Post on 25-Mar-2018
MODELO DE CONSTRUCCIÓN E IMPLEMENTACIÓN DEL SISTEMA DE OBJETIVOS DE CONTROL PARA TECNOLOGÍA DE LA INFORMACIÓN Y
TECNOLOGÍAS RELACIONADAS COBIT 5.0 EN LA RED DE INVESTIGACIÓN Y TECNOLOGÍA AVANZADA RITA Y SU INTEGRACIÓN
CON LA UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS
Jefry Steven Díaz López Flavio Alexandro Fernández y Pachón
UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS FACULTAD DE INGENIERÍA
PROYECTO CURRICULAR DE INGENIERÍA INDUSTRIAL BOGOTÁ
2016
MODELO DE CONSTRUCCIÓN E IMPLEMENTACIÓN DEL SISTEMA DE OBJETIVOS DE CONTROL PARA TECNOLOGÍA DE LA INFORMACIÓN Y
TECNOLOGÍAS RELACIONADAS COBIT 5.0 EN LA RED DE INVESTIGACIÓN Y TECNOLOGÍA AVANZADA RITA Y SU INTEGRACIÓN
CON LA UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS
Jefry Steven Díaz López Flavio Alexandro Fernández y Pachón
Director: Roberto Ferro Escobar
UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS FACULTAD DE INGENIERÍA
PROYECTO CURRICULAR DE INGENIERÍA INDUSTRIAL BOGOTÁ
2016
AGRADECIMIENTO
Queremos agradecer de manera especial a la Red de Investigación de Tecnología Avanzada (RITA) y su director el Ing. Roberto Ferro por su
colaboración y acompañamiento en la realización de esta empresa.
CONTENIDO
INTRODUCCIÓN ............................................................................................................................. 1
PLANTEAMIENTO DEL PROBLEMA ................................................................................................ 3
FORMULACIÓN DEL PROBLEMA.................................................................................................... 4
OBJETIVOS ..................................................................................................................................... 5
OBJETIVO GENERAL ................................................................................................................... 5
OBJETIVOS ESPECÍFICOS ............................................................................................................ 5
JUSTIFICACIÓN .............................................................................................................................. 6
MARCO REFERENCIAL ................................................................................................................... 8
¿Qué es COBIT? (Torre, s.f.) ...................................................................................................... 8
ISACA (ISACA, 2016) .................................................................................................................. 8
Universidad Distrital Francisco José de Caldas: Antecedentes ................................................. 9
Red de Investigación y Tecnología Avanzada (RITA) (Red de Investigaciones de Tecnología
Avanzada RITA, 2016) .............................................................................................................. 11
COBIT 5.0 ................................................................................................................................. 11
METODOLOGÍA............................................................................................................................ 16
Población ................................................................................................................................. 16
Tipo de investigación ............................................................................................................... 16
Fuentes de información .......................................................................................................... 16
Diseño metodológico .............................................................................................................. 17
Fase 1: Revisión documental ............................................................................................... 17
Fase 2: Evaluación, ajuste y estandarización de COBIT 5.0 a RITA. ..................................... 21
Fase 3: Diseño, desarrollo y elaboración del modelo de implementación de COBIT 5 en
RITA. .................................................................................................................................... 25
Fase 4: Entrega del documento final con recomendaciones y conclusiones a lugar .......... 25
MODELO DE IMPLEMENTACIÓN DE COBIT 5 EN RITA ................................................................ 26
Cascada de Metas ................................................................................................................... 28
Mapeo entre las metas corporativas y las preguntas del gobierno y la gestión .................... 29
Metas corporativas de RITA .................................................................................................... 32
Mapeo entre las metas corporativas y las metas relacionadas con las TI .............................. 34
Metas relacionadas con las TI en RITA .................................................................................... 36
Mapeo de metas TI y Procesos TI en RITA .............................................................................. 37
Indicadores .............................................................................................................................. 41
Procesos catalizadores: ........................................................................................................... 43
UN EJEMPLO PARA ESFUERZOS FUTUROS .................................................................................. 48
CONCLUSIONES: .......................................................................................................................... 49
RECOMENDACIONES ................................................................................................................... 51
ÍNDICE DE TABLAS E ILUSTRACIONES .......................................................................................... 53
BIBLIOGRAFÍA .............................................................................................................................. 54
Anexo 1: Fichas técnicas de indicadores de control ................................................................... 55
1.1 Indicadores de objetivos corporativos .............................................................................. 55
1.2 Indicadores de objetivos de TI .......................................................................................... 62
Anexo 2: Procesos catalizadores COBIT 5 y matrices RACI ......................................................... 72
EDM01: Asegurar el establecimiento y mantenimiento del marco de gobierno ................... 72
EDM02: Asegurar la entrega de beneficios ............................................................................. 75
EDM03: Asegurar la optimización del riesgo .......................................................................... 77
EDM04: Asegurar la optimización de recursos ....................................................................... 79
EDM05: Asegurar la transparencia hacia las partes interesadas ............................................ 81
APO01: Gestionar el marco de gestión de TI .......................................................................... 83
APO02: Gestionar la estrategia ............................................................................................... 88
APO03: Gestionar la innovación .............................................................................................. 93
APO04: Gestionar el portafolio ............................................................................................... 97
APO05: Gestionar los Recursos Humanos ............................................................................. 101
APO06: Gestionar las relaciones ........................................................................................... 105
APO07: Gestionar los acuerdos de servicio .......................................................................... 109
APO08: Gestionar la calidad .................................................................................................. 112
APO09: Gestionar la seguridad ............................................................................................. 117
BAI01: Gestionar los proyectos ............................................................................................. 120
BAI02: Gestionar la dirección de requisitos .......................................................................... 124
BAI03: Gestionar la identificación y la construcción de soluciones ...................................... 127
BAI04: Gestionar la disponibilidad y la capacidad ................................................................ 131
BAI05: Gestionar la introducción de cambios organizativos................................................. 135
BAI06: Gestionar la aceptación del cambio y la transición ................................................... 138
BAI07: Gestionar el conocimiento......................................................................................... 144
BAI08: Gestionar la configuración ......................................................................................... 147
DSS01: Gestionar las actividades .......................................................................................... 150
DSS02: Gestionar las peticiones y los incidentes del servicio ............................................... 153
DSS03: Gestionar los problemas ........................................................................................... 157
DSS04: Gestionar la continuidad ........................................................................................... 160
MEA01: Supervisar, evaluar y valorar rendimiento y conformidad ...................................... 164
MEA02: Supervisar, evaluar y valorar el sistema de control interno .................................... 168
MEA03: Supervisar, evaluar y valorar la conformidad con los requerimientos externos..... 172
Anexo 3: Acta de evaluación de servicios actual....................................................................... 175
Anexo 3.1: Acta de evaluación de servicios propuesta. ........................................................ 176
Anexo 4: Propuesta de bitácora de funcionamiento de la Red ................................................ 177
Anexo 5: Formato propuesto de evaluación del riesgo. ........................................................... 178
1
INTRODUCCIÓN
COBIT 5.0 es un sistema desarrollado por expertos y publicado por el Information
Systems Audit and Control Association (ISACA) y aplicado a todos los recursos
tecnológicos de cualquier organización, independiente de su naturaleza, con una
filosofía que consiste en que estos recursos deben ser administrados por
procesos que provean información que facilite la toma de decisiones y la forma
en la que estas se adoptan, generando resultados que son evaluados por medio
de la auditoría de la gestión y control de sistemas de información.
Para la Universidad Distrital Francisco José de Caldas como organización y más
específicamente en la Red de Investigación y Tecnología avanzada, ambas
pertenecientes al sector público, es importante acoger un estándar para el
desarrollo de los objetivos misionales de la propia institución que se ajuste a los
intereses de la sociedad a la que sirve y que apoye como herramienta a la
consecución de la razón de ser de la Universidad, potenciando y administrando
sus recursos y cumpliendo las disposiciones del Consejo Superior Universitario
(CSU).
Dentro de los lineamientos institucionales de la Universidad Distrital Francisco
José de Caldas contenidos en el Plan Estratégico de Desarrollo 2007-2016 y
mas específicamente el Plan Maestro de Informática y Telecomunicaciones de
la Universidad Distrital 2013-2018 que precisan adoptar un marco de trabajo para
desarrollar y gestionar las actividades relacionadas con Tecnologías de la
información y la comunicación (TIC) se plantea implementar un modelo de
gobernanza cuya base referencial está contenida en la guía COBIT 5.0. Con el
2
siguiente trabajo se desarrollará una metodología de implementación de este
modelo en la Red de investigación y tecnología aplicada (RITA) a manera de
propuesta, mediante el análisis e interpretación de los procesos, recursos y
requerimientos allí contenidos.
3
PLANTEAMIENTO DEL PROBLEMA
En la búsqueda de articular e integrar las nuevas tecnologías de la información
y el conocimiento, la Universidad Distrital pretende desarrollar, además de
fomentar tecnologías que faciliten y potencien la capacidad de procesamiento e
integración de información, que contribuya a dar soluciones a las necesidades
prioritarias de la sociedad, en plena conciencia de su responsabilidad con la
misma. En ese orden de ideas se hace necesaria la pretensión estratégica de
crear, renovar y actualizar la infraestructura de las comunicaciones, así como su
gestión (plataformas, soporte, servicios, monitoreo, adquisición, entre otros), de
manera tal que se vislumbre el cómo se administra y gestiona el trabajo
investigativo, la producción intelectual y el conocimiento científico a nivel
institucional.
De acuerdo a las disposiciones del Plan Estratégico de Desarrollo 2007-2016 y
el Plan Maestro de Informática y Telecomunicaciones de la Universidad Distrital
2013-2018 se hace necesaria el fomento, creación y definición de un sistema
con un marco de trabajo para el gobierno y gestión de las tecnologías de la
información de carácter institucional, bajo el cumplimiento de esta estrategia se
hace realmente importante tanto a nivel institucional, como a nivel de los
integrantes del comité la consolidación de un sistema que esté sustentado en
estándares y reconocidas practicas validadas a nivel nacional e internacional,
como es el caso del marco de trabajo para la gobernanza y gestión de
tecnologías de la información en las organizaciones COBIT 5.0.
Con el propósito de garantizar permanentemente la apropiación de los
desarrollos tecnológicos que permitan a la universidad lo anteriormente
mencionado, se han desarrollado a través de los últimos años diferentes
4
asociaciones y equipos de trabajo, entre los cuales se encuentra la Red de
Investigación y Tecnología Avanzada RITA, que trabaja en la consecución de
estos estándares y prácticas. Tarea que se apoya desde este trabajo a través de
la propuesta de un modelo de implementación específico para la Red y que
servirá como referente para los esfuerzos futuros en esta materia a nivel
institucional.
FORMULACIÓN DEL PROBLEMA
De acuerdo a la sección anterior, lo que aparece en este trabajo pretende
responder a la siguiente pregunta: ¿Cómo implementar un modelo de gestión y
gobierno de las tecnologías de la información en RITA siguiendo la metodología
COBIT 5 y cómo este modelo puede resultar útil en esfuerzos futuros a nivel
institucional?
5
OBJETIVOS
OBJETIVO GENERAL
Plantear un modelo de gobernanza y gestión de las tecnologías de la información
para la Universidad Distrital Francisco José de Caldas más específicamente en
la Red de Investigaciones de Tecnología Avanzada RITA, que adopte y apoye
las directrices del Plan Maestro de Informática y Telecomunicaciones 2013-2018
en consonancia con el marco de trabajo COBIT 5.0.
OBJETIVOS ESPECÍFICOS
Evaluar los capítulos y buenas prácticas aplicables para la red de
Telecomunicaciones y que se encuentran en el marco de trabajo COBIT
5.0.
Identificar y estructurar los puntos débiles y efectos desencadenantes en
materia de tecnologías de la información y las comunicaciones dentro de
la red de tecnología.
Crear una propuesta de implementación del marco de trabajo COBIT 5.0
en la red de Investigaciones de Tecnología Avanzada RITA.
Identificar los pasos a seguir para la implementación del sistema COBIT
5.0 en la Universidad Distrital Francisco José de Caldas como una entidad
pública y oficial.
6
JUSTIFICACIÓN
En términos del cumplimiento de su misión y visión, la Universidad Distrital
procura estrategias en todo ámbito que garanticen el desarrollo institucional y
evolución de la misma como centro educativo que se adapta a las necesidades
de una sociedad en constante movimiento y cambio. Uno de los retos con los
que cuenta la universidad es la incorporación y actualización de las nuevas
tecnologías de la información y las comunicaciones que ayudan a la integración,
divulgación y fortalecimiento de la investigación, la ciencia, la tecnología y la
innovación en la sociedad del conocimiento de la cual la universidad y su
comunidad hacen parte.
En concordancia con lo anterior, existe un lineamiento institucional planteado
como un objetivo misional para la estructuración de tecnologías TIC acorde a las
necesidades relacionadas con la docencia, la investigación, la extensión, los
procesos de apoyo administrativo y financiero, los órganos de control y la
dirección. Apoyado a su vez en los principios, objetivos y procesos definidos por
el marco de trabajo para la gestión y gobernanza TI en las organizaciones que
establece COBIT 5.0 para las dependencias de la universidad que tengan que
ver con tecnología, entre las que se encuentran:
RITA (Red de Investigaciones de Tecnología Avanzada)
OAS (Oficina Asesora de Sistemas)
Red de datos UD
Por otra parte, COBIT 5.0 al ser un marco de trabajo de gobernanza y gestión,
así como de control interno, proporciona también pertinentes lineamientos que
son aplicables de igual forma a instituciones públicas, como es el caso de la
7
Universidad Distrital y que al mismo tiempo se apegan a disposiciones legales,
como es el caso de la Ley 87 de 1993 que establece normas para el ejercicio del
control interno en las entidades y organismos del Estado y sus posteriores
modificaciones y/o correcciones, y la guía de auditoría para entidades públicas.
Es así como el proyecto planteado se desarrollará en la dependencia institucional
RITA, red de tecnología encargada de apoyar a los investigadores de todas las
facultades y programas especiales de la universidad, y que servirá como modelo
y ejemplo para las demás dependencias que deberán implementar COBIT 5.0
como se estipula en el Plan Maestro de Informática y Telecomunicaciones. La
presente empresa implica también la aplicación de los conocimientos adquiridos
durante el proceso formativo en el proyecto curricular de Ingeniería Industrial por
parte de los autores del proyecto.
8
MARCO REFERENCIAL
¿Qué es COBIT? (Torre, s.f.)
El COBIT, es una herramienta de gobierno de las Tecnologías de la Información
que ha cambiado de igual forma que lo ha hecho el trabajo de los profesionales
de TI. ISACA, organización creadora de esta norma COBIT (Information
Systems Audit and Control Association) así como sus patrocinadores, han
diseñado este producto principalmente como una fuente de instrucción para los
profesionales dedicados a las actividades de control.
La definición que nos ofrece el sumario ejecutivo del COBIT (Control OBjectives
for Information and related Technology) es la siguiente: “buscar, desarrollar,
publicar y promover un autoritario y actualizado conjunto internacional de
objetivos de control de tecnologías de la información, generalmente aceptadas,
para el uso diario por parte de gestores de negocio y auditores”.
ISACA (ISACA, 2016)
ISACA comenzó en 1967, cuando un pequeño grupo de personas con trabajos
similares—auditar controles en los sistemas computacionales que se estaban
haciendo cada vez más críticos para las operaciones de sus respectivas
organizaciones—se sentaron a discutir la necesidad de tener una fuente
centralizada de información y guías en dicho campo. En 1969, el grupo se
formalizó, incorporándose bajo el nombre de EDP Auditors Association
(Asociación de Auditores de Procesamiento Electrónico de Datos). En 1976 la
asociación formó una fundación de educación para llevar a cabo proyectos de
investigación de gran escala para expandir los conocimientos y el valor en el
campo de gobierno y control de TI. Conocida previamente como la
9
Information Systems Audit and Control Association (Asociación de Auditoría
y Control en Sistemas de Información), ISACA ahora es solo un acrónimo, que
refleja la amplia gama de profesionales en gobierno de TI a los que sirve.
Hoy, los integrantes de ISACA – más de 115,000 en todo el mundo – se
caracterizan por su diversidad. Los integrantes viven y trabajan en más de 180
países y cubren una variedad de puestos profesionales relacionados con TI –
sólo por nombrar algunos ejemplos, auditor de SI, consultor, profesional de la
educación, profesional de seguridad de SI, regulador, director ejecutivo de
información (CIO) y auditor interno. Algunos son nuevos en el campo, otros están
en niveles medios de la gerencia y algunos otros están en los rangos más
elevados. Trabajan en casi todas las categorías de industrias, incluyendo
finanzas y banca, contabilidad pública, gobierno y sector público, servicios y
manufactura. Esta diversidad permite que los miembros aprendan unos de otros,
e intercambien puntos de vista muy diferentes sobre una variedad de tópicos
profesionales. Esta ha sido considerada durante mucho tiempo como una de las
fortalezas de ISACA.
Universidad Distrital Francisco José de Caldas: Antecedentes
De acuerdo a las disposiciones del Plan Estratégico de Desarrollo 2007-2016 y
el Plan Maestro de Informática y Telecomunicaciones de la Universidad Distrital
2013-2018 se hace necesaria el fomento, creación y definición de un sistema
con un marco de trabajo para el gobierno y gestión de las tecnologías de la
información de carácter institucional. Bajo el cumplimiento de esta estrategia se
hace realmente importante tanto a nivel institucional, como a nivel de los
integrantes del comité la consolidación de un sistema que esté sustentado en
estándares y reconocidas practicas validadas a nivel nacional e internacional,
10
como es el caso del marco de trabajo para la gobernanza y gestión de
tecnologías de la información en las organizaciones COBIT 5.0.
Este sistema debe fortalecer e integrar las diferentes dependencias y áreas
encargadas del manejo de las investigaciones y de la información que están
consolidadas en el Plan Maestro, entre las cuales se encuentran:
RITA (Red de Investigaciones de Tecnología Avanzada)
SIGTIC
DOTE
MIDAS
UD-Seguro
Red de datos UD
ATENEA
PLANESTIC
Es importante tener en cuenta que antes de la creación de estas ya existía en la
universidad del departamento conocido como Oficina Asesora de Sistemas
(OAS) y que es el primero de ellos que ha desarrollado un sistema de
actividades, procesos y cambios para la implementación del sistema COBIT
integrándola así con otros estándares y marcos de referencia como ITIL y
desarrollando plataformas apoyadas en herramientas tecnológicas y tecnologías
de la información que estén en concordancia con las políticas y lineamientos
institucionales y se puedan integrar al momento de expandir este sub-sistema.
11
Red de Investigación y Tecnología Avanzada (RITA) (Red de
Investigaciones de Tecnología Avanzada RITA, 2016)
La Red de Investigaciones de Tecnología Avanzada RITA de la Universidad
Distrital Francisco José de Caldas es una red académica que está comprometida
con la implementación, mantenimiento y soporte de una plataforma tecnológica
de alta velocidad y servicios asociados, con el objetivo de fortalecer la ejecución
de proyectos de investigación, la innovación científica, el desarrollo tecnológico,
el apoyo a los procesos académicos basados en entornos virtuales y la creación
de nuevos protocolos y estándares para intercambio de información entre
comunidades académicas, científicas e investigativas de la ciudad, la región y el
país.
COBIT 5.0
Debido a la importancia de la información en la actualidad se han desarrollado
diferentes estrategias para manejar esta de una forma apropiada y en este
ámbito es donde cobran importancia las tecnologías de la información (IT) como
una herramienta muy poderosa y determinante para el éxito de las
organizaciones. COBIT es precisamente una estrategia desarrollada para
controlar y hacer seguimiento de todos los sistemas y tecnologías de la
información referentes a todos los campos de la organización involucrando
administradores, usuarios y auditores durante este proceso.
Las siglas COBIT significan Objetivos de Control para Tecnología de Información
y Tecnologías relacionadas (Control Objectives for Information Systems and
related Technology). El modelo es el resultado de una investigación con expertos
de varios países, desarrollado por ISACA (Information Systems Audit and Control
12
Association) y está basado en la filosofía de que los recursos TI necesitan ser
administrados por un conjunto de procesos naturalmente agrupados para
proveer la información pertinente y confiable que requiere una organización para
lograr sus objetivos.
Es así como mediante la implementación de esta estrategia se asegura que se
llegue a un cumplimiento de los objetivos y se tenga un control de las actividades
y procesos teniendo como actor principal a la información que recorre cada uno
de los deber hacer de la organización y logrando que las IT se adapten al
cumplimiento de los objetivos de control principales no solo a nivel empresarial,
sino también a nivel público y de administración de los recursos.
La norma COBIT 5.0 se basa en 5 principios fundamentales que se muestran en
la siguiente gráfica:
Ilustración 1: Principios de COBIT 5. Tomado de: COBIT 5 Un marco de negocio para el
gobierno y la gestión de las TI de la empresa
Para cumplir el primer principio referente a satisfacer las necesidades de las
partes interesadas cobran protagonismo las metas, aquello a lo que se quiere
llegar en un periodo de tiempo y que pueda ser medible y de fácil verificación y
13
es en este momento donde se desarrolla la estrategia de la cascada de metas
que no es otra cosa que la organización y jerarquización de estas para el
desarrollo de este principio
Ilustración 2: Cascada de metas de COBIT 5. Tomado de: COBIT 5 Un marco de negocio para
el gobierno y la gestión de las TI de la empresa
Cada una de las diferentes metas y posibles desarrollos esta socializado en el
documento referente a COBIT 5 publicado por ISACA.
Para poder cubrir la empresa de extremo a extremo, COBIT 5 plantea un
sistema de gobierno que debe tener en cuenta los catalizadores y el alcance del
gobierno para poder establecer estratégicamente los diferentes roles actividades
y relaciones de este dentro del sistema.
14
Ilustración 3: Roles, actividades y relaciones de COBIT 5. Tomado de: COBIT 5 Un marco de
negocio para el gobierno y la gestión de las TI de la empresa
El principio número 3 que consiste en aplicar un marco de referencia único
integrado hace referencia a que el sistema COBIT 5 está alineado con otros
estándares y marcos de referencia importantes a nivel de recursos, calidad y
procedimientos, además de que proporciona una arquitectura simple e involucra
todos los marcos desarrollados anteriormente por ISACA en las presentaciones
anteriores del sistema.
Con el fin de desarrollar un enfoque holístico se desarrollaron diferentes
catalizadores que hacen referencia a las categorías que deberían tener en
cuenta los objetivos de control y son los siguientes:
Principios, políticas y marcos de referencia
Procesos
Estructuras organizativas
Cultura, ética y comportamiento
Información
Servicios, infraestructuras y aplicaciones
Personas, habilidades y competencias
Y finalmente para separar el gobierno de la gestión se determinan las
siguientes áreas clave:
15
Ilustración 4: Áreas claves de gobierno y gestión de COBIT 5. Tomado de: COBIT 5 Un marco
de negocio para el gobierno y la gestión de las TI de la empresa
Este sistema se ha implementado en centenares de empresas y ha sido validado
por ISACA, es por esto que, aunque no se tenga información específica de cada
una de estas experiencias el desarrollo de los principios integradores que han
sido correctamente aplicados en estos casos también es fundamental como
marco referencial en este documento.
16
METODOLOGÍA
Población
Dependencia RITA (Red de Investigaciones de Tecnología Avanzada) de la
Universidad Distrital Francisco José de Caldas de la ciudad capital de Bogotá,
Colombia.
Tipo de investigación
Para efectos de la metodología de la investigación, el proyecto en su primera
etapa se caracterizó por una metodología histórica que procuró un
acercamiento al estado actual de la documentación y reglamentación actual de
RITA. Siguió pues una fase exploratoria que tuvo como fin identificar y revisar
anteriores avances o información relevante al sistema COBIT en la universidad
con el ánimo de aportar valor y relevancia al cumplimiento de los objetivos
específicos del trabajo. Luego, se dio un giro hacia la metodología descriptiva,
que aportó mediante el desarrollo y construcción del modelo, las propiedades,
características y rasgos propios del manejo de la documentación, información y
gobernanza de las tecnologías de la información y las comunicaciones apegado
al marco de referencia COBIT 5.0 en RITA, para que a su vez pueda tomarse y
ser aplicado institucionalmente.
Fuentes de información
Puesto que el proyecto requirió la recolección, análisis y evaluación de
información tanto cualitativa como cuantitativa, este se denominó de carácter
mixto, y contó con las siguientes fuentes:
Información primaria: para la elaboración del modelo, fue necesario acudir
a la dependencia RITA, con el ánimo de realizar la investigación
17
documental, que consistió en la selección, estudio y análisis de
documentos (Artículos, cartas, oficios, libros de texto, normas, históricos,
entre otros) relacionados con sistemas de control, gobernanza, auditoría
y gestión de las tecnologías de la información en RITA y en la Universidad
Distrital. De otro modo fue menester la entrevista personal o escrita a
personas implicadas e involucradas directa o indirectamente con las IT en
la dependencia. También se recolectó información a modo de observación
directa, cuando el caso lo juzgó pertinente o ventajoso.
Información secundaria: referida a la consulta del marco de referencia y
trabajo COBIT 5.0, así como también la publicación COBIT 5
Implementación.
Diseño metodológico
A continuación, se presentarán detalladamente las fases de desarrollo del
trabajo en la red:
Fase 1: Revisión documental
A partir de la revisión y estudio del Plan estratégico de Desarrollo 2007-2016 en
el “Campo Estratégico: Tecnologías de la Información y las Comunicaciones” se
evidencia la intención y necesidad de ser referente de nuevos desarrollos
institucionales de la informática y las comunicaciones en las perspectivas de la
inmersión de la Universidad en la sociedad del conocimiento a través de la
Política 4: Modernización de la gestión administrativa, financiera y del talento
humano, en su Estrategia 4: Mejoramiento de la productividad de los recursos
institucionales, desarrollando el Programa 1: Desarrollo de un sistema integrado
18
y articulado de información de la gestión académica y administrativa de la
Universidad el cual plantea desarrollar el sistema de informática y
telecomunicaciones de la Universidad mediante su puesta en funcionamiento y
consolidación.
Tabla 1: Política 4, Estrategia 4, Programa 1 PED-UD
Haciendo referencia al sistema de informática y telecomunicaciones de la
Universidad, este se crea y se rige a partir del Plan Maestro de Informática y
Telecomunicaciones, el cual fue parte esencial de la revisión documental. En
este plan se describen los ejes de acción, se tuvo especial atención en el Eje 1:
Gobierno de TI y modelo basado en servicios que cuenta con los siguientes
proyectos:
19
Tabla 2: Proyectos estratégicos Eje 1
Se tuvo en cuenta también el Eje 4: Gestión de servicios TI en el cual se dispone
la creación de un mecanismo de gobierno de TI hecho realidad a través de la
Red de investigaciones de tecnología Avanzada (RITA) mediante el Proyecto
RITA- Red de investigaciones de tecnología Avanzada RITA.
Tabla 3: PMIT-PE11
20
Todo esto sustenta que la Universidad contempla la necesidad de un gobierno
de tecnologías de la información que utilice principios, objetivos y procesos para
la gobernanza y gestión de TI que tiene como base referencial (según el artículo
9: Bases referenciales, literal d.) a COBIT 5.
Tabla 4: Bases referenciales, literal d.
La Red de Investigaciones de Tecnología Avanzada (RITA) como dependencia
de una entidad pública perteneciente al estado colombiano debe también cumplir
requerimientos legales. Para el caso puntual de este modelo, que contempla
casos de auditoría, tanto externa como interna, se debe seguir la Guía de
Auditoría para Entidades Públicas, que estipula en la presentación de su
documento lo siguiente: “la Ley 87 de 1993 determina para el Estado Colombiano
que el control interno lo conforma “el esquema de la organización, el conjunto de
los planes, métodos, principios, normas, procedimientos y los mecanismos de
verificación y evaluación”; este último aspecto se materializa a través de la
evaluación independiente o auditoría interna.(…) La metodología utilizada para
su estructuración está basada principalmente en las normas internacionales para
el ejercicio profesional de auditoría interna. Las herramientas incluidas dentro de
la misma, brindarán elementos necesarios para una evaluación y seguimiento de
forma estandarizada, en los diferentes tipos de entidades según su naturaleza,
funciones, estructura y procesos. Así mismo, está guía incluye aspectos
relevantes frente a la aplicación de diferentes políticas públicas, las cuales
21
aportan elementos para tener una visión estratégica dentro de las entidades”.
(Departamento Adminstrativo de la Función Pública, 2015)
La anterior revisión y algunas futuras fuentes de información se resumen como
lo muestra la ilustración siguiente:
Ilustración 5: Resumen de revisión documental.
Fase 2: Evaluación, ajuste y estandarización de COBIT 5.0 a RITA.
Como parte de la evaluación, se realizó un estudio del estado actual de la Red
en materia de tecnologías de la información, en donde pudo evidenciarse que en
materia de gobierno, la Red se establece de la siguiente manera:
Revisión Bibliográfica
•COBIT 5 Un marco de negocio para el gobierno y la gestión de las TI de la empresa
•COBIT 5 Implementación
•COBIT 5 Procesos catalizadores
Revisión documental
•Plan Estratégico de Desarrollo 2007-2016
•Plan Maestro de Informática y Telecomunicaciones de la Universidad Distrital Francisco José de Caldas
Revisión legal
•Acuerdo N°003 de Octubre 2 de 2008
•Guía de Auditoría para Entidades Públicas
22
Ilustración 6: Organigrama para cumplimiento de funciones y tareas Contratistas OPS – Red
RITA
La ilustración anterior evidencia que las tecnologías de la información en la Red
están encasilladas en el área técnica y solo se relacionan con el área
administrativa mediante el técnico de gestión de calidad, quien tiene como papel
secundario las políticas de TI sin un gobierno establecido y consolidado de TI
que trabaje a la par con la dirección y Coordinación general de RITA.
Una vez observado el estado actual, se procedió entonces a entrar de lleno a la
Guía COBIT (en adelante ‘Guía’), que precisa en un primer momento la
transformación de las funciones y tareas en roles, actividades haciendo
implícitas sus interrelaciones vigentes. Así:
23
Ilustración 7: Roles, Actividades y Relaciones clave.
Para el caso de la Red, se propone de la manera siguiente:
Ilustración 8: Roles, Actividades y Relaciones en RITA
24
Para luego definir la relación entre las TI y las partes interesadas que se
involucran en el funcionamiento de la Red. Esta relación se encuentra a través
de formular los responsables de cada una de las siguientes preguntas de TI
establecidas por la Guía:
Tabla 5: Relación TI - Partes interesadas.
Usuarios
Proveedores
Comunidad Universitaria
¿Esta bien securizada la información que se esta
procesando?
¿Respalda TI a RITA en el cumplimiento de la normativa y
los niveles de servicio?
¿Cómo puedo saber si se cumple con todas las normas
aplicables?
Partes interesadas internas Preguntas sobre las TI
¿Cómo se consigue valor con el uso de TI?¿está el
usuario final satisfecho con la calidad del servicio de
TI?
¿Son suficientes los recursos y la infraestructura de TI
disponibles para conseguir los objetivos estratégicos de
red requeridos?
¿Cómo se gestiona el rendimiento de TI?
¿Cómo se puede explotar mejor la tecnología de red para
conseguir nuevas oportunidades estratégicas?
¿Cómo puedo construir y estructurar mejor mi red de TI?
¿Cuáles son los requisitos de control para la
información?
¿He contemplado todos los riesgos relacionados con TI?
¿Estoy ejecutando una operación de TI eficiente y
robusta?
¿Cómo se usan los recursos de TI en la manera más
efectiva y eficiente?
¿Tengo suficiente personal para TI? ¿Cómo puedo
desarrollar y mantener sus habilidades y cómo gestiono
su rendimiento?
¿Cómo se puede mejorar la capacidad de respuesta de la
red mediante un entorno de TI más flexible?
¿Cómo es de crítica la TI para la sostenibilidad de la
red?¿Qué pasaría si la TI no estuviera disponible?
¿Cuánto se tarda en la toma de decisiones importantes
de TI?
¿Qué actividades críticas dependen de TI? ¿Cuáles son
los requerimientos de las actividades ?
Director de la red, Coordinador, Lider
en gestión de proyectos y lider
técnico, Lideres mesas de trabajo y
Lider de TI
Partes interesadas externas Preguntas sobre las TI
25
Fase 3: Diseño, desarrollo y elaboración del modelo de
implementación de COBIT 5 en RITA.
La fase 3 del trabajo se desarrollará en la siguiente sección del trabajo,
denominada: Resultados: Modelo de implementación de COBIT 5 en RITA,
puesto que responde a la pregunta problema del trabajo.
Fase 4: Entrega del documento final con recomendaciones y
conclusiones a lugar
Esta fase de la metodología se ve reflejada en este documento y sintetiza el
trabajo desarrollado durante todo el proceso.
A continuación, se presenta un esquema que sintetiza la metodología
desarrollada en este trabajo:
Ilustración 9: Resumen Metodología
26
MODELO DE IMPLEMENTACIÓN DE COBIT 5 EN RITA
En concordancia con lo descrito en las guías COBIT 5: Implementación y COBIT
5: Procesos catalizadores. Se ha desarrollado el presente modelo de la siguiente
forma:
Levantamiento de la cascada de metas para RITA: La nominación
cascada de metas hace referencia a las relaciones entre los objetivos
misionales de la organización, los objetivos corporativos, los objetivos de
TI y los objetivos de los procesos catalizadores de forma descendente y
explicita, encontrando mapeos en forma de matrices que muestran los
cruces que definen en qué punto y a qué nivel se relacionan cada uno de
los objetivos en el desarrollo de las funciones de la red.
Elaboración y establecimiento de métricas: En este paso se definen y
explican las métricas a tener en cuenta para medir los objetivos, tanto
corporativos y de TI como de los procesos catalizadores, con el fin de
aterrizar la gestión al ámbito organizacional y responder en la práctica
dicha gestión y gobierno
Levantamiento de los procesos catalizadores de la red: Los procesos
catalizadores constituyen un conjunto de actividades, que poseen
entradas y salidas en la persecución de un propósito establecido para
acelerar la gestión de las tecnologías de la información asegurando el
seguimiento, la documentación, la trazabilidad y los planes de mejora.
Levantamiento de matrices RACI: Este procedimiento se realiza en
paralelo con el levantamiento de los procesos catalizadores de la Red. Se
usa para definir los niveles de responsabilidad, estableciendo los roles y
responsabilidades de cada cargo de la red, para facilidad del lector se
27
hace necesario aclarar que la palabra RACI corresponde a una sigla que
toma sentido en la Tabla 6. Los niveles de responsabilidad definidos por
la Guía son los siguientes:
Tabla 6: Niveles de responsabilidad RACI
28
Cascada de Metas
Ilustración 10: Cascada de metas de RITA
Funciones misionales de las partes interesadas
1. Realizar la conexión a otras redes de alta velocidad como son: RUMBO, RENATA,CLARA y otras redes academicas y de investigacion cientifica nacionales einternacionales, publicas y privadas.
2. Apoyar la creación y consolidación de grupos de investigación cientifica en launiversidad.
3. Garantizar la instalación y mantenimiento de equipos de úñtima generacióntecnológica para desarrollar proyectos de cáracter científico, educativo, académico ytecnológico
4. Apoyar la realización de proyectos d einvestigación científica en los programas depregrado y posgrado.
Necesidades de las partes interesadas
1. Obtención de beneficios: Resultado investigativo y académico consecuencia de la utilizacion de los servicios de la Red por los usuarios.
2.Optimización de riesgos: Oportuna, necesaria y apropiada gestión del riesgo para reducir niveles de incertidubre.
3.Optimización de recursos: Humanos, tecnológicos, técnicos y organizacionales.
Metas Corporativas
Metas relacionadas con TI
Metas de los catalizadores
Mapeo entre las metas relacionadas con las TI y los procesos relacionados con
las TI
Mapeo detallado de las metas de la empresa y las metas relacionadas
con las TI
Mapeo entre las metas corporativas de Cobit 5 y las preguntas del gobierno y la gestión
29
Mapeo entre las metas corporativas y las preguntas del gobierno y la gestión
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
Necesidades de las
partes interesadas
Mapeo entre las metas corporativas de Cobit 5 y las preguntas del gobierno y la gestión
Cum
plim
ient
o co
n la
s po
lític
as
inte
rnas
Pers
onas
mot
ivad
as
Cultu
ra d
e in
nova
ción
de
serv
icio
s
Opt
imiz
ació
n de
los
proc
esos
Prog
ram
as g
estio
nado
s de
cam
bio
Cont
inui
dad
y di
spon
ibili
dad
del
serv
icio
Tom
a es
trat
égic
a de
dec
isio
nes
basa
da e
n in
form
ació
n
Culti
ra d
e se
rvic
io o
rient
ada
al
clie
nte
Gen
erar
val
or e
impa
cto
para
las
part
es in
tere
sada
s de
los
proy
ecto
s
Cart
era
de s
ervi
cios
Cum
plim
ient
o de
leye
s y
regu
laci
ones
ext
erna
s
¿Cómo se gestiona el rendimiento de
TI?
¿Cómo se puede explotar mejor la
tecnología de red para conseguir
nuevas oportunidades estratégicas?
¿Cómo puedo construir y estructurar
mejor mi red de TI?
¿Cuáles son los requisitos de control
para la información?
¿He contemplado todos los riesgos
relacionados con TI?
Opt
imiz
ació
n de
la fu
ncio
nalid
ad d
e
las
activ
idad
es
Pers
onas
pre
para
das
1
2
3
4
5
Prod
uctiv
idad
ope
raci
onal
y d
e lo
s
empl
eado
s
¿Cómo se consigue valor con el uso
de TI?¿está el usuario final satisfecho
con la calidad del servicio de TI?
Resp
uest
as á
gile
s a
un e
ntor
no
cam
bian
te
6
30
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
Necesidades de las
partes interesadas
Mapeo entre las metas corporativas de Cobit 5 y las preguntas del gobierno y la gestión (continuación)
Cu
mp
limie
nto
co
n la
s p
olít
icas
inte
rnas
Per
son
as m
oti
vad
as
Cu
ltu
ra d
e in
no
vaci
ón
de
serv
icio
s
Op
tim
izac
ión
de
los
pro
ceso
s
Pro
gram
as g
esti
on
ado
s d
e ca
mb
io
Co
nti
nu
idad
y d
isp
on
ibili
dad
del
serv
icio
Tom
a es
trat
égic
a d
e d
ecis
ion
es
bas
ada
en in
form
ació
n
Cu
ltir
a d
e se
rvic
io o
rien
tad
a al
clie
nte
Gen
erar
val
or
e im
pac
to p
ara
las
par
tes
inte
resa
das
de
los
pro
yect
os
Car
tera
de
serv
icio
s
Cu
mp
limie
nto
de
leye
s y
regu
laci
on
es e
xter
nas
¿Cómo se usan los recursos de TI en la
manera más efectiva y eficiente?
¿Estoy ejecutando una operación de
TI eficiente y robusta?
¿Tengo suficiente personal para TI?
¿Cómo puedo desarrollar y mantener
sus habilidades y cómo gestiono su
rendimiento?
¿Esta bien securizada la información
que se esta procesando?
¿Cómo se puede mejorar la capacidad
de respuesta de la red mediante un
entorno de TI más flexible?
Op
tim
izac
ión
de
la f
un
cio
nal
idad
de
las
acti
vid
ades
Per
son
as p
rep
arad
as
Pro
du
ctiv
idad
op
erac
ion
al y
de
los
emp
lead
os
Res
pu
esta
s ág
iles
a u
n e
nto
rno
cam
bia
nte
7
8
9
10
11
31
Tabla 7: Mapeo entre los objetivos corporativos de COBIT y las preguntas de gestión
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
Necesidades de las
partes interesadas
Mapeo entre las metas corporativas de Cobit 5 y las preguntas del gobierno y la gestión (continuación)
Cum
plim
ient
o co
n la
s po
lític
as
inte
rnas
Pers
onas
mot
ivad
as
Cultu
ra d
e in
nova
ción
de
serv
icio
s
Opt
imiz
ació
n de
los
proc
esos
Prog
ram
as g
estio
nado
s de
cam
bio
Cont
inui
dad
y di
spon
ibili
dad
del
serv
icio
Tom
a es
trat
égic
a de
dec
isio
nes
basa
da e
n in
form
ació
n
Culti
ra d
e se
rvic
io o
rient
ada
al
clie
nte
Gen
erar
val
or e
impa
cto
para
las
part
es in
tere
sada
s de
los
proy
ecto
s
Cart
era
de s
ervi
cios
Cum
plim
ient
o de
leye
s y
regu
laci
ones
ext
erna
s
Opt
imiz
ació
n de
la fu
ncio
nalid
ad d
e
las
activ
idad
es
Pers
onas
pre
para
das
¿Cómo es de crítica la TI para la
sostenibilidad de la empresa?¿Qué
pasaría si la TI no estuviera
disponible?
¿Cuánto se tarda en la toma de
decisiones importantes de TI?
¿Respalda TI a la red en el
cumplimiento de la normativa y los
niveles de servicio?¿Cómo puedo
saber si se cumple con todas las
normas aplicables?
Prod
uctiv
idad
ope
raci
onal
y d
e lo
s
empl
eado
s
Resp
uest
as á
gile
s a
un e
ntor
no
cam
bian
te
12
13
14
15
16
¿Qué actividades críticas dependen
de TI? ¿Cuáles son los requerimientos
de las actividades de la red?
¿Son suficientes los recursos y la
infraestructura de TI disponibles para
conseguir los objetivos estratégicos
de la red requeridos?
32
Metas corporativas de RITA
La estructura de las metas corporativas establecidas para el modelo en este
trabajo cuenta con la priorización de cada una de las metas con los objetivos del
gobierno establecidos anteriormente en la cascada de metas, y también las
clasifica dentro de las dimensiones del cuadro de mando integral de RITA
(Direccionamiento estratégico, Prestación del servicio y Apoyo al servicio) que
se explican a continuación:
Tabla 8: Dimensiones del CMI
Dimension del Cuadro de Mando Integral Definición
Direccionamiento estratégico
Prestación del servicio
Apoyo al servicio
Hace alusión a la parte de la Red
encargada de la dirección, administración
y toma de decisiones
Hace alusión a la parte de la Red
encargada de llevar a cabo las actividades
de los servicios solicitados por los
usuarios, así como su posterior evaluación
Hace alusión a las actividades
relacionadas indirectamente con los
servicios prestados y que ayudan al
soporte de las mismas
33
Tabla 9: Metas corporativas
P – Relación primaria
S-Relación secundaria
P
P
P
P P
P
S P
P
P
P
S S
P P
P
P
P
P P
11. Optimización de los procesos
6. Programas gestionados de cambio
10. Productividad operacional y de los empleados
Metas Corporativas
Dimension del
CMIMeta corporativa
Realización con los objetivos del gobierno
Obtención de
beneficios
Optimización
de riesgos
Optimización
de recursos
12. Cumplimiento con las políticas internas
14. Personas motivadas
9.Cultura de servicio orientada al cliente
Direccionamiento
estrategico
Prestación del
servicio
13.Personas preparadas
1.Generar valor e impacto para las partes interesadas de los proyectos
2. Portafolio de servicios
3. Cumplimiento de leyes y regulaciones externas
15. Cultura de innovación de servicios
7. Continuidad y disponibilidad del servicio
4.Respuestas agiles a un entorno cambiante
5. Toma estratégica de decisiones basada en información
8.Optimización de la funcionalidad de las actividades
Apoyo al servicio
34
Mapeo entre las metas corporativas y las metas relacionadas con las TI
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
1 Alineamiento de TI y el enfoque misional de RITA
2Cumplimiento y soporte de TI al cumplimiento de las leyes y regulaciones
externas
3 Compromiso de la dirección para tomar decisiones relacionadas con TI
4 Gestión de riesgos del servicio relacionados con las TI
5Entrega de programas que proporcionen beneficios a tiempo satisfaciendo
los requisitos y normas de calidad
6 Disponibilidad de información útil y relevante para la toma de decisiones
7 Beneficio del impacto del portafolio de servicios relacionado con las TI
8 Entrega de servicios de TI de acuerdo a los requisitos
9 Agilidades de las TI
10Seguridad de la información, infraestructuras de procesamiento y
aplicaciones
11 Optimización de infraestructura, recursos y capacidades de las TI
12 Capacitación y soporte de procesos integrando aplicaciones y tecnología
13 Cumplimiento de TI con las políticas internas
14 Personal de RITA competente
P- Primario
S- Secundario
Metas relacionadas con las TI
Prod
ucti
vida
d op
erac
iona
l y d
e lo
s
empl
eado
s
Cum
plim
ient
o co
n la
s po
lític
as in
tern
as
Pers
onas
pre
para
das
Gen
erar
val
or e
impa
cto
para
las
part
es
inte
resa
das
de lo
s pr
oyec
tos
Car
tera
de
serv
icio
s
Cum
plim
ient
o de
leye
s y
regu
laci
ones
exte
rnas
Opt
imiz
acio
n de
los
proc
esos
Pres
taci
ón d
el s
ervi
cio
Mapeo entre metas corporativas y las metas relacionadas con la TI
Pers
onas
mot
ivad
as
Cul
tura
de
inno
vaci
ón d
e se
rvic
ios
Res
pues
tas
ágile
s a
un e
ntor
no
cam
bian
te
Tom
a es
trat
égic
a de
dec
isio
nes
basa
da
en in
form
ació
n
Prog
ram
as g
esti
onad
os d
e ca
mbi
o
Meta corporativa
Con
tinu
idad
y d
ispo
nibi
lidad
del
ser
vici
o
Opt
imiz
ació
n de
la f
unci
onal
idad
de
las
acti
vida
des
Cul
tira
de
serv
icio
ori
enta
da a
l clie
nte
Direccionamiento estrategico Prestación del servicio Apoyo al servicio
Dir
ecci
onam
ient
o es
trat
egic
o
35
Tabla 10: Mapeo entre metas corporativas y las metas relacionadas con las TI
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
15 Personal de RITA motivado16 Personal de RITA preparado
17 Conocimiento, experiencia e iniciativas para la innovación
P- Primario
S- Secundario
Metas relacionadas con las TI
Prod
ucti
vida
d op
erac
iona
l y d
e lo
s
empl
eado
s
Cum
plim
ient
o co
n la
s po
lític
as in
tern
as
Pers
onas
pre
para
das
Gen
erar
val
or e
impa
cto
para
las
part
es
inte
resa
das
de lo
s pr
oyec
tos
Car
tera
de
serv
icio
s
Cum
plim
ient
o de
leye
s y
regu
laci
ones
exte
rnas
Opt
imiz
acio
n de
los
proc
esos
Apo
yo a
l
serv
icio
Mapeo entre metas corporativas y las metas relacionadas con la TI (continuación)
Pers
onas
mot
ivad
as
Cul
tura
de
inno
vaci
ón d
e se
rvic
ios
Res
pues
tas
ágile
s a
un e
ntor
no
cam
bian
te
Tom
a es
trat
égic
a de
dec
isio
nes
basa
da
en in
form
ació
n
Prog
ram
as g
esti
onad
os d
e ca
mbi
o
Meta corporativa
Con
tinu
idad
y d
ispo
nibi
lidad
del
ser
vici
o
Opt
imiz
ació
n de
la f
unci
onal
idad
de
las
acti
vida
des
Cul
tira
de
serv
icio
ori
enta
da a
l clie
nte
Direccionamiento estrategico Prestación del servicio Apoyo al servicio
36
Metas relacionadas con las TI en RITA
Análogamente a las metas corporativas desarrolladas, propuestas y avaladas
para la Red se encuentran las metas relacionadas con las TI, que están
enmarcadas, como se verá, en las mismas dimensiones del cuadro de mando
integral (CMI) y que se enfocan exclusivamente en la información y las
tecnologías relacionadas en RITA, así:
Tabla 11: Metas relacionadas con las TI
Dimensión
del CMI TI
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
Entrega de programas que proporcionen beneficios a tiempo satisfaciendo
los requisitos y normas de calidad
Disponibilidad de información útil y relevante para la toma de decisiones
Personal de RITA competente
Personal de RITA motivado
Prestación
del servicioOptimización de infraestructura, recursos y capacidades de las TI
Capacitación y soporte de procesos integrando aplicaciones y tecnología
Cumplimiento de TI con las políticas internas
Apoyo al
servicio Conocimiento, experiencia e iniciativas para la innovación
Entrega de servicios de TI de acuerdo a los requisitos
Agilidades de las TI
Seguridad de la información, infraestructuras de procesamiento y
Metas relacionadas con las TI
Meta de información y tecnología relacionada
Direccionami
ento
estrategico
Alineamiento de TI y el enfoque misional de RITA
Cumplimiento y soporte de TI al cumplimiento de las leyes y regulaciones
Compromiso de la dirección para tomar decisiones relacionadas con TI
Gestión de riesgos del servicio relacionados con las TI
Beneficio del impacto del portafolio de servicios relacionado con las TI
37
Mapeo de metas TI y Procesos TI en RITA
Los procesos TI que propone la Guía y que aparecen en el cruce de la matriz
siguiente hacen referencia a los procesos conocidos como catalizadores, y que
están orientados a la consecución de dichas metas de TI para la Red. En el
desarrollo que se hace posteriormente a estas matrices se explican a fondo y en
detalle cada uno de los procesos catalizadores. Por ahora, el trabajo se limitará
a nombrarlos y a asignar una prioridad (denotada P: primaria o S: secundaria)
que depende de la meta de TI y su importancia para la Red. Dichos procesos TI
siguen una nomenclatura que se describe a continuación para facilidad,
familiarización y ayuda para el lector:
Tabla 12: Cuadro de procesos catalizadores
Entregar, dar servicio y soporte
Supervisión, evaluación y verificación
EMD
APO
BAI
DSS
MEA
Definición
Evalular, orientar y supervisar
Alinear, planificar y organizar
Construcción, adquisición e implementación
Sigla asignada
38
Alin
eam
iento
de T
I y e
l enfo
que m
isio
nal d
e R
ITA
Cum
plim
iento
y s
oport
e d
e T
i al c
um
plim
iento
de
negocio
de la
s le
yes y
regula
cio
nes e
xte
rnas
Com
pro
mis
o d
e la
direcció
n p
ara
tom
ar
decis
iones r
ela
cio
nadas c
on T
I
Gestió
n d
e r
iesgos d
el s
erv
icio
rela
cio
nados c
on
las T
I
Entr
ega d
e p
rogra
mas q
ue p
roporc
ionen
benefic
ios a
tie
mpo s
atis
facie
ndo ls
o r
equis
itos y
norm
as d
e c
alid
ad
Dis
ponib
ilidad d
e in
form
ació
n ú
til y
rele
vante
Entr
ega d
e s
erv
icio
s d
e T
I de a
cuerd
o a
los
requis
itos d
e la
red
Benefic
io d
el i
mpacto
del p
ort
afo
lio d
e s
erv
icio
s
rela
cio
nados c
on la
s T
I
Agili
dades d
e la
s T
I
Seguridad d
e la
info
rmació
n, in
fraestr
uctu
ras d
e
pro
cesam
iento
y a
plic
acio
nes
Optim
izació
n d
e in
fraestr
uctu
ra, re
curs
os y
capacid
ades d
e la
s T
I
Capacita
ció
n y
soport
e d
e p
rocesos in
tegra
ndo
aplic
acio
nes y
tecnolo
gía
Cum
plim
iento
de T
I con la
s p
olít
icas in
tern
as
Pers
onal d
e R
ITA
com
pete
nte
Pers
onal d
e R
ITA
motiv
ado
Conocim
iento
, experiencia
e in
icia
tivas p
ara
la
innovació
n
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
EDM01Asegurar el establecimiento y mantenimiento del
marco de gobiernoP P P P P P P
EDM02 Asegurar la entrega de beneficios P P P P
EDM03 Asegurar la optimización del riesgo P
EDM04 Asegurar la optimización de los recursos S P S P S S
EDM05Asegurar la transpariencia hacia las partes
interesadasP P P P P
APO01 Gestionar el marco de gestión de TI P P P P
APO02 Gestionar la estrategia P P P P P P P
APO03 Gestionar la innovación S S
APO04 Gestionar el portafolio P S P S P P S
APO05 Gestionar los recursos humanos S S S
APO06 Gestionar las relaciones P S S
APO07 Gestionar los acuerdos de servicio S
APO08 Gestionar la calidad P P P
APO09 Gestionar la seguridad P
Eval
ular
, ori
enta
r y
supe
rvis
ar
Alin
ear,
pla
nifi
car
y
orga
niza
r
Direccionamiento estrategico Prestación del servicioApoyo al
servicioProcesos relacionados con TI
Metas relacionadas con las TI
P- Primario
S- Secundario
39
Alin
eam
iento
de T
I y e
l enfo
que m
isio
nal d
e R
ITA
Cum
plim
iento
y s
oport
e d
e T
i al c
um
plim
iento
de
negocio
de la
s le
yes y
regula
cio
nes e
xte
rnas
Com
pro
mis
o d
e la
direcció
n p
ara
tom
ar
decis
iones r
ela
cio
nadas c
on T
I
Gestió
n d
e r
iesgos d
el s
erv
icio
rela
cio
nados c
on
las T
I
Entr
ega d
e p
rogra
mas q
ue p
roporc
ionen
benefic
ios a
tie
mpo s
atis
facie
ndo ls
o r
equis
itos y
norm
as d
e c
alid
ad
Dis
ponib
ilidad d
e in
form
ació
n ú
til y
rele
vante
Entr
ega d
e s
erv
icio
s d
e T
I de a
cuerd
o a
los
requis
itos d
e la
red
Benefic
io d
el i
mpacto
del p
ort
afo
lio d
e s
erv
icio
s
rela
cio
nados c
on la
s T
I
Agili
dades d
e la
s T
I
Seguridad d
e la
info
rmació
n, in
fraestr
uctu
ras d
e
pro
cesam
iento
y a
plic
acio
nes
Optim
izació
n d
e in
fraestr
uctu
ra, re
curs
os y
capacid
ades d
e la
s T
I
Capacita
ció
n y
soport
e d
e p
rocesos in
tegra
ndo
aplic
acio
nes y
tecnolo
gía
Cum
plim
iento
de T
I con la
s p
olít
icas in
tern
as
Pers
onal d
e R
ITA
com
pete
nte
Pers
onal d
e R
ITA
motiv
ado
Conocim
iento
, experiencia
e in
icia
tivas p
ara
la
innovació
n
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
BAI01 Gestionar los proyectos P S P S P P S
BAI02 Gestionar la definición de requisitos P P P
BAI03Gestionar la identificación y la construcción de
solucionesP S P S P
BAI04 Gestionar la disponibilidad y la capacidad P P S P
BAI05 Gestionar la introducción de cambios organizativos P P P P
BAI06Gestionar la aceptación del cambio y de la
transiciónP P S
BAI07 Gestionar el conocimiento S S S
BAI08 Gestionar la configuración S P S
DSS01 Gestionar las actividades S P S S S
DSS02 Gestionar las peticiones y los incidentes del servicio P P
DSS03 Gestionar los problemas P P P S S
DSS04 Gestionar la continuidad P P P S
Con
stru
cció
n, a
dqui
sici
ón e
impl
emen
taci
ón
Entr
egar
, dar
serv
icio
y
sopo
rte
Direccionamiento estrategico Prestación del servicioApoyo al
servicioProcesos relacionados con TI (continuación)
Metas relacionadas con las TI (continuación)
P- Primario
S- Secundario
40
Tabla 13: Mapeo entre objetivos de TI y procesos catalizadores
Alin
eam
iento
de T
I y e
l enfo
que m
isio
nal d
e R
ITA
Cum
plim
iento
y s
oport
e d
e T
i al c
um
plim
iento
de
negocio
de la
s le
yes y
regula
cio
nes e
xte
rnas
Com
pro
mis
o d
e la
direcció
n p
ara
tom
ar
decis
iones r
ela
cio
nadas c
on T
I
Gestió
n d
e r
iesgos d
el s
erv
icio
rela
cio
nados c
on
las T
I
Entr
ega d
e p
rogra
mas q
ue p
roporc
ionen
benefic
ios a
tie
mpo s
atis
facie
ndo ls
o r
equis
itos y
norm
as d
e c
alid
ad
Dis
ponib
ilidad d
e in
form
ació
n ú
til y
rele
vante
Entr
ega d
e s
erv
icio
s d
e T
I de a
cuerd
o a
los
requis
itos d
e la
red
Benefic
io d
el i
mpacto
del p
ort
afo
lio d
e s
erv
icio
s
rela
cio
nados c
on la
s T
I
Agili
dades d
e la
s T
I
Seguridad d
e la
info
rmació
n, in
fraestr
uctu
ras d
e
pro
cesam
iento
y a
plic
acio
nes
Optim
izació
n d
e in
fraestr
uctu
ra, re
curs
os y
capacid
ades d
e la
s T
I
Capacita
ció
n y
soport
e d
e p
rocesos in
tegra
ndo
aplic
acio
nes y
tecnolo
gía
Cum
plim
iento
de T
I con la
s p
olít
icas in
tern
as
Pers
onal d
e R
ITA
com
pete
nte
Pers
onal d
e R
ITA
motiv
ado
Conocim
iento
, experiencia
e in
icia
tivas p
ara
la
innovació
n
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
MEA01Supervisar, evaluar y valorar rendimiento y
conformidadS S S S
MEA02Supervisar, evaluar y valorar el sistema de control
internoS S S S
MEA03Supervisar, evaluar y valorar la conformidad con los
requerimientos externoss S S S
Supe
rvis
ión,
eva
luac
ión
y ve
rifi
caci
ón
Direccionamiento estrategico Prestación del servicioApoyo al
servicioProcesos relacionados con TI (continuación)
Metas relacionadas con las TI (continuación)
P- Primario
S- Secundario
41
Indicadores
Con el fin de medir los objetivos corporativos y los objetivos de TI se han
diseñado los siguientes indicadores que serán también utilizados para la
evaluación de los procesos catalizadores y su correcta aplicación:
Los indicadores presentados a continuación responden a la siguiente estructura:
Nombre del indicador: Identificador cualitativo y de búsqueda del indicador
Variables: Elementos que se tienen en cuenta para la medición del
indicador, como su nombre lo indica cambian en el tiempo
Descripción: Explica la función del indicador
Objetivo a evaluar: Relaciona el indicador con el objetivo que se quiere
medir
Fórmula de cálculo: Expresión matemática del indicador
Unidad de medición: Indica la característica de la expresión obtenida en
la fórmula
Objetivo de satisfacción: Indica el valor de la fórmula que se desea lograr
(En caso de no haber, este debe ser establecido por la dirección)
Periodicidad: Indica cada cuanto tiempo se debe medir el indicador
Fuentes de información: Establece las entradas de la información para
aplicar la fórmula de calculo
Responsable: Indica quien es el responsable de la medición y
actualización del indicador
Para ilustrar este ejemplo en este trabajo, se presentarán aquí dos ejemplos de
los indicadores propuestos para la red. El primero relacionado y enfocado a
medir los objetivos corporativos y el segundo hacia los objetivos de TI. El resto
42
de indicadores se muestran en los anexos con su respectiva tabla de
caracterización.
Tabla 14: Ficha de caracterización de un indicador de objetivos corporativos
Tabla 15: Ficha de caracterización de un indicador de objetivos de TI
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Objetivo de satisfacción
Periodicidad
Fuentes de información
Responsable
Porcentaje de servicios que tuvieron impacto en investigación
Servicios que tienen impacto en investigación
Líder de mesa de trabajo
FICHA TÉCNICA INDICADORES COBIT 5
Indica la cantidad porcentual de aporte de los servicios a la investigación
Generar valor e impacto para las partes interesadas de los proyectos
Porcentual
100
Semestral
Reporte de prestación de servicios
Fórmula de cálculo % STII=
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Periodicidad
Fuentes de información
Responsable
FICHA TÉCNICA INDICADORES COBIT 5
Indica la cantidad porcentual de aporte de las TI a los objetivos corporativos
Alineamiento de TI y el enfoque misional de RITA
Porcentual
Anual
Direccionamiento estratégico
Fórmula de cálculo
Porcentaje de obejtivos corporativos y requerimientos sustentados por
objetivos de TI
Objetivos corporativos sustentados en TI
Líder de gestión
% OCSTI=
43
Procesos catalizadores:
Los procesos catalizadores constituyen en la práctica la columna vertebral del
sistema de gobierno basado en TI y son también el fuerte de la guía debido a
que aterrizan el proceso y responden al cómo deben realizarse las actividades y
de qué manera se miden los objetivos de estas para lograr los objetivos de TI,
que deben estar alineados con los objetivos corporativos. Están divididos en los
macro procesos descritos en la Tabla 9 y que tienen las siguientes
características:
EDM (Evaluar, Orientar y Supervisar): Los procesos que pertenecen a este grupo
se encuentran enmarcados en el área de Gobierno y sus objetivos clave son
hacer que la dirección esté involucrada y evalué todas las actividades
relacionadas con la gestión de TI, a la vez que sea el que tome decisiones para
orientarlas hacia el propósito deseado.
APO (Alinear, Planificar y Organizar): Los procesos que pertenecen a este grupo
se encuentran enmarcados en el área de Gestión y sus objetivos clave son
establecer planes de acción, alinear las prácticas con los requerimientos de la
dirección y desarrollar una organización clara de las actividades para su
realización.
BAI (Construir, Adquirir e Implementar): Los procesos que pertenecen a este
grupo se encuentran enmarcados en el área de Gestión y sus objetivos clave
son construir las plataformas de recursos necesarias para llevar a cabo el plan,
establecer proveedores y encontrar las herramientas tecnológicas y empezar el
proceso de implementación dentro de la organización.
44
DSS (Entrega, Servicio y Soporte): Los procesos que pertenecen a este grupo
se encuentran enmarcados en el área de Gestión y sus objetivos clave son
asegurar la entrega de la gestión relacionada con TI, a la vez que se presta un
servicio a los usuarios y se garantiza un soporte de todas las actividades, tanto
a nivel interno como externo.
MEA (Supervisar, Evaluar y Valorar): Los procesos que pertenecen a este grupo
se encuentran enmarcados en el área de gestión y sus objetivos clave son
supervisar el desarrollo de la gestión, evaluar las actividades y valorar procesos
de mejora continua o cambios requeridos.
El formato de los procesos catalizadores contiene los siguientes ítems para su
desarrollo:
Nombre y nomenclatura: Es un identificador del proceso para su uso y
búsqueda
Área: Indica el área de la organización al que pertenece el proceso y el
grupo de actividades
Descripción del proceso: Indica el funcionamiento del proceso
Declaración del propósito del proceso: Se establece el objetivo del
proceso dentro de la Red
Metas TI y métricas relacionadas: Relaciona el proceso catalizador con
un conjunto de metas TI para darle sentido a la gestión
Metas y métricas del proceso: Hace explícitos los objetivos específicos
del proceso y como se medirán los resultados
45
Prácticas de gobierno: Son las prácticas aterrizadas de lo que se desea
hacer con la gestión, tienen un conjunto de entradas salidas y actividades
que van a ser la base y columna vertebral de todo el modelo.
Matriz RACI: Relaciona las prácticas de gobierno con los diferentes
cargos de la red que tienen responsabilidad de diferentes formas con
ellas. Recordemos que la nomenclatura fue explicada en la descripción
general del modelo.
A continuación, se mostrará el desarrollo de un proceso catalizador para
ejemplificar lo anteriormente descrito al lector y familiarizar el formato que
poseen dichos procesos, la totalidad de procesos encuentran su descripción
completa y desarrollo aplicado a la Red en el Anexo 2, se ha decidido así para
facilitar la comprensión y aligerar, si se permite la expresión, la estructura del
trabajo.
46
Garantizar que el sistema de gobierno de TI
está incorporado a la mesa directiva
1. Número de veces que TI esta en la agenda de la mesa directiva de manera
proactiva
2. Porcentaje de proyectos de Ti en los que el impacto es monitoreado a
través de todo su ciclo de vida
Obtener garantías de que el sistema de
gobierno para TI está operando de manera
efectiva
1.Frecuencia del reporte del lider de TI a la mesa directiva de la Red
Meta del proceso Métricas relacionadas
Crear un modelo estratégico de toma de
desiciones para que las TI sean efectivas y
estén alineadas con el entorno y los
requerimientos de las partes interesadas
1. Tiempo promedio para acordar y aprobar un objetivo estratégico
relacionado con TI de RITA
2. Porcentaje de satisfacción del usuario
Meta de TI Métricas relacionadas
Alineamiento de TI y el enfoque misional de
RITA
1. Porcentaje de objetivos corporativos y requerimientos sustentados por
objetivos de TI
2. Nivel de satisfacción de la dirección con el alcance del portafolio de
servicios
Compromiso de la dirección para tomar
decisiones relacionadas con TI
1. Porcentaje de decisiones de TI claramente definidas que son
responsabilidad de la dirección
2. Número de veces que TI esta en la agenda de la mesa directiva de manera
proactiva
3. Frecuencia de reuniones del equipo relacionado con TI
Proceso COBIT: EDM01 Asegurar el establecimiento y
mantenimiento del marco de gobierno
Area: Gobierno
Dominio: Evaluar, orientar y supervisar
Descripción del proceso: Analiza y articula los requerimientos para el gobierno de TI en RITA con claridad de las
responsabilidades y la autoridad para alcanzar la misión, las metas y objetivos de la Red
Declaración del propósito del proceso: Proporcionar un enfoque consistente, integrado y alineado con el alcance de
gobierno de la Red
El proceso apoya la consecución de un conjunto de principales metas de TI:
Beneficio del impacto del portafolio de
servicios relacionado con las TI
1. Porcentaje de proyectos de TI en los que el impacto es monitoreado a
través de todo su ciclo de vida
2. Porcentaje de servicios de TI que generaron el impacto esperado
Metas y Métricas del proceso
6. Articular los principios que guiarán el diseño de la toma de decisiones sobre el gobierno de TI
7. Comprender la cultura de toma de decisiones y determinar un modelo óptimo para TI
8. Determinar los niveles apropiados para la delegación de autoridad para las decisiones de TI
Actividades
1. Analizar e identificar los factores del entorno y tendencias que pueden influir en el diseño del gobierno
2. Determinar la relevancia de TI y su papel respecto al negocio
3. Considerar las reguaciones externas y obligaciones legales y determinar cómo deben ser aplicadas en el gobierno de TI
4. Alinear el uso y el procesamiento ético de la información y su impacto en la sociedad con los objetivos, visión y dirección
de la empresa
5. Determinar las implicaciones del control de la Red con respecto a TI
Evaluar el sistema de gobierno.
Identificar y comprometerse continuamente
con las partes interesadas de la Red y realizar
una estimación del actual y futuro diseño del
gobierno de TI
Descripción Descripción
Comunicaciones de los
requerimientos de cumplimiento
modificados
Principios directrices del gobierno de
la Red
1. Tendencias del entorno
2. Regulaciones
3. Modelo de toma de decisiones
4. Constitución, normas de la Red
Modelo de toma de desiciones
Niveles de autoridad
Proceso COBIT, Prácticas, Actividades y entradas/salidas del proceso
Práctica de Gobierno Entradas Salidas
47
Tabla 16: Proceso catalizador de COBIT 5 aplicado a RITA
Matriz RACI:
Tabla 17: Matriz de responsabilidades RACI para la práctica de gobierno de COBIT
4. Mantener la supervisión sobre el punto hasta el que TI satisface las obligaciones, políticas y estándares
5. Proporcionar supervisión de la efectividad de TI y el cumplimiento con el sistema de control de la Red
6. Supervisar los mecanismos regulados para garantizar que el uso de TI cumple con las obligaciones relevantes
Informes sobre no cumplimientoObligaciones
Actividades
1. Evaluar la efectividad y rendimiento de las partes interesadas en la que se ha delegado responsabilidad y autoridad para
2. Evaluar periodicamente si los mecanismos para TI acordados están establecidos y operando
3. Evaluar la efectividad del diseño del gobierno e identificar las acciones para rectificar cualquier desviación
Supervisar el sistema de gobierno.
Supervisar la ejecución y la efectividad del
gobierno de TI. Analizar si el sistema de
gobierno y los mecanismos implementados
estan operando de forma efectiva y
proporcionan una supervision apropiada de TI.
Descripción Descripción
Informes de servicios
Retroalimentación sobre el
rendimiento y efectividad del
gobierno
Estado y resultado de las acciones
Resultados del control interno
Resultados de las autoevaluaciones
Planes de aseguramiento
Confirmaciones de cumplimiento
1. Comunicar los principios del gobierno de TI
2. Establecer o delegar el establecimiento de las estructuras, procesos y practicas del gobierno en linea con los principios
acordados
3. Asignar responsabilidad y autoridad para que se apliquen los principios de diseño de gobierno y los modelos de toma de
decision acordados
4. Garantizar que los mecanismos de comunicación proporcionan información adecuadaa aquellos con la responsabilidad de
supervision y toma de decisiones
Práctica de Gobierno Entradas Salidas
Orientar el sistema de servicio
Informar a los líderes y obtener su apoyo, su
aceptación y compromiso. Guiar las
estructuras, procesos y prácticas para el
gobierno de TI en línea con lo diseñado por el
gobierno. Definir la información necesaria
para una toma de desiciones informadas.
Descripción Descripción
Orientar el sistema de servicioComunicaciones del gobierno de la
empresa
Actividades
Práctica de Gobierno Entradas Salidas
I I I I
I I
Supervisar el
sistema de R R I RI I
Orientar el
sistema de R R I RI I I I
Líd
er d
e se
rvic
ios
acad
émic
os
Líd
er d
e se
rvic
ios
de
con
ecti
vid
ad
Enca
rgad
o d
e C
alid
ad
Evaluar el sistema
de gobiernoR R RC
Practica clave
de Gobierno
Dir
ecto
r d
e la
Red
Co
ord
inad
or
de
la
Red
Lid
er e
n g
esti
ón
de
pro
yect
os
Líd
er t
écn
ico
Líd
er d
e TI
Líd
er e
n s
oci
aliz
ació
n
y d
ivu
lgac
ión
Líd
er d
e se
rvic
ios
mu
ltim
edia
Líd
er e
n in
gen
ierí
a d
e
soft
war
e
48
UN EJEMPLO PARA ESFUERZOS FUTUROS
Bajo la metodología de construcción del modelo “Modelo de construcción e
implementación del sistema de objetivos de control para tecnologías de la
información y tecnologías relacionadas COBIT 5.0 en la Red de Investigación y
Tecnología Avanzada RITA” se puede reestructurar y ajustar para su ampliación
en las diferentes dependencias que integran el Comité de Informática, con el fin
de crear una red que permita la gestión de estas tecnologías de la información
en la Universidad Distrital Francisco José de Caldas mediante los siguientes
pasos:
•Identificación de requerimientos de gestión de TI en las diferentes oficinas y dependencias de la UniversidadPrimera etapa
•Establecimiento de casos particulares donde se requiera aplicar la GuíaSegunda etapa
•Desarrollo del modelo de implementación en cada una de las organizaciones identificadas:
•Reconocimiento, Cascada de Metas, establecimiento de Métricas, Formulación y levantamiento de procesos catalizadores
Tercera etapa
•Implementación paulatina de los modelos con aprobación del organismo de control (Comité, SIGUD)Cuarta etapa
•Desarrollo de una red, creación de equipos de trabajo y gobierno de TI institucional Quinta etapa
49
CONCLUSIONES:
Los principios, objetivos y procesos definidos en el modelo de implementación
de este trabajo consideran y cumplen todos los procesos y prácticas de la
gobernanza y la gestión de las Tecnologías de la Información de la guía COBIT
5, y que, por tanto, están en consonancia también con las consideraciones del
Plan Maestro de Informática y Telecomunicaciones 2013-2018 de la Universidad
Distrital Francisco José de Caldas.
El modelo aquí presentado abarca a la Red de Investigaciones de Tecnología
Avanzada RITA de extremo a extremo, tal como lo recomienda la Guía, puesto
que considera los aspectos específicos de su naturaleza tales como su
dependencia a la Universidad Distrital, sus responsabilidades, obligaciones,
limitaciones y prácticas como dependencia del aparato estatal y su propósito
objetivo misional y rector, así como su funcionamiento y dinámica interna como
organización que hace uso constante y especializado de algunas de las
Tecnologías de la Información.
Herramientas de seguimiento, control, análisis y recolección de información útil
y relevante para la red como el acta de evaluación de servicio, la bitácora de
funcionamiento de la red y la evaluación del riesgo que en este modelo se
proponen refuerzan, minimizan y en algunos casos eliminan puntos débiles y
efectos desencadenantes en materia de tecnologías de la información en RITA.
La propuesta de implementación materializada en el modelo que aquí se
presenta obedece a todas recomendaciones, planteamientos, guías, formatos y
buenas prácticas que en el marco de gobierno COBIT 5 aparecen o que son
50
requisito para crear un marco de gobierno en torno a las tecnologías de la
Información.
La cascada de metas y la puesta en marcha de los procesos catalizadores son
las actividades vitales para la iniciación de una implantación segura y confiable;
tanto en la Red como a nivel institucional; que genere los beneficios esperados
y entregue los resultados que de las tecnologías de la información se pueden
obtener, así como un compromiso de cambio y una adecuada capacitación a los
actores involucrados y las partes interesadas en la implementación.
51
RECOMENDACIONES
Se recomienda la creación y el establecimiento de un gobierno de TI que en
cabeza del líder de TI tome decisiones y evalúe los procesos realizados en este
ámbito, las personas pertenecientes al grupo de trabajo de este gobierno deben
tener conocimiento de la Guía COBIT 5 y deben integrarse a la dirección de la
Red con el fin de establecer una comunicación clara y precisa y una armonía
para la consecución de los objetivos propuestos.
Se debe realizar un esfuerzo mayúsculo para la implementación del modelo
planteado que involucra el compromiso de todas las partes funcionales de la
Red, para esto es necesario asegurar que la dirección este integrada con el
proceso de gestión de las TI y que todas las decisiones importantes provengan
de ella, es importante tener en cuenta los cambios propuestos al organigrama en
este trabajo y el establecimiento de objetivos acordes con las necesidades de TI
para de este modo hacer un buen uso de la cascada de metas.
La Red debe realizar una actividad juiciosa de medición de los indicadores
establecidos (Algunos de ellos propuestos en este trabajo) para asegurar el
cumplimiento de los objetivos de gestión organizacional y de TI, como en este
momento no se cuentan con todas las fuentes de información necesarias para el
cálculo de las métricas aquí propuestas, se proponen las siguientes actividades:
Un cambio en el acta de evaluación de servicio que incluya asuntos
relacionados con el cumplimiento de nuevos requerimientos,
interrupciones de servicio y gestión de la información. De este modo se
reemplazaría el acta utilizada actualmente (Anexo 1) con el acta
propuesta en el Anexo 1.1.
52
La creación de una bitácora de funcionamiento de la Red en donde se
registren los tiempos de prestación e interrupción de los servicios y de
apertura y cierre de la oficina. Esta bitácora se encuentra propuesta en el
Anexo 2
La evaluación del riesgo con una periodicidad anual de cada uno de los
servicios de la Red, realizada por el responsable de cada servicio y
aprobada por un miembro de la dirección. El formato propuesto para
realizar esta evaluación se encuentra en el Anexo 3.
Se recomienda también la creación de una plataforma de quejas en donde los
usuarios de manera física o virtual puedan presentar las quejas pertinentes en
cuanto a la prestación de servicios y las respuestas de la Red.
En cuanto al levantamiento de los procesos catalizadores es muy importante
entender el objetivo de cada uno dentro de la organización, dejándolo claro a
todos los miembros interesados de la Red y establecer las actividades allí
propuestas dentro del manual de funciones de TI. En caso de que no se cuente
con los documentos, prácticas o desarrollos relacionados en las entradas y
salidas de cada proceso se debe hacer una evaluación y una implementación
por parte de la dirección y los involucrados en cada uno de los procesos para
establecer su viabilidad y funcionamiento dentro de la Red.
La implementación del modelo propuesto en este trabajo requiere un gran
consumo de recursos a nivel de inversión humana y tiempo, y como tal si se
desea llevar a cabo debe estar dentro de la planeación estratégica y funcional
de la Red desde el momento en que se ponga en marcha en adelante.
53
ÍNDICE DE TABLAS E ILUSTRACIONES
Ilustración 1: Principios de COBIT 5. Tomado de: COBIT 5 Un marco de negocio para
el gobierno y la gestión de las TI de la empresa ................................................................. 12
Ilustración 2: Cascada de metas de COBIT 5. Tomado de: COBIT 5 Un marco de
negocio para el gobierno y la gestión de las TI de la empresa ......................................... 13
Ilustración 3: Roles, actividades y relaciones de COBIT 5. Tomado de: COBIT 5 Un
marco de negocio para el gobierno y la gestión de las TI de la empresa ....................... 14
Ilustración 4: Áreas claves de gobierno y gestión de COBIT 5. Tomado de: COBIT 5
Un marco de negocio para el gobierno y la gestión de las TI de la empresa ................. 15
Ilustración 5: Resumen de revisión documental. ................................................................. 21
Ilustración 6: Organigrama para cumplimiento de funciones y tareas Contratistas OPS
– Red RITA ................................................................................................................................ 22
Ilustración 7: Roles, Actividades y Relaciones clave. ......................................................... 23
Ilustración 8: Roles, Actividades y Relaciones en RITA ..................................................... 23
Ilustración 9: Resumen Metodología .......................................................................................... 25
Ilustración 10: Cascada de metas de RITA .................................................................................. 28
Tabla 1: Política 4, Estrategia 4, Programa 1 PED-UD .................................... 18
Tabla 2: Proyectos estratégicos Eje 1 .............................................................. 19
Tabla 3: PMIT-PE11 ......................................................................................... 19
Tabla 4: Bases referenciales, literal d. ............................................................. 20
Tabla 5: Relación TI - Partes interesadas. ....................................................... 24
Tabla 6: Niveles de responsabilidad RACI ....................................................... 27
Tabla 7: Dimensiones del CMI ......................................................................... 32
Tabla 8: Metas relacionadas con las TI ............................................................ 36
Tabla 9: Cuadro de procesos catalizadores ..................................................... 37
Tabla 10: Ficha de caracterización de un indicador de objetivos corporativos . 42
Tabla 11: Ficha de caracterización de un indicador de objetivos de TI ............ 42
Tabla 12: Proceso catalizador de COBIT 5 aplicado a RITA ............................ 47
Tabla 13: Matriz de responsabilidades RACI para la práctica de gobierno de
COBIT .............................................................................................................. 47
54
BIBLIOGRAFÍA
Departamento Adminstrativo de la Función Pública. (2015). Guía de Auditoría
para Entidades Públicas. Bogotá.
ISACA. (2012). COBIT 5 Un Marco de Negocio para el gobierno y la gestión de
TI en la empresa. Rolling Meadows, IL: ISACA .
ISACA. (2016). ISACA. Obtenido de http://www.isaca.org/About-
ISACA/History/Espanol/Pages/default.aspx
Red de Investigaciones de Tecnología Avanzada RITA. (2016). RITA. Obtenido
de http://rita.udistrital.edu.co/index.php/acerca-de-rita/mision-vision
Sampieri, R. H. (2006). Metodologia de la investigación. México D.F: McGraw
HIll.
Torre, A. O. (s.f.). CobiT 4.0. Obtenido de http://ds5-andre-ortega-
5a.host56.com/index.html
Universidad Distrtal Francisco José de Caldas. (2006). Plan estreatégico de
desarrollo 2007 - 2016. Bogotá D.C.
Universidad Distrtal Francisco José de Caldas. (2013). Plan Maestro de
Informática y Telecomunicaciones de la Universidad Distrital Francisco
José de Caldas. Bogotá D.C.
55
Anexo 1: Fichas técnicas de indicadores de control
1.1 Indicadores de objetivos corporativos
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Objetivo de satisfacción
Periodicidad
Fuentes de información
Responsable
Porcentaje de servicios que tuvieron impacto en investigación
Servicios que tienen impacto en investigación
Líder de mesa de trabajo
FICHA TÉCNICA INDICADORES COBIT 5
Indica la cantidad porcentual de aporte de los servicios a la investigación
Generar valor e impacto para las partes interesadas de los proyectos
Porcentual
100
Semestral
Reporte de prestación de servicios
Fórmula de cálculo % STII=
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Objetivo de satisfacción
Periodicidad
Fuentes de información
Responsable
FICHA TÉCNICA INDICADORES COBIT 5
Porcentaje de servicios que fueron aprobados
Servicios aprobados
Indica la cantidad porcentual de servicios aprobados para su ejecución en la Red
Generar valor e impacto para las partes interesadas de los proyectos
Fórmula de cálculo
Porcentual
Semestral
Solicitudes de servicio
Líder de mesa de trabajo
100
% SA=
56
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Objetivo de satisfacción
Periodicidad
Fuentes de información
Responsable
FICHA TÉCNICA INDICADORES COBIT 5
Porcentaje de servicios que cumplieron las expectativas de los usuarios
Servicios que cumplieron las expectativas de los usuarios
Indica la cantidad porcentual de servicios que cumplieron las expectativas
según las encuestas de servicio
Cartera de servicios
Fórmula de cálculo
Porcentual
Semestral
Encuestas de los servicios
Líder de mesa de trabajo
100
% SS=
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Objetivo de satisfacción
Periodicidad
Fuentes de información
Responsable
FICHA TÉCNICA INDICADORES COBIT 5
Porcentaje de servicios que fueron solicitados y finalizados
Servicios solicitados
Indica la cantidad porcentual de servicios que fueron finalizados
Cartera de servicios
Fórmula de cálculo
Porcentual
100
Reporte de prestación de servicios
Líder de mesa de trabajo
Semestral
% SSF=
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Objetivo de satisfacción
Periodicidad
Fuentes de información
Responsable
FICHA TÉCNICA INDICADORES COBIT 5Número de servicios en los que se presentó incumplimiento de leyes y
regulaciones externas
Servicios que tienen impacto en leyes y regulaciones externas
Indica la cantidad nominal de servicios que incumplieron una o más leyes y/o
regulaciones externas
0
Cumplimiento de leyes y regulaciones externas
Fórmula de cálculo
Nominal
Semestral
Reporte de prestación de servicios
Líder de mesa de trabajo
ILR= Cantidad de servicios con incumplimiento de regulaciones y leyes externas
57
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Objetivo de satisfacción
Periodicidad
Fuentes de información
Responsable
Semestral
Solicitudes de servicio
FICHA TÉCNICA INDICADORES COBIT 5
Nivel de satisfaccion con las respuestas de RITA a nuevos requerimientos
Cantidad de Usuarios
Indica la cantidad porcentual de usuarios que responden satisfactoriamente a
los cambios de la Red en cumplimiento de las solicitudes presentadas por los
mismos
Respuestas agiles a un entorno cambiante
Líder de mesa de trabajo
Fórmula de cálculo
Porcentual
100
% SNR=
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Objetivo de satisfacción
Periodicidad
Fuentes de información
Responsable
Semestral
Agenda de reuniones de la dirección
Lider de gestión
Objetivos estratégicos
Indica el tiempo promedio de respuesta de la red para el diseño, modificación y
aprobación de objetivos estratégicos
Respuestas agiles a un entorno cambiante
Fórmula de cálculo
Numeral
FICHA TÉCNICA INDICADORES COBIT 5
Tiempo promedio para acordar y aprobar un objetivo estratégico de RITA
Tprom Obj=
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Objetivo de satisfacción
Periodicidad
Fuentes de información
Responsable
Continuidad y disponibilidad del servicio
Interrupciones de servicio
FICHA TÉCNICA INDICADORES COBIT 5
Número de interrupciones del servicio causantes de incidentes significativos
Semestral
Reporte de prestación de servicios
Líder de mesa de trabajo
Indica la cantidad nominal de sucesos en los que se presenta interrupciones de
servicio
0
Fórmula de cálculo
Numeral
IS= Cantidad de servicios interrumpidos
58
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Objetivo de satisfacción
Periodicidad
Fuentes de información
Responsable Líder de mesa de trabajo
FICHA TÉCNICA INDICADORES COBIT 5
Porcentaje de no prestación del servicio por falta de disponibilidad
Número de servicios no prestados por falta de disponibilidad
Indica la cantidad porcentual de servicios que no se prestan porque no hay
Continuidad y disponibilidad del servicio
Fórmula de cálculo
Porcentual
Semestral
Reporte de prestación de servicios
0
% QND=
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Objetivo de satisfacción
Periodicidad
Fuentes de información
Responsable
FICHA TÉCNICA INDICADORES COBIT 5
Frecuencia de evaluación de la madurez de la capacidad de los servicios
Capacidad de los servicios de la red
Indica la frecuencia del seguimiento que se le hace a los servicios de la RED
Optimización de la funcionalidad de los servicios
Fórmula de cálculo
Temporal
Semestral
Reporte de prestación de servicios
Líder de gestión
FEMCS= Frecuencia de evaluación de la madurez de la capacidad
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Objetivo de satisfacción
Periodicidad
Fuentes de información
Responsable
FICHA TÉCNICA INDICADORES COBIT 5
Número de quejas de los usuarios
Quejas de los usuarios
Indica la cantidad de quejas reportadas por los usuarios
Cultura de servicio orientada al cliente
Fórmula de cálculo
Nominal
0
Semestral
Reporte de prestación de servicios
Líder de mesa de trabajo
NQU= Numero de quejas de los usuarios
59
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Objetivo de satisfacción
Periodicidad
Fuentes de información
Responsable
FICHA TÉCNICA INDICADORES COBIT 5
Tendencia de los resultados de evaluación
Porcentaje usuarios satisfechos
Indica el nivel de satisfacción de los usuarios en el periodo de evaluación
Optimización de la funcionalidad de los servicios
Fórmula de cálculo
Nominal
Cifra positiva o igual a cero
Semestral
Encuesta de satisfacción
Líder de mesa de trabajo
TS=Porcentaje usuarios satisfechos- Porcentaje usuarios satisfechos periodo anterior
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Objetivo de satisfacción
Periodicidad
Fuentes de información
Responsable
FICHA TÉCNICA INDICADORES COBIT 5
Número de servicios interrumpidos debido a incidentes relacionados con IT
Servicios de la Red
Indica la cantidad de servicios interrumpidos debido a fallas de TI
Cultura de servicio orientada al cliente
Fórmula de cálculo
Nominal
0
Semestral
Reporte de prestación de servicios
Líder de mesa de trabajo
NSIIT = Número de servicios interrumpidos debido a incidentes relacionados con IT
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Objetivo de satisfacción
Periodicidad
Fuentes de información
Responsable
Nominal
Semestral
Reporte de prestación de servicios
Líder de mesa de trabajo
Tendencia de las quejas de los usuarios
FICHA TÉCNICA INDICADORES COBIT 5
Porcentaje de quejas de los usuarios
Indica el nivel de satisfacción de los usuarios en el periodo de evaluación
Cultura de servicio orientada al cliente
Fórmula de cálculo TS=(Número de quejas- Número de quejas del periodo anterior) /Total de servicios prestados en el periodo ant.
60
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Objetivo de satisfacción
Periodicidad
Fuentes de información
Responsable
FICHA TÉCNICA INDICADORES COBIT 5
Número de servicios prestados a tiempo
Servicios de la red
Indica la productividad y efectividad de los servicios de la red
Productividad operacional y de los empleados
Fórmula de cálculo
Porcentual
100
Semestral
Reporte de prestación de servicios
Líder de mesa de trabajo
PO=
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Objetivo de satisfacción
Periodicidad
Fuentes de información
Responsable
FICHA TÉCNICA INDICADORES COBIT 5
Número de incidentes relacionados al incumplimiento de politicas internas
Servicios que tienen impacto en leyes y regulaciones internas
Indica la cantidad nominal de servicios que incumplieron una o más políticas
internas
Cumplimiento de políticas internas
Fórmula de cálculo
Nominal
0
Semestral
Reporte de prestación de servicios
Líder de mesa de trabajo
ILR= Cantidad de servicios con incumplimiento de políticas internas
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Objetivo de satisfacción
Periodicidad
Fuentes de información
Responsable
FICHA TÉCNICA INDICADORES COBIT 5
Porcentaje de interesados que comprenden las politicas internas
Incidentes relacionados a políticas internasIndica la cantidad porcentual de incidentes en la red relacionados al
desconocimieno u omision de las políticas internas
Cumplimiento con las políticas internas
Fórmula de cálculo
Porcentual
100
Semestral
Encuesta de motivación y capacitación
Líder de mesa de trabajo
PI=
61
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Objetivo de satisfacción
Periodicidad
Fuentes de información
Responsable
FICHA TÉCNICA INDICADORES COBIT 5
Porcentaje de preparacion del personal
Integrantes del equipo de trabajo de la redIndica la cantidad porcentual de empleados con formación académica
pertinente
Personas preparadas
Fórmula de cálculo
Porcentual
Semestral
Curriculum Vitae
Coordinador
PI=
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Objetivo de satisfacción
Periodicidad
Fuentes de información
Responsable
Porcentual
100
Semestral
Encuesta de motivación
Coordinador
FICHA TÉCNICA INDICADORES COBIT 5
Porcentaje de motivación
Equipo de trabajo de la red
Indica el porcentaje de personas motivadas en la red con respecto al total de
colaboradores
Personas motivadas
Fórmula de cálculo M=
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Objetivo de satisfacción
Periodicidad
Fuentes de información
Responsable
FICHA TÉCNICA INDICADORES COBIT 5
Nominal
Semestral
Proyectos de servicio
Líder de mesa de trabajo
Número de nuevas ideas aplicadas a la prestación de los servicios
Ideas propuestas
Indica la cantidad nominal de ideas presentadas y aprobadas relacionados a los
servicios y operacipon de la red
Cultura de innovación de servicios
Fórmula de cálculo NNI=Número de nuevas ideas aplicadas a la prestación de servicios
62
1.2 Indicadores de objetivos de TI
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Periodicidad
Fuentes de información
Responsable
FICHA TÉCNICA INDICADORES COBIT 5
Indica la cantidad porcentual de aporte de las TI a los objetivos corporativos
Alineamiento de TI y el enfoque misional de RITA
Porcentual
Anual
Direccionamiento estratégico
Fórmula de cálculo
Porcentaje de obejtivos corporativos y requerimientos sustentados por
objetivos de TI
Objetivos corporativos sustentados en TI
Líder de gestión
% OCSTI=
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Objetivo de satisfacción
Periodicidad
Fuentes de información
Responsable
FICHA TÉCNICA INDICADORES COBIT 5
Nivel de satisfacción de la dirección con el alcance del portafolio de servicios
Servicios prestados
Indica la cantidad porcentual de servicios prestados según lo planeado
Generar valor e impacto para las partes interesadas de los proyectos
Fórmula de cálculo
Porcentual
Semestral
Reporte de prestación de servicios
100
Líder de mesa de trabajo
% S
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Objetivo de satisfacción
Periodicidad
Fuentes de información
Responsable
Historial de sanciones o quejas
0
Lider de gestión
FICHA TÉCNICA INDICADORES COBIT 5Número de servicios relacionados con TI en los que se presentó
incumplimiento
Servicios en los que se presento incumplimiento de las regualciones externas
Indica la cantidad de servicios que no estan cumpliendo las regulaciones y
leyes externasCumplimiento y soporte de TI al cumplimiento de las leyes y regulaciones
externas
Fórmula de cálculo
Nominal
Semestral
NSSIRE=Número de servicios en los que se presento incumplimiento de leyes y regulaciones externas
63
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Objetivo de satisfacción
Periodicidad
Fuentes de información
Responsable
FICHA TÉCNICA INDICADORES COBIT 5
Porcentaje de decisiones de TI claramente definidas que son responsabilidad
de la dirección
Decisiones tomadas por la dirección referentes a TIIndica la cantidad porcentual de aporte de la dirección a las decisiones
referentes a TI
Compromiso de la dirección para tomar decisiones relacionadas con TI
Fórmula de cálculo
Porcentual
Semestral
Actas de reunion de la dirección
Líder de gestión
100
% DRD=
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Periodicidad
Fuentes de información
Responsable
Fórmula de cálculo
Semestral
Agenda de reuniones de la dirección
Líder de gestión
Participación de TI en la mesa directiva
Indica la cantidad de veces que TI esta en la agenda de la dirección
Compromiso de la dirección para tomar decisiones relacionadas con TI
Nominal
FICHA TÉCNICA INDICADORES COBIT 5Número de veces que TI esta en la agenda de la mesa directiva de manera
proactiva
NTID=Número de veces que TI esta en la agenda de la dirección
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Fuentes de información
Responsable
Agenda de reuniones del equipo de TI
Líder de gestión
FICHA TÉCNICA INDICADORES COBIT 5
Frecuencia de reuniones del equipo relacionado con TI
Reuniones del equipo TI
Indica la frecuencia con que se reune el equipo de TI
Compromiso de la dirección para tomar decisiones relacionadas con TI
Fórmula de cálculo
Temporal
FRTI=Frecuencia de las reuniones del equipo de TI
64
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Objetivo de satisfacción
Periodicidad
Fuentes de información
Responsable
Porcentual
100
Semestral
Matriz de riesgo
Líder de mesa de trabajo
FICHA TÉCNICA INDICADORES COBIT 5
Porcentaje de servicios relacionados con TI que tienen evaluación del riesgo
Servicios de TI evaluados
Indica la cantidad porcentual de servicios de TI que son evaluados
Gestión de riesgos del servicio relacionados con las TI
Fórmula de cálculo %STIER=
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Objetivo de satisfacción
Periodicidad
Fuentes de información
Responsable
Matriz de riesgo
Líder de gestión
FICHA TÉCNICA INDICADORES COBIT 5
Número de incidentes significativos relacionados con TI que no fueron
identificados en la evaluación
Gestión de riesgos del servicio relacionados con las TI
Fórmula de cálculo
Nominal
0
Semestral
Incidentes no evaluados Indica la cantidad de incidentes que no se tuvieron en cuenta en la evaluación
de riesgo
INTE=Número de incidentes relacionados con TI no identificados en la evaluación de riesgo
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Fuentes de información
Responsable
Frecuencia de actualización del perfil del riesgo
Actualizaciones del perfil de riesgo
Indica la frecuencia de actualizaciones del perfil de riesgo
Gestión de riesgos del servicio relacionados con las TI
Fórmula de cálculo
Temporal
Perfiles de riesgo
Líder de gestión
FICHA TÉCNICA INDICADORES COBIT 5
FAPR=Frecuencia de actualizaciones del perfil de riesgo
65
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Objetivo de satisfacción
Periodicidad
Fuentes de información
Responsable
Porcentual
100
Semestral
Reporte de servicios prestados
Líder de mesa de trabajo
Entrega de programas que proporcionen beneficios a tiempo satisfaciendo los
requisitos y normas de calidad
Fórmula de cálculo
FICHA TÉCNICA INDICADORES COBIT 5
Porcentaje de servicio prestados a tiempo
Servicios prestados a tiempo
Indica el porcentaje de servicios prestados según lo planeado
PSPSP=
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Objetivo de satisfacción
Periodicidad
Fuentes de información
Responsable
Entrega de programas que proporcionen beneficios a tiempo satisfaciendo los
requisitos y normas de calidad
Fórmula de cálculo
Porcentual
100
Semestral
Encuestas de satisfacción del cliente
Líder de mesa de trabajo
FICHA TÉCNICA INDICADORES COBIT 5
Porcentaje de satisfacción del Usuario
Número de encuestas calificadas positivamente
Indica el porcentaje de clientes satisfechos con el tiempo y costo de los
PSC=
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Objetivo de satisfacción
Periodicidad
Fuentes de información
Responsable
Porcentaje de servicios que se interrumpen o repiten por fallas de TI
Servicios que se interrumpen o repiten por fallas de TI
Indica el porcentaje de servicios que se repiten o interrumpen por fallas de TI
Entrega de programas que proporcionen beneficios a tiempo satisfaciendo los
requisitos y normas de calidad
Fórmula de cálculo
Porcentual
Reporte de servicios prestados
Líder de mesa de trabajo
0
Semestral
FICHA TÉCNICA INDICADORES COBIT 5
PSRFTI=
66
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Objetivo de satisfacción
Periodicidad
Fuentes de información
Responsable
Porcentual
100
Semestral
Encuestas de satisfacción
Líder de mesa de trabajo
Disponibilidad de información útil y relevante para la toma de decisiones
Fórmula de cálculo
FICHA TÉCNICA INDICADORES COBIT 5Nivel de satisfacción del usuario con la calidad y disponibilidad de la
información gestionadaNúmero de encuestas calificadas positivamente a nivel de gestión de la
información
Indica el porcentaje de satsifacción del cliente con la gestión de la información
SCGI=
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Objetivo de satisfacción
Periodicidad
Fuentes de información
Responsable
Disponibilidad de información útil y relevante para la toma de decisiones
Fórmula de cálculo
Nominal
0
Semestral
Reporte de servicios prestados
Líder de mesa de trabajo
FICHA TÉCNICA INDICADORES COBIT 5
Número de incidentes causados por no disponibilidad de la información
Número de incidentes causados por no disponibilidad de la información
Indica la cantidad de incidentes causados por una mala gestion de la
información
NINDI=Número de incidentes causados por no disponibilidad de la información
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Objetivo de satisfacción
Periodicidad
Fuentes de información
Responsable
100
Semestral
FICHA TÉCNICA INDICADORES COBIT 5
Porcentaje de proyectos de Ti en los que el impacto es monitoreado a traves
de todo su ciclo de vida
Número de proyectos de TI monitoreados
Indica el porcentaje de proyectos de TI monitoreados
Beneficio del impacto del portafolio de servicios relacionado con las TI
Fórmula de cálculo
Porcentual
Reporte de servicios prestados
Líder de mesa de trabajo
PPTIM=
67
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Periodicidad
Fuentes de información
Responsable
Porcentual
Semestral
Reporte de servicios prestados
Líder de mesa de trabajo
Beneficio del impacto del portafolio de servicios relacionado con las TI
Fórmula de cálculo
FICHA TÉCNICA INDICADORES COBIT 5
Porcentaje de servicios de TI que generaron el impacto esperado
Número de proyectos de TI que generaron reconocimiento académico
Indica el porcentaje de proyectos de TI que generaron impacto a nivel
PSGI=
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Objetivo de satisfacción
Periodicidad
Fuentes de información
Responsable
Entrega de servicios de TI de acuerdo a los requisitos
Fórmula de cálculo
Nominal
Semestral
Bitacora de funcionamiento de la red
Líder de gestión
0
FICHA TÉCNICA INDICADORES COBIT 5Número de interrupciones de la actividad de la red debido a incidentes
relacionados con TI
Número de interrupciones debido a incidentes de TI
Indica la cantidad de interrupciones por incidentes con la TI
NITI=
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Objetivo de satisfacción
Periodicidad
Fuentes de información
Responsable
100
Semestral
FICHA TÉCNICA INDICADORES COBIT 5
Nivel de satisfaccion con las respuestas de RITA a nuevos requerimientos en TI
Número de usuarios satisfechos con el cumplimiento de los nuevos
requerimientos en TI
Indica el porcentaje de usuarios con nuevos requerimientos satisfechos
Agilidad de las TI
Fórmula de cálculo
Porcentual
Encuestas de satisfacción del cliente
Líder de gestión
%SRNR=
68
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Periodicidad
Fuentes de información
Responsable
Porcentual
Semestral
Agenda de reuniones de la dirección
Líder de gestión
Agilidad de las TI
Fórmula de cálculo
FICHA TÉCNICA INDICADORES COBIT 5
Tiempo promedio para acordar y aprobar un objetivo estratégico relacionado
con TI de RITA
Tiempos de aprobación de objetivos estrategicos
Indica el tiempo promedio de acuerdo y aprobación de objetivos estratégicos
%TpromIO=
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Objetivo de satisfacción
Periodicidad
Fuentes de información
Responsable
Seguridad de la información, infraestructuras de procesamiento y aplicaciones
Fórmula de cálculo
Nominal
Semestral
Reporte de prestación de servicios
Líder de mesa de trabajo
0
FICHA TÉCNICA INDICADORES COBIT 5
Número de incidentes de seguridad causantes de perdidas financieras,
interrupciòn de los servicios o vergüenza pùblica
Número de incidentes de seguridad causantes de perdidas financieras
Indica la cantidad de incidentes de seguridad que afectan el funcionamiento
de la red
NIS=Número de incidentes de seguridad causantes de pérdidas financieras,
interrupción de los servicios o vergüenza pública
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Objetivo de satisfacción
Periodicidad
Fuentes de información
Responsable
Reporte de gestión de la seguridad
Líder de gestión
Nominal
0
Semestral
Tiempo de concesion, cambio y eliminacion de privilegios de acceso
Tiempo de concesión, cambio o eliminación de privilegios de acceso
Indica el tiempo de mas utilizado para cambiar, añadir o eliminar privilegios de
acceso a la información
Seguridad de la información, infraestructuras de procesamiento y aplicaciones
Fórmula de cálculo
FICHA TÉCNICA INDICADORES COBIT 5
TCPS=Tiempo real de cambio, concesion o eliminacion de privilegios de acceso- Tiempo estimado
69
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Objetivo de satisfacción
Periodicidad
Fuentes de información
Responsable
Porcentual
100
Semestral
Reporte de servicios
Líder de mesas de trabajo
FICHA TÉCNICA INDICADORES COBIT 5Nivel de satisfacciòn de la alta dirección de RITA y de TI con costes y
capacidades TI.
Costes y capacidades TI
Indica el nivel de satsifacción de la direccion con los costos y capacidades de TI
Optimización de infraestructura, recursos y capacidades de las TI
Fórmula de cálculo NSCC=
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Objetivo de satisfacción
Periodicidad
Fuentes de información
Responsable
Capacitación y soporte de procesos integrando aplicaciones y tecnología
Fórmula de cálculo
Nominal
0
Semestral
Reporte de servicios
Líder de mesas de trabajo
FICHA TÉCNICA INDICADORES COBIT 5
Número de incidentes ocurridos en los servicios causados por errores de
integración de la tecnología
Número de incidentes ocurridos en los servicios causados por errores de
integración de la tecnología
Indica la cantidad de incidentes causados por errores de integración
NIEI=Número de incidentes ocurridos en los servicios causados por errores de integración de la tecnología
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Objetivo de satisfacción
Periodicidad
Fuentes de información
Responsable
Reporte de servicios
Líder de mesas de trabajo
Nominal
0
Semestral
Número de cambios en las actividades de los servicios retrasados o revisados
debido a problemas de integración de la tecnología.
Número de servicios revisados o retrasados
Indica la cantidad de servicios retrasados o revisados
Capacitación y soporte de procesos integrando aplicaciones y tecnología
Fórmula de cálculo
FICHA TÉCNICA INDICADORES COBIT 5
NIEI=Número de cambios en las actividades de los servicios retrasados o revisados debido a un problema de integración de la tecnología
70
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Objetivo de satisfacción
Periodicidad
Fuentes de información
Responsable
Nominal
0
Semestral
Reporte de servicios
Líder de mesas de trabajo
FICHA TÉCNICA INDICADORES COBIT 5
Número de incidentes relacionados con el incumplimiento de politicas
Número de incidentes relacionados con el incumplimiento de politicas
Indica la cantidad de incidentes relacionados con el incumplimiento de
Cumplimiento de TI con las políticas internas
Fórmula de cálculo NIIC=Número de incidentes relacionados con el incumplimiento de
politicas
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Objetivo de satisfacción
Periodicidad
Fuentes de información
Responsable
Agenda de reuniones de la red
Líder de gestión
FICHA TÉCNICA INDICADORES COBIT 5
Porcentaje de interesados que entienden las políticas
Número de interesados que entienden las políticas
Cumplimiento de TI con las políticas internas
Fórmula de cálculo
Porcentual
100
Semestral
Indica el porcentaje de interesados que entienden las politicas
%IEP=
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Objetivo de satisfacción
Periodicidad
Fuentes de información
Responsable
Indica la cantidad porcentual de empleados con formación académica
Personas preparadas
Semestral
Curriculum Vitae
Coordinador
Porcentual
FICHA TÉCNICA INDICADORES COBIT 5
Fórmula de cálculo
Porcentaje de preparacion de los empleados
Integrantes del equipo de trabajo de la red
PI=
71
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Objetivo de satisfacción
Periodicidad
Fuentes de información
Responsable
Encuesta de motivación
Coordinador
Porcentual
100
Semestral
Porcentaje de motivación
Equipo de trabajo de la redIndica el porcentaje de personas motivadas en la red con respecto al total de
colaboradores
Personas motivadas
Fórmula de cálculo
FICHA TÉCNICA INDICADORES COBIT 5
M=
Nombre del indicador
Variables
Descripción
Objetivo a evaluar
Unidad de medición
Objetivo de satisfacción
Periodicidad
Fuentes de información
Responsable Líder de mesa de trabajo
FICHA TÉCNICA INDICADORES COBIT 5
Número de nuevas ideas aplicadas a la prestación de los servicios
Ideas propuestas
Nominal
Semestral
Proyectos de servicio
Indica la cantidad nominal de ideas presentadas y aprobadas relacionados a los
Cultura de innovación de servicios
Fórmula de cálculoNNIA=Número de nuevas ideas de TI aplicadas
72
Anexo 2: Procesos catalizadores COBIT 5 y matrices RACI
EDM01: Asegurar el establecimiento y mantenimiento del marco de
gobierno
Garantizar que el sistema de gobierno de TI
está incorporado a la mesa directiva
1. Número de veces que TI esta en la agenda de la mesa directiva de manera
proactiva
2. Porcentaje de proyectos de Ti en los que el impacto es monitoreado a
través de todo su ciclo de vida
Obtener garantías de que el sistema de
gobierno para TI está operando de manera
efectiva
1.Frecuencia del reporte del lider de TI a la mesa directiva de la Red
Meta del proceso Métricas relacionadas
Crear un modelo estratégico de toma de
desiciones para que las TI sean efectivas y
estén alineadas con el entorno y los
requerimientos de las partes interesadas
1. Tiempo promedio para acordar y aprobar un objetivo estratégico
relacionado con TI de RITA
2. Porcentaje de satisfacción del usuario
Meta de TI Métricas relacionadas
Alineamiento de TI y el enfoque misional de
RITA
1. Porcentaje de objetivos corporativos y requerimientos sustentados por
objetivos de TI
2. Nivel de satisfacción de la dirección con el alcance del portafolio de
servicios
Compromiso de la dirección para tomar
decisiones relacionadas con TI
1. Porcentaje de decisiones de TI claramente definidas que son
responsabilidad de la dirección
2. Número de veces que TI esta en la agenda de la mesa directiva de manera
proactiva
3. Frecuencia de reuniones del equipo relacionado con TI
Proceso COBIT: EDM01 Asegurar el establecimiento y
mantenimiento del marco de gobierno
Area: Gobierno
Dominio: Evaluar, orientar y supervisar
Descripción del proceso: Analiza y articula los requerimientos para el gobierno de TI en RITA con claridad de las
responsabilidades y la autoridad para alcanzar la misión, las metas y objetivos de la Red
Declaración del propósito del proceso: Proporcionar un enfoque consistente, integrado y alineado con el alcance de
gobierno de la Red
El proceso apoya la consecución de un conjunto de principales metas de TI:
Beneficio del impacto del portafolio de
servicios relacionado con las TI
1. Porcentaje de proyectos de TI en los que el impacto es monitoreado a
través de todo su ciclo de vida
2. Porcentaje de servicios de TI que generaron el impacto esperado
Metas y Métricas del proceso
73
6. Articular los principios que guiarán el diseño de la toma de decisiones sobre el gobierno de TI
7. Comprender la cultura de toma de decisiones y determinar un modelo óptimo para TI
8. Determinar los niveles apropiados para la delegación de autoridad para las decisiones de TI
Actividades
1. Analizar e identificar los factores del entorno y tendencias que pueden influir en el diseño del gobierno
2. Determinar la relevancia de TI y su papel respecto al negocio
3. Considerar las reguaciones externas y obligaciones legales y determinar cómo deben ser aplicadas en el gobierno de TI
4. Alinear el uso y el procesamiento ético de la información y su impacto en la sociedad con los objetivos, visión y dirección
de la empresa
5. Determinar las implicaciones del control de la Red con respecto a TI
Evaluar el sistema de gobierno.
Identificar y comprometerse continuamente
con las partes interesadas de la Red y realizar
una estimación del actual y futuro diseño del
gobierno de TI
Descripción Descripción
Comunicaciones de los
requerimientos de cumplimiento
modificados
Principios directrices del gobierno de
la Red
1. Tendencias del entorno
2. Regulaciones
3. Modelo de toma de decisiones
4. Constitución, normas de la Red
Modelo de toma de desiciones
Niveles de autoridad
Proceso COBIT, Prácticas, Actividades y entradas/salidas del proceso
Práctica de Gobierno Entradas Salidas
4. Mantener la supervisión sobre el punto hasta el que TI satisface las obligaciones, políticas y estándares
5. Proporcionar supervisión de la efectividad de TI y el cumplimiento con el sistema de control de la Red
6. Supervisar los mecanismos regulados para garantizar que el uso de TI cumple con las obligaciones relevantes
Informes sobre no cumplimientoObligaciones
Actividades
1. Evaluar la efectividad y rendimiento de las partes interesadas en la que se ha delegado responsabilidad y autoridad para
2. Evaluar periodicamente si los mecanismos para TI acordados están establecidos y operando
3. Evaluar la efectividad del diseño del gobierno e identificar las acciones para rectificar cualquier desviación
Supervisar el sistema de gobierno.
Supervisar la ejecución y la efectividad del
gobierno de TI. Analizar si el sistema de
gobierno y los mecanismos implementados
estan operando de forma efectiva y
proporcionan una supervision apropiada de TI.
Descripción Descripción
Informes de servicios
Retroalimentación sobre el
rendimiento y efectividad del
gobierno
Estado y resultado de las acciones
Resultados del control interno
Resultados de las autoevaluaciones
Planes de aseguramiento
Confirmaciones de cumplimiento
1. Comunicar los principios del gobierno de TI
2. Establecer o delegar el establecimiento de las estructuras, procesos y practicas del gobierno en linea con los principios
acordados
3. Asignar responsabilidad y autoridad para que se apliquen los principios de diseño de gobierno y los modelos de toma de
decision acordados
4. Garantizar que los mecanismos de comunicación proporcionan información adecuadaa aquellos con la responsabilidad de
supervision y toma de decisiones
Práctica de Gobierno Entradas Salidas
Orientar el sistema de servicio
Informar a los líderes y obtener su apoyo, su
aceptación y compromiso. Guiar las
estructuras, procesos y prácticas para el
gobierno de TI en línea con lo diseñado por el
gobierno. Definir la información necesaria
para una toma de desiciones informadas.
Descripción Descripción
Orientar el sistema de servicioComunicaciones del gobierno de la
empresa
Actividades
Práctica de Gobierno Entradas Salidas
74
Matriz RACI:
I I I I
I I
Supervisar el
sistema de R R I RI I
Orientar el
sistema de R R I RI I I I
Líd
er d
e se
rvic
ios
acad
émic
os
Líd
er d
e se
rvic
ios
de
con
ecti
vid
ad
Enca
rgad
o d
e C
alid
ad
Evaluar el sistema
de gobiernoR R RC
Practica clave
de GobiernoD
irec
tor
de
la R
ed
Co
ord
inad
or
de
la
Red
Lid
er e
n g
esti
ón
de
pro
yect
os
Líd
er t
écn
ico
Líd
er d
e TI
Líd
er e
n s
oci
aliz
ació
n
y d
ivu
lgac
ión
Líd
er d
e se
rvic
ios
mu
ltim
edia
Líd
er e
n in
gen
ierí
a d
e
soft
war
e
75
EDM02: Asegurar la entrega de beneficios
Metas y Métricas del proceso
Valor óptimo de la inversión en TI
gestionando los recursos de la red
Las inversiones individuales de TI contribuyen
al objeto de la red
1. Nivel de satisfacciòn de la alta dirección de RITA y de TI con costes y
capacidades TI.
2. Nivel de satisfaccion con las respuestas de RITA a nuevos requerimientos
en TI
1. Porcentaje de proyectos de Ti en los que el impacto es monitoreado a
través de todo su ciclo de vida
2. Porcentaje de servicios de TI que generaron el impacto esperado
1. Porcentaje de proyectos de Ti en los que el impacto es monitoreado a
través de todo su ciclo de vida
2. Porcentaje de servicios de TI que generaron el impacto esperado
La empresa esta generando un beneficio
óptimo de su portafolio de iniciativas TI,
servicios y activos aprobados
Meta del proceso
Conocimiento, experiencia e iniciativas para la
innovación 1. Número de nuevas ideas aplicadas a la prestación de los servicios
Proceso COBIT: EDM02 Asegurar la entrega de beneficios Area: Gobierno
Dominio: Evaluar, orientar y supervisar
Descripción del proceso: Optimizar la contribución al valor de la red desde los servicios corporativos, servicios de TI y activos
de TI, resultado de la inversión realizada por TI con unos costes aceptables
Declaración del propósito del proceso: Asegurar un valor óptimo de las iniciativas de TI, servicios y activos disponibles; una
entrega que sea eficiente de los servicios y soluciones de manera que las necesidades de la red sean soportadas efectiva y
eficientemente.
El proceso apoya la consecución de un conjunto de principales metas de TI:
Beneficio del impacto del portafolio de
servicios relacionado con las TI
Entrega de servicios de TI de acuerdo a los
requisitos
1. Porcentaje de obejtivos corporativos y requerimientos sustentados por
objetivos de TI
2. Nivel de satisfacción de la dirección con el alcance del portafolio de
servicios
1. Porcentaje de proyectos de TI en los que el impacto es monitoreado a
través de todo su ciclo de vida
2. Porcentaje de servicios de TI que generaron el impacto esperado
1. Número de interrupciones de la actividad de la red debido a incidentes
relacionados con TI
Meta de TI Métricas relacionadas
Alineamiento de TI y el enfoque misional de
RITA
Métricas relacionadas
Evaluar la optimización de beneficio.
Evaluar continuamente las inversiones,
servicios y activos del portafolio de TI para
determinar la probabilidad de alcanzar los
objetivos de la empresa y generar beneficio a
un coste razonable. Identificar y juzgar
cualquier cambio a la direccion que se le debe
dar a la gestión para optimizar la creación de
impacto.
Expectativas del impacto a generar
Resultados de generación de impacto
y comunicación relacionada
Resultados en las revisiones de los
cambios de fase
Evaluación de la alineación
estratégica
Descripción Descripción
Evaluación del portafolio de servicios
Hoja de ruta estratégica
1.Comprender los requerimientos de las partes interesadas, temas estratégicos de TI y entender la importancia actual y
potencial de TI para la estrategia de la red
2. Comprender los elementos claves de gobierno para garantizar un beneficio y coste óptimo por los servicios de TI3. Compender y discutir los cambios habilitados en la empresa por tecnologias actuales, nuevas o emergentes y optimizar el
impacto que generan estas oportunidades
4. Comprender lo que se entiende por beneficio en la empresa y considerar cómo se ha comunicado, comprendido y aplicado
Actividades
Proceso COBIT, Prácticas, Actividades y entradas/salidas del proceso
Práctica de Gobierno Entradas Salidas
5. Evaluar la efectividad de la integración y alineamiento de las metas de TI con las metas corporativas de la red
7. Evaluar la efectividad del portafolio de TI con todos los objetivos y servicios de la red
6. Comprender y considerar la efectividad de los roles, responsabilidades y organismos de toma de decisiones para generar
beneficio mediante las TI
76
Matriz RACI:
2. Definir los requerimientos para el cambio de fase.
3. Orientar la direccion para considerar usos potenciales de TI innovadoras que posibiliten que la red responda a nuevas
oportunidades y desafios.
4. Orientar los cambios necesarios en la asignacion de responsabilidades en la ejecucion del portafolio de servicios.
Práctica de Gobierno Entradas Salidas
1. Definir un conjunto equilibrado de metas de desempeño, Métricas y puntos de referencia. Las Métricas deberian cubrir la
actividad y la medida de los resultados. Revisarlos y acordarlos con las funciones de TI y de negocio.
2. Recoger los datos pertinentes, oportunos, completos, fiables y precisos para informar sobre avances en la entrega de
beneficio respecto a los objetivos
3. Conseguir informes habituales y relevantes de la cartera, programa y desempeño de TI. Asegurar que se estan logrando
los objetivos planeados
4. Tomar las medidas de gestion apropiadas según sea necesario par aoptimizar la entrega de beneficio
5. Asegurarse que las medidas correctivas apropiadas son iniciadas y controladas
Supervisar la optimización de beneficio.
Supervisar los indicadores clave y sus Métricas
para determinar el grado en que el negocio
esta generando el beneficio previsto de los
servicios e inversiones TI. Identificar los
problemas significativos y considerar las
acciones correctivas.
Actividades
1. Definir y comunicar las inversiones de TI que permitan una efectiva medición del beneficio
Requerimientos para las revisiones
de cambio de faseOrientar la optimización de beneficio
Actividades
Descripción Descripción
5. Definir y comunicar los objetivos de generación de impacto y las medidas de resultados
6. Orientar los cambios necesarios en las inversiones en TI para realinearlos con los objetivos corporativos de la red
7. Recomendar la consideracion de innovaciones potenciales desde las iniciativas TI
Práctica de Gobierno Entradas Salidas
Orientar la optimización de beneficio
Orientar los principios y las prácticas de
gestión del beneficio para optimizar las
inversiones de TI a lo largo de todo su ciclo de
vida.
Descripción Descripción
Informes de rendimiento de la cartera
de inversiones
Comentarios sobre el beneficio de la
cartera y del programa
Acciones para mejorar la entrega del
beneficio
R
R
Evaluar la
optimizacion del
beneficioOrientar la
optimizacion del
beneficioSupervisar la
optimizacion del
beneficio
Practica clave
de Gobierno
R
R
R
Dir
ecto
r d
e la
Red
I I
R C
CR C
I R I I I I I
Enca
rgad
o d
e
Cal
idad
Co
ord
inad
or
de
la
Red
Lid
er e
n g
esti
ón
de
pro
yect
os
Líd
er t
écn
ico
Líd
er d
e TI
Líd
er e
n
soci
aliz
ació
n y
div
ulg
ació
n
C
Líd
er d
e se
rvic
ios
mu
ltim
edia
Líd
er e
n in
gen
ierí
a
de
soft
war
e
R
Líd
er d
e se
rvic
ios
acad
émic
os
Líd
er d
e se
rvic
ios
de
con
ecti
vid
ad
77
EDM03: Asegurar la optimización del riesgo
Meta de TI Métricas relacionadas
Gestión de riesgos del servicio relacionados
con las TI
1. Porcentaje de servicios relacionados con TI que tienen evaluación del
riesgo
2. Número de incidentes significativos relacionados con TI que no fueron
identificados en la evaluación
3. Frecuencia de la actualización del perfil de riesgo
Seguridad de la información, infraestructuras
de procesamiento y aplicaciones
1. Número de incidentes de seguridad causantes de perdidas financieras,
interrupción de los servicios o vergüenza pública
2. Tiempo de concesión, cambio y eliminación de privilegios de acceso
Proceso COBIT: EDM03 Asegurar la optimización del riesgo Area: Gobierno
Dominio: Evaluar, orientar y supervisar
Descripción del proceso: Asegurar que el apetito y la tolerancia al riesgo de la red son entendidos, articulados y
comunicados y que el riesgo para la realización de beneficios relacionado con el uso de TI es identificado y gestionado
Declaración del propósito del proceso: Asegurar que los riesgos relacionados con TI de la red no exceden ni el apetito ni la
tolerancia del riesgo y que el impacto de los riesgos de TI en la realizacion de beneficios se identifica y se gestiona a la vez
que el potencial fallo en el cumplimiento se reduce al minimo
El proceso apoya la consecución de un conjunto de principales metas de TI:
Los umbrales de riesgo son definidos y
comunicados y los riesgos clave relacionados
con las TI son conocidos
1. Numero de incidentes de TI que fueron identificados en la evaluación del
riesgo
2. Frecuencia de la actualización del perfil de riesgo
La red gestiona el riesgo critico empresarial
relacionado con las TI eficaz y eficientemente
1. Porcentaje de servicios TI que tienen evaluación del riesgo
Los riesgos relacionados con las TI no exceden
el apetito de riesgo y el impacto del riesgo TI
es identificado y gestionado
1. Numero de incidentes de TI que no fueron identificados en la evaluación
del riesgo
2. Frecuencia de la actualización del perfil de riesgo
Cumplimiento de políticas internas de TI1. Número de incidentes relacionados con el incumplimiento de políticas
2. Porcentaje de interesados que entienden las políticas
Metas y métricas del proceso
Meta del proceso Métricas relacionadas
Evaluación de las actividades de
gestión del riesgo
Actividades
1. Determinar el nivel de riesgos relacionados con la TI que la red esta dispuesta a asumir para cumplir sus objetivos
2. Evaluar y aprobar propuestas de umbrales de tolerancia al riesgo TI frente a los niveles de riesgo y oportunidad aceptables
Factores y problemas de riesgo
emergentes
Principios de la gestión de riesgos de
la empresa
Guías de apetito de riesgo
Niveles de tolerancia de riesgo
aprobados
Proceso COBIT, Prácticas, Actividades y entradas/salidas del proceso
Práctica de Gobierno Entradas Salidas
Evaluar la gestión de riesgos.
Examinar y evaluar continuamente el efecto
del riesgo sobre el uso actual y futuro de las TI
en la red. Considerar si el apetito de riesgo de
la red es apropiado y el riesgo sobre la
realización de beneficio es identificado y
gestionado
Descripción Descripción
3. Determinar el grado de alineación de la estrategia de riesgos de TI con al estrategia de riesgos corporativa
4. Evaluar proactivamente los factores de riesgo de TI con anterioridad a las decisiones estratégicas
5. Determinar si el uso de TI esta sujeto a una valoración y evaluación de riesgos adecuada, según lo descrito en estándares
6. Evaluar las actividades de gestion de riesgos para garantizar su alineamiento con las capacidades de la red
78
Matriz RACI:
Orientar la gestión de riesgos
Orientar el establecimiento de de practicas de
gestion de riesgos para proporcionar una
seguridad razonable de que son apropiadas
para asegurar que el riesgo de TI actual no
excede el apetito de riesgo.
Descripción Descripción
Actividades
Práctica de Gobierno Entradas Salidas
Perfil de riesgo agregado incluyendo
el estado de las acciones de gestion
del riesgo
Perfiles y planes de mitigacion de la
gestion de riesgo de la red.
Políticas de gestion de riesgos
Obejtivos claves a ser monitoreados
por la gestión de riesgos
Proceso aprobado para la medicion de
la gestion de riesgos
Práctica de Gobierno Entradas Salidas
Supervisar la gestión de riesgos.
Supervisar los objetivos y las métricas clave de
los procesos de gestión de riesgo y establecer
como las desviaciones o los problemas seran
identificados, seguidos en informados para su
resolución.
Descripción Descripción
Acciones correctivas para tratar las
desviaciones de la gestión de riesgos
Problemas de la gestión de riesgos
para la dirección
1. Promover una cultura consciente de los riesgos de TI e impulsar a la empresa a una identificacion proactiva d elos riesgos
de TI, oportunidades e impactos potenciales para el negocio
2. Orientar la integración de las operaciones y la estrategia de riesgos de TI con las decisiones y operaciones estratégicas
3. Orientar la elaboración de planes de comunicación de riesgos, asi como los planes de acción de riesgo
4. Orientar la implantación de mecanismos apropiados para responder rapidamente a los riesgos cambiantes y notificar
inmediatamente a los niveles adecuados de gestión
5. Orientar, para que el riesgo, las oporutnidades, los problemas y preocupaciones puedan ser indentificadas y notificadas
por cualquier persona en cualquier momento.
6. Identificar los objetivos e indicadores clave de los procesos de gobierno y gestion de riesgos a ser monitoreados y aprobar
los enfoques, métodos, técnicas y procesos para capturar y notificar la información de medición
Resultados del análisis de riesgos
Oportunidades para la aceptación de
un mayor riesgo
Análisis de riesgos e informes de
perfil para las partes interesadas
Actividades
1. Supervisar hasta que punto se gestiona el perfil de riesgo dentro de los umbrales de apetito de riesgo
2. Supervisar las metas y métricas clave de gestión de los procesos de gobierno y gestión del riesgo respecto a los objetivos,
analizar las causas de las desviaciones e iniciar medidas correctivas para abordar las causas subyacentes
3. Facilitar la revision por las principales partes interesadas del progreso de la red hacia los objetivos identificados
4. Informar cualquier problema de gestión de riesgos a la dirección
Líd
er d
e se
rvic
ios
acad
émic
os
Líd
er d
e se
rvic
ios
de
con
ecti
vid
adEn
carg
ado
de
Cal
idadPractica clave
de Gobierno
Dir
ecto
r d
e la
Red
Co
ord
inad
or
de
la
Red
Lid
er e
n g
esti
ón
de
pro
yect
os
Líd
er t
écn
ico
Líd
er d
e TI
Líd
er e
n
soci
aliz
ació
n y
div
ulg
ació
nLí
der
de
serv
icio
s
mu
ltim
edia
Líd
er e
n in
gen
ierí
a
de
soft
war
e
R I I I I
CEvaluar la
optimizacion del
beneficioR R R
I I CSupervisar la
optimizacion del
beneficioR R I R I I I I
I I COrientar la
optimizacion del
beneficioR R I
79
EDM04: Asegurar la optimización de recursos
1. Nivel de satisfacción con las respuestas de RITA a nuevos requerimientos
en TI
2. Tiempo promedio para acordar y aprobar un objetivo estratégico
relacionado con TI de RITA
Optimización de infraestructura, recursos y
capacidades de las TI
1. Nivel de satisfacción de la alta dirección de RITA y de TI con costes y
capacidades TI.
Proceso COBIT: EDM04 Asegurar la optimización de recursos Area: Gobierno
Dominio: Evaluar, orientar y supervisar
Descripción del proceso: Asegurar que las adecuadas y suficientes capacidades relacionadas con las TI estan disponibles para
soportar los costes de la red
Declaración del propósito del proceso: Asegurar que Las necesidades de recursos de la red son cubiertas de un modo óptimo
y que con TI se incrementa la probabilidad de obtención de beneficios y la preaparación para cambios futuros
El proceso apoya la consecución de un conjunto de principales metas de TI:
Los recursos se asignan para satisfacer mejor
las prioridades de la red dentro de las
restricciones
1. Nivel de satisfaccion con las respuestas de RITA a nuevos requerimientos
en TI
2. Tiempo promedio para acordar y aprobar un objetivo estratégico
relacionado con TI de RITA
El uso óptimo de los recursos se logra durante
su completo ciclo de vida dentro de los
servicios
1. Porcentaje de servicios de TI que generaron el impacto esperado
Personal de RITA motivado 1. Porcentaje de motivación de los empleados
Metas y métricas del proceso
Meta del proceso Métricas relacionadas
Las necesidades de los reursos de la red son
cubiertos con capacidades óptimas
1. Nivel de satisfacción de la alta dirección de RITA y de TI con costes y
capacidades TI.
Personal de RITA competente 1. Porcentaje de preparación de los empleados
Meta de TI Métricas relacionadas
Agilidad de las TI
2. Definir los principios para guiar la asignacion y gestion de recursos y capacidades de las TI para que puedan satisfacer los
objetivos dela red, de acuerdo ocn las restricciones existentes
3. Revisar y aprobar el plan de recursos y las estrategias de arquitectura de la red para la entrega de beneficio y la mitigación
de riesgo con los recursos asignados
Evaluar la gestión de recursos.
Examinar y evaluar constantemente la
necesidad actual y futura de los recursos
relacionados con TI, las opciones para la
asignación de recursos y los principios de
asignación y gestión para cumplir de manera
óptima las necesidades de la red
Descripción Descripción
Principios rectores para la asignación
de recursos y capacidades
Principios rectores de la arquitectura
de la red
Plan de recursos aprobado
Brechas y cambios necesarios para
hacer realidad los objetivos de
capacidad
Planes de desarrollo de competencias
Decisiones sobre los resultados de
evaluación de proveedores
Proceso COBIT, Prácticas, Actividades y entradas/salidas del proceso
Práctica de Gobierno Entradas Salidas
Actividades1. Examinar y evaluar la estrategia actual y futura, las opciones de aprovisionamiento de recursos TI y desarrollar
capacidades para cubrir las necesidades actuales y futuras
4. Comprender los requisitos para alinear la gestión de recursos con la planificación de recursos de la red financieros y
humanos
5. Definir los principios para la gestión y el control de la arquitectura de la red
80
Matriz RACI:
3. Definir los objetivos, medidas y metricas clave para la gestión de recursos
Práctica de Gobierno Entradas Salidas
Orientar la gestión de recursos.
Asegurar la adopción de principios de gestión
de recursos para permitir un uso optimo de los
recursos de TI a lo largo de su completo ciclo
de vida
Descripción Descripción
Comunicación de las estrategias de
reasignacion de recursos
Responsabilidades asignadas para la
gestion de recursos
Principios para la proteccion de
recursos
Actividades
1. Comunicar e impulsar la adopción de estrategias de gestión de recursos, principios y el plan de recursos y las estrategias
de arquitectura de la red acordados
2. Asignar responsabilidades para la ejecución de control de recursos
Orientar la gestióin de recursos
Supervisar la gestión de recursos.
Supervisar los objetivos y métricas clave de
los procesos de gestión de recursos y
establecer como serán identificados, seguidos
e informados para su resolución a las
desviaciones o los problemas
Descripción Descripción
Comentarios sobre la asignación y
eficacia de recursos y capacidades
Acciones correctivas para hacer frente
a las desviaciones de gestión de
recursos
4. Establecer los principios relacionados con la protección de recursos
5. Alinear la gestión de recursos con la planificación de recursos humanos de la red
Práctica de Gobierno Entradas Salidas
Supervisar la gestión de recursos
Actividades
1. Supervisar la asignación y optimización de recursos de acuerdo con los objetivos y prioridades de la red mediante
objetivos y métricas acordados
2. Supervisar las estratégias de aprovisionamiento TI y de arquitectura de la empresa y los recursos y capacidades TI para
garantizar que las necesidades actuales y futuras de la Red puedan ser satisfechas
3. Supervisar el rendimiento de los recursos frente a los objetivos y analizar las causas de las desviaciones para tomar
acciones correctivas
Enca
rgad
o d
e
Cal
idad
Evaluar la
optimizacion del
beneficioR R R C
Líd
er d
e TI
Líd
er e
n
soci
aliz
ació
n y
div
ulg
ació
n
Líd
er d
e se
rvic
ios
acad
émic
os
Líd
er d
e se
rvic
ios
de
con
ecti
vid
ad
I I I
Practica clave
de Gobierno
Dir
ecto
r d
e la
Red
Co
ord
inad
or
de
la
Red
Lid
er e
n g
esti
ón
de
pro
yect
os
Líd
er t
écn
ico
Líd
er d
e se
rvic
ios
mu
ltim
edia
Líd
er e
n
inge
nie
ría
de
soft
war
e
I
Supervisar la
optimizacion del
beneficioR R I R
C
Orientar la
optimizacion del
beneficioR R I R I I
CC I I I I I
I
81
EDM05: Asegurar la transparencia hacia las partes interesadas
Los informes para las partes interesadas se
ajustan a sus requisitos
1. Nivel de satisfacción de la alta dirección de RITA y de TI con costes y
capacidades TI.
2. Nivel de satisfacción con las respuestas de RITA a nuevos requerimientos
en TI
La elaboración de informes es completa,
oportuna y precisa
1. Porcentaje de informes presentados a tiempo
2. Porcentaje de informes que contienen imprecisiones
La comunicación es eficaz y las partes
interesadas estan satisfechas1. Numero de incidentes causados por no disponibilidad de la información
Metas y métricas del proceso
Meta del proceso Metricas relacionadas
Meta de TI Métricas relacionadas
Compromiso de la dirección para tomar
decisiones relacionadas con TI
1. Porcentaje de decisiones de TI claramente definidas que son
responsabilidad de la dirección
2. Numero de veces que TI esta en la agenda de la mesa directiva de manera
proactiva
3. Frecuencia de reuniones del equipo relacionado con TI
Entrega de servicios de TI de acuerdo a los
requisitos
1. Número de interrupciones de la actividad de la red debido a incidentes
relacionados con TI
Proceso COBIT: EDM05 Asegurar la transparencia hacia las
partes interesadas
Area: Gobierno
Dominio: Evaluar, orientar y supervisar
Descripción del proceso: Asegurar que la medición y la elaboración de informes en cuanto conformidad y desempeño de TI
de la red son transparentes, con aprobación de las partes interesadas de las metas, metricas y acciones correctivas
necesarias.
Declaración del propósito del proceso: Asegurar que la comunicación con las partes interesadas sea efectiva y oportuna y
que se ha establecido una base para la elaboración de informes con el fin de aumentar el desempeño, identificar áreas
susceptibles de mejora y confirmar que las areas y estrategias de TI concuerdan con la estrategia corporativa.
El proceso apoya la consecución de un conjunto de principales metas de TI:
2. Mantener los principios de comunicación con interesados externos e internos, incluyendo canales y formatos de
comunicación y los principios de aceptación y aprobación de los informes por parte de las partes interesadas
Ambito de aplicación refinado
Actividades1. Examinar y juzgar los requisitos actuales y futuros de elaboración de informes respecto al uso de TI dentro de la red
incluyendo alcance, condiciones y frecuencia
Proceso COBIT, Prácticas, Actividades y entradas/salidas del proceso
Práctica de Gobierno Entradas Salidas
Evaluar los requisitos de elaboración de
informes de las partes interesadas.
Examinar y juzgar continuamente los
requisitos actuales y futuros de comunicación
con las partes interesadas y de la elaboración
de informes, incluyendo tanto los requisitos
obligatorios de la elaboración de informes
como la comunicación a otros interesados.
Establecer los principios de la comunicación.
Descripción Descripción
Evaluación de los requisitos
corporativos de elaboración de
informes
Retroalimentación sobre la asignación
y eficacia de los recursos y
capacidades
Acciones dirigidas a mejorar entrega
de valorCuestiones de gestión del riesgo a
tratar por el consejo de
administración
Principios de elaboración de informes
y de comunicación
82
Matriz RACI:
Actividades
1. Evaluar periodicamente la eficacia de los mecanismos para asegurar la precision y la fiabilidad de la elaboración
obligatoria de informes
2. Evaluar periodicamente la eficacia de los mecanismos y las salidas de comunicación con interesados externos e internos
3. Determinar si se estan cumpliendo los requisitos de los diferentes interesados
Práctica de Gobierno Entradas Salidas
Supervisar la comunicación con las partes
interesadas.
Supervisar la eficacia de la comunicación con
las partes interesadas. Evaluar los mecanismos
para asegurar la precision, la fiabilidad y la
eficacia y determinar si se estan cumpliendo
los requisitos de diferentes interesados.
Descripción Descripción
Informe de la revisión de
aseguramiento
Resultados de la revisión de
aseguramiento
Comentarios sobre la asignación y
eficacia de recursos y capacidades
Acciones correctivas para hacer frente
a las desviaciones de gestión de
recursos
Actividades
1. Orientar el establecimiento de la estrategia de comunicación para interesados internos y externos2. Orientar la implementación de mecanismos para garantizar que la información cumple los criterios de los requisitos
corporativos obligatorios en cuanto a la elaboración de informes TI
3. Establecer mecanismos de validación y aprobación de la elaboración obligatoria de informes
4. Establecer mecanismos de escalado en la elaboración de informes
Orientar la comunicación con las partes
interesadas y la elaboración de informes.
Garantizar el establecimiento de una
comunicación y una elaboración de informes
eficaces, incluyendo mecanismos para
asegurar la calidad y la completitud de la
información, vigilar la elaboración obligatoria
de informes y crear una estrategia de
comunicación con las partes interesadas
Descripción Descripción
Informes de análisis de riesgo y perfil
de riesgos para las partes interesadas
Directrices de escalado
Reglas de validación y aprobación de
informes obligatorios
Práctica de Gobierno Entradas Salidas
CSupervisar la
optimizacion del
beneficioC C R I
COrientar la
optimizacion del
beneficioC C R I
CEvaluar la
optimizacion del
beneficioC C R I
Líd
er e
n
soci
aliz
ació
n y
div
ulg
ació
nLí
der
de
serv
icio
s
mu
ltim
edia
Líd
er e
n
inge
nie
ría
de
soft
war
eLí
der
de
serv
icio
s
acad
émic
os
Líd
er d
e se
rvic
ios
de
con
ecti
vid
ad
Enca
rgad
o d
e
Cal
idadPractica clave
de Gobierno
Dir
ecto
r d
e la
Red
Co
ord
inad
or
de
la
Red
Lid
er e
n g
esti
ón
de
pro
yect
os
Líd
er t
écn
ico
Líd
er d
e TI
83
APO01: Gestionar el marco de gestión de TI
Conocimiento, experiencia e
iniciativas para la innovación
Metas y métricas del proceso
Meta del proceso Métricas relacionadas
Se ha definido y se mantiene un
conjunto eficaz de políticas
Todos tienen conocimiento de las
políticas y de cómo deberían
implementarse
Cumplimiento de TI con las políticas
internas
1. Porcentaje de servicios que tuvieron impacto en investigación
2. Porcentaje de servicios que cumplieron las expectativas de los usuarios
1. Porcentaje de interesados que comprenden las politicas internas
Proceso COBIT: APO01 Gestionar el
marco de gestión de TI
Area: Gestión
Dominio: Alinear, planificar y organizar
Descripción del servicio: Aclarar y mantener el gobierno de la misión y la visión de RITA en TI. Implementar y
mantener mecanismos y autoridades para la gestión de la información y el uso de TI en la empresa para apoyar los
objetivos de gobierno en consonancia con las políticas y los principios rectores.
Declaración del propósito del proceso: Proporcionar un enfoque de gestión consistente que permita cumplir los
requisitos de gobierno e incluya procesos de gestión, estructuras, roles y responsabilidades administrativas;
actividades fiables y reproducibles; y habilidades y competencias.
El servicio apoya la consecución de un conjunto de principales metas de TI:
Meta de TI Métricas relacionadas
Alineamiento de TI y el enfoque
misional de RITA
Cumplimiento y soporte de TI al
cumplimiento de las leyes y
regulaciones externas
Personal de RITA motivado
Agilidad de las TI
Optimización de infraestructura,
recursos y capacidades de las TI
Personal de RITA competente
1. Porcentaje de obejtivos corporativos y requerimientos sustentados por
objetivos de TI
2. Nivel de satisfacción de la dirección con el alcance del portafolio de servicios
1. Número de incidentes relacionados con el incumplimiento de politicas
1. Nivel de satisfaccion con las respuestas de RITA a nuevos requerimientos en
TI
2. Tiempo promedio para acordar y aprobar un objetivo estratégico relacionado
con TI de RITA
1. Nivel de satisfacciòn de la alta dirección de RITA y de TI con costes y
capacidades TI.
1. Número de incidentes relacionados con el incumplimiento de politicas
2. Porcentaje de interesados que entienden las políticas
1. Porcentaje de preparacion de los empleados
1. Porcentaje de motivación de los empleados
1. Número de nuevas ideas aplicadas a la prestación de los servicios
84
Reglas básicas de comunicación
Directrices operativas de RITA
Definición de estructura y funciones organizativas de
la Red
Niveles de autoridad
Responsabilidades
asignadas para la gestión
de recursos
1. Planes de desarrollo
de actividades
2. Matriz de habilidades
y competencias
Práctica de Gestión
5. Definir el enfoque, los roles y las responsabilidades de cada función dentro de la estructura organizativa relativa a TI
6. Establecer un comité estratégico de TI a nivel de la mesa directiva asegurando que el gobierno de TI está
Práctica de Gestión Entradas Salidas
7. Establecer un comité directivo de TI compuesto por el coordinador de la Red, el lider de TI y el líder técnico para
determinar prioridades de los programas de inversión de TI; realizar un seguimiento de del estado de los proyectos y
resolver los conflictos de recursos; asi como supervisar los servicios y su mejora.
8. Proporcionar directrices para cada estructura de gestión, así como las entradas requeridas y las salidas esperadas en
cuanto a las reuniones.
9. Definir reglas básicas de comunicación mediante la identificación de las necesidades comunicativas y la
identificación de planes basados en dichas necesidades a todos los niveles y direcciones.
10. Establecer y mantener una estructura óptima de enlace, comunicación y coordinación entre la Red y las funciones
de TI dentro y fuera de la Red.
1. Modelo de toma de
decisiones
2. Principios rectores en
RITA
Entradas Salidas
3. Establecer la implicación de las partes interesadas críticas para la toma de decisiones.
4. Alinear la TI de la Red con el modelo corporativo de la misma.
Modelo de arquitectura
de procesos
Definir la estructura organizativa
Establecer una estructura organizativa
extensa e interna que refleje las
necesidades de RITA y de TI.
Implementar las estructuras de
gestión requerida para permitir que la
toma de decisiones se lleve a cabo de
la foma más eficaz y eficiente posible
11. Verificar regularmente la adecuacipon y eficacia de la estructura de RITA
Descripción
Actividades
1. Definir el alcance, las funciones internas y externas, los roles internos y externos, y las capacidades y los derechos
de decisión requeridos.
2.Identificar las decisiones necesarias para alcanzar los resultados y la estrategía de TI para la gestión y ejecución de
los servicios de TI.
Proceso COBIT, Prácticas, Actividades y entradas/salidas del proceso
Actividades
1. Establecer, acordar y comunicar roles y responsabilidades relativos a TI para todo el personal de la Red, de acuerdo
con las necesidades y los objetivos de la misma, especialmente para la aprobación y toma de decisiones.
2. Tener en cuenta los requisitos desde la Red y la continuidad del servicio de TI a la hora de definir roles.
3. Contribuir al proceso de continuidad del servicio de TI manteniendo actualizada la información de contacto y las
descripciones de roles
7. Estructurar los roles y responsabilidades para reducir las posibilidades de que un solo rol pueda comprometer un
proceso crítico.
4. Incluír en las descripciones de roles y responsabilidades, la adhesión a políticas y procedimientos de gestión, al
código ético y las prácticas profesionales.
5. Implementar practicas de supervisión adecuadas para garantizar que los roles se pongan en práctica de forma
correcta. El nivel de supervisión debería estar en consonancia con la sensibilidad del puesto y el nivel de
responsabilidades asignado.
6. Asegurar que la rendición de cuentas queda definida a través de los roles y responsabilidades.
Establecer roles y responsabilidades
Establecer, acordar y comunicar roles
y responsabilidades del personal de
TI, que reflejen claramente las
necesidades generales de la red y los
objetivos de TI, así como la autoridad,
las responsabilidades y rendición de
cuentas del personal relevante.
Descripción
Descripción Descripción
Definición de roles y responsabilidades relativas a TI
Definición de prácticas de supervisión
85
4. Alinear el entorno de control de TI con el entorno de las políticas de TI, con los marcos de trabajo generaes de
gobierno de TI y procesos de TI y los marcos de trabajo existentes en cuanto a riesgo y control.
Práctica de Gestión Entradas
5. Crear un conjunto de políticas para conducir las expectativas de control de TI en temas relevantes, como calidad,
seguridad, confidencialidad, controles internos, Uso de activos de TI, ética y derechos de propiedad intelectual.
Hoja de ruta estratégica
Actividades
1. Adquirir comrensión de la visión, la dirección y la estrategias de RITA
2. Tener en cuenta el entorno interno de RITA
3. Inferir e integrar los principios de TI con los principios de la Red
Actividades
Comunicación sobre el
valor del conocimiento
Política y objetivos de
continuidad empresarial
2. Identificar, evaluar y priorizar las opciones para la ubicación en la Red, los modelos operativos y de
aprovisionamiento
6. Evaluar y actualizar las políticas, como mínimo una vez al año, para su necesario ajuste.
7. Implantar y aplicarl las políticas de TI a todo el personal relevante, de forma que estén incorporadas y sean parte
integral de las operaciones de RITA
8. Asegurarse de que los procedimientos estén en funcionamiento para realizar un seguimiento del cumplimiento con
las políticas y definir las consecuencias de la no conformidad.
Comunicación de
gobierno corporativo
1. Comunicar continuamente los objetivos y la dirección de TI, empleando todos los canales disponibles
2. Garantizar que la información comunicada engloba una clara articulación de la misión, los objetivos de servicio, la
seguridad, los controles internos, la calidad, el código de ética, las políticas y procedimientos, los roles y las
3. Proporcionar recursos suficientes y cualificados para dar soporte al proceso comunicativo.
Práctica de Gestión Entradas Salidas
Comunicar los objetivos y la dirección
de gestión.
Comunicar la sensibilización y
comprensión de los objetivos y la
dirección de TI a las partes
interesadas y usuarios pertinentes a
lo largo de toda la Red.
Principios de protección
de recursos
Descripción Descripción
Comunicación de objetivos de TI
3. Definir la ubicación de las funciones de TI y obtener aprobación.
Práctica de Gestión Entradas SalidasOptimizar la ubicación de la función
de TI
Posicionar la capacidad de TI en la
estructura de la Red para reflejar la
importancia de TI en el modelo de
RITA, especialmente su criticidad para
la estrategia empresarial y el nivel de
dependencia de TI.
1. Modelo operativo
2. Estrategia de negocio
Actividades
1. Entender el contexto de la función de TI, incluyendo una evaluación de la estratégia y el modelo operativo,
importancia de TI, la situación y opciones para la provisión.
Descripción Descripción
Evaluación de las opciones para la organización de TI
Definir la función operacional de las funciones de TI
Salidas
Mantener los elementos
catalizadores del sistema de gestión.
Mantener los elementos
catalizadores del sistema de gestión y
del entorno de control de la TI de la
Red. Garantizar que están alineados e
integrados con la filosofía y el estilo
operativo de gobierno y de gestión de
la empresa.
Principios rectores de la
Red.
Descripción Descripción
Políticas relativas a TI
86
Definir la propiedad de la información
y del sistema.
Definir y mantener las
responsabilidades de la propiedad de
la información (datos) y los sistemas
de información. Asegurar que los
propietarios toman decisiones sobre
la clasificación de la información y los
sistemas y su protección con esta
clasificación.
Definir la propiedad de
la información y del
sistema
Actividades
Práctica de Gestión Entradas Salidas
Actividades
1. Hacer seguimiento del cumplimiento con políticas y procedimientos
2. Analizar los incumplimientos y adoptar las acciones apropiadas (puede incluir el cambio de requerimientos)
3. Integrar rendimiento y cumplimiento dentro de los objetivos individuales del personal
4. Evaluar periódicamente el desempeño de los catalizadores del marco de referencia y adoptar acciones necesarias
5. Analizar las tendencias en el funcionamiento y cumplimiento y adoptar las acciones apropiadas
Políticas del entorno
Actualización de
políticas, proncipios,
procedimientos y
estándares
Actividades
1. Identificar los procesos críticos de la Red basándose en el rendimiento, cumplimiento y los riesgos relacionados.
Evaluar la capacidad del proceso e identificar objetivos de mejora. Analizar las diferencias en la capacidad y control del
proceso. Identificar las opciones de mejora y rediseño de procesos.
2. Implementar las mejoras acordadas, funcionando como una práctica normal de la Red y establecer objetivos y
métricas de rendimiento que permitan el seguimiento de las mejoras del proceso.
3. Considerar las meneras de mejorar la eficiencia y la eficacia.
4. Aplicar prácticas de gestión de calidad para la actualización de procesos
5. Retirar procesos, componentes o catalizadores desactualizados
Práctica de Gestión Entradas Salidas
Mantener el cumplimiento con las
políticas y procedimientos.
Poner en marcha procedimientos para
mantener el cumplimiento y
medición del cumplimiento de las
políticas y otros catalizadores del
marco de referencia; hacer cumplir
Descripción Descripción
Descripción Descripción
Acciones de remediación por no cumplimiento
Oportunidades de mejoras de proceso
Objetivos y métricas de rendimiento para el
seguimiento de la mejora de procesos
Evaluaciones de la capacidad de los procesos
Directrices para la clasificación de datos
Directrices para el control y la seguridad de datos
Procedimiento de integridad de datos
Realimentación de la
efectividad y
funcionamiento del
gobierno
Actualización de
políticas, proncipios,
procedimientos y
estándares
1. Proveer políticas y directrices para asegurar la adecuación y consistencia de la clasificación de la información en toda
2. Definir y mantener y proporcionar herramientas adecuadas, técnicas y directrices para garantizar la seguridad y
control efectivo sobre la información y los sistemas en colaboración con el propietario.
3. Crear y mantener un inventario de la información que incluya un listado de los propietarios, custodios y
clasificaciones. Incluir sistemas subcontratados y aquellos que deben permanecer dentro de la Red.
Práctica de Gestión Entradas Salidas
Gestionar la mejora continua de los
procesos.
Evaluar, planificar y ejecutar la mejora
continua de procesos y su madurez
para asegurar que son capaces de
entregarse conforme a los objetivos
de RITA, de gobierno, de gestión y de
control. Actualizar los procesos y
considerar el impacto en los
catalizadores del proceso.
Descripción Descripción
87
Matriz RACI:
Practica clave
de GobiernoD
irec
tor
de
la R
ed
Co
ord
inad
or
de
la
Red
Lid
er e
n g
esti
ón
de
pro
yect
os
Líd
er t
écn
ico
Líd
er d
e TI
Líd
er e
n s
oci
aliz
ació
n
y d
ivu
lgac
ión
Líd
er d
e se
rvic
ios
mu
ltim
edia
Líd
er e
n in
gen
ierí
a d
e
soft
war
eLí
der
de
serv
icio
s
acad
émic
os
Líd
er d
e se
rvic
ios
de
con
ecti
vid
ad
Enca
rgad
o d
e C
alid
ad
Definir la
estructura
organizativaC C I R
establecer roles y
responsabilidadesI I R A C
Mantener los
elementos
catalizadores del
sistema de
gestión.
A R R R C
Comunicar los
objetivos y la
dirección de
gestión.
A R R I R I I I I I I
Optimizar la
ubicación de la
función de TIC C C C R C C C C C C
Definir la
propiedad de la
información y del
sistema
A R R R R R R R C
Gestionar la
mejora continua de
los procesos.A R R R R R R R C
Mantener el
cumplimiento con
las políticas y
procedimientos
A R R R R R R R I
88
APO02: Gestionar la estrategia
Meta de TI Métricas relacionadas
Alineamiento de TI y el enfoque misional de
RITA
1. Porcentaje de obejtivos corporativos y requerimientos sustentados por
objetivos de TI
2. Nivel de satisfacción de la dirección con el alcance del portafolio de
servicios
Entrega de servicios de TI de acuerdo a los
requisitos
1. Número de interrupciones de la actividad de la red debido a incidentes
relacionados con TI
Conocimiento, experiencia e iniciativas para la
innovación 1. Número de nuevas ideas aplicadas a la prestación de los servicios
Proceso COBIT: APO02 Gestionar la estrategia Area: Gestión
Dominio: Alinear, planificar y organizar
Descripción del proceso: Proporcionar una visión holística del entorno actual y del entorno de TI, la dirección futura, y las
iniciativas necesarias para migrar al entorno deseado. Aprovechar los bloques y componentes de la estructura de la Red,
incluyendo los servicios externalizados y las capacidades relacionadas que permitan una respuesta ágil, confiable y eficiente
a los objetivos estratégicos.
Declaración del propósito del proceso: Alinear los planes estratégicos de TI con los objetivos de la Red. Comunicar
claramente los objetivos y las cuentas asociadas para que sean comprendidos por todos, con identificación de las opciones
estratégicas de TI, estructurados e integrados con los planes de la Red.
El proceso apoya la consecución de un conjunto de principales metas de TI:
Existe conciencia de la estrategia de TI y una
clara asignaciòn de responsabilidades para su
entrega
1. Número de incidentes relacionados con el incumplimiento de politicas
2. Porcentaje de interesados que entienden las políticas
Metas y métricas del proceso
Meta del proceso Metricas relacionadas
Todos los aspectos de la estrategia de TI estan
alineados con la estrategia de la red
1. Porcentaje de obejtivos corporativos y requerimientos sustentados por
objetivos de TI
2. Nivel de satisfacción de la dirección con el alcance del portafolio de
servicios
La estrategia de TI es efectiva, apropiada,
realista, factible, enfocada a la red y
equilibrada
1. Porcentaje de proyectos de Ti en los que el impacto es monitoreado a
traves de todo su ciclo de vida
2. Porcentaje de servicios de TI que generaron el impacto esperado
Se pueden derivar objetivos a corto plazo,
concretos, claros y trazables de iniciativas a
largo plazo especificas, y se pueden traducir
por tanto, en planes operativos
1. Porcentaje de proyectos de Ti en los que el impacto es monitoreado a
traves de todo su ciclo de vida
TI es generador de beneficio para la red
1. Porcentaje de proyectos de Ti en los que el impacto es monitoreado a
traves de todo su ciclo de vida
2. Porcentaje de servicios de TI que generaron el impacto esperado
89
Proceso COBIT, Prácticas, Actividades y entradas/salidas del proceso
Práctica de Gobierno Entradas Salidas
Comprender la dirección de la empresa.
Considerar el entorno actual y los servicios de
la red, asi como la estrategia y los objetivos
futuros de la red. Tambien tomar en cuenta el
entorno externo a ella.
Descripción Descripción
Principios guia para la asignacion de
recursos y capacidades
Oportunidades de innovacion
vinculadas con los motivadores de la
industria
Estrategia y analisis DOFA
Fuentes y prioridades para cambios
4. Identificar y analizar las fuentes de los cambios en la red y el entorno externo
5. Determinar prioridades para el cambio estratégico
Propuestas de proyecto para la
reducción de riesgo
Acciones correctivas
Revisión de los resultados de ajuste a
objetivos
Actividades1. Desarrollar y mantener un entendimiento de las estrategias y objetivos de la red, asi como el entorno y los retos
operativos actuales
2. Desarrollar y mantener un entendimiento del entorno externo a la red
3. Identificar las partes interesadas más importantes y obtener comprensión de sus requerimientos
Práctica de Gobierno Entradas Salidas
6. Entender la arquitectura actual de la red y trabajar para determinar cualquier brecha potencial en la arquitectura
Descripción Descripción
Línea de referencia a capacidades
actuales
Definición de proyectos de mejoras
potenciales
Identificar diferencias en los servicios
de TI para la red
Planes de acción, mejora y
remediaciones
Nuevos problemas y factores de
riesgo
Resultado del análisis de riesgo
Perfil de riesgo agregado
Diferencias y riesgos relacionados con
las capacidades actuales
Analisis DAFO de capacidades
Actividades
1. Desarrollar un punto de referencia de la red, entorno de TI, capacidades y servicios actuales respecto al que las
necesidades futuras puedan ser comparadas. Incluir el correspondiente detalle
2. Identificar los actuales y potenciales riesgos y tecnologías en declive
3. Identificar diferencias entre lo que se hace actualmente y las capacidades de TI.
4. Identificar la matriz DOFA en el entorno actual, las capacidades y servicios para mejorar el desempeño actual
Evaluar el entorno, capacidades y rendimiento
actuales.
Evaluar el rendimiento de la red a nivel
interno en la actualidad, las capacidades y los
servicios de TI externos para desarrollar un
entendimiento de la arquitectura en relación
con las TI. Identificar los problemas que se
están experimentando y generar
recomendaciones en las áreas que pueden
beneficiarse de esas mejoras.
90
Práctica de Gobierno Entradas Salidas
Requerimientos de la red y
capacidades de TI
Propuesta de cambio en la
arquitectura de la red
3. Definir los objetivos/metas de TI a alto nivel y como contribuyen a los objetivos corporativos de la red4. Definir el proceso de la red requerido y deseado , las capacidades y los servicios de TI; describir los cambios a alto nivel en
la arquitectura, los procesos y procedimientos de TI, la estructura organizativa de TI, gobierno de TI, habilidades y
competencias
5. Alinear y acordar los cambios en la arquitectura de la red
Actividades1. Considerar la aplicación de tencologias emergentes e ideas innovadoras
2. Identificar las amenazas por el rechazo a las actuales y nuevas tecnologías adquiridas
6. Demostrar trazabilidad de las estrategias de la red y sus necesidades
Definir el objetivo de las capacidades de TI.
Definir el objetivo de la red, las capacidades
de TI y los objetivos de TI necesarios. Esto
debería estar basado en el entendimiento del
entorno de la red y sus necesidades; la
evaluación de los procesos actuales, el
entorno de TI, y los problemas presentados;
considerando los estándares de referencia, las
mejores prácticas y las tecnologías
emergentes o propuestas de innovación.
Descripción Descripción
Análisis de las iniciativas rechazadas,
resultados y recomendaciones de las
iniciativas de pruebas de concepto
Objetivos de TI a alto nivel
Actividades
1. Identificar todas las diferencias y cambios necesarios para revisar el entorno deseado2. Considerar las implicaciones a alto nivel de todas las diferencias. Considerar el valor de los posibles cambios en el negocio
y capacidades de TI, servicios de TI, arquitectura de la red y las consecuencias de no realizarlos
3. Evaluar el impacto de posibles cambios en la operación de la red y en los modelos operativos de TI, la capacidad de
investigación y desarrollo de tecnología y los programas de inversión en TI
4. Mejorar la definición del entorno deseado y preparar una declaración con los beneficios a percibir de ese entorno
Práctica de Gobierno Entradas Salidas
Realizar un análisis de diferencias.
Identificar las diferencias entre el entorno
actual y el deseado y considerar la alineación
de las capacidades que soportan los servicios
con los resultados de la red para optimizar la
utilización de recuros internos y externos.
Considerar los factores críticos de éxito que
apoyan la ejecución de la estrategia
Descripción Descripción
Diferencias y cambios requeridos para
alcanzar la meta de capacidad
Evaluación de la alineación
Evaluación sobre el uso de enfoques
innovadores
Expectativas sobre el beneficio
Resultados del programa de
supervision de consecucion de
objetivos
Revision de los resultados de cambio
de faseResultados de la revisión post-
implementación
Declaración del beneficio para el
entorno deseado
91
1. Definir las iniciativas necesarias para cerrar diferencias y migrar del entorno actual al deseado
Asignaciones presupuestarias
Plan y presupuesto de TI
Casos de seguridad de la información
Plan de acción para ajustar las
cantidades y asignacion de licencias
Aprobación de las opciones
estratégicas
Práctica de Gobierno Entradas Salidas
Comunicar la estrategia y direccion de TI.
Crear conciencia y comprension de la red y de
los objetivos y dirección de TI, como se
encuentra reflejada en al estrategia de TI, a
través de comunicaciones a las partes
interesadas adecuadas y a los usuarios de toda
la red
Descripción Descripción
Comunicación de las estrategias de
los recursos
Plan de comunicación
Paquete de comunicación
Práctica de Gobierno Entradas Salidas
Definir el plan estrategico y la hoja de ruta.
Crear un plan estrategico que defina, en
cooperación con las partes interesadas mas
relevantes, como los objetivos de TI
contribuiran a los objetivos corporativos.
Orientar las tecnologias para definir las
iniciativas que se requieren para cerrar las
diferencias, la estrategia de abastecimiento, y
las medidas que se utilizaran para supervisar
el logro de los objetivos.
Descripción Descripción
Definición de iniciativas estreategicas
Evaluación de riesgo
Hoja de ruta estratégica
Actividades
Actividades
1. Desarrollar y mantener una red de aprobación, apoyo e impulso de la estrategia de TI
2. Desarrollar un plan de comunicación que cubra los mensajes necesarios, audiencias objetivo, medidas/canales de
comunicación y horarios
3. Preparar un paquete de comunicaciones que entregue el plan de manera eficaz utilizando los medios de comunicación y
tecnologias disponibles
4. Obtener retroalimentación y actualzar el plan de comunicaciones y de entrega según sea necesario
Plan de recursos aprobado
Retroalimentación sobre la eficacia
de recursos y capacidades
Alcance definido de la arquitectura
Modelo de arquitectura de la
informacion
Arquitecturas de transición
Realimentación sobre estrategias y
objetivos
Opciones de financiación
2. Identificar y abordar adecuadamente los riesgos, costes e implicaciones de lso cambios organizativos, evolucion
tecnologica, requisitos normativos en el proceso de planificacion
3. Determianr dependencias, solapamientos, sinergias e impactos entre las iniciativas y priorizar las iniciativas
4. Identificar los requerimientos de recursos y planificación
5. Traducir los objetivos en medidas de resultado representadas en métricas
6. Obtener formalmente soporte de las partes interesadas y obtener aprobación del plan
92
Matriz RACI:
I I IComunicar la
estrategia y
direcciòn de TI
R R I R I I I I
C
Realizar un analisis
de diferencias R A R R R R RR R
Definir el plan
estrategico y la
hoja de ruta
C C R A C C C C C C
Enca
rgad
o d
e
Cal
idadPráctica clave
de Gobierno
Dir
ecto
r d
e la
Red
Co
ord
inad
or
de
la
Red
Lid
er e
n g
esti
ón
de
pro
yect
os
Líd
er t
écn
ico
Líd
er d
e TI
Comprender la
direcciòn de la
empresaC A R R R R R R R
C
Definir el objetivo
de capacidades de A C I R C
R R R
C C
Evaluar el entorno,
capacidades y C R A R
C C C C
R R
Líd
er e
n
soci
aliz
ació
n y
div
ulg
ació
nLí
der
de
serv
icio
s
mu
ltim
edia
Líd
er e
n in
gen
ierí
a
de
soft
war
e
Líd
er d
e se
rvic
ios
acad
émic
os
Líd
er d
e se
rvic
ios
de
con
ecti
vid
ad
93
APO03: Gestionar la innovación
La innovación se permite y se
promueve, formando parte de la
cultura de la Red.
1. Porcentaje de preparacion de los empleados
Los objetivos de la Red se cumplen
por la mejora de los beneficios de la
calidad y/o la reducción de costes
como resultado de la identificación e
implementación de soluciones
innovadoras.
1. Número de nuevas ideas aplicadas a la prestación de los servicios
Proceso COBIT: APO03 Gestionar la innovación Area: Gestión
Dominio: Alinear, planificar y organizar
Descripción del servicio: Mantener un conocimiento de la tecnología de la información y las tendencias relacionadas
con el servicio, identificar las oportunidades de innovación y planificar la manera de beneficiarse de la innovación en
relación a las necesidades de la Red. Analizar que mejora puede realizarse y cuáles son las oportunidades de las
nuevas tecnologías facilitadas por TI. Influir en la planificación estratégica y en las decisiones de la arquitectura de la
Declaración del propósito del proceso: Lograr ventaja competitiva, innovación empresarial y eficacia y eficiencia
operativa mejorada mediante la explotación de los desarrollos tecnológicos para la explotación de la información
El servicio apoya la consecución de un conjunto de principales metas de TI:
Meta de TI Métricas relacionadas
Beneficio del impacto del portafolio
de servicios relacionado con las TI
1. Porcentaje de proyectos de Ti en los que el impacto es monitoreado a traves
de todo su ciclo de vida
2. Porcentaje de servicios de TI que generaron el impacto esperado
Metas y métricas del proceso
Meta del proceso Métricas relacionadas
El valor de RITA es creado mediante la
cualificación y puesta en escena de
los avances e innovaciones
tecnológicas más apropiadas, los
métodos y las soluciones TI utilizadas.
Conocimiento, experiencia e
iniciativas para la innovación 1. Número de nuevas ideas aplicadas a la prestación de los servicios
Agilidad de las TI
1. Nivel de satisfaccion con las respuestas de RITA a nuevos requerimientos en
TI
2. Tiempo promedio para acordar y aprobar un objetivo estratégico relacionado
con TI de RITA
Optimización de infraestructura,
recursos y capacidades de las TI
1. Nivel de satisfacciòn de la alta dirección de RITA y de TI con costes y
capacidades TI.
1. Porcentaje de servicios que tuvieron impacto en investigación
2. Porcentaje de servicios que cumplieron las expectativas de los usuarios
94
Actividades
1. Comprender el interés de la Red y su potencial para adoptar nuevas tecnologías canalizando los esfuerzos de
concientización en las innovaciones más oportunas.
2. Realizar estudios y analizar el entorno eexterior, incluyendo sitios web, diarios y conferencias para identificar
tecnologías emergentes.
3. Recopilar las ideas innovadoras del personal de TI y analizarlas para su posible implementación.
3. Crear un entorno que fomente la innovación manteniendo iniciativas de recursos humanos relevantes, tales como
reconocimiento de la innovación y programas de reconocimiento.
4. Mantener un programa que permita al personal presntar ideas innovadoras y crear una estructura adecuada de toma
de decisiones para evaluar y aplicar estas ideas.
5. Animar a innovar a los clientes proveedores y socios.
Supervisar y explorar el entorno
tecnológico.
Realizar una supervisión sistemática y
un escaneo del entorno externo para
identificar tecnologías emergentes
que tengan el potencial de crear
beneficio. Supervisar el mercado,
tendencias legales y regulatorias o
ideas innovadoras en el contexto de
la Red.
Tecnologías emergentes
Descripción Descripción
Práctica de Gestión Entradas Salidas
Estratégia corporativa y análisis DAFO
de la Red.
Oportunidades de innovación
vinculadas a los motivadores de la Red
Mantener un entendimiento del
entorno de la Red.
Trabajar junto a las partes interesadas
para entender sus retos. Mantener un
entendimiento adecuado de la
estratégia de la Red y del entorno
competitivo, de modo que las
Descripción Descripción
Práctica de Gestión
Análisis de investigación de las
posibilidades de innovación
Actividades
1. Mantener una comprensión de los motores de la Red.
2. Realizar reuniones periódicas con las mesas de trabajo y/o otras entidades interesadas en entender los problemas
actuales de la Red donde las nuevas tecnologías o innovación TI puedan crear oportunidades.
3. Entender los parámetros de inversiones para la Red enfocadas a la innovación y las nuevas tecnologías, de manera
que se desarrollen las estrategias adecuadas.
Entradas Salidas
2. Proveer de una infraestructura que permita innovar, tales como herramientas de colaboración para mejorar el
trabajo entre diferentes ubicaciones geográficas y divisiones de la Red.
Proceso COBIT, Prácticas, Actividades y entradas/salidas del proceso
Práctica de Gestión Entradas Salidas
Crear un entorno favorable para la
innovación.
Crear un entorno que sea propicio
para la innovación, considerando la
cultura, la gratificación, la
colaboración, los foros tecnológicos y
los mecanismos para promover y
captar ideas del personal.
Descripción Descripción
Crear un entorno favorable para la
innovación
Plan de innovación
Programa de reconocimiento y
recompensa
Actividades
1. Crear un plan de innovación que incluya el apetito por el riesgo, el presupuesto previsto para invertir en la
innovación y los objetivos de la misma.
95
1. Evaluar las tecnologías identificadas, considerando aspectos tales como tiempo para alcanzar la madurez, riesgo
inherente de la nueva tecnología, ajuste con la arquitectura empresarial y potencial para agregar beneficios.
2. Identificar cualquier problema que pueda necesitar ser resuelto o probado a través de una iniciativa de prueba de
concepto.
5. Realizar pruebas de concepto para evaluar las tecnologías emergentes u otras ideas innovadoras.
Práctica de Gestión Entradas Salidas
Actividades
1. Valorar la implementación de nuevas tecnologías o innovaciones TI adoptadas como parte de las estrategias TI y
desarrollos de la arquitectura empresarial.
2. Capturar lecciones aprendidas y oportunidades de mejora.
Resultados y recomendaciones de las
pruebas de concepto.
Recomendar iniciativas adicionales
Evaluar y supervisar los resultados de
las pruebas de concepto y, si son
favorables, generar recomendaciones
para más iniciativas y obtener el
soporte de las partes interesadas.
Descripción Descripción
Análisis de las iniciativas rechazadas
3. Alcance de la iniciativa de prueba de concepto, incluyendo resultados deseados, presupuesto necesario, plazo de
tiempo y responsabilidades.
4. Obtener autorización para hacer la prueba de concepto.
4. Identificar y evaluar el posible beneficio obtenido como fruto del uso de la innovación.
Supervisar la implementación y el uso
de la innovación.
Supervisar la implementación y el uso
de tecnologías emergentes durante la
integración, adopción y todo el ciclo
de vida económico, para garantizar
que se producen los beneficios
prometidos e identificar las lecciones
aprendidas.
Descripción Descripción
Actividades
1. Documentar los resultados de las pruebas de concepto, incluyendo guía y recomendaciones para programas de
innovación y tendencias.
3. Realizar un seguimiento de las pruebas de concepto para medir el grado en que las mismas han influenciado en las
inversiones reales.
4. Analizar y comunicar las razones por las que se ha rechazado una prueba de concepto.
Práctica de Gestión
3. Ajustar el plan de innovación, si fuera necesario.
Actividades
Entradas Salidas
2. Comunicar las oportunidades de innovación viables en la estrategia TI.
Supervisar la implementación y el uso
de la innovación
Valoración del uso de enfoques
innovadores
Evaluación de los beneficios de la
innovación
Planes de innovación ajustados
Evaluación de las ideas de Innovación
Alcance de la prueba de concepto y
descripción de los casos de negocio
Comprobar los resultados de las
iniciativas de pruebas de concepto
Evaluar el potencial de las tecnologías
emergentes.
Analizar las tecnologías emergentes
identificadas y/u otras sugerencias de
innovación. Trabajar con las partes
interesadas para validar las
suposiciones sobre el potencial de las
nuevas tecnologías y la innovación.
Descripción Descripción
Práctica de Gestión Entradas Salidas
96
Matriz RACI:
Practica clave
de GobiernoD
irec
tor
de
la R
ed
Co
ord
inad
or
de
la
Red
Lid
er e
n g
esti
ón
de
pro
yect
os
Líd
er t
écn
ico
Líd
er d
e TI
Líd
er e
n
soci
aliz
ació
n y
div
ulg
ació
nLí
der
de
serv
icio
s
mu
ltim
edia
Líd
er e
n in
gen
ierí
a
de
soft
war
eLí
der
de
serv
icio
s
acad
émic
os
Líd
er d
e se
rvic
ios
de
con
ecti
vid
ad
Enca
rgad
o d
e
Cal
idad
Crear un entorno
favorable para la
innovaciónA R R R R R R R R R
Mantener un
entendimiento del
entorno de la RedA R R R R R R R R
Supervisar y
explorar el entorno
tecnológico
A R R R R R R R R
Evaluar el
potencial de las
tecnologías
emergentes
I I C C R C C C C C
Recomendar
iniciativas
adicionalesI R R R R R R R R
Supervisar la
implementación y
el uso de la
innovación
I I C C R C C C C C
97
APO04: Gestionar el portafolio
Los buenos reusltados se generan a traves de
la monitorizacion1. Frecuencia de reuniones del equipo relacionado con TI
Casos de servicio evaluados y priorizados
antes de que se asignen
1. Numero de incidentes significativos relacionados con TI que no fueron
identificados en la evaluación
Existe una vista precisa y comprensiva del
rendimiento de los servicios
1. Nivel de satisfacción de la dirección con el alcance del portafolio de
servicios
Los cambios en el programa de inversion en
recursos se ven reflejados en el portafolio de
servicios
1. Numero de veces que TI esta en la agenda de la mesa directiva de manera
proactiva
Meta del proceso Métricas relacionadas
Se ha definido una mezcla apropiada de
servicios alineada con los objetivos
corporativos
1. Porcentaje de proyectos de Ti en los que el impacto es monitoreado a
traves de todo su ciclo de vida
2. Porcentaje de servicios de TI que generaron el impacto esperado
Meta de TI Métricas relacionadas
Alineamiento de TI y el enfoque misional de
RITA
1. Porcentaje de obejtivos corporativos y requerimientos sustentados por
objetivos de TI
2. Nivel de satisfacción de la dirección con el alcance del portafolio de
servicios
Beneficio del impacto del portafolio de
servicios relacionado con las TI
1. Porcentaje de proyectos de Ti en los que el impacto es monitoreado a
traves de todo su ciclo de vida
2. Porcentaje de servicios de TI que generaron el impacto esperado
Proceso COBIT: APO04 Gestionar el portafolio Area: Gestión
Dominio: Alinear, planificar y organizar
Descripción del proceso: Ejecutar el conjunto de direcciones estratégicas para alinear la inversion con la arquitectura de la
red, las características deseadas, los portafolios de servicios relacionados y los recursos. Evaluar, priorizar, y equilibrar
programas y servicios, gestionar la demanda con los recursos y restricciones, basados en su alineamiento con los objetivos
de la Red. Mover los programas seleccionados al portafolio de servicios para ser ejecutados y ajustarlo progresivamente
según las necesidades corporativas.
Declaración del propósito del proceso: Optimizar el rendimiento del portafolio global de programas en respuesta al
rendimiento de los servicios y a las cambiantes prioridades y demandas corporativas.
El proceso apoya la consecución de un conjunto de principales metas de TI:
Entrega de programas que proporcionen
beneficios a tiempo satisfaciendo los
requisitos y normas de calidad
1. Porcentaje de servicio prestados a tiempo
2. Porcentaje de satisfacción del cliente
3. Porcentaje de servicios que se interrumpen o repiten por fallas de TI
Metas y métricas del proceso
98
Alcance de la prueba de concepto
Caso de arquitectura de la red y
proposición de beneficio
Evaluación de los portafolios de
servicio
Evaluación del alineamiento
estrategico
6. Establecer procedimientos para la comunicación de los aspectos relacionados con el portafolio de servicios
Actividades
1. Reconocer las oportunidades y clasificarlas en una línea con las categorias del portafolio de inversiones. Especificar los
resultados esperados, todas las iniciativas necesarias para alcanzar los resultados y cómo todo debe ser medido.
2. Realizar evaluaciones detalladas de todos los casos de estudio de los programas, evaluando el alineamiento estratégico,
beneficios, riesgo y disponibilidad de recursos
3. Evaluar el impacto del portafolio general por añadir los programas candidatos, incluyenedo todos los cambios requeridos
4. Decidir qué programas candidatos deberían ser trasladados al portafolio de servicios, determinar si los rechazados
deberían ser considerados a futuro
5. Determinar los hitos necesarios para el ciclo de vida de cada servicio
Evaluar y seleccionar los programas.
Basado en los requisitos de la mezcla general
del portafolio, evaluar y priorizar casos de
programas y decidir sobre las propuestas.
Dedicar recursos e iniciar los programas
Descripción Descripción
Casos de estudio del programa
Evaluación de los casos
Programas seleccionados con impacto
esperado
Práctica de Gobierno Entradas Salidas
Asignaciones de recursos
Comunicación de recursos
Recursos y plan de TI
Diferencias identificadas entre los
servicios de TI y lo corporativo
Acuerdos de nivel de servicio
Plan de obtención de beneficio
Mandato e instrucciones del
programa
Actividades1. Validar que las inversiones de TI y los servicios actuales están alineados con al visión y los principios de la Red, metas y
objetivos estratégicos.
2. Conseguir un entendimiento común entre TI y otras funciones de la red sobre las oportunidades potenciales de TI para
conducir y sustentar la estrategia corporativa
3. Crear una mezcla que logre el balance adecuado entre distintas dimensiones
4. Identificar las categorias generales de sistemas de información, aplicaciones, datos, servicios de TI, infraestructura,
activos de TI, recursos, habilidades, prácticas, controles y relaciones necesarias para sustentar la estrategia de la Red.5. Acordar una estrategia TI y unas metas, considerando las interrelaciones existentes entre la estrategia de la Red y los
servicios TI y los recursos. Identificar y facilitar sinergias que puedan ser alcanzadas
Establecer la mezcla del objetivo.
Revisar y garantizar la claridad de las
estrategias y servicios actuales corporativos y
de TI. Definir una adecuada mezcla de
inversión, basada en la alineación con la
estrategia , impacto esperado, grado de riesgo
y tipo de beneficio de los servicios del
portafolio. Ajustar las estrategias corporativas
y de TI cuando sea necesario
Descripción Descripción
Hoja de ruta estratégica
Iniciativas de gestión del riesgo
Definición de iniciativas estrategicas
Priorización y clasificación de las
iniciativas TI
Definición de los servicios y servicios
estandar
Mezcla del objetivo
Identificar recursos y capacidades
necesarias para soportar la estrategia
Observaciones a la estrategia y metas
Proceso COBIT, Prácticas, Actividades y entradas/salidas del proceso
Práctica de Gobierno Entradas Salidas
99
Evaluación de los beneficios de la
innovación
Informes de rendimiento del
portafolio de inversiones
Resultado de la revisión de cambio de
estado
Práctica de Gobierno Entradas Salidas
Supervisar, optimizar e informar sobre el
rendimiento del portafolio.
Regularmente, supervisar y optimizar el
rendimiento del portafolio y de los servicios a
lo largo de todo el ciclo de vida
Descripción Descripción
Evaluación de los portafolios de
servicio
Acciones para generar más impacto
Comentarios sobre el rendimiento
del portafolio y los servicios
Actividades
1. Crear y mantener portafolios de servicios TI y activos TI, que soporten los planes estratégicos y tácticos de TI
2. Trabajar con los responsables de entrega del servicio para mantener los portafolios de servicio y con los responsables de
las operaciones. Apoyar los planes tácticos y estratégicos de TI
3. Eliminar los programas del portafolio cuando el impacto generado deseado no ha sido alcanzado
Portafolio de servicios actualizado
Portafolio de programas y servicios
actualizado
Comunicación de retiro del programa
de responsabilidades en curso
Mantener los portafolios.
Mantener los portafolios de servicios y activos
de TI
Descripción Descripción
1. Revisar regularmente el portafolio para identificar y explotar sinergias, eliminar programas duplicados y mitigar el riesgo
2. Cuando sucedan cambios, volver a evaluar y priorizar el portafolio de servicios para asegurar que este alineado con la
estrategia corporativa
7. Identificar desviaciones para la gestión del beneficio o impacto generado.
8. Desarrollar métricas para medir la contribución de TI a la Red y establecer objetivos de rendimiento adecuados.
Práctica de Gobierno Entradas Salidas
6. Incluir una supervision periodica del rendimiento, informando en qué medida los objetivos han sido alcanzados, el riesgo
mitigado, las capacidades creadas, los entregables y las metas de rendimiento conseguidas
Actividades
3. Ajustar los objetivos, previsiones, presupuestos y si fuese necesario, el grado de monitoreo para reflejar los beneficios
adquiridos de los servicios
4. Proporcionar una vista precisa a las partes interesadas sobre el rendimiento del portafolio de inversiones
5. Aportar informes ejecutivos para la revisión por parte de la alta direccion de los progresos de la red hacia las metas,
estableciendo cómo se debe seguir operando.
Actividades1. Utilizar las métricas acordadas y realizar seguimiento sobre cómo el beneficio es obtenido, cómo evoluciona a lo largo del
ciclo de vida de los servicios TI. Comunicar los resultados a las partes interesadas
2. Implementar las acciones correctivas cuando el beneficio alcanzado se desvíe del esperado. Actualizar procesos de mejora
según se requiera
3. Considerar y obtener orientación de expertos externos para mejorar las métricas y los objetivos
Gestionar la consecución del beneficio.
Supervisar los beneficios de proporcionar y
mantener servicios y capacidades TI
apropiadas basadas en el estado actual
Descripción Descripción
Registro de beneficios
Resultados de la supervisión de
realización de beneficio
Resultados del beneficio y
comunicaciones acordadas
Acciones correctivas para la mejora de
la producción del beneficio
Práctica de Gobierno Entradas Salidas
100
Matriz RACI:
C
C C
Gestionar la
consecución del
beneficio C A R R C
Mantener los
portafolios R R R C C C
C
Evaluar y
seleccionar los
programasA R R R
Supervisar,
optimizar e C C C C
Enca
rgad
o d
e
Cal
idad
Establecer la
mezcla del objetivoR C C R
Líd
er d
e TI
Líd
er e
n
soci
aliz
ació
n y
div
ulg
ació
nLí
der
de
serv
icio
s
mu
ltim
edia
Líd
er e
n in
gen
ierí
a
de
soft
war
eLí
der
de
serv
icio
s
acad
émic
os
Líd
er d
e se
rvic
ios
de
con
ecti
vid
ad
C
Práctica clave
de Gobierno
Dir
ecto
r d
e la
Red
Co
ord
inad
or
de
la
Red
Lid
er e
n g
esti
ón
de
pro
yect
os
Líd
er t
écn
ico
101
APO05: Gestionar los Recursos Humanos
Proceso COBIT: APO05 Gestionar los Recursos Humanos Area: Gestión
Dominio: Alinear, planificar y organizar
Descripción del proceso: Proporcionar un enfoque estructurado para garantizar una óptima estructuración, ubicación,
capacidades de decisión y habilidades de los recursos humanos. Esto incluye la comunicación de funciones y
responsabilidades definidas, la formación y planes de desarrollo personal y las espectativas de desempeño, con el apoyo de
Declaración del propósito del proceso: Optimizar las capacidades de recursos humanos para cumplir los objetivos de la Red.
El proceso apoya la consecución de un conjunto de principales metas de TI:
Meta de TI Métricas relacionadas
Alineamiento de TI y el enfoque misional de
RITA
1. Porcentaje de obejtivos corporativos y requerimientos sustentados por
objetivos de TI
2. Nivel de satisfacción de la dirección con el alcance del portafolio de
Optimización de infraestructura, recursos y
capacidades de las TI
1. Nivel de satisfacciòn de la alta dirección de RITA y de TI con costes y
capacidades TI.
Entrega de programas que proporcionen
beneficios a tiempo satisfaciendo los
requisitos y normas de calidad
1. Porcentaje de servicio prestados a tiempo
2. Porcentaje de satisfacción del cliente
3. Porcentaje de servicios que se interrumpen o repiten por fallas de TI
Personal de RITA competente 1. Porcentaje de preparación del personal
Personal de RITA motivado 1. Porcentaje de motivación
Conocimiento, experiencia e iniciativas para la
innovación 1. Número de nuevas ideas aplicadas a la prestación de los servicios
Metas y métricas del proceso
Meta del proceso Metricas relacionadas
La estructura organizacional y las relaciones de
TI de la Red son flexibles y dan respuesta ágil.
1. Numero de veces que TI esta en la agenda de la mesa directiva de manera
proactiva
2. Frecuencia de reuniones del equipo relacionado con TI
Los recursos humanos son gestionados eficaz y
eficientemente
1. Porcentaje de preparación del personal
2. Porcentaje de motivación
3. Número de nuevas ideas aplicadas a la prestación de los servicios
Proceso COBIT, Prácticas, Actividades y entradas/salidas del proceso
Práctica de Gobierno Entradas Salidas
Identificar personal clave de TI.
Identificar este personal en la Red a medida
que se reduce al mínimo la dependencia de
una sola persona en la realización de una
función crítica de trabajo mediante la captura
de conocimiento (documentación), el
intercambio de conocimientos, la
planificación de la sucesión y el respaldo
(backup) del personal.
Descripción Descripción
Identificar personal clave de TIDocumentación actualizada de
personal clave de TI
Actividades
1. Minimizar la dependencia de una sola persona en la realización de una función crítica de trabajo mediante la captura de
conocimiento (documentación), el intercambio de conocimientos, la planificación de la sucesión y el respaldo (backup) del
personal, el entrenamiento cruzado e iniciativas de rotación de puestos.
2. Como medida de seguridad, proporcionar directrices sobre un tiempo mínimo de vacaciones anuales que deben tomar los
individuos clave
3. Tomar acciones expeditivas con respecto a cambios laborales, especialmente despidos.
4. probar regularmente los planes de respaldo (backup) del personal.
102
Concientizaciones de conocimiento y
esquemas de formación.
1. Seguimiento de resultados en
habilidades y competencias.
2. Requisitos de formación.
Práctica de Gobierno Entradas Salidas
Metas y objetivos de la empresa
Actividades
1. Definir las habilidades y competencias necesarias y disponibles actualmente tanto de recursos internos como externos
para lograr los objetivos de la Red, de TI y de procesos.
Mantener las habilidades y competencias del
personal.
Definir y gestionar las habilidades y
competencias necesarias del personal.
Verificar estas necesidades regularmente con
base en su educación, formación y/o
experiencia y verificar que estas se
mantienen, con programas de capacitación y
certificación en su caso. Proporcionar a los
empleados aprendizaje permanente y
oportunidades para mantener sus
conocimientos, habilidades y competencias al
nivel que los objetivos de la Red lo requieran.
Descripción Descripción
Enfoque del sistema de recompensas
Acciones correctivas para hacer frente
a las desviaciones en la gestión de
recursos.
Publicar repositorios de
conocimiento.
Matriz de habilidades y
competencias.
Planes de desarrollo de habilidades
Revisión de informes
Informes de rendimiento del
portafolio de inversiones
Programa de reconocimiento y
recompensas
Objetivos de desempeño de RRHH
alineados
2. Proporcionar una planificación formal de la carrera y desarrollo profesional para fomentar el desarrollo de competencias,
oportunidades de progreso personal y una menor dependencia de personas clave.
3. Proporcionar accesos a repositorios de conocimiento para apoyar el desarrollo de habilidades y competencias.
4. Identificar las diferencias entre habilidades necesarias y las disponibles. Desarrollar planes de acción para hacerle frente
de manera individual y colectiva, tales como formación, contratación, redistribución y cambios en las estrategias de
contratación.
5. Desarrollar y ejecutar programas de formación basados en los requisitos organizativos y de procesos, incluídos los
requisitos sobre conocimiento de la Red, control interno, conducta ética y seguridad.
7. Revisar los materiales y programas de formación de manera regular para asegurarse su adecuación a los requisitos
cambiantes de la Red y su impacto en los conocimientos, aptitudes y habilidades necesarias.
Práctica de Gobierno Entradas
6. Llevar a cabo revisiones periódicas para evaluar la evolución de las habilidades y competencias de los recursos internos y
externos. Revisar la planificación de la sucesión.
Resultados de revisión de
desempeño de RRHH
Metas y objetivos de la Red.
Evaluar el desempeño laboral de los
empleados.
Lleve a cabo oportunamente evaluaciones de
manera regular con respecto a los objetivos
individuales derivados de los objetivos de la
Red, las normas internas, las
responsabilidades específicas del trabajo y el
marco de habilidades y competencias. Los
empleados debieran recibir preparación sobre
el desempeño y conducta siempre que sea
apropiado.
Descripción Descripción
Enfoque del sistema de recompensas
Salidas
Actividades
1. Considerar los objetivos funcionales de la Red como el contexto para establecer las metas individuales.
2. Establecer los objetivos individuales alineados con los objetivos de los procesos relevantes, de modo que exista una clara
contribución a los objetivos de TI y de la Red. Basar las metas en objetivos SMART (Específicos, medibles, realizables,
pertinentes y de duración determinada) que reflejen las competencias básicas, los valores empresariales, y las habilidades
necesarias para las funciones.
3. Recopilar los resultados de la evaluación de desempeño de 360 grados.
4. implementar y comunicar un proceso disciplinario.5. Proporcionar instrucciones específicas para el uso y almacenamiento de información personal en el proceso de
evaluación, de conformidad con la legislación laboral y sobre datos personales aplicables.
6. Proporcionar retroalimentación oportuna sobre el desempeño frente a las metas del individuo.
7. Implementar un proceso de remuneración/reconocimiento que premie el compromiso adecuado, el desarrollo de
competencias y el logro exitoso de los objetivos de desempeño. Asegurar que el proceso se aplica de forma coherente y en
consonancia con las políticas de la Red.
8. Desarrollar planes de mejora de desempeño basados en los resultados del proceso de evaluación y requisitos de
capacitación y desarrollo de competencias identificados.
103
Actividades
1. Crear y mantener un inventario de recursos humanos de la Red.
2. Entender la demanda actual y futura de recursos humanos para apoyar el logro de los objetivos de TI y ofrecer servicios y
soluciones basados en la cartera de las iniciativas actuales relacionadas con las TI y las necesidades operativas del día a día.
4. Mantener información adecuada sobre el tiempo dedicado a diferentes tareas, trabajos, servicios o proyectos.
Práctica de Gobierno
Práctica de Gobierno Entradas Salidas
Entradas Salidas
3. Identificar las carencias y proporcionar datos de entrada a planes de aprovisionamiento, así como a los procesos de
contratación de la Red. Crear y revisar el plan de personal, haciendo seguimiento del uso real.
Planificar y realizar un seguimiento del uso de
recursos humanos de la Red y de TI.
Comprender y realizar un seguimiento de la
demanda actual y futura de recursos humanos
para la Red y TI con responsabilidades en TI de
la Red. Identificar las carencias y proporcionar
datos de entrada a los planes de
aprovisionamiento, planes de abastecimiento
de procesos de contratación de la Red y de TI
así como de procesos de contratación.
Descripción Descripción
Comunicación de las estrategias de
aprovisionamiento de recursos.
Comentarios sobre la asignación y
eficacia de recursos y capacidades.
Asignaciones presupuestarias.
Requisitos y funciones de recursos
Carteras actuales y futuras
Estructura organozativa de la Red.
Inventario de recursos humanos de la
Red.
Análisis de deficiencias en la
obtención de recursos.
Registros de utilización de recursos
3. Proporcionar a los contratistas una definición clara de sus funciones y responsabilidades como parte de sus contratos,
incluídos requisitos explícitos para documentar su trabajo en base a normas y formatos previamente acordados.
4. Llevar a cabo revisiones periódicas para asegurarse de que el personal contratado ha firmado y aceptado todos los
acuerdos necesarios.
5. Llevar a cabo revisiones periódicas para asegurarse que las funciones de los contratistas son adecuados y en línea con los
acuerdos.
Políticas de control del personal
Acuerdos contractuales
Revisiones de acuerdos contractuales
2. Obtener un acuerdo formal con los contratistas en el inicio del contrato en cuanto a qué están obligados a cumplir con el
marco de contro TI de RITA.
Actividades
1. Implementar políticas y procedimientos que describan cuándo, cómo y qué tipo de trabajo puede ser realizado o
incrementado por consultores y/o contratistas, de acuerdo con la política de contratación en el marco de control de la Red.
Gestionar el personal contratado
Asegurese que los consultores y el personal
contratado que apoyan a la Red con
capacidades de TI conocen y cumplen las
políticas de RITA así como los requisitos
contractuales previamente acordados.
Descripción Descripción
Requisitos y funciones de recursos
Requisitos y funciones de proyectos
Comunicación del retiro de programa
y responsabilidades en curso.
104
Matriz RACI:
Práctica clave
de GobiernoD
irec
tor
de
la R
ed
Co
ord
inad
or
de
la
Red
Lid
er e
n g
esti
ón
de
pro
yect
os
Líd
er t
écn
ico
Líd
er d
e TI
Líd
er e
n
soci
aliz
ació
n y
div
ulg
ació
nLí
der
de
serv
icio
s
mu
ltim
edia
Líd
er e
n in
gen
ierí
a
de
soft
war
e
Líd
er d
e se
rvic
ios
Líd
er d
e se
rvic
ios
de
con
ecti
vid
adEn
carg
ado
de
Cal
idad
Identificar personal
clave de TI
R A
Mantener las
habilidades y
competencias del
personal
R A
Evaluar el
desempeño laboral
de los empleadosR A
Planificar y realizar
un seguimiento del
uso de recursos
humanos de la Red
y de TI
R C R C C C C C
Gestionar el
personal
contratadoR A
105
APO06: Gestionar las relaciones
Existencia de buenas relaciones entre la red y
TI1. Nivel de satisfacción del usuario
Las partes interesadas de la red son
conscientes de que las oportunidades
posibilitadas por las TI
1. Número de nuevas ideas aplicadas a la prestación de los servicios
Conocimiento, experiencia e iniciativas para la
innovación 1. Número de nuevas ideas aplicadas a la prestación de los servicios
Metas y métricas del proceso
Meta del proceso Métricas relacionadas
Las estrategias y requisitos estan bien
entendidos, documentados y aprobados
1. Porcentaje de proyectos de Ti en los que el impacto es monitoreado a
traves de todo su ciclo de vida
2. Porcentaje de servicios de TI que generaron el impacto esperado
Meta de TI Métricas relacionadas
Alineamiento de TI y el enfoque misional de
RITA
1. Porcentaje de obejtivos corporativos y requerimientos sustentados por
objetivos de TI
2. Nivel de satisfacción de la dirección con el alcance del portafolio de
servicios
Entrega de servicios de TI de acuerdo a los
requisitos
1. Número de interrupciones de la actividad de la red debido a incidentes
relacionados con TI
Proceso COBIT: APO06 Gestionar las relaciones Area: Gestión
Dominio: Alinear, planificar y organizar
Descripción del proceso: gestionar las relaciones entre le negocio y TI de modo formal y transparente, enfocandolas hacia el
objetivo común de obtener resultados exitosos apoyando los objetivos estratégicos. Basar la relación en confianza mutua,
usando terminos entendibles, lenguaje común y voluntad de asumir la propiedad y responsabilidad en decisiones claves
Declaración del propósito del proceso: Crear mejores resultados, mayor confianza en la tecnología y conseguir un uso
efectivo de los recursos
El proceso apoya la consecución de un conjunto de principales metas de TI:
Actividades
1. Identificar las partes interesadas de la red, sus intereses y sus áreas de responsabilidad
2. Revisar la orientación de la red, asuntos y objetivos estratégicos actuales
3. Mantener una atención sobre los procesos y actividades asociadas y entender los patrones de demanda relacionados con
el volumen y uso de servicios
4. Esclarecer las espectativas de la red para los servicios y soluciones basados en TI y asegurar que los requisitos son
definidos con criterios y métricas aceptadas.5. Confirmar el acuerdo sobre las expectativas del negocio, los criterios de aceptacion y las métricas para TI por todas las
partes interesadas
6. Gestionar las expectativas asegurando que las unidades entienden las prioridades, dependencias, restricciones y la
necesidad de planificar peticiones
7. Entender el entorno de negocio actual, limitaciones o flujos de procesos, expansión o contracción geográfica y
motivaciones de la industria.
Entender las expectativas de la red.
Entender el enfoque actual y las expectativas
de la red para TI. Asegurar que los requisitos
son entendidos, gestionados y comunicados y
su estado acordado y aprobado
Descripción Descripción
Hoja de ruta estrategica
Proceso COBIT, Prácticas, Actividades y entradas/salidas del proceso
Práctica de Gobierno Entradas Salidas
Expectativas de negocio aprobadas y
acordadas
106
Actividades
1. Asignar un responsable de la relación como punto único de contacto por cada unidad significativa. Asegurar que se ha
identificado una contraparte única en la organización y que tenga entendimiento de la red, suficiente concientización
tecnológica y un nivel apropiado de autoridad
2. Gestionar la relación de un modo formal y transparente que asegure un enfoque en conseguir, como objetivo común y
compartido, resultados exitosos apoyando los objetivos estratégicos dentro de las limitaciones y tolerancia de riesgos
3. Definir y comunicar un proceso de reclamaciones y escalado de las mismas para resolver cualquier incidencia en la
4. Planificar interacciones especificas y calendarios basados en objetivos acordados mutuamente y en un lenguaje común5. Asegurar que las decisiones clave son acordadas y aprobadas por las partes interesadas responsables y relevantes
Práctica de Gobierno Entradas Salidas
Gestionar las relaciones con la red.
Gestionar la relación con los usuarios.
Asegurar que los roles y responsabilidades de
la relación estan definidos, asignados y se
facilita la comunicación.
Descripción Descripción
Incidentes y peticiones de servicio
clasificados y priorizados
Confirmación de las expectativas
cumplidas del usuario
Actividades
1. Entender las tendencias tecnológicas y las nuevas tecnologías y cómo pueden aplicarse de modo innovador para la mejora
del rendimiento de los servicios
2. Tomar un papel proactivo en identificar y comunicar a las partes interesadas clave de las oportunidades, riesgos y
limitaciones. Esto incluye tecnologías y servicios.
3. Colaborar en acordar los siguientes pasos para las principales nuevas iniciativas en colaboración con la gestión de la
cartera de servicios, incluyendo el desarrollo de los distintos casos.
4. Asegurar que la red y las TI entienden y aprecian los objetivos estrategicos y la vision de la arquitectura empresarial
5. Coordinar durante la planificación de nuevas iniciativas de TI para asegurar la integración
Decisiones claves acordadas
Estado de las quejas y del escalado
Peticiones de servicio e incidentes
cerrados
Estado de las peticiones cumplidas e
informe de tendencias
Estado de los incidentes
Práctica de Gobierno Entradas Salidas
Identificar oportunidades, riesgos y
limitaciones de TI para mejorar la red.
Identificar oportunidades potenciales para
que la TI sea catalizadora de la mejora del
rendimiento empresarial
Descripción Descripción
Identificar lagunas en servicios TI para
el negocio
Planes de acción, mejora y remedio
Informes de rendimiento del nivel de
servicio
Causas raíz de los fallos en la entrega
de calidad
Acuerdo en los siguientes pasos y
planes de acción
107
Actividades
1. Llevar a cabo análisis de satisfacción de clientes y proveedores. Asegurar que se actúa sobre las cuestiones detectadas y
que se reportan los resultados y estados
2. Trabajar continuamente para identificar, comunicar e implementar iniciativas de mejora3. Trabajar con la gestión del servicio y los propietarios de los procesos para asegurar que los servicios basados en TI y la
gestión de los procesos del servicio son mejorados continuamente y las causas raiz de cualquier incidente son identificadas
y resueltas
Proveer datos de entrada para la mejora
continua de los servicios.
Mejorar y evolucionar continuamente los
servicios basados en TI y la entrega del
servicio a la red para alinearlos con los
requisitos corporativos y tecnologicos
cambiantes
Descripción Descripción
Mediciones de éxito y resultados
Plan de mantienimiento
Resultados de la monitorización de la
calidad y entrega del servicio y
soluciones
Actividades1. Coordinar y comunicar cambios y actividades de transición tales como proyectos, planes de cambio, planificaciones,
políticas de lanzamiento, errores conocidos y concientización sobre la información
2. Coordinar y comunicar actividades operativas, roles y responsabilidades, incluyendo la definición de los tipos de petición,
escalado jerárquico, periodos de interrupción significativos y contenido y frecuencia de los informes de servicio
4. Mantener un plan de comunicación extremo a extremo que defina el contenido, frecuencia y destinatarios de la
información y entrega del servicio, incluyendo el estado de valor entregado y los riesgos identificados
Práctica de Gobierno Entradas Salidas
3. Tomar consideración de la reacción del la Red ante eventos que puedan influenciar en una relación con el mismo.
Proporcionar soporte directo si fuera necesario
Plan de soporte adicional
Definición de proyectos de mejora
potencial
Análisis de satisfacción
Resultados de revisiones y auditorias
de calidad
Catálogo de servicios
Resultados de calidad del servicio
Requisitos del cliente para la gestión
de calidad
Coordinar y comunicar.
Trabajar con las partes interesadas y coordinar
de extremo a extremo la entrega de los
servicios TI y las soluciones proporcionadas a
la red
Descripción Descripción
Comunicación del conocimiento
adquiridoRespuestas a los clientes
Práctica de Gobierno Entradas Salidas
Plan de uso y operación
Plan de soporte adicional
Comunicaciones delos tiempos de
mantenimiento
Comunicación del impacto de riesgo
Acuerdos de nivel de servicio
Plan de comunicación
Paquetes de comunicación
108
Matriz RACI:
R R C
Proveer datos de
entrada para la
mejora continua de
lso servicios
C C A R R R R
R R
Coordinar y
comunicar R R A R R R R
R RGestionar las
relaciones con la
redC R A R R R R
R R C
Identificar
oportunidades,
riesgos y
limitaciones de TI
I I A R R R R
R R CEntender las
expectativas de la
red
C C A R R R R
Líd
er d
e se
rvic
ios
acad
émic
os
Líd
er d
e se
rvic
ios
de
con
ecti
vid
adEn
carg
ado
de
Cal
idadPráctica clave
de Gobierno
Dir
ecto
r d
e la
Red
Co
ord
inad
or
de
la
Red
Lid
er e
n g
esti
ón
de
pro
yect
os
Líd
er t
écn
ico
Líd
er d
e TI
Líd
er e
n
soci
aliz
ació
n y
div
ulg
ació
n
Líd
er d
e se
rvic
ios
mu
ltim
edia
Líd
er e
n
inge
nie
ría
de
soft
war
e
109
APO07: Gestionar los acuerdos de servicio
Proceso COBIT: APO07 Gestionar los acuerdos de servicio Area: Gestión
Dominio: Alinear, planificar y organizar
Descripción del proceso: Alinear los servicios basados en TI y los niveles de servicios con las necesidades y expectativas de la
Red, incluyendo identificación, especificación, diseño, publicación, acuerdo y supervisión de los servicios TI, niveles de
servicio e indicadores de desempeño.
Declaración del propósito del proceso: Asegurar que los servicios TI y los niveles de servicio cubren las necesidades
presentes y futuras de RITA
El proceso apoya la consecución de un conjunto de principales metas de TI:
Meta de TI Métricas relacionadas
Entrega de servicios de TI de acuerdo a los
requisitos
1. Numero de interrupciones de la actividad de la red debido a incidentes
relacionados con TI
Disponibilidad de información útil y relevante
para la toma de decisiones
1. Nivel de satisfacción del usuario con la calidad y disponibilidad de la
información gestionada
2. Numero de incidentes causados por no disponibilidad de la información
Los acuerdos de servicio reflejan las
capacidades y necesidades de la TI
1. Nivel de satisfacción de la dirección con el alcance del portafolio de
servicios
Metas y métricas del proceso
Meta del proceso Métricas relacionadas
La estructura organizacional y las relaciones de
TI de la Red son flexibles y dan respuesta ágil.
1. Porcentaje de proyectos de Ti en los que el impacto es monitoreado a
traves de todo su ciclo de vida
RITA puede usar de modo efectivo los
servicios TI tal como se han definido en el
catálogo.
1. Porcentaje de servicios relacionados con TI que tienen evaluación del
riesgo
2. Porcentaje de servicios que se interrumpen o repiten por fallas de TI
Identificar servicios TI.
Analizar los reuisitos de la operación de la Red
y el modo en que los servicios TI y los niveles
de servicio soportan los procesos de la Red.
Discutir y acordar servicios potenciales y
niveles de servicio y compararlos con la
cartera actual para identificar servicios nuevos
o modificarlos, u opciones de nivel de
servicio.
Descripción Descripción
Identificar servicios de TI en la Red
Actividades
Proceso COBIT, Prácticas, Actividades y entradas/salidas del proceso
Práctica de Gobierno Entradas Salidas
Carencias identificadas de los
servicios TI de cara al impacto del
servicio de la Red.
Definición de servicios estándar.
1. Valorar los servicios de TI actuales y los niveles de servicio para identificar lagunas entre los servicios existentes y los
procesos de negocio de los que son base. Identificar áreas de mejora de los servicios existentes y de las opciones de nivel
de servicio.
2. Analizar, estudiar y estimar la futura demanda y confirmar la capacidad de los servicios TI existentes.
3. Analizar las actividades de los servicios de la Red para identificar la necesidad de servicios TI nuevos o rediseñados.
6. Revisar el catálogo de servicios TI regularmente con la gestión del catálogo y la gestión de relaciones para identificar
servicios obsoletos. Acordar la retirada de los mismos y proponer cambios.
4. Comparar los requisitos identificados con los componentes del servicio existentes en el catálogo. Si es posible, agrupar
los componentes del servicio existentes en nuevos paquetes para cumplir con los requisitos identificados.
5. Siempre que sea posible, relacionar demanda con paquetes de servicio y crear servicios estandarizados para obtener una
eficiencia global.
110
Práctica de Gobierno Entradas Salidas
Actividades
1. Publicar los servicios TI, paquetes de servicio y opciones de nivel de servicios activos de la cartera de servicios en los
catálogos.
2. Asegurar de forma continua que los componentes de servicio en el portafolio y en los catálogos de servicio relacionados
están completos y actualizados.
3. Informar al lider en socialización y divulgación las actualizaciones en el catálogo de servicio.
Catalogar servicios basados en TI.
Definir y mantener uno o más catálogos de
servicios para grupos de usuarios objetivo.
Publicar y mantener los servicios TI activos en
los catálogos.
Descripción Descripción
Plan de recursos aprobado
Comunicación de estrategias de
gestión de recursos
Carteras actualizadas de programas,
servicios y activos.
Catálogos de servicio
Definir y preparar acuerdos de servicio.
Definir y preparar los acuerdos de servicio
basándose en las opciones de los catálogos de
servicio. Incluir acuerdos de nivel de
operaciones interno.
Descripción Descripción
Requisitos del cliente para la gestión
de la calidad.
Práctica de Gobierno Entradas Salidas
Acuerdos de nivel de servicio (ANS)
Acuerdos de nivel operativos (OLA)
Práctica de Gobierno Entradas Salidas
Planes de acción de mejora y
remedio.
Actividades
1. Analizar los requisitos para acuerdos de servicio nuevos o modificados recibidos desde la gestión de las relaciones con la
Red para asegurar que los requisitos puedan ser emparejados con los niveles de servicio. Considerar aspectos tales como
tiempos de servicio, disponibilidad, rendimiento, capacidad, seguridad, continuidad, cumplimiento normativo y regulatorio,
usabilidad y limitaciones de la demanda.
2. Esbozar borradores de acuerdos a nivel de servicios con el usuario basados en los servicios, paquetes de servicios y
opciones de nivel de servicio en los catálogos de servicio.
3. Determinar, acordar y documentar los acuerdos operativos internos para cimentar los acuerdos de servicio con usuarios,
siempre que sea posible.
Supervisar e informar de los niveles de
servicio.
Supervisar los niveles de servicio, informar de
las mejoras e identificar tendencias.
Proporcionar información de gestión
adecuada para ayudar a la gestión del
rendimiento.
Descripción Descripción
Acciones de remediación para tratar
desviaciones en la gestión de
recursos.
Informes de rendimiento del nivel de
servicio.
Informes de rendimiento de la cartera
de inversiones.
1. Acciones correctivas para la mejora
del impacto realizado.
2. Resultados impactados y
comunicaciones relacionadas.
Análisis de satisfacción.
Resultados de revisiones y auditorías
de calidad.
Actividades
1. Establecer y mantener medidas para supervisar y recolectar datos del nivel de servicio.
2. Evaluar el rendimiento y proporcionar informes regular y formalmente sobre el rendimiento del acuerdo de servicio,
incluyendo desviaciones con respecto a los valores acordados.
3. Hacer revisiones regulares para anticipar e identificar tendencias en el rendimiento del nivel de servicio.
1. Causas raíz de fallos en calidad de la
entrega.
2. Resultados del monitoreo de la
calidad de la entrega del servicio o
solución.
Incidentes y peticiones de servicios
priorizados y clasificados.
Incidentes y peticiones de servicios
cerrados.
1. Informe del estado del
cumplimiento de peticiones y
tendencias.
4. Acordar planes de acción y remedio para los incidentes del rendimiento o tendencias negativas del mismo.
111
Matriz RACI:
Actividades
1. Revisar los términos de los acuerdos de servicio regularmente para asegurar que son efectivos y actuales y que los
cambios en los requisitos, servicios TI, paquetes de servicios u opciones de nivel de servicio se tienen en cuenta cuando sea
apropiado.
Práctica de Gobierno Entradas Salidas
Revisar acuerdos de servicio y contratos.
Llevar a cabo revisiones periódicas de los
acuerdos de servicio y revisarlos cuando sea
necesario.
Descripción Descripción
Opinión sobre la ubicación y
efectividad de recursos y
capacidades.
Resultados de revisiones y auditorías
de calidad.
ANS Actualizados.
Evaluaciones respecto a los ANS
Resultados de calidad del servicio,
incluyendo la opinión del usuario.
Práctica clave
de Gobierno
Dir
ecto
r d
e la
Red
Co
ord
inad
or
de
la
Red
Lid
er e
n g
esti
ón
de
pro
yect
os
Líd
er t
écn
ico
Líd
er d
e TI
Líd
er e
n s
oci
aliz
ació
n
y d
ivu
lgac
ión
Líd
er d
e se
rvic
ios
mu
ltim
edia
Líd
er e
n in
gen
ierí
a
de
soft
war
eLí
der
de
serv
icio
s
acad
émic
os
Líd
er d
e se
rvic
ios
de
con
ecti
vid
ad
Enca
rgad
o d
e
Cal
idad
Identificar servicios
TI.C R R R R R R R R R I
Catalogar servicios
basados en TI. I I R I I I I I I
Definir y preparar
acuerdos de
servicio.R R R C C C C C C C C
Supervisar e
informar de los
niveles de servicio.I I I R R R R R R R
Revisar acuerdos
de servicio y
contratos.A A A C R C C C C C C
112
APO08: Gestionar la calidad
Meta de TI Métricas relacionadas
Beneficio del impacto del portafolio de
servicios relacionado con las TI
1. Porcentaje de proyectos de TI en los que el impacto es monitoreado a
través de todo su ciclo de vida
2. Porcentaje de servicios de TI que generaron el impacto esperado
Entrega de servicios de TI de acuerdo a los
requisitos
1. Número de interrupciones de la actividad de la red debido a incidentes
relacionados con TI
Proceso COBIT: APO08 Gestionar la calidad Area: Gestión
Dominio: Alinear, planificar y organizar
Descripción del proceso: Definir y comunicar lso requisitos de calidad en todos los procesos, procedimientos y resultados
relacionados de la red, incluyendo controles, vigilancia constante y el uso de Prácticas probadas y estandares de mejora
continua y eficiencia
Declaración del propósito del proceso: Asegurar la entrega consistente de soluciones y servicios que cumplan con los
requisitos de la red y que satisfagan las necesidades de las partes interesadas
El proceso apoya la consecución de un conjunto de principales metas de TI:
Los resultados de los proyectos y de los
servicios entregados son predecibes
1. Nivel de satisfacción del usuario
2. Porcentaje de servicios de TI que generaron el impacto esperado
Los requisitos de calidad estan
implementados en todos los procesos
1. Nivel de satisfacción de la dirección con el alcance del portafolio de
servicios
Entrega de programas que proporcionen
beneficios a tiempo satisfaciendo los
requisitos y normas de calidad
1. Porcentaje de servicio prestados a tiempo
2. Porcentaje de satisfacción del cliente
3. Porcentaje de servicios que se interrumpen o repiten por fallas de TI
Metas y métricas del proceso
Meta del proceso Métricas relacionadas
Las partes interesadas estan satisfechas con la
calidad de los servicios y las soluciones
1. Nivel de satisfacciòn de la alta dirección de RITA y de TI con costes y
capacidades TI.
2. Nivel de satisfaccion con las respuestas de RITA a nuevos requerimientos
en TI
113
Proceso COBIT, Prácticas, Actividades y entradas/salidas del proceso
Práctica de Gobierno Entradas Salidas
1. Asegurar que el marco de control de TI, el negocio y los procesos de TI incluyen un enfoque estandar, formal y continuo de
gestion de la calidad que este alineado con los requerimientos de la red. Dentro del marco de control de TI y de los servicios,
identificar los requisitos y criterios de calidad
2. Definir roles, tareas, capacidades de decisión y responsabilidades para la gestión de la calidad dentro de la estructura
organizativa
4. Supervisar y medir la eficacia y aceptación de la gestion de la calidad y mejorarla cuando sea necesario
5. Alinear la gestión de la calidad TI con la gestión de la calidad a nivel de la Red fomentando un enfoque estandarizado y
continuo
6. Obtener los inputs necesarios de las partes interesadas internas y externas para la definición de los requisitos y criterios
de aceptación de la calidad
7. Comunicar de manera eficaz el enfoque
3. Definir planes de gestión de la calidad para los procesos, proyectos u objetivos importantes, que esten alineados con los
criterios y politicas del sistema de calidad a nivel corporativo. Registrar los datos relacionados con la calidad.
Establecer un sistema de gestion de la calidad.
Establecer y mantener un SGC que
porporcione una aproximación a la gestión de
la calidad para la información, la tecnología y
los procesos de la red que sea continua,
estandarizada, formal y que esté alineada con
los requerimientos y con la gestión de la
calidad a nivel corporativo
Descripción Descripción
SGC
Actividades
Roles, responsabilidades y gestion de
SGC
Resultados de las revisiones de
eficacia de SGC
Planes de gestion de la calidad
Certificaciones de la calidad
disponibles
8. Revisar periodicamente la relevancia, eficiencia y eficacia de los procesos especificos de gestión de calidad. Supervisar el
cumplimiento de los objetivos de calidad
Práctica de Gobierno Entradas Salidas
Definir y estionar estandares, procesos y
Prácticas de calidad.
Identificar y mantener los requisitos, normas,
procedimientos y Prácticas de los procesos
clave para orientar a la red en el cumplimiento
del SGC. Esto debería estar en consonancia con
los requisitos del marco de control TI.
Considerar la posibilidad de certificar los
procesos, las unidades de la organizacion y los
servicios clave
Descripción Descripción
Revisiones de la calidad aprobadas
Estándares de gestión de la calidad
Actividades
1. Definir las normas, procedimientos y Prácticas de gestion de la calidad en consonancia con los requisitos del marco de
control de TI. Hacer uso de otras redes académicas para mejorar y adaptar los procesos de gestion de calidad
2. Considerar los beneficios de las certificaciones de calidad
114
Práctica de Gobierno Entradas Salidas
Enfocar la gestión de la calidad en los
usuarios.
Enfocar la gestión de la calidad en los
usuarios, mediante la determinacion de sus
necesidades y asegurar el alineamiento con
las Prácticas de gestión de calidad
Descripción Descripción
Supervisar y hacer controles y revisión de la
calidad.
Supervisar la calidad de los servicios de forma
permanente como defina el SGC. Definir,
planificar y aplicar nuevas medidas para
supervisar la satisfacción del cliente con la
calidad , así como el valor que proporciona el
SGC. La información recogida debería ser
utilizada por los propietarios de los procesos
para mejorar la calidad.
3. Comunicar los requisitos y expectativas del usuario por toda la organización de la red y de TI
5. Supervisar regularmente que el SGC está de acuerdo a los criterios de aceptación de la calidad. Incluir los comentarios de
los usuarios y la dirección. Responder a las discrepancias en los resultados de las revisiones para lograr una mejora continua
en SGC
6. Capturar los criterios de aceptación de la calidad para su inclusión en los ANS
Práctica de Gobierno Entradas Salidas
4. Obtener periódicamente los puntos de vista del usuario sobre los servicios y la entrega de soluciones TI, para determinar
el impacto sobre las normas y Prácticas de TI y garantizar que se cumplen las expectativas de los usuarios y se actua en
consecuencia
Revisión de los resultados de la
calidad de los servicios, incluyendo la
opinión de los usuarios
Actividades
1. Enfocar la gestión de la calidad en los usuarios, mediante al determinación de los requisitos de los usuarios externos e
internos asegurando su alineamiento con las normas y Prácticas de TI. Definir y comunicar los roles y responsabilidades
relativos a la resolucion deconflictos entre usuarios y la organización TI.
2. Gestionar las necesidades y las expectativas de la Red para cada proceso de la misma, servicio operativo y nuevas
soluciones de TI y mantener sus criterios de aceptación de la calidad. Capturar los criterios de aceptación de la calidad para
su inclusion en los ANS
Requisitos de calidad de la red y de
los usuarios
Requisitos de los clientes para la
gestión de calidad
Criterios de aceptación
Resultados de las revisiones de
calidad, excepciones y correcciones
Plan de aseguramiento de la calidad
Estado de solicitudes de cambio e
informes de tendencias
Situación de los incidentes e informes
de tendencias
Resultados de las revisiones y
auditorías de calidad
Metas y métricas del proceso de
calidad de los servicios
Descripción Descripción
Actividades
1. Supervisar la calidad de los procesos y servicios de forma permanente y sistemática mediante la descripción, las métricas,
los análisis, la mejora, y controles de procesos
2. Preparar y llevar a cabo revisiones de calidad
6. Asegurar que la dirección y los propietarios de los procesos revisan periódicamente el rendimiento de la gestión respecto
a las métricas de calidad definidas.
4. Supervisar la calidad de los procesos, así como el beneficio proporcionado por la calidad. Asegurar que la medición,
supervisión y registro de la información utilizada por los propietarios de los procesos para tomar las acciones correctivas y
preventivas necesarias
5. Supervisar las métricas de calidad basadas en objetivos alineadas con los objetivos generales de calidad y cubriendo la
calidad de todos los servicios y los proyectos individuales
3. Informar de los resultados de las revisiones y poner en marcha las mejoras necesarias
7. Analizar los resultados del rendimiento de la gestión de la calidad global
115
Entradas Salidas
Integrar la gestion de la calidad en la
implementación de soluciones y la entrega de
servicios.
Incorporar las Prácticas pertinentes de gestión
de calidad en la definición, supervisión,
notificación y gestión continua del desarrollo
de soluciones y los servicios ofrecidos
Descripción Descripción
Resultados de la supervisión de la
calidad de los servicios y soluciones
entregadas
Práctica de Gobierno
1. Mantener y comunicar regularmente la necesidad y los beneficios de la mejora continua
6. Proporcionar a los empleados la formación necesaria en los métodos y herramientas de mejora continua
7. Realizar un análisis comparativo con los resultados de las revisiones de calidad internas frente a datos historicos, las
directrices de la industria, las normas y datos de tipo similar en otras empresas
Integrar la gestion de la calidad en la
implementación de soluciones y la
entrega de servicios
Portafolio de servicios
Ejemplos de las mejores Prácticas
para ser compartidos
Resultados de revisiones de analisis
comparativos de la calidad
2. Establecer una plataforma para compratir las mejores Prácticas y para capturar la información sobre los defectos y errores
que permita aprender de ellos
Actividades
Práctica de Gobierno Entradas Salidas
Mantener una mejora continua.
Mantener y comunicar regularmente un plan
de la calidad global que promueva la mejora
continua. Esto deberia incluir la necesidad y
los beneficios de una mejora continua.
Recoger y analizar datos sobre el SGC y
mejorar su eficacia. Promover una cultura de
mejora continua de la calidad
Descripción Descripción
Comunicaciones sobre las mejores
Prácticas y la mejora continua
Actividades
1. Integrar las Prácticas de gestion de la calidad en los procesos y Prácticas de desarrollo de soluciones
2. Supervisar de manera continua los niveles de servicio e incorporar Prácticas de gestión de la calidad en todos los procesos
y Prácticas de prestacion de servicios
3. Identificar y documentar las causas raíz de las no conformidades y comunicar los resultados de dirección de las TI y otras
partes interesadas de manera oportuna para permitir que se adopten las medidas correctivas oportunas. Cuando sea
necesario, realizar el seguimiento de las revisiones
Causas raíz de los fallos en la calidad
de la entrega
3. Identificar ejemplos recurrentes de inconformidades en calidad, determinar su causa raiz y evaluar su impacto y resultado
4. Promover una cultura de calidad y mejora continua
5. Establecer un circulo de retroalimentación entre la gestion de la calidad y la gestion de problemas
116
Matriz RACI:
Integrar la gestion
de la calidad en la
implementacion de
soluciones y
servicios
C A R R R R R R
R CEstablecer un
sistema de gestión
de la calidadC C I R I
Líd
er e
n
soci
aliz
ació
n y
div
ulg
ació
n
Líd
er d
e se
rvic
ios
mu
ltim
edia
Líd
er e
n in
gen
ierí
a
de
soft
war
e
Líd
er d
e se
rvic
ios
acad
émic
os
Líd
er d
e se
rvic
ios
de
con
ecti
vid
ad
Enca
rgad
o d
e
Cal
idadPráctica clave
de Gobierno
Dir
ecto
r d
e la
Red
Co
ord
inad
or
de
la
Red
Lid
er e
n g
esti
ón
de
pro
yect
os
Líd
e té
cnic
o
Líd
er d
e TI
R R R R
R R R R R CDefinir y gestionar
estandares, C C A R
R CEnfocar la gestión
de la calidad en los A R I R R R R
R CMantener una
mejora continua C A R
R R R R R C
Supervisar y hacer
controles y
revisiones de
calidad
C R A C
R R R R
117
APO09: Gestionar la seguridad
Proceso COBIT: APO09 Gestionar la seguridad Area: Gestiòn
Dominio: Alinear, planificar y organizar
Descripción del proceso: Definir, operar y supervisar un sistema para la gestión de la seguridad de la información
Declaración del propósito del proceso: Mantener el impacto y ocurrencia de los incidentes de la seguridad de la información
dentro de los niveles de apetito de riesgo de la red
El proceso apoya la consecución de un conjunto de principales metas de TI:
Disponibilidad de información útil y relevante
para la toma de decisiones
1. Nivel de satisfacción del usuario con la calidad y disponibilidad de la
información gestionada
2. Numero de incidentes causados por no disponibilidad de la información
Metas y métricas del proceso
Meta del proceso Métricas relacionadas
Está en marcha un sistema que considera y
trata efectivamente los requerimientos de
seguridad de l ainformación de la empresa
1. Número de incidentes de seguridad causantes de perdidas financieras,
interrupción de los servicios o vergüenza pùblica
2. Tiempo de concesión, cambio y eliminación de privilegios de acceso
Meta de TI Métricas relacionadas
Cumplimiento y soporte de TI al cumplimiento
de las leyes y regulaciones externas
1. Número de servicios relacionados con TI en los que se presentó
incumplimiento de leyes y regulaciones externas
Seguridad de la información, infraestructuras
de procesamiento y aplicaciones
1. Número de incidentes de seguridad causantes de perdidas financieras,
interrupción de los servicios o vergüenza pùblica
2. Tiempo de concesion, cambio y eliminacion de privilegios de acceso
Se ha establecido, aceptado y comunicado por
toda la red un plan de seguridad
1. Nivel de satisfacción del usuario con la calidad y disponibilidad de la
información gestionada
2. Número de incidentes causados por no disponibilidad de la información
Los soluciones de seguridad de la informacion
estan implementadas y operadas de forma
consistente en toda la empresa
1. Nivel de satisfacción de la dirección con el alcance del portafolio de
servicios
Gestión de riesgos del servicio relacionados
con las TI
1. Porcentaje de servicios relacionados con TI que tienen evaluación del
riesgo
2. Numero de incidentes significativos relacionados con TI que no fueron
identificados en la evaluación
3. Frecuencia de la actualización del perfil de riesgo
118
Establecer y mantener un SGSI.
Establecer y mantener un SGSI que
proporcione un enfoque estándar, formal y
continuo a la gestión para la seguridad de la
información, tecnologia y procesos de la red
que este alineado con los requerimientos y la
gestión de la seguridad
Descripción Descripción
Enfoque de seguridad de la empresa
Politica de SGSI
Proceso COBIT, Prácticas, Actividades y entradas/salidas del proceso
Práctica de Gobierno Entradas Salidas
Propuestas de proyectos para reducir
el riesgo
7. Comunicar el enfoque de SGSI
Práctica de Gobierno Entradas Salidas
Actividades
1. Definir el alcance y los limites del SGSI en terminos de las caracteristicas de la empresa, la organización, su localizacion,
activos y tecnologia. Incluir detalles de y justificacion para cualquier exclusion del alcance.
2. Definir un SGSI de acuerdo con la política y alineada con la red, la organización, su localización, activos y tecnología
3. Alinear el SGSI con el enfoque global de la gestión de la seguridad de la red
4. Obtener autorización de la dirección para implementar y operar o cambiar el SGSI
5. Preparar y mantener una declaración de aplicabilidad que describa el alcance del SGSI
6. Recomendar programas de formación y concientización de seguridad de la información
Declaración del alcance de SGSI
6. Definir y comunicar los roles y las responsabilidades de la gestión de la seguridad de la información
Diferencias y cambios necesarios para
alcanzar al capacidad del objetivo
Plan de tratamiento de riesgos de
seguridad de la informacion
Descripciones de dominios de partida
Actividades
1. Formular y mantener un plan de tratamiento de riesgos de seguridad de la información alineado con los objetivos
estratégicos. Asegurar que el plan identifica las Prácticas de gestion y las soluciones de seguridad apropiadas y óptimas, con
los recursos, las responsabilidades y las prioridades asociadas para gestionar los riesgos identificados de seguridad de
información
7. Integrar la planificación, el diseño, la implementación y al supervisión de procedimientos de seguridad de información y
otros controles que permitan la prevención y detección temprana de eventos de seguridad, asi como la respuesta a
incidentes de seguridad
2. Mantener un inventario de componentes de la solución implementados para gestionar los riesgos relacionados con la
seguridad como parte de la red
3. Desarrollar propuestas para implementar el plan de tratamiento de riesgos de seguridad de la información
4. Proporcionar información para el diseño y desarrollo de Prácticas de gestión y soluciones seleccionadas en base al plan de
tratamiento de riesgos de seguridad de la información
5. Definir la forma de medición de la efectividad de las Prácticas de gestion seleccionadas y especificar la forma de utilizar
estas mediciones para evaluar la efectividad y producir resultados reproducibles y comparables
Definir y gestionar un plan de tratamiento del
riesgo de seguridad de la información.
Mantener un plan de seguridad de la
información que describa cómo se gestionan y
alinean los riesgos de seguridad de la
información con la estrategia de la red.
Asegurar que las recomendaciones para
implementar las mejoras en seguridad se
basan en casos aprobados, se implementan
como parte integral del desarrollo soluciones
y servicios que se operan, después, como
parte integral de las operaciones de la red
Descripción Descripción
Casos de seguridad de la informacion
119
Matriz RACI:
Actividades
1. Realizar revisiones periodicas del SGSI, incluyendo aspectos de políticas, objetivos y Prácticas del SGSI. Considerar los
resultados de auditorias de seguridad, incidentes, resultados de mediciones de efectividad, sugerencias y retroalimentación
de todas las partes interesadas
2. Realizar auditorías internas al SGSI a intervalos planificados
3. Realizar revisiones periodicas al SGSI por la dirección para asegurar que el alcance sigue siendo adecuado y que se han
identificado mejoras en el proceso de SGSI4. Proporcionar información para el mantenimiento de los planes de seguridad para que consideren las incidencias de las
actividades de supervisión y revisión periódica
5. Registrar las acciones y los eventos que podrian tener un impacto en la efectividad o el desempeño del SGSI
Supervisar y revisar el SGSI.
Mantener y comunicar regularmente la
necesidad y los beneficios de la mejora
continua de la seguridad de la información.
Recolectar y analizar datos sobre el SGSI y la
mejora de su efectividad. Corregir las no
conformidades para prevenir recurrencias.
Promover una cultura de seguridad y de
mejora continua
Descripción Descripción
Recomendaciones para mejorar el
SGSI
Incidentes clasificados y priorizados y
requerimientos de servicios
Informes de auditoria del SGSI
Práctica de Gobierno Entradas Salidas
Establecer y
mantener un SGSIC C I R I
Práctica clave
de Gobierno
Dir
ecto
r d
e la
Red
Co
ord
inad
or
de
la
Red
Lid
er e
n g
esti
ón
de
pro
yect
os
Líd
er t
écn
ico
Líd
er d
e TI
I I I I I C
Líd
er e
n
inge
nie
ría
de
soft
war
eLí
der
de
serv
icio
s
acad
émic
os
Líd
er d
e se
rvic
ios
de
con
ecti
vid
ad
Enca
rgad
o d
e
Cal
idad
Líd
er e
n
soci
aliz
ació
n y
div
ulg
ació
n
Líd
er d
e se
rvic
ios
mu
ltim
edia
C C C C C C
Definir y gestionar
un plan de
tratamiento del
riesgo de la
seguridad de la
información
C C I R C
R R R R R CSupervisar y revisar
el SGSIC R R
120
BAI01: Gestionar los proyectos
Los beneficios esperados de los proyectos son
obtenidos y aceptados
1. Porcentaje de servicios que cumplieron las expectativas de los
usuarios
2. Porcentaje de servicios de TI que generaron el impacto
esperado
Beneficio del impacto del portafolio de servicios
relacionado con las TI
1. Porcentaje de proyectos de Ti en los que el impacto es
monitoreado a traves de todo su ciclo de vida
2. Porcentaje de servicios de TI que generaron el impacto
Entrega de servicios de TI de acuerdo a los
requisitos
1. Número de interrupciones de la actividad de la red debido a
incidentes relacionados con TI
Metas y métricas del proceso
Meta del proceso Métricas relacionadas
Las partes interesadas relevantes están
comprometidas con los programas y proyectos
1. Numero de veces que TI esta en la agenda de la mesa directiva
de manera proactiva
2. Número de nuevas ideas aplicadas a la prestación de los
servicios
El alcance y los resultados de los proyectos son
viables y están alineados con los objetivos
1. Porcentaje de interesados que comprenden las politicas
internas
Los planes de proyectos tienen probabilidades de
lograr los resultados esperados1. Porcentaje de servicios que tuvieron impacto en investigación
Las actividades de los proyectos se ejecutan de
acuerdo a los planes
1. Porcentaje de servicios que fueron aprobados
2. Tiempo promedio para acordar y aprobar un objetivo
estratégico de RITA
Gestión de riesgos del servicio relacionados con las
TI
1. Porcentaje de servicios relacionados con TI que tienen
evaluación del riesgo
2. Número de incidentes significativos relacionados con TI que
no fueron identificados en la evaluación
3. Frecuencia de la actualización del perfil de riesgo
Proceso COBIT: BAI01 Gestionar los proyectos Area: Gestión
Dominio: Construir, adquirir e implementar
Descripción del proceso: Gesionar todos los proyectos del portafolio de servicios de forma coordinada y en línea con
la estratégia de la Red. Iniciar, planificar, controlar y ejecutar programas y proyectos y cerrarlos con una revisión post-
implementación.
Declaración del propósito del proceso: Alcanzar los beneficios y reducir el riesgo de retrasos y costes inesperados y
el deterioro del valor, mediante la mejora de las comunicacionesy la involucración de los usuarios finales y de la
Red, asegurando el valor y la calidad de los entregables del proyecto, maximizando su contribución al portafolio de
servicios.
El servicio apoya la consecución de un conjunto de principales metas de TI:
Meta de TI Métricas relacionadas
Alineamiento de TI y el enfoque misional de RITA
1. Porcentaje de obejtivos corporativos y requerimientos
sustentados por
objetivos de TI
121
2. Mantener el plan del proyecto y cualquier plan dependiente para asegurar que están actualizados y reflejan su
progreso real y los cambios materiales aprobados.
3. Asegurar que existe una comunicación efectiva de los planes del proyecto y los informes de progreso dentro de
todos los proyectos y dentro del programa general.
4. Determinar actividades, interdependencias, colaboración necesaria y comunicación dentro de los múltiples
proyectos en el programa
5. Establecer un marco base de proyecto que es debidamente revisado, aprobado e incorporado en el plan de
proyectos integrado.
Salidas
Linea de referencia del
proyecto
Actividades
1. Desarrollar un plan de proyecto que provea información que permita a la dirección controlar el progreso del
proyecto progresivamente, el plan debería incluir detalles de los entregables del proyecto y criterios de aceptación,
recursos, responsabilidades, estructuras claras de división de trabajo y paquetes de tareas, estimación de recursos,
planes de lanzamiento, dependencias claves y definición de la ruta crítica.
1. Requisitos de gobierno de la
arquitectura
2. Descripciones en fase de valor
Portafolios de programas, servicios y
activos actualizados
riesgo de entrega el proveedor
indicado
Enfoques actualizados de
gestión de proyectos
Informes y
comunicaciones del
proyecto
Planificar proyectos
Establecer y mantener un programa de proyectos
formal, aprobado e integrado, para guiar la
ejecución del proyecto y controlarlo durante su
vida. El alcance del proyecto deberá estar
claramente definido y vinculado a la construcción y
aumento de la capacidad de la Red.
Planes del proyecto
Descripción Descripción
Pactica de Gestión Entradas
Actividades
1. Mantener y reforzar un programa estándar de la gestión de proyectos alineado al entorno específico de la Red
basado en buenas prácticas y uso de la tecnología apropiada. Asegurar que el enfoque cubra todo el estilo de vida,
incluyendo gestión de alcance, recursos, costes, tiempo, calidad, comunicaciones, adquisiciones, control de
cambios, integración y generación de beneficios
2. Actualizar el enfoque de gestión de proyectos sobre la base de las lecciones aprendidas en su uso
Plan aprobado de aceptación de
pruebas
Proceso COBIT, Prácticas, Actividades y entradas/salidas del proceso
Pactica de Gestión Entradas Salidas
Mantener un enfoque estándar para la gestión de
proyectos
Mantener un enfoque estándar que posibilite
revisiones y tomas de decisión de gobierno y de
gestión enfocadas en consecución de valor y de
objetivos para la Red de una forma consistente
Descripción Descripción
Requisitos para revisiones de cambio
de estado
Acciones para mejorar la entrega de
valor
122
7. Identificar las diferencias con el plan del proyecto y dar retroalimentación al jefe de proyecto para su solución.
6. Obtener la aprobación y firma documentada de los entregables producidos en cada iteración, lanzamiento o fase
del proyecto de los gestores y usuarios designados que afectan las funciones del negocio y las TI.
9. Establecer y operar un sistema de control de cambios para el proyecto de modo que todos los cambios de la línea
de referencia sean adecuadamente revisados, aprobados e incorporados en el plan del proyecto con su marco de
gobierno.
8. Evaluar el proyecto en los cambios de fase, versiones o iteraciones más importantes acordados y tomar la decisión
de parar o continuar de acuerdo con criterios de éxito predefinidos.
Descripción
Supervisar y controlar proyectos
Informes de avance del
proyectoSupervisar y controlar proyectos.
Medir el desempeño del proyecto versus sus
criterios claves de rendimiento, tales como
planificación, calidad, el coste y los riesgos. Evaluar
el impacto de las desvaciones en el proyecto e
informar a las partes interesadas clave.
Pactica de Gestión Entradas Salidas
Descripción
6. Identificar y autorizar la ejecución del trabajo de acuerdo al plan del proyecto.
Gestionar los recursos y los paquetes de trabajo de
gobierno.
Gestionar los paquetes de trabajo mediante
requerimientos formales de autorización y
aceptación de los paquetes de trabajo, y asignando
y coordinando los recursos del la Red y TI
adecuados.
Gestionar los recursos y los paquetes
de trabajo
Descripción Descripción
Requerimientos de
recursos del proyecto
Roles y
responsabilidades del
proyecto
Diferencias en la
planificación del
proyecto
Pactica de Gestión Entradas Salidas
Actividades
1. Establecer y usar un conjunto de criterios de proyectos que incluyan, pero no limitados a: alcance, planificación,
calidad, coste y nivel de riesgo
2. Medir el rendimiento del proyecto versus criterios clave de rendimiento. Analizar las desviaciones de criterios de
desempeño claves por su causa y evaluar los efectos positivos y negativos en los proyectos que lo componen.
3. Notificar el progreso del proyecto dentro del programa, las desviaciones de los criterios claves de desmpeño
establecidos y los efectos positivos y negativos en los proyectos que los componen a las partes interesadas claves.
4. Supervisar los criterios claves de desempeño del proyecto para determinar si estos representan medidas claves
del avance.
5. Recomendar y supervisar las acciones correctivas, cuando sean requeridas, en linea con el marco de gobierno del
proyecto.
7. Basar el proceso de aprobación en criterios de aceptación definidos y acordados con las partes interesadas antes
de que comience el trabajo sobre el entregable de la fase o la iteración.
Cambios acordados al
proyecto
Actividades
1. Identificar las necesidades de recursos de la Red y TI para el proyecto y mapear claramente los perfiles y
responsabilidades que han sido claramente acordadas y entendidas.
2. Identificar los requerimientos de habilidades y tiempo para todos los individuos involucrados en las fases del
proyecto con relación a sus perfiles definidos.
3. Utilizar un gestor de proyecto experimentado y un líder de equipo con las habilidades apropiadas al tamaño,
complejidad y riesgo del proyecto
4. Considerar y definir los roles de otras partes involucradas.5. Definir y acordar las responsabilidades sobre la compra y gestión de productos y servicios de terceras partes, así
como la gestión de las relaciones
123
Matriz RACI:
Descripción Descripción
5. Obtenga la aceptación de los entregables y la transferencia de propiedad del proyecto de las partes interesadas.
Pactica de Gestión Entradas Salidas
Actividades
1. Definir y aplicar los pasos clave para el cierre del proyecto, incluyendo revisiones post-implementación que
evalúen si el proyecto obtuvo los resultados y beneficios esperados.
2. Planificar y ejecutar revisiones post-implementación para identificar si los proyectos entregaron el beneficio
esperado y así mejorar la metodología de gestión de proyectos.
3. Identificar, asignar y rastrear y comunicar las actividades incompletas necesarias para lograr los resultados y
beneficios planeados del programa de proyecto.
Cerrar un proyecto o iteración.
Solicitar a las partes interesadas del proyecto, al
final de cada proyecto, versión o iteración, que
evalúen si el proyecto, fase o iteración entregaron
los resultados y beneficios planeados. Identificar y
comunicar cualquier actividad pendiente necesaria
para lograr los resultados y beneficios del
proyecto. Identificar y documentar las lecciones
aprendidas para futuros proyectos.
4. Recolectar las lecciones aprendidas de los participantes del proyecto regularmente y hasta la finalización del
proyecto. Analice datos y haga recomendaciones para mejorar los proyectos actuales así como el método de gestión
para proyectos futuros.
1. Plan de acciones de remediación
2. Informe de revisión post-
implementación
Resultados de la revisión
post-implementación
Lecciones aprendidas del
proyecto
Confirmaciones de
aceptación de las partes
interesadas del proyecto
Practica clave
de Gobierno
Dir
ecto
r d
e la
Red
Co
ord
inad
or
de
la
Red
Lid
er e
n g
esti
ón
de
pro
yect
os
Líd
e té
cnic
o
Líd
er d
e TI
Líd
er e
n
soci
aliz
ació
n y
div
ulg
ació
nLí
der
de
serv
icio
s
mu
ltim
edia
Líd
er e
n in
gen
ierí
a
de
soft
war
e
Líd
er d
e se
rvic
ios
acad
émic
os
Líd
er d
e se
rvic
ios
de
con
ecti
vid
ad
Enca
rgad
o d
e
Cal
idad
Mantener un
enfoque estándar
para la gestión de
proyectos
A C R
Planificar
proyectosR C C C C C C C
Supervisar y
controlar proyectosI I I R R R R R
Gestionar los
recursos y los
paquetes de
trabajo de
gobierno
R R R R R R C
Cerrar un proyecto
o iteraciónR C C C C C
124
BAI02: Gestionar la dirección de requisitos
1. Nivel de satisfacciòn de la alta dirección de RITA y de TI con costes y
capacidades TI.
Proceso COBIT: BAI02 Gestionar la dirección de requisitos Area: Gestión
Dominio: Construir, Adquirir e Implementar
Descripción del proceso: identificar soluciones y analizar requerimientos antes de la adquisición o creación para asegurar
que esten en linea con los requerimientos estrategicos de la organización y que cubren los servicios actuales. Coordinar con
las partes interesadas afectadas la revisión de las opciones viables.
Declaración del propósito del proceso: Crear soluciones viables y optimas que cumplan con las necesidades de la red
mientras minimizan el riesgo
El proceso apoya la consecución de un conjunto de principales metas de TI:
Las soluciones propuestas cumplen con los
objetivos y restricciones de la red
1. Nivel de satisfacciòn de la alta dirección de RITA y de TI con costes y
capacidades TI.
Metas y métricas del proceso
Meta del proceso Métricas relacionadas
El riesgo asociado con los requerimientos ha
sido tomado en cuenta en la solución
propuesta
1. Número de incidentes significativos relacionados con TI que no fueron
identificados en la evaluación de riesgo
Los requerimientos funcionales y tecnicos del
negocio reflejan las necesidades y
expectativas de la red
La solucion propuesta satisface los
requerimientos funcionales y tecnicos
1. Nivel de satisfaccion con las respuestas de RITA a nuevos requerimientos
en TI
Meta de TI Métricas relacionadas
Alineamiento de TI y el enfoque misional de
RITA
1. Porcentaje de obejtivos corporativos y requerimientos sustentados por
objetivos de TI
2. Nivel de satisfacción de la dirección con el alcance del portafolio de
servicios
Entrega de servicios de TI de acuerdo a los
requisitos
1. Número de interrupciones de la actividad de la red debido a incidentes
relacionados con TI
125
6. Confirmar la aceptación de aspectos clave de los requerimientos, incluyendo reglas de la red, controles de información,
cumplimiento legal, auditabilidad , ergonomia, operatividad y usabilidad, seguridad y soporte documental
Guia de desarrollo de la solucion
Catalogo de proveedores
Resultados de decision de las
evaluaciones
Criterios de aceptación
Informes de estudio y viabilidad
Plan de alto nivel de desarrollo
Guía de desarrollo de la soluciónModelo de arquitectura de la
información
Repositorios de definicion de
requermientos
Confirmacion de los criterios de
aceptación de las partes interesadas
2. Expresar los requerimientos de la empresa en terminos de cómo la diferencia entre las capacidades de la red existentes y
deseadas son tratadas y cómo cada rol interectuará con la solución y la utilizará
Realizar un estudio de viabilidad y proponer
soluciones alternativas.
Realizar un estudio de viabilidad de las
principales soluciones alternativas, evaluando
su viabilidad y seleccionando su opción
preferida. Si se considera, inplementar la
opción seleccionada como un piloto para
determinar las posibles mejoras
Descripción Descripción
Actividades1. Definir e implementar la definición de requerimientos y el procedimiento de mantenimiento y un repositorio de
requisitos acorde al tamaño, complejidad, objetivos y riesgos de la iniciativa que la red considera
7. Hacer seguimiento y controlar el alcance, los requerimientos y los cambios a lo largo del ciclo de vida de la solución del
proyecto según evolucione la comprension de la solución
8. Considerar los requerimientos relativos a políticas y estándares, arquitectura, planes TI estratégicos y tácticos, procesos
de TI, requerimientos de seguridad, requerimientos regulatorios, competencias del personal, estructura organizativa y
tecnologías catalizadoras
Práctica de Gobierno Entradas Salidas
3. Durante todo el proyecto, obtener, analizar y confirmar que los requerimientos de todas las partes interesadas,
incluyendo los criterios de aceptación relevantes, son considerados, obtenidos, priorizados y registrados de un modo
comprensible para las partes interesadas, patrocinadores de negocio y personal de la implementación técnica, reconociendo
qu elos requerimientos pueden cambiar y llegar a ser más detallados según se implementen
Actividades1. Definir y ejecutar un estudio de viabilidad, piloto o solución básica funcional que clara y concisamente describa las
soluciones alternativas que satisfacerán los requerimientos funcionales y de la red. Incluir una evaluación de su viabilidad
técnica y económica2. Identificar las acciones requeridas para la adquisición o desarrollo de la solución, basada en la arquitectura de la empresa
y tener en cuenta el alcance y limitaciones
3. Revisar las soluciones alternativas con todas las partes interesadas y seleccionar la más apropiada basada en criterios de
viabilidad, incluyendo riesgos
4. Traducir la linea de acción preferida a un plan de alto nivel de desarrollo identificando recursos a utilizar y fases que
requieran decisiones de continuar/no continuar
Proceso COBIT, Prácticas, Actividades y entradas/salidas del proceso
Práctica de Gobierno Entradas Salidas
4. Especificar y priorizar la información, los requerimientos técnicos y funcionales basados en los requerimientos de las
partes interesadas. Incluir requerimientos de control de la información en los procesos de la red, procesos automatizados y
entornos de TI para hacer frente a los riesgos de la información y cumplimiento con regulaciones, leyes y contratos
comerciales
5. Validar todos los requerimientos mediante aproximaciones tales como revision por iguales, validacion del modelo o
prototipo operativo.
Definir y mantener los requerimientos
tecnicos y funcionales de la red.
Basándose en lo observado, identificar,
priorizar, especificar y acordar los
requerimientos de información de la Red,
funcionales, técnicos y de control que cubra el
alcance/entendimiento de todas las iniciativas
necesarias para alcanzar los resultados
esperados de la solución de TI propuesta
Descripción Descripción
Procedimientos de integridad de
datos
Guias de control y seguridad de datos
Guias de clasificación de datos
Principios de arquitectura
Registros de las peticiones de cambio
de los requerimientos
Criterios de aceptación
126
Matriz RACI:
Actividades
1. Involucrar a las partes interesadas para crear una lista potencial de requerimientos técnicos, funcionales, de calidad y
riesgos relativos al procesamiento de la información
2. Analizar y priorizar los riesgos de los requerimientos conforme probabilidad e impacto. Si aplica, determiar los impactos
3. Identificar modos de controlar, evitar o mitigar los riesgos de los requerimientos en orden de prioridad
Práctica de Gobierno Entradas Salidas
Obtener la aprobación de los requerimientos
y soluciones.
Coordinar la retroalimentación de las partes
interesadas afectadas y, en las fases clave
predeterminadas, obtener la aprobación y la
firma del patrocinador o propietario del
producto y cierre de los requerimientos
técnicos y funcionales, de los estudios de
viabilidad, de los análisis de riesgos y de las
soluciones recomendadas
Descripción Descripción
Plan de gestión de calidad
Aprobaciones del patrocinador de los
requerimientos y soluciones
propuestas
Descripción
Riesgos de los requerimientos
Registro de riesgos de los
requerimientos
Acciones de mitigaciòn de riesgos
Práctica de Gobierno Entradas Salidas
Aprobaciòn de las revisiones de
calidad
Actividades1. Asegurar que la dirección de la red toman la decision final con respecto a la elección de la solución y diseño de alto nivel.
Coordinar la realimentaciòn de las partes interesadas afectadas y obtener cierre por parte de las autoridades apropiadas,
tanto técnicas como estratégicas
2. Obtener revisiones de calidad completas y de cada fase clave del proyecto, iteración o version, comparando los resultados
con los criterios originales de aceptación. Disponer la firma de la dirección y otros interesados en cada revisión de calidad
Gestionar los riesgos de los requerimientos.
Identificar, documentar, priorizar, y mitigar los
riesgos funcionales y técnicos relativos a
procesamiento de la información y asociados
con los requerimientos de la red y la solución
propuesta
Descripción
Gestionar los
riesgos de los
requerimientosR R R R C C C C C C
C C C C C C
Obtener la
aprobación de los
requerimientos y
las soluciones
R R C C
C C C C C C
Realizar un estudio
de viabilidad y
proponer
soluciones
alternativas
R R C C
C C C C C C
Definir y mantener
los requerimientos
tecnologicos y
funcionales de la
red
I R C C
Líd
er e
n
soci
aliz
ació
n y
div
ulg
ació
n
Líd
er d
e se
rvic
ios
mu
ltim
edia
Líd
er e
n in
gen
ierí
a
de
soft
war
e
Líd
er d
e se
rvic
ios
acad
émic
os
Líd
er d
e se
rvic
ios
de
con
ecti
vid
ad
Enca
rgad
o d
e
Cal
idadPractica clave
de Gobierno
Dir
ecto
r d
e la
Red
Co
ord
inad
or
de
la
Red
Lid
er e
n g
esti
ón
de
pro
yect
os
Líd
e té
cnic
o
Líd
er d
e TI
127
BAI03: Gestionar la identificación y la construcción de soluciones
Las actividades de mantenimiento
cumplen con las necesidades
tecnológicas
1. Porcentaje de servicios que tuvieron impacto en investigación
2. Porcentaje de satisfacción del Usuario
Diseño de la solución incluyendo los
componentes relevantes, cumpliendo
las necesidades, alineándose con
estándares y tratando todos los
riesgos identificados
1. Numero de veces que TI esta en la agenda de la mesa directiva de manera
proactiva
2. Frecuencia de reuniones del equipo relacionado con TI
3. Porcentaje de servicios relacionados con TI que tienen evaluación del riesgo
1. Numero de incidentes significativos relacionados con TI que no fueron
identificados en la evaluación
1. Porcentaje de servicios que se interrumpen o repiten por fallas de TI
2. Numero de interrupciones de la actividad de la red debido a incidentes
relacionados con TI
Proceso COBIT: BAI03 Gestionar la identificación y
la construcción de soluciones
Area: Gestión
Dominio: Construir, adquirir e implementar
Descripción del proceso: Establecer y mantener soluciones identificadas en línea con los requerimientos de la Red que
abarcan el diseño, desarrollo compras/contratación y asociación con proveedores/fabricantes. Gestionar la
configuración, preparación, realización de pruebas, gestion de requerimientos y mantenimiento de procesos,
apliacaciones, datos, e infraestructura.
Declaración del propósito del proceso: Establecer soluciones puntuales y rentables capaces de la estratégia de la Red y
sus objetivos operacionales.
El servicio apoya la consecución de un conjunto de principales metas de TI:
Metas y metricas del proceso
Meta del proceso Metricas relacionadas
Meta de TI Métricas relacionadas
Entrega de servicios de TI de acuerdo
a los requisitos
1. Numero de interrupciones de la actividad de la red debido a incidentes
relacionados con TI
La solución es de una calidad
aceptable y ha sido probada
convenientemente
Los cambios aprobados estan
correctamente incorporados a la
solución
Principios de arquitectura
Descripciones de los dominios de
referencia y la definición de
Análisis de investigación de las
necesidades de innovación
Evaluación de las ideas de innovación
1. confirmar criterios de aceptación
de las partes interesadas.
2. Repositorio de la definición de
requerimientos.
Descripción
Proceso COBIT, Prácticas, Actividades y entradas/salidas del proceso
Pactica de Gestión Entradas Salidas
Actividades
1. Establecer especificaciones de diseño a alto nivel que traduzcan la solución propuesta en procesos, servicios
soportados, aplicaciones, infraestructura y repositorios de información
Plan de alto nivel de
adquisiciones/desarrollo
Aprobación de las especificaciones del
diseño de alto nivel
2. Involucrar a usuarios experimentados y apropiadamente cualificados en el proceso de diseño para asegurar que el
diseño usa unas capacidades TI óptimas
Diseñar soluciones de alto nivel
Desarrollar y documentar diseños de
alto nivel usando técnicas de
desarrollo ágil o por fases apropiadas
y acordadas. Asegurar el alineamiento
con la estratégia TI y la arquitectura
empresarial. Asegurar que las partes
interesadas participen en el diseño y
aprobación de cada versión.
Descripción
3. Crear un diseño al nivel de detalle apropiado para la solución y el método de desarrollo en consonancia con el perfil
de la Red.
128
Pactica de Gestión Entradas Salidas
Construir soluciones.
Instalar y configurar las soluciones e
integrarlas con los procesos de la Red.
Implementar controles y medidas de
seguridad para proteger los recursos y
asegurar la disponibilidad e
integridad de los datos.
Descripción
Actividades
1. Integrar y configurar componentes de la solución TI y de negocio así como los repositorios de la información en línea
con las específicaciones detalladas y los requerimientos de calidad.
2. Completar y actualizar cuando sea necesario el proceso de negocio y los manuales de operaciones para registrar
cualquier personalización o condiciones especiales en la implementación.
3. Asegurar la interpolaridad de de los componentes de la solución con las pruebas soporte
4. Configurar que el software de aplicación adquirido cumple con los requerimientos de proceso.
5. Definir el catálogo de servicios para los grupos de objetivos internos y externos basados en los requerimientos de la
Red.
Descripción Descripción
Descripción
Actividades
1. Diseñar progresivamente las actividades del proceso y los flujos de trabajo necesarios para llevar a cabo
conjuntamente con el nuevo sistema de aplicación para alcanzar los objetivos de la Red,
2. Clasificar las entradas y salidas de datos acorde a los estándares de arquitectura empresarial.
3. Diseñar la interfaz del sistema/solución, incluyendo cualquier intercambio sistematizado de datos.
4. Diseñar el almacenamiento de los datos, localización y capacidad de recuperación.
5. Diseñar la redundancia, recuperación y copia de seguridad apropiadas.
Diseñar los componentes detallados
de la solución
Desarrollar, documentar y elaborar
diseños detallados progresivamente
usando técnicas de desarrollo ágiles o
por fases acordadas considerando
todos los componentes.
Principios de arquitecturaEspecificaciones de diseño detalladas y
aprobadas
6. Diseñar la interfaz entre el usuario y la aplicación del sistema para que sea fácil de usar y autoexplicativo.
7. Considerar el impacto de las necesidades de la solución en el rendimiento de la infraestructura.
8. Evaluar proactivamente las debilidades del diseño a través de todo el ciclo de vida, identificando mejoras cuando se
requieran.
9. Proporcionar métodos para auditar e identificar la causa raíz de los problemas en el procesamiento.
Componentes de la solucion integrados
y configurados
Pactica de Gestión Entradas Salidas
129
5. Para actualizaciones de mantenimiento, utilizar los procesos de gestión de cambios.
4. Asegurar que el patrón y volumen de las actividades son análizadas periódicamente para buscar tendencias
anormales indicando una merma en la calidad o problemas de rendimiento.
Plan de mantenimiento
Componentes de la solución
actualizados y documentación
relacionada
Actividades
1. Desarrollar y ejecutar un plan para el mantenimiento de la solución y componentes de la infraestructura. Incluir
revisiones periodicas de las mismas.
2. Evaluar la significancia de las actividades de mantenimiento propuestas sobre el diseño de la solución,
funcionalidad y/o procesos de la Red actuales. Asegurar que los propietarios de los servicios comprenden el efecto de
los cambios.
3. En el caso de cambios mayores a las soluciones existentes que resulten en un cambio significativo en el diseño
actual y/o funcionalidad de los servicios, seguir el proceso usado para nuevos sistemas. Para procesos de
mantenimiento usar los procesos de gestión de cambios.
Resultados de las iniciativas de
pruebas de concepto
Registro de peticiones de cambios de
requerimientos
Registro de todas las peticiones de
cambio aprobadas y aplicadas
Pactica de Gestión Entradas Salidas
1. Evaluar el impacto de todas las peticiones de cambio de la solución en el desarrollo de la solución. Categorizar y
priorizar las peticiones convenientemente.
2. Hacer seguimiento de los requerimientos facilitando a las partes interesadas la supervisión, revisión y aprobación
de los cambios. Asegurar que los procesos de cambio en los procesos estpan entendidos por todos los involucrados.
Descripción Descripción
3. Aplicar las peticiones de cambio, manteniendo la integridad de la integración y configuración de los componentes
de la solución.
Mantener soluciones
Desarrollar y ejecutar un plan para el
mantenimiento de la solución y
componentes de la infraestructura.
Incluir revisiones periodicas de las
mismas.
Actividades
1. Definir un plan de calidad y prácticas incluyendo, por ejemplo, especificación de criterios de calidad, procesos de
validación y verificación, definición de cómo se revisará la calidad, entre otras.
2. Supervisar frecuentemente la solución de calidad, pasada en los requerimientos del proyecto, políticas de empresa,
adhesión a metodologías de desarrollo, procedimientos de gestión de calidad y criterios de aceptación.
3. Supervisar todas las excepciones de calidad y tratar todas las acciones correctivas. Mantener un registro de todas las
revisiones, resultados, excepciones y correcciones.
Actividades
Pactica de Gestión Entradas Salidas
Gestionar cambios a los
requerimientos
Hacer seguimiento del estado de los
requerimientos individuales a través
de todo el ciclo de vida de los
proyectos y gestionar la aprobación
de los cambios a los requerimientos.
Descripción Descripción
Resultado de las revisioens de
efectividad del SGC
Plan de gestión de calidad
Realizar controles de calidad
Desarrollar y ejecutar un plan de
calidad (QA) alineado con el SGC para
obtener la calidad especificada en la
definición de los requerimientos y de
acuerdo a las políticas y
procedimientos de calidad de la Red.
Descripción Descripción
Plan de aseguramiento de la calidad
(QA)
Resultados de la revisión de calidad,
excepciones y correcciones.
Pactica de Gestión Entradas Salidas
130
Matriz RACI:
Catálogo de servicios actualizado
Actividades
1. Proponer definiciones de los nuevos o modificados servicios que aseguren que los servicios cumplen con el
propósito. Documentar las definiciones en el catálogo de servicios.
2. Proponer cambios o nuevas opciones de niveles de servicios para asegurar que los servicios son adecuados para su
uso.
3. Si los cambios a los servicios provienen de una autoridad de aprobación adecuada, construir los cambios o los
nuevos servicios. De otro modo, parar los cambios para revision al responsable de cada servicio.
Directrices para la asignación de
recirsos y capacidades
1. Valorar beneficios para el entorno
objetivo
2. Cambios requeridos para ajustar la
capacidad objetivo
Asignaciones de presupuestos
Pactica de Gestión Entradas Salidas
Definir los servicios TI y mantener el
catálogo de servicios.
Definir y acordar nuevos servicios TI o
cambios y opciones de nivel de
servicio. Documentar nuevas
definiciones o cambios en los
servicios y opciones de nivel de
servicio que serán actualizadas en el
catálogo de servicios.
Descripción Descripción
1. Comunicación del presupuesto
2. Plan y presupuesto TI
Definiciones de servicio
Practica clave
de Gobierno
Dir
ecto
r d
e la
Red
Co
ord
inad
or
de
la
Red
Lid
er e
n g
esti
ón
de
pro
yect
os
Líd
er t
écn
ico
Líd
er d
e TI
Líd
er e
n
soci
aliz
ació
n y
div
ulg
ació
n
Líd
er d
e se
rvic
ios
mu
ltim
edia
Líd
er e
n in
gen
ierí
a
de
soft
war
e
Líd
er d
e se
rvic
ios
acad
émic
os
Líd
er d
e se
rvic
ios
de
con
ecti
vid
ad
Enca
rgad
o d
e
Cal
idad
Diseñar soluciones
de alto nivel I R R R R R R R C
Diseñar los
componentes
detallados de la
solución
I R R R R R R R C
Construir
solucionesI R R R R R R R C
Realizar controles
de calidadI R R R R R R R C
Gestionar cambios
a los
requerimientosI R R R R R R R C
Mantener
solucionesI R R R R R R R C
Definir los
servicios TI y
mantener el
catálogo de
servicios
I I R I I I I I I
131
BAI04: Gestionar la disponibilidad y la capacidad
Meta de TI Métricas relaciónadas
Entrega de servicios de TI de acuerdo a los
requisitos
1. Número de interrupciónes de la actividad de la red debido a incidentes
relaciónados con TI
Proceso COBIT: BAI04 Gestionar la disponibilidad y la
capacidad
Area: Gestión
Dominio: Construir, Adquirir e Implementar
Descripción del proceso: Equilibrar las necesidades actuales y futuras de disponibilidad, rendimiento y capacidad con una
provisión de servicio efectiva. Incluye la evaluación de las capacidades actuales, la previsión de necesidades futuras basadas
en los requerimientos de la red, el análisis de impacto y la evaluación de riesgo para planificar e implementar acciónes para
alcanzar los requerimientos identificados
Declaración del propósito del proceso: Mantener la disponibilidad del servicio, la gestión eficiente de recursos y la
optimización del rendimiento de los sistemas mediante la predicción del rendimiento futuro y de los requerimientos de
capacidad
El proceso apoya la consecución de un conjunto de principales metas de TI:
1. Nivel de satisfacciòn de la alta dirección de RITA y de TI con costes y
capacidades TI.
Disponibilidad de información útil y relevante
para la toma de decisiones
1. Nivel de satisfacción del usuario con la calidad y disponibilidad de la
información gestionada
2. Número de incidentes causados por no disponibilidad de la información
Optimización de infraestructura, recursos y
capacidades de las TI
Cuestiones de disponibilidad, rendimiento y
capacidad identificados y resueltos de manera
rutinaria
1. Nivel de satisfacción con las respuestas de RITA a nuevos requerimientos
en TI
Meta del proceso Métricas relaciónadas
El plan de disponibilidad anticipa la
expectativa de la red en cuanto a
requerimientos criticos de capacidad
1. Nivel de satisfacción con las respuestas de RITA a nuevos requerimientos
en TI
Cumplimiento de requerimientos de
capacidad, rendimiento y disponibilidad
1. Nivel de satisfacciòn de la alta dirección de RITA y de TI con costes y
capacidades TI.
Registro de requisitos de riesgo
Evaluar la disponibilidad, rendimiento y
capacidad actual y crear una linea de
referencia.
Evaluar al capacidad, rendimiento y al
capacidad de los servicios y recursos para
asegurar que se encuentra disponible una
capacidad y un rendimiento justificables para
dar soporte a las necesidades del negocio y
para entregar el servicios de acuerdo a las
ANS. Crear lineas de referencia para la
disponiblidad, el rendimiento y la capacidad
para comparaciónes futuras
Descripción Descripción
Repositorio de definición de
requisitos
Lineas de referencia de
disponibilidad, rendimiento y
capacidad
Evaluaciónes respecto a ANS
4. Evaluar periodicamente los niveles reales de rendimiento a todos los niveles de procesamientomediante la comparación
con las tendencias y los ANS teniendo en cuenta los cambios en el entorno
3. Identificar y dar seguimiento a todos los incidentes causados por un rendimiento o una capacidad inadecuados
2. Supervisar el rendimiento y la utilización de la capacidad reales frente a umbrales definidos, con el apoyo cuando sea
necesario de software automatizado
1. Considerar en la evaluación de disponibilidad, rendimiento y capacidad de servicios y recursos lo siguiente: Requisitos del
cliente, prioridades de la red, objetivos de la red, impacto en el presupuesto, utilizaciòn de recursos, capacidades de TI y
tendencias de industria
Actividades
Proceso COBIT, Prácticas, Actividades y entradas/salidas del proceso
Práctica de Gobierno Entradas Salidas
132
Práctica de Gobierno Entradas Salidas
Actividades
1. Identificar solamente aquellos soluciónes o servicios que son críticas para los procesos de gestión de la disponibilidad y la
capacidad
7. Asegurar que los propietarios de procesos de la red comprenden completamente y estan de acuerdo con los resultados
del analisis. Obtener una lista de escenarios de riesgo inaceptables de la dirección de la red que requieran una respuesta
para reducir el riesgo a niveles aceptables
6. Determinar el impacto de los escenarios en las medidas de rendimiento de la red. Involucrar a la linea de la dirección,
lideres funcionales y regionales para comprender su evaluación de impacto
Práctica de Gobierno Entradas Salidas
Evaluar el impacto de negocio.
Identificar los servicios importantes para la
empresa, mapear los servicios y recursos con
los servicios e identificar las dependencias de
la red. Asegurar que el impacto de la no
disponibilidad de recursos está acordado y
aceptado por el usuario. Asegurar que, para
las funciónes vitales de la red, los requisitos
de disponibilidad definidos en el ANS pueden
ser satisfechos
Descripción Descripción
Escenarios de disponibilidad,
rendimiento y capacidad
Evaluaciónes de impacto a la red de
disponibilidad, rendimiento y
capacidad
ANS internos y externos
5. Determinar la probabilidad de que el objetivo de rendimiento de la disponibilidad no será alcanzado basado en los
escenarios
2. Realizar un mapa de las soluciónes o servicios selecciónados con la aplicación e infraestructura de los que dependen, para
permitir un enfoque en los recursos criticos para la planificación de disponibilidad3. Recolectar datos de patrones de disponibilidad de los registros de fallos pasados y del monitoreo de rendimiento. Utilizar
un herramientas de modelado que ayuden a predecir fallos basados en tendencias de utilización en el pasado y expectativas
de la dirección sobre nuevos entornos o condiciones de los usuarios
4. Crear escenarios basados en datos recolectados, describiendo situaciones de disponibilidad futura para ilustrar varios
niveles de capacidad potenciales necesarios para alcanzar el objetivo de rendimiento de la disponibilidad
2. Identificar las implicaciónes en la disponibilidad y la capacidad de cambios en las necesidades del negocio y
oportunidades de mejora. Utilizar técnicas de modelado para validar los planes de disponibilidad, rendimiento y capacidad
3. Priorizar las necesidades de mejora y crear planes de disponibilidad y capacidad justificables
Planificar requisitos de servicios nuevos o
modificados.
Planificar y priorizar las implicaciones en la
disponibilidad, el rendimiento y la capacidad
de cambios en las necesidades del negocio y
en los requerimientos del servicio
Descripción Descripción
Mejoras priorizadas
Planes de capacidad y rendimiento
Criterios de aceptación confirmados
de las partes interesadas
Especificaciónes de diseño de alto
nivel aprobadas
Especificaciónes de diseño detallado
aprobadas
Componentes de la solución
documentados
Actividades
1. Revisar las implicaciones en la disponibilidad y la capacidad del análisis de tendencias de servicio
4. Ajustar los planes de rendimiento y capacidad de los ANS sobre las bases de servicio que los soportan: realistas, nuevos,
propuestos o proyectados, sobre cambios a las aplicaciones y la infraestructura. Así como las revisiones del rendimiento y
uso de capacidad actual, técnicas de previsión actuales y realizar mejoras donde sea posible
5. Asegurar que la dirección lleva a cabo comparaciones de la demanda actual de recursos con la demanda y suministro
previstos a evaluar las técnicas de prevision actuales y realizar mejoras donde sea posible
133
Entradas SalidasPráctica de Gobierno
4. Proveer informes de capacidad para los procesos
Supervisar y revisar la disponibilidad y la
capacidad.
Supervisar, medir, analizar, informar y revisar
la disponibilidad el rendimiento y la
capacidad. Identificar desviaciones respecto a
las lineas de referencia establecidas. Revisar
informes de análisis de tendencias
identificando cualquier cuestión y variación
significativa, iniciando acciónes donde sea
necesario y asegurando que se realiza el
seguimiento de todas las cuestiones
pendientes
Descripción Descripción
Supervisar y revisar la disponibilidad
y la capacidad
Informes de disponibilidad y
rendimiento
2. Proporcionar información periodica de los resultados en una forma apropiada para la revisión por las TI y la gestión y
comunicar a la dirección
3. Integrar actividades de supervisión e información en las actividades iterativas de gestion de la capacidad (supervision,
análisis, ajuste e implementaciones)
Actividades
1. Establecer un proceso de recolección de datos para proporciónar a la dirección información del seguimiento e informes de
la carga de trabajo de disponibilidad, rendimiento y capacidad de todos los recursos relaciónados con al información
Práctica de Gobierno Entradas Salidas
Investigar y abordar cuestiones de
disponibilidad, rendimiento y capacidad.
Abordar las desviaciónes investigando y
resolviendo las cuestiones identificadas
relativas a la disponibilidad, rendimiento y
capacidad
Descripción Descripción
Investigar y abordar cuestiones de
disponibilidad, rendimiento y
capacidad.
Actividades
1. Obtener la orientación de manuales para conseguir los insumos para garantizar un nivel adecuado de rendimiento de
disponibilidad para picos de prestación de servicio y cargas de trabajo
3. Definir acciónes correctivas
4. Integrar las acciones correctivas requeridas dentro de los procesos apropiados de planificación y gestión de cambios
5. Definir un proceso de escalado para la resolución rápida en emergencias en casos de problemas de disponibilidad y
rendimiento
Brechas de rendimiento y capacidad
Acciónes correctivas
Procedimiento de escalado ante
emergencias
2. Identificar brechas de rendimiento y capacidad sobre la base del monitoreo del rendimiento actual y previsto. Utilizar las
especificaciónes de disponibilidad, continuidad y recuperación conocidas para clasificar los recursos y permitir la
priorización
134
Matriz RACI:
Planificar
requisitos de
servicios nuevos o
modificados
C A R R R R R
Supervisar y revisar
la disponibilidad y
la capacidad
C A R R R R R
Practica clave
de Gobierno
Dir
ecto
r d
e la
Red
Co
ord
inad
or
de
la
Red
Lid
er e
n g
esti
ón
de
pro
yect
os
Líd
er t
écn
ico
Líd
er d
e TI
Líd
er e
n
soci
aliz
ació
n y
div
ulg
ació
n
Líd
er d
e se
rvic
ios
mu
ltim
edia
Líd
er e
n in
gen
ierí
a
de
soft
war
e
Líd
er d
e se
rvic
ios
acad
émic
os
Líd
er d
e se
rvic
ios
de
con
ecti
vid
ad
Enca
rgad
o d
e
Cal
idad
Evaluar la
disponibilidad,
rendimiento y
capacidad actual y
crear una linea de
referencia
C A R R R R R
R R R R
R R
Investigar y
abordar cuestiones
de disponibilidad,
rendimiento y
capacidad
I I A R
Evaluar el impacto
en la redC R R R R
135
BAI05: Gestionar la introducción de cambios organizativos
1. Porcentaje de servicio prestados a tiempo
2. Porcentaje de satisfacción del cliente
3. Porcentaje de servicios que se interrumpen o repiten por fallas de TI
El deseo de cambio de las partes
interesadas ha sido entendido
El cambio deseado es comprendido y
aceptado por las partes interesadas
Los que juegan algún papel están
facultados para entregar el cambio
El cambio está integrado y sostenido
1. Nivel de satisfaccion con las respuestas de RITA a nuevos requerimientos
2. Tiempo promedio para acordar y aprobar un objetivo estratégico de RITA
3. Porcentaje de preparacion de los empleados
4. Nivel de satisfacciòn de la alta dirección de RITA y de TI con costes y
capacidades TI.
Meta del proceso Métricas relacionadas
Entrega de programas que
proporcionen beneficios a tiempo
satisfaciendo los requisitos y normas
de calidad
Conocimiento, experiencia e
iniciativas para la innovación
Proceso COBIT: BAI05 Gestionar la introducción de
cambios organizativos
Area: Gestión
Dominio: Construir, adquirir e implementar
Descripción del proceso:Maximizar la probabilidad de la implementación exitosa en toda RITA del cambio organizativo
en forma rápida y con riesgo reducido, cubriendo el ciclo de vida completo del cambio y todas las partes interesadas
de la Red.
Declaración del propósito del proceso: Preparar y comprometer a las partes interesadas para el cambio en la Red y
reducir el riesgo del fracaso.
El servicio apoya la consecución de un conjunto de principales metas de TI:
Meta de TI Métricas relacionadas
Entrega de servicios de TI de acuerdo
a los requisitos
1. Numero de interrupciones de la actividad de la red debido a incidentes
relacionados con TI
Metas y métricas del proceso
1. Número de nuevas ideas aplicadas a la prestación de los servicios
136
Comunicar la visión deseada
Actividades
Plan de comunicación de la visión
Comunicaciones de la visión
Pactica de Gestión Entradas Salidas
1. Identificar y montar un equipo de implementación efectivo que incluya miembros de la Red y de TI con la capacidad
de invertir el tiempo necesario y conocimientos, pericia, experiencia y autoridad. Cosiderar incluir a terceros
externos, tales como consultores, para tener una visión independiente o para abordar las brechas en las habilidades.
2. Crear confianza dentro del equipo de implementación principal mediante eventos planificados cuidadosamente
mediante comunicación y actividades conjuntas efectivas.
3. Desarrollar una visión y metas comunes que soporten los objetivos empresariales de la Red.
Formar un equipo de implementación
efectivo.
Establecerlo con miembros
adecuados, creando confianza y
estableciendo metas comunes y
medidas efectivas.
Comunicar la visión deseada.
Cambiar el lenguaje de aquellos que
se verán afectados. Comunicación
realizada por la mesa directiva e
incluir la razón de ser y los beneficios
del cambio, el impacto de no hacerlo,
la hoja de ruta y la participación
requerida de las partes interesadas
Descripción
Descripción Descripción
Descripción
1. Desarrollar un plan de comunicación de la visión para abordar a los grupos de audiencia principales, susperfiles de
comportamiento y requisitos de información, canales de comunicación y principio.
2. Realizar la comunicación a niveles adecuados de acuerdo con el plan.
3. Reforzar la comunicación mediante repetición y múltiples foros.
4. Verificar la comprensión de la visión deseada y dar respuesta a cualquier visión destacada por el personal.
5. Hacer responsables a todos los niveles de liderazgo para demostrar la visión.
Visión y objetivos comunes
Actividades
Criterios de aceptación de las partes
interesadas confirmados
Equipo de implementación y roles
Actividades
1. Evaluar el alcance y el impacto del cambio divisado, las diferentes partes interesadas que serán afectadas, la
naturaleza del impacto y la involucración necesaria por cada grupo de partes.
2. Identificar, evaluar y comunicar puntos de conflicto, eventos significativos, riesgos, insatisfacción de usuarios y
problemas de la red, así como beneficios iniciales, oportunidades y recompensas futuras como fundamento para
establecer el deseo de cambiar.
3. Emitir las comunicaciones de la mesa que demuestrenn el compromiso y deseo de cambiar
Pactica de Gestión Entradas Salidas
4. Proveer un liderazgo visible por parte de la mesa directiva para establecer la dirección y alinear, motivar e inspirar a
las partes interesadas el cambio
Establecer el deseo de cambiar
Comprender el impacto y alcance del
cambio divisado y la disposición de
cambiar de las partes interesadas.
Identificar las acciones para motivar a
las partes interesadas para aceptar y
querer que el cambio sea exitoso
Descripción DescripciónResultados de calidad del servicio,
incluyendo los comentarios del
usuario
Comunicaciones de la mesa directiva
comprometiendose con el cambio
1. Criterios de información
confirmados por las partes
interesadas
2. Repositorio de definición de
requerimientos
1. Acciones de mitigación de riesgo
2. Requerimientos del registro del
riesgo
Especificaciones de diseño de alto
nivel aprobadas
Especificaciones de diseño detallado
aprobadas
Pactica de Gestión Entradas Salidas
Proceso COBIT, Prácticas, Actividades y entradas/salidas del proceso
137
Matriz RACI:
Facilitar la operación y el uso.
Planificar e implementar todos los
aspectos técnicos, operativos y de
modo de uso de forma que todos
aquellos involucrados en el entorno
futuro puedan ejercer sus
responsabilidades.
Descripción Descripción
Componentes de la solución
documentadosPlan de operación y uso
Componentes de la solución y
documentación relacionada
actualizados
Resultados y métricas de éxito
Pactica de Gestión Entradas Salidas
Actividades
1. Desarrollar e implementar un plan de operación de uso del cambio que comunique y se base en las mejoras
inmediatas que se hayan percibido, trate aspectos culturales y de comportamiento propios de la transición general y
aumente el apoyo personal y el compromiso de los involucrados. Asegurar que el plan presenta una visión holística
del cambio y proporciona documentación, tutoría, formación, entrenamiento, transferencia de conocimiento y
soporte desde el primer momento de implementar el cambio y a posteriori.
Pactica de Gestión Entradas
Revisión del uso operativo
Salidas
1. Proporcionar tutoría, formación, entrenamiento, transferencia de conocimiento y soporte la personal nuevo para
mantener los cambios.
2. Mantener y reforzar los cambios mediante comunicaciones regulares demostrando el compromiso de la mesa
directiva.
4. Captar lecciones aprendidas sobre la implementación de los cambios y divulgar este conocimiento a toda la Red.
3. Realizar revisiones periódicas de la operación y uso de los cambios e identificar mejoras
Mantener los cambios
Mediante la formación eficaz del
personal nuevo, campañas de
comunicación periódicas,
compromiso de la mesa directiva,
supervisión de la adopción de los
cambios y divulgación a toda la Red
de las lecciones aprendidas.
Descripción Descripción
Mantener los cambios
Planes de transferencia del
conocimiento
Comunicación del compromiso de la
mesa directiva
Actividades
Practica clave
de Gobierno
Dir
ecto
r d
e la
Red
Co
ord
inad
or
de
la
Red
Lid
er e
n g
esti
ón
de
pro
yect
os
Líd
er t
écn
ico
Líd
er d
e TI
Líd
er e
n s
oci
aliz
ació
n
y d
ivu
lgac
ión
Líd
er d
e se
rvic
ios
mu
ltim
edia
Líd
er e
n in
gen
ierí
a d
e
soft
war
e
Líd
er d
e se
rvic
ios
acad
émic
os
Líd
er d
e se
rvic
ios
de
con
ecti
vid
ad
Enca
rgad
o d
e C
alid
ad
Establecer el
deseo de cambiarR R R C C C C C C C C
Formar un equipo
de implementación
efectivo
I I R C I C C C C C C
Comunicar la
visión deseadaA R R C C C C C C C C
Facilitar la
operación y el usoC R R R R R R R R
Mantener los
cambiosR R R R R R R R R R R
138
BAI06: Gestionar la aceptación del cambio y la transición
Meta de TI Métricas relacionadas
Optimización de infraestructura, recursos y
capacidades de las TI
1. Nivel de satisfacciòn de la alta dirección de RITA y de TI con costes y
capacidades TI.
Capacitación y soporte de procesos integrando
aplicaciones y tecnología
1. Número de incidentes ocurridos en los servicios causados por errores de
integración de la tecnología
2. Número de cambios en las actividades de los servicios retrasados o
revisados debido a problemas de integración de la tecnología.
Proceso COBIT: BAI06 Gestionar la aceptación del cambio y
la transición
Area: Gestión
Dominio: Construir, Adquirir e Implementar
Descripción del proceso: Aceptar formalmente y hacer operativas las nuevas soluciones, incluyendo la planificación de la
implementación, la conversion de los datos y los sistemas, las pruebas de aceptación, la comunicación, la preparación del
lanzamiento, el paso a producción de servicios de TI nuevos o modificados y una revision post-implementación
Declaración del propósito del proceso: Implementar soluciones de forma segura y en linea con las expectativas y resultados
acordados
El proceso apoya la consecución de un conjunto de principales metas de TI:
Los lanzamientos estan listos para su paso a
producción contando con la buena disposición
y el soporte de las partes interesadas
1. Nivel de satisfacciòn de la alta dirección de RITA y de TI con costes y
capacidades TI.
Las lecciones aprendidas contribuyen a
futuros lanzamientos
1. Nivel de satisfaccion con las respuestas de RITA a nuevos requerimientos
en TI
Meta del proceso Métricas relacionadas
Las pruebas de aceptación consiguen la
aprobación de las partes interesadas y tienen
en cuenta todos los aspectos de los planes de
implementación y conversión
1. Nivel de satisfaccion con las respuestas de RITA a nuevos requerimientos
en TI
Los lanzamientos pasan a los servicios
satisfactoriamente, son estables y cumplen
con las expectativas
1. Número de interrupciones de la actividad de la red debido a incidentes
relacionados con TI
Proceso COBIT, Prácticas, Actividades y entradas/salidas del proceso
Práctica de Gobierno Entradas Salidas
Actividades1. Crear un plan de implantación que refleje la estrategia global de implantación, la secuencia de acciones deimplantación,
recursos necesarios, interdependencias, criterios de aceptación por parte de la implantacion, requisitos para verificar la
instalacion y actualizacion de los planes de continuidad del negocio
2. Confirmar que todos los planes de implantación son aprobados por las partes interesadas tanto de ámbito técnico como
directivo, y revisados por auditoría interna, si es apropiado
3. Identificar y documentar el proceso de marcha atrás y recuperación4. Revisar formalmente los riesgos tecnicos y de direccion asociados a la implantación y asegurar que el riesgo clave es
considerado y tratado en el proceso de planificación
Establecer un plan de implementación.
Establecer un plan de implementación que
cubra la conversión de datos y sistemas,
criterios de aceptación de las pruebas,
comunicación, fromación, preparación del
lanzamiento, plan de marcha atrás o de
contingencia y una revision post-
implantación. Obtener la aprobación de las
partes relevantes.
Descripción Descripción
Plan de gestión de la calidad Plan de implantación aprobado
Plan y cronograma de cambio
Peticiones de cambio aprobadas
Proceso de marcha atrás de la
implantación o recuperación
139
Práctica de Gobierno Entradas Salidas
Actividades
1. Definir un plan de migración de servicios, datos e infraestructura de TI. Considerar, por ejemplo, hardware, redes,
sistemas operativos, software, datos transaccionales, ficheros maestros, copias de seguridad y archivadas, interfaces con
otros sistemas, posibles requisitos de cumplimiento y documentación de sistema en el desarrollo del plan
2. Considerar todos los ajustes necesarios a los procedimientos, incluyendo roles y responsabilidades revisados y
procedimientos de control en el plan de conversión de los servicios3. Incluir en el plan de conversión de datos, métodos para recopilar, convertir y verificar los datos que han de ser
convertidos e identificar y resolver cualquier error encontrado durante la conversión. Incluir la comparación entre el dato
convertido y el original para asegurar completitud e integridad
4. Confirmar que el plan de conversión de datos no requiere cambios en los valores de los datos a menos que sea
absolutamente necesario. Documentar los cambios hechos a valores de los datos y asegurar la aprobación del propietario de
los datos de riesgo
5. Ensayar y probar la conversión antes de hacer una conversión en vivo
Planificar la conversión de servicios, sistemas
y datos.
Preparar la migración de servicios, datos de
lso servicios TI, e infraestructura como parte
de los mecanismos de desarrollo de la red,
incluyendo registros de auditoria y un plan de
recuperación para el caso de que la migración
fallara
Descripción Descripción
ANS internos y externos
Escenarios de disponibilidad,
rendimiento y capacidad
Evaluaciones de impacto a la red de
disponibilidad, rendimiento y
capacidad
6. Considerar el riesgo en problemas de la conversión, planificación de continuidad de negocio y procedimientos de marcha
atrás en los planes de migracion del servicio, datos e infraestructura, allá donde hay requisitos derivados de la gestión del
riesgo y de necesidades de cumplimiento normativo y legal
7. Coordinar y verificar el tiempo de completitud de los puntos de corte en la conversión, de forma que haya una transición
continua y suave sin perdidas en los datos tradicionales. 8. Planificar el respaldo de todos los sistemas y datos tomados hasta el instante anterior a la conversión. Mantener registros
de auditoría para posibilitar que pueda seguirse la traza de la conversión y asegurar que hay un plan de recuperación que
cubra la marcha atrás de la migración y la vuelta al procesamiento anterior, en caso que la migración fallara
9. Planificar la conservación de las copias de seguridad y datos archivados para cumplir con los requisitos derivados de
necesidades, cumplimiento legal o normativo que exista
140
Práctica de Gobierno Entradas Salidas
Planificar pruebas de aceptación.
Establecer un plan de pruebas basado en
estándares, que defina roles,
responsabilidades, y criterios de entrada y
salida. Asegurar que el plan es aprobado por
las partes relevantes
Descripción Descripción
Requisitos para la verificación
independiente de los entregables
2. Asegurar que el plan de pruebas refleja una evaluación de riesgos del proyecto y que todos los requisitos funcionales y
técnicos son probados, debería incluir requisitos de rendimiento, carga de trabajo, usabilidad, pruebas piloto, y pruebas de
seguridad basandose en la evaluación del riesgo de fallos del sistema y errores en la implantación
3. Asegurar que el plan de pruebas trata la necesidad potencial de acreditación interna o externa de los resultados del
proceso de pruebas
4. Asegurar que el plan de pruebas identifica los recursos necesarios para ejecutar las pruebas y evaluar los resultados.
Ejemplos de recursos pueden ser la preparación del entorno de pruebas y el tiempo dedicado por el personal al grupo de
pruebas, incluyendo el reemplazo temporal del personal de los sectores que se dediquen a las pruebas. Asegurar que se
consulta a las partes interesadas sobre la implicación de estos recursos en el plan de pruebas
5. Asegurar que el plan de pruebas identifica las fases de prueba adecuadas a los requisitos de operación y de entorno.
Algunos ejemplos de estas fases de prueba son pruebas unitarias, pruebas de sistemas, pruebas de integración, pruebas de
aceptación de usuario, pruebas de rendimiento, pruebas de carga de trabajo, pruebas de conversión de datos, pruebas de
seguridad, pruebas de disponibilidad, y pruebas de copia de respaldo y recuperación
Práctica de Gobierno Entradas Salidas
Procedimientos de prueba
Planes de prueba
Actividades1. Desarrollar y documentar el plan de pruebas, de forma que este alineado con el programa y plan de calidad del proyecto y
estandares relevantes de la organización. Comunicar y consultar con los propietarios de servicios y grupos de interes de TI
adecuados
Plan de pruebas de aceptación
aprobadoComunicaciones de los resultados de
las pruebas
Registros y pistas de auditoria de los
resultados de las pruebas
6. Confirmar que el plan de pruebas toma en consideración la preparación de las pruebas, requisitos de formación,
instalacion o actualizacion de un entorno de pruebas definido, planificar/realizar/documentar/conservar los casos de
prueba, la gestión, corrección y escalado de errores y problemas para la aprobación formal
7. Asegurar que el plan de pruebas establece criterios claros para medir el éxito en la realización de cada fase de prueba.
Consultar a los propietarios de servicios y grupos de interes de TI sobre la definicion de estos criterios de éxito. Determinar
si el plan establece procedimientos de remediación en caso de que estos criterios de exito no se cumplan
8. Confirmar que todos los planes de prueba son aprobados por las partes interesadas, incluyendo los propietarios de
servicios y TI, según sea adecuado
1.Crear una base de datos de pruebas que sea representativa del entorno de producción. Sanear los datos reales usados en
el entorno de pruebas de acuerdo a las necesidades y estandares de la organización2. Proteger los datos de prueba y resultados que sean sensibles frente al revelado de la información, incluyendo el acceso,
la conservación, el almacenamiento y la destrucción. Considere el efecto de la interacción de los sistemas de la red con los
sistemas de terceras partes
4. Asegurar que el entorno de pruebas es representativo del escenario futuro de la red, incluyendo procedimientos y roles
de los servicios, cargas de trabajo probable, sistemas operativos, aplicaciones software necesarias, sistemas de gestion de
base de datos, redes e infraestructura de comunicaciones utilizadas en el entorno de producción
5. Asegurar que el entorno de pruebas es seguro
Establecer un entorno de pruebas.
Definir y establecer un entorno seguro de
pruebas que sea representativo de los
servicios de TI planeados, en cuanto
rendimiento y capacidad, seguridad, controles
internos, practicas d eoperación, calidad de
los datos, y requisitos de privacidad y carga de
trabajo
Descripción Descripción
Establecer un entorno de pruebas Datos de prueba
Actividades
3. Poner en marcha un proceso para posibilitar la adecuada conservación o eliminación de los resultados de las pruebas,
medios de almacenamiento y otra documentación asociada, de forma que sea posible realizar revisiones adecuadas y
analisis posteriores segun lo requiera el plan de pruebas. Considere las implicaciones derivadas de requisitos de
cumplimiento normativo o legal
141
Práctica de Gobierno Entradas Salidas
Actividades1. Revisar el registro categorizado de errores encontrados en el proceso de pruebas por el equipo de desarrollo, verificando
que todos los errores han sido corregidos o aceptados formalmente
2. Evaluar la aceptación final respecto a los criterios de éxito e interpretar los resultados finales de las pruebas de
aceptación. Presentarlos en un formato comprensible par also propietarios de los servicios y de TI de manera que pueda
realizarse una evaluación y revisión bien fundadas
9. Llevar a cabo pruebas de rendimiento de aplicación y sistema de acuerdo con el plan de pruebas. Considerar un rango de
metricas d erendimiento
10. Al realizar las pruebas, asegurar que los elementos de marcha atrás y alternativos del plan de pruebas han sido
11. Identificar, registrar y clasificarlos errores durante las pruebas. Asegurar que esta disponible un registro de auditoría de
los resultados de las pruebas. Comunicar los resultados de las pruebas a las partes interesadas de acuerdo al plan de prueba
para posibilitar la corrección de los errores y otras mejoras en calidad
Ejecutar pruebas de aceptación.
Probar los cambios independientemente, de
acuerdo con el plan de pruebas definido.
Descripción Descripción
Registro de resultado de las pruebas
Evaluación de los resultados de las
pruebas de aceptación
3. Aprobar la aceptación mediante una firma formal de los propietarios de los servicios, y frupos de interes4. Asegurar que la spruebas sobre cambios sean realizadas de acuerdo al plan de pruebas. Asegurar que las pruebas son
diseñadas y ejecutadas por un grupo de pruebas independiente del grupo de desarrollo. Considerar hasta que punto deben
estar implicados los propietarios de servicios y usuarios finales en el grupo de pruebas
5. Asegurar que las pruebas y los resultados preliminares estan de acuerdo con los criterios de éxito definidos en el plan de
pruebas
6. Contemplar el uso de instrucciones de prueba claramente definidos par aimplementar las pruebas. Asegurar que el grupo
independiente de pruebas valora y aprueba cada script de pruebas para confirmar que trata adecuadamente los criterios de
éxito definidos en el plan de pruebas
7. Considerar el equilibrio adecuado entre pruebas automatizadas mediante scripts y pruebas de usuario interactivas8. Llevar a cabo pruebas de seguridad de acuerdo al plan de pruebas. Medir el alcancce de las debilidades o agujeros de
seguridad. Considerar el efecto de los incidentes de seguridad ya en construcción del plan de pruebas. Considerar el efecto
de los controles de acceso y de perimetro
Práctica de Gobierno Entradas Salidas
Gestionar lanzamientos.
Gestionar los compenentes de los
lanzamientos de la solución
Descripción Descripción
Compenentes de los lanzamientos
Actividades
Plan de lanzamientos
Registro de lanzamientos
5. Donde la distribucion de los componentes de solucion sea electronica, controlar la distribucion automatizada para
asegurar que los usuarios son notificados y que la distribucion se realiza unicamente a los destinatarios correctamente
identificados y autorizados. Incluir procedimientos en marcha atras en el proceso de lanzamiento para posibilitar la
distribucion de cambios en caso de error o mal funcionamiento
1. Prepararse para el traspaso del entorno de pruebas al de servicios, aplicaciones e infraestructura
2. Determinar el alcance de la realización de un piloto de la ejecución en paralelo del nuevo sistema y el antiguo, en el
marco del plan de implantación3. Actualizar inmediatamente la documentación sobre sistemas y servicios relevantes, informacion de configuracion y
documentación del plan de contingencia, según sea apropiado4. Asegurar que todas las bibliotecas de medios osn actualizadas inmediatamente con la version del componente de la
solución que esta siendo transferido al entorno de servicios. Archivar la version existente y su documentacion de soporte.
Asegurar que el paso a servicios de los sistemas software de aplicacion e infraestructura se realiza bajo el control de la
gestion de configuracion
6. Donde la distribucion se realice de forma física, mantener un registro formal de los elementos que han sido distribuidos, a
quién, dónde han sido implantados y cuándo ha tenido lugar cada actualización
142
Descripción
Actividades
1. Establecer procedimientos para asegurar que las revisiones post-implantación identifican, evalúan e informan hasta qué
punto:
a) Los requisitos corporativos se han cumplido
b) Los beneficios esperados se han obtenido
c) El sistema se considera utilizable
d)Las expectativas de las partes interesadas internas y externas se han cumplido
e) Ha habido oimpactos inesperados en la organizacion
f) Se ha mitigado los riesgos clave
g) Los procesos de gestion del cambio, instalacion ya creditacion se han realizado de forma eficaz y eficiente
2. Consultar a los propietarios de servicios y gestores técnicos de TI sobre la elección de métricas para medir el éxito y la
consecución de requisitos y beneficios
3. Llevar a cabo una revisión post-implantación de acuerdo al proceso de gestión del cambio en la red. Involucrar a los
propietarios de servicios según sea apropiado
4. Considerar los requisitos para la revision post-implantación que provengan de fuera
5. Acordar e implantar un plan de acción para tratar cualquier cuestion identificada en la revision post-implantación,
involucrar a los propietarios de servicios y a los gestiores técnicos de TI
Resultados y auditorías de revision de
la calidad
Causas raíz de fallos en la calidad del
suministro
Resultados de la solución y de la
supervisión de la calidad de la
prestacion del servicio
Métricas de éxito y resultados
Plan de acciones correctivas
Informe de la revision post-
implantación
Práctica de Gobierno Entradas Salidas
Ejecutar una revision post-implantacion.
Llevar a cabo una revisión post-implantación
para confirmar salidas y resultados, identificar
lecciones aprendidas y desarrollar un plan de
acción. Evaluar y verificar el rendimiento
actual y las salidas del servicio nuevo o
modificado respecto al rendimiento y salidas
previstas
Descripción
143
Matriz RACI:
Planificar pruebas
de aceptaciónA R I R I I I I I C
Establecer un
entorno de pruebasA R I R I I I I I
Ejecutar pruebas
de aceptaciónA R I R I I I I I
Gestionar
lanzamientos
A I R R R R R R
Ejecutar una
revisión post-
implementaciónA I R R R R R R C
R C
Líd
er e
n
soci
aliz
ació
n y
div
ulg
ació
nLí
der
de
serv
icio
s
mu
ltim
edia
Líd
er e
n in
gen
ierí
a
de
soft
war
eLí
der
de
serv
icio
s
acad
émic
os
Líd
er d
e se
rvic
ios
de
con
ecti
vid
ad
Enca
rgad
o d
e
Cal
idadPractica clave
de Gobierno
Dir
ecto
r d
e la
Red
Co
ord
inad
or
de
la
Red
Lid
er e
n g
esti
ón
de
pro
yect
os
Líd
er t
écn
ico
Líd
er d
e TI
R R R R R CEstablecer un plan
de implementaciónC A
R R R R R CPlanificar la
conversion de
servicios, sistemas
y datos
C A R C
144
BAI07: Gestionar el conocimiento
Meta del proceso
Las fuentes de información son identificadas y clasificadas
El conocimiento es utilizado y compartido
El conocimiento es actualizado y mejorado para dar soporte a los requisitos.
Metas y métricas del proceso
Meta de TI Métricas relacionadas
Agilidad de las TI
1. Nivel de satisfaccion con las respuestas de RITA a nuevos requerimientos en
TI
2. Tiempo promedio para acordar y aprobar un objetivo estratégico relacionado
con TI de RITA
Conocimiento, experiencia e
iniciativas para la innovación 1. Número de nuevas ideas aplicadas a la prestación de los servicios
El servicio apoya la consecución de un conjunto de principales metas de TI:
Proceso COBIT: BAI07 Gestionar el conocimiento Area: Gestión
Dominio: Construir, adquirir e implementar
Descripción del proceso: Mantener la disponibilidad de conocimiento relevante, actual, validado y fiable para dar
soporte a todas las actividades de los procesos y facilitar la toma de decisiones. Planificar la identificación,
recopilación, organización, mantenimiento, uso y retirada de conocimiento.
Declaración del propósito del proceso: Proporcionar el conocimiento necesario para dar soporte al personal de todas
sus actividades laborales, para la toma de decisiones bien fundadas y para aumentar la productividad.
Cultivar y facilitar la cultura de
intercambio de conocimientos
4. Integrar prácticas de gestión del conocimiento en otros procesos de TI.
Proceso COBIT, Prácticas, Actividades y entradas/salidas del proceso
Práctica de Gestión Entradas Salidas
Cultivar y facilitar la cultura de
intercambio de conocimientos
Concebir e implantar un esquema
para cultivar y facilitar una cultura de
intercambio de conocimientos
Descripción Descripción
Comunicaciones sobre el valor del
conocimiento
Actividades
1. Comunicar proactivamente el valor del conocimiento para impulsar la creación, uso, reutilización y compartición del
conocimiento
2. Impulsar la compartición y transferencia de conocimiento mediante la identificación de factores que influyan en la
motivación.
3. Crear un entorno, herramientas y elementos que den soporte a la compartición y transferencia de conocimientos.
5. Establecer expectativas de la mesa de dirección y demostrar la actitud adecuada acerca de la utilidad del
conocimiento y la necesidad de compartirlo a nivel de la Red.
145
Utilizar y compartir el conocimiento.
Difundir las fuentes de conocimiento
disponibles entre las partes
interesadas relevantes y comunicar
cómo estos recursos pueden ser
utilizados para tratar diferentes
necesidades.
Práctica de Gestión
Clasificación de fuentes de información
3. Clasificar las fuentes de información basándose en un esquema de clasificación de contenido. Trazar un mapa de
fuentes de información con el esquema de clasificación.
Componentes documentados de la
solución
Repositorios de información publicada
4. Publicar y hacer accesible el conocimiento a las partes interesadas relevantes basándose en roles y mecanismos de
acceso.
Entradas Salidas
Descripción
Actividades
1. Medir el uso y evaluar la utilidad, relevancia y beneficio de los elementos del conocimiento. Identificar información
relacionada que ya no es relevante para cubrir las necesidades de conocimiento de la Red.
2. Definir las reglas para la retirada del conocimiento y retirar el mismo de forma acorde.
Actividades
3. Entrenar y educar a los usuarios en el conocimiento disponible, en el acceso al conocimiento y en el uso de
herramientas de acceso al conocimiento.
Práctica de Gestión Entradas Salidas
Evaluar y retirar la información
Medir el uso y evaluar la actuaización
y relevancia de la información. Retirar
la información obsoleta.
Descripción Descripción
Evaluar y retirar la información
Resultados de la evaluación de uso del
conocimiento
1. Identificar usuarios potenciales de conocimiento mediante la clasificación de la información.
2. Transferir el conocimiento a usuarios basándose en un análisis de necesidades, técnicas de aprendizaje efectivas y
herramientas de acceso.
Reglas para la retirada del conocimiento
Descripción
Componentes documentales de la
solución
Base de datos de usuarios de
conocimiento
Planes de transferencia del
conocimiento
Plan de uso y operacionesEsquemas de concientización y
formación del conocimiento
Entradas Salidas
Actividades
1. Identificar atributos compartidos y casar fuentes de información, creando relaciones entre conjuntos de
información.
2. Crear vistas para conjunto de datos relacionados, considerando requisitos organizativos y de las partes interesadas.
3. Concebir e implementar un esquema para gestionar la información no estructurada que no esté disponible a partir
de fuentes formales.
Planes de transferencia del
conocimiento
Entradas Salidas
Organizar y contextualizar la
información para transformarla en
conocimiento.
Organizar la información basándose
en criterios de clasificación.
Identificar y crear relaciones
significativas entre elementos de
información y facilitar el uso de la
información. Identificar propietarios y
definir e implementar niveles de
acceso a los recursos de información.
Descripción Descripción
Actividades
1. Identificar usuarios potenciales de conocimiento, incluyendo propietarios de la información que pueden necesitar
contribuir y aprobar conocimiento.
2. Considerar tipos de contenido, elementos e información estructurada y no estructurada.
4. Recoger, poner en orden y validar las fuentes de información basándose en criterios de validación de la información
Práctica de Gestión
Identificar y clasificar fuentes de
información.
Identificar, validar y clasificar las
diferentes fuentes internas y
externas necesarias para posibilitar el
uso y la operación efectivas de los
procesos y servicios de la Red
Descripción Descripción
Requisitos y fuentes del
conocimiento
Práctica de Gestión
146
Matriz RACI:
Practica clave
de Gobierno
Dir
ecto
r d
e la
Red
Co
ord
inad
or
de
la
Red
Lid
er e
n g
esti
ón
de
pro
yect
os
Líd
er t
écn
ico
Líd
er d
e TI
Líd
er e
n
soci
aliz
ació
n y
div
ulg
ació
n
Líd
er d
e se
rvic
ios
mu
ltim
edia
Líd
er e
n in
gen
ierí
a
de
soft
war
e
Líd
er d
e se
rvic
ios
acad
émic
os
Líd
er d
e se
rvic
ios
de
con
ecti
vid
ad
Enca
rgad
o d
e
Cal
idad
Cultivar y facilitar
la cultura de
intercambio de
conocimientos
A A A R R R R R R R R
Identificar y
clasificar fuentes
de informaciónA A A R R R R R R R C
Organizar y
contextualizar la
información para
transformarla en
conocimiento
R C C C C C I
Utilizar y compartir
el conocimientoA A A A A A A R
Evaluar y retirar la
informaciónR R R R R R R C
147
BAI08: Gestionar la configuración
El servicio apoya la consecución de un conjunto de principales metas de TI:
Proceso COBIT: BAI08 Gestionar la configuración Area: Gestión
Dominio: Construir, adquirir e implementar
Descripción del proceso: Definir y mantener las definiciones y relaciones entre los principales recursos y capacidades
necesarios para la prestación de los servicios proporcionados por TI, incluyendo la recopilación de información de
configuración, el establecimiento de lineas de referencia, la verificación y auditoría de la información de la configuración y la
actualización del repositorio de configuración
Declaración del propósito del proceso: Proporcionar suficiente información sobre los activos del servicio para que el servicio
pueda gestionarse con eficacia, evaluar el impacto de los cambios y hacer frente a los incidentes de servicio
Metas y métricas del proceso
Meta del proceso
Meta de TI Métricas relacionadas
Cumplimiento y soporte de TI al
cumplimiento de las leyes y regulaciones
externas
1. Número de servicios relacionados con TI en los que se presentó
incumplimiento de leyes y regulaciones externas
1. Nivel de satisfacción del usuario con la calidad y disponibilidad de la
información gestionada
2. Número de incidentes causados por no disponibilidad de la información
Optimización de infraestructura, recursos y
capacidades de las TI
1. Nivel de satisfacciòn de la alta dirección de RITA y de TI con costes y
capacidades TI.
Disponibilidad de información útil y
relevante para la toma de decisiones
El repositorio de configuración es correcto, completo y esta actualizado
Proceso COBIT, Prácticas, Actividades y entradas/salidas del proceso
Actividades
1. Definir y acordar el alcance y nivel de detalle para la gestión de la configuración
2. Establecer y mantener un modelo lógico para la gestion de la configuracion, incluyendo informacion sobre los tipos de
elementos de configuración, tipos de relaciones, atributos de relación y códigos de estado
Práctica de Gestión Entradas Salidas
Establecer y mantener un modelo de
configuración.
Establecer y mantener un modelo lógico de
la infraestructura, activos y servicios y la
forma de registrar los elementos de la
configuración y las relaciones entre ellos
Descripción Descripción
Plan de lanzamiento
Ámbito de aplicación del modelo de
gestión de la configuración
Modelo de configuración lógica
Práctica de Gestión Entradas Salidas
Establecer y mantener un repositorio de
configuracion y una base de referencia.
Establecer y mantener un repositorio de
gestión de la configuración y crear unas
bases de referencia de configuración
controladas
Descripción Descripción
Registro de licencias de Software
Repositorio de configuración
Base de referencia de configuración
Actividades
1. Identificar y clasificar los elementos de configuracion y rellenar el repositorio
2. Crear, revisar y formalizar un acuerdo sobre las bases de referencia de configuración de servicio, aplicación e
infraestructura
148
Práctica de Gestión Entradas Salidas
Práctica de Gestión Entradas Salidas
Mantener y controlar los elementos de
configuración.
Mantener un repositorio actualizado de
elementos de configuración rellenado con
los cambios
Descripción Descripción
Informes de estado de solicitudes de
cambio
Resultados de los controles físicos de
inventarios
Registro de activos
Retirada autorizada de activos
Registro de activos actualizado
Repositorio actualizado con los
elementos de configuración
Cambios aprobados a la base de
referencia
Actividades
1. Identificar regularmente todos los cambios en los elementos de configuración2. Revisar los cambios propuestos a los elementos de configuracion respecto a la base de referencia para garantizar su
integridad y precisión
3. Actualizar los detalles de configuración con los cambios aprobados a elementos de configuración
4. Crear, revisar y formalizar acuerdos sobre los cambios en las lineas de referencia de configuración cuando sea necesario
Entradas Salidas
Generar informes de estado y
configuración.
Definir y elaborar informes de configuración
sobre cambios en el etado de lso elementos
de configuración
Descripción Descripción
Resultados de los controles físicos de
inventariosInformes de estado de configuración
5. Periodicamente comparar el grado de completitud y precision respecto a los objetivos y tomar medidas correctivas, según
sea necesario, para mejorar la calidad de los datos del repositorio
Verificar y revisar la integridad del
repositorio de configuración
Revisar periodicamente el repositorio de
configuración y verificar la integridad y
exactitud con respecto al objetivo deseado
Descripción Descripción
Verificar y revisar la integridad del
repositorio de configuración
Resultados de la verificacion física de
elementos de configuración
Resultados de examenes de
completitud del repositorio
Actividades
1. Identificar cambios en el estado de los elementos de configuracion y contrastarlo con la base de referencia
2. Enlazar todos los cambios de configuracion con las peticiones de cambio aprobadas para identificar cualquier cambio no
autorizado. Informar de cambios no autoriados a la gestión de cambios
3. Identificar requisitos de información de todas las partes interesadas, incluyendo contenido, frecuencia y medios. Generar
informes según las necesidades identificadas
Práctica de Gestión
3. Verificar periodicamente todos los elementos fisscos de configuracion, tal como se definen en el repositorio, existen
físicamente. Informar de cualquier desviación a la dirección
4. Establecer y revisar periodicamente el objetivo de completitud del repositorio de configuracion basado en las
necesidades de la red
2. Informar y revisar todas las desviaciones de las correcciones o acciones aprobadas para eliminar los archivos no
autorizados
Actividades
1. Verificar periodicamente los elementos de configuracion en activo contra el repositorio de configuracion comparando
configuraciones físicas y lógicas, usando las herramientas apropiadas de descubrimiento, según sea necesario
149
Matriz RACI:
Practica
clave de
GobiernoD
irec
tor
de
la R
ed
Co
ord
inad
or
de
la
Red
Lid
er e
n g
esti
ón
de
pro
yect
os
Líd
er t
écn
ico
Líd
er d
e TI
Líd
er e
n
soci
aliz
ació
n y
div
ulg
ació
n
Líd
er d
e se
rvic
ios
mu
ltim
edia
Líd
er e
n
inge
nie
ría
de
soft
war
e
Líd
er d
e se
rvic
ios
acad
émic
os
Líd
er d
e se
rvic
ios
de
con
ecti
vid
ad
Enca
rgad
o d
e
Cal
idad
Establecer y
mantener un
modelo de
configuracion
C A R R R R R C
Establecer y
mantener un
repositorio de
configuración y
una base de
referencia
A R R R R R
Mantener y
controlar los
elementos de
configuracion
A R C C C C C
Generar informes
de estado y
configuracionI A I I I I I I
Verificar y
revisar la
integridad del
repositorio de
configuracion
A R R R R R R
150
DSS01: Gestionar las actividades
1. Numero de interrupciones de la actividad de la red debido a incidentes
relacionados con TI
Metas y metricas del proceso
Meta del proceso Metricas relacionadas
Las actividades de realizan según lo
requerido y programado
1. Porcentaje de servicios que fueron solicitados y finalizados
2. Número de interrupciones del servicio causantes de incidentes significativos
3. Porcentaje de no prestación del servicio por falta de disponibilidad
4. Numero de servicios interrumpidos debido a incidentes relacionados con IT
5. Número de servicios prestados a tiempo
6. Frecuencia de evaluación de la madurez de la capacidad de los servicios
Las operaciones son monitoreadas,
medidas, reportadas y remediadas
Entrega de servicios de TI de acuerdo
a los requisitos
Meta de TI Métricas relacionadas
Gestión de riesgos del servicio
relacionados con las TI
1. Porcentaje de servicios relacionados con TI que tienen evaluación del riesgo
2. Numero de incidentes significativos relacionados con TI que no fueron
identificados en la evaluación
3. Frecuencia de la actualización del perfil de riesgo
Optimización de infraestructura,
recursos y capacidades de las TI
1. Frecuencia de evaluación de la madurez de la capacidad de los servicios
2. Tendencia de los resultados de evaluación
3. Nivel de satisfacciòn de la alta dirección de RITA y de TI con costes y
capacidades TI.
El servicio apoya la consecución de un conjunto de principales metas de TI:
Proceso COBIT: DSS01 Gestionar las actividades Area: Gestión
Dominio: Entrega, Servicio y Soporte
Descripción del proceso: coordinar y ejecutar las actividades y procedimientos operativos requeridos para entregar
servicios de TI tanto internos como externos, incluyendo la ejecución de procedimientos operativos estándar
predeterminados.
Declaración del propósito del proceso: Entregar los resultados de los servicios, según lo planificado.
2. Mantener una programación de actividades, ejecutar las actividades y gestionar el desmpeño y rendimiento de
dichas actividades programadas.
Proceso COBIT, Prácticas, Actividades y entradas/salidas del proceso
Pactica de Gestión Entradas Salidas
Ejecutar procedimientos
Mantener y ejecutar procedimientos
y tareas operativas de forma
confiable y consistente
Descripción Descripción
1. Desarrollar y mantener procedimientos operativos y actividades relacionadas para dar apoyo a todos los servicios
entregados.
Plan de operación y uso Programación operativa
4. Verificar que todos los datos esperados para su procesamiento sean recibidos y procesados de una forma precisa y
oportuna. Entregar los resultados de acuerdo a los requisitos del servicio. Asegurar que los usuarios reciben los
resultados adecuados de una forma segura y oportuna
3. Asegurar que se cumplen los estándares de seguridad aplicables para la recepción, procesamiento, almacenamiento
y salida de datos de forma tal que se satisfagan los objetivos y políticas de la Red así como los requerimientos
regulatorios.
Actividades
151
Entradas Salidas
Supervisar la infraestructura de TI.
Supervisar la infraestructura y los
eventos relacionados con ella.
Almacenar la suficiente información
cronológica en los registros de
operaciones para permitir la
reconstrucción, revisión y exámen de
las secuencias de tiempo de los
servicios y las actividades soporte de
esos servicios.
Salidas
Gestionar las instalaciones.
Incluyendo equipos de electricidad y
comunicaciones, en línea con las
leyes y regulaciones, requerimientos
técnicos y directrices de seguridad y
salud en el trabajo.
Descripción Descripción
Informes de evaluación de instalaciones
Concientización en seguridad y salud en
el trabajo
Instalaciones de RITA
Registro de eventos
3. Definir e implantar reglas que identifiquen y registren violaciones del umbral y condiciones de eventos, cuidando
que los registros de los eventos no estén cargados de información innecesaria.
Definiciones de servicio
Reglas de monitoreo de servicios y
condiciones iniciales
Tiquetes de incidentes
Actividades
1. Registrar eventos, identificando el nivel de información a ser grabada sobre la base de una consideración de riesgo y
rendimiento.
2. Identificar y mantener una lista de activos de infraestructura que necesiten ser monitoreados en base a la criticidad
del servicio y la relación entre los elementos de configuración y los servicios que de ellos dependen.
4. Producir registros de eventos y retenerlos por un periodo adecuado para asistir a investigaciones futuras.
5. Establecer procedimientos para supervisar los registros de eventos y llevar a cabo revisiones periódicas.
Pactica de Gestión Entradas
6. Asegurar que se crean oportunamente los tiquetes de incidentes cuando el monitoreo identifica desviaciones de
los umbrales definidos.
Gestionar el entorno.
Mantener las medidas para la
protección contra factores
ambientales. Instalar equipamento y
dispositivos especiales para
supervisar y controlar el entorno.
Descripción Descripción
Entorno de la Red
Políticas de entorno
Informes de pólizas de seguro
Pactica de Gestión Entradas Salidas
Descripción Descripción
Pactica de Gestión
152
Matriz RACI:
Practica clave
de GobiernoD
irec
tor
de
la R
ed
Co
ord
inad
or
de
la
Red
Lid
er e
n g
esti
ón
de
pro
yect
os
Líd
er t
écn
ico
Líd
er d
e TI
Líd
er e
n
soci
aliz
ació
n y
div
ulg
ació
nLí
der
de
serv
icio
s
mu
ltim
edia
Líd
er e
n in
gen
ierí
a
de
soft
war
e
Líd
er d
e se
rvic
ios
acad
émic
os
Líd
er d
e se
rvic
ios
de
con
ecti
vid
ad
Enca
rgad
o d
e
Cal
idad
Ejecutar
procedimientosC C A
Supervisar la
infraestructura de
TII C C C C C C C C
Gestionar el
entornoR R I I I I I C
Gestionar las
instalacionesR R I I I I I C
153
DSS02: Gestionar las peticiones y los incidentes del servicio
Proceso COBIT: DSS02 Gestionar las peticiones y los
incidentes del servicio
Area: Gestión
Dominio: Entrega, Servicio y Soporte
Descripción del proceso: coordinar y ejecutar las actividades y procedimientos operativos requeridos para entregar servicios
de TI tanto internos como externos, incluyendo la ejecución de procedimientos operativos estándar predeterminados.
Declaración del propósito del proceso: Entregar los resultados de los servicios, según lo planificado.
El servicio apoya la consecución de un conjunto de principales metas de TI:
Entrega de servicios de TI de acuerdo a los
requisitos
1. Número de interrupciones de la actividad de la red debido a incidentes
relacionados con TI
Metas y métricas del proceso
Meta del proceso Métricas relacionadas
Los servicios relacionados de Ti estan disponibles para ser utilizados
Meta de TI Métricas relacionadas
Gestión de riesgos del servicio relacionados
con las TI
1. Porcentaje de servicios relacionados con TI que tienen evaluación del riesgo
2. Numero de incidentes significativos relacionados con TI que no fueron
identificados en la evaluación
3. Frecuencia de la actualización del perfil de riesgo
Los incidentes son resueltos según los niveles de servicio acordados
Las peticiones de servicio son resueltas según los niveles de servicio acordados y la satisfacción del usuario
Proceso COBIT, Prácticas, Actividades y entradas/salidas del proceso
Práctica de Gestión Entradas Salidas
Esquema de clasificación de
problemas
Esquemas y modelos de clasificación de
incidentes y peticiones de servicio
Reglas para escalado de incidentes
Criterios para registro de problemas
3. Definir modelos de peticiones de servicio según el tipo de peticion de servicio correspondiente para facilitar la auto-
ayuda y el servicio eficiente para las peticiones estándar
5. Definir fuentes de conocimiento de incidentes y peticiones y su uso
Actividades
1. Definir esquemas de clasificacion y priorizacion de incidentes y peticiones de servicio y criterios para el registro de
problemas, para asegurar enfoques consistentes en el tratamiento, informando a los usuarios y realizando análisis de las
tendencias
2. Definir modelos de incidentes para errores conocidos con el fin de facilitar su resolución eficiente y efectiva
4. Definir reglas y procedimientos de escalado de incidentes, especialmente para incidentes importantes e incidentes de
seguridad
Definir esquemas de clasificacion de
incidentes y peticiones de servicio.
Definir esquemas y modelos de
clasificación de incidentes y peticiones de
servicio
Descripción Descripción
Acciones y comunucaciones de
respuesta a incidentes
Reglas de monitorizacion de activos
ANS
Repositorio de configuración
Repositorio actualizado con
elementos de configuración
Informes de estado de configuración
154
Investigar, diagnosticar y localizar
incidentes.
Identificar y describir síntomas de
incidentes, determinar posibles causas y
asignar recursos a su resolución
Descripción Descripción
Plan de soporte adicional
Síntomas de incidentes
Registro de problemas
Práctica de Gestión Entradas Salidas
Verificar, aprobar y resolver peticiones de
servicio.
Seleccionar los procedimientos adecuados
para peticiones y verificar que las
peticiones de servicio cumplen los criterios
de petición definidos
Descripción Descripción
Causas raíz relacionadas con riesgos
Peticiones de servicio aprobadas
Peticiones de servicio completas
Incidentes y peticiones de servicio
clasificados y priorizados
1. Verificar los derechos para realizar peticiones de servicio usando, cuando sea posible, un flujo de proceso predefinido y
cambios estándar
2. Obtener aprobacion firmada si se requiere, o aprobaciones predefinidas para cambios estandar acordados
Actividades
3. Completar las peticiones siguiendo el procedimiento de petición seleccionado, utilizando, cuando sea posible, menús
automaticos de autoayuda y modelos de peticion predefinidos para los elementos solicitados frecuentemente
Práctica de Gestión Entradas Salidas
Actividades
1. Registrar todos los incidentes y peticiones de servicio, registrando toda la información relevante de forma que pueda ser
manejada de manera efectiva y se mantenga un registro historico completo
2. Para posibilitar análisis de tendencias, clasificar incidentes y peticiones de servicio identificando tipo y categoria
3. Priorizar peticiones de servicio e incidentes según la definicion de impacto en el negocio del ANS y la urgencia
Registrar, clasificar y priorizar peticiones e
incidentes.
Identificar, registrar y clasificar peticiones
de servicio e incidentes y asignar una
prioridad según la criticidad del negocio y
los acuerdos de servicio
Descripción Descripción
Registro de incidentes y peticiones de
servicio
Tiquetes de incidentes
Reglas de supervision de activos y
condiciones de eventos
Tiquetes de incidentes de seguridad
Procedimiento de emergencia y
escalado
ANS
Práctica de Gestión Entradas Salidas
Resolver y recuperarse ante incidentes.
Documetnar, solicitar y probar las
soluciones identificadas o temporales y
ejecutar acciones de recuperación para
restaurar el servicio TI relacionado
Descripción Descripción
Actividades
1. Identificar y describir síntomas relevantes para establecer las causas mas probables de los incidentes2. Registrar un nuevo problema si un problemas relacionado o error conocido no existe aun y si el incidente satisface los
criterios acordados para registro de problemas
3. Asignar incidentes a funciones especialistas si se necesita de un conocimiento más profundo e implicar al nivel de gestión
apropiado, cuando sea necesario
Práctica de Gestión Entradas Salidas
Actividades
1. Seleccionar y aplicar las resoluciones de incidentes más apropiadas
3. Ejecutar acciones de recuperación, si se requieren
4. Documentar la resolución del incidente y evaluar si puede usarse como una fuente de conocimiento en el futuro
Planes de respuesta a incidentes
relacionados con riesgos
Registro de errores conocidos
Comunicación de conocimiento
aprendido
Resoluciones de incidentes
2. Registrar si se usaron soluciones temporales para resolver los incidentes
155
Cerrar peticiones de servicio e incidentes.
Verificar la satisfactoria resolución de
incidentes y/o satisfactorio cumplimiento
de peticiones y cierre
Descripción Descripción
Registros de problemas cerrados
Peticiones de servicio e incidentes
cerrados
Confirmación del usuario de resolución
o cumplimiento satisfactorios
Práctica de Gestión Entradas Salidas
2. Identificar la información para las partes interesadas y sus necesidades de datos e informes. Identificar la frecuencia y el
medio para informarles
Actividades
1. Supervisar y hacer seguimiento del escalado de incidentes y de resoluciones y de los procedimientos de gestión de
resoluciones para progresar hacia la resolución o cumplimiento.
3. Analizar incidentes y peticiones de servicio por categoria y tipo para establecer tendencias e identificar patrones de
asuntos recurrentes, infracciones de ANS o ineficinecias. Utilizar la información como entrada a la planificación de mejora
continua
4. Producir y distribuir informes en tiempo o proporcionar acceso controlado a datos en línea
OLA
Informes de estado de problemas
Seguir el estado y emitir informes.
Hacer seguimiento, analizar e informar de
incidentes y tendencias de cumplimiento
de peticiones, regularmente, para
proporcionar información para la mejora
continua
Descripción Descripción
Informes de estado de cumplimiento de
peticiones y tendencias
Informes de resolución de problemas
Informes de monitorización de
resolución de problemas
Informes de estado y tendencia de
incidentes
Actividades
1. Verificar con los usuarios afectados que la peticion de servicio ha sido completada o el incidente ha sido resuleto de
manera satisfactoria
2. Cerrar peticiones de servicio e incidentes
Práctica de Gestión Entradas Salidas
156
Matriz RACI:
Practica
clave de
GobiernoD
irec
tor
de
la R
ed
Co
ord
inad
or
de
la
Red
Lid
er e
n g
esti
ón
de
pro
yect
os
Líd
er t
écn
ico
Líd
er d
e TI
Líd
er e
n
soci
aliz
ació
n y
div
ulg
ació
n
Líd
er d
e se
rvic
ios
mu
ltim
edia
Líd
er e
n in
gen
ierí
a
de
soft
war
e
Líd
er d
e se
rvic
ios
acad
émic
os
Líd
er d
e se
rvic
ios
de
con
ecti
vid
ad
Enca
rgad
o d
e
Cal
idad
Definir
esquemas de
clasificacióm de
incidentes y
peticiones de
servicio
A R R R R R R
Registrar,
clasificar y
priorizar
peticiones e
incidentes
A R R R R R
Verificar,
aprobar y
resolver
peticiones de
servicio
I R A A A A A
Investigar,
diagnosticar y
localizar
incidentes
I R A A A A A I
Resolver y
recuperarse de
incidentesI R A A A A A C
Cerrar peticiones
de servicio e
incidentes
I A I I I I I I
Seguir el estado
y emitir informesI A R R R R R I
157
DSS03: Gestionar los problemas
1. Número de interrupciones del servicio causantes de incidentes significativos
2. Porcentaje de no prestación del servicio por falta de disponibilidad
3. Número de quejas de los usuarios
4. Tendencia de los resultados de evaluación
5. Numero de servicios interrumpidos debido a incidentes relacionados con IT
Meta de TI Métricas relacionadas
Gestión de riesgos del servicio
relacionados con las TI
1. Porcentaje de servicios relacionados con TI que tienen evaluación del riesgo
2. Numero de incidentes significativos relacionados con TI que no fueron
identificados en la evaluación
3. Frecuencia de la actualización del perfil de riesgo
Optimización de infraestructura,
recursos y capacidades de las TI
1. Frecuencia de evaluación de la madurez de la capacidad de los servicios
2. Tendencia de los resultados de evaluación
3. Nivel de satisfacciòn de la alta dirección de RITA y de TI con costes y
capacidades TI.
Entrega de servicios de TI de acuerdo
a los requisitos
1. Numero de interrupciones de la actividad de la red debido a incidentes
relacionados con TI
Disponibilidad de información útil y
relevante para la toma de decisiones
1. Nivel de satisfacción del usuario con la calidad y disponibilidad de la
información gestionada
2. Numero de incidentes causados por no disponibilidad de la información
Metas y métricas del proceso
Meta del proceso Métricas relacionadas
Garantizar que los problemas
relativos a TI son resueltos de forma
que no vuelven a suceder
El servicio apoya la consecución de un conjunto de principales metas de TI:
Proceso COBIT: DSS03 Gestionar los problemas Area: Gestión
Dominio: Entrega, Servicio y Soporte
Descripción del proceso: Identificar y clasificar problemas y sus causas raíz y proporcionar solución en tiempo para
prevenir incidentes recurrentes. Proporcionar recomentaciones de mejora.
Declaración del propósito del proceso: Incrementar la disponibilidad, mejorar los niveles de servicio, reducir costes, y
mejorar la satisfaciion del usuario reduciendo el número de problemas operativos.
Salidas
Identificar y calsificar Problemas
Definir e implementar criterios y
procedimientos para informar de los
problemas identificados, incluyendo
clasificación y priorización de
problemas.
Descripción Descripción
Registro de problemas Registro de problemas
4. Definir niveles de prioridad mediante consultas del entorno. Basar los niveles de prioridad en el impacto al
beneficio y en la urgencia.
Proceso COBIT, Prácticas, Actividades y entradas/salidas del proceso
Práctica de Gestión Entradas
Actividades
1. Identificar problemas mediante la correlación de informes de incidentes, registros de error y otros recursos de
identificación de problemas. Determinar niveles de prioridad y categorización para dedicarse a la resolución de
problemas en tiempo basándose en los riesgos de negocio y en la definición del servicio.
2. Manejar formalmente todos los problemas con acceso a todos los datos relevantes, incluyendo información sobre el
sistema de gestión de cambios y los detalles de incidentes sobre activos de TI.
3. Definir grupos de soporte adecuados para ayudar en la identificación de problemas, en el análisis de la causa raíz, y
en la determinación de la solución, para respaldar la gestión de problemas.
5. Mantener un catalogo de gestión de problemas único para gestionar e informar sobre problemas identificados y
para establecer pistas de auditoría sobre los procesos de gestión de problemas, incluyendo el estado de cada
problema.
Causas raíz relacionadas con riesgos
Criterios para el registro de
problemas
Esquema de clasificación de problemas
Informe de estado de problemas
158
6. Asegurar que el conocimiento aprendido de esta revisión se incorpora en una reunión de revisión del servicio con el
encargado del mismo
Resoluciones de incidentes
Incidentes y peticiones de servicio
cerrado
Comunicación del conocimiento
aprendido
3. A través del proceso de resolución, obtener informes periódicos de gestión de cambios acerca del progreso en la
resolución de errores y problemas.
4. Supervisar el continuo impacto de los problemas y errores conocidos en los servicios.
Resolver y cerrar problemas.
Identificar e iniciar soluciones
sostenibles refiriendose a la causa
raíz, levantando peticiones de cambio
a través de la gestión de cambios.
Asegurarse de que el personal
Descripción Descripción
Registro de problemas cerrados
5. Revisar y confirmar la resolución satisfactoria de problemas grave.
Actividades
1. Cerrar registros de problemas, bien después de la confirmación de la eliminación satisfactoria del error conocido, o
bien una vez acordado como tratar el problema de una manera elternativa.
2. Informar del cierre del problema.
Descripción Descripción
Práctica de Gestión Entradas Salidas
Actividades
1. Tan pronto como las causas raíz de los problemas se hayan identificado, crear registros de errores conocidos y una
solución temporal adecuada
2. Identificar, evaluar, priorizar y procesar soluciones a los errores conocidos basándose en el impacto, la urgencia y el
beneficio.
Práctica de Gestión
Informes de resolución de problemas
Registros de errores conocidos
Soluciones propuestas con errores
conocidos
Actividades
1. Identificar problemas que pueden ser errores conocidos comparando datos de incidentes con la base de datos de
errores conocidos y posibles y clasificar problemas como errores conocidos.
2. Asociar los elementos de configuración afectados con el error conocido/establecido.
3. Producir informes para comunicar el progreso de la resolución de problemas y para supervisar el impacto
continuado de los problemas no resueltos.
Entradas Salidas
Levantar errores conocidos.
Tan pronto como las causas raíz de los
problemas se hayan identificado,
crear registros de errores conocidos y
una solución temporal adecuada e
identificar soluciones potenciales.
Investigar y diagnosticar problemas.
Investigar y diagnosticar problemas
utilizando expertos en la materia
relevantes para analizar y valorar las
causas raíz.
Descripción Descripción
Causas raíz relacionadas con riesgos
Causas raíz de los problemas
Práctica de Gestión Entradas Salidas
159
Matriz RACI:
Practica clave
de GobiernoD
irec
tor
de
la R
ed
Co
ord
inad
or
de
la
Red
Lid
er e
n g
esti
ón
de
pro
yect
os
Líd
er t
écn
ico
Líd
er d
e TI
Líd
er e
n s
oci
aliz
ació
n
y d
ivu
lgac
ión
Líd
er d
e se
rvic
ios
mu
ltim
edia
Líd
er e
n in
gen
ierí
a
de
soft
war
e
Líd
er d
e se
rvic
ios
acad
émic
os
Líd
er d
e se
rvic
ios
de
con
ecti
vid
ad
Enca
rgad
o d
e
Cal
idad
Identificar y
clasificar
ProblemasI I I R C C C C C I
Investigar y
diagnosticar
problemas
R
Levantar errores
conocidosR
Resolver y cerrar
problemasI I I C R C C C C C C
160
DSS04: Gestionar la continuidad
Metas y métricas del proceso
Meta del proceso
Meta de TI Métricas relacionadas
Gestión de riesgos del servicio
relacionados con las TI
1. Porcentaje de servicios relacionados con TI que tienen evaluación del riesgo
2. Número de incidentes significativos relacionados con TI que no fueron
identificados en la evaluación
3. Frecuencia de la actualización del perfil de riesgo
Métricas relacionadas
1. Número de servicios prestados a tiempo
2. Tendencia de los resultados de evaluación
1. Porcentaje de proyectos de Ti en los que el impacto es monitoreado a traves
de todo su ciclo de vida
1. Porcentaje de interesados que comprenden las politicas internas
1. Frecuencia de evaluación de la madurez de la capacidad de los servicios
1. Porcentaje de preparacion del personal
La información crítica para la Red está
disponible alineada con los niveles de
servicio mínimos requeridos
Los servicios críticos tienen suficiente
resiliencia
Las pruebas de continuidad del
servicio han verificado la efectividad
del plan
Un plan de continuidad actualizado
refleja los requisitos actuales de la
Red.
Las partes interesadas han sido
formadas en el plan de continuidad.
Proceso COBIT: DSS04 Gestionar la continuidad Area: Gestión
Dominio: Entrega, Servicio y Soporte
Descripción del proceso: Establecer y mantener un plan para permitir a la red y a TI responder a incidentes e
interrupciones de servicio para la operación continua de los procesos críticos para la Red y los servicios TI requeridos y
mantener la disponibilidad de la información a un nivel aceptable.
Declaración del propósito del proceso: Continuar las operaciones críticas para la Red y mantener la disponibilidad de la
información a un nivel aceptable ante el evento de ina interrupción significativa.
El servicio apoya la consecución de un conjunto de principales metas de TI:
Disponibilidad de información útil y
relevante para la toma de decisiones
1. Nivel de satisfacción del usuario con la calidad y disponibilidad de la
información gestionada
2. Número de incidentes causados por no disponibilidad de la información
Entrega de servicios de TI de acuerdo
a los requisitos
1. Número de interrupciones de la actividad de la red debido a incidentes
relacionados con TI
161
Actividades
1. Identificar escenarios potenciales probables que puedan dar pie a eventos causantes de incidentes disruptivos
importantes.
2. Realizar un análisis de impacto en la Red para evaluar el impacto en tiempo de una disrupción en funciones críticas y
el efecto que tendría en ellas.
8. Obtener la aprobación de la mesa de dirección para las opciones estratégicas seleccionadas.
6. Determinar las condiciones y los responsables de decisiones clave que puedan causar la invocaciones de los planes
de continuidad.
7. Identificar los requerimientos de recursos y costes para cada opción técnica estratégia y realizar recomendaciones
estratégicas.
3. Establecer el tiempo mínimo necesario para recuperar un proceso de negocio y su soporte de TI, basándose en una
duración aceptable de interrupción de la Red y la interrupción máxima tolerable.
4. Analizar la probabilidad de amenazas que puedan causar pérdidas de continuidad de la Red e identificar medidas
que reduzcan la probabilidad y el impacto, mejorando la prevención e incrementando la resiliencia.
5. Analizar los requerimientos de continuidad para identificar las posibles estratégias y opciones técnicas
Práctica de Gestión Entradas Salidas
Mantener una estrategia de
continuidad.
Evaluar las opciones de gestion de la
continuidad y escoger una estratégia
de continuidad viable y efectiva en
coste, que pueda asegurar la
continuidad y recuperación de la Red
frente a un desastre o disrupción.
Descripción Descripción
1. Causas raíz relacionadas con riesgos
2. Comunicaciones del impacto de los
riesgos
Análisis de impacto en la Red
Opciones estratégicas aprobadas
Requerimientos de continuidad
2. Identificar las partes interesadas clave y los roles y responsabilidades para definir y acordar la política de
continuidad y su alcance.
3. Definir y documentar los objetivos y el alcance mínimos acordados de la política de continuidad e imbricar la
planificación de continuidad de la cultura de RITA
4. Identificar procesos de soporte esenciales y servicios TI relacionados
Definir la política de continuidad,
objetivos y alcance.
Alinear la política con los objetivos de
la Red y de las las partes interesadas
Descripción Descripción
Política y objetivos de continuidad
Proceso COBIT, Prácticas, Actividades y entradas/salidas del proceso
Práctica de Gestión Entradas Salidas
Escenarios de incidentes que causan una
interrupción.
Valoraciones de las capacidades
actuales y lagunas de continuidad.
ANS
Actividades
1. Identificar procesos internos, subcontratados y actividades de servicio que son críticas para las operaciones de la
Red o necesarias para cumplir obligaciones legales y/o contractuales.
162
Lista de personal que requiere
formación.
Requerimientos de formación
Resultados de la supervisión de
habilidades y competencias.
Actividades
1. Definir y mantener los planes y requerimientos de formación para quienes realicen de manera continua
planificación de la continuidad, análisis de impacto, evaluaciones de riesgos, comunicación con los medios y respuesta
a incidentes.
2. Desarrollar competencias basadas en la formación práctica que incluyan la participación en ejercicios y pruebas.
3. Supervisar habilidades y competencias basándose en los resultados de los ejercicios y pruebas.
Práctica de Gestión Entradas Salidas
Proporcionar formación en el plan de
continuidad.
Proporcionar a todas las partes
implicadas de sesiones formativas
regulares que contemplen los
procedimientos y sus roles y
responsabilidades en caso de
disrupción.
Descripción Descripción
Práctica de Gestión Entradas
Plan de continuidad
2. Desarrollar y mantener planes de continuidad que contengan procedimientos a seguir para permitir continuar
operando los procesos críticos y/o planes temporales de servicio.
3. Definir las condiciones y procedimientos de recuperación que permitan la reanudación de procesos y servicios,
incluyendo la actualización y conciliación de las bases de datos para preservar la integridad de la información.
4. Definir y documentar los recursos necesarios para soportar los procesos y servicios de continuidad y recuperación,
considerando personas, instalaciones e infraestructura de TI.
5. Definir y documentar los requerimientos de información de respaldo para soportar los planes y considerar las
necesidades de seguridad y almacenamiento en otra ubicación.
Actividades
1. Definir las acciones y comunicaciones de respuesta a incidentes que deben realizarse en un evento de disrupción.
Definir los roles y responsabilidades relacionados, incluyendo la responsabilidad para la política y la implementación.
Plan de continuidad de negocio (BCP)
Actividades
1. Revisar el plan y la capacidad de continuidad de forma regular frente a las asunciones hechas y los objetivos actuales
de la Red, tanto estratégicos como operativos.
2. Considerar si es necesario una revisión del análisis de impacto en la Red, dependiendo de la naturaleza de los
cambios.
3. Recomendar y comunicar los cambios en la política, planes, procedimientos, infraestructura, roles y
responsabilidades para la aprobación de la dirección y su realización mediante el proceso de gestión de cambios.
Revisar, mantener y mejorar el plan
de continuidad.
Realizar una revisión por parte de la
mesa directiva de la capacidad de
continuidad a intervalos regulares
para asegurar su idoneidad,
adecuación y efectividad. Gestionar
los cambios en el plan de acuerdo a la
gestión de cambios para mantenerlo
actualizado y reflejando
continuamente los requerimientos de
la Red.
Descripción Descripción
Resultados de las revisiones de los
planes.
Cambios recomendados a los planes
7. Distribuir los planes y documentación de soporte de modo seguro a las partes interesadas y apropiadamente
autorizadas y asegurar que estén accesibles en escenarios de desastre.
Práctica de Gestión Entradas Salidas
Salidas
6. Determinar las habilidades necesarias para los individuos implicados en la ejecución de los planes y
procedimientos.
Desarrollar e implementar una
respuesta a la continuidad de la Red.
Desarrollar un plan de continuidad de
negocio (BCP) basado en la estratégia
que documente los procedimientos y
la información lista para el uso de un
incidente facilitando que la empresa
Descripción Descripción
Acuerdos de nivel operativo (OLA)
Acciones y comunicaciones de
respuestas a incidentes
163
Matriz RACI:
2. Determinar la efectividad del plan, capacidades de continuidad, roles y responsabilidades, habilidades y
3. Identificar debilidades u omisiones en el plan y las capacidades, y hacer recomendaciones para la mejora.
4. Obtener la aprobación de la mesa directiva para los cambios en el plan y aplicarlos mediante el proceso de control
de cambios de la empresa.
Práctica de Gestión Entradas Salidas
Ejecutar revisiones post-reanudación.
Evaluar la adecuación del (BCP)
después de la reanudación exitosa de
los procesos y servicios de la Red
despues de una disrupción.
Descripción Descripción
BCP
Cambios aprobados a los planes
Actividades
1. Evaluar la observación del (BCP) documentada.
Informe de revisión post-reanudación
Practica clave
de Gobierno
Dir
ecto
r d
e la
Red
Co
ord
inad
or
de
la
Red
Lid
er e
n g
esti
ón
de
pro
yect
os
Líd
er t
écn
ico
Líd
er d
e TI
Líd
er e
n s
oci
aliz
ació
n
y d
ivu
lgac
ión
Líd
er d
e se
rvic
ios
mu
ltim
edia
Líd
er e
n in
gen
ierí
a
de
soft
war
e
Líd
er d
e se
rvic
ios
acad
émic
os
Líd
er d
e se
rvic
ios
de
con
ecti
vid
ad
Enca
rgad
o d
e
Cal
idad
Definir la política
de continuidad,
objetivos y alcance
A R R R R R R R C
Mantener una
estrategia de
continuidadA R R R R R R R C
Desarrollar e
implementar una
respuesta a la
continuidad de la
Red
I I I R R R R R R R C
Revisar, mantener
y mejorar el plan
de continuidadA R R R R R R R
Proporcionar
formación en el
plan de
continuidad
I I I R R R R R R R
Ejecutar revisiones
post-reanudaciónC C C R R R R R R R
164
MEA01: Supervisar, evaluar y valorar rendimiento y conformidad
Entrega de servicios de TI de acuerdo
a los requisitos
1. Número de interrupciones de la actividad de la red debido a incidentes
relacionados con TI
El monitoreo, la evaluación y
generación de información es
efectiva y operativa
Objetivos y métricas integradas
dentro de los sistemas de
supervisiónd e la Red
Proceso COBIT: MEA01 Supervisar,
evaluar y valorar rendimiento y
Area: Gestión
Dominio: Supervisar. Evaluar y valorar
Descripción del servicio: Recolectar, evaluar y validar métricas y objetivos de negocio, de TI y de procesos:
Supervisar que los procesos se están realizando de acuerdo al rendimiento acordado y conforme a los objetivos y
métricas y se proporcionan informes de manera sistemática y planificada
Declaración del propósito del proceso: Proporcionar la transparencia de rendimiento y conformidad y conducción
hacia la obtención de objetivos.
El servicio apoya la consecución de un conjunto de principales metas de TI:
Meta de TI Métricas relacionadas
Gestión de riesgos del servicio
relacionados con las TI
1. Frecuencia de actualización del perfil del riesgo
2. Porcentaje de servicios relacionados con TI que tienen evaluación del
riesgo
Optimización de infraestructura,
recursos y capacidades de las TI
1. Frecuencia de evaluación de la madurez de la capacidad de los servicios
2. Tendencia de los resultados de evaluación
3. Nivel de satisfacciòn de la alta dirección de RITA y de TI con costes y
capacidades TI.
Cumplimiento de TI con las políticas
internas
1. Número de incidentes relacionados con el incumplimiento de politicas
2. Porcentaje de interesados que entienden las políticas
Metas y métricas del proceso
Meta del proceso Métricas relacionadas
Objetivos y métricas aprobadas por
las partes interesadas
Procesos medidos de acuerdo a las
métricas y objetivos acordados
Los informes a cerca del rendimiento
y conformidad de los procesos es útil
y a tiempo
1. Tiempo promedio para acordar y aprobar un objetivo estratégico de RITA
2. Tendencia de los resultados de evaluación
3. Numero de veces que TI esta en la agenda de la mesa directiva de manera
proactiva
165
1. Definir y revisar periódicamente los objetivos y métricas con las partes interesadas para identificar cualquier
detalle significativo omitido y definir la razonabilidad de metas y tolerancias.
2. Comunicar los cambios propuestos en las metas y tolerancias de rendimiento y cumplimiento
3. Hacer público a los usuarios de la información los cambios en metas y tolerancias
Métricas y objetivos de
rendimiento y métricas
para el seguimiento de
la mejora de los
procesos
4. Evaluar si los objetivos y métricas son adecuados, es decir, específicos, medibles alcanzables, relevantes y
limitantes en el tiempo
6. Resumir y comunicar los resultados de las autoevaluaciones para considerar acciones correctivas.
7. Definir un enfoque consistente y consensuado para la realización de autoevaluaciones de control y para la
Práctica de Gestión Entradas Salidas
Establecer los objetivos de
cumplimiento y rendimiento.
Colaborar con las partes interesadas
en la definición, revisión periódica,
actualización y aprobación de los
objetivos de rendimiento y
cumplimiento enmarcados dentro del
sistema de medida del rendimiento.
Objetos de supervisión
Descripción
Planes y criterios de Autoevaluación
Resultados de las revisiones de las
autoevaluaciones
Resultados de las autoevaluaciones
Actividades
1. Mantener planes y alcances e identificar los criterios de evaluación para las autoevaluaciones. Planificar la
Actividades
2.Determinar la frecuencia de las autoevaluaciones periódicas, considerando la efectividad y eficiencia conjuntas de
3. Asegurar la responsabilidad de las autoevaluación a las personas oportunas con el fin de asegurar la objetividad y
DescripciónDescripción
Descripción
4. Proporcionar revisiones independientes para asegurar la objetividad de la autoevaluación.
5. Comparar los resultados de las autoevaluaciones con estándares y buenas prácticas.
Proceso COBIT, Prácticas, Actividades y entradas/salidas del proceso
Práctica de Gestión Entradas Salidas
Establecer un enfoque de supervisión
Involucrar a las partes interesadas en
el establecimiento y mantenimiento
de un enfoque de supervisión que
defina los objetivos, alcance y
método de medición de las
soluciones y objetivos de la Red
Establecer un enfoque
de supervisión
166
5. Analizar las causas de las desviaciones respecto a las metas, asignar responsabilidades para la remediación y
realizar su seguimiento. Documentar los resultados.
6. Cuando sea posible, enlazar el cumplimiento de objetivos de desempeño con el sistema de compensación y
gratificación de la Red.
Actividades
1. Diseñar informes de rendimiento que sean concisos, faciles de entender y ajustados a las diferentes necesidades
de gestión y audiencias. Facilitar la toma efectiva y oportuna de decisionesy asegurar que la cuasa y el efecto entre
objetivos y métricas se comunican de una forma comprensible.
2. Comparar los valores de rendimiento con metas y estudios comparativos internos y, cuando sea posible, con
externos.
Informes de desempeño
3. Recomendar cambios a los objetivos y métricas, cuando sea menester.
4. Distribuir los informes a las partes interesadas relevantes.
Práctica de Gestión
4. Alinear los datos consolidados a los enfoques y objetivos de presentación de información de la Red
5. Utilizar herramientas y sistemas apropiados para el procesamiento y formateo de datos para análisis
Descripción
Datos de supervisión apropiados
Informes del
rendimiento del
portafolio de
inversiones
Informes de desempeño
del nivel de servicioResultados de las
revisiones de
supervisión del
cumplimiento de los
proveedores
Resultados de las
revisiones de
rendimiento de los
programas
Informes de revisión de
supervisión de la
capacidad, rendimiento
y disponibilidad
Actividades
1. Recopilar datos de los procesos definidos, de forma automatizada cuando sea posible
2. Evaluar la eficiencia y oportunidad; y validar la integridad de los datos recopilados
3. Consolidar los datos para soportar el cálculo de las métricas acordadas
Recopilar y procesar los datos de
cumplimiento y rendimiento
Recopilar y procesar datos oprtunos y
precisos de acuerdo con los enfoques
de negocio
Evaluación de la
capacidad de los
procesos
Medidas y resultados
exitososInformes de evaluación
de instalaciones
1. Informe de tendencia
y estado de competitud
de las peticiones
2. Informe de tendencia
y estado de incidentes
Entradas Salidas
Analizar e informar sobre el
rendimiento
Revisar e informar de forma periódica
sobre el desempeño respecto de los
objetivos, utilizando métodos que
proporcionen una visión completa y
sucinta del rendimiento de las TI.
Analizar e informar
sobre el rendimiento
Práctica de Gestión Entradas Salidas
Descripción
Descripción Descripción
167
Matriz RACI:
Salidas
4. Informar de los resultados a las partes interesadas
Asegurar la implantación de medidas
correctivas
Apoyar a las partes interesadas en la
identificación, inicio y seguimiento
de las acciones correctivas para
solventar anomalías.
Actividades
1. Revisar las alternativas, respuestas y recomendaciones de la dirección con el fin de tratar los problemas y
desviaciones mayores.
2. Asegurar que se mantiene la asignación de responsabilidades en las acciones correctivas.
3. Hacer seguimiento de los resultados de las acciones correctivas.
Práctica de Gestión Entradas
Acciones correctivas de
incumplimientosEstado y resultado de las acciones
Directrices de escalado Acciones y asignaciones correctivas
Descripción Descripción
Practica clave
de Gobierno
Dir
ecto
r d
e la
Red
Co
ord
inad
or
de
la
Red
Lid
er e
n g
esti
ón
de
pro
yect
os
Líd
er t
écn
ico
Líd
er d
e TI
Líd
er e
n
soci
aliz
ació
n y
div
ulg
ació
n
Líd
er d
e se
rvic
ios
mu
ltim
edia
Líd
er e
n
inge
nie
ría
de
soft
war
eLí
der
de
serv
icio
s
acad
émic
os
Líd
er d
e se
rvic
ios
de
con
ecti
vid
ad
Enca
rgad
o d
e
Cal
idad
Establecer un
enfoque de
supervisiónA I I C R C C C C C C
Establecer los
objetivos de
cumplimiento y
rendimiento.
I I I R R R R R R R
Recopilar y
procesar los datos
de cumplimiento y
rendimiento
R A R R R R R
Analizar e informar
sobre el
rendimientoA R R R R R R R C
Asegurar la
implantación de
medidas
correctivas
I R C C
168
MEA02: Supervisar, evaluar y valorar el sistema de control interno
Proceso COBIT: MEA02 Supervisar,
evaluar y valorar el sistema de control
Area: Dirección
Dominio: Supervisar. Evaluar y valorar
Descripción del servicio: Supervisa y evalúa de manera continua el entorno de control, incluyendo tanto
autoevaluaciones como revisiones externas independientes. Facilitar a la mesa directiva la identificación de
deficiencias e ineficiencias en el control y el inicio de acciones de mejora. Planificar, organizar y mantener normas
para la evaluacion del control interno y las actividades de aseguramiento,
Declaración del propósito del proceso: Ofrecer transparencia a las partes interesadas claves respecto de la
adecuación del sistema de control interno para generar confianza en las operaciones, en el logro de los objetivos de
la Red.
El servicio apoya la consecución de un conjunto de principales metas de TI:
Los procesos, recursos e información
cumplen con los requisitos del
sistema de control interno de la
empresa
1. Nivel de satisfacción de la dirección con el alcance del portafolio de
servicios
El control interno está establecido y
las deficiencias son identificadas y
comunicadas
1. Frecuencia de reuniones del equipo relacionado con TI
2. Número de veces que TI esta en la agenda de la mesa directiva de manera
proactiva
1. Número de incidentes relacionados con el incumplimiento de politicas
2. Porcentaje de interesados que entienden las políticas
Todas las iniciativas de
aseguramiento se planean y ejecutan
de forma efectiva
1. Nivel de satisfaccion con las respuestas de RITA a nuevos requerimientos
2. Porcentaje de servicios que fueron aprobados
3.Porcentaje de servicios que cumplieron las expectativas de los usuarios
Metas y métricas del proceso
Meta del proceso Métricas relacionadas
Meta de TI Métricas relacionadas
Cumplimiento y soporte de TI al
cumplimiento de las leyes y
regulaciones externas
1. Número de incidentes relacionados con el incumplimiento de politicas
Gestión de riesgos del servicio
relacionados con las TI
1. Frecuencia de actualización del perfil del riesgo
2. Porcentaje de servicios relacionados con TI que tienen evaluación del
riesgo
Cumplimiento de TI con las políticas
internas
169
Actividades
1. Determinar los destinatarios de las salidas de la iniciativa de aseguramiento y el objetivo de la revisión.
2. Realizar una evluación del riesgo a alto nivel y/o evaluar la capacidad del proceso para diagnosticar el riesgo e
identificar los procesos críticos de TI
Planificar iniciativas de
aseguramiento
Planificar las iniciativas de
aseguramiento basándose en los
objetivos de la Red y las prioridades
estratégicas
Descripción
3. Establecer la competencia y cualificación de los proveedoras de aseguramiento
Planes de aseguramiento independiente
Planes de aseguramiento
Criterios de evaluación
Salidas
Garantizar que los proveedores de
aseguramiento son independientes y
están cualificados.
Asegurar que las entidades que
aseguran el aseguramiento son
independientes de la Red en el
alcance. Las entidades que realizan el
aseguramiento deberían mostrar una
actitud y adherencia apropiadas a los
códigos de ética y estándares.
Descripción Descripción
Evaluaciones a los proveedores de la Red
Actividades
1. Establecer la adhesión a códigos de ética y estándares aplicables
2. Establecer la independencia de los proveedores de aseguramiento
Práctica de Gestión Entradas Salidas
Descripción
Actividades
7. Definir un enfoque consistente y consensuado para la realización de autoevaluaciones de control y para la
coordinación con auditores internos y externos.
Resultados de las
autoevaluaciones del
proveedor de
aseguramiento
1. Mantener planes y alcances e identificar los criterios de evaluación para las autoevaluaciones. Planificar la
comunicación de resultados del proceso de autoevaluación a la Red. Considerar estándares de auditoría interna en el
diseño de las autoevaluaciones.
2.Determinar la frecuencia de las autoevaluaciones periódicas, considerando la efectividad y eficiencia conjuntas de
la supervisión continua.
Planes de auditoría de programas
Evaluaciones de alto
nivel
Autoevaluaciones de control
Planes y criterios de
Autoevaluación
Resultados de las
revisiones de las
autoevaluaciones
Resultados de las
autoevaluaciones
6. Resumir y comunicar los resultados de las autoevaluaciones para considerar acciones correctivas.
Práctica de Gestión Entradas
3. Seleccionar, adaptar y llegar a un acuerdo sobre los objetivos de control para los procesos críticos que serán la
base para la evaluación de control
Realizar autoevaluaciones de control.
Estimular a la mesa directiva y a los
propietarios de los procesos a tomar
posesión de manera firme del
procedimiento de mejora del control
3. Asegurar la responsabilidad de las autoevaluación a las personas oportunas con el fin de asegurar la objetividad y
4. Proporcionar revisiones independientes para asegurar la objetividad de la autoevaluación.
5. Comparar los resultados de las autoevaluaciones con estándares y buenas prácticas.
Descripción Descripción
Proceso COBIT, Prácticas, Actividades y entradas/salidas del proceso
Práctica de Gestión Entradas Salidas
170
4. Comunicarse con la mesa directiva durante la ejecución de la iniciativa para que haya un entendimiento claro del
trabajo realizado
5. Supervisar las actividades de aseguramiento y asegurar que el trabajo realizado esta completo, cumple con los
objetivos y tiene una calidad aceptable.
6. Proveer a la mesa directiva de in informe que respalde los resultados de la iniciativa y haga hincapié en las
cuestiones clave y las acciones importantes.
Actividades
1. Refinar la comprensión y alcance de los objetivos de control clave en materia de TI en la Red
2. Probar la efectividad del diseño de control de los objetivos clave de control y probar los resultados
3. Documentar el impacto de las debilidades de control
Ejecutar las iniciativas de
aseguramiento
Ejecutar la iniciativa de
aseguramineto planificada. Informar
de los hallazgos identificados.
Proveer opiniones de aseguramiento
positivo y recomendaciones de
mejora relativo al sistema interno.
Descripción
4. Donde la efectividad de control no es aceptable, definir prácticas para identificar el riesgo residual
Deficiencias de cumplimiento detectadas
Práctica de Gestión Entradas Salidas
1. Definir el plan de participación y los recursos necesarios
2. Definir las prácticas de recolección y evaluación de la información de los procesos bajo revisión para identificar los
controles a ser validados y los hallazgos reales para aseguramiento del riesgo
3. Definir prácticas para validar el diseño de controles y resultados; y determinar si el nivel de efectividad es
compatible con el riego aceptable.
Actividades
Informes de incidentes de incumplimiento de
causa raíz
Informe de revisión de
aseguramiento
Descripción
Descripción
Descripción
Práctica de Gestión Entradas Salidas
Estudiar iniciativas de aseguramiento
Definir y acordar con la dirección el
ámbito de la iniciativa de
aseguramiento, basándose en los
objetivos de aseguramiento
171
Matriz RACI:
Realizar
autoevaluaciones de
control
I I C C C C C C C C R
Garantizar que los
proveedores de
aseguramiento son
independientes y
están cualificados
R R R R R R R A
Planificar iniciativas
de aseguramientoA R R R R R R C
Estudiar iniciativas
de aseguramientoR R R R R R A
Ejecutar las
iniciativas de
aseguramientoI I I R R R R R R A
Practica clave
de Gobierno
Dir
ecto
r d
e la
Red
Co
ord
inad
or
de
la
Red
Enca
rgad
o d
e
Cal
idad
Lid
er e
n g
esti
ón
de
pro
yect
os
Líd
er t
écn
ico
Líd
er d
e TI
Líd
er e
n
soci
aliz
ació
n y
div
ulg
ació
nLí
der
de
serv
icio
s
mu
ltim
edia
Líd
er e
n in
gen
ierí
a
de
soft
war
e
Líd
er d
e se
rvic
ios
acad
émic
os
Líd
er d
e se
rvic
ios
de
con
ecti
vid
ad
172
MEA03: Supervisar, evaluar y valorar la conformidad con los
requerimientos externos
Tratar adecuadamente los requisitos externos
de cumplimiento1. Número de incidentes relacionados con el incumplimiento de politicas
El servicio apoya la consecución de un conjunto de principales metas de TI:
Meta de TI Métricas relacionadas
Cumplimiento y soporte de TI al cumplimiento
de las leyes y regulaciones externas1. Número de incidentes relacionados con el incumplimiento de politicas
Gestión de riesgos del servicio relacionados
con las TI
1. Frecuencia de actualización del perfil del riesgo
2. Porcentaje de servicios relacionados con TI que tienen evaluación del
riesgo
Metas y métricas del proceso
Meta del proceso Métricas relacionadas
La totalidad de los requisitos externos de
cumplimiento se han identificado
1. Número de incidentes ocurridos en los servicios causados por errores de
integración de la tecnología
2. Frecuencia de reuniones del equipo relacionado con TI
Proceso COBIT: MEA03 Supervisar, evaluar y valorar la
conformidad con los requerimientos externos
Area: Gestión
Dominio: Supervisar. Evaluar y valorar
Descripción del servicio: Evalúa el cumplimiento de requisitos regulatorios y contractuales tanto en los procesos
dependientes de las tecnologías de la información. Obtener garantías de que se han identificado, se cumple con los
requisitos y se ha integrado el complimiento de TI en el cumplimiento de la Red
Declaración del propósito del proceso: Asegurar que toda la empresa cumple con todos los requisitos externos que le sean
aplicables.
Identificar requisitos externos de
cumplimiento.
Identificar y supervisar de manera continuada,
cambios en las legislaciones y regulaciones,
así como otros requisitos externos de
obligatorio cumplimiento en el área de TI
Descripción Descripción
Registro de requisitos de
cumplimiento
Inventario de acciones de
cumplimiento necesarias
Proceso COBIT, Prácticas, Actividades y entradas/salidas del proceso
Pactica de Gestión Entradas Salidas
5. Mantener un inventario actualizado de los requisitos legales , su impacto y las acciones necesarias
6. Mantener un registro general consolidado de los requisitos externos de cumplimieto que afecten a la Red.
1. Asignar la responsabilidad de identificar y supervisar los cambios legales y regulatorios externos aplicables a la utilización
de recursos de TI y al procesamiento de la información dentro de la Red
2. Identificar y valorar la totalidad de los posibles requisitos de cumplimiento y su impacto sobre las actividades de TI en
ámbitos como los flujos de datos, la privacidad, los controles internos, los informes financieros, la propiedad intelectual y la
seguridad e higiene en el trabajo
Requisitos de cumplimiento legal y
regulatorio
3. Valorar el impacto de los requisitos legales y regulatorios relacionados con TI sobre los contratos con terceros que afecten
a las operaciones de TI y los proveedores de servicio
4. obtener asesoramiento independiente, si procede, sobre las modificaciones en las legislaciones, regulaciones.
Actividades
173
1. Obtener confirmación regularmente del cumplimiento de políticas internas por parte de encargados de procesos en la Red
2. Realizar revisiones regulares para evaluar niveles de cumplimiento
3. Supervisar e informar incidentes de incumplimiento y si es necesario, investigar causa raíz
Obtener garantía del cumplimiento de
requisitos externos
Obtener y notificar garantías de cumplimiento
y adherencia a políticas, estándares,
procedimientos y metodologías. Confirmar
que las acciones correctivas para tratar las
diferencias en el cumplimiento son cerradas a
tiempo.
Descripción Descripción
Reglas de validación y aprovación de
informes obligatorios
Valoración de la efectividad de las
evaluaciones
Actividades
1. Revisar y ajustar con regularidad políticas, principios, metodologías, estándares y procedimientos para que mantengan su
eficacia en asegurar el cumplimiento requerido y la gestión del riesgo en la Red.
2. Comunicar los nuevos requisitos y las modificaciones de los existentes al personal que proceda.
Pactica de Gestión Entradas Salidas
Optimizar la respuesta a requisitos externos
Revisar y ajustar políticas, principios,
estándares, procedimientos y metodologías
para asegurar la adecuada gestión y
comunicación de los requisits legales y
regulatorios. Considerar qué de estos pueden
ser adaptables y adoptables.
Descripción
Requisitos externos
Actividades
Políticas, procedimientos, estándares
y principios
Comunicaciones de las
modificaciones en los requisitos de
cumplimiento
Descripción
Descripción Descripción
Pactica de Gestión Entradas Salidas
Confirmar el cumplimiento de requisitos
externos
Confirmar el cumplimiento de políticas,
principios, metodologías, estándares y
procedimientos
Resultado auditorías de cumplimiento
Resultado de auditorías de licencias
instaladas
Desviaciones de licencia
Deficiencias de cumplimiento
identificadas
Confirmaciones de cumplimiento
Actividades1. Evaluar regularmente las políticas, estándares, procedimientos y metodologías de la Red para todos los servicios y
funciones con objeto de asegurar el cumplimiento de los requisitos legales y regulatorios aplicables.
Informes de pólizas de seguros
Pactica de Gestión Entradas Salidas
2. Gestionar las deficiencias de cumplimiento dentro de plazos razonables
3. Evaluar periodicamente los procesos y actividades tanto de TI como de negocio para asegurar el cumplimiento de los
requisitos
4. Revisar regularmente en busca de patrones reiterados de fallas de cumplimiento. Si procede, mejorar actividades
relacionadas
Informes de incidentes de
incumplimiento y causas raíces
Informes de garantía de
cumplimiento
174
Matriz RACI:
Identificar
requisitos externos
de cumplimientoR
Optimizar la
respuesta a
requisitos externosR R R R R R R R
Confirmar el
cumplimiento de
requisitos externosR R R R R R R A
Obtener garantía
del cumplimiento
de requisitos
externos
I I C C C C C C
Enca
rgad
o d
e
Cal
idad
Líd
er d
e se
rvic
ios
mu
ltim
edia
Practica clave
de Gobierno
Líd
er e
n in
gen
ierí
a
de
soft
war
e
Líd
er d
e se
rvic
ios
acad
émic
os
Líd
er d
e se
rvic
ios
de
con
ecti
vid
ad
Líd
er e
n
soci
aliz
ació
n y
div
ulg
ació
n
Dir
ecto
r d
e la
Red
Co
ord
inad
or
de
la
Red
Lid
er e
n g
esti
ón
de
pro
yect
os
Líd
er t
écn
ico
Líd
er d
e TI
175
Anexo 3: Acta de evaluación de servicios actual.
ACTA EVALUACIÓN DE SERVICIOS
1. DATOS GENERALES
NOMBRE DEL USUARIO__________________________________ FECHA DE SERVICIO _______________
FUNCIONARIO QUE ATENDIÓ_____________________________ HORA DE INICIO __________________
DEPENDENCIA _________________________________________ HORA DE FINALIZACIÓN____________
SERVICIO PRESTADO:
Marque con una (X) cómo evalúa el servicio recibido:
2. EVALUACIÓN Pésimo Malo Regular Bueno Excelente
Actitud de los funcionarios
Tiempo de respuesta para atender su requerimiento
Apoyo y orientación de quien le prestó el servicio
Calidad del servicio
Comentarios:
FIRMA DEL USUARIO CORREO ELECTRÓNICO:
TIPO DE USUARIO
1. Docente 2. Estudiante Pregrado 3. Estudiante Posgrado 4. Egresado
5. Funcionario 6. Otro. ¿Cuál? ____________
_______________________________________________ _________________________________________________
176
Anexo 3.1: Acta de evaluación de servicios propuesta.
ACTA EVALUACIÓN DE SERVICIOS
2. DATOS GENERALES
NOMBRE DEL USUARIO__________________________________ FECHA DE SERVICIO _______________ FUNCIONARIO QUE ATENDIÓ_____________________________ HORA DE INICIO __________________ DEPENDENCIA _________________________________________ HORA DE FINALIZACIÓN____________
SERVICIO PRESTADO:
Marque con una (X) cómo evalúa el servicio recibido:
4. EVALUACIÓN
Pésimo Malo Regular Bueno Excelente Actitud de los funcionarios Tiempo de respuesta para atender su requerimiento Apoyo y orientación de quien le prestó el servicio Calidad del servicio Sí No ¿Se cumplieron la totalidad de sus requerimientos? ¿Se interrumpió o cancelo el servicio en algún momento?
¿Considera usted que se realizó un adecuado manejo de la información?
Comentarios:
FIRMA DEL USUARIO CORREO ELECTRÓNICO:
TIPO DE USUARIO
3. Docente 2. Estudiante Pregrado 3. Estudiante Posgrado 4. Egresado 5. Funcionario 6. Otro. ¿Cuál? ____________
_______________________________________________ _________________________________________________
177
Anexo 4: Propuesta de bitácora de funcionamiento de la Red
BITACORA DE FUNCIONAMIENTO DE LA RED
Fecha: ______________ Responsable: _______________________
Hora Estado de la Red (En funcionamiento/
Servicio interrumpido)
Se han interrumpido las actividades de la
Red (Sí/No)
Causa de la interrupción
8-9 am
9-10 am
10-11 am
11am-12pm
12-1 pm
1-2pm
2-3pm
3-4pm
4-5pm
5-6pm
6-7pm
7-8pm
178
Anexo 5: Formato propuesto de evaluación del riesgo.
Este formato se encuentra en el archivo anexo titulado Mapa Integral de
Riesgos facilitado por la Red y desarrollado por el SIGUD.