TABLA 5: MATRIZ GENERAL COBIT 4.

COBIT
ACTIVIDADES DEL

OBJETIVOS DE

CALIFICACIÓN
PROCESOS
DOMINIO

CONTROL
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS

1.- ¿El portafolio de inversiones de TI contiene programas con casos de No se dispone de un programa establecido, pero se
Nivel 0
negocio sólidos? piensa implementar próximamente.

2.- ¿Los procesos de TI proporcionan una entrega efectiva de los Son poco efectivos al momento, se planea Nivel
componentes TI de los programas? mejorarlos después de este análisis. 1

Trabajar con el negocio para garantizar que el portafolio de

inversiones de TI de la empresa contenga programas con
casos de negocio sólidos. Reconocer que existen inversiones
Relacionar las metas del negocio con las de TI.

obligatorias, de sustento y discrecionales que difieren en

PO1.1 - Administración del Valor de TI.

complejidad y grado de libertad en cuanto a la asignación de

fondos. Los procesos de TI deben proporcionar una entrega
efectiva y eficiente de los componentes TI de los programas y
advertencias oportunas sobre las desviaciones del plan, 3.- ¿Los procesos de TI proporcionan una entrega eficiente de los Son poco efectivos al momento, se planea
incluyendo costo, cronograma o funcionalidad, que pudieran mejorarlos después de este análisis. Nivel
componentes TI de los programas?
impactar los resultados esperados de los programas. Los 1
servicios de TI se deben ejecutar contra acuerdos de niveles de
servicios equitativos y exigibles. La rendición de cuentas del 4.- ¿Los procesos de TI advierten oportunamente sobre las desviaciones No se tiene implementado un programa para Nivel
logro de los beneficios y del control de los costos es del plan, incluyendo costo, cronograma o funcionalidad, que pudieran este tipo de indicadores. 0
claramente asignada y monitoreada. Establecer una impactar los resultados esperados de los programas?
evaluación de los casos de negocio que sea justa,
transparente, repetible y comparable, incluyendo el valor 5.- ¿Los servicios de TI se ejecutan contra acuerdos de niveles de servicios No se ejecutan contra acuerdos de niveles de Nivel
financiero, el riesgo de no cumplir con una capacidad y el equitativos? servicios. 0
riesgo de no materializar los beneficios esperados.

6.- ¿Los servicios de TI se ejecutan contra acuerdos de niveles de servicios Aun no se implementan completamente pero Nivel
P exigibles? esta planificado. 1
7.- ¿La rendición de cuentas del logro de los beneficios y del control de los Faltan algunos indicadores, pero se esta Nivel
L costos está claramente asignada? ejecutando. 1

A
N 8.- ¿La rendición de cuentas del logro de los beneficios y del control de los Se maneja un control en este caso, pero puede Nivel
costos está claramente monitoreada? mejorar significativamente. 2
E Nivel
9.- ¿Se evalúa el riesgo de no cumplir con una capacidad para obtener los Se lo realiza al empezar un nuevo proyecto.
A beneficios esperados? 2
PO1 - Definir un Plan Estratégico de TI.

R
10.- ¿Se evalúa el riesgo de no materializar los beneficios esperados? Se lleva un control trimestral y se realiza un Nivel
balance. 2

Y 1. ¿Los ejecutivos reciben capacitación tecnológica actual? Es poco frecuente al momento. Nivel
0

O
R
G
Relacionar las metas del negocio con las de TI.

Educar a los ejecutivos sobre las capacidades tecnológicas

A
PO1.2 - Alineación de TI con el Negocio.

actuales y sobre el rumbo futuro, sobre las oportunidades Nivel

2.- ¿Los ejecutivos saben lo que debe hacer el negocio para capitalizar las Tienen algunos lineamientos, pero poco interés.
N que ofrece TI, y sobre qué debe hacer el negocio para
capitalizar esas oportunidades. Asegurarse de que el rumbo del
oportunidades que ofrece TI? 0

3.- ¿Está bien entendido el rumbo del negocio al cual está alineado TI? No se tiene un camino planificado todavía.
I negocio al cual está alineado TI está bien entendido. Las Nivel
estrategias de negocio y de TI deben estar integradas, 0
Z relacionando de manera clara las metas de la empresa y las
metas de TI y reconociendo las oportunidades así como las
A limitaciones en la capacidad actual, y se deben comunicar de
manera amplia. Identificar las áreas en que el negocio 4.- ¿Las estrategias de negocio y de TI están integradas? Se esta trabajando en este objetivo. Nivel
R (estrategia) depende de forma crítica de TI, y mediar entre los 0
imperativos del negocio y la tecnología, de tal modo que se
puedan establecer prioridades concertadas.
5.- ¿Cuáles son las áreas en que el negocio (estrategia) depende de forma El área de Software, al implementar la Facturación Nivel
crítica de TI? online, y comunicación con clientes. 3

6.- ¿Entre los imperativos del negocio y la tecnología, están establecidas Se está trabajando actualmente en este objetivo. Nivel
prioridades concertadas? 1

1.- ¿En el desempeño de los planes existentes se evalúa la funcionalidad? Si se evalúa. Nivel
3
Capacidad Actual.
PO1.3 - Evaluación del Desempeño y la

Evaluar el desempeño de los planes existentes y de los

2.- ¿En el desempeño de los planes existentes se evalúa la estabilidad? Si se evalúa. Nivel
sistemas de información en términos de su contribución a los
actual.
Identificar dependencias críticas y

objetivos de negocio, su funcionalidad, su estabilidad, su 3

complejidad, sus costos, sus fortalezas y debilidades. 3.- ¿En el desempeño de los planes existentes se evalúa la complejidad? Si se evalúa. Nivel
3

4.- ¿En el desempeño de los planes existentes se evalúa los costos? Si se evalúa. Nivel
3
desempeño

5.- ¿En el desempeño de los planes existentes se evalúa la fortaleza? Si se evalúa. Nivel
3

6.- ¿En el desempeño de los planes existentes se evalúa la debilidad? Si se evalúa. Nivel
3
Construir un plan estratégico para

PO1.4 - Plan Estratégico de TI.

1.- ¿Existe un plan estratégico? Se cuenta con un plan estratégico, pero debe ser Nivel
actualizado. 3
Crear un plan estratégico que defina, en cooperación con los
interesados relevantes, cómo TI contribuirá a los objetivos
2.- ¿Este plan define cómo TI contribuirá a los objetivos estratégicos de la Al ser actualizado contara con estos objetivos. Nivel
estratégicos de la empresa (metas) así como los costos y 3
empresa?
riesgos relacionados. Incluye cómo TI dará soporte a los
programas de inversión facilitados por TI y a la entrega de 3.- ¿En este plan están definidos los costos relacionados? Si se encuentran contemplados los costos Nivel
los servicios operativos. Define cómo se cumplirán y medirán relacionados. 3
los objetivos y recibirán una autorización formal de los
4.- ¿En este plan están definidos los riesgos relacionados? Se encuentran contemplados los riesgos Nivel
interesados. El plan estratégico de TI debe incluir el
relacionados. 3
presupuesto de la inversión / operativo, las fuentes de
TI.

financiamiento, la estrategia de obtención, la estrategia de 5.- ¿En el plan incluye cómo TI dará soporte a los programas de inversión? Este objetivo será revisado al actualizar el plan Nivel
estratégico. 2
adquisición, y los requerimientos legales y regulatorios. El plan 6.- ¿En el plan incluye cómo TI dará soporte a la entrega de los servicios Este objetivo será revisado al actualizar el plan Nivel
estratégico debe ser lo suficientemente detallado para operativos? estratégico. 1
permitir la definición de planes tácticos de TI.
7.- ¿El plan define cómo se cumplirán los objetivos? Si define los objetivos anteriores, pero debe ser Nivel
actualizado. 3

8.- ¿El plan define cómo se medirán los objetivos? Si define los objetivos anteriores, pero debe ser Nivel
actualizado. 3
9.- ¿El plan es lo suficientemente detallado para permitir la definición de Necesita una actualización para tal finalidad. Nivel
planes tácticos de TI? 2
 COBIT

ACTIVIDADES DEL

OBJETIVOS DE

CALIFICACIÓN
PROCESOS

CONTROL
DOMINIO

PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS

1.- ¿Existe un portafolio de planes tácticos de TI derivados del plan No existe el portafolio de planes tácticos Nivel
estratégico de TI? actualmente. 0
Crear un portafolio de planes tácticos de TI que se deriven del 2.- ¿Estos planes tácticos describen los recursos requeridos por TI? No existe el portafolio de planes tácticos Nivel
plan estratégico de TI. Estos planes tácticos deben describir actualmente. 0
las iniciativas y los requerimientos de recursos requeridos 3.- ¿Estos planes tácticos describen como se monitorean los recursos? No existe el portafolio de planes tácticos Nivel
por TI, y cómo el uso de los recursos y el logro de los actualmente. 0
beneficios serán monitoreados y administrados. Los planes
tácticos deben tener el detalle suficiente para permitir la 4.- ¿Estos planes tácticos describen como se administran los recursos? No existe el portafolio de planes tácticos Nivel
actualmente. 0
definición de planes de proyectos. Administrar de forma
activa los planes tácticos y las iniciativas de TI establecidas por 5.- ¿Estos planes tácticos describen como se monitorean los beneficios No existe el portafolio de planes tácticos
medio del análisis de los portafolios de proyectos y Nivel
obtenidos? actualmente.
0
servicios. Esto incluye el equilibrio de los requerimientos y
recursos de forma regular, comparándolos con el logro de 6.- ¿Estos planes tácticos describen como se administran los beneficios No existe el portafolio de planes tácticos
Nivel
actualmente.
Construir planes tácticos para TI.

metas estratégicas y tácticas y con los beneficios esperados, obtenidos? 0

PO1.5 - Planes Tácticos de TI.

y tomando las medidas necesarias en caso de desviaciones. 7.- ¿Los planes tácticos permiten la definición de planes de proyectos? No existe el portafolio de planes tácticos Nivel
actualmente. 0
8.- ¿Se administran los planes tácticos mediante el análisis de los portafolios No existe el portafolio de planes tácticos
Nivel
de proyectos y servicios? actualmente.
0

9.- ¿El equilibio de recursos se compara con el logro de metas estratégicas? No existe el portafolio de planes tácticos
Nivel
actualmente.
0
PO1 - Definir un Plan Estratégico de TI.

10.- ¿El equilibio de recursos se compara con los beneficios esperadps? No existe el portafolio de planes tácticos Nivel
actualmente. 0
11.- ¿Se toman las medidas necesarias en caso de desviaciones? No existe el portafolio de planes tácticos Nivel
actualmente. 0

Administrar de forma activa, junto con el negocio, el 1.- Sobre los programas de inversión de TI(proyectos): No se revisa regularmente.
Nivel
portafolio de programas de inversión de TI requerido para a. ¿Se administran de forma activa la inversión? 1
lograr objetivos de negocio estratégicos específicos por
Analizar portafolios de programas y administrar

b. ¿Se identifican nuevos proyectos? Se trata de hacerlo regularmente.

medio de la identificación, definición, evaluación, asignación de Nivel
prioridades, selección, inicio, administración y control de los 1
programas. Esto incluye clarificar los resultados de negocio c. ¿Se definen nuevos proyectos? Se trata de hacerlo regularmente. Nivel
1
PO1.6 - Administración del Portafolio de TI.

deseados, garantizar que los objetivos de los

portafolios de servicios y

programas den soporte al logro de los resultados, entender el d. ¿Se evalúan los nuevos proyectos? Una vez aceptados se evalúan. Nivel
proyectos.

P alcance completo del esfuerzo requerido para lograr los

resultados, definir una rendición de cuentas clara con
2

L medidas de soporte, definir proyectos dentro del programa, e. ¿Se priorizan los proyectos? Se lo realiza de acuerdo al nivel de complejidad. Nivel
3
asignar recursos y financiamiento, delegar autoridad, y
A comisionar los proyectos requeridos al momento de lanzar el f. ¿Se seleccionan proyectos? Si, dependiendo del alcance y beneficio. Nivel
programa. 3
N
g. ¿Se administran los proyectos? Si se o realiza regularmente. Nivel
E 3

A h. ¿Se controlan los proyectos? Si se o realiza regularmente. Nivel

3
R 1.- ¿El modelo de información empresarial facilita el desarrollo de Si los facilita, existe un conocimiento pleno en el Nivel
aplicaciones consistente con los planes de TI? área de la contabilidad. 3

Y
2.- ¿El modelo de información empresarial facilita las actividades de soporte Necesita una actualización para ser consistente Nivel
a la toma de decisiones, consistente con los planes de TI? con los planes de Ti. 2
O 3.- ¿El modelo facilita la creación la información? Si facilita la creación de información. Nivel
3
R
Crear y mantener modelo de información corporativo/empresarial.

4.- ¿El modelo facilita el uso de la información? Si facilita este objetivo. Nivel
G
PO2.1 - Modelo de Arquitectura de Información Empresarial.

A Establecer y mantener un modelo de información empresarial 5.- ¿El modelo facilita el compartir en forma óptima la información? Si facilita este objetivo Nivel
que facilite el desarrollo de aplicaciones y las actividades de 3
N soporte a la toma de decisiones, consistente con los planes
6.- ¿El modelo permite que la información se mantenga integra? Uno de los objetivos de la empresa es este, asi
de TI como se describen en P01. El modelo debe facilitar la Nivel
I creación, uso y el compartir en forma óptima la información
que se mantiene integra la información. 3

Z por parte del negocio de tal manera que se mantenga su

integridad, sea flexible, funcional, rentable, oportuna, segura 7.- ¿El modelo permite que la información se mantenga flexible? Si permite que la información sea flexible, de
Nivel
A y tolerante a fallos. acuerdo a las necesidades.
3

R
8.- ¿El modelo permite que la información se mantenga funcional? Es muy importante que este objetivo se cumpla, la Nivel
información debe ser funcional a todo momento. 3

9.- ¿El modelo permite que la información se mantenga rentable? Lo permite de acuerdo a las necesidades. Nivel
Arquitectura de

3
PO2 - Definir la

la Información.

10.- ¿El modelo permite que la información se mantenga oportuna? Es importante también que la información sea Nivel
accesible a todo momento. 3

11.- ¿El modelo permite que la información se mantenga segura? Es uno de los objetivos mas importantes.
Nivel
3
12.- ¿El modelo permite que la información se mantenga tolerante a Debe ser flexible, y tolerante a estos problemas. Nivel
fallos? 3

1.-¿El diccionario de datos incluye reglas de sintaxis de datos de la Se esta trabajando en este objetivo. Nivel
organización? 0
Reglas de Sintáxis
Crear y mantener diccionario de

2.-¿El diccionario facilita compartir elementos de datos entre las Se esta trabajando en este objetivo. Nivel
Empresarial y
PO2.2 - Diccionario de Datos

aplicaciones? 0
de Datos.

3.-¿El diccionario facilita compartir elementos de datos entre los sistemas? Se esta trabajando en este objetivo.
Nivel
Mantener un diccionario de datos empresarial que incluya 0
datos corporativo.

las reglas de sintaxis de datos de la organización. El 4.- ¿El diccionario fomenta un entendimiento común de datos entre los Se esta trabajando en este objetivo.
Nivel
diccionario facilita compartir elementos de datos entre las usuarios de TI y del negocio? 0
aplicaciones y los sistemas, fomenta un entendimiento
común de datos entre los usuarios de TI y del negocio, y 5.- ¿El diccionario previene la creación de elementos de datos incompatibles? Se esta trabajando en este objetivo.
Nivel
previene la creación de elementos de datos incompatibles. 0

1.- ¿El esquema de clasificación de datos aplica a toda la empresa? No se tiene un esquema de planificación de datos. Nivel
PO2.3 - Esquema
esquema de clasificación

de Clasificación

0
*Establecer y mantener

*Brindar a los dueños

herramientas para

de Datos.
procedimientos y

2.- ¿Está basado en que tan crítica es la información (pública, No se tiene un esquema de planificación de datos.
Nivel
confidencial, secreta) de la empresa? 0
de datos.

3.- ¿Está basado en que tan sensible es la información (pública, confidencial, No se tiene un esquema de planificación de datos.
Establecer un esquema de clasificación que aplique a toda la Nivel
secreta) de la empresa? 0
empresa, basado en que tan crítica y sensible es la
información (esto es, pública, confidencial, secreta) de la 4.- ¿Este esquema incluye detalles cómo la propiedad de datos? No se tiene un esquema de planificación de datos Nivel
0
 empresa. Este esquema incluye detalles acerca de la
propiedad de datos, la definición de niveles apropiados de
seguridad y de controles de protección, y una breve
descripción de los requerimientos de retención y destrucción
de datos, además de qué tan críticos y sensibles son. Se usa
como base para aplicar controles como el control de acceso,
archivo o cifrado.
clasificar los sistemas de información.
5.- ¿Este esquema define los niveles apropiados de seguridad? No se tiene un esquema de planificación de datos. Nivel
0
6.- ¿Este esquema define los niveles apropiados de controles de protección? No se tiene un esquema de planificación de datos.
Nivel
0
7.- ¿Este esquema describe los requerimientos de retención de datos? No se tiene un esquema de planificación de datos Nivel
0
8.- ¿Este esquema describe los requerimientos de destrucción de datos? No se tiene un esquema de planificación de datos. Nivel
0
9.- ¿Este esquema describe que tan críticos son los datos? No se tiene un esquema de planificación de datos. Nivel
0
10.- ¿Este esquema describe que tan sensibles son los datos? No se tiene un esquema de planificación de datos. Nivel
0
11.- ¿Este esquema se utiliza como base para aplicar controles como el de No se tiene un esquema de planificación de datos.
Nivel
acceso, archivo o cifrado? 0
 COBIT

ACTIVIDADES DEL

OBJETIVOS DE

CALIFICACIÓN
PROCESOS

CONTROL
DOMINIO

PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS

1.- ¿Existen procedimientos que garanticen la integridad de los datos Nivel

diccionario de datos y
Arquitectura de la

Administración de
Usar el modelo de

almacenados en formato electrónico, tales como bases de datos, No existen aun este tipo de procedimientos, 0
PO2 - Definir la

Definir e Implementar procedimientos para garantizar la

para planear los
información, el

el esquema de
Información.

clasificación

Integridad.
integridad y consistencia de todos los datos almacenados en almacenes de datos y archivos? debemos trabajar en ellos actualmente.

PO2.4 -
sistemas

formato electrónico, tales como bases de datos, almacenes de 2.- ¿Existen procedimientos que garanticen la consistencia de todos los No existen aun este tipo de procedimientos, Nivel
datos y archivos. datos almacenados en formato electrónico, tales como bases de datos, debemos trabajar en ellos actualmente. 0
almacenes de datos y archivos?

1.- ¿Se analizan las tecnologías existentes? Se esta empezando con este objetivo, para
Nivel
optimizar las tecnologías.
1

2.- ¿Se analizan las tecnologías emergentes? No se revisan las tecnologías emergentes.
Nivel
Crear y mantener un plan de infraestructura tecnológica.

Analizar las tecnologías existentes y emergentes y planear 0

cuál dirección tecnológica es apropiada tomar para
materializar la estrategia de TI y la arquitectura de sistemas 3.- ¿Se planea cuál dirección tecnológica es apropiada tomar para Se realiza un plan básico para esto.
Nivel
PO3.1 - Planeación de la Dirección Tecnológica.

del negocio. También identificar en el plan qué tecnologías materializar la estrategia de TI? 1
tienen el potencial de crear oportunidades de negocio. El plan
debe abarcar la arquitectura de sistemas, la dirección
4.- ¿Se planea cuál dirección tecnológica es apropiada tomar para No se realiza este control.
tecnológica, las estrategias de migración y los aspectos de Nivel
materializar la arquitectura de sistemas del negocio? 0
contingencia de los componentes de la infraestructura.
5.- ¿Están identificadas en el plan las tecnologías que tienen el potencial No se contempla este objetivo.
Nivel
de crear oportunidades de negocio? 0
6.- ¿El plan abarca la arquitectura de sistemas? No lo abarca. Nivel
0

7.- ¿El plan abarca la dirección tecnológica? No lo abarca actualmente. Nivel

0
8.- ¿El plan abarca las estrategias de migración? No las abarca actualmente. Nivel
0
9.- ¿El plan abarca los aspectos de contingencia de los componentes de la No las abarca actualmente.
Nivel
P infraestructura? 0
1.- ¿Existe un plan de infraestructura tecnológica? No existe un plan de infraestructura Nivel 0
L actualmente.
2.- ¿El plan de infraestructura tecnológica está acorde con los planes No existe un plan de infraestructura Nivel 0
A estratégicos de TI? actualmente.
N 3- ¿Tienen planes tácticos de TI? No existe un plan de infraestructura Nivel 0
actualmente.
E 4- ¿El plan de infraestructura tecnológica está acorde con los planes No existe un plan de infraestructura Nivel 0
actualmente.
A tácticos de TI?
PO3.2 - Plan de Infraestructura Tecnológica.

Crear y mantener un plan de infraestructura tecnológica que

Crear y mantener estándares tecnológicos.

esté de acuerdo con los planes estratégicos y tácticos de TI. El 5.- ¿El plan está basado en la dirección tecnológica? No existe un plan de infraestructura Nivel 0
R plan se basa en la dirección tecnológica e incluye acuerdos actualmente.
para contingencias y orientación para la adquisición de Nivel 0
6.- ¿El plan incluye acuerdos para contingencias? No existe un plan de infraestructura
recursos tecnológicos. También toma en cuenta los cambios actualmente.
PO3 - Determinar la Dirección

en el ambiente competitivo, las economías deescala para

Y inversiones y personal en sistemas de información, y la 7.- ¿El plan incluye la orientación para la adquisición de recursos No existe un plan de infraestructura Nivel 0
tecnológicos? actualmente.
mejora en la interoperabilidad de las plataformas y las
aplicaciones. 8.- ¿El plan considera los cambios en el ambiente competitivo? No existe un plan de infraestructura Nivel 0
Tecnológica.

O actualmente.
9.- ¿El plan considera las economías de escala para inversiones? No existe un plan de infraestructura Nivel 0
R actualmente.
10.- ¿El plan considera al personal en sistemas de información? No existe un plan de infraestructura Nivel 0
G actualmente.

A 11.- ¿El plan considera la mejora en la interoperabilidad de las No existe un plan de infraestructura Nivel 0
plataformas? actualmente.
N 12.- ¿El plan considera la mejora en la interoperabilidad de las No existe un plan de infraestructura Nivel 0
actualmente.
I aplicaciones?
1.- ¿Existe un proceso para monitorear las tendencias ambientales del No existe un proceso para este caso. Nivel
Z sector/industria? 0
PO3.3 - Monitoreo de Tendencias y
Publicar estándares tecnológicos.

2.- ¿Existe un proceso para monitorear las tendencias tecnológicas? Existe cierto interés en este proceso, pero no Nivel
A la implementacion 0
Regulaciones Futuras.

Establecer un proceso para monitorear las tendencias

R ambientales del sector / industria, tecnológicas, de
3.- ¿Existe un proceso para monitorear las tendencias de infraestructura? No existe un proceso para este caso. Nivel
0
infraestructura, legales y regulatorias. Incluir las
consecuencias de estas tendencias en el desarrollo del plan 4.- ¿Existe un proceso para monitorear las tendencias legales? Si existe un proceso para este caso. Nivel
de infraestructura tecnológica de TI. 2
5.- ¿Existe un proceso para monitorear las tendencias regulatorias? Si existe un proceso para este caso. Nivel
2
6.- ¿Están incluidas las consecuencias de estas tendencias en el No existe un proceso para este caso.
Nivel
desarrollo del plan de infraestructura tecnológica de TI? 0
1.- ¿Se proporcionan soluciones tecnológicas consistentes para toda la La empresa se encuentra trabajando en este Nivel 0
empresa? aspecto.
2.- ¿Se proporcionan soluciones tecnológicas efectivas para toda la La empresa se encuentra trabajando en este Nivel 0
empresa? aspecto.
3.- ¿Se proporcionan soluciones tecnológicas seguras para toda la La empresa se encuentra trabajando en este Nivel 0
empresa? aspecto.
Monitorear la evolución tecnológica.

PO3.4 - Estándares Tecnológicos.

Proporcionar soluciones tecnológicas consistentes, efectivas
y seguras para toda la empresa, establecer un foro
tecnológico para brindar directrices tecnológicas, asesoría
sobre los productos de la infraestructura y guías sobre la
selección de la tecnología, y medir el cumplimiento de estos
estándares y directrices. Este foro impulsa los estándares y
las prácticas tecnológicas con base en su importancia y
riesgo para el negocio y en el cumplimiento de
requerimientos externos.
4.- ¿Se brindan directrices tecnológicas sobre los productos de la La empresa se encuentra trabajando en este Nivel 0
infraestructura? aspecto.
5.- ¿Se brinda asesoría sobre los productos de la infraestructura? La empresa se encuentra trabajando en este Nivel 0
aspecto.
6.- ¿Se brindan guías sobre la selección de la tecnología? La empresa se encuentra trabajando en este Nivel 0
aspecto.
7.- ¿Se mide el cumplimiento de los estándares tecnológicos? La empresa se encuentra trabajando en este Nivel 0
aspecto.
8.- ¿Se mide el cumplimiento de las directrices tecnológicas? La empresa se encuentra trabajando en este Nivel 0
aspecto.
9.- ¿Se impulsa los estándares con base en su importancia y riesgo para el La empresa se encuentra trabajando en este Nivel 0
negocio y en el cumplimiento de requerimientos externos? aspecto.
10.- ¿Se impulsa las prácticas tecnológicas con base en su importancia y La empresa se encuentra trabajando en este Nivel 0
riesgo para el negocio y en el cumplimiento de requerimientos externos? aspecto.

Definir el uso (futuro) (estratégico) de
Establecer un comité de arquitectura de TI que proporcione
PO3.5 - Consejo de Arquitectura de TI.
directrices sobre la arquitectura y asesoría sobre su
aplicación, y que verifique el cumplimiento. Esta entidad
orienta el diseño de la arquitectura de TI garantizando que
facilite la estrategia del negocio y tome en cuenta el
cumplimiento regulatorio y los requerimientos de
continuidad. Estos aspectos se vinculan con el PO2 (Definir
arquitectura de la información).
la nueva
tecnología.
Nivel
1.- ¿Existe un comité de arquitectura de TI que proporcione directrices No se cuenta con el personal necesario.
sobre la arquitectura? 0
2.- ¿Existe un comité de arquitectura de TI que proporcione asesoría sobre No se cuenta con el personal necesario.
Nivel
su aplicación? 0
3.- ¿Existe un comité de arquitectura de TI que verifique el cumplimiento? No se cuenta con el personal necesario. Nivel 0
4.- ¿Esta entidad orienta el diseño de la arquitectura de TI garantizando No se cuenta con el personal necesario. Nivel 0
que facilite la estrategia del negocio?
5.- ¿Esta entidad tome en cuenta el cumplimiento regulatorio? No se cuenta con el personal necesario. Nivel 0
6.- ¿Esta entidad tome en cuenta los requerimientos de continuidad? No se cuenta con el personal necesario. Nivel 0
 COBIT

ACTIVIDADES DEL

CALIFICACIÓN
OBJETIVOS DE
PROCESOS

CONTROL
DOMINIO

PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS

Definir un marco de trabajo para el proceso de TI para 1.- ¿Está definido un marco de trabajo para el proceso de TI para ejecutar No se tiene un plan estratégico de Ti. Nivel
ejecutar el plan estratégico de TI. Este marco incluye el plan estratégico de TI? 0
proceso
Trabajo

Proceso
Diseñar Marco de

Trabajo
para el

PO4.1 - Marco

s de TI.
estructura y relaciones de procesos de TI administrando
de TI. brechas y superposiciones de procesos), propiedad, 2.- ¿El marco de trabajo de procesos de TI está integrado en un sistema de No se tiene un plan estratégico de Ti.

de

de
Nivel
medición del desempeño, mejoras, cumplimiento, metas de administración de calidad?
0
calidad y planes para alcanzarlas. Proporciona integración Nivel
3.- ¿El marco de trabajo de procesos de TI está integrado en un marco de No se tiene un plan estratégico de Ti.
entre los procesos que son específicos para TI, trabajo de control interno? 0
administración del portafolio de la empresa, procesos de
Estratégico de negocio y procesos
Establecer un comitédeestratégico
cambio deldenegocio.
TI a nivelEldel
marco de
consejo. 1.- ¿Se cuenta con un comité estratégico de TI a nivel del consejo? No se dispone de un comité. Nivel
organizacion

proveedore
interesados
incluyendo
estructura
Establecer

comités y

0
ligas a los

trabajo
Este de procesos
comité de TI debe
deberá asegurar estar
que integrado
el gobierno deenTI,un sistema
como
PO4.2 -
al de TI,

Comité

TI.
de administración
parte del gobiernode calidad y enseun
corporativo, marco de
maneja de forma
trabajo de
y

2.- ¿Este comité asegura que el gobierno de TI, como parte del gobierno No se dispone de un comité. Nivel
control interno.
adecuada, asesora sobre la dirección estratégica y revisa las 0
corporativo, se maneja de forma adecuada, asesora sobre la dirección
inversiones principales a nombre del consejo completo.
estratégica y revisa las inversiones principales a nombre del consejo completo?
1.- ¿Se cuenta con un comité estratégico de TI a nivel del consejo? No se dispone de un comité. Nivel
Establecer un comité directivo de TI (o su equivalente)
TI,
estructura

incluyendo comités y ligas a

0
compuesto por la gerencia ejecutiva, del negocio y de TI para:
Determinar las prioridades de los programas de inversión 2.- ¿Este comité asegura que el gobierno de TI, como parte del gobierno No se dispone de un comité. Nivel
de

0
y proveedores.

de TI alineadas con la estrategia y prioridades de negocio de la

PO4.3 - Comité
Directivo de TI.

corporativo, se maneja de forma adecuada?

empresa, Dar seguimiento al estatus de los proyectos y
los interesados
organizacional

3.- ¿Este comité asesora sobre la dirección estratégica? No se dispone de un comité. Nivel
resolver los conflictos de recursos, Monitorear los niveles de
0
Establecer

servicio y las mejoras del servicio.

4.- ¿Este comité evisa las inversiones principales a nombre del consejo No se dispone de un comité. Nivel
completo? 0

Ubicar a la función de TI dentro de la estructura 1.- ¿La función de TI está ubicada dentro de la estructura organizacional Se encuentra trabajando en la implantación de
Nivel
Organizacional de
PO4.4 - Ubicación

organizacional general con un modelo de negocios general con un modelo de negocios supeditado a la importancia de TI dentro esta función en la estructura organizacional.
Identificar dueños

0
la Función de TI.
de sistemas.

supeditado a la importancia de TI dentro de la empresa, en de la empresa?

especial en función de que tan crítica es para la estrategia del
negocio y el nivel de dependencia operativa sobre TI. La línea
de reporte del CIO es proporcional con la importancia de TI
dentro de la empresa.

1.- ¿Está establecida una estructura organizacional de TI interna que refleje Se está trabajando en este objetivo actualmente. Nivel
las necesidades del negocio? 0
incluyendo comités y ligas
Establecer estructura
organizacional de TI,

2.- ¿Está establecida una estructura organizacional de TI externa que Se está trabajando en este objetivo actualmente. Nivel 0
interesados y
proveedores.

Establecer una estructura organizacional de TI interna y

PO4.5 - Estructura

refleje las necesidades del negocio?

externa que refleje las necesidades del negocio. Además
Organizacional.
a los

implementar un proceso para revisar la estructura 3.- ¿Existe un proceso que revise la estructura organizacional de TI de forma Se está trabajando en este objetivo actualmente. Nivel 0
P organizacional de TI de forma periódica para ajustar los
requerimientos de personal y las estrategias internas para
periódica para ajustar los requerimientos de personal?

Nivel 0
L satisfacer los objetivos de negocio esperados y las 4.- ¿Existe un proceso que revise las estrategias internas para satisfacer
los objetivos de negocio esperados y las circunstancias cambiantes?
Se está trabajando en este objetivo actualmente.
circunstancias cambiantes.
A 1.- ¿Se definen los roles y las responsabilidades para el personal de TI? Se esta trabajando en este objetivo, y Nivel
Establecer e implantar roles

estableciendo roles. 0
N
y responsabilidades de TI,

PO4.6 - Establecimiento de
incluida la supervisión y

Roles y Responsabilidades.

Definir y comunicar los roles y las responsabilidades para el

2.- ¿Se comunican los roles y las responsabilidades para el personal de TI? Se esta trabajando en este objetivo, y Nivel 0
de funciones.

E personal de TI y los usuarios que delimiten la autoridad

segregación

estableciendo roles.
PO4 - Definir los Procesos, Organización y Relaciones

entre el personal de TI y los usuarios finales y definían las

A responsabilidades y rendición de cuentas para alcanzar las 3.- ¿Están definidas las responsabilidades para alcanzar las necesidades del Se esta trabajando en este objetivo, y Nivel 0
necesidades del negocio. negocio? estableciendo roles.
R
4.- ¿Está definida la rendición de cuentas para alcanzar las necesidades del Se esta trabajando en este objetivo, y Nivel 0
negocio? estableciendo roles.

Y 1.- ¿Está asignada la responsabilidad para el desempeño de la función de Se planea realizarlo a futuro, dependiendo del Nivel 0
de TI.

crecimiento del negocio.

Aseguramiento de

aseguramiento de calidad (QA)?

supervisión y segregación de

Se planea realizarlo a futuro, dependiendo del Nivel 0

Calidad de TI.

2.- ¿El grupo de QA cuenta con los sistemas de QA, los controles y la
responsabilidades de TI,
Establecer e implantar

crecimiento del negocio.

O
PO4.7 - Responsabilidad de

experiencia para comunicarlos?

funciones.

Asignar la responsabilidad para el desempeño de la función

incluida la

3.- ¿La ubicación organizacional del grupo de QA satisfacen los Se planea realizarlo a futuro, dependiendo del Nivel 0
R
roles y

de aseguramiento de calidad (QA) y proporcionar al grupo de requerimientos de la organización? crecimiento del negocio.
QA sistemas de QA, los controles y la experiencia para
G comunicarlos. Asegurar que la ubicación organizacional, las 4.- ¿Las responsabilidades del grupo de QA satisfacen los requerimientos de Se planea realizarlo a futuro, dependiendo del Nivel 0
la organización? crecimiento del negocio.
responsabilidades y el tamaño del grupo de QA satisfacen
A los requerimientos de la organización.
5.- ¿El tamaño del grupo de QA satisfacen los requerimientos de la Se planea realizarlo a futuro, dependiendo del Nivel 0
N organización? crecimiento del negocio.

I 1.- ¿Está establecida la responsabilidad de los riesgos relacionados con TI Se esta trazando el plan para esta responsabilidad Nivel 0
Establecer la propiedad y la responsabilidad de los riesgos a un nivel superior apropiado? y roles.
Establecer e implantar roles y responsabilidades de

Z relacionados con TI a un nivel superior apropiado. Definir y 2.- ¿Están asignados los roles críticos para administrar los riesgos de TI? Se esta trazando el plan para esta responsabilidad y Nivel 0
TI, incluida la supervisión y segregación de

PO4.8 - Responsabilidad sobre el Riesgo, la

asignar roles críticos para administrar los riesgos de TI, roles.

A incluyendo la responsabilidad específica de la seguridad de la
Seguridad y el Cumplimiento.

3.- ¿Está establecida la responsabilidad sobre la administración del riesgo? Se esta trazando el plan para esta responsabilidad y Nivel 0
R información, la seguridad física y el cumplimiento.
Establecer responsabilidad sobre la administración del roles.
funciones.

riesgo y la seguridad a nivel de toda la organización para
manejar los problemas a nivel de toda la empresa. Puede ser
necesario asignar responsabilidades adicionales de
administración de la seguridad a nivel de sistema específico
para manejar problemas relacionados con seguridad.
Obtener orientación de la alta dirección con respecto al
apetito de riesgo de TI y la aprobación de cualquier riesgo
residual de TI.
Se esta trazando el plan para esta responsabilidad y Nivel 0
4.- ¿Está establecida la seguridad para manejar los problemas a nivel de
roles.
toda la empresa?
5.- ¿Están asignadas responsabilidades adicionales de administración de la Se esta trazando el plan para esta responsabilidad y Nivel 0
seguridad a nivel de sistema específico? roles.
6.- ¿La alta dirección orienta con respecto al apetito de riesgo de TI? Se esta trazando el plan para esta responsabilidad y Nivel 0
roles.
7.- ¿La alta dirección aprueba cualquier riesgo residual de TI? Se esta trazando el plan para esta responsabilidad y Nivel 0
roles.

1.- ¿Existen procedimientos y herramientas que permitan enfrentar las Se tiene un procedimiento establecido, pero Nivel
responsabilidades de propiedad sobre los datos y los sistemas de información? necesita depuración. 1
responsabilidades de

PO4.9 - Propiedad de
Establecer e implantar

Proporcionar al negocio los procedimientos y herramientas

Datos y de
Sistemas.
segregación de

que le permitan enfrentar sus responsabilidades de

supervisión y
TI, incluida la

propiedad sobre los datos y los sistemas de información. Los 2.- ¿Los dueños toman decisiones sobre la clasificación de la información para A si es, se lo realiza mediante una reunión. Nivel
funciones.

protegerlos de acuerdo a esta clasificación? 1

dueños toman decisiones sobre la clasificación de la
roles y

información y de los sistemas y sobre cómo protegerlos de 3.- ¿Los dueños toman decisiones para proteger los sistemas? Lo hacen constantemente. Nivel
acuerdo a esta clasificación. 1

Implementar prácticas adecuadas de supervisión dentro de la 1.- ¿Se tienen implementadas prácticas adecuadas de supervisión dentro Se tiene establecido un responsable para este Nivel
e implantar roles

de la función de TI para garantizar que los roles y las responsabilidades se plan de implementación en TI. 1
lidades de TI,

función de TI para garantizar que los roles y las

y responsabi

Supervisión
supervisión
incluida la
Establecer

PO4.10 -

responsabilidades se ejerzan de forma apropiada, para ejerzan de forma apropiada?

.

evaluar si todo el personal cuenta con la suficiente

2.- ¿Se revisan en forma general los indicadores claves de desempeño? Se revisaran de forma periódica. Nivel
1

Implementar una división de roles y responsabilidades que 1.- ¿Se tiene implementado una división de roles y responsabilidades que Se encuentra trabajando en la división de roles.
Nivel
reduzca la posibilidad de que un solo individuo afecte reduzca la posibilidad de que un solo individuo afecte negativamente un 0
s de TI, incluida la

Segregación de

negativamente un proceso crítico. La gerencia también se proceso crítico?

Establecer e y

supervisión y

funciones.

Funciones.
PO4.11 -

asegura de que el personal realice sólo las tareas

autorizadas, relevantes a sus puestos y posiciones 2.- ¿La gerencia se asegura de que el personal realice sólo las tareas Se tiene especificado cada tarea para cada Nivel
1
responsabilidade

respectivas. autorizadas relevantes a sus puestos? personal.

segregación de
implantar roles
 COBIT

ACTIVIDADES DEL

CALIFICACIÓN
OBJETIVOS DE
PROCESOS

CONTROL
DOMINIO

PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS

1.-¿ Se evalúan los requerimientos de personal de forma regular para Se evalúa al personal cada cierto tiempo, Nivel
garantizar que la función de TI cuente con un número suficiente de para garantizar que cumplen con los 2
Establecer e implantar roles

segregación de funciones.
y responsabilidades de TI,

PO4.12 - Personal de TI.

incluida la supervisión y

Evaluar los requerimientos de personal de forma regular o recursos para soportar adecuada y apropiadamente las metas del requerimientos.
cuando existan cambios importantes en el ambiente de negocio?
negocios, operativo o de TI para garantizar que la función de
TI cuente con un número suficiente de recursos para soportar
PO4 - Definir los Procesos, Organización y Relaciones de TI.

adecuada y apropiadamente a las metas y objetivos del 2.- ¿ Se evalúan los requerimientos de personal de forma regular para Se evalúa al personal cada cierto tiempo, Nivel
negocio. garantizar que la función de TI cuente con un número suficiente de para garantizar que cumplen con los 2
recursos para soportar adecuada y apropiadamente los objetivos del objetivos del negocio.
negocio?
1.- ¿Se define al personal clave de TI para minimizar la dependencia en un Después de analizar las evaluaciones se toma Nivel
PO4.13 - Personal Clave

solo individuo desempeñando una función de trabajo crítica? decisiones en este aspecto. 2
responsabilidades
implantar roles y

de TI, incluida la

segregación de
supervisión y

Definir e identificar al personal clave de TI y minimizar la

Establecer e

funciones.

dependencia en un solo individuo desempeñando una 2.- ¿Se identifica al personal clave de TI para minimizar la dependencia Después de analizar las evaluaciones se toma Nivel
función de trabajo crítica. en un solo individuo desempeñando una función de trabajo crítica? decisiones en este aspecto. 2
de TI.

1.- ¿Se asegura que los consultores cumplan con las políticas Antes de ingresar a la empresa se analiza Nivel
PO4.14 - Políticas
y Procedimientos
s de TI, incluida la
responsabilidade
implantar roles y

Asegurar que los consultores y el personal contratado que organizacionales de protección de los activos de información de la estos requerimientos 2
segregación de

para Personal
Establecer e

supervisión y

Contratado.
funciones.

soporta la función de TI cumplan con las políticas
organizacionales de protección de los activos de
información de la empresa de tal manera que se logren los
requerimientos contractuales acordados.
responsabilidades de TI, incluida
la supervisión y segregación de
empresa de tal manera que se logren los requerimientos contractuales
acordados?
2.- ¿Se asegura que el personal contratado que soporta la función de TI Antes de ingresar a la empresa se analiza Nivel
cumplan con las políticas organizacionales de protección de los activos de estos requerimientos 2
información de la empresa?
1.- ¿Existe una estructura óptima de enlace entre la función de TI y otros No existe esta estructura por el momento se Nivel
interesados dentro y fuera de la función de TI? esta trabajando en esto. 0

Establecer y mantener una estructura óptima de enlace,

comunicación y coordinación entre la función de TI y otros
Establecer e implantar roles y

interesados dentro y fuera de la función de TI, tales como el

PO4.15 - Relaciones.

consejo directivo, ejecutivos, unidades de negocio, usuarios

individuales, proveedores, oficiales de seguridad, gerentes 2.- ¿Existe una estructura óptima de comunicación entre la función de TI No existe esta estructura por el momento se Nivel
de riesgo, el grupo de cumplimiento corporativo, los y otros interesados dentro y fuera de la función de TI? esta trabajando en esto. 0
P contratistas externos y la gerencia externa (offsite). 3.- ¿Existe una estructura óptima de coordinación entre la función de TI y No existe esta estructura por el momento se Nivel
funciones.

otros interesados dentro y fuera de la función de TI? esta trabajando en esto. 0

L
4.- ¿Se mantienen estas estructuras óptimas? No existe esta estructura por el momento se Nivel
A esta trabajando en esto. 0
1.- ¿Existe un marco de trabajo financiero para administrar las Se esta trabajando en este marco financiero
N inversiones de TI a través del portafolios de inversiones y presupuestos
Nivel
0
E de TI?
Dar mantenimiento al

programas de

Administración
Trabajo para la
portafolio de

PO5.1 - Marco de

A 2.- ¿Existe un marco de trabajo financiero para administrar el costo de Se esta trabajando en este marco financiero
inversión.

Financiera.

Nivel
los activos de TI?
0
R Establecer y mantener un marco de trabajo financiero para
administrar las inversiones y el costo de los activos y 3.- ¿Existe un marco de trabajo financiero para administrar los servicios Se esta trabajando en este marco financiero
Nivel
servicios de TI a través del portafolios de inversiones de TI?
0
habilitadas por TI, casos de negocio y presupuestos de TI. 4.- ¿Se mantiene este marco de trabajo financiero? Se esta trabajando en este marco financiero
Nivel
Y 0
1.- ¿Existe un proceso de toma de decisiones para dar prioridades a la Se lo realizara mediante reuniones. Nivel
portafolio de proyectos.

dentro del Presupuesto

Dar mantenimiento al

Implementar un proceso de toma de decisiones para dar asignación de recursos a TI? 1

PO5.2 Prioridades

O prioridades a la asignación de recursos a TI para

operaciones, proyectos y mantenimiento, para maximizar la 2.- ¿Este proceso optimiza el retorno del portafolio empresarial de Se plantea organizarlo de manera optima. Nivel
R contribución de TI a optimizar el retorno del portafolio programas de inversión en TI y otros servicios? 1
empresarial de programas de inversión en TI y otros
G servicios y activos de TI. 3.- ¿Este proceso optimiza el retorno del portafolio empresarial de activos Se plantea organizarlo de manera optima.
Nivel
de TI?
A 1.- ¿Existe un proceso para elaborar un presupuesto que refleje las Se lo realizará mediante reuniones
1
Nivel
Establecer un proceso para elaborar y administrar un
N presupuesto que refleje las prioridades establecidas en el
prioridades establecidas en el portafolio empresarial de programas de 1
inversión en TI, que incluya los costos recurrentes de operar y mantener
I portafolio empresarial de programas de inversión en TI, la infraestructura actual?
PO5 - Administrar la Inversión en

incluyendo los costos recurrentes de operar y mantener la 2.- ¿Existe un proceso para administrar este presupuesto? Se lo realiza en la reunión. Nivel
Z
Dar mantenimiento al portafolio de servicios.

infraestructura actual. El proceso debe dar soporte al 1

desarrollo de un presupuesto general de TI así como al
A desarrollo de presupuestos para programas individuales,
con énfasis especial en los componentes de TI de esos 3.- ¿El proceso soporta al desarrollo de un presupuesto general de TI así No. Nivel
R
PO5.3 - Proceso Presupuestal.

programas. El proceso debe permitir la revisión, el como al desarrollo de presupuestos para programas individuales, con 0
refinamiento y la aprobación constantes del presupuesto énfasis especial en los componentes de TI de esos programas?
general y de los presupuestos de programas individuales.
TI.

4.- ¿El proceso permite la revisión, el refinamiento y la aprobación Si, permite esta revisión en futuras
Nivel
constante del presupuesto general? reuniones.
1

5.- ¿El proceso permite la revisión, el refinamiento y la aprobación No

Nivel
constante de los presupuestos de programas individuales?
0

1.- ¿Existe un proceso de administración de costos que compare los Si, se lo realiza en las reuniones.
Nivel
costos reales con los presupuestados?
1

Implementar un proceso de administración de costos que

2.- ¿Se monitorean los costos? Si, se lo realiza en las reuniones.
compare los costos reales con los presupuestados. Los Nivel
costos se deben monitorear y reportar. Cuando existan 1
desviaciones, éstas se deben identificar de forma oportuna y
Establecer y mantener proceso presupuestal de TI.

el impacto de esas desviaciones sobre los programas se debe

3.- ¿Se reportan los costos? Si, se lo realiza en las reuniones.
evaluar y, junto con el patrocinador del negocio para estos Nivel
PO5.4 - Administración de Costos de TI.

programas, se deberán tomar las medidas correctivas 1

apropiadas y, en caso de ser necesario, el caso de negocio
del programa de inversión se deberá actualizar. 4.- ¿Se identifican de forma oportuna si existen desviaciones? Si, se lo realiza en las reuniones.
Nivel
1

5.- ¿El impacto de las desviaciones sobre los programas se evalúan? Si, se lo realiza en las reuniones.
Nivel
1

6.- ¿Junto con el patrocinador del negocio para estos programas, se Si, se lo realiza en las reuniones.
Nivel
toman medidas correctivas apropiadas?
1
 7.- ¿Se actualiza el caso de negocio del programa de inversión? Si, se lo realiza en las reuniones.
Nivel
1

Implementar un proceso de monitoreo de beneficios. La 1.- ¿Se cuenta con un proceso de monitoreo de beneficios? Si, se lo realiza en las reuniones.

PO5.5 - Administración de Benefic

Nivel
contribución esperada de TI a los resultados del negocio, ya

monitorear la inversión, costo y

1
sea como un componente de programas de inversión en TI o

Identificar, comunicar y
como parte de un soporte operativo regular, se debe
identificar, acordar, monitorear y reportar. Los reportes se 2.- ¿Se reportan estos beneficios? Si, se lo realiza en las reuniones.
Nivel
deben revisar y, donde existan oportunidades para mejorar 1
la contribución de TI, se deben definir y tomar las medidas
apropiadas. Siempre que los cambios en la contribución de
TI tengan impacto en el programa, o cuando los cambios a 3.- ¿Se toman medidas apropiadas para mejorar la contribución de TI? Si, se lo realiza en las reuniones.
Nivel
otros proyectos relacionados impacten al programa, el caso 1
de negocio deberá ser actualizado.

de TI.
valor de TI para el negocio.
 COBIT
ACTIVIDADES DEL

CALIFICACIÓN
OBJETIVOS DE
PROCESOS

CONTROL
DOMINIO

PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS

Definir los elementos de un ambiente de control para TI, 1.- ¿Están definidos los elementos de un ambiente de control para TI? Se encuentra trabajando en este Nivel
aspecto. 0
Elaborar y mantener un ambiente y

PO6.1 - Ambiente de Políticas y de

alineados con la filosofía administrativa y el estilo operativo
de la empresa. Estos elementos incluyen las expectativas /
marco de control de TI.

requerimientos respecto a la entrega de valor proveniente de 2.- ¿Estos elementos están alineados con el estilo operativo de la Se encuentra trabajando en este Nivel
Control.
las inversiones en TI, el apetito de riesgo, la integridad, los empresa? aspecto. 0
valores éticos, la competencia del personal, la rendición de
cuentas y la responsabilidad. El ambiente de control se basa
en una cultura que apoya la entrega de valor, mientras
administra riesgos significativos, fomenta la colaboración
entre divisiones y el trabajo en equipo, promueve el
cumplimiento y la mejora continua de procesos, y maneja las
desviaciones (incluyendo las fallas) de forma adecuada.

Elaborar y dar mantenimiento a un marco de trabajo que 1.- ¿Existe un marco de trabajo que establezca el enfoque empresarial Si se tiene un marco, pero debe
Control Interno de
ambiente y marco

Nivel
de control de TI.

establezca el enfoque empresarial general hacia los riesgos y general hacia los riesgos? actualizarse
PO6.2 - Riesgo
Corporativo y

Referencia de
mantener un

1
Elaborar y

Marco de

el control que se alinee con la política de TI, el ambiente de

TI.

control y el marco de trabajo de riesgo y control de la

empresa. 2.- ¿Existe un control que se alinee con la política de TI? Si Nivel
1

1.- ¿Existen políticas que apoyen la estrategia de TI? Si tienen políticas establecidas que Nivel
serán implantadas en este proyecto. 1
Elaborar y dar mantenimiento a un conjunto de políticas que
apoyen la estrategia de TI. Estas políticas deben incluir su 2.- ¿Estas políticas incluyen los roles y responsabilidades? Si tienen políticas establecidas que Nivel
intención, roles y responsabilidades, procesos de excepción, serán implantadas en este proyecto. 1
enfoque de cumplimiento y referencias a procedimientos,
PO6 - Comunicar las Aspiraciones y la Dirección de la Gerencia.

estándares y directrices. Su relevancia se debe confirmar y 3.- ¿Estas políticas incluyen procesos de excepción? Si tienen políticas establecidas que Nivel
P aprobar en forma regular. serán implantadas en este proyecto. 1

L 4.- ¿Estas políticas incluyen un enfoque de cumplimiento? Si tienen políticas establecidas que Nivel
PO6.3 - Administración de Políticas para TI.

serán implantadas en este proyecto. 1

A
Elaborar y mantener políticas de TI.

5.- ¿Estas políticas hacen referencias a procedimientos? Si tienen políticas establecidas que Nivel
N serán implantadas en este proyecto. 1
E 6.- ¿Estas políticas hacen referencias a estándares? Si tienen políticas establecidas que Nivel
A serán implantadas en este proyecto. 1

R 7.- ¿Estas políticas hacen referencias a directrices? Si tienen políticas establecidas que Nivel
serán implantadas en este proyecto. 1

8.- ¿Estas políticas se aprueban en forma regular? Si tienen políticas establecidas que se Nivel
Y revisan en reuniones. 1

1.- ¿Se asegura que las políticas de TI se implanten? Se plantea asegurar que sean Nivel
Implantación de Políticas

Asegurarse de que las políticas de TI se implantan y se implantadas.

O 0
Elaborar y mantener

comunican a todo el personal relevante, y se refuerzan, de tal

políticas de TI.

forma que estén incluidas y sean parte integral de las

R 2.- ¿Se asegura que las políticas de TI se comuniquen a todo el personal Se plantea asegurar que sean Nivel
PO6.4 -

de TI.

operaciones empresariales. relevante? implantadas. 0

G
3.- ¿Las políticas están incluidas y son parte integral de las operaciones Se revisara esto en las reuniones. Nivel
A empresariales? 0

N 1.- ¿Se comunica a los usuarios de toda la organización los objetivos de Se lo realizara mediante integraciones
de los Objetivos

Asegurarse de que la conciencia y el entendimiento de los Nivel

Comunicación

y la Dirección
Comunicar el

dirección de
control y los

TI? empresariales.
objetivos y

I
marco de

objetivos y la dirección del negocio y de TI se comunican a 1

PO6.5 -

de TI.
TI.

los interesados apropiados y a los usuarios de toda la

2.- ¿Los usuarios están conscientes de los objetivos de TI? Después de la integración deben estar Nivel
Z organización.
conscientes de los objetivos 1
A 1.- ¿Los procesos de reclutamiento del personal de TI están acordes a las Si, esto se revisa antes de la Nivel
Asegurarse que los procesos de reclutamiento del personal
y Retención del
Reclutamiento

R 2
PO7 - Administrar los Recursos

descripcione

políticas y procedimientos generales de personal de la organización (Ej. contratación, y después con las
benchmarks

s de puesto,

de TI estén de acuerdo a las políticas y procedimientos

desempeño
habilidades
Identificar

salarios y
rango de

onal.

contratación, un ambiente positivo de trabajo y orientación)? evaluaciones.

pers
sobre
de TI,

generales de personal de la organización (Ej. contratación,

Personal.
del
las

Las evaluaciones que se realizan de Nivel

PO7.1 -

un ambiente positivo de trabajo y orientación). La gerencia 2.- ¿Existe un proceso que garantice que la organización cuente con una
implementa procesos para garantizar que la organización fuerza de trabajo apropiada? forma regular. 2
cuente con una fuerza de trabajo posicionada de forma
apropiada, que tenga las habilidades necesarias para 1.- ¿Se verifica en forma periódica que el personal tenga las habilidades Las evaluaciones que se realizan de Nivel
para cumplir sus roles? forma regular. 2
desempeño del

alcanzar las metas organizacionales.

Identificar las habilidades

PO7.2 - Competencias del

Humanos de TI

de TI, benchmarks sobre

2.- ¿Se define los requerimientos esenciales de habilidades para TI? Las evaluaciones que se realizan de Nivel
personal.
puesto, rango de salarios y

Verificar de forma periódica que el personal tenga las forma regular. 2

descripciones de

habilidades para cumplir sus roles con base en su

educación, entrenamiento y/o experiencia. Definir los 3.- ¿Se verifica que se les dé mantenimiento, usando programas de Las evaluaciones que se realizan de Nivel
requerimientos esenciales de habilidades para TI y verificar calificación según sea el caso? forma regular. 2
Personal.

que se les dé mantenimiento, usando programas de

calificación y certificación según sea el caso. 4.- ¿Se verifica que se les dé mantenimiento, usando programas de Las evaluaciones que se realizan de Nivel
certificación según sea el caso? forma regular. 2

1.- ¿El marco de trabajo para la asignación de los roles, Se encuentra trabajando en la creación
Nivel
benchmarks sobre descripciones

Definir, monitorear y supervisar los marcos de trabajo para responsabilidades y compensación del personal está definido? de roles.
Identificar las habilidades de TI,

de puesto, rango de salarios y

0
PO7.3 - Asignación de Roles.

los roles, responsabilidades y compensación del personal,

desempeño del personal.

incluyendo el requerimiento de adherirse a las políticas y
procedimientos administrativos, así como al código de ética
y prácticas profesionales. El nivel de supervisión debe estar
de acuerdo con la sensibilidad del puesto y el grado de
responsabilidades asignadas.
2.- ¿El marco de trabajo para la asignación de los roles, Se encuentra trabajando en la creación Nivel
responsabilidades y compensación del personal está monitoreado? de roles. 0
3.- ¿El marco de trabajo para la asignación de los roles, Se encuentra trabajando en la creación Nivel
responsabilidades y compensación del personal está supervisado? de roles. 0

4.- ¿El nivel de supervisión es acorde con la sensibilidad del puesto y las Se encuentra trabajando en la creación Nivel
responsabilidades asignadas? de roles. 0
 1.- ¿Se proporciona a los empleados de TI entrenamiento continuo? Se tiene como objetivo empezar a Nivel

compe
dimien

contra

investi

entren
TI(recl
Proporcionar a los empleados de TI la orientación necesaria

releva
proce

RH
polític

Entre

Perso

nsar,
utar,
nami
para

ento
ntes
de7.4

gar,
as y

PO

tar,

TI.
0

tos

del

nal
brindar capacitaciones a los miembros

de

ar
ut
ec
ar

-
la
Ej

s
al momento de la contratación y entrenamiento continuo
del personal.
para conservar su conocimiento, aptitudes, habilidades,
1.- ¿Se minimiza las dependencias críticas sobre individuos clave? Si, después de aplicar las evaluaciones. Nivel

habilid

puesto
bench

descri
marks
Identifi

rango
e s de
sobre

pcion
de TI,

PO7.5

dencia

Individ
Minimizar la exposición a dependencias críticas sobre

Depen
ades

Sobre
controles internos y conciencia sobre la seguridad, al nivel

uos.
de
las
car
1

los
,
-
individuos clavealcanzar
requerido para por medio
las de la captura
metas del conocimiento
organizacionales.
(documentación), compartir el conocimiento, planeación de
1.- ¿Se verifican los antecedentes en el proceso de reclutamiento de TI? Se lo realiza frecuentemente, o cuando Nivel
la sucesión y respaldos de personal.

contratar, investigar, compensar, entrenar,

Ejecutar las políticas relevantes de RH Incluir verificaciones de antecedentes en el proceso de la organización lo solicite. 1
reclutamiento de TI. El grado y la frecuencia de estas
verificaciones dependen de que tan delicada ó crítica sea la 2.- ¿Se verifican con frecuencia estos antecedentes? Se lo realiza frecuentemente, o cuando Nivel
función y se deben aplicar a los empleados, contratistas y la organización lo solicite. 1
proveedores.

Investigación del Personal.

terminar).

3.- ¿Las verificaciones se aplican a empleados? Se lo realiza frecuentemente, o cuando Nivel

PO7.6 -
la organización lo solicite. 1

4.- ¿Las verificaciones se aplican a contratistas? Se lo realiza frecuentemente, o cuando Nivel

la organización lo solicite. 1

5.- ¿Las verificaciones se aplican a proveedores? Se lo realiza frecuentemente, o cuando Nivel

la organización lo solicite. 1
evaluar, promover, y

Procedimientos de
y procedimientos

para TI(reclutar,
 COBIT

ACTIVIDADES DEL

CALIFICACIÓN
OBJETIVOS DE
PROCESOS

CONTROL
DOMINIO

PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS

1.- ¿Las evaluaciones de desempeño se realizan periódicamente? Se realizan evaluaciones regularmente. Nivel
para TI(reclutar, contratar, investigar, compensar, entrenar,

2
Ejecutar las políticas y procedimientos relevantes de RH

Es necesario que las evaluaciones de desempeño se realicen

periódicamente, comparando contra los objetivos

PO7.7 - Evaluación del Desempeño del Empleado.

2.- ¿Las evaluaciones se comparan contra los objetivos individuales Solo se compara con metas
individuales derivados de las metas organizacionales, Nivel
derivados de las metas organizacionales? organizacionales generales.
estándares establecidos y responsabilidades específicas del 1
puesto. Los empleados deben recibir adiestramiento sobre su
evaluar, promover, y

desempeño y conducta, según sea necesario. 3.- ¿Las evaluaciones se comparan contra los estandares establecidos? Si, estandares empresariales Nivel
1
terminar).

4.- ¿Las evaluaciones se comparan contra las responsabilidades Si, se lo compara con estas
Nivel
específicas del puesto? responsabilidades
1
PO7 - Administrar los Recursos Humanos de TI

5.- ¿Los empleados reciben adiestramiento sobre su desempeño? No, pero se plantea realizar capaciationes
Nivel
a futuro. 0

6.- ¿Los empleados reciben adiestramiento sobre su conducta? No, pero se plantea realizar capaciationes
Nivel
a futuro.
0

1.- ¿Se toman medidas expeditas respecto a los cambios en los puestos, Si, antes de realizar los cambios se analiza.
Nivel
Tomar medidas expeditas respecto a los cambios en los en especial las terminaciones?
2
relevantes de RH para TI(reclutar, contratar,

PO7.8 - Cambios y Terminación de Trabajo.

investigar, compensar, entrenar, evaluar,

puestos, en especial las terminaciones. Se debe realizar la

transferencia del conocimiento, reasignar responsabilidades 2.- ¿Se realiza la transferencia del conocimiento? Si, antes de realizar el cambio debe Nivel
Ejecutar las políticas y procedimientos

y se deben eliminar los privilegios de acceso, de tal modo transferirse el conocimiento. 2

promover, y terminar).

que los riesgos se minimicen y se garantice la continuidad de

la función.
3.- ¿Se reasigna responsabilidades? Si, antes de realizar los cambios se
reasigna. Nivel
2

4.- ¿Se eliminan los privilegios de acceso, de tal modo que los riesgos se Si, antes de realizar los cambios se realiza.
Nivel
minimicen?
2
P 5.- ¿Se eliminan los privilegios de acceso, de tal modo que se garantice la Si, antes de realizar los cambios se realiza.
Nivel
L continuidad de la función?
2

A 1.- ¿Se cuenta con un QMS de TI alineados con los requerimientos del No se dispone de una QMS por el momento Nivel
negocio?
N 0

E 2.- ¿Este QMS proporciona un enfoque estándar, formal y continuo con No se dispone de una QMS por el momento Nivel
respecto a la administración de la calidad? 0
A Establecer y mantener un QMS que proporcione un enfoque
estándar, formal y continuo, con respecto a la
3.- ¿El QMS identifica los requerimientos? No se dispone de una QMS por el momento
R administración de la calidad, que esté alineado con los Nivel
requerimientos del negocio. El QMS identifica los 0
requerimientos y los criterios de calidad, los procesos claves
de TI, y su secuencia e interacción, así como las políticas, 4.- ¿El QMS identifica los criterios de calidad? No se dispone de una QMS por el momento Nivel
Y criterios y métodos para definir, detectar, corregir y prever 0
las no conformidades. El QMS debe definir la estructura
organizacional para la administración de la calidad, 5.- ¿El QMS identifica los procesos claves de TI? No se dispone de una QMS por el momento Nivel
O cubriendo los roles, las tareas y las responsabilidades. 0
Todas las áreas clave desarrollan sus planes de calidad de
R acuerdo a los criterios y políticas, y registran los datos de
6.- ¿El QMS identifica las políticas para definir, detectar, corregir y prever No se dispone de una QMS por el momento
calidad. Monitorear y medir la efectividad y aceptación del Nivel
G QMS y mejorarla cuando sea necesario.
las no conformidades? 0

A 7.- ¿El QMS identifica los criterios para definir, detectar, corregir y prever No se dispone de una QMS por el momento Nivel
las no conformidades?
N 0

I 8.- ¿El QMS identifica los métodos para definir, detectar, corregir y prever No se dispone de una QMS por el momento Nivel
las no conformidades? 0
Z
9.- ¿El QMS define la estructura organizacional para la administración de No se dispone de una QMS por el momento
A la calidad, cubriendo los roles, las tareas y las responsabilidades?
Nivel
0
m
O

A
d

d
P

C
8

a
s

r
t
-

R
i

l
i

10.- ¿Las áreas clave desarrollan sus planes de calidad de acuerdo a los No se dispone de una QMS por el momento Nivel
Definir un sistema de administración de calidad.

PO8.1 - Sistema de Administración de Calidad.

criterios y políticas, y registran los datos de calidad? 0

11.- ¿Se monitorea la efectividad del QMS? No se dispone de una QMS por el momento Nivel
0

12.- ¿Se mide la efectividad del QMS? No se dispone de una QMS por el momento Nivel
0

13.- ¿Se monitorea la aceptación del QMS? No se dispone de una QMS por el momento Nivel
0

14.- ¿Se mide la aceptación del QMS? No se dispone de una QMS por el momento Nivel
0

15.- ¿Se lo mejora cuando es necesario? No se dispone de una QMS por el momento Nivel
0

Identificar y mantener estándares, procedimientos y 1.- ¿Se identifica estándares para los procesos clave de TI? No se dispone de una QMS por el momento Nivel
Establecer y mantener un sistema de

prácticas para los procesos clave de TI para orientar a la 0

Estándares y Prácticas de Calidad.

organización hacia el cumplimiento del QMS. Usar las

administración de calidad.

buenas prácticas de la industria como referencia al mejorar 2.- ¿Se identifica procedimientos para los procesos clave de TI? No se dispone de una QMS por el momento Nivel
y adaptar las prácticas de calidad de la organización. 0
PO8.2 -

3.- ¿Se identifica prácticas para los procesos clave de TI? No se dispone de una QMS por el momento Nivel
0

4.- ¿Se usan las buenas prácticas de la industria como referencia al No se dispone de una QMS por el momento Nivel
mejorar y adaptar las prácticas de calidad de la organización? 0

100
 1.- ¿Se adoptan estándares para todo desarrollo y adquisición que siga el Se esta trabajando en este tipo de control Nivel
ciclo de vida, hasta el último entregable? actualmente. 0

2.- ¿Se mantienen estándares para todo desarrollo y adquisición que siga Se esta trabajando en este tipo de control Nivel
el ciclo de vida, hasta el último entregable? actualmente. 0
Adoptar y mantener estándares para todo desarrollo y
adquisición que siga el ciclo de vida, hasta el último 3.- ¿Se incluyen estándares de codificación de software? Se esta trabajando en este tipo de control Nivel
entregable e incluir la aprobación en puntos clave con base actualmente. 0
en criterios de aceptación acordados. Los temas a considerar
incluyen estándares de codificación de software, normas de 4.- ¿Se incluyen normas de nomenclatura? Se esta trabajando en este tipo de control
nomenclatura; formatos de archivos, estándares de diseño Nivel
actualmente. 0
para esquemas y diccionario de datos; estándares para la
interfaz de usuario; inter operabilidad; eficiencia de
desempeño de sistemas; escalabilidad; estándares para 5.- ¿Se incluyen formatos de archivos? Se esta trabajando en este tipo de control Nivel
desarrollo y pruebas; validación contra requerimientos; actualmente. 0
planes de pruebas; y pruebas unitarias, de regresión y de
integración. 6.- ¿Se incluyen estándares de diseño para esquemas y diccionario de Se esta trabajando en este tipo de control Nivel
datos? actualmente. 0

7.- ¿Se incluyen estándares para la interfaz de usuario? Se esta trabajando en este tipo de control Nivel
actualmente. 0

8.- ¿Se incluye inter operabilidad? Se esta trabajando en este tipo de control Nivel
actualmente. 0

9.- ¿Se incluye eficiencia de desempeño de sistemas? Se esta trabajando en este tipo de control Nivel
actualmente. 0
Crear y comunicar estándares de calidad a toda la organización.

10.- ¿Se incluyen escalabilidad? Se esta trabajando en este tipo de control Nivel
PO8.3 - Estándares de Desarrollo y de Adquisición.

actualmente. 0

11.- ¿Se incluyen estándares para desarrollo y pruebas? Se esta trabajando en este tipo de control Nivel
actualmente. 0

12.- ¿Se incluyen validación contra requerimientos? Se esta trabajando en este tipo de control Nivel
actualmente. 0

13.- ¿Se incluyen planes de pruebas? Se esta trabajando en este tipo de control Nivel
actualmente. 0

14.- ¿Se incluyen pruebas unitarias de regresión? Se esta trabajando en este tipo de control Nivel
actualmente. 0

15.- ¿Se incluyen pruebas unitarias de integración? Se esta trabajando en este tipo de control Nivel
actualmente. 0

1.- ¿Está enfocada la administración de calidad en los clientes? Si se realiza reuniones constantes con el
PO8.4 - Enfoque en el Cliente

Nivel
Enfocar la administración de calidad en los clientes, cliente para garantizar su satisfacción.
estándares de calidad a

2
toda la organización.

determinando sus requerimientos y alineándolos con los

Crear y comunicar

estándares y prácticas de TI. Definir roles y Nivel

2.- ¿Están definidos los roles respecto a la resolución de conflictos entre Se dispone de personal para este caso.
responsabilidades respecto a la resolución de conflictos 2
el usuario/cliente y la organización de TI?
entre el usuario/cliente y la organización de TI.

3.- ¿Están definidos las responsabilidades respecto a la resolución de Se dispone de personal para este caso. Nivel
de TI.

conflictos entre el usuario/cliente y la organización de TI? 2

1.- ¿Se mantiene un plan global de calidad que promueva la mejora No se tiene un plan global actualmente.
Nivel
plan de calidad

PO8.5 - Mejora

continua?
para la mejora
administrar el

0
continua.

Continua.
Crear y

Mantener y comunicar regularmente un plan global de

calidad que promueva la mejora continua. 2.- ¿Se comunica regularmente el plan global de calidad? No se tiene un plan global actualmente.
Nivel
0

1.- ¿Están definidas mediciones para monitorear el cumplimiento No se dispone de una QMS por el momento Nivel
continuo del QMS? 0
Medir, monitorear y revisar el cumplimiento de las metas de calidad.

2.- ¿Están planeadas mediciones para monitorear el cumplimiento No se dispone de una QMS por el momento Nivel
Definir, planear e implementar mediciones para monitorear continuo del QMS? 0
el cumplimiento continuo del QMS, así como el valor que el
QMS proporciona. La medición, el monitoreo y el registro de
3.- ¿Están implementadas mediciones para monitorear el cumplimiento No se dispone de una QMS por el momento Nivel
la información deben ser usados por el dueño del proceso
continuo del QMS? 0
para tomar las medidas correctivas y preventivas
apropiadas.
PO8.6 - Medición, Monitoreo y Revisión de la Calidad.

4.- ¿Está definido el valor que el QMS proporciona? No se dispone de una QMS por el momento Nivel
0

5.- ¿Está planeado el valor que el QMS proporciona? No se dispone de una QMS por el momento Nivel
0

6.- ¿Está implementado el valor que el QMS proporciona? No se dispone de una QMS por el momento Nivel
0

7.- ¿Esta medición, monitoreo y registro de la información son usados por No se dispone de una QMS por el momento Nivel
el dueño del proceso para tomar las medidas correctivas apropiadas? 0

8.- ¿Esta medición, monitoreo y registro de la información son usados por No se dispone de una QMS por el momento Nivel
el dueño del proceso para tomar las medidas preventivas apropiadas? 0

100
 C O B IT

ACTIVIDADES DEL

CALIFICACIÓN
OBJETIVOS DE
PROCESOS
DOMINIO

CONTROL
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS

1.- ¿Está establecido un marco de trabajo de administración de riesgos de

ón de riesgos

Administraci
la alineación

administraci
Determinar

(ej: Evaluar

Trabajo de
Marco de
Establecer un marco de trabajo de administración de riesgos TI?

Riesgos.
PO9.1 -
riesgo).

ón de
de la

de TI que esté alineado al marco de trabajo de

administración de riesgos de la organización. 2.- ¿El marco de trabajo de administración de riesgos de TI está alineado
al marco de trabajo de administración de riesgos de la organización?
1.- ¿El marco de trabajo de evaluación de riesgos se aplica para
PO9.2 - Establecimiento del
garantizar resultados apropiados?
Determinar la alineación
de la administración de

Contexto del Riesgo.

(ej: Evaluar riesgo).

Establecer el contexto en el cual el marco de trabajo de 2.- ¿Está incluida la determinación del contexto interno de cada
evaluación de riesgos se aplica para garantizar resultados evaluación de riesgos?
apropiados. Esto incluye la determinación del contexto 3.- ¿Está incluida la determinación del contexto externo de cada
riesgos

interno y externo de cada evaluación de riesgos, la meta de evaluación de riesgos?

la evaluación y los criterios contra los cuales se evalúan los 4.- ¿Está incluida la meta de la evaluación contra los cuales se evalúan
riesgos. los riesgos?
5.- ¿Están incluidos los criterios contra los cuales se evalúan los riesgos?

1.- ¿Están identificadas las amenazas importantes con impacto potencial

*Entender los objetivos de los

negativo sobre las metas o las operaciones de la empresa?

*Entender los objetivos de negocio

PO9.3 - Identificación de Eventos.

procesos de negocios relevantes.

Identificar eventos (una amenaza importante y realista que

PO9 - Evaluar y Administrar los Riesgos de TI

explota una vulnerabilidad aplicable y significativa) con un

impacto potencial negativo sobre las metas o las
operaciones de la empresa, incluyendo aspectos de negocio,
2.- ¿Se determina la naturaleza del impacto?
estratégicos relevantes.

regulatorios, legales, tecnológicos, de sociedad comercial, de

recursos humanos y operativos. Determinar la naturaleza del
3.- ¿Se mantiene esta información?
impacto y mantener esta información. Registrar y mantener
los riesgos relevantes en un registro de riesgos.
4.- ¿Se registran los riesgos relevantes en un registro de riesgos?

5.- ¿Se mantienen los riesgos relevantes en un registro de riesgos?

1.- ¿Se evalúa en forma recurrente la probabilidad e impacto de todos los

PO9.4 - Evaluación de Riesgos de TI.
TI y establecer el contexto del riesgo.
*Identificar los objetivos internos de

orientados a negocio (negocio es A);

riesgos identificados?
*Identificar eventos asociados con

algunos están orientados a TI (TI es

objetivos, algunos eventos están

2.- ¿Se usan métodos cualitativos?

A, negocio es C). *Asesorar el

P Evaluar de forma recurrente la probabilidad e impacto de 3.- ¿Se usan métodos cuantitativos?
todos los riesgos identificados, usando métodos cualitativos
riesgo con los eventos.

L y cuantitativos. La probabilidad e impacto asociados a los 4.- ¿Se determina de forma individual la probabilidad e impacto
riesgos inherentes y residuales se debe determinar de forma asociados a los riesgos inherentes y residuales?
A individual, por categoría y con base en el portafolio. 5.- ¿Se determina por categoría la probabilidad e impacto asociados a los
N riesgos inherentes y residuales?
6.- ¿Se determina con base en el portafolio la probabilidad e impacto
E asociados a los riesgos inherentes y residuales?

A Desarrollar y mantener un proceso de respuesta a riesgos 1.- ¿Se cuenta con un proceso de respuesta a riesgos diseñado para
PO9.5 - Respuesta a

diseñado para asegurar que controles efectivos en costo asegurar que controles efectivos en costo mitigan la exposición en forma
respuestas a

los Riesgos.

R
seleccionar

continua?
Evaluar y

mitigan la exposición en forma continua. El proceso de

riesgo.

respuesta a riesgos debe identificar estrategias tales como
evitar, reducir, compartir o aceptar riesgos; determinar
responsabilidades y considerar los niveles de tolerancia a
Y riesgos.
Priorizar y planear las actividades de control a todos los
*Aprobar y asegurar fondos
2.- ¿El proceso de respuesta a riesgos identifica estrategias tales como
evitar, reducir, compartir o aceptar riesgos?
3.- ¿El proceso de respuesta a riesgos considera los niveles de tolerancia
a riesgos?
1.- ¿Se prioriza las actividades de control a todos los niveles para

*Mantener y monitorear un
plan de acción de riesgos.

PO9.6 - Mantenimiento y
para planes de acción de

niveles para implementar las respuestas a los riesgos, implementar las respuestas a los riesgos?
Monitoreo de un Plan
de Acción de Riesgos.
*Priorizar y Planear

O identificadas como necesarias, incluyendo la identificación 2.- ¿Se obtiene la aprobación para las acciones recomendadas de
actividades de

de costos, beneficios y la responsabilidad de la ejecución. cualquier riesgo residual?

R
control.

Obtener la aprobación para las acciones recomendadas y la 3.- ¿Se obtiene la aceptaciónde las acciones recomentadas de cualquier
aceptación de cualquier riesgo residual, y asegurarse de que
G 4.- ¿Se asegura que las acciones comprometidas están a cargo del dueño
riesgos.

las acciones comprometidas están a cargo del dueño (s) de

5.- ¿Se monitorea la ejecución de los planes?
A los procesos afectados. Monitorear la ejecución de los
planes y reportar cualquier desviación a la alta dirección. 6.- ¿Se reporta cualquier desviación a la alta dirección?
N Mantener el programa de los proyectos, relacionados con el 1.- ¿Se mantiene un programa de proyectos, relacionados con el
portafolio de programas de inversiones facilitadas por TI?
I portafolio de programas de inversiones facilitadas por TI,
para inversiones en TI.
programas/portafolio
Definir un marco de

PO10.1 - Marco de

por medio de la identificación, definición, evaluación,

Administración de

2.- ¿Se asegura que los proyectos apoyen los objetivos del programa?
administración de

Trabajo para la

Z otorgamiento de prioridades, selección, inicio,

Programas.

3.- ¿Se coordina las actividades e interdependencias de múltiples

administración y control de los proyectos. Asegurarse de que
proyectos?
A los proyectos apoyen los objetivos del programa. Coordinar
las actividades e interdependencias de múltiples proyectos, 4.- ¿Se administra la contribución de todos los proyectos dentro del
R administrar la contribución de todos los proyectos dentro programa hasta obtener los resultados esperados?
del programa hasta obtener los resultados esperados, y 5.- ¿Se resuelven los requerimientos y conflictos de recursos?
resolver los requerimientos y conflictos de recursos.
1.- ¿Existe un marco de trabajo para la administración de proyectos que
Establecer y mantener un marco de trabajo para la
un Marco de Trabajo
Establecer y mantener

para la administración
de proyectos de TI.

defina el alcance?
PO10.2 - Marco de

Administración de

administración de proyectos que defina el alcance y los

Trabajo para la

2.- ¿Este marco de trabajo defina los límites de la administración de

Proyectos.

límites de la administración de proyectos, así como las proyectos?

PO10 - Administrar Proyectos.

metodologías a ser adoptadas y aplicadas en cada proyecto

3.- ¿Este marco de trabajo define las metodologías a ser adoptadas y
emprendido. El marco de trabajo y los métodos de soporte se
aplicadas en cada proyecto emprendido?
deben integrar con los procesos de administración de
4.- ¿El marco de trabajo y los métodos de soporte están integrados con
programas.
los procesos de administración de programas?
1.- ¿Está establecido un enfoque de administración de proyectos que
corresponda al tamaño de cada proyecto?
administración de sistemas. *Elaborar estatutos, calendarios, planes
*Establecer y mantener un sistema de monitoreo, medición y

de calidad, presupuestos y planes de comunicación y de

PO10.3 - Enfoque de Administración de Proyectos.

2.- ¿Está establecido un enfoque de administración de proyectos que

Establecer un enfoque de administración de proyectos que corresponda a la complejidad de cada proyecto?
corresponda al tamaño, complejidad y requerimientos 3.- ¿Está establecido un enfoque de administración de proyectos que
regulatorios de cada proyecto. La estructura de gobierno de corresponda a los requerimientos regulatorios de cada proyecto?
administración de riesgos.

proyectos puede incluir los roles, las responsabilidades y la
rendición de cuentas del patrocinador del programa,
patrocinadores de proyectos, comité de dirección, oficina de
proyectos, y gerente del proyecto, así como los mecanismos
por medio de los cuales pueden satisfacer esas
responsabilidades (tales como reportes y revisiones por
etapa). Asegurarse que todos los proyectos de TI cuenten con
patrocinadores con la suficiente autoridad para apropiarse
de la ejecución del proyecto dentro del programa estratégico
global.
4.- ¿La estructura de gobierno de proyectos incluye los roles del
patrocinador del programa, patrocinadores de proyectos, comité de
dirección, oficina de proyectos, y gerente del proyecto?
5.- ¿La estructura de gobierno de proyectos incluye las responsabilidades
del patrocinador del programa, patrocinadores de proyectos, comité de
dirección, oficina de proyectos, y gerente del proyecto?
6.- ¿La estructura de gobierno de proyectos incluye la rendición de
cuentas del patrocinador del programa, patrocinadores de proyectos,
comité de dirección, oficina de proyectos, y gerente del proyecto?
7.- ¿La estructura de gobierno de proyectos incluye los mecanismos por
medio de los cuales pueden satisfacer esas responsabilidades (tales como
reportes y revisiones por etapa)?
8.- ¿Se asegura que todos los proyectos de TI cuenten con patrocinadores
con suficiente autoridad para apropiarse de la ejecución del proyecto
dentro del programa estratégico global?

101
 COBIT

ACTIVIDADES DEL

CALIFICACIÓN
OBJETIVOS DE
PROCESOS

CONTROL
DOMINIO

PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS

1.- ¿Existe el compromiso de los interesados afectados en la definición y

PO10.4 - Compromiso
los proyectos y de los
proyecto. *Asegurar
el control efectivo de

cambios a proyectos.
compromiso de los

de los Interesados.
ejecución del proyecto dentro del contexto del programa global de
interesados del
participación y

Obtener el compromiso y la participación de los interesados inversiones facilitadas por TI?

*Asegurar la

afectados en la definición y ejecución del proyecto dentro del

contexto del programa global de inversiones facilitadas por 2.- ¿Se cuenta con la participación de los interesados afectados en la
TI. definición y ejecución del proyecto dentro del contexto del programa
global de inversiones facilitadas por TI?

1.- ¿Está definida la naturaleza del proyecto para confirmar y desarrollar

PO10.5 - Declaración de
aseguramiento y revisión

entre los interesados, un entendimiento común del alcance del proyecto?

Alcance del Proyecto.

Definir y documentar la naturaleza y alcance del proyecto

Definir e implementar

para confirmar y desarrollar, entre los interesados, un 2.- ¿Está documentada la naturaleza del proyecto? ¾
de proyectos.
métodos de

entendimiento común del alcance del proyecto y cómo se
relaciona con otros proyectos dentro del programa global de
inversiones facilitadas por TI. La definición se debe aprobar
de manera formal por parte de los patrocinadores del
programa y del proyecto antes de iniciar el proyecto.
Aprobar el inicio de las etapas importantes del proyecto y
métodos de aseguramiento
3.- ¿Está definido el alcance del proyecto?
4.- ¿Está documentado el alcance del proyecto?
5.- ¿Está definid como se relaciona con otros proyectos dentro del
programa global de inversiones facilitadas por TI?
6.- ¿La definición se aprueba de manera formal por parte de los
patrocinadores del proyecto antes de iniciar el proyecto?
1.- ¿Se aprueba el inicio de las etapas importantes del proyecto?

PO10.6 - Inicio de las Fases

comunicarlo a todos los interesados. La aprobación de la

y revisión de proyectos.

2.- ¿Se comunica a todos los interesados?

Definir e implementar

fase inicial se debe basar en las decisiones de gobierno del

del Proyecto.

3.- ¿La aprobación de la fase inicial está basada en las decisiones de

programa. La aprobación de las fases subsiguientes se debe
gobierno del programa?
basar en la revisión y aceptación de los entregables de la
4.- ¿La aprobación de las fases subsiguientes están basadas en la
fase previa, y la aprobación de un caso de negocio
revisión y aceptación de los entregables de la fase previa?
actualizado en la próxima revisión importante del programa.
5.- ¿En fases traslapadas, está establecido un punto de aprobación por
En el caso de fases traslapadas, se debe establecer un punto
parte de los patrocinadores del programa y del proyecto, para autorizar
de aprobación por parte de los patrocinadores del programa
así el avance del proyecto?
y del proyecto, para autorizar así el avance del proyecto.
1.- ¿Existe un plan aprobadp para el proyecto que guie la ejecución y el
aseguramiento y revisión de proyectos.

PO10.7 - Plan Integrado del Proyecto.

control del proyecto a lo largo de la vida de éste?

Definir e implementar métodos de

Establecer un plan integrado para el proyecto, aprobado y

2.- ¿Están entendidas las actividades e interdependencias de múltiples
formal (que cubra los recursos de negocio y de los sistemas
proyectos dentro de un mismo programa?
de información) para guiar la ejecución y el control del
P proyecto a lo largo de la vida del éste. Las actividades e
interdependencias de múltiples proyectos dentro de un
L mismo programa se deben entender y documentar. El plan del
3.- ¿Están documentadas las actividades e interdependencias de
múltiples proyectos dentro de un mismo programa?
proyecto se debe mantener a lo largo de la vida del mismo. El
A plan del proyecto, y las modificaciones a éste, se deben
N aprobar de acuerdo al marco de trabajo de gobierno del
programa y del proyecto.
4.- ¿El plan del proyecto se mantiene a lo largo de la vida del mismo?
5.- ¿El plan del proyecto, y las modificaciones a éste, se aprueban de
E acuerdo al marco de trabajo de gobierno del programa y del proyecto?
A Definir las responsabilidades, relaciones, autoridades y 1.- ¿Están definidas las responsabilidades, relaciones, autoridades y
revisión de proyectos.

PO10.8 - Recursos del

Definir e implementar
PO10 - Administrar Proyectos.

criterios de desempeño de los miembros del equipo del criterios de desempeño de los miembros del equipo del proyecto?
aseguramiento y

R proyecto y especificar las bases para adquirir y asignar a los 2.- ¿Se especifica las bases para adquirir y asignar a los miembros
métodos de

Proyecto.

miembros competentes del equipo y/o a los contratistas al
proyecto. La obtención de productos y servicios requeridos
para cada proyecto se debe planear y administrar para
Y alcanzar los objetivos del proyecto, usando las prácticas de
adquisición de la organización.
Eliminar o minimizar los riesgos específicos asociados con
revisión de proyectos.
Definir e implementar
competentes del equipo y/o a los contratistas al proyecto?
3.- ¿Se planea y administra la obtención de productos y servicios
requeridos para cada proyecto?
4.- ¿Se utilizan las prácticas de adquisición de la organización?
1.- ¿Existe un proceso sistemático que elimine o minimice riesgos

O los proyectos individuales por medio de un proceso especificos asociados con los proyectos individuales?
Administración de
aseguramiento y

sistemático de planeación, identificación, análisis,

métodos de

Riesgos del

2.- ¿Están establecidos y registrados de forma central los riesgos

Proyecto.
PO10.9 -

R respuesta, monitoreo y control de las áreas o eventos que afrontados por el proceso de administración de proyectos y el producto
tengan el potencial de ocasionar cambios no deseados. Los entregable del proyecto?
G riesgos afrontados por el proceso de administración de
proyectos y el producto entregable del proyecto se deben
A establecer y registrar de forma central.
N 1.- ¿Se cuenta con un plan de administración de la calidad que describa
PO10.10 - Plan

Preparar un plan de administración de la calidad que

de Calidad del
de proyectos.
aseguramient
implementar
métodos de

o y revisión

Proyecto.

el sistema de calidad del proyecto y cómo será implantado?

Definir e

describa el sistema de calidad del proyecto y cómo será

I implantado. El plan debe ser revisado y acordado de manera 2.- ¿Se revisa este plan y se acuerda de manera formal por todas las partes
formal por todas las partes interesadas para luego ser interesadas para luego ser incorporado en el plan integrado del proyecto?
Z incorporado en el plan integrado del proyecto.

A Establecer un sistema de control de cambios para cada 1.- ¿Existe un sistema de control de cambios para cada proyecto?
aseguramiento

Cambios del
y revisión de

proyecto, de tal modo que todos los cambios a la línea base

implementar

proyectos.
métodos de

Control de
PO10.11 -

Proyecto.

R
Definir e

del proyecto (Ej. costos, cronograma, alcance y calidad) se 2.- ¿Estos cambios (Ej. costos, cronograma, alcance y calidad) se revisan,
revisen, aprueben e incorporen de manera apropiada al plan aprueben e incorporan apropiadamente al plan integrado del proyecto?
integrado del proyecto, de acuerdo al marco de trabajo de
gobierno del programa y del proyecto.
1.- ¿Están identificadas las tareas de aseguramiento requeridas para
revisión de proyectos.

PO10.12 - Planeación
Definir e implementar

Identificar las tareas de aseguramiento requeridas para apoyar la acreditación de sistemas nuevos o modificados durante la
aseguramiento y

Aseguramiento.
del Proyecto y

apoyar la acreditación de sistemas nuevos o modificados planeación del proyecto?

Métodos de
métodos de

durante la planeación del proyecto e incluirlos en el plan

integrado. Las tareas deben proporcionar la seguridad de 2.- ¿Están incluidos en el plan integrado?
que los controles internos y las características de seguridad 3.- ¿Las tareas proporcionan la seguridad de que los controles internos y
satisfagan los requerimientos definidos. las características de seguridad satisfagan los requerimientos definidos?

1.- ¿Se mide el desempeño del proyecto contra los criterios clave del
Desempeño, Reporte y Monitoreo
Definir e implementar métodos
de aseguramiento y revisión de

proyecto (Ej. alcance, cronograma, calidad, costos y riesgos)?

Medir el desempeño del proyecto contra los criterios clave
PO10.13 - Medición del

2.- ¿Se identifica las desviaciones con respecto al plan?

del proyecto (Ej. alcance, cronograma, calidad, costos y
3.- ¿Se evalúa su impacto sobre el proyecto?
del Proyecto.

riesgos); identificar las desviaciones con respecto al plan;

proyectos.

evaluar su impacto sobre el proyecto y sobre el programa 4.- ¿Se evalúa su impacto sobre el programa global?
global; reportar los resultados a los interesados clave; y 5.- ¿Se reportan los resultados a los interesados clave?
recomendar, Implementar y monitorear las medidas 6.- ¿Se recomienda las medidas correctivas, según sea requerido, de
correctivas, según sea requerido, de acuerdo con el marco de acuerdo con el marco de trabajo de gobierno del proyecto?
trabajo de gobierno del programa y del proyecto. 7.- ¿Se implementa las medidas correctivas?
8.- ¿Se monitorea las medidas correctivas?
1.- ¿Al final de cada proyecto, los interesados se cercioran de que el
Solicitar que al finalizar cada proyecto, los interesados del
aseguramiento y revisión

proyecto haya proporcionado los resultados y los beneficios esperados?

Definir e implementar

PO10.14 - Cierre del

proyecto se cercioren de que el proyecto haya proporcionado

de proyectos.

los resultados y los beneficios esperados. Identificar y

métodos de

Proyecto.

comunicar cualquier actividad relevante requerida para

alcanzar los resultados planeados del proyecto y los
2.- ¿Se comunica cualquier actividad requerida para alcanzar los
beneficios del programa, e identificar y documentar las
resultados planeados del proyecto y los beneficios del programa?
lecciones aprendidas a ser usadas en futuros proyectos y
3.- ¿Se documenta las lecciones aprendidas para ser usadas en futuros
programas.
proyectos y programas?

102
 COBIT

ACTIVIDADES DEL

OBJETIVOS DE

CALIFICACIÓN
PROCESOS

CONTROL
DOMINIO

PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS

1.- ¿Se identifica los requerimientos funcionales del negocio que cubran
negocio. *Establecer procesos para la integridad/válidez de

el alcance completo de los programas de inversión en TI?

AI1.1 - Definición y Mantenimiento de los Requerimientos

Definir los requerimientos funcionales y técnicos del

Técnicos y Funcionales del Negocio.

2.- ¿Se identifica los requerimientos técnicos del negocio que cubran el
los requerimientos.

Identificar, dar prioridades, especificar y acordar los
requerimientos de negocio funcionales y técnicos que cubran el
alcance completo de todas las iniciativas requeridas para lograr alcance completo de los programas de inversión en TI?
los resultados esperados de los programas de
inversión en TI.
AI1 - Identificar soluciones automatizadas.
alcance completo de los programas de inversión en TI?
3.- ¿Se prioriza los requerimientos funcionales del negocio que cubran el
4.- ¿Se prioriza los requerimientos técnicos del negocio que cubran el
alcance completo de los programas de inversión en TI?
5.- ¿Se especifica los requerimientos funcionales del negocio que cubran
el alcance completo de los programas de inversión en TI?
6.- ¿Se especifica los requerimientos técnicos del negocio que cubran el
alcance completo de los programas de inversión en TI?
7.- ¿Se acorda los requerimientos funcionales del negocio que cubran el
alcance completo de los programas de inversión en TI?

8.- ¿Se acorda los requerimientos técnicos del negocio que cubran el alcance
completo de los programas de inversión en TI?
1.- ¿Se Identifica los riesgos asociados con los requerimientos del negocio como
y analizar el riesgo del

parte de los procesos organizacionales para el desarrollo de los

Identificar, documentar

proceso de negocio.

requerimientos?
Identificar, documentar y analizar los riesgos asociados con los
Análisis de
AI1.2 - Reporte de

2.- ¿Se identifica los riesgos asociados con el diseño de soluciones como parte
Riesgos.

requerimientos del negocio y diseño de soluciones como parte

de los procesos organizacionales para el desarrollo de los requerimientos?
de los procesos organizacionales para el desarrollo de los
requerimientos.
3.- ¿Se documenta los riesgos asociados con los requerimientos del
negocio?
4.- ¿Se analiza los riesgos asociados con los requerimientos del negocio?
1.- ¿Se desarrolla un estudio de factibilidad que examine la posibilidad de
AI1.3 - Estudio de Factibilidad y

implementar los requerimientos?

Formulación de Cursos de
negocio de las soluciones

Acción Alternativos.

Desarrollar un estudio de factibilidad que examine la

Evaluar los beneficios de

A posibilidad de Implementar los requerimientos. La 2.- ¿La administración del negocio, apoyada por la función de TI evalúa la
administración del negocio, apoyada por la función de TI, factibilidad?
D debe evaluar la factibilidad y los cursos alternativos de
propuestas.

acción y realizar recomendaciones al patrocinador del

Q negocio. 3.- ¿La administración del negocio, apoyada por la función de TI evalúa los
cursos alternativos de acción?
U 4.- ¿La administración del negocio, apoyada por la función de TI realiza
recomendaciones al patrocinador del negocio?
I 1.- ¿El patrocinador del negocio aprueba los requisitos funcionales de
R negocio?
*Elaborar un proceso de aprobación

Autorizar soluciones propuestas.

de Factibilidad y Aprobación.
respecto a la implantación de los

de requerimientos. *Aprobar y

AI1.4 - Requerimientos, Decisión

factibilidad/evaluación de impacto

requerimientos de negocio

I
Conducir un estudio de

Verificar que el proceso requiere al patrocinador del negocio 2.- ¿El patrocinador del negocio aprueba los requisitos técnicos de
R para aprobar y autoriza los requisitos de negocio, tanto
propuestos.

funcionales como técnicos, y los reportes del estudio de
factibilidad en las etapas clave predeterminadas. El
patrocinador del negocio tiene la decisión final con respecto a
E la elección de la solución y al enfoque de adquisición.
con
negocio?
3.- ¿El patrocinador del negocio autoriza los requisitos funcionales de
negocio?
4.- ¿El patrocinador del negocio autoriza los requisitos técnicos de
negocio?
5.- ¿El patrocinador del negocio aprueba los reportes del estudio de
factibilidad en las etapas clave predeterminadas?

I 6.- ¿El patrocinador del negocio autoriza los reportes del estudio de
factibilidad en las etapas clave predeterminadas?
M 1.- ¿Se traduce los requerimientos del negocio a una especificación de diseño
negocio en especificaciones de diseño

de alto nivel para la adquisición de software?

P
Traducir los requerimientos del

AI2.1 - Diseño de Alto Nivel.

Traducir los requerimientos del negocio a una especificación 2.- ¿Las especificaciones de diseño son aprobadas por la Gerencia?
de diseño de alto nivel para la adquisición de software,
L teniendo en cuenta las directivas tecnológicas y la 3.- ¿Se reevalúa los requerimientos cuando sucedan discrepancias
de alto nivel.

significativas técnicas durante el desarrollo o mantenimiento.?

E arquitectura de información dentro de la organización. Tener
aprobadas las especificaciones de diseño por gerencia para
M garantizar que el diseño de alto nivel responde a los
requerimientos. Reevaluar cuando sucedan discrepancias
E significativas técnicas o lógicas durante el desarrollo o
mantenimiento.
N 4.- ¿Se reevalúa los requerimientos cuando sucedan discrepancias
significativas lógicas durante el desarrollo o mantenimiento.?
T 1. ¿Se prepara el diseño detallado del software de aplicación?
A
AI2 - Adquirir y mantener software aplicativo.

Preparar diseño detallado y los requerimientos técnicos del

R
2. ¿Se prepara los requerimientos técnicos del software de aplicación?
3.- ¿Se define el criterio de aceptación de los requerimientos?
AI2.2 - Diseño Detallado.
software aplicativo.

Preparar el diseño detallado y los requerimientos técnicos

4.- ¿Se aprueba los requerimientos para garantizar que corresponden al
del software de aplicación. Definir el criterio de aceptación de
los requerimientos. Aprobar los requerimientos para diseño de alto nivel?
garantizar que corresponden al diseño de alto nivel. Realizar
reevaluaciones cuando sucedan discrepancias significativas
5.- ¿Se realiza reevaluaciones cuando sucedan discrepancias significativas
técnicas o lógicas durante el desarrollo o mantenimiento.
técnicas durante el desarrollo o mantenimiento del Software de aplicación?

6.- ¿Se realiza reevaluaciones cuando sucedan discrepancias significativas

lógicas durante el desarrollo o mantenimiento del Software de aplicación?

1.- ¿Se implementa controles de negocio cuando aplique, en controles de

aplicación automatizados?
Preparar diseño detallado y los requerimientos

AI2.3 - Control y Posibilidad de Auditar las

2.-¿El procesamiento de los controles de negocio son exactos?

técnicos del software aplicativo.

3.- ¿El procesamiento de los controles de negocio son completos?

Aplicaciones.

Implementar controles de negocio, cuando aplique, en 4.- ¿El procesamiento de los controles de negocio son oportunos?
controles de aplicación automatizados tal que el
procesamiento sea exacto, completo, oportuno, autorizado y 5.- ¿El procesamiento de los controles de negocio son autorizados?
auditable.

6.- ¿El procesamiento de los controles de negocio son auditables?

103
 COBIT

ACTIVIDADES DEL

OBJETIVOS DE

CALIFICACIÓN
PROCESOS

CONTROL
DOMINIO

PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS

1.- ¿Se aborda la seguridad de las aplicaciones?

Especificar los controles de aplicación dentro

AI2.4 - Seguridad y Disponibilidad de las Abordar la seguridad de las aplicaciones y los

Aplicaciones. requerimientos de disponibilidad en respuesta a los riesgos
del diseño.

identificados y en línea con la clasificación de datos, la
arquitectura de la información, la arquitectura de seguridad
de la información y la tolerancia a riesgos de la
organización.
2.- ¿Se aborda los requerimientos de disponibilidad en respuesta a los
riesgos identificados?
3.- ¿Se aborda los requerimentos en línea con la clasificación de datos?
4.- ¿Se aborda la arquitectura de la información?

5.- ¿Se aborda la arquitectura de seguridad de la información?

6.- ¿Se aborda la tolerancia a riesgos de la organización.?
1.- ¿Se configura el software de aplicaciones adquiridas para conseguir
AI2.5 - Configuración e Implantación

los objetivos de negocio?

de Software Aplicativo Adquirido.
Personalizar e implementar

automatizada adquirida.
la funcionalidad

Configurar e implementar software de aplicaciones

adquiridas para conseguir los objetivos de negocio.

2.- ¿Se implementa software de aplicaciones adquiridas para conseguir

los objetivos de negocio?

1.- ¿Se realizan cambios importantes a los sistemas existentes que

AI2.6 - Actualizaciones Importantes

A resulten cambios significativos al diseño actual?

Personalizar e implementar

automatizada adquirida.

en Sistemas Existentes.

D
la funcionalidad

En caso de cambios importantes a los sistemas existentes que

Q resulten en cambios significativos al diseño actual y/o
funcionalidad, seguir un proceso de desarrollo similar al
U empleado para el desarrollo de sistemas nuevos.
2.- ¿Se realizan cambios importantes a los sistemas existentes que
I resulten cambios significativos en su funcionalidad?
3.- ¿Se sigue un proceso de desarrollo similar al empleado en los sistemas
R
AI2 - Adquirir y mantener software aplicativo.

existentes para el desarrollo de sistemas nuevos?

I 1.- ¿Se garantiza que la funcionalidad de automatización se desarrolla de

acuerdo con las especificaciones de diseño?
R
Desarrollar las metodologías y procesos formales para administrar el proceso de desarrollo de la

I 2.- ¿Se garantiza que la funcionalidad de automatización se desarrolla de

AI2.7 - Desarrollo de Software Aplicativo.

acuerdo los estándares de desarrollo y documentación?

M
P Garantizar que la funcionalidad de automatización se
desarrolla de acuerdo con las especificaciones de diseño, los
aplicación.

L estándares de desarrollo y documentación, los

requerimientos de calidad y estándares de aprobación.
E Asegurar que todos los aspectos legales y contractuales se
identifican y direccionan para el software aplicativo 3.- ¿Se garantiza que la funcionalidad de automatización se desarrolla de
M desarrollado por terceros. acuerdo a los requerimientos de calidad y estándares de aprobación.?

E 4.- ¿Se asegura que todos los aspectos legales se identifican y direccionan
para el software aplicativo desarrollado por terceros.?
N
T
A
R
5.- ¿Se asegura que todos los aspectos contractuales se identifican y
direccionan para el software aplicativo desarrollado por terceros.?
1.- ¿Se desarrolla un plan de aseguramiento de calidad del software?
Aseguramiento de
aseguramiento de
Crear un plan de

software para el

Desarrollar, Implementar los recursos y ejecutar un plan de

la Calidad del
la calidad del

Software.
proyecto.

aseguramiento de calidad del software, para obtener la

AI2.8 -

calidad que se especifica en la definición de los

requerimientos y en las políticas y procedimientos de calidad 2.- ¿Se Implementa los recursos de un plan de aseguramiento de calidad
de la organización. del software?
3.- ¿Se ejecuta un plan de aseguramiento de calidad del software?
1. ¿Se sigue el estado de los requerimientos individuales durante el
diseño, desarrollo e implementación?
Dar seguimiento y administrar los

Requerimientos de Aplicaciones.
requerimientos de la aplicación.

AI2.9 - Administración de los

Seguir el estado de los requerimientos individuales

(incluyendo todos los requerimientos rechazados) durante el
2.- ¿Se sigue el estado de todos los requerimientos rechazados durante el
diseño, desarrollo e implementación, y aprobar los cambios
diseño, desarrollo e implementación.?
a los requerimientos a través de un proceso de gestión de
3.- ¿Se aprueba los cambios a los requerimientos a través de un proceso
cambios establecido.
de gestión de cambios establecido?

1.- ¿Se desarrolla una estrategia para el mantenimiento de aplicaciones

mantenimie

Mantenimi

Aplicativo.
aplicacion
Desarrolla

software.
AI2.10 -

e nto de
Software
nto de
para el

de software?
e s de

Desarrollar una estrategia y un plan para el mantenimiento

plan
r un

de aplicaciones de software. 2.-¿Se desarrolla un plan para el mantenimiento de aplicaciones de

software.?

104
 COBIT

ACTIVIDADES DEL

OBJETIVOS DE

CALIFICACIÓN
PROCESOS
DOMINIO

CONTROL
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS

1.- ¿Se genera un plan para adquirir la infraestructura tecnológica?

Negociar la compra y adquirir la infraestructura requerida con

AI3.1 - Plan de Adquisición de Infraestructura Tecnológica.

Generar un plan para adquirir, Implementar y mantener la
infraestructura tecnológica que satisfaga los requerimientos
proveedores(aprobados).

2.- ¿Se implementa el plan para adquirir la infraestructura tecnológica?

establecidos funcionales y técnicos del negocio, y que esté de
acuerdo con la dirección tecnológica de la organización. El
plan debe considerar extensiones futuras para adiciones de
capacidad, costos de transición, riesgos tecnológicos y vida útil
de la inversión para actualizaciones de tecnología.
Evaluar los costos de complejidad y la viabilidad comercial
del proveedor y el producto al añadir nueva capacidad técnica.
3.- ¿Se mantiene el plan para adquirir la infraestructura tecnológica que
satisfaga los requerimientos establecidos funcionales del negocio, y que esté
de acuerdo con la dirección tecnológica de la organización?
4.- ¿Se mantiene el plan para adquirir la infraestructura tecnológica que
satisfaga los requerimientos establecidos técnicos del negocio, y que esté de
acuerdo con la dirección tecnológica de la organización?
5.- ¿El plan considera extensiones futuras para adiciones de capacidad, costos
de transición, riesgos tecnológicos y vida útil de la inversión para actualizaciones
de tecnología?
6.- ¿Se evalúa los costos de complejidad del proveedor?

7.- ¿Se evalúa los costos de la viabilidad comercial del proveedor y el producto
al añadir nueva capacidad técnica?
1.- ¿Se Implementa medidas de control interno, seguridad y auditabilidad
durante la configuración de la infraestructura para proteger los recursos y
garantizar su disponibilidad e integridad?
AI3.2 - Protección y Disponibilidad del Recurso de Infraestructura.
Definir el procedimiento/ proceso de adquisición.

A
D Implementar medidas de control interno, seguridad y
2.- ¿Se Implementa medidas de control interno, seguridad y auditabilidad
Q auditabilidad durante la configuración, integración y
mantenimiento del hardware y del software de la
durante la integración de la infraestructura para proteger los recursos y
garantizar su disponibilidad e integridad?
U infraestructura para proteger los recursos y garantizar su
3.- ¿Se Implementa medidas de control interno, seguridad y auditabilidad
disponibilidad e integridad. Se deben definir y comprender
I durante el mantenimiento del hardware y del software de la infraestructura
AI3 - Adquirir y mantener infraestructura tecnológica.

claramente las responsabilidades al utilizar componentes de

para proteger los recursos y garantizar su disponibilidad e integridad?
infraestructura sensitivos por todos aquellos que desarrollan e
R integran los componentes de infraestructura. Se debe
4.- ¿Se define claramente las responsabilidades al utilizar componentes de
monitorear y evaluar su uso.
I infraestructura sensitivos por todos aquellos que desarrollan e
integran los componentes de infraestructura?
R 5.- ¿Se comprende claramente las responsabilidades al utilizar componentes
de infraestructura sensitivos por todos aquellos que desarrollan e integran los
componentes de infraestructura?
6.- ¿Se monitorea el uso del recurso de infraestructura?
E

I 7.- ¿Se evalúa el uso del recurso de infraestructura?

1.- ¿Se desarrolla una estrategia para el mantenimiento de la
M infraestrucutura?
2.- ¿Se desarrolla un plan de mantenimiento de la infraestructura?
P
Definir estrategia y planear el mantenimiento de infraestructura.

3.- ¿La estrategia desarrollada para el mantenimiento de la infraestructura

L garantiza que se controlan los cambios, de acuerdo con el procedimiento de

E administración de cambios de la organización?

AI3.3 - Mantenimiento de la Infraestructura.

4.- ¿El plan desarrollado para el Mantenimiento de la Infraestructura garantiza

M que se controlan los cambios, de acuerdo con el procedimiento de
administración de cambios de la organización?
E Desarrollar una estrategia y un plan de mantenimiento de la 5.- ¿El plan de Mantenimiento de la Infraestructura incluye una revisión
infraestructura y garantizar que se controlan los cambios, de periódica contra las necesidades del negocio?
N acuerdo con el procedimiento de administración de cambios 6.- ¿El plan de Mantenimiento de la Infraestructura incluye una revisión
de la organización. Incluir una revisión periódica contra las periódica contra la administración de parches?
T necesidades del negocio, administración de parches y
estrategias de actualización, riesgos, evaluación de
A vulnerabilidades y requerimientos de seguridad.

R 7.- ¿El plan de Mantenimiento de la Infraestructura incluye una revisión

periódica contra las estrategias de actualización?

8.- ¿El plan de Mantenimiento de la Infraestructura incluye una revisión

periódica contra los riesgos?
9.- ¿El plan de Mantenimiento de la Infraestructura incluye una revisión
periódica contra la evaluación de vulnerabilidades?

10.- ¿El plan de Mantenimiento de la Infraestructura incluye una revisión

periódica contra los requerimientos de seguridad?
1.- ¿Se establece el ambiente de desarrollo de las aplicaciones?

2.- ¿Se establece el ambiente de pruebas de las aplicaciones?

3.- ¿Se considera la funcionalidad de las aplicaciones en el ambiente de
Configurar componentes de la infraestructura.

AI3.4 - Ambiente de Prueba de Factibilidad.

adquisición y desarrollo?

Establecer el ambiente de desarrollo y pruebas para soportar la
efectividad y eficiencia de las pruebas de factibilidad e
integración de aplicaciones e infraestructura, en las primeras
fases del proceso de adquisición y desarrollo. Hay que
considerar la funcionalidad, la configuración de hardware y
software, pruebas de integración y desempeño, migración
entre ambientes, control de la versiones, datos y
herramientas de prueba y seguridad.
4.- ¿Se considera la integración de las aplicaciones en el ambiente de
adquisición y desarrollo?
5.- ¿Se considera el desempeño de las aplicaciones en el ambiente de
adquisición y desarrollo?
6.- ¿Se considera la migración entre ambientes de las aplicaciones en el
ambiente de adquisición y desarrollo?
7.- ¿Se considera el control de la versiones de las aplicaciones en el ambiente
de adquisición y desarrollo?
8.- ¿Se considera los datos y herramientas de prueba de las aplicaciones
en el ambiente de adquisición y desarrollo?
9.- ¿Se considera la seguridad de las aplicaciones en el ambiente de
adquisición y desarrollo?
10.- ¿Se considera la configuración de hardware y software de la
infraestructura en el ambiente de adquisición y desarrollo?

105
 COBIT

ACTIVIDADES DEL

OBJETIVOS DE

CALIFICACIÓN
PROCESOS

CONTROL
DOMINIO

PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS

1.- ¿Se desarrolla un plan donde se identifique todos los aspectos técnicos, la
capacidad de operación y los niveles de servicio requeridos en las
Desarrollar estrategia para que la solución sea

AI4.1 - Plan para Soluciones de Operación.

aplicaciones?

Desarrollar un plan para identificar y documentar todos los

aspectos técnicos, la capacidad de operación y los niveles de
servicio requeridos, de manera que todos los interesados
operativa.

puedan tomar la responsabilidad oportunamente por la

producción de procedimientos de administración, de usuario
y operativos, como resultado de la introducción o
actualización de sistemas automatizados o de
infraestructura.
AI4.2 - Transferencia de Conocimiento a la Gerencia del Negocio.
Desarrollar metodología de transferencia de conocimiento.
2.- ¿Se desarrolla un plan donde se documente todos los aspectos técnicos, la
capacidad de operación y los niveles de servicio requeridos en las
aplicaciones?
3.- ¿Se desarrolla un plan donde se identifique todos los aspectos técnicos, la
capacidad de operación y los niveles de servicio requeridos en la
infraestructura?
4.- ¿Se desarrolla un plan donde se documente todos los aspectos técnicos, la
capacidad de operación y los niveles de servicio requeridos en la
infraestructura?
1.- ¿Se transfiere el conocimiento de los sistemas a la gerencia de la
empresa?

2.- ¿Se transfiere el conocimiento de los datos de la aplicación a la

gerencia de la empresa?
3.- ¿Se incluye en la transferencia del conocimiento la aprobación de acceso
Transferir el conocimiento a la gerencia de la empresa para de las aplicaciones e infraestructura?
permitirles tomar posesión del sistema y los datos y ejercer
la responsabilidad por la entrega y calidad del servicio, del
control interno, y de los procesos administrativos de la
AI4 - Facilitar la operación y el uso.

aplicación. La transferencia de conocimiento incluye la
aprobación de acceso, administración de privilegios,
segregación de tareas, controles automatizados del negocio,
respaldo/recuperación, seguridad física y archivo de la
documentación fuente.
A Transferencia de conocimiento y habilidades para permitir
entrenamiento y ampliar la
4.- ¿Se incluye en la transferencia del conocimiento la administración de
privilegios de las aplicaciones e infraestructura?
5.- ¿Se incluye en la transferencia del conocimiento la segregación de tareas
de las aplicaciones e infraestructura?
6.- ¿Se incluye en la transferencia del conocimiento los controles
automatizados del negocio de las aplicaciones e infraestructura?
7.- ¿Se incluye en la transferencia del conocimiento el
respaldo/recuperación de las aplicaciones e infraestructura?
8.- ¿Se incluye en la transferencia del conocimiento la seguridad física de las
aplicaciones e infraestructura?
9.- ¿Se incluye en la transferencia del conocimiento el archivo de la
documentación fuente de las aplicaciones e infraestructura?
1.- ¿Se mejora la transferencia de conocimiento para permitir que los usuarios

que los usuarios finales utilicen con efectividad y eficiencia finales utilicen con efectividad y eficiencia el sistema de aplicación como
documentación como se

D
Desarrollar manuales de

usuario final. * Evaluar

AI4.3 - Transferencia
de Conocimiento a

el sistema de aplicación como apoyo a los procesos del apoyo a los procesos del negocio?
procedimiento del

Usuarios Finales.
resultados del

Q negocio. La transferencia de conocimiento incluye el 2.- ¿Se mejora las habilidades para permitir que los usuarios finales utilicen
requiera.

desarrollo de un plan de entrenamiento que aborde al con efectividad y eficiencia el sistema de aplicación como apoyo a los
los

U entrenamiento inicial y al continuo, así como el desarrollo de procesos del negocio.?

habilidades, materiales de entrenamiento, manuales de 3.- ¿Se incluye en la transferencia de conocimiento el desarrollo de un plan
I usuario, manuales de procedimiento, ayuda en línea, de entrenamiento?
asistencia a usuarios, identificación del usuario clave, y
R evaluación.
1.- ¿Se capacita al personal de operaciones en relación a las aplicaciones e
I infraestructura atendiendo a los requerimientos de los usuarios de manera
operaciones y personal de soporte. * Desarrollar y dar

efectiva y eficiente?
R
AI4.4 - Transferencia de Conocimiento al Personal de
Desarrollar documentación de soporte técnica para

2.- ¿Se capacita al personal técnico en relación a las aplicaciones e

infraestructura atendiendo a los requerimientos de los usuarios de manera
E Transferir el conocimiento y las habilidades para permitir al efectiva y eficiente?
Operaciones y Soporte.

personal de soporte técnico y de operaciones que entregue, 3.- ¿Se incluye en el entrenamiento inicial y continuo, el desarrollo de las
entrenamiento.

apoyen y mantenga la aplicación y la infraestructura habilidades del personal de soporte técnico y de operaciones?
asociada de manera efectiva y eficiente de acuerdo a los 4.- ¿Se incluye en el entrenamiento inicial y continuo, los materiales de
I niveles de servicio requeridos. La transferencia del entrenamiento en el desarrollo de las habilidades del personal de soporte
conocimiento debe incluir al entrenamiento inicial y técnico y de operaciones?
M continuo, el desarrollo de las habilidades, los materiales de 5.- ¿Se incluye en el entrenamiento inicial y continuo, los manuales de
entrenamiento, los manuales de operación, los manuales de operación en el desarrollo de las habilidades del personal de soporte técnico
P procedimientos y escenarios de atención al usuario. y de operaciones?
L 5.- ¿Se incluye en el entrenamiento inicial y continuo, los manuales de
procedimientos en el desarrollo de las habilidades del personal de soporte
E técnico y de operaciones?
7.- ¿Se incluye en el entrenamiento inicial y continuo, los escenarios de atención
M al usuario en el desarrollo de las habilidades del personal de soporte técnico y
de operaciones?
E 1.- ¿Se adquiere instalaciones para el área de TI?
Desarrollar políticas y

adquisiciones a nivel

N Desarrollar y seguir un conjunto de procedimientos y 2.- ¿Se adquiere hardware para el área de TI?
procedimientos de
adquisición de TI de
acuerdo con las

Adquisición.
AI5.1 - Control

estándares consistente con el proceso general de 3.- ¿Se adquiere software para el área de TI?
corporativo.
politicas de

T adquisiciones de la organización y con la estrategia de 4.- ¿Se adquiere servicios necesarios por el negocio para el área de TI?
adquisición para adquirir infraestructura relacionada con TI,
5.- ¿Se desarrolla y se sigue un conjunto de procedimientos y estándares
A
de

instalaciones, hardware, software y servicios necesarios por

consistente con el proceso general de adquisiciones de la organización?
el negocio.
R 6.- ¿Se desarrolla y se sigue un conjunto de procedimientos y estándares
consistente con la estrategia de adquisición?
1.- ¿Se formula un procedimiento para establecer contratos para todos los
proveedores?
AI5 - Adquirir recursos de TI.

Establecer/mantener una lista de proveedores acreditados.

AI5.2 - Administración de Contratos con Proveedores.

Formular un procedimiento para establecer, modificar y

2.- ¿Se formula un procedimiento para modificar contratos para todos los
concluir contratos para todos los proveedores. El
proveedores?
procedimiento debe cubrir, como mínimo, responsabilidades
3.- ¿Se formula un procedimiento para concluir contratos para todos los
y obligaciones legales, financieras, organizacionales,
proveedores?
documentales, de desempeño, de seguridad, de propiedad
4.- ¿El procedimiento cubre las responsabilidades y obligaciones legales?
intelectual y responsabilidades de conclusión, así como
obligaciones (que incluyan cláusulas de penalización). Todos los
contratos y las modificaciones a contratos las deben
5.- ¿El procedimiento cubre las responsabilidades y obligaciones financieras?
revisar asesores legales.
6.- ¿El procedimiento cubre las responsabilidades y obligaciones
organizacionales?
7.- ¿El procedimiento cubre las responsabilidades y obligaciones
documentales?
8.- ¿El procedimiento cubre las responsabilidades y obligaciones de
desempeño?
9.- ¿El procedimiento cubre las responsabilidades y obligaciones de seguridad?

10.- ¿El procedimiento cubre las responsabilidades y obligaciones de

propiedad intelectual?
11.- ¿El procedimiento cubre las responsabilidades de conclusión?
12.- ¿Los contratos las revisan los asesores legales?

13.- ¿Las modificaciones a contratos las revisan los asesores legales?

106
 C O B IT

ACTIVIDADES DEL

OBJETIVOS DE

CALIFICACIÓN
PROCESOS

CONTROL
DOMINIO

PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS

Proveedores.
1.- ¿Se selecciona proveedores de acuerdo a una práctica justa y formal?
de propuesta

Selección de
proveedores

de solicitud Seleccionar proveedores de acuerdo a una práctica justa y

un proceso
seleccionar

a través de
Evaluar y

AI5.3 -
(RFP).
formal para garantizar la mejor viable y encajable según los
2.- ¿Se selecciona proveedores de acuerdo a una práctica formal?
requerimientos especificados. Los requerimientos deben estar
3.- ¿Los requerimientos estan optimizados con las entradas de los
optimizados con las entradas de los proveedores potenciales.
AI5 - Adquirir recursos de TI.

proveedores potenciales?
1.- ¿Se protege los intereses de la organización en todo los contratos de
Desarrollar contratos que protejan los intereses

adquisiciones de software?
de la organización. *Realizar adquisiciones de

AI5.4 - Adquisición de Recursos de TI. 2.- ¿Se protege los intereses de la organización en todo los contratos de
conformidad con los procedimientos

adquisiciones de recursos de desarrollo?

3.- ¿Se protege los intereses de la organización en todo los contratos de
adquisiciones de infraestructura?
Proteger y hacer cumplir los intereses de la organización en
establecidos.

4.- ¿Se protege los intereses de la organización en todo los contratos de

todo los contratos de adquisiciones, incluyendo los derechos
adquisiciones de servicios?
y obligaciones de todas las partes en los términos
5.- ¿Se hace cumplir los intereses de la organización en todo los contratos de
contractuales para la adquisición de software, recursos de
adquisiciones de software?
desarrollo, infraestructura y servicios.
6.- ¿Se hace cumplir los intereses de la organización en todo los contratos de
adquisiciones de recursos de desarrollo?
7.- ¿Se hace cumplir los intereses de la organización en todo los contratos de
adquisiciones de infraestructura?
8.- ¿Se hace cumplir los intereses de la organización en todo los contratos de
adquisiciones de servicios?
1.- ¿Se maneja de manera estándar todas las solicitudes para cambios a
AI6.1 - Estándares y Procedimientos para

las aplicaciones?
en forma consistente a las solicitdes de
Desarrollar e implementar un proceso
para registrar, evaluar y dar prioridad

Establecer procedimientos de administración de cambio 2.- ¿Se maneja de manera estándar todas las solicitudes para cambios a
formales para manejar de manera estándar todas las los procedimientos?
Cambios.
cambio.

solicitudes (incluyendo mantenimiento y parches) para 3.- ¿Se maneja de manera estándar todas las solicitudes para cambios a
cambios a aplicaciones, procedimientos, procesos, los procesos?
parámetros de sistema y servicio, y las plataformas 4.- ¿Se maneja de manera estándar todas las solicitudes para cambios a
fundamentales. los parámetros de sistema?
5.- ¿Se maneja de manera estándar todas las solicitudes para cambios a
los servicios?
6.- ¿En las plataformas fundamentales se establecen procedimientos de
A administración de cambio formales?
1.- ¿Se garantiza que todas las solicitudes de cambio se evalúan los
D
AI6.2 - Evaluación de
Evaluar impacto y dar

Impacto, Priorización
prioridad a cambios

Garantizar que todas las solicitudes de cambio se evalúan de una impactos en el sistema operacional?
necesidades del

y Autorización.

estructurada manera en cuanto a impactos en el sistema 2.- ¿Se garantiza que todas las solicitudes de cambio se evalúan los
en base a las

Q
negocio.
AI6 - Administrar cambios.

operacional y su funcionalidad. Esta evaluación deberá impactos en el sistema en su funcionalidad?

U incluir categorización y priorización de los cambios. Previo a la 3.- ¿La evaluación incluye la categorización de los cambios?
migración hacia producción, los interesados 4.- ¿La evaluación incluye la priorización de los cambios?
I correspondientes autorizan los cambios. 5.- ¿Se autorizan los cambios en la migración hacia la producción de las
aplicaciones por los interesados?
R 1.- ¿Se establece un proceso para definir los cambios de emergencia que
AI6.3 - Cambios de Emergencia.

no sigan el proceso de cambio establecido?

I
cambio crítico y de emergencia
sigue el proceso aprobado.

2.- ¿Se establece un proceso para plantear los cambios de emergencia que
Garantizar que cualquier

R Establecer un proceso para definir, plantear, evaluar y

no sigan el proceso de cambio establecido?
3.- ¿Se establece un proceso para evaluar los cambios de emergencia que
autorizar los cambios de emergencia que no sigan el proceso
no sigan el proceso de cambio establecido?
de cambio establecido. La documentación y pruebas se
4.- ¿Se establece un proceso para autorizar los cambios de emergencia
realizan, posiblemente, después de la implantación del
E cambio de emergencia.
que no sigan el proceso de cambio establecido?
5.- ¿Se realiza la documentación después de la implantación del cambio de
emergencia?
6.- ¿Se realiza las pruebas después de la implantación del cambio de
I emergencia?

M Establecer un sistema de seguimiento y reporte para 1.- ¿Se establece un sistema de seguimiento para mantener actualizados a
y Reporte del
Seguimiento

mantener actualizados a los solicitantes de cambio y a los los solicitantes de cambio y a los interesados relevantes?
Estatus de
cambios.
Autoriza

Cambio.
AI6.4 -

P interesados relevantes, acerca del estatus del cambio a las

aplicaciones, a los procedimientos, a los procesos,
L
r

parámetros del sistema y del servicio y las plataformas 2.- ¿Se establece un sistema de reporte para mantener actualizados a los
fundamentales. solicitantes de cambio y a los interesados relevantes?
E 1.- ¿Se actualiza los cambios en los sistemas?
AI6.5 - Cierre y
Documentació

Siempre que se implantan cambios al sistema, actualizar el

n del Cambio.
Administrar y

información
diseminar la

2.- ¿Se actualiza la documentación de usuario?

referente a

M
relevante

cambios.

sistema asociado y la documentación de usuario y

procedimientos correspondientes. Establecer un proceso de 3.- ¿Se establece un proceso de revisión para garantizar la implantación
E revisión para garantizar la implantación completa de los completa de los cambios?
cambios.
N
Entrenar al personal de los departamentos de usuario 1.- ¿Se entrena al personal de los departamentos de usuario afectados de
T
Entrenamiento.
revisar planes

investigación.

afectados y al grupo de operaciones de la función de TI de acuerdo con el plan definido de entrenamiento e implantación de casa
Construir y

AI7.1 -

proyecto de sistemas?
A acuerdo con el plan definido de entrenamiento e
de

implantación y a los materiales asociados, como parte de 2.- ¿Se entrena al grupo de operaciones de la función de TI de acuerdo con el
R cada proyecto de sistemas de la información de desarrollo, plan definido de entrenamiento e implantación de cada proyecto de
implementación o modificación. sistemas?
1.- ¿Se establece un plan de pruebas basado en los estándares de la
AI7.2 - Plan de Prueba.
(criterio de entrada y
Definir y revisar una
estrategia de prueba

metodología de plan

organización?
Establecer un plan de pruebas basado en los estándares de la 2.- ¿Dentro de los estándares de la organización se definen los roles?
operacional.
sálida) y la

de prueba
AI7 - Instalar y acreditar soluciones y cambios.

organización que define roles, responsabilidades, y criterios de 3.- ¿Dentro de los estándares de la organización se definen las
entrada y salida. Asegurar que el plan esta aprobado por responsabilidades?
las partes relevantes. 4.- ¿Dentro de los estándares de la organización se definen los criterios de
entrada y salida?
5.- ¿Se asegura que el plan está aprobado por las partes relevantes?
1.- ¿Se establece un plan de implantación y respaldo y vuelta atrás?
Construir y mantener un

casos de prueba para

sistemas acreditados.
negocio y técnicos y
requirimientos de

Implantación.
repositorio de

AI7.3 - Plan

Establecer un plan de implantación y respaldo y vuelta atrás.

Obtener aprobación de las partes relevantes.
de

2.- ¿Se obtiene la aprobación de las partes relevantes?

1.- ¿Se define un entorno seguro de pruebas representativo del entorno de
Ambiente de

Definir y establecer un entorno seguro de pruebas

pruebas de
aceptación

operaciones?
y conducir
de prueba
Establecer
ambiente

representativo del entorno de operaciones planeado relativo

finales.

Prueba.

a seguridad, controles internos, practicas operativos, calidad

AI7.4 -

de los datos y requerimientos de privacidad, y cargas de

2.- ¿Se establece un entorno seguro de pruebas representativo del entorno
trabajo.
de operaciones?
1.- ¿Cuentan con un Plan de conversión de datos como parte de los
conversaci

integració

Sistemas y
Ejecutar la

Conversió
ambiente
sistema y

pruebas

Plan de conversión de datos y migración de infraestructuras

AI7.5 -
ón del

Datos.
n en

métodos de desarrollo de la organización?

n de
las

de

como parte de los métodos de desarrollo de la organización,

2.- ¿Cuentan con una migración de infraestructuras como parte de los
incluyendo pistas de auditoria, respaldo y vuelta atrás.
métodos de desarrollo de la organización?
1.- ¿Las Pruebas de cambios independientemente están de acuerdo con los
de prueba y

Pruebas de cambios independientemente en acuerdo con los

Pruebas de
pruebas de
Establecer
ambiente

aceptació

planes de pruebas definidos antes de la migración al entorno de operaciones?

conducir

n finales.

Cambios.

planes de pruebas definidos antes de la migración al entorno

de operaciones. Asegurar que el plan considera la seguridad
AI7.6 -

2.- ¿Se asegura que el plan de pruebas considera la seguridad?

y el desempeño.
3.- ¿Se asegura que el plan de pruebas considera el desempeño?

107
 C O B IT

ACTIVIDADES DEL

OBJETIVOS DE

CALIFICACIÓN
PROCESOS

CONTROL
DOMINIO

PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS

Asegurar que el dueño de proceso de negocio y los 1.- ¿Se asegura que el dueño de proceso de negocio evalúa los resultados
Establecer ambiente de

pruebas de aceptación

interesados de TI evalúan los resultados de los procesos de de los procesos de pruebas como determina el plan de pruebas?
prueba y conducir

AI7.7 - Prueba de
Aceptación Final.
AI7 - Instalar y acreditar soluciones y

I pruebas como determina el plan de pruebas. Remediar los 2.- ¿Se asegura que los interesados de TI evalúan los resultados de los
finales.

errores significativos identificados en el proceso de pruebas, procesos de pruebas como determina el plan de pruebas?
A 3.- ¿Se remedia los errores significativos identificados en el proceso de
M habiendo completado el conjunto de pruebas identificadas en
D el plan de pruebas y cualquier prueba de regresión necesaria. pruebas?
P Siguiendo la evaluación, aprobación promoción a 4.- ¿Se monitorea la evaluación de los procesos de prueba?
Q
L producción. 5.- ¿Se monitorea la aprobación de los procesos de prueba?
U
cambios.

E Seguimiento a pruebas, controlar la entrega de los sistemas 1.- ¿Se controla la entrega de los sistemas cambiados a operaciones,
producción con base

AI7.8 - Promoción a
en los criterios de

V cambiados a operaciones, manteniéndolo en línea con el plan manteniéndolo en línea con el plan de implantación.?
Recomendar la

M
acreditación

Producción.
convenidos.
liberación a

de implantación. Obtener la aprobación de los interesados 2.- ¿Se obtiene la aprobación de los interesados clave, tales como
R usuarios, dueño de sistemas y gerente de operaciones cuando sea
E clave, tales como usuarios, dueño de sistemas y gerente de
I operaciones. Cuando sea apropiado, ejecutar el sistema en apropiado?
N paralelo con el viejo sistema por un tiempo, y comparar el 3.- ¿Se ejecuta el sistema en paralelo con el viejo sistema por un tiempo?
R
T comportamiento y los resultados. 4.- ¿Se compara el comportamiento y los resultados?
A 1.- ¿Se establece procedimientos en línea con los estándares de gestión de
Implantación.
ambiente de

Establecer procedimientos en línea con los estándares de

Posterior a la
pruebas de
aceptación
Establecer

conducir
prueba y

E cambios organizacionales?
Revisión
finales.

AI7.9 -

R gestión de cambios organizacionales para requerir una

revisión posterior a la implantación como conjunto de salida
2.- ¿Se requiere una revisión posterior a la implantación como conjunto
en el plan de implementación.
de salida en el plan de implementación?
1.- ¿El marco de trabajo brinda un proceso formal de administración de
Definir un marco de trabajo que brinde un proceso formal de niveles de servicio entre el cliente y el prestador de servicio?
Crear un marco de trabajo para los servicios de

DS1.1 - Marco de Trabajo de la Administración

administración de niveles de servicio entre el cliente y el

prestador de servicio. El marco de trabajo mantiene una
alineación continua con los requerimientos y las prioridades 2.- ¿El marco de trabajo mantiene una alineación continua con los
de los Niveles de Servicio.

de negocio y facilita el entendimiento común entre el cliente y requerimientos y las prioridades de negocio?
el(los) prestador(es) de servicio. El marco de trabajo incluye 3.- ¿El marco de trabajo facilita el entendimiento común entre el cliente y
procesos para la creación de requerimientos de servicio, el(los) prestador(es) de servicio?
TI.

definiciones de servicio, acuerdos de niveles de servicio 4.- ¿El marco de trabajo incluye procesos para la creación de
(SLAs), acuerdos de niveles de operación (OLAs) y las fuentes requerimientos de servicio?
de financiamiento. Estos atributos están organizados en un 5.- ¿El marco de trabajo mantiene acuerdos de niveles de servicio (SLAs),
catálogo de servicios. El marco de trabajo define la acuerdos de niveles de operación (OLAs) y las fuentes de financiamiento?
estructura organizacional para la administración del nivel de 6.- ¿El marco de trabajo define la estructura organizacional para la
servicio, incluyendo los roles, tareas y responsabilidades de administración del nivel de servicio incluyendo los roles, tareas y
los proveedores externos e internos y de los clientes. responsabilidades de los proveedores externos e internos y de los
clientes?
1.- ¿Se definen los servicios de TI sobre las características del servicio y
DS1 – Definir y administrar los niveles de servicio

Definiciones base de los servicios de TI sobre las

servicios de TI.

Definición de
Construir un

los requerimientos de negocio?

catálogo de

Servicios.

características del servicio y los requerimientos de negocio,

DS1.2 -

organizados y almacenados de manera centralizada por

medio de la implantación de un enfoque de
E catálogo/portafolio de servicios.

N Definir y acordar convenios de niveles de servicio para todos 1.- ¿Existen acuerdos de convenios de niveles de servicio para todos los
Definir los convenios de niveles de
servicio (SLAs) para los servicios

los procesos críticos de TI con base en los requerimientos del procesos críticos de TI?
DS1.3 - Acuerdos de Niveles de

T cliente y las capacidades en TI. Esto incluye los compromisos

R del cliente, los requerimientos de soporte para el servicio,
críticos de TI.

métricas cualitativas y cuantitativas para la medición del

Servicio.

E servicio firmado por los interesados, en caso de aplicar, los

arreglos comerciales y de financiamiento, y los roles y
G responsabilidades, incluyendo la revisión del SLA. Los puntos
a considerar son disponibilidad, confiabilidad, desempeño,
A capacidad de crecimiento, niveles de soporte, planeación de
continuidad, seguridad y restricciones de demanda.
R 1.- ¿Se asegura que los acuerdos de niveles de operación expliquen cómo
DS1.4 - Acuerdos de
operación (OLAs)
para soportar las

Asegurar que los acuerdos de niveles de operación expliquen serán entregados técnicamente los servicios para soportar el (los) SLA(s)
convenios de

Operación.
Definir los

niveles de

Niveles de

cómo serán entregados técnicamente los servicios para de manera óptima?

Y
SLAs.

soportar el (los) SLA(s) de manera óptima. Los OLAs 2.- ¿Los OLAs especifican los procesos técnicos en términos entendibles
especifican los procesos técnicos en términos entendibles para el proveedor?
para el proveedor y pueden soportar diversos SLAs. 3.- ¿Los OLAs pueden soportar diversos SLAs?

D 1.- ¿Se monitorean continuamente los criterios de desempeño

Monitorear y reportar

Monitorear continuamente los criterios de desempeño

DS1.5 - Monitoreo y
actualizar el catálago

Cumplimento de los
Niveles de Servicio.
servicio de punta a

A especificados para el nivel de servicio?

de servicios de TI.
el desempeño del

punta. *Revisar y

especificados para el nivel de servicio. Los reportes sobre el

2.- ¿Los reportes sobre el cumplimiento de los niveles de servicio se
Reporte del

cumplimiento de los niveles de servicio deben emitirse en un

R formato que sea entendible para los interesados. Las
emiten en un formato que sea entendible para los interesados?
estadísticas de monitoreo son analizadas para identificar
3.- ¿Las estadísticas de monitoreo son analizadas para identificar
tendencias positivas y negativas tanto de servicios
tendencias positivas y negativas tanto de servicios individuales como de
S individuales como de los servicios en conjunto.
los servicios en conjunto?
Revisar regularmente con los proveedores internos y externos 1.- ¿Se revisan regularmente con los proveedores internos los acuerdos de
DS1.6 - Revisión de

O
y de los Contratos.
Niveles de Servicio
plan de mejora de
apoyo. *Crear un
Revisar los SLAs y
los contratos de

los Acuerdos de

los acuerdos de niveles de servicio y los contratos de apoyo, los niveles de servicio y los controles de apoyo?
servicios.

P para asegurar que son efectivos, que están actualizados y que 2.- ¿Se revisan regularmente con los proveedores externos los acuerdos de
se han tomado en cuenta los cambios en requerimientos, los niveles de servicio y los controles de apoyo?
O para asegurar que son efectivos, que están actualizados y que
se han tomado en cuenta los cambios en requerimientos.
R 1.- ¿Se identifican todos los servicios de los proveedores?
Identificar y categorizar las
relaciones de los servicios

DS2.1 - Identificación de
Todas las Relaciones con

T Identificar todos los servicios de los proveedores, y

DS2 – Administrar los servicios de terceros

Proveedores.

categorizar los de acuerdo al tipo de proveedor, significado y

de terceros.

E criticidad. Mantener documentación formal de relaciones

2.- ¿Se categorizan los de acuerdo al tipo de proveedor, significado y
técnicas y organizacionales que cubren los roles y
criticidad?
responsabilidades, metas, entregables esperados, y
3.- ¿Se mantiene una documentación formal de relaciones técnicas?
credenciales de los representantes de estos proveedores.
4.- ¿Se mantiene una documentación formal de relaciones
organizacionales?
1.- ¿Se formaliza el proceso de gestión de relaciones con proveedores para
cada proveedor?
Definir y documentar los procesos de

DS2.2 - Gestión de Relaciones con

administración del proveedor.

Formalizar el proceso de gestión de relaciones con

Proveedores.

proveedores para cada proveedor. Los dueños de las

relaciones deben enlazar las cuestiones del cliente y
proveedor y asegurar la calidad de las relaciones basadas en
la confianza y transparencia. (Ej.: a través de SLAs).

2.- ¿Los dueños de las relaciones enlazan las cuestiones del cliente y
proveedor?
3.-¿aseguran la calidad de las relaciones basadas en la confianza y
transparencia?

108
 C O B IT

ACTIVIDADES DEL

OBJETIVOS DE

CALIFICACIÓN
PROCESOS

CONTROL
DOMINIO

PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS

1.- ¿Se identifican los riesgos relacionados con la habilidad de los

proveedores para mantener un efectivo servicio de entrega de forma segura
plazo de la relación del servicio para todos los interesados.
suspensión de proveedores. *Evaluar las metas de largo

sobre una base de continuidad?

Establecer políticas y procedimientos de evaluación y
DS2 – Administrar los servicios de terceros

DS2.3 - Administración de Riesgos del Proveedor.

Identificar y mitigar los riesgos relacionados con la
habilidad de los proveedores para mantener un efectivo
2.- ¿Se aseguran que los contratos están de acuerdo con los
servicio de entrega de forma segura y eficiente sobre una
requerimientos legales de los estándares universales del negocio?
base de continuidad. Asegurar que los contratos están de
acuerdo con los requerimientos legales y regulatorios de los
3.- ¿La administración del riesgo considera acuerdos de confidencialidad
estándares universales del negocio. La administración del
(NDAs)?
riesgo debe considerar además acuerdos de confidencialidad
4.- ¿La administración del riesgo considera los contratos de garantía?
(NDAs), contratos de garantía, viabilidad de la continuidad
del proveedor, conformidad con los requerimientos de 5.- ¿La administración del riesgo considera la viabilidad de la
seguridad, proveedores alternativos, penalizaciones e continuidad del proveedor?
incentivos, etc. 6.- ¿La administración del riesgo considera la conformidad con los
requerimientos de seguridad?
7.- ¿La administración del riesgo considera a los proveedores
alternativos?
8.- ¿La administración del riesgo considera las penalizaciones e
incentivos?
riesgos del
mitigar los
valorar y

Proveedor.
proveedor.
*Monitore

Establecer un proceso para monitorear la prestación del 1.- ¿Se establece un proceso para monitorear la prestación del servicio del
Monitoreo
prestación

Desempeñ
Identificar,

DS2.4 -

o del

servicio para asegurar que el proveedor está cumpliendo con

ar la

proveedor?
del
del

los requerimientos del negocio actuales y que se adhiere
continuamente a los acuerdos del contrato y a SLAs, y que el
Establecer un proceso de planeación para la revisión del
Planeación para la revisión del
2.- ¿Se aseguran que el proveedor está cumpliendo con los requerimientos
del negocio?
1.- ¿Se establece un proceso de planeación para la revisión del

desempeño?
desempeño y la capacidad de

Desempeño y la Capacidad.
Establecer un proceso de

desempeño y la capacidad de los recursos de TI, para

DS3.1 - Planeación del

2.- ¿Se establece un proceso de planeación para la revisión de la

los recursos de TI.

asegurar la disponibilidad de la capacidad y del desempeño, capacidad de los recursos de TI?

con costos justificables, para procesar las cargas de trabajo 3.- ¿Los planes de capacidad y desempeño hacen uso de técnicas de modelo
acordadas tal como se determina en los SLAs. Los planes de apropiadas para producir un modelo de desempeño, de capacidad de los
capacidad y desempeño deben hacer uso de técnicas de recursos de TI, tanto actual como pronosticado?
modelo apropiadas para producir un modelo de desempeño,
de capacidad y de desempeño de los recursos de TI, tanto
E actual como pronosticado.

N 1.- ¿Se revisa el desempeño actual de los recursos de TI en intervalos

Revisar la capacidad y desempeño actual de los recursos de
los recursos

Capacidad y
Desempeño
desempeño

capacidad
actiual de
Revisar el

T
DS3.2 -

Actual.

TI en intervalos regulares para determinar si existe suficiente regulares?

de TI.
DS3 – Administrar el desempeño y la capacidad

y la

capacidad y desempeño para prestar los servicios con base

R en los niveles de servicio acordados.

E Llevar a cabo un pronóstico de desempeño y capacidad de los

1.- ¿Se lleva a cabo un pronóstico de desempeño de los recursos de TI en
desempeño y capacidad
Realizar pronósticos de

intervalos regulares para minimizar el riesgo de interrupciones?

de los recursos de TI.

Desempeño Futuros.
DS3.3 - Capacidad y

recursos de TI en intervalos regulares para minimizar el

G riesgo de interrupciones del servicio originadas por falta de
2.- ¿Se identifican también el exceso de capacidad para una posible
redistribución?
capacidad o degradación del desempeño. Identificar también
A el exceso de capacidad para una posible redistribución.
3.- ¿Se identifican las tendencias de las cargas de trabajo?

R Identificar las tendencias de las cargas de trabajo y

determinar los pronósticos que serán parte de los planes de
4.- ¿Se determina los pronósticos que serán parte de los planes de capacidad
capacidad y de desempeño.
de desempeño?
1.- ¿Se toman en cuenta, planes de contingencias, en los ciclos de vida de
Y Brindar la capacidad y desempeño requeridos tomando en
disponibilidad de recursos de
contingencia respecto a una

cuenta aspectos como cargas de trabajo normales, los recursos de TI?

DS3.4 - Disponibilidad de

2.- ¿La empresa garantiza que los planes de contingencia son

Realizar un plan de

contingencias, requerimientos de almacenamiento y ciclos de

falta potencial de

Recursos de TI.

vida de los recursos de TI. Deben tomarse medidas cuando el considerados de forma apropiada sobre los recursos individuales de TI?
D desempeño y la capacidad no están en el nivel requerido,
TI.

tales como dar prioridad a las tareas, mecanismos de

A tolerancia de fallas y prácticas de asignación de recursos. La
gerencia debe garantizar que los planes de contingencia
R consideran de forma apropiada la disponibilidad, capacidad
y desempeño de los recursos individuales de TI.
1.- ¿Monitorean continuamente el desempeño de los recursos de TI?
Monitorear continuamente el desempeño y la capacidad de
S
continuamente la disponibilidad, el
desempeño y la capacidad de los

DS3.5 - Monitoreo y Reporte.

los recursos de TI. La información reunida sirve para dos

propósitos:
Monitorear y reportar

O • Mantener y poner a punto el desempeño actual dentro de TI

recursos de TI.

P y atender temas como elasticidad, contingencia, cargas de

trabajo actuales y proyectadas, planes de almacenamiento y
O adquisición de recursos.
• Para reportar la disponibilidad hacia el negocio del
R servicio prestado como se requiere en los SLAs.
Acompañar todos los reportes de excepción con
T recomendaciones para acciones correctivas

E Desarrollar un marco de trabajo de continuidad de TI para

1.- ¿La empresa desarrolla un marco de trabajo de continuidad de TI?
Desarrollar un marco de trabajo de continuidad de TI.

soportar la continuidad del negocio con un proceso

DS4.1 - Marco de Trabajo de Continuidad de TI.

consistente a lo largo de toda la organización. El objetivo del

marco de trabajo es ayudar en la determinación de la
resistencia requerida de la infraestructura y de guiar el
desarrollo de los planes de recuperación de desastres y de
DS4 – Garantizar la continuidad del servicio

contingencias. El marco de trabajo debe tomar en cuenta la

estructura organizacional para administrar la continuidad, la
cobertura de roles, las tareas y las responsabilidades de los
proveedores de servicios internos y externos, su
administración y sus clientes; así como las reglas y
estructuras para documentar, probar y ejecutar la
recuperación de desastres y los planes de contingencia de TI.
El plan debe también considerar puntos tales como la
identificación de recursos críticos, el monitoreo y reporte de la
disponibilidad de recursos críticos, el procesamie nto
alternativo y los principios de respaldo y recuperación.

Desarrollar planes de continuidad de TI con base en el marco 1.- ¿La empresa desarrolla planes de continuidad de TI con base en el marco
planes de continuidad de
Desarrollar y mantener

de trabajo, diseñado para reducir el impacto de una de trabajo, diseñado para reducir el impacto de una interrupción mayor de las
Continuidad de TI.
DS4.2 - Planes de

interrupción mayor de las funciones y los procesos clave del funciones?

negocio. Los planes deben considerar requerimientos de
resistencia, procesamiento alternativo, y capacidad de
TI.

recuperación de todos los servicios críticos de TI. También

deben cubrir los lineamientos de uso, los roles y
responsabilidades, los procedimientos, los procesos de
comunicación y el enfoque de pruebas.
Centrar la atención en los puntos determinados como los más 1.- ¿Existen puntos determinados en el plan de continuidad de TI?
DS4.3 - Recursos
Críticos de TI.
valoración de

críticos en el plan de continuidad de TI, para construir

Realizar un

impacto al
negocio y
análisis de

riesgo.

resistencia y establecer prioridades en situaciones de 2.- ¿Los puntos determinados en el plan construyen resistencia estableciendo
recuperación. Evitar la distracción de recuperar los puntos prioridades en situaciones de recuperacion?
menos críticos y asegurarse de que la respuesta y la 3.- ¿Se considera los requerimientos de resistencia, respuesta y
recuperación están alineadas con las necesidades recuperación para diferentes niveles de prioridad?

109
 C O B IT

ACTIVIDADES DEL

OBJETIVOS DE

CALIFICACIÓN
PROCESOS
DOMINIO

CONTROL
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS

1.- ¿Se ejecutan procedimientos de control de cambios, para asegurar que

DS4.4 - Mantenimiento
Exhortar a la gerencia de TI a definir y ejecutar
base a los objetivos de

Continuidad de TI.
el plan de continuidad de TI se mantenga actualizado?
recursos de TI con

procedimientos de control de cambios, para asegurar que el

categorizar los

recuperación.
Identificar y

del Plan de
plan de continuidad de TI se mantenga actualizado y que
refleje de manera continua los requerimientos actuales del
negocio. Es esencial que los cambios en los procedimientos y
las responsabilidades sean comunicados de forma clara y
oportuna.

Probar el plan de continuidad de TI de forma regular para 1.- ¿Se prueba el plan de continuidad de TI de forma regular para asegurar
plan de continuidad sea vigente.
procedimientos de control de
cambios para asegurar que el

que los sistemas de TI pueden ser recuperados de forma efectiva?

DS4.5 - Pruebas del Plan de

asegurar que los sistemas de TI pueden ser recuperados de

forma efectiva, que las deficiencias son atendidas y que el
Continuidad de TI.
Definir y ejecutar

plan permanece aplicable. Esto requiere una preparación

cuidadosa, documentación, reporte de los resultados de las
pruebas y, de acuerdo con los resultados, la implementación
de un plan de acción. Considerar el alcance de las pruebas de
recuperación en aplicaciones individuales, en escenarios de
pruebas integrados, en pruebas de punta a punta y en
pruebas integradas con el proveedor.

1.- ¿Se asegura de que todos las partes involucradas reciban sesiones de
habilitación de forma regular respecto a los procesos en caso de incidente o
DS4.6 - Entrenamiento del Plan de
Probar regularmente el plan de

desastre?
DS4 – Garantizar la continuidad del servicio

2.- ¿Se asegura de que todos las partes involucradas reciban sesiones de
Asegurarse de que todos las partes involucradas reciban
Continuidad de TI.
continuidad de TI.

habilitación de forma regular respecto a sus roles en caso de incidente o

sesiones de habilitación de forma regular respecto a los
desastre?
procesos y sus roles y responsabilidades en caso de
3.- ¿Se asegura de que todos las partes involucradas reciban sesiones de
incidente o desastre. Verificar e incrementar el entrenamiento
habilitación de forma regular respecto a las responsabilidades en caso de
de acuerdo con los resultados de las pruebas de
incidente o desastre?
contingencia.
4.- ¿Se verifica el entrenamiento de acuerdo con los resultados de las
pruebas de contingencia?
5.- ¿Se incrementa el entrenamiento de acuerdo con los resultados de las
pruebas de contingencia?
1.- ¿Existe una estrategia de distribución definida y administrada para
DS4.7 - Distribución

Determinar que existe una estrategia de distribución definida y

Desarrollar un plan

Continuidad de TI.
de acción a seguir

resultados de las

asegurar que los planes se distribuyan de manera segura?

con base en los

administrada para asegurar que los planes se distribuyan de

del Plan de

E
pruebas.

manera apropiada y segura y que estén disponibles entre

las partes involucradas y autorizadas cuando y donde se
N requiera. Se debe prestar atención en hacerlos accesibles
bajo cualquier escenario de desastre.
T
Planear las acciones a tomar durante el período en que TI 1.- ¿Se planean las acciones a tomar durante el período en que TI está
Recuperaci
continuida

Reanudaci
capacitaci

planes de

R
ón de los
Servicios
Planear y

ón sobre

DS4.8 -
llevar a

d de TI.

de TI.

está recuperando y reanudando los servicios. Esto puede recuperando y reanudando los servicios?
cabo

ón y

representar la activación de sitios de respaldo, el inicio de 2.- ¿Se aseguran que los responsables del negocio entiendan los tiempos
E procesamiento alternativo, la comunicación a clientes y a los de recuperación de TI?
Almacenar fuera de las instalaciones todos los medios de
G 1.- ¿Se almacena fuera de las instalaciones todos los medios de respaldo para
DS4.9 - Almacenamiento de Respaldos Fuera de
Planear la recuperación y reanudación de los
servicios de TI. *Establecer los procedimientos

respaldo, documentación y otros recursos de TI críticos,

para llevar a cabo revisiones post reanudación.

los planes de continuidad del negocio?

A necesarios para la recuperación de TI y para los planes de
continuidad del negocio. El contenido de los respaldos a
R almacenar debe determinarse en conjunto entre los
responsables de los procesos de negocio y el personal de TI.
las Instalaciones.
2.- ¿El respaldo de la informacion se realiza bajo la politica del contenido de
los respaldos a almacenar se determinan en conjunto entre los responsables
del negocio y el personal de TI?

La administración del sitio de almacenamiento externo a las 3.- ¿La administración del sitio de almacenamiento externo a las instalaciones,
instalaciones, debe apegarse a la política de clasificación de está apegada a la política de almacenamiento de datos de la empresa?
Y datos y a las prácticas de almacenamiento de datos de la
empresa. La gerencia de TI debe asegurar que los acuerdos 4.- ¿La gerencia de TI se asegura que los acuerdos con sitios externos sean
con sitios externos sean evaluados periódicamente, al menos evaluados periódicamente?
D una vez por año, respecto al contenido, a la protección
ambiental y a la seguridad. Asegurarse de la compatibilidad del
5.- ¿Se aseguran de la compatibilidad del hardware y del software para poder
recuperar los datos archivados y periódicamente probar y renovar los datos
A hardware y del software para poder recuperar los datos archivados?
archivados y periódicamente probar y renovar los datos
R archivados.
Una vez lograda una exitosa reanudación de las funciones de 1.-¿La gerencia de TI ha establecido procedimientos para valorar lo adecuado
miento y la
protección
implement

Reanudaci
respaldos.
Planear e

almacena

DS4.10 -
Revisión

TI después de un desastre, determinar si la gerencia de TI ha del plan?

ar el

Post

ón.
de

establecido procedimientos para valorar lo adecuado del

S plan y actualizar el plan en consecuencia.
1.- ¿El nivel apropiado de seguridad de TI dentro de la organización esta
O
Administración de
la Seguridad de TI.
administración de
Definir, establecer

Administrar la seguridad de TI al nivel más alto apropiado en linea sobre los requerimientos del negocio?
y operar un
proces de

(cuentas).
identidad

DS5.1 -

P dentro de la organización, de manera que las acciones de

administración de la seguridad estén en línea con los
O requerimientos del negocio.

R Trasladar los requerimientos de negocio, riesgos y 1.- ¿Los requerimientos del negocio dentro de un plan de seguridad de TI se
de Seguridad
mantener un

seguridad de

DS5.2 - Plan

trasladan teniendo en consideracion la infraestructura de TI en cuanto a la

Definir y

cumplimiento dentro de un plan de seguridad de TI completo,

T
plan de

de TI.
TI.

teniendo en consideración la infraestructura de TI y la seguridad?

E cultura de seguridad. Asegurar que el plan esta implementado
en las políticas y procedimientos de seguridad junto con las
2.- ¿El plan de seguridad de TI esta implementado en las políticas de
procedimientos de seguridad?
Asegurar que todos los usuarios (internos, externos y 1.- ¿Los usuarios y su actividad en TI son identificados de manera unica?
DS5 – Garantizar la seguridad de los sistemas

temporales) y su actividad en sistemas de TI (aplicación de *El usuario se identifica a través de mecanismos de autenticació n?
negocio, entorno de TI, operación de sistemas, desarrollo y 2.- ¿Se confirma que los permisos de acceso del usuario al sistema están
Monitorear incidentes de seguridad, reales y

mantenimiento) deben ser identificables de manera única. en línea con las necesidades del negocio?
DS5.3 - Administración de Identidad.

Permitir que el usuario se identifique a través de mecanismos 3.- ¿Se asegura que los derechos de acceso del usuario se solicitan por la
de autenticación. Confirmar que los permisos de acceso del gerencia del usuario para ser aprobados por el responsable del sistema?
usuario al sistema y los datos están en línea con las
necesidades del negocio definidas y documentadas y que los
potenciales.

4.- ¿Las identidades del usuario y los derechos de acceso se mantienen en

requerimientos de trabajo están adjuntos a las identidades un repositorio central?
del usuario. Asegurar que los derechos de acceso del usuario
se solicitan por la gerencia del usuario, aprobados por el
responsable del sistema e implementado por la persona
responsable de la seguridad. Las identidades del usuario y los
derechos de acceso se mantienen en un repositorio central. 5.- ¿Se despliegan técnicas efectivas en procedimientos rentables, que se
Se despliegan técnicas efectivas en coste y mantienen actualizados para establecer la identificación del usuario?
procedimientos rentables, y se mantienen actualizados para
establecer la identificación del usuario, realizar la
autenticación y habilitar los derechos de acceso.

Garantizar que la solicitud, establecimiento, emisión, 1.- ¿Los privilegios relacionados con la creacion de cuentas de usuarios, son
suspensión, modificación y cierre de cuentas de usuario y de los tomados en cuenta por un conjunto de procedimientos de la gerencia de
DS5.4 - Administración de Cuentas del
privilegios y derechos de acceso de los

privilegios relacionados, sean tomados en cuenta por un cuentas de usuario?

Revisar y validar periódicamente los

conjunto de procedimientos de la gerencia de cuentas de

usuario. Debe incluirse un procedimiento de aprobación que
describa al responsable de los datos o del sistema otorgando
Usuario.
usuarios.

los privilegios de acceso. Estos procedimientos deben

aplicarse a todos los usuarios, incluyendo administradores
(usuarios privilegiados), usuarios externos e internos, para
casos normales y de emergencia. Los derechos y obligaciones
relativos al acceso a los sistemas e información de la
empresa deben acordarse contractualmente para todos los
tipos de usuarios. Realizar revisiones regulares de la gestión
de todas las cuentas y los privilegios asociados.

110
 COBIT

ACTIVIDADES DEL

OBJETIVOS DE

CALIFICACIÓN
PROCESOS
DOMINIO

CONTROL
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS

1.- ¿Se garantiza que la implementación de la seguridad en TI sea probada

procedimientos para mantener y

y monitoreada de forma pro-activa?

DS5.5 - Pruebas, Vigilancia y

Monitoreo de la Seguridad.
Garantizar que la implementación de la seguridad en TI sea
Establecer y mantener

salvaguardar las llaves

probada y monitoreada de forma pro-activa. La seguridad en

criptográficas.

TI debe ser reacreditada periódicamente para garantizar que

se mantiene el nivel seguridad aprobado. Una función de
ingreso al sistema (logging) y de monitoreo permite la
detección oportuna de actividades inusuales o anormales
que pueden requerir atención.
2.- ¿La seguridad en TI se reacreditada periódicamente para garantizar
que se mantiene el nivel seguridad aprobado?
1.- ¿Se define claramente las características de incidentes de seguridad para
DS5.6 - Definición
para proteger el
procedimientos

de Incidente de
través de la red
Implementar y

información a
técnicos y de

Definir claramente y comunicar las características de que puedan ser clasificados propiamente por el proceso de gestión de
Seguridad.
mantener
controles

flujo de

incidentes de seguridad potenciales para que puedan ser incidentes?

clasificados propiamente y tratados por el proceso de gestión de
incidentes y problemas.
DS5 – Garantizar la seguridad de los sistemas

1.- ¿Se garantiza que la tecnología relacionada con la seguridad sea

Protección de

de Seguridad.
la Tecnología
vulnerabilida
evaluaciones

d de menera

Garantizar que la tecnología relacionada con la seguridad sea resistente al sabotaje?

DS5.7 -
Realizar

regular.
de

resistente al sabotaje y no revele documentación de

seguridad innecesaria.

Determinar que las políticas y procedimientos para organizar 1.- ¿Se determinan politicas de procedimientos para garantizar la proteccion
mantener controles

Administración de
para proteger el

través de la red.
procedimientos

Criptográficas.
Implementar y

información a

la generación, cambio, revocación, destrucción, distribución, de las llaves contra modificaciones o divulgaciones no autorizadas?
técnicos y de

DS5.8 -
flujo de

Llaves

certificación, almacenamiento, captura, uso y archivo de

llaves criptográficas estén implantadas, para garantizar la
protección de las llaves contra modificaciones y divulgación no
autorizadas.
1.- ¿La empresa cuenta con medidas preventivas en toda la organización
DS5.9 - Prevención, Detección
administración de identidad
Definir, establecer y operar

y Corrección de Software

para proteger los sistemas de la información de TI?

Poner medidas preventivas, detectivas y correctivas (en

un proceso de

(cuentas).

Malicioso.

especial contar con parches de seguridad y control de virus

E actualizados) en toda la organización para proteger los
sistemas de la información y a la tecnología contra malware
2.- ¿La empresa cuenta con medidas detectivas en toda la organización
N (virus, gusanos, spyware, correo basura).
para proteger los sistemas de la información de TI?

T 3.- ¿La empresa cuenta con medidas correctivas en toda la organización para
proteger los sistemas de la información de TI?
R Uso de técnicas de seguridad y procedimientos de 1.- ¿La empresa usa técnicas de seguridad y procedimientos de administración
Seguridad de
vulnerabilida
evaluaciones

d de menera

DS5.10 -

administración asociados (por ejemplo, firewalls, asociados para autorizar acceso y controlar los flujos de información hacia las
Realizar

regular.

la Red.

E
de

dispositivos de seguridad, segmentación de redes, y detección redes?

de intrusos) para autorizar acceso y controlar los flujos de
G información desde y hacia las redes.
1.- ¿Las transacciones de datos sensibles se intercambian a través de una
DS5.11 - Intercambio de

A
privilegios y derechos

ruta o medio con controles para proporcionar autenticidad de contenido?

periódicamente los

Datos Sensitivos.
de acceso de los
Revisar y validar

Transacciones de datos sensibles se intercambian solo a

R 2.- ¿Las transacciones de datos sensibles se intercambian a través de una
usuarios.

través de una ruta o medio con controles para proporcionar ruta o medio con controles para prueba de envío?
autenticidad de contenido, prueba de envío, prueba de 3.- ¿Las transacciones de datos sensibles se intercambian a través de una
recepción y no repudio del origen. ruta o medio con controles prueba de recepción?
Y 4.- ¿Las transacciones de datos sensibles se intercambian a través de una
ruta o medio con controles para no repudio del origen?
Identificar todos los costos de TI y equipararlos a los servicios 1.- ¿Se identifican todos los costos de TI para soportar un modelo de costos
mapearlos a los brindados/proce
tecnología, etc) y con los servicios
infraestructura

sos de negocio

Definición de
soportados.

de TI para soportar un modelo de costos transparente. Los transparente?

D
Mapear la

Servicios.
DS6.1 -

servicios de TI deben alinearse a los procesos del negocio de

forma que el negocio pueda identificar los niveles de
A facturación de los servicios asociados.

R Registrar y asignar los costos actuales de acuerdo con el modelo 1.- ¿Se registra los costos actuales de acuerdo con el modelo de costos
Identificar todos

Contabilización
servicios de TI

costos unitarios.
con bases en
los costos de TI

de costos definido. Las variaciones entre los presupuestos y los definido?

(personas,

DS6.2 -

costos actuales deben analizarse y reportarse de acuerdo con

de TI.
DS6 – Identificar y asignar costos

S los sistemas de medición financiera de la empresa.

O
1.- ¿Se define un modelo de costos de TI?
P
DS6.3 - Modelación de Costos y Cargos.

2.- ¿El modelo de costos está alineado con los procedimientos de

Establecer y mantener un proceso de
control de contabilización de TI y de

Con base en la definición del servicio, definir un modelo de

O costos que incluya costos directos, indirectos y fijos de los
contabilización de costos de la empresa?
3.- ¿Se garantiza que los cargos por servicios son identificables en el modelo
R servicios, y que ayude al cálculo de tarifas de reintegros de
cobro por servicio. El modelo de costos debe estar alineado
de costos de TI?
4.- ¿Se garantiza que los cargos por servicios son medibles en el modelo
T
costos.

con los procedimientos de contabilización de costos de la de costos de TI?

empresa. El modelo de costos de TI debe garantizar que los
E cargos por servicios son identificables, medibles y
predecibles por parte de los usuarios para propiciar el
adecuado uso de recursos. La gerencia del usuario debe
poder verificar el uso actual y los cargos de los servicios.
procedimientos y
5.- ¿Se garantiza que los cargos por servicios son predecibles por parte de los
usuarios para propiciar el adecuado uso de recursos en el modelo de costos de
TI ?
6.- ¿La gerencia del usuario verifica el uso actual del modelo de costos de
TI?
7.- ¿La gerencia del usuario verifica los cargos de los servicios en el modelo
de costos de TI?
1.- ¿Se revisa de forma regular lo apropiado del modelo de costos/recargos

Mantenimiento
del Modelo de
facturación.
Establecer y

políticas de

para mantener su relevancia para el negocio en evolución para las actividades

mantener

Revisar y comparar de forma regular lo apropiado del modelo

DS6.4 -

Costos.

de TI?
de costos/recargos para mantener su relevancia para el
2.- ¿Se compara de forma regular lo apropiado del modelo de costos/recargos
negocio en evolución y para las actividades de TI.
para mantener su relevancia para el negocio en evolución para las actividades
de TI?
1.- ¿Se establece de forma regular un programa de entrenamiento para
DS7.1 - Identificación de Necesidades de

Establecer y actualizar de forma regular un programa de cada grupo objetivo de empleados?

Identificar y categorizar las necesidades

entrenamiento para cada grupo objetivo de empleados, que

de capacitación de los usuarios.

Entrenamiento y Educación.
DS7 – Educar y entrenar a usuarios

incluya: 2.- ¿Se actualiza de forma regular el programa de entrenamiento para

• Estrategias y requerimientos actuales y futuros del negocio. cada grupo objetivo de empleados?
• Valores corporativos (valores éticos, cultura de control y
seguridad, etc.)
• Implementación de nuevo software e infraestructura de TI
(paquetes y aplicaciones)
• Habilidades, perfiles de competencias y certificaciones
actuales y/o credenciales necesarias.
• Métodos de impartición (por ejemplo, aula, web), tamaño
del grupo objetivo, accesibilidad y tiempo.
3.- ¿El programa de entrenamiento incluye estrategias y requerimientos
actuales y futuros del negocio?
4.- ¿El programa de entrenamiento incluye valores corporativos?
5.- ¿El programa de entrenamiento incluye la Implementación de nuevo
software e infraestructura de TI?
6.- ¿El programa de entrenamiento incluye habilidades, perfiles de
competencias y certificaciones actuales y/o credenciales necesarias?
7.- ¿El programa de entrenamiento incluye métodos de impartición?

Con base en las necesidades de entrenamiento identificadas, 1.- ¿Se designa instructores de entrenamiento a los grupos objetivo?
DS7.2 - Impartición de
Entrenamiento y

identificar: a los grupos objetivo y a sus miembros, a los 2.- ¿Se organiza el entrenamiento de los grupos objetivo con tiempo
programa de
Construir un

capacitación.

Educación.

mecanismos de impartición eficientes, a maestros, instructores suficiente?

y consejeros. Designar instructores y organizar el
entrenamiento con tiempo suficiente. Debe tomarse nota del
registro (incluyendo los prerrequisitos), la asistencia, y de las
evaluaciones de desempeño.

111
 C O B IT

ACTIVIDADES DEL

OBJETIVOS DE

CALIFICACIÓN
PROCESOS

CONTROL
DOMINIO

PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS

1.- ¿Se evalúa el contenido del entrenamiento al finalizar la capacitación

DS7 – Educar y entrenar a

mejores métodos y herramientas

concienciación. *Llevar a cabo
evaluaciones de capacitación.

para impartir la capacitación.

respecto a la relevancia?

Entrenamiento Recibido.
capacitación, intrusión y

*Identificar y evaluar los

Realizar actividades de

DS7.3 Evaluación del

Al finalizar el entrenamiento, evaluar el contenido del
2.- ¿Se evalúa el contenido del entrenamiento al finalizar la capacitación
entrenamiento respecto a la relevancia, calidad, efectividad,
usuarios

respecto a la calidad?
percepción y retención del conocimiento, costo y valor. Los
3.- ¿Se evalúa el contenido del entrenamiento al finalizar la capacitación
resultados de esta evaluación deben contribuir en la
respecto a la efectividad?
definición futura de los planes de estudio y de las sesiones de
4.- ¿Se evalúa el contenido del entrenamiento al finalizar la capacitación
entrenamiento.
respecto a la percepción y retención del conocimiento?
5.- ¿Se evalúa el contenido del entrenamiento al finalizar la capacitación
respecto al costo y valor?
1.- ¿Existen procedimientos de monitoreo basados en los niveles de
Crear procedimientos de clasificación (severidad e

servicio acordados en los SLAs?

2.- ¿Los procedimientos de monitoreo permiten clasificar cualquier
impacto) y de escalamiento (funcional y

problema?
Establecer la función de mesa de servicio, la cual es la
3.- ¿Los procedimientos de monitoreo permiten priorizar cualquier
DS8.1 - Mesa de Servicios.

conexión del usuario con TI, para registrar, comunicar,

problema?
atender y analizar todas las llamadas, incidentes reportados,
4.- ¿Existen procedimientos de escalamiento basados en los niveles de servicio
jerárquicos).

requerimientos de servicio y solicitudes de información.

acordados en los SLAs, que permitan clasificar y priorizar cualquier problema?
Deben existir procedimientos de monitoreo y escalamiento
basados en los niveles de servicio acordados en los SLAs, que
5.- ¿Los procedimientos de escalamiento permiten clasificar cualquier
permitan clasificar y priorizar cualquier problema reportado
problema?
como incidente, solicitud de servicio o solicitud de
6.- ¿Los procedimientos de escalamiento permiten priorizar cualquier
información. Medir la satisfacción del usuario final respecto a
problema?
la calidad de la mesa de servicios y de los servicios de TI
7.- ¿Se mide la satisfacción del usuario final respecto a la calidad de la mesa
DS8 – Administrar la mesa de servicio y los incidentes

de servicios de TI?
8.- ¿Se mide la satisfacción del usuario final respecto a la calidad de los
servicios de TI?
1.- ¿Se cuenta con un sistema que permita el registro y rastreo de llamadas,
Detectar y registrar incidentes/solicitudes de

incidentes, solicitudes de servicio y necesidades de información?

DS8.2 - Registro de Consultas de Clientes.

Establecer una función y sistema que permita el registro y

servicio/solicitudes de información.

rastreo de llamadas, incidentes, solicitudes de servicio y 2.- ¿El sistema trabaja estrechamente con los procesos de administración
necesidades de información. Debe trabajar estrechamente de incidentes?
E con los procesos de administración de incidentes, 3.- ¿El sistema trabaja estrechamente con los procesos de administración

N administración de problemas, administración de cambios,

administración de capacidad y administración de
de problemas?
4.- ¿El sistema trabaja estrechamente con los procesos de administración
T disponibilidad. Los incidentes deben clasificarse de acuerdo al de cambios?
negocio y a la prioridad del servicio y enrutarse al equipo de 5.- ¿El sistema trabaja estrechamente con los procesos de administración
R administración de problemas apropiado y se debe de capacidad?
mantener informados a los clientes sobre el estatus de sus 6.- ¿El sistema trabaja estrechamente con los procesos de administración
E consultas. de disponibilidad?
7.- ¿Se mantiene informado a los clientes sobre el estatus de sus consultas?
G
Establecer procedimientos de mesa de servicios de manera que 1.- ¿Existen procedimientos de mesa de servicios?
A
DS8.3 - Escalamiento de
diagnosticar consultas.

los incidentes que no puedan resolverse de forma inmediata sean

Clasificar, investigar y

2.- ¿Se escalan apropiadamente los incidentes que no pueden resolverse

R escalados apropiadamente de acuerdo con los límites de forma inmediata de acuerdo con los límites acordados en el SLA?
Incidentes.

acordados en el SLA (niveles de servicio) y, si es adecuado, brindar 3.- Se garantiza que la asignación de incidentes permanece en la mesa de
soluciones alternas. Garantizar que la asignación de incidentes y servicios?
el monitoreo del ciclo de vida permanecen en la mesa de
Y servicios, independientemente de qué grupo de TI esté
trabajando en las actividades de resolución.

1.- ¿Existen procedimientos para el monitoreo puntual de la resolución de

D
DS8.4 - Cierre de
*Hacer reportes
para la gerencia.

Establecer procedimientos para el monitoreo puntual de la

recuperar y

consultas de los clientes?

incidentes.

Incidentes.
Resolver,

resolución de consultas de los clientes. Cuando se resuelve el

cerrar

A incidente la mesa de servicios debe registrar la causa raíz, si

2.- ¿Cuándo se resuelve el incidente la mesa de servicios registra la causa raíz,
sí la conoce?
la conoce, y confirmar que la acción tomada fue acordada
R con el cliente.
3.- ¿Cuándo se resuelve el incidente la mesa de servicios confirma que la
acción tomada fue acordada con el cliente?
Emitir reportes de la actividad de la mesa de servicios para 1.- ¿Se emiten los reportes de la actividad de la mesa de servicios a la
actualizacione
usuarios (por

s de estatus)

Tendencias.
Informar a

Análisis de

permitir a la gerencia medir el desempeño del servicio y los gerencia?

ejemplo,

DS8.5 -

S tiempos de respuesta, así como para identificar tendencias de 2.- ¿Los reportes emitidos por la mesa de servicios permite a la gerencia
problemas recurrentes de forma que el servicio pueda medir el desempeño del servicio y los tiempos de respuesta?
O mejorarse de forma continua.
Establecer una herramienta de soporte y un repositorio
P 1.- ¿Existe una herramienta de soporte que contenga toda la información
procedimientos de

Repositorio y Línea
administración de
la configuración.

central que contenga toda la información relevante sobre los

*Actualizar el
repositorio de
configuración.

Configuración.
planeación de

relevante sobre los elementos de configuración?

Desarrollar

O elementos de configuración. Monitorear y grabar todos los

DS9.1 -

Base de

2.- ¿Existe un repositorio central que contenga toda la información relevante

activos y los cambios a los activos. Mantener una línea base sobre los elementos de configuración?
DS9 – Administrar la configuración

R de los elementos de la configuración para todos los sistemas

y servicios como punto de comprobación al que volver tras el
3.- ¿Se monitorean todos los activos y los cambios a los activos?
4.- ¿Se graban todos los activos y los cambios a los activos?
T cambio.
1.- ¿Existen procedimientos de configuración?
E
inicial y establecer líneas

DS9.2 - Identificación y
Recopilar información
sobre la configuración

2.- ¿El procedimiento soporta todos los cambios al repositorio de

Mantenimiento de

Establecer procedimientos de configuración para soportar la

Configuración.

configuración?
Elementos de

gestión y rastro de todos los cambios al repositorio de 3.- ¿Está integrado el procedimiento de configuración con la gestión de
base.

configuración. Integrar estos procedimientos con la gestión cambios?

de cambios, gestión de incidentes y procedimientos de
gestión de problemas.
Revisar periódicamente los datos de configuración para
la información de la
4.- ¿Está integrado el procedimiento de configuración con la gestión de
incidentes?
5.- ¿Está integrado el procedimiento de configuración con la gestión de
problemas?
1.- ¿Se revisan periódicamente los datos de configuración para verificar la

DS9.3 - Revisión de
Verificar y auditar

Integridad de la

verificar y confirmar la integridad de la configuración actual integridad de la configuración actual e histórica?

Configuración.
configuración

detección del

autorizado).
software no
(incluye la

e histórica. Revisar periódicamente el software instalado 2.- ¿Se revisan periódicamente los datos de configuración para confirmar
contra la política de uso de software para identificar la integridad de la configuración actual e histórica?
software personal o no licenciado o cualquier otra instancia de 3.- ¿Se revisa periódicamente el software instalado contra la política de uso
software en exceso del contrato de licenciamiento actual. de software personal o no licenciado o cualquier otra instancia de software
Reportar, actuar y corregir errores y desviaciones. en exceso del contrato de licenciamiento actual?
Implementar procesos para reportar y clasificar problemas que 1.- ¿Existen procesos para reportar problemas que han sido identificados
han sido identificados como parte de la administración de como parte de la administración de incidentes?
DS10 – Administrar los problemas

Clasificación de Problemas.
DS10.1 - Identificación y

incidentes. Los pasos involucrados en la clasificación de 2.- ¿Existen procesos para clasificar problemas que han sido
Identificar y clasificar

problemas son similares a los pasos para clasificar identificados como parte de la administración de incidentes?
problemas.

incidentes; son determinar la categoría, impacto, urgencia y

prioridad. Los problemas deben categorizar se de manera
apropiada en grupos o dominios relacionados (por ejemplo,
hardware, software, software de soporte). Estos grupos
pueden coincidir con las responsabilidades organizacionales
o con la base de usuarios y clientes, y son la base para
asignar los problemas al personal de soporte.
El sistema de administración de problemas debe mantener 1.- ¿Se cuenta con un sistema de administración de problemas?
pistas de auditoría adecuadas que permitan rastrear,
DS10.2 - Rastreo y
Realizar análisis de

2.- ¿El sistema mantiene pistas de auditoría que pemita rastrear la causa raíz
Resolución de

analizar y determinar la causa raíz de todos los problemas

causa raíz.

Problemas.

de todos los problemas reportados?

reportados considerando:
• Todos los elementos de configuración asociados
• Problemas e incidentes sobresalientes
• Errores conocidos y sospechados
• Seguimiento de las tendencias de los problemas
3.- ¿El sistema mantiene pistas de auditoría que pemita analizar la causa
raíz de todos los problemas reportados?
4.- ¿El sistema mantiene pistas de auditoría que pemita determinar la
causa raíz de todos los problemas reportados?

112
 COBIT

ACTIVIDADES DEL

OBJETIVOS DE

CALIFICACIÓN
PROCESOS

CONTROL
DOMINIO

PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS

1.- ¿Existe un procedimiento para cerrar registros de problemas?

DS10.3 - Cierre
registros de los

de Problemas.
Disponer de un procedimiento para cerrar registros de
estatus de
*Revisar el

*Mantener
problemas.

problemas.

problemas
DS10 – Administrar los

Resolver

problemas ya sea después de confirmar la eliminación

exitosa del error conocido o después de acordar con el
negocio cómo manejar el problema de manera alternativa.
problemas

Para garantizar una adecuada administración de problemas 1.- ¿Se garantiza una adecuada administración de problemas?
DS10.4 - Integración

Administraciones de
para mejorar y crear

cambio relacionada.
recomendaciones

e incidentes, integrar los procesos relacionados de

Configuración y
una solicitud de

2.- ¿Se garantiza una adecuada administración de incidentes?

Problemas.
Cambios,
administración de cambios, configuración y problemas. 3.- ¿Se monitorea cuánto esfuerzo se aplica en apagar fuegos?
Emitir

de las

Monitorear cuánto esfuerzo se aplica en apagar fuegos, en

lugar de permitir mejoras al negocio y, en los casos que sean
necesarios, mejorar estos procesos para minimizar los
problemas.
requerimientos de
4.- ¿Se mejora los procesos de administración de cambios,configuración y
problemas para minimizar los problemas?
1.- ¿Se verifica que todos los datos que se espera procesar se reciban

Administración de
almacenamiento y

del Negocio para

proc edimientos.

Requerimientos

Verificar que todos los datos que se espera procesar se

conservación a

completamente, de forma precisa y a tiempo?

Traducir los

reciben y procesan completamente, de forma precisa y a

DS11.1 -

2.- ¿Se verifica que todos los datos que se espera procesar se procesan
Datos.

tiempo, y que todos los resultados se entregan de acuerdo a completamente, de forma precisa y a tiempo?
los requerimientos de negocio. Las necesidades de reinicio y 3.- ¿Las necesidades de reinicio están soportadas?
reproceso están soportadas.
4.- ¿Las necesidades de reproceso están soportadas?
1.- ¿Existen procedimientos para el archivo de los datos?
DS11.2 - Acuerdos de
administrar librerías de
procedimientos para
Definir, mantener e

Almacenamiento y

Definir e implementar procedimientos para el archivo,

Conservación.
implementar

almacenamiento y retención de los datos, de forma efectiva y

medios.

eficiente para conseguir los objetivos de negocio, la política

de seguridad de la organización y los requerimientos
DS11 – Administrar los datos

regulatorios. 2.- ¿Existen procedimientos para el almacenaniento de los datos?

3.- ¿Existen procedimientos para la retención de los datos?
1.- ¿Existen procedimientos para mantener un inventario de medios
procedimientos

segura, medios

Administración
de Librerías de
para desechar
implementar
mantener e

Sistema de

almacenados?
y equipo.
de forma

Definir e implementar procedimientos para mantener un

DS11.3 -
Definir,

Medios.

inventario de medios almacenados y archivados para 2.- ¿Existen procedimientos para mantener un inventario de medios
asegurar su usabilidad e integridad. archivados?
E 3.- ¿Se aseguran de la usabilidad e integridad de los medios?

N Definir e implementar procedimientos para asegurar que los 1.- ¿Existen procedimientos para la protección de datos sensitivos que
de acuerdo

esquema.

Eliminació
Respaldar
los datos

DS11.4 -

requerimientos de negocio para la protección de datos aseguren los requerimientos del negocio?
n.
al

T sensitivos y el software se consiguen cuando se eliminan o 2.- ¿Existen procedimientos para la protección del software que aseguren
transfieren los datos y/o el hardware. los requerimientos del negocio?
R 1. ¿Existen procedimientos de respaldo de los sistemas en línea alineado
restauración de datos.
procedimientos para
Definir, mantener e

DS11.5 - Respaldo y

con los requerimientos de negocio y el plan de continuidad?

E
Restauración.

Definir e implementar procedimientos de respaldo y 2. ¿Existen procedimientos de respaldo de las aplicaciones en línea
implementar

restauración de los sistemas, aplicaciones, datos y alineado con los requerimientos de negocio y el plan de continuidad?
G documentación en línea con los requerimientos de negocio y 3. ¿Existen procedimientos de respaldo de los datos en línea alineado con
el plan de continuidad. los requerimientos de negocio y el plan de continuidad?
A 4. ¿Existen procedimientos de respaldo de la documentación en línea
R alineado con los requerimientos de negocio y el plan de continuidad?
Definir e implementar las políticas y procedimientos para 1.- ¿Existen procedimientos para identificar los requerimientos de
procedimiento

Requerimiento
s de Seguridad

Administració
implementar

restauración

identificar y aplicar los requerimientos de seguridad

mantener e

n de Datos.

seguridad aplicables al recibo?

de datos.

DS11.6 -
Definir,

para la
s para

aplicables al recibo, procesamiento, almacén y salida de los

Y datos para conseguir los objetivos de negocio, las políticas 2.- ¿Existen procedimientos para aplicar los requerimientos de seguridad
de seguridad de la organización y requerimientos aplicables al recibo?
regulatorios
1.- ¿Se define los centros de datos físicos para el equipo de TI?
D
DS12.1 - Selección y Diseño del
Definir el nivel requerido de

Definir y seleccionar los centros de datos físicos para el

A equipo de TI para soportar la estrategia de tecnología ligada 2.- ¿Se selecciona los centros de datos físicos para el equipo de TI?
protección física.

Centro de Datos.

a la estrategia del negocio. Esta selección y diseño del 3.- ¿Se soporta la estrategia de tecnología ligada a la estrategia del
R esquema de un centro de datos debe tomar en cuenta el riesgo negocio?
asociado con desastres naturales y causados por el hombre. 4.- ¿La selección de un centro de datos toma en cuenta el riesgo asociado
También debe considerar las leyes y regulaciones con desastres naturales y causados por el hombre?
correspondientes, tales como regulaciones de seguridad y de
S salud en el trabajo.
5.- ¿El diseño del esquema de un centro de datos toma en cuenta el riesgo
asociado con desastres naturales y causados por el hombre?
O 6.- ¿Se considera las leyes y regulaciones correspondientes, tales como
regulaciones de seguridad y de salud en el trabajo?
P 1.- ¿Existen medidas de seguridad físicas alineadas con los
DS12 – Administrar el ambiente físico

Definir e implementar medidas de seguridad físicas alineadas

Seleccionar y comisionar el

requerimientos del negocio?

O con los requerimientos del negocio. Las medidas deben
sitio (centro de datos,

DS12.2 - Medidas de

2.- ¿Se establecen las responsabilidades sobre el monitoreo?

Seguridad Física.

incluir, pero no limitarse al esquema del perímetro de

oficina, etc).

R seguridad, de las zonas de seguridad, la ubicación de equipo 3.- ¿Se establecen las responsabilidades sobre los procedimientos de
crítico y de las áreas de envío y recepción. En particular, reporte?
T mantenga un perfil bajo respecto a la presencia de 4.- ¿Se establecen las responsabilidades sobre la resolución de incidentes
operaciones críticas de TI. Deben establecerse las de seguridad física?
E responsabilidades sobre el monitoreo y los procedimientos
de reporte y de resolución de incidentes de seguridad física.
1.- ¿Existen procedimientos para otorgar el acceso a locales, edificios y
Implementar medidas de

DS12.3 - Acceso Físico.

áreas de acuerdo con las necesidades del negocio, incluyendo las

Definir e implementar El acceso a locales, edificios y áreas
ambiente físico.

emergencias?
debe justificarse, autorizarse, registrarse y monitorearse. 2.- ¿Existen procedimientos para limitar el acceso a locales, edificios y
Esto aplica para todas las personas que accedan a las áreas de acuerdo con las necesidades del negocio, incluyendo las
instalaciones, incluyendo personal, clientes, proveedores, emergencias?
visitantes o cualquier tercera persona. 3.- ¿Existen procedimientos para revocar el acceso a locales, edificios y
áreas de acuerdo con las necesidades del negocio, incluyendo las
emergencias?
1.- ¿Existen medidas de protección contra factores ambientales?
o, monitoreo y
(mantenimient
Administrar el

Ambientales.
Protección
incluidos).
ambiente

DS12.4 -

Diseñar e implementar medidas de protección contra factores 2.- ¿ Existen dispositivos especializados para monitorear y controlar el
reportes

Factores
Contra
físico

ambientales. Deben instalarse dispositivos y equipo ambiente?

especializado para monitorear y controlar el ambiente 3- ¿ Existen equipos especializado para monitorear y controlar el
ambiente?
1.- ¿El equipo de comunicaciones está administrado de acuerdo con las
Administración de
mantenimiento y

Administrar las instalaciones, incluyendo el equipo de leyes y los reglamentos, los requerimientos técnicos y del negocio, las
autorización de
procesos para

acceso físico.

Instalaciones
implementar

DS12.5 -

comunicaciones y de suministro de energía, de acuerdo con especificaciones del proveedor y los lineamientos de seguridad y salud?
Definir e

Físicas.

las leyes y los reglamentos, los requerimientos técnicos y del 2.- ¿El equipo de suministro de energía, esta administrado de acuerdo con
negocio, las especificaciones del proveedor y los las leyes y los reglamentos, los requerimientos técnicos y del negocio, las
lineamientos de seguridad y salud. especificaciones del proveedor y los lineamientos de seguridad y salud?
Definir, implementar y mantener procedimientos estándar 1.- ¿Existen procedimientos estándar para operaciones de TI?
DS13 – Administrar las

DS13.1 - Procedimientos e
cambios, procedimientos
operación (incluyendo

para operaciones de TI y garantizar que el personal de 2.- ¿El personal de operaciones está familiarizado con todas las tareas de
manuales, planes de

de escalamiento, etc).
procedimientos de

Instrucciones de
Crear/modificar

operaciones está familiarizado con todas las tareas de operación relativas a ellos?
operaciones

Operación.

operación relativas a ellos. Los procedimientos de operación

deben cubrir los procesos de entrega de turno (transferencia
formal de la actividad, estatus, actualizaciones, problemas
de operación, procedimientos de escalamiento, y reportes
sobre las responsabilidades actuales) para garantizar la
continuidad de las operaciones.

113
 C O B IT

ACTIVIDADES DEL

OBJETIVOS DE

CALIFICACIÓN
PROCESOS

CONTROL
DOMINIO

PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS

1.- ¿La programacion de trabajos está organizado de una manera mas

Pogramación de cargas de
trabajo y de programas en

DS13.2 - Programación de
eficiente, maximizando el desempeño y la utilizacion para cumplir con los
E Organizar la programación de trabajos, procesos y tareas en la
requerimientos del negocio?
secuencia más eficiente, maximizando el desempeño y la
N utilización para cumplir con los requerimientos del negocio. 2.- ¿La programacion de procesos esta organizado de una manera mas

Tareas.
lote.

Deben autorizarse los programas iniciales así como los eficiente, maximizando el desempeño y la utilizacion para cumplir con los
T cambios a estos programas. Los procedimientos deben requerimientos del negocio?
R implementarse para identificar, investigar y aprobar las 3.- ¿La programacion de tareas esta organizado de una manera mas eficiente,
salidas de los programas estándar agendados. maximizando el desempeño y la utilizacion para cumplir con los
E requerimientos del negocio?
G Definir e implementar procedimientos para monitorear la 1.- ¿Existen procedimientos para monitorear la infraestructura de TI?
DS13.3 - Monitoreo
de la Infraestructura
procesar y resolver
infraestructura y

infraestructura de TI y los eventos relacionados. Garantizar

Monitorear la

A
DS13 – Administrar las operaciones

problemas.

que en los registros de operación se almacena suficiente 2.- ¿Existen procedimientos para monitorear los eventos relacionados?
de TI.

información cronológica para permitir la reconstrucción,

R revisión y análisis de las secuencias de tiempo de las
operaciones y de las otras actividades que soportan o que
están alrededor de las operaciones.
Y 1.- ¿Existen resguardos físicos sobre los activos de TI más sensitivos tales como
Administrar y asegurar la

formas, instrumentos negociables, impresoras de uso especial o dispositivos

Sensitivos y Dispositivos
DS13.4 - Documentos
información (reportes,

Establecer resguardos físicos, prácticas de registro y de seguridad?

salida física de

D
medios, etc).

de Salida.

administración de inventarios adecuados sobre los activos 2.- ¿Existen prácticas de registros sobre los activos de TI más sensitivos tales
de TI más sensitivos tales como formas, instrumentos
A negociables, impresoras de uso especial o dispositivos de
como formas, instrumentos negociables, impresoras de uso especial o
dispositivos de seguridad?
R seguridad. 3.- ¿Existe una administración de inventarios adecuados sobre los activos de
TI más sensitivos tales como formas, instrumentos negociables, impresoras
de uso especial o dispositivos de seguridad?
S 1.- ¿Existen procedimientos para garantizar el mantenimiento oportuno de
*Implementar/establecer un proceso

DS13.5 - Mantenimiento Preventivo

la infraestructura?
para salvaguardar los dispositivos

O
interferencia, perdida o robo.
programa de infraestructura.
Aplicar cambios o arreglos al

*Programar y llevar a cabo

mantenimiento preventivo
de autenticación contra

P
del Hardware.

Definir e implementar procedimientos para garantizar el 2.- ¿Existen procedimientos para reducir la frecuencia y el impacto de las
O mantenimiento oportuno de la infraestructura para reducir la fallas de la infraestructura?
frecuencia y el impacto de las fallas o de la disminución del
R desempeño.
T 3.- ¿Existen procedimientos para reducir la disminución del desempeño de la
infraestructura?
E
1.- ¿Se establece un marco de trabajo de monitoreo general que definan el
Establecer el enfoque de

ME1.1 - Enfoque del

Establecer un marco de trabajo de monitoreo general y un alcance, la metodología y el proceso a seguir para medir la solución y la
enfoque que definan el alcance, la metodología y el proceso a entrega de servicios de TI?
monitoreo.

Monitoreo.

seguir para medir la solución y la entrega de servicios de TI, y
Monitorear la contribución de TI al negocio. Integrar el marco
de trabajo con el sistema de administración del desempeño
corporativo.
ME1.2 - Definición y Recolección de
2.- ¿Se establece un enfoque que definan el alcance, la metodología y el
proceso a seguir para medir la solución y la entrega de servicios de TI?
3.- ¿Se monitorea la contribución de TI al negocio?
4.- ¿Se integra el marco de trabajo de TI con el sistema de administración
del desempeño corporativo?
1.- ¿Se definen un conjunto balanceado de objetivos de desempeño que

van acordes con las metas del negocio?

Identificar y recolectar objetivos
medibles que apoyen a los

2.- ¿Se aprueban los objetivos de desempeño de cada uno de los procesos
Trabajar con el negocio para definir un conjunto balanceado
Datos de Monitoreo.
objetivos el negocio.

de TI por la gerencia y otros interesados relevantes?

de objetivos de desempeño y tenerlos aprobados por el
3.- ¿Se definen referencias con las que se compara los objetivos de
negocio y otros interesados relevantes. Definir referencias
desempeño?
con las que comparar los objetivos, e identificar datos
4.- ¿Se identifican datos disponibles a recolectar para medir los
disponibles a recolectar para medir los objetivos. Se deben
objetivos?
establecer procesos para recolectar información oportuna y
M precisa para reportar el avance contra las metas.
5.- ¿Se establecen procesos para recolectar información oportuna para
reportar el avance contra las metas?
O 6.- ¿Se establecen procesos para recolectar información precisa para
reportar el avance contra las metas?
N 1.- ¿Se garantiza la implantación de un método en el proceso de monitoreo?
Crear cuadro
de mandos.

Garantizar que el proceso de monitoreo implante un método

Método de
Monitoreo.
ME1.3 -

I (Ej. Balanced Scorecard), que brinde una visión sucinta y

2.- ¿El proceso de monitoreo brinda una visión sucinta desde todos los
desde todos los ángulos del desempeño de TI y que se adapte
ME1 - Monitorear y Evaluar el Desempeño de TI.

T al sistema de monitoreo de la empresa.

ángulos del desempeño de TI, que se adapte al sistema de monitoreo de la
empresa?
O 1.- ¿Se comparan de forma periódica el desempeño contra las metas?
Desempeño.
desempeño

Evaluación
Evaluar el

Comparar de forma periódica el desempeño contra las metas,

ME1.4 -

R
del

realizar análisis de la causa raíz e iniciar medidas

2.- ¿Se analiza la causa raíz para resolver las causas subyacentes tomando
correctivas para resolver las causas subyacentes.
las medidas correctivas?
E
1.- ¿Existe una revisión administrativa de los reportes de desempeño de
A los recursos de TI?
ME1.5 - Reportes al Consejo Directivo y a

Proporcionar reportes administrativos para ser revisados

2.- ¿Los reportes de estatus incluyen el grado en el que se han alcanzado los
R por la alta dirección sobre el avance de la organización hacia
metas identificadas, específicamente en términos del
objetivos planeados?
Reportar el desempeño.

3.- ¿Los reportes de estatus incluyen el grado en el que se han alcanzado los
desempeño del portafolio empresarial de programas de
entregables obtenidos?
inversión habilitados por TI, niveles de servicio de programas
Ejecutivos.

4.- ¿Los reportes de estatus incluyen el grado en el que se han alcanzado las
Y individuales y la contribución de TI a ese desempeño. Los
metas de desempeño alcanzadas?
reportes de estatus deben incluir el grado en el que se han
5.- ¿Los reportes de estatus incluyen el grado en el que se han alcanzado los
alcanzado los objetivos planeados, los entregables
riesgos mitigados?
obtenidos, las metas de desempeño alcanzadas y los riesgos
E mitigados. Durante la revisión, se debe identificar cualquier
6.- ¿Durante la revisión de los reportes, se identifican cualquier
desviación respecto al desempeño esperado?
V desviación respecto al desempeño esperado y se deben
iniciar y reportar las medidas de administración adecuadas.
7.- ¿Se inicia las medidas de administración adecuadas?
8.- ¿Se reporta las medidas de administración adecuadas?
A
L 1.- ¿Se identifican e inician medidas correctivas basadas en el monitoreo
del desempeño?
U 2.- ¿Se identifican e inician medidas correctivas basadas en la evaluación?
Identificar y monitorear las medidas de mejora del desempeño.

A 3.- ¿Se identifican e inician medidas correctivas basadas en reportes?

4.- ¿En el seguimiento del monitoreo se incluye:
R a) Una revisión.
ME1.6 - Acciones Correctivas.

b) La negociación.
Identificar e iniciar medidas correctivas basadas en el c) Establecimiento de respuestas de administración
monitoreo del desempeño, evaluación y reportes. Esto incluye d) Asiganción de responsabilidades por la corrección.
el seguimiento de todo el monitoreo, de los reportes y de las e) Rastreo de los resultados de las acciones comprometidas?
evaluaciones con: • Revisión, negociación y establecimiento 5.- ¿En el seguimiento de los reportes se incluye:
de respuestas de administración. • Asignación de a) Una revisión.
responsabilidades por la corrección. • Rastreo de los b) La negociación.
resultados de las acciones comprometidas. c) Establecimiento de respuestas de administración.
d) Asignación de responsabilidades por la corrección.
e) Rastreo de los resultados de las acciones comprometidas?
6.- ¿En el seguimiento de las evaluaciones se incluye:
a) Una revisión.
b) La negociación.
c) Establecimiento de respuestas de administración.
d) Asignación de responsabilidades por la corrección.
e) Rastreo de los resultados de las acciones comprometidas?

114
 COBIT

ACTIVIDADES DEL

OBJETIVOS DE

CALIFICACIÓN
PROCESOS

CONTROL
DOMINIO

PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS

control interno de TI 1.- ¿Se monitorea de forma continua el ambiente de control de TI y el marco

Marco de Trabajo
Monitorización del

de Control Interno.
de trabajo de control de TI para satisfacer los objetivos organizacionales?
actividades de
Monitorear y
controlar las

Monitorear de forma continua, comparar y mejorar el

ME2.1 -
ambiente de control de TI y el marco de trabajo de control de 2.- ¿Se compara el ambiente de control de TI y el marco de trabajo de
TI para satisfacer los objetivos organizacionales. control de TI para satisfacer los objetivos organizacionales?
3.- ¿Se mejora el ambiente de control de TI y el marco de trabajo de control
de TI para satisfacer los objetivos organizacionales?
1.- ¿Se monitorea la eficiencia y efectividad de los controles internos de
Revisiones de
Crear cuadro
de mandos.

Auditoría. revisión de la gerencia de TI?

ME2.2 -

Monitorear y evaluar la eficiencia y efectividad de los

controles internos de revisión de la gerencia de TI.
2.- ¿Se evalúa la eficiencia y efectividad de los controles internos de revisión
de la gerencia de TI?
1.- ¿Se identifican las excepciones de control?
excepciones de control.

ME2.3 - Excepciones de
Monitorear el proceso
para identificar y

Identificar las excepciones de control, y analizar e identificar 2.- ¿Se analizan e identifican sus causas raíz subyacentes de las
evaluar las

Control.
ME2 Monitorear y Evaluar el Control Interno

sus causas raíz subyacentes. Escalar las excepciones de excepciones de control?

control y reportar a los interesados apropiadamente.
Establecer acciones correctivas necesarias.
Monitorear el proceso de
3.- ¿Se escalan las excepciones de control reportando a los interesados
apropiadamente?
4.- ¿Se establecen acciones correctivas necesarias para las excepciones de
control?
1.- ¿Se evalúa la completitud y efectividad de los controles de gerencia sobre

ME2.4 - Control de Auto

los procesos de TI por medio de un programa continuo de auto- evaluación?

auto evaluación.

Evaluación.

Evaluar la completitud y efectividad de los controles de
gerencia sobre los procesos, políticas y contratos de TI por
medio de un programa continuo de auto-evaluación.
2.- ¿Se evalúa la completitud y efectividad de los controles de gerencia sobre
las políticas de TI por medio de un programa continuo de auto- evaluación?
3.- ¿Se evalúa la completitud y efectividad de los controles de gerencia sobre
los contratos de TI por medio de un programa continuo de auto- evaluación?

1.- ¿Se obtiene un aseguramiento adicional de la completitud de los controles

Monitorear el
proceso para

remediar las
excepciones
identificar y

de control.

miento del
Asegura-
evaluar y

Obtener, según sea necesario, aseguramiento adicional de la

ME2.5 -

Interno.

internos por medio de revisiones de terceros?

Control

completitud y efectividad de los controles internos por medio

2.- ¿Se obtiene un aseguramiento adicional de la efectividad de los controles
de revisiones de terceros.
internos por medio de revisiones de terceros?

1.- ¿Se evalúa el estado de los controles internos de los proveedores de

ME2.6 - Control Interno
los controles operados
Monitorear el proceso

aseguramiento sobre

servicios externos?
M Evaluar el estado de los controles internos de los
para Terceros.
por terceros.
para obtener

2.- ¿Se confirma que los proveedores de servicios externos cumplen con
proveedores de servicios externos. Confirmar que los
O proveedores de servicios externos cumplen con los
los requerimientos legales?
3.- ¿Se confirma que los proveedores de servicios externos cumplen con
requerimientos legales y regulatorios y obligaciones
N contractuales.
los requerimientos regulatorios?
4.- ¿Se confirma que los proveedores de servicios externos cumplen con
I las obligaciones contractuales?
1.- ¿Se identifican acciones correctivas derivadas de los controles de
T evaluación y los informes?
ME2.7 - Acciones
interesados clave.
Reportar a los

Correctivas.

2.- ¿Se inician acciones correctivas derivadas de los controles de evaluación y

O Identificar, iniciar, rastrear e implementar acciones
correctivas derivadas de los controles de evaluación y los
los informes?
3.- ¿Se rastrean acciones correctivas derivadas de los controles de evaluación y
R informes.
los informes?

E 4.- ¿Se implementan acciones correctivas derivadas de los controles de

evaluación y los informes?
A 1.- ¿Se identifican, sobre una base continua, leyes locales e internacionales
legales, contractuales de
proceso para identificar

políticas y regulatorios.

que se deben de cumplir para incorporar en las políticas, estándares,

ME3.1 - Identificar los
Requerimientos de las
Definir y ejecutar un

Leyes, Regulaciones y

R
los requerimientos

Identificar, sobre una base continua, leyes locales e procedimientos y metodologías de TI de la organización?
Cumplimientos
Contractuales.

internacionales, regulaciones, y otros requerimientos 2.- ¿Se identifican, sobre una base continua, regulaciones que se deben de
externos que se deben de cumplir para incorporar en las cumplir para incorporar en las políticas, estándares, procedimientos y
políticas, estándares, procedimientos y metodologías de TI de metodologías de TI de la organización?
Y la organización. 3.- ¿Se identifican, sobre una base continua, otros requerimientos externos que
se deben de cumplir para incorporar en las políticas, estándares,
procedimientos y metodologías de TI de la organización?
E 1.- ¿Se revisan las políticas, estándares, procedimientos y metodologías de TI?
Requerimientos Externos.
Evaluar cumplimiento de
ME3 Garantizar el Cumplimiento Regulatorio

procedimientos de TI.
políticas, estándares y
actividades de TI con

ME3.2 - Optimizar la

V Revisar y ajustar las políticas, estándares, procedimientos y

2.- ¿Se ajustan las políticas, estándares, procedimientos y metodologías de
Respuesta a

TI?
A metodologías de TI para garantizar que los requisitos legales,
regulatorios y contractuales son direccionados y
3.- ¿Se garantizan que los requisitos legales son direccionados y comunicados?

L comunicados. 4.- ¿Se garantizan que los requisitos regulatorios son direccionados y
comunicados?
U 5.- ¿Se garantizan que los requisitos contractuales son direccionados y
comunicados?
A 1.- ¿Se verifica el cumplimiento de políticas de TI con los requerimientos
ME3.3 - Evaluación del

legales y regulatorios?
Cumplimiento con
Crear cuadro de

R
Requerimientos

2.- ¿Se verifica el cumplimiento de los estándares de TI con los

Externos.
mandos.

Confirmar el cumplimiento de políticas, estándares,

requerimientos legales y regulatorios?
procedimientos y metodologías de TI con requerimientos
3.- ¿Se verifica el cumplimiento de los procedimientos de TI con los
legales y regulatorios.
requerimientos legales y regulatorios?
4.- ¿Se verifica el cumplimiento de las metodologías de TI con los
requerimientos legales y regulatorios?
1.- ¿Se obtiene una garantía de cumplimiento y adhesión a todas las políticas
ME3.4 - Aseguramiento
con los requerimientos

Obtener y reportar garantía de cumplimiento y adhesión a

procedimientos de TI
alinear las políticas,

internas o requerimientos legales externos?

alimentación para

de cumplimiento.

todas las políticas internas derivadas de directivas internas

Cumplimiento.
Brindar retro

estándares y

2.- ¿Se reporta una garantía de cumplimiento y adhesión a todas las políticas
Positivo del

o requerimientos legales externos, regulatorios o

internas o requerimientos legales externos?
contractuales, confirmando que se ha tomado cualquier
3.- ¿Se toman acciones correctivas para garantizar el cumplimiento de las
acción correctiva para resolver cualquier brecha de
políticas internas o requerimientos legales externos?
cumplimiento por el dueño responsable del proceso de forma
4.- ¿Se resuelve cualquier brecha de cumplimiento por el dueño
oportuna.
responsable del proceso de forma oportuna?
1.- ¿Se integra los reportes de TI sobre requerimientos legales con las salidas
los requerimientos
reportes e TI sobre

ME3.5 - Reportes
regulatorios con

provenientes e
otras funciones

similares provenientes de otras funciones del negocio?

del negocio.

Integrados.
Integrar los

Integrar los reportes de TI sobre requerimientos legales,

similares

2.- ¿Se integra los reportes de TI sobre requerimientos regulatorios con las
regulatorios y contractuales con las salidas similares
salidas similares provenientes de otras funciones del negocio?
provenientes de otras funciones del negocio.
3.- ¿Se integra los reportes de TI sobre requerimientos contractuales con
las salidas similares provenientes de otras funciones del negocio?
1.- ¿Se define el marco de gobierno de TI con la visión completa del
ME4 Proporcionar Gobierno de

entorno de control y Gobierno Corporativo?

ME4.1 - Establecimiento de un Marco de

2.- ¿Se establece el marco de gobierno de TI con la visión completa del

Establecer visibilidad y facililitación del
consejo y de los ejecutivos hacia las

Definir, establecer y alinear el marco de gobierno de TI con la entorno de control y Gobierno Corporativo?
visión completa del entorno de control y Gobierno 3.- ¿Se alinea el marco de gobierno de TI con la visión completa del
Corporativo. Basar el marco de trabajo en un adecuado entorno de control y Gobierno Corporativo?
actividades de TI.

Gobierno de TI.

proceso de TI y modelo de control y proporcionar la rendición 4.- ¿Se basa el marco de trabajo en un adecuado proceso de TI?
de cuentas y prácticas inequívocas para evitar una rotura en
TI

5.- ¿Se basa el marco de trabajo en un adecuado modelo de control?

el control interno y la revisión. Confirmar que el marco de
gobierno de TI asegura el cumplimiento con las leyes y
regulaciones y que esta alineado, y confirma la entrega de, la
estrategia y objetivos empresariales. Informa del estado y
cuestiones de gobierno de TI.
6.- ¿El marco de trabajo proporciona la rendición de cuentas y prácticas
inequívocas para evitar una rotura en el control interno y la revisión?
7.- ¿Se aseguran que el marco de gobierno de TI está cumpliendo con las
leyes y regulaciones?
8.- ¿Se aseguran que el marco de gobierno de TI está alineado con las leyes
y regulaciones?
9.- ¿Se informa del estado y cuestiones de gobierno de TI?

115
 COBIT
ACTIVIDADES DEL

OBJETIVOS DE

CALIFICACIÓN
PROCESOS

CONTROL
DOMINIO

PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS

Facilitar el entendimiento del consejo directivo y de los 1.- ¿Se da a conocer al consejo directivo sobre temas estratégicos de TI?
ejecutivos sobre temas estratégicos de TI tales como el rol de
Revisar, avalar, alinear y comunicar el desempeño
de TI, la estrategia de TI, el manejo de recursos y

2.- ¿Se da a conocer a los ejecutivos sobre temas estratégicos de TI?

TI, características propias y capacidades de la tecnología.
3.- ¿Se garantiza que la contribución potencial de TI cumple con la
riesgos de TI con respecto a la estrategia

Garantizar que existe un entendimiento compartido entre el

ME4.2 - Alineamiento Estratégic o.

estrategia del negocio?

negocio y la función de TI sobre la contribución potencial de
4.- ¿Se trabaja con el consejo directivo para definir organismos de
TI a la estrategia del negocio. Trabajar con el consejo
gobierno (tales como un comité estratégico de TI)?
directivo para definir e implementar organismos de gobierno,
5.- ¿Se trabaja con el consejo directivo para implementar organismos de
empresarial.

tales como un comité estratégico de TI, para brindar una

orientación estratégica a la gerencia respecto a TI,
garantizando así que tanto la estrategia como los objetivos se
distribuyan en cascada hacia las unidades de negocio y
hacia las unidades de TI y que se desarrolle certidumbre y
M confianza entre el negocio y TI. Facilitar la alineación de TI
con el negocio en lo referente a estrategia y operaciones,
O fomentando la co-responsabilidad entre el negocio y TI en la
gobierno (tales como un comité estratégico de TI)?
6.- ¿Se brinda una orientación estratégica a la gerencia respecto a TI?
7.- ¿Se facilita la alineación de TI con el negocio en cuanto a estrategia y
operaciones?
8.- ¿Se fomenta la co-responsabilidad entre el negocio y TI en la toma de
decisiones estratégicas y en la obtención de los beneficios provenientes
de las inversiones habilitadas con TI?

N toma de decisiones estratégicas y en la obtención de los

beneficios provenientes de las inversiones habilitadas con TI.
I
ME4.3 - Entrega de Va

Administrar los programas de inversión habilitados con TI, 1.- ¿Se administra los programas de inversión habilitados con TI, así como
así como otros activos y servicios de TI, para asegurar que otros activos y servicios de TI?
T
Crear cuadr o

ofrezcan el mayor valor posible para apoyar la estrategia y 2.- ¿Se implementa un enfoque disciplinado de la administración del
mandos.

los objetivos empresariales. Asegurarse de que los resultados portafolio?

O de negocio esperados de las inversiones habilitadas por TI y 3.- ¿El departamento de TI garantiza la optimización de los costos por la
ME4 Proporcionar Gobierno de TI

el alcance completo del esfuerzo requerido para lograr esos prestación de servicios?
R resultados esté bien entendido, que se generen casos de 4.- ¿El departamento garantiza las capacidades de TI?
E 1.- ¿Se revisa la inversión de TI por medio de evaluaciones periódicas?
parte de la gerencia de
las rec omendaciones
Resolver los hallazgos

Administración de
implantación por
de la evaluaciones

Revisar inversión, uso y asignación de los activos de TI por

independientes y

A
garantizar la

acor dadas.

Recursos.

medio de evaluaciones periódicas de las iniciativas y 2.- ¿Se revisa el uso de los activos de TI por medio de evaluaciones
ME4.4 -

R operaciones de TI para asegurar recursos y alineamiento periódicas?

apropiados con los objetivos estratégicos y los imperativos
de negocio actuales y futuros. 3.- ¿Se revisa la asignación de los activos de TI por medio de evaluaciones
periódicas?
Y 1.- ¿Se trabaja con el consejo directivo para definir el nivel de riesgo de TI
Generar un reporte de gobier no

Trabajar con el consejo directivo para definir el nivel de

aceptable por la empresa?
ME4.5 - Administración de

riesgo de TI aceptable por la empresa y obtener garantía

razonable que las practicas de administración de riesgos de 2.- ¿Se aseguran que el riesgo actual de TI no excede el riesgo aceptable de
E TI son apropiadas para asegurar que el riesgo actual de TI no dirección?
Riesgos.
de TI.

excede el riesgo aceptable de dirección. Introducir las 3.- ¿Se introduce las responsabilidades de administración de riesgos en la
V responsabilidades de administración de riesgos en la organización?
organización, asegurando que el negocio y TI regularmente 4.- ¿Se evalúan los riesgos relacionados con TI y su impacto?
A evalúan y reportan riesgos relacionados con TI y su impacto y
que la posición de los riesgos de TI de la empresa es
L transparente a los interesados.
5.- ¿Se reportan los riesgos relacionados con TI y su impacto?

U 1.- ¿Se verifica que los objetivos de TI cumple las expectativas de la

comunicar el desempeño de

Confirmar que los objetivos de TI confirmados se han

riesgos de TI con respecto a
la estrategia empresarial.

empresa?
TI, la estrategia de TI, el
Revisar, avalar, alinear y

gobier no de TI.manejo de recursos y

conseguido o excedido, o que el progreso hacia las metas de

A
ME4.6 - Medición del

TI cumple las expectativas. Donde los objetivos confirmados 2.- ¿Se informa a la alta dirección sobre los portafolios relevantes de TI?
Desempeño.

R no se han alcanzado o el progreso no es el esperado, revisar

las acciones correctivas de gerencia. Informar a dirección los
3.- ¿Se informa a la alta dirección sobre los programas de TI?
portafolios relevantes, programas y desempeños de TI,
soportados por informes para permitir a la alta dirección
revisar el progreso de la empresa hacia las metas 4.- ¿Se informa a la alta dirección sobre el desempeño de TI?
Independiente.

identificadas.

1.- ¿Se garantiza de forma independiente la conformidad de TI con la

Garantizar de forma independiente (interna o externa) la legislación de la organización?
Aseguramiento
Generar un
reporte de

conformidad de TI con la legislación y regulación relevante; 2.- ¿Se garantiza de forma independiente la conformidad de TI con las
ME4.7 -

las políticas de la organización, estándares y procedimientos; políticas de la organización?

practicas generalmente aceptadas; y la efectividad y 3.- ¿Se garantiza la efectividad del desempeño de TI?
eficiencia del desempeño de TI.
4.- ¿Se garantiza la eficiencia del desempeño de TI?

Fuente: Manual COBIT 4.1 (IT Governance Institute,

2007)

116