DS7. EDUCAR Y ENTRENAR A LOS USUARIOSAsegurar que los usuarios estn haciendo un uso efectivo de la tecnologa y estn conscientes de los riesgos y responsabilidades involucradas.Control sobre el procesoQue satisface el requerimiento del negocio de TI para.-El uso efectivo y eficiente de soluciones y aplicaciones tecnolgicas y el cumplimiento del usuario con las polticas y procedimientos.Enfocndose en: Un claro entendimiento de las necesidades de entrenamiento de los usuarios de TI.Se logra con.- Establecer, Organizar, impartir, monitorear y reportar la efectividad del entrenamiento.Y se mide conNmero de llamadas de soporte debido a problemas de entrenamientoPorcentaje de satisfaccin de los Interesados con el entrenamiento recibidoLapso de tiempo entre la identificacin de la necesidad de entrenamiento y la imparticin del mismo.PROCESOSDS7.1 Identificacin de Necesidades de Entrenamiento y EducacinEstablecer y actualizar de forma regular un programa de entrenamiento para cada grupo objetivo de empleados.DS7.2 Imparticin de entrenamiento y educacinDesignar instructores y organizar el entrenamiento con tiempo suficiente. Debe tomarse nota del registro (incluyendo los prerrequisitos), la asistencia, y de las evaluaciones de desempeo.DS7.3 Evaluacin del entrenamiento recibidoAl finalizar el entrenamiento, evaluar el contenido del entrenamiento respecto a la relevancia, calidad, efectividad, percepcin y retencin del conocimiento, costo y valor. Los resultados de esta evaluacin deben contribuir en la definicin futura de los planes de estudio y de las sesiones de entrenamiento. DIRECTRICES GENERALES

DS8 ADMINISTRAR LA MESA DE SERVICIO Y LOS INCIDENTESAsegurar que se responda de manera oportuna y efectiva a las consultas y problemas de los usuarios de TI Actividades.Control sobre el proceso TISatisface el requerimiento del negocio de TI para Permitir el efectivo uso de los sistemas de TI garantizando la resolucin y el anlisis de las consultas de los usuarios finales, incidentes y preguntasEnfocndose en Una funcin profesional de mesa de servicio, con tiempo de respuesta rpido, procedimientos de escalamiento claros y anlisis de tendencias y de resolucin Se logra con Instalacin y operacin de un servicio de una mesa de servicios Monitoreo y reporte de tendencias Definicin de procedimientos y de criterios de escalamiento claros Y se mide con Satisfaccin del usuario con el soporte de primera lnea Porcentaje de incidentes resueltos dentro de un lapso de tiempo aceptable / acordado. ndice de abandono de llamadas PROCESOSDS8.1 Mesa de Servicios Establecer la funcin de mesa de servicio, la cual es la conexin del usuario con TI, para registrar, comunicar, atender y analizar todas las llamadas.DS8.2 Registro de Consultas de Clientes Establecer una funcin y sistema que permita el registro y rastreo de llamadas, incidentes, solicitudes de servicio y necesidades de informacin. DS8.3 Escalamiento de IncidentesEstablecer procedimientos de mesa de servicios de manera que los incidentes que no puedan resolverse de forma inmediata sean escalados apropiadamente de acuerdo con los lmites acordados en el SLA.

DS8.4 Cierre de Incidentes Cuando se resuelve el incidente la mesa de servicios debe registrar la causa raz, si la conoce, y confirmar que la accin tomada fue acordada con el cliente. DS8.5 Anlisis de Tendencias Emitir reportes de la actividad de la mesa de servicios para permitir a la gerencia medir el desempeo del servicio y los tiempos de respuesta. DIRECTRICES GENERALES

DS9: ADMINISTRAR LA CONFIGURACINEste proceso incluye la recoleccin de informacin de la configuracin inicial, el establecimiento de normas. la verificacin y auditora de la informacin de la configuracin y la actualizacin del repositorio de configuracin conforme se necesite.DS9: Objetivos de ControlDS9.1 Repositorio y Lnea Base de ConfiguracinEstablecer una herramienta de soporte y un repositorio central que contenga toda la informacin relevante sobre los elementos de configuracin.Monitorear y grabar todos los activos y los cambios a los activos.Mantener una lnea base de los elementos de la configuracin para todos los sistemas y servicios como punto de comprobacin al que volver tras el cambio.DS9.2 Identificacin y Mantenimiento de Elementos de ConfiguracinEstablecer procedimientos de configuracin para soportar la gestin y rastro de todos los cambios al repositorio de configuracin.Integrar estos procedimientos con la gestin de cambios, gestin de incidentes y procedimientos de gestin de problemas.DS9.3 Revisin de Integridad de la ConfiguracinRevisar peridicamente los datos de configuracin para verificar y confirmar la integridad de la configuracin actual e histrica.Revisar peridicamente el software instalado contra la poltica de uso de software para identificar software personal o no licenciado o cualquier otra instancia de software en exceso del contrato de licenciamiento actual. Reportar, actuar y corregir errores y desviaciones.DS10: ADMINISTRACIN DE PROBLEMASEI proceso de administracin de problemas tambin incluye la identificacin de recomendaciones para la mejora, el mantenimiento de registros de problemas y la revisin del estatus de las acciones correctivas.DS10: Objetivos de ControlDS1O.1 Identificacin y Clasificacin de ProblemasImplementar procesos para reportar y clasificar problemas que han sido identificados como parte de la administracin de incidentes.Los pasos involucrados en la clasificacin de problemas son similares a los pasos para clasificar incidentes: son determinar la categora, impacto, urgencia y prioridad. Los problemas deben categorizar se de manera apropiada en grupos o dominios relacionados . Estos grupos pueden coincidir con las responsabilidades organizacionales o con la base de usuarios y clientes, y son la base para asignar los problemas al personal de soporte.DS1O.2 Rastreo y Resolucin de ProblemasEl sistema de administracin de problemas debe mantener pistas de auditora adecuadas que permitan rastrear, analizar y determinar la causa raz de todos los problemas reportados considerando:. Todos los elementos de configuracin asociados. Problemas e incidentes sobresalientes. Errores conocidos y sospechados. Seguimiento de las tendencias de los problemas.DS1O3 Cierre de ProblemasDisponer de un procedimiento para cerrar registros de problemas ya sea despus de confirmar la eliminacin exitosa del error conocido o despus de acordar con el negocio cmo manejar el problema de manera alternativa.DS1O.4 Integracin de las Administraciones de Cambios, Configuracin y ProblemasPara garantizar una adecuada administracin de problemas e incidentes, integrar los procesos relacionados de administracin de cambios, configuracin y problemas. Monitorear cunto esfuerzo se aplica en apagar fuegos, en lugar de permitir mejoras al negocio y, en los casos que sean necesarios, mejorar estos procesos para minimizar los problemas.

DS1 DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIOSContar con una definicin documentada y un acuerdo de servicios de TI y de niveles de servicio, hace posible una comunicacin efectiva entre la gerencia de TI y los clientes de negocio respecto de los servicios requeridos. Este proceso tambin incluye monitoreo y la notificacin oportuna a los interesados sobre el cumplimiento de los niveles de servicio. Este proceso permite la alineacin entre los servicios de TI y los requerimientos de negocio relacionados.Objetivo de Control DS1.1 Marco de trabajo de la administracin de los niveles de servicio DS1.2 Definicin de servicios DS1.3 Acuerdos de niveles de servicios DS1.4 Acuerdos de niveles de operacin DS1.5 Monitoreo y reporte de cumplimiento de los niveles de servicios DS1.6 Revisin de los acuerdos de niveles de servicios y de los contratosENTRADAS

SALIDAS

DS2 ADMINISTRAR LOS SERVICIOS DE TERCEROSLa necesidad de asegurar que los servicios provistos por terceros cumplan con los requerimientos del negocio, requiere de un proceso efectivo de administracin de terceros. Este proceso se logra por medio de una clara definicin de roles, responsabilidades y expectativas en los acuerdos con los terceros as como la revisin y monitoreo de la efectividad y cumplimiento de dichos acuerdos. Una efectiva administracin de los terceros minimiza los riesgos del negocio asociados con los proveedores que no se desempean de forma adecuadaObjetivo de control DS2.1 Identificacin de Todas las Relaciones con Proveedores DS2.2 Gestin de Relaciones con Proveedores DS2.3 Administracin de Riesgos del Proveedor DS2.4 Monitoreo del Desempeo del ProveedorEntradas

SALIDAS

DS11 ADMINISTRACION DE DATOSRequiere la identificacin de requerimientos de datos. Esta administracin tambin incluye el establecimiento de procedimiento efectivos para la administrar la librera de medios, el respaldo y la recuperacin de datos y la eliminacin apropiada de medios. Una efectiva administracin de datos ayuda a garantizar la calidad, oportunidad y disponibilidad de la informacin de negocio.OBJETIVOS DE CONTROLDS 11.1.- Requerimiento del negocio para administracin de datos.-Verificar que todos los datos que se espera procesar se reciben y procesan completamente, de forma precisa y a tiempo.DS 11.2 .- Acuerdo de almacenamiento y conservacin.- Definir e implementar procedimiento para el archivo, almacenamiento y retencin de los datos de forma efectiva y eficiente para conseguir los objetivos de negocio. DS 11.3.- Sistema de administracin de libreras de medios.-Definir e implementar procedimientos para mantener un inventario de medios almacenados y archivado para asegurar su usabilidad e integridad. DS 11.4.- Eliminacin.- Definir e implementar procedimiento para asegurar que los requerimientos del negocio la proteccin de datos sensitivos y el software se consiguen cuando se eliminan o transfieren los datos y/o hardware. DS 11.5.- Respaldo y restauracin De los sistemas, aplicaciones, datos y documentacin en lnea con los requerimientos de negocio y el plan de continuidad. DS 11.6.- Requerimientos de seguridad para la administracin de datos.- Definir e implementar las polticas y procedimientos para identificar y aplicar los requerimientos de seguridad aplicables al recibo EntradasPO2 Diccionario de datos, clasificaciones de datos asignados. AI4 Manuales de usuarios, de soporte, de operacin tcnicos y de administracin. DS1 OLAs.SalidasReportes de desempeo del proceso. ME1 Instrucciones del operador para la administracin de datos.MODELO DE MADUREZ0 No existente cuando La calidad y la seguridad de los datos son deficientes o inexistentes.1 Inicial / Ad hoc cuando .Los procedimientos de respaldo y recuperacin y los acuerdos sobre desechos estn en orden.2 Repetible pero Intuitivo cuando-.-Las responsabilidades para la administracin de datos son asignadas de manera informal a personal clave de TI.3 Definido cuando.-Se lleva a cabo algn tipo de monitoreo sobre la administracin de datos. Se definen mtricas bsicas de desempeo. Comienza a aparecer el entrenamiento sobre administracin de informacin.4 Administrado y Medible cuando.-Comienza a aparecer el uso de herramientas. Se acuerdan con los clientes los indicadores de desempeo y meta y se monitorean por medio de un proceso bien definido. Se lleva a cabo entrenamiento formal para el personal de administracin de los datos.5 Optimizado cuando.- Se acuerdan con los clientes los indicadores de desempeo y meta, se ligan con los objetivos del negocio y se monitorean de manera regular utilizando un proceso bien definido. Se exploran constantemente oportunidades de mejora. El entrenamiento para el personal de administracin de datos se institucionaliza.DS12 ADMINISTRACION DEL AMBIENTE FISICOLa proteccin del equipo de cmputo y del personal, requiere de instalaciones bien diseadas y bien administradas. El proceso de administrar el ambiente fsico incluye la definicin de los requerimientos fsicos del centro de datos (site) la seleccin de instalacin apropiada y diseo de procesos efectivos para monitorear factores ambientales y administrar el ambiente fsico reduce las interrupciones del negocio ocasionados por equipos de cmputo y al personal.

OBJETIVOS DE CONTROLDS12.1 Seleccin y Diseo del Centro de Datos Definir y seleccionar los centros de datos fsicos para el equipo de TI para soportar la estrategia de tecnologa ligada a la estrategia del negocio. Esta seleccin y diseo del esquema debe considerar aspectos relacionados a desastres naturales y causados por el hombre.naturales y causados por el hombre. Tambin debe considerar las leyes y regulaciones correspondientes, tales como regulaciones de seguridad y de salud en el trabajo.DS12.2 Medidas de Seguridad FsicaDefinir e implementar medidas de seguridad fsicas alineadas con los requerimientos del negocio.Las medidas deben incluir, pero no limitarse al esquema del permetro de seguridad.DS12.3 Acceso FsicoDefinir e implementar procedimientos para otorgar, limitar y revocar el acceso a locales, edificios y reas de acuerdo con las necesidades del negocio, incluyendo las emergencias.DS12.4 Proteccin contra factores AmbientalesDisear e implementar medidas de proteccin contra factores ambientales .Deben instalarse dispositivos y equipo especializado para monitorear y controlar el ambiente.DS12.5 Administracin de Instalaciones FsicasAdministrar las instalaciones, incluyendo el equipo de comunicaciones y de suministro de energa, de acuerdo con las leyes y los reglamentos, los requerimientos tcnicos y del negocio, las especificaciones del proveedor y los lineamientos de seguridad y salud.ENTRADAS Y SALIDAS

DS 13 ADMINISTRACION DE OPERACIONESUn procesamiento de informacin completo y apropiado requiere de una efectiva administracin del procesamiento de datos y del mantenimiento del hardware.Este proceso incluye la definicin de polticas y procedimientos de operacin para una administracin efectiva del procesamiento programado, proteccin de datos de salida sensitivos, monitoreo de infraestructura y mantenimiento preventivo de hardware.OBJETIVOAsegurar que las funciones importantes de soporte de TI estn siendo llevadas a cabo regularmente y de una manera ordenada, esto se logra a travs de una candelarizacion de actividades de soporte que sea registrada y completada en cuanto al logro de todas las actividades.DS13.1 PROCEDIMIENTOS E INSTRUCCIONES DE OPERACIN Definir, implementar y mantener procedimientos estndar para operaciones de TI y garantizar que el personal de operaciones esta familiarizado con todas las tareas de operacin relativas a ellos.DS13.2 PROGRAMACIN DE TAREASOrganizar la programacin de trabajos, procesos y tareas en la secuencia mas eficiente, maximizando el desempeo y la utilizacin para cumplir con los requerimientos del negocio. DS13.3 MONITOREO DE LA INFRAESTRUCTURA DE TIDefinir e implementar procedimientos para monitorear la infraestructura de TI y los eventos relacionados.DS13.4 DOCUMENTOS SENSITIVOS Y DISPOSITIVOS DE SALIDA Establecer resguardos fsicos, practicas de registro y administracin de inventarios adecuados sobre los activos de TI mas sensitivos tales como formas, instrumentos negociables, impresoras de uso especial.DS13.5 MANTENIMIENTO PREVENTIVO DEL HARDWARE Definir e implementar procedimientos para garantizar el mantenimiento oportuno de la infraestructura para reducir la frecuencia y el impacto de las fallas o de la disminucin del desempeo.ENTRADAS Y SALIDAS

DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMASObjetivos de controlDS5.1 Administracin de la seguridad de TIAdministrar la seguridad de TI al nivel ms apropiado dentro de la organizacin, de manera que las acciones de administracin de la seguridad estn en lnea con los requerimientos del negocio.DS5.2 Plan de seguridad de TITrasladar los requerimientos de informacin del negocio, la configuracin de TI, los planes de accin del riesgo de la informacin y la cultura sobre la seguridad en la informacin a un plan global de seguridad de TI.DS5.3 Administracin de identidadTodos los usuarios (internos, externos y temporales) y su actividad en sistemas de TI (aplicacin de negocio, operacin del sistema, desarrollo y mantenimiento) deben ser identificables de manera nica.DS5.4 Administracin de cuentas del usuarioGarantizar que la solicitud, establecimiento, emisin, suspensin, modificacin y cierre de cuentas de usuario y de los privilegios relacionados, sean tomados en cuenta por la gerencia de cuentas de usuario. DS5.5 Pruebas, vigilancia y monitoreo de la seguridadGarantizar que la implementacin de la seguridad en TI sea probada y monitoreada de forma pro-activa. DS5.6 Definicin de incidente de seguridadGarantizar que las caractersticas de los posibles incidentes de seguridad sean definidas y comunicadas de forma clara, de manera que los problemas de seguridad sean atendidos de forma apropiada por medio del proceso de administracin de problemas o incidentes.DS5.7 Proteccin de la tecnologa de seguridadGarantizar que la tecnologa importante relacionada con la seguridad no sea susceptible de sabotaje y que la documentacin de seguridad no se divulgue de forma innecesaria.DS5.8 Administracin de llaves criptogrficasDeterminar que las polticas y procedimientos para organizar la generacin, cambio, revocacin, destruccin, distribucin, certificacin, almacenamiento, captura, uso y archivo de llaves criptogrficas estn implantadas, para garantizar la proteccin de las llaves contra modificaciones y divulgacin no autorizadas.DS5.9 Prevencin, deteccin y correccin de software maliciosoGarantizar que se cuente con medidas de prevencin, deteccin y correccin (en especial contar con parches de seguridad y control de virus actualizados) a lo largo de toda la organizacin para proteger a los sistemas de informacin y a la tecnologa contra software malicioso (virus, gusanos, spyware, correo basura, software fraudulento desarrollado internamente, etc.).DS5.10 Seguridad de la redGarantizar que se utilizan tcnicas de seguridad y procedimientos de administracin asociados (por ejemplo, firewalls, dispositivos de seguridad, segmentacin de redes, y deteccin de intrusos) para autorizar acceso y controlar los flujos de informacin desde y hacia las redes.DS5.11 Intercambio de datos sensitivosGarantizar que las transacciones de datos sensibles sean intercambiadas solamente a travs de una ruta o medio confiable con controles para brindar autenticidad de contenido, prueba de envo, prueba de recepcin y no rechazo del origen.DS 6 IDENTIFICAR Y ASIGNAR COSTOSLa necesidad de un sistema justo y equitativo para asignar costos de TI al negocio, requiere de una medicin precisa y un acuerdo con los usuarios del negocio sobre una asignacin justa.Este proceso incluye la construccin y operacin de una sistema para capturar, distribuir y reportar costos de TI a los usuarios de los servicios.Un sistema equitativo de costos permite al negocio tomar decisiones ms informadas respectos al uso de los servicios de TI.Control sobre el proceso de TIIdentificar y asignar costos.Requisito de Negocio de TI a satisfacerTransparentar y entender los costos de TI y mejorar la rentabilidad a travs del uso bien informado de los servicios de TI.Enfocndose enEl registro completo y preciso de los costos de TI, un sistema equitativo para asignacin acordado con los usuarios de negocio, y un sistema para reportar oportunamente el uso de TI y los costos asignados.DS6.1 Definicin de serviciosIdentificar todos los costos de TI y equipararlos a los servicios de TI para soportar un modelo de costos transparente. Los servicios de TI deben vincularse a los procesos del negocio de forma que el negocio pueda identificar los niveles de facturacin de los servicios asociados.DS6.2 Contabilizacin de TIRegistrar y asignar los costos actuales de acuerdo con el modelo de costos definido. Las variaciones entre los presupuestos y los costos actuales deben analizarse y reportarse de acuerdo con los sistemas de medicin financiera de la empresa.DS6.3 Modelacin de costos y cargosEl modelo de costos debe estar alineado con los procedimientos de contabilizacin de costos de la empresa.El modelo de costos de TI debe garantizar que los cargos por servicios son identificables, medibles y predecibles por parte de los usuarios para propiciar el adecuado uso de recursosDS6.4 Mantenimiento del modelo de costosRevisar y comparar de forma regular lo apropiado del modelo de costos/recargos para mantener su relevancia para el negocio en evolucin y para las actividades de TI.

DS3 ADMINISTRAR EL DESEMPEO Y LA CAPACIDADOBJETIVO: Verificar la existencia de un proceso y su mejor aplicacin que optimice el desempeo de la estructura, los recursos y las capacidades de TI.Puntos a evaluarPlaneacin del desempeo y la capacidad Capacidad y desempeo actualCapacidades y desempeos futuros Disponibilidad de recursos de TIMonitoreo y reporteObjetivos de controlDS3.1 Planeacin del desempeo y la capacidadEstablecer un proceso de planeacin para la revisin del desempeo y la capacidad de los recursos de TIAsegurar la disponibilidad de la capacidad y del desempeo, con costos justificables, para procesar las cargas de trabajo acordadas tal como se determina en los SLAsDeben hacer uso de tcnicas de modelado apropiadas para producir un modelo de desempeo de capacidad y de rendimiento de los recursos de TIDS3.2 Capacidad y desempeo actualRevisar la capacidad y desempeo actual de los recursos de TI en intervalos regulares para determinar si existe suficiente capacidad y desempeo para prestar los servicios con base en los niveles de servicio acordados.DS3.3 Capacidad y desempeo futurosLlevar a cabo un pronstico de desempeo y capacidad de los recursos de TI en intervalos regulares para minimizar el riesgo de interrupciones del servicio originadas por falta de capacidad o degradacin del desempeo. Identificar tambin el exceso de capacidad para una posible redistribucin. Identificar las tendencias de las cargas de trabajo y determinar los pronsticos que sern parte de los planes de capacidad y de desempeo.DS3.4 Disponibilidad de recursos de TI Brindar la capacidad y desempeo requeridos tomando en cuenta aspectos como: cargas de trabajo normales Contingencias requerimientos de almacenamiento ciclos de vida de los recursos de TI. Deben tomarse medidas cuando el desempeo y la capacidad no estn en el nivel requerido tales como: Dar prioridad a las tareas Mecanismos de tolerancia de fallas Prcticas de asignacin de recursosDS4 GARANTIZAR LA CONTINUIDAD DEL SERVICIOAsegurar el mnimo impacto al negocio en caso de una interrupcin de servicios de TI. OBJETIVOS DE CONTROLDS4.1 IT Marco de trabajo de continuidadEl objetivo del marco de trabajo es ayudar en la determinacin de la resistencia requerida de la infraestructura y de guiar el desarrollo de los planes de recuperacin de desastres y de contingencias.El plan debe tambin considerar puntos tales como la identificacin de recursos crticos, el monitoreo y reporte de la disponibilidad de recursos crticos, el procesamiento.DS4.2 Planes de continuidad de TIDiseado para reducir el impacto de una interrupcin mayor de las funciones y los procesos clave del negocio.Los planes deben considerar requerimientos de resistencia, procesamiento alternativo, y capacidad de recuperacin de todos los servicios crticos de TI.Deben cubrir los lineamientos de uso, los roles y responsabilidades, los procedimientos, los procesos de comunicacin y el enfoque de pruebas.DS4.3 Recursos crticos de TICentrar la atencin en los puntos determinados como los ms crticos en el plan de continuidad de TI.Establecer prioridades en situaciones de recuperacin.Evitar la distraccin de recuperar los puntos menos crticos y asegurarse de que la respuesta y la recuperacin estn alineadas con las necesidades prioritarias del negocio.DS4.4 Mantenimiento del plan de continuidad de TIExhortar a la gerencia de TI a definir y ejecutar procedimientos de control de cambios.Para asegurar que el plan de continuidad de TI se mantenga actualizado y que refleje de manera continua los requerimientos actuales del negocio. DS4.5 Pruebas del plan de continuidad de TIProbar el plan de continuidad de TI de forma regular para asegurar que los sistemas de TI pueden ser recuperados de forma efectiva, que las deficiencias son atendidas y que el plan permanece aplicable. Esto requiere una preparacin cuidadosa, documentacin, reporte de los resultados de las pruebas y, de acuerdo con los resultados, la implementacin de un plan de accin. DS4.6 Entrenamiento del plan de continuidad de TIAsegurarse de que todos las partes involucradas reciban capacitaciones de forma regular respecto a los procesos, roles y responsabilidades en caso de Incidente o desastre.Verificar e incrementar el entrenamiento de acuerdo con los resultados de las pruebas de contingencia. DS4.7 Distribucin del plan de continuidad de TIDebe existir una estrategia de distribucin definida y administrada para asegurar que los planes se distribuyan de una manera apropiada, segura y que estn autorizados y disponibles cuando se requiere.Accesible bajo cualquier escenario de desastre.DS4.8 Recuperacin y reanudacin de los servicios de TIPlanear las acciones a tomar durante el perodo en que TI est recuperando y reanudando los servicios. Activacin de sitios de respaldo, el inicio de procesamiento alternativo, la comunicacin a clientes y a los interesados.Asegurarse de que los responsables del negocio entienden los tiempos de recuperacin de TI y las inversiones necesarias en tecnologa para soportar las necesidades de recuperacin y reanudacin del negocio.DS4.9 Almacenamiento de respaldos fuera de las instalacionesAlmacenar fuera de las instalaciones todos los medios de respaldo, documentacin y otros recursos de TI crticos, necesarios para la recuperacin de TI y para los planes de continuidad del negocio.El contenido del respaldo a almacenar se determinan en conjunto entre los responsables de los procesos de negocio y el personal de TI.DS4.10 Revisin Post-reanudacinLa administracin del sitio de almacenamiento externo a las instalaciones, debe apegarse a la poltica de clasificacin de datos y a las prcticas de almacenamiento de datos de la empresa. La gerencia de TI debe asegurar que los acuerdos con sitios externos sean evaluados peridicamente, al menos una vez por ao, respecto al contenido, a la proteccin ambiental y a la seguridad. Asegurarse de la compatibilidad del hardware y del software para poder recuperar los datos archivados y peridicamente probar y renovar los datos archivados.

(ME1) MONITOREAR Y EVALUAR EL DESEMPEO DE TIDefine indicadores de desempeo relevantes, reportes sistemticos y oportunos de desempeo y toma medidas expeditas cuando existan desviaciones. Este monitoreo se requiere para que se hagan las correctas y adems vayan de acuerdo con la polticas de la empresa.Que satisface el requerimiento Transparencia y entendimiento de los datos de la empresa de acuerdo con los requisitos de gobierno.Enfocndose enMonitorear y reportar las estadsticas, adems de implementar formas de mejorar el desempeo.Se logra conReporte gerenciales e iniciando medidas correctivas cuando se detecta algo que no est de acuerdo con las metas. Y se mide conLa satisfaccin de la gerencia, el mejoramiento impulsado por el monitoreo y el numero de procesos crticos analizados.OBJETIVOS DE CONTROL -Definicin y Recoleccin de Datos de Monitoreo - Enfoque del Monitoreo Reportes al Consejo Directivo Acciones Correctivas(ME2 ) MONITOREAR Y EVALUAR EL CONTROL INTERNOEstablecer un programa de control interno para TI requiere un proceso bien definido de monitoreo. Todo este proceso incluye el monitoreo y reporte de las excepciones de control, resultados de las auto evaluaciones y revisiones por parte de terceros.OBJETIVOS DE CONTROLME2.1 Monitoreo del Marco de Trabajo de Control Interno Monitorear de forma continua, comparar y mejorar el ambiente de control de TI y el marco de trabajo de control de TI para satisfacer los objetivos organizacionales.ME2.2 Revisiones de AuditoriaMonitorear y evaluar la eficiencia y efectividad de los controles internos de revisin de la gerencia de TI. ME2.3 Excepciones de ControlIdentificar las excepciones de control, y analizar e identificar sus causas raz subyacente. Escalar las excepciones de control y reportar a los interesados apropiadamente. Establecer acciones correctivas necesariasME2.4 Control de Auto Evaluacin Evaluar la completitud y efectividad de los controles de gerencia sobre los procesos, polticas y contratos de TI por medio de un programa continuo de auto-evaluacin.ME2.5 Aseguramiento del Control InternoObtener, segn sea necesario, aseguramiento de la completitud y efectividad de los controles internos por medio de revisiones de terceros. ME2.6 Control Interno para Terceros Evaluar el estado de los controles internos de los proveedores de servicios externos. Conformar que los proveedores de servicios externos cumplen con los requerimientos legales y regulatorios y obligaciones contractuales.ME2.7 Acciones Correctivas Identificar, iniciar, rastrear e implementar acciones correctivas derivadas de los controles de evaluacin y los informes.(ME3) GARANTIZAR EL CUMPLIMIENTO CON REQUERIMIENTOS EXTERNOS Descripcin del procesoEste proceso incluye la identificacin de requerimientos de cumplimientos, optimizando y evaluando la respuesta, obteniendo aseguramiento de que los requerimientos se han cumplido y, finalmente integrando los reportes de cumplimiento de TI con el resto del negocio. Una supervisin efectiva del cumplimiento requiere del establecimiento de un proceso de revisin para garantizar el cumplimiento de las leyes, regulaciones y requerimientos contractuales. OBJETIVOS DE CONTROLReportes integradosAseguramiento positivoEvaluacin y cumplimiento de requerimientos externosOptimizar la respuesta de requerimientoIdentificar los requerimientos de las leyes(ME4) PROPORCIONAR GOBIERNO DE TIME4.1 Establecimiento de un Marco de Gobierno de TIME4.2 Alineamiento EstratgicoME4.3 Entrega de ValorME4.4 Administracin de RecursosME4.5 Administracin de RiesgosME4.6 Medicin del DesempeoME4.7 Aseguramiento Independiente