Procesos Catalizadores

Parte II
Daniel Cajas
Darwin Morocho
Ricardo Ortiz
Esteban Pérez
Roberto Prado
 Construir, Adquirir e
implementar
Cual es el propósito
• Beneficios de negocio
• Reducir el riesgo de retrasos y costes inesperados y el deterioro del valor
Como lo Lograremos
• Mediante la mejora de las comunicaciones
• La involucración de usuarios finales y de negocio
 BAI01 Gestión de Programas y Proyectos

Alineamiento de TI y la estrategia de negocio

Riesgos de negocio relacionados con las TI gestionados

Realización de beneficios del portafolio de

inversiones y servicios relacionados con las TI

Entrega de programas que proporcionen beneficios a tiempo, dentro del

presupuesto y satisfaciendo los requisitos y normas de calidad
 Actividades
Mantener y reforzar un enfoque estándar de la gestión de programas y
proyectos alineado al entorno específico de la empresa.

Incluyendo la gestión de alcance

Comunicaciones
Recursos Riesgos

Costes Calidad

Administrar cada programa

Establecer etapas o proyecto
 BAI02 Gestionar la Definición de Requisitos
Metas

Alineamiento de TI y estrategia de negocio

Entrega de servicios de TI de acuerdo a los requisitos del
negocio

Capacitación y soporte de procesos de negocio integrando aplicaciones y tecnología en procesos de negocio

 Actividades
Definir e implementar la definición de requerimientos

Durante todo el proyecto, obtener, analizar y confirmar que los

requerimientos de todas las partes interesadas

Especificar y priorizar la información

Validar todos los requerimientos

Hacer seguimiento y controlar el alcance

 BAI03 Gestionar la Identificación y
Construcción de Soluciones
• Entrega de servicios de TI de acuerdo a los requisitos del negocio

Actividades
Establecer especificaciones de diseño a alto nivel que
Involucrar a usuarios experimentados y apropiadamente
traduzcan la solución propuesta

Crear un diseño acorde a los estándares de diseño de la

organización Tras la aprobación de la garantía de calidad
BAI04 Gestionar la Disponibilidad y la
Capacidad
BAI04 Gestionar la Disponibilidad y la
Capacidad
BAI05 Gestionar la Facilitación del Cambio
Organizativo
BAI05 Gestionar la Facilitación del Cambio
Organizativo
BAI06 Gestionar los Cambios
BAI06 Gestionar los Cambios
BAI07 Gestionar la Aceptación del Cambio y la
Transición
BAI07 Gestionar la Aceptación del Cambio y la
Transición
DSS02 Gestionar Peticiones e Incidentes de
Servicio
El proceso apoya la consecución de un conjunto de principales metas TI:
04 Riesgos de negocio relacionados con las TI gestionados
07 Entrega de servicios de TI de acuerdo a los requisitos del negocio
Objetivos y Métricas del Proceso
Meta del Proceso Métricas Relacionadas

• Número y porcentaje de incidentes que causan

1. Las actividades operativas se realizan según lo interrupción en los procesos críticos de negocio
requerido y programado. • Tiempo promedio entre incidentes de acuerdo
con el servicio facilitado por TI

2. Las operaciones son monitorizadas, medidas, • Porcentaje de incidentes resueltos dentro de

reportadas y remediadas. un periodo acordado/aceptable

• Nivel de satisfacción del usuario con la

3. Las peticiones de servicio son resueltas según los resolución de las peticiones de servicio
niveles de servicio acordados y la satisfacción del
usuario. • Tiempo promedio transcurrido para el
tratamiento de cada tipo de petición de servicio
DSS02 Gestionar Peticiones e Incidentes de
Servicio
DSS02 Prácticas, Entradas/Salidas y
Actividades del Proceso

Prácticas de
Gestión

DSS02.01 Definir esquemas de clasificación de incidentes y peticiones de servicio.

DSS02.02 Registrar, clasificar y priorizar peticiones e incidentes.
DSS02.03 Verificar, aprobar y resolver peticiones de servicio.
DSS02.04 Investigar, diagnosticar y localizar incidentes.
DSS02.05 Resolver y recuperarse ante incidentes.
DSS02.06 Cerrar peticiones de servicio e incidentes.
DSS02.07 Seguir el estado y emitir de informes.
DSS02 Guías relacionadas

Estándar Relacionado Referencia Detallada

ITIL V3 2011 19. Gestión de Eventos
24. Gestión de Operaciones
ISO 27002 13. Gestión de Incidentes de Seguridad de la Información
ITIL V3 2011 20. Gestión de Incidentes
21. Cumplimiento de Peticiones
DSS03 Gestionar Problemas
Área:

• Gestión

Dominio:

• Entrega, Servicio y Soporte

Descripción del Proceso

• Identificar y clasificar problemas y sus causas raíz y proporcionar resolución en tiempo

para prevenir incidentes recurrentes. Proporcionar recomendaciones de mejora.

Declaración del Propósito del Proceso

• Incrementar la disponibilidad, mejorar los niveles de servicio, reducir costes, y mejorar

la comodidad y satisfacción del cliente reduciendo el número de problemas operativos.
DSS03 Gestionar Problemas
El proceso apoya la consecución de un conjunto de principales metas TI:
04 Riesgos de negocio relacionados con las TI gestionados
07 Entrega de servicios de TI de acuerdo a los requisitos del negocio
11 Optimización de activos recursos y capacidades de TI
14 Disponibilidad de información útil y relevante para la toma de decisiones

Objetivos y Métricas del Proceso

Meta del Proceso Métricas Relacionadas

• Descenso del número de incidentes recurrentes

1. Garantizar que los
problemas relativos a TI son
resueltos de forma que no
vuelven a suceder.
causados por problemas no resueltos
• Porcentaje de incidentes graves para los que se han
registrado problemas
• Porcentaje de soluciones temporales definidos para
problemas abiertos
• Porcentaje de problemas registrados como parte de
una gestión de problemas proactiva
• Número de problemas para los que se ha encontrado
una solución satisfactoria que apunta a causas raíz
DSS03 Gestionar Problemas
DSS03 Gestionar Problemas

Prácticas de
Gestión

DSS03.01 Identificar y clasificar problemas.

DSS03.02 Investigar y diagnosticar problemas.
DSS03.03 Levantar errores conocidos.
DSS03.04 Resolver y cerrar problemas.
DSS03.05 Realizar una gestión de problemas proactiva.
DSS03 Gestionar Problemas

Estándar Relacionado Referencia Detallada

ISO/IEC 20000 8.3 Gestión de problemas
ITIL V3 2011 22. Gestión de Problemas
DSS04 Gestionar la Continuidad
Área:

• Gestión

Dominio:

• Entrega, Servicio y Soporte

Descripción del Proceso

• Establecer y mantener un plan para permitir al negocio y a TI responder a incidentes e

interrupciones de servicio para la operación continua de los procesos críticos para el negocio y
los servicios TI requeridos y mantener la disponibilidad de la información a un nivel aceptable
para la empresa.

Declaración del Propósito del Proceso

• Continuar las operaciones críticas para el negocio y mantener la disponibilidad de la

información a un nivel aceptable para la empresa ante el evento de una interrupción
significativa.
DSS04 Gestionar la Continuidad

El proceso apoya la consecución de un conjunto de principales metas TI:

04 Riesgos de negocio relacionados con las TI gestionados

07 Entrega de servicios de TI de acuerdo a los requisitos del negocio
14 Disponibilidad de información útil y relevante para la toma de decisiones
 DSS04 Gestionar la Continuidad
Objetivos y Métricas del Proceso
Meta del Proceso
1. La información crítica para el
negocio está disponible para el
negocio en línea con los niveles de
servicio mínimos requeridos.
2. Los servicios críticos tienen
suficiente resiliencia.
3. Las pruebas de continuidad del
servicio han verificado la efectividad
del plan.
4. Un plan de continuidad actualizado
refleja los requisitos de negocio
actuales.
5. Las partes interesadas internas y
externas han sido formadas en el plan
de continuidad.
Métricas Relacionadas
• Porcentaje de servicios TI que cumplen los requisitos de tiempos de
funcionamiento
• Porcentaje de restauraciones satisfactorias y en tiempo de copias
alternativas o de respaldo
• Porcentaje de medios de respaldo transferidos y almacenados de
forma segura
• Número de sistemas críticos para el negocio no cubiertos por el plan
• Número de ejercicios y pruebas que han conseguido los objetivos de
recuperación
• Frecuencia de las pruebas
• Porcentaje de mejoras acordadas que han sido reflejadas en el plan
• Porcentaje de asuntos identificados que se han incluido
satisfactoriamente en el plan
• Porcentaje de interesados internos y externos que han recibido
formación
• Porcentaje de asuntos identificados que se han tratado
subsecuentemente en los materiales de formación
DSS04 Gestionar la Continuidad
DSS04 Gestionar la Continuidad

Prácticas de
Gestión

DSS04.01 Definir la política de continuidad de negocio, objetivos y alcance.

DSS04.02 Mantener una estrategia de continuidad
DSS04.03 Desarrollar e implementar una respuesta a la continuidad del negocio.
DSS04.04 Ejercitar, probar y revisar el BCP.
DSS04.05 Revisar, mantener y mejorar el plan de continuidad.
DSS04.06 Proporcionar formación en el plan de continuidad
DSS04.07 Gestionar acuerdos de respaldo.
DSS04.08 Ejecutar revisiones post-reanudación.
DSS04 Gestionar la Continuidad

Estándar Relacionado Referencia Detallada

BS 25999:2007 Norma de Continuidad de Negocio
ISO/IEC 20000 6.3 Gestión de la continuidad y disponibilidad de
servicios
ISO/IEC 27002:2011 14. Gestión de la Continuidad de Negocio
ITL V3 2011 9. Gestión de la Continuidad de Servicios de TI
DSS04 Gestionar la Continuidad
Área:

• Gestión

Dominio:

• Entrega, Servicio y Soporte

Descripción del Proceso

• Proteger la información de la empresa para mantener aceptable el nivel de riesgo de seguridad

de la información de acuerdo con la política de seguridad. Establecer y mantener los roles de
seguridad y privilegios de acceso de la información y realizar la supervisión de la seguridad.

Declaración del Propósito del Proceso

• Minimizar el impacto en el negocio de las vulnerabilidades e incidentes operativos de

seguridad en la información.
DSS04 Gestionar la Continuidad

El proceso apoya la consecución de un conjunto de principales metas TI:

02 Cumplimiento y soporte de TI al cumplimiento del negocio de las leyes y

regulaciones externas
07 Entrega de servicios de TI de acuerdo a los requisitos del negocio
10 Seguridad de la información, infraestructura de procesamiento y
aplicaciones
DSS04 Gestionar la Continuidad
Objetivos y Métricas del Proceso

Meta del Proceso Métricas Relacionadas

1. La seguridad de las redes y las • Número de vulnerabilidades descubiertas

comunicaciones cumple con las necesidades
del negocio • Número de rupturas de cortafuegos

• Porcentaje de individuos que reciben formación de concienciación

2. La información procesada, almacenada y relativa al uso de dispositivos de usuario final
transmitida en los dispositivos de usuario • Número de incidentes que impliquen dispositivos de usuario final
final está protegida. • Número de dispositivos de usuario final no autorizados detectados
en la red o en el entorno

3. Todos los usuarios están identificados de • Promedio de tiempo entre los cambios y actualizaciones de cuentas
manera única y tienen derechos de acceso • Número de cuentas (con respecto al número de usuarios/empleados
de acuerdo con sus roles en el negocio. autorizados)

4. Se han implantado medidas físicas para • Porcentaje de pruebas periódicas de los dispositivos de seguridad
proteger la información de accesos no del entorno
autorizados, daños e interferencias mientras • Clasificación media para las evaluaciones de seguridad física
es procesada, almacenada o transmitida. • Número de incidentes relacionados con seguridad física

5. La información electrónica tiene las

• Número de incidentes relacionados con accesos no autorizados a la
medidas de seguridad apropiadas mientras
información
está almacenada, transmitida o destruida.
DSS04 Gestionar la Continuidad
DSS04 Gestionar la Continuidad

Prácticas de
Gestión

DSS05.01 Proteger contra software malicioso (malware).

DSS05 Gestionar Servicios de Seguridad
Área:

• Gestión

Dominio:

• Entrega, Servicio y Soporte

Descripción del Proceso

• Establecer y mantener un plan para permitir al negocio y a TI responder a incidentes e interrupciones de servicio
para la operación continua de los procesos críticos para el negocio y los servicios TI requeridos y mantener la
disponibilidad de la información a un nivel aceptable para la empresa.

Declaración del Propósito del Proceso

• Continuar las operaciones críticas para el negocio y mantener la disponibilidad de la información a un nivel
aceptable para la empresa ante el evento de una interrupción significativa.
DSS05 Gestionar Servicios de Seguridad
DSS05 Gestionar Servicios de Seguridad
• Prácticas de Gestión
DSS05.01 Proteger contra software malicioso (malware).
DSS05.02 Gestionar la seguridad de la red y las conexiones.
DSS05.03 Gestionar la seguridad de los puestos de usuario final.
DSS05.04 Gestionar la identidad del usuario y el acceso lógico.
DSS05.05 Gestionar el acceso físico a los activos de TI.
DSS05.06 Gestionar documentos sensibles y dispositivos de salida.
DSS05.07 Supervisar la infraestructura para detectar eventos
relacionados con la seguridad.
DSS05 Gestionar Servicios de Seguridad
DSS05.01 Proteger contra software malicioso (malware)
Implementar y mantener efectivas medidas, preventivas, de detección
y correctivas (especialmente parches de seguridad actualizados y
control de virus) a lo largo de la empresa para proteger los sistemas de
información y tecnología del software malicios.

Salidas:
• Política de prevención de software malicioso
• Evaluaciones de amenazas potenciales
DSS05 Gestionar Servicios de Seguridad
DSS05.02 Gestionar la seguridad de la red y las conexiones.
Utilizar medidas de seguridad y procedimientos de gestión
relacionados para proteger la información en todos los modos de
conexión.

Salidas:
• Política de seguridad en la conectividad
• Resultados de las pruebas de intrusión
DSS05 Gestionar Servicios de Seguridad
DSS05.03 Gestionar la seguridad de los puestos de usuario final
Asegurar que los puestos de usuario final (es decir, portátil, equipo
sobremesa, servidor y otros dispositivos y software móviles y de red)
están asegurados a un nivel que es igual o mayor al definido en los
requerimientos de seguridad de la información procesada, almacenada
o transmitida.
Salidas:
• Políticas de seguridad para dispositivos de usuario final
DSS05 Gestionar Servicios de Seguridad
DSS05.04 Gestionar la identidad del usuario y el acceso lógico
Asegurar que todos los usuarios tengan derechos de acceso a la
información de acuerdo con los requerimientos de negocio y coordinar
con las unidades de negocio que gestionan sus propios derechos de
acceso con los procesos de negocio.

Salidas:
• Derechos de acceso de los usuarios aprobados
• Resultados de las revisiones de cuentas y privilegios de los usuarios
DSS05 Gestionar Servicios de Seguridad
DSS05.05 Gestionar el acceso físico a los activos de TI
Definir e implementar procedimientos para conceder, limitar y revocar
acceso a locales, edificios y áreas de acuerdo con las necesidades del
negocio, incluyendo emergencias.

Salidas:
• Peticiones de acceso aprobadas.
• Registros de acceso
DSS05 Gestionar Servicios de Seguridad
DSS05.06 Gestionar documentos sensibles y dispositivos de salida
Establecer salvaguardas físicas apropiadas, prácticas de contabilidad y
gestión del inventario para activos de TI sensibles, tales como
formularios especiales, títulos negociables, impresoras de propósito
especial o credenciales (token) de seguridad.

Salidas:
• Inventario de documentos y dispositivos sensibles
• Privilegios de acceso
DSS05 Gestionar Servicios de Seguridad
DSS05.07 Supervisar la infraestructura para detectar eventos
relacionados con la seguridad
Usando herramientas de detección de intrusiones, supervisar la
infraestructura para detectar accesos no autorizados y asegurar que
cualquier evento esté integrado con la supervisión general de eventos y
la gestión de incidentes.

Salidas:
• Registros de incidentes de seguridad
• Tiques de incidentes de seguridad
DSS06 Gestionar Controles de Proceso de Negocio
Definir y mantener controles del proceso de negocio, para asegurar que la información relacionada
y procesada dentro y fuera de la organización
Propósito
Mantener la integridad de la información y la seguridad de los activos de información usados en los
procesos del negocio.
Metas TI
• Riesgos de negocio relacionados con las TI gestionados
• Entrega de servicios TI de acuerdo a los requisitos del negocio
Metas del Proceso
• Cobertura y efectividad de controles para cumplir con los requerimientos del negocio para el
procesamiento de la información es completa
• Inventario de roles, responsabilidades y derechos de acceso está alineado con las necesidades
autorizadas de negocio.
• Las transacciones de negocio son retenidas completamente y según se requiera en registros
• DSS06.01 Alinear actividades de control embebidas en los procesos
de negocio con los objetivos corporativos.
• DSS06.02 Controlar el procesamiento de la información.
• DSS06.03 Gestionar roles, responsabilidades, privilegios de acceso y
niveles de autorización
• DSS06.04 Gestionar errores y excepciones.
• DSS06.05 Asegurar la trazabilidad de los eventos y responsabilidades
y de información.
• DSS06.06 Asegurar los activos de información.
Supervisar, Evaluar y Valorar (MEA)
01 Supervisar, evaluar y valorar el rendimiento y la conformidad.
02 Supervisar, evaluar y valorar el sistema de control interno.
03 Supervisar, evaluar y valorar la conformidad con los requerimientos
externos.
MEA01 Supervisar, Evaluar y Valorar el Rendimiento y la
Conformidad
Recolectar y evaluar métricas y objetivos del negocio de Ti y de procesos. Supervisar que los procesos se están
realizando acorde al rendimiento, conforme a los objetivos y métricas.
Declaración
Proporcionar transparencia del rendimiento y conformidad y conducción hacia la obtención de los objetivos.
Meta TI
• Riesgos de negocio relacionados con las TI gestionados
• Entrega de servicios TI de acuerdo a los requisitos del negocio
• Optimización de activos, recursos y capacidades de TI
• Cumplimiento de las políticas internas por parte de TI
Meta del Proceso
• Objetivos y métricas aprobadas por las partes interesadas.
• Procesos medidos acorde a las métricas y objetivos acordados.
• La monitorización, evaluación y generación de información es efectiva y operativa.
• Objetivos y métricas integradas dentro de los sistemas de supervisión de la empresa.
• Los informes acerca del rendimiento y conformidad de los procesos es útil y a tiempo.
• MEA01.01 Establecer un enfoque de la supervisión.
• MEA01.02 Establecer los objetivos de cumplimiento y rendimiento.
• MEA01.03 Recopilar y procesar los datos de cumplimiento y
rendimiento.
• MEA01.04 Analizar e informar sobre el rendimiento.
• MEA01.05 Asegurar la implantación de medidas correctivas
Guías Relacionadas

MEA01 Guías Relacionadas

Estándar relacionado Referencia Detallada
ISO/IEC 20000 6.2 Informes del servicio
ITIL V3 2011 26. Informes del Servicio
27. Medida del Servicio
MEA02 Supervisar, Evaluar y Valorar el Sistema de Control
Interno
Evaluar de forma continua el entorno de control, tanto autoevaluaciones como revisiones externas independientes.
Facilitar a la dirección la identificación de deficiencias e ineficiencias en el control y el inicio de acciones de mejora.
Propósito del Proceso
Ofrecer transparencia a las partes interesadas claves respecto de la adecuación del sistema de control interno para
generar confianza en las operaciones, en el logro de los objetivos de la compañía y un entendimiento adecuado del
riesgo residual.
Metas TI
• Cumplimiento y soporte de TI al cumplimiento del negocio de las leyes y regulaciones externas
• Riesgos de negocio relacionados con las TI gestionado
• Cumplimiento de las políticas internas por parte de TI
Metas del proceso
• Los procesos, recursos e información cumplen con los requisitos del sistema de control interno de la empresa.
• Todas las iniciativas de aseguramiento se planean y ejecutan de forma efectiva.
• Se proporciona aseguramiento independiente de que el sistema de control interno es operativo y efectivo.
• El control interno está establecido y las deficiencias son identificadas y comunicadas.
• MEA02.01 Supervisar el control interno.
• MEA02.02 Revisar la efectividad de los controles sobre los procesos
de negocio.
• MEA02.03 Realizar autoevaluaciones de control.
• MEA02.04 Identificar y comunicar las deficiencias de control.
• MEA02.05 Garantizar que los proveedores de aseguramiento son
independientes y están cualificados.
• MEA02.06 Planificar iniciativas de aseguramiento.
• MEA02.07 Estudiar las iniciativas de aseguramiento.
• MEA02.08 Ejecutar las iniciativas de aseguramiento.
MEA03 Supervisar, Evaluar y Valorar la Conformidad con los
Requerimientos Externos.
Evaluar el cumplimiento de requisitos regulatorios y contractuales tanto en los procesos de TI como
en los procesos de negocio dependientes de las tecnologías de la información.
Propósito del Proceso
Asegurar que la empresa cumple con todos los requisitos externos que le sean aplicables.
Meta TI
• Cumplimiento y soporte de TI al cumplimiento del negocio de las leyes y regulaciones externas
• Riesgos del negocio relacionados con las TI gestionados
Meta del proceso
• La totalidad de los requisitos externos de cumplimiento se han identificado.
• Tratar adecuadamente los requisitos externos de cumplimiento.
• MEA03.01 Identificar requisitos externos de cumplimiento.
• MEA03.02 Optimizar la respuesta a requisitos externos.
• MEA03.03 Confirmar el cumplimiento de requisitos externos.
• MEA03.04 Obtener garantía del cumplimiento de requisitos externos