Cobit3 Espanol

1 IT GOVERNANCE INSTITUTE

DIRECTRICES GERENCIALES

COBIT Directrices Gerenciales

Julio de 2000 3ra Edición

Publicado por El Comité de Dirección de COBIT y el IT Governance InstituteTM

La Misión de COBIT: Investigar, desarrollar, publicar y promover un conjunto de objetivos de control en tecnología de información con autoridad, actualizados,

de carácter internacional y aceptados generalmente para el uso cotidiano de gerentes de empresas y auditores.

ARGENTINA ARUBA AUSTRALIA AUSTRIA BAHAMAS BAHRAIN BANGLEDESH BARBADOS BÉLGICA BERMUDA BOLIVIA BOSTSWANA BRASIL BRUENI CANADÁ CHILE CHINA COLOMBIA COSTA RICA CROATA CURAZAO CYPRUS REPÚBLICA CHECA DINAMARCA REPÚBLICA DOMINICANA ECUADOR EGIPTO ESTONIA ISLAS FAEROE FINLANDIA FRANCIA ALEMANIA GHANA GRECIA GUAM GUATEMALA HONDURAS HONG KONG HUNGRÍA ISLANDIA INDIA INDONESIA IRLANDA ISRAEL ITALIA IVORY COAST JAMAICA JAPÓN JORDÁN KENYA COREA KUWAIT LATVIA LEBANON

LIECHTENSTEIN LITUANIA

LUXEMBURGO MALASIA

MALTA MALAWI MÉXICO

PAÍSES BAJOS NUEVA GUINEA

NUEVA ZELANDA NIGERIA

NORUEGA OMÁN

PAKISTÁN PANAMÁ

PERÚ FILIPINAS POLONIA

PORTUGAL QATAR RUSIA

SAIPAN ARABIA SAUDITA

ESCOCIA SEYCHELLES

SINGAPUR REP. ESLOVACA

ESLOVENIA SUDÁFRICA

ESPAÑA SRI LANKA ST. KITTS ST. LUCIA

SUECIA SUIZA SIRIA

TAIWAN TANZANIA TASMANIA TAILANDIA

TRINIDAD & TOBAGO TURQUÍA UGANDA

EMIRATOS ARAB UNIDOS REINO UNIDO

ESTADOS UNIDOS URUGUAY

VENEZUELA VIETNAM

GALES YEMEN ZAMBIA

ZIMBABWE

INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION

Una sola Fuente Internacional para los Controles de la Tecnología de Información

Information Systems Audit and Control

Association es una organización global

líder de profesionales que representa a

individuos en más de 100 países y

comprende todos los niveles de la

tecnología de información ⎯ Dirección

ejecutiva, gerencia media y practicantes.

La Asociación está únicamente posesionada

para cubrir el papel de generador central

que armoniza los estándares de las

prácticas de control de TI a nivel mundial.

Sus alianzas estratégicas con otros grupos

dentro del ámbito profesional financiero,

contable, de auditoría y de TI aseguran a

los dueños del proceso del negocio un nivel

sin paralelo de integración y compromiso.

Programas y Servicios de la Asociación Los Programas y Servicios de la Asociación

han ganado prestigio al establecer los

niveles más altos de excelencia en

certificación, estándares, educación

profesional y publicidad técnica.

• su programa de certificación (el

Auditor de Sistemas de Información

Certificado) es la única designación

global en toda la comunidad de

control y auditoría de la TI.

• sus actividades estándar establecen la

base de calidad mediante la cual otras

actividades de control y auditoría de TI

se miden.

• su programa de educación profesional

ofrece conferencias técnicas y

administrativas en cinco continentes,

así como seminarios en todo el mundo

para ayudar a los profesionistas de

todas partes a recibir educación

continúa de alta calidad.

• su área de publicidad técnica

proporciona materiales de desarrollo

profesional y referencias con el fin de

aumentar su distinguida selección de

programas y servicios.

La Information Systems Audit and Control

Association se creó en 1969 para cubrir las

necesidades únicas, diversas y de alta

tecnología en el naciente campo de la TI.

En una industria donde el progreso se mide

en nanosegundos, ISACA se ha movido ágil

y velozmente para satisfacer las necesidades

de la comunidad de negocios

internacionales y de la profesión de

controles de la TI.

Para más Información Para recibir información adicional, puede

llamar al (+1.847.253.1545), enviar un

e-mail a ([email protected]) o visitar los

siguentes sitios web:

www.itgovernance.org

www.isaca.org



Límite de Responsabilidad La Information Systems Audit and Control Association—ISACA- y el IT Governance Institute –ITGI- (los propietarios) han creado esta publicación titulada COBIT: Objetivos de Control para la Información y las Tecnologías Relacionadas (el “trabajo”) principalmente como un recurso educativo para los profesionales dedicados a las actividades de control. Los Propietarios declaran que no responden o garantizan que el uso que se le de al “Trabajo” asegurará un resultado exitoso. No deberá considerarse que el “Trabajo” incluye toda la información, los procedimientos o las pruebas apropiadas o excluye otra información, procedimientos y pruebas que estén razonablemente dirigidas a la obtención de los mismos resultados. Para determinar la conveniencia de cualquier información, procedimiento o prueba específica, los expertos en control deberán aplicar su propio juicio profesional a las circunstancias específicas presentadas por los sistemas o por el ambiente de tecnología de información en particular. Esta edición de COBIT fue traducida al idioma español por Gustavo Adolfo Solís Montes, Lucio Augusto Molina Focazzio, Johann Tello Meryk y Rocío Torres Suárez, (los “traductores”). Los traductores asumen la responsabilidad exclusiva por la actualización y por la fidelidad de la traducción. La Information Systems Audit and Control Association (ISACA) y el IT Governance Institute (ITGI) declaran que no responden por la actualización, totalidad, o por la calidad de la traducción. En ningún evento ISACA/ITGI será responsable ante un individuo u organización por los daños causados en relación con la edición del lenguaje, cualquier actualización, modificación, localización o traducción. Acuerdo de licencia de uso Copyright© 1996, 1998, 2000 por la Fundación de Auditoría y Control de Sistemas de Información (ISACF). La reproducción para fines comerciales no está permitida sin la previa autorización escrita de ISACF. Se otorga por el presente permiso para usar y copiar el Resumen Ejecutivo, Marco Referencial, Objetivos de Control, Directrices Gerenciales y Conjunto de Herramientas de Implementación para uso no comercial, interno, que incluye almacenamiento en un sistema de recuperación y transmisión por cualquier medio, incluyendo electrónico, mecánico, grabación, u otro. Todas las copias del Resumen Ejecutivo, Marco Referencial, Objetivos de Control, Directrices Gerenciales y Conjunto de Herramientas de Implementación deberán incluir el siguiente aviso y reconocimiento de copyright: “Copyright 1996, 1998, 2000 Fundación de Auditoría y Control de Sistemas de Información. Reimpreso con el permiso de la Fundación de Auditoría y Control de Sistemas de Información y el IT Governance Institute”. Las Directrices de Auditoría no pueden ser usados, copiados, reproducidos, modificados, distribuidos, exhibidos, almacenados en un sistema de recuperación, o transmitidos en forma alguna por ningún medio (electrónico, mecánico, de fotocopia, grabación u otro), excepto con la previa autorización por escrito de ISACF; a menos, sin embargo, que las Directrices de Auditoría sean usados para fines internos no comerciales solamente. Excepto como se expresa en el presente, no se otorga ningún otro derecho o permiso con relación a este trabajo. Todos los derechos en este trabajo están reservados. Information Systems audit and Control Foundation IT Governance Institute 3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 USA Teléfono: +1.847.253.1545 Fax: +1.847.253.1443 e-mail: [email protected] Sitios web: www.itgi.org www.isaca.org ISBN 1-933284-01-3 (Directrices Gerenciales, Español) ISBN 1-933284-02-1 (Paquete completo de los 6 libros y CD)

Impreso en los Estados Unidos de América

Reconocimientos.........................................................4 Resumen Ejecutivo ..................................................5-9 Marco Referencial

Modelo de Madurez .......................................10-15 Factores Críticos de Exito ..............................15-18 EntreIndicadores Clave de Objectivos/Logros/Resultados......................18-22 Indicadores Clave de Desempeño ..................22-23 Conclusión...........................................................24

Directrices Gerenciales Planeación y Organización.............................27-61

Adquisición e Implementacion.......................63-85 Entrega y Soporte .........................................87-137 Monitorea ...................................................139-154

Apéndice I Cómo Usar ................................................155-157

Apéndice II El Marco Referencial de COBIT .................159-170

Apéndice III

COBIT y el Balanced Business Scorecard....................................................159-170

Apéndice IV

Directriz Gerencial Genérica de Proceso . 176-179

Apéndice V

Directrices Gerenciales del Gobierno de TI ........................................182-185



RECONOCIMIENTOS

COMITÉ DE DIRECCIÓN DE COBIT Eric Guldentops, S.W.I.F.T. sc, Bélgica John Lainhart, PricewaterhouseCoopers, USA Eddy Schuermans, PricewaterhouseCoopers, Bélgica John Beveridge, Auditoría del Estado, Massachusetts, USA Michael Donahue, PricewaterhouseCoopers, USA Gary Hardy, Arthur Andersen, Reino Unido Ronald Saull, Great-West and Investors Group, Canada Mark Stanley, Sun America Inc., USA PANEL DE EXPERTOS William Malik, Gartner Group, USA Jayant Ahuja, PricewaterhouseCoopers, USA Floris Ampe, PricewaterhouseCoopers, Bélgica Mauro Eidi Villola Assano, BBA Creditanstalt, Brasil Gary Austin, Contaduría General de EEUU, USA Efrim J. Boritz, Ph.D,, Universidad de Waterloo, Canadá Paul Bull, KPMG, USA Peter De koninck, S.W.I.F.T. sc, USA Ken Devansky, PricewaterhouseCoopers, USA John Dubiel, Gartner Group, USA Chris Frost, PricewaterhouseCoopers, Reino Unido Nils Kandelin, Universidad George Mason, USA Werner Lippuner, Ernst & Young, USA Stuart Macgregor, South African Breweries, Sudáfrica Mario Micallef, National Australia Bank, Australia Pratparai Oak, Fidelity Investments, USA Daniel F. Ramos, SAFE Consulting Group, Argentina Deborah Reddish, PricewaterhouseCoopers, USA Robert J. Reimer, PricewaterhouseCoopers, Canadá Gregory Robertson, Northrop Grumman, USA Susana Sharp, Cámara De Representantes, USA. Craig Silverthorne, Cámara de Representantes, USA Gustavo a. Solís, Grupo Cynthus, México William Spernow, Gartner Group, USA Mike Taylor, Ciudad de Dallas, USA Elia Fernández Torres, Grupo Cynthus, México Wim Van Grembergen Ph.D., UFSIA, Bélgica Winifred Whelan, PricewaterhouseCoopers, USA Marc Wise, PricewaterhouseCoopers, USA Roberta J. Witty, Gartner Group, USA

INVESTIGACIÓN Y DESARROLLO RESPALDADO Y PATROCINADO POR

AGRADECIMIENTO ESPECIAL al Capítulo del Área de la Capital Nacional por sus contribuciones a los Lineamientos de Administración de COBIT. AGRADECIMIENTO ESPECIAL a los miembros de la Junta de la Asociación de Control y Auditoría de Sistemas de Información y a los administradores de la Fundación de Auditoría y Control de Sistemas de Información, encabezada por el Presidente Internacional Paul Williams, por su constante y firme apoyo de COBIT.



RESUMEN EJECUTIVO ¿Cómo hacemos para colocar la Tecnología de Información bajo control de modo que brinde la información que necesita la organización? ¿Cómo manejamos los riesgos y aseguramos la infraestructura de la que somos tan dependientes? Como con muchos problemas que enfrenta la administración, estas amplias preguntas estratégicas generan las siguientes preguntas tradicionales a las que responderemos:

• ¿Cuál es el aspecto / problema? • ¿Cuál es la solución? • ¿De qué está constituido? • ¿Funcionará? • ¿Cómo lo hago?

Una forma de resolver estos problemas ha sido suministrada por el Marco Referencial de COBIT. COBIT significa Objetivos de Control para Información y Tecnología Relacionada, y es estándar abierto para el control de la tecnología de Información, desarrollada y promovida por el Instituto de Gobierno de TI. Este marco identifica 34 procesos de tecnología de la Información (TI, siglas de los términos en inglés), un enfoque de alto nivel para controlar esos 34 procesos así como 318 objetivos de control detallados y directrices de auditoria para evaluar los 34 proceso de TI. Provee un estándar generalmente aplicable y aceptada para buenas prácticas de seguridad y control de TI para soportar las necesidades de la administración para determinar y monitorear el nivel apropiado de seguridad y control de TI para sus organizaciones. Adicionalmente, el IT Governance Institute ha construido esta obra con investigación de vanguardia, en cooperación con expertos, analistas y académicos de la industria a nivel mundial. Lo anterior ha traído como resultado la definición de las Directrices Gerenciales para COBIT, que están constituidos por Modelos de Madurez, Factores Críticos del Éxito (CSFs, siglas de los términos en inglés), Indicadores Claves de Objetivo (KGIs, siglas de los términos en inglés) e Indicadores Claves de Desempeño (KPIs, siglas de los términos en inglés). Este entrega un marco significativamente mejorado que responde a la necesidad de control y mensurabilidad de TI de la administración suministrándole a la administración herramientas para determinar y medir el entorno de TI de su organización contra los 34 procesos de TI que COBIT identifica. Hay numerosos cambios en TI y en la construcción de redes que hacen énfasis en la necesidad de manejar mejor los riesgos relacionados con TI. La dependencia de la información electrónica y de los sistemas de TI es esencial para respaldar procesos críticos de negocio. Los negocios exitosos necesitan manejar mejor la compleja tecnología que predomina en toda sus organizaciones para responder rápida y seguramente a las necesidades del negocio. Además, el entorno regulatorio está exigiendo un control más estricto sobre la información. Esto a su vez es direccionado por el incremento de la revelación de desastres de los sistemas de información y el incremento de fraude electrónico. El manejo de los riesgos relacionados con TI está siendo entendido ahora como una parte clave del gobierno de la empresa. Dentro del gobierno de la empresa, el gobierno de TI se está volviendo cada vez más prominente para el logro de los objetivos de la organización agregando valor mientras balancea el riesgo frente rendimiento sobre la TI y sus procesos. El gobierno de TI es integral para el éxito del gobierno de la empresa asegurando mejoramientos eficientes y efectivos mesurables en los procesos relacionados de la empresa.



El gobierno de TI suministra la estructura que vincula los procesos de TI, los recursos de TI y la información para las estrategias y los objetivos de la empresa. Adicionalmente, el gobierno de TI integra e institucionaliza buenas (o las mejores) prácticas para planificar y organizar, adquirir e implementar, entregar y respaldar, y monitorear el desempeño de TI para asegurar que la información y la tecnología relacionada de la empresa respalden sus objetivos de negocios. El gobierno de TI permite así que la empresa saque todo el provecho de su información, maximizando de este modo los beneficios, capitalizando las oportunidades y ganando ventaja competitiva. Con la creciente interconexión y dependencia de TI en nuestra economía global cada vez más electrónica, la administración del riesgo general y la garantía dependen de prácticas específicas de administración. En nuestro entorno complejo, la administración está buscando constantemente información condensada y oportuna para tomar decisiones difíciles sobre riesgo y control de manera rápida y exitosa. Aquí hay algunas preguntas tradicionales y el conjunto de herramientas de manejo de la información que se usa para encontrar la respuesta:

Pero los tableros de instrumentos necesitan indicadores, las tarjetas de puntuación necesitan medidas y el “benchmarking” necesita una escala de comparación. Suministrar estos para el manejo de la información ha sido un objetivo primario en el desarrollo de las Directrices Gerenciales de COBIT. Una necesidad básica para toda organización es entender la situación de sus propios sistemas de TI y decidir qué seguridad y control se les debe suministrar. Ningún aspecto de este problema—entender el nivel de control requerido y decidir sobre el mismo—es directo. Obtener una visión objetiva del propio nivel de una organización no es fácil. ¿Qué se debe medir y cómo? Además de la necesidad de medir dónde se encuentra una organización, está la importancia del constante mejoramiento en las áreas de seguridad y control de TI, y la necesidad de un conjunto de herramientas de administración para monitorear esta mejora. Decidir cuál es el nivel correcto es igualmente difícil. A los gerentes generales de las organizaciones corporativas y públicas se les pide con frecuencia que consideren un caso de negocio para que el gasto mejore el control y la seguridad de la infraestructura de información. Aunque pocos argumentarían que esto no es bueno, todos deben ocasionalmente preguntarse: “¿Hasta dónde debemos ir, y el beneficio justifica el costo?” La respuesta la brindan las Directrices Gerenciales de COBIT, que son genéricas y que están orientadas a la acción con el fin de resolver los tipos siguientes de preocupaciones de la administración:

• Medición del desempeño - ¿Cuáles son los indicadores de un buen desempeño? • Determinación del perfil de control de TI—¿Qué es importante? ¿Cuáles son los Factores

Críticos de Éxito para el control?

Preguntas de la Administración ¿Cómo hacen los administradores responsables para “mantener la nave en su curso”?

DASHBOARDS (Tableros de Instrumentos)

¿Cómo se logran resultados que sean satisfactorios para el mayor segmento posible de nuestros inversionistas?

SCORECARDS (Tarjetas de Puntuación)

¿Cómo adaptar oportunamente la organización a las tendencias y desarrollos en el entorno de la empresa?

BENCHMARKING (Referencias)



• Conocimiento/concientización—¿Cuáles son los riesgos de no alcanzar nuestros objetivos? • Benchmarking—¿Qué hacen los demás? ¿Cómo medimos y comparamos?

Una respuesta a estos requerimientos de determinación y monitoreo del nivel apropiado de seguridad y control de TI es la definición específica de:

• Benchmarking de prácticas de control de TI (expresadas como Modelos de Madurez) • Indicadores de Desempeño de los procesos de TI—para su resultado y su desempeño • Factores Críticos de Éxito para poner estos procesos bajo control

Las Directrices Gerenciales son consistentes con y se basan en el Marco Referencial de COBIT, los Objetivos de Control y las Directrices de Auditoría de COBIT existentes. Además, para ayudar a enfocar la administración del desempeño. Se usaron los principios del Balanced Bussines Scorecard1. Éstos sirvieron para definir los Indicadores Clave de Objetivos para identificar y mediar los resultados de los procesos y los Indicadores Clave de Desempeño para determinar cómo se estaban desempeñando los procesos midiendo los habilitadores del proceso. En nuestro entorno dominado por los servicios de información, TI se ha convertido en el principal posibilitador del negocio. De ahí que la relación entre los objetivos del negocio y sus medidas de TI con sus objetivos y medidas, es muy importante y puede ser descrita como sigue:

En “términos sencillos”, estas medidas asistirán a la administración para monitorear su organización de TI respondiendo a las preguntas siguientes:

1. ¿Cuál es la preocupación de la administración? Asegurarse de que las necesidades de la empresa estén satisfechas.

2. ¿Dónde se mide eso?

En el Scorecard de Negocio Balanceado como un Indicador Clave de Objetivo, que representa un resultado del proceso del negocio.

3. ¿Cuál es la preocupación de TI?

Que los procesos de TI brinden oportunamente la información correcta a la empresa, permitiendo que las necesidades del negocio sean satisfechas. Este es un Factor Crítico de Éxito para la empresa.

Balanced Scorecard del Negocio

Tecnología de la Información

(TI)

Medida

(resultado)

Medida

(desempeño)

Objetivos Posibilitadores



4. ¿Dónde se mide eso? En el Balanced Scorecard de TI considerado como un indicador clave de objetivo que representa el resultado para TI el cual está compuesto por la información que es suministrada con los criterios correctos (eficacia, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad).

5. ¿Qué mas necesita ser medido? Si el resultado está influenciado positivamente por un número de Factores Críticos de Éxito que necesitan ser medidos como Indicadores Clave de Desempeño de cómo se está desempeñando la TI.

LOS MODELOS DE MADUREZ para el control de los procesos de TI consisten en desarrollar un método de puntaje de modo que una organización pueda calificarse a sí misma desde inexistente hasta optimizada (de 0 a 5). Este método ha sido derivado del Modelo de Madurez que el Software Engineering Institute definió para la madurez de la capacidad de desarrollo de software2. Contra estos niveles, desarrollados para cada uno de los 34 procesos de TI de COBIT, la administración puede mapear o cruzar:

• El estado actual de la organización—dónde está la organización actualmente • El estado actual de la industria (la mejor de su clase en)—la comparación • El estado actual de los estándares internacionales—comparación adicional • La estrategia de la organización para mejoramiento—dónde quiere estar la organización

“The Balanced Business Scorecard—Mediciones que impulsan el Desempeño”, Robert S. Kaplan y David P. Norton, Harvarc Business Review, Enero-Febrero de 1992. “Capability Maturity ModelSM para Software,” Versión 1.1. Reporte Técnico CMU/SEI-93-TR-024, Instituto de Ingeniería de Software, Carnegie Mellon University, Pittsburg, PA, Febrero de 1993. a

0 1 2 3 4 5

LEYENDA PARA LOS SÍMBOLOS USADOS

LEYENDA PARA LAS CLASIFICACIONES USADAS

Situación actual de la empresa Lineamientos Estándar Internacionales Mejor Práctica de la Industria Estrategia de la Empresa

0 Inexistente - los procesos de administración no se aplican en absoluto 1 Inicial - Los procesos son ad hoc y desorganizados 2 Repetible - Los procesos siguen un patrón regular 3 Definida - Los procesos son documentados y comunicados 4 Administrada - Los procesos son monitoreados y medidos 5 Optimizada - Las mejores prácticas son seguidas y automatizadas

Inexistente Inicial Repetible Definida Administrada Optimizada



LOS FACTORES CRÍTICOS DE ÉXITO (CSF) definen los aspectos o acciones más importantes para que la administración logre el control sobre y dentro de sus proceso de TI. Ellos deben ser directrices de implementación orientados hacia la administración y deben identificar las cosas más importantes para hacer, estratégicamente, técnicamente, organizacionalmente o procedimentalmente. LOS INDICADORES CLAVES DE OBJETIVOS (KGI) definen las medidas que indican a la administración—después del hecho—si un proceso de TI ha satisfecho sus requerimientos de negocio, usualmente expresado en términos de criterios de información:

• Disponibilidad de la información necesaria para respaldar las necesidades del negocio • Ausencia de integridad y riesgos de confidencialidad • Eficiencia en costos de los procesos y de las operaciones • Confirmación de la fiabilidad, efectividad y cumplimiento.

LOS INDICADORES CLAVE DEL DESEMPEÑO (KPI) definen medidas para determinar que también se está desempeñando el proceso de TI para permitir que se alcance el objetivo; son indicadores guía de que un objetivo probablemente se alcanzará o no; y son buenos indicadores de capacidades, prácticas y habilidades. En estas Directrices Gerenciales, los Factores Críticos de Éxito, los Indicadores Clave de Objetivo y los Indicadores Clave de Desempeño son breves y concentrados, complementando la orientación de control de alto nivel suministrada por el Marco referencial de COBIT (ver Apéndice II) que expresa que TI posibilita el negocio entregando la información que necesita el negocio. En resumen, este desarrollo se ha concentrado en la definición tanto de los lineamientos orientados hacia la acción como en los lineamientos genéricos para la administración, requeridos para mantener el control sobre la información de la empresa y sobre los procesos relacionados y la tecnología:

• MODELOS DE MADUREZ para elección estratégica y comparación de referencia • CSFs para poner estos procesos bajo control • KGIs para monitorear el logro de los objetivos del proceso de TI • KPIs para monitorear el desempeño dentro de cada proceso de TI

En una era de creciente negocio electrónico y dependencia de la tecnología, las organizaciones tendrán que alcanzar de manera fehaciente crecientes niveles de seguridad y de control. Toda organización debe entender su propio desempeño y debe medir su progreso. Utilizando Benchmarking y midiendo el progreso en comparación con sus semejantes y la estrategia de empresa es una forma de alcanzar un nivel competitivo de seguridad y control de TI. Las Directrices Gerenciales de COBIT proporcionan a la administración una guía pragmática por medio de estos modelos de madurez, factores prácticos y críticos de éxito y medidas sugeridas de desempeño, para responder a la pregunta constante: ¿Cuál es el nivel correcto de control para mi TI para que ésta soporte los objetivos de mi empresa?



MARCO REFERENCIAL 1. MODELOS DE MADUREZ A los gerentes generales de las organizaciones corporativas y públicas se les pide frecuentemente que consideren un caso de negocio para los gastos de recursos para controlar la infraestructura de información. Mientras pocos argumentarían que esto no es bueno, todos se deben preguntar: “¿Hasta dónde debemos ir, y está el costo justificado por el beneficio?” Para ayudar a responder esa pregunta, a menudo se hacen otras preguntas relacionadas: “¿Qué estándares reconocidos internacionalmente existen, y cómo estamos nosotros situados respecto a éstos? “¿Qué están haciendo los demás, y cómo estamos nosotros situados en relación a ellos?” “¿Qué está considerado como la mejor práctica de la industria, y cómo estamos nosotros situados en relación con esa mejor práctica?” “Basados en estas comparaciones externas, podría decirse que nosotros estamos tomando precauciones “razonables”para salvaguardar nuestros activos de información?” Usualmente ha sido difícil dar respuestas sensatas a estas preguntas, porque no se ha contado con las herramientas requeridas para hacer las evaluaciones necesarias. La administración de TI está constantemente en la búsqueda de herramientas de referencia y de auto evaluación en respuesta a la necesidad de saber qué hacer en una forma eficiente. Comenzando con los procesos de COBIT y con objetivos de control de alto nivel, el propietario del proceso debe ser capaz de llevar a cabo cada vez mayores Benchmark en comparación con dicho objetivo de control. Esto satisface tres necesidades:

(1) una medida relativa de dónde está la organización (2) una forma de decidir eficientemente dónde ir (3) una herramienta para medir el progreso con respecto al objetivo

El Marco Referencial de COBIT define 34 procesos de TI dentro de un entorno de TI (ver Apéndice II). Para cada proceso hay una expresión de control de alto nivel y entre 3 y 30 objetivos detallados de control. El propietario del proceso debe ser capaz de determinar el nivel de cumplimiento de los objetivos de control ya sea como una rápida auto evaluación o como una referencia en conjunto con una revisión independiente. Cualquiera de estas evaluaciones que la administración pueda desear poner en contexto comparando con la industria y con el entorno en que ellas se encuentran o en comparación con dónde están evolucionando los estándares y las reglamentaciones internacionales (por ejemplo, las futuras expectativas que surgen). Para que los resultados se puedan utilizar fácilmente en los reportes de la administración, donde ellos serán presentados como un medio para respaldar el caso de negocio para planes futuros, es necesario suministrar un método gráfico de presentación.



El enfoque de los Modelos de Madurez para el control sobre los procesos de TI consiste en desarrollar un método de asignación de puntos para que una organización pueda calificarse desde Inexistente hasta optimizada (de 0 a 5). Este planteamiento se basa en el Modelo de Madurez que el Software Engineering Institute definió para la madurez de la capacidad de desarrollo de software. Cualquiera sea el modelo, las escalas no deben estar demasiado simplificadas, lo que haría que el sistema fuera difícil de usar y sugeriría una precisión que no es justificable. En contraste, uno debe concentrarse en los niveles de madurez basándose en un conjunto de condiciones que pueden ser satisfechas de una forma que no sea ambigua. En comparación con los niveles desarrollados para cada uno de los 34 procesos de TI de COBIT, la administración puede mapear:

• La situación actual de la organización—dónde está la organización actualmente • La situación actual de la industria (la mejor de su clase en)—la comparación • La situación actual de los estándares internacionales—comparación adicional • La estrategia de la organización para mejoramiento—dónde quiere estar la organización

Para cada uno e los 34 procesos de TI, hay una escala gradual ascendente de medidas, basada en una clasificación de “0” hasta “5”. La escala está asociada con las descripciones del modelo genérico cualitativo de madurez que van desde “Inexistente” hasta “Optimizada” de la forma siguiente:


0 1 2 3 4 5







COBIT es un marco de referencia general dirigido a la administración de TI y como tal estas escalas necesitan ser prácticas para aplicar y razonablemente fáciles de entender. Sin embargo, los tópicos de riesgo y de control apropiado en los procesos de administración de TI son inherentemente subjetivos e imprecisos y no necesitan el enfoque menos automatizado que se encuentra en los modelos de madurez para la ingeniería de software. La ventaja de un enfoque de Modelo de Madurez es que es relativamente fácil para la administración ponerse en la escala y apreciar lo que está involucrado si necesita mejorar el desempeño. La escala incluye 0 a 5 porque es bastante probable que no exista ningún proceso en absoluto. La escala 0-5 se basa en una escala simple de madurez que muestra cómo evoluciona un proceso desde Inexistente hasta optimizado. Debido a que son procesos de administración, la madurez y la capacidad aumentada es también sinónimo de mayor manejo del riesgo y mayor eficiencia. El Modelo de Madurez es una forma de medir qué tan bien desarrollados están los procesos de administración. El grado de desarrollo que deben tener depende de las necesidades del negocio, como se menciona aquí anteriormente. Las escalas son sólo ejemplos prácticos para un proceso dado de administración que muestra esquemas típicos para cada nivel de madurez. Los Criterios de Información contenidos en el Marco Referencial de COBIT (ver Apéndice II) ayudan a asegurarse de que estamos enfocados en los aspectos correctos de la administración cuando describimos la práctica real. Por ejemplo, la planificación y organización están enfocadas en los objetivos de efectividad y eficiencia de administración, mientras que asegurar la seguridad de los sistemas se enfocará en el manejo de la confidencialidad y la integridad.

Modelo Genérico de Madurez 0 Inexistente. Total falta de un proceso reconocible. La organización ni siquiera ha reconocido que hay un

problema que resolver. 1 Inicial. Hay evidencia de que la organización ha reconocido que los problemas existen y que necesitan ser re

sueltos. Sin embargo, no hay procesos estandarizados pero en cambio hay métodos ad hoc que tienden a ser aplicados en forma individual o caso por caso. El método general de la administración es desorganizado.

2 Repetible. Los procesos se han desarrollado hasta el punto en que diferentes personas siguen procedimientos

similares emprendiendo la misma tarea. No hay capacitación o comunicación formal de procedimientos estándar y la responsabilidad se deja a la persona. Hay un alto grado de confianza en los conocimientos de las personas y por lo tanto es probable que haya errores.

3 Definida. Los procedimientos han sido estandarizados y documentados, y comunicados a través de

capacitación. Sin embargo se ha dejado en manos de la persona el seguimiento de estos procesos, y es improbable que se detecten desviaciones. Los procedimientos mismos no son sofisticados sino que son la formalización de las prácticas existentes.

4 Administrada. Es posible monitorear y medir el cumplimiento de los procedimientos y emprender acción

donde los procesos parecen no estar funcionando efectivamente. Los procesos están bajo constante mejoramiento y proveen buena práctica. Se usan la automatización y las herramientas en una forma limitada o fragmentada.

5 Optimizada. Los procesos han sido refinados hasta un nivel de la mejor práctica, basados en los resultados

de mejoramiento continuo y diseño de la madurez con otras organizaciones. TI se usa en una forma integrada para automatizar el flujo de trabajo, suministrando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte con rapidez.



Las escalas del Modelo de Madurez ayudarán al profesional a explicar a los administradores dónde existen deficiencias en la administración de TI y a fijarse objetivos para donde necesitan estar comparando las prácticas de control de su organización con los ejemplos de la mejor práctica. El nivel correcto de madurez estará influenciado por los objetivos de negocio y el entorno operativo de la empresa. Específicamente, el nivel de madurez de control dependerá de la dependencia de TI que tenga la empresa, de la sofisticación de la tecnología y, lo que es más importante, del valor de su información. Un punto estratégico de referencia para que una organización mejore la seguridad y el control podría consistir también en mirar las normas internacionales que surgen y las mejores prácticas de su clase. Las prácticas actuales que surgen pueden llegar a ser el nivel esperado de desempeño de mañana y es por lo tanto útil para planificar dónde quiere una organización estar en el tiempo. Los Modelos de Madurez se construyen a partir del modelo genérico cualitativo (ver arriba) a los que se agregan las prácticas y los principios de los dominios siguientes de forma creciente a través de todos los niveles:

• Entendimiento y conocimiento de los riesgos y de los problemas de control • Capacitación y comunicación aplicadas a los problemas • Proceso y prácticas que son implementados • Técnicas y automatización para hacer los procesos más efectivos y eficientes • Grado de cumplimiento de la política interna, las leyes y las reglamentaciones • Tipo y grado de pericia empleada.

La tabla siguiente describe esta creciente aplicación de prácticas a través de todos los niveles para los distintos tópicos. Junto con el modelo cualitativo, constituye un modelo genérico de madurez aplicable a la mayoría de los procesos de TI.



Entendimiento y Conocimiento

Capacitación y Comunicación

Proceso y Prác-ticas

Técnicas y Auto-matización

Cumplimiento Pericia

1 Reconocimiento Comunicación esporádica sobre los problemas

Enfoque ad hoc del proceso y de la práctica

2 Conocimiento/ concientización

Comunicación sobre el problema general y las necesidades

Surge un proceso similar/ común pero intuitivo

Están apareciendo Herramientas comunes.

Monitoreo inconsistente de Problemas aislados

3 Entendimiento de la necesidad de actuar

La capacitación informal soporta las iniciativas individuales

Las prácticas son definidas, estandarizadas y documentadas; se comienzan a compartir las mejores prácticas.

El conjunto de herramientas es estandarizado; se usan y se hacen valer las prácticas Disponibles actualmente.

Monitoreo inconsistente; surge la medición; el Balanced Store- card se adopta ocasionalmente; el análisis de las causas originarias es intuitivo.

Participación De Especialistas de TI en los procesos del negocio.

4 Entender todos los requerimientos

La capacitación formal soporta un programa administrado

La propiedad y las Responsabilidades del proceso están fijadas; el proceso es correcto y completo; se aplican las mejores prácticas.

Se usan técnicas maduras; se imponen las Herramientas estándar; uso limitado táctico de la tecnología.

Los Balanced scorecards se usan en algunas áreas; se señalan las excepciones; el análisis de las causas originarias está estandarizado

Participación de todos los expertos de Dominio interno.

5 Entendimiento avanzado, con perspectiva futura

La capacitación Y las Comunicaciones soportan las mejores prácticas externas y usan conceptos de vanguardia

Se aplican las mejores prácticas externas.

Se despliegan Técnicas sofisticadas; uso Extensivo optimizado de la tecnología

El Balanced scorecards seaplica globalmente; las Excelciones se Señalan de manera consistente y se actúa sobre las mismas; el análisis de las causas originarias se aplica siempre

Uso de Expertos externos y de líderes de la industria Para orientación.

En resumen, Los Modelos de Madurez:

♦ Se refieren a los requerimientos del negocio y a los aspectos posibilitadores en los diferentes niveles de madurez

♦ Son una escala que se presta para la comparación pragmática ♦ Son una escala en la que la diferencia puede hacerse mensurable de manera sencilla ♦ Son reconocibles como un “perfil” de la empresa relativo al gobierno de TI, la seguridad y el

control ♦ Ayudan a fijar posiciones de “Como está” y “Como debe estar” en relación con el gobierno de

TI, la madurez de la seguridad y el control ♦ Se prestan para hacer análisis de los vacíos/gap para determinar lo que es necesario hacer para

alcanzar un nivel determinado



2. FACTORES CRÍTICOS DE ÉXITO Los Factores Críticos de Éxito proveen administración con orientación para implementar el control sobre TI y sus procesos. Ellos son las cosas más importantes que se deben hacer que contribuyen a que el proceso de TI alcance sus metas. Son actividades que pueden ser un proceso estratégico, técnico, organizacional, de procesos o de una naturaleza procedimental. Usualmente tratan con capacidades y destrezas y tienen que ser cortos, enfocados y orientados a la acción, apoyando los recursos que sean de importancia primordial en el proceso en consideración. La orientación se puede obtener a partir del Modelo de Control estándar que aparece a continuación. Sigue los principios que todos conocemos cuando se fija la temperatura de la habitación (estándar) para el sistema de calefacción (proceso) que verificará (comparará) constantemente la temperatura ambiente de la habitación (información de control) y señalará (actuará) el sistema de calefacción para que provea más calor. Este modelo y sus principios identifican un número de Factores Críticos de Éxito que usualmente se aplican a todos los procesos que ellos tratan con lo que es la norma, quién la fija, quién controla o necesita actuar, etc.:

• Procesos definidos y documentados • Políticas definidas y documentadas • Responsabilidades claras • Fuerte apoyo/ compromiso de la administración • Comunicación apropiada a las personas internas y externas a las que les concierne • Prácticas consistentes de medición

ACTUAR

CONTROLAR INFORMACIÓN

Normas Estándares Objetivos

Comparar

Procesar

♦ Evitan, donde es posible, niveles discretos que crean umbrales que son difíciles de cruzar ♦ Aplican cada vez más factores críticos de éxito ♦ No son específicos de la industria ni son siempre aplicables, el tipo de negocio define lo que

es apropiado.



Se debe señalar también que estos principios de control son necesarios a distintos niveles, por ejemplo, a nivel estratégico, táctico y administrativo. Hay usualmente cuatro tipos de actividades a cada nivel que lógicamente se siguen entre sí: planificar, hacer, verificar y corregir. Se deben considerar los mecanismos de retroalimentación y de control entre los niveles. Por ejemplo, “hacer” en el nivel estratégico alimenta a “planificar” en el táctico, o “verificar” en el nivel administrativo está consolidado con “verificar” en el nivel táctico, etc.

Se puede obtener más orientación para desarrollar factores críticos de éxito examinando los objetivos y monitoreando las directrices del Marco de Gobierno de TI. El gobierno de TI es responsabilidad de los ejecutivos y de los accionistas. Es un sistema de control que asegura que los objetivos del negocio se alcancen. Esto consiste por lo general en dirigir los esfuerzos de la organización después de revisar su desempeño reportado y compararlo con algunas normas sencillas que piden:

• Que TI esté en línea con el negocio • Que TI posibilite el negocio y maximice sus ganancias • Que los recursos de TI sean usados de manera responsable • Que los riesgos relacionados de TI sean manejados de manera apropiada.

En cuanto al modelo estándar de control, éste ocurrirá por lo general en niveles diferentes, con los jefes de grupo que se reportan a sus gerentes y que reciben indicaciones de éstos, con los gerentes que se reportan al ejecutivo y éste a la Junta Directiva. También, los reportes que indican desviación de los objetivos incluirán ya por lo general recomendaciones para que la acción sea aprobada. La ilustración que sigue presenta de manera conceptual la interacción de los objetivos y las actividades de TI desde una perspectiva de gobierno de TI. Las actividades de TI están descritas aquí con las actividades genéricas de administración de planificar, hacer, verificar y corregir. Con el advenimiento del Marco de Control de COBIT (ver Apéndice II), la manera emergente de representar tecnología de información es usar los cuatro dominios de COBIT de Planeación y Organización; Adquisición e Implementación; Entrega y Soporte; y Monitoreo.

Planificar Hacer Verificar

Corregir



A partir del modelo estándar de control y a partir del Marco de Gobernabilidad de TI, se pueden deducir un número de Factores Críticos de Éxito que se aplican a la mayoría de los procesos de TI:

1. Se aplican a TI en general • Los procesos de TI están definidos y alineados con la estrategia de TI y los objetivos del

negocio • Se conocen los clientes del proceso y sus expectativas • Los procesos son escalables y sus recursos manejados y apalancados apropiadamente • Existen los requerimientos de calidad del personal (capacitación, transferencia de

información, moral, etc.) y disponibilidad de habilidades (reclutar, retener, re-entrenar). • El desempeño de TI se mide en términos financieros, en relación con la satisfacción del

cliente, la efectividad del proceso y capacidad futura. La administración de TI se recompensa con base a estas medidas.

• Se aplica un esfuerzo continuo de mejoramiento de la calidad. 2. Se aplican a la mayoría de los procesos de TI

• Todos los interesados en el proceso /usuarios, administración, etc.) están conscientes de los

riesgos, de la importancia de TI y de las oportunidades que puede ofrecer, y proveen un compromiso y apoyo firme.

• Las metas y los objetivos son comunicados en todas las disciplinas y son entendidos; se sabe cómo los procesos implementan y monitorean los objetivos, y quien es responsable del desempeño del proceso.

• Las personas están orientadas hacia el cumplimiento de los objetivos y tienen la información correcta sobre los clientes, sobre los procesos internos y sobre las consecuencias de sus decisiones.



• Se establece una cultura de negocios, estimulando la cooperación entre divisiones, el trabajo en equipo y el mejoramiento continuo del proceso

• Hay integración y alineación de los principales procesos, por ejemplo, cambio, manejo del problema y de la configuración

• Se aplican prácticas de control para aumentar el uso eficiente y óptimo de los recursos y para mejorar la efectividad de los procesos.

3. Se aplican al gobierno de TI

• Se aplican prácticas de control para aumentar la transparencia, reducir la complejidad, promover el aprendizaje, proveer flexibilidad y la escalabilidad, y evitar interrupciones del control interno y de la supervisión.

• La aplicación de prácticas que posibilitan una supervisión correcta: un entorno y una cultura de control; un código de conducta; evaluación del riesgo como práctica estándar; auto evaluaciones; cumplimiento formal de la acatamiento de las normas establecidas; monitoreo y seguimiento de las deficiencias de control y de riesgo.

• El gobierno de TI está reconocido y definido, y sus actividades están integradas en el proceso de gobierno de la empresa, dando una indicación clara de la estrategia de TI, un marco de manejo del riesgo, un sistema de controles y una política de seguridad

• El gobierno de TI se enfoca en los principales proyectos de TI, las iniciativas de cambio y los esfuerzos de calidad, con conocimiento de los principales procesos de TI, las responsabilidades y los recursos y capacidades requeridos.

• Está establecido un comité de auditoría para nombrar y supervisar un auditor independiente, impulsar el plan de auditoría de TI y revisar los resultados de las auditorías y las opiniones de terceros.

En resumen, los Factores Críticos de Éxito son:

♦ Posibilitadores esenciales enfocados en el proceso o en soportar el entorno ♦ Una cosa o una condición que se requiere para el éxito óptimo o una actividad recomendada para

el éxito óptimo ♦ Las cosas más importantes que se deben hacer para aumentar la probabilidad de éxito del

proceso ♦ Características observables – usualmente medibles – de la organización y del proceso ♦ Estratégicos, tecnológicos, organizacionales procedimentales en su naturaleza ♦ Enfocadas a obtener, mantener y respaldar la capacidad y las habilidades ♦ Expresadas en términos del proceso, no necesariamente del negocio.

3. INDICADORES CLAVE DE OBJETIVOS / LOGROS / RESULTADOS Un Indicador Clave de Objetivo, que representa la meta del proceso, es una medida de “lo que” tiene que lograrse. Es un indicador medible del proceso que alcanza sus metas, definidas a menudo como un objetivo a alcanzar. En comparación, un Indicador Clave de Desempeño, que será tratado en la próxima sección, es una medida de “qué tan bien” se está desempeñando el proceso. Esta relación está ilustrada mejor a continuación mediante un concepto del Balanced Business Scorecards, que también busca medidas de resultado de la meta y medidas de desempeño relativas a los posibilitadores que harán posible que se logre la meta. Y en este contexto necesitamos recordar que TI es un posibilitador importante del negocio.



TI, como uno de los principales posibilitadores del negocio, tendrá su propio scorecard. Como un posibilitador, sus medidas sería los indicadores de desempeño, por ejemplo, qué tan bien se está desempeñando el posibilitador para que pueda dar una indicación de que la meta del negocio será alcanzada. También se debe señalar que las medidas del desempeño relativas al negocio se convierten en medidas de la meta para TI, es decir, que los Balanced Business scorecard están en cascada (ver el Apéndice III). Pero, ¿cómo están relacionadas metas y medidas del negocio y de TI? El Marco de COBIT expresa los objetivos para TI en términos de los criterios de información que el negocio necesita para alcanzar los objetivos del negocio, que serán por lo general expresados en términos de:

• Disponibilidad de sistemas y servicios • Ausencia de riesgos de integridad y de confidencialidad • Eficiencia de costo de los procesos y las operaciones • Confirmación de confiabilidad, efectividad y cumplimiento

La meta de TI se puede expresar como entrega de la información que el negocio necesita en conformidad con estos criterios. Estos criterios de información se brindan en las Directrices Gerenciales con una indicación de si ellos tienen importancia primaria o secundaria para el proceso en revisión. En la práctica, el perfil de criterios de información de una empresa sería más específico.


Balanced Business Tecnología de Scorecard la Información

KGI KPI (medida del resultado/logro) (medida del desempeño)



El grado de importancia de cada uno de los criterios de información citados aquí anteriormente es una función del negocio y del entorno en que opera la empresa. El dibujo que antecede es sólo un ejemplo. Cada organización tendrá que decidir el grado de importancia que tiene para su negocio cada uno de los criterios de información. Como tal, el perfil expresa también la posición de la empresa respecto al riesgo. Se debe señalar, sin embargo, que la importancia de los criterios de información puede también cambiar para cada proceso en que posiblemente se apliquen objetivos diferentes. Sin embargo, la meta para la organización de TI es entregar la información que el negocio necesita para alcanzar sus objetivos, de acuerdo con el perfil de criterios de información. La importancia relativa de los criterios de información implica que es posible que sea necesario extraer una selección de las extensas listas de las mejores prácticas que provee COBIT: las Consideraciones en el Marco de COBIT (ver el Apéndice II); los Objetivos de Control; o incluso los Factores Críticos de Éxito de estas Directrices Gerenciales. Para entender mejor el objetivo y los indicadores de desempeño, hemos también mirado las cuatro dimensiones del Balanced Business scorecard:

• Financiero—¿Cómo nos miran los accionistas? (es decir, entrega frente a presupuesto) • De Cliente—¿Cómo nos ven los clientes? (por ejemplo,, satisfacción del cliente, entrega a

tiempo, valor del servicio) • Proceso interno—¿Cómo nos miramos a nosotros mismos? (es decir, orientación y calidad del

proceso) • Aprendizaje /innovación—¿Podemos continuar mejorando y creando valores? (es decir,

conocimiento del empleado y de la infraestructura técnica) Los Indicadores Clave de Objetivo para TI son impulsados por el negocio y por lo general proveen las medidas que se necesitan para soportar las dimensiones financieras y de cliente del Balanced Business scorecard de la Empresa, que está descrito en el diagrama siguiente. Los Indicadores Clave de

1 0.9 0.8 0.7 0.6 0.5 0.4 0.3 0.2 0.1 0

EF

EC

TI

VI

DA

D

EF

EC

IE

NC

IA

CO

NF

ID

EN

CI

AL

ID

AD

IN

TE

GR

ID

AD

DI

SP

ON

IB

IL

ID

AD

CU

MP

LI

MI

EN

TO

CO

NF

IA

BI

LI

DA

D

“PERFIL” de Criterios de Informa-

ción



Los Indicadores Clave de Objetivo son indicadores de ‘PASADO, ya que ellos sólo pueden ser medidos a posteriori, en oposición a los Indicadores Clave de Desempeño, que son indicadores de ‘FUTURO que dan una indicación del éxito a priori. También pueden ser expresados negativamente, es decir, en términos del impacto de no alcanzar la meta. La sección de Justificación del Riesgo de las directrices de Auditoría de COBIT da ejemplos para cada uno de los 34 Procesos de TI de qué puede salir mal si el proceso de TI no es debidamente controlado. Los Indicadores Clave de Objetivo no deben ser vagos, sino medibles como un número o un porcentaje. Estas medidas deben mostrar que la información y la tecnología están contribuyendo con la misión y la estrategia de la organización. Debido a que las metas y los objetivos son específicos de la empresa y de su entorno, muchos Indicadores Clave de Objetivo han sido expresados con una dirección, por ejemplo, mayor disponibilidad, menor costo. En la práctica, la administración tendrá que fijar objetivos específicos que se necesitan alcanzar, tomando en cuenta los desempeños anteriores y las metas futuras. Para ilustrar los puntos citados aquí anteriormente, se enumera a continuación un conjunto de Indicadores Clave de Objetivo genéricos que por lo general se aplican a todos los procesos de TI.

• Lograr el rendimiento sobre la inversión o las ganancias de valor del negocio que se tenía como meta

• Mayor manejo del desempeño • Riesgos reducidos de TI • Mejoramientos de la productividad • Cadenas integradas de suministros • Procesos estandarizados • Incremento de la entrega del servicio (ventas) • Llegar a nuevos clientes y satisfacer los clientes existentes • Creación de nuevos canales de entrega de servicios • Disponibilidad de ancho de banda, poder de cómputo y mecanismos de entrega de TI que se

ajustan al negocio, y a la disponibilidad o no de sus recursos

Desempeño, como veremos en la próxima sección, se enfocan en las otras dos dimensiones Balanced Business scorecard: los procesos internos y la innovación. Los resultados financieros y la satisfacción del cliente son típicamente medidas con base en la meta del negocio que está siendo alcanzada y medida a posteriori. Por otra parte, la excelencia del proceso y la capacidad de aprender y de innovar son indicadores de qué tan bien se está desempeñando una organización y da una indicación de la probabilidad de lograr el éxito a priori.



En resumen, los Indicadores Clave de Objetivo son:

♦ Una representación de la meta del proceso, es decir, una medida de “qué”, o un objetivo a lograr ♦ La descripción del resultado del proceso y por lo tanto indicadores de ‘PASADO, es decir,

medibles después del hecho, o a posteriori ♦ Indicadores inmediatos de la terminación exitosa del proceso o indicadores indirectos del valor

que el proceso entregó al negocio ♦ Posiblemente descripciones de una medida del impacto de no alcanzar la meta del proceso ♦ Enfocado en el cliente y en las dimensiones financieras del Balanced Business scorecard ♦ Orientados hacia TI pero impulsados por el negocio ♦ Expresados en términos precisos, medibles donde sea posible ♦ Enfocados en los criterios de información que hayan sido identificados como de mayor

importancia para este proceso. 4. INDICADORES CLAVES DE DESEMPEÑO

Los Indicadores Clave de Desempeño son medidas que dicen a la administración que un proceso de TI está satisfaciendo los requerimientos de su negocio monitoreando el desempeño de los posibilitadores de ese proceso de TI. Basándose en los principios del Balanced Business scorecard, la relación entre los Indicadores Clave del Desempeño y los Indicadores Clave de Objetivo es la siguiente:

Los Indicadores Clave del Desempeño son cortos, enfocados e indicadores medibles del desempeño de los factores posibilitadores de los procesos de TI, que indican en qué medida el proceso posibilita que se alcance el objetivo. Mientras que los Indicadores Clave de Objetivo se enfocan en “qué”, los Indicadores Clave de Desempeño se ocupan de “cómo”. Ellos son a menudo una medida de un Factor Crítico de Éxito y, cuando se les monitorea y se actúa sobre ellos, identificarán oportunidades para el mejoramiento del proceso. Estos mejoramientos deben influir de manera positiva en el resultado y como tales, los Indicadores Clave de Desempeño tienen una relación causa—efecto con los Indicadores Clave de Objetivo del proceso.

KGI (medida del resultado)

1 0.9 0.8 0.7 0.6 0.5 0.4 0.3 0.2 0.1 0

EF

EC

T I V I

DA

D

EF

I C I

EN

C I A

C O N F I

D E N C I

A L I

D A D

IN

TE

GR

ID

A D

D I

S P

ON

I B

I L

I D

AD

CU

MP

L I

MI

EN

TO

CO

NF

I A

B I

L I

DA

D

POSIBILITADORES

KPI (Medida del Desempeño)

METAS

• Cumplimiento de las expectativas y requerimientos del cliente del proceso, considerando presupuesto y tiempo

• Número de clientes y costo por cliente atendido • Adhesión a las normas de la industria.



Mientras que los Indicadores Clave de Objetivo son impulsados por el negocio, los Indicadores Clave de Desempeño están orientados hacia el proceso y a menudo expresarán cómo los procesos y la organización respaldan y administran los recursos que se necesitan. Similar a los Indicadores Clave de Objetivo, a menudo se expresan como un número o un porcentaje. Una prueba “ácida” buena de un Indicador Clave de Desempeño es ver si éste predice realmente el éxito o el fracaso del objetivo del proceso y si ayuda o no en la administración en el mejoramiento del proceso. Un conjunto de Indicadores Clave de Desempeño genéricos está enumerado a continuación, que en general son aplicables a todos los procesos de TI:

1. Se aplican a TI en general

• Tiempos reducidos de ciclo (es decir, de respuesta de la producción y desarrollo de TI) • Mayor calidad e innovación • Utilización de ancho de banda de comunicación y poder de cómputo • Disponibilidad de Servicio y tiempos de respuesta • Satisfacción de los interesados (encuesta y número de quejas) • Número de miembros del personal entrenados en nueva tecnología y habilidades de servicio al

cliente.

2. Se aplican a la mayoría de los procesos de TI

• Mejor eficiencia de costos del proceso (costos vs. Servicios) • Productividad (número de servicios) y moral (encuesta) del personal • Cantidad de errores y repetición del trabajo.

3. Se aplican al gobierno de TI • Comparaciones Benchmark • Número de reportes de incumplimiento

En resumen, los Indicadores Clave de Desempeño:

♦ Son una medida de cómo se está desempeñando el proceso ♦ Predicen la probabilidad de éxito o fracaso en el futuro, es decir, son indicadores de ‘FUTURO ♦ Están orientados hacia el proceso, pero impulsados por TI ♦ Se enfocan en el proceso y en las dimensiones de aprendizaje del Balanced Business scorecard ♦ Están expresados en términos medibles con precisión ♦ Ayudarán a mejorar el proceso de TI cuando éste sea medido y se actúe sobre el mismo ♦ Se enfoca en los recursos identificados como lo más importante para este proceso.

En algunos casos, se sugieren medidas compuestas para los Indicadores Clave de Desempeño y, en pocos casos también para los Indicadores Clave de Objetivo. Un ejemplo podría ser una medida de lo adecuado de la organización de TI que rastrea, como un número, el enfoque del negocio, la moral y la satisfacción del trabajo del personal de TI. O, por ejemplo, el índice de calidad de un plan monitoreando como un número su oportunidad, integridad y enfoque estructurado.



5. CONCLUSIÓN

Para colocar la Tecnología de Información bajo control de modo que TI esté en concordancia con el negocio y que lo posibilite entregando la información que necesita la organización, se ha suministrado en estas Directrices Gerenciales un número de herramientas de administración. La relación entre los Factores Críticos de Éxito, los Modelos de Madurez, los Indicadores Clave de Desempeño y los Indicadores Clave de Objetivo se pueden expresar así:

“Los CSFs son las cosas más importantes que hay que hacer en base a las elecciones hechas en el Modelo de Madurez, mientras se monitorea en todos los KPIs si es probable que uno alcance los objetivos fijados por las KGIs”. Sin embargo, es necesario enfatizar que estos lineamientos siguen siendo genéricos, aplicables en general y no brindan medidas específicas de la industria. Las organizaciones necesitarán en muchos casos adaptar este conjunto general de indicaciones a su propio entorno. Comenzando desde el Marco de COBIT, la aplicación de normas y lineamientos internacionales, y de investigación en las mejores prácticas ha llevado al desarrollo de los Objetivos de Control. Las Directrices de Auditoría han sido desarrolladas para determinar si estos Objetivos de Control están debidamente implementados. Sin embargo, la administración necesita una aplicación similar del Marco de modo que éste pueda autoevaluarse y hacer elecciones para la implementación del control y para las mejoras sobre su tecnología de la información y otra tecnología relacionada. Ese es el propósito principal de los Directrices Gerenciales, desarrolladas con la ayuda de expertos de todo el mundo en el campo del gobierno de TI, la administración del desempeño, y la seguridad y control de la información. Ellos proveen un conjunto de herramientas para ayudar a la administración a responder a la pregunta: ¿Cuál es el nivel correcto de control para mi TI que soporte los objetivos de mi empresa?”

Planeación y Organización PO1 Definir un Plan Estratégico de TI PO2 Definir la Arquitectura de la Información PO3 Determinar la Dirección Tecnológica PO4 Definir la Organización y las Relaciones de TI PO5 Administrar la Inversión de TI PO6 Comunicar los Objetivos y la Dirección de la Admi-

nistración PO7 Administrar los Recursos Humanos PO8 Asegurar el Cumplimiento de los Requisitos Externos PO9 Evaluar los Riesgos PO10 Administrar Proyectos PO11 Administrar la Calidad Adquisición e Implementación AI1 Identificar Soluciones Automatizadas AI2 Adquirir y Mantener Software de Aplicación AI3 Adquirir y Mantener Infraestructura de Tecnología AI4 Desarrollar y Mantener Procedimientos AI5 Instalar y Acreditar Sistemas AI6 Administrar Cambios

Entrega y Soporte DS1 Definir y Administrar Niveles de Servicio DS2 Administrar Servicios de Terceros DS3 Administrar el Desempeño y la Capacidad DS4 Asegurar un Servicio Continuo DS5 Asegurar Seguridad de Sistemas DS6 Identificar y Asignar Costos DS7 Educar y Capacitar a los Usuarios DS8 Asistir y Asesorar a los Clientes DS9 Administrar la Configuración DS10 Administrar Problemas e Incidentes DS11 Administrar Datos DS12 Administrar Facilidades DS13 Administrar Operaciones Monitoreo M1 Monitorear los Procesos M2 Evaluar lo Adecuado del Control Interno M3 Obtener aseguramiento Independiente M4 Proveer Auditoría Independiente



Las páginas siguientes proveen Directrices Gerenciales detallados para cada uno de los 34 procesos de COBIT y el Apéndice I provee orientación de cómo leerlos.



PAGINA INTENCIONALMENTE EN BLANCO



PLANEACIÓN Y ORGANIZACIÓN



PO1 Planeación y Organización Definir un Plan Estratégico de Tecnología de Información El Control sobre el proceso de TI de Definir un Plan Estratégico de TI con el objetivo del negocio de lograr un equilibrio óptimo de oportunidades de tecnología de la información y de los requerimientos de TI del negocio así como también asegurar su cumplimiento posterior

Asegura la entrega de información al negocio que satisface los Criterios de Información requeridos y se mide por los Indicadores Clave de Objetivo

Es posibilitado por un proceso de planeación estratégica emprendido a intervalos regulares dando lugar a planes a largo plazo; los planes a largo plazo deben ser traducidos periódicamente en planes operativos que fijan metas a corto plazo claras y concretas

Considera los Factores Críticos de Éxito que apalancan Recursos de TI específicos y se mide por medio de los Indicadores Clave de Desempeño.

• El proceso de planeación provee un esquema de prioridades para los objetivos del negocio y cuantifica, donde es posible, los requerimientos del negocio

• La intervención y el soporte de la administración se posibilitan mediante una metodología documentada para el desarrollo de la estrategia de TI, el soporte de los datos validados y un proceso estructurado de toma de decisiones

• El plan estratégico de TI establece claramente una posición de riesgo, mediante metodologías o estándares de vanguardia, comprobados en la práctica, innovadores, y el balance requerido entre tiempo de mercadear, costo de propiedad y calidad de servicio.

• Todos los supuestos del plan estratégico han sido puestos a prueba y comprobados • Los procesos, servicios y funciones que se necesitan para el resultado están definidos, pero son

flexibles y se pueden cambiar, con un proceso transparente de control de cambio • Un tercero ha llevado a cabo una verificación de la realidad de la estrategia para aumentar la

objetividad y esta revisión se repite con la frecuencia apropiada • La planificación estratégica de TI se traduce en mapas alternativos y estrategias de migración

Factores Críticos de Éxito

( ) aplicable a (P) primario y (S) secundario

la gente las aplicaciones la tecnología las instalaciones los datos

P Efectividad S Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad

Recursos de TI Criterios de Información



• Porcentaje de planes estratégicos del negocio y de TI que están en concordancia y en cascada en

planes de largo y de corto alcance y que se traducen en responsabilidades individuales • Porcentaje de unidades de negocio que han clarificado, entendido y actualizado las capacidades de TI

• Las encuestas de la administración determinan una vinculación clara entre las responsabilidades y el negocio y los objetivos estratégicos de TI

• Porcentaje de las unidades del negocio que usan tecnología estratégica cubierta en el plan estratégico de TI

• Porcentaje del presupuesto de TI que es liderado por los propietarios del negocio • Número aceptable y razonable de proyectos de TI pendientes

Indicadores Clave de Objetivo

• Actualidad de la evaluación de capacidades de TI (número de meses transcurridos desde la última actualización)

• Edad del plan estratégico de TI (número de meses desde la última actualización) • Porcentaje de satisfacción de los participantes con el proceso de planificación estratégica de TI • Demora entre el cambio en los planes estratégicos de TI y los cambios a los planes operativos

• Índice de participantes que se involucrarán en el desarrollo del plan estratégico de TI, basado en el tamaño del esfuerzo, la proporción de participación de los dueños del negocio frente al personal de TI y el número de participantes clave

• Índice de calidad del plan, incluyendo fechas límite del esfuerzo de desarrollo, adhesión al método estructurado y terminación de todo el plan.

Indicadores Clave de Desempeño



PO1 Modelo de Madurez El control sobre el proceso de TI de Definir un Plan Estratégico de TI con el objetivo del negocio de alcanzar un balance óptimo de oportunidades de tecnología de la información y requerimientos de TI del negocio así como también asegurando su posterior cumplimiento 0 Inexistente. No se realiza la planeación estratégica de TI. La administración no está conciente de

que la planeación estratégica de TI es necesaria para apoyar los objetivos del negocio.

1 Inicial /Ad hoc La administración de TI está conciente de la necesidad de planeación estratégica de TI, pero no se ha instalado un proceso estructurado de decisión. La planeación estratégica de TI se realiza con base a la necesidad en respuesta a un requerimiento específico del negocio y los resultados son por lo tanto esporádicos e inconsistentes. La planeación estratégica de TI es discutida ocasionalmente en las reuniones de administración de TI, pero no en las reuniones de administración del negocio. La correspondencia con los requerimientos del negocio, las aplicaciones y la tecnología ocurren de manera reactiva, impulsadas por ofertas de los vendedores, en lugar de ser por una estrategia en toda la organización. La posición estratégica de riesgo es identificada informalmente en cada proyecto.

2 Repetible pero Intuitiva La planeación estratégica de TI es entendida por la administración de

TI, pero no está documentada. La planeación estratégica de TI es realizada por la administración de TI, pero sólo es compartida con la administración del negocio en la medida en que se necesita. La actualización del plan estratégico de TI se lleva a cabo sólo en respuesta a solicitudes de la administración y no hay un proceso proactivo para identificar los desarrollos de TI y del negocio que requieren actualizaciones del plan. Las decisiones estratégicas son impulsadas por proyecto, sin consistencia con una estrategia general de la organización. Los riesgos y los beneficios de usuario de las principales decisiones estratégicas están siendo reconocidos, pero su definición es intuitiva.

3 Proceso Definido Una política define cuándo y cómo realizar la planeación estratégica de TI. La

planeación estratégica de TI sigue un método estructurado que está documentado y que es conocido por todos los miembros del personal. El proceso de planeación de TI es razonablemente adecuado y asegura que la planeación apropiada probablemente se realice. Sin embargo, se da discreción a los administradores individuales respecto a la implementación del proceso y no hay procedimientos para examinar el proceso regularmente. La estrategia general de TI incluye una definición consistente de riesgos que la organización está dispuesta a correr como un innovador o seguidor. Las estrategias financiera, técnica y de recursos humanos de TI impulsan cada vez más la adquisición de nuevos productos y tecnologías.



4 Administrado y Medible La planeación estratégica de TI es una práctica estándar y la administración señalaría las excepciones. La planeación estratégica de TI es una función definida de la administración con responsabilidades a nivel de alta gerencia. Con respecto al proceso de planeación estratégica de TI, la administración puede monitorearla, tomar decisiones inteligentes con base en ésta y medir su efectividad. Tanto la planeación a corto como a largo plazo se realiza y cae en “cascada” a la organización haciéndose actualizaciones a medida que se necesitan. La estrategia de TI y la estrategia de toda la organización se están volviendo cada vez más coordinadas resolviendo procesos de negocio y capacidades de valor agregado y apalancando el uso de aplicaciones y de tecnologías a través de reingeniería del proceso de negocio. Hay un proceso bien definido para balancear los recursos internos y externos requeridos en el desarrollo y en las operaciones del sistema. Benchmarking frente a normas y competidores de la industria se está volviendo cada vez más formalizada.

5 Optimizado La planeación estratégica de TI, es un proceso documentado, viviente, es

constantemente considerado en la determinación del objetivo del negocio y tiene como resultado un valor discernible de negocio a través de inversiones en TI. Constantemente se están actualizando las consideraciones de riesgo y de valor agregado en el proceso de planeación estratégica de TI. Hay una función de planeación estratégica de TI que es integral con la función de planeación del negocio. Se desarrollan planes realistas de TI a largo plazo y los mismos están siendo constantemente actualizados para que reflejen la tecnología cambiante y los desarrollos relacionados con el negocio. Los planes de corto plazo de TI contienen hitos de tareas de proyectos y productos que son constantemente monitoreados y actualizados, a medidas que ocurren cambios. El establecimiento de Benchmarking frente a normas de la industria bien entendidas y confiables es un proceso bien definido y está integrado con el proceso de formulación de estrategias. La organización de TI identifica y respalda nuevos desarrollos de la tecnología para impulsar la creación de nuevas capacidades de negocios y para mejorar la ventaja competitiva de la organización.



PO2 Planeación y Organización Definir la Arquitectura de la Información El control sobre el proceso de TI Definir la Arquitectura de Información con el objetivo del negocio de optimizar la organización de los sistemas de información

Asegura la entrega de información al negocio que satisface los Criterios de Información requeridos y se mide por medio de Indicadores Clave de Objetivo

Es posibilitado mediante la creación y el mantenimiento de un modelo de información de negocios y asegurando que están definidos los sistemas apropiados para optimizar el uso de esta información

Considera los Factores Críticos de Éxito que respaldan los Recursos específicos de TI y se mide por medio de Indicadores Clave de Desempeño

• Se establece una función corporativa de administración de datos, a un nivel lo suficientemente alto, con suficiente autoridad para administrar el modelo de datos corporativo de datos y estándares de información

• Se documentan, comunican y cumplen las estándares de arquitectura de la información • El modelo de datos es sencillo y claro para todos

• Un modelo corporativo de datos que representa al negocio está definido e impulsa la arquitectura de la información

• La propiedad de datos es asignada y aceptada • Los datos y los modelos de datos se mantienen actualizados

• Se usa un repositorio automatizado para asegurar la consistencia entre los componentes de la infraestructura de los sistemas de información, como por ejemplo arquitectura de información, diccionarios de datos, aplicaciones, sintaxis de datos, esquemas de clasificación y niveles de seguridad

• Entender los requerimientos de información suficientemente con bastante anticipación


• Desarrollo más rápido de aplicaciones • Menor tiempo para mercadear sistemas mayores de información • Implementación de requisitos definidos de confidencialidad, disponibilidad e integridad • Reducción de redundancia de datos • Mayor interoperabilidad entre los sistemas y las aplicaciones

• Porcentaje del diccionario de datos corporativos disponible a los usuarios en forma automatizada


P Efectividad S Eficiencia S Confidencialidad S Integridad Disponibilidad Cumplimiento Confiabilidad

gente aplicaciones

tecnología Instalaciones

datos

Criterios de Información Recursos de TI




PO2 Modelo de Madurez Control sobre el proceso de TI Definir la Arquitectura de Información con el objetivo del negocio de optimizar la organización de los sistemas de información. 0 Inexistente. No hay conciencia de la importancia de la arquitectura de la información para la

organización. El conocimiento, la experiencia y las responsabilidades necesarios para desarrollar esta arquitectura no existen en la organización.

1 Inicial /Ad Hoc. La administración reconoce la necesidad de una arquitectura de la información,

pero no ha formalizado ni un proceso ni un plan para desarrollar una. Está ocurriendo un desarrollo aislado y reactivo de componentes de una arquitectura de organización. Hay implementaciones aisladas y parciales de diagramas de datos, documentación, y reglas de sintaxis de datos. Las definiciones se refieren a datos en lugar de información, y están impulsadas por ofertas del vendedor de software de aplicación. Hay comunicación inconsistente y esporádica de la necesidad de una arquitectura de la información.

2 Repetible pero intuitivo. Hay conciencia de la importancia de una arquitectura de la información

para la organización. Surge un proceso y diferentes personas dentro de la organización siguen procedimientos similares, aunque informales e intuitivos. No hay entrenamiento formal y la gente obtiene sus habilidades en la práctica y a través de la aplicación repetida de técnicas. Los requerimientos tácticos de las personas impulsan el desarrollo de los componentes de la arquitectura de la información.

3 Proceso Definido. La importancia de la arquitectura de la información es entendida y aceptada, y

la responsabilidad de su entrega es asignada y comunicada con claridad. Los procedimientos relacionados, herramientas y técnicas, aunque no son sofisticadas, han sido estandarizadas y documentadas y forman parte de actividades informales de entrenamiento. Se han desarrollado políticas básicas de arquitectura de la información, incluyendo algunos requisitos estratégicos, pero no se hacen cumplir en forma consistente las políticas, estándares y herramientas. Está establecida una función de administración de datos definida formalmente, que fija estándares a nivel de toda la organización y que está comenzando a reportar sobre la entrega y el uso de la arquitectura de la información. Están surgiendo herramientas automatizadas de administración de datos a nivel de toda la organización, pero los procesos y las reglas usadas están definidas por las ofertas del vendedor de software de base de datos.


• Porcentaje del presupuesto de TI asignado al desarrollo y mantenimiento de la arquitectura de la información • Número de cambios de aplicación que ocurren para realinearse con el modelo de datos • Porcentaje de requisitos de integridad de la información documentados en el esquema de clasificación de

datos • Número de incidentes de aplicación y de sistema causados por inconsistencias en el modelo de datos • Cantidad de repeticiones de trabajo causadas por inconsistencias en el modelo de datos • Número de errores atribuidos a la falta de actualización de la arquitectura de la información

• Demora de tiempo entre los cambios en la arquitectura de información y las aplicaciones



4 Administrado y Medible El desarrollo y la puesta en vigor de la arquitectura de la información

está totalmente soportado por medio de métodos y técnicas formales. El proceso responde a cambios y a las necesidades del negocio. Se está midiendo la responsabilidad del desempeño del proceso de desarrollo de la arquitectura de información. Las actividades formales de capacitación están definidas, documentadas y aplicadas de manera consistente. Se han propagado las herramientas automatizadas de apoyo, pero aún no están integradas. Las mejores prácticas internas son compartidas y están introducidas en el proceso. La métrica básica ha sido identificada y está establecido un sistema de medición. El proceso de definición de la arquitectura de información es proactiva y está enfocada a resolver las necesidades futuras del negocio. La organización de la administración de datos está involucrada activamente en todos los esfuerzos de desarrollo de aplicaciones para asegurar la consistencia. Un repositorio automatizado está totalmente implementado y los modelos más complejos de datos están siendo implementados para respaldar el contenido de información de las bases de datos. Los sistemas ejecutivos de información y los sistemas de soporte de decisiones están respaldando la información disponible.

5 Optimizado La arquitectura de información es ejecutada de manera consistente en todos los

niveles y constantemente se hace énfasis en su valor para el negocio. El personal de TI tiene la experiencia y las habilidades necesarias para desarrollar y mantener una arquitectura de información robusta y responsable que refleja todos los requerimientos del negocio. La información suministrada por la arquitectura de información es aplicada de manera consistente y extensiva. Se hace uso extensivo de las mejores prácticas de la industria en el desarrollo y mantenimiento de la arquitectura de la información incluyendo un proceso constante de mejoramiento. Está definida la estrategia para respaldar información a través almacenamiento de datos y tecnologías de minería de datos. La arquitectura de la información está mejorando constantemente y toma en consideración la información no tradicional sobre los procesos, las organizaciones y los sistemas.



PO3 Planeación y Organización Determinar la Dirección Tecnológica Control sobre el proceso de TI Determinar la Dirección Tecnológica con el objetivo del negocio de aprovechar la tecnología disponible y emergente para impulsar y hacer posible la estrategia del negocio.

Asegura la entrega de información al negocio que satisface los Criterios de Información requeridos y se mide por medio de los Indicadores Clave de Objetivo

Es posibilitada por la creación y el mantenimiento de un plan de infraestructura técnica que establece y maneja expectativas claras y realistas de lo que la tecnología puede ofrecer en términos de productos, servicios y mecanismos de entrega

Considera los Factores Críticos de Éxito que apalancan los Recursos de TI específicos y se mide por medio de los Indicadores Clave de Desempeño


gente aplicaciones

tecnología instalaciones

datos



• Los reportes de tecnología del negocio son distribuidos a las unidades del negocio • Los cambios de tecnología son monitoreados proactivamente en busca de amenazas y de oportunidades, con

responsabilidades claramente asignadas y con un proceso definido que usa recursos probados y confiables. • Los resultados de monitoreo son evaluados a nivel de gerencia general y las acciones son acordadas e

integradas en el nivel de infraestructura de TI, al tiempo que se mantiene la concordancia con el plan estratégico de TI.

• Está establecida una facilidad de investigación, determinación de prototipo y prueba que se dedica a demostrar el valor de negocio y a identificar limitaciones y oportunidades, en vez de la idoneidad tecnológica.

• La planificación de la infraestructura de la tecnología se traduce en planes para la adquisición de tecnología, capacitación y reclutamiento de personal, con consideración de las políticas y normas de uso de la tecnología

• Existen planes de desarrollo histórico y estrategias de migración para sacar a la organización desde el estado actual hasta el estado futuro de infraestructura de TI

• La orientación y los supuestos de planificación de la tecnología son reevaluados de manera independiente en momentos apropiados

• El plan de infraestructura de TI es evaluado regularmente para los aspectos de contingencia • Un intercambio abierto sobre los desarrollos de la tecnología y buenas relaciones con los vendedores y con

terceros promueve las funciones de vigilancia y el establecimiento de Benchmarking de la industria




• El número de soluciones de tecnología que no están alineadas con la estrategia del negocio • Porcentaje de proyectos no planeados que no se ajustan a la tecnología • Número de tecnologías y plataformas no compatibles • Disminución del número de plataformas de tecnología para mantener • Esfuerzo menor de despliegue de aplicaciones y de tiempo para mercadear

• Mayor interoperabilidad entre sistemas y aplicaciones


• Porcentaje del presupuesto de TI asignado a infraestructura e investigación de tecnologías • Número de meses transcurridos desde la última revisión de infraestructura de tecnología

• Satisfacción de las funciones del negocio con la oportuna identificación y análisis de las oportunidades tecnológicas

• Porcentaje de dominios tecnológicos dentro del plan de infraestructura de tecnología que tienen planes subordinados que especifican el actual estado, el estado de visión y los mapas de caminos de implementación

• Duración promedio del tiempo transcurrido entre la identificación de nueva tecnología potencialmente relevante y la decisión respecto a qué hacer con esa tecnología




PO3 Modelo de Madurez Control sobre el proceso de TI de Determinar la Dirección Tecnológica con el objetivo del negocio de aprovechar la tecnología existente y la emergente para impulsar y posibilitar la estrategia del negocio 0 Inexistente. No hay conciencia de la importancia para la entidad de planear la infraestructura de

la tecnología. No existen los conocimientos y la experiencia necesarios para desarrollar dicho plan de infraestructura de tecnología. Hay una falta de entendimiento de que la planeación para el cambio tecnológico es crítica para asignar recursos con efectividad.

1 Inicial /Ad Hoc. La administración reconoce la necesidad de planear la infraestructura de la

tecnología, pero no ha formalizado ni un proceso ni un plan. Los desarrollos del componente de tecnología y las implementaciones de la tecnología emergente son ad-hoc y aisladas. Hay un enfoque reactivo y operativo de la planeación. Las orientaciones de la tecnología están impulsadas por los planes de evolución de producto de hardware, software de sistemas y de los vendedores de software de aplicación a menudo contradictorios. La comunicación del impacto potencial de cambios en la tecnología es inconsistente.

2 Repetible pero Intuitivo. Hay un entendimiento implícito de la necesidad e importancia de

planificar la tecnología. Esta necesidad e importancia es comunicada. La planeación es, sin embargo, táctica y enfocada en generar soluciones técnicas a los problemas técnicos, en vez de estar enfocada hacia el uso de tecnología para satisfacer necesidades del negocio. La evaluación de los cambios tecnológicos es dejada a diferentes personas que siguen procesos intuitivos pero similares. No hay una capacitación formal y comunicación formal de roles y responsabilidades. Las técnicas y estándares comunes están emergiendo para el desarrollo de los componentes de la infraestructura.

3 Proceso Definido. La administración está conciente de la importancia del plan de infraestructura

de la tecnología. El proceso de desarrollo del plan de infraestructura de tecnología es razonablemente correcto y está en concordancia con el plan estratégico de TI. Hay un plan de infraestructura de la tecnología que es definido, documentado y bien comunicado, pero se aplica de manera inconsistente. La orientación de la infraestructura de la tecnología incluye una comprensión de dónde quiere estar la organización: a la vanguardia o quedar retrasada en el uso de tecnología, basada en los riesgos y en la concordancia con la estrategia de la organización. Los vendedores claves son seleccionados con base en la comprensión de sus planes de largo plazo de desarrollo de la tecnología y de producto, consistente con la orientación de la organización.

4 Administrado y Medible. El personal de TI tiene la experiencia y las habilidades necesarias para

desarrollar un plan de infraestructura de tecnología. Hay un entrenamiento formal y especializado para la investigación de la tecnología. El impacto potencial de cambiar y de las tecnologías emergentes es tomado en cuenta y validado. La administración puede identificar desviaciones del plan y anticipar problemas. Se ha asignado responsabilidad por el desarrollo y el mantenimiento de un plan de infraestructura de tecnología. El proceso es sofisticado y responde al cambio. Se han introducido al proceso las mejores prácticas internas. La estrategia de recursos humanos está en concordancia con la orientación de la tecnología, para asegurar que los miembros del personal de TI puedan manejar los cambios de tecnología. Los planes de migración para introducir nuevas tecnologías están definidos. Se está respaldando el outsourcing y su participación en el negocio (participación como socios) para tener acceso a la experiencia y las habilidades necesarias.



5 Optimizado. Existe una función de investigación para revisar las tecnologías emergentes y que evolucionan y se llevan a cabo Benchmarks de la organización en contraposición con las normas de la industria. La organización se guía por las normas y desarrollos internacionales de la industria, en lugar de estar impulsada por los vendedores de tecnología. El impacto potencial del cambio tecnológico sobre el negocio es revisado a nivel de la gerencia general y las decisiones de actuar reflejan la contribución de las influencias humanas y tecnológicas sobre las soluciones de información. Hay aprobación ejecutiva formal de las orientaciones tecnológicas nuevas y de las cambiadas. La participación en los organismos que establecen normas de la industria y grupos de usuarios de vendedores está formalizada. La entidad tiene un plan sólido de infraestructura de la tecnología que refleja los requerimientos del negocio, responsable y puede ser modificada para reflejar cambios en el entorno del negocio. Está establecido un proceso constante y ejecutado de mejoras. Se usan extensamente las mejores prácticas de la industria para determinar la orientación técnica.



PO4 Planeación y Organización Definir la Organización y las Relaciones de la Tecnología de la Información El control sobre el proceso de TI de Definir la Organización y las Relaciones de TI con el objetivo del negocio de entregar los servicios correctos de TI

Asegura la entrega de información al negocio que satisface los Criterios de Información y se mide por medio de Indicadores Clave de Objetivo

Es posibilitado por una organización adecuada en números y en habilidades con roles y responsabilidades definidos y comunicados, alineados con el negocio y que facilita la estrategia y provee la orientación efectiva y el control adecuado

Considera los Factores Críticos de Éxito que apalancan los Recursos de TI específicos y se mide por medio de Indicadores Clave de Desempeño.

P Efectividad S Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento confiabilidad

gente aplicaciones tecnología instalaciones datos



• La organización de TI comunica sus objetivos y resultados a todos los niveles • TI está organizada para participar en todos los procesos de decisión, responder a las iniciativas clave del

negocio y enfocarse en todas las necesidades corporativas de automatización • El modelo organizacional de TI está en concordancia con las funciones del negocio y se adapta rápidamente a

los cambios en el entorno del negocio • Estimulando y promoviendo la asunción de responsabilidad, la organización de TI desarrolla y cultiva las

personas y eleva la colaboración • Hay procesos claros de dirección y control, con segregación donde se necesita, especialización donde se

requiere y delegación de autoridad donde sea beneficioso • La organización de TI establece debidamente funciones de seguridad, control interno y calidad, y balancea

adecuadamente supervisión y empoderamiento • La organización de TI es flexible para adaptarse a situaciones de riesgo y de crisis y va desde un modelo

jerárquico, cuando todo está bien, a un modelo basado en equipo cuando sube la presión, empoderando a las personas en tiempos de crisis

• Se establece un fuerte control de administración sobre los servicios de outsourcing de TI, con una política clara, y con conocimiento del costo total de outsourcing

• Las funciones esenciales de TI están identificadas explícitamente en el modelo de organización, con roles y responsabilidades especificados claramente.




• El número de proyectos de negocio atrasados debido a la inercia organizacional de TI o a la no disponibilidad de las capacidades necesarias

• El número de actividades fundamentales de TI fuera de la organización de TI que no son aprobadas y que no están sujetas a las estándares organizacionales de TI

• El número de unidades de negocio soportadas por la organización de TI • La clasificación de encuesta del enfoque de negocio, la moral y la satisfacción del trabajo que tienen los

miembros del personal de TI • El porcentaje de utilización del personal de TI en los procesos de TI que producen beneficios directos de

negocio


• La edad del cambio organizacional, incluyendo reorganización o reevaluación organizacional • El número de recomendaciones de evaluación organizacional sobre las que no se emprendió acción • Porcentaje de funciones organizacionales de TI que tienes su correspondiente en la estructura organizacional

del negocio • Número de unidades de TI con objetivos de negocios que recaen directamente en las funciones y

responsabilidades individuales • Porcentaje de funciones con descripciones documentadas del puesto de trabajo • Tiempo promedio que transcurre entre el cambio en la orientación del negocio y el reflejo del cambio en la

estructura organizacional de TI • Porcentaje de las funciones esenciales que están identificadas explícitamente en el modelo organizacional con

funciones y responsabilidades claras.




PO4 Modelo de Madurez El control sobre el proceso de TI de Definir la Organización y las Relaciones de TI con el objetivo del negocio de entregar los servicios correctos de TI 0 Inexistente. La organización de TI no está establecida de manera efectiva para concentrarse en el

logro de los objetivos del negocio 1 Inicial /Ad Hoc. Las actividades y funciones de TI son reactivas e implementadas de manera

inconsistente. No hay una estructura organizacional definida, las funciones y responsabilidades son asignadas de manera informal, y no existen líneas claras de responsabilidad. La función de TI es considerada una función de apoyo, sin una perspectiva general de la organización.

2 Repetible pero Intuitivo. Hay un entendimiento implícito de la necesidad de una organización de

TI; sin embargo, las funciones y responsabilidades no están formalizadas y no se hacen cumplir. La función de TI está organizada para responder de manera táctica, pero inconsistente, a las necesidades del cliente y a las relaciones del vendedor. La necesidad de una organización estructurada y de un manejo de los vendedores es comunicada, pero las decisiones son todavía dependientes de los conocimientos y habilidades de las personas clave. Hay un surgimiento de técnicas comunes para manejar la organización de TI y las relaciones con los vendedores.

3 Proceso Definido. Existen roles y responsabilidades definidos para la organización de TI y para

terceros. La organización de TI está desarrollada, documentada, comunicada y en concordancia con la estrategia de TI. El diseño organizacional y el entorno de control interno están definidos. Hay formalización de las relaciones con otras partes, incluyendo los comités de dirección, auditoría interna y el manejo de vendedores. La organización de TI está completa desde el punto de vista funcional; sin embargo, está más enfocada en las soluciones tecnológicas que en usar la tecnología para resolver problemas de negocio. Hay definiciones de las funciones que deben ser realizadas por el personal de TI y de las que serán ejecutadas por los usuarios.

4 Administrado y Medible. La organización de TI es sofisticada, responde a los cambios de

manera proactiva e incluye todos las funciones necesarias para satisfacer los requerimientos del negocio. La administración de TI, la propiedad del proceso, la responsabilidad y la obligación están definidas y balanceadas. Los requisitos esenciales de contratación de personal de TI y las necesidades de experiencia están satisfechos. Se han aplicado en la organización las mejores prácticas internas de las funciones de TI. La administración de TI tiene la experiencia y las habilidades apropiadas para definir, implementar y monitorear la organización y las relaciones preferidas. Las métricas de medición para soportar los objetivos del negocio y los factores críticos de éxito definidos por el usuario están estandarizados. Hay disponibles inventarios de habilidades para apoyar la contratación de personal del proyecto y el desarrollo profesional. El balance entre las habilidades y los recursos disponibles internamente y los que se necesitan de las organizaciones externas está definido y se hace valer.

5 Optimizado. La estructura organizacional de TI refleja de manera apropiada las necesidades del

negocio prestando servicios en concordancia con los procesos estratégicos del negocio, en vez de concordar con tecnologías aisladas. La estructura organizacional de TI es flexible y se adapta fácilmente. Hay una definición formal de las relaciones con usuarios y con terceros. Las mejores prácticas de la industria están implementadas. El proceso para desarrollar y manejar la estructura organizacional es sofisticado, seguido y bien manejado. Se utilizan conocimientos técnicos extensos internos y externos. Hay un uso extenso de tecnología para asistir en el monitoreo de funciones y responsabilidades organizacionales. TI respalda la tecnología para apoyar las organizaciones complejas, distribuidas geográficamente y las virtuales. Está establecido un constante proceso de mejoramiento.



PO5 Planeación y Organización Administrar la Inversión de Tecnología de la Información Control sobre el proceso de TI de Administrar la Inversión de TI con el objetivo del negocio de asegurar el financiamiento y controlar el desembolso de recursos financieros


Es posibilitado por medio de una inversión periódica y de un presupuesto operativo establecido y aprobado por el negocio

Considera los Factores Críticos de Éxito que apalancan Recursos de TI específicos y se mide por medio de Indicadores Clave de Desempeño

• Todos los costos relacionados con TI están identificados y clasificados • Se mantiene un inventario efectivo de activos de TI que facilita la medición exacta de costos • Están definidos criterios formales de inversión para la toma de decisiones en un proceso sensible de

aprobación, que se puede adaptar al tipo de proyecto • Está definido un plan de entrega de TI, proveyendo contexto de modo que exista una visión clara de un

trabajo en progreso y de inversiones, ciclos de vida de la tecnología y reutilización del componente de tecnología

• Está definido un proceso de toma de decisión de inversiones y el mismo considera impactos de corto y largo plazo, impactos a través de las divisiones, justificación del negocio, realización de beneficios, contribución estratégica y cumplimiento con la arquitectura y orientación de la tecnología

• Para permitir elecciones claras basadas en impactos, beneficios mesurables, marcos de tiempo y factibilidad, las decisiones de inversión necesitan ser presentadas con opciones y alternativas

• Los presupuestos e inversiones de TI están en concordancia con la estrategia y los planes de negocios de TI • La autoridad para aprobar los gastos está claramente delegada • Los presupuestos que abarcan gastos de extremo a extremo tienen propietarios identificables y a los cuales

se puede pedir cuentas y son rastreados a su debido tiempo y en forma detallada, con herramientas automatizada

• Existe una responsabilidad clara de administración para realizar los beneficios pronosticados y un proceso para dar seguimiento y reportar sobre la realización de beneficios, que elimina los subsidios cruzados

• Hay responsabilidades claras de administración para realizar y dar seguimiento a los beneficios pronosticados

• Los que toman las decisiones consideran el impacto total, incluyendo el ciclo completo de vida y los efectos adversos, en otras unidades del negocio


P Efectividad P Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento S Confiabilidad

gente aplicaciones tecnología instalaciones

datos





• Porcentaje de las inversiones de TI que alcanzan o exceden los beneficios esperados, basado en el retorno de la inversión y en la satisfacción del usuario

• Los gastos reales de TI como un porcentaje de los gastos totales de la organización vs. el objetivo • Los gastos reales de TI como un porcentaje de ingresos vs. el objetivo • Porcentaje logrado de los presupuestos de TI del dueño del negocio

• Ausencia de demoras del proyecto ocasionadas por retrasos en las decisiones de inversión o en la no disponibilidad de financiamiento


• Porcentaje de proyectos que usan la inversión y los modelos de presupuesto estándar de IT • Porcentaje de proyectos con propietarios del negocio • Meses desde la última revisión de presupuestos • Demora entre la ocurrencia de la desviación y el reporte de la misma • Porcentaje de archivos de proyectos que contienen evaluaciones de la inversión • Número de proyectos donde los beneficios del negocio no son verificados post-facto • Número de proyectos que revelan inversión o conflictos de recursos después de aprobación • Número de instancias y demora en el uso retrasado de nueva tecnología




PO5 Modelo de Madurez Control sobre el proceso de TI Administrar la Inversión de TI con el objetivo del negocio de asegurar el financiamiento y controlar el desembolso de recursos financieros. 0 Inexistente. No hay conciencia de la importancia de la selección y presupuesto de la inversión de TI.

No hay seguimiento o monitoreo de las inversiones y gastos de TI. 1 Inicial /Ad Hoc. La organización reconoce la necesidad de administrar la inversión de TI, pero esta

necesidad es comunicada de manera inconsistente. No hay una asignación formal de responsabilidad para la selección de la inversión y el desarrollo del presupuesto de TI. Los gastos significativos percibidos requieren justificaciones que los respalden. Las implementaciones aisladas de la selección y el presupuesto de inversión de TI ocurren, con documentación informal. Las inversiones de TI son justificadas ad hoc. Se toman decisiones de presupuestos reactivas enfocadas en las operaciones.

2 Repetible pero Intuitivo. Hay un entendimiento implícito de la necesidad de seleccionar y presupuestar la inversión de TI. La necesidad de un proceso de selección y del establecimiento de un presupuesto es comunicada. El cumplimiento depende de la iniciativa de personas de la organización. Hay un surgimiento de técnicas comunes para desarrollar componentes del presupuesto de TI. Ocurren decisiones reactivas y tácticas de presupuesto. Las expectativas basadas en tendencias de la tecnología están comenzando a ser manifestadas y su impacto sobre la productividad y sobre los ciclos de vida del sistema están comenzando a ser considerados en las decisiones de inversión.

3 Proceso Definido. Los procesos de selección y presupuestación de la inversión de TI son razonablemente correctos y abarcan aspectos claves del negocio y de la tecnología. La selección y política de la inversión es definida, documentada y comunicada. El presupuesto de TI está alineado con los planes estratégicos de TI y los planes del negocio. Los procesos de presupuestación y de selección de la inversión de TI están formalizados, documentados y son comunicados. Está ocurriendo una auto capacitación informal. Está ocurriendo la aprobación formal de las selecciones y presupuestos de inversión de TI. El balance entre las inversiones en recursos humanos, hardware, software de sistemas y software de aplicación está definido y acorde para apalancar los desarrollos tecnológicos y la disponibilidad y productividad de los profesionales de TI.

4 Administrado y Medido. La responsabilidad y la obligación de reportar la selección y presupuestación de inversiones es asignada a una persona específica. Las variaciones del presupuesto son identificadas y resueltas. El personal de TI tiene la experiencia y las habilidades necesarias para desarrollar el presupuesto de TI y recomienda inversiones apropiadas de TI. Se realizan análisis formales de costos que abarcan los costos directos e indirectos de las operaciones existentes, así como también las inversiones propuestas, usando el costo total de los conceptos de propiedad. Se usa un proceso proactivo y estandarizado para la presupuestación. El cambio en los costos de desarrollo y de operación desde hardware y software a integración de sistemas y recursos humanos de TI es reconocido en los planes de inversión.

5 Optimizado. Las ganancias y el rendimientos son calculados tanto en términos financieros como no financieros. Se usan las mejores prácticas de la industria para marcar como referencia los costos y para identificar los métodos para aumentar la efectividad de las inversiones. Se usa el análisis de los desarrollos tecnológicos en el proceso de selección y presupuestación de la inversión. Está establecido un proceso de mejoramiento contínuo. Las decisiones de inversión incorporan tendencias de mejoramiento de precio /desempeño, soportadas por nuevas tecnologías y productos. Las alternativas de financiamiento son investigadas y evaluadas formalmente dentro del contexto de la estructura de capital existente de la organización, usando métodos formales de evaluación. Hay una identificación proactiva de variaciones. Un análisis del costo a largo plazo de propiedad está incorporado en las decisiones de inversión. El proceso de inversión reconoce la necesidad de apoyar iniciativas estratégicas de largo plazo creando nuevas oportunidades de negocios por medio del uso de la tecnología. La organización tiene una política bien entendida de riesgo de inversión respecto al uso de adelanto o atraso de tecnología en desarrollar nuevas oportunidades de negocio o eficiencias



PO6 Planeación y Organización Comunicar los Objetivos y Orientación de la Gerencia Control sobre el proceso de TI Comunicar los Objetivos y la Orientación de la Gerencia con el objetivo del negocio de asegurar el conocimiento y comprensión del usuario de estos objetivos


Es posibilitado por políticas establecidas y comunicadas a la comunidad de usuarios; por otra parte, es necesario establecer normas para traducir las opciones estratégicas en reglas prácticas y utilizables por los usuarios


P Efectividad Eficiencia Confidencialidad Integridad Disponibilidad S Cumplimiento Confiabilidad




• La ejecución de políticas es considerada y decidida en el momento de desarrollar la política • Está establecido un proceso de confirmación para medir el conocimiento, entendimiento y cumplimiento de las

políticas • Se cuenta con declaraciones y políticas de misión bien definidas y claramente articuladas • Las políticas de control de información están en concordancia con los planes estratégicos generales • La administración aprueba y está consagrada a las políticas de control de información, enfatizando en la

necesidad de comunicación, comprensión y cumplimiento • La administración dirige por medio del ejemplo • Hay orientación práctica respecto a implementar políticas y procedimientos • Se usan diversos métodos para atraer la atención para comunicar repetidamente los mensajes importantes • Las políticas de control de información están al día y actualizadas • Hay un marco de desarrollo de políticas que se aplica constantemente que guía la formulación, desarrollo,

entendimiento y cumplimiento




• Porcentaje de planes y políticas de TI que abarcan la misión, visión, objetivos, valores y código de conductque son desarrollados y documentados

• Porcentaje de los planes y políticas de TI que son comunicados a todos los interesados • Porcentaje de la organización que ha sido entrenada en políticas y procedimientos • Medidas de mejoramiento del conocimiento del usuario basado en encuestas regulares • Número de políticas y procedimientos que se ocupan del control de la información


• Tiempo de demora entre la aprobación de la política y la comunicación a los usuarios • Frecuencia de las comunicaciones • Edad de los documentos específicos de política de información (número de meses desde la última actualización • Porcentaje del presupuesto asignado al desarrollo e implementación de políticas de información • Porcentaje de políticas que tienen procedimientos operativos asociados para asegurar que las mismas se lleven a cabo




PO6 Modelo de Madurez Control sobre el proceso de TI Comunicar los Objetivos y la Orientación de la Gerencia con el objetivo del negocio de asegurar el conocimiento y entendimiento de esos objetivos por el usuario 0 Inexistente. La administración no ha establecido un entorno positivo de control de la información.

No hay reconocimiento de la necesidad de establecer un conjunto de políticas, procedimientos, estándares, y procesos de cumplimiento

1 Inicial /Ad Hoc. La administración es reactiva para resolver los requerimientos del entorno de

control de la información. Las políticas, procedimientos y estándares se desarrollan y se comunican ad-hoc, en la medida que se necesitan, impulsados primariamente por los problemas. Los procesos de desarrollo, comunicación y cumplimiento son informales e inconsistentes.

2 Repetible pero Intuitivo. La administración tiene una comprensión implícita de las necesidades y

requerimientos de un entorno efectivo de control de información. Sin embargo, las prácticas son informales y no se documentan de manera consistente. La administración ha comunicado la necesidad de políticas, procedimientos y estándares de control, pero el desarrollo es dejado a la discreción de los administradores y áreas de negocio individuales. Las políticas y otros documentos de respaldo se desarrollan basados en las necesidades individuales y no hay marco general de desarrollo. La calidad es reconocida como una filosofía deseable a ser seguida, pero las prácticas son dejadas a la discreción de los administradores individuales. El entrenamiento se lleva a cabo de manera individual y en la medida que se necesita.

3 Proceso Definido. La administración ha desarrollado, documentado y comunicado un entorno

completo de control de información y administración de la calidad que incluye un marco para políticas, procedimientos y estándares. El proceso de desarrollo de políticas es estructurado, mantenido y conocido por el personal, y las políticas, procedimientos y estándares existentes son razonablemente sanas y abarcan aspectos clave. La administración se ha ocupado de la importancia de la conciencia de seguridad de TI y ha iniciado programas de concientización. Hay disponible entrenamiento formal para apoyar el entorno de control de información pero no se aplica de manera rigurosa. Hay un monitoreo inconsistente del cumplimiento de las políticas y estándares de control.

4 Administrado y Medible. La administración acepta responsabilidad de comunicar las políticas de

control interno y ha delegado responsabilidad y asignado recursos suficientes para mantener el entorno en concordancia con los cambios significativos. Se ha establecido un entorno positivo, proactivo de control de la información, incluyendo un compromiso con la calidad y la conciencia de la seguridad de TI. Se ha desarrollado, mantenido y comunicado un conjunto completo de políticas, procedimientos y estándares y es un compendio de las mejores prácticas internas. Se ha establecido un marco para el desarrollo y las verificaciones posteriores del cumplimiento.

5 Optimizado. El entorno de control de la información está en concordancia con el marco y la

visión estratégicos de administración y es revisado, actualizado con frecuencia y mejorado constantemente. Se asignan expertos internos y externos para asegurar que se estén adoptando las mejores prácticas de la industria respecto a la orientación del control y a las técnicas de comunicación. El monitoreo, las auto evaluaciones y los procesos de comunicación son utilizados a todo lo largo de la organización. Se usa la tecnología para mantener las bases de conocimientos sobre conciencia y mantenimiento de políticas y para optimizar la comunicación usando la automatización de oficina y herramientas de entrenamiento basadas en computadora.



PO7 Planeación y Organización Administrar Recursos Humanos Control sobre el proceso de TI Administrar Recursos Humanos con el objetivo del negocio de adquirir y mantener una fuerza de trabajo motivada y competente y maximizar las contribuciones del personal a los procesos de TI


Es posibilitado por prácticas saludables, justas y transparentes de administración de personal para reclutar, contratar, pensionar1, compensar, entrenar, evaluar, promover y despedir

Considera los Factores Críticos de Éxito que apalancan Recursos específicos de TI y se mide por medio de Indicadores Clave de Desempeño

• Existe un marco para el desarrollo y mantenimiento de un plan de administración de recursos humanos • La administración apoya y está dedicada al plan de administración de recursos humanos de TI • Hay consistencia entre el plan estratégico de TI y el plan de administración de recursos humanos de TI • Suficientes recursos y recursos con habilidades apropiadas están asignados al desarrollo del plan de

administración de recursos humanos de TI • Están asignados recursos apropiados de entrenamiento y TI en curso para satisfacer las necesidades del plan

de administración de recursos humanos de TI • Los planes de sucesión consideran puntos individuales de dependencia para evitar dejar vacíos de

experiencia • Está implementada la rotación de trabajo para el desarrollo de carreras


P Efectividad P Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad




• La edad del plan de administración de recursos humanos de TI está definida por el número de meses desde la última actualización

• Porcentaje del personal de TI que satisface el perfil de competencia para su función dentro de la organización • Porcentaje de utilización del personal de TI en los procesos de TI que proveen beneficios directas de negocios • Tasa de movimiento de personal de TI • Porcentaje de logro de complemento de personal • Tiempo promedio, en meses, que los puestos de trabajo de personal de TI están abiertos


1 Pensionar: Vet. (retiro por cumplimiento de la edad)



PO7 Modelo de Madurez Control sobre el proceso de TI Administrar Recursos Humanos con el objetivo del negocio de maximizar las contribuciones del personal a los procesos de IT 0 Inexistente No hay conciencia de la importancia de alinear la administración de recursos humanos

con el proceso de planeación de la tecnología para la organización. No hay ninguna persona o grupo formalmente responsable de la administración de recursos humanos de TI.

1 Inicial / Ad Hoc La administración reconoce la necesidad de administrar los recursos humanos,

pero no ha formalizado un proceso o un plan. El proceso de administración de recursos humanos de TI es informal y tiene un enfoque reactivo y se concentra en las operaciones para contratar y administrar el personal de TI. Se está desarrollando conciencia respecto al impacto que tienen los cambios rápidos del negocio y de la tecnología y las soluciones cada vez más complejas sobre la necesidad de nuevas habilidades y niveles de competencia.

2 Repetible pero Intuitivo Hay un entendimiento implícito de la necesidad de administrar los

recursos humanos de TI. Hay un enfoque táctico de la contratación y administración del personal de TI, impulsado por las necesidades específicas del proyecto, y no por una orientación de la tecnología y un balance entendido de disposición interna y externa de personal calificado. Se lleva a cabo un entrenamiento informal para el personal nuevo, quien entonces recibe entrenamiento en la medida que lo necesita.

3 Proceso Definido Se ha desarrollado un proceso para administrar los recursos humanos de TI y

hay un plan definido y documentado de administración de recursos humanos de TI. Hay un enfoque estratégico para la contratación y administración del personal de TI. Está establecido un plan formal de entrenamiento para satisfacer las necesidades de recursos de TI. Se ha diseñado un programa de rotación para expandir tanto las habilidades técnicas como de administración del negocio.

• Tiempo transcurrido entre los cambios en el plan estratégico de TI y el plan de administración de recursos humanos de TI

• Porcentaje del personal de TI con planes completados de desarrollo profesional • Porcentaje del personal de TI con revisiones de desempeño documentadas y validadas • Porcentaje de tiempo de entrenamiento por persona • Porcentaje de personal crítico con entrenamiento cruzado y personal asignado como reemplazo en caso de ausencia del titular • Número de proyectos demorados o cancelados debido a la falta de recursos de personal de TI • Porcentaje del presupuesto de recursos humanos asignado al desarrollo y mantenimiento del plan de

administración de recursos humanos de TI • Porcentaje de posiciones de personal de TI con descripciones documentadas del puesto de trabajo y

calificaciones de contratación




4 Administrado y Medible. Se ha asignado la responsabilidad del desarrollo y mantenimiento de

un plan de administración de recursos humanos de TI a una persona específica con la experiencia y habilidades requeridas necesarias para desarrollar y mantener el plan. El proceso es sensible al cambio. La organización tiene medidas estandarizadas que le permiten identificar desviaciones del plan, con énfasis específico en la administración del crecimiento y movimiento del personal de TI. Periódicamente se hace un análisis de la escala de compensaciones para asegurar que los salarios sean competitivos con los de organizaciones comparables de TI. La administración de recursos humanos de TI es proactiva, tomando en cuenta el desarrollo de la trayectoria de la carrera.

5 Optimizado. La organización tiene un plan efectivo de administración de recursos humanos de TI

que satisface los requerimientos de negocios para TI y el negocio que soporta. La administración de recursos humanos de TI está integrada con la planeación de la tecnología, asegurando el desarrollo óptimo y el uso de las habilidades disponibles de TI. Los componentes de la administración de recursos humanos de TI son consistentes con las mejores prácticas de la industria, como por ejemplo la compensación, las revisiones del desempeño, la participación en foros de la industria, la transferencia de conocimientos, el entrenamiento y el asesoramiento. Los programas de entrenamiento se desarrollan para todas las nuevas normas y productos de tecnología antes de su implementación en la organización. La tecnología se usa para proveer habilidades, entrenamiento e información de requerimientos de competencia en bases de datos fácilmente accesibles, para asistir en el proceso de administración de recursos humanos de TI. Están definidos y se ejecutan programas de incentivo para la administración de TI, similares a los que están disponibles para otra administración general de la organización, para recompensar a los que alcanzan las metas de desempeño de TI.



PO8 Planeación y Organización Asegurar el Cumplimiento de los Requerimientos Externos Control sobre el proceso de TI Asegurar el Cumplimiento de los Requerimientos Externos con el objetivo del negocio de cumplir con las obligaciones legales, regulatorias y contractuales


Es posibilitado identificando y analizando los requerimientos externos para el impacto de su TI, y tomando las medidas apropiadas para cumplirlas


• Se han documentado y comunicado políticas y procedimientos relativos al cumplimiento de los requerimientos externos

• El cumplimiento es revisado por una función de monitoreo • Se mantiene un inventario de acciones correctivas que se necesitan para satisfacer los requerimientos externos • Están definidos procesos de seguimiento para resolver los problemas de cumplimiento externo • Se cuenta con información para determinar el costo de cumplimiento de los requerimientos externos • Se realizan auditorías efectivas que cubren el cumplimiento


P Efectividad Eficiencia Confidencialidad Integridad Disponibilidad P Cumplimiento S Confiabilidad

gente aplicaciones

tecnología instalaciones datos



• Número de problemas legales, regulatorios o contractuales que surgen • Edad promedio de los problemas abiertos externos legales, regulatorios o contractuales • Costo de incumplimiento, como por ejemplo pagos o multas


• Frecuencia de revisiones de cumplimiento • Número de excepciones identificadas en las revisiones de cumplimiento • Tiempo promedio entre la identificación de problemas de cumplimiento externo y la solución de los mismos




PO8 Modelo de Madurez Control sobre el proceso de TI Asegurar el Cumplimiento de los Requerimientos Externos con el objetivo del negocio de satisfacer las obligaciones legales, regulatorias y contractuales. 0 Inexistente Hay poca conciencia de los requerimientos externos que afectan a TI, y no hay ningún

proceso respecto al cumplimiento de requisitos regulatorios, legales y contractuales. 1 Inicial /Ad Hoc Hay conciencia del cumplimiento de las reglamentaciones, contratos y leyes que impactan a

la organización. Se siguen procesos informales para mantener el cumplimiento, pero sólo a medida que surge la necesidad en los proyectos nuevos o en respuesta a auditorías o revisiones.

2 Repetible pero Intuitivo Hay un entendimiento de la necesidad de cumplir los requerimientos externos y la necesidad es comunicada. Donde el cumplimento se ha convertido en un requerimiento recurrente, como en las reglamentaciones financieras o en la legislación privada, se han desarrollado procedimientos individuales de cumplimiento y éstos se siguen anualmente. Sin embargo, no está establecido un esquema general que asegure que se satisfacen todos los requerimientos de cumplimiento. Es probable, por lo tanto, que ocurran excepciones y que nuevas necesidades de cumplimiento sólo sean resueltas de manera reactiva. Hay gran confianza en el conocimiento y responsabilidad de las personas y hay probabilidad de errores. Hay un entrenamiento informal respecto a los requerimientos externos y a los problemas de cumplimiento.

3 Proceso Definido Se han desarrollado, documentado y comunicado políticas, procedimientos y procesos para asegura el cumplimiento de las reglamentaciones y de las obligaciones contractuales y legales. Estas no siempre son seguidas y algunas pueden ser obsoletas o ser imprácticas para implementar. Se realiza poco monitoreo y hay requisitos de cumplimiento que no hay sido satisfechos. Se provee entrenamiento en requisitos legales y regulatorios externos que afectan a la organización y los procesos definidos de cumplimiento. Existen contratos pro forma y procesos legales estándar para minimizar los riesgos asociados con la responsabilidad contractual.

4 Administrado y Medible Hay total entendimiento de los problemas y riesgos provenientes de requisitos externos y de la necesidad de asegurar el cumplimiento a todos los niveles. Hay un esquema de entrenamiento formal que asegura que todo el personal esté conciente del cumplimiento de sus obligaciones. Las responsabilidades están claras y la propiedad del proceso es comprendida. El proceso incluye una revisión del entorno para identificar los requisitos externos y los cambios en curso. Está establecido un mecanismo para monitorear el no cumplimiento de los requisitos externos, reforzar las prácticas externas e implementar acciones correctivas. Los problemas de incumplimiento son analizados en busca de causas de fondo en una forma estandarizada, con el objetivo de identificar las soluciones sostenibles. Se utilizan las mejores prácticas internas estandarizadas para necesidades específicas como por ejemplo lar reglamentaciones vigentes y los contratos recurrentes de servicio.

5 Optimizado Hay un proceso bien organizado, eficiente y en vigor para cumplir con los requisitos externos, basado en una sola función central que provee orientación y coordinación con toda la organización. Hay amplio conocimiento de los requisitos externos aplicables, incluyendo sus tendencias futuras y cambios anticipados, y la necesidad de nuevas soluciones. La organización participa en discusiones externas con grupos regulatorios y de la industria para entender e influir en los requisitos externos que los afectan. Se han desarrollado las mejores prácticas que aseguran el cumplimiento eficiente de los requisitos externos, que resultan en muy pocos casos de excepciones de cumplimiento. Existe un sistema central de rastreo a nivel de toda la organización, posibilitando que la administración documente el flujo de trabajo y mida y mejore la calidad y efectividad del proceso de monitoreo de cumplimiento. Está implementado un proceso externo de auto evaluación de requerimientos y el mismo ha sido refinado hasta un nivel de la mejor práctica. El estilo y cultura de administración de la organización relativos al cumplimiento son suficientemente fuertes y los procesos se desarrollan lo suficientemente bien para que el entrenamiento se limite al personal nuevo y siempre que haya un cambio significativo.



PO9 Planeación y Organización Evaluar los Riesgos Control sobre el proceso de TI Evaluar los Riesgos con el objetivo del negocio de apoyar las decisiones de la administración para lograr los objetivos de TI y responder a las amenazas reduciendo la complejidad, la objetividad creciente e identificando factores importantes de decisión


Es posibilitado por la organización dedicándose a la identificación de riesgos y al análisis de impactos de TI, que involucran funciones multidisciplinarias y tomando medidas de eficiencia de costos para mitigar los riesgos


• Hay funciones y responsabilidades claramente definidas para la propiedad de la administración del riesgo y la obligación de reportar a la administración • Está establecida una política para definir los límites de riesgo y la tolerancia de riesgo • La evaluación del riesgo se efectúa observando las vulnerabilidades, amenazas y el valor de la información • Se mantiene información estructura de riesgos, alimentada por medio del reporte de incidentes • Existen responsabilidades y procedimientos para definir, acordar y financiar mejoras en la administración del

riesgo • El foco de la evaluación es primariamente en las amenazas reales y menos en las teóricas • Las sesiones de lluvia de ideas2 y de análisis de la causa que lo origina que conduce a la identificación y

mitigación del riesgo se realizan de forma rutinaria • Un tercero lleva a cabo una verificación de realidad de la estrategia para aumentar la objetividad y la misma es

repetida a intervalos apropiados


P Efectividad S Eficiencia P Confidencialidad P Integridad P Disponibilidad S Cumplimiento S Confiabilidad


datos



• Mayor grado de conciencia de la necesidad de evaluaciones de riesgo • Menor número de incidentes causados por riesgos identificados después del hecho • Mayor número de riesgos identificados que han sido mitigados de manera suficiente • Mayor número de procesos de TI que han completado evaluaciones formales documentadas de riesgo • Porcentaje apropiado o número de medidas de estimación de costo efectivas de la evaluación del riesgo.


2 Tormenta de Ideas: Brainstorming



PO9 Modelo de Madurez Control sobre el proceso de TI Evaluar los Riesgos con el objetivo del negocio de apoyar las decisiones de la administración en alcanzar los objetivos de TI y en responder a las amenazas reduciendo la complejidad, aumentando la objetividad e identificando factores de decisión importantes. 0 Inexistente La estimación del riesgo para los procesos y las decisiones del negocio no ocurre. La

organización no considera los impactos del negocio asociados con vulnerabilidades de la seguridad y con inseguridades de proyectos de desarrollo. Es improbable que la administración de riesgos sea identificada dentro del plan de un proyecto o sea asignada a administradores específicos involucrados en el proyecto. La administración de TI no especifica responsabilidad para la administración del riesgo en las descripciones de los puestos de trabajo u otro medio informal. Riesgos específicos relacionados con TI como la seguridad, disponibilidad e integridad son considerados ocasionalmente por proyecto.

1 Inicial /Ad Hoc La organización está conciente de sus responsabilidades y obligaciones legales y

contractuales, pero considera los riesgos de TI de manera ad hoc, sin seguir procesos o políticas definidas. Tienen lugar evaluaciones informales del riesgo de proyecto a medida que lo determina cada proyecto. No es probable que las evaluaciones de riesgo sean identificadas específicamente dentro del plan de un proyecto o a ser asignado a administradores específicos involucrados en el proyecto. La administración de TI no especifica responsabilidad por la administración del riesgo en las descripciones de puestos de trabajo u otro medio informal. Los riesgos específicos relacionados con TI como son la seguridad, disponibilidad e integridad son ocasionalmente considerados por proyecto. Los riesgos relacionados con TI que afectan las operaciones cotidianas se discuten con poca frecuencia en las reuniones de la administración. Cuando se han considerado los riesgos, la mitigación es inconsistente.

2 Repetible pero Intuitivo Ha surgido un entendimiento de que los riesgos de TI son importantes y

que es necesario considerarlos. Existe algún enfoque de evaluación de riesgos, pero el proceso es todavía inmaduro y está en desarrollo. La evaluación es usualmente a un nivel elevado y típicamente se aplica sólo a los proyectos importantes. La evaluación de las operaciones en curso depende principalmente de los administradores de TI que lo presentan como un punto de la agenda, lo cual a menudo sólo ocurre cuando surgen problemas. La administración de TI generalmente no tiene definidos procedimientos o descripciones de puestos de trabajo que se encarguen de la administración del riesgo.

• Número de reuniones y talleres de administración del riesgo • Número de proyectos de mejoramiento de administración del riesgo • Número de mejoramientos del proceso de evaluación del riesgo • Nivel de financiamiento asignado a proyectos de manejo del riesgo • Número y frecuencia de actualizaciones a límites y políticas de riesgo publicados • Número y frecuencia de reportes de monitoreo del riesgo • Número de miembros del personal entrenado en metodología de manejo del riesgo




3 Proceso Definido La política de manejo del riesgo a nivel de toda una organización define cuándo y cómo llevar a cabo evaluaciones de riesgo. La evaluación del riesgo sigue un proceso definido que está documentado y disponible para todo el persona a través de entrenamiento. Las decisiones de seguir el proceso y recibir entrenamiento se dejan a la discreción de las personas. La metodología es convincente y saludable, y asegura que los riesgos clave del negocio probablemente sean identificados. Las decisiones de seguir el proceso se dejan a los administradores individuales de TI y no hay procedimiento para asegurar que todos los proyectos estén cubiertos o que la operación en curso es examinada en busca de riesgos de manera regular.

4 Administrado y Medible La evaluación del riesgo es un procedimientos estándar y las

excepciones a seguir el procedimiento serían anunciadas por la administración de TI. Es probable que la administración del riesgo sea una función definida de la administración con responsabilidad a nivel general. El proceso es adelantado y el riesgo es evaluado a nivel del proyecto individual y también regularmente respecto a la operación general de TI. Se advierte a la administración sobre los cambios en el entorno de TI que podrían afectar significativamente los escenarios de riesgo como por ejemplo una mayor amenaza proveniente de la red o tendencias técnicas que afectan la integridad de la estrategia de TI. La administración puede monitorear la posición de riesgo y tomar decisiones inteligentes respecto a la exposición que está dispuesta a aceptar. La gerencia general ha determinado los niveles de riesgo que la organización tolerará y tiene medidas estándar de proporciones de riesgo / rendimiento. Presupuestos de administración para proyectos de administración de riesgos operativos para reevaluar los riesgos regularmente. Está establecida una base de datos de administración de riesgos.

5 Optimizado La evaluación de los riesgos se ha desarrollado hasta una etapa en que un proceso

estructurado, en toda la organización, es ejecutado, seguido y bien administrado. La tormenta de ideas y el análisis de la causa que originó el riesgo, que involucra a personas expertas, se aplican en toda la organización. La captura, análisis y reporte de datos de administración de riesgos están altamente automatizados. El asesoramiento se obtiene de los jefes en el terreno y la organización de TI participa en grupos colegas para intercambiar experiencias. La administración del riesgo está verdaderamente integrada en todas las operaciones y negocios de TI, es bien aceptada e involucra extensamente a los usuarios de servicios de TI.



PO10 Planeación y Organización Administrar Proyectos Control sobre el proceso de TI Administrar Proyectos con el objetivo del negocio de establecer prioridades y entregar a tiempo y dentro de presupuesto


Es posibilitado por la organización que identifica y da prioridad a los proyectos en línea con el plan operativo y la adopción y aplicación de técnicas saludables de administración de proyectos para cada proyecto emprendido


• Se cuenta con administradores experimentados y calificados de proyectos • Está establecido un proceso aceptado y estándar de administración de programas • Hay un patrocinio de proyectos por parte de la gerencia general y los interesados y el personal de TI

comparten en la definición, implementación y administración de proyectos • Hay un entendimiento de las capacidades y limitaciones de la organización y la función de TI en administrar

proyectos grandes, complejos • Está definida y se ejecuta una metodología de evaluación de riesgo de proyectos en toda la organización • Todos los proyectos tienen un plan con estructuras claras de desglose de trabajos, estimados razonablemente

precisos, requerimientos de habilidades, problemas para rastrear, un plan de calidad y un proceso transparente de cambio

• La transición del equipo de implementación al equipo operativo es un proceso bien administrado • La organización ha definido y usa una metodología de ciclo de vida de desarrollo de sistemas






• Mayor número de proyectos entregados en conformidad con una metodología definida • Disponibilidad de programa de proyectos e información de presupuestos • Disminución en los problemas sistémicos y comunes del proyecto • Mejor tiempo de identificación de riesgo de proyectos • Mayor satisfacción de la organización con servicios entregados de proyecto • Mejor tiempo de decisiones de administración de proyectos




P10 Modelo de Madurez Control sobre el proceso de TI Administrar Proyectos con el objetivo del negocio de establecer prioridades y entregar a tiempo y dentro del presupuesto. 0 Inexistente No se usan técnicas de administración de proyectos y la organización no considera

impactos de negocio asociados con mala administración de proyectos y fracasos en el desarrollo de los proyectos.

1 Inicial /Ad Hoc La organización está en general conciente de la necesidad de que los proyectos

sean estructurados y está conciente de los riesgos de los proyectos administrados deficientemente. El uso de técnicas y métodos de administración de proyectos dentro de TI es una decisión que se deja a los administradores individuales de TI. Los proyectos son en general definidos de manera deficiente y no incorporan objetivos de negocio y técnicos de la organización o de los interesados del negocio. Hay una falta general de dedicación de la administración y la propiedad de proyectos y las decisiones críticas se hacen sin la administración de usuarios o la contribución del cliente. Hay poca o ninguna participación en la definición de proyectos de TI. No hay una organización clara dentro de los proyectos de TI y las funciones y responsabilidades no están definidas. Los cronogramas e hitos de los proyectos están pobremente definidos. El tiempo y los gastos del personal del proyecto no son rastreados y comparados con los presupuestos.

2 Repetible pero Intuitivo La gerencia general ha ganado y comunicado un conocimiento de la

necesidad de la administración de proyectos de TI. La organización está en el proceso de aprender y repetir ciertas técnicas y métodos de un proyecto a otro. Los proyectos de TI han definido de manera informal objetivos definidos de negocio y técnicos. Hay una participación limitada en la administración de proyectos de TI por parte de los interesados. Se han desarrollado algunos lineamientos para la mayoría de los aspectos de la administración de proyectos, pero su aplicación es dejada a la discreción del administrador individual del proyecto.

3 Proceso Definido El proceso y la metodología de administración de proyectos de TI han sido

establecidos y comunicados formalmente. Los proyectos de TI están definidos con objetivos apropiados de negocio y técnicos. Los interesados están involucrados en la administración de proyectos de TI. La organización de proyectos de TI y algunas funciones y responsabilidades están definidos. Los proyectos de TI tienen hitos, cronogramas, presupuesto y medidas de desempeño definidos y actualizados. Los proyectos de TI tienen procedimientos formales de post-implementación al sistema. Se provee entrenamiento informal de administración de proyectos. Se han definido procedimientos de aseguramiento de calidad y actividades posteriores a la implementación del sistema, pero éstas no son aplicadas ampliamente por los administradores de TI. Se están definiendo políticas para usar un balance de recursos internos y externos.

• Mayor número de proyectos entregados en conformidad con una metodología definida • Porcentaje de participación de interesados en los proyectos (índice de participación) • Número de días de entrenamiento de administración de proyectos por miembro de equipo de proyecto • Número de revisiones de hitos del proyecto y de presupuesto • Porcentaje de proyectos con revisiones posteriores al proyecto • Número promedio de años de experiencia de los administradores de proyectos




4 Administrado y Medible La administración requiere que la métrica formal y estandarizada de proyectos y las “lecciones aprendidas” sean revisadas a continuación de la terminación de un proyecto. La administración de proyectos se mide y se evalúa en toda la organización y no sólo dentro de TI. Las ampliaciones al proceso de administración de proyectos son formalizadas y comunicadas, y los miembros del equipo de proyectos son entrenados sobre todas las ampliaciones. La administración de riesgos se realiza como parte del proceso de administración de proyectos. Los interesados participan activamente en los proyectos y los dirigen. Los hitos del proyecto, así como también los criterios para evaluar el éxito en cada hito, han sido establecidos. El valor y el riesgo se miden y se administran antes, durante y después de la terminación de los proyectos. La administración ha establecido una función de administración de programas dentro de TI. Los proyectos están definidos, equipados con personal y administrados para resolver cada vez más las metas de la organización y no sólo las específicas de TI.

5 Optimizado Está implementada y ejecutada una metodología probada de proyectos de ciclo de

vida completo, y la misma está integrada en la cultura de toda la organización. Se ha implementado un programa en progreso para identificar e institucionalizar las mejores prácticas. Hay apoyo firme y activo de proyecto por los patrocinadores de gerencia general así como también por los interesados. La administración de TI ha implementado una estructura de organización de proyectos con funciones documentadas, responsabilidades y criterios de desempeño del personal. Está definida una estrategia a largo plazo de recursos de TI para apoyar el desarrollo y las decisiones operativas de outsourcing. Una oficina integrada de administración de programas es responsable de los proyectos desde el inicio hasta después de la implementación. La oficina de administración de programas está bajo la administración de las unidades de negocios y hace las requisiciones y dirige los recursos de TI para completar los proyectos. La planeación a nivel de toda la organización asegura que el usuario y los recursos de TI estén mejor utilizados para apoyar las iniciativas estratégicas.



PO11 Planeación y Organización Administrar Calidad Control sobre el proceso de TI Administrar Calidad con el objetivo del negocio de satisfacer los requerimientos de clientes de TI


Es posibilitado por la planeación, implementación y mantenimiento de normas y sistemas de administración de calidad proveyendo fases distintas de desarrollo, productos claros y responsabilidades explícitas


• Se ha creado un proceso de desarrollo claramente definido y acordado para ejecutar el aseguramiento de calidad

• La calidad está definida por la organización con funciones claras para los procesos de aseguramiento de calidad y procedimientos de control de calidad

• Se ha implementado un programa de aseguramiento de calidad con normas de calidad medibles bien definidas, y se han definido, provisto de recursos y alineado procesos de control de calidad

• Hay un mejoramiento constante y una base definida de conocimientos para procesos y para la métrica • Hay un programa de educación y entrenamiento de calidad • Los interesados están involucrados en el programa de aseguramiento de calidad • Una cultura positiva de calidad es promovida de manera consistente por todos los estratos de la organización • Existe conciencia de que las normas de calidad debe aplicarse por igual a los procesos y proyectos donde la

confianza es depositada en terceros • Todo proceso de entrega necesita tener criterios adecuados de aseguramiento de calidad • Se hace énfasis en el entrenamiento del personal de TI y de los usuarios finales para probar los métodos y

las técnicas


P Efectividad P Eficiencia Confidencialidad P Integridad Disponibilidad Cumplimiento S Confiabilidad


datos





P11 Modelo de Madurez Control sobre el proceso de TI Administrar la Calidad con el objetivo del negocio de satisfacer los requerimientos de TI del cliente. 0 Inexistente La organización carece de un proceso de planeación de aseguramiento de calidad y de

una metodología de ciclo de vida de desarrollo de sistemas. La gerencia general y el personal de TI no reconocen que es necesario un programa de calidad. Los proyectos y operaciones no se revisan nunca por calidad.

1 Inicial /Ad Hoc Hay una conciencia de la administración de la necesidad de aseguramiento de

calidad. La experiencia individual impulsa la aseguramiento de calidad, cuando ésta ocurre. Las actividades de aseguramiento de calidad cuando ocurren están enfocadas al proyecto de TI y a las iniciativas orientadas al proceso, no a procesos a nivel de toda la organización. Los proyectos y operaciones de TI no son medidos generalmente por calidad, sino que la administración da opiniones informales sobre la calidad.

2 Repetible pero Intuitivo Se ha definido la métrica básica de calidad y podría repetirse de un

proyecto a otro dentro de la organización de TI. Se está estableciendo un programa para administrar actividades de aseguramiento de calidad dentro de TI. Están establecidas prácticas de planeación y monitoreo de administración de TI sobre las actividades de aseguramiento de calidad, pero no se ejecutan ampliamente. Están surgiendo herramientas y prácticas comunes para la administración de la calidad. Las encuestas de satisfacción de calidad de realizan ocasionalmente.

• Número de procesos y proyectos de TI que satisfacen los requerimientos de los interesados • Mayor clasificación para la satisfacción del cliente con los servicios prestados • Número de procesos de TI y de proyectos terminados formalmente por aseguramiento de calidad sin

repetición significativa del trabajo • Menor número de defectos de calidad • Menor número de reportes de incumplimiento contra normas de calidad


• Número de procesos y proyectos de TI con participación activa de administración de aseguramiento de calidad

• Número de actividades documentadas de monitoreo y prueba de aseguramiento de calidad • Número de revisiones del aseguramiento de calidad por colegas • Número de proceso y proyectos de TI a los cuales se les a efectuado Benchmark • Número de reuniones entre los interesados y los desarrolladores • Número promedio de días de entrenamiento en administración de la calidad • Número de proyectos con criterios documentados y medidos de calidad




3 Proceso Definido La administración de TI está construyendo una base de conocimientos para medición de la calidad. Hay un proceso definido de aseguramiento de calidad que ha sido comunicado por la administración y que involucra tanto a TI como a la administración de usuarios finales. Se ha instituido un programa de educación y entrenamiento para enseñar calidad a todos los niveles de la organización. La conciencia de la calidad es alta en toda la organización. Se están estandarizando herramientas y prácticas y ocasionalmente se aplica un análisis de las causas de fondo. Está establecido y bien estructurado un programa estandarizado para medir la calidad. Las encuestas de satisfacción de calidad se realizan de manera consistente.

4 Administrado y Medible La organización mide de manera constante y consistente la calidad de los

procesos, servicios, productos y proyectos. El aseguramiento de calidad es atendido en todos los procesos, incluyendo los procesos con confianza depositada en terceros. Se está estableciendo una base estandarizada de conocimientos para la medición de la calidad. Las encuestas sobre la satisfacción de calidad es un proceso constante y conduce al análisis de las causas de fondo. Se usan los métodos de costo-beneficio para justificar las iniciativas de aseguramiento de calidad. Las responsabilidades y obligación de reportar están siendo cada vez más definidas para los procesos de negocio a nivel de toda la organización y no sólo para los procesos de TI. Cada vez se hace más Benchmarking contra la industria y las estándares de los competidores.

5 Optimizado La conciencia de la calidad es muy elevada dentro de toda la organización. El

aseguramiento de calidad está integrado y se ejecuta en todas las actividades de TI. Los procesos de aseguramiento de calidad son flexibles y adaptables a los cambios en el entorno de TI. Todos los problemas de calidad son analizados en busca de las causas que los originaron. Las encuestas de satisfacción de calidad son una parte esencial de un proceso constante de mejoramiento. La base de conocimientos es complementada con las mejores prácticas externas. Se realiza se manera rutinaria Benchmarking contra los estándares externos. El aseguramiento de calidad de los procesos de TI está totalmente integrados con la aseguramiento sobre los procesos del negocio para asegurar que los productos y servicios de toda la organización tengan una ventaja competitiva.



ADQUISICIÓN E IMPLEMENTACIÓN



AI1 Adquisición e Implementación Identificar Soluciones Automatizadas El Control sobre el proceso de TI de Identificar Soluciones Automatizadas con el objetivo del negocio de asegurar un enfoque efectivo y eficiente para satisfacer los requerimientos del usuario


Es posibilitado por una identificación y análisis objetivos y claros de las oportunidades alternativas medidas en contraposición con los requerimientos del usuario

Considera los Factores Críticos de Éxito que respaldan Recursos de TI específicos y se mide por medio de los Indicadores Clave de Desempeño.



datos



• Hay buen conocimiento de las soluciones disponibles en el mercado • Están definidas las prácticas para resolver no sólo la corrección del diseño y la solidez de la funcionalidad, sino

también: la operabilidad, incluyendo el desempeño, la escalabilidad, y la integración; la aceptabilidad, que abarca la administración, el mantenimiento y el soporte; y la sostenibilidad, respecto al costo, a la productividad y a la apariencia

• Están definidos criterios para considerar el desarrollo interno, soluciones compradas y opciones de outsourcing • Hay un método general de adquisición e implementación o una metodología de ciclo de vida de desarrollo del

sistema que está claro, entendido y aceptado • Hay un proceso transparente, rápido y eficiente para planear, iniciar y aprobar soluciones • Los usuarios claves están identificados para dar apoyo al análisis y recomendación de soluciones • Las soluciones están construidas a partir de componentes predefinidos • Está implementado un proceso estructurado de análisis de requerimientos • Hay una definición clara de las responsabilidades del proveedor • Usan tecnología probada como elemento principal y tecnología nueva donde se necesita, justificada por un caso

de negocio • Hay conciencia del costo total de propiedad de la solución • Los requerimientos de seguridad y control son considerados previamente




• Número o porcentaje de proyectos reiniciados o redirigidos • Número o acumulación de soluciones no aplicadas • Número o porcentaje de soluciones aprobadas por el funcionario jefe de tecnología o por el arquitecto que está

en línea con la estrategia de TI y la arquitectura de TI • Número o porcentaje de soluciones aprobadas por el usuario a medida que satisfacen totalmente los

requerimientos del usuario • Número o porcentaje de soluciones que consideran plenamente las alternativas, la factibilidad y el riesgo • Porcentaje de soluciones implementadas formalmente aprobadas por los propietarios de negocios y por TI


• Tiempo transcurrido entre la definición de requerimientos y la identificación de una solución • Número o porcentaje de soluciones devueltas de la prueba de aceptación • Tiempo transcurrido antes de la aprobación de la solución identificada • Número de proyectos que involucran a los usuarios en la definición de requerimientos y en la selección de

soluciones • Número de soluciones afectadas posteriormente por solicitudes de cambios significativos debido a cambios

funcionales




AI1 Modelo de Madurez El control sobre el proceso de TI Identificar Soluciones Automatizadas de TI con el objetivo del negocio de asegurar el mejor método para satisfacer el requerimiento de usuario 0 Inexistente. La organización no requiere la identificación de requerimientos funcionales y

operativos para el desarrollo, implementación o modificación de soluciones, como por ejemplo soluciones de sistema, de servicio, de infraestructura, de software y de datos. La organización no mantiene una conciencia sobre las soluciones tecnológicas disponibles que son potencialmente relevantes para su negocio.

1 Inicial /Ad hoc Hay una conciencia de la necesidad de definir requerimientos y de identificar

soluciones tecnológicas. Sin embargo, los métodos son inconsistentes y no están basados en una metodología específica de adquisición e implementación. Los grupos individuales tienden a reunirse para discutir necesidades de manera informal y los requerimientos por lo general no están documentados. Las soluciones son identificadas por personas basadas en una conciencia limitada del mercado, o en respuesta a ofertas de vendedores. Hay poco o ningún análisis estructurado o investigación de la tecnología disponible.

2 Repetible pero Intuitiva No hay una metodología de adquisición e implementación definida

formalmente, pero los requerimientos tienden a ser definidos en una forma similar en todo el negocio debido a prácticas comunes dentro de TI. Las soluciones son identificadas de manera informal sobre la base de la experiencia interna y de los conocimientos de la función de TI. El éxito de cada proyecto depende de la experiencia de unas pocas personas claves de TI y la calidad de la documentación y de la toma de decisiones varía considerablemente.

3 Proceso Definido La organización ha establecido una metodología de adquisición e

implementación, que requiere un método claro y estructurado para determinar soluciones de TI para satisfacer requerimientos del negocio. El método requiere la consideración de alternativas evaluadas contra los requerimientos del usuario, las oportunidades tecnológicas, la factibilidad económica, los análisis de riesgos y otros factores. El proceso no es, sin embargo, siempre seguido para cada proyecto y depende de decisiones hechas por el personal individual involucrado, la cantidad de tiempo de administración dedicado y el tamaño y la prioridad del requerimiento original del negocio. Típicamente, el proceso es omitido o considerado no práctico.

4 Administrado y Medible La organización ha establecido una metodología de adquisición e

implementación, que ha evolucionado hasta el punto en que es inusual que no sea aplicada. La documentación es de buena calidad y cada etapa es debidamente aprobada. Los requerimientos son bien articulados y están en conformidad con estructuras predefinidas. La metodología obliga a considerar apropiadamente las soluciones alternativas y del análisis de costos y beneficios que permite que se hagan elecciones informadas. La metodología es clara, definida, generalmente comprendida y medible. Por lo tanto, las excepciones pueden ser determinadas y corregidas fácilmente por la administración. Las soluciones responden eficientemente a los requerimientos de los usuarios y hay conciencia de que las soluciones consideradas con perspectiva al futuro pueden mejorar los procesos del negocio y la solución competitiva.



5 Optimizado La metodología de adquisición e implementación de la organización ha estado sujeta a constante mejoramiento y se ha mantenido a la par de los cambios en la tecnología. Tiene flexibilidad, lo que le permite manejar la gama de proyectos desde aplicaciones de gran escala en toda la organización hasta proyectos específicos tácticos. La metodología es soportada por bases de datos de conocimientos internos y externos que contienen materiales de referencia sobre soluciones de tecnología. La metodología misma produce documentación producida por el computador en una estructura predefinida que hace muy eficientes la producción y el mantenimiento. La organización puede a menudo identificar nuevas oportunidades para utilizar la tecnología para ganar ventaja competitiva, influir en el proceso de reingeniería del negocio y mejorar la eficiencia general.



AI2 Adquisición e Implementación Adquirir y Mantener Software de Aplicación El Control sobre el proceso de TI de Adquirir y Mantener Software de Aplicación con el objetivo del negocio de proveer funciones automatizadas que soporten efectivamente el proceso del negocio


Es posibilitado por la definición de declaraciones específicas de requerimientos funcionales y operativos, y una implementación por fase con productos claros


• La metodología de adquisición e implementación es fuertemente soportada por la alta gerencia • Las prácticas de administración son claras, comprendidas y aceptadas • Hay una metodología formal, aceptada, entendida y ejecutada de adquisición e implementación • Se cuenta con un conjunto apropiado de herramientas automatizadas de soporte, que ahorran tiempo en la

selección de software concentrándose en lo mejor de su especie • Hay separación entre las actividades de desarrollo y de prueba • Los requerimientos clave son priorizados en vista de posibles reducciones de su alcance, si no se puede transar

en el tiempo, la calidad o el costo • El método emprendido y el esfuerzo dedicado están relacionados con la relevancia de la aplicación para el

negocio • Se acuerda el grado y la forma de la documentación requerida y el acuerdo se mantiene durante la

implementación • Se monitorea el cumplimiento de la arquitectura corporativa de TI, incluyendo un proceso formal para aprobar

desviaciones


P Efectividad P Eficiencia Confidencialidad S Integridad Disponibilidad S Cumplimiento S Confiabilidad

gente aplicaciones






• Proporción del costo real de mantenimiento por aplicación en comparación con el promedio del portafolio de aplicaciones

• Tiempo promedio para entregar funcionalidad, sobre la base de medidas tales como puntos o módulos de función

• Número de solicitudes de cambio relacionados con”software maligno”, errores críticos y nuevas especificaciones funcionales

• Número de problemas de producción o mal funcionamiento por aplicación y por cambios generados por el mantenimiento

• Número de desviaciones de los procedimientos estándar, tales como aplicaciones no documentadas, diseño no aprobado y prueba reducida para cumplir con las fechas tope

• Número de módulos devueltos o nivel de reprocesamiento requerido después de la prueba de aceptación • Demora para analizar y resolver problemas • Número o porcentaje de software de aplicación documentado de manera efectiva después de mantenimiento


• Número de aplicaciones entregadas a tiempo, cumpliendo con las especificaciones y en línea con la arquitectura de TI

• Número de aplicaciones sin problemas de integración durante la implementación • Costo de mantenimiento por aplicación por debajo del nivel fijado • Número de problemas de producción, por aplicación, que causa visible reducción de tiempo o degradación del

servicio • Número de soluciones no consistentes con la estrategia aprobada y vigente de TI • Proporción (ratio) reducida de mantenimientos relacionados con nuevos desarrollos




AI2 Modelo de Madurez El control sobre el proceso de TI Adquirir y Mantener Software de Aplicación de TI con el objetivo del negocio de proveer funciones automatizadas que soporten efectivamente el proceso de negocio 0 Inexistente. No hay un proceso para diseñar y especificar aplicaciones. Típicamente, las

aplicaciones se obtienen sobre la base de ofertas impulsadas por vendedores, reconocimiento de marcas o familiaridad del personal de TI con productos específicos, con poca o ninguna consideración de los requerimientos reales.

1 Inicial /Ad hoc Hay una conciencia de que se requiere un proceso para adquirir y mantener

aplicaciones Los métodos, sin embargo, varían de un proyecto a otro sin consistencia alguna y típicamente en aislamiento de los demás proyectos. Es probable que la organización haya adquirido una variedad de soluciones individuales y que ahora esté padeciendo de problemas e ineficiencias de productos de software existente en la organización, incluyendo el mantenimiento y el soporte. Los usuarios del negocio no pueden sacar mucho provecho de las inversiones de TI.

2 Repetible pero Intuitiva Hay procesos similares para adquirir y mantener aplicaciones, pero éstos

están basados en la experiencia dentro de la función de TI, no en un proceso documentado. La tasa de éxito con las aplicaciones depende en gran medida de las habilidades internas y de los niveles de experiencia dentro de TI. El mantenimiento es usualmente problemático y sufre cuando se han perdido conocimientos internos de la organización.

3 Proceso Definido Hay procesos documentados de adquisición e implementación. Se hace un

intento de aplicar consistentemente procesos documentados en todas las diferentes aplicaciones y proyectos, pero no siempre se les encuentra prácticos de implementar o que reflejen las soluciones tecnológicas actuales. Son generalmente inflexibles y difíciles de aplicar en todos los casos, de modo que las medidas son frecuentemente desviadas. En consecuencia, las aplicaciones se adquieren a menudo en forma fragmentada. El mantenimiento sigue un método definido, pero frecuentemente absorbe demasiado tiempo y es ineficiente.

4 Administrado y Medido Hay una metodología formal, clara y bien entendida de adquisición e

implementación de sistemas y la política que incluye un diseño formal y un proceso de especificación, criterios para la adquisición de software de aplicación, un proceso para probar y requerimientos para la documentación, asegurando que todas las aplicaciones se adquieran y se mantengan en forma consistente. Existen mecanismos formales de aprobación para asegurar que se sigan todos los pasos y que se autoricen las excepciones. Los métodos han evolucionado de modo que estén bien adecuados a la organización y es probable que sean usados positivamente por todo el personal, y aplicables a la mayoría de los requerimientos de aplicación.

5 Optimizado Las prácticas de adquisición y mantenimiento de software de aplicación están acordes

con los procesos acordados. El método está basado en componentes, con aplicaciones predefinidas, estandarizadas adaptadas a las necesidades del negocio. Es usual que se tomen métodos a nivel de toda la organización. El proceso de adquisición y mantenimiento es bien avanzado, posibilita un despliegue rápido y permite una alta capacidad de respuesta, así como también flexibilidad, para responder a los requerimientos cambiantes del negocio. El proceso de adquisición e implementación de software de aplicación ha estado sujeto a constante mejoramiento y es respaldado por bases de datos de conocimientos internos y externos que contienen materiales de referencia y las mejores prácticas. La metodología crea documentación automatizada en una estructura predefinida que hace muy eficiente la producción y el mantenimiento.



AI3 Adquisición e Implementación Adquirir y Mantener Infraestructura de Tecnología El Control sobre el proceso de TI de Adquirir y Mantener Infraestructura de Tecnología con el objetivo del negocio de proveer las plataformas apropiadas para soportar las aplicaciones del negocio Asegura la entrega de información al negocio que satisface los Criterios de Información requeridos y se mide por los Indicadores Clave de Objetivo Es posibilitado por la adquisición juiciosa de hardware, estandarización sobre el software, evaluación del desempeño del hardware y del software, y administración consistente del sistema Considera los Factores Críticos de Éxito que respaldan Recursos de TI específicos y se mide por medio de los Indicadores Clave de Desempeño.

• La metodología de adquisición e implementación es fuertemente soportada por la alta gerencia • Las prácticas de adquisición son claras, comprendidas y aceptadas • Hay una fácil integración en todas las distintas plataformas de tecnología • Estrategia bien articulada del negocio y los requisitos de arquitectura relacionados están definidos y son

apoyados por la alta gerencia • Se cuenta con un inventario actualizado de infraestructura de hardware y de software • Las relaciones con los vendedores están bien desarrolladas • Existe capacidad para establecer de manera adecuada el costo de superposición entre las diferentes plataformas

tecnológicas • Están definidas las políticas para promover elecciones bien consideradas entre el desarrollo interno, las

infraestructuras externas de respaldo y el outsourcing • El proceso de selección está enfocado en usar componentes reutilizables • Están definidas políticas para administrar las dependencias de proveedores de una sola fuente • Hay coordinación con los procesos y sistemas de administración de cambios • Se usa una metodología bien definida de ciclo de vida para seleccionar, adquirir, mantener y eliminar tecnología

de infraestructura • La adquisición considera debidamente los requerimientos de desempeño y capacidad integrándose con procesos

de administración de capacidad y desempeño • Se cuenta con un conjunto apropiado de herramientas automatizadas de soporte, ahorrando tiempo en la

selección concentrándose en lo mejor de su tipo.


P Efectividad P Eficiencia Confidencialidad S Integridad Disponibilidad Cumplimiento Confiabilidad

gente aplicaciones






• Disminución del número de plataformas que divergen de la infraestructura tecnológica acordada • Número de demoras en la implementación de sistemas debido a una infraestructura inadecuada • Proporción reducida de esfuerzos de mantenimiento relativos a nuevo desarrollo • Reducción de tiempo de mercado de sistemas debido a una infraestructura predefinida y flexible • Tiempo improductivo reducido de la infraestructura • Disminución del número de sistemas con problemas serios de interoperabilidad • Número de problemas de desempeño de aplicaciones relacionados con inadecuaciones en la infraestructura tecnológica


• Disminución del número de plataformas diferentes • Edad de las plataformas • Número de funciones y recursos compartidos • Número y frecuencia de cambios • Número de interrupciones debidas a una falta de mantenimiento preventivo • Número de interrupciones debidas a cambios del software de sistema • Costos basados en el esfuerzo y en el tiempo transcurrido, para una modificación importante del software de sistema o de la infraestructura




AI1 Modelo de Madurez El control sobre el proceso de TI Adquirir y Mantener Infraestructura de Tecnología de TI con el objetivo del negocio de proveer las plataformas apropiadas para soportar las aplicaciones del negocio 0 Inexistente. La arquitectura de la tecnología no es reconocida como un tópico suficientemente

importante que debe ser tratado. 1 Inicial /Ad hoc Se hacen cambios a la infraestructura para cada nueva aplicación sin un plan

general. A pesar de que hay conciencia de que la infraestructura de TI es importante, no hay un método general consistente.

2 Repetible pero Intuitiva Hay consistencia entre los métodos tácticos, cuando se adquiere y se

mantiene la infraestructura de TI; sin embargo, no se basa en una estrategia definida y no considera las necesidades de las aplicaciones del negocio que debe ser soportado.

3 Proceso Definido Surge un proceso claro, definido y generalmente entendido para administrar la

infraestructura de TI. Soporta las necesidades de aplicación críticas del negocio y está alineado con la estrategia de TI y del negocio. Sin embargo, no es posible determinar si el proceso se aplica de manera consistente y por lo tanto es improbable que la infraestructura soporte plenamente las necesidades de las aplicaciones del negocio. El outsourcing de la totalidad o de parte de la infraestructura de TI ocurre generalmente como reacción a problemas o a oportunidades específicas.

4 Administrado y Medible El proceso de adquisición y mantenimiento para la infraestructura de la

tecnología se ha desarrollado hasta el punto que funciona bien para la mayoría de las situaciones, es seguido de manera consistente dentro de TI y se basa en componentes y se concentra en la reutilización. Los intentos de hacer cambios a la infraestructura sin seguir los procesos definidos acordados serían detectados e impedidos. Es probable que la infraestructura de TI soporte de manera adecuada las aplicaciones del negocio. El proceso está bien organizado, pero es a menudo reactivo en vez de ser proactivo. El costo y el tiempo para alcanzar el nivel esperado de escalabilidad flexibilidad e integración no está optimizado. Efectuar un outsourcing de la totalidad o de una parte de la infraestructura de TI es parte del plan táctico.

5 Optimizado. El proceso de adquisición y mantenimiento para la infraestructura de la tecnología es

proactivo y está estrechamente alineado con las aplicaciones críticas del negocio y con la arquitectura de la tecnología. Se siguen las mejores prácticas respecto a soluciones de tecnología y la organización está al tanto de los últimos desarrollos de plataforma y herramientas de administración, incluyendo métodos en toda la organización y de la necesidad de aumentar los niveles de fiabilidad, disponibilidad y seguridad de la red. Los costos son reducidos racionalizando y estandarizando los componentes de la infraestructura y usando la automatización. La organización mantiene un alto nivel de conocimientos técnicos y puede identificar las mejores formas de mejorar proactivamente el desempeño, incluyendo la consideración de opciones de outsourcing. Puede monitorear y medir el desempeño de su infraestructura existente para la detección oportuna de los problemas. La infraestructura de TI es vista como el posibilitador clave para respaldar el uso de TI. Los riesgos de proveedor de una sola fuente son administrados activamente.



AI4 Adquisición e Implementación Desarrollar y Mantener Procedimientos El Control sobre el proceso de TI de Desarrollar y Mantener Procedimientos con el objetivo del negocio de asegurar el debido uso de las aplicaciones y de las soluciones tecnológicas establecidas


Es posibilitado por un enfoque estructurado del desarrollo de manuales de procedimiento de usuario y de operaciones, requerimientos de servicio y materiales de entrenamiento


• Existen acuerdos bien definidos a nivel de servicio, con claras vinculaciones con las normas de documentación • La infraestructura y la organización están diseñadas para promover y compartir documentación de usuario,

procedimientos técnicos y material de entrenamiento entre instructores, help desk y grupos de usuarios • El entrenamiento del usuario en el uso de los procedimientos está integrado con los planes de la organización y

de entrenamiento de TI • Los procesos de inventario del negocio, procedimientos del negocio y procedimientos de TI son mantenidos

usando herramientas automatizadas • El proceso de desarrollo asegura el uso de procedimientos operativos estándar y de una apariencia y percepción

estándar • Está definido y se monitorea un marco estándar para documentación y procedimientos • Se usa administración de conocimientos, técnicas de flujos de trabajo y herramientas automatizadas para

desarrollar, distribuir y mantener procedimientos.


P Efectividad P Eficiencia Confidencialidad S Integridad Disponibilidad S Cumplimiento S Confiabilidad


datos





• Número de aplicaciones donde los procedimientos de TI están integrados de manera impecable en los procesos del negocio

• El número de soluciones técnicas que no están documentadas de manera adecuada, incluyendo falta de manuales de usuario, manuales de operaciones y materiales de entrenamiento

• Medición compuesta del nivel de satisfacción con material de entrenamiento, documentación de usuario y operacional

• Costo reducido de producir y mantener documentación de usuario, procedimientos operacionales y materiales de entrenamiento

• Niveles de suficiencia de los usuarios del sistema basados en el porcentaje de disponibilidad usada.


• Nivel de asistencia de los usuarios y de los operadores a los entrenamientos para cada aplicación • Exactitud de solicitudes de cambio e integridad de la documentación de usuario, procedimientos de TI y

materiales de entrenamiento • Demora entre cambios y actualizaciones de entrenamiento, procedimientos y materiales de documentación • Índice de encuestas de satisfacción con respecto al material de entrenamiento, procedimientos de usuario y

procedimientos de operaciones • Reducción en el número de llamadas de entrenamiento manejadas por el Help Desk • Número de incidentes causados por documentación deficiente • Número de aplicaciones con entrenamiento adecuado proporcionado a los usuarios




AI4 Modelo de Madurez El control sobre el proceso de TI Desarrollar y Mantener Procedimientos de TI con el objetivo del negocio de asegurar el debido uso de las aplicaciones y de las soluciones de tecnología establecidas 0 Inexistente. No hay ningún proceso establecido respecto a la producción de documentación de

usuario, manuales de operaciones y material de entrenamiento. Los únicos materiales que existen son los suministrados con los productos comprados.

1 Inicial /Ad hoc La organización está conciente de que se necesita un proceso que resuelva la

documentación. La documentación se produce ocasionalmente, pero está dispersa en la organización, es inconsistente y sólo está disponible para grupos limitados. Gran parte de la documentación y de los procedimientos son obsoletos, y prácticamente no hay integración de procedimientos en todos los diferentes sistemas y unidades de negocio. Los materiales de entrenamiento tienden a ser esquemas que se usan una sola vez con calidad variable, usualmente de naturaleza genérica y a menudo suministrados por terceros, sin ser adaptados a la organización.

2 Repetible pero Intuitiva Se emprenden enfoques similares respecto a producir procedimientos y

documentación, pero los mismos no están basados en un enfoque o marco estructurado. Los procedimientos de usuario y operativos están documentados, pero no hay un enfoque uniforme y, por lo tanto, su exactitud y disponibilidad se basan en gran medida en las personas, y no en un proceso formal. Se cuenta con material de entrenamiento, pero éste también tiende a ser producido individualmente y su calidad depende de las personas involucradas. Los procedimientos reales y la calidad del soporte de usuario pueden por lo tanto variar de pobre a muy bueno, con muy poca consistencia e integración en toda la organización.

3 Proceso Definido Hay un marco claramente definido, aceptado y entendido para la documentación

del usuario, los manuales de operaciones y los materiales de entrenamiento. Los procedimientos son almacenados y mantenidos en una biblioteca formal y pueden ser accesados por cualquiera que necesite conocerlos. Se hacen correcciones de manera reactiva. Se cuenta con procedimientos fuera de línea y éstos pueden ser accesados y mantenidos en caso de desastre. Existe un proceso que especifica actualizaciones de procedimiento y materiales de entrenamiento son un producto explícito de un proyecto de cambio. A pesar de la existencia de enfoques definidos, el contenido real varía porque no hay control para hacer cumplir las normas. Los usuarios están formalmente involucrados en el proceso Se usan cada vez más herramientas automatizadas en la generación y distribución de procedimientos.

4 Administrado y Medible El cumplimiento consistente ha mejorado el marco definido para

mantener los procedimientos y los materiales de entrenamiento. El enfoque asumido abarca todos los sistemas y unidades de negocio, de modo que los procesos pueden ser vistos desde una perspectiva de negocio y están integrados para incluir interdependencias e interfaces. Existen controles para asegurar que los estándares se cumplan y que los procedimientos se desarrollen y se mantengan para todos los procesos. Se recoge retroalimentación de usuario y se emprenden acciones correctivas cuando los puntajes de retroalimentación son inaceptables. De ahí que, la documentación y los materiales de entrenamiento estén por lo general a un buen nivel predecible de fiabilidad y disponibilidad. Está implementado un proceso formal para usar documentación y administración de procedimientos automatizados. El desarrollo de procedimientos automatizados está cada vez más integrado con el desarrollo de sistemas de aplicación, facilitando la consistencia y el acceso a los usuarios.



5 Optimizado El Proceso para la documentación de usuarios y operativa es mejorado constantemente a través de la adopción de nuevas herramientas o métodos. Los materiales de procedimiento son tratados como una base de conocimientos que evoluciona constantemente que es mantenida electrónicamente usando administración de conocimientos actualizados, flujo de trabajo y tecnologías de distribución, haciéndolo accesible y fácil de mantener. El material está actualizado para reflejar cambios organizacionales, operativos y de software y está totalmente integrado en la definición de procesos de negocio, soportando así los requerimientos a nivel de toda la organización, en lugar de sólo los procedimientos orientados a TI.



AI5 Adquisición e Implementación Instalar y Acreditar Sistemas El Control sobre el proceso de TI de Instalar y Acreditar Sistemas con el objetivo del negocio de verificar y confirmar que la solución es adecuada para el propósito que se pretende


Es posibilitado por la realización de una instalación, migración, conversión y plan de aceptación bien formalizados


• La metodología de adquisición e implementación es establecida y aplicada consistentemente • Se cuenta con recursos para soportar un ambiente separado de prueba y se permite tiempo suficiente para el

proceso de prueba • Se garantiza el compromiso y la participación de los interesados en la prueba, entrenamiento y procesos de

transición • Se cuenta con datos de pruebas representativos de datos reales en calidad y cantidad, y el ambiente de prueba

refleja el ambiente real tan aproximadamente como es posible • Está implementado un mecanismo de retroalimentación para optimizar y mejorar el proceso constantemente • Se realizan pruebas de estrés para los nuevos sistemas antes de que los mismos sean implementados y se realiza

una prueba de regresión para los sistemas existentes cuando se implementan cambios • Se definen y se cumplen constantemente procedimientos para certificar y acreditar formalmente sistemas con

base en la seguridad • Hay un claro entendimiento y verificación de los requerimientos operativos


P Efectividad Eficiencia Confidencialidad S Integridad S Disponibilidad Cumplimiento Confiabilidad

gente aplicaciones tecnología

instalaciones datos





• Reducción del númerode hitos perdidos de instalación y acreditación • Tiempo para concluir el proceso de instalación y acreditación desde el principio al fin del proceso de

certificación y acreditación de la seguridad • Reducción del número de sistemas operativos no acreditados, en la instancia en que el proceso no ocurrió • Número de cambios a sistemas instalados que se necesitan para optimizar las operaciones • Número de cambios requeridos a continuación de una prueba de aceptación del sistema • Número de hallazgos durante las auditorías internas o externas relativos al proceso de instalación y

acreditación • Número de cambios requeridos para corregir problemas después que las soluciones son puestas en producción


• Grado de participación de interesados en el proceso de instalación y acreditación • Número de procesos automatizados de instalación y acreditación • Frecuencia de reporte de lecciones aprendidas • Satisfacción de usuario reportada con el proceso de instalación y acreditación (lecciones aprendidas) • Número de hallazgos durante la revisión del aseguramiento de calidad de las funciones de instalación y

acreditación • Capacidad de reutilización de la plataforma de prueba




AI5 Modelo de Madurez El control sobre el proceso de TI Instalar y Acreditar Sistemas de TI con el objetivo del negocio de verificar y confirmar que la solución es adecuada para el propósito que se pretende 0 Inexistente. Hay una total falta de procesos formales de instalación o acreditación y la alta

gerencia o el personal de TI no reconoce la necesidad de verificar que las soluciones estén adecuadas para el propósito que se pretende.

1 Inicial /Ad hoc Hay conciencia de la necesidad de verificar y confirmar que las soluciones

implementadas sirven para el propósito que se pretende. La prueba se realiza para algunos proyectos, pero la iniciativa para probar es dejada a los equipos individuales de proyecto y los enfoques emprendidos varían. La acreditación formal y la conclusión es rara o no existe en absoluto.

2 Repetible pero Intuitiva Hay alguna consistencia entre la prueba y los enfoques de acreditación,

pero la misma no se basa en ninguna metodología. Los equipos de desarrollo individual normalmente deciden el método de prueba y hay por lo general una ausencia de prueba de integración. Hay un proceso informal de aprobación, no necesariamente basado en criterios estandarizados. La acreditación y conclusión formal se aplica de manera consistente.

3 Proceso Definido Está establecida una metodología formal relativa a instalación, migración, conversión

y aceptación. Sin embargo, la administración no tiene la capacidad de determinar el cumplimiento. Los procesos de instalación y acreditación de TI están integrados en el ciclo de vida el sistema y están automatizados en cierta medida. El entrenamiento, prueba y transición al estado de producción y a la acreditación es probable que varíen del proceso definido, sobre la base de las decisiones individuales. La calidad de los sistemas que entran en producción es inconsistente, con nuevos sistemas que a menudo generan un nivel significativos de problemas posteriores a la implementación.

4 Administrado y Medido Los procedimientos son formalizados y desarrollados para que estén bien

organizados y para que sean prácticos con entornos de prueba definidos y con los procedimientos de acreditación. En la práctica, todos los grandes cambios a los sistemas siguen este método formalizado. La evaluación de la satisfacción de los requerimientos de usuario está estandarizada y se puede medir, produciendo métricas que pueden ser revisadas y analizadas efectivamente por la administración. La calidad de los sistemas que entran a la producción es satisfactoria para la administración, con niveles razonables de problemas posteriores a la implementación. La automatización del proceso es ad hoc y depende del proyecto. Ni las evaluaciones posteriores a la implementación ni las constantes revisiones de calidad se emplean de manera consistente, a pesar de que la administración puede estar satisfecha con el nivel actual de eficiencia. El sistema de pruebas refleja adecuadamente el entorno real. La prueba de estrés para los sistemas nuevos y la prueba de regresión para los sistemas existentes se aplica para los proyectos mayores.

5 Optimizado Los procesos de instalación y acreditación han sido refinados hasta un nivel de

mejores prácticas, basados en los resultados de constante mejoramiento y refinamiento. Los procesos de TI de instalación y acreditación están totalmente integrados en el ciclo de vida del sistema y automatizados cuando es conveniente, facilitando el más eficiente entrenamiento, prueba y transición al estatus de producción de nuevos sistemas. Los entornos de prueba bien desarrollados, registros de problemas y procesos de resolución de fallas aseguran una transición eficiente y efectiva al entorno de producción. La acreditación tiene lugar por lo general con reprocesamiento limitado y los problemas posteriores a la implementación están por lo general limitados a correcciones menores.



Las revisiones posteriores a la implementación están también estandarizadas, con lecciones aprendidas canalizadas de regreso en el proceso para asegurar un constante mejoramiento de calidad. La prueba de estrés para los sistemas nuevos y la prueba de regresión para los sistemas modificados se aplican consistentemente.



AI6 Adquisición e Implementación Administrar Cambios El Control sobre el proceso de TI de Administrar Cambios con el objetivo del negocio de minimizar la probabilidad de interrupción, alteraciones no autorizadas y errores


Es posibilitado por un sistema de administración que provee para el análisis, la implementación y el seguimiento de todos los cambios solicitados y hechos a la infraestructura existente de TI


P Efectividad P Eficiencia Confidencialidad P Integridad P Disponibilidad Cumplimiento S Confiabilidad


Instalaciones datos



• Las políticas de cambio son claras y conocidas y son implementadas rigurosa y sistemáticamente • La administración de cambios está fuertemente integrada con administración de liberación o puesta en

producción y forma parte integral de la administración de configuraciones • Hay un proceso rápido y eficiente de planeación, aprobación e iniciación que abarca la identificación, la

categorización y la evaluación del impacto y la priorización de cambios • Se cuenta con herramientas automatizadas de proceso para soportar la definición del flujo de trabajo

(workflow) planes de trabajo pro forma, plantillas de aprobación, prueba, configuración y distribución • Se aplican procedimientos oportunos y claros de pruebas de aceptación antes de efectuar el cambio • Está establecido un sistema para rastrear y dar seguimiento a cambios individuales, así como también para

parámetros de proceso de cambio • Está definido un proceso formal para entregar desde desarrollo hasta operaciones • Los cambios toman en cuenta el impacto sobre los requerimientos de capacidad y desempeño • Se cuenta con documentación completa y actualizada de aplicación y configuración • Está establecido un proceso para administrar la coordinación entre los cambios, reconociendo

interdependencias • Está implementado un proceso independiente para verificar el éxito o fracaso del cambio • Hay segregación de tareas entre desarrollo y producción




• Reducción del número de errores introducidos en los sistemas debido a cambios • Reducción del número de interrupciones (pérdida de disponibilidad) causadas por cambio mal administrado • Impacto reducido de interrupciones causadas por el cambio • Reducción del nivel de recursos y de tiempo requerido como porcentaje del número de cambios • Número de correcciones de emergencia


• Número de versiones diferentes instaladas al mismo tiempo • Número de métodos de liberación y distribución de software por plataforma • Número de desviaciones de la configuración estándar • Número de correcciones de emergencia para las que no se aplicó retroactivamente el proceso normal de

administración de cambios • Demora entre la disponibilidad de la reparación y su implementación • Porcentaje entre solicitudes aceptadas y rechazadas de implementación de cambios




AI6 Modelo de Madurez El control sobre el proceso de TI Administrar Cambios de TI con el objetivo del negocio de minimizar la probabilidad de interrupción, alteraciones no autorizadas y errores 0 Inexistente. No hay un proceso definido de administración de cambios y se pueden hacer cambios

prácticamente sin control alguno. No hay conciencia de que los cambios pueden causar interrupciones tanto para TI como para las operaciones de negocios, y ninguna conciencia de los beneficios de una buena administración de cambios.

1 Inicial /Ad hoc Se reconoce que los cambios deben ser administrados y controlados, pero no hay

un proceso consistente para seguimiento. Las prácticas varían y es probable que ocurran cambios no autorizados. Hay documentación insuficiente o inexistente de cambios, y la documentación de configuración está incompleta y no es confiable. Es probable que ocurran errores junto con interrupciones en el entorno de producción causados por una administración deficiente del cambio.

2 Repetible pero Intuitiva Hay un proceso informal de administración de cambios y la mayoría de

los cambios siguen este método; sin embargo, el mismo no está estructurado, es rudimentario y está propenso a error. La precisión de la documentación de configuración es inconsistente y sólo tiene lugar una planeación y un estudio de impacto limitados antes de un cambio. Hay considerable ineficiencia y repetición de trabajo.

3 Proceso Definido Está establecido un proceso formal de administración de cambios, que incluye

procedimientos de categorización, priorización, emergencia, autorización y administración de cambios, pero no se impone su cumplimiento. El proceso definido no siempre es visto como adecuado o práctico y, en consecuencia, ocurren trabajos paralelos y los procesos son desviados. Es probable que ocurran errores y los cambios no autorizados ocurrirán ocasionalmente. El análisis de impacto a los cambios de TI sobre las operaciones del negocio se están volviendo formales para soportar la ejecución de los planes para nuevas aplicaciones y tecnologías.

4 Administrado y Medible El proceso de administración de cambios está bien desarrollado y es

seguido de manera consistente para todos los cambios, y la administración confía en que no hay excepciones. El proceso es eficiente y efectivo, pero se basa en considerables procedimientos y controles manuales para asegurar que se logre la calidad. Todos los cambios están sujetos a una planeación y estudio de impacto exhaustivos para minimizar la probabilidad de problemas posteriores a la producción. Está establecido un proceso de aprobación para los cambios. La documentación de administración de cambios está al día y es correcta, y los cambios son rastreados formalmente. La documentación de la configuración está generalmente actualizada. La planeación e implementación de la administración de cambios de TI se está volviendo más integrada con cambios en los procesos de negocios, para asegurar ese entrenamiento, se resuelven cambios organizativos y problemas de continuidad de negocio. Hay mayor coordinación entre la administración de cambios de TI y el rediseño del proceso de negocios.



5 Optimizado El proceso de administración de cambios es revisado y actualizado regularmente

para mantener en línea con las mejores prácticas. La información de configuración está automatizada y provee control de versiones. La distribución de software es automatizada y se cuenta con capacidades de monitoreo a distancia. La administración de configuración y liberación y rastreo de cambios es sofisticado e incluye herramientas para detectar software no autorizado y sin licencia. La administración de cambios de TI está integrada con la administración de cambios del negocio para asegurar que TI sea un posibilitador para aumentar la productividad y crear nuevas oportunidades de negocios para la organización.



ENTREGA Y SOPORTE (ENTREGA DE SERVICIOS Y SOPORTE)



DS1 Entrega y Soporte Definir y Administrar Niveles de Servicio El Control sobre el proceso de TI de Definir y Administrar Niveles de Servicio con el objetivo del negocio de establecer un entendimiento común del nivel de servicio requerido


Es posibilitado por el establecimiento de acuerdos de nivel de servicio que formalizan los criterios de desempeño contra los cuales se medirá la cantidad y la calidad del servicio que será medido


P Efectividad P Eficiencia S Confidencialidad S Integridad S Disponibilidad S Cumplimiento S Confiabilidad


instalaciones datos



• Los niveles de servicio están expresados en términos de negocio de usuario final, donde sea posible • El análisis del origen de la causa se realiza cuando ocurren violaciones de los niveles de servicio • Se cuenta con habilidades y herramientas para proveer información útil y oportuna del nivel de servicio • La confiabilidad de los procesos críticos de negocio en TI está definida y amparada por acuerdos de nivel de

servicio • Las obligaciones de rendir cuenta y las responsabilidades de la administración de TI están vinculadas con

niveles de servicio • La organización de TI puede identificar fuentes de variación de costos • Se proveen explicaciones detalladas y consistentes para variaciones de costo • Se cuenta con un sistema de rastreo y seguimiento de cambios individuales




• La conclusión por parte de unidades estratégicas de negocio de que los niveles de servicio están alineados con objetivos clave del negocio

• La satisfacción de cliente de que el nivel de servicio llena las expectativas • La proporción real entre el costo real y el presupuestado está en línea con los niveles de servicio • El porcentaje de todos los procesos críticos de negocio se basa en que TI está cubierta por acuerdos de nivel

de servicio • El porcentaje de los acuerdos de nivel de servicio revisado en el intervalo acordado o a continuación de un

cambio importante • Se provee información sobre el monitoreo de los niveles de servicio proporcionados por los niveles de

servicio de los socios de negocios • Porcentaje de servicios de TI que cumplen los acuerdos de nivel de servicio


• Demora de resolución de una solicitud de cambio de nivel de servicio • Frecuencia de encuestas sobre la satisfacción del cliente • Demora para resolver un problema de nivel de servicio • Número de veces que se completa un análisis del origen de las causas de procedimiento de nivel de servicio

y posterior resolución dentro del período de tiempo requerido • Importancia de la cantidad de financiamiento adicional que se necesita para entregar el nivel de servicio

definido




DS1 Modelo de Madurez El control sobre el proceso de TI Definir y Administrar Niveles de Servicio de TI con el objetivo del negocio de establecer un entendimiento común del nivel de servicio requerido 0 Inexistente. La administración no ha reconocido la necesidad de un proceso para definir niveles

de servicio. Las obligaciones de rendir cuenta y las responsabilidades no están asignadas. 1 Inicial /Ad hoc Hay conciencia de la necesidad de administrar niveles de servicio, pero el

proceso es informal y reactivo. La responsabilidad y obligación de rendir cuenta del desempeño de monitoreo está definida de manera informal. Las mediciones del desempeño son cualitativas, con metas definidas sin precisión. El reporte del desempeño es poco frecuente e inconsistente.

2 Repetible pero Intuitiva Hay acuerdos celebrados sobre el nivel de servicio, pero son informales

y no son revisados. El reporte de nivel de servicio es incompleto, irrelevante o engañoso y depende de las habilidades y de la iniciativa de los administradores individuales. Se nombra un coordinador de nivel de servicio con responsabilidades definidas, pero con autoridad insuficiente. El proceso de cumplimiento del acuerdo de nivel de servicio es voluntario y su cumplimiento no se exige.

3 Proceso Definido Las responsabilidades están bien definidas, pero con autoridad discrecional. El

proceso de desarrollo de los acuerdos de nivel de servicio está establecido con puntos de verificación para revaluar los niveles de servicio y la satisfacción del cliente. Los criterios de niveles de servicios están definidos y acordados con los usuarios, con un mayor nivel de estandarización. Las carencias de nivel de servicio están identificadas, pero la planeación de la resolución es aún informal. La relación entre la financiación brindada y los niveles de servicio esperados se está formalizando cada vez más. El nivel de servicio se basa cada vez más en el Benchmarks de la industria y no puede resolver las necesidades específicas de la organización.

4 Administrado y Medible Los niveles de servicios son cada vez más definidos en la fase de

definición de los requerimientos de sistema e incorporados en el diseño de los ambientes de aplicación y operación. La satisfacción del cliente se mide y se determina de manera rutinaria. Las medidas de desempeño están reflejando cada vez más las necesidades del usuario final, en lugar de reflejar únicamente las metas de TI. Los criterios de medición de los niveles de servicio de usuario se están volviendo estandarizados y reflejo de la norma de la industria. El análisis de causas originarias se realiza cuando no se cumple con los niveles de servicio. El sistema de reporte para monitorear los niveles de servicio se está volviendo cada vez más automatizado. Los riesgos operativos y financieros asociados con el incumplimiento de los acuerdos de niveles de servicio están definidos y son entendidos con claridad.

5 Optimizado Los niveles de servicio son reevaluados constantemente para asegurar que estén en

línea con los objetivos de TI y del negocio, mientras que se saca provecho de los adelantos tecnológicos y de las mejoras en la proporción precio / desempeño de producto. Todos los procesos de nivel de servicio están sujetos a procesos constantes de mejoramiento. Los criterios para definir niveles de servicio están definidos basándose en la criticidad del negocio e incluyen la disponibilidad, confiabilidad, desempeño, capacidad de crecimiento, soporte de usuario, planeación de la continuidad y consideraciones de seguridad. Los niveles de satisfacción del cliente son monitoreados y exigidos. Los niveles de servicio esperados son evaluados contra las normas de la industria, pero también reflejan las metas específicas estratégicas de las unidades de negocio. La administración de TI tiene los recursos y la responsabilidad que se necesitan para lograr las metas de desempeño de nivel de servicio y la compensación ejecutiva está estructurada



DS2 Entrega y Soporte Administrar Servicios de Terceros El Control sobre el proceso de TI de Administrar Servicios de Terceros con el objetivo del negocio de asegurar que los roles y responsabilidades de terceros estén claramente definidos, cumplidos y que continúen satisfaciendo los requerimientos


Es posibilitado por medidas de control dirigidas a la revisión y el monitoreo de acuerdos y procedimientos existentes para su efectividad y cumplimiento con la política de la organización




instalaciones datos



• Existen requerimientos de servicio y medidas de desempeño claramente definidos • La organización retiene responsabilidad y control, y administra los servicios externos de manera proactiva • El proveedor de servicio tiene un mecanismo establecido para reportar sobre las medidas de desempeño • Los terceros proveedores tienen establecido un programa de garantía de calidad • Todos los productos, incluyendo los requerimientos operativos y de desempeño están suficientemente

definidos y entendidos por todas las partes • Están implementados procedimientos efectivos de cambio para los requerimientos de servicios y las

medidas de desempeño • Los contratos están sujetos a una revisión legal y conclusión exitosas • Hay provisiones para un manejo y una administración adecuados, resolviendo problemas financieros,

operativos, legales y de control • La aplicación de contratos de nivel de servicio mutuamente acordados se basa en recompensas y

penalizaciones acordadas asociadas • Un administrador interno de contrato es el único punto de contacto con el tercero • Existe un proceso de Solicitud de Propuesta (RFP, siglas de los términos en inglés), que tiene criterios

preestablecidos y acordados de evaluación • Está establecido un proceso para clasificar problemas de servicio sobre la base de su importancia y las

respuestas requeridas.




• Porcentaje de proveedores de servicio con objetivos acordados formalmente • Porcentaje de acuerdos significativos para los cuales se emprenden revisiones de calificación de proveedor

de servicio • Porcentaje de proveedores de servicio que están formalmente calificados • Número de terceros contratistas con metas y productos esperados bien definidos • Satisfacción mutua con la relación en curso • Número de terceros contratistas que no satisfacen los objetivos o los niveles de servicio • Número y costos de problemas contractuales con terceros que fluyen a partir de acuerdos inadecuados o de

la falta de cumplimiento contra acuerdos adecuados


• Número y frecuencia de reuniones de revisión • Número de enmiendas de contrato • Frecuencia de reportes de nivel de servicio • Número de problemas pendientes • Demora para resolver los problemas • Porcentaje de contratos pendientes de revisión legal • Demora desde la última revisión de contrato frente a las condiciones del mercado • Número de contratos de servicio que no usan términos y condiciones estándar o excepciones aprobadas




DS2 Modelo de Madurez El control sobre el proceso de TI Administrar Servicios de Terceros de TI con el objetivo del negocio de asegurar que los roles y las responsabilidades de terceros estén claramente definidos, se cumplan y continúen satisfaciendo los requerimientos.

0 Inexistente. Las responsabilidades y obligaciones de rendir cuentas no están definidas. No hay políticas y procedimientos formales respecto a la contratación con terceros. Los servicios de tercero ni son aprobados ni revisados por la administración. No hay actividades de medición y los terceros no presentan reportes. En la ausencia de una obligación contractual de reportar, la alta gerencia no tiene conocimiento de la calidad del servicio entregado.

1 Inicial /Ad hoc La administración está conciente de la necesidad de tener políticas y

procedimientos documentados para la adquisición de servicios de terceros, incluyendo haber firmado contratos. No hay términos estándar del contrato. La medición del servicio prestado es informal y reactiva. Las prácticas dependen de la experiencia de la persona y de la efectividad comercial del proveedor.

2 Repetible pero Intuitiva El proceso para supervisar a terceros proveedores de servicio y la

entrega de servicios es informal. Un contrato pro forma firmado se usa con términos y condiciones estándar de vendedor y con la descripción de servicios que serán prestados. Se hacen las mediciones, pero éstas no son relevantes. Los reportes están disponibles, pero los mismos no soportan los objetivos del negocio.

3 Proceso Definido Están establecidos procedimientos bien documentados para regir la

adquisición por terceros, con procesos claros que aseguran la debida revisión y negociación con los vendedores. La relación con el tercero es puramente una relación contractual. La naturaleza de los servicios a ser prestados está detallada en el contrato e incluye requerimientos operativos, legales y de control. La responsabilidad de supervisar la entrega de servicio de tercero está asignada. Los términos contractuales se basan en plantillas estandarizadas. El riesgo del negocio asociado con el contrato es determinado y reportado.



5 Optimizado El contrato firmado conjuntamente es revisado periódicamente después que comienza el trabajo. La responsabilidad de la garantía de calidad de entrega de servicio y de soporte de vendedor es asignada. La evidencia de cumplimiento con disposiciones operativas, legales y de control del contrato es monitoreada y se impone la acción correctiva. El tercero está sujeto a revisión periódica independiente, con retroalimentación basada en la naturaleza de la revisión. Las medidas seleccionadas varían dinámicamente en respuesta a las condiciones cambiantes del negocio. Las medidas soportan la detección temprana de los problemas. El reporte comprensivo, definido, está vinculado con el proceso de compensación de terceros. El reporte provee una advertencia temprana de los problemas potenciales para facilitar la resolución a su debido tiempo.



DS3 Entrega y Soporte Administrar el Desempeño y la Capacidad El Control sobre el proceso de TI de Administrar el Desempeño y la Capacidad con el objetivo del negocio de asegurar que la capacidad adecuada esté disponible y que se haga el mejor y el óptimo uso de ésta para satisfacer las necesidades requeridas de desempeño


Es posibilitado por la recolección de datos, análisis y reporte sobre el desempeño de los recursos, el dimensionamiento de la aplicación y la demanda de carga de trabajo


P Efectividad P Eficiencia Confidencialidad Integridad S Disponibilidad Cumplimiento Confiabilidad




• Las implicaciones de desempeño y capacidad de los requerimientos de servicio de TI para todos los procesos críticos del negocio son claramente entendidas

• Los requerimientos de desempeño están incluidos en todos los proyectos de desarrollo y mantenimiento de TI • Los aspectos de capacidad y desempeño son tratados en todas las etapas apropiadas en la adquisición de

sistemas y en la metodología de implementación. • La infraestructura de tecnología es revisada regularmente para aprovechar las proporciones de costo /

desempeño y posibilitar la adquisición de recursos que proveen la capacidad máxima de desempeño al precio más bajo

• Se cuenta con habilidades y herramientas para analizar la capacidad actual y la pronosticada • Se pone a disposición capacidad actual y proyectada e información de uso a los usuarios y a la

administración de TI en una forma comprensible y utilizable




• Número de procesos de negocio final que están sufriendo interrupciones o cortes causados por la capacidad y desempeño inadecuados de TI

• Número de procesos de negocio críticos no cubiertos por un plan definido de disponibilidad de servicio • Porcentaje de recursos críticos de TI con capacidad adecuada y capacidad de desempeño, tomando en cuenta

las cargas pico


• Número de incidentes de tiempo improductivo causados por capacidad o desempeño de procesamiento insuficiente

• Porcentaje de capacidad que queda en las cargas normales y en las pico • Tiempo tomado para resolver problemas de capacidad • Porcentaje de ampliaciones no planeadas de capacidad en comparación con el número total de ampliaciones

de capacidad • Frecuencia de ajustes de capacidad para satisfacer las demandas de cambio




DS3 Modelo de Madurez El control sobre el proceso de TI Administrar el Desempeño y la Capacidad de TI con el objetivo del negocio de asegurar que se cuente con la capacidad adecuada y que se haga el mejor y óptimo uso de la misma para satisfacer las necesidades requeridas de desempeño

0 Inexistente. La administración no ha reconocido que los procesos clave de negocio pueden requerir altos niveles de desempeño de TI o que la necesidad general de negocio para los servicios de TI puede exceder la capacidad. No está establecido un proceso de planeación de capacidad

1 Inicial /Ad hoc El desempeño y la administración de la capacidad son reactivos y

esporádicos. Los usuarios tienen a menudo que inventar formas para superar las limitaciones de desempeño y de capacidad. Hay muy poca apreciación de las necesidades de servicio de TI por parte de los propietarios de los procesos de negocio. La administración de TI está conciente de la necesidad de desempeño y capacidad de administración, pero la acción emprendida es por lo general reactiva o está incompleta. El proceso de planeación es informal.

2 Repetible pero Intuitivo La administración de negocio está conciente del impacto de no

administrar el desempeño y la capacidad. Para las áreas críticas, las necesidades de desempeño son generalmente cubiertas, en base a el estudio de los sistemas individuales y al conocimiento de los equipos de apoyo y de proyecto. Se pueden usar algunas herramientas individuales para diagnosticar problemas de desempeño y de capacidad, pero la consistencia de los resultados depende de la experiencia de las personas clave. No hay una apreciación general de la capacidad de desempeño de la infraestructura de TI ni consideración de situaciones pico y de peor caso de carga. Es probable que ocurran problemas de disponibilidad en una forma inesperada y al azar y que tome tiempo considerable diagnosticar y corregir.

3 Proceso Definido Los requerimientos de desempeño y de capacidad están definidos como

pasos que deben ser resueltos en todas las etapas de la metodología de adquisición e implementación de sistemas. Hay requerimientos y métricas definidas de nivel de servicio que pueden usarse para medir el desempeño operativo. Es posible diseñar y pronosticar los requerimientos futuros de desempeño. Los reportes pueden ser producidos dando estadísticas de desempeño. Aún es probable que ocurran problemas y que lleve tiempo corregirlos. A pesar que los niveles de servicio están publicados el usuario final se sentirá ocasionalmente escéptico sobre la capacidad del servicio

4 Administrado y Medible Se cuenta con procesos y herramientas para medir el uso de

sistemas y para compararlo con los niveles definidos de servicio. Se cuenta con información actualizada, dando estadísticas estandarizadas de desempeño y alertando los incidentes tales como la capacidad o rendimiento insuficiente. Los incidentes causados por fallas de capacidad y desempeño se manejan en conformidad con los procedimientos definidos y estandarizados. Se usan herramientas automatizadas para monitorear recursos específicos tales como almacenamiento de disco, servidores de red y portales de red y gateways. Hay algún intento de reportar estadísticas de desempeño en términos de servicio de negocio, de modo que los usuarios finales puedan entender los niveles de servicio de TI. Los usuarios se sienten en general satisfechos con la actual capacidad de servicio y están exigiendo niveles nuevos y mejorados de disponibilidad.



5 Optimizado Los planes de desempeño y capacidad están totalmente sincronizados con los pronósticos de negocio y con los planes operativos y los objetivos. La infraestructura de TI está sujeta a revisiones regulares para asegurar que se logre la capacidad óptima al menor costo posible. Los adelantos en la tecnología están monitoreados de cerca para aprovechar el desempeño mejorado de los productos. El sistema para medir el desempeño de TI ha sido afinado para concentrarse en las áreas clave y están traducidas en KGIs (indicadores clave de objetivo), KPIs (indicadores clave de desempeño) y CFSs (factores críticos de éxito) para todos los procesos críticos de negocio. Las herramientas para monitorear los recursos críticos de TI han sido estandarizados, donde es posible, en todas las plataformas y vinculados a un solo sistema de administración de incidentes en toda la organización. Las herramientas de monitoreo pueden cada vez más detectar y corregir automáticamente los problemas de desempeño, por ejemplo, asignar más espacio de almacenamiento o redirigir el tráfico de red. Se detectan las tendencias que muestran problemas inminentes de desempeño causados por mayores volúmenes de negocio, posibilitando la planificación y la prevención de incidentes inesperados. Los usuarios esperan una disponibilidad de 24 horas al día, 7 días a la semana, 365 días al año.



DS4 Entrega y Soporte Asegurar el Servicio Continuo El Control sobre el proceso de TI de Asegurar el Servicio Continuo con el objetivo del negocio para asegurar que los servicios de TI estén disponibles cuando se requieran y asegurar un impacto mínimo en el negocio en el caso de una interrupción importante


Es posibilitado teniendo un plan operativo y probado de continuidad de TI que esté en línea con el plan general de continuidad del negocio y con sus requerimientos de negocio relacionados


P Efectividad S Eficiencia Confidencialidad Integridad P Disponibilidad Cumplimiento Confiabilidad




• Está instalado y se prueba regularmente un sistema de poder ininterrumpido (UPS) • Los riesgos potenciales de disponibilidad son detectados y resueltos de manera proactiva • Los componentes críticos de infraestructura están identificados y monitoreados constantemente • La prestación continuada de servicios es una continuación de la planificación anticipada de capacidad,

adquisición de componentes de alta disponibilidad, redundancia necesaria, existencia de planes probados de contingencia y de la eliminación de puntos únicos de falla

• Se emprende acción sobre las lecciones aprendidas a partir de incidentes reales de tiempo improductivo y se prueban las ejecuciones de planes de contingencia

• Se realizan regularmente análisis de requerimientos de disponibilidad • Se usan acuerdos de nivel de servicio para elevar la conciencia y aumentar la cooperación con los

proveedores para las necesidades de continuidad • Se entiende claramente el proceso de escalamiento y el mismo se basa en una clasificación de los incidentes

de disponibilidad • Los costos de negocio del servicio interrumpido son especificados y cuantificados cada vez que es posible,

proveyendo la motivación para desarrollar planes apropiados y hacer arreglos para facilidades de contingencia




• No hay incidentes que causen mala imagen pública • Número de procesos críticos de negocio que se basan en TI que tienen planes adecuados de continuidad • Prueba regular y formal de que los planes de continuidad funcionan • Reducción del tiempo improductivo • Número de componentes críticos de infraestructura con monitoreo automático de disponibilidad


• Número de problemas de servicio continuo pendientes no resueltos o tratados • Número y grado de violaciones de servicio continuo, usando criterios de duración y de impacto • Demora entre el cambio organizacional y la actualización del plan de continuidad • Tiempo para diagnosticar un incidente y para decidir sobre la ejecución del plan de continuidad • Tiempo para normalizar el nivel de servicio después de la ejecución del plan de continuidad • Número de correcciones disponibles, implementadas proactivamente • Tiempo aproximado para resolver déficit de servicio • Frecuencia de entrenamiento de servicio continuo prestado • Frecuencia de prueba de servicio continuo




DS4 Modelo de Madurez El control sobre el proceso de TI Asegurar el Servicio Continuo de TI con el objetivo del negocio de asegurar que los servicios de TI estén disponibles como se requiere y asegurar un impacto mínimo en el servicio en el caso de una interrupción mayor

0 Inexistente. No hay entendimiento de los riesgos, vulnerabilidades y amenazas de las

operaciones de TI o del impacto de la pérdida de los servicios de TI para el negocio. La continuidad del servicio no es considerada como que necesita atención de la administración.

1 Inicial /Ad hoc Las responsabilidades de servicio continuo son informales, con autoridad

limitada. La administración se está volviendo conciente de los riesgos relacionados con el servicio continuo y de la necesidad de éste. El enfoque es sobre la función de TI, en vez de ser sobre la función de negocio. Los usuarios están implementando formas de evadirlo. La respuesta a las interrupciones mayores es reactiva e improvisada. Los cortes planeados están programados para que satisfagan las necesidades de TI, en vez de para adaptarse a los requerimientos del negocio.

2 Repetible pero Intuitiva La responsabilidad del servicio continuo está asignada. Los

enfoques del servicio continuo son fragmentados. El reporte sobre la disponibilidad del sistema es incompleto y no toma en cuenta el impacto sobre el negocio. No hay planes documentados de usuario o de continuidad, a pesar de que hay dedicación a la disponibilidad de servicio continuo y que se conocen sus principios rectores. Existe un inventario razonablemente confiable de sistemas críticos y componentes. Está surgiendo la estandarización de prácticas de servicio continuo y el monitoreo del proceso, pero el éxito se basa en las personas.

3 Proceso Definido La obligación de reportar no es ambigua y las responsabilidades de

planificar y probar el servicio continuo están claramente definidas y asignadas. Los planes están documentados y se basan en la importancia del sistema y en el impacto sobre el negocio. Hay un reporte periódico de prueba de servicio continuo. Las personas toman la iniciativa para seguir las normas y recibir entrenamiento. La administración comunica consistentemente la necesidad de servicio continuo. Los componentes de alta disponibilidad y la redundancia de sistema se están aplicando de manera fragmentada. Se mantiene rigurosamente un inventario de sistemas críticos y componentes.

4 Administrado y Medible Se hacen cumplir las responsabilidades y las normas para el

servicio continuo. La responsabilidad de mantener el plan de servicio continuo está asignada. Las actividades de mantenimiento toman en cuenta el entorno cambiante del negocio, los resultados de pruebas de servicio continuo y las mejores prácticas internas. Se están recopilando, analizando, reportando y ejecutando datos estructurados sobre el servicio continuo. Se provee entrenamiento para los procesos de servicio continuo. Las prácticas de redundancia de sistema, que incluyen el uso de componentes de alta disponibilidad, están siendo implementadas de manera consistente. Las prácticas de redundancia y la planeación de servicio continuo se influyen mutuamente. Los incidentes de falta de continuidad son clasificados y el paso cada vez mayor de escala para cada uno es bien conocido para todos los que están involucrados.



5 Optimizado Los procesos integrados de servicio continuo son proactivos, se ajustas solos, son automatizados y auto analíticos y toman en cuenta puntos de referencia y las mejores prácticas externas. Los planes de servicio continuo y los planes de continuidad del negocio están integrados, alineados y son mantenidos de manera rutinaria. La compra de las necesidades de servicio continuo está asegurada por los vendedores y los principales proveedores. Se lleva a cabo la comprobación global y los resultados de las pruebas son utilizados como parte del proceso de mantenimiento. La efectividad del costo del servicio continuo está optimizada a través de la innovación y de la integración. La recopilación y el análisis de datos se usa para identificar oportunidades de mejoramiento. Las prácticas de redundancia y la planeación del servicio continuo están totalmente alineadas. La administración no permite puntos únicos de falla y provee soporte para su solución. Las prácticas de escalamiento son entendidas y cumplidas plenamente.



DS5 Entrega y Soporte Garantizar la Seguridad de los Sistemas El Control sobre el proceso de TI de Garantizar la Seguridad de los Sistemas con el objetivo del negocio de salvaguardar información contra el uso, revelación o modificación no autorizada, daño o pérdida


Es posibilitado por controles de acceso lógico que aseguran que el acceso a los sistemas, datos y programas esté restringido a los usuarios autorizados


Efectividad Eficiencia P Confidencialidad P Integridad S Disponibilidad S Cumplimiento S Confiabilidad

gente aplicaciones tecnología Instalaciones datos

Criterios de Información Recursos de IT


• Está desarrollado un plan general de seguridad, el cual cubre la creación de conciencia, establece políticas y normas claras, identifica una implementación con eficiencia de costos y sostenible, y define procesos de monitoreo y ejecución

• Hay conciencia de que un buen plan de seguridad necesita tiempo para evolucionar • La función de seguridad corporativa se reporta a la gerencia general y es responsable de ejecutar el plan de

seguridad • La administración y el personal tienen un entendimiento común de los requerimientos de seguridad, las

vulnerabilidades y las amenazas a la misma y entienden y aceptan sus propias responsabilidades de seguridad

• La evaluación por terceros de la política y arquitectura de la seguridad se lleva a cabo periódicamente • Está definido un programa de “permiso de construcción”, el cual identifica las líneas base de seguridad que

tienen que ser cumplidas • Está establecido un programa de “licencia de conducción” para los que desarrollan, implementan y usan

sistemas, haciendo cumplir la certificación de seguridad del personal • La función de seguridad tiene el medio y la capacidad para detectar, registrar, analizar la importancia,

reportar y actuar sobre los incidentes de seguridad cuando éstos ocurren, al tiempo que minimizan la probabilidad de que ocurran aplicando pruebas de intrusión y monitoreo activo

• Un proceso y sistema centralizado de administración de usuario provee un medio para identificar y asignar autorizaciones a los usuarios en una forma estándar y sencilla de usar

• Se cuenta con un proceso para autenticar los usuarios a un costo razonable sencillo de implementar y fácil




• No hay incidentes que causen mala imagen pública • Reporte inmediato de los incidentes críticos • Alineamiento de los derechos de acceso con las responsabilidades organizacionales • Reducción del número de nuevas implementaciones demoradas por preocupaciones de seguridad • Pleno cumplimiento de acuerdos y desviaciones registradas de los requerimientos mínimos de seguridad • Reducción del número de incidentes que involucran acceso no autorizado, pérdida o corrupción de la

información


• Reducción del número de llamadas de servicio relacionadas con la seguridad, requerimientos de cambio o correcciones

• Cantidad de tiempo improductivo causado por incidentes de seguridad • Reducción del tiempo de atención de las solicitudes atendidas por la administración de seguridad • Número de sistemas sujetos a un proceso de detección de intrusos • Número de sistemas con capacidades de monitoreo activo • Reducción del tiempo para investigar los incidentes de seguridad • Demora entre la detección, reporte y acción sobre los incidentes de seguridad • Número de días de entrenamiento de conocimientos de la seguridad de TI




DS5 Modelo de Madurez El control sobre el proceso de TI Garantizar la Seguridad de los Sistemas de TI con el objetivo del negocio de salvaguardar la información contra el uso, revelación o modificación no autorizada, daño o pérdida

0 Inexistente. La organización no reconoce la necesidad de la seguridad de TI. Las responsabilidades y las obligaciones de reportar no están asignadas para asegurar la seguridad. No están implementadas medidas que soporten la administración de la seguridad de TI. No hay ningún reporte de seguridad de TI y ningún proceso de respuesta de las violaciones de seguridad de TI. Hay una carencia total de un proceso reconocible de administración de seguridad de sistemas.

1 Inicial /Ad hoc La organización reconoce la necesidad de la seguridad de TI, pero la

conciencia de la seguridad depende de la persona. La seguridad de TI está resuelta de manera reactiva y no se mide. Las violaciones de seguridad de TI invocan respuestas de “señalamiento” si se detectan, porque las responsabilidades no están claras. Las respuestas a las violaciones de seguridad de TI son impredecibles.

2 Repetible pero Intuitiva Las responsabilidades y obligaciones de la seguridad de TI están

asignadas a un coordinador de seguridad de TI que no tiene autoridad de administración. La conciencia de seguridad es fragmentada y limitada. La información de seguridad de TI es generada, pero no es analizada. Las soluciones de seguridad tienden a responder de manera reactiva a los incidentes de seguridad de TI y adoptando propuestas de terceros, sin resolver las necesidades específicas de la organización. Se están desarrollando políticas de seguridad, pero aún se siguen usando habilidades y herramientas inadecuadas. El reporte de seguridad de TI es incompleto, engañoso y no es pertinente.

3 Proceso Definido Existe conciencia de la seguridad y la misma es promovida por la

administración. Se han estandarizado y formalizados reportes de conocimientos de la seguridad. Los procedimientos de seguridad de TI están definidos y encajan en una estructura para políticas y procedimientos de seguridad. Las responsabilidades de seguridad de TI están asignadas, pero no se hacen cumplir de manera consistente. Existe un plan de seguridad de TI, que impulsa el análisis del riesgo y soluciones de seguridad. El reporte de seguridad de TI está concentrado en TI, en lugar de concentrarse en el negocio. Se realizan pruebas Ad hoc de intrusión.

4 Administrado y Medible Las responsabilidades de la seguridad de TI están claramente

asignadas, administradas y se hacen cumplir. El análisis de riesgo e impacto de seguridad se lleva a cabo de manera consistente. Las políticas y prácticas de seguridad son completadas con bases específicas de seguridad. Los reportes de conocimiento de seguridad se han vuelto obligatorios. La identificación, autenticación y autorización de usuario se está estandarizando. Se está estableciendo la certificación de seguridad del personal. La prueba de intrusión es un proceso estándar y formalizado que conduce a mejoras. El análisis costo /beneficio, que soporta la implementación de medidas de seguridad, es cada vez más utilizado. Los procesos de seguridad de TI son coordinados con la función general de seguridad de la organización. El reporte de seguridad de TI está vinculado con los objetivos del negocio.



5 Optimizado La seguridad de TI es una responsabilidad conjunta del negocio y de la administración de TI y está integrada con objetivos de seguridad corporativa del negocio. Los requisitos de seguridad de TI están claramente definidos, optimizados e incluidos en un plan verificado de seguridad. Las funciones de seguridad están integradas con aplicaciones en la etapa de diseño y se les puede pedir a los usuarios finales que rindan cuenta de la seguridad a la administración. El reporte de seguridad de TI provee un aviso anticipado del riesgo cambiante y emergente, usando métodos activos automatizados de monitoreo para los sistemas críticos.

Los incidentes son prontamente resueltos con procedimientos formalizados de respuesta a incidentes soportados por herramientas automatizadas. Las evaluaciones periódicas de seguridad evalúan la efectividad de la implementación del plan de seguridad. Se recoge y analiza sistemáticamente la información sobre nuevas amenazas y vulnerabilidades, y se comunican e implementan prontamente los controles adecuados de mitigación. La prueba de intrusión, análisis de las causas originarias de los incidentes de seguridad y la identificación proactiva del riesgo es la base para el mejoramiento continuo. Los procesos y las tecnologías de seguridad están integrados en toda la organización.



DS6 Entrega y Soporte Identificar y Asignar Costos El Control sobre el proceso de TI de Identificar y Asignar Costos con el objetivo del negocio de asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI


Es posibilitado por un sistema de contabilidad de costos que asegura que los costos sean registrados, calculados y asignados al nivel requerido de detalle y a la oferta apropiada de servicio


Efectividad P Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento P Confiabilidad




• Los usuarios finales, los propietarios del proceso de negocio y la organización de TI comparten un entendimiento común de los requerimientos de determinación y asignación de costos

• Los costos directos e indirectos son identificados, captados, reportados y analizados a su debido tiempo y en forma automatizada

• Los costos son cargados en base a la utilización y son registrados en principios de cargo que son formalmente aceptados y redeterminados regularmente

• El reporte de costos es usado por todas las partes para revisar el desempeño del presupuesto, identificar las oportunidades de optimización de costos y ejecutar Benchmark del desempeño contra fuentes confiables

• Hay una vinculación directa entre el costo del servicio y los acuerdos de nivel de servicio • Los resultados de asignación y optimización de costos se usan para verificar la realización de ganancias y

son retroalimentados en el siguiente ciclo de presupuesto.




• Optimización constante de costos de los servicios de información de TI por la función de TI • Optimización constante de costos de los servicios de información por los usuarios • Mayor proporción de beneficios probados para los costos reales de servicios de TI • Índice de eficiencia, basado en una comparación de costos de proveedor interno y externos • Entendimiento /aceptación de la administración del negocio sobre los costos y niveles de servicio de TI


• Porcentaje de variación entre presupuestos, pronósticos y costos reales • Reducción porcentual en las tasas de servicio de información • Aumento porcentual en la optimización de las solicitudes de servicio de usuario • Aumento porcentual en la optimización del uso de los Recursos de TI • Número de iniciativas de optimización de costos




DS6 Modelo de Madurez El control sobre el proceso de TI Identificar y Asignar Costos de TI con el objetivo del negocio de asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI

0 Inexistente. Hay una ausencia total de un proceso reconocible para identificar y asignar costos en relación con los servicios de información que se proveen. La organización ni siquiera ha reconocido que hay un problema que resolver respecto a contabilidad de costos y no hay comunicación sobre el tema.

1 Inicial /Ad hoc Hay un entendimiento general de los costos generales de los servicios de

información, pero no hay un desglose de costos por usuario, departamento, grupos de usuarios, funciones de servicio, proyectos o productos. No hay virtualmente ningún monitoreo de costos, y sólo se reporta a la administración el costo agregado. No está establecido un proceso de cargo por devolución o un sistema para facturar a los usuarios por los costos incurridos en prestar servicios de información.

2 Repetible pero Intuitivo Hay una conciencia general de la necesidad de identificar y

asignar costos. La asignación de costos se basa en supuestos informales y rudimentarios de costos, por ejemplo, costos de hardware, y virtualmente no hay ninguna vinculación con los que impulsan el valor. Los procesos de asignación de costos se pueden repetir y algunos de ellos comienzan a ser monitoreados. No hay un entrenamiento formal y comunicación sobre procedimientos estándar de identificación y asignación de costos. La responsabilidad no está asignada.

3 Proceso Definido Hay un modelo definido y documentado de modelo de costo de servicios

de información. El modelo está institucionalizado y comunicado, y está establecido un entrenamiento informal. Existe un nivel apropiado de conocimiento de los costos atribuibles a los servicios de información. Existe un sistema automatizado de contabilidad de costos, pero el mismo está enfocado a la función de los servicios de información y no sobre los procesos de negocio.

4 Administrado y Medible Las responsabilidades y las obligaciones de reportar de la

administración de costo de servicios de información están definidas y plenamente comprendidas a todos los niveles y las mismas están soportadas por un entrenamiento formal. Los costos directos e indirectos están identificados y son reportados oportunamente y de manera automatizada a la gerencia, a los propietarios del proceso de negocio y a los usuarios. En general, hay monitoreo de evaluación de los costos, y se emprenden acciones cuando los procesos no funcionan de manera efectiva y eficiente. Se emprenden acciones en muchos casos pero no en todos. Los procesos de administración de costos están siendo mejorados constantemente y hacen cumplir la mejor práctica interna. El reporte del costo de los servicios de información está vinculado con los objetivos del negocio y con los acuerdos a nivel de servicio. Hay participación de todos los expertos requeridos de administración de costos internos.



5 Optimizado Los costos de los servicios prestados están identificados, captados, resumidos y reportados a la administración, a los propietarios y a los usuarios del proceso de negocio. Los costos están identificados como rubros cobrables y soportan un sistema de cargo por devolución que factura apropiadamente a los usuarios por los servicios prestados, en base a la utilización. Los detalles de costo soportan acuerdos de nivel de servicio. Hay un monitoreo y avaluación fuertes de los costos de servicios, donde las variaciones de los importes de presupuesto están identificados y las discrepancias son detalladas y se toman las medidas apropiadas sobre lo mismo. Las cifras de costo obtenidas se usan para verificar la utilización de los beneficios y se usan en el proceso de presupuestación de la organización..

El reporte de costos de servicios de información provee una advertencia anticipada de los requerimientos cambiantes del negocio a través de sistemas inteligentes de reporte. Se utiliza un modelo de costo variable, derivado de los volúmenes procesados para cada servicio prestado. La administración de costos ha sido refinada hasta un nivel de las mejores prácticas, basado en el resultado de mejoramiento constante y tomando como patrón de madurez a otras organizaciones. Los expertos externos son respaldados y se utilizan Benchmarks para orientación de administración de costos.



DS7 Entrega y Soporte Educar y Entrenar a los Usuarios El Control sobre el proceso de TI de Educar y Entrenar a los Usuarios con el objetivo del negocio de asegurar que los usuarios estén haciendo uso efectivo de la tecnología y que estén concientes de los riesgos y responsabilidades involucradas.


Es posibilitado por un extenso plan de entrenamiento y desarrollo






• Está establecido un completo programa de educación y entrenamiento, enfocado sobre las necesidades individuales y corporativas

• Los programas de educación y entrenamiento están soportados por presupuestos, recursos, instalaciones e instructores

• El entrenamiento y la educación son componentes críticos en la carrera profesional del empleado • Los empleados y los administradores identifican y documentan las necesidades de entrenamiento • El entrenamiento que se necesita es provisto a su debido tiempo • Hay soporte de la alta gerencia para asegurar que los empleados realicen sus tareas en una forma ética y

segura • Los empleados reciben entrenamiento de prácticas de seguridad de sistemas para proteger contra los daños

provenientes de fallas que afecten la disponibilidad, la confidencialidad y la integridad • La política corporativa requiere que todos los empleados reciban un programa básico de entrenamiento que

abarque conductas éticas, prácticas de seguridad de sistemas y uso permitido de los Recursos de TI • Hay aceptación de la administración que los costos de entrenamiento son inversiones para bajar los costos

totales de propiedad de tecnología




• Medición del mejoramiento en la optimización por los empleados de los recursos de TI para maximizar el valor del negocio

• Medición del mejoramiento en la conciencia del empleado de los requerimientos éticos de conducta, principios de seguridad de sistemas y desempeño de las funciones en una forma ética y segura

• Medición del mejoramiento en las prácticas de seguridad para protegerse contra los daños provenientes de fallas que afectan la disponibilidad, confidencialidad e integridad

• Número de llamadas al help desk para solicitar entrenamiento o para responder preguntas • Mayor satisfacción del usuario con el desenvolvimiento de nuevas tecnologías


• Porcentaje de empleados entrenados • Antigüedad del historial de entrenamiento de los empleados • Demora entre la identificación de la necesidad de entrenamiento y la entrega del entrenamiento • Número de alternativas de entrenamiento disponibles para los empleados de la organización y de fuentes

externas • Porcentaje de empleados entrenados en los requerimientos de conducta ética • Número de violaciones éticas causadas por los empleados que han sido identificadas • Porcentaje de empleados entrenados en prácticas de seguridad • Número de incidentes de seguridad identificados relacionados con empleados • Mayor identificación y documentación de necesidades de entrenamiento y entrega de entrenamiento a

tiempo




DS7 Modelo de Madurez Control sobre el proceso de TI Educar y Entrenar a los Usuarios con el objetivo del negocio de asegurar que los usuarios estén haciendo uso efectivo de la tecnología y que estén concientes de los riesgos y responsabilidades involucradas 0 Inexistente. Hay un falta total de programas de entrenamiento y educación. La organización ni

siquiera ha reconocido que hay un problema que resolver respecto al entrenamiento y no hay comunicación sobre el tema.

1 Inicial /Ad hoc Hay evidencia de que la organización ha reconocido la necesidad de un programa

de entrenamiento y educación, pero no hay procesos estandarizados. En la ausencia de un programa organizado, los empleados han estado identificando y asistiendo a cursos de entrenamiento por su cuenta. Algunos de estos cursos de entrenamiento han resuelto los problemas de conducta ética, conciencia de la seguridad de los sistemas y prácticas de seguridad. El enfoque general de la administración carece de cohesión y sólo hay comunicación esporádica e inconsistente sobre los problemas y los métodos para resolver el entrenamiento y la educación.

2 Repetible pero Intuitivo Hay conciencia de la necesidad de un programa de entrenamiento y

educación y de procesos asociados en toda la organización. Se está comenzando a identificar el entrenamiento en los planes individuales de desempeño de los empleados. Se han desarrollado procesos hasta el grado que diferentes instructores están dando clases informales de entrenamiento y educación, mientras cubren el mismo tema con métodos diferentes. Algunas de las clases tratan los aspectos de conducta ética y conciencia y práctica de seguridad de sistemas. Hay gran confianza en los conocimientos de las personas. Sin embargo, hay comunicación consistente sobre los problemas generales y sobre la necesidad de resolverlos.

3 Proceso Definido El programa de entrenamiento y educación ha sido institucionalizado y

comunicado, y los empleados y administradores identifican y documentan las necesidades de entrenamiento. Los procesos de entrenamiento y educación han sido estandarizados y documentados. Se están estableciendo presupuestos, recursos, instalaciones e instructores para soportar el programa de entrenamiento y educación. Se dan clases formales a los empleados sobre conducta ética y conciencia y práctica de seguridad de sistemas. Se monitorea la mayoría de los procesos de entrenamiento y educación, pero probablemente no todas las desviaciones son detectadas por la administración. El análisis de los problemas de entrenamiento y educación se aplica sólo ocasionalmente.

4 Administrado y Medible Hay un programa completo de entrenamiento y educación que está

enfocado sobre las necesidades individuales y corporativas y que proporciona resultados medibles. Las responsabilidades están claras y la propiedad del proceso está establecido. Entrenamiento y educación son componentes de las etapas de carrera del empleado. La administración soporta y asiste a las sesiones de entrenamiento y educación. Todos los empleados reciben entrenamiento de conducta ética y de conciencia de seguridad de sistemas. Todos los empleados reciben el nivel apropiado de entrenamiento en prácticas de seguridad de sistemas para proteger de daños provenientes de fallas que afectan la disponibilidad, la confidencialidad y la integridad. La administración monitorea el cumplimiento revisando y actualizando constantemente el programa y los procesos de entrenamiento y educación. Los procesos están bajo mejoramiento y hacen cumplir las mejores prácticas internas.



5 Optimizado El entrenamiento y la educación tienen como resultado un mejoramiento del

desempeño individual. El entrenamiento y la educación son componentes críticos de las etapas de la carrera de los empleados. Se proveen suficientes presupuestos, recursos, instalaciones e instructores para los programas de entrenamiento y educación. Los procesos han sido refinados y están bajo constante mejoramiento, sacando provecho de las mejores prácticas externas y modelo de madurez con otras organizaciones. Todos los problemas y desviaciones son analizados en busca de las causas que los originan y la acción eficiente es identificada y emprendida en forma expedita. Hay una actitud positiva con respecto a la conducta ética y los principios de seguridad de sistemas. TI se usa en una forma extensa, integrada y optimizada para automatizar y proveer herramientas para el programa de entrenamiento y educación. Los expertos externos de entrenamiento son apoyados y se utilizan Benchmarks como guías.



DS8 Entrega y Soporte Asistir y Asesorar a los Clientes El Control sobre el proceso de TI de Asistir y Asesorar a los Clientes con el objetivo del negocio de asegurar que cualquier problema que experimente el usuario sea resuelto de manera apropiada.


Es posibilitado por una facilidad de Help Desk que provee soporte y asesoramiento de primera línea



gente aplicaciones




• Las preguntas que se hacen con frecuencia son actualizadas y fácilmente accesibles • Personal de soporte calificado y orientado hacia el cliente resuelve problemas en estrecha cooperación con

el personal de administración de problemas • Todas las preguntas de los usuarios son registradas consistentemente y exhaustivamente por el Help Desk • Las preguntas de los usuarios que no pueden ser resueltas oportunamente son escaladas apropiadamente • Las preguntas de los usuarios son resueltas oportunamente • Se monitorea la resolución de preguntas de usuarios • Las preguntas de usuarios que no pueden ser resueltas oportunamente son investigadas y se toman medidas

sobre las mismas • La administración monitorea las tendencias para identificar las causas originarias en una forma proactiva y

da seguimiento con análisis y con el desarrollo de soluciones comprobadas • Las políticas y programas corporativos están definidos para entrenar a los usuarios en el uso de tecnología y

en las prácticas de seguridad • Hay conciencia en la administración del costo de los servicios de soporte y del tiempo improductivo de

usuario y de la necesidad de emprender acción sobre los problemas de causa-origen • Los costos de soporte son cargados al negocio usando herramientas sencillas y políticas claras




• Menor tiempo promedio para resolver problemas • Menos preguntas repetitivas sobre problemas resueltos • Mayor satisfacción del usuario con la efectividad y eficiencia del Help Desk • Mayor confianza del usuario en los servicios del Help Desk • Eficiencia mejorada medida por recursos reducidos de Help Desk en relación con los sistemas soportados • Porcentaje de problemas resueltos en el primer contacto • Tiempo transcurrido por llamada


• Número de preguntas repetidas • Número de escalamientos • Número de preguntas • Tiempo para resolver preguntas • Tendencias reducidas en las preguntas de usuarios que requieren resolución de problemas • Costo por llamada




DS8 Modelo de Madurez Control sobre el proceso de TI Asistir y Asesorar a los Clientes con el objetivo del negocio de asegurar que cualquier problema que experimente el usuario sea resuelto apropiadamente

0 Inexistente. No hay soporte para resolver las preguntas y los problemas de los usuarios. Hay una total carencia de una función de Help Desk. La organización no ha reconocido que hay un problema que debe ser resuelto.

1 Inicial /Ad hoc La organización ha reconocido que se requiere de un proceso soportado

por herramientas y personal para responder a las preguntas de los usuarios y para administrar la resolución de problemas. No hay sin embargo, un proceso estandarizado y sólo se provee soporte reactivo. La administración no monitorea las preguntas de usuarios, los problemas y las tendencias. No hay un proceso de escalamiento para asegurar que los problemas sean resueltos.

2 Repetible pero Intuitivo Hay conciencia organizacional de la necesidad de una función de

Help Desk. Se dispone de asistencia de manera informal a través de una red de personas con conocimientos. Estas personas disponen de algunas herramientas comunes para asistir en la resolución de problemas. No hay entrenamiento formal ni comunicación sobre los procedimientos estándar, y la responsabilidad se deja a la persona. Sin embargo, hay una comunicación consistente sobre los problemas generales y sobre la necesidad de resolverlos.

3 Proceso Definido Se reconoce y se acepta la necesidad de una función de Help Desk. Los

procedimientos han sido estandarizados y documentados y se está llevando a cabo entrenamiento informal. Sin embargo, se deja a la persona obtener entrenamiento y seguir las normas. Se desarrollan las Preguntas que se Hace Con Frecuencia (FAQs) y los lineamientos de usuario, pero las personas deben encontrarlos y pueden no seguirlos. Las preguntas y los problemas se rastrean manualmente y se monitorean de manera individual, pero no existe un sistema formal de reporte. El escalamiento de problemas está apenas emergiendo. La respuesta a tiempo a las preguntas y a los problemas no se mide y los problemas pueden seguir sin ser resueltos.

4 Administrado y Medible Hay total entendimiento de los beneficios de Help Desk a todos

los niveles de la organización y la función ha sido establecida en unidades apropiadas de negocio. Las herramientas y técnicas son automatizadas con una base centralizada de conocimientos de problemas y soluciones. El personal del Help Desk interactúa estrechamente con el personal de administración de problemas. Las responsabilidades son claras y se monitorea la efectividad. Los procedimientos para comunicación, escalamiento, y resolución de problemas están establecidos y son comunicados. El personal del Help Desk está entrenado y los procesos son mejorados a través del uso de software específico de tarea. Las causas que originan los problemas son identificadas y las tendencias son reportadas, dando como resultado la corrección oportuna de los problemas. Los procesos están bajo mejoramiento y hacen cumplir la mejor práctica interna.



5 Optimizado La función de Help Desk está establecida, bien organizada y se dedica a la orientación de servicio de clientes, siendo calificada, enfocadas al cliente y son útiles. Un uso extensivo de preguntas frecuentes (FAQs) son una parte integral de la base de conocimientos. Están instaladas herramientas para permitir que un usuario se autodiagnostique y resuelva los problemas. TI se usa para crear, administrar y mejorar el acceso a las bases automatizadas de conocimiento que soportan la resolución de problemas. El asesoramiento es consistente y los problemas son resueltos rápidamente dentro de un proceso estructurado de escalamiento. La administración utiliza un proceso proactivo de notificación y un análisis de tendencias para prevenir y monitorear problemas. Los procesos han sido refinados hasta el nivel de las mejores prácticas externas, en base a los resultados de constante mejoramiento y tomando como modelos de madurez a otras organizaciones.



DS9 Entrega y Soporte Administrar la Configuración El Control sobre el proceso de TI de Administrar la Configuración con el objetivo del negocio de dar cuenta de todos los componentes de TI, prevenir las alteraciones no autorizadas, verificar la existencia física y proveer una base para una administración sensata de cambios.


Es posibilitado por controles que identifican y registran todos los activos de TI y su ubicación física, y un programa de verificación regular que confirme su existencia


P Efectividad Eficiencia Confidencialidad Integridad S Disponibilidad Cumplimiento S Confiabilidad


datos



• Los propietarios están establecidos para todos los elementos de configuración y son responsables de mantener el inventario y de controlar el cambio

• La información de configuración es mantenida y accesible, basada en inventarios actualizados y en un convenio comprensivo de nomenclatura

• Está establecida una estructura apropiada de biblioteca de software, que resuelve las necesidades de entornos de desarrollo, prueba y producción

• Existe una política de administración de la divulgación y un sistema para hacerla cumplir • Las funciones de mantenimiento de registros y de custodia física se mantienen separadas • Hay integración con los procesos de suministro administración de cambios • Los catálogos de vendedor y la configuración están alineados • Existen líneas base de configuración, que identifican los componentes estándar mínimos y los

requerimientos de integración, los criterios de consistencia y de integración • Se dispone de un mecanismo automático de detección y verificación de la configuración • Está implementado un proceso automático de distribución y actualización • Hay cero tolerancia para el software ilegal




• Porcentaje de la configuración de TI identificada y explicada • Reducción en el número de variaciones entre las cuentas y la situación física • Índice de calidad de información, que incluye las interrelaciones, la edad, los cambios aplicados, la situación

y los criterios de los problemas relacionados • Índice de uso de información para las acciones proactivas, incluyendo mantenimiento preventivo y criterios

de ampliación de capacidad


• Porcentaje de componentes de configuración para los que los datos se mantienen y actualizan automáticamente

• Frecuencia de las verificaciones físicas • Frecuencia de análisis de excepciones, resolviendo la redundancia, la obsolescencia y la corrección de la

configuración • Demora entre la modificación de la configuración y la actualización de los registros • Número de versiones liberadas • Porcentaje de cambios reactivos




DS9 Modelo de Madurez Control sobre el proceso de TI Administrar la Configuración con el objetivo del negocio de dar cuenta o registrar todos los componentes de TI, prevenir la alteración no autorizada, verificar la existencia física y proveer una base para la administración sensata de cambios

0 Inexistente. La administración no tiene una apreciación de los beneficios de tener establecido un proceso que pueda reportar y administrar la infraestructura de TI, para las configuraciones de cualquier hardware o software

1 Inicial /Ad hoc Se reconoce la necesidad de administrar la configuración. Las tareas básicas

de administración de la configuración, como por ejemplo mantener inventarios de hardware y de software, se realizan de manera individual. No se aplican prácticas estándar.

2 Repetible pero Intuitiva La administración está conciente de los beneficios de controlar la

configuración de TI pero hay confianza implícita en los conocimientos y experiencia del personal técnico. Las herramientasa de administración de la configuración se están empleando hasta cierto grado, pero difieren entre las plataformas. Además, no se han definido prácticas estándar de trabajo. El contenido de los datos de configuración es limitado y no es usado por los procesos interrelacionados, como por ejemplo administración de cambios y administración de problemas

3 Proceso Definido La necesidad de información precisa y completa sobre la configuración es

entendida y se hace cumplir. Los procedimientos y las prácticas de trabajo han sido documentados, estandarizados y comunicados, pero el entrenamiento y la aplicación de las normas dependen de la persona. Además, se están implementando herramientas similares de administración de la configuración en todas las plataformas. Es improbable que se detecten las desviaciones de los procedimientos y las verificaciones físicas se realizan de manera inconsistente. Hay alguna automatización para asistir en el rastreo de los cambios de equipos y de software. La configuración de los datos está siendo utilizada por procesos interrelacionados.

4 Administrado y Medible La necesidad de administrar la configuración es reconocida en

todos los niveles de la organización y las mejores prácticas continúan evolucionando. Los procedimientos y las normas son comunicados e incorporados en el entrenamiento y las desviaciones son monitoreadas, rastreadas y reportadas. Se utilizan herramientas automatizadas, como por ejemplo la tecnología de “push”, par hacer valer las normas y para mejorar la estabilidad. Los sistemas de administración de la configuración abarcan la mayor parte de la infraestructura de TI y permiten la administración apropiada de la liberación de versiones y control de la distribución. El análisis de excepciones, así como también las verificaciones físicas, son aplicadas consistentemente y las causas que las originan son investigadas.

5 Optimizado Todos los componentes de la infraestructura son administrados dentro del sistema

de administración de la configuración, que contiene toda la información necesaria sobre los componentes y sus interrelaciones. Los datos de la configuración está alineados con los catálogos de los vendedores. Los procesos interrelacionados están totalmente integrados y usan también datos de actualización de la configuración. Los reportes de auditoría de línea base proveen datos esenciales para reparación, servicio, garantía, actualizaciones y estudios técnicos de hardware y software para cada unidad individual. Se hacen cumplir las reglas de instalación de software autorizado. La administración pronostica las reparaciones y las actualizaciones a partir de reportes de análisis que proveen actualizaciones programadas y capacidades de renovación de la tecnología. El rastreo de activos y el monitoreo de estaciones personales de trabajo protege los activos y previene el robo, el uso indebido y el abuso.



DS10 Entrega y Soporte Administrar los Problemas y los Incidentes El Control sobre el proceso de TI de Administrar los Problemas y los Incidentes con el objetivo del negocio de asegurar que los problemas y los incidentes sean resueltos, y que se investigue la causa para prevenir cualquier recurrencia


Es posibilitado por un sistema de administración de problemas que registra y procesa todos los incidentes


P Efectividad P Eficiencia Confidencialidad Integridad S Disponibilidad Cumplimiento Confiabilidad




• Hay una clara integración de la administración de problemas con disponibilidad y administración de cambios

• Se provee accesibilidad a los datos de configuración, así como también la capacidad para mantenerse al tanto de los problemas para cada componente de configuración

• Está establecido un medio exacto de comunicar los incidentes de problemas, los síntomas, el diagnóstico y las soluciones al personal de soporte apropiado

• Existen medios precisos para comunicar a los usuarios y a TI los eventos excepcionales y los síntomas que necesitan ser reportados a la administración de problemas

• Se provee entrenamiento para soportar al personal en las técnicas de resolución de problemas • Se dispone de cuadros actualizados de funciones y responsabilidades para soportar la administración de

incidentes • Hay involucramiento de los vendedores durante la investigación y resolución de los problemas • Se aplica el análisis post factum de los procedimientos de manejo de problemas




• Se mide la reducción del impacto de los problemas y de los incidentes sobre los Recursos de TI • Se mide la reducción en el tiempo transcurrido desde el reporte inicial de síntomas hasta la resolución de

problemas • Se mide la reducción en los problemas e incidentes no resueltos • Un aumento medido en el número de problemas evitados por medio de reparaciones preventivas • Se reduce el tiempo entre la identificación y el escalamiento de los problemas e incidentes de alto riesgo


• Tiempo transcurrido desde el reconocimiento inicial de los síntomas hasta la entrada en el sistema de administración de problemas

• Tiempo transcurrido entre el registro del problema y la resolución o escalamiento • Tiempo transcurrido entre la evaluación y la aplicación de los parches del vendedor • Porcentaje de problemas reportados que tienen enfoques de resolución ya conocidos • Frecuencia de reuniones de coordinación con personal de administración de cambios y de administración de

disponibilidad • Frecuencia de reporte de análisis de problemas de componentes • Reducción del número de problemas no controlados a través de la administración formal de problemas




DS10 Modelo de Madurez Control sobre el proceso de TI Administrar Problemas e Incidentes con el objetivo del negocio de asegurar que los problemas e incidentes sean resueltos, y que la causa de los mismos sea investigada para prevenir cualquier recurrencia

0 Inexistente. No hay conciencia de la necesidad de administrar problemas e incidentes. El proceso de resolución de problemas es informal y los usuarios y el personal de TI resuelven los problemas de manera individual caso por caso.

1 Inicial /Ad hoc La organización ha reconocido que hay una necesidad de resolver

problemas y de evaluar los incidentes. Las personas con conocimientos clave proveen alguna asistencia con los problemas relacionados con su área de experiencia y responsabilidad. La información no es compartida con otros y las soluciones varían de una persona de soporte a otra, dando como resultado la creación de más problemas y la pérdida de tiempo productivo, mientras se buscan las respuestas. La administración cambia frecuentemente el enfoque y la dirección de las operaciones y el personal de soporte técnico.

2 Repetible pero Intuitivo Hay una amplia conciencia de la necesidad de administrar los

problemas e incidentes relacionados con TI dentro de las unidades de negocio como de la función de los servicios de información. El proceso de resolución ha evolucionado hasta un grado en que unas pocas personas claves son responsables de administrar los problemas e incidentes que ocurren. La información es compartida entre el personal; sin embargo, el proceso sigue sin estructuración, es informal y mayormente reactivo. El nivel de servicio para la comunidad de usuarios varía y es obstaculizado por insuficientes conocimientos estructurados disponibles para quienes resuelven los problemas. El reporte de la administración de incidentes y el análisis de la creación de problemas es limitado e informal.

3 Proceso Definido La necesidad de un sistema efectivo de administración de problemas es

aceptada y evidenciada por presupuestos para la contratación de personal, entrenamiento del mismo y soporte de los equipos de respuesta. Los procesos de resolución, escalamiento y resolución de problemas han sido estandarizados, pero no son sofisticados. Sin embargo, los usuarios han recibido comunicaciones clara sobre dónde y cómo reportar sobre problemas e incidentes. El registro y rastreo de problemas y sus resoluciones es fragmentado dentro del equipo de respuestas, usando las herramientas disponibles sin centralización o análisis. Es probable que las desviaciones de las normas o estándares establecidos pasen desapercibidas.

4 Administrado y Medible El proceso de administración de problemas es entendido en

todos los niveles dentro de la organización. Las responsabilidades y propiedad son claras y establecidas. Los métodos y procedimientos están documentados, comunicados y medidos por efectividad. La mayoría de los problemas e incidentes están identificados, registrados, reportados y analizados en busca de constante mejoramiento y son reportados a las partes interesadas. El conocimiento y la experiencia son cultivados, mantenidos y desarrollados a los más altos niveles y la función es vista como un activo y uno de los mayores contribuyentes al logro de los objetivos de TI. La capacidad de responder a los incidentes es probada periódicamente. La administración de problemas e incidentes está bien integrada dentro de los procesos interrelacionados así como los cambios, la disponibilidad y la administración de la configuración y ayudan a los clientes a administrar los datos, las instalaciones y las operaciones.



5 Optimizado El proceso de administración de problemas ha evolucionado en un proceso que

mira hacia adelante y es proactivo, contribuyendo a los objetivos de TI. Los problemas son anticipados y pueden incluso ser prevenidos. El conocimiento es mantenido, a través de contactos regulares con vendedores y expertos, respecto de patrones de problemas e incidentes pasados y futuros. El registro, reporte y análisis de problemas y resoluciones es automatizado y está totalmente integrado con la administración de configuración de datos. La mayoría de los sistemas han sido equipados con mecanismos automáticos de detección y de advertencia, que son constantemente rastreados y evaluados.



DS11 Entrega y Soporte Administrar los Datos El Control sobre el proceso de TI de Administrar los Datos con el objetivo del negocio de asegurar que los datos sigan siendo completos, precisos y válidos durante su ingreso, actualización y almacenamiento.


Es posibilitado por una combinación efectiva de controles generales y de aplicación sobre las operaciones de TI


Efectividad Eficiencia Confidencialidad P Integridad Disponibilidad Cumplimiento P Confiabilidad


datos



• Los requerimientos de ingreso de datos están claramente establecidos, se les hacen valer y se les soporta por medio de técnicas automatizadas en todos los niveles, incluyendo bases de datos e interfaces de archivos

• Las responsabilidades de los requerimientos de propiedad e integridad de los datos están claramente establecidas y aceptadas en toda la organización

• La exactitud y los estándares de los datos están claramente comunicados e incorporados en los procesos de entrenamiento y de desarrollo de personal

• Las normas de ingreso y de corrección de datos se hacen cumplir en el punto de ingreso • Las normas de integridad del ingreso, procesamiento y salida de los datos son formalizadas y ejecutadas • Los datos son mantenidos en suspenso hasta ser corregidos • Se usan métodos efectivos de detección para hacer que se cumplan las normas de exactitud y de integridad

de datos • La traducción efectiva de datos en todas las plataformas está implementada sin pérdida de integridad o

confiabilidad para satisfacer las exigencias cambiantes del negocio • Hay una menor confiabilidad en los procesos de ingreso manual y redigitación de datos • Las soluciones eficientes y flexibles promueven el uso efectivo de datos • Los datos son archivados y protegidos y están disponibles cuando se necesitan para ser recuperados




• Una reducción que se mide en el proceso de preparación de datos y en las tareas • Un mejoramiento que se mide en la calidad, línea de tiempo y disponibilidad de datos • Un aumento que se mide en la satisfacción del cliente y en la confianza en los datos • Una disminución que se mide en las actividades correctivas y en la exposición a la corrupción de datos • Reducción del número de defectos de datos, como por ejemplo la redundancia, la duplicación y la

inconsistencia • No hay conflictos legales o regulatorios de cumplimiento de los datos


• Porcentaje de errores en el ingreso de datos • Porcentaje de actualizaciones reprocesadas • Porcentaje de verificaciones automatizadas de integridad de datos incorporadas a las aplicaciones • Porcentaje de errores evitados en el punto de ingreso • Número de verificaciones automatizadas de integridad de datos corridas independientemente de las

aplicaciones • Intervalo de tiempo entre la ocurrencia, detección y corrección de errores • Reducción de problemas en la salida de datos • Reducción del tiempo para la recuperación de los datos archivados




DS11 Modelo de Madurez Control sobre el proceso de TI de Administrar los Datos con el objetivo del negocio de asegurar que los datos se mantengan completos, exactos y válidos durante su ingreso, actualización y almacenamiento

0 Inexistente. No se reconocen los datos como un recurso y un activo corporativo. No hay propiedad asignada de datos ni responsabilidad individual de la integridad y confiabilidad de los datos. La calidad y seguridad de los datos son deficientes o inexistentes.

1 Inicial /Ad hoc La organización reconoce una necesidad de datos exactos. Algunos métodos son

desarrollados a nivel individual para prevenir y detectar el ingreso, procesamiento y errores en la salida de los datos. El proceso de identificación y corrección de errores depende de las actividades manuales de la persona, y las reglas y requerimientos no son transmitidos a medida que se llevan a cabo movimientos y cambios de personal. La administración asume que los datos son exactos porque una computadora está involucrada en el proceso. La integridad y seguridad de los datos no son requerimientos de administración y, si existe la seguridad, ésta está administrada por la función de servicios de información.

2 Repetible pero Intuitivo La conciencia de la necesidad de la exactitud de los datos y de

mantener la integridad prevalece en toda la organización. La propiedad de los datos comienza a tener lugar, pero a nivel de un departamento o grupo. Las reglas y requerimientos son documentados por personas clave y no son consistentes en toda la organización y plataformas. Los datos están en custodia de la función de los servicios de información y las reglas y definiciones están impulsadas por los requerimientos de TI. La seguridad e integridad de los datos son primariamente responsabilidades de la función de los servicios de información con una participación departamental menor.

3 Proceso Definido La necesidad de integridad de los datos dentro y en toda la organización

es entendida y aceptada. Las normas de ingreso, procesamiento y salida de datos han sido formalizadas y se hacen cumplir. El proceso de identificación y corrección de errores es automatizado. La propiedad de los datos es asignada, y la integridad y seguridad son controladas por el responsable. Se utilizan técnicas automatizadas para prevenir y detectar errores e inconsistencias. Las definiciones, reglas y requerimientos de datos están claramente documentados y son mantenidos por una función de administración de base de datos. Los datos se vuelven consistentes en todas las plataformas y a través de toda la organización. La función de los servicios de información tiene un rol de custodio, mientras que el control de integridad de datos pasa al propietario de los datos. La administración se basa en los reportes y análisis para las decisiones y la planeación futuras.

4 Administrado y Medible Los datos son definidos como un recurso y un activo

corporativo, a medida que la administración exige más soporte de decisiones y más reporte de rentabilidad. La responsabilidad por la calidad de datos está claramente definida, asignada y comunicada dentro de la organización. Los métodos estandarizados están documentados, mantenidos, y usados para controlar la calidad de los datos, se hacen cumplir las reglas y los datos son consistentes en todas las plataformas y unidades de negocio. La calidad de los datos es medida y la satisfacción del cliente respecto a la información es monitoreada. El reporte de administración asume un valor estratégico para asesorar clientes, tendencias y evaluaciones de productos. La integridad de los datos se vuelve un factor significativo, con la seguridad de datos reconocida como un requerimiento de control. Se ha establecido una función formal de administración de datos a nivel de toda la organización, con los recursos y la autoridad para hacer cumplir la estandarización de datos.



5 Optimizado La administración de datos es un proceso maduro, integrado y de funcionamiento cruzado que tiene una meta claramente definida y bien entendida de entregar información de calidad al usuario, con criterios claramente definidos de integridad, disponibilidad y confiabilidad. La organización maneja activamente datos, información y conocimientos como los recursos y los activos corporativos, con el objetivo de maximizar el valor del negocio. La cultura corporativa hace énfasis en la importancia de datos de alta calidad que necesitan ser protegidos y tratados como un componente clave de capital intelectual. La propiedad de datos es una responsabilidad estratégica con todos los requerimientos, reglas, reglamentaciones y consideraciones claramente documentados, mantenidos y comunicados.



DS12 Entrega y Soporte Administrar Instalaciones El Control sobre el proceso de TI de Administrar Instalaciones con el objetivo del negocio de proveer un entorno físico adecuado que proteja el equipo de TI y la gente contra riesgos naturales y provocados por el hombre


Es posibilitado por la instalación de controles ambientales y físicos adecuados que sean revisados regularmente en busca de su funcionamiento apropiado


Efectividad Eficiencia Confidencialidad P Integridad P Disponibilidad Cumplimiento Confiabilidad




• Están definidas estrategias y normas para todas las instalaciones, que abarcan la selección del sitio, la construcción, custodia, seguridad de personal, sistemas mecánico y eléctrico, protección contra incendio, rayo e inundación

• La estrategia y las normas de las Instalaciones están alineadas con los objetivos de disponibilidad de los servicios de TI y con las políticas de seguridad de información, y están integradas con la planeación de continuidad del negocio y con la administración de crisis

• Las Instalaciones son monitoreadas regularmente usando sistemas automatizados con tolerancias claras y logs de auditoría, CCTV (Circuito Cerrado de Televisión ) y sistemas de detección de intrusos donde es necesario, así como también a través de inspecciones físicas y auditorías

• Hay un cumplimiento estricto de los programas de mantenimiento preventivo y estricta disciplina en el mantenimiento de las Instalaciones

• El acceso físico es rigurosamente monitoreado y se basa en principios de “necesidad de ser” y de zonificación, con autorización de identificación y procedimientos de excepción donde se necesita.

• Hay buenas relaciones e intercambio de información con las fuerzas de la ley, las brigadas de incendios y otras autoridades locales.

• Hay claros, concisos y actualizados procedimientos de detección, inspección y escalamiento soportados por un programa de entrenamiento




• Una reducción en el número de incidentes de seguridad física instalaciones , incluyendo robo, daños, revelación, cortes de energía, salud, y problemas de seguridad

• Una reducción en la cantidad de tiempo improductivo debido a cortes de energía en las instalaciones • Un cumplimiento medido de las leyes y reglamentaciones aplicables • Una adherencia medida a los requerimientos de políticas de seguro • Un mejoramiento medido en la proporción costo /riesgo


• Inventario completo y mapas con identificación de puntos únicos de falla • Frecuencia de entrenamiento de personal en seguridad, Instalaciones y medidas de seguridad • Frecuencia de prueba de alarma de incendio y planes de evacuación • Frecuencia de inspecciones físicas • Reducción del número de accesos no autorizados a salas de equipos restringidas • Cambio transparente y regular que garantiza que no habrá interrupción de energía • Demora entre el registro y la finalización de incidentes físicos




DS12 Modelo de Madurez Control sobre el proceso de TI Administrar Instalaciones con el objetivo del negocio de proveer un entorno físico adecuado que proteja el equipo y la gente de TI contra los riesgos naturales y provocados por el hombre 0 Inexistente. No hay conciencia de la necesidad de proteger las Instalaciones o la inversión en los

recursos de computación. Los factores ambientales, incluyendo la protección contra incendios, el polvo, la energía y el calor y la humedad excesivos, no son monitoreados ni controlados.

1 Inicial /Ad hoc La organización ha reconocido un requerimiento del negocio de proveer un

entorno físico adecuado que proteja los recursos y el personal de los riesgos naturales y provocados por el hombre. No existen procedimientos estándar y la administración de Instalaciones y equipo depende de las habilidades y capacidades de las personas clave. No se revisa el mantenimiento y la gente se mueve dentro de las Instalaciones sin restricción. La administración no monitorea los controles ambientales de la instalación ni el movimiento de personal.

2 Repetible pero intuitivo La conciencia de la necesidad de proteger y de controlar el entorno

físico de computación es reconocida y evidente en la asignación de los presupuestos y de otros recursos. Los controles ambientales son implementados y monitoreados por el personal de operaciones. La seguridad física es un proceso informal, impulsado por un pequeño grupo de empleados que tienen un alto nivel de preocupación sobre la seguridad de las Instalaciones físicas. Los procedimientos de mantenimiento de las Instalaciones no están bien documentados y se basan en las mejores prácticas de unas pocas personas. Las metas de la seguridad física no se basan en ningún estándar formal y la administración no asegura que se logren los objetivos de seguridad.

3 Proceso Definido La necesidad de mantener un entorno controlado de computación es entendida

y aceptada dentro de la organización. Los controles ambientales, de mantenimiento preventivo y de seguridad física son rubros del presupuesto aprobados y la administración les hace seguimiento. Se aplican restricciones de acceso, permitiéndose el acceso a las Instalaciones de computación sólo al personal aprobado. Los visitantes son registrados y a veces escoltados, dependiendo del personal responsable. Las Instalaciones físicas tienen perfil bajo y no se pueden identificar fácilmente. Las autoridades civiles monitorean el cumplimiento de las reglamentaciones sanitarias y de seguridad. Los riesgos están asegurados, pero no se hace esfuerzo alguno para optimizar los costos de seguros.

4 Administrado y Medible La necesidad de mantener un entorno controlado de computación es

entendida totalmente, como es evidente en la estructura organizacional y en la asignación de presupuesto. Los requerimientos ambientales y de seguridad física están documentados y el acceso está estrictamente controlado y monitoreado. La responsabilidad y la propiedad han sido establecidas y comunicadas. El personal de las Instalaciones ha sido totalmente entrenado en situaciones de emergencia, así como también en prácticas sanitarias y de seguridad. Están estandarizados los mecanismos de control para restringir el acceso a las Instalaciones y para resolver factores ambientales y de seguridad. La administración monitorea la efectividad de los controles y el cumplimiento de las normas establecidas. La recuperación de los recursos de computación está incorporada al proceso corporativo de administración de riesgos. Están desarrollados planes para toda la organización, se llevan a cabo pruebas regulares e integradas y las lecciones aprendidas son incorporadas en las revisiones de los planes. La información integrada se usa para optimizar la cobertura de seguros y los costos relacionados.



5 Optimizado Hay un plan a largo plazo para las Instalaciones que se requiere que soporten el entorno de computación de la organización. Las normas están definidas para todas las Instalaciones, abarcando la selección del sitio, la construcción, custodia, seguridad de personal, sistemas mecánico y eléctrico, protección contra incendio, rayo e inundación. Todas las Instalaciones son inventariadas y clasificadas en conformidad con el proceso de administración de riesgos de la organización en progreso. El acceso está estrictamente controlado y se basa en la necesidad para el trabajo, es monitoreado constantemente y los visitantes son escoltados en todo momento. El entorno es monitoreado y controlado por medio de equipo especializado y las salas de equipos se vuelven automatizadas. Los programas de mantenimiento preventivo hacen cumplir estrictamente los programas y se aplican pruebas regulares a los equipos sensitivos. La estrategia y normas de las Instalaciones están en correspondencia con los objetivos de disponibilidad de servicios de TI y están integradas con la planeación de la continuidad del negocio y con la administración de crisis. La administración revisa y optimiza las Instalaciones constantemente, capitalizando sobre las oportunidades de mejorar la contribución del negocio.



DS13 Entrega y Soporte Administrar las Operaciones El Control sobre el proceso de TI de Administrar las Operaciones con el objetivo del negocio de asegurar que las funciones importantes de soporte de TI se realicen regularmente y en la forma debida


Es posibilitado por un programa de actividades de soporte que es registrado y aprobado para la realización de todas las actividades


P Efectividad P Eficiencia Confidencialidad S Integridad S Disponibilidad Cumplimiento Confiabilidad




• Las instrucciones de las operaciones están bien definidas, en conformidad con las normas acordadas, y con disposición de puntos claramente eliminados y puntos de reinicio

• Hay un alto grado de estandarización de las operaciones • Hay una estrecha coordinación con procesos relacionados, incluyendo funciones de administración de

problemas y de cambios, y administración de la disponibilidad y de la continuidad • Hay un alto grado de automatización de las tareas de operaciones • Los procesos operativos son reestructurados para que funcionen efectivamente con herramientas

automatizadas • La racionalización y la estandarización de las herramientas de administración de sistemas está implementada • El manejo de entradas y salidas está hasta donde es posible, confinado a los usuarios • Los cambios en la programación de trabajos están estrictamente controlados • Hay procedimientos estrictos de aceptación para nuevos cronogramas de trabajo, incluyendo documentación

entregada • Están establecidos esquemas de mantenimiento preventivo • Los acuerdos de soporte de servicio con los vendedores están definidos y se hacen cumplir • Están establecidos procedimientos claros y concisos de detección, inspección y escalamiento




• Una reducción en la medición en las demoras y desviaciones de los cronogramas • La medición de los medios de salida producidos y entregados a su debido destinatario • Una medida de los recursos disponibles a tiempo y dentro de lo programado • Una reducción medida en los errores relacionados con las operaciones • Una cantidad reducida de tiempo improductivo programado y también no programado debido a

intervenciones de operaciones • Un costo general reducido de operación en relación con la carga general de procesamiento


• Una conclusión medida del proceso de cómputo en diversas etapas • Una reducción medida en intervención de operador • Reducción en el número de problemas, demoras y desviaciones • Reducción en el número de repeticiones y reinicio de procesos • Cantidad reducida de mantenimiento no planeado • Reducción en el número de trabajos y eventos no programados • Mayor número de configuración de parámetros controlados por los usuarios • Congruencia medida entre la demanda de usuarios y la disponibilidad de capacidad de recursos • Frecuencia de análisis y de reporte realizados para monitorear el desempeño de operaciones • Frecuencia de verificaciones de copias de seguridad • Edad promedio del equipo




DS13 Modelo de Madurez Control sobre el proceso de TI de Administrar las Operaciones con el objetivo del negocio de asegurar que las funciones importantes de soporte de TI se realicen regularmente y en la forma debida

0 Inexistente. La organización no dedica tiempo y recursos al establecimiento de actividades básicas de soporte y operaciones de TI

1 Inicial /Ad hoc La organización reconoce la necesidad de estructurar las funciones de

soporte de TI. Sin embargo, no están establecidos procedimientos estándar y las actividades de operaciones son reactivas por naturaleza. La mayoría de las operaciones no están formalmente programadas y las solicitudes de procesamiento son aceptadas sin validación previa. Las computadoras que soportan los procesos de negocio son interrumpidas con frecuencia, demoradas o no están disponibles. Se pierde tiempo mientras los empleados esperan recursos. Los sistemas no son estables o no están disponibles y los medios de salida aparecen a menudo en lugares inesperados o no aparecen en absoluto.

2 Repetible pero intuitivo La organización es plenamente conciente del rol clave que juegan

las actividades de operaciones de TI en proveer funciones de soporte de TI. Además, la organización comunica la necesidad de coordinación entre los usuarios y las operaciones de sistemas. Los presupuestos para herramientas se están asignando caso por caso. Las operaciones de soporte de TI son informales e intuitivas. Hay una gran dependencia de las habilidades y capacidades de las personas. Las instrucciones de qué hacer, cuándo y en qué orden, no están documentadas. No hay normas de operación y no existe un entrenamiento formal de operador. La administración no mide el cumplimiento de los programas por las operaciones de TI o las demoras de los análisis.

3 Proceso Definido La necesidad de administrar operaciones de computadora es entendida y

aceptada dentro de la organización. Se han asignado recursos y se lleva a cabo algún entrenamiento en el puesto de trabajo. Las funciones repetibles están definidas formalmente, estandarizadas, documentadas y comunicadas al personal de operaciones y de clientes. Los casos y resultados de tarea completados son registrados, pero el reporte a la administración es limitado o inexistente. El uso de programación automatizada y de otras herramientas es extendido y estandarizado para limitar la intervención del operador. Otras actividades regulares de soporte de TI están también definidas y se están definiendo las tareas relacionadas. Se ejercen controles estrictos sobre poner en operación nuevos procesos (jobs) y se usa una política formal para reducir el número de casos no programados. Los contratos de mantenimiento y de servicios con los vendedores aún son informales por naturaleza.

4 Administrado y Medible Las operaciones de computadora y las responsabilidades de

soporte están claramente definidas y la propiedad está asignada. Las operaciones son soportadas por medio de presupuestos de recursos para los gastos de capital y para recursos humanos. El entrenamiento está formalizado y en curso, como parte de desarrollo de carreras. Los programas y tareas están documentados y comunicados, tanto al interior de la función de TI como del cliente de negocio. Es posible medir y monitorear las actividades diarias con contratos estandarizados de ejecución y niveles establecidos de servicio. Cualquier desviación de las normas establecidas son resueltas y corregidas con rapidez. La administración monitorea el uso de los recursos de cómputo y la realización de los trabajos o tareas asignadas. Existe un esfuerzo constante para aumentar el nivel de automatización del proceso como un medio de asegurar mejoramiento constante. Contratos formales de



5 Optimizado Las operaciones de soporte de TI son efectivas, eficientes y lo suficientemente flexibles como para satisfacer las necesidades de nivel de servicio rápidamente y sin pérdida de productividad. Los procesos operativos de administración de TI están estandarizados y documentados sobre una base de conocimiento y están sujetos a constante mejoramiento. Los procesos automatizados que soportan los sistemas operan de manera impecable y contribuyen a un entorno estable que es transparente y que puede ser usado por el usuario. Esto permite a los usuarios maximizar la correspondencia entre las operaciones de TI y sus necesidades. Todos los problemas y fallas son analizados para identificar la causa que los originó. Las reuniones periódicas con la administración de cambios aseguran que se incluyan a tiempo los cambios en los programas de producción. En cooperación con los vendedores, el equipo es analizado en busca de edad y síntomas de mal funcionamiento, y el mantenimiento es principalmente preventivo por naturaleza.

mantenimiento y servicio están establecidos con los vendedores. Hay total concordancia con los procesos de administración de problemas y de disponibilidad, soportados por un análisis de las causas de errores y fallas.



MONITOREO



M1 Monitoreo Monitorear los Procesos El Control sobre el proceso de TI de Monitorear los Procesos con el objetivo del negocio de asegurar el logro de los objetivos de desempeño fijados para los procesos de TI.


Es posibilitado por la definición de indicadores relevantes de desempeño, el reporte sistemático y oportuno del desempeño y la pronta acción frente a las desviaciones






• Se cuenta con reportes útiles, precisos y oportunos de administración • Los procesos tienen Indicadores Clave de Objetivo e Indicadores Clave de Desempeño definidos y

entendidos • Las medidas del desempeño de TI incluyen criterios financieros, operacionales, de cliente y criterios de

aprendizaje organizacional que asegura la correspondencia con los objetivos en toda la organización y que pueden ser integrados con herramientas tales como el Balanced Business Scorecard de TI

• Hay objetivos de proceso claramente entendidos y comunicados • Está establecido un marco para definir e implementar los requerimientos de reporte de gobernabilidad de TI • Está establecida una base de conocimientos de desempeño histórico




• Aplicación consistente del número limitado correcto de indicadores de desempeño • Mayor número de oportunidades de mejoramiento de proceso detectadas y sobre las cuales se actuó • Satisfacción de la entidad de administración y gobernabilidad con el reporte de desempeño • Reducción en el número de deficiencias de proceso pendientes


• Demora entre la ocurrencia y el reporte de deficiencia de proceso • Demora entre el reporte de una deficiencia y la acción iniciada • Proporción entre las deficiencias de proceso reportadas y las deficiencias aceptadas posteriormente que

requieren seguimiento de atención de la administración (índice de ruido) • Número de procesos monitoreados • Número de relaciones causa efecto identificadas e incorporadas en el monitoreo • Número de Benchmarks externos de efectividad de proceso • Demora entre los cambios de negocio y cualquier cambios asociados a los indicadores de desempeño • Número de cambios del conjunto de indicadores de desempeño sin el cambio de objetivos de negocio




M1 Modelo de Madurez Control sobre el proceso de TI de Monitorear los Procesos con el objetivo del negocio de asegurar el logro de los objetivos de desempeño fijados para los procesos de TI

0 Inexistente. La organización no ha implementado un proceso de monitoreo. TI no lleva a cabo el monitoreo de los proyectos o de los procesos de manera independiente. No se cuenta con reportes útiles, oportunos y precisos. No se reconoce la necesidad de objetivos de procesos claramente entendidos.

1 Inicial /Ad hoc La administración reconoce una necesidad de recoger y estudiar

información sobre los procesos de monitoreo. No se han identificado los procesos de recopilación y estudio de los estándares. El monitoreo está implementado y la métrica se escoge según el caso, en conformidad con las necesidades de proyectos y procesos específicos de TI. El monitoreo es en general implementado de manera reactiva frente a un incidente que haya causado alguna pérdida o dificultad a la organización. El monitoreo es implementado por la función de servicios de información para el beneficio de otros departamentos, pero no está implementado sobre los procesos de TI. Las medidas de definición y monitoreo de procesos siguen los métodos tradicionales de control financiero, de operaciones e interno, sin resolver específicamente las necesidades de la función de servicios de información.

2 Repetible pero intuitivo Se han identificado las medidas básicas a ser monitoreadas. Se ha

definido la recolección y estudio de métodos y técnicas, pero no se han adoptado los procesos en toda la organización. Las funciones de planificación y administración son creadas para determinar los procesos de monitoreo, pero las decisiones se toman en base a la experiencia de las personas clave. Se escogen y se implementan herramientas limitadas para recoger información, pero no se pueden usar en toda su capacidad debido a una falta de experiencia en su funcionalidad. La función de servicios de información es administrada como un centro de costo, sin determinar su contribución a las entidades de la organización que generan ingresos.

3 Proceso Definido La administración ha comunicado e institucionalizado proceso estándar

de monitoreo. Se han implementado programas educativos y de entrenamiento para monitoreo. Se ha desarrollado una base formalizada de conocimientos de información de desempeño histórico. Aún se realizan evaluaciones a nivel del proceso individual de TI y al nivel del proyecto, y las mismas no están integradas entre todos los procesos. Se están implementando las herramientas para monitorear los procesos internos y los niveles de servicio de TI. Las medidas de la contribución de la función de servicios de información al desempeño de la organización han sido definidas usando criterios financieros y operativos tradicionales. Las medidas específicas de desempeño de TI están definidas e implementadas, pero las medidas no financieras y estratégicas son todavía informales. Las medidas de los niveles de satisfacción de cliente y de servicio suministradas a las entidades de la organización están siendo implementadas.

4 Administrado y Medible La administración ha definido las tolerancias bajo las cuales los

procesos deben operar. La determinación de la línea base de los resultados de monitoreo está siendo estandarizada y normalizada. Hay integración de métrica en todo los proyectos y procesos de TI. Los sistemas de reporte a la administración de la función de servicios de información están formalizados y total mente automatizados.



Las herramientas automatizadas están integradas y respaldadas en toda la organización para recolectar y monitorear información operativa sobre las aplicaciones, los sistemas y los procesos. Se ha definido un marco para identificar estratégicamente los KGIs, KPIs y CSFs orientados para medir el desempeño. Se han definido criterios para evaluar el desarrollo organizacional basado en los Modelos de Madurez. Las medidas del desempeño de la función de servicios de información incluyen criterios de aprendizaje financieros, operativos, de clientes y organizacionales que aseguran la correspondencia con los objetivos a nivel de toda la organización.

5 Optimizado Se desarrolla un proceso constante de mejoramiento de calidad para actualizar

las normas de monitoreo en toda la organización y las políticas y para incorporar las mejores prácticas de la industria. Todos los procesos de monitoreo están optimizados y soportan objetivos de toda la organización. Los KGIs, KPIs Y CSFs se usan de manera rutinaria para medir el desempeño y están integrados en marcos de evaluación estratégica tales como el Balanced Scorecard de TI. El monitoreo de procesos y el rediseño en progreso son consistentes con los planes desarrollados basados en modelos de madurez de proceso y con planes de mejoramiento del proceso de negocio en toda la organización. Se ha vuelto formal el establecimiento de Benchmarking comparándose con la industria y los competidores clave, con criterios bien entendidos de comparación.



M2 Monitoreo Determinar lo Adecuado del Control Interno El Control sobre el proceso de TI de Determinar lo Adecuado del Control Interno con el objetivo del negocio de asegurar el logro de los objetivos de control interno fijados para los procesos de TI


Es posibilitado por el compromiso de monitorear el control interno, determinar su efectividad, y reportar sobre ellos regularmente


P Efectividad P Eficiencia S Confidencialidad S Integridad S Disponibilidad P Cumplimiento S Confiabilidad




• La administración define claramente qué componentes de los procesos necesitan ser controlados • las responsabilidades de control interno, de cumplimiento y de auditoría interna están claramente entendidas • La competencia y la autoridad de la función de cumplimiento del control interno existen, resolviendo la

delegación donde sea apropiado • Está establecido un marco debidamente definido de proceso de control de TI • Se usa un proceso claro para reportar oportunamente las deficiencias de control interno • Los datos de monitoreo de control interno son precisos, completos y oportunos • Hay compromiso de la administración de tomar acción sobre las deficiencias de control interno • Hay correspondencia con los procesos de evaluación del riesgo y los procesos de seguridad • Está establecido un proceso para soportar la participación de los conocimientos en los incidentes y

soluciones de control interno




• Índice de satisfacción de la alta gerencia y de conformidad con el reporte sobre monitoreo de control interno • Menos probabilidad de incidentes de control interno • Reportes positivos de calificación y certificación externa • Número de iniciativas de mejoramiento del control • Ausencia de casos de incumplimiento regulatorios o legal • Menos número de incidentes de seguridad y de defectos de calidad


• Número y cobertura de auto evaluaciones de control • Tiempo entre el acontecimiento y el reporte de deficiencias de control interno • Número, frecuencia y cobertura de los reportes de cumplimiento de control interno • Número de acciones oportunas sobre problemas de control interno • Número de mejoramientos de control que provienen del análisis de las causas que los originan




M2 Modelo de Madurez Control sobre el proceso de TI de Determinar lo Adecuado del Control Interno con el objetivo del negocio de asegurar el logro de los objetivos de control interno fijados para los procesos de TI

0 Inexistente. La organización carece de procedimientos para monitorear la efectividad de los controles internos. Los métodos de reporte de control interno de administración están ausentes. Hay una ausencia general de conciencia de la seguridad operativa y del aseguramiento de control interno de TI. La administración y los empleados tienen una falta general de conciencia de los controles internos.

1 Inicial /Ad hoc La organización tiene una falta de compromiso de administración para la

seguridad operativa regular y el aseguramiento de control interno. Se aplica ad hoc la experiencia individual en determinar la adecuación de control interno. La administración de TI no ha asignado formalmente responsabilidad de monitorear la efectividad de los controles internos. Las evaluaciones de control interno de TI son realizadas como parte de auditorías financieras tradicionales, con metodologías y conjuntos de habilidades que no reflejan las necesidades de la funciones de servicios de información.

2 Repetible pero intuitivo La organización usa reportes informales de control para iniciar

iniciativas de acción correctiva. Los procesos de planificación y administración están definidos, pero la evaluación depende de los conjuntos de habilidades de las personas clave. La organización tiene una mayor conciencia del monitoreo de control interno. La administración ha comenzado a establecer métricas básicas. La administración de servicios de información realiza regularmente monitoreo sobre la efectividad de los controles críticos internos. Los controles sobre la seguridad son monitoreados y los resultados son revisados regularmente. Las metodologías y herramientas específicas para el entorno de TI están comenzando a usarse, pero no consistentemente. El personal calificado de TI está participando de manera rutinaria en las evaluaciones de control interno. Los factores de riesgo específicos del entorno de TI están siendo definidos.

3 Proceso Definido La administración soporta y ha institucionalizado un monitoreo de control interno. Se

han desarrollado políticas y procedimientos para evaluar y reportar sobre las actividades de control interno. Se está estableciendo una base de conocimientos de métrica para información histórica sobre el monitoreo de control interno. Se ha implementado un programa de educación y entrenamiento para el monitoreo de control interno. Se han establecidos revisiones periódicas para el monitoreo del control interno. Están establecidas auto evaluaciones y revisiones de aseguramiento de control interno y las mismas involucran la administración de la función de servicios de información trabajando con los administradores de negocios. Se están utilizando herramientas pero las mismas no están necesariamente integradas en todos los procesos. Se están usando las políticas de evaluación del riesgo del proceso de TI dentro de los marcos de control desarrollados específicamente para la organización de TI. La funciones de servicios de sistema de información está desarrollando sus propias capacidades orientadas técnicamente al control interno de TI.

4 Administrado y Medible La administración ha establecido Benchmarking y metas cuantitativas para

los procesos de revisión del control interno. La organización estableció niveles de tolerancia para el proceso de monitoreo de control interno. Están incorporadas herramientas integradas y cada vez más automatizadas en los procesos de revisión del control interno, con un mayor uso de análisis y control cuantitativo. Los riesgos específicos del



proceso y las políticas de mitigación están definidas para toda la función de servicios de información. Está establecida una función formal de control interno de TI, con profesionales especializados y certificados que utilizan un marco formal de control aprobado por la alta gerencia. Se está formalizando Benchmarking contra los estándares de la industria y el desarrollo de las mejores prácticas.

5 Optimizado La administración ha establecido un programa de mejoramiento continuo a

través de toda la organización que toma en cuenta las lecciones aprendidas y las mejores prácticas de la industria para el monitoreo de control interno. La organización usa herramientas avanzadas que son integradas y actualizadas, cuando es apropiado. Está formalizada la participación de los conocimientos y están implementados programas formales de entrenamiento específicos para la función de los servicios de información. Los marcos de control de TI resuelven no solamente problemas técnicos, sino que están integrados con marcos y metodologías a nivel de toda la organización para asegurar consistencia con las metas de la organización.



M3 Monitoreo Obtener Aseguramiento Independiente El Control sobre el proceso de TI de Obtener Aseguramiento Independiente con el objetivo del negocio de aumentar la confianza entre la organización, los clientes y los terceros proveedores


Es posibilitado por revisiones de Aseguramiento independientes llevadas a cabo regularmente






• Hay una correspondencia constante con las necesidades de los interesados • La organización ha definido los procesos para las actividades de Aseguramiento de TI, en especial el control

interno general, la certificación y las decisiones mayores • Se realiza rutinariamente Benchmarking de los proveedores de servicio externos • Las principales decisiones de TI tienen un análisis directo de requerimientos para una opinión de

Aseguramiento de terceros • Antes de obtener Aseguramiento independiente, se realiza una evaluación de riesgo de alto nivel con los

interesados clave • Hay un compromiso de respaldar Aseguramiento independiente para el mejoramiento sostenible • Las actividades de Aseguramiento se realizan en conformidad con las prácticas generalmente aceptadas,

como por ejemplo SysTrust • Hay una sociedad entre auditor y auditado, para estimular la cooperación




• Incremento de número de opiniones aceptadas sobre el sistema general de control interno para todos los dominios acordados

• Mayor número de certificaciones de calidad o acreditaciones para todos los dominios acordados • Mayor número de segundas opiniones reportadas a los interesados para las decisiones importantes de TI

como por ejemplo, salir en vivo, negociaciones de contrato, empresas colectivas (Joint Ventures), y adquisiciones importantes

• Porcentaje de recomendaciones cerradas a tiempo en relación con las revisiones independientes de control interno, certificaciones de calidad o acreditaciones y segundas opiniones

• Menor número de decisiones importantes que fracasaron o que fueron revertidas • Índice de confianza de los interesados


• Menores gastos generales de obtener aseguramiento y certificaciones • Puntualidad de reporte de Aseguramiento • Puntualidad de las actividades de Aseguramiento • Número de procesos de Aseguramiento iniciados • Número de reiteraciones antes de que los reportes de Aseguramiento sean aceptados • Número de decisiones de TI que requieren Aseguramiento donde no se buscaba aseguramiento • Número de decisiones de TI que no requerían de aseguramiento donde se buscaba aseguramiento • Menor número de decisiones importantes de TI fracasadas o revertidas después de que se obtuvo un

Aseguramiento positivo




M3 Modelo de Madurez Control sobre el proceso de TI de Obtener Aseguramiento Independiente con el objetivo del negocio de aumentar la confianza entre la organización, los clientes y los terceros proveedores 0 Inexistente. La organización no tiene establecidos procesos de aseguramiento. No están

implementadas políticas de seguridad. No se han desarrollado acuerdos de nivel de servicio y los procesos no se miden. La administración no ha instituido ningún programa de Aseguramiento o de certificación.

1 Inicial /Ad hoc La organización administra los procesos de TI de manera independiente. Están

establecidos procesos de certificación y de Aseguramiento en manera excepcional. La certificación y el Aseguramiento son impulsados por casos tales como los cambios regulatorios o requerimiento o la demanda de clientes. El proceso de Aseguramiento es llevado a cabo de manera reactiva por equipos especiales o por especialistas técnicos que no tienen habilidades específicas de aseguramiento.

2 Repetible pero intuitivo La administración de funciones de servicios de información ha

implementado procesos para administrar las actividades de aseguramiento. Los requisitos de Aseguramiento están aún vinculados con las necesidades del negocio y con los requerimientos y están impulsados por la función de servicios de sistema de información. La administración del riesgo como parte de la administración de funciones de servicios del sistema de información, impulsa los programas de certificación y aseguramiento. La función de servicios de información realiza evaluaciones de riesgo para identificar los riesgo a nivel de sistema. La alta gerencia soporta y se ha comprometido al Aseguramiento independiente. Están desarrollados los métodos y las técnicas para certificación y Aseguramiento y los mismos están siendo referidos para desarrollar las mejores prácticas. El proceso para seleccionar los recursos internos o externos se está formalizando.

3 Proceso Definido La organización ha definido e institucionalizado los procesos para las actividades

de Aseguramiento de TI y los criterios para usar recursos internos y externos en base al nivel de experiencia, sensibilidad e independencia requeridos. Los procesos de Aseguramiento incluyen requerimientos legales y regulatorios, necesidades de certificación, efectividad organizacional general e identificación de las mejores prácticas. Se han desarrollado requerimientos de Aseguramiento para los procesos de TI. La administración lleva a cabo revisiones participativas de todas las actividades de aseguramiento. La administración que no hace parte de la función de servicios de información lleva a cabo revisiones proactivas que involucran aseguramiento y certificación. Una base de conocimientos de las mejores prácticas de aseguramiento y de certificaciones ha sido desarrollada. Los procesos claves de TI han sido certificados.

4 Administrado y Medible La administración ha implementado procesos de Aseguramiento para

asegurar que los procesos críticos de TI sean identificados y tengan planes específicos de aseguramiento. Los procesos de TI son revisados en el contexto del proceso de negocio que ellos soportan. Los procesos de Aseguramiento son administrados y controlados de manera cuantitativa. La administración usa lo que se aprende de los procesos de Aseguramiento y de certificación para mejorar otros procesos, basados en lo que se aprendió. La base de conocimientos es utilizada para asegurar que las mejores prácticas sean usadas en nuevos procesos y para hacer Benchmark a otros procesos. Está establecido un proceso formal para asegurar la competencia de la función de Aseguramiento evaluando constantemente el equilibrio entre los conocimientos disponibles interna y externamente y las habilidades. Están definidos los criterios costo /beneficio para llevar a cabo evaluaciones internas y externas.



5 Optimizado La administración ha implementado medidas para asegurar que todos los procesos críticos de negocio tengan procesos de aseguramiento sobre las infraestructuras de TI que los soportan. La organización tienen un programa de mejoramiento constante para los procesos de aseguramiento y certificación que refleja las mejores prácticas de la industria. La administración ha desarrollado la capacidad de integrar rápidamente los resultados de las actividades de aseguramiento y certificación en procesos a nivel de toda la organización. La efectividad de los proveedores de servicios de terceros y relaciones con socios de negocio son evaluadas de manera rutinaria. Hay una estrategia definida formalmente, soportada por la alta gerencia, para desarrollar el cumplimiento de las normas nacionales e internacionales y para obtener certificaciones que son vistas como que proveen reconocimiento y una ventaja competitiva.



M4 Monitoreo Proveer Auditoría Independiente El Control sobre el proceso de TI de Proveer Auditoría Independiente con el objetivo del negocio de aumentar los niveles de confianza y aprovechar el asesoramiento de la mejor práctica


Es posibilitado por auditorías independientes llevadas a cabo regularmente Considera los Factores Críticos de Éxito que respaldan Recursos de TI específicos y se mide por medio de los Indicadores Clave de Desempeño.

• Mayor nivel de confianza derivado de las actividades de auditoría independiente • Mayor adopción de las mejores prácticas como resultado de asesoramiento y recomendaciones de auditoría

independiente • Mayor valor por el dinero • Mayor nivel de comunicación con el comité de auditoría y la alta gerencia


• Mayor nivel de satisfacción con la relación de trabajo de la función de auditoría • Número de acciones correctivas y sostenibles emprendidas como un resultado de nuevas hallazgos de

auditoría • Mayor número de auditores con certificaciones profesionales y técnicas • Tiempo mejorado del ciclo del proceso de auditoría desde la planificación hasta el reporte






• Un comité de auditoría que define y soporta un mandato de auditoría que provee la independencia, responsabilidad, autoridad y obligación de rendir cuentas de la función de auditoría

• La planificación basada en el riesgo se usa para identificar el negocio y las actividades de TI para revisiones iniciales y cíclicas

• La planificación y la realización de auditorías son proactivas • La metodología de auditoría está debidamente soportada por herramientas y técnicas • Están establecidas prácticas claramente acordadas entre la administración y la auditoría para rastrear y cerrar

recomendaciones de auditoría y para reportar sobre la situación global • Los auditores realizan evaluaciones de impacto de recomendaciones, incluyendo costo, beneficio y riesgo • Las auditorías se realizan en conformidad con normas de auditoría generalmente aceptadas




M4 Modelo de Madurez Control sobre el proceso de TI de Proveer Auditoría Independiente con el objetivo del negocio de aumentar los niveles de confianza y aprovechar el asesoramiento de la mejor práctica

0 Inexistente. La administración no está conciente de la importancia de una función de auditoría independiente y no se llevan a cabo auditorías independientes.

1 Inicial /Ad hoc Existe una Función informal de auditoría de TI que realiza diferentes

revisiones cada cierto tiempo. No hay un plan general para proveer auditorías independientes ni coordinación entre las revisiones. La planeación, administración y reporte de auditoría independiente se basa en la experiencia individual. La calidad de planeación y entrega de los servicios de auditoría es en general deficiente, con resultados variables y participación muy limitada de la administración.

2 Repetible pero intuitivo La disposición de una función de auditoría independiente es

reconocida por la administración como potencialmente útil, pero no hay ninguna política escrita que defina su propósito, autoridad y responsabilidades. La alta gerencia no ha establecido una infraestructura y un proceso para asegurar que las auditorías independientes se lleven a cabo regularmente. La planeación, administración y reporte de auditorías independientes sigue un patrón similar, basado en la experiencia ganada anteriormente y en la experiencia y conocimientos de los miembros del equipo. Hay poca coordinación entre las auditorías y un seguimiento limitado de las conclusiones de las auditorías anteriores. El interés y la participación de la administración de TI en el proceso de auditoría es inconsistente y depende de la calidad percibida del equipo específico de auditoría.

3 Proceso Definido La alta gerencia ha establecido un estatuto para la función de auditoría de

TI y éste se sigue para proveer la independencia y autoridad de la función de auditoría. La administración de auditoría ha identificado y entiende el entorno y las iniciativas de TI. Está establecido un proceso para planear y administrar las auditorías. Del personal de auditoría se espera que cumpla con las normas de auditoría, pero los resultados pueden ser variables. La resolución de los comentarios de auditoría ocurren, pero a menudo hay un seguimiento y cierre deficientes. Están establecidos los elementos básicos de garantía de calidad para garantizar que las prácticas cumplan con las normas de auditoría aplicables y para mejorar la efectividad de las actividades de la función de auditoría. Las funciones financieras y de proceso de auditoría de TI en general no están integradas. La administración de TI está conciente de la necesidad de auditorías independientes, pero no siempre está satisfecha de la calidad que se provee y no tiene confianza que la función tenga conocimientos adecuados para hacer recomendaciones válidas.

4 Administrado y Medible Están establecidos planes estratégicos y operativos de auditoría

basados en el riesgo, basados en una evaluación de las necesidades actuales y futuras. Están desarrollados planes individuales de auditoría, basados en un plan cíclico operativo y en la disponibilidad de recursos. El proceso de auditoría puede ser diseñado para asignaciones específicas. Está establecida y desarrollada una base de conocimientos del proceso para asegurar que las evaluaciones de calidad se puedan hacer y que se generen recomendaciones útiles. Las auditorías están coordinadas e integradas con cualquier auditoría financieras y de proceso asociadas. Los resultados son reportados a la administración y se llevan a cabo



seguimientos para asegurar que la administración haya emprendido acciones correctivas sobre los problemas críticos identificados por las auditorías. Una función estructurada de aseguramiento de calidad facilita la administración y control cuantitativos del proceso de auditoría. La función de auditoría de TI participa en el desarrollo de acciones correctivas y en proyectos para asegurar que los controles están debidamente integrados en procesos. La administración de TI está usualmente involucrada positivamente en todas las auditorías y hace uso de los resultados de auditoría para mejorar el desempeño.

5 Optimizado La función de auditoría es capaz de responder rápidamente a las preocupaciones de la administración relacionadas con el proceso del negocio y con los aspectos de control de riesgo de manera constante a nivel de toda la organización. La planificación de auditoría está estrechamente integrada con las estrategias de negocio y de TI. Los procesos de auditoría son monitoreados y analizados en busca de mejoramiento para adaptarse a las condiciones cambiantes del entorno. Esto incluye actividades de monitoreo cuantitativo en la comunidad de auditoría y tomando en cuenta las mejores prácticas de la industria tecnológica avanzada y otras tendencias en la adaptación a los procesos de auditoría. La auditoría están involucrada en el desarrollo de los planes de negocio y en todos los proyectos que soportan los planes de negocio, para asegurar que los controles apropiados estén incluidos en todos los procesos. La auditoría es consultada sobre todos los proyectos en busca de control y asesoramiento de negocio.



APÉNDICE I—CÓMO USAR 1. LAS DIRECTRICES GERENCIALES Cada Directriz Gerencial provee un número de elementos de cada uno de los 34 procesos de COBIT: Identificación de proceso Declaración del objetivo para el proceso Declaración de habilitación (cómo mantener el proceso bajo control para determinar si éste logra

sus objetivos) Recursos de TI, con una indicación de relevancia para este proceso Criterios de información, con una indicación de importancia relativa (P = de importancia

primordial, S = de importancia secundaria, o en blanco = menos importante, no necesariamente para no ser tenido en cuenta)

Factores Críticos de éxito Indicadores Clave de Objetivo Indicadores Clave de Desempeño

Estos elementos están estructurados como se describe en la gráfica siguiente. La relación se basa en los principios del Balanced Business Scorecard, que vincula los objetivos con sus medidas de resultado (KGI) a los habilitadores con sus medidas de desempeño (KPI). Los habilitadores son hechos de manera específica y pragmática con un número de factores críticos de éxito y utilizan recursos de TI específicos.

Adicionalmente, se puede obtener orientación de Las directrices Gerenciales Genéricas (ver Apéndice IV) y de las Directrices de Gobernabilidad de TI (ver Apéndice V). Ambos darán una indicación rápida de los requerimientos de alto nivel para mantener manejable un proceso de TI. Finalmente, es necesario señalar que estas directrices no proponen que sea necesario aplicar en todos los casos todas las prácticas resueltas a través de CSFs y KPIs. Es necesario que se efectúe una selección apropiada. Los Modelos de Madurez (ver la siguiente sección de este Apéndice) suministrados con cada directriz de proceso pueden ayudar a hacer dicha selección. Sin embargo, en los negocios con requerimientos de alta fiabilidad para TI y donde la supervivencia depende de la disponibilidad de información, la aplicación casi global de las directrices lineamientos, a los niveles 3 o 4 de madurez, constituirían una buena práctica.

Objetivo

KGI

Posibilitador

KPI CFS

Recursos de TI 1 0.9 0.8 0.7 0.6 0.5 0.4 0.3 0.2

E F E C T I V I

EF

I C I

EN

C

C ON F

I D E

N C I A

L

IN

TE

GR

ID

D I

SP

ON

I B

I L

I

CU

MP

L I

MI

E

CO

NF

I A

B I

L I



2. EL MODELO DE MADUREZ Como una herramienta separada, un Modelo de Madurez también es suministrado para cada uno de los 34 procesos de COBIT. Esta herramienta puede ser la base para las siguientes aplicaciones incrementales: Un método para auto evaluación contra las escalas, que decide dónde se encuentra la

organización Un método para usar los resultados de la auto evaluación para fijar objetivos para desarrollo

futuro, basados en dónde quiere estar la organización en la escala, que no es necesariamente en el nivel 5.

Un método para planificar proyectos para lograr los objetivos basado en un análisis de las brechas entre esos objetivos y la situación actual

• Un método para priorizar el trabajo de proyectos basado en la clasificación de proyectos y en un análisis de su impacto en el beneficio en comparación con su costo

2.1 Auto Evaluación e Identificación de Objetivo Para cada tópico de evaluación la organización debe usar la escala de medida de seis puntos de 0 a 5, para definir su posición estimada. Esto puede luego ser comparado con facilidad y gráficamente con los tres puntos de referencia (desempeño, normas internacionales y la mejor práctica, que se busca obtener). Una organización que hace una auto evaluación necesita sencillamente considerar cada tópico de evaluación por vez, leyendo las descripciones de la escala de seis puntos y determinando cual de estas seis posiciones describe mejor la actual situación de la organización. Cuanto más importante es el proceso para la organización, más alto debe uno estar en la escala. Por ejemplo, en un entorno comercial relativamente estable, la madurez incremental de los 13 procesos de TI en el dominio de Entrega y Soporte es lo que diferencia a las organizaciones exitosas de las demás. Por otra parte, en un entorno comercial altamente dinámico, el éxito organizacional, si no la supervivencia, depende mucho de la madurez de los dominios de Planeación y Organización y de Adquisición e Implementación. Cada punto de Benchmark es estrictamente incremental y todas las condiciones de la descripción deben ser satisfechas para calificar para la clasificación en ese nivel. Se debe señalar también que hay una diferencia entre medir la capacidad y medir el desempeño. Por ejemplo, adquirir la capacidad y las habilidades para ciertas prácticas de seguridad o de control es una decisión que necesita hacerse y darle seguimiento, pero la aplicación consistente de la capacidad, una vez que ha sido adquirida, también necesita ser medida.


0 1 2 3 4 5







La organización necesita también considerar cuál de las seis descripciones describe mejor adónde quisiera ir como resultado de su estrategia de TI, con especial énfasis en el grado de dependencia y valor de información para alcanzar sus requerimientos de negocio. Los Benchmarks externos pueden ser muy útiles para conformar una opinión sobre qué nivel realista de seguridad y de control requiere la organización en relación con su entorno y con sus objetivos estratégicos. 2.2 Análisis de Brechas En muchos casos los dos marcadores de auto evaluación (dónde se está y dónde se quiere estar) estarán separados por una brecha en el cuadro, su tamaño da una impresión visual de cuánto trabajo es necesario hacer para cerrar la brecha y de ese modo lograr el objetivo estratégico. Sin embargo, esta brecha también necesita ser descrita con más detalle para facilitar el uso de los resultados del análisis de la brecha para planificar una serie de proyectos que emprenderá la organización en pos de sus objetivos estratégicos de seguridad y control de TI. El proceso de análisis de la brecha compilará una lista de todas las acciones que se necesitan para cerrar las brechas entre los marcadores del “estado actual” y su correspondientes marcadores de ‘objetivo estratégico’. Esta lista de brechas debe entonces ser usada para planear una lista de proyectos que ejecutará acciones que servirán para cerrar cada una de estas brechas. Probablemente habrá mapeos de muchos a muchos entre brechas y proyectos (ver diagrama a continuación). 2.3 Clasificación de Proyecto Para facilitar la planificación y la comunicación, los proyectos pueden ser clasificados según el tipo: Iniciativas estratégicas, proyectos tácticos, mejoramientos organizacionales o desarrollos de procesos. Cada proyecto es luego marcado con una etiqueta secuencial única, por ejemplo: S1, T3, O2, P5, como en el diagrama que aparece a continuación. 2.4 Priorización de Proyectos El objetivo de priorizar proyectos es identificar los proyectos donde se pueden lograr beneficios rápidos. Los mejores candidatos para beneficios rápidos son usualmente aquellos en que las brechas son pequeñas, donde el costo de cerrar la brecha es bajo, donde el riesgo de fracaso del proyecto es bajo y donde el impacto sobre las ganancias del negocio será el mayor. Los proyectos deben por lo tanto ser evaluados en función del impacto y del costo /riesgo, en una escala de 0 a 10, para cada una de estas variables. Los proyectos pueden ser impresos en un cuadro que se convierte en una herramienta de soporte de decisiones de la administración, mostrando los impactos relativos y los costos /riesgos. Los proyectos que son de alto impacto y de bajo costo /riesgo son buenos candidatos para ser seleccionados como ganancias rápidas.

Brechas Proyectos

. . . . . .

1

3

2

n

A

m

C

B

Impacto 10 5 0

T3 S1 P5 O2

10 5

Costo / Riesgo

Proyectos de Alta Prioridad



Apéndice II—EL MARCO REFERENCIAL DE COBIT

LA NECESIDAD DE CONTROL EN LA TECNOLOGÍA DE INFORMACIÓN En los últimos años, se ha vuelto cada vez más evidente para los reguladores, legisladores, usuarios y proveedores de servicios que hay una necesidad de marco de referencia para seguridad y control en TI. Críticamente importante para el éxito y la supervivencia de una organización es la administración efectiva de la Tecnología de Información (IT, siglas de los términos en inglés). En esta sociedad de información global – donde la información viaja a través del ciberespacio sin las limitaciones de tiempo, distancia y velocidad – esto surge de manera crítica de: La dependencia cada vez mayor de la información y de los sistemas que entregan esta

información; Las vulnerabilidades cada vez mayores y un amplio espectro de amenazas, tales como las cyber

amenazas y la guerra por la información; La escala y el costo de las inversiones actuales y futuras en la información y en los sistemas de

información; y El potencial para que las tecnologías cambien dramáticamente las prácticas de las organizaciones

y de los negocios, creen nuevas oportunidades y reduzcan costos. Para muchas organizaciones, la información y la tecnología que la soporta representan el activo más valioso de la organización. Verdaderamente, la información y los sistemas de información son penetrantes en toda la organización – desde la plataforma del usuario hasta las redes locales y de área, amplia hasta los servidores de clientes, hasta las computadoras mainframe. Muchas organizaciones reconocen los beneficios potenciales que puede rendir la tecnología. Las organizaciones exitosas, sin embargo, entienden y manejan los riesgos asociados con la implementación de tecnologías nuevas. De ese modo, la administración necesita tener una apreciación y un entendimiento básico de los riesgos y limitaciones de TI para proveer dirección efectiva y controles adecuados. LA ADMINISTRACIÓN tiene que decidir qué invertir razonablemente para seguridad y control en TI y cómo balancear la inversión en riesgo y control en un entorno frecuentemente impredecible de TI. Aunque la seguridad y el control de los sistemas de información ayudan a manejar los riesgos, no los elimina. Adicionalmente, el nivel exacto de riesgo nunca se puede saber ya que siempre hay algún grado de incertidumbre. En última instancia, la administración debe decidir sobre el nivel de riesgo que está dispuesta a aceptar. Juzgar qué nivel de riesgo se puede tolerar, en particular cuando se pondera en comparación con el costo, puede ser una decisión difícil para la administración. Por lo tanto, la administración necesita claramente un marco de prácticas de seguridad y control de TI generalmente aceptadas para usar como referencia su entorno existente y planeado de TI. Hay una necesidad cada vez mayor de que los usuarios de los servicios de TI se aseguren, por medio de acreditación y de servicios de auditoría de TI suministrados por personas internas o por terceros, de que existe la seguridad y el control adecuados. Actualmente, sin embargo, la implementación de buenos controles de TI en los sistemas de información, ya sean comerciales, sin fines de lucro o gubernamentales, está dificultada por la confusión. La confusión surge de los diferentes métodos de evaluación como por ejemplo las evaluaciones ITSEC, TCSEC. ISO 9000, las evaluaciones COSO de control interno que están surgiendo, etc. Como resultado, los usuarios necesitan que se establezca, como primera medida, una base general.



Con frecuencia, los AUDITORES han tomado la delantera en tales esfuerzos de estandarización internacional porque están constantemente confrontados con la necesidad de soportar su opinión en el control interno a la administración. Sin un marco, esta es una tarea difícil. Esto ha sido ilustrado por varios estudios recientes sobre cómo los auditores juzgan las situaciones complejas de seguridad y control en TI – estudios que se llevaron a cabo casi simultáneamente en diferencies partes del mundo. Además, los auditores son llamados cada vez más por la administración para consultar y asesorar proactivamente sobre asuntos relacionados con la seguridad y el control de TI. EL ENTORNO DE NEGOCIO: COMPETENCIA, CAMBIO Y COSTO La competencia global está aquí. Las organizaciones están reestructurando para operaciones modernas y simultáneamente aprovechar los adelantos en TI para mejorar su posición competitiva. La reingeniería del negocio, right-sizing, outsourcing, empowerment, organizaciones aplanadas y procesamiento distribuido son todos ellos cambios que impactan la forma en que operan el negocio y las organizaciones gubernamentales. Estos cambios están teniendo, y continuarán teniendo, profundas implicaciones para la administración y las estructuras de control operativo dentro de las organizaciones en todo el mundo. El énfasis en obtener ventaja competitiva y eficiencia en costos implica una confianza cada vez mayor en la tecnología como un componente importante en la estrategia de la mayoría de las organizaciones. Automatizar las funciones organizacionales es, por su misma naturaleza, dictar la incorporación de mecanismos de control más poderosos en las computadoras y en las redes, tanto basados en el hardware como en el software. Adicionalmente, las características estructurales fundamentales de estos controles están evolucionando a la misma tasa y en la misma manera de “salto de rana” en que están evolucionando las tecnologías subyacentes de computación y de red. Dentro del marco de cambio acelerado, si los administradores, los especialistas en sistemas de información y los auditores van en efecto a poder efectivamente cumplir sus roles, sus habilidades deben evolucionar tan rápidamente como la tecnología y el entorno. Uno debe entender la tecnología de controles involucrada y su naturaleza cambiante si uno va a emitir juicios razonables y prudentes para evaluar las prácticas de control encontradas en las organizaciones típicas del negocio o del gobierno. RESPUESTA A LA NECESIDAD En vista de estos cambios en progreso, el desarrollo de este marco para objetivos de control para TI, junto con la investigación aplicada y continua en los controles de TI basada en este marco, son pilares para el progreso efectivo en el terreno de la información y de los controles de tecnologías relacionadas. Por otra parte, hemos sido testigos del desarrollo y la publicación de modelos generales de control de negocios como COSO (Commitee of Sponsoring Organizations of the Treadway Commission)– Control Interno-Marco Integrado, 1992) en los EEUU, Cadbury, CoCo en Canada y King en Sudáfrica. Por otra parte, un número importante de modelos más específicos de control están en existencia en el nivel de TI. Buenos ejemplos de esta última categoría son el Código de Conducta de Seguridad del DTI (Departament of Trade and Industry, Reino Unido), Lineamientos de Control de Tecnología de Información de CICA (Canadian Institute of Chartered Accountants, Canadá), y el Manual de Seguridad de NIST (National Institute of Stadards and Technology, EEUU).



Sin embargo, estos modelos específicos de control no proveen un modelo comprensivo y utilizable de control sobre TI en apoyo de los procesos de negocios. El propósito de COBIT es salvar esta brecha suministrando una fundación que esté estrechamente vinculada con los objetivos de negocio mientras se están concentrando en TI. (El más estrechamente relacionado con COBIT es la publicación reciente sobre Principles and Criteria for Systems Reliability, de AICPA/ CICA SysTrust™. SysTrust es una emisión autoritativa tanto del Comité Ejecutivo de Servicios de Aseguramiento en los Estados Unidos y la Junta de Desarrollo de Servicios de Aseguramiento en Canadá, basados en parte en los Objetivos de Control de COBIT. SysTrust está diseñado para aumentar la comodidad de la administración, los clientes, y los socios de negocios con los sistemas que soportan un negocio o una actividad en particular. El servicio SysTrust implica que el contador público provee un servicio de aseguramiento en el cual él o ella evalúan y prueban si un sistema es confiable cuando se le mide frente a cuatro principios esenciales: disponibilidad, seguridad, integridad y sostenibilidad). Un enfoque en los requerimientos de control del negocio en TI y la aplicación de los modelos de control que surgen y las normas internacionales relacionadas, los Objetivos de Control evolucionados a partir de una herramienta de auditor para COBIT, a una herramienta de administración. Además, el desarrollo de Directrices Gerenciales ha llevado a COBIT al siguiente nivel – proveyendo administración con Indicadores Clave de Objetivo (KGIs), Indicadores Clave de Desempeño (KPIs), Factores Críticos de Éxito (CSFs), y Modelos de Madurez de modo que pueda tener acceso a su entorno de TI y hacer elecciones para la implementación de control y mejoramientos de control sobre la información y tecnología relacionada de la organización. COBIT es entonces la herramienta de avanzada de gobernabilidad de TI que ayuda a la administración a comprender y administra los riesgos asociados con TI. De ese modo, el principal objetivo del proyecto COBIT es el desarrollo de políticas claras y de buenas prácticas para la seguridad y el control en TI, para ser aprobado por las organizaciones comerciales, gubernamentales y profesionales, en todo el mundo. Es el objetivo del proyecto desarrollar estos objetivos de control en forma primaria desde los objetivos del negocio y la perspectiva de las necesidades. (Esto cumple con la perspectiva de COSO, que es antes que nada un marco de administración para los controles internos). Posteriormente, se desarrollaron objetivos de control a partir de la perspectiva de los objetivos de auditoría (certificación de información financiera, certificación de medidas de control interno, eficiencia y efectividad, etc.).

AUDIENCIA: ADMINISTRACIÓN, USUARIOS Y AUDITORES COBIT está diseñado para ser usado por tres audiencias diferentes: ADMINISTRACIÓN – para ayudarlos a balacear el riesgo y la inversión en control en un entorno de TI frecuentemente impredecible. USUARIOS – para obtener aseguramiento sobre la seguridad y los controles de los servicios de TI suministrados por personas internas o por terceros. AUDITORES – para soportar sus opiniones y/o proveer asesoramiento a la administración sobre los controles internos.



Aparte de responder a las necesidades de la audiencia inmediata de la alta gerencia, los auditores y profesionales de la seguridad y del control, COBIT puede ser usado dentro de las empresas por el propietario del proceso de negocio en su responsabilidad de controlar los aspectos de información del proceso y por los responsables de TI en la empresa.

ORIENTACIÓN DE LOS OBJETIVOS DEL NEGOCIO COBIT está dirigida a alcanzar los objetivos del negocio. Los Objetivos de Control tienen una vinculación clara y distinta con los objetivos del negocio para apoyar el uso significativo fuera de la comunidad de auditoría. Los Objetivos de Control están definidos en una forma orientada hacia el proceso siguiendo el principio de reingeniería del negocio. En los dominios y procesos identificados, un objetivos de control de alto nivel es identificado y se provee un criterio racional para documentar la relación con los objetivos del negocio. Además, se proveen consideraciones y directrices para definir e implementar el Objetivo de Control de TI. La clasificación de los dominios donde se aplican los objetivos de control de alto nivel (dominios y procesos), una indicación de los requerimientos del negocio para información en ese dominio, así como también los recursos de TI impactados primariamente por el objetivo de control, constituyen juntos el Marco Referencial de COBIT. El Marco Referencial se basa en las actividades de investigación que han identificado 34 objetivos de control de alto nivel y 318 objetivos de control detallado. El Marco Referencia fue expuesto a la industria y a la profesión de auditoría de TI para dar una oportunidad de revisar, cuestionar y comentar. Las opiniones obtenidas han sido debidamente incorporadas.



DEFINICIONES

Para los fines de este proyecto, se proveen las definiciones siguientes. “Control” está adaptado del Reporte COSO [Control Interno—Marco Integrado, Committee of Sponsoring Organizations of the Treadway Commission, 1992] y “Objetivo de Control de TI” está adaptado del Reporte SAC [Systems Auditability and Control Report, El Instituto de la Fundación de Investigaciones de Auditores Internos, 1991 y 1994].

Las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para proveer aseguramiento razonable de que los objetivos del negocio serán alcanzados y de que se prevendrán o se detectarán y corregirán los eventos no deseados.

Una expresión del resultado o propósito deseado a ser alcanzado mediante la implementación de procedimientos de control en una actividad particular de TI. Una estructura de relaciones y de procesos para dirigir y controlar la empresa para alcanzar los objetivos de la empresa dando valor agregado mientras se balancea el riesgo en relación con el rendimiento sobre TI y sus procesos.

PRINCIPIOS DEL MARCO Hay dos clases diferentes de modelos de control que están actualmente disponibles; .los de la clase de “modelo de control del negocio” (por ejemplo, COSO) y los “modelos de control más enfocado para TI” (por ejemplo DTI). COBIT pretende salvar la brecha que existe entre los dos. COBIT está por lo tanto en posición de ser más comprensivo para la administración y operar a un nivel más alto que las normas de tecnología para la administración de los sistemas de información. De ese modo, COBIT es el modelo apropiado para la gobernabilidad de TI. El concepto de apuntalamiento del Marco Referencial de COBIT es que el control en TI se enfoca mirando la información que es necesaria para soportar los objetivos o requerimientos del negocio, y mirando la información como resultado de la aplicación combinada de los recursos relacionados con TI que necesitan ser administrados por los procesos de TI.

La Gobernabilidad de TI se define como

El Objetivo de Control de TI se define como

El Control se define como



Para satisfacer los objetivos del negocio, la información necesita conformarse a ciertos criterios a los que COBIT hace referencia como requerimientos de información del negocio. Para establecer la lista de requerimientos, COBIT combina los principios integrados en los modelos de referencia existentes y conocidos.

La calidad ha sido retenida primariamente por su efecto negativo (ninguna falta, confiabilidad, etc.) que es también captado en gran medida por el criterio de integridad. Los aspectos positivos pero menos tangibles de Calidad (estilo, atracción, apariencia y sensación, desempeño más allá de las expectativas, etc.) no estuvieron por una vez, siendo considerados desde un punto de vista de los objetivos de control de TI. La premisa es que la primera prioridad debe dirigirse a administrar debidamente los riesgos en oposición a las oportunidades. El aspecto de utilidad de la Calidad está cubierto por el criterio de efectividad. El aspecto entrega de Calidad fue considerado como una superposición con el aspecto de Disponibilidad de los requerimientos de Seguridad y también en cierta medida con la Efectividad y la Eficiencia. Finalmente, También se considera el Costo cubierto por la Eficiencia. Para los Requerimientos Fiduciarios, COBIT no trató de reinventar la rueda—se usaron las definiciones de COSO para la efectividad y la eficiencia de las operaciones, la confiabilidad de la información y el cumplimiento de las leyes y reglamentaciones. Sin embargo, la confiabilidad de la Información fue expandida para incluir toda la información—no sólo la información financiera. Con respecto a los Requerimientos de Seguridad, COBIT identificó Confidencialidad, Integridad y Disponibilidad como los elementos clave—estos tres mismos aspectos, se encontró, son usados en todo el mundo para describir los requerimientos de seguridad de TI. Comenzando el análisis desde los requerimientos más amplios de Calidad, Fiduciarios y de Seguridad, se extrajeron siete categorías distintas, ciertamente superpuestas. Las definiciones de COBIT son las siguientes:

Calidad Costo Entrega Efectividad y Eficiencia de operaciones Confiabilidad de Información Cumplimiento de las leyes y reglamentaciones Confidencialidad Integridad Disponibilidad

Requisitos de Calidad

Requisitos Fiduciarios

(Reporte COSO)

Requisitos de Seguridad



Los recursos de TI identificados en COBIT pueden ser explicados /definidos como sigue:

Datos Son objetos en su sentido más amplio (es decir, externo e interno), estructurados y no estructu-rados, gráficas, sonidos, etc.

El dinero o el capital no fue considerado como un recurso de TI para clasificación de los objetivos de control porque puede considerarse como la inversión en cualquiera de los recursos citados aquí anteriormente. También se debe señalar que el Marco Referencial no se refiere específicamente a la documentación de todos los aspectos materiales relativos a un proceso de TI en particular. Como un asunto de buena práctica, la documentación es considerada esencial para el buen control, y por lo tanto la falta de documentación ocasionaría revisión y análisis adicional para compensar los controles en cualquier área específica bajo revisión.

Efectividad Trata con la información que es relevante y pertinente para el proceso del negocio así como también que está siendo entregada en una forma oportuna, correcta, consistente y utilizable.

Eficiencia Se enfoca al suministro de información a través del uso óptimo (el más productivo y económico) de los recursos.

Confidencialidad Se ocupa de la protección de la información sensitiva de la revelación no autorizada.

Integridad Se relaciona con la exactitud y la integridad de la información así como también a su validez en conformidad con los valores y expectativas del negocio.

Disponibilidad Se relaciona con la información que está disponible cuando lo requiere el proceso del negocio ahora y en el futuro. También se ocupa de la salvaguarda de los recursos necesarios y las capacidades asociadas.

Cumplimiento Se refiere a cumplir con las leyes, reglamentaciones y arreglos contractuales a los que está sujeto el proceso del negocio; es decir, criterios de negocio impuestos externamente.

Confiabilidad de la Información

Se relaciona con el suministro de información apropiada para que la administración opere la entidad y para que la administración ejerza sus responsabilidades financieras y de reporte de cumplimiento.

Sistemas de Aplicación Se entienden como la suma de procedimientos manuales y programados

Tecnología Abarca hardware, sistemas operativos, sistemas de administración de base de datos, redes, multimedia, etc.

Instalaciones Son todos los recursos para alojar y soportar sistemas de información

Gente Incluye habilidades del personal, conocimiento y productividad para planear, organizar, adquirir, entregar, soportar y monitorear sistemas de información y servicios.

Datos Son objetos en el mas amplio sentido (por ejemplo externos e internos) estructurados y no estructurados , gráficas, sonidos, etc.



El Marco Referencial de COBIT está constituido por Objetivos de Control de alto nivel y una estructura general para su clasificación. La teoría subyacente para la clasificación es que hay, en esencia, tres niveles de esfuerzos de TI cuando se considera la administración de los recursos de TI. Comenzando de abajo, están las actividades y tareas que se necesitan para lograr un resultado medible. Las actividades tienen un concepto de ciclo de vida mientras que las tareas son más discretas. El concepto de ciclo de vida tiene requerimientos típicos de control diferentes de las actividades discretas. Los procesos son luego definidos una capa hacia arriba como una serie de actividades o tareas conjuntas con frenos (de control) naturales. En el nivel más alto, los procesos están agrupados naturalmente en dominios. Su agrupamiento natural es a menudo confirmado como dominios de responsabilidad en una estructura organizacional y está acorde con el ciclo de administración o ciclo de vida aplicable a los procesos de TI. De ese modo, el marco conceptual puede ser enfocado desde tres puntos de ventaja: (1) Criterios de Información, (2) Recursos de TI y (3) Procesos de TI. Por ejemplo, los administradores pueden querer mirar con un interés en la Calidad, Fiduciario o de Seguridad (incluido en el Marco Referencial como siete criterios específicos de información). Un administrador de TI, por otra parte, puede querer considerar los recursos de TI para los que está obligado a rendir cuentas. Los propietarios del proceso, los especialistas de TI y los usuarios pueden tener un interés específico en procesos o actividades /tareas particulares. Los auditores pueden querer enfocar el Marco Referencial desde un punto de vista de cobertura de control. Estos tres puntos de ventaja están descritos en el Cubo de COBIT.

Para asegurar que los requerimientos de información del negocio sean satisfechos, es necesario que se definan, implementen y monitoreen adecuadas medidas de control sobre estos recursos. ¿Cómo entonces pueden las organizaciones satisfacerse ellas mismas de que la información que obtienen muestra las características que ellas necesitan? Es aquí donde se requiere un marco sensato de los Objetivos de Control de TI. El siguiente diagrama ilustra este concepto



Con lo que antecede como marco, los dominios están identificados usando el vocabulario que la administración usaría en las actividades cotidianas de la organización—o en la jerga de auditoría. De ese modo, están identificados cuatro dominios amplios: planeación y organización, adquisición e implementación, entrega y soporte, y monitoreo.



Las definiciones para los cuatro dominios identificados para la clasificación de alto nivel son:

Se debe señalar que estos procesos pueden ser aplicados a diferentes niveles dentro de una organización. Por ejemplo, algunos de estos procesos serán aplicados a nivel de la empresa, otros a nivel de función de los servicios de información, otros al nivel del propietario del proceso del negocio, etc. También se debe señalar que el criterio de efectividad de los procesos que planean o brindan soluciones para los requerimientos del negocio abarcarán a veces los criterios de disponibilidad, integridad y confidencialidad—en la práctica, ellos se han convertido en requerimientos del negocio. Por ejemplo, el proceso de “identificar soluciones” tiene que ser efectivo en proveer los requisitos de Disponibilidad, Integridad y Confidencialidad. Es claro que todas las medidas de control no necesariamente satisfarán los diferentes requerimientos de información del negocio en el mismo grado. Primario es el grado en el que el objetivo definido de control impacta directamente el criterio

de información considerado. Secundario es el grado en el que el objetivo definido de control satisface solamente en un menor

grado o indirectamente el criterio de información considerado. En blanco podría ser aplicable; sin embargo, los requerimientos son satisfechos de manera más

apropiada por otros criterios en este proceso y/ o por otro proceso. De manera similar, no todas las medidas de control impactarán necesariamente los diferentes recursos de TI en la misma medida. Por lo tanto, el Marco Referencial de COBIT indica específicamente la aplicabilidad de los recursos de TI que son manejados específicamente por el proceso en consideración (no los que sólo participan en el proceso). Esta clasificación se hace dentro del Marco Referencial de COBIT basado en el mismo proceso riguroso de entrada proveniente de los investigadores, los expertos y los revisores, usando las estrictas definiciones indicadas anteriormente aquí.

Planeación y Organización

Este dominio abarca estrategia y táctica, y concierne a la identificación de la forma en que TI puede contribuir mejor al logro de los objetivos del negocio. Además, la realización de la visión estratégica necesita ser planeada, comunicada y administrada para perspectivas diferentes. Finalmente, se debe instalar una organización apropiada así como también una infraestructura tecnológica apropiada.

Adquisición e Implementación

Para realizar la estrategia de TI, es necesario que las soluciones de TI sean identificadas, desarrolladas o adquiridas, así como también implementadas e integradas en el proceso del negocio. Además, los cambios en los sistemas existentes y el mantenimiento de los mismos están amparados por este dominio para asegurarse que el ciclo de vida continúe para estos sistemas.

Entrega y Soporte

A este dominio le concierne la entrega efectiva de los servicios requeridos, que van desde las operaciones tradicionales pasando por los aspectos de seguridad y continuidad hasta el entrenamiento. Para prestar servicios, se deben establecer los procesos de soporte necesarios. Este dominio incluye el procesamiento efectivo de datos mediante los sistemas de aplicación, clasificados a menudo bajo los controles de

Monitoreo

Todos los procesos de TI necesitan ser evaluados regularmente a través del tiempo por su calidad y el cumplimiento con los requerimientos de control. Este dominio resuelve así la supervisión del proceso de control de la administración y el aseguramiento independiente suministrada por la auditoría interna y externa u obtenida de fuentes alternativas.



OBJETIVOS DE CONTROL DE ALTO NIVEL El Marco Referencial de COBIT ha sido limitado a objetivos de control de alto nivel en la forma de una necesidad del negocio dentro de un proceso particular de TI, cuyo logro es posibilitado por una sentencia de control, para la cual se deben tomar en consideración los controles potencialmente aplicables.

Los Objetivos de Control han sido organizados por proceso /actividad, para facilitar los enfoques combinados o globales, como la instalación /implementación de un proceso, las responsabilidad de administración global para un proceso y el uso de los recursos de TI por un proceso. Los Objetivos de Control también han sido suministrados con referencias a los dominios de TI, los recursos de TI y a los criterios de información del negocio. Esto permite mirar los requerimientos de control de TI desde tres puntos de vista, como lo ilustró anteriormente aquí el Cubo de COBIT (ver página 162). Cada objetivo de control de alto nivel indica a qué dominio pertenece, qué criterios de información son los más importantes y los que les siguen en importancia para el proceso que abarca y qué recursos necesitan la atención especial de la administración. Los Objetivos de Control han sido definidos en una forma genérica, es decir, que no dependen de la plataforma técnica, a pesar que aceptan el hecho de que es probable que los entornos especiales de tecnología necesiten una cobertura separada para los objetivos de control. En resumen, para proveer la información que necesita la organización para alcanzar sus objetivos, el gobierno de TI debe ser ejercido por la organización para asegurar que los recursos de TI sean administrados por un conjunto de procesos de TI agrupados naturalmente. El diagrama siguiente ilustra este concepto.

Las Prácticas de Control

Sentencias de Con-trol

El Control de

Los Requerimientos del negocio

Los Procesos de TI

Que Satisfacen

Es Posibilitado por

Que Considera



APÉNDICE III—COBIT Y EL BALANCED BUSINESS SCORECARD El Marco Referencial de COBIT establece que TI posibilita el negocio entregando la información que el negocio necesita. El objetivo de TI es por lo tanto medido mirando los Criterios de Información de COBIT contenidos en el Marco Referencial de COBIT.

Todos estos criterios no tendrán la misma importancia. Su importancia depende del negocio de la empresa y del proceso específico que uno mira. La importancia relativa de los criterios (expresada como un mini cuadro en la gráfica que aparece aquí anteriormente) expresan la expectativa del negocio y son por lo tanto el objetivo de TI, que de ese modo posibilita el negocio. Estos principios de medir los resultados y los desempeños son inherentes al Balanced Business Scorecard y han sido usados para desarrollar las Directrices Gerenciales. Las medidas de desempeño de los posibilitadores se convierten en el objetivo de TI, los cuales a su vez tendrán un número de posibilitadores. Estos podrían ser los dominios de COBIT. Aquí nuevamente las medidas pueden ser escalonadas, y la medida de desempeño del dominio convertirse en un objetivo para el proceso.

C ON F

I D E

N C I A L

ID

AD

1 0.9 0.8 0.7 0.6 0.5 0.4 0.3 0.2 0.1

EF

EC

T I V I

DA

D

EF

IC

IE

NC

IA

IN

TE

GR

ID

AD

D I

S P

ON

I B

I L

I D

AD

C U

M P

L I

M I

E N

T O

C O

N F

I A

B I

L I

DA

D

Criterios de Informa-ción Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad

Balanced Business Scorecard

Medida (Desempeño)


Medida (Resultado)

Posibilitadores Objetivos



Otra forma de mirar esto es comenzando desde el Balanced Business Scorecard y sus 4 dimensiones y luego considerar que TI posibilita el negocio, monitoreado por un Balanced Business Scorecard de TI. La entrega de los objetivos estratégicos de TI es típicamente hecha por dos dominios diferentes de responsabilidad en la empresa, que lleva a un anotador de desarrollo y a un anotador de operaciones. Ahora podemos fácilmente mapear los 4 dominios de TI que ha identificado el Marco Referencial de COBIT en estos anotadores . Planeación y Organización (PO) dando las medidas del Balanced Business Scorecard estratégico para TI, Adquisición e Implementación (AI) suministrando lo mismo para el anotador de desarrollo, mientras que Entrega y Soporte (DS) suministra el anotador operativo. Por encima de estos dominios está el dominio de Monitoreo (MO) que provee a través de la supervisión y mensurabilidad de la administración, por medio de auditoría y a través de aseguramiento la gobernabilidad general de TI de la empresa.

Medida (desempeño)

Medida (resultado)


PO Scorecard

Plan Estratégico de TI

Medida (desempeño)

Posibilitadores

Planeación y Organización

Medida (resultado)

Objetivos

Scorecard Estratégico de TI

Medida (desempeño)

Medida (resultado)






AI

DS

Financiero

Clientes

Procesos

Aprendizaje

Financiero

Clientes

Procesos

Aprendizaje

Anotador de Desarro-llo Balanceado de TI

Anotador Operativo Balanceado de TI


Financiero

Clientes

Procesos

Aprendizaje

Financiero

Clientes

Procesos

Aprendizaje

Balanced Business Scorecard de TI

MO

REQUERIMIENTOS

INFORMACIÓN

PO



APÉNDICE IV



APÉNDICE IV—DIRECTRIZ DE ADMINISTRACIÓN GENÉRICA DE PROCESO *

El Control de un proceso de TI y de sus actividades con objetivos específicos de negocio


Es posibilitado creando y manteniendo un sistema de excelencia y control de proceso apropiado para el negocio

Considera los Factores Críticos de Éxito que respaldan los Recursos de TI específicos y se mide por medio de los Indicadores Clave de Desempeño.

Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad

gente aplicaciones tecnología Instalaciones datos


• El desempeño de TI se mide en términos financieros, en relación con la satisfacción del cliente, para la efectividad del proceso y para capacidad futura, y su administración de TI es compensada en base a estas medidas

• Los procesos están alineados con la estrategia de TI y con los objetivos del negocio; se pueden escalar y sus recursos son manejados y respaldados de manera apropiada

• Todos los que participan en el proceso están enfocados al objetivo y tienen la información apropiada sobre los clientes, los procesos internos y las consecuencias de sus decisiones

• Una cultura de negocio está establecida, estimulando la cooperación entre departamentos y el trabajo en equipo, así como también un constante mejoramiento del proceso

• Las prácticas de control son aplicadas para aumentar la transparencia, reducir la complejidad, promover el aprendizaje, proveer la flexibilidad y permitir escalabilidad

• Las metas y objetivos son comunicados en todas las disciplinas y son comprendidos • Se sabe cómo implementar y monitorear los objetivos de proceso y quién debe dar cuenta del desempeño del

proceso • Se aplica un proceso continuo de mejoramiento de calidad • Hay claridad en quiénes son los clientes del proceso • Existe la calidad requerida de personal (entrenamiento, transferencia de información, moral, etc.) y

disponibilidad de habilidades (reclutar, retener, re-entrenar)


* Muchos de los elementos de esta guía pueden además aplicarse en las Directrices Gerenciales del Gobierno de TI en el apéndice V



• Mayor nivel de entrega de servicio • Número de clientes y de costo por cliente servido • Disponibilidad de sistemas y de servicios • Ausencia de integridad y de riesgos de confidencialidad • Eficiencia de costos de procesos y de operaciones • Confirmación de confiabilidad y de efectividad • Adherencia al costo y al programa de desarrollo • Eficiencia de costos del proceso • Productividad y moral del personal • Número de cambios a tiempo a los procesos y a los sistemas • Incremento de productividad (es decir, entrega de valor por empleado)


• Tiempo improductivo del sistema • Rendimiento y tiempos de respuesta • Cantidad de errores y de repetición del trabajo • Número de miembros del personal entrenados en nueva tecnología y habilidades de servicio al cliente • Comparaciones de Benchmark • Número de reportes de incumplimiento • Reducción en el tiempo de desarrollo y procesamiento




Modelo de Madurez de Proceso Genérico Control sobre un proceso de TI y de sus actividades con objetivos de negocio específicos

0 Inexistente. Hay completa ausencia de procesos reconocibles. La organización ni siquiera ha reconocido que hay un problema que debe ser resuelto.

1 Inicial /Ad hoc Hay evidencia de que la organización ha reconocido que los problemas

existen y que necesitan ser resueltos. No hay, sin embargo, ningún proceso estandarizado, pero hay en cambio enfoques ad hoc aplicados de manera individual y caso por caso. El enfoque de la administración es caótico y sólo hay comunicación esporádica e inconsistente sobre los problemas y los métodos que se necesitan para resolverlos.

2 Repetible pero intuitivo Hay un conocimiento global de los problemas. Los procesos se

han desarrollado hasta el grado que se siguen procedimientos similares aunque informales e intuitivos por parte de diferentes personas que emprenden la misma tarea, por los cuales están surgiendo herramientas comunes. De ahí que, estos procesos se pueden repetir y algunos de ellos comienzan a ser monitoreados. No hay un entrenamiento formal y la comunicación sobre los procedimientos y las responsabilidades estándar se deja a la persona. Hay una elevada confianza en los conocimientos de las personas y los errores son, por lo tanto, probables. Sin embargo, hay comunicación consistente sobre los problemas generales y sobre la necesidad de resolverlos.

3 Proceso Definido La necesidad de actuar es entendida y aceptada. Los procedimientos han

sido estandarizados, documentados e implementados. Ellos están siendo comunicados y está establecido un entrenamiento informal. Los procedimientos no son sofisticados y son la formalización de las prácticas existentes. Las herramientas están estandarizadas, usando técnicas disponibles actualmente. Los especialistas de TI están involucrados en esta formalización, pero especialistas internos que no pertenecen a TI participan sólo ocasionalmente. Sin embargo, se deja a la discreción de la persona el recibir entrenamiento, seguir las normas y aplicarlas. La mayoría de los procesos son monitoreados comparándolos con algún tipo de medición, pero cualquier desviación, a pesar de que se tomen medidas sobre ellas principalmente a través de la iniciativa individual, es improbable que sean detectadas por la administración. El análisis de la causa que las originó se aplica sólo ocasionalmente.

4 Administrado y Medible Hay pleno entendimiento de los problemas en todos los niveles,

soportado por entrenamiento formal. Las responsabilidades son claras y la propiedad de procesos está establecida. Es posible monitorear y medir el cumplimiento con los procedimientos y la métrica del proceso y emprender acción donde el proceso parece no estar funcionando de manera efectiva o eficiente. Se emprende acción en muchos, pero no en todos, los casos. La métrica de desempeño está aún dominada por las medidas financieras y operativas tradicionales, pero gradualmente se están implementando nuevos criterios. Los procesos son mejorados ocasionalmente y se hacen cumplir las mejores prácticas internas. Se está estandarizando el análisis de las causas que originan los problemas. Se está comenzando a considerar el mejoramiento constante. Las prácticas de control se están volviendo cada vez más transparentes, flexibles y escalables. Hay un uso limitado, primariamente táctico de la tecnología, basado en las técnicas maduras y en herramientas estándar impuestas. La estrategia de TI se está volviendo cada vez más acorde con la estrategia de la empresa. Hay participación de todos los expertos de dominio interno requeridos.



5 Optimizado Hay una comprensión avanzada y de perspectivas futuras de los problemas y de las soluciones. El entrenamiento y la comunicación son soportados por conceptos y técnica de avanzada. Las metas y objetivos son comunicados entre las funciones, usando KGIs, CSFs y KPIs para monitorear el desempeño. Los procesos han sido refinados hasta un nivel de la mejor práctica externa, basados en los resultados de mejoramiento continuo y modelos de madurez con otras organizaciones. Ellos han conducido a una organización, personas y procesos que son rápidos para adaptarse. La estrategia de TI está en total correspondencia con la estrategia de la empresa y está establecida una cultura del negocio para involucrar a la organización de TI en el mejoramiento del proceso del negocio y en crear nuevas oportunidades de negocio. Todos los problemas y desviaciones son analizados en busca de las causas que los originan, se identifican, se toman y se inician acciones rápidas y eficientes. TI se usa en una forma extensiva, integrada y optimizada para respaldar de manera estratégica la tecnología y la automatización del flujo de trabajo y en proveer herramientas que mejoren la calidad y la efectividad. Se respaldan los expertos externos se utilizan Benchmarks como guías. Las prácticas de control se hacen cumplir y se mejoran constantemente. Las medidas de desempeño de TI se ocupan de los criterios financieros, la satisfacción de clientes, la efectividad de las operaciones y el desarrollo de las capacidades futuras. La compensación de la administración de TI incluye incentivos para alcanzar las metas de la empresa.



APÉNDICE V



APÉNDICE V—DIRECTRICES GERENCIALES DEL GOBIERNO DE TI El gobierno de la tecnología de información y de sus procesos con el objetivo del negocio de agregar valor, mientras se balancea el riesgo con el rendimiento Asegura la entrega de información al negocio que satisface los Criterios de Información requeridos y se mide por los Indicadores Clave de Objetivo Es posibilitado creando y manteniendo un sistema de excelencia de proceso y de control apropiado para el negocio que dirige y monitorea la entrega de TI de valor comercial Considera los Factores Críticos de Éxito que respaldan Recursos de TI específicos y se mide por medio de los Indicadores Clave de Desempeño.

Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad



• Las actividades de gobierno de TI están integradas en el proceso de gobierno de la empresa y en comportamientos de liderazgo

• El gobierno de TI está enfocado en las metas de la empresa, las iniciativas estratégicas, el uso de tecnología para ampliar el negocio y en la disponibilidad de recursos y capacidades suficientes para mantenerse al nivel de las demandas del negocio

• Las actividades de gobierno de TI están definidas con un propósito claro, documentado e implementado, basado en las necesidades de la empresa y con obligaciones que no son ambiguas de rendir cuentas

• Las prácticas de administración están implementadas para aumentar el uso eficiente y óptimo de los recursos y para aumentar la efectividad de los procesos de TI

• Están establecidas prácticas organizacionales para posibilitar una supervisión correcta; un ambiente /una cultura de control; una evaluación del riesgo como práctica estándar; un grado de adherencia a las normas establecidas; monitoreo y seguimiento de las deficiencias y riesgos de control

• Están definidas prácticas de control para evitar interrupciones en el control interno y en la supervisión • Hay integración y una cómoda interoperabilidad de los procesos más complejos de TI como pueden ser

administración de problemas, de cambios y de configuración • Está establecido un comité de auditoría para nombrar y supervisar un auditor independiente, enfocándose en

TI cuando se impulsan planes de auditoría, y para revisar los resultados de las auditorías y las revisiones de terceros.




• Mayor desempeño y administración de costos • Mejor rendimiento de las inversiones mayores en TI • Mejor tiempo de mercadeo • Mayor calidad, innovación y administración del riesgo • Procesos de negocio integrados y estandarizados de manera apropiada • Búsqueda de clientes nuevos y satisfacción de los ya existentes • Disponibilidad del ancho de banda apropiado, potencia de cómputo y mecanismos de entrega de TI • Se satisfacen los requerimientos y expectativas del cliente del proceso en presupuesto y a tiempo • Cumplimiento de las leyes, reglamentaciones, normas de la industria y compromisos contractuales • Transparencia sobre asumir riesgos y adherencia al perfil organizacional del riesgos acordado • Comparaciones Benchmarking de la madurez del gobierno de TI • Creación de nuevos canales de entrega de servicios


• Mejor eficiencia de costos de los procesos de TI (costos vs. Productos/entregables) • Mayor número de planes de acción de TI para iniciativas de mejoramiento del proceso • Mayor utilización de la infraestructura de TI • Mayor satisfacción de los interesados (encuestas y número de quejas) • Mejor productividad del personal (número de productos/entregables) y moral (encuesta) • Mayor disponibilidad de conocimientos y de información para administrar la empresa • Mayor relación entre TI y el gobierno de la empresa • Mejor desempeño medido por los Balanced Scorecards de TI




Modelo de Madurez de Gobierno de TI El gobierno sobre la tecnología de información y sus procesos con el objetivo del negocio de agregar valor, mientras balancea el riesgo con el rendimiento

0 Inexistente. Hay completa ausencia de cualquier proceso reconocible de gobierno de TI. La organización ni siquiera ha reconocido que hay un problema que debe ser resuelto y por ello no hay comunicación sobre el problema.

1 Inicial /Ad hoc Hay evidencia de que la organización ha reconocido que los problemas de

gobernabilidad de TI existen y que necesitan ser resueltos. No hay, sin embargo, ningún proceso estandarizado, pero hay en cambio enfoques ad hoc aplicados de manera individual y caso por caso. El enfoque de la administración es caótico y sólo hay comunicación esporádica e inconsistente sobre los problemas y los métodos que se necesitan para resolverlos. Puede haber algún reconocimiento de captar el valor de TI en el desempeño de los procesos relacionados de la empresa orientados hacia el resultado. No hay un proceso estándar de evaluación. El monitoreo de TI sólo es implementado de manera reactiva frente a un incidente que ha causado alguna pérdida o dificultad a la organización.

2 Repetible pero intuitivo Hay un conocimiento global de los problemas de gobernabilidad

de TI. Las actividades de gobierno de TI y los indicadores de desempeño están en desarrollo, lo cual incluye los procesos de planeación, entrega y monitoreo de TI. Como parte de este esfuerzo, las actividades de gobierno de TI están formalmente establecidas en el proceso de administración de cambios de la organización, con la participación y supervisión activa de la alta gerencia. Los procesos seleccionados de TI están identificados para mejorar y /o controlar los procesos centrales de la empresa y están planeados y monitoreados de manera efectiva como inversiones, y se derivan dentro del contexto de un marco definido infraestructural de TI. La administración ha identificado medidas básicas de gobierno de TI y métodos y técnicas de evaluación , sin embargo, el proceso no ha sido adoptado en toda la organización. No hay un entrenamiento formal y la comunicación sobre las normas y responsabilidades de gobierno son dejadas a la discreción individual. Las personas impulsan los procesos de gobierno dentro de diversos proyectos y procesos. Se han escogido e implementado herramientas limitadas de gobierno para recolectar métricas de gobernabilidad, pero pueden no ser usadas a su plena capacidad debido a una falta de experiencia en su funcionalidad.

3 Proceso Definido La necesidad de actuar con respecto a la gobernabilidad de TI es

entendida y aceptada. Un conjunto de base de indicadores de gobernabilidad de TI está desarrollado, donde las vinculaciones entre las medidas de resultado y lo que impulsa el desempeño están definidas, documentadas e integradas en procesos estratégicos y operativos de planificación y monitoreo. Los procedimientos se han estandarizado, documentado e implementado. La administración ha comunicado procedimientos estandarizados y está establecido un entrenamiento informal. Los indicadores de desempeño sobre todas las actividades de gobernabilidad de TI están siendo registradas y rastreadas, lo que conduce a mejoras en toda la empresa. A pesar de que los procedimientos son medibles, no son sofisticados, sino que son la formalización de las prácticas existentes. Las herramientas están estandarizadas, usando técnicas disponibles en la actualidad. Las ideas del Balanced



Business Scorecard de TI están siendo adoptadas por la organización. Es, sin embargo dejado a la discreción de las personas el obtener entrenamiento, seguir las normas y aplicarlas. El análisis de las causas que originan los problemas es aplicado sólo de manera ocasional. La mayoría de los procesos son monitoreados comparándolos con algunas métricas (de línea de base), pero cualquier desviación, a pesar de que se toman medidas para corregirla por medio de la iniciativa personal, sería improbable que fuera detectada por la administración. Sin embargo, la obligación de rendir cuentas a nivel general del desempeño clave del proceso es claro y la administración es compensada en base a medidas clave de desempeño.

4 Administrado y Medible Hay pleno entendimiento de los problemas de gobernabilidad de

TI en todos los niveles, soportado por entrenamiento formal. Hay un claro entendimiento de quién es el cliente y las responsabilidades están definidas y son monitoreadas a través de acuerdos de nivel de servicio. Las responsabilidades son claras y la propiedad de procesos está establecida. Los procesos de TI están alineados con el negocio y con la estrategia de TI. El mejoramiento en los procesos de TI está basado primariamente en una comprensión cuantitativa y es posible monitorear y medir el cumplimiento con los procedimientos y las medidas de proceso. Todos los interesados en el proceso están en conocimiento de los riesgos, la importancia de TI y las oportunidades que ésta puede ofrecer. La administración ha definido tolerancias bajo las que deben operar los procesos. Se emprenden acciones en muchos casos pero no en todos los casos en los que los procesos parecen no están funcionando de manera efectiva o eficiente. Los procesos son ocasionalmente mejorados y se hacen cumplir las mejores prácticas internas. Se está estandarizando el análisis de las causas que originan los problemas. Se está comenzando a llevar a cabo un mejoramiento constante. Hay un uso limitado, primariamente táctico de la tecnología, basado en técnicas maduras y en herramientas estándar impuestas. Hay participación de todos los expertos requeridos de dominio interno. La gobernabilidad de TI evoluciona en una proceso a nivel de toda la empresa. Las actividades de gobernabilidad de TI se están integrando con el proceso de gobernabilidad de la empresa.

5 Optimizado Hay un entendimiento avanzado y con perspectivas futuras de los problemas y

de las soluciones de gobernabilidad de TI. El entrenamiento y la comunicación son soportados por conceptos y técnicas de avanzada. Los procesos han sido refinados hasta un nivel de la mejor práctica externa, basado en los resultados de mejoramiento constante y tomando como modelo de madurez a otras organizaciones. La implementación de estas políticas ha conducido a una organización, gente y procesos que se adaptan rápidamente y que soportan plenamente los requerimientos de gobernabilidad de TI. Todos los problemas y desviaciones son analizados en busca de las causas que los originaron y la acción eficiente es identificada e iniciada de manera expedita. TI se usa en una forma extensiva, integrada y optimizada para automatizar el flujo de trabajo y proveer herramientas para mejorar la calidad y la efectividad. Los riesgos y rendimientos de los procesos de TI son definidos, balanceados y comunicados en toda la empresa. Los expertos externos son respaldados y se utilizan Benchmarks como guías. El monitoreo, auto evaluación, y comunicación sobre las expectativas de gobernabilidad penetran en la organización y hay un uso óptimo de la tecnología para soportar la medición, el análisis, la comunicación y el entrenamiento. La gobernabilidad de la empresa y la gobernabilidad de TI están ligadas estratégicamente, apoyando la tecnología y los recursos humanos y financieros para aumentar la ventaja competitiva de la empresa.



3701 ALGONQUIN ROAD, SUITE 1010 ROLLING MEADOWS, ILLINOIS 60008, USA Teléfono: +1.847.253.1545 e-mail: [email protected] Fax: +1.847.253.1443 web sits: www.itgi.org www.isaca.org

DÍGANOS QUÉ PIENSA ACERCA DE COBIT Nos interesa conocer su reacción frente a COBIT: Objetivos de Control para Información y Tecnología relacionada. Por favor registre sus comentarios a continuación. ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Nombre Compañía Dirección Ciudad Estado /Provincia País ZIP /Código Postal Número de Fax Dirección de correo electrónico

Estoy interesado en saber más sobre cómo se puede usar COBIT en mi organización Por favor dígale a un representante que se comunique conmigo Por favor, envíeme más información sobre:

Comprar otros productos de COBIT

Cursos de Entrenamiento de COBIT (localmente o en sesión general) Certificación de Auditor de Sistemas de Información Certificado™ (CISA®) Information Systems Control Journal Asociación de Auditoría y Control de los Sistemas de Información (ISACA)

¡Gracias! Se responderá a todos los que nos escriban.

Cobit3 Espanol

Documents

Transcript of Cobit3 Espanol