Introduccin a la Auditora de Procesos de Sistemas de Informacin
Ejercicios
Introduccin a la Auditora de
Procesos de Sistemas de Informacin
Ejercicios
Damin Ruiz Soriano (CISA, CISSP, 27001 Lead Auditor) Departamento de Auditora de Produccin (rea de Auditora de Sistemas). Bankia [email protected] Noviembre de 2012
4
4.1
Marco de Trabajo
Objetivos de Control
Directrices Gerenciales
Modelos de Madurez
Extracto deProcesos y Descripciones
PLANEAR Y ORGANIZAR
PL
AN
EA
R Y
OR
GA
NIZ
AR
PO1 Definir un Plan Estratgico de TI
PO2 Definir la Arquitectura de la Informacin
PO3 Determinar la Direccin Tecnolgica
PO4 Definir los Procesos, Organizacin y Relaciones de TI
PO5 Administrar la Inversin en TI
PO6 Comunicar las Aspiraciones y la Direccin de la Gerencia
PO7 Administrar Recursos Humanos de TI
PO8 Administrar la Calidad
PO9 Evaluar y Administrar los Riesgos de TI
PO10 Administrar Proyectos
Planear y Organizar Definir un Plan Estratgico de TI PO1
2007 IT Governance Institute. All rights reserved. www.itgi.org
DESCRIPCIN DEL PROCESO. P01 Definir un Plan Estratgico de TI. La planeacin estratgica de TI es necesaria para gestionar y dirigir todos los recursos de TI en lnea con la estrategia y prioridades del negocio. La funcin de TI y los interesados del negocio son responsables de asegurar que el valor ptimo se consigue desde los proyectos y el portafolio de servicios. El plan estratgico mejora la comprensin de los interesados clave de las oportunidades y limitaciones de TI, evala el desempeo actual, identifica la capacidad y los requerimientos de recursos humanos, y clarifica el nivel de investigacin requerido. La estrategia de negocio y prioridades se reflejarn en portafolios y se ejecutarn por los planes estratgicos de TI, que especifican objetivos concisos, planes de accin y tareas que estn comprendidas y aceptadas tanto por el negocio como por TI.
Planear y Organizar
Adquirir e Implementar
Entregar y Dar Soporte
Monitorear y Evaluar
Control sobre el proceso TI de
Definir un plan estratgico para TI
Que satisface el requerimiento del negocio de TI para
Sostener o extender los requerimientos de gobierno y de la estrategia del negocio, al mismo tiempo que se mantiene la transparencia sobre los beneficios, costos y riesgos
Enfocndose en
La incorporacin de TI y de la gerencia del negocio en la traduccin de los requerimientos del negocio a ofertas de servicio, y el desarrollo de estrategias para entregar estos servicios de una forma transparente y rentable
Se logra con
El compromiso con la alta gerencia y con la gerencia del negocio para alinear la planeacin estratgica de TI con las necesidades del negocio actuales y futuras
El entendimiento de las capacidades actuales de TI La aplicacin de un esquema de prioridades para los objetivos del negocio que cuantifique los
requerimientos del negocio
Y se mide con
El porcentaje de objetivos de TI en el plan estratgico de TI, que dan soporte al plan estratgico del negocio
El porcentaje de proyectos TI en el portafolio de proyectos que se pueden rastrear hacia el plan tctico de TI
El retraso entre las actualizaciones del plan estratgico de TI y las actualizaciones de los planes tcticos de TI
29
Planear y Organizar Definir la Arquitectura de la Informacin PO2
2007 IT Governance Institute. All rights reserved. www.itgi.org 33
DE . acin.
los ue
los datos de la organizacin, el esquema de clasificacin de datos y los niveles de seguridad. Este d de la toma de decisiones gerenciales asegurndose que se proporciona informacin confiable y segura, y
licaciones y de las entidades.
eso TI de
El aseguramiento de la exactitud de la arquitectura de la informacin y del modelo de datos
La frecuencia de actividades de validacin de datos
SCRIPCIN DEL PROCESOP02. Definir la Arquitectura de la InformLa funcin de sistemas de informacin debe crear y actualizar de forma regular un modelo de informacin del negocio y definirsistemas apropiados para optimizar el uso de esta informacin. Esto incluye el desarrollo de un diccionario corporativo de datos qcontiene las reglas de sintaxis deproceso mejora la calidapermite racionalizar los recursos de los sistemas de informacin para igualarse con las estrategias del negocio. Este proceso de TI tambin es necesario para incrementar la responsabilidad sobre la integridad y seguridad de los datos y para mejorar la efectividad y control de la informacin compartida a lo largo de las ap
Planear y Organizar
Adquirir e Implementar
Entregar y Dar Soporte
Control sobre el proc
Definir la arquitectura de la informacin
Que satisface el requerimiento del negocio de TI para
Agilizar la respuesta a los requerimientos, proporcionar informacin confiable y consistente, para integrar de forma transparente las aplicaciones dentro de los procesos del negocio
Monitorear y Evaluar
Enfocndose en
El establecimiento de un modelo de datos empresarial que incluya un esquema de clasificacin de informacin que garantice la integridad y consistencia de todos los datos
Se logra con
La asignacin de propiedad de datos La clasificacin de la informacin usando un esquema de clasificacin acordado
Y se mide con
El porcentaje de elementos de datos redundantes / duplicados El porcentaje de aplicaciones que no cumplen con la metodologa de arquitectura de la
informacin usada por la empresa
Planear y Organizar Determinar la Direccin Tecnolgica PO3
2007 IT Governance Institute. All rights reserved. www.itgi.org 37
DE O.
listas y rminos de productos, servicios y mecanismos de aplicacin. El plan se debe
r y abarca aspectos tales como arquitectura de sistemas, direccin tecnolgica, planes de adquisicin,
requerimientos. La definicin de estndares de infraestructura tecnolgica basados en requerimientos de
SCRIPCIN DEL PROCESP03. Determinar la Direccin Tecnolgica. La funcin de servicios de informacin debe determinar la direccin tecnolgica para dar soporte al negocio. Esto requiere de la creacin de un plan de infraestructura tecnolgica y de un comit de arquitectura que establezca y administre expectativas reaclaras de lo que la tecnologa puede ofrecer en tactualizar de forma regulaestndares, estrategias de migracin y contingencias. Esto permite contar con respuestas oportunas a cambios en el ambiente competitivo, economas de escala para consecucin de personal de sistemas de informacin e inversiones, as como una interoperabilidad mejorada de las plataformas y de las aplicaciones.
Planear y Organizar
Adquirir e Implementar
Entregar y Dar Soporte
Control sobre el proceso TI de
Determinar la direccin tecnolgica
Que satisface el requerimiento del negocio de TI para
Contar con sistemas aplicativos estndares, bien integrados, rentables y estables, as como recursos y capacidades que satisfagan requerimientos de negocio, actuales y futuros
Monitorear y Evaluar
Enfocndose en
La definicin e implementacin de un plan de infraestructura tecnolgica, una arquitectura y estndares que tomen en cuenta y aprovechen las oportunidades tecnolgicas
Se logra con
El establecimiento de un foro para dirigir la arquitectura y verificar el cumplimiento El establecimiento de un plan de infraestructura tecnolgica equilibrado versus costos, riesgos y
arquitectura de informacin
Y se mide con
El nmero y tipo de desviaciones con respecto al plan de infraestructura tecnolgica Frecuencia de las revisiones /actualizaciones del plan de infraestructura tecnolgica Nmero de plataformas de tecnologa por funcin a travs de toda la empresa
Planear y Organizar Definir los Procesos, Organizacin y Relaciones de TI PO4
2007 IT Governance Institute. All rights reserved. www.itgi.org 41
DE O. laciones de TI.
ntrol, as como el involucramiento de los altos ejecutivos y de la gerencia del negocio. Un comit ar la vigilancia del consejo directivo sobre TI, y uno ms comits de direccin, en los cuales participen
io, TI se debe involucrar en los ecisin.
eso TI de
en os y competentes
efinicin
La definicin de un marco de trabajo de procesos de TI El establecimiento de un cuerpo y una estructura organizacional apropiada
ctividades clave de TI fuera de la organizacin de TI que no son aprobadas y que no estn sujetas a los estndares organizacionales de TI
SCRIPCIN DEL PROCESP04. Definir los Procesos, Organizacin y ReUna organizacin de TI se debe definir tomando en cuenta los requerimientos de personal, funciones, rendicin de cuentas, autoridad, roles, responsabilidades y supervisin. La organizacin est embebida en un marco de trabajo de procesos de TI que asegure la transparencia y el coestratgico debe garantiztanto el negocio como TI, deben determinar las prioridades de los recursos de TI alineados con las necesidades del negocio. Deben existir procesos, polticas de administracin y procedimientos para todas las funciones, con atencin especfica en el control, el aseguramiento de la calidad, la administracin de riesgos, la seguridad de la informacin, la propiedad de datos y de sistemas y la segregacin de funciones. Para garantizar el soporte oportuno de los requerimientos del negocprocesos importantes de d
Planear y Organizar
Adquirir e Implementar
Entregar y Dar Soporte
Control sobre el proc
Definir los procesos, organizacin y relaciones de TI
Que satisface el requerimiento del negocio de TI para
Agilizar la respuesta a las estrategias del negocio mientras se cumplen los requerimientos de gobierno y se establec
Monitorear y Evaluar
puntos de contacto definid
Enfocndose en
El establecimiento de estructuras organizacionales de TI transparentes, flexibles y responsables, y en la de implementacin de procesos de TI con dueos, y en la integracin de roles y responsabilidades hacia los procesos de negocio y de decisin
Se logra con
La definicin de roles y responsabilidades Y se mide con
El porcentaje de roles con descripciones de puestos y autoridad documentados El nmero de unidades/procesos de negocio que no reciben soporte de TI y que deberan
recibirlo, de acuerdo con la estrategia Nmero de a
Planear y Organizar Administrar la Inversin en TI PO5
2007 IT Governance Institute. All rights reserved. www.itgi.org
47
DESCRIPCIN DEL PROCESO. P05. Administrar la Inversin en TI. Establecer y mantener un marco de trabajo para administrar los programas de inversin en TI que abarquen costos, beneficios, prioridades dentro del presupuesto, un proceso presupuestal formal y administracin contra ese presupuesto. Los interesados (stakeholders) son consultados para identificar y controlar los costos y beneficios totales dentro del contexto de los planes estratgicos y tcticos de TI, y tomar medidas correctivas segn sean necesarias. El proceso fomenta la asociacin entre TI y los interesados del negocio, facilita el uso efectivo y eficiente de recursos de TI, y brinda transparencia y responsabilidad dentro del costo total de la propiedad, la materializacin de los beneficios del negocio y el retorno sobre las inversiones en TI.
Control sobre el proceso TI de
Administrar la Inversin en TI
Que satisface el requerimiento del negocio de TI para
Mejorar de forma continua y demostrable la rentabilidad de TI y su contribucin a la rentabilidad del negocio con servicios integrados y estandarizados que satisfagan las expectativas del usuario.
Enfocndose en
Decisiones de portafolio e inversin en TI efectivas y eficientes, y el establecimiento y seguimiento de presupuestos de TI de acuerdo a la estrategia de TI y a las decisiones de inversin.
Se logra con
El pronstico y la asignacin de presupuestos La definicin de criterios formales de inversin (retorno de inversin -ROI, periodo de reintegro, valor
presente neto -NPV) La medicin y evaluacin del valor del negocio en comparacin con el pronstico
Y se mide con
El porcentaje de reduccin en el costo unitario del servicio de TI Porcentaje del valor de la desviacin respecto al presupuesto en comparacin con el
presupuesto total Porcentaje de gasto de TI expresado en impulsores de valor del negocio (Ej. Incremento en
ventas / servicios debidos a la mejora en conectividad
Planear y Organizar
Adquirir e Implementar
Entregar y Dar Soporte
Monitorear y Evaluar
Planear y Organizar Comunicar las Aspiraciones y la Direccin de la Gerencia PO6
2007 IT Governance Institute. All rights reserved. www.itgi.org 51
D Direccin de la Gerencia.
L laborar un marco de trabajo de control empr ra TI, y definir y comunicar las polticas. Un programa de c ica ar la m e servic po s ie etc., aprobados y apoyados por la direccin. La comunicacin apoya e los objetivos de TI y asegura la concienciacin y el entendim y de TI. El proceso debe limiento de las leye y reglamentos relevant s.
ontrol sobre el proceso TI de
omunicar las aspiraciones y la direccin de la gerencia
Que satisface el requerimiento del negocio de TI para
Una informacin precisa y oportuna sobre los servicios de TI actuales y futuros, los riesgos asociados y las responsabilidades
Enfocndose en
Proporcionar polticas, procedimientos, directrices y otra documentacin aprobada, de forma precisa y entendible y que se encuentre dentro del marco de trabajo de control de TI a los interesados
Se logra con
La definicin de un marco de trabajo de control para TI La elaboracin e implantacin de polticas para TI El refuerzo de polticas de TI
Y se mide con
El nmero de interrupciones en el negocio debidas a interrupciones en el servicio de TI Porcentaje de interesados que entienden el marco de trabajo de control de TI de la empresa Porcentaje de interesados que no cumple las polticas
ESCRIPCIN DEL PROCESO. P06. Comunicar las Aspiraciones y laa direccin debe e esarial paomun cin continua se debe implementar para articul isin, los objetivos d
l logro deio, las ltica y procedim ntos,
iento de los riesgos de negocio garantizar el cump s e
Planear y Organizar
Adquirir e Implementar
Entregar y Dar Soporte
C Monitorear y Evaluar
C
Planear y Organizar Administrar Recursos Humanos de TI PO7
2007 IT Governance Institute. All rights reserved. www.itgi.org 55
D
A var una fuerza de trabajo para la creaci ega de servicios ra el negocio. Esto se logra si d el recluta iento, la evaluacin del desempeo, la promocinla termin es crtico, ya que las personas son , y el ambiente de gobierno y de control interno d de el person
trol sobre el proceso TI de
dministrar los recursos humanos de TI
Que satisface el requerimiento del negocio de TI para
mpetente y motivada para crear y entregar servicios de TI
Enfocndose en
La contratacin y entrenamiento del personal, la motivacin por medio de planes de carrera claros, la asignacin de roles que correspondan a las habilidades, el establecimiento de procesos de revisin definidos, la creacin de descripcin de puestos y el aseguramiento de la conciencia de la dependencia sobre los individuos
Se logra con
La revisin del desempeo del personal La contratacin y entrenamiento de personal de TI para apoyar los planes tcticos de TI La mitigacin del riesgo de sobre-dependencia de recursos clave
Y se mide con
El nivel de satisfaccin de los interesados respecto a la experiencia y habilidades del personal La rotacin de personal de TI Porcentaje de personal de TI certificado de acuerdo a las necesidades del negocio
ESCRIPCIN DEL PROCESO. P07. Administrar los Recursos Humanos de TI.
dquirir, mantener y moti n y entr de TI paguien o prcticas definidas y aprobadas que apoyan
acin. Este procesomiento, entrenamactivos importantes
y
epen fuertemente de la motivacin y competencia d al.
Planear y Organizar
Adquirir e Implementar
Entregar y Dar Soporte
Monitorear y Evaluar Con
A
Adquirir gente co
Planear y Organizar Administrar la Calidad PO8
2007 IT Governance Institute. All rights reserved. www.itgi.org 59
D
Se debe elaborar y mantener un sistema de administracin de c cual incluya procesos y estndares probados de desarrollo y d u la planeacin, impla de ma administ cin de cali adproporci mientos y polticas clara ientos de calidad se deben manifestar y d e bles. La me m e an e mo itoreo in
sultados a los intere de d es sen al pa garantizar u TI st dando valor al negocio, mejora continua y transparencia par
ontrol sobre el proceso TI de
dministrar la calidad
Que satisface el requerimiento del negocio de TI para
La mejora continua y medible de la calidad de los servicios prestados por TI
Enfocndose en
icin de un sistema de administracin de calidad (QMS, por sus siglas en ingls), el monitoreo continuo del desempeo contra los objetivos predefinidos, y la implantacin de un programa de mejora continua de servicios de TI
Se logra con
La definicin de estndares y prcticas de calidad El monitoreo y revisin interna y externa del desempeo contra los estndares y prcticas de calidad
definidas La mejorara del QMS de manera continua
Y se mide con
Porcentaje de Interesados (Stakeholders) satisfechos con la calidad (ponderado por importancia)
Porcentaje de procesos de TI revisados de manera formal por aseguramiento de calidad de modo peridico que satisfaga las metas y objetivos de calidad
Porcentaje de procesos que reciben revisiones de aseguramiento de calidad (QA)
ESCRIPCIN DEL PROCESO. P08. Administrar la Calidad.
alidad, ele adq isicin. Esto se facilita por medio de
onando requerimientos, procedintacin y mantenimientos de calidad. Los requerim
l siste de ra d ,
ocum ntar con indicadores cuantificables y alcanza jora continua se logra por edio d l const t n , correccde desviaciones y la comunicacin de los ree
sados. La administracin calida e ci ra q e a los interesados.
Planear y Organizar
Adquirir e Implementar
Entregar y Dar Soporte
Monitorear y Evaluar
C
A
La defin
Planear y Organizar Evaluar y Administrar los Riesgos de TI PO9
2007 IT Governance Institute. All rights reserved. www.itgi.org 63
Ds Riesgos de TI.
C imiento a un marco de trabajo de administrac El marco d el comn y a d trategias de mitigacin y riesgos re to p cia re m do to no planeado se debe ide ar. en p st gia mitigaci los riesgos residuales a un resultad eva aci debe ser entendi
ara los Interesados (Stakeholders) y se debe expresar en trmi rmitirles alinear los riesgos a un nivel ceptable de tolerancia.
trol sobre el proceso TI de
valuar y administrar los riesgos de TI
Que satisface el requerimiento del negocio de TI para
Enfocndose en
La elaboracin de un marco de trabajo de administracin de riesgos el cual est integrado en los marcos gerenciales de riesgo operacional, evaluacin de riesgos, mitigacin del riesgo y comunicacin de riesgos residuales
Se logra con
La garanta de que la administracin de riesgos est incluida completamente en los procesos administrativos, tanto interna como externamente, y se aplica de forma consistente
La realizacin de evaluaciones de riesgo La recomendacin y comunicacin de planes de accin para remediar riesgos
Y se mide con
Porcentaje de objetivos crticos de TI cubiertos por la evaluacin de riesgos Porcentaje de riesgos crticos de TI identificados con planes de accin elaborados Porcentaje de planes de accin de administracin de riesgos aprobados para su implantacin
ESCRIPCIN DEL PROCESO. P09. Evaluar y Administrar lo
rear y dar manten in de riesgos. e trabajo documenta un nivcorda o de riesgos de TI, es siduales. Cualquier impac oten l sob las etas e la rganizacin, causado por algn even ntificar, analizar y evalu Se deb ado tar e rate s de
n de riesgos para minimizar nivel aceptable. Elnos financieros, para pe
o de la lu n ble pa
Planear y Organizar
Adquirir e Implementar
Entregar y Dar Soporte
Monitorear y Evaluar Con
E
Analizar y comunicar los riesgos de TI y su impacto potencial sobre los procesos y metas de negocio
Planear y Organizar Administrar Proyectos PO10
2007 IT Governance Institute. All rights reserved. www.itgi.org 67
D
Establecer un marco de trabajo de administracin de programas y proyectos para la admin os proyectos de TI e c orrecta asignacin de prioridades y la c na os. Elmarco d incluir un plan maestro, asignacin de re e entrega aprobacin de los usuarios, u e lidad, un p pruebas, revis e pruebas post an cind s izar la administracin de lo la entrega de valor para el negocio. Este e e y de cancelacin ora la comun olucramiento del n o r y la calidad de proyectos, y m za la contribuci n a los p m
ontrol sobre el proceso TI de
dministrar proyectos
Que satisface el requerimiento del negocio de TI para
La entrega de resultados de proyectos dentro de marcos de tiempo, presupuesto y calidad acordados
Enfocndose en
Un programa y un enfoque de administracin de proyectos definidos, el cual se aplica a todos los proyectos de TI,
Se logra con
La definicin e implantacin de marcos de trabajo y enfoques de programas y de proyectos La emisin de directrices de administracin para proyectos La planeacin de proyectos para todos los proyectos incluidos en el portafolio de proyectos
Y se mide con
Porcentaje de proyectos que satisfacen las expectativas de los interesados (a tiempo, dentro del presupuesto, y con satisfaccin de los requerimientos ponderados por importancia)
Porcentaje de proyectos con revisin post-implantacin Porcentaje de proyectos que siguen estndares y prcticas de administracin de proyectos
ESCRIPCIN DEL PROCESO. P10. Administrar Proyectos.
istracin de todos lstable idos. El marco de trabajo debe garantizar la c
e trabajo debeoordi cin de todos los proyect
cursos, definicin d bles, nnfoque de entrega por fases, aseguramiento de la ca lan formal de
s riesgos del proyecto y de proyectos, mej
in d y -impl ta espu de la instalacin para garantnfoqu reduce el riesgo de costos inesperados
y de los usuarios finales, asegura el valoicacin y el inv
egoci los entregables de los aximi rogra as de inversin facilitados por TI.
Planear y Organizar
Adquirir e Implementar
Entregar y Dar Soporte
Monitorear y Evaluar C
A
lo cual facilita la participacin de los interesados y el monitoreo de los riesgos y los avances de los proyectos
ADQUIRIR E IMPLEMENTAR plicativo
AI3 Adquirir y mantener infraestructura tecnolgica
AI4 Facilitar la operacin y el uso
AI5 Adquirir recursos de TI
AI6 Administrar cambios
AI7 Instalar y acreditar soluciones y cambios
AD
QU
IRIR
E I
MP
LE
ME
NT
AR
AI1 Identificar soluciones automatizadas
AI2 Adquirir y mantener software a
Adquirir e Implementar Identificar Soluciones Automatizadas AI1
2007 IT Governance Institute. All rights reserved. www.itgi.org
73
DESCRIPCIN DEL PROCESO. I1 Identificar Soluciones Automatizadas
a necesidad de una nueva aplicacin o funcin requiere de anlisis antes de la compra o desarrollo para garantizar que los quisitos del negocio se satisfacen con un enfoque efectivo y eficiente. Este proceso cubre la definicin de las necesidades,
ativas, realiza una revisin de la factibilidad tecnolgica y econmica, ejecuta un anlisis de riesgo y de osto-beneficio y concluye con una decisin final de desarrollar o comprar. Todos estos pasos permiten a las organizaciones inimizar el costo para Adquirir e Implementar soluciones, mientras que al mismo tiempo facilitan el logro de los objetivos del
egocio.
Control sobre el proceso TI de
Identificar soluciones automatizadas
Que satisface el requerimiento
Traducir los requerimientos funcionales y de control a un diseo efectivo y eficiente de soluciones automatizadas
Enfocndose en
La identificacin de soluciones tcnicamente factibles y rentables
Se logra con
La definicin de los requerimientos tcnicos y de negocio Realizar estudios de factibilidad como se define en los estndares de desarrollo Aprobar (o rechazar) los requerimientos y los resultados de los estudios de factibilidad
Y se mide con
Nmero de proyectos donde los beneficios establecidos no se lograron debido a suposiciones de factibilidad incorrectas
Porcentaje de estudios de factibilidad autorizados por el dueo del proceso Porcentaje de usuarios satisfechos con la funcionalidad entregada
ALreconsidera las fuentes alterncmn
Planear y Organizar
Adquirir e Implementar
Entregar y Dar Soporte
Monitorear y Evaluar
del negocio de TI para
Adquirir e Implementar Adquirir y Mantener Software Aplicativo AI2
2007 IT Governance Institute. All rights reserved. www.itgi.org 77
D
L disponibles de acuerdo con lo mientos del negocio. Est so cubre el diseo de las a io troles aplicativos dad, y e a n a o a izaciones l negocio de forma apropiada con las aplicacio
trol sobre el proceso TI de
dquirir y dar mantenimiento a software aplicativo
Que satisface el requerimiento del negocio de TI para
Construir las aplicaciones de acuerdo con los requerimientos del negocio y hacindolas a tiempo y a un costo razonable
Enfocndose en
Garantizar que exista un proceso de desarrollo oportuno y confiable
Se logra con
La traduccin de requerimientos de negocio a especificaciones de diseo La adhesin a los estndares de desarrollo para todas las modificaciones La separacin de las actividades de desarrollo, de pruebas y operativas
Y se mide con
Nmero de problemas en produccin por aplicacin, que causan tiempo perdido significativo Porcentaje de usuarios satisfechos con la funcionalidad entregada
ESCRIPCIN DEL PROCESO. AI2 Adquirir y Mantener Software Aplicativoas aplicaciones deben estar s requeri e proceplicac nes, la inclusin apropiada de con y requerimientos de seguri
apoyar la operatividad del des rrollo y la configuraci en s de
cuerd los estndares. Esto permite a las organnes automatizadas correctas
Planear y Organizar
Adquirir e Implementar
Entregar y Dar Soporte
Monitorear y Evaluar Con
A
Adquirir e Implementar Adquirir y Mantener Infraestructura Tecnolgica AI3
2007 IT Governance Institute. All rights reserved. www.itgi.org 81
Dolgica
L eben contar con procesos para adquiri entar y actualizar la infra ura tecnolgica. Esto requiere de u oq r la as te as te olgi s co ven as yla dispos Esto garantiza que exista un soporte tecnolgico continuo para las aplicaciones d oc
ontrol sobre el proceso TI de
rir y dar mantenimiento a la infraestructura tecnolgica
Que satisface el requerimiento del negocio de TI para
Adquirir y dar mantenimiento a una infraestructura integrada y estndar de TI
Enfocndose en
Proporcionar plataformas adecuadas para las aplicaciones del negocio, de acuerdo con la arquitectura definida de TI y los estndares de tecnologa
Se logra con
El establecimiento de un plan de adquisicin de tecnologa que se alinea con el plan de infraestructura tecnolgica
La planeacin de mantenimiento de la infraestructura La implantacin de medidas de control interno, seguridad y auditabilidad
Y se mide con
El porcentaje de plataformas que no se alinean con la arquitectura de TI definida y los estndares de tecnologa
El nmero de procesos de negocio crticos soportados por infraestructura obsoleta (o que pronto lo ser)
El nmero de componentes de infraestructura que ya no se pueden soportar (o que ya no se podrn en el futuro cercano)
ESCRIPCIN DEL PROCESO. AI3 Adquirir y Mantener Infraestructura Tecnas organizaciones d r, Implem estructn enf ue planeado para adquirir, mantener y protege
icin del ambiente de desarrollo y pruebas. infraestructura de acuerdo con l estra gi cn ca n id
el neg io.
Planea r y Organi r za
Adquirir e Implementar
Entregar y Dar Soporte
Monitorear y Evaluar
C
Adqui
Adquirir e Implementar Facilitar la Operacin y el Uso AI4
2007 IT Governance Institute. All rights reserved. www.itgi.org 85
DE .
. Este proceso requiere la generacin de documentacin y manuales
del negocio de TI para
Garantizar la satisfaccin de los usuarios finales mediante ofrecimientos de servicios y niveles de servicio, y de forma transparente integrar las soluciones de aplicacin y tecnologa dentro de los procesos del negocio
Enfocndose en
Proporcionar manuales efectivos de usuario y de operacin y materiales de entrenamiento para transferir el conocimiento necesario para la operacin y el uso exitosos del sistema.
Se logra con
El desarrollo y la disponibilidad de documentacin para transferir el conocimiento Comunicacin y entrenamiento a usuarios y a la gerencia del negocio, al personal de apoyo y al
personal de operacin La generacin de materiales de entrenamiento
Y se mide con
El nmero de aplicaciones en que los procedimientos de TI se integran en forma transparente dentro de los procesos de negocio
El porcentaje de dueos de negocios satisfechos con el entrenamiento De aplicacin y los materiales de apoyo.
El nmero de aplicaciones que cuentan con un adecuado entrenamiento de apoyo al usuario y a la operacin
SCRIPCIN DEL PROCESOAI4 Facilitar la Operacin y el Uso El conocimiento sobre los nuevos sistemas debe estar disponiblepara usuarios y para TI, y proporciona entrenamiento para garantizar el uso y la operacin correctos de las aplicaciones y la infraestructura.
Planear y Organizar
Adquirir e Implementar
Entregar y Dar Soporte
Monitorear y Evaluar
Control sobre el proceso TI de
Facilitar la operacin y el uso
Que satisface el requerimiento
Adquirir e Implementar Adquirir Recursos de TI AI5
2007 IT Governance Institute. All rights reserved. www.itgi.org
DESCRIPCIN DEL PROCESO. AI5 Adquirir Recursos de TI Se deben suministrar recursos TI, incluyendo perslos procedimientos de adquisicin, la seleccin
89
onas, hardware, software y servicios. Esto requiere de la definicin y ejecucin de
os de TI
Adquirir y mantener las habilidades de TI que respondan a la estrategia de entrega, en una infraestructura TI integrada y estandarizada, y reducir el riesgo de adquisicin de TI
Se logra con
La obtencin de asesora profesional legal y contractual La definicin de procedimientos y estndares de adquisicin La adquisicin de hardware, software y servicios requeridos de acuerdo con los procedimientos
definidos
Y se mide con
El nmero de controversias en relacin con los contratos de adquisicin La reduccin del costo de compra El porcentaje de interesados clave satisfechos con los proveedores
de proveedores, el ajuste de arreglos contractuales y la adquisicin en s. El hacerlo as garantiza que la organizacin tenga todos los recursos de TI que se requieren de una manera oportuna y rentable.
Planear y Organizar
Adquirir e Implementar
Entregar y Dar Soporte
Control sobre el proceso TI de
Adquirir recurs
Monitorear y Evaluar
Que satisface el requerimiento del negocio de TI para
Mejorar la rentabilidad de TI y su contribucin a la utilidad del negocio
Enfocndose en
Adquirir e Implementar Administrar Cambios AI6
2007 IT Governance Institute. All rights reserved. www.itgi.org 93
DE .
mantenimiento de emergencia y parches, relacionados con la infraestructura y las aplicaciones ientos,
mplantacin. Esto garantiza la reduccin de riesgos que impactan negativamente la estabilidad
dministrar cambios
Que satisface el requerimiento del negocio de TI para
Responder a los requerimientos del negocio de acuerdo con la estrategia de negocio, mientras se reducen los defectos y la repeticin de trabajos en la prestacin del servicio y en la solucin.
Enfocndose en
Controlar la evaluacin de impacto, autorizacin e implantacin de todos los cambios a la infraestructura de TI, aplicaciones y soluciones tcnicas, minimizando errores que se deben a especificaciones incompletas de la solicitud y detener la implantacin de cambios no autorizados
Se logra con
La definicin y comunicacin de los procedimientos de cambio, que incluyen cambios de emergencia La evaluacin, la asignacin de prioridad y autorizacin de cambios Seguimiento del estatus y reporte de los cambios
Y se mide con
El nmero de interrupciones o errores de datos provocados por especificaciones inexactas o una evaluacin de impacto incompleta
La repeticin de aplicaciones o infraestructura debida a especificaciones de cambio inadecuadas
El porcentaje de cambios que siguen procesos de control de cambio formales
SCRIPCIN DEL PROCESOAI6 Administrar Cambios Todos los cambios, incluyendo el dentro del ambiente de produccin, deben administrarse formalmente y controladamente. Los cambios (incluyendo procedimprocesos, sistema y parmetros del servicio) se deben registrar, evaluar y autorizar previo a la implantacin y revisar contra los resultados planeados despus de la io integridad del ambiente de produccin.
Planear y Organizar
Adquirir e Implementar Entregar y Dar
Soporte
Control sobre el proceso TI de Monitorear y Evaluar
A
Adquirir e Implementar Instalar y Acreditar Soluciones y Cambios AI7
2007 IT Governance Institute. All rights reserved. www.itgi.org 97
DE . luciones y Cambios
z que su desarrollo se completa. Esto requiere pruebas adecuadas en un
en lnea as y con los resultados.
Contar con sistemas nuevos o modificados que trabajen sin problemas importantes despus de la instalacin
Enfocndose en
Probar que las soluciones de aplicaciones e infraestructura son apropiadas para el propsito deseado y estn libres de errores, y planear las liberaciones a produccin
Se logra con
El establecimiento de una metodologa de prueba Realizar la planeacin de la liberacin (release) Evaluar y aprobar los resultados de las pruebas por parte de la gerencia del negocio Ejecutar revisiones posteriores a la implantacin
Y se mide con
Tiempo perdido de la aplicacin o problemas de datos provocados por pruebas inadecuadas Porcentaje de sistemas que satisfacen los beneficios esperados, medidos en el proceso
posterior a la implantacin Porcentaje de proyectos con plan de prueba documentado y aprobado
SCRIPCIN DEL PROCESOAI7 Instalar y Acreditar SoLos nuevos sistemas necesitan estar funcionales una veambiente dedicado con datos de prueba relevantes, definir la transicin e instrucciones de migracin, planear la liberacin y la transicin en s al ambiente de produccin, y revisar la post-implantacin. Esto garantiza que los sistemas operativos estncon las expectativas convenid
Planear y Organizar
Adquirir e Implementar
Entregar y Dar Soporte
Control sobre el proceso TI de Monitorear y Evaluar
Instalar y acreditar soluciones y cambios
Que satisface el requerimiento del negocio de TI para
Garantizar la continuidad del servicio
DS5 Garantizar la seguridad de los sistemas
DS7 Educar y entrenar a los usuarios
DS10 Administrar los problemas
DS11 Administrar los datos
EN
TR
EG
AR
Y D
AR
SO
PO
RT
E
ENTREGAR Y DAR SOPORTE DS1 Definir y administrar los niveles de servicio
DS2 Administrar los servicios de terceros
DS3 Administrar el desempeo y la capacidad
DS4
DS6 Identificar y asignar costos
DS8 Administrar la mesa de servicio y los incidentes
DS9 Administrar la configuracin
DS12 Administrar el ambiente fsico
DS13 Administrar las operaciones
Entregar y Dar Soporte Definir y Administrar los Niveles de Servicio DS1
2007 IT Governance Institute. All rights reserved. www.itgi.org 101
DE O. io
incluye el n oportuna a los Interesados (Stakeholders) sobre el cumplimiento de los niveles de servicio. Este proceso
nto
ades
veles te acordados.
El nmero de servicios entregados que no estn en el catlogo El nmero de reuniones formales de revisin del Acuerdo de Niveles de Servicio (SLA) con las
personas de negocio por ao
SCRIPCIN DEL PROCESDS1 Definir y Administrar los Niveles de ServicContar con una definicin documentada y un acuerdo de servicios de TI y de niveles de servicio, hace posible una comunicacin efectiva entre la gerencia de TI y los clientes de negocio respecto de los servicios requeridos. Este proceso tambin monitoreo y la notificacipermite la alineacin entre los servicios de TI y los requerimientos de negocio relacionados.
Planear y Organizar
Adquirir e Implementar
Entregar y Dar Soporte
Control sobre el proceso TI de
Definir y manejar niveles de servicio
Que satisface el requerimiento del negocio de TI para
Monitorear y Evaluar
Asegurar la alineacin de los servicios claves de TI con la estrategia del negocio
Enfocndose en
La identificacin de requerimientos de servicio, el acuerdo de niveles de servicio y el monitoreo del cumplimiede los niveles de servicio
Se logra con
La formalizacin de acuerdos internos y externos en lnea con los requerimientos y las capacidde entrega
La notificacin del cumplimiento de los niveles de servicio (reportes y reuniones) La identificacin y comunicacin de requerimientos de servicios actualizados y nuevos para
planeacin estratgica
Y se mide con
El porcentaje de Interesados satisfechos de que la entrega del servicio cumple con los nipreviamen
Entregar y Dar Soporte Administrar los Servicios de Terceros DS2
2007 IT Governance Institute. All rights reserved. www.itgi.org 105
D
c e asegurar que los servicios provistos por ter umplan con los requeri os del negocio, requiere de un es ces a clara definicin de roles, ades y ct terceros, as como con la revisin y monitoreo de la efectividad y cumplimiento de dichos rd e los servicios de te l s qu
e d a adecuada.
ontrol sobre el proceso TI de
dministrar servicios de terceros
Que satisface el requerimiento del negocio de TI para
Brindar servicios satisfactorios de terceros con transparencia acerca de los beneficios, riesgos y costos
Enfocndose en
lecimiento de relaciones y responsabilidades bilaterales con proveedores calificados de servicios tercerizados y el monitoreo de la prestacin del servicio para verificar y asegurar la adherencia a los convenios
Se logra con
La identificacin y categorizacin de los servicios del proveedor La identificacin y mitigacin de riesgos del proveedor El monitoreo y la medicin del desempeo del proveedor
Y se mide con
El nmero de quejas de los usuarios debidas a los servicios contratados El porcentaje de los principales proveedores que cumplen claramente los requerimientos
definidos y los niveles de servicio El porcentaje de los principales proveedores sujetos a monitoreo
ESCRIPCIN DEL PROCESO. DS2 Administrar los Servicios de Terceros La ne esidad d ceros c mientproc o efectivo de administracin de terceros. Este pro o se logra por medio de un responsabilidexpe ativas en los acuerdos con losacue os. Una efectiva administracin d rceros minimiza los riesgos de negocio asociados con proveedore e no s esempean de form
Pla r yOrganizar
nea
Adquirir e Implementar
Entregar y Dar Soporte
Monitorear y Evaluar
C
A
El estab
Entregar y Dar Soporte Administrar el Desempeo y la Capacidad DS3
2007 IT Governance Institute. All rights reserved. www.itgi.org 109
Ddad
c e administrar el desempeo y la capacidad d ecursos de TI requiere de un proceso para revisar peridicamente el m los recursos de TI. Este o d ecesidades futur s, basadas en los r ajo, almacenamiento y cont brinda la de
m nera conti
ontrol sobre el proceso TI de
trar el desempeo y la capacidad
Que satisface el requerimiento del negocio de TI para
Optimizar el desempeo de la infraestructura, los recursos y las capacidades de TI en respuesta a las necesidades del
Enfocndose en
Cumplir con los requerimientos de tiempo de respuesta de los acuerdos de niveles de servicio, minimizando el tiempo sin servicio y haciendo mejoras continuas de desempeo y capacidad de TI a travs del monitoreo y la medicin.
Se logra con
La planeacin y la entrega de capacidad y disponibilidad del sistema Monitoreando y reportando el desempeo del sistema Modelando y pronosticando el desempeo del sistema.
Y se mide con
Nmero de horas perdidas por usuario por mes, debidas a la falta de planeacin de la capacidad
Porcentaje de picos donde se excede la meta de utilizacin Porcentaje de SLAs de tiempo de respuesta que no se satisfacen
ESCRIPCIN DEL PROCESO. DS3 Administrar el Desempeo y la CapaciLa ne esidad d e los rdese peo actual y la capacidad de proceso incluye el pronstic
ingenciase las n a
reque imientos de carga de trab . Este proceso tn disponibles de ma
seguridad de que los recursos nua.infor acin que soportan los requerimientos del negocio es
Planear y
Organizar
Adquirir e Implementar
Entregar y Dar Soporte
Monitorear y Evaluar
C
Adminis
negocio
Entregar y Dar Soporte Garantizar la Continuidad del Servicio DS4
2007 IT Governance Institute. All rights reserved. www.itgi.org 113
D
c e brindar continuidad en los servicios de TI r desarrollar, mantener y probar planes de continuidad de TI, ace entrenar d n a n proceso ef vo de tinu abilidad y el impa res en lo vic o nc nes
ontrol sobre el proceso TI de
arantizar la continuidad del servicio
Asegurar el mnimo impacto al negocio en caso de una interrupcin de servicios de TI
Enfocndose en
El desarrollo de resistencia (resilience) en las soluciones automatizadas y desarrollando, manteniendo y probando los planes de continuidad de TI
Se logra con
Desarrollando y manteniendo (mejorando) los planes de contingencia de TI Con entrenamiento y pruebas de los planes de contingencia de TI Guardando copias de los planes de contingencia y de los datos fuera de las instalaciones
Y se mide con
Nmero de horas perdidas por usuario por mes, debidas a interrupciones no planeadas Nmero de procesos crticos de negocio que dependen de TI, que no estn cubiertos por un
plan de continuidad
ESCRIPCIN DEL PROCESO. DS4 Garantizar la Continuidad del Servicio La ne esidad d equierealm nar respaldos fuera de las instalaciones y e forma peridica sobre los planes de co tinuid d
TI, s. U ecti
con idad de servicios, minimiza la probves del negocio.
cto de interrupciones mayo s ser ios de bre fu io es y proc os cla
Pl near a y Organizar
Adquirir e Implementar
Entregar y Dar Soporte
Monitorear y Evaluar
C
G
Que satisface el requerimiento del negocio de TI para
Entregar y Dar Soporte Garantizar la Seguridad de los Sistemas DS5
2007 IT Governance Institute. All rights reserved. www.itgi.org 117
Ds
c e mantener la integridad de la informacin y teger los activos de TI, r re de un proceso de administracin de gu l establecimiento y man seguridad, polnd e la iz onitoreos de seguridad y pruebas di las d identificados. Una efectiva
admini seguridad protege todos los activos de pacto en g sado por vulnerabilidades o en ridad.
ontrol sobre el proceso TI de
Garantizar la seguridad de los sistemas
Que satisface el requerimiento del negocio de TI para
Mantener la integridad de la informacin y de la infraestructura de procesamiento y minimizar el impacto de las vulnerabilidades e incidentes de seguridad
Enfocndose en
La definicin de polticas, procedimientos y estndares de seguridad de TI y en el monitoreo, deteccin, reporte y in de las vulnerabilidades e incidentes de seguridad
Se logra con
El entendimiento de los requerimientos, vulnerabilidades y amenazas de seguridad. La administracin de identidades y autorizaciones de los usuarios de forma estandarizada. Probando la seguridad de forma regular
Y se mide con
El nmero de incidentes que daan la reputacin con el pblico El nmero de sistemas donde no se cumplen los requerimientos de seguridad El nmero de de violaciones en la segregacin de tareas
ESCRIPCIN DEL PROCESO. DS5 Garantizar la Seguridad de los SistemaLa ne esidad d de pro equiela se ridad. Este proceso incluye e tenimiento de roles y responsabilidades de ticas, est ares y procedimientos de TI. La administracin d seguridad tambin incluye real
debilidades o incidentes de seguridaar m
peri cas as como realizar acciones correctivas sobrestracin de la TI para minimizar el im el ne ocio cau
incid tes de segu
Planear y Organizar
Adquirir e Implementar
Entregar y Dar Soporte
Monitorear y Evaluar
C
resoluc
Entregar y Dar Soporte Identificar y Asignar Costos DS6
2007 IT Governance Institute. All rights reserved. www.itgi.org 121
D
c e un sistema justo y equitativo para asignar costos de TI al negocio, requiere de un icin precisa y un acuerdo los Es pe d un ste a p ra ura costos de TI a los usuarios de c pe it negoci
isio io
ontrol sobre el proceso TI de
entificar y asignar costos
Que satisface el requerimiento del negocio de TI para
Enfocndose en
el registro completo y preciso de los costos de TI, un sistema equitativo para asignacin acordado con los usuarios de negocio, y un sistema para reportar oportunamente el uso de TI y los costos asignados
Se logra con
La alineacin de cargos con la calidad y cantidad de los servicios brindados La construccin y aceptacin de un modelo de costos completo La aplicacin de cargos con base en la poltica acordada
Y se mide con
Porcentaje de facturas de servicios de TI aceptadas/pagadas por la gerencia del negocio. Porcentaje de variacin entre los presupuestos, pronsticos y costos actuales. Porcentaje de costos totales de TI que son distribuidos de acuerdo con los modelos
acordados
ESCRIPCIN DEL PROCESO. DS6 Identificar y Asignar Costos La ne esidad d a medcon usuarios del negocio sobre una asignacin justa. te proceso incluye la construccin y o
los servicios. Un sistema equitativo deracin e si m a
capt r, distribuir y reportar ostos rm e al o tomar dec nes ms informadas respectos al uso de los servic s de TI.
Pla r nea y
Organizar
Adquirir e Implementar
Entregar y Dar Soporte
Monitorear y Evaluar
C
Id
Transparentar y entender los costos de TI y mejorar la rentabilidad a travs del uso bien informado de los servicios de TI
Entregar y Dar Soporte Educar y Entrenar a los Usuarios DS7
2007 IT Governance Institute. All rights reserved. www.itgi.org 125
Drios
cin efectiva de todos los usuarios de sistem TI, incluyendo aquellos dentro , se requieren identificar las si po de usuarios. sidade n c o un entrenam resulta o den de la tecnologa a disminuir los errores, incrementando la productividad y el cumplimiento
e los controles clave tales como las medidas de seguridad de los usuarios.
trol sobre el proceso TI de
Que satisface el requerimiento del negocio de TI para
El uso efectivo y eficiente de soluciones y aplicaciones tecnolgicas y el cumplimiento del usuario con las polticas y procedimientos
Enfocndose en
Un claro entendimiento de las necesidades de entrenamiento de los usuarios de TI, la ejecucin de una efectiva estrategia de entrenamiento y la medicin de resultados
Se logra con
Establecer un programa de entrenamiento Organizar el entrenamiento Impartir el entrenamiento Monitorear y reportar la efectividad del entrenamiento
Y se mide con
Nmero de llamadas de soporte debido a problemas de entrenamiento Porcentaje de satisfaccin de los Interesados con el entrenamiento recibido Lapso de tiempo entre la identificacin de la necesidad de entrenamiento y la imparticin del
mismo
ESCRIPCIN DEL PROCESO. DS7 Educar y Entrenar a los UsuaPara una educa as de de TInece dades de entrenamiento de cada gru
a llevar a cabAdems de identificar las nece
nto efectivo y para medir loss, este proceso incluye la definici y
ejecu in de una estrategia parrementa el uso efectivo
iel
dos. Un programa efectiv entre amiento incd
Planear y Organizar
Adquirir e Implementar
Entregar y Dar Soporte
Con Monitorear y Evaluar
Educar y entrenar a los usuarios
Entregar y Dar Soporte Administrar la Mesa de Servicio y los Incidentes DS8
2007 IT Governance Institute. All rights reserved. www.itgi.org 129
Dlos Incidentes.
n s consultas y mas de los usuarios de TI, requi una mesa de servicio bien a ci uye la creaci de una funcin de mesa
de serv isi iz y reso . os bene os el negocio uye o a de consultas. Adems, el negocio puede identificar la causa
raz (ta arios) a travs de un proceso de reporte efectivo.
ontrol sobre el proceso TI de
dministrar la mesa de servicio y los incidentes
Que satisface el requerimiento del negocio de TI para
Permitir el efectivo uso de los sistemas de TI garantizando la resolucin y el anlisis de las consultas de los usuarios finales,
Enfocndose en
Una funcin profesional de mesa de servicio, con tiempo de respuesta rpido, procedimientos de escalamiento claros y anlisis de tendencias y de resolucin
Se logra con
Instalacin y operacin de un servicio de una mesa de servicios Monitoreo y reporte de tendencias Definicin de procedimientos y de criterios de escalamiento claros
Y se mide con
Satisfaccin del usuario con el soporte de primera lnea Porcentaje de incidentes resueltos dentro de un lapso de tiempo aceptable / acordado. ndice de abandono de llamadas
ESCRIPCIN DEL PROCESO. DS8 Administrar la Mesa de Servicio y Respo der de manera oportuna y efectiva a la proble ere dedise da y bien ejecutada, y de un proceso de administra
icio con registro, escalamiento de incidentes, anln de incidentes. Este proceso incl ns de tendencia, anlisis causa-ralucin rpid
lucin L fici dincl n el incremento en la productividad gracias a la res
les como un pobre entrenamiento a los usu
Planear y
Organizar
Adquirir e Implementar
Entregar y Dar Soporte
Monitorear y Evaluar
C
A
incidentes y preguntas
Entregar y Dar Soporte Administrar la Configuracin DS9
2007 IT Governance Institute. All rights reserved. www.itgi.org 133
D
t tegridad de las configuraciones de hardware y software requiere establecer y mantener un repositorio de figu la o a cial, el esta lec en o orm auditora de la informacin de la n de i rio e configuracin conforme ec acin de la configuracin ad, m iza roblemas de pro ccin y elv mas ms rpido.
ontrol sobre el proceso TI de
rar la configuracin
Que satisface el requerimiento del negocio de TI para
Optimizar la infraestructura, recursos y capacidades de TI, y llevar registro de los activos de TI.
Enfocndose en
itorio completo y preciso de atributos de la configuracin de los activos y de lneas base y compararlos contra la configuracin actual
establecimiento de un repositorio central de todos los n identificaci n y su
de la in n
Y se mide con
El nmero de problemas de cumplimiento del negocio debido a inadecuada configuracin de los activos.
El nmero de desviaciones identificadas entre el repositorio de configuracin y la configuracin actual de los activos.
Porcentaje de licencias compradas y no registradas en el repositorio
ESCRIPCIN DEL PROCESO. DS9 Administrar la Configuracin Garan izar la incon raciones completo y preciso. Este proceso incluye recoleccin de informacin de la c nfigur
scin ini b imi t
de n as, la verificacin y configuracin y la actualizaci l repo to dse n esite. Una efectiva administr facilita una mayor disponibilid inim los p duresu e los proble
Planear y
Organizar
Adquirir e
Implementar
Entregar y Dar Soporte
Monitorear y Evaluar
C
Administ
Establecer y mantener un repos
Se logra con
El La
elementos de la configuracimantenimiento n de los elementos de configuraci
tegridad de los datos de configuraciRevisin
Entregar y Dar Soporte Administracin de Problemas DS10
2007 IT Governance Institute. All rights reserved. www.itgi.org 137
Ds
ministracin de problemas requiere la ide ificacin de problem l anlisis de las causas desde su ist uy n e m daci
a la egistros de problem las ac re va efecti proceso dm les de ser la conv ncia y satisfaccin del usuario
trol sobre el proceso TI de
Que satisface el requerimiento del negocio de TI para
Garantizar la satisfaccin de los usuarios finales con ofrecimientos de servicios y niveles de servicio, reducir el retrabajo y los defectos en la prestacin de los servicios y de las soluciones
Enfocndose en
Registrar, rastrear y resolver problemas operativos; investigacin de las causas raz de todos los problemas relevantes y definir soluciones para los problemas operativos identificados
Se logra con
Realizando un anlisis de causas raz de los problemas reportados Analizando las tendencias Tomando propiedad de los problemas y con una resolucin de problemas progresiva.
Y se mide con
Nmero de problemas recurrentes con impacto en el negocio Porcentaje de problemas resueltos dentro del perodo de tiempo solicitado Frecuencia de los reportes o actualizaciones sobre un problema en curso, con base en la
severidad del problema
ESCRIPCIN DEL PROCESO. DS10 Administracin de ProblemaUna efectiva ad ntificacin y clas as, eraz, y la resolucin de problemas. El proceso de admin racin de problemas tambin incl e la identificaci de r co en ones par mejora, el mantenimiento de r as y la revisin del estatus de
vicio, reduce costos y mejora ciones cor
eniecti s. Un vo
de a inistracin de problemas mejora los nive
Planear y Organizar
Adquirir e Implementar
Entregar y Dar Soporte
Con Monitorear y Evaluar
Administracin de problemas
Entregar y Dar Soporte Administracin de Datos DS11
2007 IT Governance Institute. All rights reserved. www.itgi.org
DESCRIPCIN DEL PROCESO DS11 Administracin de Datos Una e
141
f ministracin de datos requiere de la identific de requerimientos de datos. El proceso de administracin de rm e el establecimiento de procedim istrar la era de medios, el resp la pe propiada de medios de da yu a ga antiz la c lida
acin del negocio.
trol sobre el proceso TI de
dministracin de datos
Que satisface el requerimiento del negocio de TI para
de la informacin y garantizar la disponibilidad de la informacin cuando se requiera.
Enfocndose en
Mantener la integridad, exactitud, disponibilidad y proteccin de los datos
Se logra con
Respaldando los datos y probando la restauracin Administrando almacenamiento de datos en sitio y fuera de sitio. Desechando de manera segura los datos y el equipo
Y se mide con
Satisfaccin del usuario con la disponibilidad de los datos. Porcentaje de restauraciones exitosas de datos. Nmero de incidentes en los que tuvo que recuperarse datos sensitivos despus que los
medios haban sido desechado
ectiva ad acin info acin tambin incluy ientos efectivos para admin libr aldo y recu racin de datos y la eliminacin a
dad de la inform. Una efectiva administracin tos a da r ar a d,
oportunidad y disponibili
Planear y Organizar
Adquirir e Implementar
Entregar y Dar Soporte
Monitorear y Evaluar
Con
A
Optimizar el uso
s
Entregar y Dar Soporte Administracin del Ambiente Fsico DS12
2007 IT Governance Institute. All rights reserved. www.itgi.org 145
Dnte Fsico
t el equipo de cmputo y del personal, requie stalaciones bien diseadas y bi ministradas. El proceso de ini re ), sele in e
ala s ini el cc o f co. a ini ente fsico reduce las interrup cio ocasionadas por daos al equipo de cmputo y al on
trol sobre el proceso TI de
dministracin del ambiente fsico
requerimiento del negocio de TI para
Proteger los activos de cmputo y la informacin del negocio minimizando el riesgo de una interrupcin del servicio
Enfocndose en
Proporcionar y mantener un ambiente fsico adecuado para proteger los activos de TI contra acceso, dao o robo
Se logra con
Implementando medidas de seguridad fsicas. Seleccionando y administrando las instalaciones
Y se mide con
Tiempo sin servicio ocasionado por incidentes relacionados con el ambiente fsico Nmero de incidentes ocasionados por fallas o brechas de seguridad fsica Frecuencia de revisin y evaluacin de riesgos fsicos.
ESCRIPCIN DEL PROCESO. DS12 Administracin del AmbieLa pro eccin d re de in en adadm strar el ambiente fsico incluye la definicin de los
ciones apropiadas y el diseo de procesos efectivon efectiva del ambi
querimientos fsicos del centro de datopara monitorear factores ambientales y
ciones del nego
s (site la cc dinst adm strar a es si Ladm stracipers al.
Planear y Organizar
Adquirir e Implementar
Entregar y Dar Soporte
Monitorear y Evaluar
Con
A
Que satisface el
Entregar y Dar Soporte Administracin de Operaciones DS13
2007 IT Governance Institute. All rights reserved. www.itgi.org 149
D
nto de informacin completo y apropiado req e una efectiva administracin del procesamiento de datos y del ten ceso incluye la defini de o i p i racin tiv ado, proteccin de dato de salida sensitivos, monitoreo de infraestructura y mantenimiento
stracin de operaciones ayuda a mantener la integridad de los datos y reduce los
ontrol sobre el proceso TI de
Adm
Que satisface el requerimiento del negocio de TI para
Mantener la integridad de los datos y garantizar que la infraestructura de TI puede resistir y recuperase de errores y fallas
Enfocndose en
Cumplir con los niveles operativos de servicio para procesamiento de datos programado, proteccin de datos de salida sensitivos y monitoreo y mantenimiento de la infraestructura
Se logra con
Operando el ambiente de TI en lnea con los niveles de servicio acordados y con las instrucciones definidas
Manteniendo la infraestructura de TI Y se mide con
Nmero de niveles de servicio afectados a causa de incidentes en la operacin. Horas no planeadas de tiempo sin servicio a causa de incidentes en la operacin. Porcentaje de activos de hardware incluidos en los programas de mantenimiento.
ESCRIPCIN DEL PROCESO. DS13 Administracin de Operaciones Un procesamie uiere dman imiento del hardware. Este pro cin de polticas y procedimientos perac n ara una admin stefec a del procesamiento program
ardware. Una efectiva adminis
preventivo de hretrasos en el trabajo y los costos operativos de TI.
Planear y Organizar
Adquirir e Implementar
Entregar y Dar Soporte
Monitorear y CEvaluar
inistrar operaciones
MO
NIT
OR
EA
R Y
EV
AL
UA
R
MONITOREAR Y EVALUAR ME1 Monitorear y Evaluar el Desempeo de TI
ME2 Monitorear y Evaluar el Control Interno
ME3 Garantizar el Cumplimiento Regulatorio
ME4 Proporcionar Gobierno de TI
Monitorear y Evaluar Monitorear y Evaluar el Desempeo de TI ME1
2007 IT Governance Institute. All rights reserved. www.itgi.org
153
DESCRIPCIN DEL PROCESO. E1 Monitorear y Evaluar el Desempeo de TI
na efectiva administracin del desempeo de TI requiere un proceso de monitoreo. El proceso incluye la definicin de indicadores de esempeo relevantes, reportes sistemticos y oportunos de desempeo y tomar medidas expeditas cuando existan desviaciones. El
toreo se requiere para garantizar que las cosas correctas se hagan y que estn de acuerdo con el conjunto de direcciones y olticas.
Control sobre el proceso TI de
Que satisface el requerimiento del negocio de TI para
Transparencia y entendimiento de los costos, beneficios, estrategia, polticas y niveles de servicio de TI de acuerdo con los requisitos de gobierno
Enfocndose en
Monitorear y reportar las mtricas del proceso e identificar e implementar acciones de mejoramiento del desempeo
Se logra con
Cotejar y traducir los reportes de desempeo de proceso a reportes gerenciales Comparar el desempeo contra las metas acordadas e iniciar las medidas correctivas necesarias
Y se mide con
Satisfaccin de la gerencia y de la entidad de gobierno con los reportes de desempeo Nmero de acciones de mejoramiento impulsadas por las actividades de monitoreo Porcentaje de procesos crticos monitoreados
MUdmonip
Planear y Organizar
Adquirir e Implementar
Entregar y Dar Soporte
Monitorear y Evaluar
Monitorear y evaluar el desempeo de TI
Monitorear y Evaluar Monitorear y Evaluar el Control Interno ME2
2007 IT Governance Institute. All rights reserved. www.itgi.org 157
D
e ma de control interno efectivo para TI r n proceso bien definido de monitoreo. Este proceso incluye el tore iones de control, resulta pa e s. U
cio rno es proporc r seguridad respecto a las operaciones eficientes y efectivas y el plimi licables.
trol sobre el proceso TI de
onitorear y evaluar el control interno
Que satisface el requerimiento del negocio de TI para
Proteger el logro de los objetivos de TI y cumplir las leyes y reglamentos relacionados con TI
Enfocndose en
toreo de los procesos de control interno para las actividades relacionadas con TI e identificar las acciones to
Se logra con
La definicin de un sistema de controles internos integrados en el marco de trabajo de los procesos de TI
Monitorear y reportar la efectividad de los controles internos sobre TI Reportar las excepciones de control a la gerencia para tomar acciones
Y se mide con
Nmero de brechas importantes del control interno Nmero de iniciativas para la mejora del control Nmero y cubrimiento de auto evaluaciones de control
ESCRIPCIN DEL PROCESO. ME2 Monitorear y Evaluar el Control Interno Establec r un progra equiere umoni o y el reporte de las excepc dos de las auto-evaluaciones y revisione
ionas por rte d tercero n
benefi clave del monitoreo del control intecum ento de las leyes y regulaciones ap
Pl near yOr zar
a gani
Adquirir e Implementar
Entregar y Dar Soporte
Monitorear y Evaluar Con
M
El monide mejoramien
Monitorear y Evaluar Garantizar el Cumplimiento con Requerimientos Externos ME3
2007 IT Governance Institute. All rights reserved. www.itgi.org 161
Dmientos Externos
fectiva del cumplimiento regulatorio requi tablecimiento de un proceso independiente de revisin para ti egulaciones. Este d tn tndares profesionales, planeacin, desempeo del trabajo de auditora y reportes y
seguimiento a las actividades de auditora. El propsito de este proceso es proporcionar un aseguramiento positivo relativo al de las leyes y regulaciones.
trol sobre el proceso TI de
arantizar el cumplimiento regulatorio
requerimiento del negocio de TI para
Cumplir las leyes y regulaciones
Enfocndose en
La identificacin de todas las leyes y regulaciones aplicables y el nivel correspondiente de cumplimiento de TI y la optimizacin de los procesos de TI para reducir el riesgo de no cumplimiento
Se logra con
La identificacin de los requisitos legales y regulatorios relacionados con TI La evaluacin del impacto de los requisitos regulatorios El monitoreo y reporte del cumplimiento de los requisitos regulatorios
Y se mide con
El costo del no cumplimiento de TI, incluyendo arreglos y multas Tiempo promedio de demora entre la identificacin de los problemas externos de
cumplimiento y su resolucin Frecuencia de revisiones de cumplimiento
ESCRIPCIN DEL PROCESO. ME3 Garantizar el Cumplimiento con RequeriUna supervisin e ere del esgaran zar el cumplimiento de las leyes y r proceso incluye la definicin de un declaracin e audi ora, indepe dencia de los auditores, tica y es
plimiento de TI cumPlanear y Organizar
Adquirir e Implementar
Entregar y Dar Soporte
Monitorear y Evaluar Con
G
Que satisface el
Monitorear y Evaluar Proporcionar Gobierno de TI ME4
2007 IT Governance Institute. All rights reserved. www.itgi.org 165
D
de un marco de trabajo de gobierno efectivo, incluye la definicin de estructuras, procesos, liderazgo, roles y pon que I estn alin s y ue d con
te s empresariales.
trol sobre el proceso TI de
roporcionar gobierno de TI
Que satisface el requerimiento del negocio de TI para
La integracin de un gobierno de TI con objetivos de gobierno corporativo y el cumplimiento con las leyes y regulaciones
Enfocndose en
oracin de informes para el consejo directivo sobre la estrategia, el desempeo y los riesgos de TI y er a los requerimientos de gobierno de acuerdo a las directrices del consejo directivo
Se logra con
El establecimiento de un marco de trabajo para el gobierno de TI, integrado al gobierno corporativo La obtencin de aseguramiento independientes sobre el estatus del gobierno de TI
Y se mide con
La frecuencia de informes del consejo directivo sobre TI a los interesados (incluyendo el nivel de madurez)
La frecuencia de los reportes de TI hacia el consejo directivo (incluyendo el nivel de madurez) Frecuencia de revisiones independientes del cumplimiento de TI
ESCRIPCIN DEL PROCESO. ME4 Proporcionar Gobierno de TI El establecimientores sabilidades organizacionales para garantizar as las inversiones empresariales en T eada de ac r o las estra gias y objetivo
Planea r y Organizar
Adquirir e Implementar
Entregar y Dar Soporte
Monitorear y Evaluar Con
P
La elabrespond
era tabla proporciona un mapeo inverso que muestra para cada proceso de TI, las metas de son soportadas.
Las tablas ayudan a demostrar el alcance de COBIT y la relacin general de negocio entre COBIT y los ncia en
s de T ara da, por lo daptars resa determinada.
iga hac sados p la las in contienen una indicacin de los criterios de informacin ms
portantes soportados por e
APNDICE I - TABLA DE ENLACES ENTRE METAS Y PROCEDIMIENTOS.
Este apndice brinda una visin global de cmo se relacionan las metas genricas del negocio con las metas de TI con los procesos de TI y con los criterios de informacin. Se proporcionan tres tablas:
1. La primera tabla muestra las equivalencias de las metas del negocio, de acuerdo al balanced scorecard, con las metas de TI y con los criterios de informacin1. Esto ayuda a mostrar, para una meta genrica de negocios determinada, las metas de TI que por lo general dan soporte a esta meta, y los criterios de informacin de COBIT que se relacionan con la meta del negocio.
2. La segunda tabla muestra las equivalencias de las metas de TI con los procesos de TI de COBIT, as como los criterios de informacin sobre los cuales se basa la meta de TI2.
3. La tercTI que
impulsores del negocio, permitiendo por medio de las metaen metas orgnicas y
as establecer la equivaleI, y los procesos de TI requeridos p
tre las metas tpicas de negocio, rles soporte. Las tablas se basan
e a la emptanto, se deben usar como gua y a
ia los criterios de informacin u tamb
Para proporcionar una l3 edicin de COBIT, las tabim
ara los requisitos de negocio de
l negocio y por las metas de TI.
Notas:
1 Los criterios de informacin contenidos en la grfica de metas de negocio s criterios para las metas de TI relacionadas y en una evaluacin subjetiva de aquellos q a meta del negocio. No se hizo el intento para indicar si son primarios o secundarios. Esto tivos y los usuarios pueden seguir un proceso similar al evaluar sus propias metas de negocio
2 Las referencias primarias y secundarias de los criterios de informacin en la grfica de metas de TI se basan en un agregado de los criterios para cada proceso de TI y en una evaluacin subjetiva de qu es primario y qu es secundario para la meta de TI., debido a que algunos procesos tienen mayor impacto en la meta de TI que otros. Estos son tan solo indicativos y los usuarios pueden seguir un proceso similar al evaluar sus propias metas de TI
AP
N
DIC
E I
ME
TA
S
APABLA DE ENLACES ENTRE METAS Y
PROCEDIMIENTOS.
NDICE I T
e basan en un agregado de losue son ms relevantes para ls son tan solo indica
APNDICE I
IT GOVERNANCE INSTITUTE
169
Ape
ndic
e I
Tab
las d
e E
nlac
e E
ntre
Me
oces
os
tas y
Pr
COBIT 4.1
2007 IT Governance Institute. All rights reserved. www.itgi.org 170
Caso prctico: Gestin de Incidencias
Curso de Introduccin a la Auditora de Procesos de Sistemas de Informacin. Pg 1 de 18
Carctersticas de un proceso. Ejercicio.
A partir del Modelo de Procesos Genrico identificar sus elementos
en el documento de definicin del Proceso de Gestin de Incidencias
de la empresa Infolabs
GestorGestorGestor
Caso prctico: Gestin de Incidencias
Curso de Introduccin a la Auditora de Procesos de Sistemas de Informacin. Pg 2 de 18
Tabla de Contenidos
1. Proceso de Gestin de Incidencias ........................................................................................................................................................................................ 3 1.1. Definicin ....................................................................................................................................................................................................................................... 3 1.2. Objetivos. Alcance ....................................................................................................................................................................................................................... 3 1.3. Responsabilidades del proceso de Gestin de Incidencias ................................................................................................................................................. 4 1.4. Desencadenantes, entradas y salidas del proceso ............................................................................................................................................................... 4 2. Descripcin del proceso .......................................................................................................................................................................................................... 5 2.1. Relaciones con otros procesos ................................................................................................................................................................................................... 5 2.2. Actividades y procedimientos del Proceso ............................................................................................................................................................................. 5 2.3. Control de Calidad del Proceso de Gestin de Incidencias .............................................................................................................................................. 10 2.4. Indicadores .................................................................................................................................................................................................................................. 11 3. Roles y Responsabilidades..................................................................................................................................................................................................... 12 3.1. Responsable del Proceso de Gestin de Incidencias .......................................................................................................................................................... 13 3.2. Gestor de Incidencias ................................................................................................................................................................................................................ 13 3.3. Coordinador de Incidencias .................................................................................................................................................................................................... 14 3.4. Agentes de Incidencias ............................................................................................................................................................................................................. 14 3.5. Especialistas de Incidencias ..................................................................................................................................................................................................... 15 3.6. Gestor de Escalado .................................................................................................................................................................................................................... 15 3.7. Matriz RACI ................................................................................................................................................................................................................................... 16 4. Anexos ..................................................................................................................................................................................................................................... 18 4.1. Glosario de Trminos .................................................................................................................................................................................................................. 18
Caso prctico: Gestin de Incidencias
Curso de Introduccin a la Auditora de Procesos de Sistemas de Informacin. Pg 3 de 18
1. Proceso de Gestin de Incidencias
1.1. Definicin
proceso reactivo de soporte que se encarga de resolver de forma efectiva las incidencias reportadas por los usuarios y las incidencias de infraestructura detectadas, con el foco principal de restablecer la operacin normal del servicio con la mxima celeridad posible, minimizando el impacto y de acuerdo con las necesidades de los clientes.
Se denomina incidencia a cualquier evento que no forma parte de la operativa normal de un servicio que provoca, o puede provocar, la interrupcin, el mal funcionamiento
o la degradacin en la calidad del servicio, aunque no sea apreciado por el usuario final
1.2. Objetivos. Alcance
Los objetivos del proceso de Gestin de Incidencias son:
Gestionar el ciclo de vida de la incidencias
Restablecer la operacin normal del servicio lo antes posible
Minimizar el impacto negativo de incidencias en la operacin de negocio
Asegurar la calidad y disponibilidad de servicio de acuerdo con los ANSs.
Mantener la comunicacin entre la organizacin de TI y sus clientes acerca del
estado de una incidencia sobre un servicio
Proporcionar informacin de gestin
En el siguiente cuadro se reflejan las actividades, a nivel general, que forman parte del alcance del proceso de GI y las que explcitamente quedan fuera del alcance:
Alcance
Deteccin y registro de incidencias.
Clasificacin y soporte inicial a los usuarios sobre la incidencia
Investigacin y diagnosis de incidencias
Resolucin de incidencias y restauracin del servicio a su operacin normal
Cierre de la incidencia y comunicacin al usuario.
Fuera del alcance
Supervisin de eventos (incluida la correlacin)
Una solicitud para un nuevo servicio o un servicio adicional
Incluir siempre un anlisis de la causa raz
Incluir siempre una solucin permanente. Una solucin temporal puede ser
suficiente.
El alcance del proceso de Gestin de Incidencias se puede definir bajo los siguientes conceptos:
(1) Tipo de elementos de entrada a Gestin de Incidencias. Los elementos de entrada que se contemplan en el proceso de Gestin de Incidencias de InfoLabs son:
Incidencias, Peticin, Consulta y Queja.
Incidencia: Cualquier evento que implique el mal funcionamiento o degradacin del servicio, o pueda causarlo en breve, aunque no sea apreciado por el Cliente.
Dentro del proceso de Gestin de Incidencias existir un Subproceso que contemplar los siguientes elementos de entrada:
o Peticin: Solicitudes de servicio que pueda realizar el usuario y que debern estar incluidas en un catlogo.
o Consulta: Solicitud de informacin tcnica o funcional de servicios.
o Queja: Indicaciones del incorrecto cumplimiento o insatisfaccin del usuario en el tratamiento/resolucin de una llamada de servicio.
(2) Entornos a los que aplican las incidencias. El mbito de la gestin de incidencias se circunscribe al mbito de la Gerencia de Produccin
(3) Componentes afectados: sern los que se encuentren registrados en la CMDB de dicha gerencia
Quedan fuera del alcance del proceso de GI las peticiones de nuevos servicios (Proceso de) y la gestin de problemas (Proceso de Gestin de Problemas).
Caso prctico: Gestin de Incidencias
Curso de Introduccin a la Auditora de Procesos de Sistemas de Informacin. Pg 4 de 18
1.3. Responsabilidades del proceso de Gestin de Incidencias
A continuacin se describen las responsabilidades del proceso de Gestin de Incidencias en el mbito de Infolabs:
El proceso Gestin de incidencias registra, prioriza y resuelve las incidencias que se producen en la infraestructura y servicios de forma que el impacto en los Acuerdos de
Nivel de Servicio con los clientes sea el menor posible
Las incidencias que no puedan ser resueltas inmediatamente por operacin se pueden asignar a grupos especializados. Se deber establecer una solucin definitiva o
temporal lo antes posible para restaurar el servicio a los usuarios con el mnimo trastorno para su trabajo. Una vez resuelta la incidencia y restaurado el servicio acordado, se
cierra la incidencia.
Para permitir que cualquier miembro de operaciones proporcione al usuario un informe de progreso actualizado, se debe mantener un registro de la incidencia durante
todo el ciclo de la incidencia y un historial auditable del progreso de la incidencia.
Por gestionar las incidencias se entiende:
Deteccin y registro de incidencias
Clasificacin de las incidencias y soporte inicial
Investigacin y diagnstico
Resolucin y restauracin
Cierre de las incidencias
Comunicacin y Control de las incidencias
1.4. Desencadenantes, entradas y salidas del proceso
Los desencadenantes del proceso de Gestin de Incidencias pueden ser:
Humano: Solicitud de resolucin de incidencia, consulta, queja o reclamacin. Llegan a travs de una llamada telefnica, correo electrnico, registro web o nota interior.
Tecnolgico: Eventos de monitorizacin procedentes de las herramientas apropiadas y que tras la correlacin apropiada se convierten en incidencias.
Las principales entradas al proceso son:
o Informacin de componentes, usuarios y servicios (CMDB)
o Registro de soluciones conocidas y de documentacin de soporte (sistema de
gestin del conocimiento)
o Notificaciones de planificacin de cambios (Proceso Gestin de Cambios)
o Notificaciones de parada de servicio (Produccin)
o Notificacin de activacin de nuevo servicio (Produccin)
o Categoras de incidencias
o Matriz de prioridades
o Tiempos de respuesta y asignacin de incidencias
o Documentacin e informacin relacionada con escaladas y transferencias:
(1) Matriz de transferencia, (2) Matriz de Escalado y (3)Grupos y responsables
Las principales salidas del proceso son:
o Registro de incidencia, peticin, consulta o queja.
o Registro de una nueva solucin conocida
o Registro de un problema
o Notificaciones a usuarios (entrega nuevo servicio, indisponibilidad de servicio,
etc.)
o Peticin de Cambio para la resolucin de una incidencia.
o Informes de gestin (coste de los servicios, uso real de servicios, reas de
mejora en servicios, etc.
Caso prctico: Gestin de Incidencias
Curso de Introduccin a la Auditora de Procesos de Sistemas de Informacin. Pg 5 de 18
2. Descripcin del proceso
2.1. Relaciones con otros procesos
2.2. Actividades y procedimientos del Proceso
Las actividades principales del proceso de Gestin de Incidencias son:
Registro de la Incidencia, Peticin, Consulta o Queja (IPCQ)
Asignar la IPCQ
Diagnstico/Resolucin en 1er Nivel
Diagnstico/Resolucin en 2 Nivel
Gestin de Escalado
Diagnstico/Resolucin a travs del Equipo de Escalado
Control de la IPCQ
Cierre de la IPCQ
En el siguiente diagrama de flujo y tabla se recoge
una visin general de las actividades del proceso y sus relaciones:
Caso prctico: Gestin de Incidencias
Curso de Introduccin a la Auditora de Procesos de Sistemas de Informacin. Pg 6 de 18
N Procedimiento Entrada / Desencadenante Descripcin Criterio de Salida / Finalizacin
1.1 Registro de la IPCQ Desencadenante:
Llamada/mail/registro web/nota interior del usuario
para informar de una IPCQ
Personal de TI que informan de una incidencia
Herramientas de monitorizacin
Una llamada/mail/registro web/nota interior del usuario al punto nico de contacto puede ser
para informar de una incidencia, realizar una consulta o peticin de servicio o formular una
queja.
El agente de incidencias (1er Nivel) recibe la informacin y la revisa para evaluar si es una
llamada nueva, una llamada duplicada o relacionada con otra actualmente abierta.
El agente autentifica al usuario y revisa la informacin, la clasifica por el tipo de llamada
(incidencia, consulta, queja o peticin de servicio) y se prioriza en funcin de la urgencia e
impacto.
Llamada/mail/registro web/nota
interior registrada en la herramienta
de gestin de incidencias
1.2 Asignar la IPCQ Entrada:
IPCQ registrada
El agente de incidencias (1er Nivel) realiza una primera valoracin de la IPCQ y la asigna al
grupo de resolucin adecuado.
Se determina si la incidencia necesita un escalado inmediato. Si se necesita escalado, se pasa
al procedimiento 1.5 (Gestin de escalado).
Se asigna la incidencia a un coordinador de incidencias, que realiza el procedimiento 1.8
Control de la incidencia.
En funcin de la categora de la incidencia y la prioridad, la incidencia se enva a uno de los
siguientes procedimientos:
1.3 Diagnstico/resolucin en 1er Nivel
1.4 Diagnstico/resolucin en 2 Nivel (Especialistas).
La IPCQ asignada al grupo
adecuado para la resolucin y al
coordinador de incidencias
1.3 Diagnstico /
Resolucin en 1er
Nivel
Entrada:
IPCQ Asignada
El tcnico asignado acepta la incidencia, revisa los detalles, analiza para diagnosticar e
identificar las acciones necesarias para resolver la incidencia lo antes posible.
Solicitud para cerrar la IPCQ o
Solicitud para escalar la IPCQ
1.4 Diagnstico /
Resolucin en 2
Nivel
(Especialistas)
Entrada:
IPCQ Asignada
El tcnico asignado acepta la incidencia, revisa los detalles, realiza un anlisis para diagnosticar
e identificar las acciones necesarias para resolver la incidencia lo antes posible.
Solicitud para cerrar la
incidencia/peticin o
Solicitud para escalar la incidencia.
Caso prctico: Gestin de Incidencias
Curso de Introduccin a la Auditora de Procesos de Sistemas de Informacin. Pg 7 de 18
N Procedimiento Entrada / Desencadenante Descripcin Criterio de Salida / Finalizacin
1.5 Gestin del
escalado
Entrada:
Incidencia Registrada
Matriz de escalado / transferencia
El gestor de escalado gestiona la incidencia durante su ciclo de vida para asegurar que se
cumplen los niveles de servicio y que se resuelve la incidencia para satisfaccin del usuario.
El gestor de escalado es responsable de reunir un equipo de escalado (cuando convenga)
para resolver las interrupciones crticas, complejas o polticas.
Se procesan las incidencias que no se puedan resolver a travs de los niveles de resolucin
marcados por el proceso estndar debido al impacto de la incidencia en el negocio,
restricciones de tiempo o nivel de dificultad.
La responsabilidad, gestin y seguimiento de las incidencias escaladas es del Gestor de
escalados
Solicitud para la incidencia
Creacin de un equipo de
escalado para resolver la
incidencia
1.6 Diagnstico /
Resolucin a travs
del equipo de
escalado
Entrada:
Incidencia escalada
Razones de escalado
El jefe del equipo de escalado asignado acepta la incidencia y revisa los detalles.
El equipo realiza un anlisis, identifica y ejec
Top Related