciones
Operación.
113
C O B IT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
DS13.2 - Programación de
eficiente, maximizando el desempeño y la utilizacion para cumplir con los
E Organizar la programación de trabajos, procesos y tareas en la
requerimientos del negocio?
secuencia más eficiente, maximizando el desempeño y la
N utilización para cumplir con los requerimientos del negocio. 2.- ¿La programacion de procesos esta organizado de una manera mas
Tareas.
lote.
Deben autorizarse los programas iniciales así como los eficiente, maximizando el desempeño y la utilizacion para cumplir con los
T cambios a estos programas. Los procedimientos deben requerimientos del negocio?
R implementarse para identificar, investigar y aprobar las 3.- ¿La programacion de tareas esta organizado de una manera mas eficiente,
salidas de los programas estándar agendados. maximizando el desempeño y la utilizacion para cumplir con los
E requerimientos del negocio?
G Definir e implementar procedimientos para monitorear la 1.- ¿Existen procedimientos para monitorear la infraestructura de TI?
DS13.3 - Monitoreo
de la Infraestructura
procesar y resolver
infraestructura y
A
DS13 – Administrar las operaciones
problemas.
que en los registros de operación se almacena suficiente 2.- ¿Existen procedimientos para monitorear los eventos relacionados?
de TI.
D
medios, etc).
de Salida.
administración de inventarios adecuados sobre los activos 2.- ¿Existen prácticas de registros sobre los activos de TI más sensitivos tales
de TI más sensitivos tales como formas, instrumentos
A negociables, impresoras de uso especial o dispositivos de
como formas, instrumentos negociables, impresoras de uso especial o
dispositivos de seguridad?
R seguridad. 3.- ¿Existe una administración de inventarios adecuados sobre los activos de
TI más sensitivos tales como formas, instrumentos negociables, impresoras
de uso especial o dispositivos de seguridad?
S 1.- ¿Existen procedimientos para garantizar el mantenimiento oportuno de
*Implementar/establecer un proceso
la infraestructura?
para salvaguardar los dispositivos
O
interferencia, perdida o robo.
programa de infraestructura.
Aplicar cambios o arreglos al
P
del Hardware.
Definir e implementar procedimientos para garantizar el 2.- ¿Existen procedimientos para reducir la frecuencia y el impacto de las
O mantenimiento oportuno de la infraestructura para reducir la fallas de la infraestructura?
frecuencia y el impacto de las fallas o de la disminución del
R desempeño.
T 3.- ¿Existen procedimientos para reducir la disminución del desempeño de la
infraestructura?
E
1.- ¿Se establece un marco de trabajo de monitoreo general que definan el
Establecer el enfoque de
Establecer un marco de trabajo de monitoreo general y un alcance, la metodología y el proceso a seguir para medir la solución y la
enfoque que definan el alcance, la metodología y el proceso a entrega de servicios de TI?
monitoreo.
Monitoreo.
seguir para medir la solución y la entrega de servicios de TI, y 2.- ¿Se establece un enfoque que definan el alcance, la metodología y el
Monitorear la contribución de TI al negocio. Integrar el marco proceso a seguir para medir la solución y la entrega de servicios de TI?
de trabajo con el sistema de administración del desempeño 3.- ¿Se monitorea la contribución de TI al negocio?
corporativo. 4.- ¿Se integra el marco de trabajo de TI con el sistema de administración
del desempeño corporativo?
1.- ¿Se definen un conjunto balanceado de objetivos de desempeño que
ME1.2 - Definición y Recolección de
2.- ¿Se aprueban los objetivos de desempeño de cada uno de los procesos
Trabajar con el negocio para definir un conjunto balanceado
Datos de Monitoreo.
objetivos el negocio.
Evaluación
Evaluar el
R
del
3.- ¿Los reportes de estatus incluyen el grado en el que se han alcanzado los
desempeño del portafolio empresarial de programas de
entregables obtenidos?
inversión habilitados por TI, niveles de servicio de programas
Ejecutivos.
4.- ¿Los reportes de estatus incluyen el grado en el que se han alcanzado las
Y individuales y la contribución de TI a ese desempeño. Los
metas de desempeño alcanzadas?
reportes de estatus deben incluir el grado en el que se han
5.- ¿Los reportes de estatus incluyen el grado en el que se han alcanzado los
alcanzado los objetivos planeados, los entregables
riesgos mitigados?
obtenidos, las metas de desempeño alcanzadas y los riesgos
E mitigados. Durante la revisión, se debe identificar cualquier
6.- ¿Durante la revisión de los reportes, se identifican cualquier
desviación respecto al desempeño esperado?
V desviación respecto al desempeño esperado y se deben
iniciar y reportar las medidas de administración adecuadas.
7.- ¿Se inicia las medidas de administración adecuadas?
8.- ¿Se reporta las medidas de administración adecuadas?
A
L 1.- ¿Se identifican e inician medidas correctivas basadas en el monitoreo
del desempeño?
U 2.- ¿Se identifican e inician medidas correctivas basadas en la evaluación?
Identificar y monitorear las medidas de mejora del desempeño.
b) La negociación.
Identificar e iniciar medidas correctivas basadas en el c) Establecimiento de respuestas de administración
monitoreo del desempeño, evaluación y reportes. Esto incluye d) Asiganción de responsabilidades por la corrección.
el seguimiento de todo el monitoreo, de los reportes y de las e) Rastreo de los resultados de las acciones comprometidas?
evaluaciones con: • Revisión, negociación y establecimiento 5.- ¿En el seguimiento de los reportes se incluye:
de respuestas de administración. • Asignación de a) Una revisión.
responsabilidades por la corrección. • Rastreo de los b) La negociación.
resultados de las acciones comprometidas. c) Establecimiento de respuestas de administración.
d) Asignación de responsabilidades por la corrección.
e) Rastreo de los resultados de las acciones comprometidas?
6.- ¿En el seguimiento de las evaluaciones se incluye:
a) Una revisión.
b) La negociación.
c) Establecimiento de respuestas de administración.
d) Asignación de responsabilidades por la corrección.
e) Rastreo de los resultados de las acciones comprometidas?
114
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
control interno de TI 1.- ¿Se monitorea de forma continua el ambiente de control de TI y el marco
Marco de Trabajo
Monitorización del
de Control Interno.
de trabajo de control de TI para satisfacer los objetivos organizacionales?
actividades de
Monitorear y
controlar las
ME2.1 -
ambiente de control de TI y el marco de trabajo de control de 2.- ¿Se compara el ambiente de control de TI y el marco de trabajo de
TI para satisfacer los objetivos organizacionales. control de TI para satisfacer los objetivos organizacionales?
3.- ¿Se mejora el ambiente de control de TI y el marco de trabajo de control
de TI para satisfacer los objetivos organizacionales?
1.- ¿Se monitorea la eficiencia y efectividad de los controles internos de
Revisiones de
Crear cuadro
de mandos.
ME2.3 - Excepciones de
Monitorear el proceso
para identificar y
Identificar las excepciones de control, y analizar e identificar 2.- ¿Se analizan e identifican sus causas raíz subyacentes de las
evaluar las
Control.
ME2 Monitorear y Evaluar el Control Interno
Evaluación.
Evaluar la completitud y efectividad de los controles de 2.- ¿Se evalúa la completitud y efectividad de los controles de gerencia sobre
gerencia sobre los procesos, políticas y contratos de TI por las políticas de TI por medio de un programa continuo de auto- evaluación?
medio de un programa continuo de auto-evaluación.
3.- ¿Se evalúa la completitud y efectividad de los controles de gerencia sobre
los contratos de TI por medio de un programa continuo de auto- evaluación?
remediar las
excepciones
identificar y
de control.
miento del
Asegura-
evaluar y
Interno.
aseguramiento sobre
servicios externos?
M Evaluar el estado de los controles internos de los
para Terceros.
por terceros.
para obtener
2.- ¿Se confirma que los proveedores de servicios externos cumplen con
proveedores de servicios externos. Confirmar que los
O proveedores de servicios externos cumplen con los
los requerimientos legales?
3.- ¿Se confirma que los proveedores de servicios externos cumplen con
requerimientos legales y regulatorios y obligaciones
N contractuales.
los requerimientos regulatorios?
4.- ¿Se confirma que los proveedores de servicios externos cumplen con
I las obligaciones contractuales?
1.- ¿Se identifican acciones correctivas derivadas de los controles de
T evaluación y los informes?
ME2.7 - Acciones
interesados clave.
Reportar a los
Correctivas.
políticas y regulatorios.
Leyes, Regulaciones y
R
los requerimientos
Identificar, sobre una base continua, leyes locales e procedimientos y metodologías de TI de la organización?
Cumplimientos
Contractuales.
internacionales, regulaciones, y otros requerimientos 2.- ¿Se identifican, sobre una base continua, regulaciones que se deben de
externos que se deben de cumplir para incorporar en las cumplir para incorporar en las políticas, estándares, procedimientos y
políticas, estándares, procedimientos y metodologías de TI de metodologías de TI de la organización?
Y la organización. 3.- ¿Se identifican, sobre una base continua, otros requerimientos externos que
se deben de cumplir para incorporar en las políticas, estándares,
procedimientos y metodologías de TI de la organización?
E 1.- ¿Se revisan las políticas, estándares, procedimientos y metodologías de TI?
Requerimientos Externos.
Evaluar cumplimiento de
ME3 Garantizar el Cumplimiento Regulatorio
procedimientos de TI.
políticas, estándares y
actividades de TI con
ME3.2 - Optimizar la
TI?
A metodologías de TI para garantizar que los requisitos legales,
regulatorios y contractuales son direccionados y
3.- ¿Se garantizan que los requisitos legales son direccionados y comunicados?
L comunicados. 4.- ¿Se garantizan que los requisitos regulatorios son direccionados y
comunicados?
U 5.- ¿Se garantizan que los requisitos contractuales son direccionados y
comunicados?
A 1.- ¿Se verifica el cumplimiento de políticas de TI con los requerimientos
ME3.3 - Evaluación del
legales y regulatorios?
Cumplimiento con
Crear cuadro de
R
Requerimientos
de cumplimiento.
estándares y
2.- ¿Se reporta una garantía de cumplimiento y adhesión a todas las políticas
Positivo del
ME3.5 - Reportes
regulatorios con
provenientes e
otras funciones
Integrados.
Integrar los
2.- ¿Se integra los reportes de TI sobre requerimientos regulatorios con las
regulatorios y contractuales con las salidas similares
salidas similares provenientes de otras funciones del negocio?
provenientes de otras funciones del negocio.
3.- ¿Se integra los reportes de TI sobre requerimientos contractuales con
las salidas similares provenientes de otras funciones del negocio?
1.- ¿Se define el marco de gobierno de TI con la visión completa del
ME4 Proporcionar Gobierno de
Definir, establecer y alinear el marco de gobierno de TI con la entorno de control y Gobierno Corporativo?
visión completa del entorno de control y Gobierno 3.- ¿Se alinea el marco de gobierno de TI con la visión completa del
Corporativo. Basar el marco de trabajo en un adecuado entorno de control y Gobierno Corporativo?
actividades de TI.
Gobierno de TI.
proceso de TI y modelo de control y proporcionar la rendición 4.- ¿Se basa el marco de trabajo en un adecuado proceso de TI?
de cuentas y prácticas inequívocas para evitar una rotura en
TI
115
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
Facilitar el entendimiento del consejo directivo y de los 1.- ¿Se da a conocer al consejo directivo sobre temas estratégicos de TI?
ejecutivos sobre temas estratégicos de TI tales como el rol de
Revisar, avalar, alinear y comunicar el desempeño
de TI, la estrategia de TI, el manejo de recursos y
Administrar los programas de inversión habilitados con TI, 1.- ¿Se administra los programas de inversión habilitados con TI, así como
así como otros activos y servicios de TI, para asegurar que otros activos y servicios de TI?
T
Crear cuadr o
ofrezcan el mayor valor posible para apoyar la estrategia y 2.- ¿Se implementa un enfoque disciplinado de la administración del
mandos.
el alcance completo del esfuerzo requerido para lograr esos prestación de servicios?
R resultados esté bien entendido, que se generen casos de 4.- ¿El departamento garantiza las capacidades de TI?
E 1.- ¿Se revisa la inversión de TI por medio de evaluaciones periódicas?
parte de la gerencia de
las rec omendaciones
Resolver los hallazgos
Administración de
implantación por
de la evaluaciones
A
garantizar la
acor dadas.
Recursos.
medio de evaluaciones periódicas de las iniciativas y 2.- ¿Se revisa el uso de los activos de TI por medio de evaluaciones
ME4.4 -
excede el riesgo aceptable de dirección. Introducir las 3.- ¿Se introduce las responsabilidades de administración de riesgos en la
V responsabilidades de administración de riesgos en la organización?
organización, asegurando que el negocio y TI regularmente 4.- ¿Se evalúan los riesgos relacionados con TI y su impacto?
A evalúan y reportan riesgos relacionados con TI y su impacto y
que la posición de los riesgos de TI de la empresa es
L transparente a los interesados.
5.- ¿Se reportan los riesgos relacionados con TI y su impacto?
empresa?
TI, la estrategia de TI, el
Revisar, avalar, alinear y
TI cumple las expectativas. Donde los objetivos confirmados 2.- ¿Se informa a la alta dirección sobre los portafolios relevantes de TI?
Desempeño.
identificadas.
conformidad de TI con la legislación y regulación relevante; 2.- ¿Se garantiza de forma independiente la conformidad de TI con las
ME4.7 -
116