Final Audi

1.
A qué dominio se refiere las siguientes acciones: Realizar la entrega operativa y el

soporte de los servicios de información y tecnología incluida la seguridad. Seleccione
una:
a. Evaluar, Dirigir y Monitorizar (EDM)
b. Alinear, Planificar y Organizar (APO)
c. Monitorizar, Evaluar y Valorar (MEA)
d. Entregar, Dar servicio y Soporte (DSS)
e. Construir, Adquirir e Implementar (BAI)
2. La empresa “La económica” contrata los servicios de TI a Tecnomega, esta empresa
está en contra de las buenas prácticas de COBIT
a. Verdadero
b. Falso
3. Cobit no es una descripción completa de todo el entorno de TI de una empresa:
a. Verdadero
b. Falso
4. Qué proceso del COBIT está GESTIONAR LA INNOVACIÓN
a. DSS0
b. APO0
c. BAI0
d. EDM0
5. Las área prioritarias describen un determinado tema de gobierno, dominio o problema
que puede ser abordado por una colección de objetivos de gobierno y gestión y sus
componentes, por tanto la cantidad de áreas prioritarias es prácticamente ilimitada.
a. Verdadero
b. Falso
6. Seleccione el concepto correcto de un área prioritaria. Selecciona una o más:
a. Incluyen una combinación de componentes de gestión genéricos y variantes
de gobierno.
b. La cantidad de áreas prioritarias depende del giro del negocio y es restrictivo
c. Incluyen una combinación de componentes de gobierno genéricos y
variantes en algunos componentes personalizados
d. La cantidad de áreas prioritarias es prácticamente ilimitada.
e. Las áreas prioritarias no definen el modelo de gobierno pero ayudan a
entenderlo.
7. ¿Qué representa a las metas de alineamiento de TI, requeridos para alcanzar las metas
de la empresa?
a. El alineamiento de la parte estratégica entre los directivos
b. El alineamiento de la parte financiera a TI
c. El alineamiento que tiene el negocio con sus áreas
d. Los esfuerzos de TI con los objetivos del negocio
8. Si una organización que tiene como meta de alineamiento AG03 (beneficios obtenidos
del portafolio de inversiones) cuales procesos de COBIT debería tener en cuenta:
a. EDM03
b. APO09
c. EDM02 Asegurar la obtención de beneficios
d. EDM04
e. EDM01
9. A qué dominio se refiere las siguientes acciones: Definir, adquirir e implementar
soluciones e integrar con los procesos de negocio
a. Evaluar, Dirigir y Monitorizar (EDM)
b. Alinear, Planificar y Organizar (APO)
c. Monitorizar, Evaluar y Valorar (MEA)
d. Entregar, Dar servicio y Soporte (DSS)
e. Construir, Adquirir e Implementar (BAI)
10. Cómo se logra el objetivo de gobierno de “CREACIÓN DE VALOR”
a. Al optimizar los recursos
b. Al optimizar el riesgo
c. Todos los anteriores
d. Al conseguir sus beneficios
11. Un objetivo de gobierno o gestión siempre está relacionado con un proceso
a. Verdadero
b. Falso
12. La empresa utiliza los servicios de amazon para almacenar toda su información, se
podría decir que esta empresa utiliza el siguiente modelo de abastecimiento de TI.
a. Nube
13. COBIT es un marco de referencia técnico de ti para gestionar toda la tecnología
a. VERDADERO
b. FALSO
14. COBIT define todos los componentes que describen que decisiones deberían tomarse,
como deberían tomarse y quién debería tomarlas
a. VERDADERO
b. FALSO
MARCO DE REFERENCIA
Objetivos de
gobierno y gestión
Personal Copy of Susana Cadena (ISACA ID: 1310934)

Marco de Referencia COBIT® 2019: Objetivos de gobierno y gestión
Acerca de ISACA
Con casi 50 años de vida, ISACA® (isaca.org) es una asociación global que ayuda tanto a individuos como a empresas a alcanzar el
potencial positivo de la tecnología. La tecnología impulsa al mundo actual e ISACA proporciona a los profesionales el conocimiento, las
credenciales, la educación y la comunidad para avanzar en sus carreras profesionales y transformar sus organizaciones. ISACA aprovecha
la experiencia de su medio millón de dedicados profesionales en información y ciberseguridad, gobierno, aseguramiento, riesgo e
innovación, así como su filial de desempeño empresarial, el instituto CMMI®, para contribuir a una mayor innovación a través de la
tecnología. ISACA está presente en más de 188 países, con más de 217 capítulos y oficinas, tanto en Estados Unidos como en China.
Descargo de responsabilidad
ISACA ha diseñado y creado el Marco de Referencia COBIT® 2019: Objetivos de gobierno y gestión (el «Trabajo») fundamentalmente
como un recurso educativo para los profesionales de gobierno de información y Tecnología empresarial (GEIT), aseguramiento, riesgo
y seguridad. ISACA no asume ninguna responsabilidad acerca de que el uso de cualquier parte del Trabajo garantice un resultado
exitoso. No debe considerarse que el Trabajo incluye toda la información, procedimientos y pruebas correctas, ni que excluye otra
información, procedimientos y pruebas que estén orientadas razonablemente hacia la obtención de los mismos resultados. Para determinar
la conveniencia de cualquier información específica, procedimiento o prueba, los profesionales de aseguramiento, gobierno, riesgo y
seguridad deben aplicar su propio criterio profesional a las circunstancias específicas presentadas por los sistemas específicos o por el
entorno de tecnología de la información.
Copyright
© 2018 ISACA. Todos los derechos reservados. Para acceder a las instrucciones de uso, visite www.isaca.org/COBITuse.
ISACA
1700 E. Golf Road, Suite 400
Schaumburg, IL 60173, USA
Teléfono: +1.847.660.5505
Fax: +1.847.253.1755
Contacto: https://support.isaca.org
Sitio web: www.isaca.org
Participar en los foros en línea de ISACA: https://engage.isaca.org/onlineforums
Twitter: http://twitter.com/ISACANews
LinkedIn: http://linkd.in/ISACAOfficial
Facebook: www.facebook.com/ISACAHQ
Instagram: www.instagram.com/isacanews/

ISBN 978-1-60420-790-3

EN MEMORIA: John Lainhart (1946-2018)
En memoria: John Lainhart (1946-2018)

Dedicado a John Lainhart, Presidente del Consejo de Administración de ISACA, 1984-1985. John fue una figura clave en la creación del
marco de referencia COBIT® y en los últimos años ejerció como presidente del grupo de trabajo de COBIT ® 2019, que culminó con la
creación de este trabajo. Durante sus cuatro décadas en ISACA, John participó en distintos aspectos de la organización, además de contar
con las certificaciones CISA, CRISC, CISM y CGEIT de ISACA. John deja un increíble legado personal y profesional, y su trabajo ha
tenido un gran impacto en ISACA.

Página dejada intencionalmente en blanco

Agradecimientos
Agradecimientos
ISACA desea agradecer a:
COBIT Working Group (2017-2018)

John Lainhart, Chair, CISA, CRISC, CISM, CGEIT, CIPP/G, CIPP/US, Grant Thornton, EE. UU.
Matt Conboy, Cigna, EE. UU.
Ron Saull, CGEIT, CSP, Great-West Lifeco & IGM Financial (jubilado), Canadá
Equipo de desarrollo
Steven De Haes, Ph.D., Antwerp Management School, University of Antwerp, Bélgica
Matthias Goorden, PwC, Bélgica
Stefanie Grijp, PwC, Bélgica
Bart Peeters, PwC, Bélgica
Geert Poels, Ph.D., Ghent University, Bélgica
Dirk Steuperaert, CISA, CRISC, CGEIT, IT In Balance, Bélgica
Revisores expertos
Sarah Ahmad Abedin, CISA, CRISC, CGEIT, Grant Thornton LLP, EE. UU.
Floris Ampe, CISA, CRISC, CGEIT, CIA, ISO27000, PRINCE2, TOGAF, PwC, Bélgica
Elisabeth Antonssen, Nordea Bank, Suecia
Krzystof Baczkiewicz, CHAMP, CITAM, CSAM, Transpectit, Polonia
Christopher M. Ballister, CRISC, CISM, CGEIT, Grant Thornton, EE. UU.
Gary Bannister, CGEIT, CGMA, FCMA, Austria
Graciela Braga, CGEIT, Auditor and Advisor, Argentina
Ricardo Bria, CISA, CRISC, CGEIT, COTO CICSA, Argentina
Sushil Chatterji, CGEIT, Edutech Enterprises, Singapur
Peter T. Davis, CISA, CISM, CGEIT, COBIT 5 Assessor, CISSP, CMA, CPA, PMI-RMP, PMP, Peter Davis+Associates, Canadá
James Doss, CISM, CGEIT, EMCCA, PMP, SSGB, TOGAF 9, ITvalueQuickStart.com, EE. UU.
Yalcin Gerek, CISA, CRISC, CGEIT, ITIL Expert, Prince2, ISO 20000LI, ISO27001LA, TAC AS., Turquía
James L. Golden, Golden Consulting Associates, EE. UU.
J. Winston Hayden, CISA, CISM, CRISC, CGEIT, Sudáfrica
Jimmy Heschl, CISA, CISM, CGEIT, Red Bull, Austria
Jorge Hidalgo, CISA, CISM, CGEIT, Chile
John Jasinski, CISA, CRISC, CISM, CGEIT, COBIT 5 Assessor, CSM, CSPO, IT4IT-F, ITIL Expert, Lean IT-F, MOF, SSBB,
TOGAF-F, EE. UU.
Joanna Karczewska, CISA, Polonia
Glenn Keaveny, CEH, CISSP, Grant Thornton, EE. UU.
Eddy Khoo S. K., CGEIT, Kuala Lumpur, Malasia
Joao Souza Neto, CRISC, CGEIT, Universidad Católica de Brasilia, Brasil
Tracey O'Brien, CISA, CISM, CGEIT, IBM Corp (jubilada), EE. UU.
Zachy Olorunojowon, CISA, CGEIT, PMP, BC Ministry of Health, Victoria, BC Canadá
Opeyemi Onifade, CISA, CISM, CGEIT, BRMP, CISSP, ISO 27001LA, M.IoD, Afenoid Enterprise Limited, Nigeria
Andre Pitkowski, CRISC, CGEIT, CRMA-IIA, OCTAVE, SM, APIT Consultoria de Informatica Ltd., Brasil
Abdul Rafeq, CISA, CGEIT, FCA, Managing Director, Wincer Infotech Limited, India
Dirk Reimers, Entco Deutschland GmbH, A Micro Focus Company
Steve Reznik, CISA, CRISC, ADP, LLC., EE. UU.
Bruno Horta Soares, CISA, CRISC, CGEIT, PMP, GOVaaS - Governance Advisors, as-a-Service, Portugal
Dr. Katalin Szenes, Ph.D., CISA, CISM, CGEIT, CISSP, John von Neumann Faculty of Informatics, Obuda University, Hungría
Peter Tessin, CISA, CRISC, CISM, CGEIT, Discover, EE. UU.
Mark Thomas, CRISC, CGEIT, Escoute, EE. UU.
John Thorp, CMC, ISP, ITCP, The Thorp Network, Canadá
Greet Volders, CGEIT, COBIT Assessor, Voquals N.V., Bélgica

Agradecimientos (continuación)
Revisores expertos (continuación)
Markus Walter, CISA, CISM, CISSP, ITIL, PMP, TOGAF, PwC Singapur/Suiza
David M. Williams, CISA, CAMS, Westpac, Nueva Zelanda
Greg Witte, CISM, G2 Inc., EE. UU.
Consejo de dirección de ISACA

Rob Clyde, Presidente, CISM, Clyde Consulting LLC, EE. UU.
Brennan Baybeck, Vicepresidente, CISA, CRISC, CISM, CISSP, Oracle Corporation, EE. UU.
Tracey Dedrick, Former Chief Risk Officer con Hudson City Bancorp, EE. UU.
Leonard Ong, CISA, CRISC, CISM, CGEIT, COBIT 5 Implementer and Assessor, CFE, CIPM, CIPT, CISSP, CITBCM, CPP, CSSLP,
GCFA, GCIA, GCIH, GSNA, ISSMP-ISSAP, PMP, Merck & Co., Inc., Singapur
R.V. Raghu, CISA, CRISC, Versatilist Consulting India Pvt. Ltd., India
Gabriela Reynaga, CISA, CRISC, COBIT 5 Foundation, GRCP, Holistics GRC, México
Gregory Touhill, CISM, CISSP, Cyxtera Federal Group, EE. UU.
Ted Wolff, CISA, Vanguard, Inc., EE. UU.
Tichaona Zororo, CISA, CRISC, CISM, CGEIT, Asesor de COBIT 5, CIA, CRMA, EGIT, Enterprise Governance of IT, Sudáfrica
Theresa Grafenstine, CISA, CRISC, CGEIT, CGAP, CGMA, CIA, CISSP, CPA, Deloitte & Touche LLP, EE. UU., Presidenta del Consejo
de Administración de ISACA, 2017-2018
Chris K. Dimitriadis, Ph.D., CISA, CRISC, CISM, INTRALOT, Grecia, Presidente del Consejo de Administración de ISACA, 2015-2017
Matt Loeb, CGEIT, CAE, FASAE, Chief Executive Officer, ISACA, EE. UU.
Robert E Stroud (1965-2018), CRISC, CGEIT, XebiaLabs, Inc., EE. UU, Presidente del Consejo de Administración de ISACA, 2014-
2015
ISACA lamenta profundamente el fallecimiento de Robert E Stroud en septiembre de 2018.

índice
Índice
Capítulo 1. Introducción a COBIT® 2019............................................................................................................................................ 9
1.1 COBIT como marco de gobierno de la información y la tecnología........................................................................................................................... 9
1.1.1 ¿Qué es COBIT y qué no es?............................................................................................................................................................................. 9
1.2 Visión general de COBIT® 2019................................................................................................................................................................................ 10
1.3 Terminología y conceptos clave del marco de referencia COBIT..............................................................................................................................11
1.3.1 Objetivos de gobierno y gestión........................................................................................................................................................................11
1.3.2 Componentes del sistema de gobierno............................................................................................................................................................. 12
1.3.3 Áreas prioritarias.............................................................................................................................................................................................. 14
Capítulo 2. Estructura de esta publicación y público destinatario................................................................... 15

2.1 Estructura de esta publicación.................................................................................................................................................................................... 15
2.2 Público destinatario.................................................................................................................................................................................................... 15
Capítulo 3. Estructura de objetivos de gobierno y gestión COBIT................................................................... 17

3.1 Introducción............................................................................................................................................................................................................... 17
3.2 Objetivos de gobierno y gestión................................................................................................................................................................................. 17
3.3 Cascada de metas....................................................................................................................................................................................................... 18
3.4 Componente: Proceso................................................................................................................................................................................................. 19
3.5 Componente: Estructuras organizativas..................................................................................................................................................................... 20
3.6 Componente: Flujos y elementos de información...................................................................................................................................................... 22
3.7 Componente: Personas, habilidades y competencias................................................................................................................................................. 24
3.8 Componente: Políticas y procedimientos................................................................................................................................................................... 25
3.9 Componente: Cultura, ética y comportamiento.......................................................................................................................................................... 25
3.10 Componente: Servicios, infraestructura y aplicaciones........................................................................................................................................... 25
Capítulo 4. Objetivos de gobierno y gestión de COBIT: Guía detallada....................................................... 27

Modelo Core de COBIT.................................................................................................................................................................................................. 27
4.1 Evaluar, Dirigir y Monitorizar (EDM en inglés)................................................................................................................................................. 27
4.2 Alinear, Planificar y Organizar (APO)................................................................................................................................................................ 53
4.3 Construir, Adquirir e Implementar (BAI)......................................................................................................................................................... 151
4.4 Entregar, Dar Servicio y Soporte (DSS)........................................................................................................................................................... 229
4.5 Monitorizar, Evaluar y Valorar (MEA)............................................................................................................................................................. 271
Apéndices.......................................................................................................................................................................................................................... 297
A.1 Apéndice A: Cascada de metas: Tablas de cruce..................................................................................................................................................... 297
A.2 Apéndice B: Estructuras organizativas: Visión general y descripciones................................................................................................................. 299
A.3 Apéndice C: Lista de referencias detallada............................................................................................................................................................. 300

Lista de figuras
Capítulo 1. Introducción a COBIT® 2019
Figura 1.1—Visión general de COBIT................................................................................................................................................................................... 10
Figura 1.2—Modelo Core de COBIT.................................................................................................................................................................................... 12
Figura 1.3—Componentes COBIT de un sistema de gobierno.............................................................................................................................................. 13
Capítulo 3. Estructura de objetivos de gobierno y gestión de COBIT

Figura 3.1—Presentación de objetivos de gobierno y gestión................................................................................................................................................ 18
Figura 3.2—Presentación de metas empresariales y de alineamiento aplicables................................................................................................................... 18
Figura 3.3—Presentación de metas aplicables y métricas modelo......................................................................................................................................... 19
Figura 3.4—Presentación del componente de procesos......................................................................................................................................................... 19
Figura 3.5—Niveles de capacidad para los procesos.............................................................................................................................................................. 20
Figura 3.6—Presentación del componente de estructuras organizativas................................................................................................................................ 21
Figura 3.7—Presentación del componente flujos y elementos de información...................................................................................................................... 23
Figura 3.8—Salidas a procesos múltiples............................................................................................................................................................................... 23
Figura 3.9—Presentación del componente de personas, habilidades y competencias........................................................................................................... 24
Figura 3.10—Presentación del componente de políticas y procedimientos........................................................................................................................... 25
Figura 3.11—Presentación del componente de cultura, ética y comportamiento................................................................................................................... 25
Figura 3.12—Presentación del componente de servicios, infraestructura y aplicaciones...................................................................................................... 25
Apéndices
Figura A.1—Cruce de metas empresariales y metas de alineamiento.................................................................................................................................. 297
Figura A.2—Cruce de objetivos de gobierno y gestión a metas de alineamiento................................................................................................................ 298
Figura A.3—Roles y estructuras organizativas de COBIT................................................................................................................................................... 299

Capítulo 1
Introducción a COBIT 2019
Capítulo 1
Introducción a COBIT® 2019
1.1 COBIT como marco de gobierno de la información y la tecnología
Con el paso de los años, se han desarrollado y promocionado marcos de referencia de mejores prácticas para contribuir al proceso de
conocimientos, diseño e implementación del gobierno empresarial de TI (GETI). COBIT® 2019 integra y se basa en más de 25 años de
desarrollo en este campo, no solo mediante la incorporación de los nuevos conocimientos de la ciencia, sino también con la aplicación de
estos conocimientos en la práctica.
Desde su nacimiento dentro de la comunidad de la auditoría de TI, COBIT® se ha convertido en un marco de gobierno y gestion de
información y tecnología más amplio y completo y continua estableciédose como un marco de referencia generalmente aceptado para el
gobierno de I&T.
1.1.1 ¿Qué es COBIT y qué no es?
Antes de describir el marco de referencia actualizado de COBIT, es importante explicar qué es COBIT y qué no es:
COBIT es un marco de referencia para el gobierno y la gestión de la información y la tecnología, dirigido a toda la empresa. La
I&T empresarial significa toda la tecnología y procesamiento de la información que la empresa utiliza para lograr sus objetivos,
independientemente de dónde ocurra dentro de la empresa. En otras palabras, la información y la tecnología (I&T) empresarial no se
limita al departamento de TI de una organización, aunque este está indudablemente incluido.
El marco de referencia COBIT hace una distinción clara entre gobierno y gestión. Estas dos disciplinas abarcan distintos tipos de
actividades, requieren distintas estructuras organizativas y sirven diferentes propósitos.
• El Gobierno asegura que:
¡ Las necesidades, condiciones y opciones de las partes interesadas se evalúan para determinar objetivos empresariales equilibrados y
acordados .
¡ La dirección se establece a través de la priorización y la toma de decisiones.
¡ El rendimiento y el cumplimiento se monitorean en relación con la dirección y los objetivos acordados.
En la mayoría de las empresas, el gobierno es responsabilidad del consejo de dirección bajo el liderazgo del presidente. Ciertas
responsabilidades específicas del gobierno se pueden delegar a estructuras organizativas especiales a un nivel adecuado, en particular,
en empresas más grandes y complejas.
• La Gestión planifica, construye, ejecuta y monitorea actividades en alineación con la dirección establecida por el órgano de gobierno
para alcanzar los objetivos de la empresa.
En la mayoría de las empresas, la gestión es responsabilidad de la dirección ejecutiva bajo el liderazgo del director general ejecutivo
(CEO).
COBIT define los componentes para crear y sostener un sistema de gobierno: procesos, estructuras organizativas, políticas y
procedimientos, flujos de información, cultura y comportamientos, habilidades e infraestructura.1
COBIT define los factores de diseño que la empresa debería considerar para crear un sistema de gobierno más adecuado.
COBIT trata asuntos de gobierno mediante la agrupación de componentes de gobierno relevantes dentro de objetivos de gobierno y
gestión que pueden gestionarse según los niveles de capacidad requeridos.
1
Estos componentes se denominaron como habilitadores/catalizadores en COBIT® 5.

Debemos disipar algunos conceptos erróneos acerca de COBIT:

• COBIT no es una descripción completa de todo el entorno de TI de una empresa.
• COBIT no es un marco de referencia para organizar procesos de negocio.
• COBIT no es un marco de referencia técnico (de TI) para gestionar toda la tecnología.
• COBIT no toma ni prescribe ninguna decisión relacionada con las TI. No decidirá cuál es la mejor estrategia de TI, cuál es la mejor
arquitectura, o cuánto puede o debería costar la TI. Por el contrario, COBIT define todos los componentes que describen qué decisiones
deberían tomarse, cómo deberían tomarse y quién debería tomarlas.
1.2 Visión general de COBIT® 2019
La familia de productos COBIT® 2019 es abierta y se ha diseñado para la personalización. En la actualidad, están disponibles las
publicaciones siguientes.2
• Marco de Referencia COBIT® 2019: Introducción y metodología presenta los conceptos clave de COBIT® 2019.
• Marco de Referencia COBIT® 2019: Objetivos de gobierno y gestión describe de forma exhaustiva los 40 objetivos principales del
gobierno y la gestión, los procesos incluidos en ellos y otros componentes relacionados. Esta guía también hace referencia a otros
estándares y marcos de referencia.
• Guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología explora los factores de diseño
que pueden influir en el gobierno e incluye un flujo de trabajo para la planificación de un sistema de gobierno personalizado para la
empresa.
• Guía de implementación de COBIT® 2019: Implementación y optimización de una solución de gobierno de Información y
Tecnología representa una evolución de la guía de Implementación de COBIT 5® y desarrolla una hoja de ruta para la mejora continua
del gobierno. Puede usarse en combinación con la Guía de diseño COBIT® 2019.
La figura 1.1 muestra una visión general de COBIT® 2019 e ilustra cómo distintas publicaciones de esta serie cubren diversos aspectos.
Figura 1.1—Visión general de COBIT

• Estrategia empresarial
• Metas empresariales
• Tamaño de la empresa
• Rol de TI
Introducción a COBIT 2019 COBIT 2019 • Modelo de proveedores para TI
• Requerimientos de cumplimiento
• Etc.
COBIT 5 Modelo de referencia COBIT

Modelo de referencia de los objevos Factores de diseño
Estándares, marcos de gobierno y Marco de referencia COBIT® 2019: Sistema de gobierno empresarial
de referencia y personalizado para
regulaciones EDM01—Garantizar el
la Información y la Tecnología
establecimiento y el EDM02—Asegurar la EDM03—Asegurar la EDM04—Asegurar la EDM05—Asegurar la
mantenimiento del realización optimización optimización de transparencia de las
marco de gobierno de beneficios del riesgo los recursos partes interesadas
Contribución de
la comunidad APO01—Gestionar
el marco de
gestión de TI
APO02—Gestionar
la estrategia
APO03—Gestionar la
arquitectura de
la empresa
APO04—Gestionar
la innovación
APO05—Gestionar
la cartera
APO06—Gestionar
el presupuesto y
los costes
APO07—Gestionar
los recursos humanos
MEA01—Gestionar la
supervisión del
cumplimiento
y rendimiento
APO09—Gestionar
APO08—Gestionar
Área prioritaria:
los acuerdos de APO10—Gestionar APO11—Gestionar APO12—Gestionar APO13—Gestionar APO14—Gestionar
las relaciones los proveedores la calidad el riesgo la seguridad los datos
servicio
➢ Objetivos prioritarios
MEA02—Gestionar
el sistema de
BAI03—Gestionar BAI07—Gestionar la control interno
BAI01—Gestionar BAI02—Gestionar BAI04—Gestionar BAI05—Gestionar
la identificación y BAI06—Gestionar aceptación y la
los programas la definición la disponibilidad
de gobierno
creación de los cambios
de requisitos y capacidad los cambios de TI transición de
soluciones organizativos
los cambios de TI
BAI08—Gestionar
el conocimiento
BAI09—Gestionar
los activos
BAI10—Gestionar
la configuración
BAI11—Gestionar
los proyectos
MEA03—Gestionar
el cumplimiento de • PyMEs y gestión
• Seguridad ➢ Guía específica de
los requisitos externos
• Riesgo las áreas prioritarias

• DevOps ➢ Guía de gestión de
DSS02—Gestionar l DSS05—Gestionar DSS06—Gestionar
DSS01—Gestionar DSS03—Gestionar DSS04—Gestionar
as solicitudes los servicios los controles de MEA04—Gestionar
las operaciones los problemas la continuidad
e incidentes de seguridad procesos de negocio el aseguramiento
• Etc. capacidades y
de servicio
desempeño objetivos
Marco de referencia COBIT® 2019:

Introducción y metodología
Las publicaciones de
referencia de COBIT
Marco de referencia COBIT® 2019: Guía de diseño COBIT® 2019: Guía de implementación de COBIT®
Objevos de gobierno Diseño de una solución de Gobierno 2019: Implementación y opmización
y gesón de Información y Tecnología de una solución de Gobierno de
Información y Tecnología
2
En el momento de la publicación de este documento Marco de referencia COBIT® 2019: Objetivos de gobierno y gestión , se planean títulos adicionales de la familia de productos
COBIT® 2019, que aún no se han publicado.
10

Capítulo 1
El contenido identificado como áreas prioritarias en la figura 1.1 incluirá una guía más detallada sobre determinados aspectos.3
En el futuro, COBIT acudirá a su comunidad de usuarios para que proponga actualizaciones de contenido, que se apliquen a modo de
contribuciones controladas de forma continua, para que COBIT esté al día de las últimas ideas y evoluciones.
Las secciones siguientes explican los conceptos y términos clave que se usan en COBIT ® 2019.
1.3 Terminología y conceptos clave del marco de referencia COBIT
1.3.1 Objetivos de gobierno y gestión
Para que la información y la tecnología contribuyan a los objetivos de la empresa, deberían alcanzarse una serie de objetivos de gobierno
y gestión. Los conceptos básicos relacionados con los objetivos de gobierno y gestión son:
• Un objetivo de gobierno o gestión siempre está relacionado con un proceso (con un nombre idéntico o similar) y una serie de
componentes relacionados de otros tipos para contribuir a lograr el objetivo.
• Un objetivo de gobierno está relacionado con un proceso de gobierno (mostrado en el fondo azul oscuro de la figura 1.2), mientras
que un objetivo de gestión está relacionado con un proceso de gestión (mostrado en el fondo azul claro de la figura 1.2). Los consejos
de administración y la dirección ejecutiva suelen rendir cuentas sobre los procesos de gobierno, mientras que los procesos de gestión
pertenecen al dominio de la alta y media gerencia.
Los objetivos de gobierno y gestión de COBIT se agrupan en cinco dominios. Los dominios se nombran mediante verbos que expresan el
propósito clave y las áreas de actividad de los objetivos que los contienen:
• Los objetivos de gobierno se agrupan en el dominio Evaluar, Dirigir y Monitorizar (EDM en inglés). En este dominio, el órgano de
gobierno evalúa las opciones estratégicas, guía a la alta gerencia con respecto a las opciones estratégicas elegidas y monitoriza el logro
de la estrategia.
• Los objetivos de gestión se agrupan en cuatro dominios:
¡ Alinear, Planificar y Organizar (APO) aborda la organización general, estrategia y actividades de apoyo para la información y la
tecnología (I&T).
¡ Construir, Adquirir e Implementar (BAI) se encarga de la definición, adquisición e implementación de soluciones y su integración
en los procesos de negocio.
¡ Entregar, Dar Servicio y Soporte (DSS) aborda la entrega operativa y el soporte de los servicios de información y tecnología
(I&T), incluida la seguridad.
¡ Monitorizar, Evaluar y Valorar (MEA) aborda la monitorización del rendimiento y la conformidad de I&T con los objetivos de
rendimiento internos, los objetivos de control interno y los requisitos externos.
3
lgunas de estas guías de contenido de áreas prioritarias ya están preparándose; y otras están previstas. Esta serie de guías de áreas prioritarias es abierta y seguirá evolucionando.
A
Para obtener la información más reciente sobre las publicaciones disponibles y previstas en la actualidad, así como otros contenidos, puede visitar www.isaca.org/cobit.
11

Figura 1.2—Modelo Core de COBIT
EDM01—Asegurar
EDM04—Asegurar EDM05—Asegurar
el establecimiento EDM02—Asegurar EDM03—Asegurar
la optimización el compromiso
y el mantenimiento la obtención la optimización
de los recursos de las partes
del marco de de beneficios del riesgo interesadas
gobierno
APO01—Gestionar APO03—Gestionar
APO02—Gestionar APO04—Gestionar APO05—Gestionar APO06—Gestionar APO07—Gestionar
el marco de la arquitectura
la estrategia la innovación el portafolio el presupuesto y los recursos
gestión de I&T empresarial los costes humanos MEA01—Gestionar
la monitorización
del desempeño y la
conformidad
los acuerdos los datos
las relaciones los proveedores la calidad el riesgo la seguridad
de servicio
MEA02—Gestionar
el sistema
BAI03—Gestionar BAI07—Gestionar de control interno
la identificación BAI06—Gestionar la aceptación y
los programas la definición la disponibilidad el cambio
y construcción de los cambios de TI la transición de
de requisitos y capacidad organizativo
soluciones los cambios de TI
MEA03—Gestionar
BAI08—Gestionar el BAI09—Gestionar BAI10—Gestionar BAI11—Gestionar el cumplimiento
conocimiento los activos la configuración los proyectos de los
requisitos externos

DSS01—Gestionar las peticiones DSS03—Gestionar DSS04—Gestionar los controles MEA04—Gestionar
las operaciones los servicios
y los incidentes los problemas la continuidad de procesos el aseguramiento
de seguridad
de servicio de negocio
1.3.2 Componentes del sistema de gobierno
Para satisfacer los objetivos de gobierno y gestión, cada empresa necesita establecer, personalizar y sostener un sistema de gobierno
creado a partir de una serie de componentes.
• Estos componentes son factores que, de forma individual y colectiva, contribuyen al buen funcionamiento del sistema de gobierno de la
empresa en cuanto a I&T.
• Los componentes interactúan entre sí, lo que da lugar a un sistema de gobierno holístico de I&T.
• Los componentes pueden ser de diversos tipos. Los más comunes son los procesos. Sin embargo, los componentes de un sistema de
gobierno incluyen también estructuras organizativas; políticas y procedimientos; elementos de información; cultura y comportamiento;
habilidades y competencias; y servicios, infraestructura y aplicaciones (figura 1.3).
¡Los Procesos describen una serie de prácticas y actividades organizadas para lograr determinados objetivos y producir una serie de
salidas que contribuyan a la consecución de la totalidad de los objetivos relacionados con las TI.
¡ Las Estructuras organizativas son las entidades claves de toma de decisiones en una empresa.
¡ Los Principios, Políticas y Marcos de referencia convierten el comportamiento deseado en una aplicación práctica para la gestión
diaria.
¡ La Información es generalizada a través de cualquier organización e incluye toda la información producida y utilizada por la
empresa. COBIT se centra en la información requerida para el funcionamiento eficaz del sistema de gobierno de la empresa.
12

Capítulo 1
¡ La Cultura, Ética y Comportamiento de individuos y de la empresa son, a menudo, subestimados como un factor de éxito en las
actividades de gobierno y gestión.
¡ Las Personas, habilidades y competencias son necesarias para tomar buenas decisiones, ejecutar medidas correctivas y completar
satisfactoriamente todas las actividades.
¡ Los Servicios, infraestructura y aplicaciones incluyen la infraestructura, la tecnología y las aplicaciones que brindan a la empresa
un sistema de gobierno para el procesamiento de I&T.
Figura 1.3—Componentes COBIT de un sistema de gobierno
Procesos
Servicios,
infraestructura Estructuras
y aplicaciones organizativas
Sistema
Personas, de gobierno Principios,
habilidades políticas,
y competencias procedimientos
Cultura,
ética y Información
comportamiento
Los componentes de cualquier tipo pueden ser genéricos o variantes de los componentes genéricos:
• Los componentes Genéricos se describen en el modelo core de COBIT (ver figura 1.2) y se aplican, en principio, a cualquier
situación. Sin embargo, su naturaleza es genérica y suelen requerir una personalización antes de que se puedan implementar de
forma práctica.
• Las Variantes se basan en componentes genéricos, pero se adaptan para un propósito o contexto específico dentro de un área
prioritaria (p. ej.: para seguridad de la información, DevOps, una regulación específica).
13

1.3.3 Áreas prioritarias Un área prioritaria describe un determinado tema de gobierno, dominio o problema que puede ser
abordado por una colección de objetivos de gobierno y gestión y sus componentes. Algunos de los ejemplos de áreas prioritarias
incluye pequeñas y medianas empresas, ciberseguridad, transformación digital, computación en la nube, privacidad, y DevOps.4
El modelo core de COBIT es el objeto de esta publicación, y proporciona los componentes genéricos de gobierno. Las áreas prioritarias
pueden incluir una combinación de componentes de gobierno genéricos y variantes en algunos componentes personalizados para el tópico
de esa área prioritaria.
La cantidad de áreas prioritarias es prácticamente ilimitada. Esto hace que COBIT sea abierto. Se pueden añadir nuevas áreas prioritarias
conforme sea necesario o conforme los expertos y especialistas en la materia contribuyan al modelo COBIT abierto.
Algunas de estas guías de contenido de áreas de prioritarias ya están preparándose; y otras están previstas. Para obtener la información
más reciente sobre las publicaciones disponibles y previstas en la actualidad, así como otros contenidos, puede visitar www.isaca.org/
cobit.
4
evOps es un ejemplo tanto de una variante de componente como de un área prioritaria. ¿Por qué? DevOPs es un tema de actualidad en el mercado y requiere indudablemente
D
una directriz específica, lo que lo convierte en un área prioritaria. DevOps incluye una serie de objetivos de gobierno y gestión genéricos del modelo core de COBIT, junto con una
serie de variantes de desarrollo, procesos relacionados con la operación y monitorización y las estructuras organizativas.
14

Capítulo 2
Estructura de esta publicación y público DESTINATARIO
Capítulo 2
Estructura de esta publicación y público destinatario
2.1 Estructura de esta publicación
Esta publicación proporciona una descripción exhaustiva de los 40 objetivos de gobierno y gestión principales definidos en el modelo
Core de COBIT (figura 1.2), los procesos incluidos en ella, otros componentes relacionados, y referencias a guías relacionadas, como
otros estándares y marcos de referencia. En el Apéndice C se incluye una lista detallada de las fuentes de las referencias incluidas.
El resto de este documento contiene las secciones y apéndices:

• El Capítulo 3 explica la estructura que se utiliza para detallar la guía para los 40 objetivos de gobierno y gestión a través de los
componentes.
• El Capítulo 4 proporciona una descripción exhaustiva de los 40 objetivos de gobierno y gestión principales definidos en el modelo core
de COBIT (figura 1.2), los procesos incluidos en ella, otros componentes relacionados, y referencias a guías relacionadas, como otros
estándares y marcos de referencia.
• Los apéndices incluyen más información sobre:
¡ Las tablas de cruce en las que se basa la cascada de metas
¡ Descripciones de estructuras organizativas
¡ Lista de referencias fuente
2.2 Público destinatario
Esta guía se ha escrito para profesionales del mundo empresarial, incluidos personas del negocio, auditores, seguridad, gestión de riesgos,
TI y otros profesionales que se beneficiarán de una guía detallada de los 40 objetivos de gobierno y gestión del modelo core de COBIT.
Se requiere un cierto nivel de experiencia y conocimiento para adaptar COBIT a prácticas de gobierno personalizadas y prioritarias para
la empresa.
15

Página dejada en blanco intencionadamente
16

Capítulo 3
Estructura de objetivos de gobierno y gestión de COBIT
Capítulo 3
3.1 Introducción
Este capítulo describe la estructura usada para detallar cada uno de los objetivos de gobierno y gestión de COBIT. Para cada objetivo de
gobierno y gestión, el capítulo 4 de esta publicación proporciona información relacionada con cada uno de los componentes de gobierno
aplicables a ese objetivo de gobierno o gestión:
• Proceso
• Estructura organizativa
• Flujos y elementos de información
• Personas, habilidades y competencias
• Políticas y procedimientos
• Cultura, ética y comportamiento
• Servicios, infraestructura y aplicaciones
La estructura de esta información se detalla en las secciones siguientes
3.2 Objetivos de gobierno y gestión
Como se ha explicado anteriormente, COBIT® 2019 incluye 40 objetivos de gobierno y gestión, organizados en cinco dominios (ver
figura 1.2).
• Dominio de Gobierno
¡ Evaluar, Dirigir y Monitorizar (EDM en inglés)
• Dominios de Gestión
¡ Alinear, Planificar y Organizar (APO)
¡ Construir, Adquirir e Implementar (BAI)
¡ Entrega, Dar Servicio y Soporte (DSS)
¡ Monitorizar, Evaluar y Valorar (MEA)
La información general detallada para cada objetivo (figura 3.1) incluye:

• Nombre del dominio
• Área prioritaria (en el caso de esta publicación, se trata del modelo core de COBIT)
• Nombre del objetivo de gobierno o gestión
• Descripción
• Declaración de propósito
17

Figura 3.1—Presentación de objetivos de gobierno y gestión

Dominio: <NOMBRE>
Objetivo de gobierno/gestión: <NOMBRE> Área prioritaria: <NOMBRE>
Descripción
<TEXTO>
Propósito
<TEXTO>
3.3 Cascada de metas
Cada objetivo de gobierno o gestión apoya el logro de metas de alineamiento que están relacionadas con metas empresariales más
importantes (ver Sección 4.6 del Marco de referencia COBIT® 2019: Introducción y metodología para obtener más información y ver las
tablas de cruce de la cascada de metas en el Apéndice A, a modo de ejemplo).
Las metas de alineamiento que tienen una vinculación primordial con el objetivo de gobierno o gestión en cuestión se enumeran en el
margen derecho de la sección de guía detallada que cubre las metas (figura 3.2).
Figura 3.2—Presentación de metas empresariales y de alineamiento

El objetivo de gobierno/gestión respalda el logro de una serie de metas empresariales y de alineamiento primarias:
Metas empresariales Metas de alineamiento
Æ
• <EG REF> <DESCRIPCIÓN DE METAS> • <AG REF> <DESCRIPCIÓN DE METAS>
Las metas de alineamiento incluyen:

• AG01: Cumplimiento y soporte de I&T para el cumplimiento empresarial con las leyes y regulaciones externas
• AG02: Gestión de riesgo relacionado con I&T
• AG03: Beneficios obtenidos del portafolio de inversiones y servicios relacionados con I&T
• AG04: Calidad de la información financiera relacionada con la tecnología
• AG05: Prestación de servicios de I&T conforme a los requisitos del negocio
• AG06: Agilidad para convertir los requisitos del negocio en soluciones operativas
• AG07: Seguridad de la información, infraestructura de procesamiento y aplicaciones, y privacidad
• AG08: Habilitar y dar soporte a procesos de negocio mediante la integración de aplicaciones y tecnología
• AG09: Ejecución de programas dentro del plazo, sin exceder el presupuesto, y que cumplen con los requisitos y estándares de calidad
• AG10: Calidad de la información sobre gestión de I&T
• AG11: Cumplimiento de I&T con las políticas internas
• AG12: Personal competente y motivado con un entendimiento mutuo de la tecnología y el negocio
• AG13: Conocimiento, experiencia e iniciativas para la innovación empresarial
Las metas empresariales que tienen una vinculación primaria con las metas de alineamiento enumeradas se incluyen en el margen
izquierdo de la guía detallada del Capítulo 4 que cubre las metas. Las metas empresariales incluyen:
• EG01: Portafolio de productos y servicios competitivos
• EG02: Gestión de riesgo de negocio
18

Capítulo 3
• EG03: Cumplimiento con las leyes y regulaciones externas

• EG04: Calidad de la información financiera
• EG05: Cultura de servicio orientada al cliente
• EG06: Continuidad y disponibilidad del servicio del negocio
• EG07: Calidad de la información sobre gestión
• EG08: Optimización de la funcionalidad de procesos internos del negocio
• EG09: Optimización de costes de los procesos del negocio
• EG10: Habilidades, motivación y productividad del personal
• EG11: Cumplimiento de las políticas internas
• EG12: Gestión de programas de transformación digital
• EG13: Innovación de productos y negocios
En las tablas también se proporcionan métricas de ejemplo para metas empresariales y metas de alineamiento. (figura 3.3).
Figura 3.3—Presentación de metas aplicables y métricas modelo

El objetivo de gobierno/gestión respalda el logro de una serie de metas empresariales y de alineamiento primordiales:
Æ
<EG REF> <DESCRIPCIÓN DE METAS> <AG REF> <DESCRIPCIÓN DE METAS>
Métricas modelo para metas empresariales Métricas modelo para metas de alineamiento
<EG REF> • <MÉTRICA> <AG REF> • <MÉTRICA>
<EG REF> • <MÉTRICA> <AG REF> • <MÉTRICA>
3.4 Componente: Proceso
Cada objetivo de gobierno y gestión incluye varias prácticas de proceso. Cada proceso incluye una o más actividades. Cada práctica de
proceso viene acompañada por un número limitado de métricas modelo para medir el logro de la práctica y su contribución al alcance del
objetivo en su conjunto (figura 3.4).
Figura 3.4—Presentación del componente de procesos

A. Componente: Proceso
Práctica de gobierno/gestión Métricas modelo
<REF> <NOMBRE> <DESCRIPCIÓN> <MÉTRICA>
Actividades Nivel de
capacidad
1. <TEXTO> <NR>
2. <TEXTO> <NR>
n. <TEXTO> <NR>
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
<NOMBRE DEL ESTÁNDAR> <TEXTO>
19

Se asigna un nivel de capacidad a todas las actividades del proceso, permitiendo una clara definición de los procesos con distintos
niveles de capacidad. Un proceso alcanza un cierto nivel de capacidad siempre que todas las actividades de ese nivel se realicen de forma
satisfactoria. COBIT® 2019 respalda la Integración del Modelo de Madurez de la Capacidad ® (CMMI)-, basado en un esquema de
capacidad de los procesos que va de 0 a 5. El nivel de capacidad es una medida de lo bien que un proceso se ha implementado y funciona.
La figura 3.5 muestra el modelo, los niveles de capacidad incrementales y las características generales de cada uno.
Figura 3.5—Niveles de capacidad para los procesos
El proceso lograr su propósito, está bien

definido, su rendimiento se mide para
5 mejorar el desempeño y se persigue la
mejora connua.
El proceso lograr su propósito, está bien definido, y su

4 rendimiento se mide (de forma cuantava).
El proceso logra su propósito de forma mucho más organizada usando

3 acvos para la organización. Los procesos están, por lo general, bien
definidos.
El proceso lograr su propósito a través de la aplicación de un conjunto de acvidades básicas,

2 pero completas, que pueden caracterizarse como realizadas.
El proceso logra más o menos su propósito a través de la aplicación de un conjunto de acvidades incompleto
1 que pueden caracterizarse como iniciales o intuivas, no muy organizadas.
• Falta de cualquier capacidad básica

0 • Estrategia incompleta para abordar el propósito de gobierno y gesón
• La intención de todas las práccas del proceso puede haberse definido o no.
Ver el Capítulo 6 del Marco de referencia COBIT® 2019: Introducción y metodología para obtener más información acerca de la gestión
del desempeño y la medición de la capacidad.
Cuando procede, también se han incorporado referencias a otros estándares y guías en esta sección (ver la figura 3.4). La Documentación
relacionada menciona todas los estándares, marcos de referencia y requisitos de cumplimiento y otras guías relevantes para el proceso
en cuestión. En las referencias específicas se mencionan capítulos o secciones específicas dentro de la Documentación relacionada. En el
Apéndice C se incluye una lista completa de recursos para la Documentación relacionada.
Si no aparece una documentación relacionada para un componente determinado, significa que no se conocen referencias aplicables de las
fuentes cruzada. Se promueve que la comunidad de profesionales sugiera las guías correspondientes.
3.5 Componente: Estructuras organizativas
El componente de gobierno de las estructuras organizativas sugiere niveles de responsabilidad y rendición de cuentas para las prácticas de
los procesos (figura 3.6). Los cuadros incluyen roles individuales, así como estructuras organizativas, tanto del negocio como de TI.
20

Capítulo 3
Figura 3.6—Presentación del componente de estructuras organizativas

B. Componente: Estructuras organizativas
Estructura organizativa 8, etc.

Estructura organizativa 1
Práctica clave de gobierno/gestión
<REF> <NOMBRE>

Se han definido los siguientes roles y estructuras organizativas dentro del contexto de COBIT® 2019:
• Consejo de Administración
• Comité Ejecutivo
• Director general ejecutivo (CEO)
• Director general financiero (CFO)
• Director de operaciones (COO)
• Director de riesgos (CRO)
• Director de TI (CIO)
• Director de tecnología (CTO)
• Director de tecnologías digitales (CDO)
• Consejo de gobierno de I&T
• Consejo de Arquitectura
• Comité de riesgos empresariales
• Director de seguridad de la información (CISO)
• Dueño del proceso de negocio
• Gestor de Portafolio
• Comité Estratégico (Programas/Proyectos)
• Gestor de programas
• Gestor de proyecto
• Oficina de gestión de proyectos
• Función de gestión de datos
• Director de recursos humanos
• Gestor de relaciones
21

• Jefe de arquitectura
• Jefe de desarrollo
• Jefe de operaciones de TI
• Jefe de administración de TI
• Gestor de servicios
• Gestor de seguridad de la información
• Gestor de continuidad del negocio
• Director de privacidad
• Asesor legal
• Cumplimiento
• Auditoría
En el Apéndice B se incluye una descripción detallada de estos roles y estructuras organizativas. Los distintos niveles de participación
incluidos para estas estructuras pueden dividirse en niveles de responsabilidad y de rendición de cuentas.
• Los roles de Responsable (R) tienen la función operativa principal de completar la actividad y generar el resultado esperado. ¿Quién
realiza la tarea? ¿Quién dirige la tarea?
• Los roles de Quien rinde cuentas (A) conllevan toda la rendición de cuentas. Como principio, el rol de quien rinde cuentas no se
puede compartir. ¿Quién rinde cuentas por el éxito y la consecución de la tarea?
Cada dominio describe las estructuras organizativas que tienen la responsabilidad y/o rinden cuentas en dicho dominio. Se incluye una
descripción detallada de cada rol y estructura organizativa. Se han omitido otras estructuras que no corresponden a responsables ni a
quienes rinden cuentas para simplificar la lectura del cuadro.
Los profesionales pueden completar cuadros añadiendo dos niveles de participación para roles y estructuras organizativas. Visto que la
atribución de los roles de consultado e informado depende del contexto y las prioridades organizativas, estos no se han incluido en esta
guía detallada.
• Los roles de Consultado (C) proporcionan información para la actividad. ¿Quién está proporcionando información?
• Los roles de Informado (I) reciben información de los logros y/o entregables de la práctica. ¿Quién está recibiendo información?
Las empresas deberían revisar los niveles de responsable, quien rinde cuentas, consultado e informado y actualizar los roles y estructuras
organizativas del cuadro conforme al contexto, prioridades y terminología preferida de la empresa.
Cuando procede, también se han incorporado referencias a otros estándares y guías en la sección de componentes de la estructura
organizativa. La documentación relacionada menciona todas los estándares, marcos de referencia y requisitos de cumplimiento y otras
guías relevantes para las estructuras organizativas en cuestión y sus niveles de participación en el proceso. En las referencias específicas
se alude a capítulos o secciones específicas dentro de la documentación relacionada. En el Apéndice C se incluye una lista completa de
fuentes.
3.6 Componente: Flujos y elementos de información
El tercer componente de gobierno proporciona una guía sobre los flujos y elementos de información vinculados con las prácticas de los
procesos. Cada práctica incluye entradas y salidas, con indicaciones de origen y destino.
En general, cada salida se envía a un único destino o una serie limitada de destinos, por lo general, otra práctica de proceso de COBIT.
Esa salida se convierte entonces en entrada para su destino ((figura 3.7).
22

Capítulo 3
Figura 3.7—Presentación del componente flujos y elementos de información

C. Componente: Flujos y elementos de información
Práctica de gobierno/gestión Entradas Salidas
De Descripción Descripción A
<REF> <NOMBRE>
<REF> <TEXTO> <TEXTO> <REF>

Sin embargo, algunas salidas tienen muchos destinos (p. ej. todos los procesos de COBIT o todos los procesos dentro de un dominio).
Para facilitar la lectura, estas salidas no se han relacionado como entradas en los procesos objetivo. En la figura 3.8 se incluye una lista
completa de dichas salidas.
Para algunas entradas/salidas, se menciona «interno» como destino si la entrada y la salida se comparten entre actividades dentro del
mismo proceso.
Figura 3.8—Salidas a múltiples procesos

Salidas a todos los procesos
De la Práctica clave Descripción de la salida Destino
APO13.02 Plan de tratamiento del riesgo de seguridad de la información Todos los EDM, todos los APO; todos los
BAI, todos los DSS; todos los MEA
De la Práctica de gobierno Descripción de la salida Destino
EDM01.01 Principios rectores del gobierno empresarial Todos los EDM
EDM01.01 Modelo de toma de decisiones Todos los EDM
EDM01.02 Comunicación del gobierno de la empresa Todos los EDM
EDM01.01 Niveles de autoridad Todos los EDM
EDM01.03 Retroalimentación sobre la eficacia y el rendimiento del gobierno Todos los EDM
Salidas a todos los procesos de gestión
De la Práctica de gestión Descripción de la salida Destino
APO01.01 Diseño del sistema de gestión Todos los APO; todos los BAI; todos los DSS; todos los MEA
APO01.01 Objetivos prioritarios del gobierno y la gestión Todos los APO; todos los BAI; todos los DSS; todos los MEA
APO01.02 Comunicación de los objetivos de I&T Todos los APO; todos los BAI; todos los DSS; todos los MEA
APO01.02 Reglas básicas de comunicación Todos los APO; todos los BAI; todos los DSS; todos los MEA
APO01.03 Análisis de la brecha del modelo objetivo Todos los APO; todos los BAI; todos los DSS; todos los MEA
APO01.11 Oportunidades de mejora del proceso Todos los APO; todos los BAI; todos los DSS; todos los MEA
APO02.05 Estrategia y objetivos de I&T Todos los APO; todos los BAI; todos los DSS; todos los MEA
APO02.06 Paquete de comunicación Todos los APO; todos los BAI; todos los DSS; todos los MEA
APO11.03 Estándares de gestión de calidad Todos los APO; todos los BAI; todos los DSS; todos los MEA
APO11.04 Calidad del proceso de las metas y métricas del servicio Todos los APO; todos los BAI; todos los DSS; todos los MEA
APO11.05 Comunicaciones sobre mejora continua y mejores prácticas Todos los APO; todos los BAI; todos los DSS; todos los MEA
APO11.05 Ejemplos de buenas prácticas a compartir Todos los APO; todos los BAI; todos los DSS; todos los MEA
APO11.05 Resultados del benchmark de revisión de calidad Todos los APO; todos los BAI; todos los DSS; todos los MEA
23

Figura 3.8—Salidas a múltiples procesos (continuación)

Salidas a todos los procesos de gestión
De la Práctica de gestión Descripción de la salida Destino
MEA01.02 Objetivos de monitorización Todos los APO; todos los BAI; todos los DSS; todos los MEA
MEA01.04 Informes de desempeño Todos los APO; todos los BAI; todos los DSS; todos los MEA
MEA01.05 Acciones y tareas de remediación Todos los APO; todos los BAI; todos los DSS; todos los MEA
MEA02.01 Resultados de la revisión y monitorización del control interno Todos los APO; todos los BAI; todos los DSS; todos los MEA
MEA02.01 Resultados del benchmarking y otras evaluaciones Todos los APO; todos los BAI; todos los DSS; todos los MEA
MEA02.03 Resultados de las revisiones de las autoevaluaciones Todos los APO; todos los BAI; todos los DSS; todos los MEA
MEA02.03 Planes y criterios de autoevaluación Todos los APO; todos los BAI; todos los DSS; todos los MEA
MEA02.04 Deficiencias del control Todos los APO; todos los BAI; todos los DSS; todos los MEA
MEA02.04 Acciones remediales Todos los APO; todos los BAI; todos los DSS; todos los MEA
MEA03.02 Comunicación de cambios en los requisitos de cumplimiento Todos los APO; todos los BAI; todos los DSS; todos los MEA
MEA04.02 Planes de aseguramiento Todos los APO; todos los BAI; todos los DSS; todos los MEA
MEA04.08 Informes de revisión de aseguramiento Todos los APO; todos los BAI; todos los DSS; todos los MEA
MEA04.08 Resultados de la revisión de aseguramiento Todos los APO; todos los BAI; todos los DSS; todos los MEA
MEA04.09 Acciones remediales Todos los APO; todos los BAI; todos los DSS; todos los MEA
Cuando procede, se han incorporado referencias a otros estándares y guías en el componente de flujos y elementos de información. En la
documentación relacionada se alude a todos los estándares, marcos de referencia y requisitos de cumplimiento y otras guías relevantes
para el elemento de información en cuestión. En las referencias detalladas se alude a capítulos o secciones específicas dentro de la
documentación relacionada. En el Apéndice C se incluye una lista completa de fuentes.
3.7 Componente: Personas, habilidades y competencias El componente de gobierno de personas, habilidades

y competencias identifica los recursos humanos y las habilidades requeridas para alcanzar el objetivo de gobierno o
gestión. COBIT® 2019 basó esta guía en el marco Skills Framework for the Information Age (SFIA®) V6 (versión 6).5
Todas las habilidades enumeradas se describen detalladamente en el marco de referencia SFIA. La referencia específica
proporciona un código único que corresponde con la guía SFIA de la habilidad (figura 3.9). Además, se incluyen
referencias para varios objetivos de gobierno y gestión en el e-Competence Framework (e-CF)—A common European
Framework for ICT Professionals in all industry sectors—Part 1: Framework6 y «Core Principles for the Professional
Practice of Internal Auditing» del Institute of Internal Auditors.7
Figura 3.9—Presentación del componente de personas, habilidades y competencias

D. Componente: Personas, habilidades y competencias
Habilidad Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
<NOMBRE> Skills Framework for the Information Age, V6 (SFIA 6), 2015 <CÓDIGO SFIA>
<NOMBRE> Skills Framework for the Information Age, V6 (SFIA 6), 2015 <CÓDIGO SFIA>
5
FIA Foundation, “SFIA V6, the sixth major version of the Skills Framework for the Information Age.,” https://www.sfia-online.org/en/framework/sfia-6
S
6
Comité europeo de normalización (CEN), e-Competence Framework (e-CF) - A common European Framework for ICT Professionals in all industry sectors - Part 1: Framework,
EN 16234-1:2016, https://standards.cen.eu/dyn/www/f?p=204:110:0::::FSP_PROJECT:41798&cs=13E00999DD92E702F0E171397CF76EC87
7
The Institute of Internal Auditors® (IIA®), “Core Principles for the Professional Practice of Internal Auditing,” https://na.theiia.org/standards-guidance/mandatory-guidance/Pages/
Core-Principles-for-the-Professional-Practice-of-Internal-Auditing.aspx
24

Capítulo 3
3.8 Componente: Políticas y procedimientos
Este componente proporciona una guía detallada de las políticas y procedimientos relevantes para el objetivo de gobierno y gestión. Se
incluye el nombre de políticas y procedimientos relevantes, con una descripción del propósito y contenido de la política (figura 3.10).
Cuando procede, también se han incorporado referencias a otros estándares y guías. En la documentación relacionada se alude a
capítulos o secciones específicas dentro de la documentación relacionada donde puede consultarse más información. En el Apéndice C se
incluye una lista completa de fuentes.
Figura 3.10—Presentación del componente de políticas y procedimientos

E. Componente: Políticas y procedimientos
Política relevante Descripción de la política Documentación relacionada Referencia específica
<NOMBRE> <DESCRIPCIÓN> <NOMBRE DEL ESTÁNDAR> <TEXTO>
3.9 Componente: Cultura, ética y comportamiento
El componente de gobierno de cultura, ética y comportamiento proporciona una guía detallada sobre los elementos culturales deseados
dentro de la organización que respaldan la consecución de un objetivo de gobierno o gestión (figura 3.11). Cuando procede, también se
han incorporado referencias a otros estándares y guías. En la documentación relacionada se alude a capítulos o secciones específicas
dentro de la documentación relacionada donde puede consultarse más información. En el Apéndice C se incluye una lista completa de
fuentes.
Figura 3.11—Presentación del componente de cultura, ética y comportamiento

F. Componente: Cultura, ética y comportamiento
Elementos culturales clave Documentación relacionada Referencia específica
<NOMBRE> <NOMBRE DEL ESTÁNDAR> <TEXTO>
3.10 Componente: Servicios, infraestructura y aplicaciones
El componente de gobierno de servicios, infraestructura y aplicaciones proporciona una guía detallada sobre los servicios , tipos de
infraestructura y categorías de aplicaciones de terceros que pueden utilizarse para respaldar la consecución de un objetivo de gobierno
o gestión. La guía es genérica (para evitar nombrar a proveedores o productos concretos); sin embargo, las entradas proporcionan una
orientación para que las empresas construyan su sistema de gobierno para I&T (figura 3.12).
Figura 3.12—Presentación del componente de servicios, infraestructura y aplicaciones

G. Componente: Servicios, infraestructura y aplicaciones
<CATEGORÍA DE SERVICIOS, INFRAESTRUCTURA O APLICACIONES>
25

26

Capítulo 4
OBJETIVOS DE GOBIERNO Y GESTIÓN DE COBIT: GUÍA DETALLADA
Evaluar, Dirigir y Monitorizar

Capítulo 4
Objetivos de gobierno y gestión de COBIT: Guía detallada
Modelo Core de COBIT
4.1 Evaluar, Dirigir y Monitorizar (EDM)

01 Asegurar el establecimiento y el mantenimiento del marco de gobierno
02 Asegurar la obtención de beneficios
03 Asegurar la optimización del riesgo
04 Asegurar la optimización de los recursos
05 Asegurar el compromiso de las partes interesadas
27


28

Capítulo 4

Dominio: Evaluar, Dirigir y Monitorizar Área prioritaria: Modelo Core de
Objetivo de gobierno: EDM01 — Asegurar el establecimiento y el mantenimiento del marco de gobierno COBIT
Descripción
Analizar y articular los requisitos para el gobierno de la I&T de la empresa. Establecer y mantener componentes de gobierno claros con respecto a la autoridad y las
responsabilidades para lograr la misión, las metas y los objetivos de la empresa.
Propósito
Proporcionar un enfoque consistente integrado y alineado con el enfoque de gobierno de la empresa. Las decisiones relacionadas con I&T deben hacerse en línea
con las estrategias y objetivos de la empresa y para alcanzar el valor deseado. En este sentido, debe asegurarse de que los procesos relacionados con la I&T se
supervisen de forma eficaz y transparente; que se cumpla con los requisitos legales, contractuales y regulatorios; y que se cumplan los requisitos de gobierno para
los miembros del consejo de dirección.
El objetivo de gobierno respalda el logro de una serie de metas empresariales y de alineamiento primarias:
Æ
• EG03 Cumplimiento de leyes y regulaciones externas • AG01 Cumplimiento y soporte de I&T para el cumplimiento empresarial con las
• EG08 Optimización de la funcionalidad de procesos internos del negocio leyes y regulaciones externas
• EG12 Gestión de programas de transformación digital • AG03 Beneficios obtenidos del portafolio de inversiones y servicios
relacionados con I&T
EG03 a. C oste de incumplimiento regulatorio, incluidos acuerdos y multas AG01 a. Coste de incumplimiento de TI, incluidos acuerdos y multas, y el
b. Número de problemas de incumplimiento regulatorio que causan impacto de la pérdida reputacional
comentarios públicos o publicidad negativa b. Número de problemas de incumplimiento relacionados con la TI
c. Número de problemas de incumplimiento señalados por los notificados al consejo de administración o que causan comentarios o
reguladores vergüenza pública
d. Número de problemas de incumplimiento regulatorio en relación c. Número de problemas de incumplimiento relacionados acuerdos
con acuerdos contractuales con socios de negocio contractuales con los proveedores de servicios de TI
EG08 a. N iveles de satisfacción del consejo de administración y la dirección AG03 a. Porcentaje de inversiones posibilitadas por la I&T en las que los
ejecutiva con las capacidades del proceso del negocio beneficios previstos se cumplen o exceden
b. Niveles de satisfacción de los clientes con las capacidades de b. Porcentaje de servicios de I&T para los que se han logrado los
prestación de servicios beneficios esperados (indicados en los acuerdos de nivel de servicio)
c. Niveles de satisfacción de los proveedores externos con las
capacidades de la cadena de suministro
EG12 a. N úmero de programas ejecutados a tiempo y dentro del
presupuesto
b. Porcentaje de partes interesadas satisfechas con la ejecución del
programa
c. Porcentaje de programas de transformación del negocio
suspendidos
d. Porcentaje de programas de transformación del negocio con
actualizaciones de estado informadas regularmente
Práctica de gobierno Métricas modelo
EDM01.01 Evaluar el sistema de gobierno a. Número de principios guía definidos para el gobierno y la toma de decisiones de I&T
Identificar e involucrarse continuamente con las partes interesadas de la empresa, b. Número de altos ejecutivos implicados en establecer el rumbo del gobierno para I&T
documentar una comprensión de los requisitos y evaluar el diseño actual y futuro del
gobierno de I&T empresarial.
capacidad
1. Analizar e identificar los factores ambientales internos y externos (obligaciones legales, regulatorias y contractuales), así como las 2
tendencias en el entorno de negocio que pueden influir en el diseño del gobierno.
2. Determinar la importancia de I&T y su papel con respecto al negocio.
3. Considerar las regulaciones, leyes, y obligaciones contractuales externas y determinar cómo deberían aplicarse dentro del gobierno de I&T de
una empresa.
4. Determinar las implicaciones de todo el entorno de control de la empresa con respecto a I&T.
5. Alinear el uso ético y el procesamiento de la información y su impacto en la sociedad, el entorno natural y los intereses de los interesados 3
internos y externos con la dirección, las metas y los objetivos de la empresa.
6. Articular los principios que guiarán el diseño del gobierno y la toma de decisiones de I&T.
7. Determinar el modelo óptimo de toma de decisiones para I&T.
8. Determinar los niveles adecuados de delegación de autoridad, incluidas las reglas de limitaciones, para las decisiones de I&T.
29

A. Componente: Proceso (cont.)

CMMI Cybermaturity Platform, 2018 GE.AG Apply Governance System; GE.MG Monitor Governance System
ISO/IEC 38500:2015(E) 5.2 Principle 1: Responsibility (Evaluate)
ITIL V3, 2011 Service Strategy, 2.3 Governance and management systems
National Institute of Standards and Technology Special Publication 800-37, 3.1 Preparation (Tasks 2, 3, 4, 5)
Revisión 2 (Borrador), mayo de 2018
EDM01.02 Dirigir el sistema de gobierno. a. G
rado en el cual los principios de gobierno de I&T acordados son evidentes
Informar a los líderes sobre los principios de gobierno de I&T y obtener su apoyo, en procesos y prácticas (porcentaje de procesos y prácticas que se atribuyen
aprobación y compromiso. Guiar las estructuras, procesos y prácticas para el a los principios)
gobierno de I&T en línea con los principios de gobierno, los modelos de toma de b. F recuencia de presentación de informes del gobierno de I&T al comité
decisiones y los niveles de autoridad acordados. Definir la información requerida ejecutivo y el consejo de administración
para la toma de decisiones informada. c. Número
de roles, responsabilidades y autoridades para el gobierno de I&T
que son definidos, asignados y aceptados por los directivos de negocio e I&T
correspondientes.
capacidad
1. C
omunicar el gobierno de los principios de I&T y acordar con la administración ejecutiva la forma de establecer un liderazgo informado y 2
comprometido.
2. E stablecer o delegar el establecimiento de estructuras, procesos y prácticas de gobierno en línea con los principios de diseño acordados.
3. E stablecer un consejo de administración de gobierno de I&T (o equivalente) a nivel del consejo de administración. Este consejo de
administración debería garantizar que el gobierno de la información y la tecnología, como parte del gobierno de la empresa, se aborda de
forma adecuada; aconsejar sobre la dirección estratégica a seguir; y determinar la priorización de los programas de inversión habilitados por
I&T en línea con la estrategia y prioridades del negocio de la empresa.
4. A
signar la responsabilidad, autoridad y rendición de cuentas por las decisiones de I&T en línea con los principios de diseño de gobierno, de 3
los modelos de toma de decisiones y de delegación acordados.
5. A
segurar que los mecanismos de comunicación y presentación de informes proporcionan la información adecuada a los responsables de la
supervisión y toma de decisiones.
6. D
ireccionar al personal para que siga las directrices relevantes en cuanto al comportamiento ético y profesional y asegurar que se conozcan
y se apliquen las consecuencias del incumplimiento.
7. D
ireccionar el establecimiento de un sistema de recompensas para fomentar el cambio cultural deseado.
CMMI Cybermaturity Platform, 2018 GE.DG Direct Governance System
ISF, The Standard of Good Practice for Information Security 2016 SG1.1 Security Governance Framework
ISO/IEC 38500:2015(E) 5.2 Principle 1: Responsibility (Direct)

ISO/IEC 38502:2017(E) Governance of IT - Framework and model (all chapters)
King IV Report on Corporate Governance for South Africa, 2016 Part 5.4: Governance functional areas - Principle 12
National Institute of Standards and Technology Special Publication 800-53, 3.14 Planning (PL-2, PL-10)
Revisión 5 (Borrador), agosto de 2017
EDM01.03 Monitorizar el sistema de gobierno a. Ciclo de vida real vs. objetivo para decisiones clave
Monitorizar la eficacia y el rendimiento del gobierno de I&T de la empresa. b. Frecuencia de revisiones independientes del gobierno de I&T
Evaluar si el sistema de gobierno y los mecanismos implementados (incluyendo c. Nivel de satisfacción de la parte interesada (medido a partir de encuestas)
las estructuras, los principios y los procesos) están operando de forma efectiva y d. Número de problemas de gobierno de I&T comunicados
ofrecen una supervisión apropiada de I&T para permitir la creación de valor.
30

Capítulo 4

capacidad
1. Evaluar la eficacia y el rendimiento de aquellas partes interesadas a las que se le ha delegado la responsabilidad y autoridad para el gobierno 3
empresarial de I&T.
2. Evaluar de forma periódica si los mecanismos de I&T que se han acordado (estructuras, principios, procesos, etc.) se han establecido y 4
operan de forma eficiente.
3. Evaluar la eficacia del diseño de gobierno e identificar acciones para rectificar cualquier desviación que se encuentre.
4. Mantener la supervisión de hasta qué punto la I&T satisface las obligaciones (regulación, legislación, leyes comunes, contractuales), políticas
internas, estándares y guías profesionales.
5. Proporcionar la supervisión de la eficacia del sistema de control de la empresa y el cumplimiento con el mismo.
6. Monitorizar los mecanismos regulares y rutinarios para garantizar que el uso de I&T cumpla con las obligaciones (regulación, legislación,
leyes comunes, contractuales), estándares y guías.
ISO/IEC 38500:2015(E) 5.2 Principle 1: Responsibility (Monitor)
National Institute of Standards and Technology Special Publication 800-53, 3.14 Planning (PL-11)
Director general ejecutivo (CEO)
Consejo de gobierno de I&T

Consejo de Administración
Director de TI (CIO)
Comité Ejecutivo
Práctica clave de gobierno
EDM01.01 Evaluar el sistema de gobierno. A R R R R
EDM01.02 Dirigir el sistema de gobierno. A R R
EDM01.03 Monitorizar el sistema de gobierno. A R R R R
COSO Enterprise Risk Management, junio de 2017 6. Governance and Culture—Principle 2
ISO/IEC 38502:2017(E) 5.1 Responsibilities of the governing body
King IV Report on Corporate Governance for South Africa, 2016 Part 2: Fundamental concepts—Definition of corporate governance; Part 5.3:
Governing structures and delegation—Principle 6 & 7
31

C. Componente: Flujos y elementos de información (ver también la sección 3.6)

Práctica de gobierno Entradas Salidas
EDM01.01 Evaluar el sistema de gobierno De Descripción Descripción A
MEA03.02 Comunicaciones de Principios rectores del Todos los EDM;
requisito de cambios en el gobierno empresarial APO01.01;
cumplimiento APO01.03
APO01.04
Fuera de COBIT •C onstitución/ Modelo de toma de Todos los EDM;
reglamentos/estatutos de decisiones APO01.01;
la organización APO01.04
•M odelo de gobierno/toma
de decisiones Niveles de autoridad Todos los EDM;
• L eyes/regulaciones APO01.05
• Tendencias del entorno
empresarial
EDM01.02 Dirigir el sistema de gobierno. Comunicación del gobierno Todos los EDM;
de la empresa APO01.02
Método de sistema de APO07.03;

recompensa APO07.04
EDM01.03 Monitorizar el sistema de gobierno. MEA01.04 Informes de desempeño Retroalimentación sobre el Todos los EDM;
rendimiento y la eficacia del APO01.11
gobierno
MEA01.05 Estado y resultados de las
acciones
MEA02.01 • R esultados de la
supervisión y revisión del
control interno
• R esultados del
benchmarking y otras
evaluaciones
MEA02.03 Resultados de las
revisiones de las
autoevaluaciones
MEA03.03 Confirmaciones de
cumplimiento
MEA03.04 • Informes de
aseguramiento del
cumplimiento
• Informes de los problemas
y causa raíz del
incumplimiento
MEA04.02 Planes de aseguramiento
Fuera de COBIT • Informes de auditoría

• Obligaciones
National Institute of Standards and Technology Special Publication 800-37, 3.1 Preparation (Task 2, 3, 4, 5): Inputs and Outputs
Revisión 2, septiembre de 2017
32

Capítulo 4

Habilidad Documentación relacionada (Estándares , Marcos, Requisitos de cumplimiento) Referencia específica
Gobierno de SI e-Competence Framework (e-CF)—A common European Framework for ICT E. Manage—E.9. IS Governance
Professionals in all industry sectors—Part 1: Framework, 2016
Gobierno de TI Skills Framework for the Information Age V6, 2015 GOVN

Política de Delegación de Autoridad Especifica la autoridad que el consejo (1) ISO/IEC 38500:2015(E); (2) ISO/ (1) 5.2 Principle 1: Responsibility;
de administración estrictamente IEC 38502:2017(E);(3) King IV Report (2) 5.3 Delegation; (3) Part 5.3:
conserva para sí. Enumera los on Corporate Governance for South Governing structures and
principios generales de la delegación Africa, 2016 delegation Principle—8 and 10
de autoridad y la planificación de la
delegación (incluidos límites claros).
Define las estructuras organizativas
a las cuales el consejo de
administración delega la autoridad.
Política de gobierno Proporciona los principios rectores National Institute of Standards and 3.14 Planning (PL-1)
de gobierno (p. ej., el gobierno de I&T Technology Special Publication 800-
es crítico para el éxito empresarial; 53, Revisión 5 (Borrador), agosto de
I&T y el negocio se alinean 2017
estratégicamente; los requisitos y
beneficios empresariales determinan
las prioridades; la aplicación
debe ser equitativa, oportuna y
consistente; las mejores prácticas,
marcos de referencia y estándares
de la industria deben evaluarse e
implementarse como corresponda).
Incluye imperativos de gobierno, como
construir confianza y alianzas, para
tener éxito. Enfatiza que el gobierno
de I&T refleja un proceso de mejora
continua y debe personalizarse,
mantenerse y actualizarse para
asegurar su relevancia.

Identificar y comunicar la cultura de toma de decisiones, la ética organizativa (1) National Institute of Standards (1) 3.14 Planning (PL-4); (2) 4.1
y comportamientos individuales que encarnan los valores de la empresa. and Technology Special Publication Principles; (3) Part 5.1: Leadership,
Demostrar el liderazgo ético y marcar la actitud de la alta gerencia. 800-53, Revisión 5, agosto de 2017; ethics and corporate citizenship -
(2) ISO/IEC 38500:2015(E); (3) King IV Principle 2
Report on Corporate Governance for
South Africa, 2016

• COBIT y productos/herramientas relacionados
• Marcos y estándares equivalentes
33


34

Capítulo 4

Objetivo de gobierno: EDM02 — Asegurar la obtención de beneficios COBIT
Descripción
Optimizar el valor al negocio de las inversiones en procesos empresariales, servicios de I&T y activos de I&T.
Propósito
Asegurar un valor óptimo de las iniciativas, servicios y activos habilitados para I&T; la entrega rentable de soluciones y servicios; y una imagen confiable y precisa de
los costes y beneficios probables para que las necesidades empresariales se satisfagan de forma eficaz y eficiente.
El objetivo de gobierno respalda el logro de una serie de metas empresariales y de alineamiento primarias:
Æ
• EG08 Optimización de la funcionalidad de procesos internos del • AG03 Beneficios obtenidos del portafolio de inversiones y servicios
negocio habilitados por I&T
• EG12 Gestión de programas de transformación digital
EG08 a. N iveles de satisfacción del consejo de administración y AG03 a. P orcentaje de inversiones posibilitadas por I&T en las que los
la dirección ejecutiva con las capacidades del proceso beneficios previstos en el caso de negocio se cumplen o exceden
empresarial b. P orcentaje de servicios de I&T para los que se han logrado los
b. N iveles de satisfacción de los clientes con las capacidades de beneficios esperados (indicados en los acuerdos de nivel de
prestación de servicios servicio)
presupuesto
b. P orcentaje de partes interesadas satisfechas con la ejecución
del programa
suspendidos
d. P orcentaje de programas de transformación del negocio con
actualizaciones del estado notificado regularmente
EDM02.01 Establecer el objetivo de la mezcla de inversión. a. Porcentaje de inversiones de I&T que se atribuyen a la estrategia empresarial
Revisar y asegurarse que las estrategias y los servicios actuales de la empresa b. P orcentaje de inversiones de I&T basadas en el coste, la alineación con la
y de I&T sean claros. Definir una mezcla de inversión apropiada basada en el estrategia, y las medidas financieras (p. ej., el coste y el ROI durante todo el
coste, la alineación con la estrategia, el tipo de beneficio de los programas en ciclo de vida económico), el grado de riesgo y el tipo de beneficio para los
el portafolio, el grado de riesgo y las medidas financieras como el coste y el programas del portafolio.
retorno de la inversión (ROI) esperado durante todo el ciclo de vida económico.
Ajustar las estrategias empresariales y de I&T cuando sea necesario.
capacidad
1. Crear y mantener portafolios de programas de inversión habilitados por I&T, servicios y activos de TI, que forman la base para el presupuesto 2
actual de TI y respaldan los planes tácticos y estratégicos de I&T.
2. Obtiene un conocimiento común entre TI y otras funciones empresariales sobre las posibles oportunidades para que TI habilite y contribuya a
la estrategia empresarial.
3. Identificar las categorías generales de sistemas de información, aplicaciones, datos, servicios de TI, infraestructura, activos de I&T, recursos,
habilidades, prácticas, controles y relaciones de TI necesarias para respaldar la estrategia empresarial.
4. Acordar las metas de I&T, tener en cuenta las interrelaciones entre la estrategia de la empresa y los servicios de I&T, activos y otros recursos..
Identificar y aprovechar las sinergias que pueden lograrse.
5. Definir una mezcla de inversión que logre el equilibrio adecuado entre distintas dimensiones, incluido un equilibrio adecuado de resultados a 3
corto y largo plazo, beneficios financieros y no financieros e inversiones de alto y bajo riesgo.
King IV Report on Corporate Governance for South Africa, 2016 Parte 5.5: Stakeholder relationships—Principle 17
The Open Group IT4IT Reference Architecture, Versión 2.0 3.2 IT Value Chain and IT4IT Reference Architecture
35


EDM02.02 Evaluar la optimización del valor. a. D
esviación entre la mezcla de inversión objetivo y real
Evaluar continuamente el portafolio de inversiones, servicios y activos de I&T b. P orcentaje de portafolio de inversiones habilitadas por I&T con el fin
con el fin de determinar la probabilidad de alcanzar los objetivos de la empresa y de determinar la probabilidad de alcanzar los objetivos de la empresa y
proporcionar un valor. Identificar y evaluar cualquier cambio en la dirección que proporcionar un valor a un coste razonable.
debe ofrecerse a la gerencia para optimizar la creación de valor.
capacidad
1. C
onocer los requisitos de las partes interesadas; los problemas estratégicos de I&T; así como la dependencia en I&T; y la percepción y 2
capacidades de tecnología con respecto a la importancia real y potencial de I&T para la estrategia empresarial.
2. C
onocer los elementos clave de gobierno para ofrecer de forma confiable, segura y económica un valor óptimo procedente del uso de 3
servicios, activos y recursos de I&T actuales y nuevos.
3. E ntender y discutir regularmente las oportunidades que podrían surgir para la empresa derivadas de los cambios habilitados por las
tecnologías actuales, nuevas o emergentes, y optimizar el valor creado a partir de esas oportunidades.
4. C
onocer lo que constituye valor para la empresa y considerar lo bien que se comunica, conoce y aplica en todos los procesos de la empresa.
5. Evaluar la eficacia con la que las estrategias empresariales y de I&T se han integrado y alineado dentro de la empresa y con los objetivos de 4
la empresa para entregar valor.
6. C
onocer y considerar la eficacia de los roles, responsabilidades, rendición de cuentas y órganos de toma de decisiones actuales a la hora de
asegurar la creación de valor a partir de las inversiones, servicios y activos de I&T.
7. C
onsidere lo bien que está alineada la gestión de las inversiones, servicios y activos de I&T con la gestión de valor empresarial y las prácticas
de gestión financiera.
8. E valuar el portafolio de inversiones, servicios y activos para su alineación con los objetivos estratégicos de la empresa; el valor de la
empresa, tanto financiera como no financiera; el riesgo, tanto el riesgo de entrega como el riesgo de beneficios; el alineamiento del proceso
de negocio; la eficacia en términos de usabilidad, disponibilidad y capacidad de respuesta; y la eficiencia en cuanto a costes, redundancia y
salud técnica.
COSO Enterprise Risk Management, junio de 2017 7. Strategy and Objective-Setting—Principle 8
ISF, The Standard of Good Practice for Information Security 2016 SG2.2 Stakeholder Value Delivery
ISO/IEC 38500:2015(E) 5.3 Principle 2: Strategy (Evaluate)
King IV Report on Corporate Governance for South Africa, 2016 Part 5.2: Strategy, performance and reporting—Principle 4
The Open Group IT4IT Reference Architecture, Versión 2.0 5. Strategy to Portfolio (S2P) Value Stream
EDM02.03 Dirigir la optimización del valor. a. Porcentaje de iniciativas de I&T en el portafolio general donde el valor se
Dirigir los principios y las prácticas de gestión de valor para permitir la obtención administra durante todo el ciclo de vida
óptima de valor de las inversiones de I&T durante todo su ciclo de vida b. P orcentaje de iniciativas de I&T que usan principios y prácticas de gestión de
económico. valor
capacidad
1. Definir y comunicar los tipos, categorías, criterios y peso relativo al criterio de portafolio e inversiones que permitan puntajes de valor relativo 2
total.
2. Definir los requisitos para los cambios de fase (stage-gate) y otras revisiones para ver el peso de la inversión para la empresa y el riesgo 3
asociado, las planificaciones del programa, los planes de financiación y la entrega de capacidades y beneficios y contribución continua al
valor.
3. Dirigir a la gestión para que considere los potenciales usos innovadores de I&T que permiten a la empresa responder a nuevas oportunidades
y retos, emprender nuevos negocios, aumentar la competitividad o mejorar los procesos.
4. Dirigir cualquier cambio requerido en la asignación de rendición de cuentas y responsabilidades para ejecutar el portafolio de inversiones y
entrega de valor por parte de los procesos y servicios empresariales.
5. Dirigir cualquier cambio requerido al portafolio de inversiones y servicios para realinearse con los objetivos y/o limitaciones empresariales
actuales y esperadas.
6. Recomendar la consideración de innovaciones, cambios organizativos o mejoras operativas posibles que podrían generar un mayor valor
para la empresa a partir de iniciativas de I&T.
7. Definir y comunicar las metas y medidas de resultados de la entrega de valor a nivel de empresa para permitir una supervisión eficaz. 4
36

Capítulo 4

ISO/IEC 38500:2015(E) 5.3 Principle 2: Strategy (Direct)
EDM02.04 Monitorizar la optimización del valor. a. N úmero de nuevas oportunidades empresariales logradas como resultado
Supervisar las metas y métricas clave para determinar si el negocio está directo de los desarrollos de I&T
recibiendo el valor y los beneficios esperados para el negocio a través de las b. P orcentaje de objetivos empresariales estratégicos obtenidos como resultado
inversiones y los servicios de I&T. Identificar los problemas significativos y de iniciativas estratégicas de I&T
considerar acciones correctivas c. N ivel de satisfacción de la dirección ejecutiva con el coste y la entrega de
valor de I&T
d. N ivel de satisfacción de las partes interesadas con el avance hacia las metas
identificadas (entrega de valor basada en encuestas).
e. N ivel de satisfacción de las partes interesadas con la capacidad de la
empresa para obtener valor de las iniciativas habilitadas por I&T
f. Número de incidentes que tienen lugar debido a la evasión actual o intentada
de los principios y prácticas de gestión de valor establecidos
g. Porcentaje logrado del valor esperado
capacidad
1. Definir un conjunto equilibrado de objetivos, métricas, metas y benchmarks. Las métricas deberían cubrir mediciones de actividad y 4
resultados, incluyendo indicadores de avance y de retraso, así como un equilibrio adecuado entre mediciones financieras y no financieras.
Revisar y acordar con TI y otras funciones de la empresa, así como con otras partes interesadas relevantes.
2. Recopilar datos relevantes, oportunos, completos, creíbles y precisos para informar sobre el progreso a la hora de la entrega de valor en
comparación con los objetivos. Obtener una vista resumen general de 360º del rendimiento del portafolio , programa y de I&T (capacidades
técnicas y operativas) que respalden la toma de decisiones. Asegurar el logro de los resultados esperados.
3. Obtener informes regulares y relevantes de rendimiento del portafolio , programa y de I&T (tecnológicos y funcionales). Revisar el progreso
de la empresa a la hora de identificar metas y el grado de realización de los objetivos planificados, los entregables obtenidos, los objetivos
de desempeño alcanzados y el riesgo mitigado.
4. Una vez revisados los informes, asegurar que se ha iniciado y controlado acciones correctivas al área de gestión pertinente. 5
5. Una vez revisados los informes, llevar a cabo la acción de gestión adecuada para asegurar la optimización del valor.
Documentación relacionada (Estándares Marcos, Requisitos de cumplimiento) Referencia específica
ISO/IEC 38500:2015(E) 5.3 Principle 2: Strategy (Monitor)

Director general financiero

Director general ejecutivo
Director de operaciones
Gestor de Portafolio
Comité Ejecutivo
Director de TI

EDM02.01 Establecer el objetivo de la mezcla de inversión. A R R R R R R
EDM02.02 Evaluar la optimización del valor. A R R R R R R
EDM02.03 Dirigir la optimización del valor. A R R R R R R
EDM02.04 Monitorizar la optimización del valor. A R R R R R R R
King IV Report on Corporate Governance for South Africa, 2016 Part 2: Fundamental concepts—Definition of corporate governance
37


EDM02.01 Establecer el objetivo de la mezcla de inversión. De Descripción Descripción A
APO02.05 •D efinición de iniciativas Retroalimentación sobre APO02.05
estratégicas estrategia y metas
• Iniciativas de evaluación
de riesgos
•H oja de ruta estratégica
APO09.01 Definiciones de servicios Recursos y capacidades Interna
estándar identificados requeridos
para respaldar la estrategia
BAI03.11 Definiciones de servicios Mezcla de inversión Interna
definida EDM02.03
EDM02.03 Tipos y criterios de
inversión
EDM02.02 Evaluar la optimización del valor. APO02.05 Hoja de ruta estratégica Evaluación del alineamiento APO02.04;
estratégico APO05.02
APO05.01 Expectativas acerca del Evaluación de los APO05.02;
retorno de la inversión portafolios de inversiones y APO05.03;
servicios APO06.02
APO05.02 Programas seleccionados
con objetivos de retorno de
inversión (ROI)
APO05.05 Resultados de beneficios
y comunicaciones
relacionadas
BAI01.06 Resultados de la revisión
por etapas
EDM02.03 Dirigir la optimización del valor. APO05.03 Informes de rendimiento del Requisitos de las revisiones BAI01.01;
portafolio de inversiones de cambio de fases BAI11.01
EDM02.01 Mezcla de inversión Tipos y criterios de EDM02.01;
definida inversión APO05.02
EDM02.04 Monitorizar la optimización del valor. APO05.03 Informes de rendimiento del Acciones para mejorar la APO05.03;
portafolio de inversiones entrega de valor APO06.02;
BAI01.01;
BAI11.01;
EDM05.01
Retroalimentación sobre el APO05.03;
rendimiento del portafolio y APO06.05;
los programas BAI01.06
Sin documentación relacionada para este componente.

Benefits management Skills Framework for the Information Age V6, 2015 BENM
38

Capítulo 4

Política de elaboración y ejecución de Establece las directrices para
presupuestos identificar las necesidades y requisitos
de las inversiones, monitorizar su
cumplimiento y asegurar el máximo
beneficio. Abordar la formulación
de solicitudes presupuestarias.
Supervisar la ejecución del rendimiento
presupuestario y técnico conforme a lo
estimado. Recomendar la reasignación
o reprogramación justificadas. Abordar
la supervisión del rendimiento en
relación a los acuerdos de nivel de
servicio y otras métricas basadas en el
rendimiento.

El valor que I&T proporciona depende del grado de alineamiento de I&T con
el negocio y del cumplimiento de sus expectativas. Optimizar el valor de I&T
estableciendo una cultura en la que los servicios de I&T se proporcionen a tiempo
y dentro del presupuesto, con la calidad adecuada.

• Sistema de contabilidad de costes
• Herramienta de gestión de programas
39


40

Capítulo 4

Objetivo de gobierno: EDM03 — Asegurar la optimización del riesgo COBIT
Descripción
Asegurar que el apetito y la tolerancia al riesgo de la empresa se entiendan, articulen y comuniquen, y que se identifique y gestione el riesgo para el valor de negocio
relacionado con el uso de I&T.
Propósito
Asegurarse de que el riesgo de negocio relacionado con la I&T no exceda el apetito y tolerancia al riesgo de la empresa, que se identifique y gestione el impacto del
riesgo de I&T para el valor de negocio y que se minimicen los posibles fallos de cumplimiento.
El objetivo de gobierno respalda la realización de un conjunto de metas empresariales y de alineamiento primarias:
Æ
• EG02 Gestión de riesgo de negocio • AG02 Gestión de riesgo relacionado con I&T
• EG06 Continuidad y disponibilidad del servicio del negocio • AG07 Seguridad de la información, infraestructura de procesamiento y
aplicaciones, y privacidad
EG02 a. P orcentaje de objetivos y servicios empresariales críticos AG02 a. Frecuencia de actualización del perfil de riesgo
cubiertos por la evaluación de riesgos b. P orcentaje de las evaluaciones de riesgo empresarial, incluido el
b. N úmero de incidentes significativos que no se identificaron en riesgo relacionado con I&T
la evaluación de riesgos frente al total de incidentes c. N
úmero de incidentes significativos relacionados con I&T que no
c. Frecuencia de actualización del perfil de riesgo se identificaron en la evaluación de riesgos
EG06 a. N úmero de interrupciones del servicio al cliente o procesos AG07 a. N
úmero de incidentes de confidencialidad que causan pérdidas
empresariales que han causado incidentes significativos financieras, interrupción del negocio o descrédito público
b. Coste empresarial de los incidentes b. N
úmero de incidentes de disponibilidad que causan pérdidas
c. Número de horas de procesamiento perdidas en el negocio financieras, interrupción del negocio o descrédito público
debido a interrupciones inesperadas del servicio c. N
úmero de incidentes de integridad que causan pérdidas
d. P orcentaje de quejas en función de los objetivos de financieras, interrupción del negocio o descrédito público
disponibilidad del servicio acordados
EDM03.01 Evaluar la gestión de riesgos. a. Nivel de impacto empresarial inesperado
Examinar y evaluar continuamente el efecto del riesgo sobre el uso actual y b. Porcentaje de riesgo de I&T que excede la tolerancia al riesgo de la empresa
futuro de las I&T en la empresa. Considerar si el apetito al riesgo de la empresa c. Frecuencia de actualización de la evaluación del factor de riesgo
es apropiada, y que se identifique y gestione el riesgo para el valor de la empresa
relacionado con el uso de I&T.
capacidad
1. Conocer la organización y su contexto en relación al riesgo de I&T. 2
2. Determinar el apetito al riesgo de la organización, es decir, el nivel de riesgo relacionado con I&T que la empresa está dispuesta a tomar en la
búsqueda de sus objetivos empresariales.
3. Determinar los niveles de tolerancia al riesgo frente al apetito al riesgo, es decir, las desviaciones aceptables temporalmente del apetito al
riesgo.
4. Determinar el grado de alineamiento de la estrategia de riesgos en I&T de la empresa con la estrategia de riesgos de la empresa en su
conjunto y garantizar que el apetito al riesgo se sitúe por debajo de la capacidad de riesgo de la organización.
5. Evaluar los factores de riesgo de I&T de forma proactiva antes de tomar decisiones estratégicas a nivel de empresa y garantizar que las 3
consideraciones del riesgo formen parte del proceso de decisión estratégico de la empresa.
6. Evaluar las actividades de gestión de riesgos para asegurar que se alineen con la capacidad de la empresa para las pérdidas relacionadas
con I&T y la tolerancia correspondiente por parte de la dirección.
7. Atraer y conservar las habilidades y el personal necesarios para la gestión de riesgos de las I&T
COSO Enterprise Risk Management, junio de 2017 Strategy and Objective-Setting—Principles 6 and 7; 9. Review and
Revision—Principle 16
41


EDM03.02 Dirigir la gestión de riesgos. a. Nivel de alineamiento entre el riesgo de I&T y el riesgo empresarial
Dirigir el establecimiento de prácticas de gestión de riesgos para ofrecer una b. Porcentaje de proyectos de la empresa que consideran el riesgo de I&T.
seguridad razonable de que las prácticas de gestión de riesgos de I&T son
apropiadas y que el riesgo de I&T actual no sobrepasa al apetito al riesgo del
consejo de administración.
capacidad
1. Dirigir la traducción e integración de la estrategia de riesgo de I&T en las prácticas de gestión de riesgos y las actividades operativas. 2
2. Dirigir el desarrollo de planes de comunicación de riesgos (que se extiendan a todos los niveles de la empresa).
3. Dirigir la implementación de los mecanismos adecuados para responder de forma rápida al cambio de riesgos e informar inmediatamente a
los cargos de dirección correspondientes, siguiendo los principios de escalamiento (qué comunicar, cuándo, dónde y cómo).
4. Ordenar que el riesgo, oportunidades, problemas o preocupaciones puedan identificarse y comunicarse por cualquier persona a la parte
correspondiente en cualquier momento. El riesgo debe gestionarse conforme a las políticas y procedimientos publicados y comunicados a
los responsables de la toma de decisiones.
5. Identificar las metas y métricas claves de los procesos de gobierno y gestión de riesgos que deben monitorizarse, y aprobar las estrategias, 3
métodos, técnicas y procesos para capturar y comunicar la información de las mediciones.
CMMI Cybermaturity Platform, 2018 RS.AS Apply Risk Management Strategy; BC.RO Determine Strategic Risk
Objectives
ISF, The Standard of Good Practice for Information Security 2016 IR1.1 Information Risk Assessment—Management Approach
King IV Report on Corporate Governance for South Africa, 2016 Part 5.4: Governance functional areas—Principle 11
National Institute of Standards and Technology Special Publication 800-37, 3.5 Assessment (Task 2)
EDM03.03 Monitorizar la gestión de riesgos. a. Número de áreas potenciales de riesgo de I&T identificadas y gestionadas
Monitorizar r las metas y las métricas clave de los procesos de gestión de b. Porcentaje de riesgo crítico que ha sido mitigado efectivamente
riesgos. Establecer cómo las desviaciones o los problemas se identificarán, se c. Porcentaje de planes de acción de riesgo de I&T ejecutados a tiempo
les dará seguimiento y se comunicarán para su solución.
capacidad
1. Comunicar cualquier problema de gestión de riesgos al consejo de administración o comité ejecutivo. 2
2. Supervise hasta qué punto se gestiona el perfil de riesgo dentro de los umbrales de tolerancia y apetito de riesgo de la empresa. 3
3. Monitorizarr las metas y métricas de los procesos de gobierno y gestión de riesgos contra los objetivos, analizar la causa de las posibles 4
desviaciones, y poner en marcha las acciones remediales s para solucionar las causas subyacentes.
4. Facilitar la revisión por parte de las partes interesadas clave del progreso de la empresa con respecto a las metas identificadas.
COSO Enterprise Risk Management, junio de 2017 9. Review and Revision—Principle 17
National Institute of Standards and Technology Special Publication 800-37, 3.1 Preparation (Task 7); 3.5 Assessment (Task 1); 3.6 Authorization (Task 1)
The Open Group IT4IT Reference Architecture, Versión 2.0 6. Requirement to Deploy (R2D) Value Stream; 7. Request to Fulfill (R2F) Value
Stream
42

Capítulo 4

Director de seguridad de la información

Comité de riesgos empresariales

Director de riesgos
Comité Ejecutivo
Director de TI
EDM03.01 Evaluar la gestión de riesgos. A R R R R R R
EDM03.02 Dirigir la gestión de riesgos. A R R R R R R
EDM03.03 Monitorizar la gestión de riesgos. A R R R R R R R
Documentación relacionada (Estándares Marcos, Requisitos de cumplimiento) Referencia específica
COSO Enterprise Risk Management, junio de 2017 6. Governance and Culture—Principle

EDM03.01 Evaluar la gestión de riesgos. De Descripción Descripción A
APO12.01 Problemas y factores de Guía de apetito al riesgo APO04.01;
riesgo emergentes APO12.03
Fuera de COBIT Principios de gestión de Evaluación de actividades APO12.01

riesgos empresariales de gestión de riesgos
(ERM)
Niveles aprobados de APO12.03
tolerancia al riesgo
EDM03.02 Dirigir la gestión de riesgos. APO12.03 Perfil de riesgo agregado, Proceso aprobado para la APO12.01
incluido el estado de las medición de la gestión de
acciones de gestión de riesgos
riesgos
Fuera de COBIT Planes de mitigación y Objetivos clave a APO12.01
perfiles para la gestión monitorizar para la gestión
de riesgos empresariales de riesgos
(ERM)
Políticas de gestión de APO12.01
riesgos
EDM03.03 Monitorizar la gestión de riesgos. APO12.02 Resultados del análisis de Acciones remediales para APO12.06
riesgos solucionar las desviaciones
de gestión de riesgos
APO12.04 •A nálisis de riesgos e Problemas de gestión de EDM05.01
informes del perfil de riesgos para el consejo de
riesgo para las partes administración
interesadas
• R esultados de
evaluaciones de riesgos
de terceros
•O portunidades para la
aceptación de un riesgo
mayor
National Institute of Standards and Technology Special Publication 800-37, 3.1 Preparation (Task 7): Inputs and Outputs; 3.5 Assessment (Tasks 1, 2):
Revisión 2, septiembre de 2017 Inputs 2, and Outputs; 3.6 Authorization (Task 1): Inputs and Outputs
43


Gestión de riesgo del negocio Skills Framework for the Information Age V6, 2015 BURM
Gestión de riesgos e-Competence Framework (e-CF)—A common European Framework for ICT E. Manage—E.3. Risk Management

Política de riesgos empresariales Define el gobierno y gestión del riesgo National Institute of Standards and 3.17 Risk assessment (RA-1)
empresarial a nivel estratégico, táctico Technology Special Publication 800-
y operativo, en búsqueda de satisfacer 53, Revisión 5 (Borrador), agosto de
los objetivos de negocio. Traduce el 2017
gobierno de la empresa en política
y principios de gobierno del riesgo
y elabora actividades de gestión de
riesgos.

Promover una cultura consciente de los riesgos de I&T en todos los niveles de COSO Enterprise Risk Management, 6. Governance and Culture—Principles
la organización y facultar proactivamente a la empresa para que identifique, junio de 2017 3 and 4
comunique y escale el riesgo, oportunidad y posibles impactos del negocio en
I&T. La dirección senior establece el rumbo y muestra un apoyo visible y genuino
a las prácticas de riesgo. Además, la dirección debe definir claramente el apetito
al riesgo y garantizar un nivel de debate adecuado como parte de las actividades
diarias. Entre los comportamientos deseables se encuentran fomentar que
los empleados informen sobre problemas o resultados negativos y muestren
transparencia con respecto al riesgo de I&T. Los Dueños de la empresa deben
aceptar el riesgo de I&T cuando corresponda y demostrar un compromiso
genuino con la gestión de riesgos en I&T, proporcionando los niveles de recursos
adecuados.

Sistema de gestión de riesgos
44

Capítulo 4

Objetivo de gobierno: EDM04 — Asegurar la optimización de los recursos COBIT
Descripción
Asegurar que se dispone de recursos adecuados y suficientes relacionadas con I&T (personas, procesos y tecnología) y con el negocio para apoyar eficazmente los
objetivos empresariales, a un coste óptimo.
Propósito
Asegurarse de que las necesidades de recursos de la empresa se satisfagan de manera óptima, que los costes de I&T se optimicen, y que exista una mayor
probabilidad de obtener beneficios y disponibilidad para cambios futuros.
El objetivo de gestión respalda la consecución de una serie de metas empresariales y de alineamiento primarias:
Æ
• EG01 Portafolio de productos y servicios competitivos AG09 Ejecución de programas dentro del plazo, sin exceder el presupuesto, y que
• EG08 Optimización de la funcionalidad de procesos internos del negocio cumplen con los requisitos y estándares de calidad
EG01 a. Porcentaje de productos y servicios que cumplen o exceden los objetivos de AG09 a. Número de programas/proyectos ejecutados a tiempo y dentro del presupuesto
ingresos y/o cuota de mercado b. Número de programas que necesitan una revisión significativa debido a
b. Porcentaje de productos y servicios que cumplen o exceden los objetivos de defectos de calidad
satisfacción del cliente c. Porcentaje de partes interesadas satisfechas con la calidad del programa/
c. Porcentaje de productos y servicios que proporcionan una ventaja proyecto
competitiva
d. Plazo de comercialización para nuevos productos y servicios
EG08 a. Niveles de satisfacción del consejo de administración y la dirección
ejecutiva con las capacidades del proceso empresarial
b. Niveles de satisfacción de los clientes con las capacidades de prestación
de servicios
c. Niveles de satisfacción de los proveedores externos con las capacidades de
la cadena de suministro
EG12 a. Número de programas ejecutados a tiempo y dentro del presupuesto
b. Porcentaje de partes interesadas satisfechas con la ejecución del programa
c. Porcentaje de programas de transformación del negocio suspendidos
actualizaciones del estado notificadas regularmente
EDM04.01 Evaluar la gestión de recursos. a. Número de desviaciones del plan de recursos
Examinar y analizar continuamente la necesidad actual y futura de recursos empresariales b. Porcentaje de estrategias del plan de recursos y arquitectura empresarial que
y de I&T (financieros y humanos), las opciones de recursos (incluyendo estrategias de proporciona valor y mitiga el riesgo con recursos asignados
abastecimiento), y principios de asignación y gestión para satisfacer las necesidades de la
empresa de manera óptima.
capacidad
1. Partiendo de las estrategias actuales y futuras, examinar las posibles opciones para proporcionar recursos relacionados con I&T (recursos tecnológicos, 2
financieros y humanos), y desarrollar capacidades para hacer frente a las necesidades actuales y futuras (incluidas opciones de abastecimiento).
2. Definir los principios fundamentales de la asignación y gestión de recursos y capacidades, de forma que I&T puede satisfacer las necesidades de la empresa
conforme a las prioridades acordadas y los límites presupuestarios. Por ejemplo, definir opciones preferidas de abastecimiento definidas para determinados
servicios y los límites presupuestarios por opción de abastecimiento.
3. Revisar y aprobar las estrategias del plan de recursos y de la arquitectura empresarial para proporcionar valor y mitigar el riesgo con los recursos asignados.
4. Entender los requisitos para el alineamiento de la gestión de recursos de I&T con la planificación de recursos humanos (RR. HH.) y financieros de la empresa.
5. Definir los principios para la gestión y el control de la arquitectura empresarial 3
CMMI Cybermaturity Platform, 2018 GR.DR Direct Resource Management Needs
ISO/IEC 38500:2015(E) 5.4 Principle 3: Acquisition (Evaluate)
45


EDM04.02 Dirigir la gestión de recursos. a. N
úmero de desviaciones de, y excepciones con respecto a los principios de
Asegurar la adopción de principios de gestión de recursos para permitir un uso gestión de recursos
óptimo de los recursos empresariales y de I&T durante todo su ciclo de vida b. P orcentaje de reutilización de componentes de la arquitectura
económico.
capacidad
1. A
signar responsabilidades para la ejecución de la gestión de recursos. 2
2. E stablecer los principios relacionados con la protección de los recursos.
3. C
omunicar y dirigir la adopción de estrategias de gestión de recursos, principios y del plan de recursos y arquitectura empresarial acordados. 3
4. Alinear la gestión de recursos con la planificación financiera y de RR. HH. de la empresa.
5. Definir las metas, mediciones y métricas clave para la gestión de recursos. 4
CMMI Cybermaturity Platform, 2018 GR.ER Evaluate Resource Management Needs
ISO/IEC 38500:2015(E) 5.4 Principle 3: Acquisition (Direct)
National Institute of Standards and Technology Special Publication 800-53, 3.14 Planning (PL-4)
EDM04.03 Monitorizar la gestión de recursos. a. Nivel de retroalimentación de las partes interesadas sobre la optimización de
Monitorizar las metas y las métricas clave de los procesos de gestión de recursos
recursos. Establecer cómo las desviaciones o los problemas se identificarán, se b. N
úmero de beneficios (como ahorro de costes) logrados a través de la
hará seguimiento y se comunicarán para su solución. utilización óptima de los recursos
c. N
úmero de objetivos de rendimiento en gestión de recursos logrados
d. P orcentaje de proyectos y programas con un estatus de medio o alto riesgo
debido a problemas de gestión de recursos
e. Porcentaje de proyectos con asignaciones de recursos adecuadas
capacidad
1. Supervisar la asignación y optimización de recursos conforme a los objetivos y prioridades de la empresa usando metas y métricas 4
acordadas.
2. Supervisar las estrategias de abastecimiento de I&T, las estrategias de arquitectura empresarial y las capacidades y recursos empresariales y
de TI para garantizar que se puedan satisfacer las necesidades y objetivos actuales y futuros de la empresa.
3. Monitorizar el rendimiento de los recursos en relación a los objetivos, analizar la causa de las posibles desviaciones, y poner en marcha las
acciones remediales para solucionar las causas subyacentes.
CMMI Cybermaturity Platform, 2018 GR.MR Monitor Resource Management Needs
ISO/IEC 38500:2015(E) 5.4 Principle 3: Acquisition (Evaluate)
46

Capítulo 4



Comité Ejecutivo
Director de TI
EDM04.01 Evaluar la gestión de recursos. A R R R R R
EDM04.02 Dirigir la gestión de recursos. A R R R R R
EDM04.03 Monitorizar la gestión de recursos. A R R R R R

EDM04.01 Evaluar la gestión de recursos. De Descripción Descripción A
APO02.04 Brechas y cambios Principios directrices para APO02.01;
requeridos para lograr la la asignación de recursos y APO07.01;
capacidad del objetivo capacidades BAI03.11
APO07.03 Planes de desarrollo de Plan de recursos aprobado APO02.05;
competencias APO07.01;
APO09.02
APO10.02 Resultados de las Principios directrices para APO03.01
decisiones de las la arquitectura empresarial
evaluaciones de
proveedores
EDM04.02 Dirigir la gestión de recursos. Principios para la APO01.02
protección de recursos
Responsabilidades APO01.05;
asignadas para la gestión DSS06.03
de recursos
Comunicación de APO02.06;
estrategias de gestión de APO07.05;
recursos APO09.02
EDM04.03 Monitorizar la gestión de recursos. Acciones remediales para APO02.05;
solucionar las desviaciones APO07.01;
de gestión de APO07.03;
recursos APO09.04
Retroalimentación sobre la EDM05.01;
asignación y eficiencia de APO02.02;
recursos y capacidades APO07.05;
APO09.05
Sin Documentación relacionada para este componente.
47


Gestión del portafolio Skills Framework for the Information Age V6, 2015 POMG
Gestión de recursos Skills Framework for the Information Age V6, 2015 RESC

Política de medición del desempeño Identifica la necesidad de poseer un
sistema de medición del desempeño
más allá de la rendición de cuentas
convencional. Este sistema incluye
la medición de las relaciones y los
activos de conocimiento necesarios
para competir en la era de la
información, incluyendo centrarse en
el cliente, la eficiencia de los procesos
y la habilidad para aprender y crecer
(cuadro de mando integral). El cuadro
de mando integral traduce la estrategia
en acción para lograr las metas
empresariales, teniendo en cuenta
intangibles como la satisfacción del
cliente, armonizando las funciones
internas, la creación de eficiencias
operativas y el desarrollo de
habilidades del personal. Esta visión
holística de las operaciones ayuda a
vincular los objetivos estratégicos a
largo plazo con las acciones a corto
plazo.

Establecer una cultura en la que se valoren los recursos, y la inversión, el uso y la
asignación de recursos (ya sean personas, información, aplicaciones, tecnología
o instalaciones) se alineen con las necesidades de la organización. Ilustrar
estos valores garantizando que existan métodos apropiados y competencias
adecuadas en la organización; por ejemplo, asegurar que los beneficios de la
prestación de servicios sean reales y alcanzables, e implementar sistemas de
medición del desempeño sólidos (como el cuadro de mando integral).

Sistema de medición del desempeño (p. ej., cuadro de mando integral, herramienta de gestión de competencias)
48

Capítulo 4

Objetivo de gobierno: EDM05 — Asegurar el compromiso de las partes interesadas COBIT
Descripción
Asegurar que se identifica e involucra a las partes interesadas en el sistema de gobierno de I&T y que la medición y comunicación sobre el rendimiento y
conformidad de I&T de la empresa sean transparentes, con las partes interesadas aprobando las metas y métricas y las acciones remediales necesarias.
Propósito
Asegurarse de que las partes interesadas apoyen la estrategia y la hoja de ruta de I&T, que la comunicación con las partes interesadas sea eficaz y oportuna, y
que se establezcan las bases para los informes con el fin de aumentar el rendimiento. Identificar las áreas de mejora y confirmar que los objetivos y estrategias
relacionados con I&T se ajusten a la estrategia de la empresa.
El objetivo de gobierno respalda que se alcancen una serie de metas empresariales y de alineamiento primarias:
Æ
• EG04 Calidad de la información financiera AG10 Calidad de la información sobre gestión de I&T
• EG07 Calidad de la información sobre gestión
EG04 a. Encuesta de satisfacción de las partes interesadas clave con AG10 a. N
ivel de satisfacción del usuario con la calidad, oportunidad y
respecto al nivel de transparencia, comprensión y precisión de disponibilidad de la información de gestión relacionada con I&T,
la información financiera de la empresa tras considerar los recursos disponibles
b. Coste de incumplimiento con respecto a regulaciones b. R elación y extensión de las decisiones de negocio erróneas en las
financieras que la información errónea o no disponible relacionada con I&T
fue un factor clave
EG07 a. G rado de satisfacción del consejo de administración y la c. Porcentaje de información que satisface los criterios de calidad
dirección ejecutiva con la información para la toma de
decisiones
b. N úmero de incidentes causados por decisiones erróneas de
negocio basadas en información imprecisa
c. Tiempo que se tarda en proporcionar la información que
respalde la toma de decisiones empresariales eficaces
d. Periodicidad de la información sobre gestión
EDM05.01 Evaluar el compromiso y los requisitos de reportes de las partes a. Fecha de la última revisión de los requisitos de informes
interesadas b. Porcentaje de partes interesadas incluidas en los requisitos de informes
Examinar y evaluar continuamente los requisitos actuales y futuros de
compromiso y presentación de informes a las partes interesadas (incluyendo
informes obligatorios por requisito regulatorios), y comunicaciones a otras
partes interesadas. Establecer principios para el compromiso y comunicación
con las partes interesadas.
capacidad
1. Identificar todas las partes interesadas de I&T relevantes dentro y fuera de la empresa. Agrupar a las partes interesadas en categorías de 2
partes interesadas con requisitos similares.
2. Examinar y juzgar los requisitos de informes obligatorios actuales y futuros relacionados con el uso de I&T dentro de la empresa (regulación,
legislación, leyes comunes, contractuales), incluidos su alcance y frecuencia.
3. Examinar y juzgar los requisitos de comunicación e informes actuales y futuros para otras partes interesadas relacionados con el uso de I&T
dentro de la empresa, incluidos el nivel requerido de participación/consulta y el alcance de la comunicación/nivel de detalle y condiciones.
4. Mantener los principios para la comunicación con partes interesadas externas e internas, incluidos formatos y canales de comunicación, así 3
como la aceptación y firma de informes de las partes interesadas.
CMMI Cybermaturity Platform, 2018 SR.DR Direct Stakeholder Communication and Reporting
49


EDM05.02 Dirigir el compromiso, la comunicación y reporte de las partes a. Número de brechas de los requisitos de informes obligatorios
interesadas. b. Satisfacción de las partes interesadas con la comunicación y elaboración de
Asegurar el establecimiento de participación, comunicación y reportes efectivos informes
para las partes interesadas, incluyendo mecanismos para asegurar la calidad y
la integridad de la información, la monitorización de los informes obligatorios, y
la creación de una estrategia de comunicación hacia las partes interesadas.
capacidad
1. Dirigir el establecimiento de la estrategia de consulta y comunicación para las partes interesadas externas e internas. 2
2. Dirigir la implementación de mecanismos para asegurar que la información cumple con todos los criterios de los requisitos de elaboración de
informes obligatorios de I&T para la empresa.
3. Establecer mecanismos para la validación y aprobación de la elaboración de informes obligatorios.
4. Establecer los mecanismos de escalamiento de los informes. 3
CMMI Cybermaturity Platform, 2018 SR.AR Apply Stakeholder Reporting Requirements
King IV Report on Corporate Governance for South Africa, 2016 Part 5.5: Stakeholder relationships—Principle 16
King IV Report on Corporate Governance for South Africa, 2016 Part 5.2: Strategy, performance and reporting—Principle 5
National Institute of Standards and Technology Framework for Improving Critical 3.3 Communicating Cybersecurity Requirements with Stakeholders
Infrastructure Cybersecurity V1.1, abril de 2018
EDM05.03 Monitorizar el compromiso de las partes interesadas. a. Nivel de participación de las partes interesadas en I&T de la empresa
Monitorizar los niveles de participación de las partes interesadas y la efectividad b. Porcentaje de informes que contienen imprecisiones
de la comunicación con las partes interesadas. Evaluar los mecanismos c. Porcentaje de informes entregados a tiempo
para asegurar la precisión, confiabilidad y efectividad, y evaluar si se están
cumpliendo los requisitos de las diferentes partes interesadas en cuanto a la
elaboración de informes y la comunicación.
capacidad
1. Evaluar periódicamente la eficiencia de los mecanismos para garantizar la precisión y confiabilidad de informes obligatorios. 4
2. Evaluar de forma periódica la efectividad de los mecanismos para, y los resultados de, la participación y comunicación con partes
interesadas internas y externas.
3. Determinar si se cumplen con los requisitos de las distintas partes interesadas y evaluar los niveles de participación de las partes
interesadas.
CMMI Cybermaturity Platform, 2018 SR.MC Monitor Stakeholder Communication


Director de riesgos
Comité Ejecutivo
Director de TI

EDM05.01 Evaluar el compromiso y los requisitos de reportes de las partes interesadas. A R R R R
EDM05.02 Dirigir el compromiso, comunicación y reporte de las partes interesadas. A R R R R
EDM05.03 Monitorizar el compromiso de las partes interesadas. A R R R R
50

Capítulo 4

EDM05.01 Evaluar el compromiso y los requisitos de reportes De Descripción Descripción A
de las partes interesadas.
EDM02.04 Acciones para mejorar la Principios de reporte y MEA01.01
entrega de valor comunicación
EDM03.03 Problemas de gestión de Evaluación de requisitos de MEA01.01

riesgos para el consejo de reporte de la empresa
administración
EDM04.03 Retroalimentación sobre la
asignación y eficiencia de
recursos and capacidades
EDM05.02 Dirigir el compromiso, comunicación y reporte de las APO12.04 Análisis de riesgos y Reglas para la validación MEA01.01;
partes interesadas. reporte del perfil de riesgo y aprobación de informes MEA03.04
para las partes interesadas obligatorios
Directrices de escalamiento MEA01.05
EDM05.03 Monitorizar el compromiso de las partes MEA04.08 • R esultados de la revisión Evaluación de la eficacia de MEA01.01;
interesadas. de aseguramiento la elaboración de informes MEA03.04
• Informes de revisión de
aseguramiento

Gestión de relaciones e-Competence Framework (e-CF)—A common European Framework for ICT E. Manage—E.4. Relationship
Professionals in all industry sectors—Part 1: Framework, 2016 Management

Política de transparencia Aborda la importancia de la
comunicación abierta y frecuente
con todas las partes interesadas
para garantizar que entienden la
importancia estratégica de I&T para
el éxito empresarial. Garantiza que la
transparencia respalde la mitigación
adecuada del riesgo, vinculando
la transparencia y la gestión de
riesgos eficiente al valor de I&T y al
crecimiento empresarial.

Crear una cultura en la que se proporciona una comunicación abierta y
estructurada a las partes interesadas, en línea con sus requisitos.

• Herramientas y canales de comunicación
• Creación de tableros de control de TI
• Herramientas de encuestas de las partes interesadas
51


52

Capítulo 4
4.2 Alinear, Planificar y Organizar (APO)
Alinear, Planificar y Organizar

01 Gestionar el marco de gestión de I&T
02 Gestionar la estrategia.
03 Gestionar la arquitectura empresarial.
04 Gestionar la innovación.
05 Gestionar el portafolio.
06 Gestionar el presupuesto y los costes.
07 Gestionar los recursos humanos.
08 Gestionar las relaciones.
09 Gestionar los acuerdos de servicio
10 Gestionar los proveedores
11 Gestionar la calidad.
12 Gestionar el riesgo
13 Gestionar la seguridad
14 Gestionar los datos
53


54

Capítulo 4
Dominio: Alinear, Planificar y Organizar Área prioritaria: Modelo Core de

Objetivo de gestión: APO01 — Gestionar el marco de gestión de I&T COBIT
Descripción
Diseñar el sistema de gestión para la I&T de la empresa basándose en las metas empresariales y otros factores de diseño. En base a este diseño, implementar todos
los componentes necesarios del sistema de gestión.
Propósito
Implementar un enfoque de gestión consistente para permitir que se alcancen los requisitos de gobierno empresarial, con cobertura de componentes de gobierno,
como los procesos de gestión, las estructuras organizativas, los roles y las responsabilidades, las actividades confiables y repetibles, los elementos de información,
las políticas y procedimientos, las habilidades y las competencias, la cultura y el comportamiento, y los servicios, infraestructura y aplicaciones.
Æ
• EG03 Cumplimiento de leyes y regulaciones externas • AG03 Beneficios obtenidos del portafolio de inversiones y servicios

• EG08 Optimización de la funcionalidad de procesos del negocio relacionados con I&T
internos • AG11 Cumplimiento de I&T con las políticas internas
• EG11 Cumplimiento de las políticas internas
EG03 a. C oste de incumplimiento regulatorio, incluidos acuerdos y AG03 a. P orcentaje de inversiones posibilitadas por las I&T en las que los
multas beneficios previstos se cumplen o exceden
b. N úmero de problemas de incumplimiento regulatorio que b. P orcentaje de servicios de I&T para los que se han logrado los
causan comentarios públicos o publicidad negativa beneficios esperados (indicados en los acuerdos de nivel de
c. Número de problemas de incumplimiento señalados por los servicio)
reguladores
d. N úmero de problemas de incumplimiento regulatorio
relacionados con acuerdos contractuales con socios de
negocio
EG08 a. N iveles de satisfacción del consejo de administración y AG11 a. N
úmero de incidentes relacionados con el incumplimiento de las
la dirección ejecutiva con las capacidades del proceso políticas relacionadas con I&T.
empresarial b. Número de excepciones a las políticas internas
b. N iveles de satisfacción de los clientes con las capacidades de c. Frecuencia de revisión y actualización de la política
prestación de servicios
c. Niveles de satisfacción de los proveedores con las capacidades
de la cadena de suministro
EG11 a. N úmero de incidentes relacionados con el incumplimiento de
la política
b. P orcentaje de las partes interesadas que entienden las
políticas
c. Porcentaje de políticas respaldadas por estándares y prácticas
de trabajo eficaces
presupuesto
del programa
suspendidos
55

Práctica de gestión Métricas modelo
APO01.01 Diseñar el sistema de gestión para la I&T de la empresa a. N
úmero de aprobaciones formales por estructuras de gobierno aplicable de
Diseñar un sistema de gestión adaptado a las necesidades de la empresa. los objetivos prioritarios para el sistema de gestión de I&T
Las necesidades de gestión de la empresa se definen a través del uso de la b. P orcentaje de los componentes de gobierno integrados y alineados con el
cascada de metas y por la aplicación de factores de diseño. Asegurar que los gobierno, filosofía de gestión y estilo operativo de la empresa
componentes de gobierno están integrados y alineados con el gobierno, la
filosofía de gestión y estilo operativo de la empresa.
capacidad
1. A
dquirir el conocimiento de la visión, dirección y estrategia empresarial, así como el contexto empresarial actual y sus desafíos. 2
2. C
onsiderar el entorno interno de la empresa, incluyendo la cultura y filosofía de gestión, la tolerancia al riesgo, la política de seguridad y
privacidad, los valores éticos, el código de conducta, la rendición de cuentas y los requisitos para la integridad de la gestión.
3. A
plicar la cascada de metas y los factores de diseño de COBIT a la estrategia y el contexto empresarial para decidir cuáles son las
prioridades para el sistema de gestión y, por ende, la implementación de los objetivos de gestión prioritarios.
4. V
alidar las prioridades seleccionadas para la implementación de objetivos de gestión con buenas prácticas o requisitos propios de la 3
industria (p. ej.: regulaciones específicas de la industria) y con estructuras de gobierno adecuadas.
ISO/IEC 27001:2013/Cor.2:2015(E) International standard for establishing, implementing and maintaining a
management system (all chapters)
ITIL V3, 2011 Service Strategy, 2.3 Governance and management systems
APO01.02 Gestionar la comunicación de objetivos, dirección y decisiones a. F recuencia de comunicación de los objetivos y dirección de gestión para I&T
tomadas. b. A signación de responsabilidad para el envío de comunicaciones regulares
Concienciar y fomentar el entendimiento de los objetivos de alineamiento de I&T
a las partes interesadas en toda la empresa. Comunicar regularmente decisiones
importantes relacionadas con I&T y su impacto para la organización.
capacidad
1. Proporcionar los recursos capacitados suficientes para respaldar el proceso de comunicación. 2
2. Definir las reglas básicas de comunicación, identificando las necesidades de comunicación e implementando planes basados en dichas 3
necesidades, considerando la comunicación ascendente, descendente y horizontal.
3. Comunicar continuamente los objetivos y la dirección de las I&T. Asegurar que las comunicaciones vengan respaldadas por las acciones y las
palabras de la dirección ejecutiva, usando todos los canales disponibles.
4. Asegurar que la información comunicada incluya una clara misión articulada, objetivos de servicio, controles internos, calidad, código
ético/conducta, políticas y procedimientos, roles y responsabilidades, etc. Comunicar la información con el nivel de detalle adecuado a las
audiencias respectivas dentro de la empresa.
56

Capítulo 4

APO01.03 Gestionar la implementación de procesos (para respaldar la a. N
úmero de procesos prioritarios que deben implementarse o mejorarse para
consecución de objetivos de gobierno y gestión). cumplir con el nivel de capacidad objetivo
Definir los niveles de capacidad del proceso objetivos y la implementación b. N
úmero de métricas definidas para el seguimiento de la implementación
prioritaria basándose en el diseño del sistema de gestión. satisfactoria del proceso
capacidad
1. Desarrollar el modelo de procesos objetivo de gobierno de I&T específico para la organización, basándose en la selección de los objetivos de 2
gestión prioritarios (salido del ejercicio de cascada de metas y factores de diseño).
2. Analizar la brecha entre el modelo de proceso objetivo para la organización y las prácticas y actividades actuales. 3
3. Hacer el borrador de una hoja de ruta para la implementación de prácticas y actividades de proceso faltante. Usar métricas de práctica para 4
hacer el seguimiento de una implementación satisfactoria

Sin Documentación relacionada para esta práctica de gestión
APO01.04 Definir e implementar las estructuras organizativas. a. Nivel de satisfacción ejecutiva con la toma de decisiones de gestión
Establecer las estructuras organizativas (como los comités) internas y externas b. N úmero de decisiones que no se pudieron resolver dentro de las estructuras
requeridas por el diseño del sistema de gestión, permitiendo una toma de de gestión y fueron escaladas a estructuras de gobierno
decisiones efectiva y eficaz. Asegurar que la tecnología y conocimiento de la
información requeridos se incluyan en la composición de las estructuras de
gestión.
capacidad
1. Identificar las decisiones requeridas para la consecución de resultados empresariales y la estrategia de I&T y para la gestión y ejecución de 2
los servicios de I&T.
2. Involucrar a las partes interesadas críticas con la toma de decisiones (quien rinde cuentas, responsable, consultado o informado).
3. Definir el alcance, foco, mandato y responsabilidades de cada función dentro de la organización de I&T, en línea con la dirección de gobierno.
4. Definir el alcance de las funciones internas y externas, los roles internos y externos, y las capacidades y derechos de decisión requeridas 3
para cubrir todas las prácticas, incluidas aquellas ejecutadas por terceros.
5. Alinear la organización relacionada con I&T con los modelos organizativos de arquitectura de la empresa.
6. Establecer un comité de dirección de I&T (o equivalente) compuesto por directores ejecutivos, de negocio y de I&T para hacer un seguimiento
del estado de los proyectos, resolver los conflictos de recursos y monitorizar los niveles y mejoras del servicio.
7. Proporcionar las directrices para cada estructura de gestión (incluidas el mandato, objetivos, asistentes a reuniones, plazos, seguimiento,
supervisión y control), así como los insumos requeridos y los resultados esperados de las reuniones.
8. Comprobar de forma regular la adecuación y eficacia de las estructuras organizativas. 4
57


APO01.05 Establecer roles y responsabilidades. a. Número de roles de I&T asignados a individuos
Definir y comunicar roles y responsabilidades para I&T de la empresa, incluidos b. Número de descripciones de roles completos
los niveles de autoridad, responsabilidad y rendición de cuentas.
capacidad
1. Establecer, acordar y comunicar los roles y responsabilidades relacionadas con I&T a todo el personal de la empresa, de acuerdo con las 2
necesidades y objetivos de la empresa. Delinear claramente las responsabilidades y la rendición de cuentas, especialmente para la toma de
decisiones y aprobaciones.
2. Considerar los requisitos para la continuidad del negocio y del servicio de I&T al definir los roles, incluyendo los requisitos de personal de
respaldo y entrenamiento cruzado.
3. Proporcionar información al proceso de continuidad de servicios de I&T, manteniendo la información de contacto y las descripciones de roles
de la empresa actualizados.
4. Incluir requisitos específicos en las descripciones de roles y responsabilidades relativos al cumplimiento de las políticas y procedimientos de
gestión, el código ético y las prácticas profesionales.
5. Asegurar que se defina la rendición de cuentas a través de roles y responsabilidades.
6. Estructurar roles y responsabilidades para reducir la posibilidad de que un único rol comprometa un proceso crítico.
7. Implementar las prácticas de supervisión adecuadas para asegurar que los roles y responsabilidades se ejerzan adecuadamente, para 3
asegurar que todo el personal tiene la autoridad y recursos suficientes para ejecutar sus roles y responsabilidades, y de forma general,
para revisar el rendimiento. El nivel de supervisión debe alinearse con la sensibilidad del puesto y la extensión de las responsabilidades
asignadas.
APO01.06 Optimizar la ubicación de la función de TI. a. Número de partes interesadas claves que han aprobado el establecimiento de
Colocar las capacidades de TI en la estructura organizativa general para reflejar la función de TI
la importancia estratégica y la dependencia operativa de las TI dentro de la b. P orcentaje de partes interesadas con una opinión favorable del
empresa. La línea de reporte del CIO y la representación de TI dentro de la alta establecimiento de la función de TI
dirección debe ser proporcional a la importancia de I&T dentro de la empresa.
capacidad
1. Entender el contexto del establecimiento de la función de TI, incluida la evaluación de la estrategia empresarial y el modelo operativo 3
(centralizado, federado, descentralizado, híbrido), la importancia de las I&T y la situación y opciones de abastecimiento.
2. Identificar, evaluar y priorizar las opciones para los modelos de ubicación, abastecimiento y operaciones de la organización.
3. Definir el establecimiento de la función de TI y lograr un acuerdo.
ISO/IEC 27002:2013/Cor.2:2015(E) 8.2 Information classification
APO01.07 Definir la propiedad de la información (datos) y del sistema de a. P orcentaje de activos de datos con Dueños claramente definidos
información. b. Porcentaje de sistemas de información con Dueños claramente definidos
Definir y mantener las responsabilidades de propiedad de información (datos) y c. P orcentaje de elementos de información clasificados conforme a los niveles
sistemas de información. Asegurar que los Dueños clasifiquen la información y de clasificación acordados
los sistemas y los protejan conforme a su clasificación.
capacidad
1. Proporcionar las directrices para garantizar la clasificación adecuada y consistente de los elementos de información en toda la empresa. 3
2. Crear y mantener un inventario de información (sistemas y datos) que incluyan una lista de Dueños, custodios y clasificaciones. Incluir
sistemas que sean externalizados y aquellos cuya propiedad debería estar dentro de la empresa.
3. Evaluar y distinguir entre datos, información y sistemas críticos (de alto valor) y no críticos. Asegurar la protección adecuada para cada
categoría.
58

Capítulo 4

APO01.08 Definir las habilidades y competencias objetivo. a. N
úmero de personas que han asistido a sesiones de formación o
Definir las habilidades y competencias requeridas para lograr los objetivos de concienciación para habilidades seleccionadas, competencias y
gestión relevantes. comportamientos deseados
b. P orcentaje de personas con las habilidades y competencias requeridas
alineados con objetivos de gestión específicos
capacidad
1. Identificar las habilidades y competencias requeridas para lograr objetivos de gestión específicos. 2
2. Analizar la brecha entre las habilidades y capacidades objetivas de la empresa y las habilidades actuales del personal. Consulte APO07—
Gestionar los recursos humanos para el desarrollo de habilidades y las prácticas de gestión.

APO01.09 Definir y comunicar políticas y procedimientos. a. Porcentaje de políticas y procedimientos activos , que están documentados y
Implementar procedimientos para mantener el cumplimiento y medir el actualizados
rendimiento de las políticas y otros componentes del marco de control, y hacer b. N úmero de miembros del personal conocedores y capaces de demostrar su
cumplir las consecuencias del incumplimiento o rendimiento inadecuado. Dar competencia con respecto a políticas y procedimientos
seguimiento a las tendencias y el rendimiento y considerarlos en el futuro diseño
y mejora del marco de control.
capacidad
1. Crear una serie de políticas para mejorar las expectativas de control de IT en temas clave relevantes, como la calidad, la seguridad, la 3
privacidad, los controles internos, el uso de activos de I&T, la ética y los derechos de propiedad intelectual.
2. El despliegue y refuerzo de las políticas de I&T de forma uniforme para todo el personal relevante para que se construyan dentro de las
operaciones empresariales y acaben siendo parte integrante de estas.
3. Evaluar y actualizar las políticas, como mínimo anualmente, para encajar en entornos empresariales u operativos cambiantes. 4
APO01.10 Definir e implementar la infraestructura, servicios y aplicaciones a. Número de herramientas seleccionadas para respaldar procesos prioritarios
para respaldar el sistema de gobierno y gestión. b. Adecuación/cobertura de las herramientas de procesos de I&T claves
Definir e implementar infraestructura, servicios y aplicaciones para respaldar c. S atisfacción de los destinatarios con la precisión, integridad y puntualidad de
el sistema de gobierno y gestión (p. ej.: los repositorios de arquitectura, el la información
sistema de gestión de riesgos, las herramientas de gestión de proyectos, las d. Porcentaje
de satisfacción de las partes interesadas con las herramientas
herramientas de seguimiento de costes y las herramientas de monitorización de seleccionadas para respaldar sus necesidades
incidentes).
capacidad
1. Identificar objetivos de gestión prioritarios que podrían lograrse mediante la automatización de servicios, aplicaciones o infraestructura. 2
2. Seleccionar e implementar las herramientas más adecuadas comunicarlo a las partes interesadas.
3. Proporcionar formación en herramientas específicas, conforme se requiera.
59


APO01.11 Gestionar la mejora continua del sistema de gestión de I&T. a. F echa de las últimas actualizaciones al marco y a los componentes
Mejorar continuamente los procesos y otros componentes del sistema de b. N úmero de exposiciones a pérdidas relacionadas con las I&T debidas a
gestión para asegurar que pueden cumplir con los objetivos de gobierno insuficiencias en el diseño del entorno de control
y gestión. Considerar la guía de implementación de COBIT, los estándares
emergentes, los requisitos de cumplimiento, las oportunidades de
automatización, y la retroalimentación de las partes interesadas.
capacidad
1. E valuar de forma regular el rendimiento de los componentes del marco y llevar a cabo las acciones correspondientes. 4
2. Identificar los procesos críticos para el negocio basado en los motivadores de rendimiento y conformidad y el riesgo relacionado. Evaluar la
capacidad e identificar los objetivos de mejora. Analizar las brechas de capacidad y control. Identificar opciones para mejorar o rediseñar el
proceso.
3. P riorizar iniciativas para mejoras basadas en los posibles beneficios y costes. Implementar las mejoras acordadas, actuar conforme a la 5
práctica normal del negocio, y establecer metas y métricas de rendimiento que permitan monitorizar las mejoras.
4. C
onsiderar la manera de mejorar la eficiencia y la eficacia (p. ej.: a través de la formación, documentación, estandarización y/o
automatización de procesos).
5. A
plicar prácticas de gestión de la calidad para actualizar el proceso.
6. E liminar componentes de gobierno desactualizados (procesos, elemento de información, políticas, etc.).
ITIL V3, 2011 Continual Service Improvement, 4.1 The 7-Step Improvement Process
Gestor de seguridad de la información

Gestor de continuidad del negocio
Director de tecnologías digitales
Dueños del proceso de negocio
Director de Recursos Humanos
Jefe de administración de TI
Función de gestión de datos
Jefe de operaciones de TI
Consejo de arquitectura
Director de tecnología
Director de privacidad
Gestor de relaciones
Jefe de arquitectura
Gestor de Servicios
Director de riesgos
Jefe de desarrollo
Comité Ejecutivo
Director de TI
Práctica clave de gestión

APO01.01 Diseñar el sistema de gestión para la I&T de la empresa. A R R R R
APO01.02 Gestionar la comunicación de objetivos, dirección y decisiones tomadas. A R R R R R R R

APO01.03 Gestionar la implementación de procesos (para respaldar la consecución A R R R R R R
de objetivos de gobierno y gestión).
APO01.04 Definir e implementar las estructuras organizativas. A R R R R R
APO01.05 Establecer roles y responsabilidades. A R R R R
APO01.06 Optimizar la ubicación de la función de TI. A R R R R R
APO01.07 Definir la propiedad de la información (datos) y sistemas de información. A R R R R R R R R
APO01.08 Definir las habilidades y competencias objetivo. A R R R R R R R R
APO01.09 Definir y comunicar políticas y procedimientos. A R R R R R R R R R R R R R R R R R
APO01.10 Definir e implementar la infraestructura, servicios y aplicaciones para A R R R R R R R R R R R R R
respaldar el sistema de gobierno y gestión.
APO01.11 Gestionar la mejora continua del sistema de gestión de I&T. A R R R R R R R R R R R R R R
60

Capítulo 4
B. Componente: Estructuras organizativas (cont.)

ISO/IEC 27001:2013/Cor.2:2015(E) 5.3. Roles, responsabilidades y autoridades organizativas

Práctica de gestión Entradas Salidas
APO01.01 Diseñar el sistema de gestión para la I&T de la De Descripción Descripción A
empresa
APO02.05 Hoja de ruta estratégica Objetivos prioritarios de Todos los APO;
gobierno y gestión todos los BAI;
todos los DSS;
todos los MEA

APO12.01 Problemas y factores de Diseño del sistema de Todos los APO;
riesgo emergentes gestión todos los BAI;
todos los DSS;
APO12.02 Resultados del análisis de todos los MEA
riesgos
EDM01.01 • Principios rectores del
gobierno empresarial
• Modelo de toma de
decisiones
APO01.02 Gestionar la comunicación de objetivos, dirección y APO12.06 Comunicación del impacto Reglas básicas de Todos los APO;
decisiones tomadas. del riesgo comunicación todos los BAI;
todos los DSS;
todos los MEA
DSS04.01 Política y objetivos para la Comunicación de los Todos los APO;
continuidad del negocio objetivos de I&T todos los BAI;
todos los DSS;
DSS05.01 Política de prevención de todos los MEA
software malicioso
DSS05.02 Política de seguridad de la
conectividad
DSS05.03 Políticas de seguridad para
los dispositivos Endpoint
EDM01.02 Comunicación del
gobierno de la empresa
EDM04.02 Principios para la
protección de recursos
APO01.03 Gestionar la implementación de procesos (para APO02.04 Brechas y cambios Análisis de brecha del Todos los APO;
respaldar la consecución de objetivos de gobierno y gestión). requeridos para lograr la modelo objetivo todos los BAI;
capacidad objetivo todos los DSS;
todos los MEA
EDM01.01 Principios rectores del Niveles de capacidad del APO01.11
gobierno empresarial proceso
APO01.04 Definir e implementar las estructuras organizativas. APO03.02 Modelo de arquitectura de Directrices operativas de la APO03.02
procesos empresa
EDM01.01 Principios rectores del Definición de estructura APO03.02
gobierno empresarial organizativa y funciones
61

C. Componente: Flujos y elementos de información (ver también la sección 3.6) (cont.)

APO01.05 Establecer roles y responsabilidades. De Descripción Descripción A
APO07.03 • Matriz de habilidades y Definición de prácticas APO07.01
competencias supervisoras
• Planes de desarrollo de
competencias Definición de roles DSS05.04
y responsabilidades
APO11.01 Roles, responsabilidad y relacionadas con I&T
derechos de decisión del
sistema de gestión de la
calidad (QMS)
APO13.01 Declaración del alcance
del sistema de gestión de
seguridad de la información
(SGSI)
DSS06.03 • Roles y responsabilidades
asignadas
• Niveles de autoridad
asignados
EDM01.01 Niveles de autoridad
EDM04.02 Responsabilidades
asignadas para la gestión
de recursos
APO01.06 Optimizar la ubicación de la función de TI. Fuera de COBIT • Estrategia empresarial Ubicación operativa APO03.02
• Modelo operativo definida de la función de TI
empresarial
Evaluación de opciones APO03.02
para la organización de TI
APO01.07 Definir la propiedad de la información (datos) Directrices de la APO03.02;
y sistemas de información. clasificación de datos APO14.01;
BAI02.01;
DSS05.02;
DSS06.01
Directrices de la seguridad y APO14.04;
control de los datos APO14.10;
BAI02.01
Procedimientos de APO14.04;
integridad de los datos BAI02.01;
DSS06.01
APO01.08 Definir las habilidades y competencias objetivo. Matriz de habilidades y APO07.03
competencias
APO01.09 Definir y comunicar políticas y procedimientos. DSS01.04 Políticas ambientales. Acciones remediales para MEA01.05
el incumplimiento
MEA03.02 Políticas, principios,
procedimientos y
Estándares actualizados
APO01.10 Definir e implementar la infraestructura, servicios APO09.01 Brechas identificadas en Planificar la dimensión APO02.02;
y aplicaciones para respaldar el sistema de gobierno y gestión. los servicios de I&T para la adecuada del entorno APO02.03
empresa de I&T incluidas las
capacidades, servicios
Fuera de COBIT Evaluación de escenario y aplicaciones de I&T
de I&T, incluidos faltantes
servicios, aplicaciones e
infraestructura
62

Capítulo 4

APO01.11 Gestionar la mejora continua del sistema de gestión De Descripción Descripción A
de I&T.
APO01.03 Niveles de capacidad del Oportunidades de mejora Todos los APO;
proceso del proceso todos los BAI;
todos los DSS;
todos los MEA
EDM01.03 Retroalimentación sobre la Metas y métricas de MEA01.02
eficacia y rendimiento del rendimiento para el
gobierno seguimiento de mejoras de
procesos
MEA03.02 Políticas, principios, Evaluaciones de la MEA01.03
procedimientos y capacidad del proceso

Estándares actualizados

Gobierno de TI Skills Framework for the Information Age V6, 2015 GOVN
Gestión de TI Skills Framework for the Information Age V6, 2015 ITMG

Marco de gestión de I&T Establece el sistema de gestión para
la I&T de la empresa basándose en las
metas empresariales y otros factores
de diseño.
Considera políticas y principios
detallados para la gestión de I&T en
todos los componentes.

Definir una cultura interna de alineamiento entre la empresa y las TI,
estableciendo los objetivos, estructuras, procesos y roles y responsabilidades
necesarios que permitan la toma de decisiones y la creación de valor de la forma
más eficaz y eficiente.
G. Componente: Servicios, infraestructuras y aplicaciones

• COBIT y productos/herramientas relacionados
• Marcos y estándares equivalentes
63


64

Capítulo 4

Objetivo de gestión: APO02 — Gestionar la estrategia COBIT
Descripción
Proporcionar una visión holística del entorno empresarial y de I&T actual, la dirección futura y las iniciativas necesarias para migrar al entorno futuro deseado.
Garantizar que el nivel de digitalización deseado sea integral en la dirección y la estrategia de I&T futuras. Evaluar la madurez digital actual de la organización y
desarrollar una hoja de ruta para reducir las brechas. Repensar, con la empresa, las operaciones internas así como las actividades de cara al cliente. Garantizar
el alcance en la ruta de transformación a través de toda la empresa. Aprovechar los bloques de construcción de la arquitectura empresarial, los componentes
del gobierno y el ecosistema de la organización, incluyendo servicios y capacidades relacionadas que se proporcionan externamente, para permitir una respuesta
confiable, y también ágil y eficiente a los objetivos estratégicos.
Propósito
Apoyar la estrategia de transformación digital de la organización y proporcionar el valor deseado a través de una hoja de ruta con cambios incrementales. Usar un
enfoque holístico en cuanto a I&T, asegurando que cada iniciativa esté claramente conectada con una estrategia global. Habilitar el cambio en todos los diversos
aspectos de la organización, desde los canales y procesos a los datos, cultura, habilidades, modelo operativo e incentivos.

El objetivo de gestión respalda la consecución de una serie de metas empresariales y de alineamiento primordiales:
Æ
• EG01 Portafolio de productos y servicios competitivos AG08 Habilitar y dar soporte a procesos de negocio mediante la
• EG05 Cultura de servicio orientada al cliente integración de aplicaciones y tecnología
• EG08 Optimización de la funcionalidad de procesos internos del
negocio
EG01 a. P orcentaje de productos y servicios que cumplen o exceden los AG08 a. Plazo para la ejecución de servicios o procesos empresariales
objetivos de ingresos y/o cuota de mercado b. N
úmero de programas empresariales habilitados por I&T
b. P orcentaje de productos y servicios que cumplen o exceden los retrasados o que incurren en costes adicionales debido a
objetivos de satisfacción del cliente problemas de integración tecnológica
c. Porcentaje de productos y servicios que proporcionan una c. N
úmero de cambios en los procesos de negocio que se deben
ventaja competitiva aplazar o revisar debido a problemas de integración tecnológica
d. P lazo de comercialización para nuevos productos y servicios d. N
úmero de aplicaciones o infraestructuras críticas que operan en
silos y no están integradas
EG05 a. Número de interrupciones del servicio al cliente
b. P orcentaje de partes interesadas del negocio satisfechas con
que la prestación de servicios al cliente cumpla con los niveles
de servicio acordados
c. Número de quejas del servicio al cliente
d. Tendencia de los resultados de la encuesta de satisfacción al
cliente
EG08 a. N iveles de satisfacción de la junta directiva y la dirección
ejecutiva con las capacidades del proceso empresarial
b. N iveles de satisfacción de los clientes con las capacidades de
EG12 a. N
úmero de programas ejecutados a tiempo y dentro del
presupuesto
del programa
65

APO02.01 Comprender el contexto y la dirección de la empresa. a. N
ivel de conocimiento dentro de la dirección de I&T de la organización y
Entender el contexto de la empresa (impulsores de la industria, la regulación contexto empresariales actuales
relevante, la base para la competencia), su forma actual de funcionar y su nivel b. N
ivel of conocimiento dentro de la dirección de I&T de las metas y dirección
de ambición en cuanto a la digitalización. empresariales
c. N
ivel de conocimiento de las partes interesadas claves sobre I&T y sus
requisitos específicos
capacidad
1. D
esarrollar y mantener un conocimiento del entorno externo de la empresa. 2
2. D
esarrollar y mantener un conocimiento de la forma actual de trabajo, incluido el entorno en el que opera, la arquitectura empresarial
(dominios del negocio, la información, los datos, las aplicaciones y la tecnología), la cultura de la empresa y los retos actuales.
3. D
esarrollar y mantener un conocimiento de la dirección futura de la empresa, incluidas la estrategia, metas y objetivos empresariales.
Conocer el nivel de ambición de la empresa en términos de digitalización, lo cual puede incluir aspirar a alcanzar una serie de metas , desde
recorte de gastos, aumento a centrarse en el cliente, o una comercialización más rápida mediante la digitalización de las operaciones
internas, para crear nuevos flujos de ingresos procedentes de nuevos modelos de negocio (como el negocio de plataformas).
4. Identificar a partes interesadas clave y obtener información sobre sus requisitos.
APO02.02 Evaluar las capacidades, rendimiento y madurez digital actual de la a. P orcentaje de personal satisfecho con sus capacidades actuales
empresa. b. P orcentaje de satisfacción del Dueño de negocio con la inversión y la
Evaluar el rendimiento de los servicios de I&T actuales, y desarrollar una utilización de la base de activos interna y externa para cumplir con factores
comprensión de las capacidades de la empresa y de I&T actuales (tanto internas críticos de éxito
como externas). Evaluar la madurez digital actual de la empresa y su apetito de
cambio.
capacidad
1. Desarrollar una línea base de las capacidades y servicios empresariales y de I&T actuales. Incluir la evaluación de servicios externalizados, el 2
gobierno de I&T y las habilidades y competencias de I&T de toda la empresa.
2. Evaluar la madurez digital en distintas dimensiones (p. ej., la capacidad de liderazgo para aprovechar la tecnología, el nivel de riesgo 3
tecnológico aceptado, la estrategia de innovación, la cultura y el nivel de conocimiento de los usuarios). Evaluar el apetito por el cambio.
COSO Enterprise Risk Management, junio de 2017 7. Strategy and Objective-Setting—Principle 6; 9. Review and Revision—Principle
15
APO02.03 Definir las capacidades digitales objetivo. a. Porcentaje de objetivos empresariales considerados en las metas/objetivos
A partir del conocimiento del contexto y dirección de la empresa, definir los de I&T
productos y servicios objetivo de I&T y las capacidades requeridas. Considerar b. Porcentaje de objetivos de I&T que apoyan la estrategia empresarial
los estándares de referencia, las mejores prácticas y las tecnologías emergentes
validadas.
capacidad
1. Resumir el contexto y la dirección de la empresa e identificar aspectos de I&T específicos de la estrategia empresarial (como procesos de 2
digitalización, implementación de nueva tecnología, soporte de la arquitectura legacy, aplicación de nuevos modelos de negocio digital,
desarrollo de portafolio de producto digitales, etc.).
2. Definir objetivos y metas de I&T de alto nivel y especificar su contribución a los objetivos empresariales.
3. Detallar los servicios y productos de I&T requeridos para lograr los objetivos empresariales. Considerar ideas sobre tecnologías emergentes 3
o innovación validadas, estándares de referencia, capacidades empresariales y de I&T de los competidores, benchmarks comparativos de
buenas prácticas y provisión de servicios de I&T emergentes.
4. Determinar las estrategias en cuanto a capacidades, metodologías y enfoques organizativos de I&T requeridas para lograr el portafolio
definido de productos y servicios de I&T. Considerar distintas metodologías de desarrollo (Agile, Scrum, Waterfall, Bimodal IT), dependiendo
de los requisitos del negocio. Considerar como cada uno de ellos puede contribuir a lograr los objetivos de I&T.

66

Capítulo 4

APO02.04 Llevar a cabo un análisis de brecha a. N
úmero de cambios de gran impacto requeridos en los distintos dominios de
Identificar las brechas entre los entornos actual y objetivo y describir los la arquitectura empresarial
cambios de alto nivel en la arquitectura empresarial. b. N
úmero de brechas significativas entre el entorno actual y las buenas
prácticas
capacidad
1. Identificar todas las brechas y cambios requeridos para lograr el entorno objetivo. 3
2. Describir los cambios de alto nivel en la arquitectura empresarial (dominios del negocio, la información, los datos, las aplicaciones y la
tecnología).
3. Considerar las implicaciones de alto nivel de todas las brechas. Evaluar el impacto de los posibles cambios en los modelos operativos de
I&T y empresarial, las capacidades de investigación y desarrollo de I&T y los programas de inversión en I&T.

4. Considerar el valor de los posibles cambios en las capacidades de I&T y del negocio, los servicios y la arquitectura empresarial de TI y las 4
implicaciones de no lograr ningún cambio.
5. Perfeccionar la definición del entorno objetivo y preparar una declaración de valor que destaque los beneficios del entorno objetivo.
APO02.05 Definir el plan estratégico y el mapa de ruta. a. Nivel de apoyo de las partes interesadas al plan de transformación digital
Desarrollar una estrategia digital holística, en cooperación con las partes b. P orcentaje de iniciativas en la estrategia de I&T que se autofinancian (con
interesadas relevantes, y detallar una hoja de ruta que define los pasos beneficios financieros que exceden los costes)
incrementales a seguir requeridos para lograr las metas y objetivos. Asegurar el c. G
rado de correspondencia entre la estrategia empresarial y la estrategia y
foco en la ruta de transformación, mediante el nombramiento de una persona objetivos de I&T
que ayude a liderar la transformación digital e impulse el alineamiento entre I&T
y la empresa.
capacidad
1. Definir las iniciativas requeridas para eliminar las brechas entre los entornos actual y el objetivo. Integrar las iniciativas en una estrategia de 3
I&T coherente que alinee a la I&T con todas las facetas empresariales.
2. Detallar una hoja de ruta que defina los pasos incrementales requeridos para lograr las metas y objetivos de la estrategia de I&T. Garantizar
que se incluyan acciones para formar al personal en nuevas habilidades, apoyar la adopción de nueva tecnología, mantener el cambio en toda
la organización, etc.
3. Considerar el ecosistema externo (socios empresariales, proveedores, startups, etc.) para que contribuya a apoyar la ejecución de la hoja de
ruta
4. Agrupar las acciones en programas y/o proyectos con una meta o entregable claros. Identificar para cada proyecto los requisitos de recursos
de alto nivel, la programación de actividades, el presupuesto para la inversión/operativo, el riesgo, el impacto del cambio, etc.
5. Determinar las dependencias, solapamientos, sinergias e impactos entre proyectos, y priorizar.
6. Finalizar la hoja de ruta, indicando una programación relativa de actividades y las interdependencias entre proyectos.
7. Garantizar el foco en la ruta de transformación. Designar a un campeón de transformación y alineamiento digital entre la empresa y la I&T (el
director de tecnologías digitales (CDO) u otro rol tradicional directivo).
8. Obtener el apoyo y aprobación formal del plan de las partes interesadas.
9. Trasladar los objetivos a resultados medibles representados por métricas (qué) y objetivos (cuánto). Asegurar que los resultados y medidas 4
se correspondan con los beneficios empresariales.
ISF, The Standard of Good Practice for Information Security 2016 SG2.1 Information Security Strategy
ITIL V3, 2011 Service Strategy, 4.1 Strategy management for IT services
67


APO02.06 Comunicar la dirección y estrategia de I&T. a. F recuencia de actualizaciones del plan de comunicación de la estrategia de
Crear concienciación y comprensión de los objetivos y la dirección del negocio y I&T
de I&T, tal como se registró en la estrategia de I&T, mediante la comunicación a b. P orcentaje de partes interesadas conocedoras de la dirección y estrategia de
las partes interesadas y los usuarios apropiados en toda la empresa. I&T
capacidad
1. D
esarrollar un plan de comunicación que cubra los mensajes, el público objetivo, los mecanismos/canales de comunicación y la 3
programación de actividades requeridas.
2. P reparar un paquete de comunicación que presente el plan de forma eficaz usando los medios de comunicación y tecnologías disponibles.
3. Desarrollar y mantener una red para promocionar, apoyar e impulsar la estrategia de I&T.
4. Obtener retroalimentación y actualizar el plan de comunicación y su presentación como corresponda. 4


Oficina de gestión de proyectos

Gestor de Servicios
Jefe de desarrollo
Director de TI

APO02.01 Comprender el contexto y la dirección de la empresa. A R R R R R R R R R R R R
APO02.02 Evaluar las capacidades, rendimiento y madurez digital actual de la empresa. A R R R R R R R R R R R
APO02.03 Definir las capacidades digitales objetivo. R R A R R R R R R R R R R R

APO02.04 Llevar a cabo un análisis de brecha R R R A R R R R R R R R R R
APO02.05 Definir el plan estratégico y el mapa de ruta. R R R A R R R R R R R R R R R
APO02.06 Comunicar la dirección y estrategia de I&T. R R R R A
ISO/IEC 38502:2017(E) 5.4 Responsibilities of managers

APO02.01 Comprender el contexto y la dirección de la De Descripción Descripción A
empresa.
APO04.02 Oportunidades de Fuentes y prioridades del Interna
innovación relacionadas cambio
con los motivadores
empresariales
EDM04.01 Principios rectores para la
asignación de recursos y
capacidades
Fuera de COBIT Estrategia empresarial y
análisis de fortalezas,
oportunidades, debilidades
y amenazas(FODA)
68

Capítulo 4

APO02.02 Evaluar las capacidades, rendimiento y madurez digital De Descripción Descripción A
actual de la empresa.
APO06.05 Oportunidades de optimización Brechas y riesgos relacionados APO12.01
de costes con las capacidades actuales
APO08.05 Definición de posibles Análisis FODA de capacidades Interna

proyectos de mejora
APO09.01 Brechas identificadas en Línea base de capacidades Interna

servicios de TI para la empresa actuales
APO09.04 Planes de acción de mejora y

remediaciones
APO12.01 Problemas y factores de riesgo

emergentes
APO12.02 Resultados del análisis de

riesgos
APO12.03 Perfil de riesgo agregado,
incluido el estado de las
acciones de gestión de riesgos
APO12.05 Propuestas de proyecto para

reducir el riesgo
BAI04.03 • Priorizar las mejoras

• Planes de rendimiento y
capacidad
BAI04.05 Acciones correctivas
BAI09.01 Resultados de revisiones
adecuadas para el propósito
BAI09.04 • Resultados de las revisiones

de optimización de costes
• Oportunidades para reducir
los costes o aumentar el valor
de los activos
recursos and capacidades
APO02.03 Definir las capacidades digitales objetivo. APO04.05 • Resultados y recomendación Cambios propuestos a la APO03.03
de iniciativas de valoraciones arquitectura empresarial
de concepto
• Análisis de iniciativas Capacidades empresariales y Interna
rechazadas de TI requeridas
Metas de alto nivel Interna

relacionadas con I&T
APO02.04 Llevar a cabo un análisis de brecha APO04.06 Evaluaciones del uso de Brechas y cambios requeridos APO01.03;
enfoques innovadores para lograr la capacidad APO13.02;
objetivo BAI03.11;
EDM04.01
APO05.01 Expectativas de retorno de Declaración del beneficio de BAI03.11
inversión valor del entorno objetivo
BAI01.05 Resultados de la
monitorización de la
consecución de metas del
programa
BAI01.06 Resultados de la revisión de los
cambios de fases (stage-gate)
BAI11.09 Resultados de la revisión
posterior a la implementación
EDM02.02 Evaluación del alineamiento
estratégico
69


APO02.05 Definir el plan estratégico y el mapa de ruta. De Descripción Descripción A
APO03.01 • Alcance definido para la Estrategia y objetivos de I&T Todos los APO;
arquitectura todos los BAI;
• Caso de negocio y todos los DSS;
propuesta de valor del todos los MEA
concepto de arquitectura
APO03.02 Modelo de la arquitectura Hoja de ruta estratégica APO01.01;
de información APO03.01;
APO08.01;
EDM02.01;
EDM02.02
APO03.03 Arquitectura de transición Definición de iniciativas EDM02.01
estratégicas
APO05.01 Opciones de financiación Iniciativas de evaluación de EDM02.01,
riesgos APO12.01
APO06.02 Asignaciones de
presupuesto
APO06.03 Presupuestos de I&T
BAI09.05 Plan de acción para ajustar
el número de licencias y
asignaciones
DSS04.02 Opciones estratégicas

aprobadas
EDM02.01 Retroalimentación sobre
estrategia y metas
EDM04.01 Plan de recursos aprobado
EDM04.03 Acciones remediales para
solucionar las desviaciones
de gestión de
recursos
APO02.06 Comunicar la dirección y estrategia de I&T. EDM04.02 Comunicación de Paquete de comunicación Todos los APO;
estrategias de gestión de todos los BAI;
recursos todos los DSS;
todos los MEA
Plan de comunicación Interna
ITIL V3, 2011 Service strategy, 3.9 Service strategy inputs and outputs

Desarrollo del plan de negocio e-Competence Framework (e-CF)—A common European Framework for ICT A. Plan—A.3. Business Plan
Professionals in all industry sectors—Part 1: Framework, 2016 Development
Supervisión de tecnologías Skills Framework for the Information Age V6, 2015 EMRG
emergentes
Estrategia y planificación de I&T Skills Framework for the Information Age V6, 2015 ITSP
Alineamiento estratégico e-Competence Framework (e-CF)—A common European Framework for ICT A. Plan—A.1. IS and Business
Professionals in all industry sectors—Part 1: Framework, 2016 Strategy Alignment
70

Capítulo 4

Principios de la estrategia de servicio Para obtener más información, ITIL V3, 2011 Service Strategy, 3. Service
de I&T consulte la Documentación strategy principles
relacionada.
Política y principios estratégicos de I&T Proporcionar una visión holística del
entorno empresarial y de I&T actual,
la dirección futura y las iniciativas
necesarias para migrar al entorno
futuro deseado. Garantizar que la
estrategia empresarial y de I&T refleje
el nivel de digitalización objetivo.

Establecer una cultura y valores subyacentes que encajen con la estrategia El Scaled Agile Framework for Lean Un marco de trabajo configurable que
global de la empresa (es decir, orientada al cliente, impulsada por la innovación Enterprises (SAFe®) ayuda a las organizaciones a ofrecer
basada en los productos). Encontrar formas de acelerar los procesos e introducir nuevos productos y soluciones en un
una cultura y comportamiento que lo apoye, que permitan moverse a mayor plazo de tiempo sostenible más corto
velocidad. Se podría empezar con el cambio de hábitos básicos como tener posible (todos los capítulos)
más reuniones frecuentes de liderazgo de estrategia o automatizando ciertas
actividades.
En el contexto actual de modelos de negocio, ecosistemas y disrupción digitales,

es fundamental para muchas organizaciones priorizar la transformación
digital en su estrategia. Crear una cultura que desafíe el status quo y explore
nuevos métodos de trabajo (como invertir en automatización para responder
rápidamente a los clientes, desarrollar sistemas de elaboración de informes y
analíticas sofisticadas para interpretar las necesidades de los clientes, crear
interfaces innovadoras para recopilar los datos del cliente, crear mecanismos
para ofrecer contenido y ofertas en todos los canales relevantes).

• Análisis de clientes
• Benchmarks de la industria
• Sistema de medición del desempeño (p. ej., cuadro de mando integral, herramienta de gestión de competencias)
• Servicios y herramientas de vigilancia tecnológica
71


72

Capítulo 4

Objetivo de gestión: APO03 — Gestionar la Arquitectura Empresarial COBIT
Descripción
Establecer una arquitectura común que consiste en capas de arquitectura de procesos de negocio, información, datos, aplicaciones y tecnología. Crear modelos y
prácticas claves que describen las arquitecturas base y objetivo, en línea con la estrategia de I&T de la empresa. Definir los requisitos de taxonomía, estándares,
directrices, procedimientos, plantillas y herramientas, y proporcionar un vínculo para estos componentes. Mejorar el alineamiento, aumentar la agilidad, mejorar la
calidad de la información y generar ahorros potenciales de costes mediante iniciativas como la reutilización de componentes de bloques de construcción.
Propósito
Representar los diferentes bloques de construcción que conforman la empresa y sus interrelaciones, así como los principios que guían su diseño y evolución a lo
largo del tiempo, para posibilitar una prestación estándar, responsable y eficiente de los objetivos operativos y estratégicos.
Æ

• EG01 Portafolio de productos y servicios competitivos • AG06 Agilidad para convertir los requisitos del negocio en soluciones
• EG05 Cultura de servicio orientada al cliente operativas
• EG08 Optimización de la funcionalidad de procesos internos del negocio AG08 Habilitar y dar soporte a procesos de negocio mediante la
• EG12 Gestión de programas de transformación digital integración de aplicaciones y tecnología
EG01 a. P orcentaje de productos y servicios que cumplen o exceden los AG06 a. N ivel de satisfacción de los ejecutivos de negocios con la
objetivos de ingresos y/o cuota de mercado capacidad de respuesta de I&T a los nuevos requisitos
b. P orcentaje de productos y servicios que cumplen o exceden los b. P lazo de comercialización promedio para servicios y aplicaciones
objetivos de satisfacción del cliente nuevos relacionados con las I&T
c. Porcentaje de productos y servicios que proporcionan una c. Tiempo promedio para convertir los objetivos estratégicos de I&T
ventaja competitiva en iniciativas acordadas y aprobadas
d. Plazo de comercialización para nuevos productos y servicios d. N úmero de procesos de negocio críticos soportados por
infraestructura y aplicaciones actualizadas
EG05 a. Número de interrupciones del servicio al cliente AG08 a. Plazo para la ejecución de servicios y procesos empresariales
b. P orcentaje de partes interesadas del negocio satisfechas con b. N
úmero de programas empresariales facilitados por I&T
que la prestación de servicios al cliente cumpla con los niveles retrasados o que incurren en costes adicionales debido a
de servicio acordados problemas de integración tecnológica
c. Número de quejas de los clientes c. N
d. Tendencia de los resultados de la encuesta de satisfacción al aplazar o revisar debido a problemas de integración tecnológica
cliente d. N
EG08 a. N iveles de satisfacción del consejo de administración y
la dirección ejecutiva con las capacidades del proceso
empresarial
EG12 a. Número de programas ejecutados a tiempo y dentro del
presupuesto
b. Porcentaje de partes interesadas satisfechas con la ejecución
del programa
suspendidos
APO03.01 Desarrollar la visión de la arquitectura empresarial. a. N
ivel de retroalimentación de los clientes sobre la arquitectura
La visión de la arquitectura ofrece una temprana descripción de alto nivel de b. G
rado en el que las arquitecturas base y objetivo cubren los dominios del
la línea base y la arquitectura objetivo, cubriendo los dominios del negocio, la negocio, la información, los datos, la aplicación y la tecnología.
información, los datos, la aplicación y la tecnología. La visión de la arquitectura
ofrece al patrocinador una herramienta clave para promover los beneficios de las
capacidades propuestas a las partes interesadas de la empresa. La visión de la
arquitectura describe cómo las nuevas capacidades (en línea con la estrategia
y objetivos de I&T) cumplirán con las metas y los objetivos empresariales
estratégicos, y abordará las preocupaciones de las partes interesadas cuando se
implemente.
73


capacidad
1. Identificar a las partes interesadas clave y sus preocupaciones/objetivos. Definir los requisitos clave de la empresa que deben abordarse, así 2
como las visualizaciones de la arquitectura que deben desarrollarse para satisfacer los requisitos de las partes interesadas.
2. Identificar las metas y motivadores estratégicos de la empresa. Definir las limitaciones que deben abordarse, incluidas las limitaciones de la
empresa en su conjunto y las específicas de los proyectos (como plazos, programación de actividades, recursos, etc.).
3. Alinear los objetivos de la arquitectura con las prioridades del programa estratégico.
4. Entender las capacidades y metas empresariales, e identificar a continuación opciones para conseguir dichas metas.
5. Evaluar la preparación de la empresa para el cambio.
6. Definir el alcance de la arquitectura de referencia y la arquitectura objetiva. Enumerar elementos que están dentro del alcance y aquellos que
no lo están. (La arquitectura de referencia y objetiva no debe describirse con el mismo nivel de detalle.)
7. Entender las metas y objetivos estratégicos empresariales actuales. Trabajar con el proceso de planificación estratégico para garantizar que
se aprovechen las oportunidades de la arquitectura empresarial de I&T para el desarrollo del plan estratégico.
8. Basándose en las preocupaciones de las partes interesadas, los requisitos de las capacidades empresariales, el alcance, restricciones y
principios crear la visión de la arquitectura (es decir, la vista de alto nivel de las arquitecturas de referencia y objetiva).
9. Confirmar y elaborar los principios de arquitectura, incluyendo los principios empresariales. Asegurar que todas las definiciones existentes 3
estén actualizadas. Aclarar cualquier aspecto ambiguo.
10. Identificar el riesgo al cambio empresarial asociado con la visión de la arquitectura. Evaluar el nivel inicial de riesgo (como crítico, marginal
o insignificante). Desarrollar una estrategia de mitigación para cada riesgo significativo.
11. D
esarrollar un caso de negocio de concepto de arquitectura empresarial y diseñar planes y la declaración del trabajo de la arquitectura.
Asegurar la aprobación para iniciar un proyecto alineado e integrado con la estrategia empresarial.
12. D
efinir las propuestas de valor, metas y métricas de la arquitectura objetivo. 4
National Institute of Standards and Technology Special Publication 800-53, 3.15 Program management (PM-7)
The Open Group Standard TOGAF version 9.2, 2018 6. Phase A: Architecture Vision
APO03.02: Definir la arquitectura de referencia. a. Fecha de la última actualización de las arquitecturas de dominio y/o federadas
La arquitectura de referencia describe las arquitecturas actuales y objetivo para b. N úmero de excepciones a los estándares y referencias de la arquitectura
los dominios de negocio, información, datos, aplicación y tecnología. solicitadas y concedidas
capacidad
1. Mantener un repositorio de arquitectura, que contiene estándares, componentes reutilizables, los artefactos de modelado, las relaciones, las 3
dependencias y las visualizaciones, para permitir la uniformidad de la organización y mantenimiento de la arquitectura.
2. Seleccionar puntos de vista de referencia del repositorio de la arquitectura que permite al arquitecto demostrar cómo se abordan las
preocupaciones de las partes interesadas en la arquitectura.
3. Seleccionar modelos necesarios para respaldar la vista específica requerida, para cada punto de vista. Usar las herramientas y métodos
seleccionados y el nivel de descomposición adecuado.
4. Desarrollar las descripciones de dominio arquitectónico de referencia, usando el alcance y nivel de detalle necesario para respaldar la
arquitectura objetivo y, hasta donde sea posible, identificando los bloques de construcción relevantes de la arquitectura del repositorio de
arquitectura.
5. Mantener un modelo de arquitectura de procesos, como parte de las descripciones de dominios de referencia y objetivo. Normalizar las
descripciones y documentación de procesos. Definir los roles y responsabilidades de los responsables de la toma de decisiones del proceso,
el Dueño del proceso, los usuarios del proceso, el equipo del proceso y otras partes interesadas del proceso que deberían involucrarse.
6. Mantener un modelo de arquitectura de la información como parte de las descripciones de los dominios de referencia y objetivo, consistente
con la estrategia empresarial para adquirir, almacenar y usar los datos de forma óptima para respaldar la toma de decisiones.
7. Comprobar la consistencia y precisión interna de los modelos de arquitectura. Realizar un análisis de brecha entre la referencia y el
objetivo. Priorizar las brechas y definir componentes nuevos o modificados que deben desarrollarse para la arquitectura objetivo. Resolver
incompatibilidades, inconsistencias o conflictos dentro de la arquitectura objetivo.
8. Conducir una revisión formal de las partes interesadas, comparando la arquitectura propuesta con la intención original del proyecto de la
arquitectura y la declaración del trabajo de arquitectura.
9. Finalizar las arquitecturas de los dominios del negocio, la información, los datos, las aplicaciones y la tecnología. Crear un documento de
definición de la arquitectura.
74

Capítulo 4

CMMI Data Management Maturity Model, 2014 Platform and Architecture—Architectural Approach; Platform and Architecture—
Data Integration
ITIL V3, 2011 Service Strategy, 5.4 IT service strategy and enterprise architecture
National Institute of Standards and Technology Special Publication 800-37, 3.1 Preparation (Task 9)
National Institute of Standards and Technology Special Publication 800-53, 3.5 Configuration management (CM-8)
The Open Group Standard TOGAF versión 9.2, 2018 7 . Phase B: Business Architecture; 8. Phase C: Information Systems
Architectures; 9. Phase C: Information Systems Architectures Data Architecture;
10. Phase C: Information Systems Architectures Application Architecture; 11.
Phase D: Technology Architecture

APO03.03 Seleccionar oportunidades y soluciones. a. N
úmero de brechas identificadas en los modelos empresariales de los
Racionalizar las brechas entre las arquitecturas de referencia y la objetivo, dominios de arquitectura del negocio, la información, los datos, la aplicación
tomando tanto las perspectivas de negocio como técnicas, y agruparlas y la tecnología
lógicamente en paquetes de trabajo del proyecto. Integrar el proyecto con todos b. P orcentaje de partes interesadas clave del negocio y de TI para evaluar la
los programas de inversión habilitados por I&T para asegurarse de que las disposición de transformación de la empresa, e identificar oportunidades,
iniciativas de la arquitectura estén alineadas y permitan estas iniciativas como soluciones y todas las restricciones de implementación
parte de un cambio empresarial general. Hacer de este un esfuerzo colaborativo
con las partes interesadas clave del negocio y de TI para evaluar la disposición
de transformación de la empresa, e identificar oportunidades, soluciones y todas
las restricciones de implementación.
capacidad
1. Determinar y confirmar atributos de cambios empresariales clave. Considerar la cultura de la empresa, el impacto potencial de la cultura en la 3
implementación de la arquitectura y las capacidades de transición de la empresa.
2. Identificar cualquier factor empresarial que limitaría la secuencia de implementación. Incluir una revisión empresarial y de línea estratégica
de negocio de la empresa y de los planes de negocio, . Considerar la madurez de la arquitectura empresarial actual.
3. Revisar y consolidar los resultados del análisis de recha entre las arquitecturas de referencia y la objetivo. Evaluar las implicaciones con
respecto a posibles soluciones, oportunidades, interdependencias y alineamiento con los programas actuales habilitados por I&T.
4. Evaluar los requisitos, brechas, soluciones y otros factores para identificar un conjunto mínimo de requisitos funcionales cuya integración en
paquetes de trabajo llevarían a una implementación más eficaz y eficiente de la arquitectura objetivo.
5. Conciliar los requisitos consolidados con posibles soluciones.
6. Perfeccionar las dependencias iniciales e identificar las restricciones de los planes de implementación y migración. Compilar un informe de
análisis de dependencias.
7. Confirmar la disposición de la empresa a la transformación empresarial y el riesgo asociado a ella.
8. Formular una estrategia de alto nivel para la implementación y la migración. Implementar la arquitectura objetivo (e implementar cualquier
arquitectura de transición) conforme a la estrategia, objetivos y plazos de la empresa en su conjunto.
9. Identificar y agrupar paquetes de trabajo importantes en un conjunto coherente de programas y proyectos, relacionados con la dirección y el
enfoque de la implementación estratégica empresarial.
10. D
esarrolla arquitecturas de transición en las que el alcance del cambio requerido por la arquitectura necesita un enfoque incremental.
CMMI Data Management Maturity Model, 2014 Platform and Architecture—Architectural Approach; Platform and
Architecture—Data Integration
The Open Group Standard TOGAF versión 9.2, 2018 12. Phase E: Opportunities and Solutions
75


APO03.04 Definir la implementación de la arquitectura. a. D
efinición clara de los requisitos de gobierno para la implementación de la
Crear una aplicación viable y un plan de migración en alineación con arquitectura
los portafolios de programas y proyectos. Asegurarse que el plan esté b. P orcentaje de partes interesadas conocedoras de la implementación y
estrechamente coordinado para garantizar que se brinde valor y que los recursos migración de la arquitectura
necesarios estén disponibles para completar el trabajo necesario.
capacidad
1. E stablecer los elementos requeridos para el plan de implementación y migración como parte de la planificación de programas y proyectos. 3
Asegurar que el plan está alineado con los requisitos de los responsables de toma de decisiones relevantes.
2. C
onfirmar los incrementos y las fases de la arquitectura de transición. Actualizar el documento de definición de la arquitectura
3. D
efinir y completar la implementación de la arquitectura y el plan de migración, incluidos los requisitos de gobierno relevantes. Integrar el
plan, actividades y dependencias en el programa y la planificación del proyecto.

4. C
omunicar la hoja de ruta de la arquitectura definida a las partes interesadas relevantes. Informar a las partes interesadas acerca de la
definición de la arquitectura objetivo, las directrices y principios de arquitectura, el portafolio de servicios, etc.
CMMI Data Management Maturity Model, 2014 Platform and Architecture—Architectural Approach; Platform and Architecture—
Data Integration
The Open Group Standard TOGAF versión 9.2, 2018 13. Phase F: Migration Planning
APO03.05 Proporcionar servicios de arquitectura empresarial. a. N ivel de retroalimentación del cliente sobre los servicios de arquitectura
Proporcionar servicios de arquitectura empresarial dentro de la empresa que b. P orcentaje de proyectos que utilizan el marco y la metodología para reutilizar
incluyen guía y supervisión de proyectos de implementación, formalización componentes definidos
de maneras de trabajar a través de contratos de arquitectura, y medición y c. P orcentaje de proyectos que utilizan servicios de arquitectura empresarial
comunicación del valor agregado y supervisión del cumplimiento. d. L os beneficios del proyecto obtenidos que pueden atribuirse a la participación
de la arquitectura (p. ej., reducción de costes mediante la reutilización)
capacidad
1. Confirmar el alcance y las prioridades y proporcionar directrices para desarrollar e implementar soluciones (p. ej., usando la arquitectura 3
orientada a los servicios).
2. Gestionar los requisitos de la arquitectura empresarial y respaldar el negocio y TI con consejos e información experta sobre principios,
modelos y bloques de construcción. Garantizar que las nuevas implementaciones (como cambios a la arquitectura actual) están alineadas
con los principios y requisitos de la arquitectura empresarial.
3. Gestionar el portafolio de servicios de la arquitectura empresarial y garantizar el alineamiento con los objetivos estratégicos y el desarrollo
de soluciones.
4. Identificar las prioridades de la arquitectura empresarial. Alinear las prioridades con los factores que proporcionan valor. Definir y recopilar 4
métricas de valor y medir y comunicar el valor de la arquitectura empresarial.
5. Establecer un foro de tecnología para proporcionar directrices de arquitectura, asesorar proyectos y guiar la selección de tecnología. Medir el 5
cumplimiento con los estándares y directrices, incluido el cumplimiento con los requisitos externos y con la relevancia empresarial interna.
CMMI Data Management Maturity Model, 2014 Platform and Architecture—Architectural Standards
ITIL V3, 2011 Service Design, 3.9 Service Oriented Architecture

The Open Group Standard TOGAF versión 9.2, 2018 14. Phase G: Implementation Governance; 15. Phase H: Architecture Change
Management
76

Capítulo 4

Consejo de arquitectura
Director de TI

APO03.01 Desarrollar la visión de arquitectura empresarial. R R R R A R R
APO03.02 Definir la arquitectura de referencia. R R R R A R R
APO03.03 Seleccionar oportunidades y soluciones. R R R R A R R
APO03.04 Definir la implementación de la arquitectura. R R R R R A R R
APO03.05 Proporcionar servicios de arquitectura empresarial. R R R R R A R
The Open Group Standard TOGAF versión 9.2, 2018 41. Architecture Board

APO03.01 Desarrollar la visión de arquitectura empresarial. De Descripción Descripción A
APO02.05 Hoja de ruta estratégica Alcance definido para la APO02.05
arquitectura
EDM04.01 Principios directrices para Caso de negocio y APO02.05;
la arquitectura empresarial propuesta de valor del APO05.02
concepto de arquitectura
Fuera de COBIT Estrategia empresarial Principios de arquitectura BAI02.01;
BAI03.01;
BAI03.02
APO03.02 Definir la arquitectura de referencia. APO01.04 • Definición de la estructura Modelo de arquitectura de APO01.04
organizativa y sus procesos
funciones
• Directrices operativas de
la empresa
APO01.06 • Evaluación de opciones Modelo de arquitectura de APO02.05;
para la organización de TI la información APO14.03;
• Ubicación operativa de la BAI02.01;
función de TI definida BAI03.02;
DSS05.03;
DSS05.04;
DSS05.06
77


APO03.02 Definir la arquitectura de referencia. (cont.) De Descripción Descripción A
APO01.07 Directrices de clasificación Descripciones de dominios APO13.02;
de datos de referencia y definición de BAI02.01;
arquitectura BAI03.01;
BAI03.02;
APO14.01 Estrategia de gestión de BAI03.12
datos
APO14.03 Documentación de
metadatos
Fuera de COBIT Estrategia empresarial
APO03.03 Seleccionar oportunidades y soluciones. APO02.03 Cambios propuestos a la Arquitectura de transición APO02.05
arquitectura empresarial
Fuera de COBIT • Motivadores
empresariales
• Estrategias empresariales
APO03.04 Definir la implementación de la arquitectura. Descripciones de la fase de BAI01.01;
implementación BAI01.02;
BAI11.01
Requisitos del gobierno de BAI01.01;
arquitectura BAI11.01
Requisitos de recursos BAI01.02
APO03.05 Proporcionar servicios de arquitectura empresarial. Directrices para el BAI02.01;
desarrollo de soluciones BAI02.02;
BAI03.02;
BAI03.12
ational Institute of Standards and Technology Special Publication 800-37,
N 3.1 Preparation (Task 9): Inputs and Outputs
The Open Group Standard TOGAF version 9.2, 2018 6. Phase A: Architecture Vision: Inputs and Outputs; 7. Phase B: Business
Architecture: Inputs and Outputs; 9. Phase C: Information Systems
Architectures Data Architecture: Inputs and Outputs; 10. Information Systems
Architectures Application Architecture: Inputs and Outputs; 11. Phase D:
Technology Architecture: Inputs and Outputs; 12. Phase E: Opportunities and
Solutions: Inputs and Outputs; 13. Phase F: Migration Planning: Inputs and
Outputs; 14. Phase G: Implementation Governance: Inputs and Outputs; 15.
Phase H: Architecture Change Management: Inputs and Outputs

Diseño de arquitectura e-Competence Framework (e-CF)—A common European Framework for ICT A. Plan—A.5. Architecture Design
Análisis de datos Skills Framework for the Information Age V6, 2015 DTAN
Arquitectura empresarial y del Skills Framework for the Information Age V6, 2015 STPL
negocio
Planificación de productos/servicios e-Competence Framework (e-CF)—A common European Framework for ICT A. Plan—A.4. Product/Service
Professionals in all industry sectors—Part 1: Framework, 2016 Planning
Arquitectura solución Skills Framework for the Information Age V6, 2015 ARCH
78

Capítulo 4

Principios de arquitectura Define los principios generales para The Open Group Standard TOGAF 20. Architecture Principles
informar reglas y 20. Directrices de versión 9.2, 2018
los principios de arquitectura para
procesos, procedimientos, capas de
arquitectura y uso e interconexión
general de los recursos y activos
de I&T. Señala los principios de la
arquitectura para mejorar la toma de
decisiones. Asegura un alineamiento
de la arquitectura actual y objetivo con
los objetivos y estrategia empresarial.

Crear un entorno que el que la dirección entienda las necesidades de la
arquitectura con respecto a las metas y objetivos del negocio. Impulsar una
práctica eficaz de la arquitectura empresarial en toda la organización (no solo
para los arquitectos de la empresa). Garantizar un enfoque holístico que vincule
los componentes perfectamente (por ej. dejar de contar con equipos dedicados
de especialistas en aplicaciones).

Repositorio de arquitectura
79


80

Capítulo 4

Objetivo de gestión: APO04 — Gestionar la innovación COBIT
Descripción
Mantener una concienciación de I&T y tendencias de servicio relacionadas y monitorizar las tendencias tecnológicas emergentes. Identificar de forma proactiva
oportunidades de innovación y planificar cómo beneficiarse de la innovación en relación con las necesidades empresariales y la estrategia de I&T. Analizar qué
oportunidades de mejora o innovación empresarial pueden crearse mediante tecnologías emergentes, servicios o innovación empresarial habilitada por I&T, así
como a través de tecnologías ya establecidas y por la innovación de procesos empresariales y de TI. Influenciar la planificación estratégica y las decisiones de
arquitectura empresarial.
Propósito
Lograr ventajas competitivas, innovación empresarial, una mejor experiencia del cliente y una mayor eficacia y eficiencia operativa con el aprovechamiento de los
desarrollos de I&T y tecnologías emergentes.
Æ

• EG01 Portafolio de productos y servicios competitivos • AG06 Agilidad para convertir los requisitos del negocio en soluciones
• EG13 Innovación de producto y del negocio operativas
• AG13 Conocimiento, habilidad e iniciativas para la innovación empresarial
EG01 a. P orcentaje de productos y servicios que cumplen o exceden los AG06 a. N ivel de satisfacción de los ejecutivos de negocios con la
b. P orcentaje de productos y servicios que cumplen o exceden los b. Tiempo promedio de comercialización para nuevos servicios y
objetivos de satisfacción del cliente aplicaciones relacionados con I&T
d. P lazo de comercialización para nuevos productos y servicios d. N úmero de procesos de negocio críticos soportados por
EG13 a. N ivel de conocimiento y comprensión de las oportunidades de AG13 a. N ivel de conocimiento y comprensión de los ejecutivos del
innovación del negocio negocio sobre las posibilidades de innovación de las I&T
b. Satisfacción de las partes interesadas con los niveles de b. N úmero de iniciativas aprobadas como resultado de ideas
habilidades e ideas sobre innovación y productos innovadoras de I&T
c. Número de iniciativas de productos y servicios aprobadas c. Número de campeones en innovación reconocidos/premiados
como resultado de ideas innovadoras
APO04.01 Crear un entorno favorable que conduzca a la innovación. a. P ercepciones y retroalimentación de las partes interesadas de la empresa
Crear un entorno que propicie la innovación, considerando métodos como respecto a la innovación en I&T
la cultura, las recompensas, la colaboración, los foros de tecnología y los b. Inclusión de objetivos relacionados con la innovación o tecnología emergente
mecanismos para promover y capturar las ideas de los empleados. en los objetivos de rendimiento para el personal relevante
capacidad
1. Crear un plan de innovación que incluya el apetito al riesgo, un presupuesto propuesto para iniciativas de innovación y objetivos de 2
innovación.
2. Proporcionar una infraestructura que pueda ser un componente de gobierno para la innovación (como herramientas de colaboración para
mejorar el trabajo entre sitios geográficos y/o divisiones).
3. Mantener un personal que gracias a programas presente ideas innovadoras y cree una estructura de toma de decisiones adecuada para 3
evaluar las ideas y sacarlas adelante.
4. Fomentar las ideas innovadoras de los clientes, proveedores y socios empresariales.
81


APO04.02 Mantener un entendimiento del entorno de la empresa. a. P orcentaje de iniciativas implementadas con un claro vínculo a un objetivo
Trabajar con las partes interesadas pertinentes para entender sus desafíos. Mantener empresarial
una comprensión adecuada de la estrategia de la empresa y del entorno competitivo y de b. P orcentaje de oportunidades habilitadas por nuevas tecnologías identificadas
otras restricciones, de forma que se puedan identificar las oportunidades habilitadas por
las nuevas tecnologías.
capacidad
1. Mantener un conocimiento de los motivadores empresariales y de industria, la estrategia empresarial y de I&T y las operaciones empresariales y retos 2
actuales. Aplicar el entendimiento para identificar posibles tecnologías de valor agregado e innovar en I&T
2. Conducir reuniones regulares con unidades de negocio, divisiones y/u otras partes interesadas para entender los problemas empresariales actuales, los 3
cuellos de botella de los procesos y otras limitaciones, cuando las tecnologías emergentes o la innovación de I&T pueden crear oportunidades.
3. Entender los parámetros de inversión empresariales para la innovación y nuevas tecnologías con el fin de desarrollar tecnologías adecuadas.
APO04.03 Monitorizar explorar el entorno tecnológico. a. F recuencia de la investigación y exploración del entorno realizadas para identificar
Implementar una vigilancia tecnológica para monitorizar y explorar sistemáticamente el ideas y tendencias innovadoras
entorno externo de la empresa para identificar las tecnologías emergentes que tengan b. P orcentaje de partes interesadas satisfechas con los esfuerzos para monitorizar el
el potencial de crear valor (p. ej., lograr la estrategia empresarial, optimizar costes, mercado, el entorno competitivo, los sectores de la industria y las tendencias legales y
evitar la obsolescencia y habilitar de mejor manera los procesos empresariales y de regulatorias para poder analizar las tecnologías emergentes o las ideas de innovación
I&T). Monitorizar el mercado, el entorno competitivo, los sectores de la industria y las en el contexto empresarial.
tendencias legales y regulatorias para poder analizar las tecnologías emergentes o las
ideas de innovación en el contexto empresarial.
capacidad
1. Entender el apetito y potencial de la empresa en cuanto a innovación tecnológica. Centrar los esfuerzos de concienciación en las innovaciones 2
tecnológicas más oportunas.
2. Establecer un proceso de vigilancia tecnológica e investigar y explorar el entorno externo, incluidos sitios webs, revistas y conferencias
adecuadas, para identificar las tecnologías emergentes y su valor potencial para la empresa.
3. Consultar a terceros expertos conforme sea necesario para confirmar la investigación o suministrar información sobre tecnologías emergentes.
4. Captar las ideas innovadoras del personal de I&T y revisar su posible implementación.
APO04.04 Evaluar el potencial de las tecnologías emergentes y las ideas de a. Porcentaje de iniciativas implementadas que logran los beneficios previstos
innovación. b. P orcentaje de iniciativas de pruebas de concepto exitosas para poner a prueba
Analizar las tecnologías emergentes identificadas y/u otras sugerencias de tecnologías emergentes u otras ideas de innovación
innovación en I&T para comprender su potencial empresarial. Trabajar con las
partes interesadas para validar las suposiciones sobre el potencial de nuevas
tecnologías e innovación.
capacidad
1. E valuar las tecnologías identificadas, considerando aspectos como el tiempo para alcanzar la madurez, el riesgo inherente (incluidas las 2
posibles implicaciones legales), su encaje con la arquitectura empresarial y el potencial de valor, en línea con la estrategia empresarial y de
I&T.
2. Identificar asuntos que pudieran ser resueltos o validado a través de una iniciativa de prueba de concepto. 3
3. Alcance de la iniciativa de prueba de concepto, incluidos los resultados deseados, el presupuesto requerido, los plazos y las
responsabilidades.
4. Obtener la aprobación para la iniciativa de prueba de concepto.
5. C
onducir iniciativas de prueba de concepto para poner a prueba tecnologías emergentes u otras ideas de innovación. Identificar problemas y
determinar si la implementación o despliegue debería considerarse basada en la factibilidad y el ROI potencial.
82

Capítulo 4

APO04.05 Recomendar iniciativas adicionales apropiadas . a. N
úmero de iniciativas de prueba de concepto evaluadas y aprobadas para su
Evaluar y monitorizar los resultados de las iniciativas de prueba de concepto posterior implementación
y, si son favorables, generar recomendaciones para más iniciativas. Obtener el b. N
úmero de iniciativas de prueba de concepto que han sido apalancadas con la
apoyo de las partes interesadas. inversión real.
capacidad
1. Documentar los resultados de la prueba de concepto, incluidas directrices y recomendaciones de tendencias y programas de innovación 3
2. Comunicar oportunidades de innovación viables en la estrategia de I&T y los procesos de arquitectura empresarial.
3. Analizar y comunicar las razones de iniciativas de pruebas de concepto rechazadas.
4. Hacer un seguimiento de las iniciativas de prueba de concepto para medir la inversión real. 4

APO04.06 Supervisar la implementación y el uso de la innovación. a. Aumentar la cuota de mercado o competitividad debido a innovaciones
Supervisar la implementación y el uso de las tecnologías emergentes y las b. N úmero de lecciones aprendidas y oportunidades de mejora captadas para su
innovaciones durante la adopción, integración, y todo el ciclo de vida económico uso futuro
para garantizar que se obtengan los beneficios prometidos y para identificar las
lecciones aprendidas.
capacidad
1. Captar las lecciones aprendidas y las oportunidades de mejora. 3
2. Garantizar que las iniciativas de innovación estén alineadas con la estrategia empresarial y de I&T. Monitorizar continuamente el
alineamiento. Ajustar el plan de innovación, si fuera necesario.
3. Evaluar nueva tecnología o innovaciones de I&T implementadas como parte de la estrategia de I&T y el desarrollo de la arquitectura 4
empresarial. Evaluar el nivel de adopción durante la gestión de iniciativas del programa.
4. Identificar y evaluar el valor potencial de la innovación.


Gestor de Servicios
Jefe de desarrollo
Comité Ejecutivo
Director de TI

APO04.01 Crear un entorno favorable que conduzca a la innovación. A R R R R R R R R R R R
APO04.02 Mantener un entendimiento del entorno de la empresa. A R R R R R R R R R R R
APO04.03 Monitorizar y explorar el entorno tecnológico. A R R R R R R R R R R
APO04.04 Evaluar el potencial de las tecnologías emergentes y las ideas de innovación. A R R R R R R R R R R
APO04.05 Recomendar iniciativas adicionales apropiadas . A R R R R R R R R R R
APO04.06 Supervisar la implementación y el uso de la innovación. A R R R R R R R R R R
83


APO04.01 Crear un entorno favorable que conduzca a la De Descripción Descripción A
innovación.
EDM03.01 Guía del apetito de riesgo Programa de APO07.04
reconocimiento y
recompensas
Plan de innovación Interna
APO04.02 Mantener un entendimiento del entorno de la Fuera de COBIT Estrategia empresarial Oportunidades de APO02.01
empresa. y análisis análisis de innovación relacionadas
fortalezas, oportunidades, con los motivadores
debilidades, amenazas empresariales
(FODA)
APO04.03 Monitorizar y explorar el entorno tecnológico. Fuera de COBIT Tecnologías emergentes Análisis de investigación BAI03.01
de las posibilidades de
innovación
APO04.04 Evaluar el potencial de las tecnologías emergentes y Alcance de la prueba de APO05.02;
las ideas de innovación. conceptos y descripción del APO06.02
caso de negocio
Evaluación de las iniciativas BAI03.01
de innovación
Comprobar resultados de Interna
iniciativas de prueba de
concepto
APO04.05 Recomendar iniciativas adicionales apropiadas . Análisis de iniciativas APO02.03;
rechazadas BAI03.08
Resultados y APO02.03;
recomendación de BAI03.09
iniciativas de prueba de
concepto
APO04.06 Supervisar la implementación y el uso de la Evaluaciones del uso de APO02.04;
innovación. estrategias innovadoras BAI03.02
Evaluación de los APO05.03
beneficios de innovación
Ajuste de los planes de Interna
innovación


Desarrollo de plan de negocio e-Competence Framework (e-CF)—A common European Framework for ICT A. Plan—A.3. Plan de negocio
Professionals in all industry sectors—Part 1: Framework, 2016 Desarrollo
Monitorización de tecnologías Skills Framework for the Information Age V6, 2015 EMRG
emergentes
Innovación e-Competence Framework (e-CF)—A common European Framework for ICT A. Plan—A.9. Innovación
Innovation Skills Framework for the Information Age V6, 2015 INOV
Investigación Skills Framework for the Information Age V6, 2015 RSCH
Monitorización de tendencias e-Competence Framework (e-CF)—A common European Framework for ICT A. Plan—A.7. Tendencias
tecnológicas Professionals in all industry sectors—Part 1: Framework, 2016 tecnológicas
Supervisión
84

Capítulo 4

Principios de innovación Define principios generales
garantizando que las ideas nuevas/
innovadoras se evalúan de forma
exhaustiva a la hora de definir nuevas
metas y decisiones estratégicas.

Crear un entorno propicio para la innovación, al mantener las iniciativas
relevantes de RR. HH., como el reconocimiento por la innovación y los programas
de recompensas, la rotación adecuada de puestos de trabajo, y el tiempo

opcional para la experimentación. Asegurar una colaboración y coordinación
estrechas de las iniciativas en toda la organización.

• Plataformas de colaboración
• Benchmarks de la industria
• Servicios y herramientas de vigilancia tecnológica
85


86

Capítulo 4

Objetivo de gestión: APO05 — Gestionar el portafolio COBIT
Descripción
Ejecutar la dirección estratégica establecida para las inversiones, en línea con la visión de la arquitectura empresarial y la hoja de ruta de I&T. Considerar las
diferentes categorías de inversiones y las limitaciones de recursos y financiación. Evaluar, priorizar y equilibrar los programas y servicios, gestionando la demanda
dentro de las limitaciones de recursos y financiamiento, basándose en su alineación con los objetivos estratégicos, el valor y el riesgo de la empresa. Mover los
programas seleccionados al portafolio de productos o servicios activa para su ejecución. Supervisar el rendimiento del portafolio general de productos y servicios, y
programas, proponiendo ajustes según sea necesario en respuesta al rendimiento del programa, producto o servicio, o cambiando las prioridades de la empresa.
Propósito
Optimizar el rendimiento del portafolio general de programas en respuesta al rendimiento individual de programas, productos y servicios y a las cambiantes
prioridades y demandas de la empresa.
Æ

• EG01 Portafolio de productos y servicios competitivos • AG03 Beneficios obtenidos del portafolio de inversiones y servicios
• EG08 Optimización de la funcionalidad de procesos internos del relacionados con I&T
negocio • AG05 Prestación de servicios de I&T conforme a los requisitos del negocio
EG01 a. P orcentaje de productos y servicios que cumplen o exceden los AG03 a. P orcentaje de inversiones posibilitadas por I&T en las que los
objetivos de ingresos y/o cuota de mercado beneficios previstos se cumplen o exceden
b. P orcentaje de productos y servicios que cumplen o exceden los b. P orcentaje de servicios de I&T para los que se han logrado los
objetivos de satisfacción del cliente beneficios esperados (indicados en los acuerdos de nivel de
c. Porcentaje de productos y servicios que proporcionan una servicio)
ventaja competitiva
EG08 a. N iveles de satisfacción de la junta directiva y la dirección AG05 a. P orcentaje de partes interesadas del negocio satisfechas con
ejecutiva con las capacidades del proceso del negocio que la prestación de servicios de I&T cumpla con los niveles de
b. N iveles de satisfacción de los clientes con las capacidades de servicio acordados
prestación de servicios b. Número de interrupciones del negocio debido a incidentes de
c. Niveles de satisfacción de los proveedores con las capacidades servicios de I&T
de la cadena de suministro c. P orcentaje de usuarios satisfechos con la calidad de la prestación
de servicios de I&T
EG12 a. Número de programas ejecutados a tiempo y dentro del
presupuesto
b. Porcentaje de partes interesadas satisfechas con la ejecución
del programa
suspendidos
APO05.01 Determinar la disponibilidad y las fuentes de fondos. a. Proporción entre los fondos asignados y los fondos utilizados
Determinar posibles fuentes de fondos, diferentes opciones de financiamiento b. Proporción entre los ingresos retenidos y los fondos asignados
y las implicaciones de las fuentes de financiamiento en las expectativas de
retorno de inversión.
capacidad
1. Entender la disponibilidad y el compromiso actual de fondos, el gasto real aprobado y el gasto real hasta la fecha. 2
2. Identificar opciones de financiación adicional para inversiones facilitadas por I&T, considerando fuentes internas y externas.
3. Determinar las implicaciones de las fuentes de financiación en las expectativas de retorno de inversión.
87


APO05.02 Evaluar y seleccionar programas para financiar. a. Porcentaje de proyectos en el portafolio de proyectos de I&T que pueden
Basándose en los requisitos generales de la mezcla general del portafolio de atribuirse directamente a la estrategia de I&T
inversión y el plan estratégico y la hoja de ruta de I&T, evaluar y establecer b. P orcentaje de unidades de negocio involucradas en el proceso de evaluación
prioridades de los casos de negocio del programa y tomar decisiones sobre las y priorización
propuestas de inversión. Asignar fondos e iniciar los programas.
capacidad
1. Identificar y clasificar las oportunidades de inversión en línea con las categorías del portafolio de inversiones. Concretar el/los resultado(s) 2
empresariales esperados, las iniciativas requeridas para lograr el/los resultado(s) esperados, los costes de alto nivel, las dependencias y el
riesgo. Concretar la metodología para medir los resultados, el coste y el riesgo.
2. R ealizar una evaluación detallada de todos los casos de negocio del programa. Evaluar el alineamiento estratégico, el beneficio empresarial, 3
el riesgo y la disponibilidad de recursos.

3. E valuar el impacto de añadir posibles programas al conjunto del portafolio de inversiones, incluidos cambios que pudieran ser requeridos por
otros programas.
4. D
ecidir qué programas candidatos deberían trasladarse al portafolio de inversiones activas. Decidir si los programas rechazados deberían
conservarse para su consideración futura o dotarse de financiación inicial para determinar si el caso de negocio puede mejorarse o
descartarse.
5. D
eterminar los hitos requeridos para cada ciclo de vida económico completo del programa seleccionado. Asignar y reservar la financiación
total de programa total por hito. Trasladar el programa al portafolio activo de inversión.
6. E stablecer procedimientos para comunicar el coste, el beneficio y aspectos de portafolios relacionados con los riesgos, para su
consideración en la priorización del presupuesto, la gestión de costes y los procesos de gestión de beneficios.
PMBOK Guide Sixth Edition, 2017 Part 1: 1.2.3 Relationship of project, program, portfolio and operations
management
APO05.03 Monitorizar, optimizar e informar sobre el rendimiento del portafolio a. Tendencias en ROI de las iniciativas incluidas en la estrategia de I&T
de inversión. b. Nivel de satisfacción con los informes de monitorización del portafolio
Monitorizar y optimizar de forma periódica el rendimiento del portafolio de c. Porcentaje de programas alineados con los requisitos de negocio de la
inversión y los programas individuales durante todo el ciclo de vida de las empresa
inversiones. Garantizar un seguimiento continuo al alineamiento del portafolio
con la estrategia de I&T.
capacidad
1. Revisar regularmente el portafolio para identificar y explotar sinergias, eliminar la duplicación entre programas, e identificar y mitigar el 3
riesgo.
2. Cuando se producen los cambios, reevaluar y repriorizar el portafolio para garantizar el alineamiento con la estrategia empresarial y de I&T.
Mantener la combinación de inversiones objetivo para que el portafolio optimice el valor total. Los programas podrían cambiar, postergarse
o retirarse, y nuevos programas podrían iniciarse, para reequilibrar y optimizar el portafolio.
3. Ajustar los objetivos de la empresa, las estimaciones, los presupuesto y, de ser necesario, el grado de monitorización para reflejar los
gastos y beneficios empresariales atribuibles a programas del portafolio de inversiones activas. Cargar los gastos del programa. Establecer
procesos presupuestarios flexibles para que proyectos prometedores consigan los recursos para escalar rápidamente.
4. Desarrollar métricas para medir la contribución de I&T a la empresa. Establecer objetivos de rendimiento adecuado que reflejen los objetivos 4
requeridos de capacidad empresarial y de I&T. Usar los consejos de expertos externos y realizar benchmark de datos para desarrollar
métricas.
5. Proporcionar una vista exacta del rendimiento del portafolio de inversión a todas las partes interesadas.
6. Proporcionar informes para revisión de los altos directivos sobre el progreso de la empresa hacia los objetivos identificados, que incluyan
que debe aún gastarse y lograr en los plazos dados.
7. En la monitorización regular del rendimiento , incluir información sobre el grado de consecución de los objetivos planificados, el riesgo
mitigado, las capacidades creadas, los entregables obtenidos y los objetivos de desempeño alcanzados.
8. Identificar desviaciones del presupuesto vs. gasto real y ROI esperado de inversiones.
88

Capítulo 4

APO05.04 Mantener los portafolios. a. Números de programas y proyectos finalizados
Mantener los portafolios de los programas y proyectos de inversión, productos y b. Tiempo transcurrido desde la última actualización del portafolio de servicios
servicios de I&T y los activos de I&T.
capacidad
1. Crear y mantener portafolios de programas de inversión habilitados por I&T, servicios prestados por I&T y activos de I&T, que forman la base 3
para el presupuesto de I&T actual y respaldan los planes tácticos y estratégicos de I&T.
2. Trabajar con gestores de servicios para conservar el portafolio de servicios. Trabajar con gestores de operaciones, gestores de producto y
arquitectos para conservar los portafolios de activos. Priorizar los portafolios para respaldar las decisiones de inversión.
3. Retirar un programa del portafolio de inversiones activas cuando los beneficios empresariales deseados se han alcanzado o cuando está
claro que los beneficios no se alcanzarán dentro de los criterios de valor establecidos para el programa.

ITIL V3, 2011 Service Strategy, 4.2 Service portfolio management
APO05.05 Gestionar el logro de beneficios. a. P orcentaje de cambios del programa de inversiones reflejados en los
Monitorizar los beneficios de ofrecer y mantener productos de I&T apropiados, portafolios relevantes de I&T
basándose en el caso de negocio acordado y vigente. b. P orcentaje de partes interesadas satisfechas con los esfuerzos para
monitorizar los beneficios de ofrecer y mantener productos de I&T apropiados,
basándose en el caso de negocio acordado y vigente.
capacidad
1. Usar las métricas acordadas y hacer un seguimiento de cómo se alcanzan los beneficios, cómo evolucionan a lo largo del ciclo de vida de 4
programas y proyectos, cómo se obtienen de productos y servicios de I&T, y cómo se comparan con benchmarks internos y de la industria.
Comunicar resultados a las partes interesadas
2. Implementar la acción correctiva cuando los beneficios logrados se desvían significativamente de los beneficios esperados. Actualizar el 5
caso de negocio para nuevas iniciativas e implementar procesos de negocio y mejoras de servicio, conforme sean necesarias.
3. Considerar la obtención de ayuda de expertos externos, líderes de la industria y datos de benchmarking comparativos para poner a prueba y
mejorar las métricas y objetivos.
89


Gestor de programas
Gestor de portafolio
Director de TI
APO05.01 Determinar la disponibilidad y las fuentes de fondos. R R A R

APO05.02 Evaluar y seleccionar programas para financiar. R R R R A R R
APO05.03 Monitorizar, optimizar e informar sobre el rendimiento del portafolio de inversión. R R R A R R
APO05.04 Mantener los portafolios. R R R A R R R
APO05.05 Gestionar el logro de beneficios. R R R R A R R R

APO05.01 Determinar la disponibilidad y las fuentes de fondos. De Descripción Descripción A
Expectativas de retorno de APO02.04;
inversión APO06.02;
BAI01.06;
EDM02.02
Opciones de financiación APO02.05
90

Capítulo 4

APO05.02 Evaluar y seleccionar programas para financiar. De Descripción Descripción A
APO03.01 Caso de negocio y propuesta Caso de negocio del programa APO06.02;
de valor del concepto de BAI01.02
arquitectura
APO04.04 Alcance de la prueba de Evaluaciones de casos de APO06.02;
conceptos y descripción del negocio BAI01.06
caso de negocio
APO06.02 • Asignaciones de presupuesto Programas seleccionados con BAI01.04;
• Priorización y clasificación de hitos de retorno de inversión EDM02.02
las iniciativas de I&T (ROI)
APO06.03 • Presupuesto de TI

• Comunicaciones del
presupuesto
APO09.01 Brechas identificadas en
servicios de TI prestados a la
empresa
APO09.03 Acuerdos de nivel de servicio
(SLA)
APO13.02 Casos de negocio de seguridad
de la información
BAI01.02 • Plan de obtención de
beneficios del programa
• Caso de negocio del concepto
del programa
• Mandato e resumen del
programa
EDM02.02 • Evaluación del alineamiento
estratégico
• Evaluación de los portafolios
de inversiones y servicios
EDM02.03 Tipos y criterios de inversión
APO05.03 Monitorizar, optimizar e informar sobre el rendimiento del APO04.06 Evaluación de los beneficios de Informes de rendimiento del APO09.04;
portafolio de inversión. innovación portafolio de inversiones BAI01.06;
EDM02.03;
BAI01.06 Resultados de la revisión por EDM02.04;
fases MEA01.03
EDM02.02 Evaluación de los portafolios de
inversiones y servicios
EDM02.04 • Retroalimentación sobre el
rendimiento del portafolio y
los programas
• Acciones para mejorar la
entrega de valor
APO05.04 Mantener los portafolios. BAI01.09 Comunicación de la retirada de Portafolios actualizados de APO09.02;
programas y programas, servicios y activos BAI01.01
rendición de cuentas futuras
BAI03.11 Portafolio de servicios

actualizada
APO05.05 Gestionar el logro de beneficios. BAI01.04 Registro del presupuesto y los Acciones correctivas para APO09.04;
beneficios del programa mejorar la obtención de BAI01.06
beneficios
BAI01.05 Resultados de la monitorización Resultados de beneficios y APO09.04;

de la obtención de beneficios comunicaciones relacionadas BAI01.06;
EDM02.02

91


Gestión de beneficios Skills Framework for the Information Age V6, 2015 BENM
Gestión del portafolio Skills Framework for the Information Age V6, 2015 POMG
Planificación de productos/servicios e-Competence Framework (e-CF)—A common European Framework for ICT A. Plan—A.4. Planificación de
Professionals in all industry sectors—Part 1: Framework, 2016 productos/servicios

Principios del portafolio Define los principios generales que
garantizan la selección correcta y
diversa de programas y proyectos para
lograr la estrategia de I&T; considerar

el alineamiento con la estrategia
empresarial, una combinación de
inversión adecuada, etc.

Fomentar la gestión sistemática de inversiones de I&T; medir y evaluar
escenarios de inversión objetivamente.
Apoyar la velocidad y agilidad, asegurar que los líderes evalúan el portafolio de
inversiones activa de forma decisiva. Si un prototipo no funciona, el liderazgo
debe acabar con el proyecto de forma decisiva, incorporando las lecciones
aprendidas y siguiendo hacia delante. Dedicar rápidamente recursos adicionales
a proyectos de éxito para escalarlos de forma adecuada.

Herramientas de gestión del portafolio/inversión
92

Capítulo 4

Objetivo de gestión: APO06 — Gestionar el presupuesto y los costes COBIT
Descripción
Gestionar las actividades financieras relacionadas con I&T en las funciones empresariales y de TI, cubriendo el presupuesto, la gestión de costes y beneficios, y
la priorización de gastos mediante el uso de prácticas presupuestarias formales y un sistema justo y equitativo de asignación de costes a la empresa. Consultar a
las partes interesadas para identificar y controlar los costes y beneficios totales dentro del contexto de los planes estratégicos y tácticos de I&T. Iniciar la acción
correctiva cuando sea necesario.
Propósito
Fomentar la asociación entre las partes interesadas de la empresa y de TI para permitir el uso eficaz y eficiente de los recursos relacionados con I&T, y proporcionar
transparencia y rendición de cuentas sobre el coste y el valor para el negocio de soluciones y servicios. Habilitar a la empresa para que tome decisiones informadas
sobre el uso de soluciones y servicios de I&T.
Æ

• EG01 Portafolio de productos y servicios competitivos • AG04 Calidad de la información financiera relacionada con la tecnología
• EG04 Calidad de la información financiera • AG09 Ejecución de programas dentro del plazo, sin exceder el presupuesto,
• EG07 Calidad de la información sobre gestión y que cumplen con los requisitos y estándares de calidad
negocio
• EG09 Optimización de costes de los procesos del negocio
EG01 a. P orcentaje de productos y servicios que cumplen o exceden los AG04 a. Satisfacción de partes interesadas clave con respecto al nivel
objetivos de ingresos y/o cuota de mercado de transparencia, comprensión y precisión de la información
b. P orcentaje de productos y servicios que cumplen o exceden los financiera de I&T
objetivos de satisfacción del cliente b. P orcentaje de servicios de I&T con costes operativos claramente
c. Porcentaje de productos y servicios que proporcionan una definidos y aprobados, y beneficios esperados
ventaja competitiva
EG04 a. E ncuesta de satisfacción de las partes interesadas clave con AG09 a. N úmero de programas/proyectos ejecutados a tiempo y dentro del
respecto al nivel de transparencia, comprensión y precisión de presupuesto
la información financiera de la empresa b. N úmero de programas que necesitan una revisión significativa
b. C oste de incumplimiento con respecto a regulaciones debido a defectos de calidad
financieras c. P orcentaje de partes interesadas satisfechas con la calidad del
programa/proyecto
EG07 a. G rado de satisfacción del consejo de administración y la
decisiones
empresarial
EG09 a. Relación entre el coste y los niveles de servicio conseguidos
b. N
iveles de satisfacción del consejo de administración y
empresarial
presupuesto
del programa
suspendidos
93

APO06.01 Gestión financiera y contable. a. N
úmero de desviaciones entre las categorías presupuestarias esperadas y
Establecer y mantener un método para gestionar y contabilizar todos los costes reales
y la depreciación relacionados con I&T como una parte integral de los sistemas b. U
tilidad de la información financiera como información para casos de negocio
y contabilidad financiera de la empresa. Elaborar un informe con los sistemas de para nuevas inversiones en activos y servicios de I&T
medición financiera de la empresa.
capacidad
1. D
efinir procesos, entradas, salidas y responsabilidades para la gestión y contabilidad financiera de I&T en línea con el presupuesto y las 2
políticas y estrategia de contabilidad de costes de la empresa. Definir cómo analizar e informar (a quién y cómo) sobre el proceso de control
presupuestario de I&T.
2. D
efinir un esquema de clasificación para identificar todos los elementos de costes relacionados con la I&T (gastos de capital [capex] vs.
gastos operativos [opex], hardware, software, personas, etc.). Identificar cómo se captan.
3. Utilidad de la información financiera a fin de proporcionar información en casos de negocio para nuevas inversiones en activos y servicios de 3
I&T.
4. G
arantizar que los costes se mantengan en los portafolios de activos y servicios de I&T.
5. E stablecer y mantener prácticas para la planificación financiera y la optimización de costes operativos recurrentes a fin de obtener el máximo 4
valor para la empresa con el mínimo gasto.
ITIL V3, 2011 Service Strategy, 4.3 Financial management for IT services
APO06.02 Establecer prioridades para la asignación de recursos. a. N
úmero de problemas de asignación de recursos escalados
Implementar un proceso de toma de decisiones para establecer prioridades b. Porcentaje de alineamiento de recursos de I&T con iniciativas de alta prioridad
sobre la asignación de recursos y establecer reglas para las inversiones
discrecionales por unidades individuales de negocio. Incluir el posible uso
de proveedores de servicios externos y considerar las opciones de compra,
desarrollo y alquiler.
capacidad
1. Clasificar todas las iniciativas y solicitudes de presupuesto de I&T con base en los casos de negocio y las prioridades estratégicas y tácticas. 2
Establecer procedimientos para determinar la asignación de presupuesto y los puntos de corte.
2. Asignar recursos empresariales y de TI (incluidos proveedores de servicios externos) dentro de las asignaciones presupuestarias de alto
nivel para programas, servicios y activos relacionados con I&T. Considerar las opciones para la compra o desarrollo de activos y servicios
capitalizados frente a activos y servicios utilizados externamente con base en el pago por uso.
3. Establecer un procedimiento para comunicar las decisiones presupuestarias y revisarlas con los responsables de presupuesto de las
unidades de negocio.
4. Identificar, comunicar y resolver los impactos significativos de las decisiones presupuestarias en los casos de negocio, portafolios y planes
estratégicos. (Por ejemplo, esto podría incluir las situaciones donde los presupuestos deben revisarse debido al cambio de las circunstancias
empresariales o cuando éstas no son suficientes para respaldar los objetivos estratégicos u objetivos del caso de negocio).
5. Obtener la ratificación del comité ejecutivo para las implicaciones presupuestarias de I&T que tengan un impacto negativo en los planes 3
estratégicos o tácticos de la entidad. Sugerir acciones para resolver estos impactos.
APO06.03 Crear y mantener presupuestos. a. Número de cambios presupuestarios debido a omisiones y errores
Preparar un presupuesto que refleje las prioridades de inversión con base en el b. U tilidad del presupuesto de I&T a la hora de identificar todos los costes de I&T
portafolio de programas habilitados por I&T y los servicios de I&T. esperados de los programas, servicios y activos habilitados por I&T.
94

Capítulo 4

capacidad
1. Implementar un presupuesto de I&T formal, incluidos todos los costes de I&T esperados de los programas, servicios y activos habilitados por 2
I&T.
2. A la hora de crear el presupuesto, considerar los componentes siguientes: alineamiento con el negocio; alineamiento con la estrategia de
abastecimiento; fuentes de financiación autorizadas; costes de recursos internos, incluido el personal, activos de información y garantías;
costes de terceros, incluidos los contratos de externalización, consultores y proveedores de servicios; gastos de capital y operativos; y
elementos de coste que dependen de la carga de trabajo.
3. Documentar las razones que justifican las contingencias y revisarlas de forma regular.
4. Instruir a los dueños del proceso, servicio y programa, así como a los gestores de proyecto y activos, para planificar los presupuestos.
5. Revisar los planes presupuestarios y tomar decisiones sobre las asignaciones de presupuesto. Recopilar y ajustar el presupuesto con base 3
en los cambios de las necesidades de la empresa y consideraciones financieras.

6. Registrar, mantener y comunicar el presupuesto de I&T actual, incluidos los gastos comprometidos y los gastos actuales, mediante la
consideración de los proyectos de I&T registrados en los portafolios de inversión habilitadas por I&T y el funcionamiento y mantenimiento de
los portafolios de activos y servicios.
7. Monitorizar la efectividad de los distintos aspectos del presupuesto. 4
8. Usar los resultados monitorizados para implementar mejoras y asegurar que los presupuestos futuros sean más precisos, confiables y 5
rentables.
ISO/IEC 20000-1:2011(E) 6.4 Budgeting and accounting for services
PMBOK Guide Sixth Edition, 2017 Part 1: 7. Project cost management
APO06.04 Modelar y asignar los costes. a. Porcentaje de costes generales de I&T que se asignan de acuerdo con los
Establecer y usar un modelo basado en los costes de I&T, por ejemplo, en modelos de costes acordados
la definición de los servicios. Este enfoque garantiza que la asignación de b. N úmero de revisiones y benchmarks del modelo de costes/devoluciones y su
costes para servicios sea identificable, medible y predecible, y fomenta el uso adecuación para las cambiantes actividades empresariales y de I&T
responsable de los recursos, incluidos aquellos proporcionados por proveedores
de servicios. Revisar y comparar regularmente el modelo de coste/devoluciones
para conservar su relevancia y adecuación a las cambiantes actividades
empresariales y de TI.
capacidad
1. Decidir un modelo de asignación de costes que permita una asignación justa, transparente, repetible y comparable de costes relacionados 3
con I&T a los usuarios. Un ejemplo de modelo de asignación básico es la asignación uniforme de costes compartidos relacionados con I&T.
Se trata de un sencillísimo modelo de asignación que es fácil de aplicar; sin embargo, según el contexto de la empresa, se suele considerar
injusto y que no fomenta el uso responsable de los recursos. Un esquema de costes basado en actividades, en aquel en el que los costes se
asignan a servicios de TI y se cargan a los usuarios de estos servicios, permite una asignación de costes más transparente y comparable.
2. Inspeccionar los catálogos de definiciones de servicios para identificar aquellos sujetos a devolución a los usuarios y aquellos que son
servicios compartidos.
3. Diseñar el modelo de costes de manera que sea lo bastante transparente como para permitir a los usuarios identificar el uso y cargo actual,
con categorías y factores de costes que tengan sentido para el usuario (como, coste por llamada a Help Desk, costo por licencia de software)
y para permitir una mejor , predictibilidad de costes de I&T y utilización eficaz y eficiente de los recursos de I&T. Analizar los factores de
coste (tiempo dedicado por actividad, gastos, proporción de costes fijos frente a variables, etc.). Decidir una diferenciación adecuada (p. ej.
distintas categorías de usuarios con distinto peso) y usar aproximaciones o medias de coste cuando los costes reales tienen una naturaleza
muy variable.
4. Explicar los principios y el resultado del modelo de costes a las partes interesadas clave. Obtener su retroalimentación para perfeccionarlo
con vistas a lograr un modelo transparente y exhaustivo.
5. Obtener la aprobación de las partes interesadas clave para comunicar el modelo de costes de I&T a la dirección de los departamentos de
usuario.
6. Comunicar cambios importantes en los principios del modelo de coste/repercusión a las partes interesadas y directivos clave de los
departamentos de usuario.
95


APO06.05 Gestionar los costes. a. P orcentaje de variación entre presupuestos, previsiones y costes reales
Implementar un proceso de gestión de costes que compare los costes actuales b. P untualidad de la monitorización e información en caso de desviaciones, así
contra el presupuesto. Es necesario monitorizar e informar sobre los costes, Las como su impacto sobre los procesos empresariales y los servicios evaluados.
desviaciones presupuestarias deben identificarse de forma oportuna, así como
su impacto sobre los procesos empresariales y los servicios evaluados.
capacidad
1. O
btener la aprobación de las partes interesadas clave para comunicar el modelo de costes de I&T a la dirección de los departamentos de 2
usuario.
2. E stablecer escalas de tiempo para la ejecución del proceso de gestión de costes en línea con los requisitos y el plazo del presupuesto y la
contabilidad.
3. D
efinir un método para recopilar los datos relevantes para identificar desviaciones del presupuesto frente a los gastos reales, el ROI de la
inversión, las tendencias de los costes de servicios, etc.
4. D
efinir cómo se consolidan los costes para los niveles adecuados en la empresa (TI central frente al presupuesto de TI dentro de los 3
departamentos de la empresa) y cómo se presentarán a las partes interesadas. El informe proporciona información de los costes por
categoría de costes, estado del presupuesto frente a los gastos actuales, mayores gastos, etc., para permitir la identificación oportuna de las
acciones correctivas requeridas.
5. Instruir a aquellos responsables de la gestión de costes a captar, recoger y consolidar los datos y presentar e informar de los datos a los
responsables de presupuesto correspondientes. Los analistas y responsables del presupuesto analizan conjuntamente las desviaciones
y comparan el rendimiento con benchmarks internos y de la industria. Estos deberían establecer y mantener el método de asignación de
superávits. El resultado del análisis proporciona una explicación de las desviaciones significativas y las acciones correctivas sugeridas.
6. G
arantizar que los niveles directivos adecuados revisen los resultados del análisis y aprueben las acciones correctivas sugeridas.
7. G
arantizar que se identifiquen los cambios en estructuras de costes y necesidades empresariales, y que se revisen los presupuestos y 4
previsiones, conforme sea necesario.
8. E n intervalos regulares, y sobre todo cuando hay recortes de presupuesto debido a limitaciones financieras, identificar la forma de optimizar 5
los costes e introducir eficiencias sin poner en peligro los servicios.
Director de TI

APO06.01 Gestión financiera y contable. A R R
APO06.02 Establecer prioridades para la asignación de recursos. R A R R R R
APO06.03 Crear y mantener presupuestos. R A R R R
APO06.04 Modelar y asignar los costes. R A R
APO06.05 Gestionar los costes. R A R R R
96

Capítulo 4
C. Componente: Flujos y elementos de gestión (ver también la sección 3.6)

APO06.01 Gestión financiera y contable. De Descripción Descripción A
BAI09.01 Registro de activos Prácticas de planificación Interna
financiera
Esquema de clasificación Interna
de costes de I&T
Procesos contables Interna

APO06.02 Establecer prioridades para la asignación de APO04.04 Alcance de prueba de Asignaciones de APO02.05;
recursos. concepto y descripción del presupuesto APO05.02;
caso de negocio APO07.05;
BAI03.11

APO05.01 Expectativas de retorno de Priorización y clasificación APO05.02
inversión de las iniciativas de I&T
APO05.02 • Caso de negocio del
programa
• Evaluaciones del caso de
negocio
EDM02.02 Evaluación de los
portafolios de inversiones y
servicios
EDM02.04 Acciones para mejorar la
entrega de valor
APO06.03 Crear y mantener presupuestos. Presupuestos de I&T APO02.05;
APO05.02;
APO07.01;
BAI03.11
Comunicaciones del APO05.02;
presupuesto APO07.01;
BAI03.11
APO06.04 Modelar y asignar los costes. Procedimientos operativos Interna
Comunicaciones de Interna
asignación de costes
Modelo de asignación de Interna
costes
Costes de I&T Interna
categorizados
APO06.05 Gestionar los costes. BAI01.02 Plan de obtención de Oportunidades de APO02.02
beneficios del programa optimización de costes
BAI01.04 Registro del presupuesto y Método de consolidación Interna
los beneficios del programa de costes
BAI01.05 Resultados de Método de recolección de Interna
monitorización de datos de costes
obtención de beneficios
EDM02.04 Observaciones sobre el
rendimiento del portafolio y
los programas
PMBOK Guide Sixth Edition, 2017 Part 1: 7. Project cost management: Inputs and Outputs

Gestión financiera Skills Framework for the Information Age V6, 2015 FMIT
97


Política presupuestaria Se encarga de la preparación y plazos
del presupuesto anual y la predicción
de la posición financiera anual.
Señala los procesos de elaboración
de informes requeridos por la
dirección. Establece la rendición de
cuentas y la responsabilidad del plan
presupuestario y otros documentos
financieros.

La gestión efectiva y eficaz de I&T viene apoyada por una cultura de

transparencia del presupuesto, costes y beneficios en toda la organización.
La Dirección debería habilitar una cultura basada en la toma de decisiones
soportada en hechos a través de, por ejemplo, estimaciones comparables de los
costes y beneficios empresariales y de TI como insumo a la gestión de portafolio
la asignación justa de costes de activos y recursos de TI y la elaboración de
presupuestos repetidos de TI.

Sistema de contabilidad de costes
98

Capítulo 4
Dominio: Alinear, planificar y organizar Área prioritaria: Modelo Core de

Objetivo de gestión: APO07—Gestionar los recursos humanos COBIT
Descripción
Proporcionar un enfoque estructurado para asegurar una contratación/adquisición, planificación, evaluación y desarrollo de recursos humanos óptimos (tanto
interna como externamente).
Propósito
Optimizar las capacidades de recursos humanos para satisfacer los objetivos de la empresa.
Æ
• EG01 Portafolio de productos y servicios competitivos • AG12 Personal competente y motivado con un entendimiento mutuo de la
• EG10 Habilidades, motivación y productividad del personal tecnología y el negocio
• EG13 Innovación de productos y del negocio • AG13 Conocimiento, experiencia e iniciativas para la innovación

empresarial
EG01 a. P orcentaje de productos y servicios que cumplen o exceden los AG12 a. Porcentaje de empresarios con comprensión en I&T (es decir,
objetivos de ingresos y/o cuota de mercado aquellos que tienen los conocimientos y el entendimiento de I&T
b. P orcentaje de productos y servicios que cumplen o exceden los requeridos para guiar, dirigir, innovar y ver las oportunidades de
objetivos de satisfacción del cliente I&T en su área de especialización empresarial)
c. Porcentaje de productos y servicios que proporcionan una b. P orcentaje de empresarios con comprensión en I&T (es decir,
ventaja competitiva aquellos que tienen los conocimientos y el entendimiento de los
d. Plazo de comercialización para nuevos productos y servicios dominios empresariales relevantes para guiar, dirigir, innovar y ver
las oportunidades de I&T para su dominio empresarial)
c. N
úmero o porcentaje de empresarios con experiencia en gestión
de tecnología
EG10 a. Productividad del personal comparada con benchmarks AG13 a. N
ivel de conocimiento y comprensión de los ejecutivos del
b. N ivel de satisfacción de las partes interesadas con los niveles negocio sobre las posibilidades de innovación de las I&T
de conocimientos y habilidades del personal b. N
úmero de iniciativas aprobadas como resultado de ideas
c. Porcentaje de personal cuyas habilidades son insuficientes con innovadoras de I&T
respecto a la competencia en su rol c. Número de líderes en innovación reconocidos/premiados
d. Porcentaje de personal satisfecho
EG13 a. N ivel de conocimiento y comprensión de las posibilidades de
innovación del negocio
b. S atisfacción de las partes interesadas con los niveles de
conocimientos e ideas sobre innovación y productos
c. Número de iniciativas de productos y servicios aprobadas
APO07.01 Adquirir y mantener una dotación de personal suficiente y adecuada. a. Duración promedio de las vacantes
Establecer y mantener un método para gestionar y contabilizar todos los costes, b. Porcentaje de puestos de TI vacantes
inversiones y depreciación relacionados con I&T como una parte integral de los c. Porcentaje de rotación de personal
sistemas y contabilidad financiera de la empresa. Elaborar un informe con los
sistemas de medición financiera de la empresa.
capacidad
1. Evaluar los requisitos de personal de forma periódica o ante cambios mayores Asegurar que tanto la empresa como la función de TI tengan 2
los suficientes recursos para apoyar las metas y los objetivos empresariales, procesos y controles empresariales y las iniciativas habilitadas
por I&T de forma adecuada y apropiada.
2. Mantener los procesos de contratación y retención de personal empresarial y de TI en línea con todas las políticas y procedimientos de
personal de la empresa.
3. Establecer una estructura de recursos flexible, como el uso de transferencias, contratistas externos y acuerdos de servicio con terceros, para
apoyar el cambio en las necesidades empresariales.
4. Incluir verificaciones de antecedentes en el proceso de contratación de TI para empleados, contratistas y terceros. El alcance y frecuencia de 3
estas verificaciones debe depender de la sensibilidad y/o criticidad de la función.
99


Skills Framework for the Information Age V6, 2015 SFIA and skills management—Acquire
APO07.02 Identificar al personal clave de TI. a. P orcentaje de trabajos críticos en los que la empresa depende de un único
Identificar al personal clave de TI. Usar la captura de conocimientos individuo
(documentación), intercambio de conocimientos, planificación de sucesión y b. Número de planes de respaldo de personal realizados
personal de respaldo para minimizar la dependencia en un único individuo que
realice un trabajo crítico.
capacidad
1. Como precaución de seguridad, proporcionar directrices sobre un tiempo mínimo de vacaciones anuales que tomarán las personas clave. 2
2. Tomar las acciones pertinentes relativas a cambios laborales, en especial terminación de contratos.
3. Usar la captura de conocimientos (documentación), intercambio de conocimientos, planificación de sucesión y personal de respaldo para
minimizar la dependencia en un único individuo que realice un trabajo crítico.
4. Comprobar regularmente los planes de respaldo de personal 3
CMMI Cybermaturity Platform, 2018 RI.RR Identification of Roles and Responsibilities
Skills Framework for the Information Age V6, 2015 SFIA and skills management—Acquire
APO07.03 Mantener las habilidades y competencias del personal. a. Identificar habilidades y competencias clave que no se encuentren en la matriz
Definir y administrar las habilidades y competencias que necesita el personal. de recursos
Verificar periódicamente que el personal cuente con las competencias b. Número de brechas identificadas entre las habilidades requeridas y las
necesarias para realizar sus funciones conforme a su educación, capacitación disponibles
y/o experiencia. Verificar que estas competencias se mantengan con programas c. Número de programas de capacitación proporcionados
de aptitud y certificación cuando sea apropiado. Dar a los empleados
oportunidades de aprendizaje continuas para mantener sus conocimientos,
habilidades y competencias al nivel requerido para alcanzar las metas
empresariales.
capacidad
1. Identificar las habilidades y competencias disponibles actuales, tanto de recursos internos como externos. 2
2. Identificar las brechas entre las habilidades requeridas y las disponibles Desarrollar planes de acción, como capacitación (habilidades
técnicas y de conducta), contratación, reasignación y cambio de las estrategias de abastecimiento, para resolver las brechas desde el punto
de vista individual y colectivo.
3. Revisar los materiales y programas de capacitación de forma regular. Garantizar su idoneidad con respecto a los requisitos en constante 3
evolución de la empresa y su impacto sobre el conocimiento, capacidades y habilidades necesarias.
4. Proporcionar acceso a los repositorios de conocimiento para respaldar el desarrollo de habilidades y competencias.
5. Desarrollar y ofrecer programas de capacitación conforme a los requisitos del proceso y organizativos, incluidos los requisitos para el
conocimiento empresarial, control interno, conducta ética, seguridad y privacidad.
6. Realizar evaluaciones periódicas para evaluar la evolución de las habilidades y competencias de los recursos internos y externos. Evaluar la 4
planificación de los reemplazos.
ISF, The Standard of Good Practice for Information Security 2016 PM2.3 Security Education/Training
ISO/IEC 27001:2013/Cor.2:2015(E) 7.2 Competence
National Institute of Standards and Technology Framework for Improving Critical PR.AT Awareness and Training
Infrastructure Cybersecurity V1.1, abril de 2018
National Institute of Standards and Technology Special Publication 800-53, 3.2 Awareness and training (AT-3, AT-4)
Skills Framework for the Information Age V6, 2015 SFIA and skills management—Deploy
The CIS Critical Security Controls for Effective Cyber Defense Versión 6.1, agosto CSC 17: Security Skills Assessment and Appropriate Training to Fill Gaps
de 2016
100

Capítulo 4

APO07.04 Evaluar y reconocer/recompensar el rendimiento laboral de los a. N
úmero de momentos de retroalimentación oficial y evaluaciones de 360
empleados. grados realizadas
Realizar evaluaciones regulares y oportunas del rendimiento contra los objetivos b. Número y valor de las recompensas otorgadas al personal
individuos derivados de las metas empresariales, estándares establecidos,
responsabilidades específicas de los cargos, y marco de habilidades y
competencias. Implementar un proceso de remuneración/reconocimiento que
reconozca el logro de las metas de desempeño.
capacidad
1. Considerar las metas empresariales/funcionales como el contexto para establecer metas individuales 2
2. Establecer metas individuales alineadas con las metas empresariales y de I&T relevantes. Basar las metas en objetivos específicos,

medibles, alcanzables, relevantes y en tiempo (SMART) que reflejen las competencias principales, los valores empresariales y las habilidades
requeridas para los roles.
3. Proporcionar retroalimentación oportuna acerca del rendimiento comparado con las metas individuales.
4. Proporcionar instrucciones específicas para el uso y el almacenamiento de la información personal en el proceso de evaluación, en
cumplimiento de la legislación vigente sobre datos personales y laboral vigente.
5. Recopilar resultados de evaluación de rendimiento de 360 grados. 3
6. Proporcionar planes formales de planificación y de desarrollo profesional conforme a los resultados del proceso de evaluación para fomentar
el desarrollo de competencias y las oportunidades para el avance personal y para reducir la dependencia de individuos clave. Proporcionar
coaching a los empleados sobre el rendimiento y la conducta cuando sea apropiado.
7. Implementar un proceso de remuneración/reconocimiento que premie el compromiso adecuado, desarrollo de competencias y logro de las
metas de desempeño. Asegurar que el proceso se aplique de forma consistente y en línea con las políticas organizativas.
8. Implementar y comunicar un proceso disciplinario.
Skills Framework for the Information Age V6, 2015 SFIA and skills management—Develop
APO07.05 Planificar y hacer seguimiento del uso de los recursos humanos del a. N úmero de carencias identificadas y habilidades ausentes a la hora de
negocio y de TI. planificar el personal
Comprender y hacer un seguimiento de la demanda actual y futura de recursos b. Tiempo utilizado por cada empleado a tiempo completo (FTE) en trabajos y
humanos del negocio y de TI con responsabilidades en las I&T empresariales. proyectos
Identificar las carencias y proporcionar recomendaciones sobre los planes de
abastecimiento, procesos de contratación de la empresa y de TI, y procesos de
contratación de negocio y de TI.
capacidad
1. Crear y mantener un inventario de recursos humanos empresariales y de TI. 2
2. Entender la demanda actual y futura de recursos humanos para contribuir a lograr los objetivos de I&T y ofrecer servicios y soluciones 3
conforme al portafolio de iniciativas relacionadas con I&T, al portafolio de inversión futura y necesidades operativas diarias.
3. Identificar las carencias y proporcionar recomendaciones sobre los planes de abastecimiento, así como de los procesos de contratación de
personal empresarial y de TI. Crear y revisar la planificación de personal, mediante un seguimiento de su uso real.
4. Mantener una información adecuada sobre el tiempo dedicado a las distintas tareas, trabajos, servicios o proyectos. 4
Skills Framework for the Information Age V6, 2015 SFIA and skills management—Assess; Reward
APO07.06 Gestionar al personal contratado. a. P orcentaje de contratistas que firman el marco de control empresarial
Asegurarse de que los consultores y el personal por contrato, que dan soporte b. F recuencia de las revisiones periódicas llevadas a cabo para garantizar la
a la empresa con habilidades de I&T, conozcan y cumplan las políticas de la exactitud y el cumplimiento con la ley, del personal del contratista.
organización y los requisitos contractuales acordados.
101


capacidad
1. Implementar las políticas y procedimientos del personal contratado 2
2. Al inicio del contrato, obtener el acuerdo formal de los contratistas de que deben cumplir con el marco de control de I&T empresarial,
así como con las políticas y verificaciones de seguridad, control del acceso físico y lógicos, uso de las instalaciones, requisitos de
confidencialidad de la información y acuerdos de no revelación
3. Avisar a los contratistas de que los directivos se reservan el derecho a supervisar e inspeccionar todo el uso de los recursos de TI, incluido el
correo electrónico, comunicaciones de voz y todos los programas y archivos de datos.
4. Como parte de sus contratos, proporcionar a los contratistas una definición clara de sus roles y responsabilidades, incluidos los requisitos
explícitos para documentar su trabajo conforme a los estándares y formatos acordados.
5. Revisar el trabajo de contratistas y basar la aprobación de los pagos en los resultados.
6. En contratos formales y no ambiguos, definir todo el trabajo realizado por personal externo. 3
7. Realizar revisiones periódicas para garantizar que el personal contratado haya firmado y aceptado todos los acuerdos necesarios. 4
8. Realizar revisiones periódicas para garantizar que los roles de los contratistas y los derechos de acceso sean adecuados y conforme a los
contratos.
Skills Framework for the Information Age V6, 2015 SFIA and skills management—Deploy

Gestor de Servicios
Jefe de desarrollo
Director de TI
Asesor legal
APO07.01 Adquirir y mantener una dotación de personal suficiente y adecuada. A R R R R R R R R R R R
APO07.02 Identificar al personal clave de TI. A R R R R R R R R R R R R R
APO07.03 Mantener las habilidades y competencias del personal. A R R R R R R R R R R R
APO07.04 Evaluar y reconocer/recompensar el rendimiento laboral de los empleados. A R R R R R R R R R
APO07.05 Planificar y hacer seguimiento del uso de los recursos humanos del negocio y de TI. R A R R R R R R R R R R R R
APO07.06 Gestionar al personal contratado. A R R R R R R R R R R R R
Guía correspondiente (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
Sin guía correspondiente para este componente.
102

Capítulo 4

APO07.01 Adquirir y mantener una dotación de personal De Descripción Descripción A
suficiente y adecuada.
APO01.05 Definición de prácticas de Descripciones de puestos y Interna
supervisión planes de contratación de
personal
APO06.03 • Presupuesto de TI Evaluaciones de requisitos Interna
• Comunicaciones de de contratación
presupuesto
EDM04.01 • Principios rectores para la Planes de desarrollo de Interna;
asignación de recursos y competencias y de carrera APO07.02
capacidades
• Plan de recursos aprobado

de gestión de recursos
Fuera de COBIT • Políticas y procedimientos
de RR. HH. de la empresa
• Metas y objetivos
empresariales
APO07.02 Identificar al personal clave de TI. APO07.01 Planes de desarrollo de Planes de terminación de Interna
competencias y de carrera empleo
Directrices sobre Interna
vacaciones mínimas
APO07.03 Mantener las habilidades y las competencias del APO01.08 Matriz de habilidades y Matriz de habilidades y APO01.05;
personal. competencias competencias APO14.01
BAI01.02;
BAI01.04;
BAI03.12
BAI08.02 Repositorios de Planes de desarrollo de APO01.05;
conocimientos publicados competencias EDM04.01
BAI08.03 Conocimiento y esquemas Informes de revisión Interna
de concienciación y
capacitación
DSS04.06 • Requisitos de capacitación
• Monitorización de
resultados de habilidades
y competencias.
EDM01.02 Enfoque del sistema de
recompensa
de gestión de
recursos
Fuera de COBIT Metas y objetivos
empresariales
103


APO07.04 Evaluar y reconocer/recompensar el rendimiento De Descripción Descripción A
laboral de los empleados.
APO04.01 Programa de Planes de mejora Interna
reconocimiento y
recompensas
BAI05.04 Objetivos de rendimiento de Evaluaciones del Interna
RR. HH alineados rendimiento
BAI05.06 Resultados de revisión del Metas de personal Interna
rendimiento de RR. HH.
DSS06.03 Derechos de acceso
asignados
EDM01.02 Método del sistema de

recompensa
Fuera de COBIT Metas y objetivos
empresariales
APO07.05 Planificar y hacer seguimiento del uso de los APO06.02 Asignaciones de Inventario de recursos BAI01.04
recursos humanos del negocio y TI. presupuesto humanos del negocio y de TI
BAI01.04 Requisitos de recursos y Registros de utilización de BAI01.06
roles recursos
BAI11.08 Requisitos de recursos para Análisis de déficit de BAI01.06
proyectos recursos
EDM04.02 Comunicación de
estrategias de gestión de
recursos
recursos y capacidades
Organización Portafolios actuales y
empresarial futuros
Fuera de COBIT Estructura de la
organización empresarial
APO07.06 Gestionar al personal contratado. BAI01.04 Requisitos de recursos y Revisiones de acuerdos Interna
roles contractuales
BAI01.09 Comunicación de la retirada Acuerdos contractuales Interna
de programas y rendicion
de cuentas en curso
BAI11.08 Requisitos de recursos para Políticas de contratación de Interna
proyectos persona
PMBOK Guide Sixth Edition, 2017 Part 1: 9. Gestión de recursos para proyectos: Inputs and Outputs

Habilidad Guía correspondiente (Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
Provisión de educación y e-Competence Framework (e-CF)—A common European Framework for ICT D. Enable—D.3. Provisión de
capacitación Professionals in all industry sectors—Part 1: Framework, 2016 educación y capacitación
Gestión del aprendizaje y Skills Framework for the Information Age V6, 2015 ETMG
desarrollo
Gestión de rendimiento Skills Framework for the Information Age V6, 2015 PEMT
Desarrollo del personal e-Competence Framework (e-CF)—A common European Framework for ICT D. Enable—D.9. Desarrollo del
Professionals in all industry sectors - Part 1: Framework, 2016 personal
Desarrollo profesional Skills Framework for the Information Age V6, 2015 PDSV
Dotación de recursos Skills Framework for the Information Age V6, 2015 RESC
104

Capítulo 4

Política relevante Descripción de la política Guía correspondiente Referencia específica
Política de contratación de personal Enumera los criterios para aumentar el National Institute of Standards and 3.16 Personnel security (PS-1)
personal con consultores de terceros Technology Special Publication 800-53,
y/o contratistas conforme a la política Revisión 5 (Borrador), agosto de 2017
de contratación de TI empresarial y el
marco de control de I&T. Especifica
qué tipo de trabajo pueden realizar
o aumentar los terceros, bajo qué
condiciones y cuándo.
Políticas de recursos humanos (RH) Señala expectativas mutuas de la
empresa y sus empleados. Enumera
comportamientos aceptables e
inaceptables de los empleados en
un código de conducta para ayudar a

gestionar el riesgo relacionado con el
comportamiento humano.

Elementos culturales clave Guía correspondiente Referencia específica
Describir los roles y responsabilidades de los usuarios hacia la información, National Institute of Standards and 3.14 Planning (PL-4)
uso de medios y red, seguridad y privacidad. Fomentar y comunicar una cultura Technology Special Publication 800-
común que prescriba los comportamientos esperados en todos los individuos 53, Revisión 5, agosto de 2017
de la empresa y que establezca cero tolerancia respecto a los comportamientos
poco éticos.

• Sistema de gestión de recursos humanos
• Sistema de medición del rendimiento (p. ej., cuadro de mando integral, herramients de gestión de competencias)
• Herramientas de planificación de recursos
105


106

Capítulo 4

Objetivo de gestión: APO08—Gestionar las relaciones COBIT
Descripción
Gestionar las relaciones con las partes interesadas de una manera formal y transparente que asegure una confianza mutua y un enfoque combinado en lograr
las metas estratégicas dentro de las limitaciones de los presupuestos y la tolerancia al riesgo. Basar las relaciones de la comunicación abierta y transparente, un
lenguaje común, así como la voluntad de responsabilizarse y rendir cuentas por las decisiones clave por ambas partes. La empresa y TI deben trabajar juntos para
generar resultados empresariales exitosos que respalden los objetivos empresariales.
Propósito
Facilitar el conocimiento, habilidades y comportamientos correctos para generar mejores resultados, aumentar la confianza, credibilidad mutua y uso eficaz de los
recursos para estimular una relación productiva con las partes interesadas de la empresa.
Æ

• EG01 Portafolio de productos y servicios competitivos • AG05 Prestación de servicios de T&I en línea con los requisitos del
• EG08 Optimización de la funcionalidad interna de los procesos del negocio
negocio • AG06 Agilidad para convertir los requisitos del negocio en soluciones
• EG10 Habilidades, motivación y productividad del personal operativas
• EG13 Innovación de productos y negocio • AG12 Personal competente y motivado con un entendimiento mutuo de la
tecnología y el negocio
• AG13 Conocimiento, habilidad e iniciativas para la innovación empresarial
EG01 a. P orcentaje de productos y servicios que cumplen o exceden los AG05 a. Porcentaje de partes interesadas del negocio satisfechas con
objetivos de ingresos y/o cuota de mercado que la prestación de servicios de I&T cumple con los niveles de
b. P orcentaje de productos y servicios que cumplen o exceden los servicio acordados
objetivos de satisfacción del cliente b. N úmero de disrupciones del negocio debido a incidentes de
c. Porcentaje de productos y servicios que proporcionan una servicios de I&T
ventaja competitiva c. P orcentaje de usuarios satisfechos con la calidad de la prestación
d. Plazo de comercialización para nuevos productos y servicios de servicios de I&T
EG08 a. N iveles de satisfacción del consejo de administración y AG06 a. Nivel de satisfacción de los ejecutivos de negocios con la
la dirección ejecutiva con las capacidades del proceso capacidad de respuesta de I&T a los nuevos requisitos
empresarial b. P lazo de comercialización promedio para nuevos servicios y
b. N iveles de satisfacción de los clientes con las capacidades de aplicaciones relacionadas con I&T
prestación de servicios c. Tiempo promedio para convertir los objetivos estratégicos de I&T
c. Niveles de satisfacción de los proveedores externos con las en iniciativas acordadas y aprobadas
capacidades de la cadena de suministro d. Número de procesos de negocio críticos soportados por
EG10 a. Productividad del personal comparada con benchmarks AG12 a. Porcentaje de empresarios con comprensión de I&T (es decir,
b. N ivel de satisfacción de las partes interesadas con los niveles aquellos que tienen el conocimientos y entendimiento de I&T
de conocimientos y habilidades del personal requeridos para guiar, dirigir, innovar y ver las oportunidades de
c. Porcentaje de personal cuyas habilidades son insuficientes con I&T en su área de especialización empresarial)
respecto a la competencia en su rol b. P orcentaje de empresarios con comprensión de I&T (es decir,
d. Porcentaje de personal satisfecho aquellos que tienen los conocimientos y entendimiento de los
dominios empresariales relevantes para guiar, dirigir, innovar y ver
las oportunidades de I&T para su dominio empresarial)
c. Número o porcentaje de empresarios con experiencia en gestión
de tecnología
EG13 a. Nivel de conocimiento y comprensión de las posibilidades de AG13 a. Nivel de conocimiento y comprensión de los ejecutivos del
innovación del negocio negocio sobre las posibilidades de innovación de las I&T
b. Satisfacción de las partes interesadas con los niveles de b. N úmero de iniciativas aprobadas como resultado de ideas
conocimientos e ideas sobre innovación y productos innovadoras de I&T
c. Número de iniciativas de productos y servicios aprobadas c. Número de campeones en innovación reconocidos/premiados
107

APO08.01 Entender las expectativas del negocio. a. N
úmero de problemas empresariales actuales identificados
Entender los problemas, objetivos y expectativas actuales del negocio sobre I&T. b. Números de requisitos empresariales definidos para servicios habilitados por
Asegurar que se comprendan, gestionen y comuniquen los requisitos, y que su I&T
estado se acepte y apruebe.
capacidad
1. Identificar a las partes interesadas del negocio, sus intereses y áreas de responsabilidad. 2
2. Revisar la dirección, problemas, objetivos estratégicos actuales de la empresa y su alineamiento con la arquitectura empresarial.
3. Entender el entorno de negocio, limitaciones o problemas actuales de los procesos, expansión o contracción geográfica y factores de la
industria/regulatorios.
4. Mantener un conocimiento de los procesos empresariales y actividades asociadas. Entender los patrones de la demanda que se relacionan
con los volúmenes y uso del servicio.
5. Gestionar expectativas garantizando que las unidades de negocio entiendan las prioridades, dependencias, limitaciones financieras y la 3
necesidad de programar solicitudes.
6. Clarificar las expectativas empresariales para los servicios y soluciones habilitados por I&T. Asegurar que los requisitos vengan definidos 4
con criterios y métricas de aceptación empresarial.
7. Confirmar que existe un acuerdo entre TI y todos los departamentos de la empresa acerca de las expectativas y cómo se medirán. Asegurar
que este acuerdo sea confirmado por todas las partes interesadas.
Sin guía correspondiente para esta práctica de gestión
APO08.02: Alinear la estrategia de I&T con las expectativas empresariales e a. Tasa de inclusión de las oportunidades tecnológicas en las propuestas de
identificar oportunidades para que TI mejore el negocio. inversión
Alinear las estrategias de I&T con los objetivos y expectativas empresariales b. E ncuesta sobre el nivel de conocimiento tecnológico de las partes interesadas
actuales para permitir que TI sea un socio que agregue valor para el negocio y del negocio
sea un componente de gobierno para mejorar el rendimiento empresarial.
capacidad
1. Posicionar TI como un socio del negocio Jugar un papel proactivo a la hora de identificar y comunicarse con partes interesadas clave acerca 3
de oportunidades, riesgo y limitaciones. Entre ellos se incluyen tecnologías emergentes, servicios y modelos de procesos empresariales
actuales.
2. Colaborar en las principales iniciativas nuevas con gestión del portafolio, programas y proyectos. Garantizar la participación de la
organización de TI desde el inicio de una nueva iniciativa mediante consejos y recomendaciones que añadan valor (p. ej. desarrollo de casos
de negocio, definición de requisitos, diseño de soluciones) y responsabilizándose de los flujos de trabajo de I&T.
ITIL V3, 2011 Service Strategy, 4.4 Demand management
APO08.03 Gestionar la relación con el negocio. a. Calificaciones de encuestas de satisfacción de usuarios y personal de TI
Gestionar la relación entre la organización de servicio de TI y sus socios b. P orcentaje de roles y responsabilidades en las relaciones definidos, asignados
empresariales. Asegurar que los roles y responsabilidades de las relaciones se y comunicados
definan y asignen, y que se facilite la comunicación.
capacidad
1. Asignar un gestor de relaciones como un único punto de contacto para cada unidad de negocio significativa. Asegurar que se identifique una 3
única contraparte en la organización de la empresa y que la contraparte entienda el negocio, conozca suficientemente la tecnología y tenga
el nivel de autoridad adecuado.
2. Gestionar la relación de una manera formal y transparente que asegure un enfoque en el logro de una meta común y compartida de
resultados empresariales exitosos, en apoyo de las metas estratégicas y dentro de las limitaciones de los presupuestos y la tolerancia al
riesgo.
3. Definir y comunicar las reclamaciones y el procedimiento de escalamiento para resolver cualquier problema de relaciones.
4. Asegurar que las partes interesadas responsables relevantes. acuerden y aprueben las decisiones claves
5. Planificar interacciones y calendarios específicos basados en objetivos acordados y un lenguaje común (reunión de revisión del servicio y el 4
rendimiento, revisión de nuevas estrategias o planes, etc.).
108

Capítulo 4

ISO/IEC 20000-1:2011(E) 7.1 Business relationship management
ITIL V3, 2011 Service Strategy, 4.5 Business relationship management
APO08.04 Coordinar y comunicar. a. Tiempo transcurrido desde la última actualización del plan de comunicación
Trabajar con todas las partes interesadas relevantes y coordinar la prestación para toda la empresa
íntegra de los servicios y soluciones de I&T que se ofrecen a la empresa. b. P orcentaje de satisfacción del dueño de negocio con la coordinación de la
prestación íntegra de servicios y soluciones de I&T
capacidad
1. Coordinar y comunicar los cambios y actividades de transición como planes de cambios o proyectos, calendarios, políticas de liberación, 2

errores conocidos en la liberación y capacitación de sensibilización.
2. Coordinar y comunicar actividades operativas, roles y responsabilidades, incluida la definición de los tipos de peticiones, escalamiento
jerárquico, interrupciones mayores (planificadas y no planificadas) y contenido y frecuencia de los informes de servicio.
3. Hacerse responsable de la respuesta al negocio en el caso de eventos importantes que podrían influir en la relación con el negocio.
Proporcionar un soporte directo, si fuera necesario.
4. Mantener un plan completo de comunicación que defina el contenido, frecuencia y destinatarios de la información de la prestación del 3
servicio, incluido el estado del valor ofrecido y cualquier riesgo identificado.
APO08.05 Proporcionar aportes para la mejora continua de los servicios. a. Porcentaje de servicios de I&T alineados con los requisitos de negocio de la
Mejorar y evolucionar continuamente los servicios habilitados por I&T, y empresa
la entrega de servicios para que la empresa se alinee con los objetivos b. Porcentaje de las causas raíz identificadas y resueltas para todos los
empresariales y de tecnología en constante evolución. problemas
capacidad
1. Realizar análisis de satisfacción para clientes y proveedores. Asegurar que se resuelvan los problemas; informar de los resultados y el 4
estado.
2. Trabajar juntos para identificar, comunicar e implementar iniciativas de mejora. 5
3. Trabajar con la dirección del servicio y los dueños del proceso para asegurar que los servicios y los procesos de gestión de servicios
habilitados por I&T se mejoren de forma continua y que las causas raíz de todos los problemas se identifiquen y resuelvan.
109



Gestor de servicios
Jefe de desarrollo
Director de TI
APO08.01 Entender las expectativas del negocio. A R R R R R R R R R R

APO08.02: Alinear la estrategia de I&T con las expectativas empresariales e identificar oportunidades A R R R R R R R R R
para que TI mejore el negocio.
APO08.03 Gestionar la relación con el negocio. R R R A R R R R R R R
APO08.04 Coordinar y comunicar. R R R A R R R R R R R
APO08.05 Proporcionar aportes para la mejora continua de los servicios. A R R R R R R R

APO08.01 Entender las expectativas del negocio. De Descripción Descripción A
APO02.05 Hoja de ruta estratégica Expectativas del negocio Interna
explicados y acordados
APO08.02: Alinear la estrategia de I&T con las expectativas APO09.01 Brechas identificadas en Próximos pasos y planes de Interna
empresariales e identificar oportunidades para que TI mejore servicios de TI para la acción acordados
el negocio. empresa
APO09.04 • Informes de rendimiento
del nivel de servicio
• Planes de acción de
mejora y remediaciones
APO11.03 Causas raíz de la falla al
ofrecer calidad
APO08.03 Gestionar la relación con el negocio. DSS02.02 Peticiones de servicio e Estado de reclamaciones y Interna
incidentes clasificados y escalamiento
priorizados
DSS02.06 • Cerrar las peticiones e Decisiones clave acordadas Interna
incidentes de servicio.
• Confirmación del usuario
del cumplimiento o
resolución satisfactoria
DSS02.07 • Estado de incidentes e
informe de tendencias
• Estado de cumplimiento
de peticiones e informe de
tendencias
110

Capítulo 4

APO08.04 Coordinar y comunicar. De Descripción Descripción A
APO09.03 Acuerdos de nivel de Respuestas del cliente Interna
servicio (SLA)
APO12.06 Comunicación de impacto Paquetes de comunicación Interna
del riesgo
BAI05.05 Plan de uso y operación Plan de comunicación Interna
BAI07.07 Plan de soporte
suplementario
BAI09.02 Comunicaciones de tiempos
de suspensión del servicio

por mantenimientos
planificados
DSS03.04 Comunicación de
conocimientos adquiridos
APO08.05 Proporcionar aportes para la mejora continua de los APO09.02 Catálogos de servicios Definición de posibles APO02.02;
servicios. proyectos de mejora BAI03.11
APO11.02 • Requisitos del cliente para Análisis de satisfacción APO09.04
la gestión de la calidad
• Resultado de la calidad
del servicio, incluida la
retroalimentación de los
clientes
APO11.03 Resultados de la
monitorización de la calidad
para la prestación de
servicios y soluciones
APO11.04 Resultados de las
revisiones y auditorías de
calidad
BAI03.10 Plan de mantenimiento
BAI05.05 Mediciones y resultados
del éxito
BAI07.07 Plan de apoyo
complementario

Gestión de relaciones e-Competence Framework (e-CF)—A common European Framework for ICT E. Manage—E.4. Relationship
Gestión de relaciones Skills Framework for the Information Age V6, 2015 RLMT

Política de gestión de relaciones Proporciona las directrices para
empresa—TI establecer y mantener las relaciones
entre la empresa y TI. Fomenta la
transparencia, una confianza mutua y
un enfoque compartido en lograr las
metas estratégicas dentro del contexto
presupuestario y la tolerancia al riesgo.
111


Establecer una cultura basada en la confianza mutua, comunicación transparente,
términos abiertos y comprensibles, lenguaje común, propiedad y rendición de
cuentas. Deben existir buenas relaciones entre la empresa y las TI dentro de la
empresa para lograr un objetivo común.

• Plataformas de colaboración
• Servicios internos de capacitación y concienciación
112

Capítulo 4

Objetivo de gestión: APO09 — Gestionar los acuerdos de servicio COBIT
Descripción
Alinear los productos y servicios habilitados por I&T y los niveles de servicio con las necesidades y expectativas de la empresa, incluidos la identificación,
especificación, diseño, publicación, acuerdo y monitorización de los productos y servicios de I&T, niveles de servicio e indicadores de rendimiento.
Propósito
Asegurarse que los productos, servicios y niveles de servicio de I&T satisfagan las necesidades actuales y futuras de la empresa.
Æ
• EG01 Portafolio de productos y servicios competitivos AG05 Prestación de servicios de I&T conforme a los requisitos del negocio
• EG08 Optimización de la funcionalidad interna de procesos del negocio

objetivos de ingresos y/o cuota de mercado que la prestación de servicios de I&T cumpla con los niveles de
EG08 a. N iveles de satisfacción del consejo de administración y la
dirección ejecutiva con las capacidades del proceso de negocio
APO09.01 Identificar los servicios de I&T. a. N
úmero de actividades empresariales que no reciben el apoyo de ningún
Analizar los requisitos del negocio y hasta qué punto los servicios habilitados servicio de I&T
por I&T y los niveles de servicio apoyan los procesos del negocio. Analizar y b. Número de servicios obsoletos identificados
acordar los servicios y niveles de servicio potenciales con el negocio. Comparar
los niveles de servicio potenciales con el portafolio actual de servicios;
identificar opciones nuevas o modificadas de servicios o de nivel de servicio.
capacidad
1. Evaluar los servicios y niveles de servicios de I&T actuales para identificar las brechas entre los servicios actuales y las actividades 2
empresariales que apoyan. Identificar áreas de mejora de los servicios existentes y opciones de nivel de servicio.
2. Analizar, estudiar y estimar la demanda futura y confirmar la capacidad de servicios actuales habilitados por I&T.
3. Analizar actividades del proceso empresarial para identificar la necesidad de servicios de I&T nuevos o rediseñados. 3
4. Comparar los requisitos identificados con los componentes de servicio vigentes del portafolio. Si fuera posible, incluir los componentes de
servicio vigentes (servicios de I&T, opciones de nivel de servicio y paquetes de servicio) en nuevos paquetes de servicio para satisfacer los
requisitos del negocio identificados.
5. Revisar regularmente el portafolio de servicios de I&T con la gestión del portafolio y la gestión de relaciones con el negocio para identificar
servicios obsoletos. Acordar su retirada y proponer cambios.
6. Cuando sea posible, hacer corresponder las demandas con los paquetes de servicio y crear servicios estandarizados para lograr eficiencias 4
globales.
ITIL V3, 2011 Service Strategy, 4.4 Demand management
113


APO09.02 Catalogar los servicios habilitados por I&T. a. P orcentaje de servicios activos habilitados por I&T y paquetes de servicio
Definir y mantener uno o más catálogos de servicios para grupos objetivo ofrecidos en comparación con el portafolio
relevantes. Publicar y mantener servicios activos habilitados por I&T en los b. Tiempo transcurrido desde la última actualización del portafolio de servicios
catálogos de servicios.
capacidad
1. Publicar en catálogos los servicios activos importantes , paquetes de servicios y opciones de nivel de servicio habilitados por TI desde el 2
portafolio.
2. Asegurar de forma continua que los componentes de servicio en el portafolio y los catálogos de servicios relacionados estén completos y 3
actualizados.
3. Informar a la dirección de gestión de relaciones empresariales acerca de todas las actualizaciones de los catálogos de servicios.

ITIL V3, 2011 Service Design, 4.2 Service Catalogue Management
APO09.03 Definir y preparar acuerdos de servicio. a. Número de procesos de negocio con acuerdos de servicio no definidos
Definir y preparar acuerdos de servicio basados en las opciones de los catálogos b. Porcentaje de servicios de TI activos cubiertos por acuerdos de servicio
de servicio. Incluir acuerdos operativos internos.
capacidad
1. Analizar los requisitos para acuerdos de servicio nuevos o modificados recibidos de la gestión de relaciones con el negocio a fin de asegurar 2
que puedan satisfacerse. Considerar aspectos como los tiempos de servicio, disponibilidad, rendimiento, capacidad, seguridad, privacidad,
continuidad, problemas de cumplimiento y regulatorios, usabilidad, limitaciones de la demanda y calidad de los datos.
2. Redactar borradores de acuerdos de servicio al cliente basados en los servicios, paquetes de servicios y opciones de nivel de servicio en los
catálogos de servicios relevantes.
3. Finalizar los acuerdos de servicio al cliente con la gestión de relaciones con el negocio.
4. Determinar, acordar y documentar acuerdos operativos internos que sustenten los acuerdos de servicio al cliente, si corresponde. 3
5. Relacionarse con la gestión de proveedores externos para garantizar que los adecuados contratos comerciales con proveedores de servicios
externos sustenten los acuerdos de servicio al cliente, si corresponde.
ISF, The Standard of Good Practice for Information Security 2016 SY2.1 Service Level Agreements
ISO/IEC 20000-1:2011(E) 4.5 Establish and improve the SMS; 6.1 Service level management
ITIL V3, 2011 Service Design, 4.3 Service Level Management
National Institute of Standards and Technology Special Publication 800-53, 3.18 System and services acquisition (SA-9)
APO09.04 Monitorizar y reportar los niveles de servicio. a. N
úmero y severidad de las brechas de servicio
Monitorizar los niveles de servicio, informar sobre los logros e identificar b. P orcentaje de clientes satisfechos con que la prestación de servicios cumple
tendencias. Ofrecer información gerencial apropiada para ayudar a la gestión con los niveles acordados
del rendimiento. c. Porcentaje de objetivos de servicio alcanzados
d. Porcentaje de servicios monitorizados contra los niveles de servicio
capacidad
1. Establecer y mantener medidas para monitorizar y recopilar datos de nivel de servicio. 4
2. Evaluar el rendimiento y proporcionar reportes sobre el rendimiento de los acuerdos de servicio regular y formalmente, incluidas las
desviaciones de los valores acordados. Distribuir este informe a la gestión de relaciones con el negocio.
3. Realizar revisiones regulares para pronosticar e identificar las tendencias del rendimiento de nivel de servicio. Incorporar prácticas de gestión
de calidad en la monitorización de servicios.
4. Ofrecer la información de gestión apropiada para contribuir a la gestión del rendimiento.
5. Acordar planes de acción y remediaciones para cualquier problema de rendimiento o tendencias negativas.
HITRUST CSF versión 9, septiembre de 2017 09.02 Control Third Party Service Delivery
ISO/IEC 20000-1:2011(E) 6.2 Service reporting
114

Capítulo 4

APO09.05 Revisar los acuerdos y los contratos de servicio. a. N úmero de revisiones de los acuerdos de servicio realizadas
Realizar revisiones periódicas de los acuerdos de servicio y revisarlos cuando b. Porcentaje de objetivos de servicio alcanzados
sea necesario. c. P orcentaje de partes interesadas satisfechas con la calidad de los acuerdos
de servicio
d. Número de acuerdos de servicio revisados, conforme sea necesario
capacidad
1. Revisar de forma regular los acuerdos de servicio conforme a los términos acordados para garantizar que sean efectivos y estén 3
actualizados. Cuando corresponda, tener en cuenta cambios en requisitos, servicios habilitados por I&T, paquetes de servicio y opciones de
nivel de servicio.
2. Cuando sea necesario, revisar el acuerdo de servicio vigentes con el proveedor de servicios. Acordar y actualizar los acuerdos operativos 4

internos.

Gestor de Servicios
Director de TI
Asesor legal
APO09.01 Identificar los servicios de I&T. R R A R R
APO09.02 Catalogar los servicios habilitados por I&T. R A R R
APO09.03 Definir y preparar acuerdos de servicio. R A R R R R R R
APO09.04 Monitorizar y reportar los niveles de servicio. R A R R R
APO09.05 Revisar los acuerdos y los contratos de servicio. R A R R R R
ISO/IEC 20000-1:2011(E) 4.1.1 Management commitment
115


APO09.01 Identificar los servicios de I&T. De Descripción Descripción A
Brechas identificadas en los APO01.10;
servicios de I&T prestados a APO02.02;
la empresa APO05.02;
APO08.02
Definiciones de servicios EDM02.01
estándar
APO09.02 Catalogar los servicios habilitados por I&T. APO05.04 Portafolios actualizados Catálogos de servicios APO08.05
con programas, servicios y
activos
EDM04.01 Plan de recursos aprobado

EDM04.02 Comunicación de
estrategias de gestión de
recursos
APO09.03 Definir y preparar acuerdos de servicio. APO11.02 Requisitos del cliente para Acuerdos de nivel de APO05.02;
la gestión de la calidad servicio (SLA) APO08.04;
DSS01.02;
DSS02.01;
DSS02.02;
DSS04.01;
DSS05.02;
DSS05.03
APO14.07 Requisitos de calidad de Acuerdos de nivel operativo DSS01.02;
los datos (OLAs) DSS02.07;
DSS04.03;
DSS05.03
APO09.04 Monitorizar y reportar los niveles de servicio. APO05.03 Informes de rendimiento del Planes de acción de mejora APO02.02;
portafolio de inversiones y remediaciones APO08.02
APO05.05 • R esultados de beneficios Informes de rendimiento del APO08.02;
y comunicaciones nivel de servicio MEA01.03
relacionadas
•A cciones correctivas para
mejorar la obtención de
beneficios
APO08.05 Análisis de satisfacción
APO11.03 • R esultados de la
monitorización de la
calidad para la prestación
de servicios y soluciones
•C ausas raíz de los fallos
de entrega de calidad
calidad
DSS02.02 Peticiones de servicio e
incidentes clasificados y
priorizados
DSS02.06 Cierre de peticiones de
servicio e incidentes
DSS02.07 • E stado de incidentes e
• E stado de cumplimiento
tendencias
de gestión de
recursos
116

Capítulo 4

APO09.05 Revisar los acuerdos y los contratos de servicio. De Descripción Descripción A
APO11.02 Resultados de la calidad SLA actualizados Interna
del servicio, incluidas la
retroalimentación de los
clientes
calidad
BAI04.01 Evaluaciones con respecto
a los SLA

recursos y capacidades
PMBOK Guide, 6.ª edición, 2017 Part 1: 12. Gestión de proyectos de adquisición: Entradas y salidas

Gestión del nivel de servicio e-Competence Framework (e-CF)—A common European Framework for ICT A. Plan—A.2. Service Level
Gestión del nivel de servicio Skills Framework for the Information Age V6, 2015 SLMO

Política de acuerdo de nivel de servicio Describe los estándares y criterios
(SLA) generales para informar sobre los
requisitos específicos y los plazos de
entrega de los servicios, ya sea entre
entidades de la empresa o entre la
empresa y un tercero.

Establecer un contrato entre un proveedor de servicios (interno o externo) y el
usuario final que define el nivel de servicio esperado. Asegurar que este nivel de
servicio se base en la entrega, mediante una definición específica de lo que el
cliente recibirá en objetivos SMART (específico, medible, alcanzable, realista y
acotado en el tiempo). Establecer una cultura en la que se respeten los niveles de
servicio. Disuadir del incumplimiento a través de un sistema de penalización.

• Sistema de gestión de contratos
• Herramientas de monitorización del nivel de servicio
117


118

Capítulo 4

Objetivo de gestión: APO10 — Gestionar los proveedores COBIT
Descripción
Gestionar los productos y servicios relacionados con I&T proporcionados por todo tipo de proveedores para que satisfagan los requisitos de la empresa. Esto incluye
la búsqueda y selección de proveedores, gestión de relaciones, gestión de contratos y revisión y monitorización del rendimiento de proveedores y el ecosistema de
proveedores (incluida la cadena ascendente de suministro) para que sea efectiva y cumpla con la legislación.
Propósito
Optimizar las capacidades de I&T disponibles para apoyar la estrategia y la hoja de ruta de I&T, minimizar el riesgo asociado con proveedores que no rinden o
cumplen con los requisitos y asegurar precios competitivos.
Æ

• EG08 Optimización de la funcionalidad interna de procesos de negocio
empresarial
APO10.01 Identificar y evaluar los contratos y las relaciones con los a. P orcentaje de criterios de evaluación definidos logrados para los proveedores
proveedores. externos y contratos vigentes
Buscar e identificar continuamente proveedores y clasificarlos en tipo, b. P orcentaje de proveedores externos alternativos que proporcionan servicios
importancia y criticidad. Establecer criterios de evaluación del proveedor y de equivalentes a contratos de proveedores externos vigentes
los contratos. Evaluar el portafolio general de proveedores y contratos vigentes
y alternativos.
capacidad
1. Evaluar continuamente el entorno empresarial en búsqueda de nuevos socios y proveedores que puedan proporcionar capacidades 3
complementarias y ayudar a ejecutar la estrategia de I&T, la hoja de ruta y los objetivos empresariales.
2. Establecer y mantener los criterios relacionados con el tipo, importancia y criticidad de proveedores y contratos de proveedores, para permitir
enfocarse en los proveedores preferidos e importantes.
3. Identificar, registrar y clasificar los proveedores y los contratos vigentes según los criterios definidos para mantener un registro detallado de
proveedores preferidos que se deban gestionar cuidadosamente.
4. Establecer y mantener un criterio de evaluación de proveedores y contratos para permitir una revisión y comparación general del rendimiento 4
de los proveedores de forma consistente.
5. Evaluar y comparar de forma periódica el rendimiento de proveedores vigentes y alternativos para identificar oportunidades o una necesidad 5
apremiante de reconsideración de los contratos de los proveedores actuales.
119


APO10.02 Seleccionar proveedores. a. N
úmero de brechas identificadas entre las ofertas del proveedor seleccionado
Seleccionar proveedores externos de acuerdo con una práctica justa y formal y las necesidades señaladas en la solicitud de propuesta (RFP)
para garantizar la mejor selección basado en los requisitos especificados. Los b. P orcentaje de partes interesadas satisfechas con los proveedores
requisitos deben optimizarse con la participación de los proveedores externos
potenciales.
capacidad
1. Revisar todas las solicitudes de información (RFI) y solicitudes de propuestas (RFP) para asegurar que definan claramente los 2
requisitos (p. ej., los requisitos de la empresa en cuanto a seguridad y privacidad de la información, requisitos de los procesos
operativos empresariales y de I&T, prioridades para la prestación del servicio) e incluir un procedimiento para aclarar los requisitos.
Las RFI y RFP deben proporcionar a los proveedores el tiempo suficiente para preparar sus propuestas y deben definir claramente los criterios de
adjudicación y el proceso de decisión.
2. Evaluar las RFI y RFP conforme al proceso/criterios de evaluación aprobados y mantener las pruebas documentales de las evaluaciones.
Comprobar las referencias de los proveedores candidatos.
3. Seleccionar el proveedor que mejor encaje con la RFP. Documentar y comunicar la decisión y firmar el contrato.
4. En el caso específico de la adquisición de software, incluir y reforzar los derechos y obligaciones de todas las partes en los términos 3
contractuales. Estos derechos y obligaciones podrían incluir la titularidad y licencias de Propiedad Intelectual (PI); mantenimiento; garantías;
procedimientos de arbitraje; términos de las actualizaciones; e idoneidad, además de la seguridad, privacidad, escrow (depósito en fideicomiso) y
derechos de acceso.
5. En el caso específico de la adquisición de recursos para desarrollo, incluir y reforzar los derechos y obligaciones de todas las partes en los
términos contractuales. Estos derechos y obligaciones podrían incluir la titularidad y licencias de PI; idoneidad, incluidas las metodologías de
desarrollo; pruebas; procesos de gestión de la calidad, incluyendo los criterios de rendimiento requeridos y revisiones de rendimiento; condiciones
para el pago; garantías; procedimientos de arbitraje; gestión de los recursos humanos; y cumplimiento con las políticas de la empresa.
6. Obtener asesoría jurídica sobre los acuerdos de adquisiciones de desarrollo relacionados con la titularidad y licencias de PI:
7. En el caso específico de la adquisición de infraestructura, instalaciones y servicios relacionados, incluir y reforzar los derechos y obligaciones
de todas las partes en los términos contractuales. Estos derechos y obligaciones podrían incluir los niveles de servicio, procedimientos de
mantenimiento, controles de acceso, seguridad, privacidad, revisión del rendimiento, condiciones para el pago y procedimientos de arbitraje.
APO10.03 Gestionar los contratos y las relaciones con los proveedores. a. P orcentaje de terceros proveedores que tienen contratos que definen los
Formalizar y gestionar la relación con el proveedor para cada uno de los requisitos de control
proveedores. Gestionar, mantener y monitorizar los contratos y la prestación de b. Número de disputas formales con proveedores
servicios. Asegurar que los contratos nuevos o modificados cumplan con los c. Número de reuniones de revisión con los proveedores
estándares de la empresa y con los requisitos legales y regulatorios. Tratar las d. Porcentaje de disputas resueltas amistosamente en un plazo razonable
disputas contractuales.
capacidad
1. Asignar dueños de relaciones para todos los proveedores y hacerles que rindan cuentas de la calidad del servicio(s) proporcionado(s). 3
2. Especificar una comunicación formal y un proceso de revisión, incluidos las interacciones y calendarios de los proveedores.
3. Acordar, gestionar, mantener y renovar formalmente los contratos con el proveedor. Asegurar que los contratos cumplan con los estándares
de la empresa y con los requisitos legales y regulatorios.
4. Incluir disposiciones en los contratos con los proveedores de servicio clave para la revisión de las instalaciones del proveedor y de las
prácticas internas y de los controles por parte de la dirección o terceros independientes. Acordar una auditoría y controles de aseguramiento
independientes de los entornos operativos de proveedores que proporcionen servicios externalizados para confirmar que se han atendido de
forma adecuada los requisitos acordados.
5. Usar procedimientos establecidos para tratar las disputas contractuales. Siempre que sea posible, usar primero relaciones y comunicaciones
eficaces para solventar los problemas del servicio.
6. Definir y formalizar los roles y responsabilidades de cada proveedor de servicio. Cuando se combinen varios proveedores para proporcionar
un servicio, considerar asignar un rol de contratista líder a uno de los proveedores para que se haga responsable del contrato general.
7. Evaluar la eficacia de la relación e identificar las mejoras necesarias. 4
8. Definir, comunicar y acordar la forma de implementar las mejoras requeridas a la relación. 5
ISO/IEC 20000-1:2011(E) 7.2 Supplier management
ITIL V3, 2011 Service Design, 4.8 Supplier Management
120

Capítulo 4

APO10.04 Gestionar los riesgos de los proveedores. a. F recuencia de las sesiones de gestión de riesgos con el proveedor
Identificar y gestionar el riesgo relacionado con los proveedores para b. Número de eventos relacionados con riesgos que conducen a incidentes de
proporcionar continuamente una prestación de servicios segura, eficiente servicio
y eficaz. Esto también incluye a los subcontratistas o proveedores de nivel c. Porcentaje de incidentes relacionados con el riesgo resueltos de manera
superior que son relevantes para la prestación del servicio del proveedor directo. aceptable (en tiempo y coste)
capacidad
1. Cuando se prepara el contrato, es necesario considerar el posible riesgo de servicio mediante una definición clara de los requisitos de 3
servicio, incluido los acuerdos de depósito en fideicomiso (escrow) de software, acuerdos standby o con proveedores alternativos, para
mitigar los posibles fallos del proveedor; seguridad y protección de Propiedad intelectual (PI); privacidad; y cualquier requisito legal o
regulatorio.

2. Identificar, monitorizar y, donde sea adecuado, gestionar el riesgo relacionado con la habilidad del proveedor para proporcionar el servicio de 4
forma eficaz, eficiente, segura, confidencial, confiable y continua. Integrar los procesos internos críticos de gestión de TI con aquellos de los
proveedores de servicios externalizados, para cubrir, por ejemplo, la planificación de rendimiento y capacidad, gestión del cambio y gestión
de la configuración.
3. Evaluar el ecosistema más amplio del proveedor e identificar, monitorizar y, cuando corresponda, gestionar el riesgo relacionado con los
subcontratistas y los proveedores en sentido ascendente que incluyen en la capacidad del proveedor para proporcionar el servicio de forma
eficaz, eficiente, segura, confidencial, fiable y continua.
CMMI Cybermaturity Platform, 2018 RM.MP Manage External Participation
ISF, The Standard of Good Practice for Information Security 2016 SC1.1 External Supplier Management Process
ISO/IEC 27002:2013/Cor.2:2015(E) 15. Supplier relationships
National Institute of Standards and Technology Framework for Improving Critical D.SC Supply Chain Risk Management
Infrastructure Cybersecurity v1.1, abril de 2018
APO10.05 Supervisar el rendimiento y el cumplimiento del proveedor. a. N
úmero de incumplimientos en los servicios relacionados con I&T causados
Revisar periódicamente el rendimiento general de los proveedores, el por los proveedores
cumplimiento con los requisitos contractuales y la ejecución del valor del b. Porcentaje de proveedores que cumplen con los requisitos acordados
contrato. Abordar los problemas identificados.
capacidad
1. Solicitar revisiones independientes de las prácticas y controles internos del proveedor, si es necesario. 3
2. Definir y documentar los criterios para supervisar el rendimiento de los proveedores alineado con los acuerdos de nivel de servicio. Asegurar 4
que el proveedor informe de forma regular y transparente sobre los criterios acordados.
3. Supervisar y revisar la prestación de servicios para garantizar que el proveedor proporcione una calidad del servicio aceptable, cumpla con
los requisitos y se adhiera a las condiciones del contrato.
4. Revisar el rendimiento de los proveedores y la ejecución del valor del contrato. Asegurar que el proveedor sea confiable y competitivo,
comparado con los proveedores alternativos y las condiciones del mercado.
5. Monitorizar y evaluar la información disponible externamente sobre el proveedor y la cadena de suministro del proveedor.
6. Registrar y evaluar los resultados de la revisión periódicamente y discutirlos con el proveedor para identificar las necesidades y las 5
oportunidades de mejora.
121


Gestor de Servicios
Director de riesgos
Jefe de desarrollo
Director de TI
Asesor legal
APO10.01 Identificar y evaluar los contratos y las relaciones con los proveedores. R R R A R R
APO10.02 Seleccionar proveedores. R R R A R R R R R R
APO10.03 Gestionar los contratos y las relaciones con los proveedores. R R R A R R R R R
APO10.04 Gestionar los riesgos de los proveedores. R R R R A R R R R R R R
APO10.05 Supervisar el rendimiento y el cumplimiento del proveedor. R R R R A R R R R R R

APO10.01 Identificar y evaluar los contratos y relaciones con los De Descripción Descripción A
proveedores.
Fuera de COBIT Contratos de proveedores Catálogo de proveedores BAI02.02
Revisiones posibles a los Interna
contratos de los proveedores
Importancia del proveedor y Interna
criterios de evaluación
APO10.02 Seleccionar proveedores. BAI02.02 Plan de desarrollo/ RFI y RFP de proveedores BAI02.01;
adquisiciones de alto nivel BAI02.02
Evaluaciones de RFI y RFP BAI02.02
Resultados de las decisiones evaluaciones de
de las evaluaciones de proveedores
proveedores BAI02.02;
EDM04.01
APO10.03 Gestionar los contratos y las relaciones con los BAI03.04 Plan de adquisición Resultados y mejoras Interna
proveedores. aprobado sugeridas
Proceso de comunicación y Interna
revisión
Roles y responsabilidades de Interna
los proveedores
APO10.04 Gestionar los riesgos de los proveedores. APO12.04 • Análisis de riesgos e Riesgo identificado de APO12.01;
informes del perfil de prestaciones de los APO12.03;
riesgo para las partes proveedores BAI01.01;
interesadas BAI11.01
• Resultados de evaluaciones
de riesgos de terceros Requisitos del contrato Interna
identificados para minimizar
el riesgo
APO10.05 Supervisar el rendimiento y el cumplimiento del Criterios de supervisión Interna
proveedor. del cumplimiento de
proveedores
Resultados de revisión de MEA01.03
supervisión del cumplimiento
de proveedores
122

Capítulo 4


Gestión de contratos e-Competence Framework (e-CF)—A common European Framework for ICT D. Enable—D.8. Contract Management
Professionals in all industry sectors - Part 1: Framework, 2016
Gestión de contratos Skills Framework for the Information Age V6, 2015 ITCM
Compras e-Competence Framework (e-CF)—A common European Framework for ICT D. Enable—D.4. Purchasing

Abastecimiento Skills Framework for the Information Age V6, 2015 SORC

Política de adquisiciones de TI Señala los principios y procedimientos
para la adquisición de hardware,
software y soluciones de hosting de TI.
Detalla los estándares de los sistemas
operativos, redes de computadores,
especificaciones de hardware, etc.
Proporciona directrices para la
gestión de contratos (p. ej., términos y
condiciones, supervisión de contratos).
Política de gestión de prestación de Establece las directrices para
servicios de terceros de TI. gestionar el riesgo relacionado
con los servicios de terceros.
Establece el marco de expectativas
de comportamientos y enumera las
precauciones de seguridad requeridas
para los proveedores de servicio
externalizados a la hora de gestionar
el riesgo relacionado con los servicios
proporcionados.

Crear y gestionar un ecosistema de proveedores que puedan ayudar a la
organización con su transformación e innovación digital. Evaluar continuamente
el entorno en busca de nuevos socios efectivos.
La dirección establece el ambiente y ejemplifica los comportamientos correctos

cuando se comunica con los proveedores para acordar e implementar las
mejoras necesarias. Asegurar que los contratos cumplan con los estándares de
la empresa y con los requisitos legales y regulatorios.

• Sistema de gestión de contratos
• Servicios de aseguramiento de terceros
123


124

Capítulo 4

Objetivo de gestión: APO11 — Gestionar la calidad COBIT
Descripción
Definir y comunicar los requisitos de calidad en todos los procesos, procedimientos y resultados empresariales relacionados. Habilitar los controles, monitorización
continua y uso de prácticas y estándares probados en esfuerzos de mejora y eficiencia continuos.
Propósito
Asegurar la prestación consistente de soluciones y servicios tecnológicos para satisfacer los requisitos de calidad de la empresa y las necesidades de las partes
interesadas.
Æ
• EG01 Portafolio de productos y servicios competitivos • AG09 Ejecución de programas dentro del plazo, sin exceder el presupuesto,
• EG04 Calidad de la información financiera y que cumplan con los requisitos y estándares de calidad

• EG07 Calidad de la información sobre gestión • AG10 Calidad de la información sobre gestión de I&T
negocio
EG01 a. P orcentaje de productos y servicios que cumplen o exceden los AG09 a. Número de programas/proyectos ejecutados a tiempo y dentro del
objetivos de ingresos y/o cuota de mercado presupuesto
b. P orcentaje de productos y servicios que cumplen o exceden los b. N úmero de programas que necesitan una revisión significativa
objetivos de satisfacción del cliente debido a defectos de calidad
c. Porcentaje de productos y servicios que proporcionan una c. P orcentaje de partes interesadas satisfechas con la calidad del
ventaja competitiva programa/proyecto
EG04 a. E ncuesta de satisfacción de las partes interesadas clave con AG10 a. N
ivel de satisfacción del usuario con la calidad, puntualidad y
respecto al nivel de transparencia, comprensión y precisión de disponibilidad de la información de gestión relacionada con I&T,
la información financiera de la empresa tras considerar los recursos disponibles
b. C oste de incumplimiento con respecto a regulaciones b. R elación y extensión de las decisiones de negocio erróneas en las
financieras que la información errónea o no disponible relacionada con I&T
fue un factor clave
decisiones
EG08
a. N iveles de satisfacción del consejo de administración y
empresarial
presupuesto
del programa
detenidos
125

APO11.01 Establecer un sistema de gestión de calidad (SGC). a. P orcentaje de la eficacia de las revisiones de gestión de la calidad
Establecer y mantener un sistema de gestión de calidad (SGC) que proporciona b. P orcentaje de satisfacción de partes interesadas clave con el programa de
un enfoque estándar, formal y continuo para la gestión de calidad de la revisión de gestión de la calidad
información. El SGC debería habilitar la tecnología y los procesos del negocio
que están alineados con los requisitos del negocio y la gestión de la calidad
empresarial.
capacidad
1. A
segurar que el marco de control de I&T y los procesos empresariales y de TI, incluyen una estrategia estándar, formal y continua con 3
respecto a la gestión de la calidad que está alineada con los requisitos de la empresa. Dentro del marco de control de I&T y los procesos
empresariales y de TI, identificar los requisitos y criterios de calidad (p. ej. conforme con los requisitos legales y los requisitos de los
clientes).
2. D
efinir roles, tareas y derechos de decisión y responsabilidades para la gestión de la calidad en la estructura organizativa.
3. O
btener insumos de la dirección y las partes interesadas externas e internas sobre la definición de los requisitos de calidad y los criterios de
gestión de la calidad.
4. G
estionar y revisar regularmente el SGC frente a los criterios de aceptación acordados. Incluir retroalimentación de los clientes, usuarios y 4
dirección.
5. Responder a las discrepancias de los resultados de la revisión para mejorar continuamente el SGC. 5
PMBOK Guide, 6.ª edición, 2017 Part 1: 8.1 Plan quality management
APO11.02: Enfocar la gestión de la calidad en los clientes. a. P orcentaje de satisfacción del cliente
Enfocar la gestión de la calidad en los clientes para determinar sus requisitos y b. P orcentaje de requisitos y expectativas del cliente comunicadas a la empresa
asegurar su integración en las prácticas de gestión de la calidad. y la organización de TI
capacidad
1. Enfocar la gestión de la calidad en los clientes para determinar los requisitos del cliente interno y externo y asegurar el alineamiento de los 3
estándares y las prácticas de I&T. Definir y comunicar los roles y responsabilidades relacionados con la resolución de conflictos entre el
usuario/cliente y la organización de TI.
2. Gestionar las necesidades y expectativas empresariales para cada proceso de negocio y servicio operativo y nuevas soluciones de TI.
Mantener sus criterios de aceptación de calidad.
3. Comunicar los requisitos y expectativas del cliente al negocio y la organización de TI
4. Obtener las opiniones de clientes de forma periódica sobre los procesos de negocio y la prestación de servicios y entrega de soluciones 4
de TI. Determinar el impacto de los estándares y prácticas de I&T y garantizar que se satisfagan y pongan en práctica las expectativas del
cliente.
5. Capturar los criterios de aceptación de calidad para su inclusión en los SLA.
APO11.03 Gestionar los estándares, prácticas y procedimientos de calidad e a. Número de procesos con requisitos de calidad definidos
integrar la gestión de la calidad en los procesos y soluciones clave. b. Número de defectos descubiertos antes del paso a producción
Identificar y mantener los requisitos, estándares, procedimientos y prácticas c. Número de servicios con un plan formal de gestión de la calidad
para los procesos clave con el fin de guiar a la empresa hacia el logro de d. Número de SLAs que incluyen criterios de aceptación de la calidad
los estándares de gestión de la calidad (SGC) acordados. Esta actividad
debería alinearse con los requisitos del marco de control de I&T. Considerar la
certificación de procesos clave, unidades organizativas, productos o servicios.
126

Capítulo 4

capacidad
1. Definir los estándares, prácticas y procedimientos de gestión de la calidad en línea con los requisitos del marco de control de I&T y los criterios 2
y políticas de gestión de la calidad empresariales.
2. Integrar las prácticas de gestión de la calidad requeridas en procesos y soluciones clave en toda la organización. 3
3. Cuantificar los beneficios y costes de las certificaciones de calidad.
4. Comunicar de forma eficaz el enfoque de gestión de la calidad (p. ej., a través de programas de capacitación de calidad formales y regulares).
5. Registrar y monitorizar los datos de calidad. Usar buenas prácticas de la industria como referencia a la hora de mejorar y personalizar las 4
prácticas de calidad de la empresa.
6. Revisar regularmente la relevancia, eficiencia y eficacia continua de los procesos específicos de gestión de calidad. Monitorizar el logro de los
objetivos de calidad.

PMBOK Guide, 6.ª edición, 2017 Part 1: 8.2 Manage quality
APO11.04 Llevar a cabo la monitorización, control y revisiones de calidad. a. P orcentaje de soluciones y servicios entregados con certificación formal
Monitorizar la calidad de los procesos y los servicios de forma continua, en línea b. C alificación promedio de satisfacción de las partes interesadas con las
con los estándares de gestión de la calidad. Definir, planificar e implementar soluciones y los servicios
medidas para monitorizar la satisfacción del cliente con la calidad, así como con c. Número de procesos con un reporte formal de evaluación de la calidad
el valor proporcionado por el sistema de gestión de la calidad (SGC). El Dueño d. P orcentaje de proyectos revisados que cumplen con las metas y los objetivos
del proceso debería utilizar la información recopilada para mejorar la calidad. de calidad esperados
e. Número, robustez y plazo de los análisis de riesgo
capacidad
1. Preparar y realizar las revisiones de calidad para procesos y soluciones organizativas clave. 3
2. Para estos procesos y soluciones organizativas clave, monitorizar las métricas de calidad basadas en metas alineadas con los objetivos 4
generales en cuanto a calidad.
3. Asegurar que la dirección y los responsables de los procesos revisen regularmente el rendimiento de la gestión de la calidad en comparación
con las métricas de calidad definidas.
4. Analizar los resultados generales del rendimiento de gestión de la calidad.
5. Informar sobre los resultados de revisión de rendimiento y gestión de la calidad e iniciar las mejoras necesarias. 5
PMBOK Guide, 6.ª edición, 2017 Part 1: 8.3 Control quality
APO11.05 Mantener la mejora continua. a. Número de análisis de causa raíz completados
Mantener y comunicar periódicamente un plan de calidad general que promueva b. Porcentaje de servicios y productos completados dentro del plazo
la mejora continua. El plan debería definir la necesidad y los beneficios de la
mejora continua. Obtener y analizar datos sobre el sistema de gestión de la
calidad (SGC) y mejorar su efectividad. Corregir las no conformidades para evitar
la recurrencia.
capacidad
1. Establecer una plataforma para compartir buenas prácticas y captar información sobre los defectos y errores para permitir el aprendizaje a 2
partir de ellos.
2. Identificar ejemplos de procesos de entrega de calidad excelente que puedan beneficiar a otros servicios o proyectos. Compartirlos con los 3
equipos de ejecución de proyectos y servicios para fomentar la mejora.
3. Identificar ejemplos recurrentes de defectos de calidad. Determinar su causa raíz, evaluar su impacto y resultado y acordar acciones de
mejora con los equipos de ejecución del servicio y/o proyecto.
4. Proporcionar a los empleados formación en métodos y herramientas de mejora continua.
5. Hacer un análisis comparativo de los resultados de benchmarks de calidad con los datos históricos internos, directrices de la industria, 4
estándares y datos de tipos de empresas similares.
National Institute of Standards and Technology Framework for Improving Critical DE.DP Detection Processes
127



Gestor de programas
Director de riesgos
Gestor de servicio
Jefe de desarrollo
Jefe de proyecto
Director de TI
APO11.01 Establecer un sistema de gestión de calidad (SGC). A R R R R

APO11.02: Enfocar la gestión de la calidad en los clientes. A R R R
APO11.03 Gestionar los estándares, prácticas y procedimientos de calidad e integrar la A R R R R R R R R R R R R R R R
gestión de la calidad en los procesos y soluciones clave.
APO11.04 Llevar a cabo la monitorización, control y revisiones de calidad. R A R R R R
APO11.05 Mantener la mejora continua. A R R R R R R R R R R R R

APO11.01 Establecer un sistema de gestión de calidad (SGC). De Descripción Descripción A
Fuera de COBIT Sistema de calidad Roles, responsabilidades APO01.05;
empresarial y derechos de decisión DSS06.03
del sistema de gestión de
calidad (SGC)
Planes de gestión de la APO14.04;
calidad APO14.06;
BAI01.07;
BAI11.05
Resultados de las BAI03.06
revisiones de eficiencia
del SGC
APO11.02: Enfocar la gestión de la calidad en los clientes. Fuera de COBIT Requisitos de calidad del Requisitos del cliente para APO08.05;
negocio y los clientes la gestión de la calidad APO09.03;
BAI01.07;
BAI11.06
Resultados de la calidad APO08.05;
del servicio, incluida la APO09.05;
retroalimentación de los BAI05.01;
clientes BAI07.07
Criterios de aceptación BAI02.01;
BAI02.02
128

Capítulo 4

APO11.03 Gestionar los estándares, prácticas y De Descripción Descripción A
procedimientos de calidad e integrar la gestión de la calidad en
los procesos y soluciones clave. BAI02.04 Revisión de la calidad Estándares de gestión de Todos los APO;
aprobada calidad todos los BAI;
todos los DSS;
todos los MEA
Fuera de COBIT • Certificaciones de calidad • Causas raíz de los fallos APO08.02;
disponibles de entrega de calidad APO09.04;
• Buenas prácticas de la BAI07.08;
industria MEA02.04;
MEA04.04
Resultados de la APO08.05;

monitorización de la APO09.04;
calidad BAI07.08
APO11.04 Llevar a cabo la monitorización, control y revisiones BAI03.06 • Plan de aseguramiento de Metas y métricas del Todos los APO;
de calidad. calidad proceso de calidad del todos los BAI;
• Resultados, excepciones y servicio Todos los DSS;
correcciones de la revisión todos los MEA
de calidad
DSS02.07 • Estado de incidentes e Resultados de las APO08.05;
informe de tendencias revisiones y auditorías de APO09.04;
• Estado de cumplimiento calidad APO09.05;
de peticiones e informe de BAI07.08
tendencias
APO11.05 Mantener la mejora continua. Resultados del benchmark Todos los APO;
de revisión de calidad todos los BAI;
Todos los DSS;
todos los MEA
Ejemplos de buenas Todos los APO;
prácticas a compartir todos los BAI;
Todos los DSS;
todos los MEA
Comunicaciones sobre Todos los APO;
mejora continua y mejores todos los BAI;
prácticas Todos los DSS;
todos los MEA
PMBOK Guide, 6.ª edición, 2017 Part 1: 8. Gestión de la calidad de proyectos: Entradas y salidas (inputs y
outputs)

Desarrollo de estrategias de calidad e-Competence Framework (e-CF)—A common European Framework for ICT D. Enable—D.2. ICT Quality
de la tecnología de la información y Professionals in all industry sectors—Part 1: Framework, 2016 Desarrollo de estrategia
las telecomunicaciones (ICT)
Aseguramiento de calidad Skills Framework for the Information Age V6, 2015 QUAS
Gestión de la calidad Skills Framework for the Information Age V6, 2015 QUMG
Estándares de calidad Skills Framework for the Information Age V6, 2015 QUST

Política de gestión de la calidad Captar la visión de la gestión de los
objetivos de calidad de la empresa,
nivel de calidad aceptable y labores de
equipos y entidades específicas para
garantizar la calidad.
129


Promover una cultura de calidad y mejora continua. Mantener y comunicar
periódicamente la necesidad, y los beneficios, de la calidad y la mejora continua.

• SGC
• Servicios de aseguramiento de calidad de terceros
130

Capítulo 4

Objetivo de gestión: APO12—Gestionar el riesgo COBIT
Descripción
Identificar, evaluar y reducir continuamente los riesgos relacionados con I&T dentro de los niveles de tolerancia establecidos por la gerencia ejecutiva de la empresa.
Propósito
Integrar la gestión del riesgo empresarial relacionado con la I&T con la gestión del riesgo empresarial global (ERM), y equilibrar los costes y beneficios de la gestión
del riesgo empresarial relacionado con las I&T.
Æ
• EG02 Gestión de riesgo de negocio • AG02 Gestión de riesgo relacionado con I&T
• EG06 Continuidad y disponibilidad del servicio de negocio • AG07 Seguridad de la información, infraestructura de procesamiento y

EG02 a. P orcentaje de objetivos y servicios críticos del negocio, AG02 a. Frecuencia de actualización del perfil de riesgo
cubiertos por la evaluación de riesgos b. P orcentaje de las evaluaciones de riesgo en la empresa que
b. P roporción de incidentes significativos que no se identificaron incluyen el riesgo relacionado con la I&T
en la evaluación de riesgos frente al total de incidentes c. N
empresariales que han causado incidentes significativos financieras, interrupción del negocio o descrédito público
b. Coste de incidentes para el negocio b. N
c. Número de horas de procesamiento de negocio perdidas financieras, interrupción del negocio o descrédito público
debido a interrupciones del servicio no planificadas c. N
APO12.01 Recopilar datos. a. N
úmero de eventos de pérdida con características clave capturados en
Identificar y recopilar datos relevantes para habilitar una efectiva identificación, repositorios
análisis y reporte de los riesgos relacionados con I&T. b. Porcentaje de auditorías, eventos y tendencias capturados en repositorios
c. Porcentaje de sistemas críticos con problemas conocidos
capacidad
1. Establecer y mantener un método para la recogida, clasificación y análisis de datos relacionados con el riesgo de I&T. 2
2. Registrar datos relevantes y significativos relacionados con los riesgos de I&T en el entorno operativo interno y externo de la empresa.
3. Adoptar o definir una taxonomía de riesgo para las definiciones consistentes de escenarios de riesgo y categorías de impacto y probabilidad. 3
4. Registrar datos de eventos de riesgo que han causado o podrían causar impacto en el negocio conforme a las categorías de impacto
definidas en la taxonomía de riesgo. Capturar datos relevantes de cuestiones, incidentes, problemas e investigaciones.
5. Estudiar y analizar los datos históricos de riesgo de I&T y de pérdidas experimentadas a partir de datos y tendencias externos disponibles, 4
homólogos de la industria a través de logs de eventos de la industria, bases de datos, y acuerdos de la industria, para la publicación común
de eventos.
6. Para clases de eventos similares, organizar los datos recopilados y resaltar los factores causantes. Determinar los factores causantes
comunes en múltiples eventos.
7. Determinar las condiciones específicas que existieron o estuvieron ausentes cuando tuvieron lugar los eventos de riesgo y la forma en que
las condiciones afectaron a la frecuencia del evento y la magnitud de la pérdida.
8. Realizar un análisis periódico de eventos y factores de riesgo para identificar riesgos nuevos o emergentes y para mejorar el entendimiento
de los factores de riesgo internos y externos asociados.
CMMI Data Management Maturity Model, 2014 Supporting Processes - Risk Management
COSO Enterprise Risk Management, junio de 2017 8. Performance—Principle 10
ISO/IEC 27005:2011(E) 8.2 Risk identification; 12. Information security risk monitoring and review
National Institute of Standards and Technology Special Publication 800-37, 3.1 Preparation (Task 7)
131


APO12.02 Analizar el riesgo. a. Número de escenarios de riesgo de I&T identificados
Desarrollar una visión fundamentada del riesgo de I&T vigente, que soporte las b. Tiempo transcurrido desde la última actualización de los escenarios de
decisiones de riesgo. riesgos de I&T
capacidad
1. Definir el alcance adecuado de los esfuerzos en análisis de riesgos, considerando todos los factores de riesgo y/o la criticidad de los activos para 3
el negocio.
2. Crear y actualizar regularmente los escenarios de riesgo de I&T; las exposiciones a pérdidas relacionadas con I&T; y los escenarios relacionados
con el riesgo reputacional, incluidos escenarios compuestos de tipos de amenazas y eventos en cascada y/o coincidentes. Desarrollar previsiones
para actividades de control específicas y capacidades de detección.
3. Estimar la frecuencia (o probabilidad) y la magnitud de la pérdida o ganancia asociada con escenarios de riesgos de I&T. Tener en cuenta todos los
factores de riesgo aplicables y evaluar controles operativos conocidos.

4. Comparar el riesgo actual (exposición a pérdidas de I&T) con el apetito al riesgo y la tolerancia de riesgo aceptable. Identificar el riesgo inaceptable
o elevado.
5. Proponer respuestas al riesgo para riesgos que excedan el apetito al riesgo y los niveles de tolerancia.
6. Especificar los requisitos de alto nivel para los proyectos o programas que implementarán las respuestas a los riesgos seleccionadas. Identificar
los requisitos y expectativas para los controles clave adecuados a fin de proporcionar respuestas de mitigación de riesgos.
7. Validar el análisis de riesgo y los resultados del análisis de impacto del negocio (BIA) antes de usarlos en la toma de decisiones. Confirmar que 4
el análisis se corresponde con los requisitos empresariales y comprobar que los sesgos de las estimaciones se calibraron y analizaron de forma
adecuada.
8. Analizar el coste/beneficio de las posibles opciones de respuesta al riesgo, como evitar, reducir/mitigar, transferir/compartir y aceptar y explotar/ 5
aprovechar. Confirmar la respuesta óptima al riesgo.
CMMI Data Management Maturity Model, 2014 Supporting Processes—Risk Management
ISF, The Standard of Good Practice for Information Security 2016 IR2.1 Risk Assessment Scope; IR2.2 Business Impact Assessment
ISO/IEC 27001:2013/Cor.2:2015(E) 8.2 Information security risk assessment
ISO/IEC 27005:2011(E) 8.3 Risk analysis
National Institute of Standards and Technology Framework for Improving Critical ID.RA Risk Assessment
National Institute of Standards and Technology Special Publication 800-37, Revisión 3.6 Authorization (Task 3)
2 (Borrador), mayo de 2018
National Institute of Standards and Technology Special Publication 800-53, Revisión 3.17 Risk assessment (RA-3)
5 (Borrador), agosto de 2017
APO12.03 Mantener un perfil de riesgo. a. Completitud de atributos y valores en el perfil de riesgo
Mantener un inventario de los riesgos conocidos y los atributos de riesgo, incluidos b. Porcentaje de procesos clave de negocio incluidos en el perfil de riesgo
la frecuencia esperada, impacto potencial y respuestas. Documentar los recursos,
capacidades y actividades de control actuales relacionados con elementos de
riesgo.
Actividades Nivel de capacidad
1. Hacer un inventario de los procesos de negocio y documentar su dependencia con los procesos de gestión de servicios de I&T y los recursos 2
de infraestructura de TI. Identificar el personal de apoyo, aplicaciones, infraestructura, instalaciones, registros manuales críticos, contratistas,
proveedores, y terceros.
2. Determinar y acordar qué servicios de I&T y recursos de infraestructura de TI son esenciales para sostener el funcionamiento de los procesos de
negocio. Analizar las dependencias e identificar los eslabones débiles.
3. Agregar los escenarios de riesgos actuales por categoría, línea de negocio y área funcional.
4. Capturar regularmente toda la información del perfil de riesgo y consolidarla en un perfil de riesgo agregado. 3
5. Capturar información sobre el estado del plan de acción de riesgos para su inclusión en el perfil de riesgo de I&T de la empresa.
6. Con base en todos los datos del perfil de riesgo, definir un conjunto de indicadores de riesgo que permitan una identificación y 4
monitorización rápida del riesgo actual y las tendencias de riesgo.
7. Capturar información sobre eventos de riesgo de I&T que se han materializado para su inclusión en el perfil de riesgo de TI de la empresa.
132

Capítulo 4

CMMI Cybermaturity Platform, 2018 RS.DT Define Organizational Risk Tolerance
National Institute of Standards and Technology Special Publication 800-53, 3.17 Risk assessment (RA-7)
APO12.04 Articular el riesgo. a. N
ivel de satisfacción de las partes interesadas con los informes de riesgos
Comunicar de manera oportuna información sobre el estado actual de proporcionados
las exposiciones y oportunidades relacionadas con I&T a todas las partes b. C
ompletitud de los informes del perfil de riesgos (incluida información
interesadas requeridas para obtener una respuesta apropiada. alineada con los requisitos de las partes interesadas)
c. Uso de informes de riesgos en la toma de decisiones de gestión

capacidad
1. Informar sobre los resultados del análisis de riesgo a todas las partes interesadas afectadas en términos y formatos útiles para soportar 3
las decisiones empresariales. Siempre que sea posible, incluir las probabilidades y rangos de pérdidas o ganancias, junto con los niveles de
confianza, para permitir que la gerencia haga balance del retorno del riesgo.
2. Proporcionar a los responsables de la toma de decisiones la comprensión de los escenarios más probables y peores, exposiciones a
pérdidas de I&T y consideraciones significativas de reputación, legales y regulatorias, o cualquier otra categoría de impacto conforme a la
taxonomía de riesgos.
3. Informar sobre el perfil de riesgo actual a todas las partes interesadas. Incluir información sobre la eficacia del proceso de gestión de
riesgos, eficacia del control, brechas, inconsistencias, redundancias, estado de remediación y sus impactos en el perfil de riesgo.
4. De forma periódica, en áreas con riesgos relativos y capacidades de riesgo similares, identificar oportunidades relacionadas con I&T que
permitirían la aceptación de un riesgo mayor y un mayor crecimiento y retorno.
5. Revisar los resultados de las evaluaciones objetivas de terceros y revisiones de auditoría interna y de aseguramiento de la calidad. Incluirlos 4
en el perfil de riesgo. Revisar las brechas identificadas y las exposiciones de pérdidas relacionadas con I&T para determinar la necesidad de
un análisis de riesgos adicional.
CMMI Cybermaturity Platform, 2018 RS.CR Determine Critical Infrastructure Requirements
COSO Enterprise Risk Management, junio de 2017 10. Information, Communication, and Reporting—Principle 19
ISO/IEC 27005:2011(E) 11. Comunicación y consulta de riesgos de seguridad de la información
National Institute of Standards and Technology Framework for Improving Critical ID.RM Risk Management Strategy
APO12.05 Definir un portafolio con acciones de gestión de riesgos. a. N
úmero de incidentes significativos no identificados e incluidos en el
Gestionar las oportunidades para reducir el riesgo a un nivel aceptable como un portafolio de gestión de riesgos
portafolio. b. P orcentaje de propuestas de proyectos de gestión de riesgos rechazadas por
falta de consideración de otros riesgos relacionados
capacidad
1. Mantener un inventario de las actividades de control que se han implantado para mitigar el riesgo y que permiten que se tomen riesgos 2
alineados con el apetito y la tolerancia al riesgo. Clasificar las actividades de control y asignarlas a escenarios de riesgos de I&T específicos
y escenarios de riesgos de I&T agregados.
2. Determinar si cada entidad organizativa monitoriza el riesgo y acepta la responsabilidad de actuar dentro de los niveles de tolerancia 3
individuales y del portafolio.
3. Definir un conjunto de propuestas de proyectos equilibrada diseñada para reducir el riesgo y/o proyectos que permitan oportunidades
empresariales estratégicas, con consideración de los costes, beneficios, efecto en el perfil de riesgo actual y en las regulaciones.
CMMI Data Management Maturity Model, 2014 Supporting Processes—Risk Management
HITRUST CSF versión 9, septiembre de 2017 03.01 Risk Management Program
133


APO12.06 Responder al riesgo. a. Número de medidas que no reducen el riesgo residual
Responder de manera oportuna a eventos de riesgo materializados con medidas b. Porcentaje de planes de acción de riesgo de I&T ejecutados según se
eficaces para limitar la magnitud de las pérdidas. diseñaron
capacidad
1. Preparar, mantener y probar planes que documenten los pasos específicos que deben darse cuando un evento de riesgo pudiera causar un 3
incidente significativo de desarrollo u operativo con un impacto grave para el negocio. Asegurar que los planes incluyan vías de escalamiento
en la empresa.
2. Aplicar el plan de respuesta adecuado para minimizar el impacto cuando ocurren incidentes de riesgo.
3. Clasificar los incidentes y comparar las exposiciones a pérdidas relacionadas con I&T con los umbrales de tolerancia al riesgo. Comunicar 4
los impactos de negocio a los responsables de la toma de decisiones como parte del reporte y actualización del perfil de riesgo.
4. Examinar eventos adversos/pérdidas y oportunidades del pasado no consideradas y determinar las causas raíz.
5. Comunicar la causa raíz, requisitos adicionales de respuestas al riesgo y mejoras del proceso a los responsables de la toma de decisiones 5
correspondientes. Asegurar que la causa, requisitos de respuesta y mejora del proceso se incluyan en los procesos de gobierno del riesgo.
ISF, The Standard of Good Practice for Information Security 2016 IR2.9 Risk Treatment
ISO/IEC 27001:2013/Cor.2:2015(E) 6.1 Action to address risk and opportunities
ISO/IEC 27005:2011(E) 9. Information security risk treatment
National Institute of Standards and Technology Special Publication 800-37, 3.6 Authorization (Task 4)
National Institute of Standards and Technology Special Publication 800-53, 3.15 Program management (PM-9, PM-31)



Gestor de servicios
Director de riesgos
Jefe de desarrollo
Director de TI

APO12.01 Recopilar datos. A R R R R R R R R R R R R R R R
APO12.02 Analizar el riesgo. A R R R
APO12.03 Mantener un perfil de riesgo. A R R R
APO12.04 Articular el riesgo. A R R R
APO12.05 Definir un portafolio con acciones de gestión de riesgos. A R R R
APO12.06 Responder al riesgo. R A R R R R R R R R R R R R R
National Institute of Standards and Technology Special Publication 800-37, 3.1 Preparation (Task 1); Appendix A: Roles and Responsibilities
134

Capítulo 4

APO12.01 Recopilar datos. De Descripción Descripción A
APO02.02 Deficiencias y riesgos Problemas y factores de APO01.01;
relacionados con las riesgo emergentes APO02.02;
capacidades actuales EDM03.01
APO02.05 Iniciativas de evaluación de Datos sobre eventos de Interna
riesgos riesgo y factores causantes
APO10.04 Riesgo identificado en Datos sobre el entorno Interna
prestaciones de los operativo relacionados con
proveedores el riesgo
DSS02.07 Estado de incidentes e

EDM03.01 Evaluación de actividades

de gestión de riesgos
EDM03.02 • Políticas de gestión de
riesgos
• Objetivos clave a
monitorizar para la gestión
de riesgos
• Proceso aprobado para la
medición de la gestión de
riesgos
APO12.02 Analizar el riesgo. DSS04.02 Análisis de impacto en el Resultados del análisis de APO01.01;
negocio (BIA) riesgos APO02.02;
EDM03.03;
BAI01.08;
BAI11.06
DSS05.01 Evaluaciones de amenazas Escenarios de riesgo de I&T Interna
potenciales
Fuera de COBIT Avisos de amenazas Alcance del esfuerzo de Interna
análisis de riesgos
APO12.03 Mantener un perfil de riesgo. APO10.04 Riesgo identificado en Perfil de riesgo agregado, APO02.02;
las prestaciones de los incluido el estado de las EDM03.02
proveedores acciones de gestión de
riesgos
DSS05.01 Evaluaciones de amenazas Escenarios de riesgo Interna
potenciales documentados por línea de
negocio y función
EDM03.01 • Guía del apetito de riesgo
• Niveles aprobados de
tolerancia al riesgo
APO12.04 Articular el riesgo. Análisis de riesgos e APO10.04;
informes del EDM03.03;
perfil de riesgo para las EDM05.02;
partes interesadas MEA04.05
Resultados de evaluaciones APO10.04;
de riesgos EDM03.03;
de terceros MEA02.01
Oportunidades para la EDM03.03
aceptación de un mayor
riesgo
135


APO12.05 Definir un portafolio con acciones de gestión de De Descripción Descripción A
riesgos.
Propuestas de proyecto APO02.02;
para reducir el riesgo APO13.02
APO12.06 Responder al riesgo. EDM03.03 Acciones correctivas para Comunicación de impacto APO01.02;
solucionar las desviaciones del riesgo APO08.04;
de gestión de riesgos DSS04.02
Causas raíz relacionadas DSS02.03;
con el riesgo DSS03.01;
DSS03.02;
DSS03.03;
DSS03.05;
DSS04.02;
MEA02.04;
MEA04.04;
MEA04.06
Plan de respuesta a DSS02.05
incidentes
relacionados con riesgos
COSO Enterprise Risk Management, junio de 2017 10. Information, Communication, and Reporting—Principle 20
SF, The Standard of Good Practice for Information Security 2016 IR1.3 Information Risk Assessment—Supporting Material
National Institute of Standards and Technology Special Publication 800-37, 3.1 Preparation (Task 7): Inputs and Outputs; 3.6 Authorization (Task 3, 4):
Revisión 2, septiembre de 2017 Entradas y salidas (inputs y outputs)
PMBOK Guide, 6.ª edición, 2017 Part 1: 11. Project risk management: Inputs and Outputs

Gestión de riesgos de negocio Skills Framework for the Information Age V6, 2015 BURM
Aseguramiento de la información Skills Framework for the Information Age V6, 2015 INAS

Política de riesgo empresarial Define el gobierno y gestión del riesgo National Institute of Standards and 3.17 Risk assessment (RA-1)
empresarial a nivel estratégico, táctico Technology Special Publication 800-
y operativo, en búsqueda de alcanzar 53, Revisión 5 (Borrador), agosto de
los objetivos de negocio. Traduce el 2017
gobierno de la empresa en política
y principios de gobierno del riesgo
y elabora actividades de gestión de
riesgos.
Política de riesgo de fraude Informa sobre la protección de National Institute of Standards and
la marca, reputación y activos Technology Special Publication 800-
empresariales en caso de pérdida 37, Revisión 2 (Borrador), August 2018
o daño derivados de fraude o mala
conducta. Orienta a los empleados a
la hora de informar sobre actividades
sospechosas y manipulación de
información sensitiva y la evidencia.
Fomenta una cultura antifraude y
cultiva una concienciación de los
riesgos.
136

Capítulo 4

Con el objeto de respaldar una cultura del riesgo participativa y transparente, ISF, The Standard of Good Practice IR1.2 Information Risk Assessment
la alta dirección debería establecer el rumbo y mostrar un apoyo visible y for Information Security 2016
genuino a la incorporación de las prácticas de riesgo en toda la empresa. La
dirección debería fomentar una comunicación abierta y la propiedad empresarial
sobre los riesgos de negocio relacionados con I&T. Los comportamientos
deseables incluyen el alineamiento de políticas conforme al apetito al riesgo
definido, comunicación de tendencias de riesgo a la alta dirección y organismos
de gobierno de riesgos, recompensa a una gestión de riesgos eficaz y
monitorización proactiva de riesgos y progreso con respecto al plan de acción
sobre riesgos.

• Servicios de gestión de crisis
• Herramientas de gobierno, riesgo y cumplimiento (GRC)
• Herramientas de análisis de riesgos
• Servicios de inteligencia de riesgos
137


138

Capítulo 4

Objetivo de gestión: APO13—Gestionar la seguridad COBIT
Descripción
Definir, operar y monitorizar un sistema de gestión de seguridad de la información.
Propósito
Mantener el impacto y la ocurrencia de incidentes de seguridad de la información dentro de los niveles de apetito de riesgo de la empresa.
Æ
• EG02 Gestión de riesgo de negocio AG07 Seguridad de la información, infraestructura y aplicaciones de
• EG06 Continuidad y disponibilidad del servicio del negocio procesamiento y privacidad

EG02 a. P orcentaje de objetivos de negocio y servicios críticos AG07 a. Número de incidentes de confidencialidad que causan pérdidas
cubiertos por la evaluación de riesgos financieras, interrupción del negocio o descrédito público
b. P roporción de incidentes significativos que no se identificaron b. N úmero de incidentes de disponibilidad que causan pérdidas
en la evaluación de riesgos frente al total de incidentes financieras, interrupción del negocio o descrédito público
c. Frecuencia de actualización del perfil de riesgo c. N
financieras, interrupción del negocio o descrédito público
EG06 a. N
úmero de interrupciones del servicio al cliente o procesos de
negocio que han causado incidentes significativos
b. Coste de incidentes para el negocio
c. Número de horas de procesamiento de negocio perdidas
debido a interrupciones del servicio no planificadas
d. P orcentaje de quejas en función de los objetivos de
APO13.01 Establecer y mantener un sistema de gestión de seguridad de la a. N
ivel de satisfacción de las partes interesadas con el plan de seguridad en
información (SGSI). toda la empresa
Establecer y mantener un sistema de gestión de seguridad de la información
(SGSI) que proporcione un enfoque estándar, formal y continuo para la gestión
de la seguridad de la información, mediante la habilitación de tecnología segura
y procesos de negocio alineados con los requisitos del negocio.
capacidad
1. Definir el alcance y los límites del sistema de gestión de seguridad de la información (SGSI) en términos de las características de la empresa, 2
organización, ubicación, activos y tecnología. Incluir detalles y justificación de las exclusiones del alcance.
2. Definir un SGSI conforme a la política empresarial y el contexto en el que opera la empresa.
3. Alinear el SGSI con el enfoque global de la empresa hacia la gestión de la seguridad.
4. Obtener la autorización de la dirección para implementar y operar o cambiar el SGSI.
5. Preparar y mantener una declaración de aplicabilidad que describa el alcance del SGSI.
6. Definir y comunicar los roles y responsabilidades de la gestión de seguridad de la información.
7. Comunicar la estrategia de SGSI.
139


HITRUST CSF versión 9, septiembre de 2017 0.01 Information Security Management program
ISO/IEC 20000-1:2011(E) 6.6 Information security management
ITIL V3, 2011 S ervice Design, 4.7 Information Security Management
National Institute of Standards and Technology Special Publication 800-37, 3.3 Selection (Task 1); 3.4 Implementation (Task 1)
National Institute of Standards and Technology Special Publication 800-53, 3.17 Risk assessment (RA-2)
APO13.02 Definir y gestionar un plan de tratamiento de riesgos de seguridad de a. Porcentaje de simulaciones de escenarios de riesgo de seguridad exitosas
la información y privacidad. b. N úmero de empleados que han completado con éxito una formación de
Mantener un plan de seguridad de la información que describa cómo se debe concienciación sobre seguridad de la información
manejar el riesgo de seguridad de la información y cómo se debe alinear con la
estrategia y la arquitectura de la empresa. Asegurar que las recomendaciones
para implementar mejoras a la seguridad se basen en casos de negocio
aprobados, implementados como una parte integral del desarrollo de servicios y
soluciones, y que operen como una parte integral de la operación del negocio.
capacidad
1. Formular y mantener un plan de tratamiento de riesgos de seguridad de la información alineado con objetivos estratégicos y la arquitectura 3
empresarial. Asegurar que el plan identifique las prácticas de gestión y las soluciones de seguridad apropiadas y óptimas, con los recursos,
responsabilidades y prioridades asociados para la gestión de los riesgos de seguridad de la información identificados.
2. Mantener, como parte de la arquitectura de la empresa, un inventario de los componentes de la solución establecida para gestionar los
riesgos relacionados con la seguridad.
3. Desarrollar propuestas para implementar el plan de tratamiento de riesgos de seguridad, apoyadas por casos de negocio apropiados que
incluyan consideraciones de financiación y asignación de roles y responsabilidades.
4. Proporcionar aportes para el diseño y desarrollo de prácticas y soluciones de gestión, seleccionadas en el plan de tratamiento de riesgos de
seguridad de la información.
5. Implementar programas de formación y concienciación sobre seguridad de la información y privacidad.
6. Integrar la planificación, diseño, implementación y monitorización de procedimientos de seguridad de la información y privacidad y otros
controles capaces de permitir la prevención, detección rápida de eventos de seguridad y la respuesta a incidentes de seguridad.
7. Definir cómo medir la eficacia de las prácticas de gestión seleccionadas. Especificar cómo deben usarse estas medidas para evaluar la 4
eficacia para producir resultados comparables y reproducibles.
Sin documentación relacionada para esta práctica de gestión
APO13.03 Monitorizar y revisar el sistema de gestión de seguridad de la a. Frecuencia de revisiones de seguridad programadas
información (SGSI). b. Número de hallazgos en revisiones de seguridad programadas regularmente
Mantener y comunicar periódicamente la necesidad y los beneficios de una c. Nivel de satisfacción de las partes interesadas con el plan de seguridad
mejora continua de seguridad de la información. Recopilar y analizar datos d. N úmero de incidentes relacionados con la seguridad causados por no
sobre el sistema de gestión de seguridad de la información (SGSI) y mejorar su adherirse adecuadamente al plan de seguridad
efectividad. Corregir los incumplimientos para evitar la recurrencia.
140

Capítulo 4

capacidad
1. Llevar a cabo revisiones regulares de la eficacia del SGSI. Incluir el cumplimiento de la política y los objetivos del SGSI y revisar las prácticas 4
de seguridad y privacidad.
2. Realizar auditorías de SGSI a intervalos planificados.
3. Realizar periódicamente una revisión de la gestión del SGSI para asegurar que el alcance sigue siendo adecuado y que se identifican mejoras
en el proceso del SGSI.
4. Registrar acciones y eventos que podrían tener un impacto en la eficacia o el rendimiento del SGSI.
5. Hacer aportes para el mantenimiento de los planes de seguridad para tener en cuenta los hallazgos de las actividades de monitorización y 5
revisión.

National Institute of Standards and Technology Special Publication 800-37, 3.3 Selection (Task 3)


Gestor de servicios
Jefe de desarrollo
Director de TI
APO13.01 Establecer y mantener un sistema de gestión de seguridad de la información (SGSI). R R A R R
APO13.02 Definir y gestionar un plan de tratamiento de riesgos de seguridad de la información y privacidad. R R A R R R
APO13.03 Monitorizar y revisar el sistema de gestión de seguridad de la información (SGSI). R R A R R R R R R R R R R
ISF, The Standard of Good Practice for Information Security 2016 SG1.2 Security Direction
ISO/IEC 27002:2013/Cor.2:2015(E) 6.1 Internal organization

APO13.01 Establecer y mantener un sistema de gestión de De Descripción Descripción A
seguridad de la información (SGSI).
Fuera de COBIT Estrategia de seguridad de Declaración del alcance de APO01.05;
la empresa la SGSI DSS06.03
Política de SGSI Interna
APO13.02 Definir y gestionar un plan de tratamiento de riesgos APO02.04 Brechas y cambios Plan de tratamiento del Todos los APO;
de seguridad de la información. requeridos para lograr la riesgo de seguridad de la todos los BAI;
capacidad del objetivo información Todos los DSS;
todos los MEA;
todos los EDM
APO03.02 Descripciones de la Casos de negocio de APO05.02
línea base del dominio y seguridad de la información
definición de arquitectura
APO12.05 Propuestas de proyecto
para reducir el riesgo
141


APO13.03 Monitorizar y revisar el sistema de gestión de De Descripción Descripción A
seguridad de la información (SGSI).
DSS02.02 Peticiones de servicio e Recomendaciones para Interna
incidentes clasificadas y la mejora del sistema de
priorizadas gestión de seguridad de la
información (SGSI)
Informes de auditoría del MEA02.01
sistema de gestión de
(SGSI)
National Institute of Standards and Technology Special Publication 800-37, 3.3 Selection (Tasks 1, 3): Inputs and Outputs; 3.4 Implementation (Task 1):
Revisión 2, septiembre de 2017 Inputs and Outputs

Seguridad de la información Skills Framework for the Information Age V6, 2015 SCTY
Desarrollo de la estrategia de e-Competence Framework (e-CF)—A common European Framework for ICT D. Enable—D.1. Information
seguridad de la información Professionals in all industry sectors - Part 1: Framework, 2016 Security Strategy Development

Política de seguridad de la información Establecer las directrices de (1) ISO/IEC 27001:2013/Cor.2:2015(E); (1) 5.2 Policy; (2) 5. Information
y privacidad comportamiento para proteger la (2) ISO/IEC 27002:2013/Cor.2:2015(E); security policies; (3) 3.2 Awareness
información, sistemas e infraestructura (3) National Institute of Standards and and training (AT-1); (4) 04.01
corporativa. Debido a que los Technology Special Publication 800-53, Information Security Policy; (5) SM1.1
requisitos del negocio en cuanto a Revision 5 (Draft), August 2017; (4) Information Security
seguridad y almacenamiento son más HITRUST CSF version 9, September Policy
dinámicos que la gestión de riesgos 2017; (5) ISF, The Standard of Good
y privacidad de I&T, su gobierno Practice for Information Security 2016
debería gestionarse aislado del riesgo
y privacidad de I&T. Para alcanzar la
eficiencia operativa, sincronizar la
política de seguridad de la información
con el riesgo y la política de privacidad
de I&T.

Establecer una cultura de concienciación de seguridad y privacidad que influya (1) ISO/IEC 27001:2013/Cor.2:2015(E); 1) 7.3 Awareness; (2) Framework
de forma positiva en el comportamiento deseado y la implementación real (2) Creating a Culture of Security, to achieve an intentional security
de la política de seguridad y privacidad en la práctica diaria. Proporcionar ISACA, 2011 aware culture (all chapters)
las suficientes directrices de seguridad y privacidad, indicar quiénes son los
campeones en seguridad y privacidad (incluidos altos ejecutivos, líderes de RR.
HH., profesionales de seguridad y/o privacidad) y apoyar y comunicar de forma
proactiva los programas, innovaciones y desafíos de seguridad y privacidad.

• Herramientas de gestión de la configuración
• Servicios de concienciación de seguridad y privacidad
• Servicios de evaluación de seguridad de terceros
142

Capítulo 4

Objetivo de gestión: APO14 — Gestionar los datos COBIT
Descripción
Lograr y mantener la gestión eficaz de los activos de datos de la empresa durante todo el ciclo de vida de los datos, desde la creación hasta su entrega,
mantenimiento y archivo.
Propósito
Garantizar el uso eficaz de activos de datos críticos para lograr las metas y objetivos empresariales.
Æ
• EG04 Calidad de la información financiera AG10 Calidad de la información sobre gestión de I&T
• EG07 Calidad de la información sobre gestión

EG04 a. Encuesta de satisfacción de las partes interesadas clave con AG10 a. N
respecto al nivel de transparencia, comprensión y precisión disponibilidad de la información de gestión relacionada con I&T,
de la información financiera de la empresa tras considerar los recursos disponibles
b. Coste de incumplimiento con respecto a regulaciones b. P roporción y extensión de las decisiones de negocio erróneas en
financieras las que la información errónea o no disponible relacionada con
I&T fue un factor clave
decisiones
b. Número de incidentes causados por decisiones erróneas de
respalde la toma de decisiones de negocio eficaces
d. Puntualidad de la información sobre gestión
APO14.01 Definir y comunicar la estrategia y los roles y responsabilidades de a. N
úmero de violaciones de gestión de datos comparado con la estrategia
la gestión de datos de la organización. definida
Definir cómo gestionar y mejorar los activos de datos de la organización, en línea b. P orcentaje de roles y responsabilidades identificadas para respaldar el
con la estrategia y objetivos de la empresa. Comunicar la estrategia de gestión gobierno de la gestión de datos y la interacción entre gobierno y la función de
de datos a todas las partes interesadas. Asignar roles y responsabilidades gestión de datos.
para garantizar que los datos corporativos se gestionen como activos críticos
e implementar y mantener la estrategia de gestión de datos de forma eficaz y
sostenible.
capacidad
1. Establecer una función de gestión de los datos con responsabilidad de gestionar las actividades que respalden los objetivos de gestión de 2
los datos.
2. Especificar roles y responsabilidades para respaldar la gestión de los datos y la interacción entre el gobierno y la función de gestión de datos.
3. Asegurar que el negocio y la tecnología desarrollan de forma colaborativa la estrategia de gestión de datos de la organización. Asegurar 3
que los objetivos, prioridades y alcance de la gestión de datos reflejen los objetivos empresariales, sean consistentes con las políticas y
regulación de gestión de datos y cuenten con la aprobación de todas las partes interesadas.
4. Comunicar los objetivos, prioridades y alcance de la gestión de datos y ajustarlos conforme sea necesario, con base en la retroalimentación
recibida.
5. Usar métricas para evaluar y monitorizar la consecución de los objetivos de la gestión de datos. 4
6. Monitorizar el plan secuencial para la implementación de la estrategia de gestión de datos. Actualizarla como corresponda, con base en las
revisiones de su progreso.
7. Usar técnicas estadísticas y otras técnicas cuantitativas para evaluar la eficacia de los objetivos estratégicos de la gestión de datos a la hora
de lograr los objetivos de negocio. Realizar las modificaciones necesarias, con base en las métricas.
8. Asegurar que la organización investiga procesos innovadores de negocio y requisitos regulatorios emergentes para garantizar que el 5
programa de gestión de datos sea compatible con futuras necesidades del negocio.
9. Realizar contribuciones a las mejores prácticas de la industria para el desarrollo e implementación de la estrategia de gestión de datos.
143


CMMI Data Management Maturity Model, 2014 ata Management Strategy - Data Management Strategy; Data Governance—
D
Governance Management
ITIL V3, 2011 Service Design, 5.2 Management of Data and Information
The CIS Critical Security Controls for Effective Cyber Defense Versión 6.1, agosto CSC 13: Data Protection
de 2016
APO14.02 Definir y mantener un glosario empresarial consistente. a. N
ivel de aceptación y frecuencia del uso de términos del glosario empresarial
Crear, aprobar, actualizar y promover términos y definiciones de negocio en toda la organización
consistentes para fomentar el uso compartido de datos en la organización. b. N
úmero de sinónimos para la terminología del glosario de negocio definido
que se usan en nuevos esfuerzos de desarrollo
c. N
ivel de granularidad de los términos definidos en el glosario empresarial
capacidad
1. A
segurar que los términos estándar de negocio estén disponibles y se comuniquen a las partes interesadas relevantes. 2
2. A
segurar que cada término de negocio añadido al glosario empresarial tenga un nombre y una definición únicos.
3. U
sar términos y definiciones de negocio estándar de la industria, como corresponda, en el glosario empresarial.
4. E stablecer, documentar y seguir un proceso para definir, gestionar, utilizar y mantener el glosario empresarial. Por ejemplo, las nuevas 3
iniciativas deberían aplicar los términos estándar de negocio como parte del proceso de definición de requisitos de datos para garantizar la
consistencia del lenguaje. Esto contribuye a lograr que el contenido se pueda comparar y facilitar el intercambio de datos en la organización.
5. G
arantizar que el nuevo desarrollo, la integración de datos y trabajos de consolidación de datos aplican términos estándar de negocio como
parte del proceso de definición de requisitos de datos.
6. Integrar el glosario empresarial en el repositorio de metadatos de la organización, con permisos de acceso adecuados.
CMMI Data Management Maturity Model, 2014 Data Governance - Business Glossary
ISF, The Standard of Good Practice for Information Security 2016 IM1.1 Information Classification and Handling
APO14.03 Establecer los procesos y la infraestructura para la gestión de a. N
úmero de imprecisiones identificadas en los metadatos
metadatos. b. P orcentaje de metadatos que contienen medidas y métricas para evaluar la
Establecer los procesos y la infraestructura para especificar y extender los precisión y adopción de metadatos
metadatos sobre los activos de datos de la organización, para fomentar y
respaldar el intercambio de datos, garantizar el cumplimiento del uso de
datos, mejorar la respuesta de los cambios empresariales y reducir el riesgo
relacionado con los datos.
capacidad
1. Establecer y seguir un proceso de gestión de metadatos. 2
2. Asegurar que la documentación de metadatos considera las interdependencias entre los datos.
3. Establecer y seguir categorías, propiedades y estándares de metadatos.
4. Desarrollar y usar los metadatos para realizar un análisis del impacto de los posibles cambios en los datos. 3
5. Poblar el repositorio de metadatos de la organización con categorías y clasificaciones adicionales de metadatos conforme a un plan de
implementación por fases. Vincularlo con las capas de arquitectura.
6. Validar los metadatos y cualquier cambio a los metadatos con la arquitectura actual.
7. Asegurar que la organización haya desarrollado un metamodelo, integrado implementado en todas las plataformas.
8. Asegurar que los tipos de metadatos y las definiciones de datos respaldan prácticas de importación, suscripción y consumo consistentes.
9. Usar medidas y métricas para evaluar la precisión y la adopción de los metadatos. 4
10. E valuar los cambios de datos planificados para generar un impacto en el repositorio de metadatos. Mejorar continuamente los procesos de 5
captura, cambio y perfeccionamiento de los metadatos.
CMMI Data Management Maturity Model, 2014 Data Governance—Metadata Management
ISO/IEC 27002:2013/Cor.2:2015(E) 8.2 Information classification
144

Capítulo 4

APO14.04 Definir una estrategia de calidad de los datos. a. N
úmero de esfuerzos de mejora de la calidad de los datos identificados y
Definir una estrategia integrada en toda la organización para lograr y mantener el registrados en un plan secuencial
nivel de calidad de datos (como la complejidad, integridad, precisión, integridad, b. P orcentaje de partes interesadas satisfechas con la calidad de los datos
exactitud, completitud, validez, trazabilidad y oportunidad) requerido para
respaldar las metas y objetivos empresariales.
capacidad
1. Definir una estrategia de calidad de los datos en colaboración con las partes interesadas empresariales y tecnológicas, aprobada y 3
gestionada por la dirección ejecutiva. La estrategia debería favorecer pasar del estado actual al objetivo. También debe alinearse de forma
explícita con los objetivos empresariales y la estrategia de gestión de datos de la organización.
2. Asegurar que la estrategia de calidad de los datos se respete en toda la organización y venga acompañada de las políticas, procesos y

directrices correspondientes.
3. Afianzar las políticas, procesos y gobierno de la estrategia de calidad de los datos durante todo el ciclo de vida de los datos. Exigir los
procesos correspondientes en la metodología del ciclo de vida de desarrollo del sistema.
4. Desarrollar, monitorizar y mantener un plan secuencial para el esfuerzo de mejora de la calidad de los datos en toda la organización.
5. Para evaluar el progreso, supervisar los planes a fin de cumplir las metas y objetivos de la estrategia de calidad de los datos. 4
6. Recopilar sistemáticamente los informes de las partes interesadas sobre problemas de calidad de los datos. Incluir sus expectativas para
mejorar la calidad de los datos en la estrategia de calidad de los datos. Medirlos y monitorizarlos.
CMMI Cybermaturity Platform, 2018 DP.DR Safeguard Data at Rest; DP.DT Safeguard Data in Transit; DP.IP Integrity
and Data Leak Prevention
CMMI Data Management Maturity Model, 2014 Data Quality - Data Quality Strategy
APO14.05 Establecer las metodologías, procesos y herramientas para la a. Número de plantillas de datos definidas e implementadas y porcentaje de uso
creación de perfiles de datos. b. Número de conjuntos de datos compartidos con un perfil de datos definido
Implementar metodologías, procesos, prácticas, herramientas y plantillas para
la creación de perfiles de datos estándares que puedan aplicarse en varios
repositorios de datos y almacenes de datos.
capacidad
1. Definir y estandarizar metodologías, procesos, prácticas, herramientas y plantillas de resultados de perfilado de datos. Asegurar que los 3
procesos de creación de perfiles sean reutilizables y aprovechables en distintos almacenes de datos y repositorios de datos compartidos.
2. Asegurar que la gestión de datos identifique las series de datos principales compartidas que se monitorizan y perfilan regularmente 4
3. En trabajos de creación de perfiles de datos, incluir la evaluación de conformidad del contenido de los datos con sus metadatos y estándares
aprobados.
4. Durante una actividad de creación de perfiles de datos, comparar los problemas actuales con los problemas pronosticados estadísticamente,
conforme a los resultados de creación de perfiles históricos.
5. Garantizar que los resultados se almacenen de forma central y se analicen y monitoricen sistemáticamente con respecto a estadísticas y
métricas. Proporcionar la información resultante para mejorar la calidad de los datos con el tiempo.
6. Crear informes de perfiles en tiempo real o casi en tiempo real para todas las fuentes y repositorios de datos críticos. 5
CMMI Data Management Maturity Model, 2014 Data Quality—Data Profiling
National Institute of Standards and Technology Special Publication 800-53, 3.20 System and information integrity (SI-1)
Revisión 5, agosto de 2017
APO14.06 Asegurar un enfoque de evaluación de la calidad de los datos. a. Número de problemas identificados en los resultados de evaluaciones de la
Proporcionar un enfoque sistemático para medir y evaluar la calidad de los datos calidad de los datos
conforme a los procesos y técnicas y contra las reglas de calidad de los datos. b. N úmero de resultados de evaluaciones de la calidad de los datos que incluyen
recomendaciones para su remediación
145


capacidad
1. Realizar de forma periódica evaluaciones de la calidad de los datos, conforme a una frecuencia aprobada por la política de evaluación de 4
calidad de los datos. Asegurar que el gobierno de los datos determine la serie de atributos clave por área temática para las evaluaciones de
calidad de los datos.
2. Incluir recomendaciones para su remediación , con explicaciones, en los resultados de evaluaciones de calidad de los datos.
3. Evaluar la calidad de los datos, usar los umbrales y los objetivos establecidos para cada dimensión de calidad seleccionada.
4. Generar informes de medición de la calidad de los datos de forma sistemática, basados en la criticidad de atributos y la volatilidad de los
datos.
5. Revisar y mejorar continuamente la evaluación de calidad de los datos y los procesos de generación de informes. 5
CMMI Data Management Maturity Model, 2014 Data Quality—Data Quality Assessment
APO14.07 Definir la estrategia de depuración de datos. a. Porcentaje de datos depurados correctamente
Definir los mecanismos, reglas, procesos y métodos para validar y corregir los b. P orcentaje de SLAs que incluyen criterios de calidad de datos y definen
datos conforme a las reglas empresariales predefinidas. que quienes deben rendir cuentas sobre la depuración de los datos son los
proveedores de datos
capacidad
1. Establecer y mantener una política de depuración de datos. 2
2. Mantener un historial de cambio de datos a través de actividades de depuración. 3
3. Establecer métodos para corregir los datos y definir esos métodos dentro de un plan. Los métodos podrían incluir diversas comparaciones 4
de repositorios, la verificación con relación a una fuente válida, comprobaciones lógicas, integridad referencial o rango de tolerancia.
4. En los acuerdos de nivel de servicio, incluir criterios de calidad de los datos que definan que quienes rinden cuentas sobre los datos
depurados son los proveedores de datos.
CMMI Data Management Maturity Model, 2014 Data Quality—Data Cleansing
APO14.08 Gestionar el ciclo de vida de los activos de datos. a. Número
de requisitos de los consumidores de datos que no pueden
Garantizar que la organización entienda, correlacione inventarios, y controle sus correlacionarse con una fuente de datos
flujos de datos a través de los procesos empresariales durante todo el ciclo de b. Número de conjuntos de datos compartidos
vida de los datos, desde su creación o adquisición hasta su eliminación. c. Tiempo transcurrido desde la última comprobación de cumplimiento con
relación a la asignación de los procesos empresariales a los datos
capacidad
1. Asignar y alinear los requisitos de los consumidores y productores de datos. 2
2. Definir las relaciones entre el proceso empresarial y los datos. Mantenerlas y revisarlas periódicamente para su cumplimiento. 3
3. Seguir un proceso definido para los acuerdos de colaboración con respecto a los datos compartidos y el uso de datos dentro de los procesos
empresariales.
4. Implementar flujos de datos y mapas completos de ciclo de vida íntegros entre datos y procesos para datos compartidos para los procesos
empresariales importantes a nivel organizativo.
5. Garantizar que los cambios a las series de datos compartidos o series de datos objetivo para un fin empresarial específico se gestionan por
estructuras de gobierno de datos, con la participación de las partes interesadas relevantes.
6. Usar métricas para ampliar la reutilización de los datos compartidos aprobados y eliminar la redundancia de procesos. 4
CMMI Data Management Maturity Model, 2014 Data Operations—Data Lifecycle Management
146

Capítulo 4

APO14.09 Soportar el archivo y retención de datos. a. Porcentaje de intentos no exitosos para transferir datos a su archivo
Asegurar que el mantenimiento de datos satisfaga los requisitos organizativos y b. P orcentaje de mantenimientos de datos que cumplen los requisitos organizativos
regulatorios para la disponibilidad de datos históricos. Asegurar que se cumplan los y regulatorios para la disponibilidad de datos históricos y los requisitos legales y
requisitos legales y regulatorios para el archivado y retención de datos. regulatorios para el archivado y retención de datos
1. Asegurar que las políticas rijan la gestión de la historia de datos, incluidos los requisitos de retención, destrucción y pistas de auditoría 2
2. Asegurar la existencia de un método definido que garantice el acceso a los datos históricos necesarios para respaldar las necesidades empresariales.
3. Usar la política y los procesos para controlar el acceso, transmisión y modificaciones a datos históricos y archivados.
4. Asegurar que la organización dispone de un repositorio de data warehouse que proporcione acceso a datos históricos para satisfacer las necesidades 3
analíticas y respaldar los procesos empresariales.

CMMI Data Management Maturity Model, 2014 Platform and Architecture—Historical Data, Retention and Archiving
APO14.10 Gestionar los acuerdos de toma de copia de seguridad y restauración de a. Porcentaje de intentos fallidos para hacer una copia de seguridad (backup) de
datos. datos
Gestionar la disponibilidad de datos críticos para garantizar la continuidad operativa. b. Porcentaje de intentos satisfactorios para hacer una restauración de un backup de
datos
1. Definir una programación para garantizar una copia de seguridad (backup) correcta de todos los datos críticos. 2
2. Definir requisitos para el almacenamiento en las instalaciones (on-site) y fuera de ellas (off-site) de copias de seguridad de datos, teniendo en
cuenta el volumen, capacidad y periodo de retención, en línea con los requisitos empresariales.
3. Establecer una programación para probar el backup de datos.. Asegurar que los datos puedan restaurarse de forma correcta sin un impacto
drástico en el negocio.
The CIS Critical Security Controls for Effective Cyber Defense Versión 6.1, agosto de CSC 10: Data Recovery Capability
2016


Director de riesgos
Director de TI
Asesor legal
APO14.01 Definir y comunicar la estrategia y los roles y responsabilidades de la gestión de datos de la organización. R A R R R
APO14.02 Definir y mantener un glosario empresarial consistente. R A R R R
APO14.03 Establecer los procesos y la infraestructura para la gestión de metadatos. R A R R R
APO14.04 Definir una estrategia de calidad de los datos. R A R R R
APO14.05 Establecer las metodologías, procesos y herramientas para la creación de perfiles de datos. R A R R R
APO14.06 Asegurar un enfoque de evaluación de la calidad de los datos. R A R R R
APO14.07 Definir la estrategia de depuración de datos. R A R R R
APO14.08 Gestionar el ciclo de vida de los activos de datos. R A R R R R R
APO14.09 Soportar el archivado y retención de datos. R A R R R R R
APO14.10 Gestionar los acuerdos de toma de copias de seguridad y restauración de datos. R A R R R R
147

B. Componente: Estructuras organizativas (cont.)


APO14.01 Definir y comunicar la estrategia y los roles y De Descripción Descripción A
responsabilidades de la gestión de datos de la organización.
APO01.06 Directrices de clasificación Estrategia de gestión de APO03.02;
de datos datos APO14.10
APO07.03 Matriz de habilidades y Roles y responsabilidades Interna
competencias acordados para la gestión y
el gobierno de datos
Fuera de COBIT • Estrategia empresarial Publicaciones externas Interna

• Políticas y regulación de y presentaciones sobre
gestión de datos las mejores prácticas en
conferencias de la industria
Plan de implementación Interna
para la estrategia de
gestión de datos
APO14.02 Definir y mantener un glosario empresarial Glosario empresarial APO14.03;
consistente. BAI02.01
APO14.03 Establecer los procesos y la infraestructura APO03.02 Modelo de arquitectura de Documentación de APO03.02
para la gestión de metadatos. la información metadatos
APO14.02 Glosario empresarial
APO14.04 Definir una estrategia de calidad de los datos. APO01.06 Procedimientos de Estrategia de calidad de APO14.05;
integridad de los datos los datos APO14.06;
APO14.07
APO01.07 Directrices de seguridad y Informes sobre problemas Interna
control de los datos de calidad de los datos
APO11.01 Planes de gestión de la Plan de mejora de la calidad Interna
calidad de los datos
APO14.05 Establecer las metodologías, APO14.04 Estrategia de calidad de Metodologías, procesos, Interna
procesos y herramientas para la creación de perfiles de datos. los datos prácticas, herramientas y
plantillas de resultados para
el perfilado de datos.
APO14.06 Asegurar un enfoque de evaluación de la calidad de APO11.01 Planes de gestión de la Resultados Interna
los datos. calidad de la evaluación de la
calidad de los datos
APO14.04 Estrategia de calidad de
los datos
APO14.07 Definir la estrategia de depuración de datos. APO14.04 Estrategia de calidad de Requisitos de calidad de APO09.03
los datos los datos
APO14.08 Gestionar el ciclo de vida de los activos de datos. APO01.07 Directrices de seguridad y
control de los datos
DSS04.07 Copia de seguridad de los
datos
APO14.09 Soportar el archivo y retención de datos. DSS06.05 Requisitos de retención Archivado de datos Interna
APO14.10 Gestionar los acuerdos de toma de copias de APO01.07 Directrices de seguridad y Plan de prueba a las copias DSS04.07
seguridad y restauración de datos. control de los datos de seguridad
APO14.01 Estrategia de gestión de Plan de copias de seguridad DSS04.07
datos
148

Capítulo 4

Data analysis Skills Framework for the Information Age V6, 2015 DTAN
Gestión de datos Skills Framework for the Information Age V6, 2015 DATM
Aseguramiento de la información Skills Framework for the Information Age V6, 2015 INAS
Gestión de la información Skills Framework for the Information Age V6, 2015 IRMG

Política de depuración de datos Señalar el compromiso de la dirección CMMI Data Management Maturity Data Cleansing
con la depuración de los datos Model, 2014

Prescribe la frecuencia, directrices y
rendición de cuentas; documenta los
métodos, soluciones y herramientas
disponibles
Política de gestión de datos Describir el compromiso de la
organización para gestionar los activos
de datos durante todo el ciclo de vida
de los mismos, desde su creación
hasta su entrega, mantenimiento y
archivado.
Política de evaluación de la calidad de Describe la filosofía de evaluación (1) CMMI Data Management Maturity (1) Data Quality Assessment; (2) 3.20
los datos del aseguramiento de la calidad Model, 2014; (2) National System and information
de los datos de la organización Institute of Standards and Technology integrity (SI-1)
para garantizar la integridad de los Special Publication 800- 53, Revisión 5
datos que se utilizan en la toma (Borrador), agosto de 2017
de decisiones que afectan a la
organización. Asigna la frecuencia,
directrices y rendición de cuentas de la
evaluación de la calidad de los datos.
Señala los métodos, soluciones y
herramientas disponibles.
Política de privacidad Documenta la recogida, uso, revelación
y gestión de los datos personales.
Los datos personales pueden ser
cualquier dato que pudiera utilizarse
para identificar un individuo, incluidos
pero no limitados a, nombre, dirección,
fecha de nacimiento, estado civil,
información de contacto, fecha
de expedición y caducidad del ID,
registros financieros, información de
crédito, historial médico, destino de
viaje e intención de adquirir bienes
y servicios. La política de privacidad
define cómo una empresa recopila,
almacena y publica información
personal; cómo y cuándo se informa
al cliente de información específica
que se recopila y si se mantiene
confidencial, se comparte con
socios o se vende a otras compañías
o empresas. La política obliga el
cumplimiento con la legislación
relacionada con la protección de datos.
149


Crear una cultura de responsabilidad compartida para los activos de datos de la CMMI Data Management Maturity Gobierno de datos
organización; reconocer el valor potencial de los activos de datos y garantizar Model, 2014
que los roles y responsabilidades estén claros para el gobierno y gestión de
activos de datos.
Crea concienciación alrededor de la integridad, exactitud, completitud y CMMI Data Management Maturity Calidad de los datos
protección de los datos para establecer una cultura de calidad de datos. Model, 2014
Relacionar la calidad de los datos con los valores principales de la empresa.
Comunica de forma continua el impacto y los riesgos de la pérdida de datos.
Asegura que los empleados entiendan el verdadero coste de no implementar una
cultura de calidad de los datos.

• Herramientas de modelado de datos

• Repositorios de datos
150

Capítulo 4
4.3 Construir, Adquirir e Implementar (BAI)

01 Gestionar los programas
02 Gestionar la definición de requisitos
03 Gestionar la identificación y construcción de soluciones
04 Gestionar la disponibilidad y la capacidad
05 Gestionar el cambio organizativo
Construir, Adquirir e Implementar

06 Gestionar los cambios de TI
07 Gestionar la aceptación y transición de los cambios de TI
08 Gestionar el conocimiento
09 Gestionar los activos
10 Gestionar la configuración
11 Gestionar los proyectos
151


152

Capítulo 4
Dominio: Construir, adquirir e implementar Área prioritaria: Modelo Core de

Objetivo de gestión: BAI01 — Gestionar los programas COBIT
Descripción
Gestionar todos los programas del portafolio de inversión, de conformidad con la estrategia de la empresa y de forma coordinada, según un enfoque de gestión de
programas estándar. Iniciar, planificar, controlar y ejecutar programas, y monitorizar el valor esperado del programa.
Propósito
Obtener el valor de negocio deseado y reducir el riesgo de retrasos, costes y erosión de valor inesperados. Para ello, mejorar las comunicaciones y la participación
del negocio y usuarios finales, garantizar el valor y la calidad de los entregables del programa y realizar un seguimiento de los proyectos dentro de los programas, y
maximizar la contribución del programa al portafolio de inversiones.
Æ
• EG08 Optimización de la funcionalidad de procesos internos del negocio relacionados con I&T
• EG12 Gestión de programas de transformación digital • AG09 Ejecución de programas dentro de plazo, sin exceder el presupuesto,
y que cumplan con los requisitos y estándares de calidad
EG01 a. P orcentaje de productos y servicios que cumplen o exceden los AG03 a. Porcentaje de inversiones posibilitadas por la I&T en las que los
ventaja competitiva
EG08 a. N iveles de satisfacción del consejo de administración y AG09 a. Número de programas/proyectos ejecutados a tiempo y dentro del

la dirección ejecutiva con las capacidades del proceso presupuesto
empresarial b. N úmero de programas que necesitan una revisión significativa
b. N iveles de satisfacción de los clientes con las capacidades de debido a defectos de calidad
prestación de servicios c. P orcentaje de partes interesadas satisfechas con la calidad del
c. Niveles de satisfacción de los proveedores con las capacidades programa/proyecto
presupuesto
del programa
suspendidos
actualizaciones de estado notificadas regularmente
BAI01.01 Mantener un enfoque estándar en la gestión de programas. a. P orcentaje de programas exitosos conforme a la estrategia estándar definida
Mantener un enfoque estándar para la gestión de programas que permita la b. Porcentaje de partes interesadas satisfechas con la gestión de programas
revisión del gobierno y la gestión, la toma de decisiones y las actividades de
gestión de la entrega. Estas actividades deben centrarse de consistentemente
en el valor y los objetivos de la empresa (es decir, los requisitos, riesgo, costes,
calendario y objetivos de calidad).
capacidad
1. Mantener y hacer cumplir una estrategia estándar de gestión de programas, alineada con el entorno específico de la empresa y con buenas 2
prácticas, basadas en procesos definidos y al uso apropiado de la tecnología. Asegurar que la estrategia cubra todo el ciclo de vida y las
disciplinas a seguir, incluida la gestión del alcance de , recursos, riesgo, coste, calidad, tiempo, comunicación, participación de las partes
interesadas, adquisiciones, control de cambio, integración y obtención de beneficios.
2. Establecer una oficina de programas o una oficina de gestión de proyectos (PMO) que mantenga una estrategia estándar para la gestión de 3
programas y proyectos en toda la organización. La PMO respalda todos los programas y proyectos mediante la creación y el mantenimiento
de plantillas de documentación de proyectos requeridos, formación y mejores prácticas para los gestores de programa/proyecto, seguimiento
de las métricas sobre el uso de las mejores prácticas para la gestión de proyectos, etc. En algunos casos, la PMO podría también informar
del progreso del programa/proyecto a la alta dirección y/o las partes interesadas, ayudar a priorizar proyectos y asegurar que todos los
proyectos respaldan los objetivos globales de negocio de la empresa.
3. Evaluar las lecciones aprendidas con base en el uso de la estrategia de gestión de programas y actualizar la estrategia, según sea necesario. 4
153


BAI01.02 Iniciar un programa. a. Porcentaje de iniciativas/proyectos de I&T promovidos por dueños del negocio
Iniciar un programa para confirmar los beneficios esperados y obtener b. Porcentaje de iniciativas estratégicas con rendición de cuentas asignada
autorización para proceder. Esto incluye acordar el patrocinio, confirmar el c. Porcentaje de programas emprendidos sin casos de negocio aprobados
mandato del programa mediante la aprobación del caso de negocio conceptual, d. Porcentaje de partes interesadas que aprueban la necesidad empresarial,
asignar un equipo de dirección o un comité , cuyas tareas sean elaborar un alcance, resultado planeado y nivel de riesgo del programa
resumen del programa, revisar y actualizar el caso de negocio, desarrollar un
plan de consecución de beneficios y obtener la aprobación de los patrocinadores
antes de proceder.
capacidad
1. A
cordar el patrocinio del programa. Nombrar un consejo de administración/comité de programas con los miembros que tienen un interés 2
estratégico en el programa, responsabilidad en la toma de decisiones de inversión, que se verán impactados de forma significativa por el
programa y que deberán facilitar que se produzca el cambio.
2. N
ombrar a un gestor dedicado para el programa, con las competencias y habilidades adecuadas para gestionar el programa de forma eficaz
y eficiente.
3. C
onfirmar el mandato del programa con los patrocinadores y las partes interesadas. Articular los objetivos estratégicos para el programa, las 3
posibles estratégicas para la entregar, mejora y beneficios esperados, y cómo el programa encaja con otras iniciativas.
4. D
esarrollar un caso de negocio detallado para un programa. Involucrar a todas las partes interesadas para desarrollar y documentar una
comprensión completa de los resultados empresariales esperados, cómo se medirán, alcance global requerido de las iniciativas, riesgo
involucrado e impacto en todos los aspectos de la empresa. Identificar y evaluar cursos de acción alternativos para lograr los resultados
empresariales deseados.
5. D
esarrollar un plan de obtención de beneficios que se gestionarán a través del programa para asegurar que los beneficios planificados
tengan siempre dueños y se logren, mantengan y optimicen.
6. P reparar el caso de negocio del programa inicial (conceptual), proporcionar la información de toma de decisiones esencial relacionada con el
propósito, contribución a los objetivos del negocio, valor esperado creado, intervalos de tiempo, etc. Presentarlo para su aprobación.
BAI01.03 Gestionar el compromiso de las partes interesadas. a. Nivel de satisfacción de las partes interesadas con su compromiso
Gestionar el compromiso de las partes interesadas para asegurar un intercambio b. Porcentaje de partes interesadas involucradas de manera efectiva
activo de información precisa, consistente y oportuna para todas las partes
interesadas relevantes. Esto incluye planificar, identificar e involucrar a las
partes interesadas y gestionar sus expectativas.
capacidad
1. Planificar cómo las partes interesadas dentro y fuera de la empresa se identificarán, analizarán, comprometerán y gestionarán durante el 3
ciclo de vida de los proyectos.
2. Identificar, comprometer y gestionar a las partes interesadas mediante el establecimiento y mantenimiento de los niveles de coordinación,
comunicación y relación adecuadas para garantizar que estén comprometidos en el programa.
3. Analizar los intereses y requisitos de las partes interesadas.
4. Seguir un proceso definido para los acuerdos de colaboración con respecto a los datos compartidos y el uso de datos dentro de los procesos 4
del negocio.
PMBOK Guide, 6.ª edición, 2017 Part 1: 10. Project communications management
BAI01.04 Desarrollar y mantener el plan del programa. a. Frecuencia de revisiones de estado del programa que no satisfacen los
Formular un programa para sentar las bases iniciales. Posicionarlo para criterios de valor
la ejecución exitosa mediante la formalización del alcance del trabajo y la b. P orcentaje de programas activos llevados a cabo sin mapas de valor del
identificación de los entregables que satisfarán las metas y producirán valor. programa válidas y actualizadas
Mantener y actualizar el plan del programa y el caso de negocio durante todo el
ciclo de vida económico completo del mismo, para asegurar su alineación con
los objetivos estratégicos, reflejar el estado actual y el conocimiento adquirido
hasta la fecha.
154

Capítulo 4

capacidad
1. Especificar la financiación, coste, calendario e interdependencias de múltiples proyectos. 2
2. Definir y documentar el plan del programa que cubre todos los proyectos. Incluir lo necesario para introducir cambios en la empresa; su 3
propósito, misión, misión, valores, cultura, productos y servicios; procesos de negocio; habilidades y número de empleados; relaciones con
las partes interesadas, clientes, proveedores y otros; necesidades tecnológicas y restructuración organizativa requerida para lograr los
resultados empresariales esperados del programa.
3. Asegurar que haya una comunicación efectiva de los planes de programa e informes de progresos entre todos los proyectos y con el
programa en su conjunto. Asegurar que todos los cambios realizados a los planes individuales se reflejen en los otros planes de programa
empresariales.
4. Mantener el plan de programas para garantizar que esté actualizado y refleje el alineamiento con los objetivos estratégicos actuales,
progreso actual y cambios materiales de los resultados, beneficios, costes y riesgo. Hacer que la empresa marque los objetivos y priorice
todo el trabajo para asegurar que el programa, como se ha diseñado, cumpla con los requisitos de la empresa. Revisar el progreso de los
proyectos individuales y ajustar los proyectos conforme sea necesario para cumplir con los hitos y las publicaciones programadas.
5. Durante la vida económica del programa, actualizar y mantener el caso de negocio y un registro de beneficios para identificar y definir los
beneficios clave que surgen de llevar a cabo el programa.
6. Preparar un presupuesto para el programa que refleje los costes del ciclo de vida económico completo y los beneficios financieros y no
financieros asociados.
BAI01.05 Lanzar y ejecutar el programa. a. P orcentaje de firmas autorizadas de las partes interesadas para las revisiones

Poner en marcha el programa para adquirir y dirigir los recursos necesarios y de cambio de fase de los programas activos
así lograr las metas y beneficios del programa tal y como está definido en el b. N úmero de análisis de causas raíz por desviaciones del plan y acciones
plan. De acuerdo con los criterios de revisión de cambios de fase (stage-gate) remediales necesarias abordadas
o publicación, prepararse para la iteración de cambio de fase o revisiones de la
publicación a fin de informar sobre el avance y tener el caso para financiar hasta
la siguiente revisión de cambio de fase o publicación.
capacidad
1. Planificar, distribuir y encargar los proyectos necesarios requeridos para lograr los resultados del programa, conforme a la revisión y 3
aprobaciones de financiación en cada revisión de cambio de fase.
2. Gestionar cada programa o proyecto para asegurar que la toma de decisiones y las actividades generadas se centran en el valor mediante
la obtención de beneficios para el negocio y la consecución de metas de forma consistente, abordando el riesgo y cumpliendo con los
requisitos de las partes interesadas.
3. Establecer las fases acordadas del proceso de desarrollo (puntos de comprobación del desarrollo). Al final de cada fase, facilitar debates
formales de criterios aprobados con las partes interesadas. Después de la conclusión exitosa de la revisión de la funcionalidad, rendimiento
y calidad, y antes de finalizar las actividades de la etapa, obtener una aprobación y aceptación formal de todas las partes interesadas y del
dueño del proceso negocio/patrocinador.
4. Llevar a cabo un proceso de obtención de beneficios durante el programa para asegurar que los beneficios planificados tengan siempre 4
dueños y sea probable que se logren, mantengan y optimicen. Monitorizar la entrega de beneficios e informar de los objetivos de rendimiento
en las revisiones de cambio de fase o iteración y publicación. Realizar análisis de las causas raíz de desviaciones del plan e identificar y
abordar las acciones remediales necesarias.
5. Planificar auditorías, revisiones de calidad, revisiones de cambio de fase y revisiones de obtención de beneficios.
155


BAI01.06 Monitorizar, controlar y reportar sobre los resultados del programa. a. Porcentaje de beneficios de programas esperados y logrados
Monitorizar y controlar el rendimiento en comparación con el plan durante todo b. P orcentaje de programas para los cuales se monitorizo el rendimiento y la
el ciclo de vida económico de la inversión, cubriendo la entrega de soluciones acción remedial oportuna se llevó a cabo cuando fue necesario
a nivel del programa y el valor/resultado a nivel de la empresa. Reportar el
rendimiento al comité de dirección del programa y a los patrocinadores.
capacidad
1. A
ctualizar los portafolios operativos de I&T para reflejar los cambios que resulten del programa en los portafolios de servicios, activos y 3
recursos de I&T
2. S upervisar y controlar el rendimiento de todo el programa y los proyectos dentro del programa, incluidas las contribuciones del negocio y 4
de TI a los proyectos. Informar de forma oportuna, completa y precisa. El reporte podría incluir calendario, financiación, funcionalidad,
satisfacción del usuario, controles internos y aceptación de rendición de cuentas.
3. M
onitorizar y controlar el rendimiento con relación a las estrategias y metas empresariales y de I&T. Reportar a la dirección sobre los
cambios empresariales, implementados, beneficios obtenidos frente al plan de obtención de beneficios e idoneidad del proceso de obtención
de beneficios.
4. M
onitorizar y controlar los servicios, activos y recursos de TI creados o modificados como resultado del programa. Tener en cuenta la
implementación y las fechas en servicio. Informar a la dirección de los niveles de rendimiento, la prestación sostenida del servicio y la
contribución al valor.
5. G
estionar el rendimiento del programa con respeto a criterios clave (p. ej., alcance, calendario, calidad, obtención de beneficios, costes,
riesgo, velocidad), identificar las desviaciones del plan y llevar a cabo las acciones correctivas oportunas cuando se precise.
6. M
onitorizar el rendimiento individual del proyecto en relación con la entrega de las capacidades, calendario, logro de beneficios, costes,
riesgos u otras métricas esperadas. Identificar los impactos potenciales en el rendimiento del programa y tomar acciones remediales
oportunas cuando se requieran.

7. D
e acuerdo con los criterios de revisión de cambios de fase, publicación o iteración, llevar a cabo las revisiones para reportar sobre el avance
del programa para que la dirección pueda decidir seguir adelante o no, o tomar decisiones de ajuste y aprobar más financiación hasta el
siguiente cambio de fase, publicación o iteración.
BAI01.07 Gestionar la calidad del programa. a. Porcentaje de paquetes de construcción sin errores
Preparar y ejecutar un plan de gestión de la calidad, procesos y prácticas, b. Porcentaje de entregables del programa aprobados en cada revisión
alineado con el sistema de gestión de calidad (SGC). Describe el enfoque de
calidad hacia el programa y cómo se implementará. Todas las partes afectadas
deberían revisar y aceptar formalmente el plan e incorporarlo al plan de
programa integrado.
capacidad
1. Identificar las tareas y prácticas de aseguramiento requeridas para respaldar la acreditación de sistemas nuevos o modificados durante la 3
planificación del programa e incluirlos en los planes integrados. Asegurar que las tareas proporcionen aseguramiento de que los controles
internos y las soluciones de seguridad/privacidad satisfacen los requisitos definidos.
2. Para proporcionar el aseguramiento de la calidad de los entregables del programa, identificar la propiedad y las responsabilidades, los
procesos de revisión de la calidad, criterios de éxito y métricas de rendimiento.
3. Definir los requisitos para la validación y verificación independiente de la calidad de los entregables en el plan. 4
4. Realizar actividades de aseguramiento y control de calidad conforme al plan de gestión de calidad y el SGC.
156

Capítulo 4

BAI01.08 Gestionar el riesgo del programa. a. Número de programas sin una evaluación de riesgos adecuada
Eliminar o minimizar el riesgo específico asociado a los programas mediante b. P orcentaje de programas alineados con el marco empresarial de gestión de
un proceso sistemático de planificación, identificación, análisis, respuesta, riesgos
monitorización y control de las áreas o eventos que, potencialmente, pueden
ocasionar un cambio no deseado. Definir y registrar cualquier riesgo al que se
enfrenta la gestión del programa.
capacidad
1. Establecer una estrategia de gestión de riesgos formal alineada con el marco de gestión de riesgos empresariales (ERM). Asegurar que la 3
estrategia incluya la identificación, análisis, respuesta, mitigación, monitorización y control del riesgo.
2. Asignar a personal con habilidades adecuadas la responsabilidad de ejecutar el proceso de gestión de riesgos empresariales dentro de un
programa y asegurar que esto se incorpore a las prácticas de desarrollo de soluciones. Considerar asignar este rol a un equipo independiente,
sobre todo si se requiere un punto de vista objetivo o si un programa se considera crítico.
3. Realizar la evaluación de riesgos para identificar y cuantificar el riesgo de forma continua en todo el programa. Gestionar y comunicar el
riesgo de forma adecuada dentro de la estructura de gobierno del programa.
4. Identificar a los dueños de las acciones para evitar, aceptar o mitigar el riesgo.
BAI01.09 Cerrar un programa. a. Porcentaje de programas cerrados con éxito que lograron el valor deseado
Retirar el programa del portafolio de inversiones activas cuando exista el b. Tiempo entre el lanzamiento del programa y la detección de logro del valor

acuerdo de que se ha alcanzado el valor deseado o cuando esté claro que no se
alcanzará dentro de los criterios de valor establecidos para el programa.
capacidad
1. Cerrar el programa de forma ordenada, incluida la aprobación formal, disolución de la organización del programa y soporte de la función, 3
validación de entregables y comunicación de la retirada.
2. Revisar y documentar las lecciones aprendidas. Cuando se ha retirado el programa, eliminarlo del portafolio de inversiones activas. Trasladar 4
cualquier capacidad resultante a un portafolio de activos operativos para garantizar que sigue creándose y manteniéndose valor.
3. Establecer la rendición de cuentas y los procesos para garantizar que la empresa siga optimizando valor del servicio, activo o recursos. 5
Puede que se requieran inversiones adicionales en algún momento para garantizar que esto ocurra.
National Institute of Standards and Technology Framework for Improving Critical RS.IM Improvements
157

Comité Estratégico (Programas/Proyectos)

Gestor de programas
Director de riesgos
Jefe de desarrollo
Director de TI
BAI01.01 Mantener un enfoque estándar en la gestión de programas. A R R R
BAI01.02 Iniciar un programa. R R A R R
BAI01.03 Gestionar el compromiso de las partes interesadas. R A R R
BAI01.04 Desarrollar y mantener el plan del programa. A R R
BAI01.05 Lanzar y ejecutar el programa. R R A R R
BAI01.06 Monitorizar, controlar y reportar sobre los resultados del programa. R A R R R R R
BAI01.07 Gestionar la calidad del programa. R A R R
BAI01.08 Gestionar el riesgo del programa. R R A R R R

BAI01.09 Cerrar un programa. R R A R R R

BAI01.01 Mantener un enfoque estándar en la gestión de De Descripción Descripción A
programas.
APO03.04 •D escripciones de la fase Enfoques de gestión de Interna
de implementación actualización de programas
• R equisitos de gobierno de
la arquitectura
APO05.04 Portafolios actualizados
de programas, servicios y
activos
APO10.04 Riesgo identificado en
las prestaciones de los
proveedores
EDM02.03 Requisitos de las revisiones
por fases
entrega de valor
158

Capítulo 4

BAI01.02 Iniciar un programa. De Descripción Descripción A
APO03.04 • Requisitos de recursos Mandato y resumen del APO05.02
•D escripciones de la fase programa
de implementación
APO05.02 Caso de negocio del Caso de negocio del APO05.02
programa concepto del programa
APO07.03 Matriz de habilidades y Plan de obtención de APO05.02;
competencias beneficios del programa APO06.05
BAI05.02 Visión y metas comunes
BAI01.03 Gestionar el compromiso de las partes interesadas. Resultados de las Interna

evaluaciones de eficacia
para el compromiso de las
partes interesadas
Plan para el compromiso Interna
de las partes interesadas
BAI01.04 Desarrollar y mantener el plan del programa. APO05.02 Programas seleccionados Registro del presupuesto y APO05.05;
con hitos de retorno de los beneficios del programa APO06.05
inversión (ROI)
APO07.03 Matriz de habilidades y Requisitos de recursos y APO07.05;
competencias roles APO07.06

APO07.05 Inventario de recursos Plan del programa Interna
humanos de la empresa
y de TI
BAI05.02 Equipo y roles para su
implementación
BAI05.03 Plan de comunicación de
la visión
BAI05.04 Ganancias rápidas
identificadas.
BAI07.03 Plan de pruebas de
aceptación aprobado
BAI07.05 Aceptación aprobada y
preparación para pasar a
producción
BAI01.05 Lanzar y ejecutar el programa. BAI05.03 Comunicaciones de la Resultados de la APO02.04
visión monitorización de la
consecución de metas del
programa
Resultados de la APO05.05;
monitorización de la APO06.05
obtención de beneficios
Planes de auditoría a los MEA04.02
programas
159


BAI01.06 Monitorizar, controlar y reportar sobre los resultados De Descripción Descripción A
del programa.
APO05.01 Expectativas de retorno de Resultados de la revisión APO02.04;
la inversión por fases APO05.03;
EDM02.02
APO05.02 Evaluaciones de los casos Resultados de las MEA01.03
de negocio revisiones de rendimiento
del programa
APO05.03 Informes sobre el
rendimiento del Portafolio
de inversiones
APO05.05 • R esultados de beneficios
y comunicaciones
relacionadas
•A cciones correctivas para
mejorar la obtención de
beneficios
APO07.05 •A nálisis de déficit de
recursos
• R egistro de la utilización
de recursos
BAI05.04 Comunicación de
beneficios
BAI06.03 Informes de estado de
peticiones de cambios
BAI07.05 Evaluación de los
resultados de aceptación
EDM02.04 Retroalimentación sobre el
rendimiento del Portafolio y
los programas
BAI01.07 Gestionar la calidad del programa. APO11.01 Planes para la gestión de la Plan para la gestión de la BAI02.04;
calidad calidad BAI03.06;
BAI07.01
APO11.02 Requisitos del cliente para Requisitos para la BAI07.03
la gestión de la calidad verificación independiente
de los entregables
BAI01.08 Gestionar el riesgo del programa. APO12.02 Resultados del análisis de Registro de riesgos del Interna
riesgos programa
BAI02.03 • R egistro de riesgos de los Resultados de la evaluación Interna
requisitos de riesgos del programa
• Acciones para la
mitigación de riesgos
Fuera de COBIT Marco para la gestión de Plan de gestión de riesgos Interna
riesgos empresariales del programa
(ERM)
BAI01.09 Cerrar un programa. BAI07.08 • Informe de la revisión Comunicación de la retirada APO05.04;

post-implementación del programa y APO07.06
• Plan de acciones de la rendición de cuentas
remediales continua
PMBOK Guide, 6.ª edición, 2017 Part 1: 4. Project integration management: Inputs and Outputs; Part 1: 6. Project
schedule management: Inputs and Outputs; Part 1: 10. Project communications
management: Inputs and Outputs; Part 1: 11. Project risk management: Inputs
and Outputs
160

Capítulo 4

Gestión de beneficios Skills Framework for the Information Age V6, 2015 BENM
Desarrollo de plan de negocio e-Competence Framework (e-CF)—A common European Framework for ICT A. Plan—A.3. Plan de negocio
Professionals in all industry sectors—Part 1: Framework, 2016 Desarrollo
Gestión de programas Skills Framework for the Information Age V6, 2015 PGMG
Gestión de proyectos y Portafolio e-Competence Framework (e-CF)—A common European Framework for ICT E. Manage—E.2. Project and
Professionals in all industry sectors—Part 1: Framework, 2016 Portfolio Management

Política de gestión de programas/ Orienta la gestión de los riesgos PMBOK Guide Sixth edition, 2017 Part 1: 2.3.1 Processes, policies
proyectos relacionados con programas y and procedures
proyectos Detalla la postura y
expectación de la dirección con
relación a la gestión de proyectos
y programas Trata la rendición
de cuentas, metas y objetivos
relacionados con el rendimiento,
presupuesto, análisis de riesgos,
reporte y mitigación de eventos
adversos durante la ejecución del
programa/proyecto.

Asegurar que la organización entiende y respalda el valor de la gestión del
programa en toda la empresa. Establecer en toda la empresa una cultura que
respalde la correcta implementación de la gestión del programa, considerando
la estructura organizativa y el entorno empresarial. Asegurar que la oficina
del programa tenga una visión central de todos los programas del portafolio
empresarial.

Herramienta de gestión de programas
161


162

Capítulo 4
Dominio: Construir, Adquirir e Implementar Área prioritaria: Modelo Core de

Objetivo de gestión: BAI02 — Gestionar la definición de requisitos COBIT
Descripción
Identificar las soluciones y analizar los requisitos antes de su adquisición o construcción para asegurarse de que se ajustan a los requisitos estratégicos de la
empresa cubriendo los procesos , aplicaciones, información/datos, infraestructura y servicios del negocio Coordinar la revisión de opciones viables con las partes
interesadas afectadas, incluidos costes y beneficios relativos, análisis de riesgos y aprobación de los requisitos y soluciones propuestas.
Propósito
Crear soluciones óptimas que satisfagan las necesidades de la empresa mientras que se minimiza el riesgo.
Æ
• EG01 Portafolio de productos y servicios competitivos • AG05 Prestación de servicios I&T alineados con los requisitos del negocio
• EG08 Optimización de la funcionalidad de los procesos internos del • AG06 Agilidad para convertir los requisitos del negocio en soluciones
negocio operativas
• EG12 Gestión de programas de transformación digital • AG09 Ejecución de programas dentro del plazo, sin exceder el presupuesto
y cumpliendo con los requisitos y estándares de calidad
EG01 a. P orcentaje de productos y servicios que cumplen o exceden los AG05 a. P orcentaje de partes interesadas del negocio satisfechas con
objetivos de satisfacción del cliente b. N úmero de interrupciones del negocio debido a incidentes de
ventaja competitiva c. Porcentaje de usuarios satisfechos con la calidad de la prestación
EG08 a. N iveles de satisfacción del consejo de administración y la AG06 a. N ivel de satisfacción de los ejecutivos del negocio con la

dirección ejecutiva con las capacidades del proceso del capacidad de respuesta de I&T a los nuevos requisitos
negocio b. P lazo de comercialización promedio para servicios y aplicaciones
b. N iveles de satisfacción de los clientes con las capacidades de nuevos relacionados con las I&T
c. Niveles de satisfacción de los proveedores con las en iniciativas acordadas y aprobadas
capacidades de la cadena de suministro d. N úmero de procesos de negocio críticos respaldados por
EG12 a. N úmero de programas ejecutados a tiempo y dentro del AG09 a. N úmero de programas/proyectos ejecutados a tiempo y dentro
presupuesto del presupuesto
b. Porcentaje de partes interesadas satisfechas con la ejecución b. N úmero de programas que necesitan una revisión significativa
del programa debido a defectos de calidad
c. Porcentaje de programas de transformación del negocio c. P orcentaje de partes interesadas satisfechas con la calidad del
suspendidos suspendidos programa/proyecto
163

BAI02.01 Definir y mantener los requisitos funcionales y técnicos del negocio. a. P orcentaje de requisitos reelaborados debido a la falta de alineación con las
Con base en el caso de negocio, identificar, priorizar, especificar y acordar los necesidades y expectativas de la empresa
requisitos de información , funcionales, técnicos y de control del negocio que b. P orcentaje de los requisitos validados a través de enfoques como revisión
cubran el alcance/comprensión de todas las iniciativas necesarias para lograr realizada por colegas, validación del modelo o construcción de prototipos
los resultados esperados de la solución empresarial propuesta habilitada por la operativos
I&T.
capacidad
1. G
arantizar que todos los requisitos de las partes interesadas, incluidos los criterios de aceptación relevantes se consideren, capten, prioricen 2
y registren de forma que sean comprensibles para todas las partes interesadas, reconociendo que los requisitos podrían cambiar y ser más
detallados conforme se implementen.
2. E xpresar los requisitos del negocio en términos de cómo debe abordarse la brecha entre las capacidades empresariales actuales y deseadas
y cómo el usuario (empleado, cliente, et.) interactuará con la solución y la utilizará.
3. E specificar y priorizar los requisitos de información, funcionales y técnicos, conforme al diseño de la experiencia de usuario y los requisitos
confirmados de las partes interesadas
4. A
segurar que los requisitos cumplan con las políticas y estándares empresariales, arquitectura empresarial, planes estratégicos y tácticos 3
de I&T, procesos de negocios y de TI internos y externalizados, requisitos de seguridad, requisitos regulatorios, competencias del personal,
estructura organizativa, caso de negocio y tecnología facilitadora.
5. Incluir requisitos de control de la información en los procesos del negocio, procesos automatizados y entornos de I&T para abordar el riesgo
de la información y cumplir con la legislación, regulaciones y contratos comerciales.
6. C
onfirmar la aceptación de aspectos clave de los requisitos, incluidos las reglas empresariales, experiencia de usuario, controles de
información, continuidad del negocio, cumplimiento legal y regulatorio, auditoría, ergonomía, operatividad y usabilidad, seguridad,
confidencialidad y documentación de soporte.

7. H
acer un seguimiento y control del alcance, requisitos y los cambios durante todo el ciclo de vida de la solución, a medida que evoluciona la
comprensión de la solución.
8. D
efinir e implementar un procedimiento para la definición y el mantenimiento de los requisitos, así como un repositorio de requisitos que
sean apropiados para el tamaño, complejidad, objetivos y riesgo de la iniciativa que la empresa considera llevar a cabo.
9. V
alidar todos los requisitos a través de enfoques como la revisión realizada por colegas validación del modelo o construcción de prototipos
operativos
ISF, The Standard of Good Practice for Information Security 2016 SD2.1 Specifications of Requirements
ISO/IEC 27002:2013/Cor.2:2015(E) 14.1 Security requirements of information systems
ITIL V3, 2011 Service Design, 5.1 Requirements engineering
PMBOK Guide, 6.ª edición, 2017 Part 1: 5. Project scope management
BAI02.02 Realizar un estudio de factibilidad y formular soluciones alternativas. a. Porcentaje de objetivos del caso de negocio satisfechos por la solución
Realizar un estudio de factibilidad de las posibles soluciones alternativas, propuesta
evaluar su viabilidad y seleccionar la opción preferida. Si es apropiado, b. Porcentaje de requisitos satisfechos por la solución propuesta
implementar la opción seleccionada como un piloto para determinar posibles
mejoras.
capacidad
1. Identificar las acciones requeridas para la adquisición o desarrollo de soluciones conforme a la arquitectura empresarial. Tener en cuenta las 2
limitaciones de alcance y/o plazo y/o presupuesto.
2. Revisar las soluciones alternativas con todas las partes interesadas. Seleccionar la más apropiada con base en criterios de factibilidad,
incluyendo el riesgo y el coste.
3. Trasladar el curso de acción preferido a un plan de adquisición/desarrollo de alto nivel que identifique los recursos que se usarán y las 3
etapas que requieran la decisión de seguir o no seguir adelante.
4. Definir y ejecutar un estudio de factibilidad, piloto o solución de trabajo básica que describa de forma clara y concisa las soluciones y 4
medidas alternativas y cómo estas satisfarán los requisitos funcionales y del negocio. Incluir una evaluación de su factibilidad tecnológica y
económica.
164

Capítulo 4

BAI02.03 Gestionar el riesgo de los requisitos. a. P orcentaje de riesgos de los requisitos no cubiertos por una adecuada
Identificar, documentar, priorizar y mitigar el riesgo funcional, técnico y de respuesta al riesgo
procesamiento de la información asociado con los requisitos empresariales, las b. Nivel de detalle del riesgo de los requisitos documentado
hipótesis y la solución propuesta. c. Q
ué tan completa es la probabilidad estimada y el impacto del riesgo de los
requisitos y las respuestas al riesgo enumerados
capacidad
1. Identificar el riesgo de requisitos de calidad, funcionales y técnica (debido, por ejemplo, a la falta de participación del usuario, expectativas 3
poco realistas, a los desarrolladores añadiendo una funcionalidad innecesaria, hipótesis poco realistas, etc.).
2. Determinar una respuesta apropiada al riesgo para el riesgo de los requisitos.
3. Analizar el riesgo identificado estimando su probabilidad y su impacto en el presupuesto y en el calendario. Evaluar el impacto en el 4
presupuesto de las adecuadas acciones de respuesta al riesgo.
BAI02.04 Obtener la aprobación de requisitos y soluciones. a. Nivel de satisfacción de las partes interesadas con los requisitos
Coordinar la retroalimentación de las partes interesadas afectadas En etapas b. N úmero de excepciones de la solución observadas durante la etapa de las
clave predeterminadas, obtener la aprobación y autorización del patrocinador revisiones.
del negocio o del dueño del producto para los requisitos funcionales y técnicos, c. P orcentaje de partes interesadas que no aprueban la solución en relación con
estudios de factibilidad, análisis de riesgos y soluciones recomendadas. el caso de negocio

capacidad
1. Asegurar que el patrocinador del negocio o dueño del producto realice la elección final de la solución, estrategia de adquisición y diseño de 3
alto nivel, de acuerdo con el caso de negocio. Obtener las aprobaciones necesarias de las partes interesadas afectadas (p. ej. dueño del
proceso de negocio, arquitecto empresarial, director de operaciones, director de seguridad de la información, director de privacidad).
2. Obtener revisiones de calidad durante y al final de cada etapa, iteración o liberación clave del proyecto. Evaluar los resultados en 4
comparación con los criterios de aceptación inicial. Contar con la aceptación de los patrocinadores del negocio y de otras partes interesadas
en cada revisión de calidad satisfactoria.


Gestor de programas
Director de riesgos
Gestor de proyecto
Jefe de desarrollo
Director de TI

BAI02.01 Definir y mantener los requisitos funcionales y técnicos del negocio. R A R R R R R R R R
BAI02.02 Realizar un estudio de factibilidad y formular soluciones alternativas. R A R R R R
BAI02.03 Gestionar el riesgo de los requisitos. R R R A R R R R R R R
BAI02.04 Obtener la aprobación de requisitos y soluciones. R A R R R R R
165


BAI02.01 Definir y mantener los requisitos funcionales y De Descripción Descripción A
técnicos del negocio.
APO01.07 •D irectrices de clasificación Repositorio de definiciones BAI03.01;
de datos de requisitos BAI03.02;
•D irectrices de la seguridad BAI03.12;
y control de los datos BAI04.01;
• P rocedimientos de BAI05.01
integridad de los datos
APO03.01 Principios de arquitectura Criterios de aceptación BAI03.01;
confirmados por las partes BAI03.02;
interesadas BAI03.12;
BAI04.03;
BAI05.01;
BAI05.02
APO03.02 • Descripciones de dominios Registro de peticiones de BAI03.09
de referencia y definición cambio de requisitos
de arquitectura
• Modelo de arquitectura de
la información
APO03.05 Guía para el desarrollo de
soluciones
APO10.02 Solicitudes de información
(RFI) y solicitudes de
propuestas (RFP) para los
proveedores
APO11.02 Criterios de aceptación
APO14.02 Glosario empresarial
BAI02.02 Realizar un estudio de factibilidad y formular APO03.05 Guía de desarrollo de Plan de desarrollo/ APO10.02;
soluciones alternativas. soluciones adquisiciones de alto nivel BAI03.01
APO10.01 Catálogo de proveedores Informe del estudio de BAI03.02;
factibilidad BAI03.03;
BAI03.12
APO10.02 • S olicitudes de información
(RFI) y solicitudes de
propuestas (RFP) para los
proveedores
• Evaluaciones de RFI y RFP
• R esultados de las
decisiones de las
evaluaciones de
proveedores
APO11.02 Criterios de aceptación
BAI02.03 Gestionar el riesgo de los requisitos. Registro de riesgos de los BAI01.08;
requisitos BAI03.02;
BAI04.01;
BAI05.01;
BAI11.06
Acciones para la mitigación BAI01.08;
de riesgos BAI03.02;
BAI05.01
BAI02.04 Obtener la aprobación de requisitos y soluciones. BAI01.07 Plan de gestión de la Revisiones de calidad APO11.03
calidad aprobadas
BAI11.05 Plan de gestión de la Aprobaciones del BAI03.02;
calidad del proyecto patrocinador para los BAI03.03;
requisitos y las soluciones BAI03.04
propuestas.
PMBOK Guide, 6.ª edición, 2017 Part 1: 5. Project management scope: Inputs and Outputs
166

Capítulo 4

Diseño de aplicaciones e-Competence Framework (e-CF)—A common European Framework for ICT A. Plan—A.6. Application Design
Análisis del negocio Skills Framework for the Information Age V6, 2015 BUAN
Mejora en el proceso del negocio Skills Framework for the Information Age V6, 2015 BPRE
Identificación de necesidades e-Competence Framework (e-CF)—A common European Framework for ICT D. Enable—D.11. Needs
Professionals in all industry sectors—Part 1: Framework, 2016 Identification
Definición y gestión de requisitos Skills Framework for the Information Age V6, 2015 REQM
Análisis de la experiencia del usuario Skills Framework for the Information Age V6, 2015 UNAN

Política de desarrollo de software Estandarizar el desarrollo de software
en la organización mediante un listado
de todos los protocolos y estándares
que se deben seguir.

Establecer una cultura que garantiza procesos coherentes y sólidos para definir
los requisitos. Asegurar que los procesos alinean claramente los requisitos de

desarrollo con los requisitos estratégicos empresariales.

Definición de requisitos y herramientas de documentación
167


168

Capítulo 4

Objetivo de gestión: BAI03 — Gestionar la identificación y construcción de soluciones COBIT
Descripción
Establecer y mantener productos y servicios identificados (tecnología, procesos de negocio y flujos de trabajo) alineados con los requisitos de la empresa que
cubran el diseño, desarrollo, adquisición/subcontratación y la asociación con proveedores. Gestionar la configuración, preparación de pruebas, pruebas, gestión de
requisitos y mantenimiento de procesos de negocio, aplicaciones, información/datos, infraestructura y servicios.
Propósito
Garantizar una prestación ágil y escalable de productos y servicios digitales. Establecer soluciones oportunas y rentables (tecnología, procesos de negocio y flujos
de trabajo) capaces de apoyar los objetivos estratégicos y operativos de la empresa.
Æ
• EG01 Portafolio de productos y servicios competitivos • AG05 Prestación de servicios de I&T en línea con los requisitos del
• EG08 Optimización de la funcionalidad de procesos internos del negocio
• EG12 Gestión de programas de transformación digital operativas
• AG09 Ejecución de programas dentro del plazo, sin exceder el presupuesto,

empresarial b. P lazo de comercialización promedio para nuevos servicios y
b. N iveles de satisfacción de los clientes con las capacidades de aplicaciones relacionados con la I&T
c. Niveles de satisfacción de los proveedores con las capacidades en iniciativas acordadas y aprobadas
de la cadena de suministro d. Número de procesos críticos de negocio soportados por
EG12 a. N úmero de programas ejecutados a tiempo y dentro del AG09 a. Número de programas/proyectos ejecutados a tiempo y dentro del
presupuesto presupuesto
b. P orcentaje de partes interesadas satisfechas con la ejecución b. N úmero de programas que necesitan una revisión significativa
suspendidos programa/proyecto
actualizaciones de estado notificadas regularmente.
BAI03.01 Diseño de soluciones de alto nivel. a. Número de deficiencias de la revisión del diseño
Desarrollar y documentar diseños de alto nivel para la solución en términos de b. P orcentaje de participación de las partes interesadas en el diseño y la
tecnología, procesos de negocio y flujos de trabajo. Usar técnicas de desarrollo aprobación de cada versión.
por fases o Agile rápido acordadas y apropiadas. Asegurar la alineación con
la estrategia de I&T y la arquitectura empresarial. Volver a evaluar y actualizar
los diseños cuando se presenten problemas significativos durante las fases
de diseño detallado o construcción, o según evolucione la solución. Aplicar
un enfoque centrado en el usuario; asegurarse de que las partes interesadas
participan activamente en el diseño y la aprobación de cada versión.
169


capacidad
1. Establecer una especificación de diseño de alto nivel que traslade la solución propuesta a un diseño de alto nivel para los procesos de 2
negocio, los servicios que los soportan, flujos de trabajo, aplicaciones, infraestructura y repositorios de información capaces de satisfacer
los requisitos del negocio y de la arquitectura empresarial.
2. Involucrar a diseñadores con experiencia con el usuario y especialistas de TI bien calificados y experimentados en el proceso de diseño para
garantizar que el diseño proporcione una solución que use de forma óptima las capacidades propuestas de I&T para mejorar el proceso de
negocio.
3. Crear un diseño que cumpla con los estándares de diseño de la organización. Asegurar que mantiene un nivel de detalle adecuado para la
solución y el método de desarrollo y consistente con las estrategias de negocio, empresariales y de I&T, arquitectura empresarial, plan de
seguridad/privacidad y legislaciones, regulaciones y contratos aplicables.
4. Después de la aprobación del aseguramiento de calidad, enviar el diseño de alto nivel final a las partes interesadas del proyecto y al
patrocinador/dueño del proceso de negocio para su aprobación, conforme a los criterios acordados. Este diseño evolucionará a lo largo del
proyecto a medida que aumente su comprensión.
ISF, The Standard of Good Practice for Information Security 2016 SD2.2 System Design
BAI03.02 Diseñar componentes detallados para la solución. a. Número de deficiencias en la revisión del diseño
Desarrollar, documentar y elaborar diseños detallados de forma progresiva. b. Número de cambios de diseño en proceso
Usar técnicas de desarrollo Agile por fases o rápido acordadas y apropiadas,
abordando todos los componentes (procesos de negocio y controles
automatizados y manuales relacionados, aplicaciones soportadas por I&T,
servicios de infraestructura y productos de tecnología, así como a los socios/
proveedores). Asegurarse de que el diseño detallado incluya acuerdos de nivel

de servicio (SLA) internos y externos, así como acuerdos de nivel operativo
(OLA).
capacidad
1. Diseñar progresivamente las actividades del proceso de negocio y los flujos de trabajo que deben realizarse junto con el nuevo sistema de 2
aplicación para satisfacer los objetivos empresariales, incluido el diseño de las actividades de control manual.
2. Diseñar los pasos del procesamiento de la aplicación. Estos pasos incluyen la especificación de los tipos de transacción y reglas de
procesamiento del negocio, controles automatizados, definiciones de datos/objetos del negocio, casos de uso, interfaces externas,
limitaciones del diseño y otros requisitos (p. ej. licenciamiento, legales, estándares e internacionalización/localización).
3. Clasificar las entradas y salidas de datos conforme a los estándares de la arquitectura empresarial. Especificar el diseño de recopilación de
datos fuente. Documentar las entradas de datos (independientemente de la fuente) y la validación de las transacciones del procesamiento,
así como los métodos de validación. Diseñar las salidas identificadas, incluidas las fuentes de datos.
4. Diseñar la interfaz del sistema/solución, incluido cualquier intercambio automático de datos.
5. Diseñar el almacenamiento, ubicación, recuperación y mecanismos de recuperación de los datos.
6. Diseñar la redundancia, recuperación y copias de seguridad adecuadas.
7. Diseñar la interfaz entre el usuario y la aplicación del sistema para que sea fácil de usar y sea auto documentada. 3
8. Considerar el impacto de la necesidad de la solución en el rendimiento de la infraestructura, con sensibilidad respecto al número de activos
de cómputo, intensidad del ancho de banda y sensibilidad temporal de la información.
9. Evaluar proactivamente las debilidades del diseño (p. ej., inconsistencias, falta de claridad, posibles fallos) a lo largo del ciclo de vida.
Identificar las mejoras cuando sea necesario.
10. Proporcionar la capacidad para auditar transacciones e identificar las causas raíz de los errores de procesamiento.
ISF, The Standard of Good Practice for Information Security 2016 SD2.2 System Design
170

Capítulo 4

BAI03.03: Desarrollar los componentes de la solución. a. Número de excepciones al diseño de la solución observadas durante la etapa
Desarrollar progresivamente los componentes de la solución en un entorno de revisión.
independiente, de acuerdo con los diseños detallados siguiendo estándares y b. N
úmero de diseños detallados para los procesos del negocio, servicios de
requisitos de desarrollo y documentación, de aseguramiento de la calidad (QA) soporte, aplicaciones e infraestructura y repositorios de información
y de aprobación. Asegurarse de que se abordan todos los requisitos de control
en los procesos de negocio, las aplicaciones y los servicios de infraestructura
soportadas por I&T, servicios y productos de tecnología, y los servicios de
socios/proveedores.
capacidad
1. Dentro de un entorno separado, desarrollar el diseño detallado propuesto para los procesos de negocio, servicios de soporte, aplicaciones, 2
infraestructura y repositorios de información.
2. Cuando los terceros están involucrados con el desarrollo de soluciones, garantizar que el mantenimiento, soporte, estándares de desarrollo y
el licenciamiento se aborda y se cumple con las obligaciones contractuales.
3. Hacer un seguimiento de las peticiones de cambio y de las revisiones de diseño, desempeño y calidad. Asegurar la participación activa de
todas las partes interesadas afectadas.
4. Documentar todos los componentes de la solución conforme a los estándares definidos. Mantener un control de versiones sobre todos los
componentes desarrollados y la documentación asociada.
5. Evaluar el impacto de la personalización y configuración de la solución en el rendimiento y la eficiencia de las soluciones adquiridas y en 3
la interoperabilidad con las aplicaciones, sistemas operativos y otra infraestructura existente. Adaptar procesos de negocio cuando sea
necesario para aprovechar la capacidad de la aplicación.
6. Garantizar que las responsabilidades de usar componentes de infraestructura de alta seguridad o de acceso restringido estén claramente

definidas y sean comprendidas por aquellos que desarrollan e integran los componentes de infraestructura. Es necesario monitorizar e
informar sobre su uso.
ISF, The Standard of Good Practice for Information Security 2016 SD1.2 System Development Environments
ISO/IEC 27002:2013/Cor.2:2015(E) 14.2 Security in development and support processes
ITIL V3, 2011 Service Strategy, 5.5 IT service strategy and application development
BAI03.04 Adquirir los componentes de la solución. a. Porcentaje de proveedores certificados
Adquirir los componentes de la solución basados en el plan de adquisiciones, b. Porcentaje de proveedores involucrados en el diseño colaborativo
de acuerdo con los requisitos y diseños detallados, los principios y estándares
de arquitectura, y los procedimientos generales de adquisición y contratos de la
compañía, requisitos de QA y estándares de aprobación. Asegurarse de que el
proveedor identifica y aborda todos los requisitos legales y contractuales.
capacidad
1. Crear y mantener un plan para la adquisición de componentes de la solución. Considerar su flexibilidad futura para las nuevas 3
incorporaciones de capacidad, los costes de transición, el riesgo y las actualizaciones durante la vida del proyecto.
2. Revisar y aprobar todos los planes de adquisiciones. Considerar el riesgo, costes, beneficios y conformidad técnica con los estándares de
arquitectura empresarial.
3. Evaluar y documentar hasta qué punto las soluciones adquiridas necesitan adaptarse al proceso de negocio para obtener los beneficios de la
solución adquirida.
4. Seguir las aprobaciones requeridas en momentos clave de toma de decisiones durante los procesos de adquisición.
5. Registrar en un inventario de activos la recepción de todas las adquisiciones de infraestructura y software.
ISF, The Standard of Good Practice for Information Security 2016 SD2.3 Software Acquisition
National Institute of Standards and Technology Framework for Improving Critical 3.4 Buying Decisions
171


BAI03.05 Construir soluciones. a. Brecha entre el esfuerzo de desarrollo estimado frente al esfuerzo de
Instalar y configurar soluciones e integrarlas con las actividades del proceso desarrollo final
de negocio. Durante la configuración e integración del hardware y el software b. Número de problemas de software comunicados
de infraestructura, implementar medidas de control, seguridad, privacidad c. Número de errores revisados
y auditabilidad para proteger los recursos y asegurar la disponibilidad y la
integridad de los datos. Actualizar el catálogo de productos o servicios para
reflejar las nuevas soluciones.
capacidad
1. Integrar y configurar los componentes de negocio y de la solución de TI y los repositorios de la información de acuerdo con las 2
especificaciones detalladas y los requisitos de calidad. Considerar el rol de los usuarios, partes interesadas de la empresa y dueño del
proceso en la configuración de los procesos del negocio.
2. Completar y actualizar los manuales del proceso de negocio y los manuales operativos, cuando sea necesario, para incluir la personalización
o condiciones especiales únicas para la implementación.
3. Considerar todos los requisitos de control de la información relevante en la integración y configuración de los componentes de la
solución. Incluir la implementación de controles de negocio, donde corresponda, en los controles automáticos de aplicación, para que el
procesamiento sea preciso, completo, oportuno, autorizado y auditable.
4. Implementar pistas de auditoría durante la configuración y durante la integración del hardware y el software de infraestructura, para proteger 3
los recursos y asegurar su disponibilidad e integridad.
5. Considerar cuando el efecto de las personalizaciones y configuraciones acumuladas (incluidos los cambios menores que no estaban sujetos
a especificaciones formales del diseño) requiere una revaluación de alto nivel de la solución y la funcionalidad asociada.
6. Configurar el software de la aplicación adquirido para satisfacer los requisitos de procesamiento del negocio.
7. Definir los catálogos de productos y servicios para grupos objetivos internos y externos relevantes, conforme a los requisitos del negocio.
8. Garantizar la interoperabilidad de los componentes de la solución con pruebas de soporte, preferiblemente automáticas.
HITRUST CSF versión 9, septiembre de 2017 10.05 Security in Development & Support Processes
ISF, The Standard of Good Practice for Information Security 2016 SD2.4 System Build
BAI03.06 Realizar el aseguramiento de calidad (QA). a. Número de diseños de soluciones reelaboradas debido a la falta de alineación
Desarrollar, aprovisionar y ejecutar un plan de aseguramiento de la calidad (QA) con los requisitos
que esté alineado con el sistema de gestión de la calidad (QMS) para obtener b. N úmero y solidez de las actividades documentadas de supervisión realizadas
la calidad especificada en la definición de los requisitos y en las políticas y
procedimientos de calidad de la empresa.
capacidad
1. Definir un plan de aseguramiento de la calidad, incluidos, por ejemplo, la especificación de los criterios de calidad, procesos de 3
validación y verificación, definición sobre cómo se revisará la calidad, cualificaciones necesarias de los revisores de la calidad, y roles y
responsabilidades para lograr la calidad.
2. Supervisar frecuentemente la calidad de la solución conforme a los requisitos del proyecto, políticas empresariales, cumplimiento de las 4
metodologías de desarrollo, procedimientos de gestión de calidad y criterios de aceptación.
3. Emplear, como corresponda, la inspección de código, prácticas de desarrollo a base de pruebas, pruebas automáticas, integración continua,
pruebas de recorrido y pruebas de las aplicaciones. Informar sobre los resultados del proceso de supervisión y las pruebas al equipo de
desarrollo de software de aplicación y la dirección de TI.
4. Supervisar todas las excepciones de calidad y abordar todas las acciones correctivas. Mantener un registro de todas las revisiones,
resultados, excepciones y correcciones. Repetir revisiones de calidad, cuando sea necesario, basadas en la cantidad de trabajo que debe
volverse a realizar y las acciones correctivas.
ISF, The Standard of Good Practice for Information Security 2016 SD1.3 Quality Assurance
172

Capítulo 4

BAI03.07 Preparar las pruebas de la solución. a. Número de usuarios del negocio involucrados en la construcción de un plan
Establecer un plan de pruebas y los entornos/ambientes necesarios para probar de pruebas
los componentes individuales e integrados de la solución. Incluir los procesos de b. Número y solidez de los casos de uso creados para las pruebas
negocio y los servicios de soporte, aplicaciones e infraestructura.
capacidad
1. Crear un plan integrado de prácticas y pruebas que se corresponda con el entorno empresarial y los planes estratégicos de tecnología. 2
Asegurar que el plan integrado de prácticas y pruebas permita la construcción de entornos de pruebas y simulación adecuados para ayudar
a comprobar que la solución funcione correctamente en el entorno real y entregue los resultados deseados, y que los controles sean
adecuados.
2. Crear un entorno de pruebas que apoye todo el alcance de la solución. Asegurar que el entorno de pruebas refleje, lo más fielmente posible,
las condiciones del mundo real, incluidos los procesos y procedimientos del negocio, la totalidad de usuarios, tipos de transacciones y
condiciones para el despliegue.
3. Crear procedimientos de pruebas alineados con el plan y las prácticas y permitir la evaluación del funcionamiento de la solución en 3
condiciones reales. Asegurar que los procedimientos de las pruebas evalúen la idoneidad de los controles, conforme a los estándares
generales de la empresa que definen roles, responsabilidades y criterios de pruebas, y que sean aprobados por las partes interesadas del
proyecto y el patrocinador/dueño del proceso de negocio.
4. Documentar y guardar los procedimientos de prueba, casos, controles y parámetros para las pruebas futuras de la aplicación.
CMMI Cybermaturity Platform, 2018 AD.DE Safeguard Development Environment
National Institute of Standards and Technology Special Publication 800-53, 3.10 Maintenance (MA-2, MA-3)

BAI03.08 Ejecutar las pruebas de la solución. a. Número de errores encontrados durante la prueba
Durante el desarrollo, ejecutar pruebas continuamente (incluidas pruebas de b. Tiempo y esfuerzo para completar las pruebas
control), de acuerdo con el plan de pruebas definido y las prácticas de desarrollo
en el entorno apropiado. Incluir a los dueños de los procesos de negocio y a
los usuarios finales en el equipo de pruebas. Identificar, registrar y priorizar los
errores y problemas que se identificaron durante las pruebas.
capacidad
1. Llevar a cabo las pruebas de soluciones y sus componentes, conforme al plan de pruebas. Incluir probadores independientes del equipo de 2
la solución, con dueños del proceso de negocio y usuarios finales representativos. Asegurar que las pruebas se realicen solo dentro de los
entornos de pruebas y desarrollo.
2. Usar instrucciones de pruebas claramente definidas, conforme a los establecido en el plan de pruebas. Considerar el equilibrio adecuado
entre las pruebas automatizadas y las pruebas interactivas del usuario.
3. Llevar a cabo todas las pruebas conforme al plan y prácticas de prueba. Incluir la integración de los procesos de negocio y los componentes
de la solución de TI y requisitos no funcionales (p. ej., seguridad, privacidad, interoperabilidad, usabilidad).
4. Identificar, registrar y clasificar los errores (p. ej. menores, significativos, de misión crítica) durante las pruebas. Repetir las pruebas hasta
que se hayan resuelto todos los errores significativos. Asegurar que se mantenga pistas de auditoría de los resultados de las pruebas.
5. Registrar los resultados de las pruebas y comunicarlos a las partes interesadas conforme al plan de pruebas.
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento)
CMMI Cybermaturity Platform, 2018 AD.ST Secure Development Testing
ISF, The Standard of Good Practice for Information Security 2016 SD2.5 System Testing; SD2.6 Security Testing
173


BAI03.09 Gestionar los cambios a los requisitos. a. N
úmero de cambios a los que se les hizo seguimiento, y que fueron aprobados
Hacer seguimiento al estado de requisitos individuales (incluidos todos los que generan nuevos errores
requisitos rechazados) durante el ciclo de vida del proyecto. Gestionar la b. P orcentaje de partes interesadas satisfechas con los procesos de gestión de
aprobación de cambios a los requisitos. cambios
capacidad
1. E valuar el impacto de todas las peticiones de cambio durante el desarrollo de la solución, el caso de negocio original y el presupuesto. 3
Clasificarlas y priorizarlas conforme sea necesario.
2. H
acer un seguimiento de los cambios a los requisitos, que permita a todas las partes interesadas supervisar, revisar y aprobar los cambios.
Asegurar que los resultados del proceso de cambio sean entendidos y acordados en su totalidad por todas las partes interesadas y el
patrocinador/dueño del proceso de negocio.
3. A
plicar solicitudes de cambio, manteniendo la integridad de la combinación y configuración de los componentes de la solución. Evaluar el
impacto de cualquier actualización mayor de la solución y clasificarla conforme a los criterios objetivos acordados (por ejemplo, requisitos
de la empresa), según el resultado del análisis de riesgos (como el impacto en los sistemas y procesos actuales o la seguridad/privacidad),
la justificación del coste-beneficio y otros requisitos.
(Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
ISF, The Standard of Good Practice for Information Security 2016 SD2.9 Post-implementation Review
BAI03.10 Mantener las soluciones. a. Número de demandas de mantenimiento no satisfechas
Desarrollar y ejecutar un plan para mantener los componentes de la solución y la b. D uración de las demandas de mantenimiento que se satisfacen y no se
infraestructura. Incluir revisiones periódicas frente a las necesidades del negocio satisfacen
y los requisitos operativos.
capacidad
1. Desarrollar y ejecutar un plan para mantener los componentes de la solución. Incluir revisiones periódicas frente a las necesidades del 2
negocio y los requisitos operativos, como gestión de parches, estrategias de actualización, riesgo, privacidad, análisis de vulnerabilidades y
requisitos de seguridad.
2. Evaluar la importancia de una actividad de mantenimiento propuesta sobre el diseño, funcionalidad y/o procesos de negocio de la solución 3
actual. Considerar el riesgo, el impacto en el usuario y la disponibilidad de recursos. Asegurar que los dueños del proceso de negocio
entiendan el efecto de los cambios designados como mantenimiento.
3. En el caso de cambios mayores a las soluciones actuales que deriven en un cambio significativo en los diseños y/o funcionalidad
y/o procesos de negocio actuales, seguir el proceso de desarrollo utilizado para nuevos sistemas. En el caso de actualizaciones de
mantenimiento, usar el proceso de gestión de cambios.
4. Asegurar que el patrón y volumen de las actividades de mantenimiento se analice periódicamente para ver si hay tendencias anormales que 4
indiquen problemas subyacentes en la calidad o rendimiento, en el coste/beneficio de actualizaciones mayores, o en la sustitución en lugar
del mantenimiento.
(Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
ISO/IEC 27002:2013/Cor.2:2015(E) 14.3 Test data
BAI03.11 Definir productos y servicios de TI y mantener el portafolio de a. Porcentaje de partes interesadas que aprueban los nuevos servicios de I&T
servicios. b. P orcentaje de definiciones y opciones de nivel de servicio nuevas o
Definir y acordar opciones nuevas o modificadas de productos o servicios de modificadas que están documentadas en el portafolio de servicios.
TI y del nivel de servicio. Documentar las definiciones de productos y servicios c. P orcentaje de definiciones y opciones de nivel de servicio nuevas o
nuevas o modificadas y las opciones de nivel de servicio que se actualizarán en modificadas que están actualizadas en el portafolio de servicios.
el portafolio de productos y servicios.
174

Capítulo 4

capacidad
1. Proponer definiciones de los productos y servicios de TI nuevos o modificados para asegurar que cumplan con su propósito. Documentar las 3
definiciones propuestas que se desarrollarán en la lista del portafolio de productos y servicios.
2. Proponer opciones de nivel de servicio (tiempos de servicio, satisfacción del usuario, disponibilidad, rendimiento, capacidad, seguridad,
privacidad, continuidad, cumplimiento y usabilidad) nuevas o modificadas para asegurar que los productos y servicios de TI sean adecuados.
Documentar las opciones de servicio propuestas en el portafolio.
3. Mediar con las direcciones de relaciones del negocio de gestión de portafolio para acordar las definiciones propuestas de productos y
servicios y las opciones de nivel de servicio.
4. Si los cambios en productos o servicios caen en el alcance de la autoridad de aprobación acordada, crear productos o servicios de TI
u opciones de nivel de servicio nuevos o modificados. De no ser así, comunicar el cambio a la gestión de portafolio para que revise la
inversión.
Documentación relacionada(Estándares, Marcos, Requisitos de cumplimiento) Referencia específica
BAI03.12 Diseñar soluciones conforme a la metodología de desarrollo definida. a. P orcentaje de proyectos de desarrollo de soluciones que aplican las
Diseñar, desarrollar e implementar soluciones con la metodología de desarrollo metodologías de desarrollo seleccionadas
adecuada (es decir, en cascada, Agile o bimodal I&T), conforme a la estrategia y b. Porcentaje de procesos adaptados a la estrategia elegida
requisitos globales.
capacidad
1. Analizar y evaluar el impacto de elegir una metodología de desarrollo (es decir, en cascada, Agile, bimodal) sobre los recursos disponibles, 3

los requisitos de la arquitectura, los ajustes de la configuración y la rigidez del sistema.
2. Establecer la metodología de desarrollo adecuada y la estrategia organizativa que lleve a cabo la solución propuesta de forma eficaz y
eficiente y que sea capaz de satisfacer los requisitos de la empresa, arquitectura y sistema. Adaptar los procesos a la estrategia elegida
como corresponda.
3. Establecer los equipos de proyecto necesarios conforme a lo definido en la metodología de desarrollo elegida. Proporcionar la formación
suficiente.
4. Considerar la aplicación de un sistema dual, si fuera necesario, en el que grupos transversales (fábricas digitales) se centren en desarrollar
un producto o proceso con una metodología tecnológica, operativa o gerencial distinta al resto de la compañía. Integrar estos grupos en las
unidades de negocio tiene la ventaja de extender la nueva cultura del desarrollo ágil y hacer que esta fábrica digital se acerque cada vez más
a la norma.
ISF, The Standard of Good Practice for Information Security 2016 SD1.1 System Development Methodology
175



Gestor de programas
Gestor de servicios
Gestor de proyecto
Jefe de desarrollo
Director de TI
BAI03.01 Diseño de soluciones de alto nivel. R R A R R R R R R
BAI03.02 Diseñar componentes detallados para la solución. R R A R R R R
BAI03.03: Desarrollar los componentes de la solución. R R A R R R R
BAI03.04 Adquirir los componentes de la solución. R R A R R R
BAI03.05 Construir soluciones. R R A R R R R R
BAI03.06 Realizar el aseguramiento de calidad (QA). R R A R R R R
BAI03.07 Preparar las pruebas de la solución. R R A R R R R R R
BAI03.08 Ejecutar las pruebas de la solución. R R A R R R R

BAI03.09 Gestionar los cambios a los requisitos. R R A R R R R R R R
BAI03.10: Mantener las soluciones. A R R R R R R R R
BAI03.11 Definir productos y servicios de TI y mantener el portafolio de servicios. A R R R
BAI03.12 Diseñar soluciones conforme a la metodología de desarrollo definida. A R R R R
176

Capítulo 4

BAI03.01 Diseño de soluciones de alto nivel. De Descripción Descripción A
APO03.01 Principios de arquitectura Especificación de diseño de BAI04.03;
alto nivel aprobado BAI05.01
APO03.02 Descripciones de dominios
de referencia y definición de
arquitectura
APO04.03 Análisis de investigación

de las posibilidades de
innovación
APO04.04 Evaluación de las iniciativas
de innovación
BAI02.01 • Repositorio de
definiciones de requisitos
• Criterios de aceptación
confirmados por las
partes interesadas
BAI02.02 Plan de adquisición/
desarrollo de alto nivel
BAI03.02 Diseñar componentes detallados para la solución. APO03.01 Principios de arquitectura SLA internos y externos BAI04.02

APO03.02 • Descripciones de Especificación de diseño BAI04.03;
dominios de referencia y detallado aprobado BAI05.01
definición de arquitectura
• Modelo de arquitectura de
la información
APO03.05 Guía de desarrollo de
soluciones
APO04.06 Evaluaciones de estrategias

innovadoras
BAI02.01 • Repositorio de
confirmados por las
partes interesadas
BAI02.02 Informe del estudio de
factibilidad
BAI02.03 • Registro de riesgos de los
requisitos
• Acciones para la
BAI02.04 Aprobación por parte
del patrocinador de los
requisitos y las soluciones
propuestas
BAI03.03: Desarrollar los componentes de la solución. BAI02.02 Informe del estudio de Componentes de la BAI04.03;
factibilidad solución documentados BAI05.05;
BAI08.02;
BAI02.04 Aprobación por parte BAI08.03
del patrocinador de los
propuestas
177


BAI03.04 Adquirir los componentes de la solución. De Descripción Descripción A
BAI02.04 Aprobación por parte Plan de adquisiciones APO10.03
del patrocinador de los aprobado
propuestas Actualizaciones del BAI09.01
inventario de activos
BAI03.05 Construir soluciones. Componentes de la solución BAI06.01
integrados y configurados
BAI03.06 Realizar el aseguramiento de calidad (QA). APO11.01 Resultados de las revisiones Resultados, excepciones y APO11.04
de eficiencia del QMS correcciones de la revisión
de calidad
BAI01.07 Plan de gestión de la Plan de aseguramiento de APO11.04
calidad la calidad
BAI11.05 Plan de gestión de la
calidad del proyecto
BAI03.07 Preparar las pruebas de la solución. Procedimientos de prueba BAI07.03
Plan de pruebas BAI07.03
BAI03.08 Ejecutar las pruebas de la solución. APO04.05 Análisis de iniciativas Comunicación de los BAI07.03
rechazadas resultados de las pruebas
Logs de los resultados y BAI07.03

pistas de auditoría de las
pruebas
BAI03.09 Gestionar los cambios a los requisitos. APO04.05 Resultados y Registro de todas las BAI06.03
recomendaciones obtenidos peticiones de cambio
a partir de iniciativas de aprobadas y aplicadas
pruebas de concepto
BAI02.01 Registro de peticiones de
cambio de requisitos
BAI03.10 Mantener soluciones. Plan de mantenimiento APO08.05
Componentes de la solución BAI05.05
y su documentación
relacionada actualizados
BAI03.11 Definir productos y servicios de TI y mantener el APO02.04 • Brechas y cambios Portafolio de servicios APO05.04
portafolio de servicios. necesarios para lograr la actualizado
capacidad deseada
• Declaración del beneficio
sobre el valor para el
entorno objetivo
APO06.02 Asignaciones de Definiciones de servicio EDM02.01;
presupuesto DSS01.03
APO06.03 • Presupuesto de I&T
• Comunicaciones del
presupuesto
APO08.05 Definición de posibles
proyectos de mejora
BAI10.02 Configuración de referencia
BAI10.03 Cambios aprobados a la
configuración de referencia
BAI10.04 Informes de estado de la
configuración
EDM04.01 Principios rectores para la
asignación de recursos y
capacidades
178

Capítulo 4

BAI03.12 Diseñar soluciones conforme a la metodología de De Descripción Descripción A
desarrollo definida.
APO03.02 Descripciones de dominios
de referencia y definición de
arquitectura
APO03.05 Guía de desarrollo de
soluciones
APO07.03 Matriz de habilidades y
competencias
BAI02.01 • Criterios de aceptación
confirmados por las
partes interesadas
• Repositorio de
BAI02.02 Informe del estudio de
factibilidad
BAI10.02 Configuración de referencia

Desarrollo de aplicaciones e-Competence Framework (e-CF)—A common European Framework for ICT B. Build—B.1. Application
Professionals in all industry sectors—Part 1: Framework, 2016 Development
Pruebas de procesos de negocio Skills Framework for the Information Age V6, 2015 BPTS
Integración de componentes e-Competence Framework (e-CF)—A common European Framework for ICT B. Build—B.2. Component
Professionals in all industry sectors—Part 1: Framework, 2016 Integration
Diseño de la base de datos Skills Framework for the Information Age V6, 2015 DBDS
Producción de documentación e-Competence Framework (e-CF)—A common European Framework for ICT B. Build—B.5. Documentation
Professionals in all industry sectors—Part 1: Framework, 2016 Production
Diseño de hardware Skills Framework for the Information Age V6, 2015 HWDE
Configuración de portabilidad/ Skills Framework for the Information Age V6, 2015 PORT
software
Programación/desarrollo de software Skills Framework for the Information Age V6, 2015 PROG
Liberación y despliegue Skills Framework for the Information Age V6, 2015 RELM
Arquitectura de la solución Skills Framework for the Information Age V6, 2015 ARCH
Despliegue de soluciones e-Competence Framework (e-CF)—A common European Framework for ICT B. Build—B.4. Solution Deployment
Diseño de sistemas Skills Framework for the Information Age V6, 2015 DESN
Gestión del desarrollo de sistemas Skills Framework for the Information Age V6, 2015 DLMG
Ingeniería de sistemas e-Competence Framework (e-CF)—A common European Framework for ICT B. Build—B.6. Systems Engineering
179

D. Componente: Personas, habilidades y competencias (cont.)

Instalación/desmantelamiento de Skills Framework for the Information Age V6, 2015 HSIN
sistemas
Integración de sistemas Skills Framework for the Information Age V6, 2015 SINT
Pruebas Skills Framework for the Information Age V6, 2015 TEST
Pruebas e-Competence Framework (e-CF)—A common European Framework for ICT B. Build—B.3. Testing
Diseño de experiencia de usuario Skills Framework for the Information Age V6, 2015 HCEV

Política de mantenimiento Define el soporte adecuado de los National Institute of Standards and 3.10 Maintenance (MA-1)
componentes de software y hardware Technology Special Publication 800-
para asegurar una mayor vida de los 53, Revisión 5 (Borrador), agosto de
activos, mejorar la productividad de los 2017
empleados y mantener una experiencia
de usuario aceptable.
Política de desarrollo de software Estandarizar el desarrollo de software
en la organización mediante una lista
de todos los protocolos y estándares
a seguir.
Política de adquisición de sistemas y Proporciona procedimientos para National Institute of Standards and 3.18 System and services
servicios evaluar, revisar y validar los requisitos Technology Special Publication 800- acquisition (SA-1)
para la adquisición de sistemas y 53, Revisión 5 (Borrador), agosto de
servicios. 2017

Asegurar una oferta ágil y escalable de servicios digitales; involucrar a un
ecosistema de socios con los que la organización pueda trabajar o establecer
una estructura bimodal IT con fábricas digitales, líderes y equipos ágiles, un flujo
continuo y una mentalidad hacia la mejora.
Establecer una cultura abierta y sin sesgos que evalúe las alternativas de forma
justa y objetiva a la hora de investigar posibles soluciones nuevas (incluidas
construcciones o compras).

• Servicios de fábrica digital, que separe las «TI rápidas» (la fábrica digital responsable del desarrollo de aplicaciones digitales) del core de TI heredado (legacy).
• Evaluación de soluciones y selección de servicios
• Herramientas y técnicas de pruebas
180

Capítulo 4

Objetivo de gestión: BAI04 — Gestionar la disponibilidad y la capacidad COBIT
Descripción
Equilibrar las necesidades actuales y futuras de disponibilidad, rendimiento y capacidad con la prestación de servicios rentables. Incluir la evaluación de las
capacidades actuales, previsión de las necesidades futuras basándose en los requisitos del negocio, el análisis de impactos en el negocio y la evaluación del riesgo
para planificar e implementar acciones que satisfagan los requisitos identificados.
Propósito
Mantener la disponibilidad del servicio, la gestión eficiente de los recursos y la optimización del rendimiento del sistema a través de la predicción de los requisitos
futuros de rendimiento y capacidad.
Æ
negocio

BAI04.01 Evaluar la disponibilidad, rendimiento y capacidad actuales, y crear a. Porcentaje de uso real de la capacidad
una línea de referencia. b. Porcentaje de disponibilidad real
Evaluar la disponibilidad, rendimiento y capacidad de los servicios y recursos c. Porcentaje de rendimiento real
para asegurar que la capacidad y el rendimiento con un coste justificable están
disponibles para apoyar las necesidades y entregables del negocio contra los
acuerdos de nivel de servicio (SLA). Crear líneas de referencia de disponibilidad,
rendimiento y capacidad para una comparación futura.
capacidad
1. Considerar los elementos siguientes (actuales y estimados) en la evaluación de la disponibilidad, rendimiento y capacidad de servicios 2
y recursos: requisitos del cliente, prioridades del negocio, objetivos empresariales, impacto presupuestario, utilización de recursos,
capacidades de TI y tendencias de la industria.
2. Identificar y hacer un seguimiento de todos los incidentes causados por un rendimiento o capacidad inadecuados. 3
3. Monitorizar el uso real de la capacidad y el rendimiento frente a umbrales definidos y con el soporte, cuando sea necesario, de software 4
automatizado.
4. Evaluar regularmente los niveles actuales de rendimiento para todos los niveles de procesamiento (demanda del negocio, capacidad de
servicios y capacidad de recursos) comparándolos con las tendencias y los SLA. Tener en cuenta los cambios en el entorno.
CMMI Cybermaturity Platform, 2018 DP.CP Capacity Planning
ISF, The Standard of Good Practice for Information Security 2016 SY2.2 Performance and Capacity Management
ISO/IEC 20000-1:2011(E) 6.5 Capacity management
ITIL V3, 2011 Service Design, 4.4 Availability Management; 4.5 Capacity Management
National Institute of Standards and Technology Special Publication 800-53, 3.14 Planning (PL-10, PL-11)
181


BAI04.02 Evaluar el impacto en el negocio. a. N
úmero de escenarios creados para evaluar situaciones de disponibilidad
Identificar servicios importantes para la empresa. Asignar servicios y recursos a futuras
los procesos de negocio e identificar sus dependencias de negocio. Asegurarse b. P orcentaje de dueños de procesos de negocio que aprueban los resultados
de que el impacto de los recursos no disponibles esté totalmente acordado y del análisis
aceptado por el cliente. Para funciones vitales del negocio, asegurarse de que
se pueden satisfacer los requisitos de disponibilidad definidos en los acuerdos
de nivel de servicio (SLA).
capacidad
1. Identificar solo aquellas soluciones o servicios que sean críticos en el proceso de gestión de capacidad y disponibilidad. 2
2. A
signar las soluciones y servicios seleccionados a la aplicación o aplicaciones y a la infraestructura (TI e instalaciones) de la que dependen 3
para poder centrarse en recursos críticos para la planificación de la disponibilidad.
3. R ecopilar datos sobre patrones de disponibilidad a partir de los logs de fallos pasados y de monitorización del rendimiento. Usar 4
herramientas de modelamiento que ayuden a predecir los fallos basándose en las tendencias pasadas de uso y las expectativas de la
gerencia acerca de nuevas condiciones del entorno o de los usuarios.
4. C
on base en los datos recopilados, crear escenarios que describan situaciones de disponibilidad futuras que ilustren distintos niveles de
capacidad posibles, necesarios para lograr el objetivo de rendimiento de la disponibilidad.
5. C
on base en los escenarios, determinar la probabilidad de que no se alcance el objetivo de rendimiento de la disponibilidad.
6. D
eterminar el impacto de los escenarios en las medidas de rendimiento del negocio (p. ej., ingresos, beneficios, servicios al cliente).
Involucrar a los líderes regionales, funcionales (sobre todo de finanzas) y de la línea del negocio para entender su evaluación del impacto.
7. A
segurar que los dueños de los procesos de negocio entiendan y estén completamente de acuerdo con los resultados de este análisis.
Obtener de los dueños del negocio una lista de escenarios de riesgos inaceptables que requieran una respuesta para reducir el riesgo a
niveles aceptables.
ISO/IEC 20000-1:2011(E) 6.3 Service continuity and availability management
BAI04.03 Planificar los requisitos de los servicios nuevos o modificados. a. N
úmero de actualizaciones no planificadas de capacidad, rendimiento o
Planificar y priorizar las implicaciones de disponibilidad, rendimiento y disponibilidad
capacidad de las necesidades del negocio cambiante y de los requisitos de b. P orcentaje comparaciones realizadas por la dirección sobre la demanda
servicio. actual de recursos contra la oferta y demanda estimadas
capacidad
1. Identificar las implicaciones en la disponibilidad y capacidad de las necesidades cambiantes del negocio y de las oportunidades de mejora. 3
Usar técnicas de modelamiento para validar los planes de disponibilidad, rendimiento y capacidad.
2. Revisar las implicaciones del análisis de tendencia de servicios sobre la disponibilidad y la capacidad. 4
3. Garantizar que la dirección realice comparaciones de la demanda real de recursos contra la oferta y demanda estimadas para evaluar las
técnicas de predicción actuales e implementar mejoras donde sea necesario.
4. Priorizar las mejoras necesarias y crear planes de disponibilidad y capacidad que justifiquen el coste. 5
5. Ajustar los planes de rendimiento y capacidad y los SLA con base en los cambios en los procesos de negocio, servicios de soporte,
aplicaciones e infraestructura realistas, nuevos, propuestos y/o proyectados. Incluir también revisiones del uso real de la capacidad y del
rendimiento, incluidos los niveles de carga de trabajo.
ISO/IEC 20000-1:2011(E) 5. Design and transition of new changed services
BAI04.04 Monitorizar y revisar la disponibilidad y la capacidad. a. Número de eventos que exceden los límites de capacidad planificados
Monitorizar, medir, analizar, reportar y revisar la disponibilidad, el rendimiento y la b. Número de picos de transacciones que exceden el rendimiento objetivo
capacidad. Identificar las desviaciones de las líneas de referencia establecidas.
Revisar los informes de análisis de tendencias, identificando problemas y
variaciones significativas. Iniciar acciones cuando sea necesario y asegurar que
se atiendan todos los problemas pendientes.
182

Capítulo 4

capacidad
1. Proporcionar informes de capacidades a los procesos de presupuesto 2
2. Establecer un proceso de recopilación de datos para proporcionar a la dirección información de monitorización e informes sobre la 3
disponibilidad, el rendimiento y la carga de trabajo de capacidad de todos los recursos relacionados con I&T.
3. Proporcionar en forma adecuada informes regulares sobre los resultados para revisión por TI y por la dirección de negocio y su 4
comunicación a la dirección empresarial.
4. Integrar actividades de monitorización e informes en las actividades iterativas de gestión de la capacidad (monitorización, análisis, TUNING
e implementaciones).
BAI04.05 Investigar y resolver los problemas de disponibilidad, rendimiento y a. N
úmero y porcentaje de incidencias de disponibilidad, rendimiento y
capacidad. capacidad sin resolver
Abordar las desviaciones investigando y resolviendo los problemas identificados b. Número de incidentes de disponibilidad
de disponibilidad, rendimiento y capacidad.
capacidad
1. Obtener directrices de los manuales de producto de los proveedores para garantizar un nivel adecuado de disponibilidad de rendimiento 3
durante los picos en las cargas de trabajo y procesamiento.
2. Definir un proceso de escalamiento para una resolución rápida de emergencias de capacidad y problemas de rendimiento.

3. Identificar las brechas de rendimiento y capacidad con base en la monitorización del rendimiento actual y estimado. Usar especificaciones 4
conocidas de disponibilidad, continuidad y recuperación para clasificar los recursos y permitir su priorización.
4. Definir acciones correctivas (p. ej., cambios en la carga de trabajo, priorizar tareas o añadir recursos cuando se identifiquen problemas de 5
rendimiento y capacidad).
5. Integrar las acciones correctivas necesarias en los procesos apropiados de planificación y gestión del cambio.

Gestor de servicios
Comité Ejecutivo
Director de TI

BAI04.01 Evaluar la disponibilidad, rendimiento y capacidad actuales y crear una línea de referencia. R A R R R
BAI04.02 Evaluar el impacto en el negocio. A R R R
BAI04.03 Planificar los requisitos de los servicios nuevos o modificados. R A R R R
BAI04.04 Monitorizar y revisar la disponibilidad y la capacidad. A R R R
BAI04.05 Investigar y resolver los problemas de disponibilidad, rendimiento y capacidad. R A R R R R R
183


BAI04.01 Evaluar la disponibilidad, rendimiento y capacidad De Descripción Descripción A
actuales y crear una línea de referencia.
BAI02.01 Repositorio de definición de Evaluaciones con respecto APO09.05
requisitos a los SLA
BAI02.03 Registro de riesgos de los Línea base de Interna
requisitos disponibilidad, rendimiento
y capacidad
BAI04.02 Evaluar el impacto en el negocio. BAI03.02 Acuerdos de nivel de Evaluaciones de Interna
servicio internos y externos impacto al negocio de
(SLA) la disponibilidad, el
rendimiento y la capacidad
Escenarios de Interna
disponibilidad, rendimiento
y capacidad
BAI04.03 Planificar los requisitos de los servicios nuevos o BAI02.01 Criterios de aceptación Planes de rendimiento y APO02.02
modificados. confirmados por las partes capacidad
interesadas
BAI03.01 Especificación aprobada de Priorización de mejoras APO02.02
diseño de alto nivel
BAI03.02 Especificación aprobada de
diseño detallado
BAI03.03 Componentes
documentados de la
solución
BAI04.04 Monitorizar y revisar la disponibilidad y la capacidad. Informes de revisión de MEA01.03
y capacidad
BAI04.05 Investigar y resolver los problemas de disponibilidad, Acciones correctivas APO02.02
rendimiento y capacidad.
Procedimiento de DSS02.02
escalamiento de
emergencias
Brechas de rendimiento y Interna
capacidad

Gestión de disponibilidad Skills Framework for the Information Age V6, 2015 AVMT
Gestión de capacidad Skills Framework for the Information Age V6, 2015 CPMG

Política de gestión de disponibilidad Comunica la planificación de
infraestructura en términos de
disponibilidad, escalabilidad,
confiabilidad y posible resiliencia.
Incluye directrices para identificar
el ancho de banda, capacidad y
disponibilidad de los servicios (antes
de su diseño y suministro), establece
acuerdos de niveles de servicio (SLA)
e implementa una monitorización
continua de los circuitos, tráfico y
tiempos de respuesta.
184

Capítulo 4

Para las empresas que dependen de la información, la gestión de la
disponibilidad y la capacidad son críticas para el éxito de las operaciones.
Establecer una cultura en la que se priorice la disponibilidad de productos y
servicios y la capacidad (en línea con los requisitos del negocio), respaldada
por procesos y comportamientos que no solo identifiquen la disponibilidad
y capacidad requeridas antes del diseño, sino que también las consideren
durante el suministro. Definir consistentemente los SLAs SMART; monitorizar
continuamente los circuitos, el tráfico y los tiempos de respuesta; realizar
pruebas regulares de continuidad del negocio y recuperación de infraestructura
en caso de catástrofes.

• Herramientas de planificación de capacidad
• Servicios y herramientas de suministro
• Herramientas de monitorización del nivel de servicio
185


186

Capítulo 4

Objetivo de gestión: BAI05 — Gestionar el cambio organizativo COBIT
Descripción
Maximizar la probabilidad de implementar con éxito un cambio organizativo sostenible en toda la empresa, de forma rápida y con un riesgo reducido. Cubrir el ciclo
de vida completo del cambio y todas las partes interesadas en el negocio y en TI.
Propósito
Preparar y conseguir el compromiso de las partes interesadas para el cambio en el negocio y reducir el riesgo de fracaso.
Æ
• EG05 Cultura de servicio orientada al cliente habilitados por la I&T
• EG08 Optimización de la funcionalidad de procesos internos del AG08 Habilitar y dar soporte a procesos de negocio mediante la
negocio integración de aplicaciones y tecnología
• EG12 Gestión de programas de transformación digital • AG09 Ejecución de programas dentro del plazo, sin exceder el presupuesto
EG01 a. P orcentaje de productos y servicios que cumplen o exceden los AG03 a. Porcentaje de inversiones posibilitadas por la I&T en las que los
ventaja competitiva
EG05 a. Número de interrupciones del servicio al cliente AG08 a. Plazo para la ejecución de servicios y procesos del negocio

b. P orcentaje de partes interesadas del negocio satisfechas de b. N
úmero de programas del negocio habilitados por I&T que se
que la prestación de servicios al cliente cumpla con los niveles retrasan o que incurren en costes adicionales debido a problemas
de servicio acordados de integración tecnológica
c. Número de quejas del servicio al cliente c. N
d. Tendencia de los resultados de la encuesta de satisfacción al aplazar o volver a realizar debido a problemas de integración
cliente tecnológica
d. N
EG08 a. N iveles de satisfacción del consejo de administración y AG09 a. N úmero de programas/proyectos ejecutados a tiempo y dentro del
la dirección ejecutiva con las capacidades del proceso presupuesto
empresarial b. N úmero de programas que necesitan una revisión significativa
b. N iveles de satisfacción de los clientes con las capacidades de debido a defectos de calidad
prestación de servicios c. P orcentaje de partes interesadas satisfechas con la calidad del
c. Niveles de satisfacción de los proveedores con las capacidades programa/proyecto
presupuesto
del programa
suspendidos
actualizaciones de estado notificadas regularmente
BAI05.01 Establecer el deseo de cambiar. a. N
ivel de participación de la alta dirección
Comprender el alcance e impacto de los cambios deseados. Evaluar la b. Nivel de deseo de cambio de las partes interesadas
preparación y voluntad de las partes interesadas para cambiar. Identificar
acciones que motiven a las partes interesadas a aceptar y participar para que el
cambio funcione con éxito.
187


capacidad
1. Evaluar el alcance e impacto de los cambios visualizados, las partes interesadas afectadas, la naturaleza del impacto y la participación 2
requerida de cada grupo de interés, además de la disposición y capacidad real para adoptar el cambio.
2. Para establecer el deseo de cambiar, identificar, aprovechar y comunicar los puntos de dolor actuales, eventos negativos, riesgo,
insatisfacción de los clientes y problemas del negocio, así como los beneficios iniciales y futuras oportunidades y recompensas y ventajas
competitivas.
3. Emitir comunicaciones clave del comité ejecutivo o CEO que demuestren el compromiso con el cambio.
4. Proporcionar un liderazgo visible de la alta dirección para establecer el rumbo y alinear, motivar e inspirar a las partes interesadas para que
deseen el cambio.
Prosci 3-Phase Change Management Process
®
Phase 1. Preparing for change—Define your change management strategy
BAI05.02 Formar un equipo de implementación eficaz. a. Número de habilidades identificadas o problemas de capacidad en el equipo
Establecer un equipo de implementación eficaz con miembros apropiados, que de implementación
genere confianza y establezca objetivos comunes y medidas de eficacia. b. Valoración de satisfacción de las partes interesadas con el equipo de
implementación
capacidad
1. Identificar y conformar a un equipo eficaz de implementación principal que incluya a los miembros adecuados del negocio y TI con la 3
capacidad para dedicar la cantidad de tiempo requerida y contribuir con su conocimiento y especialidad, experiencia, credibilidad y autoridad.
Considerar la inclusión de personal externo, como consultores, para que proporcionen un punto de vista independiente y para abordar
las brechas de habilidades. Identificar los posibles agentes de cambio dentro de las distintas partes de la empresa con las que el equipo
principal puede trabajar para respaldar la visión y los cambios en cascada.
2. C
rear confianza dentro del equipo de implementación principal a través de eventos planificados cuidadosamente con una comunicación
eficaz y actividades conjuntas.
3. D
esarrollar una visión y metas comunes que respalden los objetivos de la empresa.
®
Phase 1. Preparing for change—Prepare your change management team
BAI05.03 Comunicar la visión deseada. a. Número de preguntas relacionadas con el cambio
Comunicar la visión de cambio deseada en el lenguaje de los afectados por b. Retroalimentación de las partes interesadas sobre el nivel de comprensión del
el mismo. La alta gerencia debe realizar la comunicación y debe incluir la cambio
justificación y beneficios del cambio, impactos de no hacer el cambio, así
como la visión, hoja de ruta y participación requerida de las distintas partes
interesadas.
capacidad
1. D
esarrollar un plan de comunicación de la visión para respaldar a los grupos de audiencia principales, sus perfiles de comportamiento y 3
necesidades de información, canales de comunicación y principios.
2. C
omunicar en los niveles adecuados de la empresa, conforme al plan.
3. R eforzar la comunicación a través de múltiples foros y repeticiones.
4. H
acer que todos los niveles de liderazgo rindan cuentas para demostrar la visión.
5. C
omprobar la comprensión de la visión deseada y responder a cualquier cuestión señalada por el personal. 4
188

Capítulo 4

BAI05.04 Facultar a los roles participantes e identificar las ganancias a corto a. N
ivel de satisfacción de los roles participantes con la operación, uso y
plazo. mantenimiento del cambio
Facultar a los titulares de los roles de implementación mediante la asignación b. Porcentaje de roles participantes capacitados
de la rendición de cuentas. Proporcionar formación y alinear las estructuras c. Porcentaje de roles participantes con autoridad adecuada asignada
organizativas y los procesos de RR. HH. Identificar y comunicar las ganancias d. Retroalimentación de los roles participantes sobre el nivel de empoderamiento
a corto plazo que son importantes desde una perspectiva de habilitación de e. Autoevaluación de los roles participantes sobre las capacidades relevantes
cambio.
capacidad
1. Planificar las oportunidades de capacitación que necesitará el personal para desarrollar las habilidades y actitudes necesarias para sentirse 2
empoderados.
2. Identificar, priorizar y ofrecer oportunidades de ganancias rápidas. Éstas podrían estar relacionadas con áreas conocidas de dificultad o
factores externos reales que deben abordarse de forma urgente.
3. Aprovechar las ganancias rápidas ofrecidas comunicando los beneficios a los afectados para mostrar que la visión va según lo previsto.
Perfeccionar la visión, mantener a los líderes involucrados y construir el momentum (ganar impulso).
4. Identificar las estructuras organizativas compatibles con la visión; de ser necesario, realizar cambios para asegurar el alineamiento. 3
5. Alinear los procesos de RR. HH. y los sistemas de medición (p. ej. evaluación del rendimiento, decisiones de compensación, decisiones de
promoción, reclutamiento y contratación) para respaldar la visión.
6. Identificar y gestionar a los líderes que siguen resistiéndose al cambio.

BAI05.05 Habilitar la operación y el uso. a. Porcentaje de usuarios empoderados adecuadamente para el cambio
Planificar e implementar todos los aspectos técnicos, operativos y de uso, de b. Porcentaje de planes desarrollados para la puesta en marcha y uso del cambio
forma que todas las personas involucradas en el futuro estado del entorno
puedan ejercer sus responsabilidades.
capacidad
1. Desarrollar un plan para la operación y uso del cambio. El plan debería comunicar y construir a partir de las ganancias rápidas obtenidas, 3
abordar, en términos globales, aspectos culturales y de comportamiento de la transición e incrementar el compromiso y la participación.
Asegurar que el plan cubre una visión holística del cambio y que proporciona documentación (p. ej. procedimientos), asesoría, capacitación,
tutoría, transferencia de conocimientos, soporte para el mejoramiento continuo inmediatamente después de su implantación.
2. Implementar el plan operativo y de uso. Definir y hacer seguimiento de las medidas de éxito, incluyendo medidas difíciles para el negocio y 4
medidas de percepción que indiquen cómo se sienten las personas con un cambio. Implementar acciones correctivas si fuera necesario.
®
Phase 2. Managing change
BAI05.06 Incorporar nuevos enfoques. a. N
ivel de satisfacción de los usuarios con la adopción del cambio
Incorporar nuevos enfoques mediante seguimiento a los cambios b. P orcentaje de auditorías de cumplimiento que identificaron las causas raíz de
implementados, a la evaluación de la efectividad del plan de operación y uso, y la escasa adopción
mantenimiento constante de concienciación a través de comunicación continua. c. N úmero de auditorías de cumplimiento llevadas a cabo para identificar las
Tomar las medidas correctivas que sean apropiadas (que pueden incluir la causas raíz de la escasa adopción y acciones correctivas recomendadas
obligación de cumplimiento).
capacidad
1. Hacer que los dueños de los procesos rindan cuentas sobre las operaciones normales diarias. 2
2. Celebrar los éxitos e implementar programas de reconocimiento y recompensas para reforzar el cambio. 3
3. Proporcionar concienciación continua a través de la comunicación regular del cambio y su adopción.
4. Usar sistemas de medición del rendimiento para identificar las causas raíz de la baja adopción. Emprender acciones correctivas 4
5. Llevar a cabo auditorías de cumplimiento para identificar las causas raíz de la baja adopción. Recomendar acciones correctoras.
®
Phase 3. Reinforcing change
189


BAI05.07 Sostener los cambios. a. Número de capacitaciones y transferencias de conocimientos realizadas
Sostener los cambios mediante una capacitación efectiva del nuevo personal, b. P orcentaje de participación de la alta dirección en el refuerzo del cambio
campañas continuas de comunicación, compromiso permanente de la alta
gerencia, monitorización de la adopción y compartir las lecciones aprendidas en
toda la empresa.
capacidad
1. S ostener y reforzar el cambio a través de comunicación regular que demuestre el compromiso de la alta dirección. 2
2. P roporcionar asesoría, capacitación, tutoría y transferencia de conocimientos al personal nuevo para sostener el cambio. 3
3. R ealizar revisiones periódicas de la operación y uso del cambio. Identificar mejoras. 4
4. C
aptar las lecciones aprendidas relacionadas con la implementación del cambio. Compartir el conocimiento con toda la empresa. 5
®
Phase 3. Reinforcing change



Gestor de programas
Gestor de servicios
Gestor de proyecto
Jefe de desarrollo
Comité Ejecutivo
Director de TI

BAI05.01 Establecer el deseo de cambiar. R A R R R R R R R R
BAI05.02 Formar un equipo de implementación eficaz. A R R R R R R R
BAI05.03 Comunicar la visión deseada. A R R R R R R
BAI05.04 Facultar a los roles participantes e identificar las ganancias a corto plazo. A R R R R R R
BAI05.05 Habilitar la operación y el uso. A R R R R R R R R R R R
BAI05.06 Incorporar nuevos enfoques. A R R R R R R R R R R R
BAI05.07 Sostener los cambios. A R R R R R R R R R R R R R
Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento)
190

Capítulo 4

BAI05.01 Establecer el deseo de cambiar. De Descripción Descripción A
APO11.02 Resultados de la calidad Comunicaciones de la Interna
del servicio, incluidos la dirección ejecutiva sobre
retroalimentación de los el compromiso de cambiar
clientes
BAI02.01 • Repositorio de Comunicación de factores Interna
definiciones de requisitos de cambio
confirmados por las
partes interesadas
BAI02.03 • Registro de riesgos de los
requisitos
• Acciones de mitigación de
riesgos
BAI03.01 Especificación de diseño de
alto nivel aprobado
BAI03.02 Especificación de diseño
detallado aprobado
BAI05.02 Formar un equipo de implementación eficaz. BAI02.01 Criterios de aceptación Visión y metas comunes BAI01.02
confirmados por las partes
interesadas Equipo y roles de BAI01.04
implementación

BAI05.03 Comunicar la visión deseada. Plan de comunicación de BAI01.04
la visión
Comunicaciones de la BAI01.05
visión
BAI05.04 Empoderar a los roles participantes e identificar las Fuera de COBIT Estructura organizativa de Objetivos de rendimiento de APO07.04
ganancias a corto plazo. la empresa RR. HH alineados
Ganancias rápidas BAI01.04
identificadas.
Comunicación de BAI01.06
beneficios
BAI05.05 Habilitar la operación y el uso. BAI03.03 Componentes Plan de operación y uso APO08.04;
documentados de la BAI08.03;
solución DSS01.01;
DSS01.02;
DSS06.02
BAI03.10 Componentes de la Mediciones y resultados APO08.05;
solución actualizados y del éxito BAI07.07;
documentación relacionada BAI07.08;
MEA01.03
BAI05.06 Incorporar nuevos enfoques. Resultados de la revisión APO07.04
del desempeño de RR. HH.
Comunicaciones de Interna
concienciación
Resultados de la auditoría MEA02.02;
de cumplimiento MEA03.03
BAI05.07 Sostener los cambios. Planes de transferencia del BAI08.02;
conocimiento BAI08.03
Comunicaciones del Interna
compromiso de la dirección
Revisiones del uso MEA02.02
operativo
191


Gestión del cambio del negocio e-Competence Framework (e-CF)—A common European Framework for ICT E. Manage—E.7. Business Change
Planificación y gestión de la Skills Framework for the Information Age V6, 2015 CIPM
implementación del cambio
Diseño e implementación en la Skills Framework for the Information Age V6, 2015 ORDI
organización

Política de gestión de cambios Proporciona un marco y señala
organizativos principios para la gestión del cambio
organizativo. Refleja la legislación
actual y proporciona buenas prácticas
de gestión de personal; garantiza
un enfoque consistente a la hora de
gestionar el cambio en la organización.

Obtener valor de las inversiones habilitadas por I&T requiere algo más que
ofrecer soluciones y servicios de I&T. También requiere de cambios en los
procesos de negocio, habilidades y competencias, cultura y comportamiento,

etc.; todo ello debe incluirse en el caso de negocio de la inversión. La dirección
debe crear una cultura de cambio continuo a través de flexibilidad, apertura y
confianza y establecer el soporte y comunicación adecuados para la gestión del
cambio.

• Herramientas y canales de comunicación
• Herramientas de supervisión
192

Capítulo 4

Objetivo de gestión: BAI06 — Gestionar los cambios de TI COBIT
Descripción
Gestionar todos los cambios de una manera controlada, incluidos los cambios estándar y los mantenimientos de emergencia en relación con los procesos de
negocio, las aplicaciones y la infraestructura. Esto incluye estándares y procedimientos de cambio, evaluación del impacto, priorización y autorización, cambios de
emergencia, seguimiento, informes, cierre y documentación.
Propósito
Facilitar una ejecución de cambios rápida y confiable para el negocio. Mitigar el riesgo de afectar negativamente la estabilidad o integridad del entorno que se ha
modificado.
Æ
EG01 Portafolio de productos y servicios competitivos AG06 Agilidad para convertir los requisitos del negocio en soluciones
operativas
EG01 a. P orcentaje de productos y servicios que cumplen o exceden los AG06 a. Nivel de satisfacción de los ejecutivos del negocio con la
objetivos de ingresos y/o cuota de mercado capacidad de respuesta de I&T a nuevos requisitos
objetivos de satisfacción del cliente nuevos relacionados con I&T
d. Plazo de comercialización para nuevos productos y servicios d. Número de procesos de negocio críticos soportados por

BAI06.01 Evaluar, priorizar y autorizar solicitudes de cambio. a. Cantidad de retrabajo causado por cambios fallidos
Evaluar todas las solicitudes de cambio para determinar el impacto en los b. P orcentaje de cambios sin éxito debidos a evaluaciones de impacto
procesos de negocio y servicios de I&T; y evaluar si el cambio afectará inadecuadas
negativamente al entorno operativo e introducirá riesgos inaceptables.
Asegurarse de que los cambios se registran, priorizan, clasifican, evalúan,
autorizan, planifican y programan.
capacidad
1. Usar solicitudes de cambio formales para permitir a los propietarios de los procesos de negocio y a TI solicitar cambios a procesos de 2
negocio, infraestructura, sistemas o aplicaciones. Asegurarse de que todos estos cambios surjan solo a través del proceso de gestión de
solicitudes de cambio.
2. Categorizar todos los cambios solicitados (p. ej., procesos de negocio, infraestructura, sistemas operativos, redes, sistemas de aplicación,
software de aplicación comprado/empaquetado) y relacionar los elementos de configuración afectados.
3. Priorizar todos los cambios solicitados basándose en los requisitos de negocio y técnicos, recursos requeridos y las razones legales,
regulatorias y contractuales para el cambio solicitado.
4. Aprobar formalmente cada cambio por parte de los dueños de los procesos de negocio, gestores de servicios y partes interesadas técnicas
de TI, según corresponda. Los cambios que son de bajo riesgo y relativamente frecuentes deben pre-aprobarse como cambios estándar.
5. Planificar y programar todos los cambios aprobados.
6. Planificar y evaluar todas las solicitudes de una manera estructurada. Incluir un análisis de impacto en los procesos de negocio, la 3
infraestructura, los sistemas y las aplicaciones, los planes de continuidad del negocio (BCP) y los proveedores de servicios para asegurarse
de que se hayan identificado todos los componentes afectados. Evaluar la probabilidad de afectar negativamente el entorno operativo y el
riesgo de implementar el cambio. Considerar las implicaciones de seguridad, privacidad, legales, contractuales y de cumplimiento del cambio
solicitado. Considerar también las interdependencias entre los cambios. Involucrar a los propietarios de los procesos de negocio en el proceso
de evaluación, cuando sea conveniente.
7. Considerar el impacto de los proveedores de servicios contratados (p. ej., de procesamiento de negocio , infraestructura, desarrollo de
aplicaciones y servicios compartidos externalizados) en el proceso de gestión de cambios. Incluir la integración de los procesos de gestión de
cambios organizativos con los procesos de gestión de cambios de los proveedores de servicios y el impacto en términos contractuales y SLA.
ISF, The Standard of Good Practice for Information Security 2016 SY2.4 Change Management
ISO/IEC 20000-1:2011(E) 9.2 Change management
ITIL V3, 2011 Service Transition, 4.2 Change Management
PMBOK Guide, 6.ª edición, 2017 Part 1: 4.6 Perform Integrated Change Control
193


BAI06.02 Gestionar cambios de emergencia. a. Número de cambios de emergencia no autorizados después del incidente
Gestionar cuidadosamente los cambios de emergencia para minimizar futuros b. Porcentaje de cambios totales que son correcciones de emergencia
incidentes. Asegurar que el cambio de emergencia está controlado y se
realiza de forma segura. Verificar que los cambios de emergencia se evalúan
adecuadamente y se autorizan después del cambio.
capacidad
1. Definir lo que constituye un cambio de emergencia. 2
2. Asegurar que existe un procedimiento documentado para declarar, evaluar, aprobar inicialmente, autorizar después del cambio y registrar un
cambio de emergencia.
3. Verificar que todos los acuerdos de acceso de emergencia para los cambios se autoricen, documenten y revoquen adecuadamente después 3
de que el cambio se haya aplicado.
4. Monitorizar todos los cambios de emergencia y realizar las revisiones posteriores a la implementación con la participación de todas las 4
partes interesadas. La revisión debe considerar e iniciar acciones correctivas basadas en las causas raíz, tales como problemas con los
procesos de negocio, desarrollo y mantenimiento de sistemas de aplicación, entornos de desarrollo y pruebas, documentación y manuales, e
integridad de datos.
BAI06.03 Hacer seguimiento e informar sobre cambios de estado. a. Número y antigüedad de las solicitudes de cambio pendientes
Mantener un sistema de seguimiento e informes para documentar los cambios b. P orcentaje de estado de peticiones de cambio comunicadas a las partes
rechazados y comunicar el estado de los cambios aprobados, en proceso y interesadas en el plazo adecuado
finalizados. Asegurarse de que los cambios aprobados se implementan según lo
previsto.
capacidad
1. Categorizar las solicitudes de cambio en el proceso de seguimiento (p. ej., rechazado; aprobado pero no iniciado; aprobado y en proceso; y 4
cerrado).
2. Implementar informes de estado de los cambios con métricas de rendimiento para permitir la gestión de la revisión y la monitorización, tanto
del estado detallado de los cambios como del estado general (p. ej., análisis de la antigüedad de las solicitudes de cambio). Asegurarse de
que los informes de estado formen una pista de auditoría para que los cambios puedan rastrearse posteriormente, desde su inicio hasta su
eventual disposición.
3. Monitorizar los cambios abiertos para asegurarse de que todos los cambios aprobados se cierren de manera oportuna, según su prioridad.
4. Mantener un sistema de seguimiento e informes para todas las solicitudes de cambio.
CMMI Cybermaturity Platform, 2018 IP.CC Apply Change Control
BAI06.04 Cerrar y documentar los cambios. a. Número de errores de revisión encontrados en la documentación
Siempre que se implementen cambios, actualizar la solución, la documentación b. P orcentaje de actualizaciones de procedimientos y documentación de usuario
del usuario y los procedimientos afectados por el cambio. realizadas en el plazo oportuno
capacidad
1. Incluir los cambios en la documentación en el procedimiento de gestión. Algunos ejemplos de documentación son: procedimientos 2
operativos de negocio y de TI, documentación de continuidad del negocio y recuperación ante desastres, información de configuración,
documentación de aplicaciones, pantallas de ayuda y materiales de capacitación.
2. Definir un período de retención adecuado para la documentación de los cambios y la documentación del sistema y del usuario antes y 3
después del cambio.
3. Someter la documentación al mismo nivel de revisión que el cambio en sí mismo.
194

Capítulo 4

Gestor de programas
Gestor de servicios
Gestor de proyecto
Jefe de desarrollo
Director de TI
BAI06.01 Evaluar, priorizar y autorizar solicitudes de cambio. A R R R R R R R
BAI06.02 Gestionar cambios de emergencia. A R R R R R
BAI06.03 Hacer seguimiento e informar sobre cambios de estado. A R R R R R R
BAI06.04 Cerrar y documentar los cambios. A R R R R R R R


BAI06.01 Evaluar, priorizar y autorizar solicitudes de cambio. De Descripción Descripción A
BAI03.05 Componentes de la Plan y cronograma de BAI07.01
solución integrados y cambios
configurados
DSS02.03 Solicitudes de servicio Solicitudes de cambio BAI07.01
aprobadas aprobadas
DSS03.03 Soluciones propuestas a Evaluaciones del impacto Interna
errores conocidos
DSS03.05 Soluciones sostenibles
identificadas
DSS04.08 Cambios aprobados a los
planes
DSS06.01 Análisis de las causas raíz
y recomendaciones
BAI06.02 Gestionar cambios de emergencia. Revisión posterior a la Interna
implementación
BAI06.03 Hacer seguimiento e informar sobre cambios de BAI03.09 Registro de todas las Informes de estado de las BAI01.06;
estado. solicitudes de cambio solicitudes de cambio BAI10.03
aprobadas y aplicadas
BAI06.04 Cerrar y documentar los cambios. Cambio en la Interna
documentación
195


Gestión de cambios Skills Framework for the Information Age V6, 2015 CHMG
Soporte para cambios e-Competence Framework (e-CF) - A common European Framework for ICT C. Run - C.2. Change Support
Professionals in all industry sectors - Part 1: Framework, 2016

Política de gestión de cambios de TI Comunica a la dirección la intención
de que todos los cambios de TI de la
empresa se gestionen e implementen
de forma que se minimice el riesgo y
el impacto en las partes interesadas.
Cubre los activos afectados y el
proceso de gestión de cambios
estándar.

Los directivos deben crear una cultura de mejora continua a las soluciones
y servicios de TI, con el reconocimiento de que la mejora implica que ellos
entiendan el impacto del cambio tecnológico en la empresa, su riesgo inherente
y la mitigación asociada, así como su coste. Los directivos deben balancear
el impacto del cambio contra los beneficios esperados y su contribución a la
estrategia de I&T y los objetivos empresariales.

• Herramientas de gestión de la configuración
• Herramientas de gestión de cambios de TI
196

Capítulo 4

Objetivo de gestión: BAI07 — Gestionar la aceptación y la transición de los cambios de TI COBIT
Descripción
Aceptar formalmente y hacer operativas las nuevas soluciones. Incluir la planificación de la implementación, conversión de sistemas y datos, pruebas de aceptación,
comunicación, preparación de la puesta en producción, paso a producción de nuevos o modificados procesos de negocio y servicios de I&T, soporte temprano de la
producción y revisión posterior a la implementación.
Propósito
Implementar soluciones de forma segura y conforme a las expectativas y resultados acordados.
Æ
EG01 Portafolio de productos y servicios competitivos AG06 Agilidad para convertir los requisitos del negocio en soluciones
operativas
EG01 a. P orcentaje de productos y servicios que cumplen o exceden los AG06 a. Nivel de satisfacción de los ejecutivos del negocio con la
objetivos de satisfacción del cliente nuevos relacionados con I&T
d. Plazo de comercialización para nuevos productos y servicios d. Número de procesos de negocio críticos soportados por

BAI07.01 Establecer un plan de implementación. a. N
úmero y categoría de partes interesadas que aceptan el plan de
Establecer un plan de implementación que cubra la conversión de sistemas y implementación
datos, criterios de pruebas de aceptación, comunicación, formación, preparación b. N
úmero de planes de implementación robustos y que contienen todos los
de puestas en producción, paso a producción, soporte temprano en producción, componentes necesarios
plan de fallback/backup y revisión posterior a la implementación. Obtener la
aprobación de las partes interesadas.
capacidad
1. Crear un plan de implementación que refleje la estrategia global de implementación, secuencia de los pasos de implementación, requisitos 2
de recursos, interdependencias, criterios de la dirección para la aceptación de la implementación a producción, establecimiento de
requisitos de verificación, estrategia de transición para el soporte en producción y actualización de los planes de continuidad del negocio.
2. Obtener de los proveedores externos de soluciones el compromiso de su participación en cada paso de la implementación.
3. Identificar y documentar los procesos de fallback y recuperación.
4. Confirmar que todos los planes de implementación cuentan con la aprobación de las partes interesadas técnicas y de negocio y que están 3
revisados por auditoría interna, cuando sea necesario.
5. Revisar formalmente el riesgo técnico y de negocio asociado con la implementación. Asegurar que considere el riesgo se y se aborde en el
proceso de planificación.
ITIL V3, 2011 Service Transition, 4.1 Transition Planning and Support
197


BAI07.02 Planificar la conversión de procesos de negocio, sistemas y datos. a. Porcentaje de conversión realizada correctamente
Prepararse para la migración de los procesos de negocio, datos de servicios e b. P orcentaje de ajustes necesarios realizados en los procedimientos
infraestructura de I&T como parte de los métodos de desarrollo de la empresa. (incluyendo la revisión de roles y responsabilidades y procedimientos de
Incluir pistas de auditoría y un plan de recuperación si la migración falla. control)
capacidad
1. D
efinir un plan de migración del proceso de negocio, de los datos de servicios y de la infraestructura de I&T. En el desarrollo del plan, 2
considerar, por ejemplo, el hardware, las redes, los sistemas operativos, el software, los datos de transacción, los archivos maestros,
las copias de seguridad y archivos, las interfaces con otros sistemas (internos y externos), los posibles requisitos de cumplimiento, los
procedimientos de negocio y la documentación del sistema.
2. E n el plan de conversión del proceso de negocio, considerar todos los ajustes necesarios de los procedimientos, incluyendo la revisión de
roles y responsabilidades y procedimientos de control.
3. C
onfirmar que el plan de conversión de datos no requiere cambios en los valores de los datos, a menos que sea absolutamente necesario
por razones de negocio. Documentar los cambios realizados en los valores de los datos y asegurar la aprobación del dueño de los datos del
proceso de negocio.
4. P lanificar la retención de los datos de copias de seguridad y archivados de acuerdo con las necesidades del negocio y los requisitos de
cumplimiento o regulatorios.
5. E nsayar y probar la conversión antes de intentar una conversión en vivo.
6. C
oordinar y verificar los tiempos e integridad de la transición de la conversión rápida para que se produzca una transición continua y
uniforme sin que se pierdan datos en la transición. Cuando sea necesario, si no existe otra alternativa, congelar las operaciones en vivo.
7. P lanificar una copia de seguridad de todos los sistemas y datos recopilados en el momento previo a la conversión. Mantener pistas de
auditoría para poder tener un registro de los pasos de la conversión. Garantizar que haya un plan de recuperación que cubra el rollback de la
migración y el fallback al procesamiento anterior si la migración falla.

8. Incorporar en el plan de conversión de datos métodos para recopilar, convertir y verificar los datos a convertir, e identificar y resolver 3
cualquier error encontrado durante la conversión. Incluir la comparativa de los datos originales con los convertido para comprobar su
integridad y que están completos.
9. C
onsiderar el riesgo de los problemas de conversión, planificación de la continuidad del negocio y procedimientos de fallback en el proceso
de negocio, plan de migración de datos e infraestructura en los que haya gestión de riesgo, necesidades del negocio o requisitos de
cumplimiento/regulatorios.
ITIL V3, 2011 Service Transition, 4.1 Transition Planning and Support
BAI07.03: Plan de pruebas de aceptación. a. P orcentaje de partes interesadas satisfechas con la completitud del proceso
Establecer un plan de pruebas basado en estándares de toda la empresa que de prueba
defina roles, responsabilidades y criterios de entrada y salida. Asegurarse de que b. N úmero de planes de pruebas documentados que incluyen todas las fases de
las partes interesadas aprueben el plan. las pruebas y escenarios de pruebas sólidos y adecuados para los requisitos y
el entorno operativos
198

Capítulo 4

capacidad
1. Desarrollar y documentar el plan de pruebas, que esté alineado con el programa, el plan de calidad del proyecto y los estándares 2
organizativos relevantes. Comunicar y consultar con los dueños del proceso de negocio y las partes interesadas de TI apropiadas.
2. Asegurar que el plan de pruebas refleja la evaluación del riesgo del proyecto y que se prueban todos los requisitos funcionales y técnicos.
Con base en la evaluación del riesgo de fallo del sistema y los fallos en la implementación, incluir en el plan requisitos de rendimiento,
estrés, usabilidad, piloto, pruebas de seguridad y privacidad.
3. Garantizar que el plan de pruebas aborde la posible necesidad de acreditación interna o externa de los resultados del proceso de prueba (p.
ej. requisitos financieros o regulatorios).
4. Asegurar que el plan de pruebas identifique los recursos necesarios para ejecutar las pruebas y evaluar los resultados. Algunos ejemplos de
recursos pueden ser la construcción de entornos de pruebas y el uso del tiempo del personal para el grupo de pruebas, incluida la posible
sustitución temporal del personal de pruebas en los entornos de producción o desarrollo. Asegurar que se consulta a las partes interesadas
sobre las implicaciones del plan de pruebas.
5. Asegurar que el plan de pruebas identifique las fases de prueba apropiadas de acuerdo con los requisitos y entorno operativos. Algunos
ejemplos de estas fases de pruebas son la inclusión de pruebas unitarias, pruebas de sistema, pruebas de integración, pruebas de
aceptación del usuario, pruebas de rendimiento, pruebas de estrés, pruebas de conversión de datos, pruebas de seguridad, pruebas de
privacidad, pruebas de preparación operativa, y pruebas de copias de seguridad y recuperación.
6. Confirmar que el plan de pruebas considera la preparación de las pruebas (incluida la preparación de la instalación), requisitos de
capacitación, instalación o actualización del entorno de pruebas definido, casos de pruebas de planificación/rendimiento/documentación/
retención, manejo de errores y problemas, corrección y escalamiento, y aprobación formal.
7. Confirmar que todos los planes de pruebas cuentan con la aprobación de las partes interesadas, incluidos los dueños del proceso de
negocio y de TI, como corresponda. Las partes interesadas podrían incluir a los gestores del desarrollo de aplicaciones, gestores de
proyecto y usuarios finales del proceso de negocio.

8. Asegurar que el plan de pruebas establezca criterios claros para la medición del éxito de cada una de las fases de pruebas. Consultar con 3
los dueños del proceso de negocio y las partes interesadas de TI para definir los criterios de éxito. Determinar que el plan establece los
procedimientos de remediación cuando no se cumplen los criterios de éxito. Por ejemplo, si hay un fallo significativo en una fase de pruebas,
el plan debe proporcionar unas directrices sobre si proceder a la fase siguiente, detener las pruebas o postergar la implementación.
BAI07.04: Establecer un entorno de pruebas. a. N
ivel de comparación entre el entorno de pruebas y el entorno operativo y de
Definir y establecer un entorno de pruebas seguro y representativo del proceso negocio futuro
de negocio planificado y del entorno de operaciones de TI, en cuanto a b. N
ivel de datos (y/o bases de datos) de pruebas borrados de forma segura
rendimiento, capacidad, seguridad, controles internos, prácticas operativas, (sanitizados) que son representativos del entorno de producción
calidad de los datos, requisitos de privacidad y cargas de trabajo.
capacidad
1. Crear una base de datos de pruebas que sea representativa del entorno de producción. Borrar en forma segura los datos usados en el 2
entorno de pruebas y que vienen del entorno de producción, conforme a las necesidades de negocio y los estándares organizativos. Por
ejemplo, considerar si los requisitos de cumplimiento o regulatorios obligan al uso de borrado seguro de datos.
2. Proteger los datos de prueba y resultados sensibles contra su divulgación, incluido el acceso, retención, almacenamiento y destrucción. 3
Considerar el efecto de la interacción de los sistemas organizativos con los de terceros.
3. Establecer un proceso que permita la apropiada retención o eliminación (disposición) de los resultados de las pruebas, medios u otra
documentación asociada , que permitan la revisión adecuada y el subsiguiente análisis o realización eficiente de nuevas pruebas, según lo
requiera el plan de pruebas. Considerar el efecto de los requisitos de cumplimiento o regulatorios.
4. Garantizar que el entorno de pruebas sea representativo del entorno operativo y de negocio futuro. Incluir procedimientos y roles del proceso
de negocio, posible estrés por la carga de trabajo, sistemas operativos, software de aplicaciones necesario, sistemas de gestión de bases de
datos e infraestructura de red y computación que se encuentre en el entorno de producción.
5. Asegurar que el entorno de pruebas sea seguro e incapaz de interactuar con los sistemas de producción.
199


BAI07.05 Realizar pruebas de aceptación. a. N
úmero de brechas identificadas entre los resultados de las pruebas de
Probar los cambios de forma independiente de acuerdo con el plan de pruebas aceptación y los criterios de éxito definidos
definido antes de la migración al entorno operativo en producción. b. Número de pruebas de aceptación satisfactorias
capacidad
1. Revisar la categorización del log de errores encontrados por el equipo de desarrollo en el proceso de pruebas. Comprobar que todos los 2
errores se han solucionado o aceptado formalmente.
2. Evaluar la aceptación final mediante comparación con los criterios de éxito e interpretar los resultados de las pruebas de aceptación final. 3
Presentarlos de forma que sean entendibles para los dueños del proceso de negocio y de TI, para que pueda realizarse una evaluación y
revisión informada.
3. Aprobar la aceptación, con la confirmación formal de los dueños del proceso de negocio, terceros (si corresponde) y las partes interesadas de
TI antes de su promoción.
4. Garantizar que se llevan a cabo pruebas de los cambios conforme al plan de pruebas. Asegurar que las pruebas han sido diseñadas y
ejecutadas por un grupo de pruebas, independiente del equipo de desarrollo. Considerar hasta qué punto están incluidos los dueños de los
procesos de negocio y los usuarios finales en el grupo de pruebas. Asegurar que las pruebas se realicen solo dentro del entorno de pruebas.
5. Asegurar que las pruebas y los resultados esperados se correspondan con los criterios de éxito definidos establecidos en el plan de pruebas.
6. Considerar el uso de instructivos (guiones) de pruebas definidas claramente para implementar las pruebas. Asegurar que el grupo de
pruebas independiente evalúe y apruebe cada guion de pruebas para confirmar que se han abordado adecuadamente los criterios de éxito
de las pruebas establecidos en el plan de pruebas. Considerar el uso de guiones para comprobar hasta qué punto cumple el sistema con los
requisitos de seguridad y privacidad.
7. Considerar el equilibrio adecuado entre los guiones de pruebas automatizadas y las pruebas interactivas del usuario.
8. Llevar a cabo pruebas a la seguridad conforme al plan de pruebas. Medir hasta qué punto existen debilidades o brechas de seguridad.
Considerar el efecto de los incidentes de seguridad desde la creación del plan de pruebas. Considerar el efecto sobre los controles y los límites
de acceso. Considerar la privacidad.
9. Llevar a cabo pruebas de rendimiento del sistema y de las aplicaciones conforme al plan de pruebas. Considerar una serie de métricas de
rendimiento (p. ej. tiempos de respuesta del usuario final y rendimiento de la actualización del sistema de gestión de base de datos).
10. C
uando se lleven a cabo las pruebas, garantizar que se han considerado los elementos de fallback y rollback del plan de pruebas.
11. Identificar, registrar y clasificar los errores (p. ej. menores, significativos, de misión crítica) durante las pruebas. Asegurar que esté disponible
una pista de auditoría de los resultados de las pruebas. Según el plan de pruebas, comunicar los resultados de las pruebas a las partes
interesadas para facilitar la corrección de errores y mejoras en la calidad.
ITIL V3, 2011 Service Transition, 4.5 Service Validation and Testing
BAI07.06 Promover a producción y gestionar las liberaciones (releases). a. Número y porcentaje de versiones no listas para lanzarse según el calendario
Promover la solución aceptada al negocio y a las operaciones. Cuando b. Porcentaje de satisfacción de las partes interesadas con la solución
sea apropiado, ejecutar la solución como una implementación piloto o en implementada
paralelo con la solución antigua durante un período definido y comparar el
comportamiento y los resultados. Si se producen problemas significativos, volver
al entorno original usando el plan de fallback/backup. Gestionar las liberaciones
de los componentes de la solución.
capacidad
1. Prepararse para la transferencia de procedimientos del negocio y servicios de soporte, aplicaciones e infraestructura desde el entorno de 2
pruebas al entorno de producción conforme a los estándares de gestión de cambios organizativos.
2. Determinar hasta qué punto la implementación del piloto o el procesamiento paralelo de los sistemas nuevos y viejos está en línea con el
plan de implementación.
3. Actualizar rápidamente la documentación del proceso de negocio y del sistema, la información de configuración y los documentos de planes
de contingencia relevantes, conforme corresponda.
4. Garantizar que todas las bibliotecas de medios se actualizan rápidamente con la versión del componente de la solución transferido
del entorno de pruebas al entorno de producción. Archivar la versión actual y su documentación soporte. Asegurar que la promoción a
producción de sistemas, software de aplicaciones e infraestructura esté bajo el control de configuración.
5. Si la distribución de componentes de soluciones se lleva a cabo de forma electrónica, controlar la distribución automática para garantizar
que se notifica a los usuarios y que la distribución solo se realiza a destinatarios autorizados correctamente identificados. Incluir
procedimientos de copia de seguridad en el proceso de liberación (release) para permitir que la distribución de los cambios se revise en
caso de falla o error.
6. Si la distribución se hace de forma física, mantener un registro formal de qué elementos se han distribuido, a quién y dónde se han
implementado y cuándo se ha actualizado cada uno de ellos.
200

Capítulo 4

ISO/IEC 20000-1:2011(E) 9.3 Release and deployment management
ITIL V3 2011 Service Transition, 4.4 Release and Deployment Management
BAI07.07 Proporcionar soporte oportuno en producción. a. N
úmero de recursos adicionales del sistema de I&T proporcionados para dar
Proporcionar, durante un periodo de tiempo acordado, soporte oportuno a soporte
los usuarios y a las operaciones de I&T para resolver problemas y ayudar a b. Número de personal adicional proporcionado como soporte
estabilizar la nueva solución.
capacidad
1. Proporcionar recursos adicionales, cuando se requiera, a los usuarios finales y personal de soporte hasta que se estabilice la liberación. 3
2. Proporcionar recursos de sistemas de I&T adicionales, conforme se requiera, hasta que el lanzamiento esté en un entorno operativo estable.
BAI07.08 Realizar una revisión post-implementación. a. Número y porcentaje de análisis causa raíz completados
Realizar una revisión post-implementación para confirmar los resultados, b. N
úmero o porcentaje de liberaciones que no se estabilizan dentro de un
identificar las lecciones aprendidas y desarrollar un plan de acción. Evaluar período aceptable
el rendimiento y los resultados reales del servicio nuevo o modificado, en c. Porcentaje de liberaciones que causan tiempo de inactividad
comparación con el rendimiento y resultados previstos por el usuario o cliente.

capacidad
1. Establecer procedimientos para garantizar que las revisiones post-implementación identifiquen, evalúen e informen sobre en qué medida 3
han ocurrido los eventos siguientes: los requisitos de la empresa se han cumplido; los beneficios esperados se han logrado; el sistema
se considera utilizable; las expectativas de las partes interesadas se han cumplido; han ocurrido impactos inesperados en la empresa; los
riesgos clave se han mitigado; y los procesos de gestión de cambios, instalación y acreditación se han realizado de forma eficaz y eficiente.
2. Consultar a los dueños del proceso de negocio y los directivos técnicos de TI sobre la elección de métricas para la medición del éxito y 4
consecución de requisitos y beneficios.
3. Llevar a cabo la revisión post-implementación conforme al proceso de gestión de cambios de la organización. Involucrar a los dueños del
proceso de negocio y las terceras partes, como corresponda.
4. Considerar los requisitos para la revisión post-implementación que surjan de fuera del negocio y de TI (p. ej. auditoría interna, ERM,
cumplimiento).
5. Acordar e implementar un plan de acción para solucionar los problemas identificados en la revisión post-implementación. Involucrar a los 5
dueños del proceso de negocio y los directivos técnicos de TI en el desarrollo del plan de acción.
ITIL V3, 2011 Service Transition, 4.6 Change Evaluation
201


Gestor de servicios
Jefe de desarrollo
Director de TI
BAI07.01 Establecer un plan de implementación. A R R R R R
BAI07.02 Planificar la conversión de procesos de negocio, sistemas y datos. A R R R R R R
BAI07.03: Plan de pruebas de aceptación. A R R R R R R
BAI07.04: Establecer un entorno de pruebas. A R R R R R
BAI07.05 Realizar pruebas de aceptación. A R R R R R R
BAI07.06 Promover a producción y gestionar las liberaciones (releases). A R R R R R
BAI07.07 Proporcionar soporte oportuno en producción. A R R R R
BAI07.08 Realizar una revisión post-implementación A R R R R

BAI07.01 Establecer un plan de implementación. De Descripción Descripción A
BAI01.07 Plan de gestión de la Implementación de Interna
calidad procesos de fallback y
recuperación
BAI06.01 • Solicitudes de cambio Plan de implementación Interna
aprobadas aprobado
• Plan y calendario de
cambios
BAI11.05 Plan de gestión de la
calidad del proyecto
BAI07.02 Planificar la conversión de procesos de negocio, Plan de migración DSS06.02

sistemas y datos.
BAI07.03: Plan de pruebas de aceptación. BAI01.07 Requisitos para la Plan de prueba de BAI01.04;
verificación independiente aceptación aprobado BAI11.04
de entregables
BAI03.07 • Plan de pruebas
• Procedimientos de
pruebas
BAI03.08 • Logs de resultados y
pistas de auditoría de las
pruebas
• Comunicaciones de
resultados de las pruebas
BAI11.05 Requisitos para la
verificación independiente
de entregables del proyecto
202

Capítulo 4

BAI07.04: Establecer un entorno de pruebas. De Descripción Descripción A
Datos de pruebas Interna
BAI07.05 Realizar pruebas de aceptación. Aceptación y liberación BAI01.04

aprobada a producción
Evaluación de los BAI01.06
resultados de aceptación
Registro de resultados de Interna

pruebas
BAI07.06 Promover a producción y gestionar las liberaciones Plan de liberaciones BAI10.01

(releases).
Registro de liberaciones Interna
BAI07.07 Proporcionar soporte oportuno en producción. APO11.02 Resultados de la calidad Plan de soporte APO08.04;
del servicio, incluyendo la suplementario APO08.05;
retroalimentación de los DSS02.04
clientes
del éxito

BAI07.08 Realizar una revisión post-implementación. APO11.03 • R esultados de la Plan de acciones BAI01.09;
monitorización de la correctivas BAI11.09
calidad para la prestación
de servicios y soluciones
•C ausas raíz de los fallos
de entrega de calidad
APO11.04 Resultados de las Informe de la revisión BAI01.09;
revisiones y auditorías de post-implementación. BAI11.09
calidad

del éxito


Pruebas de los procesos de negocio Skills Framework for the Information Age V6, 2015 BPTS
Liberación y despliegue Skills Framework for the Information Age V6, 2015 RELM
Aceptación del servicio Skills Framework for the Information Age V6, 2015 SEAC
Pruebas Skills Framework for the Information Age V6, 2015 TEST
Evaluación de la experiencia del Skills Framework for the Information Age V6, 2015 USEV
usuario
203


Política de gestión de cambios de TI Comunica a la dirección la intención
de que todos los cambios de TI de la
empresa se gestionen e implementen
de forma que se minimice el riesgo y
el impacto en las partes interesadas.
Cubre los activos afectados y el
proceso de gestión de cambios
estándar.

Establecer una cultura que garantice la comunicación oportuna de las solicitudes
de cambio de TI a los grupos afectados; consultar con los grupos afectados la
implementación y pruebas de los cambios.

• Herramientas de gestión de cambios de TI
• Herramientas de gestión de liberaciones
• Herramientas y servicios de pruebas
204

Capítulo 4

Objetivo de gestión: BAI08 — Gestionar el conocimiento COBIT
Descripción
Mantener disponible la información de gestión relevante, vigente, conocimiento validado y confiable con el fin de apoyar todas las actividades del proceso y facilitar
la toma de decisiones relacionadas con el gobierno y la gestión de I&T de la empresa. Planificar la identificación, recopilación, organización, mantenimiento, uso y
retirada del conocimiento.
Propósito
Proporcionar el conocimiento e información de gestión necesarios para apoyar a todo el personal en el gobierno y gestión de la I&T de la empresa y facilitar la toma
de decisiones informada.
Æ
• EG01 Portafolio de productos y servicios competitivos • AG12 Personal competente y motivado con entendimiento de la tecnología
• EG10 Habilidades, motivación y productividad del personal y el negocio
• EG13 Innovación de productos y negocio • AG13 Conocimiento, experiencia e iniciativas para la innovación
empresarial
EG01 a. P orcentaje de productos y servicios que cumplen o exceden los AG12 a. Porcentaje de personal de negocio con dominio de I&T (es decir,
objetivos de ingresos y/o cuota de mercado aquellos que tienen los conocimientos y el entendimiento de I&T
b. P orcentaje de productos y servicios que cumplen o exceden los requeridos para guiar, dirigir, innovar y ver las oportunidades de
objetivos de satisfacción del cliente I&T en su área de especialización de negocio)
c. Porcentaje de productos y servicios que proporcionan ventaja b. P orcentaje de personal de I&T con dominio de negocio (es decir,
competitiva aquellos que tienen los conocimientos y el entendimiento de los
d. Plazo de comercialización para nuevos productos y servicios dominios de negocio relevantes para guiar, dirigir, innovar y ver las
oportunidades de I&T para su dominio de negocio)

c. N
úmero o porcentaje de personal de negocio con experiencia en
gestión de tecnología
EG10 a. Productividad del personal comparada con benchmarks AG13 a. N
ivel de conocimiento y comprensión de los ejecutivos del
b. N ivel de satisfacción de las partes interesadas con los niveles negocio sobre las posibilidades de innovación de las I&T
de conocimientos y habilidades del personal b. N
úmero de iniciativas aprobadas como resultado de ideas
c. Porcentaje de personal cuyas habilidades son insuficientes con innovadoras de I&T
respecto a la competencia en su rol c. Número de campeones en innovación reconocidos/premiados
d. Porcentaje de personal satisfecho
EG13 a. N ivel de concienciación y comprensión de las posibilidades de
innovación del negocio
b. S atisfacción de las partes interesadas con los niveles de
habilidades e ideas sobre innovación y productos
c. Número de iniciativas de productos y servicios aprobadas
205

BAI08.01 Identificar y clasificar las fuentes de información para el gobierno y a. Porcentaje de información clasificada validada
la gestión de I&T. b. P orcentaje de pertinencia de los tipos de contenido, artefactos e información
Identificar, validar y clasificar las diversas fuentes de información internas estructurada y no estructurada
y externas requeridas para habilitar el gobierno y la gestión de I&T, incluidos
los documentos estratégicos, reportes de incidentes e información de la
configuración que surjan desde el desarrollo a las operaciones antes de ponerlo
en marcha.
capacidad
1. Identificar usuarios con conocimiento potenciales, incluidos dueños de información que tal vez deban contribuir y aprobar el conocimiento. 2
Obtener requisitos de conocimiento y fuentes de información de los usuarios identificados.
2. C
onsiderar los tipos de contenido (procedimientos, procesos, estructuras, conceptos, políticas, reglas, hechos, clasificaciones), artefactos
(documentos, registros, vídeo, voz) e información estructurada y no estructurada (expertos, redes sociales, correo electrónico, mensajes de
voz, canales RSS (Rich Site Summary)).
3. C
lasificar las fuentes de información con base en el esquema de clasificación de contenidos (p. ej. el modelo de arquitectura de la 3
información). Correlacionar las fuentes de información con el esquema de clasificación.
4. R ecopilar, cotejar y validar las fuentes de información con base en los criterios de validación de la información (p. ej., comprensión, 4
relevancia, importancia, integridad, precisión, consistencia, confidencialidad, vigencia y confiabilidad).
BAI08.02 Organizar y contextualizar la información en conocimiento. a. N

úmero de relaciones identificadas entre las fuentes de información
Organizar la información según los criterios de clasificación. Identificar y crear (etiquetado)
relaciones significativas entre los elementos de información y habilitar el uso de b. P orcentaje de satisfacción de las partes interesadas con la organización y
la información. Identificar a los dueños y aprovechar e implementar niveles de contextualización de la información en conocimiento
acceso a la información definidos por la empresa para la información de gestión
y los recursos de conocimiento.
capacidad
1. Identificar atributos compartidos y relacionar sus fuentes de información , con la creación de relaciones entre los conjuntos de información 3
(etiquetado de la información).
2. Crear vistas de conjuntos de datos relacionados, considerando los requisitos organizativos y de las partes interesadas.
3. Idear e implementar un esquema para gestionar el conocimiento no estructurado que no está disponible a través de fuentes formales (p.ej. el
conocimiento de expertos).
4. Publicar y hacer que el conocimiento sea accesible a las partes interesadas relevantes, conforme a mecanismos de roles y acceso.
COSO Enterprise Risk Management, junio de 2017 10. Information, Communication, and Reporting - Principle 18
BAI08.03 Utilizar y compartir conocimiento. a. Porcentaje de conocimiento disponible usado realmente
Transmitir los recursos de conocimiento disponibles a las partes interesadas b. Porcentaje de satisfacción del usuario con los conocimientos
correspondientes y comunicar cómo estos recursos pueden utilizarse para
abordar diferentes necesidades (p. ej., resolución de problemas, aprendizaje,
planificación estratégica y toma de decisiones).
capacidad
1. Establecer expectativas de gestión y demostrar la actitud adecuada en cuanto a la utilidad del conocimiento y la necesidad de compartir el 2
conocimiento relacionado con el gobierno y la gestión de la I&T de la empresa.
2. Identificar usuarios potenciales de conocimiento por medio de la clasificación del conocimiento.
3. Transferir el conocimiento a los usuarios del conocimiento, con base en un análisis de brechas de necesidades y técnicas de aprendizaje 3
efectivas. Crear un entorno, herramientas y artefactos que respalden el intercambio y la transferencia de conocimiento. Asegurar que se
cuenta con los controles de acceso adecuados, en línea con la clasificación de conocimiento definida.
4.Medir el uso de las herramientas y elementos de conocimiento y evaluar el impacto en los procesos de gobierno. 4
5. Mejorar la información y el conocimiento de los procesos de gobierno que muestran brechas de conocimientos. 5
206

Capítulo 4

CMMI Cybermaturity Platform, 2018 PP.IS Apply Information Sharing; IR.ES Ensure Information sharing
ITIL V3, 2011 Service Transition, 4.7 Knowledge Management
PMBOK guide Sixth edition, 2017 Part 1: 4.4 Manage project knowledge
BAI08.04 Evaluar y actualizar o retirar la información. a. Frecuencia de actualización
Medir el uso y evaluar la aceptación y relevancia de la información. Actualizar la b. Nivel de satisfacción de los usuarios
información o retirar la información obsoleta.
capacidad
1. Definir los controles para la retirada de conocimientos y proceder a su retirada como corresponda. 3
2. Evaluar la utilidad, relevancia y valor de los elementos del conocimiento. Actualizar la información desactualizada que podría seguir siendo 4
relevante y valiosa para la organización. Identificar la información relacionada que ya no es relevante para los requisitos de conocimiento de
la empresa y retirarla o archivarla conforme a la política.

Gestor de programas
Gestor de servicios
Gestor de proyecto
Jefe de desarrollo
Director de TI
Asesor legal
BAI08.01 Identificar y clasificar las fuentes de información para el gobierno y la gestión de I&T. A R R R R R
BAI08.02 Organizar y contextualizar la información en conocimiento. A R R R R
BAI08.03 Utilizar y compartir conocimiento. A R R R R R R R R R
BAI08.04 Evaluar y actualizar o retirar la información. A R R R R R R R R R R R R
207


BAI08.01 Identificar y clasificar las fuentes de información De Descripción Descripción A
para el gobierno y la gestión de I&T.
Fuera de COBIT Requisitos y fuentes de Clasificación de las Interna
conocimiento fuentes de información
BAI08.02 Organizar y contextualizar la información en BAI03.03 Componentes de la Repositorios de APO07.03
conocimiento. solución documentados conocimiento publicados
BAI05.07 Planes de transferencia de
conocimiento
BAI08.03 Utilizar y compartir conocimiento. BAI03.03 Componentes de la Esquemas de APO07.03
solución documentados concienciación y
capacitación
BAI05.05 Plan de operación y uso Base de datos de usuarios Interna
de conocimiento
BAI05.07 Planes de transferencia de
conocimiento
BAI08.04 Evaluar y actualizar o retirar la información. Reglas para la retirada de Interna
conocimiento
Resultados de la evaluación Interna
de uso del conocimiento

Gestión de la información y el e-Competence Framework (e-CF)—A common European Framework for ICT D. Enable—D.10. Information and
conocimiento Professionals in all industry sectors—Part 1: Framework, 2016 Knowledge Management

Política de uso del conocimiento sobre Guiar la creación y el uso de los
gobierno activos de conocimientos relacionados
con el gobierno de I&T. Los activos
de conocimientos de I&T deberían ser
accesibles para su consulta.

Implantar una cultura de intercambio de conocimientos en la empresa.
Comunicar proactivamente el valor de los conocimientos para fomentar la
creación, uso, reutilización e intercambio de conocimientos. Fomentar el
intercambio y transferencia del conocimiento mediante la identificación y
aprovechamiento de factores motivadores.

• Plataforma de colaboración
• Repositorio de conocimientos
208

Capítulo 4
Dominio: Construir, adquirir e implantar Área prioritaria: Modelo Core de

Objetivo de gestión: BAI09 — Gestionar los activos COBIT
Descripción
Gestionar los activos de I&T a través de su ciclo de vida para asegurarse de que su uso aporta valor a un coste óptimo, continúan operativos (adecuados a su
propósito), y se tienen en cuenta y están físicamente protegidos. Asegurar que aquellos activos que son críticos para soportar la capacidad del servicio son
confiables y están disponibles. Gestionar las licencias de software para asegurarse de que se adquiere, retiene y despliega la cantidad óptima en relación con el uso
que requiere el negocio, y que el software instalado cumpla con los acuerdos de licencia.
Propósito
Tener en cuenta todos los activos de I&T y optimizar el valor proporcionado por su uso.
Æ
• EG04 Calidad de la información financiera AG04 Calidad de la información financiera relacionada con la tecnología
• EG07 Calidad de la información de gestión
• EG09 Optimización de costes de los procesos del negocio
EG04 a. E ncuesta de satisfacción de las partes interesadas clave con AG04 a. S atisfacción de partes interesadas clave con respecto al nivel
respecto al nivel de transparencia, comprensión y precisión de de transparencia, comprensión y precisión de la información
la información financiera de la empresa financiera de I&T
b. Coste de incumplimiento con respecto a regulaciones b. P orcentaje de servicios de I&T con costes operativos y beneficios
financieras esperados definidos y aprobados
EG07 a. G rado de satisfacción del consejo de administración y la
decisiones
b. Número de incidentes causados por decisiones erróneas de

respalde la toma de decisiones de negocio eficaces
d. Oportunidad de la información de gestión
EG09 a. Proporción de coste vs. niveles de servicio logrados
b. Niveles de satisfacción del consejo de administración y la
dirección ejecutiva con los costos de procesamiento del
negocio
BAI09.01 Identificar y registrar los activos actuales. a. Porcentaje de activos registrados correctamente en el registro de activos
Mantener un registro actualizado y preciso de todos los activos de I&T b. Porcentaje de activos que son adecuados para su propósito
requeridos para ofrecer servicios y que son propiedad o están controlados por c. Porcentaje de activos en inventario y actualizados
la organización a la espera de un futuro beneficio (incluidos recursos con valor
económico, como hardware o software). Asegurar el alineamiento con la gestión
de configuración y la gestión financiera.
capacidad
1. Identificar todos los activos adquiridos en un registro de activos que recoja el estado actual. Los activos se reportan en la hoja del balance; 2
se compran o crean para aumentar el valor de una compañía o beneficiar las operaciones de la empresa (p. ej. hardware y software).
Identificar todos los activos adquiridos y mantener el alineamiento con los procesos de gestión de la configuración y gestión de cambios, el
sistema de gestión de la configuración y los datos de contabilidad financiera.
2. Identificar requisitos legales, regulatorios o contractuales que deban abordarse al gestionar el activo.
3. Comprobar que los activos son adecuados para su propósito (es decir, que se puedan usar).
4. Garantizar la contabilidad de todos los activos. 3
5. Comprobar la existencia de todos los activos adquiridos mediante comprobaciones y conciliación regulares de inventario físico y lógico. 4
Incluir el uso de herramientas de descubrimiento de software.
6. Determinar regularmente si cada activo continúa proporcionando valor. De ser así, estimar la vida útil esperada durante la que proporcionará
valor.
209


CMMI Cybermaturity Platform, 2018 RI.AD Asset Discovery & Identification
ISF, The Standard of Good Practice for Information Security 2016 BA1.1 Business Application Register
ISO/IEC 27002:2013/Cor.2:2015(E) 8.1 Responsibility for assets
National Institute of Standards and Technology Special Publication 800-53, 3.13 Physical and environmental protection (PE-9)
T he CIS Critical Security Controls for Effective Cyber Defense Versión 6.1, agosto CSC 1: Inventory of Authorized and Unauthorized Devices; CSC 2: Inventory of
de 2016 Authorized and Unauthorized Software
BAI09.02 Gestionar activos críticos. a. Número de activos críticos
Identificar los activos que son críticos para garantizar la capacidad de prestación b. Promedio de inactividad por activo crítico
del servicio. Maximizar su confiabilidad y disponibilidad para apoyar las c. Número de tendencias de incidentes identificadas
necesidades de negocio.
capacidad
1. Identificar activos que son críticos para proporcionar la capacidad de servicio mediante la referencia a los requisitos en las definiciones de 2
servicio, los SLA y el sistema de gestión de la configuración.
2. Considerar regularmente el riesgo de fallo o la necesidad de sustitución de cada activo crítico.
3. Comunicar a los clientes y usuarios afectados el impacto esperado (p. ej. restricciones de rendimiento) de las actividades de mantenimiento.
4. Incorporar al calendario global de producción las suspensiones planificadas. Programar actividades de mantenimiento para minimizar el 3
impacto adverso en los procesos de negocio.

5. Mantener la resiliencia de los activos críticos aplicando un mantenimiento preventivo regular. Monitorizar el rendimiento y, de ser necesario,
proporcionar activos alternativos y/o adicionales para minimizar la probabilidad de fallo.
6. Establecer un plan de mantenimiento preventivo para todo el hardware considerando un análisis de coste beneficio, las recomendaciones de
los proveedores, el riesgo de suspensión del servicio, el personal calificado y otros factores relevantes.
7. Establecer acuerdos de mantenimiento que incluyan el acceso de terceros a las instalaciones de I&T de la organización a fin de realizar
actividades en el sitio (on-site) o fuera de él (off-site) (p. ej. outsourcing). Establecer contratos de servicio formales que contengan o hagan
referencia a todas las condiciones de seguridad y privacidad necesarias, incluidos procedimientos de autorización de acceso, para garantizar
el cumplimiento con las políticas y estándares de seguridad/privacidad de la organización.
8. Garantizar que los servicios de acceso remoto y los perfiles de usuario (y otros medios usados para el mantenimiento y el diagnóstico) estén
activos solo cuando sea necesario.
9. Monitorizar el rendimiento de los activos críticos mediante el examen de tendencias de los incidentes. Cuando sea necesario, realizar 4
acciones de reparación o sustitución.
National Institute of Standards and Technology Framework for Improving Critical ID.AM Asset Management
National Institute of Standards and Technology Special Publication 800-53, 3.13 Physical and environmental protection (PE-20)
BAI09.03: Gestionar el ciclo de vida del activo. a. Porcentaje de activos gestionados desde la adquisición hasta su disposición
Gestionar los activos desde su adquisición hasta su disposición. Asegurar b. Porcentaje de uso por activo
que los activos se usen con la mayor eficacia y eficiencia posible y se puedan c. P orcentaje de activos desplegados que siguen el ciclo de vida de
contabilizar y proteger físicamente hasta su correcta retirada. implementación estándar
210

Capítulo 4

capacidad
1. Proporcionar todos los activos conforme a las solicitudes aprobadas y las políticas y prácticas de adquisición de la empresa. 2
2. Obtener, recibir, verificar, probar y registrar todos los activos de forma controlada, incluyendo etiquetas físicas, cuando se requiera.
3. Aprobar los pagos y completar el proceso con los proveedores, conforme a las condiciones del contrato acordadas.
4. Implementar los activos siguiendo el ciclo de vida de implementación estándar, incluida la gestión de cambios y las pruebas de aceptación. 3
5. Asignar los activos a usuarios, con responsabilidades de aceptación y confirmación, como corresponda.
6. Siempre que sea posible, reasignar los activos cuando ya no se necesiten debido a un cambio de rol del usuario, redundancia en un servicio o
retirada de un servicio.
7. Planificar, autorizar e implementar actividades relacionadas con la retirada, mientras se conservan los registros correspondientes para
satisfacer las necesidades regulatorias y de negocio en curso.
8. Disponer de los activos de forma segura, tras considerar, por ejemplo, el borrado permanente de los datos registrados en los dispositivos y el
daño potencial al medio ambiente.
9. Disponer de los activos de forma responsable cuando ya no sean de utilidad debido a la retirada de todos los servicios relacionados, 4
tecnología obsoleta o la falta de usuarios, teniendo en consideración el impacto medioambiental.
CMMI Cybermaturity Platform, 2018 DP.ML Manage Asset Lifecycle
ISF, The Standard of Good Practice for Information Security 2016 IM2.1 Document Management; PA1.1 Hardware Life Cycle Management
ITIL V3, 2011 Service Transition, 4.3 Service Asset and Configuration Management

National Institute of Standards and Technology Framework for Improving Critical PR.MA Maintenance
BAI09.04 Optimizar el valor de los activos. a. Costes de benchmarks
Revisar periódicamente la base de activos para identificar formas de optimizar b. Número de activos no utilizados
valor y mantener el alineamiento con las necesidades del negocio.
capacidad
1. Revisar regularmente toda la base de activos, considerando si está alineada con las necesidades del negocio. 3
2. Evaluar los costes de mantenimiento, considerar si son razonables e identificar opciones de menor coste. Cuando sea necesario, incluir 4
reemplazos con nuevas alternativas .
3. Revisar las garantías y considerar la relación calidad-precio y las estrategias de reemplazo para determinar las opciones de menor coste. 5
4. Usar estadísticas de capacidad y uso para identificar activos subutilizados o redundantes que podrían considerarse para su eliminación o
sustitución a fin de reducir costes.
5. Revisar la base completa para identificar oportunidades de estandarización, suministro único y otras estrategias que podrían reducir los
costes de adquisición, soporte y mantenimiento.
6. Revisar el estado general a fin de identificar oportunidades para aprovechar las tecnologías emergentes o estrategias de suministro
alternativas para reducir costes o incrementar la relación calidad-precio.
BAI09.05 Gestionar las licencias. a. Porcentaje de licencias utilizadas frente a licencias adquiridas
Gestionar las licencias de software para mantener el número de licencias óptimo b. Porcentaje de licencias que se siguen pagando pero que no se usan
y respaldar las necesidades del negocio. Garantizar que el número de licencias c. P orcentaje de productos y licencias que deberían actualizarse para lograr un
en propiedad sea suficiente para cubrir el software instalado en uso. mayor valor
211


capacidad
1. Mantener un registro de todas las licencias de software adquiridas y los acuerdos de licencias asociados. 2
2. Realizar regularmente una auditoría para identificar todas las instancias de software con licencia instaladas. 3
3. Comparar el número de licencias instaladas con el número de licencias adquiridas. Garantizar que el método de medición de cumplimiento 4
de licencias sea conforme a los requisitos de la licencia y del contrato.
4. Cuando las instancias sean inferiores al número de licencias adquiridas, decidir si se deben conservar o poner fin a esas licencias,
considerando los posibles ahorros en mantenimiento, capacitación y otros costes innecesarios.
5. Cuando las instancias sean superiores al número de licencias adquiridas, considerar en primer lugar desinstalar las instancias que ya no se
requieran o no estén justificadas y comprar entonces, de ser necesario, licencias adicionales para cumplir con el acuerdo de licencias.
6. Considerar de forma regular si puede ser más rentable actualizar los productos y las licencias asociadas. 5

Gestor de servicios
Jefe de desarrollo
Director de TI
BAI09.01 Identificar y registrar los activos actuales. A R R
BAI09.02 Gestionar activos críticos. A R R R R R R
BAI09.03: Gestionar el ciclo de vida del activo. A R R R
BAI09.04 Optimizar el valor de los activos. A R R R R R R
BAI09.05 Gestionar las licencias. A R R R R
212

Capítulo 4

BAI09.01 Identificar y registrar los activos actuales. De Descripción Descripción A
BAI03.04 Actualizaciones del Resultados de revisiones de APO02.02
inventario de activos idoneidad
BAI10.02 Repositorio de Registro de activos APO06.01;
configuraciones BAI10.03
Resultados de BAI10.03;
comprobaciones de BAI10.04;
inventario físicas DSS05.03
BAI09.02 Gestionar activos críticos. Comunicaciones de APO08.04
suspensiones por
mantenimiento planificados
Contratos de Interna
mantenimiento
BAI09.03: Gestionar el ciclo de vida del activo. Retiradas autorizadas de BAI10.03
activos
Registro actualizado de BAI10.03
activos
Solicitudes aprobadas de Interna
adquisiciones de activos
BAI09.04 Optimizar el valor de los activos. Oportunidades para reducir APO02.02

los costes o aumentar el
valor de los activos
Resultados de las APO02.02
revisiones de optimización
de costes
BAI09.05 Gestionar las licencias. Plan de acción para ajustar APO02.05
el número y asignaciones
de licencias
Registro de licencias de BAI10.02
software
Resultados de las auditorías MEA03.03

a las licencias instaladas

Gestión de activos Skills Framework for the Information Age V6, 2015 ASMG
Instalación/desmantelamiento de Skills Framework for the Information Age V6, 2015 HSIN
sistemas
213


Política de gestión de activos Proporciona directrices para la gestión
del ciclo de vida de los activos,
medidas de protección de activos,
clasificación y propiedad de sistemas,
propiedad de datos, y clasificación de
datos.
Política de propiedad intelectual (PI) Aborda el riesgo relacionado con el
uso, la propiedad, venta y distribución
de las salidas de los esfuerzos
creativos relacionados con I&T
realizadas por empleados (p. ej. el
desarrollo de software). Exigir la
documentación adecuada, nivel de
detalle, etc. desde el comienzo del
trabajo.

Establecer una cultura que identifica, evalúa e informa sobre el valor económico
y estratégico relativo a cada activo de la empresa de forma abierta, consistente y
transparente.

Herramientas de gestión de activos
214

Capítulo 4

Objetivo de gestión: BAI10 — Gestionar la configuración COBIT
Descripción
Definir y mantener descripciones y relaciones entre recursos claves y las capacidades necesarias para ofrecer servicios habilitados por I&T. Incluir la recopilación de
información sobre la configuración, estableciendo líneas de referencia, verificando y auditando esta información, y actualizando el repositorio de configuración.
Propósito
Proporcionar información suficiente sobre los activos de servicio para facilitar que el servicio se gestione de forma eficiente. Evaluar el impacto de los cambios y
hacer frente a los incidentes del servicio.
Æ
• EG02 Gestión del riesgo de negocio AG07 Seguridad de la información, infraestructura de procesamiento,
• EG06 Continuidad y disponibilidad del servicio del negocio aplicaciones y, privacidad
EG02 a. P orcentaje de objetivos y servicios críticos de negocio AG07 a. Número de incidentes de confidencialidad que causan pérdidas
b. P roporción de incidentes significativos que no fueron b. N úmero de incidentes de disponibilidad que causan pérdidas
identificados en la evaluación de riesgos frente al total de financieras, interrupción del negocio o descrédito público
incidentes c. N
c. Frecuencia de actualización del perfil de riesgo financieras, interrupción del negocio o descrédito público
EG06 a. N úmero de interrupciones del servicio al cliente o procesos de
b. Coste empresarial de incidentes
c. Número de horas de procesamiento de negocio perdidas
debido a interrupciones no planificadas del servicio

BAI10.01 Establecer y mantener un modelo de configuración. a. Número de partes interesadas que aprueban el modelo de configuración
Establecer y mantener un modelo lógico de servicios, activos, infraestructura, y b. Porcentaje de precisión de las relaciones entre los elementos de configuración
registro de los elementos de configuración (CI), incluyendo las relaciones entre
estos. Incluir los CIs que se consideran necesarios para gestionar los servicios
eficazmente y, proporcionar una única descripción confiable de los activos en un
servicio.
capacidad
1. Definir y acordar el alcance y nivel de detalle sobre la gestión de la configuración (es decir, qué elementos configurables de servicios, activos 3
e infraestructura incluir).
2. Establecer y mantener un modelo lógico para la gestión de la configuración, incluida la información de los tipos de CI, atributos, tipos de
relaciones, atributos de relaciones y códigos de estado.
CMMI Data Management Maturity Model, 2014 Supporting Processes - Configuration Management
ISF, The Standard of Good Practice for Information Security 2016 SY1 System Configuration
ISO/IEC 20000-1:2011(E) 9.1 Configuration management
ITIL V3, 2011 Service Transition, 4.3 Service Asset and Configuration Management
215


BAI10.02 Establecer y mantener un repositorio de configuración y una línea de a. N
úmero de elementos de configuración (CI) listados en el repositorio
referencia. b. P orcentaje de precisión sobre las líneas de referencia de la configuración de
Establecer y mantener un repositorio de gestión de la configuración y crear un servicio, aplicación o infraestructura
líneas de referencias de configuración controladas.
capacidad
1. Identificar y clasificar CIs y poblar el repositorio. 2
2. Crear, revisar y acordar formalmente las líneas de referencia de la configuración de un servicio, aplicación o infraestructura. 3
CMMI Cybermaturity Platform, 2018 IP.CB Apply Configuration Baselines
National Institute of Standards and Technology Special Publication 800-37, 3.4 Implementation (Task 2)
National Institute of Standards and Technology Special Publication 800-53, 3.19 System and service acquisition (SA-10)
BAI10.03 Mantener y controlar los elementos de configuración. a. Frecuencia de cambios/actualizaciones al repositorio
Mantener un repositorio actualizado de los elementos de configuración (CIs) b. Porcentaje de precisión e integridad del repositorio de CIs
incluyendo cualquier cambio en la configuración.
capacidad
1. Identificar regularmente todos los cambios a los CIs. 2

2. Para asegurar la integridad y precisión, revisar los cambios propuestos a los CIs comparándolos con las líneas de referencia.
3. Actualizar los detalles de configuración para los cambios de CI aprobados.
4. Crear, revisar y acordar formalmente los cambios en las líneas de referencia de la configuración, cuando sea necesario. 3
BAI10.04 Generar informes de estado y de la configuración. a. Número de cambios no autorizados identificados
Definir y generar informes de la configuración sobre los cambios de estado en b. Porcentaje de precisión en los cambios de estado de los CIs en comparación
los elementos de la configuración. con las líneas de referencia
capacidad
1. Identificar los cambios de estado de los CIs y compararlos con las líneas de referencia. 2
2. Relacionar todos los cambios de configuración con las solicitudes de cambio aprobadas para identificar los cambios no autorizados. 3
Informar sobre cambios no autorizados a los gestores de cambios.
3. Identificar los requisitos de reporte de todas las partes interesadas, incluyendo el contenido, la frecuencia y el medio. Producir informes
conforme a los requisitos identificados.
BAI10.05 Verificar y revisar la integridad del repositorio de configuración. a. Número de desviaciones entre el repositorio de configuración y la
Revisar periódicamente el repositorio de configuración y verificar su integridad y configuración real
precisión en comparación con la meta deseada. b. N úmero de discrepancias en relación con la información de configuración
incompleta o faltante
216

Capítulo 4

capacidad
1. Comprobar periódicamente los elementos de configuración reales con respecto al repositorio de configuración, mediante comparación de las 4
configuraciones físicas y lógicas y el uso de herramientas de descubrimiento adecuadas, conforme sea necesario.
2. Comunicar y revisar todas las desviaciones de las correcciones o acciones aprobadas para remover cualquier activo no autorizado.
3. Comprobar regularmente que todos los elementos de configuración físicos, conforme a lo definido en el repositorio, existen físicamente.
Informar de cualquier desviación a la dirección.
4. Establecer y revisar periódicamente el objetivo para completar el repositorio de configuración conforme con las necesidades del negocio.
5. Comparar periódicamente el grado de integridad y precisión contra los objetivos y llevar a cabo acciones correctivas, conforme sea 5
necesario, para mejorar la calidad de los datos del repositorio.


Gestor de servicios
Jefe de desarrollo
Director de TI
BAI10.01 Establecer y mantener un modelo de la configuración. A R R R
BAI10.02 Establecer y mantener un repositorio de configuración y una línea de referencia. A R R R R R
BAI10.03 Mantener y controlar los elementos de configuración. A R R R R
BAI10.04 Generar informes de estado y de la configuración. A R R
BAI10.05 Verificar y revisar la integridad del repositorio de configuración. A R R R R
217


BAI10.01 Establecer y mantener un modelo de configuración. De Descripción Descripción A
BAI07.06 Plan de liberaciones Modelo lógico de Interna
configuración
Alcance del modelo de Interna
gestión de configuración
BAI10.02 Establecer y mantener un repositorio de la BAI09.05 Registro de licencias de Configuración de línea de BAI03.11;
configuración y una línea de referencia. software referencia BAI03.12
Repositorio de BAI09.01;
configuraciones DSS02.01
BAI10.03 Mantener y controlar los elementos de configuración. BAI06.03 Informes de estado sobre Cambios aprobados a la BAI03.11
las solicitudes de cambio línea de referencia
BAI09.01 • Registro de activos Repositorio actualizado DSS02.01

• R esultados de con CIs
comprobaciones sobre el
inventario físico
BAI09.03 • Registro actualizado de
activos
• Retiradas autorizadas de
activos
BAI10.04 Generar informes de estado y de la configuración. BAI09.01 Resultados de Informes de estado de la BAI03.11;
comprobaciones sobre el configuración DSS02.01

inventario físico
BAI10.05 Verificar y revisar la integridad del repositorio de Resultados de las Interna
configuración. revisiones de integridad del
repositorio
Resultados de la Interna
comprobación física de CIs
Desviaciones en licencias MEA03.03
National Institute of Standards and Technology Special Publication 800-37, 3.4 Implementation (Task 2): Inputs and Outputs

Gestión de la configuración Skills Framework for the Information Age V6, 2015 CFMG

Política de gestión de la configuración Comunica las directrices para el
establecimiento y uso de un repositorio
de configuración completo, incluidos
todos los componentes tecnológicos,
definiciones de configuración
asociadas e interdependencias con
otros componentes tecnológicos.
Ayuda a garantizar que los cambios
en los sistemas y el software sean
mínimamente disruptivos para los
servicios. Garantiza que los cambios
se coordinen entre los grupos
correspondientes, para que no se
produzcan conflictos o duplicación de
esfuerzos.
218

Capítulo 4

Establece una cultura que apoya un enfoque estructurado de la gestión de la
configuración entre los departamentos, en la que los usuarios reconocen el valor
de una gestión de configuración estricta (p. ej. evitar conflictos de versiones o
esfuerzos duplicados) y aplican las reglas y procedimientos establecidos.

Herramientas y repositorios para la gestión de la configuración
219


220

Capítulo 4

Objetivo de gestión: BAI11 — Gestionar los proyectos COBIT
Descripción
Gestionar todos los proyectos que se inician en la empresa, alineados con la estrategia de la empresa y de forma coordinada, con base en una estrategia de gestión
de proyectos estándar. Iniciar, planificar, controlar y ejecutar proyectos, y concluir con una revisión post-implementación.
Propósito
Lograr los resultados definidos en el proyecto y reducir el riesgo de retrasos inesperados, costes y erosión del valor mediante la mejora de las comunicaciones y
la participación del negocio y de los usuarios finales. Garantizar el valor y la calidad de los entregables del proyecto y maximizar su contribución a los programas
definidos y al portafolio de inversiones.
Æ
• EG08 Optimización de la funcionalidad de los procesos internos del relacionados con I&T
• EG12 Gestión de programas de transformación digital operativas
• AG09 Ejecución de programas dentro del plazo, sin exceder el presupuesto
EG01 a. P orcentaje de productos y servicios que cumplen o exceden los AG03 a. Porcentaje de inversiones habilitadas por la I&T en las que los
objetivos de ingresos y/o cuota de mercado beneficios previstos en el caso de negocio se cumplen o exceden
ventaja competitiva

empresarial b. P lazo de comercialización promedio para servicios y aplicaciones
b. N iveles de satisfacción de los clientes con las capacidades de nuevos relacionados con I&T
c. Niveles de satisfacción de los proveedores con las capacidades en iniciativas acordadas y aprobadas
de la cadena de suministro d. Número de procesos de negocio críticos apoyados por
EG12 a. N úmero de programas ejecutados a tiempo y dentro del AG09 a. Número de programas/proyectos ejecutados a tiempo y dentro del
presupuesto presupuesto
b. P orcentaje de partes interesadas satisfechas con la ejecución b. N úmero de programas que necesitan una revisión significativa
suspendidos programa/proyecto
actualizaciones del estado notificados regularmente
221

BAI11.01 Mantener un enfoque estándar en la gestión de proyectos. a. P orcentaje de proyectos exitosos conforme con la estrategia estándar definida
Mantener una estrategia estándar para la gestión de proyectos que permita b. N úmero de actualizaciones de la estrategia de gestión de proyectos, buenas
la revisión del gobierno y gestión, la toma de decisiones y las actividades de prácticas, herramientas y plantillas
gestión de entrega. Estas actividades deberían centrarse consistentemente
en el valor y los objetivos del negocio (es decir, los requisitos, riesgo, costes,
calendario y objetivos de calidad).
capacidad
1. M
antener y hacer cumplir una estrategia estándar de gestión de proyectos, alineada con el entorno específico de la empresa y con las 2
buenas prácticas, conforme a procesos definidos y al uso de la tecnología correcta. Asegurar que la estrategia cubra todo el ciclo de vida y
las disciplinas a seguir, incluida la gestión del alcance, recursos, riesgo, coste, calidad, tiempo, comunicación, involucramiento de las partes
interesadas, adquisiciones, control de cambio, integración y obtención de beneficios.
2. Proporcionar una capacitación en gestión de proyectos adecuada y considerar la certificación para los gestores de proyecto.
3. E stablecer una oficina de gestión de proyectos (PMO) que mantenga una estrategia estándar para la gestión de programas y proyectos 3
en toda la organización. La PMO respalda todos los proyectos mediante la creación y mantenimiento de plantillas de documentación de
proyectos requeridos, proveyendo formación y buenas prácticas para los gestores de proyecto, seguimiento de las métricas sobre el uso de
buenas prácticas para la gestión de proyectos, etc. En algunos casos, la PMO podría también informar sobre el progreso del proyecto a la alta
dirección y/o las partes interesadas, ayudar a priorizar proyectos y asegurar el respaldo de todos los proyectos con los objetivos globales de
negocio de la empresa.
4. E valuar las lecciones aprendidas sobre el uso de la estrategia de gestión de proyectos. Actualizar las buenas prácticas, herramientas y 4
plantillas, conforme sea necesario.
BAI11.02 Establecer e iniciar un proyecto. a. P orcentaje de partes interesadas que aprueban la necesidad empresarial,
Definir y documentar la naturaleza y alcance del proyecto con el objetivo de alcance, resultado previsto y nivel de riesgo del proyecto
confirmar y desarrollar un entendimiento común del alcance del proyecto b. P orcentaje de proyectos en los que las partes interesadas reciben una clara
entre las partes interesadas. Los patrocinadores del proyecto deben aprobar declaración por escrito que define la naturaleza, alcance y beneficio del
formalmente la definición. proyecto
capacidad
1. Crear un entendimiento común sobre el alcance del proyecto entre las partes interesadas, proporcionarles una clara declaración por escrito 2
que defina la naturaleza, el alcance y los entregables de cada proyecto.
2. Garantizar que cada proyecto tenga uno o más patrocinadores con la autoridad suficiente para gestionar la ejecución del proyecto dentro del
programa global.
3. Asegurar que las partes interesadas y los patrocinadores de la empresa (empresa y TI) acuerden y acepten los requisitos del proyecto,
incluidas las definiciones de los criterios de éxito del proyecto (aceptación) y los indicadores clave de rendimiento (KPI).
4. Nombrar a un gestor dedicado para el proyecto. Asegurar que el individuo tenga los conocimientos tecnológicos y de negocio requeridos y,
las competencias y habilidades proporcionales para gestionar el proyecto de forma eficaz y eficiente.
5. Asegurar que la definición del proyecto describe los requisitos de un plan de comunicación del proyecto que identifique las comunicaciones
internas y externas del proyecto.
6. Con la aprobación de las partes interesadas, mantener la definición del proyecto a lo largo del mismo y reflejar el cambio de requisitos.
7. Hacer un seguimiento de la ejecución del proyecto, establecer mecanismos como la elaboración regular de informes en cada fase, revisiones
por fases o liberaciones, de forma oportuna y con la aprobación correspondiente.
PMBOK guide Sixth edition, 2017 Part 1: 4.1 Develop project charter; Part 1: 6. Project schedule management
222

Capítulo 4

BAI11.03 Gestionar la participación de las partes interesadas. a. Nivel de satisfacción de las partes interesadas con la participación
Gestionar la participación de las partes interesadas para asegurar un b. Porcentaje de partes interesadas efectivamente involucradas
intercambio activo de información precisa, consistente y oportuna que llegue
a todas las partes interesadas relevantes. Esto incluye planificar, identificar e
involucrar a las partes interesadas y gestionar sus expectativas.
capacidad
1. Planificar cómo las partes interesadas dentro y fuera de la organización se identificarán, analizarán, involucrarán y gestionarán durante el 3
ciclo de vida del proyecto.
2. Identificar, involucrar y gestionar a las partes interesadas estableciendo y manteniendo los niveles de coordinación, comunicación y relación
adecuadas para garantizar que estén involucrados en el proyecto.
3. Analizar los intereses, requisitos y compromiso de las partes interesadas. Implementar medidas correctivas si fuera necesario. 4
PMBOK guide Sixth edition, 2017 Part 1: 13. Project stakeholder management
Part 1: 10. Project communications management
BAI11.04 Desarrollar y mantener el plan del proyecto. a. P orcentaje de proyectos activos llevados a cabo sin mapas de valor del
Establecer y mantener un plan de proyecto formal, integrado y aprobado (que proyecto válidas y actualizadas
cubra los recursos del negocio y de TI) para guiar la ejecución y el control del b. Porcentaje de hitos o tareas terminadas vs. el plan
proyecto durante su ciclo de vida. El alcance de los proyectos debe definirse
claramente y vincularse al desarrollo o mejora de las capacidades del negocio.

capacidad
1. Desarrollar un plan de proyecto que proporcione información para permitir a la dirección controlar su progreso de forma progresiva. El 2
plan debería incluir detalles de los entregables y los criterios de aceptación del proyecto, recursos y responsabilidades internos y externos
requeridos, estructuras de división del trabajo y paquetes de trabajo claros, estimaciones sobre los recursos requeridos, plan / fases de
hitos/liberaciones, dependencias clave, presupuesto y costes e identificación de una ruta crítica.
2. Mantener el plan del proyecto y los planes dependientes (p. ej., plan de riesgos, plan de calidad, plan de obtención de beneficios). Asegurar
que los planes estén actualizados y reflejen el progreso actual y los cambios materiales aprobados.
3. Asegurar que haya una comunicación efectiva de los planes del proyecto e informes de progresos. Asegurar que todos los cambios
realizados a los planes individuales se reflejen en otros planes.
4. Determinar las actividades, interdependencias y colaboración y comunicación requeridas en el proyecto y entre los múltiples proyectos de un
programa.
5. Asegurar que cada hito esté acompañado de un entregable significativo que requiere su revisión y confirmación.
6. Establecer una línea de referencia del proyecto (p. ej. coste, calendario, alcance, calidad) que se revise, apruebe e incorpore adecuadamente
al plan integrado del proyecto.
PMBOK guide Sixth edition, 2017 Part 1: 4.2 Develop project management plan
BAI11.05 Gestionar la calidad del proyecto. a. Porcentaje de construcción de productos sin errores
Preparar y ejecutar un plan de gestión de la calidad, procesos y prácticas, b. Número de proyectos cancelados
alineadas con el sistema de gestión de calidad (SGC). Describir el enfoque
de calidad del proyecto y cómo se implementará. El plan debería evaluarse y
aceptarse formalmente por todas las partes afectadas e incorporarse al plan
integrado del proyecto.
223


capacidad
1. Para proporcionar el aseguramiento de la calidad de los entregables del proyecto, identificar la propiedad y las responsabilidades, procesos 2
de revisión de la calidad, criterios de éxito y métricas de rendimiento.
2. Identificar las tareas y prácticas de aseguramiento requeridas para respaldar la acreditación de sistemas nuevos o modificados durante la 3
planificación del proyecto. Incluirlos en los planes integrados. Asegurar que las tareas garantizan que los controles internos y, las soluciones
de seguridad y privacidad satisfacen los requisitos definidos.
3. Definir los requisitos para la validación y verificación independiente de la calidad de los entregables en el plan.
4. Realizar actividades de aseguramiento y control de calidad conforme al plan de gestión de calidad y el SGC.
PMBOK guide Sixth edition, 2017 Part 1: 8. Project quality management
BAI11.06 Gestionar el riesgo del proyecto. a. Número de retrasos y problemas identificados
Eliminar o minimizar el riesgo específico asociado a los proyectos mediante b. N úmero de proyectos con una gestión formal del riesgo alineada con el marco
un proceso sistemático de planificación, identificación, análisis, respuesta, de gestión de riesgos empresariales (ERM, siglas en inglés).
monitorización y control de las áreas o eventos que, potencialmente, pueden
ocasionar un cambio no deseado. Definir y registrar cualquier riesgo al que se
enfrenta la gestión del proyecto.
capacidad
1. Establecer una estrategia formal de gestión de riesgos de proyectos alineada con el marco de gestión de riesgos empresariales (ERM). 2
Asegurar que la estrategia incluya la identificación, análisis, respuesta, mitigación, monitorización y control del riesgo.
2. Asignar a personal adecuadamente calificado la responsabilidad de ejecutar el proceso de gestión de riesgos de proyectos de la empresa
dentro de un proyecto y asegurar que esto se incorpore en las prácticas de desarrollo de soluciones. Considerar asignar este rol a un equipo
independiente, sobre todo si se requiere un punto de vista objetivo o si un proyecto se considera crítico.
3. Identificar los dueños de las acciones para evitar, aceptar o mitigar el riesgo.
4. Realizar la evaluación de riesgos del proyecto, identificando y cuantificando el riesgo continuamente durante todo el proyecto. Gestionar y 3
comunicar el riesgo de forma adecuada dentro de la estructura de gobierno del proyecto.
5. Reevaluar el riesgo del proyecto periódicamente, incluyendo un inicio a cada fase del proyecto principal como parte de evaluaciones de
solicitudes de cambio mayores
6. Mantener y revisar el registro de riesgos del proyecto, de todos los riesgos potenciales del proyecto y un registro de mitigación de riesgo
de todos los problemas presentados y su resolución. Analizar periódicamente el log para ver las tendencias y problemas recurrentes con la
finalidad de garantizar que se corrigen las causas raíz.
PMBOK guide Sixth edition, 2017 Part 1: 11. Project risk management
BAI11.07 Supervisar y controlar los proyectos. a. Porcentaje de actividades alineadas con el alcance y los resultados esperados
Medir el rendimiento del proyecto en comparación con los criterios clave, b. Porcentaje de desviaciones del plan abordadas
como son el calendario, la calidad, los costes y el riesgo. Identificar cualquier c. Frecuencia de revisiones del estado del proyecto
desviación de los objetivos esperados. Evaluar el impacto de las desviaciones
en el proyecto y en el programa general e informar los resultados a las partes
interesadas.
224

Capítulo 4

capacidad
1. Establecer y usar una serie de criterios de proyecto incluidos, pero no limitados a, el alcance, beneficio esperado para el negocio, calendario, 2
calidad, coste y nivel de riesgo.
2. Informar a las partes interesadas identificadas clave acerca del progreso del proyecto, desviaciones con respecto a los criterios clave de
rendimiento del proyecto establecidos (como, pero no limitado a, los beneficios empresariales esperados), y posibles efectos positivos y
negativos en el proyecto.
3. Documentar y enviar los cambios necesarios a las partes interesadas clave del proyecto para su aprobación antes de su adopción.
Comunicar los criterios revisados a los gestores de proyecto para su uso en futuros informes de rendimiento.
4. Para los entregables producidos en cada iteración, entrega o fase del proyecto, obtener aprobación y conformidad de los gestores y usuarios
designados en las funciones de negocio y de TI afectadas.
5. Basar el proceso de aprobación en criterios de aceptación definidos, acordados con las partes interesadas clave antes del comienzo de la 3
fase del proyecto o iteración entregable.
6. Evaluar el proyecto en las fases, liberaciones o iteraciones mayores acordadas. Establecer decisiones formales de seguir o no seguir
adelante conforme a los criterios críticos de éxito predeterminados.
7. Establecer y activar un sistema de control de cambio para el proyecto con la finalidad de que todos los cambios de la línea de referencia del
proyecto (p. ej. alcance, beneficios de negocio esperados, calendario, calidad, coste, nivel de riesgo) se revisen, aprueben e incorporen en el
plan integrado del proyectos en línea con el marco de gobierno de proyectos y programas.
8. Medir el rendimiento de los proyectos con respecto a los criterios clave de rendimiento del proyecto. Analizar las desviaciones causadas con 4
respecto a los criterios clave de rendimiento del proyecto y evaluar los efectos positivos y negativos en el proyecto.
9. Supervisar los cambios en el proyecto y revisar los criterios clave de rendimiento del proyecto para determinar si siguen representando
medidas de progreso válidas.

10. R ecomendar y supervisar medidas correctivas, cuando sea necesario, conforme al marco de gobierno del proyecto.
PMBOK guide Sixth edition, 2017 Part 1: 4.5 Monitor and control project work
BAI11.08 Gestionar los recursos del proyecto y los paquetes de trabajo. a. N
úmero de problemas de recursos (p. ej., habilidades, capacidad)
Gestionar los paquetes de trabajos asociados al proyecto mediante el b. N
úmero de roles, responsabilidades y prerrogativas del gestor del proyecto,
establecimiento de requisitos formales para autorizarlos y aceptarlos y, asignar y personal asignado y otras partes involucradas, claramente definidas
coordinar los recursos de negocio y de TI apropiados.
capacidad
1. Identificar las necesidades de recursos del negocio y de TI para el proyecto y asignar roles y responsabilidades adecuados, con escalamiento, 2
y autoridad para la toma de decisiones acordadas y comprendidas.
2. Identificar las habilidades y tiempo requeridos por todos los individuos involucrados en las fases del proyecto con relación a los roles
definidos. Asignar personal a los roles conforme a la información de habilidades disponibles (p. ej., matriz de habilidades de TI).
3. Utilizar una gestión de proyectos experta y los recursos de líderes de equipo con las habilidades apropiadas al tamaño, complejidad y riesgo
del proyecto.
4. Considerar y definir claramente los roles y responsabilidades de otras partes involucradas, incluyendo finanzas, legal, adquisiciones, recursos
humanos, auditoría interna y cumplimiento.
5. Definir y acordar claramente la responsabilidad de la adquisición y gestión de productos y servicios de terceros y, gestionar la relación.
6. Identificar y autorizar la ejecución del trabajo conforme al plan del proyecto.
7. Identificar las brechas del plan del proyecto y proporcionar retroalimentación al gestor de proyectos para que las corrija.
PMBOK guide Sixth edition, 2017 Part 1: 4.3 Direct and manage project work
225


Práctica de gestión Ejemplo de métricas
BAI11.09 Cerrar un proyecto o iteración. a. N
ivel de satisfacción de las partes interesadas expresado en la revisión de
Al final de cada proyecto, liberación o iteración, requerir a las partes interesadas cierre del proyecto
del proyecto para que determinen si el mismo ha dado los resultados previstos b. Porcentaje de resultados con aceptación en primera instancia
en cuanto a las capacidades y ha contribuido como se esperaba a los beneficios
del programa. Identificar y comunicar las actividades pendientes necesarias para
lograr los resultados planeados del proyecto y/o los beneficios del programa.
Identificar y documentar las lecciones aprendidas para futuros proyectos,
liberaciones iteraciones y programas.
capacidad
1. Obtener la aceptación de las partes interesadas para los entregables del proyecto y transferir la propiedad. 2
2. Definir y aplicar los pasos claves para el cierre del proyecto, incluidas las revisiones post-implementación que evalúan si un proyecto ha 3
alcanzado los resultados deseados.
3. Planificar y ejecutar revisiones post-implementación para determinar si los proyectos ofrecen los resultados esperados. Mejorar la gestión
del proyecto y la metodología de procesos de desarrollo de sistemas.
4. Identificar, asignar, comunicar y hacer un seguimiento a cualquier actividad incompleta requerida para garantizar que el proyecto ofrezca los
resultados requeridos en términos de capacidades y, que los resultados contribuyen como se esperaba a los beneficios del programa.
5. De forma regular, y al finalizar el proyecto, recopilar las lecciones aprendidas de los participantes del proyecto. Revisarlas junto con las 4
actividades clave que llevaron a obtener beneficios y valor. Analizar los datos y realizar recomendaciones para mejorar el proyecto actual y el
método de gestión de proyectos para proyectos futuros.
PMBOK guide Sixth edition, 2017 Part 1: 4.7 Close project or phase

Gestor de programas
Director de riesgos
Gestor de proyecto
Jefe de desarrollo
Director de TI

BAI11.01 Mantener un enfoque estándar en la gestión de proyectos. A R R R
BAI11.02 Establecer e iniciar un proyecto. R R R A R R R R
BAI11.03 Gestionar la participación de las partes interesadas. R A R
BAI11.04 Desarrollar y mantener el plan del proyecto. A R R
BAI11.05 Gestionar la calidad del proyecto. R R A R R
BAI11.06 Gestionar el riesgo del proyecto. R A R R
BAI11.07 Supervisar y controlar los proyectos. R A R R R
BAI11.08 Gestionar los recursos del proyecto y los paquetes de trabajo. R A R R R
BAI11.09 Cerrar un proyecto o iteración. A R R
PMBOK guide Sixth edition, 2017 Part 1: 3. The role of the project manager
226

Capítulo 4

BAI11.01 Mantener un enfoque estándar en la gestión De Descripción Descripción A
de proyectos.
APO03.04 • Requisitos de la Enfoques de gestión de Interna
arquitectura de gobierno proyectos actualizados
• Descripciones de la fase
de implementación
APO10.04 Riesgo identificado en
las prestaciones de los
proveedores
EDM02.03 Requisitos de las revisiones
por fases
entrega de valor
BAI11.02 Establecer e iniciar un proyecto. Definiciones del proyecto Interna
Declaraciones del alcance Interna
del proyecto
BAI11.03 Gestionar la participación de las partes interesadas. Resultados de evaluaciones Interna
de eficacia sobre la
participación de las partes
interesadas
Plan de participación de las Interna
partes interesadas

BAI11.04 Desarrollar y mantener el plan del proyecto. BAI07.03 Plan de prueba de Comunicaciones e informes Interna
aceptación aprobado del proyecto
Línea de referencia de Interna
proyectos
Planes de proyectos Interna
BAI11.05 Gestionar la calidad del proyecto. APO11.01 Planes de gestión de la Plan de gestión de la BAI02.04;
calidad calidad del proyecto BAI03.06;
BAI07.01
APO11.02 Requisitos del cliente para Requisitos para la BAI07.03
la gestión de la calidad verificación independiente
de entregables del proyecto
BAI11.06 Gestionar el riesgo del proyecto. APO12.02 Resultados del análisis de Registro de riesgo del Interna
riesgo proyecto
BAI02.03 • R egistro de los riesgos de Resultados sobre la Interna
los requisitos evaluación de riesgos de
•A cciones para la proyectos
Fuera de COBIT Marco de gestión de riesgos Plan de gestión de riesgos Interna
empresariales (ERM) del proyecto
BAI11.07 Supervisar y controlar los proyectos. Cambios acordados al Interna

proyecto
Informes de progreso del Interna
proyecto
Criterios del desempeño del Interna
proyecto
BAI11.08 Gestionar los recursos del proyecto y los paquetes Requisitos de recursos de APO07.05;
de trabajo. proyectos APO07.06
Brechas en la planificación Interna
del proyecto
Roles y responsabilidades Interna
del proyecto
227


BAI11.09 Cerrar un proyecto o iteración. De Descripción Descripción A
BAI07.08 • Informe de revisión post- Resultados de la revisión APO02.04
implementación post-implementación
• Plan de medidas
correctivas Confirmaciones de las Interna
partes interesadas sobre la
aceptación del proyecto
Lecciones aprendidas del Interna
proyecto
PMBOK guide Sixth edition, 2017 Part 1: 4. Project integration management: Inputs and Outputs; Part 1: 6.
Project schedule management: Inputs and Outputs; Part 1: 10. Project
communications management: Inputs & Outputs; Part 1: 11. Project risk
management: Inputs and Outputs

Soporte para el portafolio, programas Skills Framework for the Information Age V6, 2015 PROF
y proyectos
Gestión de proyectos y portafolio e-Competence Framework (e-CF)—A common European Framework for ICT E. Manage—E.2. Project and Portfolio
Gestión de proyectos Skills Framework for the Information Age V6, 2015 PRMG

Política de gestión Guías sobre la gestión de riesgos PMBOK guide Sixth edition, 2017 Part 1: 2.3.1 Processes, policies
del programa/proyecto relacionados con programas y and procedures
proyectos Detalle sobre la postura y
expectativa de la dirección en relación
a la gestión de programas y proyectos.
Tratar la rendición de cuentas, metas
y objetivos relacionados con el
rendimiento, presupuesto y análisis
de riesgo, reportes y mitigación de
eventos adversos durante la ejecución
del programa/proyecto.

Establecer una cultura de gestión de proyectos en toda la empresa que garantice
su implementación consistente y óptima, tomando en consideración la estructura
organizativa y el entorno empresarial. Asegurar que todas las iniciativas
se trasladen a proyectos (o cambios, cuando sean menores en el alcance);
garantizar que no se realicen acciones ad hoc fuera del alcance de la gestión de
proyectos.

Herramientas de gestión de proyectos
228

Capítulo 4
4.4 Entregar, Dar Servicio y Soporte (DSS)

01 Gestionar las operaciones
02 Gestionar las peticiones y los incidentes del servicio
03 Gestionar los problemas
04 Gestionar la continuidad
05 Gestionar los servicios de seguridad
06 Gestionar los controles de los procesos de negocio
Entregar, Dar Servicio y Soporte
229


230

Capítulo 4
Dominio: Entregar, dar servicio y soporte Área prioritaria: Modelo Core de

Objetivo de gestión: DSS01 - Gestionar las operaciones COBIT
Descripción
Coordinar y ejecutar las actividades y los procedimientos operativos requeridos para entregar los servicios de I&T, internos y externalizados. Incluir la ejecución de
procedimientos de operación estándar predefinidos y las actividades de supervisión requeridas.
Propósito
Proporcionar los resultados de los productos y servicios operativos de I&T según lo planeado.
Æ
• EG08 Optimización de la funcionalidad de procesos del negocio
internos
objetivos de ingresos y/o cuota de mercado la prestación de servicios de I&T que cumple con los niveles de
objetivos de satisfacción del cliente b. N úmero de interrupciones del negocio debido a incidentes de
empresarial
DSS01.01 Ejecutar procedimientos operativos. a. Número de incidentes causados por problemas operativos
Mantener y ejecutar procedimientos y tareas operativas de manera confiable y b. Número de procedimientos operativos no estándar ejecutados
consistente.
capacidad
1. Desarrollar y mantener los procedimientos operativos y las actividades relacionadas para respaldar todos los servicios prestados. 2

2. Mantener un calendario de las actividades operativas y ejecutar las actividades.
3. Comprobar que todos los datos esperados para su procesamiento se reciban y procesen de forma completa, precisa y en el plazo debido. 3
Entregar el producto conforme a los requisitos de la empresa. Soportar las necesidades de reinicios y reprocesamientos. Asegurar que los
usuarios reciban los productos adecuados de forma segura y en el plazo debido.
4. Gestionar el rendimiento y throughput de las actividades programadas. 4
5. Monitorizar los incidentes y problemas relacionados con los procedimientos operativos y realizar las acciones adecuadas para mejorar la 5
confiabilidad de las tareas operativas ejecutadas.
CMMI Cybermaturity Platform, 2018 TP.SE Safeguard Operational Environment
HITRUST CSF versión 9, septiembre de 2017 09.01 Document Operating Procedures
ISO/IEC 27002:2013/Cor.2:2015(E) 12.1 Operational procedures and responsibilities
ITIL V3, 2011 Service Operation, 4.1 Event Management
National Institute of Standards and Technology Special Publication 800-53, 3.13 Physical and environmental protection (PE-13, PE-14, PE-15)
231


Práctica de gestión Ejemplo de métricas
DSS01.02 Gestionar servicios tercerizados de I&T. a. N
úmero de KPI específicos/SMART incluidos en los contratos de
Gestionar la operación de los servicios tercerizados de I&T para mantener la externalización
protección de la información empresarial y la confiabilidad de la provisión del b. Frecuencia de falla del socio subcontratista para cumplir con los KPI
servicio.
capacidad
1. Asegurar que los requisitos de los procesos de seguridad de la información de la empresa cumplan con los contratos y SLA de hosting de 3
terceros o proveedores de servicios.
2. Asegurar que los requisitos de procesamiento operacional del negocio y de TI de la empresa y las prioridades para la prestación de servicios
cumplan con los contratos y SLA de hosting de terceros o proveedores de servicios.
3. Integrar los procesos de gestión de TI internos críticos con los de los proveedores de servicios externalizados. Esto debería cubrir, por
ejemplo, la planificación de rendimiento y capacidad, gestión del cambio, gestión de la configuración, solicitud de servicios y gestión de
incidentes, gestión de problemas, gestión de la seguridad, continuidad del negocio y monitorización del rendimiento y reporte del proceso.
4. Planificar una auditoría independiente y el aseguramiento de los entornos operacionales de proveedores que proporcionen servicios 4
externalizados para confirmar que se han abordado de forma adecuada los requisitos acordados.
ISF, The Standard of Good Practice for Information Security 2016 SC1.2 Outsourcing
ISO/IEC 20000-1:2011(E) 4.2 Governance of processes operated by other parties
DSS01.03 Monitorizar la infraestructura de I&T. a. Porcentaje de tipos de eventos operativos críticos cubiertos por sistemas de
Monitorizar la infraestructura de I&T y eventos relacionados. Almacenar detección automática
suficiente información cronológica en los logs de operación que permita la b. P orcentaje de activos de infraestructura monitorizados conforme a la
reconstrucción y revisión de las secuencias temporales de las operaciones y criticidad del servicio y la relación entre los elementos de configuración y
otras actividades asociadas o que apoyan las operaciones. servicios que dependen de ellos
capacidad
1. Registrar los eventos. Identificar el nivel de información que debe registrarse, conforme a una consideración de riesgo y rendimiento. 2
2. Identificar y mantener una lista de activos de infraestructura que deben monitorizarse conforme a la criticidad del servicio y la relación entre 3
los elementos de configuración y servicios que dependen de ellos
3. Definir e implementar reglas que identifiquen y registren incumplimientos de umbrales y los estados de eventos. Encontrar un equilibrio
entre la generación de eventos menores insignificantes y eventos significativos para que los registros de eventos no estén sobrecargados de
información innecesaria.
4. Producir registros de eventos y conservarlos durante un periodo de tiempo adecuado para que ayuden en futuras investigaciones.
5. Garantizar que se creen tickets de incidentes en el plazo debido a la hora de monitorizar desviaciones identificadas en los umbrales
definidos.
6. Establecer procedimientos para monitorizar los registros de eventos. Llevar a cabo revisiones regulares. 4
National Institute of Standards and Technology Special Publication 800-53, 3.10 Maintenance (MA-2, MA-3)
DSS01.04 Gestionar el medioambiente. a. N
úmero de personas capacitadas para responder a los procedimientos de
Mantener medidas de protección contra los factores medioambientales. Instalar alarma medioambiental
equipos y dispositivos especializados para monitorizar y controlar el ambiente. b. N
úmero de escenarios de riesgo definidos para las amenazas
medioambientales
232

Capítulo 4

capacidad
1. Identificar los desastres naturales y causados por el hombre que podrían ocurrir en el área en la que se encuentran las instalaciones de TI. 2
Evaluar el efecto potencial en las instalaciones de TI.
2. Identificar cómo el equipo de I&T, incluido el equipo móvil y el off-site, se protege de las amenazas medioambientales. Asegurar que la
política limita o excluye el consumo de comida, bebida y fumar en áreas sensibles, y prohibir el almacenamiento de artículos de papelería y
otros suministros que suponen un peligro de incendio en las salas de ordenadores.
3. Mantener los centros de TI y salas de servidores limpios y seguros en todo momento (es decir, sin desorden, papel, cajas de cartón, papeleras
llenas, productos químicos o materiales inflamables).
4. Situar y construir las instalaciones de TI para minimizar y mitigar la susceptibilidad a las amenazas medioambientales (p. ej., robo, aire, 3
incendio, humo, agua, vibración, terrorismo, vandalismo, químicos, explosivos). Considerar zonas de seguridad y/o células ignífugas
específicas (p. ej., ubicar los entornos/servidores de producción y desarrollo apartado uno del otro).
5. Comparar las medidas y planes de contingencia con los requisitos de las políticas de seguros y los resultados del informe. Abordar los
puntos de incumplimiento en el plazo debido.
6. Responder a las alarmas medioambientales y a otras notificaciones. Documentar y probar los procedimientos, lo cual debería incluir la
priorización de alarmas y contacto con las autoridades de respuesta a emergencia locales. Capacitar al personal en estos procedimientos.
7. Monitorizar y mantener regularmente dispositivos que detecten proactivamente amenazas medioambientales (p. ej., fuego, agua, humo, 4
humedad).
National Institute of Standards and Technology Special Publication 800-37, 2.1 System and system elements; 3.2 Categorization (Task 5, 6)
DSS01.05 Gestionar las instalaciones. a. Tiempo transcurrido desde la última prueba del suministro de energía
Gestionar las instalaciones, incluidos los equipos de suministro eléctrico y ininterrumpida
comunicaciones, alineados con las leyes y reglamentos existentes, los requisitos b. Número de personas formadas en normas de salud y seguridad
técnicos y del negocio, las especificaciones del proveedor, y las directrices de
salud y seguridad.
capacidad
1. Examinar los requisitos de protección de las instalaciones de TI con respecto a las fluctuaciones y cortes eléctricos, junto con otros 2
requisitos de planificación de continuidad del negocio. Procurar un equipo de suministro ininterrumpido adecuado (p. ej., baterías,
generadores) para respaldar la planificación de continuación del negocio.
2. Probar regularmente los mecanismos de suministro eléctrico ininterrumpidos. Asegurar que la electricidad pueda cambiar a otra fuente de
alimentación sin ningún efecto significativo en las operaciones del negocio.

3. Asegurar que las instalaciones que acogen los sistemas de I&T cuenten con más de una fuente para las utilidades de servicios dependientes
(p. ej., electricidad, telecomunicaciones, agua, gas). Separar la entrada física de cada utilidad de servicio.
4. Confirmar que el cableado exterior de la instalación de TI se sitúe bajo tierra o tenga una protección alternativa adecuada. Determinar que
el cableado de la instalación de TI se encuentre en conductos seguros, y el acceso a armarios de cableado esté restringido a personal
autorizado. Proteger el cableado adecuadamente frente al daño causado por el fuego, el humo, el agua, la intercepción y la interferencia.
5. Asegurar que el cableado y los parches de cableado físico (datos y teléfono) estén estructurados y organizados. Las estructuras de cableado
y conducción deberían estar documentadas (p. ej., diagramas de cableado y planos de construcción).
6. Educar al personal de forma regular sobre la legislación, las regulaciones y directrices en salud y seguridad relevantes Educar al personal
sobre simulacros de incendio y rescate para garantizar el conocimiento y las acciones tomadas en caso de fuego o incidentes similares.
7. Asegurar que las instalaciones y el equipo de TI se mantengan conforme a los intervalos y especificaciones de servicio recomendados por el 3
proveedor. Asegurar que el mantenimiento se realice solo por personal autorizado.
8. Analizar los sistemas de alojamiento de alta disponibilidad de las instalaciones para comprobar redundancia y requisitos de cableado a
prueba de fallos (externo e interno).
9. Asegurar que las instalaciones de TI cumplen con la legislación, regulaciones y, directrices de salud y seguridad y, las especificaciones de
proveedores relevantes.
10. R egistrar, monitorizar, gestionar y resolver incidentes en las instalaciones en línea con el proceso de gestión de incidentes de I&T. Poner a 4
disposición informes sobre incidentes en las instalaciones que la legislación y las regulaciones obligan a hacer públicos.
11. A
nalizar las alteraciones físicas de las instalaciones de TI para reevaluar el riesgo medioambiental (p. ej., daño por fuego o agua). Informar
los resultados de este análisis a la dirección de instalaciones y continuidad del negocio.
233


Director de TI
DSS01.01 Ejecutar procedimientos operativos. R A R R
DSS01.02 Gestionar servicios tercerizados de I&T. A R R R R
DSS01.03 Monitorizar la infraestructura de I&T R A R R
DSS01.04 Gestionar el medioambiente. R A R R
DSS01.05 Gestionar las instalaciones. R A R R

DSS01.01 Ejecutar procedimientos operativos. De Descripción Descripción A
BAI05.05 Plan de operación y uso Registro de copias de Interna
seguridad
Calendario operativo Interna
DSS01.02 Gestionar servicios tercerizados de I&T. APO09.03 • SLA Planes independientes de MEA04.02
• OLA aseguramiento
BAI05.05 Plan de operación y uso
DSS01.03 Monitorizar la infraestructura de I&T. BAI03.11 Definiciones de servicios Reglas de monitorización DSS02.01;
de activos y estados de DSS02.02
eventos
Tickets de incidentes DSS02.02
Logs de eventos Interna
DSS01.04 Gestionar el medioambiente. Políticas APO01.09
medioambientales.
Informes de políticas de MEA03.03
seguros
DSS01.05 Gestionar las instalaciones. Concienciación de salud y Interna
seguridad
Informes de evaluación de MEA01.03
instalaciones
National Institute of Standards and Technology Special Publication 800-37, 3.2 Categorization (Task 5, 6): Inputs and Outputs
234

Capítulo 4

Habilidad Documentación relacionada (Estándares, Marcos, Requisitos de cumplimiento) Detailed Reference
Administración de bases de datos Skills Framework for the Information Age V6, 2015 DBAD
Gestión de instalaciones Skills Framework for the Information Age V6, 2015 DCMA
Infraestructura de TI Skills Framework for the Information Age V6, 2015 ITOP
Métodos y herramientas Skills Framework for the Information Age V6, 2015 METL
Prestación de servicios e-Competence Framework (e-CF)—A common European Framework for ICT C. Run—C.3. Service Delivery
Gestión de almacenamiento Skills Framework for the Information Age V6, 2015 STMG

Política de gestión de servicios Proporciona dirección y directrices (1) ISO/IEC 20000-1:2011(E); (2) ITIL (1) 4.1.2 Service management policy;
para garantizar la gestión e V3, 2011 (2) Service Strategy, 3. Service strategy
implementación efectiva de todos los principles
servicios de I&T para satisfacer los
requisitos del negocio y del cliente,
dentro de un marco de mediciones
del rendimiento. Cubre la gestión de
riesgos relacionado con los servicios
de I&T. (El marco ITIL V3 ofrece
directrices detalladas para la gestión
de servicios y la optimización del
riesgo relacionada con los servicios.)

Crear una cultura habitual de excelencia en toda la organización. Animar a los
empleados a sobresalir. Crear un entorno en el que los procedimientos operativos
ofrezcan (más que) los servicios necesarios mientras que permitan a los
empleados cuestionar el statu quo y probar nuevas ideas. Gestionar la excelencia
operativa a través del compromiso de los empleados y la mejora continua. Aplicar
el enfoque centrado en el cliente (tanto para clientes internos y externos).

• Servicios de alojamiento en la nube

• Herramientas de monitorización de infraestructura
• Herramientas de supervisión del nivel de servicio
235


236

Capítulo 4
Dominio: Entregar, dar Servicio y soporte Área prioritaria: Modelo Core de

Objetivo de gestión: DSS02 - Gestionar las peticiones y los incidentes de servicio COBIT
Descripción
Proporcionar una respuesta oportuna y efectiva a las solicitudes de los usuarios y la resolución de todos los tipos de incidentes. Restaurar el servicio normal,
registrar y completar las solicitudes de usuario; y registrar, investigar, diagnosticar, escalar y resolver los incidentes.
Propósito
Lograr una mayor productividad y minimizar las interrupciones mediante la resolución rápida de consultas e incidencias de los usuarios. Evaluar el impacto de los
cambios y hacer frente a los incidentes del servicio. Resolver las solicitudes de los usuarios y restaurar el servicio como respuesta ante incidentes.
Æ
• EG01 Portafolio de productos y servicios competitivos AG05 Prestación de servicios de I&T en línea con los requisitos del
• EG08 Optimización de la funcionalidad de procesos internos del negocio
negocio
empresarial
DSS02.01 Definir esquemas de clasificación para incidentes y peticiones de a. Número total de solicitudes e incidentes de servicio por nivel de prioridad
servicio. b. Número total de incidentes escalados
Definir esquemas de clasificación y modelos de incidentes y de peticiones de
servicio.
capacidad

1. Definir esquemas de priorización y clasificación de solicitudes de servicios e incidentes, y los criterios para el registro de problemas. Usar 3
esta información para garantizar estrategias constantes a fin de gestionar e informar a los usuarios sobre los problemas y llevar a cabo
análisis de tendencias.
2. Definir modelos de incidentes sobre errores conocidos para permitir una resolución eficiente y eficaz.
3. Definir modelos de solicitud de servicios conforme al tipo de solicitud de servicios para permitir la autoayuda y un servicio eficiente para
solicitudes estándar.
4. Definir las reglas y procedimientos de escalamiento de incidentes, sobre todo para incidentes importantes e incidentes de seguridad.
5. Definir las fuentes de conocimiento sobre incidentes y solicitudes y describir cómo usarlas.
CMMI Cybermaturity Platform, 2018 IA.IP Implement Incident Investigation Processes
HITRUST CSF versión 9, septiembre de 2017 11.01 Reporting Information Security Incidents and Weaknesses
ISF, The Standard of Good Practice for Information Security 2016 TM2 Security Incident Management
ISO/IEC 20000-1:2011(E) 8.1 Incident and service request management
ISO/IEC 27002:2013/Cor.2:2015(E) 16. Information security incident management
237


DSS02.02 Registrar, clasificar y priorizar las peticiones e incidentes. a. N
úmero de tipos y categorías definidos para registrar solicitudes e incidentes
Identificar, registrar y clasificar las peticiones de servicio y los incidentes, y de servicio
asignarles una prioridad de acuerdo con la criticidad para el negocio y los b. N
úmero de solicitudes e incidentes de servicio no clasificados
acuerdos de servicio.
capacidad
1. R egistrar todas las solicitudes e incidentes de servicio, mediante el registro de toda la información relevante, para que pueda gestionarse de 2
forma eficaz y pueda mantenerse un registro histórico completo.
2. Permitir el análisis de tendencias, clasificar las solicitudes e incidentes de servicio, con identificación del tipo y categoría.
3. Priorizar solicitudes e incidentes de servicio basados en la definición del servicio de SLA según el impacto y la urgencia para el negocio.
DSS02.03 Verificar, aprobar y resolver peticiones de servicio. a. Tiempo promedio transcurrido para la gestión de cada tipo de solicitud de
Seleccionar los procedimientos apropiados para peticiones y verificar que las servicio
solicitudes de servicio cumplan con los criterios de solicitud definidos. Obtener b. P orcentaje de solicitudes de servicio que cumplen con los criterios de
aprobación, si se requiere, y satisfacer las solicitudes. solicitud definidos
capacidad
1. Comprobar el derecho a las solicitudes de servicio, utilizando un flujo de proceso predefinido y cambios estándar, cuando sea posible. 2
2. Obtener la aprobación y confirmación financiera y funcional, si fuera necesario, o las aprobaciones predefinidas para los cambios estándar
acordados.
3. Cumplir con las solicitudes realizando el proceso de solicitud seleccionado. Cuando sea posible, usar menús automáticos de autoayuda y 3
modelos de solicitud predefinidas para elementos solicitados con frecuencia.
ITIL V3, 2011 Service Operation, 4.3 Request Fulfilment
DSS02.04 Investigar, diagnosticar y asignar incidentes. a. Número de síntomas de incidentes identificados y registrados
Identificar y registrar los síntomas de los incidentes, determinar las causas b. Número de causas de síntomas correctamente determinadas
posibles y asignarlos para su resolución. c. Número de problemas duplicados en el log de referencia
capacidad
1. Identificar y describir síntomas relevantes para establecer las causas más probables de los incidentes. Referenciar los recursos de 2
conocimientos disponibles (incluidos errores y problemas conocido) para identificar posibles resoluciones de incidentes (soluciones
temporales y/o permanentes).
2. Si un problema relacionado o error conocido no existe todavía y si el incidente satisface los criterios acordados para el registro de problemas,
registrarlo como un problema nuevo.
3. Asignar incidentes a funciones de especialista si se necesita una mayor habilidad. Contar con el nivel directivo adecuado, donde y si se
necesita.
DSS02.05 Resolver y recuperarse de los incidentes. a. Porcentaje de incidentes resueltos dentro de los SLA acordados
Documentar, aplicar y probar las soluciones definitivas o temporales b. P orcentaje de satisfacción de las partes interesadas con la solución y
(workarounds) identificados. Realizar acciones de recuperación para restaurar el recuperación del incidente
servicio relacionado con I&T.
capacidad
1. Seleccionar y aplicar las resoluciones de incidentes más adecuadas (solución workaround y/o solución permanente). 2
2. Registrar, si se usaron, workarounds para la resolución de incidentes.
3. Aplicar medidas correctivas, si se requieren.
4. Documentar la resolución de incidentes y evaluar si la resolución puede usarse como una fuente de conocimiento futura.
238

Capítulo 4

ITIL V3, 2011 Service Operation, 4.2 Incident Management
National Institute of Standards and Technology Framework for Improving Critical RC.RP Recovery Planning
National Institute of Standards and Technology Special Publication 800-53, 3.9 Incident response (IR-4, IR-5, IR-6)
The CIS Critical Security Controls for Effective Cyber Defense Versión 6.1, agosto CSC 19: Incident Response and Management
de 201
DSS02.06 Cerrar las peticiones de servicio y los incidentes. a. N
ivel de satisfacción del usuario con el cumplimiento de la petición de
Verificar la solución satisfactoria del incidente y/o el cumplimiento de la servicio
petición y su cierre. b. P orcentaje de incidentes resueltos dentro del periodo de tiempo acordado/
aceptado
capacidad
1. Comprobar con los usuarios afectados que la solicitud de servicio se ha cumplido de forma satisfactoria o el incidente se ha resuelto de 2
forma satisfactoria dentro de un plazo de tiempo acordado/aceptable.
2. Cerrar las peticiones e incidentes de servicio.
DSS02.07 Hacer seguimiento al estado y producir informes. a. Tiempo promedio entre incidentes para el servicio habilitado por I&T
Hacer seguimiento, analizar e informar regularmente sobre los incidentes y b. N
úmero y porcentaje de incidentes que causan interrupciones en procesos
el cumplimiento de las solicitudes. Examinar tendencias para proporcionar críticos del negocio
información para la mejora continua.
capacidad
1. Supervisar y hacer seguimiento al escalamientos y resoluciones de incidentes y solicitar procedimientos de manejo para progresar hacia la 2
resolución o finalización de los mismos.
2 Identificar las partes interesadas en la información y sus necesidades de datos o informes. Identificar frecuencia y medio de elaboración de 3
los reportes.
3. Producir y distribuir informes en el plazo debido o proporcionar un acceso controlado a los datos en línea. 4

4. Analizar incidentes y solicitudes de servicio por categoría y tipo. Establecer tendencias e identificar patrones de problemas recurrentes,
violaciones o ineficiencias del SLA.
5. Usar la información como un insumo a la planificación de la mejora continua. 5
CMMI Cybermaturity Platform, 2018 MI.IM Ensure Incident Mitigation; IR.IR Incident Reporting
National Institute of Standards and Technology Special Publication 800-53, 3.9 Incident response (IR-7, IR-8)
239


RDueños del proceso de negocio
Gestor de servicio
Jefe de desarrollo
DSS02.01 Definir esquemas de clasificación para incidentes y peticiones de servicio. A R R R
DSS02.02 Registrar, clasificar y priorizar las peticiones e incidentes. A R R
DSS02.03 Verificar, aprobar y resolver peticiones de servicio. A R R R R
DSS02.04 Investigar, diagnosticar y asignar incidentes. A R R R
DSS02.05 Resolver y recuperarse de los incidentes. A R R R R
DSS02.06 Cerrar las peticiones de servicio y los incidentes. A R R R
DSS02.07 Hacer seguimiento al estado y producir informes. A R R
ISO/IEC 27002:2013/Cor.2:2015(E) 16.1.1 Responsibilities and procedures

DSS02.01 Definir esquemas de clasificación para incidentes y De Descripción Descripción A
peticiones de servicio.
APO09.03 SLA Criterios para el registro de DSS03.01
problemas
BAI10.02 Repositorio de Reglas para escalamiento Interna
configuraciones de incidentes
BAI10.03 Repositorio actualizado con Esquema y modelos de Interna
elementos de configuración clasificación de peticiones
de servicio e incidentes
BAI10.04 Informes de estado de la
configuración
DSS01.03 Reglas de monitorización

de activos y estado de
eventos
DSS03.01 Esquema de clasificación
de problemas
DSS04.03 Acciones y comunicaciones
para responder a incidentes
DSS02.02 Registrar, clasificar y priorizar las peticiones e APO09.03 SLA Peticiones de servicio e APO08.03;
incidentes. incidentes clasificadas y APO09.04;
priorizadas APO13.03;
DSS03.05
BAI04.05 Procedimiento de Registro de solicitudes de Interna;
escalamiento de servicio e incidentes MEA04.07
emergencia
DSS01.03 • Reglas de monitorización
de activos y estado de
eventos
• Tickets de incidentes
DSS05.07 Tickets de incidentes
relacionados con la
seguridad
240

Capítulo 4

DSS02.03: Verificar, aprobar y resolver peticiones de servicio. De Descripción Descripción A
APO12.06 Causas raíz relacionadas Peticiones de servicio BAI06.01
con el riesgo aprobadas
Peticiones de servicio Interna
completadas
DSS02.04 Investigar, diagnosticar y asignar incidentes. BAI07.07 Plan de soporte Log de problemas DSS03.01
suplementario
Síntomas de incidente Interna
DSS02.05 Resolver y recuperarse de los incidentes. APO12.06 Plan de respuesta a Resoluciones de incidentes DSS03.03;
incidentes relacionados con DSS03.04;
riesgos DSS03.05;
MEA04.07
DSS03.03 Registros de errores
conocidos
DSS03.04 Comunicación de
conocimientos aprendidos
DSS02.06 Cerrar las peticiones de servicio y los incidentes. DSS03.04 Registros de problemas Confirmación del usuario APO08.03
cerrados del cumplimiento o
resolución satisfactoria
Cierre de peticiones de APO08.03;
servicio e incidentes APO09.04;
DSS03.04
DSS02.07 Hacer seguimiento al estado y producir informes. APO09.03 OLAs Estado de incidentes e APO08.03;
informe de tendencias APO09.04;
APO11.04;
APO12.01;
MEA01.03
DSS03.01 Informe de estado del Estado de cumplimiento APO08.03;
problema de peticiones e informe de APO09.04;
tendencias APO11.04;
DSS03.02 Informes de resolución de MEA01.03
problemas
DSS03.05 Informes de monitorización
de resolución de problemas


Soporte de aplicaciones Skills Framework for the Information Age V6, 2015 ASUP
Servicio de atención al cliente Skills Framework for the Information Age V6, 2015 CSMG
Gestión de incidentes Skills Framework for the Information Age V6, 2015 USUP
Soporte de redes Skills Framework for the Information Age V6, 2015 NTAS
Soporte de usuarios e-Competence Framework (e-CF)—A common European Framework for ICT C. Run—C.1. User Support

Política de solicitud de servicio Establece los fundamentos y ITIL V3, 2011 Service Operation, 3. Service
proporciona directrices para las operation principles
peticiones de servicio e incidentes y su
documentación.
241


Permitir a los empleados identificar incidentes de forma correcta y en el plazo
debido e implementar las rutas de escalamiento adecuadas. Fomentar la
prevención. Responder y resolver los incidentes de forma inmediata. Evitar una
cultura de héroes.

Sistema y herramientas de seguimiento de incidentes
242

Capítulo 4

Objetivo de gestión: DSS03 - Gestionar los problemas COBIT
Descripción
Identificar y clasificar los problemas y su causa raíz. Ofrecer una solución oportuna para evitar incidentes recurrentes. Ofrecer recomendaciones de mejoras.
Propósito
Aumentar la disponibilidad, mejorar los niveles de servicio, reducir los costes y atender mejor las necesidades del cliente y lograr su satisfacción mediante una
reducción del número de problemas operativos, e identificar las causas raíz como parte de la resolución de problemas.
Æ
• EG08 Optimización de la funcionalidad de procesos del negocio interno
objetivos de ingresos y/o cuota de mercado la prestación de servicios de I&T que cumple con los niveles de
objetivos de satisfacción del cliente b. Número de interrupciones del negocio debido a incidentes de
EG08 a. Niveles de satisfacción del consejo de administración y
empresarial
b. Niveles de satisfacción de los clientes con las capacidades de
c. Niveles de satisfacción de los proveedores con las
DSS03.01 Identificar y clasificar los problemas. a. P orcentaje de incidentes mayores para los que se registraron problemas
Definir e implementar criterios y procedimientos para identificar e informar b. Porcentaje de incidentes resueltos conforme a los SLA acordados
sobre los problemas. Incluir la clasificación, categorización y priorización del c. P orcentaje de problemas identificados correctamente, incluida la clasificación,
problema. categorización y priorización de los mismos.
capacidad
1. Identificar problemas a través de la correlación de informes de incidentes, registros de errores y otros recursos que permitan la identificación 2

de problemas.
2. Gestionar todos los problemas formalmente con acceso a todos los datos relevantes. Incluir información del sistema de gestión de cambios
de TI y de configuración/activo de TI y los detalles del incidente.
3. Definir grupos de soporte adecuados para ayudar en la identificación de problemas, análisis de la causa raíz y determinación de soluciones
para respaldar la gestión de problemas. Determinar grupos de soporte conforme a las categorías predefinidas, como hardware, red, software,
aplicaciones y software de soporte.
4. Definir niveles de prioridad a través de la consulta con el negocio para garantizar que la identificación del problema y el análisis de las causas
raíz se gestionan en el plazo debido conforme a los SLA acordados. Basar los niveles de prioridad en el impacto y la urgencia del negocio.
5. Informar del estado de los problemas identificados a la mesa de servicio, para que los clientes y gestores de TI puedan mantenerse
informados.
6. Mantener un único catálogo de gestión de problemas para registrar e informar sobre los problemas identificados. Usar el catálogo para
establecer pistas de auditoría de los procesos de gestión de problemas incluido el estado de cada problema (es decir, abierto, reabierto, en
curso o cerrado).
ISO/IEC 20000-1:2011(E) 8.2 Problem management
243


DSS03.02 Investigar y diagnosticar problemas. a. N
úmero de problemas identificados clasificados como errores conocidos
Investigar y diagnosticar problemas con la ayuda de expertos en la materia para b. P orcentaje de problemas investigados y diagnosticados a lo largo de su ciclo
evaluar y analizar su causa raíz. de vida
capacidad
1. Identificar problemas que podrían ser errores conocidos mediante una comparación de los datos de incidentes con la base de datos de 3
errores conocidos y sospechados (p. ej., aquellos comunicados por proveedores externos) Clasificar los problemas como errores conocidos.
2. Asociar los elementos de configuración afectados con el error establecido/conocido.
3. P roducir informes para comunicar el progreso a la hora de resolver problemas y gestionar el impacto continuo de los problemas no resueltos.
Monitorizar el estado del proceso de manejo de problemas a lo largo de su ciclo de vida, incluyendo los insumos de la gestión de cambios y
de la configuración de TI.
DSS03.03 Presentar los errores conocidos. a. N
úmero de problemas con resolución satisfactoria que abordan las causas
Tan pronto como se identifiquen las causas raíz de los problemas, crear registros raíz
de los errores conocidos, documentar las soluciones temporales apropiadas e b. P orcentaje de satisfacción de las partes interesada con la identificación de
identificar las soluciones potenciales. las causas raíz, la creación de registros de errores conocidos y soluciones
temporales adecuadas, y la identificación de soluciones potenciales
capacidad
1. Tan pronto como se identifiquen las causas raíz de los problemas, crear registros de los errores conocidos y desarrollar una solución 2
temporal apropiada.
2. Identificar, evaluar, priorizar y procesar (a través de la gestión de cambio de TI) soluciones a los errores conocidos, conforme al coste/ 3
beneficio del caso de negocio, el impacto y la urgencia.
DSS03.04 Resolver y cerrar los problemas. a. Reducir el número de incidentes recurrentes causados por problemas no
Identificar e iniciar soluciones sostenibles dirigidas a la causa raíz del problema. resueltos
Presentar solicitudes de cambio a través del proceso de gestión de cambio b. Porcentaje de soluciones temporales definidas para los problemas abiertos
establecido, si es necesario, para resolver los errores. Asegurarse de que el
personal afectado conoce las medidas adoptadas y los planes desarrollados

para evitar que ocurran incidentes en el futuro.
capacidad
1. Cerrar los registros de problemas después de la confirmación sobre la eliminación exitosa del error conocido o después del acuerdo con el 2
negocio sobre cómo gestionar el problema de forma alternativa.
2. Informar a la mesa de servicio sobre el calendario de cierre de problemas (p. ej., el calendario para solucionar los errores conocidos, la
posible solución temporal o el hecho de que el problema seguirá ahí hasta que se implemente el cambio) y las consecuencias de la estrategia
llevada a cabo. Mantener a los usuarios y clientes afectados informados como corresponda.
3. A través del proceso de resolución, obtener informes regulares de gestión de cambios de TI relacionados con el progreso a la hora de 3
resolver problemas y errores.
4. Monitorizar el impacto continuo de los problemas y errores conocidos en los servicios. 4
5. Revisar y confirmar la resolución satisfactoria de problemas mayores.
6. Asegurar que el conocimiento aprendido de la revisión se incorpore a la reunión de revisión de servicios con el cliente del negocio. 5
Documentación relacionada (Estándares, Marcos, Requisitos de Cumplimiento) Referencia específica
244

Capítulo 4

DSS03.05 Realizar una gestión proactiva de los problemas. a. P orcentaje de problemas registrados como parte de la actividad de gestión de
Recopilar y analizar los datos operacionales (especialmente los registros del problemas proactiva
incidente y los cambios) para identificar las tendencias que están emergiendo b. P orcentaje de partes interesadas satisfechas con la comunicación de
que puedan indicar problemas. Guardar los registros de problemas para permitir información de problemas relacionados con cambios e incidentes de TI
su evaluación.
capacidad
1. Captar la información del problema relacionada con cambios e incidentes de I&T y comunicarla a las partes interesadas clave. Comunicar a 3
través de informes y reuniones periódicas entre los dueños de los procesos de incidentes, problemas, cambios y gestión de la configuración
para considerar los problemas recientes y las posibles acciones correctivas.
2. Garantizar que los dueños y gestores de los procesos de gestión de incidentes, problemas, cambios y configuración se reúnan regularmente
para comentar los problemas conocidos y los cambios planificados futuros.
3. Identificar e iniciar soluciones sostenibles (soluciones permanentes) que aborden la causa raíz . Presentar solicitudes de cambio a través de
los procesos establecidos de gestión de cambios.
4. Permitir a la empresa supervisar los costes totales de los problemas, captar los esfuerzos de cambios derivados de las actividades del 4
proceso de gestión de problemas (p. ej., soluciones a problemas y errores conocidos) e informar al respecto.
5. Crear informes para supervisar la resolución de problemas en relación con los requisitos del negocio y los SLAs. Asegurar el escalamiento
adecuado de los problemas, como comunicarlos al siguiente nivel directivo conforme a los criterios acordados, contactar con proveedores
externos o consultar con el consejo asesor de cambios (CAB) para aumentar la prioridad de una solicitud de cambio urgente (RFC) para
implementar una solución temporal .
6. Optimizar el uso de recursos y reducir el uso de soluciones temporales; hacer un seguimiento a las tendencias de los problemas.
CMMI Cybermaturity Platform, 2018 MI.IC Ensure Incident Containment
ITIL V3, 2011 Service Operation, 4.4 Problem Management


Gestor de servicios
Jefe de desarrollo
Comité Ejecutivo
Director de TI

DSS03.01 Identificar y clasificar los problemas. R A R R R
DSS03.02 Investigar y diagnosticar problemas. A R R R
DSS03.03 Presentar los errores conocidos. A R R R
DSS03.04 Resolver y cerrar los problemas. A R R
DSS03.05 Realizar una gestión proactiva de los problemas. R A R R
245


DSS03.01 Identificar y clasificar los problemas. De Descripción Descripción A
APO12.06 Causas raíz relacionadas Esquema de clasificación DSS02.01
con el riesgo de problemas
DSS02.01 Criterios para el registro de Informes de estado del DSS02.07
problemas problema
DSS02.04 Log de problemas Registro de problemas Interna
DSS03.02 Investigar y diagnosticar problemas. APO12.06 Causas raíz relacionadas Informes de resolución de DSS02.07
con el riesgo problemas
Causas raíz de problemas Interna;
DSS03.05
DSS03.03 Presentar los errores conocidos. APO12.06 Causas raíz relacionadas Soluciones propuestas a BAI06.01
con el riesgo errores conocidos
DSS02.05 Resoluciones de incidentes Registros de errores DSS02.05
conocidos
DSS03.04 Resolver y cerrar los problemas. DSS02.05 Resoluciones de incidentes Comunicación de APO08.04;
conocimientos aprendidos DSS02.05
DSS02.06 Cierre de peticiones de Registros de problemas DSS02.06
servicio e incidentes cerrados
DSS03.05 Realizar una gestión proactiva de los problemas. APO12.06 Causas raíz relacionadas Soluciones sostenibles BAI06.01
con el riesgo identificadas
DSS02.02 • P eticiones de servicio e Informes de supervisión de DSS02.07,
incidentes clasificadas y resolución de problemas MEA04.07
priorizadas
• R esoluciones de
incidentes
DSS03.04 Causas raíz de los
problemas

Habilidad Documentación relacionada (Estándares, Marcos, Requisitos de Cumplimiento) Referencia específica

Soporte de aplicaciones Skills Framework for the Information Age V6, 2015 ASUP
Soporte de redes Skills Framework for the Information Age V6, 2015 NTAS
Gestión de problemas e-Competence Framework (e-CF)—A common European Framework for ICT C. Run—C.4. Problem Management
Gestión de problemas Skills Framework for the Information Age V6, 2015 PBMG

Política de resolución de problemas Documenta el razonamiento y ITIL V3, 2011 Service Operation, 3. Service strategy
proporciona directrices para abordar principles
los problemas que surgen de
incidentes e identificar soluciones
temporales validadas.
246

Capítulo 4

Respaldar una cultura de gestión de problemas proactiva (detección, acción y
prevención) con roles y responsabilidades claramente definidos. Garantizar un
entorno transparente y abierto para informar sobre problemas proporcionando
mecanismos independientes de reporte y/o recompensas a las personas que
comunican problemas.

Sistema de rastreo/resolución de problemas
247


248

Capítulo 4

Objetivo de gestión: DSS04 - Gestionar la continuidad COBIT
Descripción
Establecer y mantener un plan que permita a las organizaciones empresariales y a TI responder a los incidentes y adaptarse rápidamente a las interrupciones.
Esto permitirá la operación continua de los procesos críticos de negocio y de los servicios de I&T necesarios, y mantener la disponibilidad de recursos, activos e
información en un nivel aceptable para la empresa.
Propósito
Adaptarse rápidamente, continuar con las operaciones del negocio y mantener la disponibilidad de los recursos y la información a un nivel aceptable para la
empresa en caso de una interrupción significativa (p.ej., amenazas, oportunidades, demandas).
Æ
• EG01 Portafolio de productos y servicios competitivos • AG05 Prestación de servicios de I&T conforme a los requisitos de negocio
• EG02 Gestión de riesgo de negocio • AG07 Seguridad de la información, infraestructura de procesamiento y
• EG06 Continuidad y disponibilidad del servicio del negocio aplicaciones, y privacidad
• EG08 Optimización de la funcionalidad del proceso interno de negocio
EG02 a. P orcentaje de objetivos y servicios empresariales críticos AG07 a. N
b. P roporción de incidentes significativos que no se identificaron b. N
en la evaluación de riesgos frente al total de incidentes financieras, interrupción del negocio o descrédito público
c. Frecuencia de actualización del perfil de riesgo c. N
financieras, interrupción del negocio o descrédito público
EG06 a. N úmero de interrupciones del servicio al cliente o procesos del
b. Coste de los incidentes para el negocio
c. Número de horas de procesamiento perdidas en el negocio
debido a interrupciones inesperadas del servicio

249

DSS04.01 Definir la política de continuidad del negocio, sus objetivos y a. P orcentaje de objetivos y alcance de continuidad del negocio reprocesados
alcance. debido a procesos y actividades no identificados
Definir la política y alcance de la continuidad del negocio, alineado con los b. P orcentaje de partes interesadas clave que participan, definen y acuerdan la
objetivos de la empresa y de las partes interesadas, para mejorar la resiliencia política y el alcance de continuidad
del negocio.
capacidad
1. Identificar procesos de negocio y actividades de servicio internos y externalizados que son críticos para las operaciones empresariales o 2
necesarios para satisfacer las obligaciones legales y/o contractuales.
2. Identificar partes interesadas clave y los roles y responsabilidades para definir y acordar la política y el alcance de continuidad.
3. Definir y documentar los objetivos de política mínimos acordados y el alcance de la resiliencia del negocio.
4. Identificar procesos de negocio de soporte esenciales y servicios de I&T relacionados.
HITRUST CSF versión 9, septiembre de 2017 12.01 Information Security Aspects of Business Continuity Management
ISF, The Standard of Good Practice for Information Security 2016 BC1.1 Business Continuity Strategy; BC1.2 Business Continuity Programme
ISO/IEC 27002:2013/Cor.2:2015(E) 17. A
spectos de seguridad de la información de la gestión de la continuidad del
negocio
National Institute of Standards and Technology Special Publication 800-53, 3.6 Contingency planning (CP-1)
DSS04.02 Mantener la resiliencia del negocio. a. Inactividad total derivada de un incidente o interrupción importante.
Evaluar las opciones de resiliencia del negocio y elegir una estrategia viable b. P orcentaje de partes interesadas clave involucradas en el análisis de impacto
y rentable para asegurar la continuidad, la recuperación ante un desastre y la del negocio que evalúan el impacto a lo largo del tiempo de duración de una
respuesta ante incidentes de la empresa ante un desastre u otro incidente o interrupción de funciones críticas del negocio y el efecto que una interrupción
interrupción mayor. tendría sobre ellas
capacidad
1. Identificar escenarios potenciales que podrían ocasionar eventos que darían lugar a incidentes disruptivos significativos. 2
2. Conducir un análisis de impacto del negocio para evaluar el impacto a lo largo del tiempo de duración de una disrupción de funciones críticas
del negocio y el efecto que una interrupción tendría en ellas.
3. Establecer el tiempo mínimo necesario para recuperar un proceso de negocio y el entorno de I&T que lo soporta, conforme a una duración
aceptable de interrupción del negocio y la suspensión tolerable máxima.
4. Determinar las condiciones y los dueños de las decisiones clave que ocasionarán que se invoquen los planes de continuidad.
5. Evaluar la probabilidad de amenazas que pudieran causar la pérdida de la continuidad del negocio. Identificar medidas que reducirán la 3
probabilidad y el impacto a través de una mejor prevención y una mayor resiliencia.
6. Analizar requisitos de continuidad para identificar posibles opciones estratégicas empresariales y técnicas.
7. Identificar los requisitos y costes de recursos para cada opción técnica estratégica y realizar recomendaciones estratégicas.
8. Obtener la aprobación de ejecutivos del negocio para las opciones estratégicas seleccionadas.
ISF, The Standard of Good Practice for Information Security 2016 BC1.3 Resilient Technical Environments
ITIL V3, 2011 Service Design, 4.6 IT Continuity Management
250

Capítulo 4

DSS04.03 Desarrollar e implementar una respuesta de continuidad del negocio. a. Número de sistemas críticos de negocio no cubiertos por el plan
Desarrollar un plan de continuidad del negocio (BCP) y un plan de recuperación b. P orcentaje de partes interesadas clave involucradas en el desarrollo de BCPs
de desastres (DRP) basados en la estrategia. Documentar todos los y DRPs
procedimientos necesarios para que la empresa continúe con sus actividades
críticas en caso de incidente.
capacidad
1. Definir acciones y comunicaciones de respuesta a incidentes que se deban tomar en caso de interrupción. Definir roles y responsabilidades 2
relacionados, incluida la rendición de cuentas para la política y la implementación.
2. Garantizar que los proveedores clave y socios externalizados cuenten con planes de continuidad efectivos. Obtener evidencia auditada según
se requiera.
3. Definir las condiciones y los procedimientos de recuperación que permitirán la reanudación del procesamiento de negocio. Incluir la
actualización y sincronización de bases de datos para preservar la integridad de la información.
4. Desarrollar y mantener BCPs y DRPs operativos que contengan los procedimientos a seguir para permitir el funcionamiento continuo
de procesos de negocio críticos y/o acuerdos de procesamiento temporales. Incluir vínculos a los planes de proveedores de servicios
externalizados.
5. Definir y documentar los recursos requeridos para respaldar los procedimientos de continuidad y recuperación, teniendo en cuenta las
personas, las instalaciones y la infraestructura de TI.
6. Definir y documentar los requisitos de copias de seguridad de la información necesarios para respaldar los planes. Incluir planes y
documentos en papel, así como archivos de datos. Considerar la necesidad de seguridad y almacenamiento fuera de las instalaciones.
7. Determinar las habilidades requeridas para los individuos involucrados en la ejecución del plan y los procedimientos.
8. Distribuir los planes y la documentación soporte de forma segura a las partes interesadas debidamente autorizadas. Asegurar que los planes 3
y la documentación son accesibles en todos los escenarios de desastre.
ISF, The Standard of Good Practice for Information Security 2016 BC1.4 Crisis Management; BC2.1 Business Continuity Planning
National Institute of Standards and Technology Special Publication 800-53, 3.6 Contingency planning (CP-6, CP-9, CP-10)
DSS04.04 Realizar ejercicios, probar y revisar el plan de continuidad del a. Frecuencia de las pruebas
negocio (BCP) y el plan de respuesta ante desastres (DRP). b. Número de ejercicios y pruebas que alcanzaron los objetivos de recuperación
Probar la continuidad de forma periódica para ver el comportamiento de los
planes contra resultados predeterminados, mantener la resiliencia del negocio y
permitir que se desarrollen soluciones innovadoras.

capacidad
1. Definir objetivos para ejercitar y probar los sistemas del negocio, técnicos, logísticos, administrativos, procedimentales y operativos del plan 2
para verificar la integridad de los BCP y DRP en el cumplimiento del riesgo del negocio.
2. Definir y acordar ejercicios con las partes interesadas que sean realistas y validen los procedimientos de continuidad. Incluir roles y
responsabilidades y acuerdos de retención de datos que causen la mínima disrupción a los procesos del negocio.
3. Asignar roles y responsabilidades para la ejecución de ejercicios y pruebas del plan de continuidad.
4. Programar ejercicios y actividades de prueba de acuerdo a lo definido en los planes de continuidad. 3
5. Llevar a cabo una sesión informativa y un análisis luego del ejercicio para considerar lo alcanzado. 4
6. De acuerdo a los resultados de la revisión, desarrollar recomendaciones para mejorar los planes de continuidad actuales. 5
CMMI Cybermaturity Platform, 2018 PP.RS Develop and Maintain Response Plans; PP.RP Develop and Maintain
Recovery Plans
ISF, The Standard of Good Practice for Information Security 2016 BC2.3 Business Continuity Testing
The CIS Critical Security Controls for Effective Cyber Defense Versión 6.1, agosto CSC 20: Penetration Tests and Red Team Exercises
de 2016
251


DSS04.05 Revisar, mantener y mejorar los planes de continuidad. a. P orcentaje de mejoras acordadas para el plan que se han incorporado al plan
Conducir una revisión periódica de la capacidad de continuidad para asegurar su b. P orcentaje de planes de continuidad y evaluaciones del impacto en el negocio
idoneidad, lo adecuado y su efectividad. Gestionar los cambios a los planes de que se encuentran actualizados
acuerdo con el proceso de control de cambios para asegurar que los planes de
continuidad se mantienen actualizados y reflejan continuamente los requisitos
actuales del negocio.
capacidad
1. R evisar regularmente los planes de continuidad y la capacidad contra las hipótesis consideradas y los objetivos estratégicos y operativos 3
actuales del negocio.
2. R evisar de forma regular los planes de continuidad para considerar el impacto de cambios nuevos o mayores en la organización empresarial,
procesos de negocio, acuerdos con terceros, tecnologías, infraestructura, sistemas operativos y sistemas de aplicación.
3. Considerar si pudiera necesitarse revisar la evaluación de impacto del negocio, dependiendo de la naturaleza del cambio.
4. R ecomendar cambios en la política, los planes, procedimientos, infraestructura y roles y responsabilidades. Comunicarlos como adecuados
para la aprobación por la dirección y el procesamiento a través del proceso de gestión de cambios de TI.
DSS04.06 Realizar formación sobre el plan de continuidad. a. P orcentaje de partes interesadas internas y externas que han recibido
Proporcionar sesiones periódicas de formación sobre los procedimientos y sus capacitación
roles y responsabilidades en caso de interrupción a todas las partes internas y b. P orcentaje de partes internas y externas relevantes cuyas habilidades y
externas involucradas. competencias se encuentran actualizadas
capacidad
1. Realizar formación y concienciación sobre el BCP y el DRP. 2
2. Definir y mantener los requisitos y planes de formación para aquellas personas que realizan planificación de continuidad, evaluaciones de 3
impacto, evaluaciones de riesgo, comunicación con medios de comunicación y respuesta a incidentes. Asegurar que los planes de formación
consideren la frecuencia de capacitación y los mecanismos de prestación de la formación.
3. Desarrollar competencias basadas en formación práctica, incluida la participación en ejercicios y pruebas.
4. De acuerdo a los resultados de los ejercicios y las pruebas, supervisar habilidades y competencias. 4

DSS04.07 Administrar los acuerdos de respaldo. a. Porcentaje de medios de respaldo transferidos y almacenados de forma
Mantener la disponibilidad de la información crítica para el negocio. segura
b. P orcentaje de restauración exitosa y oportuna de copias de seguridad o
copias de medios alternativos
capacidad
1. Hacer una copia de seguridad de los sistemas, aplicaciones, datos y documentación conforme a un calendario definido. Considerar una 2
frecuencia (mensual, semanal, diario, etc.), modo de copia de seguridad (p. ej., disk mirroring para copias de seguridad en tiempo real frente
a DVD-ROM para retención a largo plazo), tipo de copia de seguridad (p.ej., completa vs. incremental), y tipo de medios. Considerar también
copias de seguridad online automatizadas, tipos de datos (p. ej. voz, ópticos), creación de logs, datos críticos de computación de usuario
final (p. ej., hojas de cálculo), ubicación física y lógica de las fuentes de datos, derechos de acceso y seguridad, y encriptación.
2. Definir requisitos para el almacenamiento en las instalaciones (on-site) y fuera de ellas (off-site) de copias de seguridad de datos, conforme
a los requisitos de negocio. Considerar el acceso requerido para hacer copias de seguridad de los datos.
3. Probar y refrescar de forma periódica los datos archivados y las copias de seguridad de los datos.
4. Garantizar que se haga una copia de seguridad o se aseguren de forma adecuada los sistemas, aplicaciones, datos y documentación
mantenida o procesada por terceros. Considerar que se requiera que los terceros devuelvan las copias de seguridad. Considerar la opción de
mantenimiento en fiducia (escrow, por su término en inglés) o acuerdos de depósitos.
252

Capítulo 4

CMMI Cybermaturity Platform, 2018 IP.BP Apply Backup Processes
HITRUST CSF versión 9, septiembre de 2017 09.05 Information Back-Up
ISF, The Standard of Good Practice for Information Security 2016 SY2.3 Backup
ISO/IEC 27002:2013/Cor.2:2015(E) 12.3 Backup
The CIS Critical Security Controls for Effective Cyber Defense Versión 6.1, agosto CSC 10: Data Recovery Capability
de 2016
DSS04.08 Realizar revisiones post-reanudación. a. P orcentaje de problemas identificados que se han abordado posteriormente
Evaluar la idoneidad del plan de continuidad del negocio (BCP) y el plan de en el plan
respuesta ante desastres (DRP) tras la reanudación exitosa de los procesos y b. P orcentaje de problemas identificados que se han abordado posteriormente
servicios del negocio después de una interrupción. en los materiales de formación
capacidad
1. Evaluar el cumplimiento de los BCP y DRP documentados. 4
2. Determinar la efectividad de los planes, capacidades de continuidad, roles y responsabilidades, habilidades y competencias, resiliencia a
incidentes, infraestructura técnica y estructuras organizativas y relaciones.
3. Identificar las debilidades u omisiones en los planes y capacidades y realizar recomendaciones de mejora. Obtener la aprobación de la 5
dirección para cualquier cambio en los planes y aplicarlos a través del proceso de control de cambios de la empresa.


Gestor de servicios
Jefe de desarrollo
Comité Ejecutivo
Director de TI

DSS04.01 Definir la política de continuidad del negocio, sus objetivos y alcance. R A R R R R R R
DSS04.02 Mantener la resiliencia del negocio. R A R R R R R R
DSS04.03 Desarrollar e implementar una respuesta de continuidad del negocio. R R R R R A
DSS04.04 Realizar ejercicios, probar y revisar el plan de continuidad del negocio (BCP) y el plan de respuesta ante R R R R R A
desastres (DRP).
DSS04.05 Revisar, mantener y mejorar los planes de continuidad. A R R R R R R
DSS04.06 Realizar formación sobre el plan de continuidad. R R R R R R A
DSS04.07 Administrar los acuerdos de respaldo. A R R R R
DSS04.08: Realizar revisiones post-reanudación. R R R R R A
Documentación relacionada (Estándares, Marcos, Requisitos de Cumplimiento) Referencia detallada
253


DSS04.01 Definir la política de continuidad del negocio, sus De Descripción Descripción A
objetivos y alcance.
APO09.03 SLAs Política y objetivos para la APO01.02
continuidad del negocio
Evaluaciones de Interna
capacidades y brechas de
continuidad actuales
Escenarios de incidentes Interna
disruptivos
DSS04.02 Mantener la resiliencia del negocio. APO12.06 • Comunicación de impacto Opciones estratégicas APO02.05
del riesgo aprobadas
• Causas raíz relacionadas
con riesgos BIAs APO12.02
Requisitos de continuidad Interna
DSS04.03 Desarrollar e implementar una respuesta de APO09.03 OLAs Acciones y comunicaciones DSS02.01
continuidad del negocio. para respuesta a incidentes
BCP Interna
DSS04.04 Realizar ejercicios, probar y revisar el plan de Resultados y Interna
continuidad del negocio (BCP) y el plan de respuesta ante recomendaciones de
desastres (DRP). pruebas
Ejercicios de prueba Interna
Objetivos de la prueba Interna
DSS04.05 Revisar, mantener y mejorar los planes de Cambios recomendados a Interna
continuidad. los planes
Resultados de revisiones Interna
de planes
DSS04.06 Realizar formación sobre el plan de continuidad. Recursos Lista de personal que Supervisión de resultados APO07.03
Humanos necesita formación de habilidades y
competencias.
Requisitos de formación APO07.03
DSS04.07 Administrar los acuerdos de copia de seguridad. APO14.10 • Plan de copias de Probar los resultados de Interna
seguridad las copias de seguridad de
• Plan de pruebas de copias los datos
de seguridad
Copia de seguridad de los Interna;
datos APO14.08
DSS04.08 Realizar revisiones post-reanudación. Cambios aprobados a los BAI06.01
planes
Informe de la revisión Interna
post-reanudación.

Gestión de la continuidad Skills Framework for the Information Age V6, 2015 COPL
254

Capítulo 4

Política de continuidad del negocio Señala el compromiso de la dirección
(BCP) con la evaluación de impacto del
negocio (BIA), el plan de contingencia
del negocio (incluida la recuperación
confiable), los requisitos de
recuperación para sistemas críticos,
umbrales y disparadores de las
contingencias definidos, plan de
escalamiento, plan de recuperación de
datos, formación y pruebas.
Política de gestión de crisis Establece las directrices y la secuencia
de la respuesta ante crisis en áreas
clave del riesgo. La gestión de crisis
es, junto con la seguridad de I&T,
la gestión de red, y la seguridad de
los datos y la privacidad, una de las
políticas a nivel operativo que debería
considerarse para una gestión de
riesgos de I&T completa.

Integrar la necesidad de resiliencia de negocio en la cultura empresarial. Informar
de forma regular y frecuente a los empleados sobre los valores fundamentales,
comportamientos deseados y objetivos estratégicos para conservar la
compostura e imagen empresarial en cualquier situación. Probar de forma regular
los procedimientos de continuidad y la recuperación de desastres.

• Servicios externos de hosting
• Herramientas de monitorización de incidentes
• Servicios de instalaciones para almacenamiento remoto
255


256

Capítulo 4

Objetivo de gestión: DSS05 - Gestionar los servicios de seguridad COBIT
Descripción
Proteger la información de la empresa para mantener el nivel de riesgo de la seguridad de la información aceptable para la empresa, conforme con la política de
seguridad. Establecer y mantener roles y privilegios de acceso de seguridad de la información. Realizar una monitorización de la seguridad.
Propósito
Minimizar el impacto en el negocio de las vulnerabilidades e incidentes operativos de seguridad de la información
Æ
• EG02 Gestión de riesgo del negocio • AG02 Gestión de riesgo relacionado con I&T
• EG06 Continuidad y disponibilidad del servicio del negocio • AG07 Seguridad de la información, infraestructura de procesamiento y
EG02 a. P orcentaje de objetivos y servicios empresariales críticos AG02 a. Frecuencia de actualización del perfil de riesgo
cubiertos por la evaluación de riesgos b. P orcentaje de evaluaciones de riesgo empresarial que incluyen el
b. N úmero de incidentes significativos que no se identificaron en riesgo relacionado con I&T
la evaluación de riesgos frente al total de incidentes c. N
empresariales que causan incidentes significativos financieras, interrupción del negocio o descrédito público
b. Coste de los incidentes para el negocio b. N
c. Número de horas de procesamiento perdidas en el negocio financieras, interrupción del negocio o descrédito público
debido a interrupciones no planificadas del servicio c. N
DSS05.01 Proteger contra software malicioso a. N
úmero de ataques exitosos de software malicioso
Implementar y mantener en toda la empresa medidas preventivas, detectivas y b. P orcentaje de empleados que no pasan las pruebas de ataques maliciosos (p.
correctivas (especialmente parches de seguridad y control de virus actualizados) ej., la prueba de correos electrónicos de phishing)
para proteger los sistemas de información y la tecnología del software malicioso
(p. ej., ransomware, malware, virus, gusanos, spyware y spam).
capacidad
1. Instalar y activar herramientas de protección contra software malicioso en todas las instalaciones de procesamiento, con archivos de 2

definición de software malicioso que se actualizan según sea necesario (automáticamente o semiautomáticamente)
2. Filtrar el tráfico de entrada, como el correo electrónico y las descargas, para protegerlo de información no solicitada (p.ej. spyware, correos
electrónicos de phishing).
3. Comunicar acerca de concienciación sobre software malicioso y hacer cumplir los procedimientos y responsabilidades de prevención. 3
Impartir formación periódica sobre malware en el uso de correo electrónico e Internet. Formar a los usuarios para que no abran e informen
sobre correos electrónicos sospechosos y no instalen software compartido o no aprobado.
4. Distribuir todo el software de protección centralmente (versión y parches) usando una configuración centralizada y la gestión de cambios de
TI.
5. Revisar y evaluar la información sobre nuevas amenazas potenciales (p. ej., revisión de los consejos de seguridad de productos y servicios 4
de proveedores) de forma regular.
CMMI Cybermaturity Platform, 2018 DP.DC Detect Malicious Code; RI.VT Vulnerability and Threat Identification
HITRUST CSF versión 9, septiembre de 2017 09.04 Protection Against Malicious & Mobile Code
SF, The Standard of Good Practice for Information Security 2016 TS1 Security Solutions
SO/IEC 27002:2013/Cor.2:2015(E) 12.2 Protection against malware
The CIS Critical Security Controls for Effective Cyber Defense Versión 6.1, agosto CSC 4: Continuous Vulnerability Assessment and Remediation; CSC 8: Malware
de 2016 Defenses
257


DSS05.02 Gestionar la seguridad de la conectividad y de la red. a. Número de brechas del firewall
Usar medidas de seguridad y procedimientos de gestión relacionados para b. Número de vulnerabilidades descubiertas
proteger la información a través de todos los métodos de conectividad. c. P orcentaje de tiempo que la red y los sistemas no están disponibles debido a
incidentes de seguridad
capacidad
1. P ermitir que solo los dispositivos autorizados tengan acceso a la información corporativa y a la red de la empresa. Configurar estos 2
dispositivos para forzar la introducción de contraseña.
2. Implementar mecanismos de filtrado de red, como firewalls y software de detección de intrusos. Hacer cumplir las políticas adecuadas para
controlar el tráfico entrante y saliente.
3. A
plicar protocolos de seguridad aprobados a las conexiones de red.
4. C
onfigurar el equipo de red de forma segura.
5. E ncriptar la información en tránsito de acuerdo a su clasificación. 3
6. E stablecer y mantener una política para la seguridad de la conectividad con base en las evaluaciones de riesgo y los requisitos del negocio.
7. E stablecer mecanismos confiables para apoyar la transmisión y recepción segura de la información.
8. L levar a cabo pruebas de penetración periódicas para determinar la idoneidad de la protección de la red. 4
9. Llevar a cabo pruebas periódicas a la seguridad del sistema para determinar la idoneidad de la protección del sistema.
CMMI Cybermaturity Platform, 2018 AC.MI Manage Network Integrity & Segregation; CM.MN Monitor Networks;
AC.CP Manage Communication Protections
HITRUST CSF versión 9, septiembre de 2017 01.04 Network Access Control
ISF, The Standard of Good Practice for Information Security 2016 PA2.3 Mobile Device Connectivity; NC1.1 Network Device Configuration
ISO/IEC 27002:2013/Cor.2:2015(E) 13.1 Network security management
The CIS Critical Security Controls for Effective Cyber Defense Versión 6.1, agosto CSC 9: Limitation and Control of Network Ports, Protocols, and Services; CSC
de 2016 11: Secure Configurations for Network Devices such as Firewalls, Routers, and
Switches
DSS05.03 Gestionar la seguridad de endpoint. a. Número de incidentes que involucran a dispositivos endpoint
Garantizar que los dispositivos de punto final (Endpoint, término en inglés) (p. b. N úmero de dispositivos no autorizados detectados en la red o en el entorno de
ej., ordenador portátil, ordenador de sobremesa, servidor y otros dispositivos usuario final
móviles o de red o software) tengan una seguridad a un nivel igual o superior c. P orcentaje de personas que reciben formación de concienciación relacionada
al de los requisitos de seguridad definidos para la información procesada, con el uso de dispositivos endpoint
almacenada o transmitida.
capacidad
1. Configurar los sistemas operativos de forma segura. 2
2. Implementar mecanismos de bloqueo de dispositivos.
3. Gestionar el acceso y control remotos (p.ej. dispositivos móviles, teletrabajo)
4. Gestionar la configuración de red de forma segura.
5. Implementar el filtrado de tráfico de red en dispositivos de punto final.
6. Proteger la integridad del sistema.
7. Proporcionar protección física a los dispositivos de punto final.
8. Eliminar de forma segura los dispositivos Endpoint
9. Gestionar el acceso malicioso a través del correo electrónico y los navegadores web. Por ejemplo, bloquear determinados sitios web y
desactivar los clics a enlaces para los smartphones.
10. Encriptar la información almacenada de acuerdo a su clasificación. 3
258

Capítulo 4

CMMI Cybermaturity Platform, 2018 IP.MM Apply Mobile Device Management; TP.MP Apply Media Protection; DP.DP
Detect Mobile Code and Browser Protection
ISF, The Standard of Good Practice for Information Security 2016 PM1.3 Remote Working; PA2.1 Mobile Device Configuration; PA2.4 Employee-
owned Devices; PA2.5 Portable Storage Devices; NC1.6 Remote Maintenance
National Institute of Standards and Technology Special Publication 800-53, 3.4 Assessment, authorization and monitoring (CA-8, CA-9); 3.19 System and
Revisión 5 (Borrador), agosto de 2017 communications protection (SC-10)
The CIS Critical Security Controls for Effective Cyber Defense Versión 6.1, agosto CSC 3: Secure Configurations for Hardware and Software on Mobile Devices,
de 2016 Laptops, Workstations, and Servers; CSC 7: Email and Web Browser Protections
DSS05.04: Gestionar la identidad del usuario y el acceso lógico. a. Tiempo promedio entre el cambio y la actualización de cuentas
Asegurarse de que todos los usuarios tienen derechos de acceso a la b. Número de cuentas (vs. número de usuarios/personal autorizado)
información de acuerdo con los requisitos del negocio. Coordinarse con las c. N
úmero de incidentes relacionados con el acceso no autorizado a la
unidades del negocio que gestionan sus propios derechos de acceso en los información
procesos de negocio.
capacidad
1. Mantener los derechos de acceso de los usuarios de acuerdo con la función del negocio, los requisitos del proceso y las políticas de 2
seguridad. Alinear la gestión de identidades y derechos de acceso con los roles y responsabilidades definidos, basándose en los principios
de menor privilegio, necesidad-de-tener y necesidad-de-conocer.
2. Administrar oportunamente todos los cambios en los derechos de acceso (creación, modificación y eliminación), basándose únicamente en 3
transacciones aprobadas y documentadas que hayan sido autorizadas por personas designadas por la dirección.
3. Segregar, reducir al mínimo necesario y gestionar activamente cuentas de usuario privilegiadas. Asegurar la supervisión de todas las
actividades en estas cuentas.
4. Identificar de forma unívoca y por roles funcionales todas las actividades de procesamiento de información. Coordinarse con las unidades
de negocio para asegurarse de que todos los roles están definidos de manera consistente, incluidos los roles definidos por el propio negocio
dentro de las aplicaciones de procesos del negocio.
5. Autenticar todo el acceso a activos de información de acuerdo con el rol del individuo o a las reglas del negocio. Coordinarse con las
unidades de negocio que gestionan la autenticación dentro de las aplicaciones utilizadas en los procesos de negocio, con el fin de asegurar
que los controles de autenticación hayan sido administrados adecuadamente.
6. Garantizar que todos los usuarios (internos, externos y temporales) y su actividad en los sistemas de TI (aplicación de negocio,
infraestructura de TI, operaciones, desarrollo y mantenimiento de sistemas) se puedan identificar de manera unívoca.
7. Mantener un registro de auditoría del acceso a la información dependiendo de su sensibilidad y de los requisitos regulatorios. 4

8. Llevar a cabo revisiones gerenciales periódicas de todas las cuentas y privilegios relacionados.
HITRUST CSF versión 9, septiembre de 2017 10.03 Cryptographic Controls
ISF, The Standard of Good Practice for Information Security 2016 PM1.1 Employment Life Cycle; SA1 Access Management
ISO/IEC 27002:2013/Cor.2:2015(E) 7.3 Termination and change of employment; 9. Access control
ITIL V3, 2011 Service Operation, 4.5 Access Management
N 3.1 Access control (AC-11, AC-12); 3.11 Media protection (MP-2, MP-4, MP-7);
Revisión 5 (Borrador), agosto de 2017 3.13 Physical and environmental protection (PE-2, PE-3, PE-6)
The CIS Critical Security Controls for Effective Cyber Defense Versión 6.1, agosto CSC 1: Inventory of Authorized and Unauthorized Devices; CSC 2: Inventory of
de 2016 Authorized and Unauthorized Software; CSC 5: Controlled Use of Administrative
Privileges; CSC 16: Account Monitoring and Control
259


DSS05.05 Gestionar el acceso físico a los activos de I&T. a. Calificación promedio de las evaluaciones de seguridad física
Definir e implantar procedimientos (incluyendo procedimientos de emergencia) b. Número de incidentes relacionados con la seguridad de la información física
para otorgar, limitar y revocar el acceso a las instalaciones, edificios y áreas, de
acuerdo con las necesidades del negocio. El acceso a las instalaciones, edificios
y áreas debe estar justificado, autorizado, registrado y supervisado. Este
requisito aplica a todas las personas que accedan a las instalaciones, incluyendo
personal interno, personal temporal, clientes, proveedores, visitantes y cualquier
otro tercero.
capacidad
1. Registrar y monitorizar todos los puntos de entrada a las instalaciones de TI. Registrar a todos los visitantes al sitio, incluidos contratistas y 2
proveedores.
2. Asegurar que todo el personal muestra una identificación debidamente autorizada en todo momento.
3. Requerir a los visitantes que estén acompañados en todo momento durante su estancia en las instalaciones.
4. Restringir y monitorizar el acceso a instalaciones sensibles de TI, mediante el establecimiento de restricciones al perímetro, como vallas,
paredes y dispositivos de seguridad en puertas interiores y exteriores.
5. Gestionar solicitudes para permitir el acceso debidamente autorizado a las instalaciones de cómputo. 3
6. Garantizar que los perfiles de acceso permanezcan actualizados. Basar el acceso a las instalaciones de TI (sala de servidores, edificios,
áreas o zonas) en el cargo y las responsabilidades.
7. Realizar formación sobre concienciación de la seguridad de la información física de forma regular.
CMMI Cybermaturity Platform, 2018 AC.MA Manage Access; ID.DI Determine Impacts
HITRUST CSF versión 9, septiembre de 2017 01.01 Business Requirement for Access Control; 01.02 Authorized Access to
Information Systems; 02.0 Human Resources Security
ISF, The Standard of Good Practice for Information Security 2016 NC1.2 Physical Network Management
ISO/IEC 27002:2013/Cor.2:2015(E) 11. Physical and environmental security
DSS05.06: Gestionar documentos sensibles y dispositivos de salida. a. Número de dispositivos de salida robados.
Establecer protecciones físicas apropiadas, prácticas contables y gestión b. P orcentaje de documentos sensibles y dispositivos de salida identificados en
de inventario relativa a activos sensibles de I&T, como formas especiales, el inventario
instrumentos negociables, impresoras para fines especiales o tokens de
seguridad.
capacidad
1. Establecer procedimientos para gobernar la recepción, uso, retiro y desecho de documentos sensibles y dispositivos de salida, dentro y fuera 2
de la empresa.
2. Asegurar que se han establecido controles criptográficos para proteger información sensible almacenada electrónicamente.
3. Asignar privilegios de acceso a documentos sensibles y dispositivos de salida con base en el principio de menor privilegio, manteniendo un 3
equilibrio entre el riesgo y los requisitos del negocio.
4. Establecer un inventario de documentos sensibles y dispositivos de salida y realizar reconciliaciones periódicas.
5. Establecer salvaguardas físicas adecuadas para documentos sensibles.
260

Capítulo 4

CMMI Cybermaturity Platform, 2018 CM.Ph Monitor Physical
HITRUST CSF versión 9, septiembre de 2017 01.06 Application & Information Access Control; 01.07 Mobile Computing &
Teleworking; 08.0 Physical & Environmental Security; 10.03 Cryptographic
Controls; 10.04 Security of System Files
ISF, The Standard of Good Practice for Information Security 2016 IR2.3 Business Impact Assessment - Confidentiality Requirements; IR2.4
Business Impact Assessment - Integrity Requirements; IR2.5 Business Impact
Assessment - Availability Requirements; IM2.2 Sensitive Physical Information;
PA2.2 Enterprise Mobility Man
ISO/IEC 27002:2013/Cor.2:2015(E) 10. Cryptography
National Institute of Standards and Technology Special Publication 800-53, 3.1 Access control (AC-2, AC-3, AC-4, AC-5, AC-6, AC-13, AC-24); 3.7 Identification
Revisión 5 (Borrador), agosto de 2017 and authentication (IA-2, IA-10, IA-11)
The CIS Critical Security Controls for Effective Cyber Defense Versión 6.1, agosto CSC 15: Wireless Access Control
de 2016
DSS05.07 Gestionar las vulnerabilidades y monitorizar la infraestructura para a. N
úmero de pruebas de vulnerabilidad llevadas a cabo en dispositivos
detectar eventos relacionados con la seguridad. perimetrales
Mediante el uso de un portafolio de herramientas y tecnologías (p.ej. b. Número de vulnerabilidades descubiertas durante las pruebas
herramientas de detección de intrusión), gestionar las vulnerabilidades y c. Tiempo dedicado a remediar vulnerabilidades
monitorizar la infraestructura para detectar accesos no autorizados. Asegurar d. P orcentaje de tickets creados de forma oportuna cuando los sistemas de
que las herramientas, tecnologías y detección de seguridad están integradas en monitorización identifican posibles incidentes de seguridad.
la monitorización general de eventos y la gestión de incidentes.
capacidad
1. Usar de forma continua un portafolio de tecnologías, servicios y activos soportados (p. ej., escáneres de vulnerabilidad, fuzzers y sniffers, 2
analizadores de protocolos) para identificar vulnerabilidades de seguridad de la información.
2. Definir y comunicar escenarios de riesgo para que se puedan reconocer con facilidad y se pueda entender su probabilidad e impacto.
3. Revisar regularmente los logs de eventos para detectar posibles incidentes.
4. Garantizar que se creen tickets relativos a incidentes de seguridad de forma oportuna cuando la monitorización identifique posibles
incidentes.
5. Registrar eventos relacionados con la seguridad y conservar los registros durante el periodo de tiempo apropiado. 3
ISF, The Standard of Good Practice for Information Security 2016 IR2.6 Threat Profiling

National Institute of Standards and Technology Special Publication 800-53, 3.7 Identification and authentication (IA-3); 3.11 Media protection (MP-1); 3.13
Revisión 5 (Borrador), agosto de 2017 Physical and environmental protection (PE-5); 3.19 System and communications
protection (SC-15)
The CIS Critical Security Controls for Effective Cyber Defense Versión 6.1, agosto Maintenance, Monitoring, and Analysis of Audit Logs
de 2016
261


Jefe de desarrollo
Director de TI
DSS05.01 Proteger contra software malicioso A R R R R R
DSS05.02 Gestionar la seguridad de la conectividad y de la red. A R R R
DSS05.03 Gestionar la seguridad de endpoint. A R R R
DSS05.04 Gestionar la identidad del usuario y el acceso lógico. A R R R R
DSS05.05 Gestionar el acceso físico a los activos de I&T. A R R R
DSS05.06 Gestionar documentos sensibles y dispositivos de salida. A R R
DSS05.07 Gestionar las vulnerabilidades y monitorizar la infraestructura para detectar eventos relacionados con la seguridad. A R R R

DSS05.01 Proteger contra software malicioso De Descripción Descripción A
Política de prevención de APO01.02
software malicioso
Evaluaciones de amenazas APO12.02;
potenciales APO12.03
DSS05.02 Gestionar la seguridad de la conectividad y de la red. APO01.07 Directrices de clasificación Política de seguridad de la APO01.02
de datos conectividad
APO09.03 SLAs Resultados de pruebas de MEA04.07

penetración
DSS05.03 Gestionar la seguridad de endpoint. APO03.02 Modelo de arquitectura de Políticas de seguridad para APO01.02
la información dispositivos Endpoint
APO09.03 • SLAs
• OLAs
BAI09.01 Resultados de
comprobaciones de
inventario físicas
DSS06.06 Informes de violaciones
DSS05.04 Gestionar la identidad del usuario y el acceso lógico. APO01.05 Definición de roles Resultados de revisiones Interna
y responsabilidades de cuentas de usuarios y
relacionadas con I&T privilegios
APO03.02 Modelo de arquitectura de Derechos de acceso de Interna
la información usuario aprobados
262

Capítulo 4

DSS05.05 Gestionar el acceso físico a los activos de I&T. De Descripción Descripción A
Registros de acceso DSS06.03,

MEA04.07
Solicitudes de acceso Interna
aprobadas
DSS05.06: Gestionar documentos sensibles y dispositivos de APO03.02 Modelo de arquitectura de Privilegios de acceso Interna
salida. la información
Inventario de documentos y Interna
dispositivos sensibles
DSS05.07 Gestionar las vulnerabilidades y monitorizar la Tickets relacionados con DSS02.02
infraestructura para detectar eventos relacionados con la incidentes de seguridad
seguridad.
Características de los Interna
incidentes de seguridad
Logs de eventos de Interna
seguridad

Gestión de seguridad de la e-Competence Framework (e-CF)—A common European Framework for ICT E. Manage— E.8. Information Security
información Professionals in all industry sectors—Part 1: Framework, 2016 Management
Pruebas de penetración Skills Framework for the Information Age V6, 2015 PENT
Administración de seguridad Skills Framework for the Information Age V6, 2015 SCAD

Política de seguridad de la información Establecer directrices para proteger la

información corporativa y los sistemas
e infraestructura asociados.

Crear una cultura de concienciación con respecto a la responsabilidad del usuario 1) HITRUST CSF versión 9, septiembre (1) 01.03 User Responsibilities; (2)
de mantener prácticas de seguridad y de privacidad. de 2017; (2) ISF, The Standard of Good PM2.1 Security Awareness Program
Practice for Information Security 2016

• Servicios de directorio
• Sistemas de filtrado de correo electrónico
• Sistema de gestión de acceso e identidad
• Servicios de concienciación sobre seguridad
• Herramientas de seguridad de la información y de gestión de eventos (SIEM)
• Servicios del centro de operaciones de seguridad (SOC)
• Servicios de evaluación de seguridad de terceros
• Sistemas de filtrado de URL
263


264

Capítulo 4

Objetivo de gestión: DSS06 - Gestionar los controles de procesos de negocio COBIT
Descripción
Definir y mantener los controles apropiados de los procesos de negocio para asegurar que la información relacionada y procesada por procesos de negocio internos
o externalizados cumpla con todos los requisitos relevantes de control de la información. Identificar los requisitos relevantes de control de la información. Gestionar
y operar los controles adecuados de entrada, throughput y salida (controles de aplicación) para asegurar que la información y el procesamiento de la información
cumpla con estos requisitos.
Propósito
Mantener la integridad de la información y la seguridad de los activos de información manejados dentro de los procesos de negocio, dentro de la empresa u
operación externalizada.
Æ
• EG01 Portafolio de productos y servicios competitivos AG08 Habilitar y dar soporte a procesos de negocio mediante la
• EG05 Cultura de servicio orientada al cliente integración de aplicaciones y tecnología
negocio
• EG12 Programas de transformación digital gestionados
EG01 a. P orcentaje de productos y servicios que cumplen o exceden los AG08 a. Plazo para la ejecución de servicios y procesos empresariales
objetivos de ingresos y/o cuota de mercado b. N úmero de programas empresariales facilitados por I&T
b. P orcentaje de productos y servicios que cumplen o exceden los retrasados o que incurren en costes adicionales debido a
objetivos de satisfacción del cliente problemas de integración tecnológica
c. Porcentaje de productos y servicios que proporcionan una c. N
ventaja competitiva aplazar o revisar debido a problemas de integración tecnológica
d. Plazo de comercialización para nuevos productos y servicios d. N úmero de aplicaciones o infraestructuras críticas que operan en
EG05 a. Número de interrupciones del servicio al cliente
b. P orcentaje de partes interesadas del negocio satisfechas de
que la prestación de servicios al cliente cumpla con los niveles
acordados
c. Número de quejas de clientes
d. Tendencia de los resultados de la encuesta de satisfacción al
cliente
empresarial

presupuesto
del programa
parados
actualizaciones regulares del estado reportado
DSS06.01 Alinear las actividades de control incorporadas en los procesos de a. P orcentaje de inventario de procesos críticos y controles clave completado
negocio con los objetivos empresariales. b. P orcentaje de controles de procesamiento alineados con las necesidades
Evaluar y monitorizar continuamente la ejecución de las actividades de los empresariales
procesos de negocio y los controles relacionados (basados en el riesgo
empresarial) para asegurarse de que los controles de procesamiento están
alineados con las necesidades del negocio.
265


capacidad
1. Identificar y documentar las actividades de control necesarias para procesos clave del negocio para satisfacer los requisitos de control para 2
los objetivos estratégicos, operativos, de reporte y de cumplimiento.
2. Priorizar las actividades de control de acuerdo al riesgo inherente al negocio. Identificar controles clave.
3. Garantizar la propiedad de las actividades de control clave.
4. Implementar controles automáticos. 3
5. Monitorizar continuamente las actividades de control de principio a fin para identificar oportunidades de mejora. 4
6. Mejorar de forma continua el diseño y operación de los controles de proceso del negocio. 5
N 3.1 Preparation (Task 10, 11)
The CIS Critical Security Controls for Effective Cyber Defense Versión 6.1, agosto CSC 14: Controlled Access Based on the Need to Know
de 2016
DSS06.02: Controlar el procesamiento de información. a. Número de incidentes y hallazgos de auditoría que indican un fallo de los
Gestionar la ejecución de las actividades de los procesos del negocio y los controles clave
controles relacionados, con base en el riesgo empresarial. Garantizar que el b. Porcentaje de cobertura de controles clave dentro de los planes de prueba
procesamiento de información sea válido, completo, preciso, oportuno y seguro
(p. ej., refleja el uso legítimo y autorizado del negocio).
capacidad
1. Autenticar al originador de las transacciones y comprobar que el individuo tiene la autoridad para originar la transacción. 2
2. Garantizar una adecuada segregación de tareas con relación al origen y aprobación de las transacciones.
3. Comprobar que las transacciones son precisas, completas y válidas. Los controles podrían incluir secuencia, límite, rango, validez, 3
razonabilidad, comprobación de tablas, existencia, verificación de clave, dígito de verificación, completitud, comprobaciones de duplicados
y relaciones lógicas y ediciones temporales. Los criterios y parámetros de validación deberían estar sujetos a revisiones y confirmaciones
periódicas. Validar los datos de entrada y editarlos o, cuando sea aplicable, devolverlos para su corrección lo más cerca posible del punto de
origen.
4. Sin comprometer los niveles de autorización de la transacción original, corregir y reenviar los datos que se introdujeron de forma errónea.
Cuando sea adecuado para la reconstrucción, conservar documentos fuente originales durante el periodo de tiempo adecuado.
5. Mantener la integridad y la validez de los datos durante el ciclo de procesamiento. Asegurar que la detección de transacciones erróneas no
interrumpe el procesamiento de transacciones válidas.
6. Manipular el resultado de forma autorizada, entregarlo al destinatario adecuado y proteger la información durante la transmisión. Verificar la
exactitud e integridad del resultado.
7. Mantener la integridad de los datos durante interrupciones inesperadas en el procesamiento del negocio. Confirmar la integridad de los datos
después de fallos en el procesamiento.
8. Antes de pasar datos de transacciones entre aplicaciones internas y funciones operativas/de negocio (dentro o fuera de la empresa),
comprobar el trato adecuado, la autenticidad del origen y la integridad del contenido. Mantener la autenticidad y la integridad durante la
transmisión o el transporte.
HITRUST CSF versión 9, septiembre de 2017 13.01 Openness and Transparency; 13.02 Individual Choice and Participation
ISF, The Standard of Good Practice for Information Security 2016 BA1.4 Information Validation
266

Capítulo 4

DSS06.03 Gestionar roles, responsabilidades, privilegios de acceso y niveles a. N
úmero de incidentes y hallazgos de auditoría debido a violaciones de acceso
de autoridad. o de separación de funciones
Gestionar los roles de negocio, responsabilidades, niveles de autoridad y b. P orcentaje de roles de procesos de negocio con derechos de acceso y niveles
segregación de funciones necesarias para apoyar los objetivos de los procesos de autoridad asignados
de negocio. Autorizar el acceso a todos los activos de información relacionados c. Porcentaje de roles de proceso de negocio con clara separación de funciones
con los procesos de información del negocio, incluidos aquellos bajo custodia
del negocio, de TI y de terceros. Esto asegura que la empresa sepa dónde están
los datos y quién está manejando los datos en su nombre.
capacidad
1. Asignar roles y responsabilidades conforme a las descripciones del cargo y las actividades aprobadas del proceso de negocio. 2
2. Asignar niveles de autoridad para la aprobación de transacciones, límites de transacción y cualquier otra decisión relacionada con el proceso
de negocio, conforme a roles de trabajo aprobados.
3. Asignar roles para actividades sensibles para que haya una clara segregación de funciones.
4. Asignar derechos de acceso y privilegios basado en lo mínimo requerido para realizar las actividades laborales, conforme a roles de trabajo 3
predefinidos. Eliminar o revisar derechos de acceso de forma inmediata si el rol de trabajo cambia o si un miembro del personal deja el
área de proceso de negocio. Revisar periódicamente para asegurar que el acceso sea adecuado para las amenazas, riesgo, tecnología y
necesidades empresariales actuales.
5. Concienciar y formar regularmente sobre los roles y responsabilidades, para que todos entiendan sus responsabilidades; la importancia de
los controles; y la seguridad, integridad, confidencialidad y privacidad de la información de la compañía en todas sus formas.
6. Garantizar que los privilegios administrativos están asegurados, rastreados y controlados de forma suficiente y eficaz para prevenir el mal
uso.
7. Revisar periódicamente las definiciones de control de acceso, los logs y los informes de excepción. Asegurar que todos los privilegios de 4
acceso son válidos y están alineados con los miembros actuales del personal y sus roles asignados.
HITRUST CSF versión 9, septiembre de 2017 13.04 Collection, Use and Disclosure
ISO/IEC 27002:2013/Cor.2:2015(E) 7. Human resource security
The CIS Critical Security Controls for Effective Cyber Defense Versión 6.1, agosto CSC 5: Controlled Use of Administrative Privileges
de 2016
DSS06.04 Gestionar errores y excepciones. a. F recuencia de las ineficiencias de procesamiento debido a entradas de datos
Gestionar las excepciones y los errores del proceso del negocio y facilitar su incompletas
corrección, mediante la ejecución de las acciones correctivas definidas y su b. N úmero de errores detectados a tiempo

escalamiento, si fuera necesario. Este tratamiento de excepciones y errores c. N
úmero de errores de procesamiento de datos que se solucionaron de forma
ofrece garantía de la precisión e integridad de los procesos de información del eficiente
negocio.
capacidad
1. Revisar errores, excepciones y desviaciones. 2
2. Hacer un seguimiento, corregir, aprobar y reenviar los documentos fuente y las transacciones.
3. Mantener evidencia de acciones correctivas.
4. Definir y mantener procedimientos para asignar la propiedad de errores y excepciones, corregir errores, anular errores y manejar condiciones 3
fuera del balance.
5. Informar de manera oportuna sobre errores relevantes de procesamiento de la información del negocio para realizar un análisis de causa raíz 4
y de tendencia.
267


DSS06.05 Asegurar la trazabilidad y la rendición de cuentas de los eventos de a. N
úmero de incidentes en los que no se puede recuperar el historial de
información. transacciones
Asegurarse de que la información de negocio puede rastrearse hasta el evento b. Porcentaje de integridad del log de transacciones rastreables
de negocio que la originó y se puede asociar a las partes que rinden cuentas.
Esta capacidad de descubrimiento ofrece la garantía de que la información de
negocio es confiable y que se ha tratado de acuerdo con los objetivos definidos.
capacidad
1. Obtener la información fuente, evidencias de soporte y el registro de transacciones. 2
2. Definir los requisitos de retención de acuerdo a los requisitos del negocio para cumplir con las necesidades operativas, de reportes 3
financieros y de cumplimiento.
3. Disponer de la información fuente, las evidencias de soporte y el registro de las transacciones conforme a la política de retención.
DSS06.06 Asegurar los activos de información. a. Casos de datos de transacciones sensibles enviados al destinatario erróneo
Asegurar los activos de información accesibles por el negocio a través de b. Frecuencia de integridad de datos críticos comprometida
métodos aprobados, incluyendo información en formato electrónico (p.ej.
dispositivos de medios portátiles, aplicaciones de usuarios y dispositivos de
almacenamiento, u otros métodos que crean nuevos activos de cualquier tipo),
información en formato físico (p.ej. documentos fuente o informes de salida)
e información durante el tránsito. Esto beneficia al negocio porque ofrece una
protección de principio a fin de la información.
capacidad
1. Restringir el uso, distribución y el acceso físico a la información de acuerdo con su clasificación. 2
2. Proporcionar una concienciación y formación adecuada sobre el uso.
3. Aplicar las políticas y procedimientos de seguridad para la clasificación y uso aceptable de datos y para proteger los activos de información 3
que están bajo control del negocio.
4. Identificar e implantar procesos, herramientas y técnicas para verificar el cumplimiento de forma razonable.
5. Informar al negocio y a otras partes interesadas sobre violaciones y desviaciones. 4
CMMI Cybermaturity Platform, 2018 AC.MP Manage Access Permissions

The CIS Critical Security Controls for Effective Cyber Defense Versión 6.1, agosto CSC 18: Application Software Security
de 2016
268

Capítulo 4

Gestor de servicios
Comité Ejecutivo
Asesor jurídico
Director de TI
DSS06.01 Alinear las actividades de control incorporadas en los procesos de negocio con los objetivos empresariales. R A R
DSS06.02 Controlar el procesamiento de información. R A R R R R
DSS06.03 Gestionar roles, responsabilidades, privilegios de acceso y niveles de autoridad. R A R R R
DSS06.04 Gestionar errores y excepciones. R R A R
DSS06.05 Asegurar la trazabilidad y la rendición de cuentas de los eventos de información. R R A
DSS06.06 Asegurar los activos de información. R R A

DSS06.01 Alinear las actividades de control incorporadas en De Descripción Descripción A
los procesos de negocio con los objetivos empresariales.
APO01.07 • Directrices de Análisis de causa raíz y BAI06.01;
clasificación de datos recomendaciones MEA02.04;
• Procedimientos de MEA04.04;
integridad de datos MEA04.06;
MEA04.07
Resultados de las MEA02.04
revisiones de la efectividad
del procesamiento

DSS06.02: Controlar el procesamiento de información. BAI05.05 Plan de operación y uso Informes de control del Interna
procesamiento
BAI07.02 Plan de migración
DSS06.03 Gestionar roles, responsabilidades, privilegios de APO11.01 Roles, responsabilidades Niveles de autoridad APO01.05
acceso y niveles de autoridad. y derechos de decisión del asignados
sistema de gestión de la
calidad (SGC)
APO13.01 Declaración del alcance Roles y responsabilidades APO01.05
del sistema de gestión de asignados
(SGSI)
DSS05.05 Logs de acceso Derechos de acceso APO07.04
asignados
EDM04.02 Responsabilidades
asignadas para la gestión
de recursos
269


DSS06.04 Gestionar errores y excepciones. De Descripción Descripción A
Informes de error y análisis Interna
de causa raíz
Evidencia de corrección y MEA02.04
solución de errores
DSS06.05 Asegurar la trazabilidad y la rendición de cuentas de Registro de transacciones Interna

los eventos de información.
Requisitos de retención Interna;
APO14.09
DSS06.06 Asegurar los activos de información. Informes de violaciones DSS05.03
National Institute of Standards and Technology Special Publication 800-37, 3.1 Preparation (Task 10, 11): Inputs and Outputs

Administración de seguridad Skills Framework for the Information Age V6, 2015 SCAD

Guía de los controles del negocio Define los controles del proceso
de negocio para garantizar un
control adecuado y reducir el riesgo
de fraude y errores. Identifica
controles manuales para proteger
documentos (p.ej. fuente, entrada,
procesamiento y documentos de
salida); identifica los controles de
supervisión para revisar el flujo de
documentos y garantizar su correcto
procesamiento. Incluye controles
generales de I&T (p.ej. seguridad física,

acceso y autenticación y gestión de
cambios) y controles de aplicación
(p.ej. comprobación de edición,
configuración del sistema y ajustes de
seguridad).

Crear una cultura que adopte la necesidad de controles sólidos en los procesos
de negocio, mediante su incorporación en las aplicaciones en desarrollo o
exigiéndolos en aplicaciones adquiridas o accedidas como un servicio. Animar
a todos los empleados a que sean conscientes de los controles para proteger
todos los activos de la organización (p.ej. registros en papel e instalaciones)

• Controles automatizados de aplicación
• Herramientas de auditoría de log de eventos
270

Capítulo 4
OBJETIVOS DE GOBIERNO Y GESTIÓN COBIT: GUÍA DETALLADA
4.5 Monitorizar, Evaluar y Valorar (MEA)

01 Gestionar la monitorización del rendimiento y la conformidad
02 Gestionar el sistema de control interno
03 Gestionar el cumplimiento de los requisitos externos
04 Gestionar el aseguramiento
Monitorizar, Evaluar y Valorar
271


272

Capítulo 4
Dominio: Monitorizar, evaluar y valorar Área prioritaria: Modelo Core de

Objetivo de gestión: MEA01 — Gestionar la supervisión del rendimiento y la conformidad COBIT
Descripción
Recopilar, validar y evaluar las metas y métricas de alineamiento de la empresa. Supervisar que los procesos y las prácticas se desempeñen según las metas y
métricas de rendimiento y conformidad acordadas. Proporcionar informes sistemáticos y oportunos.
Propósito
Proporcionar transparencia en el rendimiento y la conformidad e impulsar la consecución de las metas.
Æ
• EG01 Portafolio de productos y servicios competitivos • AG05 Prestación de servicios de I&T conforme a los requisitos del negocio
• EG04 Calidad de la información financiera • AG10 Calidad de la información de gestión de I&T
• EG07 Calidad de la información de gestión
negocio
objetivos de ingresos y/o cuota de mercado que la prestación del servicio de I&T cumpla con los niveles de
d. Plazo de comercialización para nuevos productos y servicios del servicio de I&T
EG04 a. E ncuesta de satisfacción de las partes interesadas clave con AG10 a. N
respecto a la transparencia, comprensión y precisión de la disponibilidad de la información de gestión relacionada con I&T,
información financiera de la empresa teniendo en cuenta los recursos disponibles
b. C oste de incumplimiento con regulaciones relacionadas con b. P roporción y alcance de las decisiones erróneas de negocio en las
finanzas que la información errónea o no disponible relacionada con I&T
fue un factor clave
decisiones
c. Tiempo que se tarda en proporcionar información que respalde
decisiones eficaces de negocio
d. Puntualidad de la información de gestión
dirección ejecutiva con las capacidades del proceso del
negocio
MEA01.01 Establecer un enfoque de supervisión. a. Porcentaje de procesos con metas y métricas definidos
Involucrar a las partes interesadas a fin de establecer y mantener un enfoque de b. P orcentaje de integración del enfoque de supervisión en el sistema de gestión
supervisión para definir los objetivos, el alcance y el método con los que medir de rendimiento corporativo
la solución del negocio, la entrega de servicios y la contribución a los objetivos
de la empresa. Integrar este enfoque con el sistema de gestión de rendimiento
corporativo.
273


capacidad
1. Identificar a las partes interesadas (p. ej., dirección, dueños del proceso y usuarios). 2
2. Colaborar con las partes interesadas y comunicar los requisitos y objetivos empresariales de supervisión, recopilación y reporte, por medio
del uso de definiciones comunes (p. ej., glosario empresarial, metadatos y taxonomía), análisis de referencia y benchmarking.
3. Alinear y mantener continuamente el enfoque de supervisión y evaluación con el enfoque de la empresa y las herramientas a utilizar para la
recopilación de datos y la generación de informes empresariales (p. ej., aplicaciones de inteligencia de negocio).
4. Acordar los tipos de metas y métricas (p. ej., conformidad, rendimiento, valor, riesgo), taxonomía (clasificación y relaciones entre metas y
métricas) y retención de datos (evidencia).
5. Solicitar, priorizar y asignar recursos para la supervisión, considerar la idoneidad, eficiencia, efectividad y confidencialidad.
6. Validar periódicamente el enfoque usado e identificar partes interesadas, requisitos y recursos nuevos o cambiados. 3
7. Acordar una gestión del ciclo de vida y un proceso de control de cambio para la supervisión y la presentación de informes. Incluir
oportunidades de mejora para el reporte, métricas, enfoque, análisis de referencia y benchmarking.
CMMI Data Management Maturity Model, 2014 Supporting Processes - Measurement and Analysis
SF, The Standard of Good Practice for Information Security 2016 SI2 Security Performance
ISO/IEC 27001:2013/Cor.2:2015(E) 9.1 Monitoring, measurement, analysis and evaluation
ISO/IEC 27004:2016(E) 6. Characteristics; 7. Types of measures; 8. Processes
ISO/IEC 38500:2015(E) 5.5 Principle 4: Performance; 5.6 Principle 5: Conformidad
National Institute of Standards and Technology Special Publication 800-37, 3.1 Preparation (Task 13); 3.3 Selection (Task 2); 3.7 Monitoring (Task 1)
National Institute of Standards and Technology Special Publication 800-53, 3.4 Assessment, authorization and monitoring (CA-2, CA-7); 3.20 System and
Revisión 5 (Borrador), agosto de 2017 information integrity (SI-4)
MEA01.02 Establecer objetivos de rendimiento y conformidad. a. Porcentaje de metas y métricas aprobadas por las partes interesadas
Trabajar con las partes interesadas para definir, revisar periódicamente, b. P orcentaje de procesos con revisión y mejora de la efectividad de metas y
actualizar y aprobar los objetivos de rendimiento y conformidad dentro del métricas
sistema de medición de desempeño.
capacidad
1. Definir las metas y métricas. Revisarlas periódicamente con las partes interesadas para identificar cualquier elemento significativo faltante y 2
definir la razonabilidad de objetivos y tolerancias.
2. Evaluar si las metas y métricas de gestión son adecuadas, es decir, específicas, medibles, alcanzables, relevantes y con tiempos
determinados (SMART).
3. Comunicar los cambios propuestos a los objetivos y tolerancias (relacionado con las métricas) de desempeño y conformidad con partes
interesadas clave (p.ej. legal, auditoría, recursos humanos, ética, cumplimiento, finanzas) de debida diligencia.
4. Publicar a los usuarios de esta información los objetivos y tolerancias modificados.
CMMI Data Management Maturity Model, 2014 Supporting Processes - Process Management
National Institute of Standards and Technology Special Publication 800-53, 3.4 Assessment, authorization and monitoring (CA-5)
Revisiónv5 (Borrador), agosto de 2017

MEA01.03 Recopilar y procesar los datos de rendimiento y conformidad a. Porcentaje de procesos críticos supervisados
Recopilar y procesar datos oportunos y precisos alineados con los enfoques de b. P orcentaje del entorno de controles que es supervisado, analizado
la empresa. comparativamente y mejorado para cumplir con los objetivos de la
organización
274

Capítulo 4

capacidad
1. Recopilar datos de procesos definidos (automatizados, cuando sea posible). 2
2. Evaluar la eficiencia (esfuerzo con relación a la visión proporcionada) y la idoneidad (utilidad y significado) de los datos recopilados y validar
la integridad de los datos (precisión y completitud).
3. Agregar datos para respaldar la medición de métricas acordadas.
4. Alinear los datos agregados al enfoque y objetivos del reporte empresarial. 3
5. Usar herramientas y sistemas adecuados para el procesamiento y análisis de datos. 4
MEA01.04 Analizar e informar sobre el rendimiento. a. P orcentaje de metas y métricas alineadas con el sistema de supervisión de la
Revisar e informar periódicamente sobre el rendimiento en comparación con los empresa
objetivos. Usar un método que ofrezca una visión global sucinta del rendimiento b. Porcentaje de informes de desempeño enviados conforme al plazo
de I&T y que se adapte al sistema de supervisión de la empresa. c. P orcentaje de procesos con resultado asegurado en línea con los objetivos y
dentro de las tolerancias
capacidad
1. Diseñar informes de desempeño de proceso que sean concisos, fáciles de entender y personalizados conforme a las distintas necesidades 3
de la dirección y audiencias. Facilitar una toma de decisiones efectiva y oportuna (p.ej. cuadros de mando, informes light de semáforos).
Asegurar que la causa y el efecto entre las metas y las métricas se comunica de forma comprensible.
2. Distribuir informes a las partes interesadas relevantes.
3. Analizar la causa de las desviaciones con respecto a los objetivos, iniciar medidas correctivas, asignar responsabilidades para su 4
corrección y hacer seguimiento. En los momentos oportunos, revisar todas las desviaciones y buscar las causas raíz, cuando sea necesario.
Documentar los problemas para mayor orientación por si el problema se repite. Documentar los resultados.
4. Cuando sea posible, integrar el desempeño y el cumplimiento en los objetivos de desempeño de los miembros del personal y vincular el logro
de los objetivos de desempeño al sistema de compensación de recompensas organizativo.
5. Comparar los valores de desempeño con los objetivos y benchmarks internos y, cuando sea posible, con los benchmarks externos (industria
y competidores clave).
6. Analizar tendencias de desempeño y cumplimiento y tomar las medidas oportunas.
7. Recomendar cambios a las metas y métricas, cuando corresponda. 5
CMMI Data Management Maturity Model, 2014 Supporting Processes - Measurement and Analysis
National Institute of Standards and Technology Special Publication 800-53, 3.3 Audit and accountability (AU-6)
MEA01.05 Asegurar la implementación de acciones correctivas. a. Número de anomalías recurrentes
Ayudar a las partes interesadas a identificar, iniciar y rastrear las acciones b. Número de acciones correctivas implementadas
correctivas para abordar las anomalías.
capacidad
1. Revisar las respuestas, opciones y recomendaciones de la dirección para abordar problemas y desviaciones importantes. 2
2. Asegurar que se mantenga la asignación de responsabilidades para las acciones correctivas.

3. Hacer un seguimiento a los resultados de las acciones comprometidas.
4. Comunicar los resultados a las partes interesadas.
ITIL V3, 2011 Continual Service Improvement, 4.1 The 7-Step Improvement Process
National Institute of Standards and Technology Special Publication 800-37, 3.7 Monitoring (Task 3)
275


Gestor de servicios
Jefe de desarrollo
Comité Ejecutivo
Director de TI
MEA01.01 Establecer un enfoque de supervisión. R A R R R R
MEA01.02 Establecer los objetivos de rendimiento y conformidad. A R R R R R
MEA01.03 Recopilar y procesar los datos de rendimiento y conformidad. A R R R R R
MEA01.04 Analizar e informar sobre el rendimiento. A R R R R R
MEA01.05 Asegurar la implementación de acciones correctivas. A R R R R R

MEA01.01 Establecer un enfoque de supervisión. De Descripción Descripción A
EDM05.01 • E valuación de los Metas y métricas de Interna
requisitos de reporte de la supervisión aprobadas
empresa
• P rincipios de Requisitos de supervisión Interna
comunicación y reporte
EDM05.02 Reglas para la validación y
aprobación de informes
obligatorios
EDM05.03 Evaluación de la eficacia
de la elaboración de
informes
MEA01.02 Establecer objetivos de rendimiento y conformidad. APO01.11 Metas de rendimiento Supervisión de objetivos Todos los APO;
y métricas para el Todos los BAI;
seguimiento de la mejora de Todos los DSS;
los procesos Todos los MEA
276

Capítulo 4

MEA01.03 Recopilar y procesar los datos de rendimiento y De Descripción Descripción A
conformidad.
APO01.11 Evaluaciones de la Datos de supervisión Interna
capacidad de los procesos procesados
APO05.03 Informes de rendimiento del
portafolio de inversiones
APO09.04 Informes de rendimiento del
nivel de servicio
APO10.05 Resultados de la revisión
de los mecanismos
de supervisión del
cumplimiento de los
proveedores
BAI01.06 Resultados de las
revisiones del rendimiento
del programa
BAI04.04 Informes de revisión de
y monitorización de la
capacidad
BAI05.05 Medidas de éxito y
resultados
DSS01.05 Informes de evaluación de
instalaciones
DSS02.07 • E stado de incidentes e
• E stado de cumplimiento
tendencias
MEA01.04 Analizar e informar sobre el rendimiento. Informes de desempeño Todos los APO;
Todos los BAI;
Todos los DSS;
Todos los MEA;
EDM01.03
MEA01.05 Asegurar la implementación de acciones APO01.09 Acciones correctivas del Acciones correctivas y Todos los APO;
correctivas. incumplimiento tareas Todos los BAI;
Todos los DSS;
Todos los MEA
EDM05.02 Directrices de escalamiento Estado y resultados de las EDM01.03
acciones
National Institute of Standards and Technology Special Publication 800-37, 3.1 Preparation (Task 13): Inputs and Outputs; 3.3 Selection (Task 2): Inputs and
Revisión 2, septiembre de 2017 Outputs; 3.7 Monitoring (Task 1, Task 3): Inputs and Outputs

Revisión de conformidad Skills Framework for the Information Age V6, 2015 CORE
Gestión de calidad de Tecnología e-Competence Framework (e-CF)—A common European Framework for ICT E. Manage—E.6. ICT Quality
de la información y las Professionals in all industry sectors—Part 1: Framework, 2016 Management
telecomunicaciones (ICT)
Aseguramiento de la calidad Skills Framework for the Information Age V6, 2015 QUAS
277


Política de autoevaluación Proporciona directrices a los
responsables de gestión para evaluar
las operaciones como parte del
programa de mejora continua. Usado
a menudo para informar internamente
a los ejecutivos o al consejo de
administración sobre capacidades,
progresos y mejoras actuales,
conforme a los requisitos del negocio.
Se podrían usar evaluaciones durante
o después de un programa de mejora
de procesos (es decir, para evaluar el
progreso luego de haber realizado una
mejora).
Política de protección de denunciantes Fomentar que los empleados
transmitan sus preocupaciones
y preguntas con toda confianza.
Garantiza a los empleados que
recibirán una respuesta y podrán
escalar sus preocupaciones si no
están satisfechos con la respuesta.
Garantiza que los empleados estén
protegidos cuando informan sobre un
problema y que no teman represalias.

Fomentar una cultura de mejora continua de los procesos del negocio y de I&T
para lograr las metas de la organización y optimizar el rendimiento.

• Sistema de medición del desempeño (p. ej., cuadro de mando integral, herramientas de gestión de competencias)
• Herramientas de autoevaluación
278

Capítulo 4

Objetivo de gestión: MEA02 — Gestionar el sistema de control interno COBIT
Descripción
Supervisar y evaluar continuamente el entorno de control, incluyendo autoevaluaciones y autoconcienciación. Habilitar a la gerencia para identificar deficiencias e
ineficiencias de control e iniciar acciones de mejora. Planificar, organizar y mantener estándares para la evaluación del control interno y la eficacia del control de
procesos.
Propósito
Dar información transparente a las partes interesadas clave sobre la idoneidad del sistema de controles internos que permita, proporcionar confianza en las
operaciones, confianza en el logro de los objetivos de la empresa y una comprensión adecuada del riesgo residual.
Æ
• EG03 Cumplimiento de leyes y regulaciones externas AG11 Cumplimiento de I&T con las políticas internas
EG03 a. C oste de incumplimiento regulatorio, incluidos acuerdos y AG11 a. N
úmero de incidentes asociados con el incumplimiento de las
multas políticas relacionadas con I&T.
b. N úmero de problemas de incumplimiento regulatorio que b. Número de excepciones a las políticas internas
causan comentarios públicos o publicidad negativa c. Frecuencia de revisión y actualización de la política
c. Número de problemas de incumplimiento señalados por los
reguladores
d. N úmero de problemas de incumplimiento regulatorio en
relación con acuerdos contractuales con socios empresariales
EG11 a. N úmero de incidentes relacionados con el incumplimiento de la
política
b. P orcentaje de las partes interesadas que entienden las
políticas
de trabajo eficaces
MEA02.01 Supervisar los controles internos. a. Número de brechas mayores de control interno
Supervisar, hacer benchmark y mejorar continuamente el entorno de control y el b. P orcentaje de entorno de controles y marco supervisados, analizados
marco de control de I&T, para alcanzar los objetivos de la organización. comparativamente y mejorados continuamente para cumplir con los objetivos
de la organización
capacidad
1. Identificar los límites del sistema de control interno. Por ejemplo, considerar cómo los controles internos de la organización, tienen en cuenta 3
las actividades de desarrollo o producción externalizadas y/o ubicadas en otro país (offshore, término en inglés).
2. Evaluar el estado de los controles internos de los proveedores de servicios externos. Confirmar que los proveedores de servicio cumplen con
los requisitos legales y regulatorios y con sus obligaciones contractuales.
3. Realizar actividades de supervisión y evaluación del control interno basadas en estándares de gobierno de la organización y marcos y
prácticas aceptados por la industria. Incluye también la supervisión y evaluación de la eficacia y eficiencia de las actividades de supervisión
gerencial.
4. Asegurar que las excepciones de control se comuniquen , se sigan y analicen prontamente, y que se prioricen e implementen acciones
correctivas apropiadas, conforme al perfil de gestión de riesgos (p. ej., clasificar algunas excepciones como riesgo clave y otras como riesgo
no clave).
5. Considerar evaluaciones independientes del sistema de control interno (p. ej., por auditoría interna o compañeros).
6. Mantener el sistema de control interno, considerando los cambios continuos en el riesgo del negocio y de I&T, el entorno de control de la 4
organización y los procesos del negocio y de I&T relevantes. Si hay una brecha, evaluar y recomendar cambios.
7. Evaluar regularmente el desempeño del marco de control, a través de una comparación con estándares y buenas prácticas aceptadas por la 5
industria. Considerar la adopción formal de una estrategia de mejora continua de la supervisión del control interno.
279


HITRUST CSF versión 9, septiembre de 2017 09.10 Monitoring
ISO/IEC 38502:2017(E) 5.5 Governance and internal control
MEA02.02 Revisar la eficacia de los controles del proceso de negocio. a. N
úmero de debilidades identificadas por calificaciones externas e informes de
Revisar la operación de los controles, incluidas la supervisión y la evidencia certificación
de las pruebas, para asegurar que los controles de los procesos de negocio b. N
úmero de controles supervisados y probados para garantizar que los
operan eficazmente. Incluir actividades para mantener evidencia de la operación controles de los procesos de negocio operen de forma eficaz
efectiva de los controles mediante mecanismos, como pruebas periódicas,
supervisión continua, evaluaciones independientes, centros de mando y control ,
y centros de operaciones de red. Estas evidencias garantizan al negocio que los
controles cumplen con los requisitos relacionados con las responsabilidades de
negocio, regulatorias y sociales.
capacidad
1. Entender y priorizar el riesgo de los objetivos de la organización. 3
2. Identificar controles clave y desarrollar una estrategia adecuada para validar los controles.
3. Identificar información que indicará si un entorno de control interno está funcionando de forma eficaz.
4. Conservar evidencias de la eficacia del control. 4
5. D
esarrollar e implementar procedimientos rentables para obtener esta información de acuerdo a los criterios de calidad de la información
correspondientes.
MEA02.03 Realizar autoevaluaciones de control. a. Número de autoevaluaciones realizadas
Alentar a la gerencia y a los dueños de los procesos para que mejoren los b. N
úmero de brechas identificadas en la autoevaluación frente a los estándares
controles de forma proactiva mediante un programa continuo de autoevaluación o buenas prácticas de la industria
que evalue la integridad y la efectividad del control de la gestión de los procesos,
políticas y contratos.
capacidad
1. Definir una estrategia acordada y consistente para realizar autoevaluaciones de control y coordinarse con auditores internos y externos. 3
2. Mantener planes de evaluación e identificación de criterios y alcance para llevar a cabo las autoevaluaciones. Planificar la comunicación de
los resultados del proceso de autoevaluación al negocio, a TI y a la dirección general y al consejo de administración. Considerar estándares
de auditoría interna en el diseño de las autoevaluaciones.
3. Determinar la frecuencia de las autoevaluaciones periódicas, considerando globalmente la eficacia y eficiencia de la supervisión continua.
4. Asignar las responsabilidades de la autoevaluación a los individuos adecuados para garantizar la objetividad y la competencia.
5. Proporcionar revisiones independientes para garantizar la objetividad de la autoevaluación y permitir que se compartan buenas prácticas de
control interno de otras empresas.
6. Comparar los resultados de las autoevaluaciones con los estándares y buenas prácticas de la industria. 4
7. Resumir e informar de los resultados de las autoevaluaciones y benchmarking para tomar acciones correctivas. 5

ISO/IEC 27001:2013/Cor.2:2015(E) 9.3 Management review
National Institute of Standards and Technology Special Publication 800-37, 3.7 Monitoring (Task 2)
280

Capítulo 4

MEA02.04 Identificar e informar las deficiencias de control. a. Tiempo transcurrido entre la ocurrencia de la deficiencia de control interno y
Identificar las deficiencias de control y analizar e identificar sus causas el reporte
raíz subyacentes. Escalar las deficiencias de control e informar a las partes b. Tiempo transcurrido entre la identificación de la excepción y las acciones
interesadas. planteadas acordadas
c. P orcentaje de implementación de acciones correctivas derivadas de las
evaluaciones de control
capacidad
1. Comunicar procedimientos para el escalamiento de las excepciones de control, análisis de la causa raíz y notificación a los dueños del 3
proceso y a las partes interesadas de I&T.
2. Considerar el riesgo empresarial relacionado para establecer umbrales para el escalamiento de las excepciones de control y fallos.
3. Identificar, reportar y registrar las excepciones de control. Asignar responsabilidades para su resolución e informar de su estado.
4. Decidir qué excepciones de control deberían comunicarse a la persona responsable de la función y qué excepciones deberían escalarse.
Informar a los dueños del proceso y a las partes interesadas.
5. Hacer un seguimiento de todas las excepciones para garantizar que se han abordado las acciones acordadas. 4
6. Identificar, iniciar, seguir e implementar acciones correctivas que surjan de las evaluaciones de control y los reportes. 5

Gestor de servicios
Director de riesgos
Jefe de desarrollo
Director de TI

MEA02.01 Supervisar los controles internos. R A R R R R R R R R R R
MEA02.02 Revisar la eficacia de los controles del proceso de negocio. R A R R R
MEA02.03 Realizar autoevaluaciones de control. R A R R R R R R R R R R
MEA02.04 Identificar y reportar las deficiencias de control. A R R R R R R R R R R
281


MEA02.01 Supervisar los controles internos. De Descripción Descripción A
APO12.04 Resultados de evaluaciones Resultados de Todos los APO;
de riesgos benchmarking y otras Todos los BAI;
de terceros evaluaciones Todos los DSS;
Todos los MEA;
EDM01.03
APO13.03 Reportes de auditoría del Resultados de la Todos los APO;
sistema de gestión de supervisión del control Todos los BAI;
seguridad de la información interno y sus revisiones Todos los DSS;
(SGSI) Todos los MEA;
EDM01.03
Fuera de COBIT Estándares y buenas
prácticas de la industria
MEA02.02 Revisar la eficacia de los controles del proceso de BAI05.06 Resultados de la auditoría Evidencia de la efectividad Interna
negocio. de cumplimiento de los controles
BAI05.07 Revisiones del uso
operativo
MEA02.03 Realizar autoevaluaciones de control. Planes y criterios de Todos los APO;
autoevaluación todos los BAI;
Todos los DSS;
todos los MEA
Resultados de las Todos los APO;
revisiones de las todos los BAI;
autoevaluaciones Todos los
DSS;todos los
MEA; EDM01.03
Resultados de las Interna
autoevaluaciones
MEA02.04 Identificar e informar las deficiencias de control. APO11.03 Causas raíz del fracaso a la Acciones correctivas Todos los APO;
hora de ofrecer calidad todos los BAI;
Todos los DSS;
todos los MEA
APO12.06 Causas raíz relacionadas Deficiencias de control Todos los APO;
con el riesgo todos los BAI;
Todos los DSS;
todos los MEA
DSS06.01 • Resultados de las
revisiones de eficiencia
del procesamiento
• Análisis de causas raíz y
recomendaciones
DSS06.04 Evidencia de corrección y
solución de errores
National Institute of Standards and Technology Special Publication 800-37, 3.7 Monitoring (Task 2): Inputs and Outputs

282

Capítulo 4

Política de control interno Comunica los objetivos del control
interno a la dirección. Establece
estándares para el diseño y
funcionamiento del sistema de
control interno empresarial para
minimizar la exposición a todos los
riesgos. Proporciona directrices
para la supervisión y evaluación
continua del entorno de control,
incluida la autoconcienciación y la
autoevaluación.
Directrices de la autoevaluación del Recomienda la supervisión continua de
control interno los controles internos para identificar
deficiencias y brechas de eficacia,
determinar sus causas raíz e iniciar
planes de acción e hitos de corrección
para informar a las partes interesadas.

Fomentar la concienciación sobre la importancia de un entorno de control
eficaz. Fomentar una cultura proactiva de autoconcienciación del riesgo,
incluido el compromiso con la autoevaluación y las revisiones de aseguramiento
independientes.

• COBIT y productos/herramientas relacionadas
• Servicios de autoevaluación del control interno de terceros
283


284

Capítulo 4

Objetivo de gestión: MEA03 — Gestionar el cumplimiento de los requisitos externos COBIT
Descripción
Evaluar si los procesos de I&T y los procesos de negocio apoyados por I&T cumplen con las leyes, regulaciones y requisitos contractuales. Asegurar que los
requisitos se han identificado y cumplido; integrar el cumplimiento de TI con el cumplimiento general de la empresa.
Propósito
Asegurarse de que la empresa cumpla con todos los requisitos externos aplicables.
Æ
EG03 Cumplimiento de leyes y regulaciones externas AG01 Cumplimiento de I&T y soporte al cumplimiento del negocio con
leyes y regulaciones externas
EG03 a. C oste de incumplimiento regulatorio, incluidos acuerdos y AG01 a. C
oste de incumplimiento de TI, incluidos acuerdos y multas, y el
multas impacto de la pérdida reputacional
b. N úmero de problemas de incumplimiento regulatorio que b. N
úmero de problemas de incumplimiento relacionados con
causan comentarios públicos o publicidad negativa TI notificados al consejo de administración o que causan
c. Número de problemas de incumplimiento señalados por los comentarios o descrédito públicos
reguladores c. N
úmero de problemas de incumplimiento en relación con
d. N úmero de problemas de incumplimiento regulatorio en acuerdos contractuales con los proveedores de servicios de TI
MEA03.01 Identificar los requisitos externos de cumplimiento. a. Frecuencia de revisiones de requisitos de cumplimiento
Supervisar de forma continua los cambios en las leyes y regulaciones locales e b. P orcentaje de satisfacción de las partes interesadas clave en el proceso de
internacionales, así como otros requisitos externos e identificar las obligaciones revisión del cumplimiento normativo.
para el cumplimiento desde una perspectiva de I&T.
capacidad
1. Asignar la responsabilidad de identificar y supervisar los cambios en los requisitos legales, regulatorios y otros requisitos contractuales 2
externos, relevantes para el uso de recursos de TI y el procesamiento de la información dentro de las operaciones empresariales y de TI.
2. Identificar y evaluar todos los posibles requisitos de cumplimiento y su impacto en las actividades de I&T, en áreas como flujo de datos,
privacidad, controles internos, informes financieros, regulaciones específicas de la industria, propiedad intelectual, salud y seguridad en el
trabajo.
3. Evaluar el impacto de los requisitos legales y regulatorios relacionados con I&T sobre contratos con terceros relacionados con las
operaciones de TI, proveedores de servicio y otros socios comerciales de negocios.
4. Definir las consecuencias del incumplimiento.
5. Obtener asesoría independiente cuando corresponda, sobre los cambios en la legislación, regulaciones y estándares vigentes. 3
6. Mantener un registro actualizado de todos los requisitos legales, regulatorios y contractuales; de su impacto y las acciones requeridas.
7. Mantener un registro global, armonizado e integrado, de los requisitos de cumplimiento externo para la empresa.
CMMI Cybermaturity Platform, 2018 BC.RR Determine Legal / Regulatory Requirements
HITRUST CSF versión 9, septiembre de 2017 06.01 Compliance with Legal Requirements
ISF, The Standard of Good Practice for Information Security 2016 SM2.3 Legal and Regulatory Compliance
285


MEA03.02 Optimizar la respuesta a los requisitos externos. a. Tiempo promedio entre la identificación de los problemas de cumplimiento
Revisar y ajustar las políticas, principios, estándares, procedimientos y externo y su resolución
metodologías para asegurarse de que se aborden y comuniquen los requisitos b. P orcentaje de satisfacción del personal relevante con la comunicación de los
legales, regulatorios y contractuales. Considerar la adopción y adaptación de los requisitos de cumplimiento regulatorio, nuevos y modificados
estándares de la industria, los códigos y guías de buenas prácticas.
capacidad
1. R evisar y ajustar continuamente las políticas, principios, estándares, procedimientos y metodologías para que sean eficaces en garantizar el 3
cumplimiento necesario y abordar el riesgo empresarial. Usar expertos internos y externos, cuando sea necesario.
2. Comunicar los requisitos nuevos y modificados a todo el personal relevante.
King IV Report on Corporate Governance for South Africa, 2016 Part 5.4: Governance functional areas - Principle 13
MEA03.03 Confirmar el cumplimiento externo. a. Número de problemas críticos de incumplimiento identificados cada año
Confirmar el cumplimiento de las políticas, principios, estándares, b. Porcentaje de dueños de procesos que aprueban y confirman el cumplimiento
procedimientos y metodologías con los requisitos legales, regulatorios y
contractuales.
capacidad
1. Evaluar regularmente las políticas, estándares, procedimientos y metodologías organizativas en todas las funciones de la empresa, para 3
garantizar el cumplimiento de todos los requisitos legales y regulatorios relevantes relacionados con el procesamiento de la información.
2. Tratar las brechas de cumplimiento en políticas, estándares y procedimientos con las debida oportunidad.
3. Evaluar periódicamente los procesos y actividades del negocio y de TI para asegurar el cumplimiento de los requisitos legales, regulatorios y
contractuales vigentes.
4. Revisar regularmente los patrones recurrentes de fallos de cumplimiento y evaluar las lecciones aprendidas. 4
5. Mejorar las políticas, estándares, procedimientos, metodologías y sus procesos y actividades asociadas con base en la revisión y las 5
lecciones aprendidas.
MEA03.04 Obtener aseguramiento de cumplimiento externo. a. Número de informes de cumplimiento obtenidos
Obtener e informar del aseguramiento del cumplimiento y adherencia a las b. P orcentaje de cumplimiento de los proveedores de servicio basado en
políticas, principios, estándares, procedimientos y metodologías. Confirmar que revisiones independientes
las acciones correctivas para abordar las brechas de cumplimiento se cierren de c. Tiempo transcurrido entre la identificación de la brecha de cumplimiento y la
manera oportuna. acción correctora
d. N úmero de informes de acciones correctivas que tratan brechas de
cumplimiento cerradas oportunamente
capacidad
1. Obtener confirmación periódica del cumplimiento con las políticas internas por parte de los dueños de los procesos de negocio y de TI y los 2
jefes de unidades.
2. Realizar periódicamente revisiones internas y externas ( independientes, cuando sea posible, ) para evaluar los niveles de cumplimiento.
3. Si se requiere, obtener declaraciones de los proveedores de servicio externos de I&T sobre sus niveles de cumplimiento con las leyes y
regulaciones aplicables
4. Si se requiere, obtener declaraciones de los socios de negocio sobre sus niveles de cumplimiento con leyes y regulaciones aplicables, en la
medida en que estén relacionados con las transacciones electrónicas entre empresas.
5. Integrar los informes sobre los requisitos legales, regulatorios y contractuales a nivel global de la empresa, involucrando a todas las 3
unidades de negocio.
6. Supervisar y comunicar los problemas de incumplimiento y, cuando sea necesario, investigar la causa raíz. 4
CMMI Data Management Maturity Model, 2014 Supporting Processes - Process Quality Assurance
ISO/IEC 27002:2013/Cor.2:2015(E) 18. Cumplimiento
286

Capítulo 4

Gestor de servicios
Jefe de desarrollo
Cumplimiento
Director de TI
Asesor legal
Auditoría
MEA03.01 Identificar los requisitos externos de cumplimiento. R R R R A R
MEA03.02 Optimizar la respuesta a los requisitos externos. R R R R R R R R R R R R R R R R A
MEA03.03 Confirmar el cumplimiento externo. R R R R R R R R A
MEA03.04 Obtener aseguramiento de cumplimiento externo R R A

MEA03.01 Identificar los requisitos externos de cumplimiento. De Descripción Descripción A
Fuera de COBIT Requisitos de cumplimiento Log de acciones de Interna
legal y regulatorio. cumplimiento requeridas
Registro de requisitos de Interna
cumplimiento
MEA03.02 Optimizar la respuesta a los requisitos externos. Comunicaciones de Todos los APO;
cambios en los requisitos Todos los BAI;
de cumplimiento Todos los DSS;
Todos los MEA;
EDM01.01
Políticas, principios, APO01.09;
procedimientos y APO01.11
estándares actualizados
MEA03.03 Confirmar el cumplimiento externo. BAI05.06 Resultados de las auditorías Confirmaciones de EDM01.03
de cumplimiento cumplimiento
BAI09.05 Resultados de auditoría a Brechas de cumplimiento MEA04.08
las licencias instaladas identificadas
BAI10.05 Desviaciones de licencias
DSS01.04 Informes de políticas de
seguros
MEA03.04 Obtener aseguramiento de cumplimiento externo. EDM05.02 Reglas para la validación y Informes de aseguramiento EDM01.03
aprobación de informes del cumplimiento

obligatorios
EDM05.03 Evaluación de la eficacia Informes de los problemas EDM01.03;
de reporte de incumplimiento y sus MEA04.04
causas raíz
287



Política de cumplimiento Identifica los requisitos de
cumplimiento regulatorios,
contractuales e internos. Explica el
proceso para evaluar el cumplimiento
de los requisitos regulatorios,
contractuales e internos. Listas
de roles y responsabilidades de
distintas actividades en el proceso
y proporciona directrices sobre las
métricas para medir el cumplimiento.
Obtiene informes de cumplimiento
y confirma el cumplimiento o las
acciones correctivas para abordar
la solución de las brechas de
cumplimiento de manera oportuna.

Proporcionar una cultura de concienciación sobre el cumplimiento, incluida una
tolerancia cero con el incumplimiento de requisitos legales y regulatorios.

• Servicios de vigilancia regulatoria
• Servicios de evaluación al cumplimiento de terceros
288

Capítulo 4

Objetivo de gestión: MEA04 — Gestionar el aseguramiento COBIT
Descripción
Planificar, delimitar y ejecutar iniciativas de aseguramiento para cumplir con requisitos internos, leyes, regulaciones y objetivos estratégicos. Permitir que la
dirección ofrezca una garantía adecuada y sostenible en la empresa, con la realización de revisiones y actividades de aseguramiento independiente.
Propósito
Facilitar a la organización el diseño y desarrollo de iniciativas de aseguramiento eficaces y eficientes proporcionando una guía sobre la planificación, alcance,
ejecución y seguimiento de las revisiones de aseguramiento con una hoja de ruta basada en estrategias de aseguramiento ampliamente aceptadas.
Æ
• EG03 Cumplimiento de leyes y regulaciones externas AG11 Cumplimiento de I&T con las políticas internas
EG03 a. C oste de incumplimiento regulatorio, incluidos acuerdos y AG11 a. N
úmero de incidentes relacionados con el incumplimiento de las
multas políticas relacionadas con I&T.
b. N úmero de problemas de incumplimiento regulatorio que b. Número de excepciones a las políticas internas
causan comentarios públicos o publicidad negativa c. Frecuencia de revisión y actualización de la política
c. Número de problemas de incumplimiento señalados por los
reguladores
d. N úmero de problemas de incumplimiento regulatorio en
EG11 a. N úmero de incidentes relacionados con el incumplimiento de
la política
b. Porcentaje de partes interesadas que entienden las políticas
de trabajo eficaces
MEA04.01 Asegurar que los proveedores de aseguramiento sean a. Porcentaje de procesos que reciben una revisión independiente
independientes y estén cualificados. b. P orcentaje de cualificaciones y competencias satisfechas por los proveedores
Asegurar que las entidades que realizan la evaluación sean independientes de de servicio
la función, grupos u organizaciones incluidos en el alcance. Las entidades que
realizan la evaluación deben demostrar una actitud y apariencia apropiadas,
competencia en las habilidades y conocimientos necesarios para realizar
el aseguramento, y adherencia a los códigos de ética y a los estándares
profesionales.
capacidad
1. Establecer la adherencia a los códigos éticos y de estándares vigentes (p. ej. código de ética profesional de ISACA) y otros estándares 2
de aseguramiento de la industria y específicos de la localización geográfica [p. ej. los IT Audit and Assurance Standards of ISACA y el
International Framework for Assurance Engagements (IAASB Assurance Framework) del International Auditing and Assurance Standards
Board (IAASB’s)].
2. Establecer la independencia de los proveedores del aseguramiento.
3. Establecer la competencia y la cualificación de los proveedores del aseguramiento.
HITRUST CSF versión 9, septiembre de 2017 06.03 Information System Audit Considerations
289


MEA04.02 Desarrollar una planificación de iniciativas de aseguramiento basada a. P orcentaje de iniciativas de aseguramiento que siguen los estándares del
en riesgos. programa y plan de aseguramiento
Determinar objetivos de aseguramiento basados en evaluaciones del entorno y b. Porcentaje de iniciativas del plan de aseguramiento basadas en el riesgo
contextos interno y externo, el riesgo de no lograr las metas empresariales, y las
oportunidades asociadas al logro de esas mismas metas.
capacidad
1. Entender la estrategia y prioridades de la empresa. 2
2. Entender el contexto interno de la empresa. Esta comprensión ayudará al profesional de aseguramiento a evaluar mejor las metas
empresariales y la importancia relativa de las metas de alineamiento y metas empresariales, así como las amenazas más importantes para
estas metas. A su vez, esto contribuirá a definir un mejor y más relevante alcance para el compromiso con el aseguramiento.
3. Entender el contexto externo de la empresa. Esta comprensión ayudará al profesional del aseguramiento a comprender mejor las metas
empresariales y la importancia relativa de las metas de alineamiento y metas empresariales, así como las amenazas más importantes para
estas metas. A su vez, esto contribuirá a definir un mejor y más relevante alcance para el compromiso con el aseguramiento.
4. Desarrollar un plan anual global para las iniciativas de aseguramiento que incluya los objetivos consolidados de aseguramiento. 3
King IV Report on Corporate Governance for South Africa, 2016 Part 5.4: Governance functional areas—Principle 15
MEA04.03 Determinar los objetivos de la iniciativa de aseguramiento. a. Porcentaje de objetivos alcanzados durante la iniciativa de aseguramiento
Definir y acordar con todas las partes interesadas los objetivos de la iniciativa de b. P orcentaje de satisfacción de las partes interesadas con los objetivos de la
aseguramiento. iniciativa de aseguramiento
capacidad
1. Definir el objetivo de aseguramiento de la iniciativa de aseguramiento mediante la identificación de las partes interesadas en esta iniciativa 2
de aseguramiento y sus intereses.
2. Acordar los objetivos de alto nivel y los límites organizativos del compromiso de aseguramiento.
3. Considerar el uso de la cascada de metas de COBIT y sus distintos niveles para expresar el objetivo del aseguramiento. 3
4. Asegurar que los objetivos del compromiso del aseguramiento consideren los tres componentes de valor del objetivo: obtener beneficios que
respalden los objetivos estratégicos, optimizar el riesgo de que no se alcancen los objetivos estratégicos y optimizar los niveles de recursos
requeridos para lograr los objetivos estratégicos.
CMMI Data Management Maturity Model, 2014 Supporting Processes - Process Quality Assurance
MEA04.04 Definir el alcance de la iniciativa de aseguramiento. a. N
úmero de planes de compromiso, basados en el alcance, que consideran la
Definir y acordar con todas las partes interesadas el alcance de la iniciativa de información a recopilar y las entrevistas a las partes interesadas
aseguramiento, con base en los objetivos de aseguramiento. b. P orcentaje de satisfacción de las partes interesadas con el alcance de la
iniciativa del aseguramiento, conforme a los objetivos de aseguramiento
capacidad
1. Definir todos los componentes de gobierno en el alcance de la revisión, es decir, los principios, políticas y marcos de referencia; procesos; 2
estructuras organizativas; cultura, ética y comportamiento; información; servicios, infraestructura y aplicaciones; personas, habilidades y
competencias
2. Basándose en el alcance establecido, definir un plan de compromiso, que incluya la información que debe recopilarse y las partes 3
interesadas que deben entrevistarse

3. Confirmar y perfeccionar el alcance con base en el conocimiento de la arquitectura empresarial.
4. Perfeccionar el alcance del compromiso de aseguramiento, conforme a los recursos disponibles
CMMI Cybermaturity Platform, 2018 TP.LA Apply Logging and Audit Processes
290

Capítulo 4

MEA04.05 Definir el programa de trabajo para la iniciativa de aseguramiento. a. P orcentaje de controles de gestión identificados como débiles, sin prácticas
Definir un programa de trabajo detallado para la iniciativa de aseguramiento, definidas para reducir el riesgo residual
estructurado conforme al alcance de los objetivos de gestión y los componentes b. Número de controles revisados
de gobierno. c. P orcentaje de satisfacción de las partes interesadas con el programa de
trabajo de la iniciativa de aseguramiento
capacidad
1. Definir pasos detallados para la recopilación y evaluación de la información de los controles de gestión considerados en el alcance. 2
Centrarse en evaluar la definición y aplicación de buenas prácticas relacionadas con el diseño de controles y el logro de los objetivos de
control, relacionados con la eficacia del control.
2. Entender el contexto de los objetivos de gestión y los controles de gestión que los respaldan y que se ponen en práctica. Entender cómo
estos controles de gestión contribuyen a lograr las metas de alineamiento y las metas empresariales.
3. Entender a todas las partes interesadas y sus intereses.
4. Acordar las buenas prácticas esperadas para los controles de gestión. 3
5. Si un control de gestión fuera débil, definir las prácticas para identificar el riesgo residual (como preparación para el reporte).
6. Entender la fase del ciclo de vida de los controles de gestión y acordar los valores esperados.
MEA04.06 Ejecutar la iniciativa de aseguramiento, enfocándose en la a. Porcentaje de iniciativas de aseguramiento que consideran la rentabilidad del
efectividad del diseño. diseño
Ejecutar la iniciativa de aseguramiento planificada. Validar y confirmar el diseño b. P orcentaje de satisfacción de las partes interesadas con el diseño de la
de los controles internos existentes. Adicional y especialmente en las tareas iniciativa de aseguramiento
de auditoría interna, considerar la rentabilidad del diseño del componente de
gobierno.
capacidad
1. Perfeccionar el entendimiento del sujeto de aseguramiento de TI. 2
2. Perfeccionar el alcance del sujeto de aseguramiento de TI.
3. Observar/inspeccionar y revisar la estrategia de control de gestión. Validar el diseño con el dueño del control en cuanto a su completitud, 3
relevancia, oportunidad y facilidad de medición.
4. Preguntar al dueño del control si se han asignado las responsabilidades globales del componente de gobierno y de la rendición de cuentas.
Confirmar la respuesta. Comprobar si la rendición de cuentas y las responsabilidades se han entendido y aceptado. Comprobar que están
disponibles las habilidades adecuadas y los recursos necesarios.
5. Reconsiderar el equilibrio entre prevención y detección y los tipos de corrección de las actividades de control de gestión.
6. Considerar el esfuerzo dedicado a mantener los controles de gestión y su rentabilidad asociada.
ISF, The Standard of Good Practice for Information Security 2016 SI1 Security Audit
ISO/IEC 27001:2013/Cor.2:2015(E) 9.2 Internal audit
MEA04.07 Ejecutar la iniciativa de aseguramiento, enfocándose en la eficacia a. P orcentaje de iniciativas de aseguramiento que prueban el resultado de los
operativa. objetivos clave de gestión dentro del alcance
Ejecutar la iniciativa de aseguramiento planificada. Probar si los controles b. P orcentaje de satisfacción de las partes interesadas con la ejecución de la
internos establecidos son adecuados y suficientes. Probar el resultado de los iniciativa de aseguramiento
objetivos clave de gestión en el alcance de la iniciativa de aseguramiento.
291


capacidad
1. Evaluar si se han alcanzado los resultados esperados para cada uno de los controles de gestión en el alcance. Es decir, evaluar la efectividad 3
del control de gestión (eficacia del control).
2. Asegurar que el profesional del aseguramiento prueba el resultado o la efectividad del control de gestión mediante la búsqueda de evidencias
directas e indirectas del impacto en las metas de los controles de gestión. Esto implica la justificación directa e indirecta de la contribución
medible de las metas de gestión a las metas de alineamiento y de este modo se registran las evidencias directas e indirectas de que se han
alcanzado realmente los resultados esperados.
3. Determinar si el profesional del aseguramiento obtiene evidencias directas o indirectas de los elementos/periodos seleccionados al aplicar
una selección de técnicas de pruebas para garantizar que el control de gestión bajo revisión funciona de forma efectiva. Asegurar que el
profesional del aseguramiento realice también una revisión limitada de la idoneidad de los resultados del control de gestión y determine el
nivel de pruebas sustantivas y el trabajo adicional necesarios para proporcionar aseguramiento de que el desempeño del control de gestión
es adecuado.
4. Investigar si un control de gestión puede ser más eficiente y si su diseño puede ser más efectivo optimizando los pasos y buscando
sinergias con otros controles de gestión.
ISF, The Standard of Good Practice for Information Security 2016 SI1 Security Audit
SO/IEC 27001:2013/Cor.2:2015(E) 9.2 Internal audit
MEA04.08 Informar y hacer seguimiento a la iniciativa de aseguramiento. a. Aceptación de las partes interesadas del informe de aseguramiento
Ofrecer opiniones positivas de la evaluación cuando sea apropiado, así como b. Aceptación de las partes interesadas de las recomendaciones de mejora
recomendaciones de mejora relacionadas con el rendimiento operacional relativas al rendimiento operacional identificado, el cumplimiento externo y las
identificado, el cumplimiento externo y las debilidades del control interno. debilidades del control interno.
capacidad
1. Documentar el impacto de las debilidades del control. 2
2. Comunicarse con la dirección durante la ejecución de la iniciativa para que haya un claro entendimiento del trabajo realizado y un acuerdo y
aceptación de los hallazgos preliminares y las recomendaciones.
3. Proporcionar a la dirección un informe (alineado con los términos de referencia, alcance y estándares de informes acordados) que sustente 3
los resultados de la iniciativa y permita centrarse claramente en los problemas clave y las acciones importantes.
4. Supervisar las actividades de aseguramiento y garantizar que el trabajo está finalizado, cumple con los objetivos y tiene una calidad 4
aceptable. Revisar el enfoque o los pasos detallados si se detecta una calidad deficiente.
MEA04.09 Hacer seguimiento a las recomendaciones y a las acciones. a. Número de debilidades recurrentes
Acordar, hacer seguimiento e implementar las recomendaciones de mejoras b. Número de debilidades identificadas resueltas
identificadas.
capacidad
1. Acordar e implementar internamente, dentro de la organización, las acciones necesarias para resolver las debilidades y brechas 2
identificadas.
2. Hacer un seguimiento, dentro de la organización, para determinar si se llevaron a cabo acciones correctivas y las debilidades de control
interno se resolvieron.

292

Capítulo 4

Gestor de servicios
Director de riesgos
Director de TI
Asesor legal
Auditoría
MEA04.01 Asegurar que los proveedores de aseguramiento sean independientes y estén cualificados. R R R R R A
MEA04.02 Desarrollar una planificación de iniciativas de aseguramiento basada en los riesgos. R R R R R R A
MEA04.03 Determinar los objetivos de la iniciativa de aseguramiento. R R R R R R A
MEA04.04 Definir el alcance de la iniciativa de aseguramiento. R R R R R R A
MEA04.05 Definir el programa de trabajo para la iniciativa de aseguramiento. R R R R R A
MEA04.06 Ejecutar la iniciativa de aseguramiento, enfocándose en la efectividad del diseño. R R R R R R R R R R A
MEA04.07 Ejecutar la iniciativa de aseguramiento, enfocándose en la eficacia operativa. R R R R R R R R R R A
MEA04.08 Informar y hacer seguimiento a la iniciativa de aseguramiento. R R R R R A
MEA04.09 Hacer seguimiento a las recomendaciones y a las acciones. R R A R R R R R

MEA04.01 Asegurar que los proveedores del aseguramiento De Descripción Descripción A
sean independientes y estén cualificados.
Resultados de evaluaciones Interna
del proveedor del
aseguramiento
MEA04.02 Desarrollar una planificación de iniciativas de BAI01.05 Planes de auditoría de Planes de aseguramiento Todos los APO;
aseguramiento basada en los riesgos. programas Todos los BAI;
Todos los DSS;
Todos los MEA;
EDM01.03
DSS01.02 Planes independientes de Criterios de evaluación Interna
aseguramiento
Evaluaciones de alto nivel Interna
MEA04.03 Determinar los objetivos de la iniciativa de MEA04.02 Planes de aseguramiento Objetivos del Interna
aseguramiento. aseguramiento y beneficios
esperados
MEA04.04 Definir el alcance de la iniciativa de aseguramiento. APO11.03 Causas raíz del fracaso a la Prácticas de revisión del Interna
hora de ofrecer calidad aseguramiento

APO12.06 Causas raíz relacionadas Plan de compromiso Interna
con el riesgo
DSS06.01 Análisis de la causa raíz y
recomendaciones
MEA03.04 Informes de los problemas Alcance de la revisión del Interna
y causas raíz del aseguramiento
incumplimiento
293


MEA04.05 Definir el programa de trabajo para la iniciativa de De Descripción Descripción A
aseguramiento.
APO12.04 Análisis de riesgos e Alcance redefinido Interna
informes del perfil de riesgo
para las partes interesadas Programa detallado del MEA04.06
trabajo de aseguramiento
MEA04.06 Ejecutar la iniciativa de aseguramiento, enfocándose APO12.06 Causas raíz relacionadas Diseño de controles MEA04.07
en la efectividad del diseño. con el riesgo internos documentados

recomendaciones
MEA04.05 Programa detallado del
trabajo de aseguramiento
MEA04.07 Ejecutar la iniciativa de aseguramiento, enfocándose DSS02.02 Log de peticiones de Pruebas MEA04.08;
en la eficacia operativa. servicio e incidentes de la eficacia del control. MEA04.09
DSS02.05 Resoluciones de incidentes
DSS03.05 Informes de supervisión de
la resolución de problemas
DSS05.02 Resultados de las pruebas
de penetración
DSS05.05 Logs de acceso
recomendaciones
MEA04.06 Diseño documentado de
controles internos
MEA04.08 Informar y hacer seguimiento a la iniciativa de MEA03.03 Brechas de cumplimiento Informes de revisión del Todos los APO;
aseguramiento. identificadas aseguramiento todos los BAI;
Todos los DSS;
todos los MEA;
EDM05.03
MEA04.07 Pruebas de la eficacia del Resultados de la revisión Todos los APO;
control. del aseguramiento todos los BAI;
Todos los DSS;
todos los MEA;
EDM05.03;
MEA04.09
MEA04.09 Hacer seguimiento a las recomendaciones y a las MEA04.07 Pruebas de la eficacia del Acciones correctivas Todos los APO;
acciones. control. todos los BAI;
Todos los DSS;
MEA04.08 Resultados de la revisión de todos los MEA
aseguramiento
294

Capítulo 4

Hay una serie de principios Core Principles for the Professional Practice of Internal Auditing, The Institute of cfr. IIA website—Standards &
fundamentales descritos por el Internal Auditors Guidance - Core Principles
Instituto de auditores internos ®,
que respaldan la efectividad y la
eficiencia de la función de auditoría
(interna). Estos principios incluyen,
entre otros, la importancia de la
independencia , habilidades de
comunicación efectiva, proactividad,
etc.

Guía de aseguramiento Proporciona directrices sobre
la realización de actividades de
aseguramiento. Permite el desarrollo
eficaz y eficiente de iniciativas de
aseguramiento de I&T, incluidas la
planificación, la definición del alcance
y la ejecución de revisiones de
aseguramiento, conforme a enfoques
de aseguramiento ampliamente
aceptados. Proporciona los pasos
de aseguramiento para poner a
prueba el diseño del control, probar el
resultado de su efectividad operativa y
documentar las debilidades del control
y su impacto.
Estatuto de auditoría interna Proporciona independencia para
llevar a cabo revisiones de auditoría
e informar sobre los hallazgos y
recomendaciones directamente a la
alta dirección. La función de auditoría
interna debería ser una entidad
separada reportando al director general
ejecutivo o al director de operaciones.
Con respecto a I&T, el estatuto debería
estipular que la función de auditoría
es responsable de la revisión de los
controles generales y de aplicaciones
para determinar si los controles se han
diseñado de acuerdo con la dirección
de la gerencia, los estándares y
procedimientos establecidos, los
requisitos legales conocidos, y si estos
controles están funcionando de forma
eficaz para proporcionar confiabilidad
y seguridad en cuanto a los datos que
se procesan (es decir, confidencialidad,
integridad y disponibilidad). El
estatuto debería estipular que la
función de auditoría interna es

responsable de la revisión del diseño,
desarrollo e implementación de nuevos
sistemas o modificaciones mayores de
los sistemas actuales.
295


Crea una cultura que adopta la auditoría interna y los hallazgos y
recomendaciones de aseguramiento, conforme al análisis de las causas raíz. Los
líderes deben garantizar que la auditoría interna y el aseguramiento formen parte
de las iniciativas estratégicas y reconocer la necesidad (y el valor) de la auditoría
y de los informes de aseguramiento.
Garantizar una cultura ética de auditoría interna a través de un código ético Código de ética, el Instituto de cfr. IIA website—Standards &
adecuado. Auditores internos Guidance—Code of Ethics

• Herramientas de compromiso de aseguramiento
• Herramientas de auditoría para el log de eventos
• Servicios de prestación de aseguramiento por terceros
296

APÉNDICES
Apéndices
A.1 Anexo A: Cascada de metas: Tablas de relacionamiento
Las tablas de relacionamiento del anexo A muestran la cascada de metas. La primera tabla relaciona las metas de alineamiento con las
metas empresariales; la segunda tabla relaciona los objetivos de gobierno y gestión con los objetivos de alineamiento. La «P» de la tabla
se refiere a primario y la «S» se refiere a secundario.
A.1.1 Tabla de relacionamiento: Metas empresariales—Metas de alineamiento
Figura A.1—Relacionamiento de metas empresariales y metas de alineamiento

EG01 EG02 EG03 EG04 EG05 EG06 EG07 EG08 EG09 EG10 EG11 EG12 EG13
Optimización de
Portafolio de Cumplimiento Cultura de Continuidad y la funcionalidad Optimización Habilidades, Cumplimiento Gestión de
productos Gestión del con leyes y Calidad de la servicio disponibilidad Calidad de la de los procesos de costes de motivación y con las programas de Innovación de
y servicios riesgo del regulaciones información orientado al del servicio información internos de los procesos de productividad políticas transformación productos y
competitivos negocio externas financiera cliente del negocio sobre gestión negocio negocio del personal internas digital negocios
AG01 Cumplimiento y soporte de
I&T para el cumplimiento
del negocio con leyes y
S P S
regulaciones externas
AG02 Gestión de riesgo relacionado
P S
con I&T
AG03 Beneficios obtenidos del
portafolio de inversiones y S S S S P
servicios habilitados por I&T
AG04 Calidad de la información
financiera relacionada con la P P P
tecnología
AG05 Prestación de servicios I&T
conforme a los requisitos P S S S S
del negocio
AG06 Agilidad para convertir los
requisitos del negocio en P S S S S
soluciones operativas
AG07 Seguridad de la
información, infraestructura
de procesamiento y
P P
AG08 Habilitar y dar soporte
a procesos de negocio
mediante la integración de
P P S S P S
aplicaciones y tecnología
AG09 Ejecución de programas
dentro del plazo, sin exceder
el presupuesto, y que
cumplen con los requisitos y
P S S S P S
estándares de calidad
AG10 Calidad de la información

P P S
sobre gestión de I&T
AG11 Cumplimiento de I&T con las
S P P
políticas internas
AG12 Personal competente
y motivado con un
entendimiento de la
S P
tecnología y del negocio
AG13 Conocimiento, experiencia e
iniciativas para la innovación P S S P
empresarial
297

A.1.2 Tabla de relacionamiento: Metas de alineamiento—Objetivos de gobierno y gestión
Figura—A.2 Relacionamiento de objetivos de gobierno y gestión con metas de alineamiento

AG01 AG02 AG03 AG04 AG05 AG06 AG07 AG08 AG09 AG10 AG11 AG12 AG13
Ejecución de
programas
Cumplimiento Habilitar y dentro del plazo,
y soporte de Beneficios Seguridad de dar soporte sin exceder el
I&T para el obtenidos del Agilidad para la información, a procesos presupuesto, y Personal
cumplimiento portafolio de Calidad de la Prestación de convertir los infraestructura de negocio que cumplan competente y Conocimiento,
del negocio Gestión inversiones información servicios de I&T requisitos del de mediante la con los Calidad de la Cumplimiento motivado con un experiencia e
con leyes y de riesgo y servicios financiera conforme a los negocio en procesamiento integración de requisitos y información de I&T con entendimiento de iniciativas para
regulaciones relacionado relacionados relacionada con requisitos del soluciones y aplicaciones, y aplicaciones y estándares de sobre gestión las políticas la tecnología y del la innovación
externas con I&T con I&T la tecnología negocio operativas privacidad tecnología calidad de I&T internas negocio empresarial
EDM01 Asegurar el establecimiento
y el mantenimiento del marco P S P S S
de gobierno
Edm02 Asegurar la obtención de
beneficios P S S S S
Edm03 Asegurar la optimización
del riesgo S P P S
Edm04 Asegurar la optimización de
recursos S S S S P S
Edm05 Asegurar el compromiso de
las partes interesadas S P S
Apo01 Gestionar el marco de
gestión de I&T S S P S S S S S P
Apo02 Gestionar la estrategia S S S P S S
Apo03 Gestionar la arquitectura
empresarial S S P S P
Apo04 Gestionar la innovación S P S S P
Apo05 Gestionar el portafolio P P S S S
Apo06 Gestionar el presupuesto y
los costes S P P S
Apo07 Gestionar los recursos
humanos S S S P P
Apo08 Gestionar las relaciones S P P S S P P
Apo09 Gestionar los acuerdos de
servicio P S
Apo10 Gestionar los proveedores P S S
Apo11 Gestionar la calidad S S S P P
Apo12 Gestionar el riesgo P P
Apo13 Gestionar la seguridad S S P
Apo14 Gestionar los datos S S S S P
Bai01 Gestionar los programas P S S P
Bai02 Gestionar la definición de
requisitos S P P S P S
Bai03 Gestionar la identificación y
construcción de soluciones S P P S P
Bai04 Gestionar la disponibilidad y
la capacidad P S S
Bai05 Gestionar el cambio
organizativo P S S P P S
Bai06 Gestionar los cambios de TI S S P S
Bai07 Gestionar la aceptación y la
transición de los cambios S P S
de TI
Bai08 Gestionar el conocimiento S S S S P P
Bai09 Gestionar los activos P S
Bai10 Gestionar la configuración S P
Bai11 Gestionar los proyectos P S P P
Dss01 Gestionar las operaciones P S
Dss02 Gestionar las peticiones y los
incidentes del servicio S P S
Dss03 Gestionar los problemas S P S
Dss04 Gestionar la continuidad S P P
Dss05 Gestionar los servicios de
seguridad S P S P S
Dss06 Gestionar los controles de
procesos de negocio S S S P S
Mea01 Gestionar la supervisión del
rendimiento y la conformidad S S P S P S
Mea02 Gestionar el sistema de
control interno S S S S S S S P
Mea03 Gestionar el cumplimiento de
P S
Mea04 Gestionar el aseguramiento S S S S S S P
298

APÉNDICES
A.2 Anexo B: Estructuras organizativas: Visión general y descripciones
En la guía detallada del capítulo 4, los componentes de las estructuras organizativas se derivan de los roles y estructuras señalados en la
figura A.3 (ver también la sección 3.5 para obtener una visión general del componente de estructuras organizativas).
En las empresas, la nomenclatura aplicada a cada rol o estructura podría seguramente ser distinta. Con base en las descripciones
siguientes, cada empresa podría identificar, los roles y estructuras más adecuados (dado su propio contexto de negocio, organización y
entorno operativo) y asignar niveles de rendición de cuentas y responsabilidad, según corresponda.
Figura A.3—Roles y estructuras organizativas de COBIT
Rol/estructura Descripción
Consejo de Grupo de altos ejecutivos y/o directores no ejecutivos que rinden cuentas sobre el gobierno y control total de los recursos de la empresa
Administración
Comité ejecutivo Grupo de altos ejecutivos nombrados por el consejo de administración para garantizar que el consejo participe y esté informado de las
principales decisiones.
(El comité ejecutivo rinde cuentas sobre la gestión de los portafolios de inversiones de I&T, de los servicios y activos de I&T; garantizando
que se ofrece valor; y se gestiona el riesgo. El comité suele estar presidido por un miembro del consejo de administración).
Director general Director de más alto rango- encargado de la gestión global de la empresa
ejecutivo
Director general Director de más alto rango que rinde cuentas sobre todos los aspectos de la gestión financiera, incluido el riesgo y los controles
financiero financieros, así como de una contabilidad confiable y precisa
Director de operaciones Director de más alto rango que rinde cuenjtas sobre la la operación de la empresa
Director de riesgos Director de más alto rango que rinde cuentas sobre todos los aspectos de la gestión de riesgos de la empresa
(Una función de director de riesgos de I&T podría establecerse para supervisar el riesgo de I&T).
Director de TI Director de más alto rango que rinde cuentas sobre el alineamiento de las TI y las estrategias del negocio y rinde cuentas por la
planificación, gestión de recursos y prestación de servicios y soluciones de I&T
Director de tecnología Director de más alto rango encargado de los aspectos técnicos de I&T, incluida la gestión y supervisión de decisiones relacionadas con
servicios, soluciones e infraestructura de I&T
(Este rol podría también realizarlo el director de información).
Director de tecnologías Director de más alto rango encargado de poner en práctica la transformación digital de la empresa o de las unidades de negocio
digitales
(Este rol podría también realizarlo el director de información u otro miembro del comité ejecutivo).
Consejo de gobierno Grupo de partes interesadas y expertos que rinden cuentas sobre la dirección de los asuntos y decisiones relacionadas con I&T, incluidas
de I&T la gestión de inversiones habilitadas por I&T, la obtención de valor y la supervisión del riesgo
Consejo de arquitectura Grupo de partes interesadas y expertos que rinden cuentas sobre la dirección de los asuntos y decisiones relacionados con la
arquitectura empresarial y de establecer las políticas y estándares de la misma.
Comité de riesgos Grupo de ejecutivos que rinden cuentas sobre del nivel de colaboración y consenso requeridos para respaldar las actividades y
corporativos decisiones de gestión de riesgos empresariales (ERM).
(Podría establecerse un consejo de riesgos de I&T para considerar el riesgo de I&T más detalladamente y asesorar al comité de riesgos
corporativos).
Director de seguridad El director de más alto rango que rinde cuentas sobre todos los aspectos de la gestión de seguridad de la empresa
de la información
Dueño del proceso de Persona que rinde cuentas sobre la ejecución de los procesos y/o el logro de los objetivos de los procesos, conducir la mejora de los
negocio procesos y aprobar los cambios a los procesos.
Gestor de portafolio Persona responsable de dirigir la gestión del portafolio, asegurar una selección adecuada de programas y proyectos y gestionar y
supervisar programas y proyectos para obtener un valor óptimo, así como alcanzar los objetivos estratégicos a largo plazo de forma
eficaz y eficiente
Comité estratégico Grupo de personas interesadas y expertos que rinden cuentas sobre la dirección de programas y proyectos, incluidos planes de gestión y
(programas/proyectos) supervisión, asignación de recursos, obtención de beneficios y valor y gestión del riesgo de los programas y proyectos.
Gestor de programas Persona responsable de dirigir un programa específico, incluidos la articulación y el seguimiento de las metas y objetivos del programa y
la gestión del riesgo y su impacto en el negocio
299

Figura A.3—Roles y estructuras organizativas de COBIT (cont.)

Rol/estructura Descripción
Gestor de proyecto Persona responsable de dirigir un proyecto específico, incluidos la coordinación y delegación del tiempo, presupuesto, recursos y tareas
del equipo del proyecto
Oficina de gestión de Función responsable de respaldar a los gestores de proyecto y de programa y de recopilar, evaluar y comunicar información sobre la
proyectos ejecución de los programas y los proyectos que los componen
Función de gestión de Función responsable de respaldar los activos de datos de la empresa durante su ciclo de vida y gestionar la estrategia, infraestructura y
datos repositorios de datos
Director de recursos El director de más alto rango que rinde cuentas sobre la planificación y las políticas relacionadas con los recursos humanos de la
humanos empresa
Gestor de relaciones Persona experta responsable de supervisar y gestionar la interfaz y comunicaciones internas entre las funciones del negocio y de I&T
Jefe de arquitectura Persona experta encargada del proceso de arquitectura empresarial.
Jefe de desarrollo Persona experta que rinde cuentas sobre los procesos de desarrollo de soluciones de I&T
Jefe de operaciones Persona experta que rinde cuentas sobre los entornos operativos e infraestructura de TI
de TI
Jefe de administración Persona experta que rinde cuentas sobre los registros de I&T y es responsable de apoyar en labores administrativas de I&T
de TI
Gestor de servicios Persona que gestiona el desarrollo, la implementación, la evaluación y el mantenimiento continuo de productos y servicios nuevos o ya
existentes, para un cliente específico (usuario) o grupo de clientes (usuarios)
Gestor de seguridad de Persona que gestiona, diseña, supervisa y/o evalúa la seguridad de la información de una empresa
la información
Gestor de continuidad Persona que gestiona, diseña, supervisa y/o evalúa la capacidad de continuidad del negocio de una empresa, para garantizar que sus
del negocio funciones críticas sigan operando después de eventos disruptivos
Director de privacidad Persona responsable de supervisar el riesgo e impacto de las leyes sobre privacidad en el negocio y de dirigir y coordinar la
implementación de políticas y actividades que garanticen el cumplimiento de las directivas de privacidad
(En algunas empresas, el puesto podría denominarse oficial o responsable de protección de datos).
Asesor Legal Función responsable de la asesoría en asuntos legales y regulatorios
Cumplimiento Función responsable de asesorar sobre todo el cumplimiento externo
Auditoría Función responsable de la realización de auditorías internas
A.3 Anexo C: Lista de referencias detallada
Los estándares y directrices siguientes contribuyen a las referencias detalladas de los 40 objetivos de gobierno y gestión de COBIT®
2019.
• CIS® Center for Internet Security®, The CIS Critical Security Controls for Effective Cyber Defense, Versión 6.1, agosto de 2016
• CMMI® Cybermaturity Platform, 2018
• CMMI® Data Management Maturity (DMM)SM model, 2014
• Committee of Sponsoring Organizations (COSO) Enterprise Risk Management (ERM) Framework, junio de 2017
• European Committee for Standardization (CEN), e-Competence Framework (e-CF) - A common European Framework for ICT
Professionals in all industry sectors - Part 1: Framework, EN 16234-1:2016
300

APÉNDICES
• HITRUST® Common Security Framework, versión 9, septiembre de 2017

• Information Security Forum (ISF), The Standard of Good Practice for Information Security 2016
• International Organization for Standardization / International Electrotechnical Commission (ISO/IEC) standards
¡ ISO/IEC 20000-1:2011(E)
¡ ISO/IEC 27001:2013/Cor.2:2015(E)
¡ ISO/IEC 27002:2013/Cor.2:2015(E)
¡ ISO/IEC 27004:2016(E)
¡ ISO/IEC 27005:2011(E)
¡ ISO/IEC 38500:2015(E)
¡ ISO/IEC 38502:2017(E)
• Information Technology Infrastructure Library (ITIL®) v3, 2011
• Institute of Internal Auditors® (IIA®), “Core Principles for the Professional Practice of Internal Auditing”• King IV Report on Corporate
Governance™, 2016
• King IV Report on Corporate Governance™, 2016
• US National Institute of Standards and Technology (NIST) standards
¡ Framework for Improving Critical Infrastructure Cybersecurity V1.1, abril de 2018
¡ Special Publication 800-37, Revisión 2 (Borrador), mayo de 2018
¡ Special Publication 800-53, Revisión 5 (Borrador), agosto de 2017
• A Guide to the Project Management Body of Knowledge: PMBOK® Guide Sixth Edition, 2017
• PROSCI® 3-Phase Change Management Process
• Scaled Agile Framework for Lean Enterprises (SAFe®)
• Skills Framework for the Information Age (SFIA®) V6, 2015
• The Open Group IT4IT® Reference Architecture, versión 2.0
• The Open Group Standard TOGAF® versión 9.2, 2018
301

302

Marco de Referencia

MARCO DE REFERENCIA COBIT® 2019: INTRODUCCIÓN Y METODOLOGÍA
Acerca de ISACA
Con casi 50 años de vida, ISACA® (isaca.org) es una organización global que ayuda tanto a individuos como a
empresas a alcanzar el potencial positivo de la tecnología. La tecnología impulsa el mundo de hoy e ISACA
proporciona a los profesionales con el conocimiento, las credenciales, la educación y la comunidad para avanzar en
sus carreras profesionales y transformar sus organizaciones. ISACA aprovecha la experiencia de su medio millón de
dedicados profesionales en información y ciberseguridad, gobierno, aseguramiento, riesgo e innovación, así como su
filial de desempeño empresarial, el instituto CMMI®, para contribuir a una mayor innovación a través de la
tecnología. ISACA está presente en más de 188 países, incluyendo más de 217 capítulos y oficinas, tanto en Estados
Unidos como en China.
Descargo de responsabilidad
ISACA ha diseñado y creado el Marco de referencia COBIT® 2019: Introducción y metodología (el «Trabajo»)
fundamentalmente como un recurso educativo para los profesionales del gobierno empresarial de tecnologías de la
información (GETI), aseguramiento, riesgo y seguridad. ISACA no asume ninguna responsabilidad acerca de que el
uso de cualquier parte del Trabajo garantice un resultado exitoso. No debe considerarse que el Trabajo incluye toda la
información, procedimientos y pruebas correctas, ni que excluye otra información, procedimientos y pruebas que
estén orientadas razonablemente hacia la obtención de los mismos resultados. Para determinar la propiedad de
cualquier información, procedimiento o prueba específicos, los profesionales del gobierno empresarial de tecnologías
de la información (GETI), aseguramiento, riesgo y seguridad deberían aplicar su propio criterio profesional a las
circunstancias específicas de los sistemas o entorno de tecnología de la información particular.
Copyright
© 2018 ISACA. Todos los derechos reservados. Para acceder a las instrucciones de uso, visite
www.isaca.org/COBITuse.
ISACA
1700 E. Golf Road, Suite 400
Schaumburg, IL 60173, USA
Phone: +1.847.660.5505
Fax: +1.847.253.1755
Contact us: https://support.isaca.org
Website: www.isaca.org
Participate in the ISACA Online Forums: https://engage.isaca.org/onlineforums
Twitter: http://twitter.com/ISACANews
LinkedIn: www.linkedin.com/company/isaca
Facebook: www.facebook.com/ISACAHQ
Instagram: www.instagram.com/isacanews/
Marco de referencia COBIT® 2019: Introducción y metodología

ISBN 978-1-60420-788-0

EN MEMORIA: JOHN LAINHART (1946-2018)
En memoria: John Lainhart (1946-2018)
Dedicado a John Lainhart, Presidente del Consejo de Administración de ISACA, 1984-1985. John fue una figura
clave en la creación del marco COBIT® y en los últimos años ejerció como presidente del grupo de trabajo de
COBIT® 2019, que culminó con la creación de este trabajo. Durante sus cuatro décadas en ISACA, John participó en
distintos aspectos de la organización, además de contar con las certificaciones CISA, CRISC, CISM y CGEIT de
ISACA. John deja un increíble legado personal y profesional, y su trabajo ha tenido un gran impacto en ISACA.

Página intencionalmente en blanco

AGRADECIMIENTOS
Agradecimientos
ISACA desea agradecer a:
COBIT Working Group (2017-2018)
John Lainhart, Presidente, CISA, CRISC, CISM, CGEIT, CIPP/G, CIPP/US, Grant Thornton, EE. UU.
Matt Conboy, Cigna, EE. UU.
Ron Saull, CGEIT, CSP, Great-West Lifeco & IGM Financial (jubilado), Canadá
Equipo de desarrollo
Steven De Haes, Ph.D., Antwerp Management School, University of Antwerp, Bélgica
Matthias Goorden, PwC, Bélgica
Stefanie Grijp, PwC, Bélgica
Bart Peeters, PwC, Belgium
Geert Poels, Ph.D., Ghent University, Bélgica
Dirk Steuperaert, CISA, CRISC, CGEIT, IT In Balance, Bélgica
Revisores expertos
Sarah Ahmad Abedin, CISA, CRISC, CGEIT, Grant Thornton LLP, EE. UU.
Floris Ampe, CISA, CRISC, CGEIT, CIA, ISO27000, PRINCE2, TOGAF, PwC, Bélgica
Elisabeth Antonssen, Nordea Bank, Suecia
Krzystof Baczkiewicz, CHAMP, CITAM, CSAM, Transpectit, Polonia
Christopher M. Ballister, CRISC, CISM, CGEIT, Grant Thornton, EE. UU.
Gary Bannister, CGEIT, CGMA, FCMA, Austria
Graciela Braga, CGEIT, Auditor and Advisor, Argentina
Ricardo Bria, CISA, CRISC, CGEIT, COTO CICSA, Argentina
Sushil Chatterji, CGEIT, Edutech Enterprises, Singapur
Peter T. Davis, CISA, CISM, CGEIT, COBIT 5 Assessor, CISSP, CMA, CPA, PMI-RMP, PMP, Peter
Davis+Associates, Canadá
James Doss, CISM, CGEIT, EMCCA, PMP, SSGB, TOGAF 9, ITvalueQuickStart.com, EE. UU.
Yalcin Gerek, CISA, CRISC, CGEIT, ITIL Expert, Prince2, ISO 20000LI, ISO27001LA, TAC AS., Turquía
James L. Golden, Golden Consulting Associates, EE. UU.
J. Winston Hayden, CISA, CISM, CRISC, CGEIT, Sudáfrica
Jimmy Heschl, CISA, CISM, CGEIT, Red Bull, Austria
Jorge Hidalgo, CISA, CISM, CGEIT, Chile
John Jasinski, CISA, CRISC, CISM, CGEIT, COBIT 5 Assessor, CSM, CSPO, IT4IT-F, ITIL Expert, Lean IT-F,
MOF, SSBB, TOGAF-F, EE. UU.
Joanna Karczewska, CISA, Polonia
Glenn Keaveny, CEH, CISSP, Grant Thornton, EE. UU.
Eddy Khoo S. K., CGEIT, Kuala Lumpur, Malasia
Joao Souza Neto, CRISC, CGEIT, Universidade Católica de Brasília, Brasil
Tracey O’Brien, CISA, CISM, CGEIT, IBM Corp (jubilada), EE. UU.
Zachy Olorunojowon, CISA, CGEIT, PMP, BC Ministry of Health, Victoria, BC Canadá
Opeyemi Onifade, CISA, CISM, CGEIT, BRMP, CISSP, ISO 27001LA, M.IoD, Afenoid Enterprise Limited, Nigeria
Abdul Rafeq, CISA, CGEIT, FCA, Managing Director, Wincer Infotech Limited, India
Dirk Reimers, Entco Deutschland GmbH, A Micro Focus Company
Steve Reznik, CISA, CRISC, ADP, LLC., EE. UU.
Bruno Horta Soares, CISA, CRISC, CGEIT, PMP, GOVaaS - Governance Advisors, as-a-Service, Portugal

Agradecimientos (cont.)
Revisores expertos (cont.)
Dr. Katalin Szenes, Ph.D., CISA, CISM, CGEIT, CISSP, John von Neumann Faculty of Informatics, Obuda
University, Hungría
Peter Tessin, CISA, CRISC, CISM, CGEIT, Discover, USA
Mark Thomas, CRISC, CGEIT, Escoute, EE. UU.
John Thorp, CMC, ISP, ITCP, The Thorp Network, Canadá
Greet Volders, CGEIT, COBIT Assessor, Voquals N.V., Bélgica
Markus Walter, CISA, CISM, CISSP, ITIL, PMP, TOGAF, PwC Singapur/Suiza
David M. Williams, CISA, CAMS, Westpac, Nueva Zelanda
Greg Witte, CISM, G2 Inc., EE. UU.
Consejo de dirección de ISACA

Rob Clyde, CISM, Clyde Consulting LLC, EE. UU., Presidente
Brennan Baybeck, CISA, CRISC, CISM, CISSP, Oracle Corporation, EE. UU., Vicepresidente
Tracey Dedrick, Ex Director de Riesgo con Hudson City Bancorp, EE. UU.
Leonard Ong, CISA, CRISC, CISM, CGEIT, COBIT 5 Implementador y Asesor, CFE, CIPM, CIPT, CISSP,
CITBCM, CPP, CSSLP, GCFA, GCIA, GCIH, GSNA, ISSMP-ISSAP, PMP, Merck & Co., Inc., Singapur
R.V. Raghu, CISA, CRISC, Versatilist Consulting India Pvt. Ltd., India
Gabriela Reynaga, CISA, CRISC, COBIT 5 Foundation, GRCP, Holistics GRC, México
Gregory Touhill, CISM, CISSP, Cyxtera Federal Group, EE. UU.
Ted Wolff, CISA, Vanguard, Inc., EE. UU.
Tichaona Zororo, CISA, CRISC, CISM, CGEIT, COBIT 5 Assessor, CIA, CRMA, EGIT | Enterprise Governance of
IT (Pty) Ltd, Sudáfrica
Theresa Grafenstine, CISA, CRISC, CGEIT, CGAP, CGMA, CIA, CISSP, CPA, Deloitte & Touche LLP, EE. UU.,
Presidenta del Consejo de Administración de ISACA, 2017-2018
Chris K. Dimitriadis, Ph.D., CISA, CRISC, CISM, INTRALOT, Grecia, Presidente del Consejo de Administración
de ISACA, 2015-2017
Matt Loeb, CGEIT, CAE, FASAE, Director Ejecutivo, ISACA, EE. UU.
Robert E Stroud (1965-2018), CRISC, CGEIT, XebiaLabs, Inc., EE. UU, Presidente del Consejo de Administración
de ISACA, 2014-2015
ISACA lamenta profundamente el fallecimiento de Robert E Stroud en septiembre de 2018.

ÍNDICE
ÍNDICE
Lista de figuras ................................................................................................................................................9
Capítulo 1. Introducción .........................................................................................................................11

1.1 Gobierno empresarial de la Información y Tecnología ..................................................................................11
1.2 Beneficios del gobierno de tecnologías de la información ............................................................................11
1.3 COBIT como marco de gobierno de I&T......................................................................................................12
1.3.1 ¿Qué es COBIT y qué no es? ................................................................................................................13
1.4 Estructura de esta publicación .....................................................................................................................14
Capítulo 2. Público objetivo ..............................................................................................................15

2.1 Partes interesadas en el gobierno .................................................................................................................15
Capítulo 3. Principios de COBIT ....................................................................................................17

3.1 Introducción................................................................................................................................................17
3.2 Seis principios para un sistema de gobierno .................................................................................................17
3.3 Tres principios para un Marco de Gobierno..................................................................................................18
3.4 COBIT ® 2019..............................................................................................................................................19
Capítulo 4. Conceptos básicos: Sistema de Gobierno y Componentes .21

4.1 Generalidades de COBIT .............................................................................................................................21
4.2 Objetivos de gobierno y gestión ..................................................................................................................22
4.3 Componentes del sistema de gobierno..........................................................................................................23
4.4 Áreas prioritarias ........................................................................................................................................24
4.5 Factores de diseño.......................................................................................................................................25
4.6 Cascada de metas ........................................................................................................................................30
4.6.1 Metas empresariales ............................................................................................................................31
4.6.2 Metas de alineamiento .........................................................................................................................33
Capítulo 5. Objetivos de gobierno y gestión de COBIT .........................................35

5.1 Propósito ....................................................................................................................................................35
Capítulo 6. Gestión del Desempeño en COBIT ..............................................................39

6.1 Definición ...................................................................................................................................................39
6.2 Principios de gestión del desempeño de COBIT ...........................................................................................39
6.3 Visión general de la gestión del Desempeño de COBIT ................................................................................39
6.4 Gestión del desempeño de los procesos........................................................................................................40
6.4.1 Niveles de capacidad del proceso .........................................................................................................40
6.4.2 Calificar las actividades del proceso .....................................................................................................41
6.4.3 Niveles de madurez del área prioritaria .................................................................................................41
6.5 Gestión del desempeño de otros componentes del sistema de gobierno .........................................................42
6.5.1 Gestión del desempeño de las estructuras organizativas ..........................................................................42
6.5.2 Gestión de desempeño de elementos de información ..............................................................................43
6.5.3 Gestión del desempeño de la cultura y el comportamiento ......................................................................45
Capítulo 7. Diseño de un sistema de gobierno personalizado ........................47

7.1 Impacto de factores de diseño......................................................................................................................47
7.2 Fases y pasos del proceso de diseño.............................................................................................................49
Capítulo 8. Implementar el gobierno de TI de la empresa ..................................51

8.1 Propósito de la guía de implementación COBIT ...........................................................................................51
8.2 Método de Implementación de COBIT .........................................................................................................51

8.2.1 Fase 1: ¿Cuáles son los impulsores? .....................................................................................................52
8.2.2 Fase 2: ¿Dónde estamos ahora? ............................................................................................................52
8.2.3 Fase 3: ¿Dónde queremos estar? ...........................................................................................................53
8.2.4 Fase 4: ¿Qué debe hacerse? ..................................................................................................................53
8.2.5 Fase 5: ¿Cómo llegamos ahí? ...............................................................................................................53
8.2.6 Fase 6: ¿Lo logramos? .........................................................................................................................53
8.2.7 Fase 7: ¿Cómo mantenemos el impulso? ...............................................................................................53
8.3 Relación entre la Guía de diseño COBIT ® 2019 y la Guía de implementación COBIT ® 2019 ........................54
Capítulo 9. Comience con COBIT: Construyendo el Caso ...................................55

9.1 Caso de negocio ..........................................................................................................................................55
9.2 Resumen ejecutivo ......................................................................................................................................55
9.3 Antecedentes ...............................................................................................................................................56
9.4 Desafíos del negocio ...................................................................................................................................57
9.4.1 Análisis de brechas y meta ...................................................................................................................57
9.4.2 Alternativas consideradas ....................................................................................................................58
9.5 Solución propuesta ......................................................................................................................................58
9.5.1 Fase 1. Pre-planificación .....................................................................................................................58
9.5.2 Fase 2. Implementación del programa ...................................................................................................59
9.5.3 Alcance del programa ..........................................................................................................................59
9.5.4 Metodología del programa y alineamiento .............................................................................................60
9.5.5 Entregables del programa ....................................................................................................................60
9.5.6 Riesgo del programa ............................................................................................................................61
9.5.7 Partes interesadas ................................................................................................................................61
9.5.8 Análisis de coste-beneficio ..................................................................................................................61
9.5.9 Desafíos y factores de éxito .................................................................................................................62
Capítulo 10. COBIT y otros estándares .................................................................................65

10.1 Reglas/Guia Principal ................................................................................................................................65
10.2 Lista de estándares referenciados ...............................................................................................................65

LISTA DE FIGURAS
LISTA DE FIGURAS
Capítulo 1. Introducción
Figura 1.1—El contexto del gobierno empresarial de la Información y Tecnología .....................................................11
Capítulo 2. Público objetivo

Figura 2.1—Partes interesadas de COBIT .................................................................................................................15
Capítulo 3. Principios de COBIT

Figura 3.1—Principios del Sistema de Gobierno........................................................................................................18
Figura 3.2—Principios del Marco de Gobierno ..........................................................................................................18
Capítulo 4. Conceptos básicos: Sistema de Gobierno y Componentes

Figura 4.1—COBIT Generalidades............................................................................................................................21
Figura 4.2—Modelo Core de COBIT.........................................................................................................................23
Figura 4.3—Componentes COBIT de un sistema de gobierno ....................................................................................24
Figura 4.4—Factores de diseño COBIT .....................................................................................................................25
Figura 4.5—Factor de diseño de estrategia de la empresa ..........................................................................................25
Figura 4.6—Factor de diseño de metas empresariales ................................................................................................26
Figura 4.7—Factores de diseño del perfil de riesgo (Categorías de riesgo de TI)........................................................26
Figura 4.8—Factor de diseño de problemas relacionados con I&T .............................................................................27
Figura 4.9—Factor de diseño del panorama de amenazas...........................................................................................28
Figura 4.10—Factor de diseño de los requerimientos de cumplimiento ......................................................................28
Figura 4.11—Factor de Diseño del rol de TI..............................................................................................................28
Figura 4.12—Factor de diseño del modelo de sourcing para TI ..................................................................................29
Figura 4.13—Factor de diseño de los métodos de implementación de TI ....................................................................29
Figura 4.14—Factor de diseño de la estrategia de adopción de tecnología ..................................................................29
Figura 4.15—Factor de diseño del tamaño de la empresa ...........................................................................................30
Figura 4.16—Cascada de metas de COBIT ................................................................................................................30
Figura 4.17—Cascada de metas: Metas y métricas empresariales ...............................................................................31
Figura 4.18—Cascada de metas: Metas y métricas de alineamiento............................................................................33
Capítulo 5. Objetivos de gobierno y gestión de COBIT

Figura 5.1—Modelo Core de COBIT: Objetivos y propósito de gobierno y gestión ....................................................35
Capítulo 6. Gestión del Desempeño en COBIT

Figura 6.1—Niveles de capacidad .............................................................................................................................40
Figura 6.2—Niveles de capacidad para los procesos ..................................................................................................41
Figura 6.3—Niveles de madurez para áreas prioritarias .............................................................................................42
Figura 6.4—Modelo de referencia de la información Criterio de calidad para la información .....................................44
Capítulo 7. Diseño de un sistema de gobierno personalizado

Figura 7.1—Impacto de los factores de diseño en un sistema de gobierno y gestión ...................................................47
Figura 7.2—Flujo de trabajo del diseño del sistema de gobierno ................................................................................49
Capítulo 8. Implementar el gobierno de TI de la empresa

Figura 8.1—Hoja de ruta de implementación COBIT.................................................................................................52
Figura 8.2—Puntos de conexión entre la Guía de diseño COBIT y la Guía de implementación COBIT .......................54
Capítulo 9. Comience con COBIT: Construyendo el Caso

Figura 9.1—Desafíos y medidas planificadas de Acme Corporation ...........................................................................62

10

CAPÍTULO 1
INTRODUCCIÓN
Capítulo 1
Introducción
1.1 Gobierno empresarial de la Información y Tecnología
A la luz de la transformación digital, la información y la tecnología (I&T) se han convertido en algo fundamental
para el soporte, la sostenibilidad y el crecimiento de las empresas. Anteriormente, los consejos de gobierno (comités
de dirección) y la alta gerencia podían delegar, ignorar o evitar las decisiones relacionadas con las I&T. En la
mayoría de sectores e industrias, estas actitudes ahora no son aconsejables . La creación de valor para los grupos de
interés (por ejemplo, la generación de beneficios con un costo óptimo de recursos y un riesgo optimizado) suele
venir de la mano de un alto nivel de digitalización en nuevos modelos de negocio, procesos eficientes, una exitosa
innovación, etc. Las empresas digitales dependen cada vez más de la I&T para su supervivencia y crecimiento.
Dada la importancia de la I&T para la gestión del riesgo empresarial y la generación de valor, en las últimas tres
décadas se ha prestado una atención especial al gobierno empresarial de tecnologías de la información (GETI). La
GETI es una parte fundamental del gobierno corporativo. Esta la ejerce el consejo de administración, que supervisa
la definición e implementación de procesos, estructuras y mecanismos relacionados en la organización para permitir
a la empresa y al personal de TI desempeñar sus responsabilidades de soporte al negocio/alineamiento de TI y la
creación de valor de negocio derivado de las inversiones empresariales posibles gracias a la I&T (figura 1.1).
Figura 1.1—El contexto del gobierno empresarial de la Información y Tecnología
Gobierno Alineamiento de Creación de

empresarial de TI TI/negocio valor
Source: De Haes, Steven; W. Van Grembergen; Enterprise Governance of Information Technology: Achieving Alignment and Value,
Presentando COBIT 5, Springer International Publishing, Switzerland, 2.ª ed. 2015, https://www.springer.com/us/book/9783319145464
El gobierno empresarial de informacion y tecnología es complejo y multifacético. No existe una fórmula milagrosa
(ni modo ideal) para diseñar, implementar y mantener una GETI eficaz dentro de una organización. Así, los
miembros de los consejos directivos y la alta gerencia se ven abocados a adaptar e implementar sus medidas GETI
conforme a su contexto y necesidades específicas. Además, deben estar dispuestos a aceptar una mayor
responsabilidad en cuanto a las I&T y crear una mentalidad y cultura distintas para generar valor a partir de la I&T.
1.2 Beneficios del gobierno de tecnologías de la información
Fundamentalmente, la GETI se preocupa de la creación de valor a partir de la transformación digital y la mitigación

del riesgo de negocio derivado de dicha transformación. Más concretamente, tras la adopción satisfactoria de la
GETI cabe esperar tres resultados principales:
 Obtención de beneficios—Consiste en crear valor para la empresa a través de I&T, con el mantenimiento y el
incremento del valor derivado de las inversiones actuales en I&T1 y eliminando las iniciativas de TI y los activos 1
que no están creando suficiente valor. El principio básico del valor de la I&T consiste en ofrecer servicios y
soluciones adecuados, a tiempo y dentro del presupuesto, que generen los beneficios financieros y no financieros
1
1 A lo largo de este texto, TI se usa para referirse al departamento de la organización cuya principal responsabilidad es la tecnología. I&T se usa en este documento para referirse a toda la información que la empresa genera, procesa y usa para alcanzar
sus objetivos, así como la tecnología que lo hace posible en toda la empresa.
11

esperados. El valor que la I&T ofrecen debería estar directamente alineado con los valores en los que se centra el
negocio. El valor de las TI también debería medirse de forma que muestre el impacto y las contribuciones de las
inversiones posibles gracias a las TI en el proceso de creación de valor de la empresa.
 Optimización de riesgos—Esto implica tener en cuenta el riesgo empresarial asociado al uso, propiedad,
operación, involucramiento, influencia y adopción de I&T dentro de una empresa. El riesgo empresarial asociado a
la información y la tecnología consiste en eventos relacionados con I&T que podrían llegar a tener un impacto en
el negocio. Mientras que aportar valor se centra en la creación de valor, la gestión de riesgos se centra en la
preservación del valor. La gestión de riesgos relacionados con la I&T debería integrarse en la estrategia de gestión
de riesgos de la empresa para garantizar que se enfoca en las TI para la empresa. También debería medirse de
forma que muestre el impacto y la contribución derivados de la optimización de riesgos empresariales relacionados
con la I&T a la hora de preservar el valor.
 Optimización de recursos—Esto asegura que se cuente con las capacidades adecuadas para ejecutar el plan
estratégico y que se proporcionen recursos suficientes, adecuados y eficaces. La optimización de recursos asegura
la dotación de una integrada, económica infraestructura de TI , la introducción de nueva tecnología conforme lo
requiera el negocio y la actualización o sustitución de sistemas obsoletos. Porque reconoce la importancia de las
personas, además del hardware y software, se centra en proporcionar formación, fomentar la retención y garantizar
la competencia del personal clave de TI. Recursos importantes son los datos y la información, y su explotación
para obtener un valor óptimo es otro elemento esencial de la optimización de recursos.
El alineamiento estratégico y la medición del desempeño revisten una importancia primordial y afectan a la totalidad
de actividades para garantizar que los objetivos relacionados con I&T estén alineados con los objetivos de la
empresa.
En un amplio estudio de caso de una compañía aérea internacional, se demostró que los beneficios de la GETI
incluían: costos inferiores de continuidad relacionados con las TI, mayor capacidad innovadora gracias a las TI,
mayor alineamiento entre la inversión digital y los objetivos y estrategia empresariales, mayor confianza entre el
negocio y las TI, y un cambio hacia una «mentalidad de valor» en torno a los activos digitales. 2 2
Los estudios muestran que las empresas con estrategias de GETI mal diseñadas o adoptadas tienen un peor
alineamiento del negocio y las estrategias y procesos de I&T. Como resultado, estas empresas tienen menor
probabilidad de cumplir con sus estrategias de negocio previstas y lograr el valor de negocio que esperan a partir de
la transformación digital.3 3
A partir de esto, es obvio que el gobierno debe entenderse e implementarse mucho más allá de la interpretación
(limitada) que solemos encontrarnos y que viene sugerida por el acrónimo de gobierno, riesgo y cumplimiento
(GRC). El acrónimo GRC sugiere de forma implícita que el cumplimiento y el riesgo relacionado representan el
espectro de gobierno.
1.3 COBIT como marco de gobierno de I&T
Con el paso de los años, se han desarrollado y promocionado marcos de mejores prácticas para contribuir al proceso
de conocimiento, diseño e implementación de la GETI. COBIT® 2019 integra y se basa en más de 25 años de
desarrollo en este campo, no solo mediante la incorporación de los nuevos conocimientos de la ciencia, sino también
con la aplicación de estos conocimientos en la práctica.
Desde su nacimiento en la comunidad de las auditorías de TI, COBIT® ha pasado a ser un marco de gobierno y
gestión de I&T más amplio y exhaustivo y sigue estableciéndose como un marco generalmente aceptado para el
gobierno de I&T.
2 De Haes, S.; W. van Grembergen; Enterprise Governance of IT: Achieving Alignment and Value, Featuring COBIT 5, Springer International Publishing, Switzerland, 2.ª ed. 2015, https://www.springer.com/us/book/9783319145464
3 De Haes, Steven; A. Joshi; W. van Grembergen; “State and Impact of Governance of Enterprise IT in Organizations: Key Findings of an International Study”, ISACA® Journal, vol. 4, 2015, https://www.isaca.org/Journal/archives/2015/Volume-4/Pages/state-and-
impact-of-governance-of-enterprise-it-in-organizations.aspx. Ver también op cit De Haes y van Grembergen.
12

CAPÍTULO 1
INTRODUCCIÓN
1.3.1 ¿Qué es COBIT y qué no es?
Antes de describir el marco COBIT actualizado, es importante explicar qué es COBIT y qué no es:
COBIT es un marco para el gobierno y la gestión de las tecnologías de la información de la empresa,4 dirigido a toda 4
la empresa. La I&T empresarial significa toda la tecnología y procesamiento de la información que la empresa utiliza
para lograr sus objetivos, independientemente de dónde ocurra dentro de la empresa. En otras palabras, la I&T
empresarial no se limita al departamento de TI de una organización, aunque este está indudablemente incluido.
El marco de referencia COBIT hace una distinción clara entre gobierno y gestión. Estas dos disciplinas abarcan
distintos tipos de actividades, requieren distintas estructuras organizativas y sirven diferentes propósitos.
 El gobierno asegura que:
 Las necesidades, condiciones y opciones de las partes interesadas se evalúan para determinar objetivos
empresariales equilibrados y acordados.
 La dirección se establece a través de la priorización y la toma de decisiones.
 El desempeño y el cumplimiento se monitorean en relación con la dirección y los objetivos acordados.
En la mayoría de las empresas, el gobierno en general es responsabilidad del consejo de dirección bajo el liderazgo
del presidente. Responsabilidades específicas de gobierno se pueden delegar a estructuras organizativas especiales a
un nivel adecuado, en particular, en empresas más grandes y complejas.
 La gerencia planifica, construye, ejecuta y monitorea actividades en línea con la dirección establecida por el
órgano de gobierno para alcanzar los objetivos de la empresa.
En la mayoría de las empresas, la gerencia es responsabilidad de la dirección ejecutiva bajo el liderazgo del director
general ejecutivo (CEO).
COBIT define los componentes para crear y sostener un sistema de gobierno: procesos, estructuras organizativas,
políticas y procedimientos, flujos de información, cultura y comportamientos, habilidades e infraestructura.5 5
COBIT define los factores de diseño que deberían ser considerados por la empresa para crear un sistema de gobierno
más adecuado.
COBIT trata asuntos de gobierno mediante la agrupación de componentes de gobierno relevantes dentro de objetivos
de gobierno y gestión que pueden gestionarse según los niveles de capacidad requeridos.
Debemos disipar algunos conceptos erróneos acerca de COBIT:

 COBIT no es una descripción completa de todo el entorno de TI de una empresa.
 COBIT no es un marco para organizar procesos de negocio.
 COBIT no es un marco técnico (de TI) para gestionar toda la tecnología.
 COBIT no toma ni prescribe ninguna decisión relacionada con la TI. No decidirá cuál es la mejor estrategia de TI,
cuál es la mejor arquitectura, o cuánto puede o debería costar la TI. Por el contrario, COBIT define todos los
componentes que describen qué decisiones deberían tomarse, cómo deberían tomarse y quién debería tomarlas.
4
4 A lo largo de esta publicación, las referencias al «marco para el gobierno de TI» implican la totalidad de esta descripción.
5
5 Estos componentes se calificaron como habilitadores en COBIT® 5.
13

1.4 Estructura de esta publicación
El resto de esta publicación contiene los capítulos siguientes:

 El capítulo 2 analiza el público objetivo de COBIT.
 El capítulo 3 explica los principios de los sistemas de gobierno para I&T, y los principios de los marcos de buen
gobierno.
 El capítulo 4 explica los conceptos básicos y la terminología de COBIT® 2019, incluido el modelo central de
COBIT actualizado con sus 40 objetivos de gobierno y gestión.
 El capítulo 5 profundiza en los 40 objetivos de gobierno y gestión.
 El capítulo 6 explica cómo se concibe la monitorización del desempeño en COBIT® 2019 y, en particular, cómo se
introducen los niveles de capacidad inspirados en el Modelo Integrado de Madurez de la Capacidad (CMMI®).
 El capítulo 7 contiene una breve introducción y una descripción general del flujo de trabajo de la Guía de diseño
COBIT® 2019.
 El capítulo 8 contiene una breve introducción y una visión general de la Guía de implementación de COBIT® 2019.
 El capítulo 9 contiene un ejemplo detallado para ilustrar cómo se hace el caso para la adopción e implementación
de COBIT en una empresa.
 El capítulo 10 enumera los estándares, marcos y regulaciones que se han usado durante el desarrollo de COBIT®
2019.
14

CAPÍTULO 2
PÚBLICO OBJETIVO
Capítulo 2
Público objetivo
2.1 Partes interesadas en el gobierno
El público objetivo de COBIT son las partes interesadas en la GETI y, por extensión, las partes interesadas en el
gobierno corporativo. Estas partes interesadas y los beneficios que pueden obtener de COBIT se muestran en la
figura 2.1.
Figura 2.1—Partes interesadas de COBIT

Parte interesada Beneficio de COBIT
Juntas de
Partes interesadas internas Proporciona información sobre cómo obtener valor del uso de la I&T y
explica las responsabilidades relevantes del consejo
Dirección ejecutiva Proporciona las directrices acerca de cómo organizar y monitorear el
desempeño de las I&T en el conjunto de la empresa
Gerentes de negocio Ayuda a entender cómo obtener las soluciones de I&T que las empresas
requieren y la mejor manera de explotar las nuevas tecnologías para
acceder a nuevas oportunidades estratégicas
Gerentes de TI Proporciona las directrices sobre la mejor manera de crear y estructurar
el departamento de TI, gestionar el desempeño de TI, poner en
funcionamiento una operación de TI eficiente y eficaz, controlar los
costos de TI, alinear la estrategia de TI con las prioridades del negocio,
etc.
Proveedores de aseguramiento Ayuda a gestionar la dependencia de proveedores externos de servicio ,
proveer aseguramiento sobre las TI y asegurar la existencia de un
sistema de controles internos eficaz y eficiente
Gestión de riesgos Ayuda a asegurar la identificación y gestión de todos los riesgo
relacionados con las TI
Partes interesadas externas
Entidades reguladoras Ayuda a asegurar que la empresa cumpla con toda la normativa y
regulaciones aplicables y cuente con el sistema de gobierno adecuado
para gestionar y mantener el cumplimiento
Socios de negocios Ayuda a garantizar que las operaciones de un socio empresarial sean
seguras, confiables y cumplan con toda la normativa y regulaciones
aplicables
Proveedores de TI Ayuda a asegurar que las operaciones de un proveedor de TI sean
seguras, confiables y cumplan con toda la normativa y regulaciones
aplicables
Se requiere un cierto nivel de experiencia y un conocimiento profundo de la empresa para beneficiarse del marco de
referencia COBIT. Dicha experiencia y conocimiento permite a los usuarios personalizar las directrices principales
de COBIT (cuya naturaleza es genérica) en directrices personalizadas y centradas en la empresa, mediante la
consideración del contexto de la empresa.
El público objetivo incluye a aquellos responsables durante todo el ciclo de vida de la solución de gobierno, desde el
diseño a la ejecución y al aseguramiento. De hecho, los proveedores de aseguramiento pueden aplicar la lógica y el
flujo de trabajo desarrollado en esta publicación para crear un programa de aseguramiento bien documentado para la
empresa.
15

16

CAPÍTULO 3
PRINCIPIOS DE COBIT
Capítulo 3
Principios de COBIT
3.1 Introducción
COBIT 2019 se desarrolló en base a dos series de principios:

 Principios que describen los requisitos fundamentales de un sistema de gobierno para la Información y la
Tecnología de la empresa
 Principios para un marco de gobierno que pueda usarse para crear un sistema de gobierno para la empresa
3.2 Seis principios para un sistema de gobierno

Los seis principios para un sistema de gobierno son (figura 3.1):
1. Cada empresa necesita un sistema de gobierno para satisfacer las necesidades de las partes interesadas y generar
valor del uso de la I&T. El valor refleja un equilibrio entre el beneficio, el riesgo y los recursos, y las empresas
necesitan una estrategia y un sistema de gobierno práctico para materializar este valor.
2. Un sistema de gobierno para la I&T de la empresa se crea a partir de una serie de componentes que pueden ser
de distinto tipo y que funcionan conjuntamente de forma holística.
3. Un sistema de gobierno debería ser dinámico. Esto significa que cada vez que se cambian uno o más factores del
diseño (p. ej. un cambio de estrategia o tecnología), debe considerarse el impacto de estos cambios en el sistema
GETI. Una visión dinámica de la GETI llevará a un sistema de GETI preparado para el futuro.
4. Un sistema de gobierno debería distinguir claramente entre actividades de gobierno y gestión, y estructuras.
5. Un sistema de gobierno debería personalizarse de acuerdo con las necesidades de la empresa, utilizando una
serie de factores de diseño como parámetros para personalizar y priorizar los componentes del sistema de
gobierno.
6. Un sistema de gobierno debería cubrir la empresa de principio a fin, centrándose no solo en la función de TI,
sino en todo el procesamiento de tecnología e información que la empresa pone en funcionamiento para lograr
sus objetivos, independientemente de dónde se realice el procesamiento en la empresa.6 1
Figura 3.1—Principios del Sistema de Gobierno
1. Proporcionar 3. Sistema de
2. Enfoque
valor a las gobierno
holístico
partes interesadas dinámico
4. Separar el 5. Adaptar a 6. Sistema

gobierno de las necesidades de gobierno
la gestión de la empresa íntegro
1
6 Huygh, T.; S. De Haes; “Using the Viable System Model to Study IT Governance Dynamics: Evidence from a Single Case Study”, Actas de la 51.ª Conferencia Internacional de Hawái sobre Ciencias de Sistemas, 2018,
https://scholarspace.manoa.hawaii.edu/bitstream/10125/50501/1/paper0614.pdf
17

3.3 Tres principios para un Marco de Gobierno

Los tres principios para un marco de gobierno son (figura 3.2):
1. Un marco de gobierno se debería basar en un modelo conceptual que identifique los componentes principales y
las relaciones entre componentes para maximizar la uniformidad y permitir la automatización.
2. Un marco de gobierno debería ser abierto y flexible. Debería permitir la incorporación de nuevo contenido y la
capacidad para abordar nuevos asuntos de la forma más flexible, mientras mantiene la integridad y uniformidad.
3. Un marco de gobierno debería alinearse con los principales estándares, marcos y regulaciones relacionados.
Figura 3.2—Principios del Marco de Gobierno
1.
1. Based
Basadoonen
2.2.Open andy
Abierto
Conceptual
el modelo
Flexible
flexible
Model
conceptual
3. 3.
Alineado
Alignedcon
to las
principales normativas
Major Standards
3.4 COBIT® 2019
COBIT® 2019 mejora las anteriores versiones de COBIT en las áreas siguientes:
Flexibilidad y apertura—La definición y uso de los factores de diseño permiten la personalización de COBIT
para un mayor alineamiento con el contexto específico de un usuario. La arquitectura abierta de COBIT permite
incorporar nuevas áreas prioritarias (ver sección 4.4) o modificar las actuales, sin implicaciones directas para la
estructura y el contenido del modelo escencial de COBIT.
Actualidad y relevancia—El modelo COBIT apoya las referencias y alineamiento con conceptos que surgen de
otras fuentes (p. ej. los últimos estándares y regulaciones de cumplimiento de TI).
Aplicación prescriptiva—Los modelos como COBIT pueden ser descriptivos y prescriptivos. El modelo
conceptual COBIT se crea y presenta de tal modo que su ejemplificación (es decir, la aplicación de los
componentes de gobierno personalizados de COBIT) se percibe como una prescripción de un sistema de gobierno
de TI personalizado.
Gestión del desempeño de TI—La estructura del modelo de gestión de desempeño de COBIT está integrada en el
modelo conceptual. Los conceptos de madurez y capacidad se introducen para lograr un mayor alineamiento con
CMMI.
La guía de COBIT usa los términos gobierno de información y tecnología - de la empresa, gobierno empresarial de
información y tecnología y gobierno de TI y gobernanza de TI de forma indistinta.
18

CAPÍTULO 4
CONCEPTOS BÁSICOS: SISTEMA DE GOBIERNO Y COMPONENTES
Capítulo 4
Conceptos básicos: Sistema de Gobierno y Componentes
4.1 Generalidades de COBIT
La familia de productos COBIT® 2019 es abierta y se ha diseñado para la personalización. En la actualidad, están
disponibles las publicaciones siguientes:7 1
 El Marco de referencia COBIT® 2019: Introducción y metodología, presenta los conceptos clave de COBIT® 2019.
 El Marco de referencia COBIT® 2019: Objetivos de gobierno y gestión describe de forma exhaustiva los 40
objetivos principales del gobierno y la gestión, los procesos incluidos en ellos y otros componentes relacionados. Esta
guía también hace referencia a otros estándares y marcos.
 La Guía de diseño COBIT® 2019 Diseño de una solución de Gobierno de Información y Tecnología explora los
factores de diseño que pueden influir en el gobierno e incluye un flujo de trabajo para la planificación de un sistema
de gobierno personalizado para la empresa.
 La Guía de implementación de COBIT® 2019: Implementación y optimización de una solución de gobierno de
Información y Tecnología representa una evolución de la Guía de implementación COBIT® 5 y desarrolla una hoja
de ruta para la mejora continua del gobierno. Puede usarse en combinación con la Guía de diseño COBIT® 2019.
La figura 4.1 muestra una visión general de COBIT® 2019 e ilustra cómo las distintas publicaciones de la serie cubren
distintos aspectos.
Figura 4.1—COBIT Generalidades
• Estrategia empresarial
• Metas empresariales
• Tamaño de la empresa
• Rol de TI
Introducción a COBIT 2019 COBIT 2019 • Modelo de proveedores para TI
• Requerimientos de cumplimiento
• Etc.
COBIT 5 Modelo de referencia COBIT

Modelo de referencia de los objevos Factores de diseño
Estándares, marcos de gobierno y Marco de referencia COBIT® 2019: Sistema de gobierno empresarial
de referencia y personalizado para
regulaciones EDM01—Garantizar el
establecimiento y el EDM02—Asegurar la EDM03—Asegurar la EDM04—Asegurar la EDM05—Asegurar la
mantenimiento del
marco de gobierno
realización
de beneficios
optimización
del riesgo
optimización de
los recursos
transparencia de las
partes interesadas la información y la tecnología
Contribución de
la comunidad APO01—Gestionar
el marco de
gestión de TI
APO02—Gestionar
la estrategia
APO03—Gestionar la
arquitectura de
la empresa
APO04—Gestionar
la innovación
APO05—Gestionar
la cartera
APO06—Gestionar
el presupuesto y
los costes
APO07—Gestionar
los recursos humanos
MEA01—Gestionar la
supervisión del
cumplimiento
y rendimiento
APO09—Gestionar
APO08—Gestionar APO10—Gestionar APO11—Gestionar APO12—Gestionar APO13—Gestionar APO14—Gestionar
los acuerdos de
Área prioritaria:
las relaciones los proveedores la calidad el riesgo la seguridad los datos
servicio
➢ Objetivos prioritarios
MEA02—Gestionar
el sistema de
BAI03—Gestionar BAI07—Gestionar la control interno
la identificación y BAI06—Gestionar aceptación y la
los programas la definición la disponibilidad los cambios
creación de los cambios de TI transición de
de requisitos
soluciones
y capacidad organizativos
los cambios de TI
de gobierno
MEA03—Gestionar
el cumplimiento de • PyMEs y gestión
➢ Guía específica de
el conocimiento los activos la configuración los proyectos
• Seguridad
• Riesgo las áreas prioritarias
DSS01—Gestionar
las operaciones
DSS02—Gestionar l
as solicitudes
e incidentes
de servicio
DSS03—Gestionar
los problemas
DSS04—Gestionar
la continuidad
DSS05—Gestionar
los servicios
de seguridad
DSS06—Gestionar
los controles de
procesos de negocio
MEA04—Gestionar
el aseguramiento • DevOps ➢ Guía de gestión de
• Etc. capacidades y
desempeño objetivos
Marco de referencia COBIT® 2019:

Las publicaciones de
referencia de COBIT
Marco de referencia COBIT® 2019: Guía de diseño COBIT® 2019: Guía de implementación de COBIT®
Objevos de gobierno Diseño de una solución de Gobierno 2019: Implementación y opmización
y gesón de Información y Tecnología de una solución de gobierno de
Información y Tecnología
1
7 En el momento de la publicación de este título, Marco de referencia COBIT® 2019: Introducción y metodología, están previstos títulos adicionales de la familia de productos COBIT® 2019, aunque aún no se han publicado.
19

El contenido identificado como áreas prioritarias en la figura 4.1 incluirá una guía más detallada sobre determinados
aspectos.8 2
COBIT® 2019 está basado en COBIT® 5 y otras fuentes fidedignas. COBIT está alineado con una serie de estándares
y marcos relacionados. La lista de estos estándares se incluye en el capítulo 10. El análisis de estándares relacionados
y el alineamiento de COBIT con estos sustentan la posición consolidada de ser la sombrilla del marco de gobierno de
la Información y la Tecnología.
En el futuro, COBIT acudirá a su comunidad de usuario para que proponga actualizaciones de contenido, que serán
aplicadas como contribuciones controladas de forma continua, para que COBIT esté al día con las últimas
percepciones y evoluciones.
Las secciones siguientes explican los conceptos y términos clave que se usan en COBIT® 2019.
4.2 Objetivos de gobierno y gestión
Para que la información y la tecnologìa contribuyan a los objetivos de la empresa, deberían alcanzarse una serie de
objetivos de gobierno y gestión. Los conceptos básicos relacionados con los objetivos de gobierno y gestión son:
 Un objetivo de gobierno o gestión siempre está relacionado con un proceso (con un nombre idéntico o similar) y
una serie de componentes relacionados de otros tipos para contribuir a lograr el objetivo.
 Un objetivo de gobierno está relacionado con un proceso de gobierno (mostrado en el fondo azul oscuro de la
figura 4.2), mientras que un objetivo de gestión está relacionado con un proceso de gestión (mostrado en el fondo
azul claro de la figura 4.2). Los consejos de administración y la dirección ejecutiva suelen ser responsables de los
procesos de gobierno, mientras que los procesos de gestión pertenecen al dominio de la alta y media gerencia.
Los objetivos de gobierno y gestión de COBIT se agrupan en cinco dominios. Los dominios se nombran mediante
verbos que expresan el propósito clave y las áreas de actividad del objetivo que tienen:
 Los objetivos de gobierno se agrupan en el dominio Evaluar, Dirigir y Monitorizar (EDM). En este dominio, el
organismo de gobierno evalúa las opciones estratégicas, direcciona a la alta gerencia con respecto a las opciones
estratégicas elegidas y monitoriza la consecución de la estrategia.
 Los objetivos de gestión se agrupan en cuatro dominios:
 Alinear, Planificar y Organizar (APO) aborda la organización general, estrategia y actividades de apoyo para
las I&T.
 Construir, Adquirir e Implementar (BAI) se encarga de la definición, adquisición e implementación de
soluciones de I&T y su integración en los procesos de negocio.
 Entregar, Dar Servicio y Soporte (DSS) aborda la ejecución operativa y el soporte de los servicios de I&T,
incluida la seguridad.
 Monitorizar, Evaluar y Valorar (MEA) aborda la monitorización y la conformidad de I&T con los objetivos de
desempeño interno, los objetivos de control interno y los requerimientos externos.
2
8 Algunas de estas guías de contenido de áreas ya están preparándose; y otras están previstas. Esta serie de guías de áreas prioritarias es abierta y seguirá evolucionando. Para obtener la información más reciente sobre las publicaciones actualmente
disponibles y planificadasasì como otroscontenidos, por favor visite www.isaca.org/cobit.
20

CAPÍTULO 4
Figura 4.2—Modelo Core de COBIT
EDM01—Garantizar
EDM04—Asegurar EDM05—Asegurar
el establecimiento EDM02—Asegurar EDM03—Asegurar
la optimización la transparencia
y el mantenimiento la realización la optimización
de los recursos de las partes
del marco de de beneficios del riesgo interesadas
gobierno
el marco de la arquitectura
la estrategia la innovación el portafolio el presupuesto y los recursos
gestión de TI de la empresa los costes humanos MEA01—Gestionar
la monitorización del
rendimiento y la
conformidad
los acuerdos los datos
las relaciones los proveedores la calidad el riesgo la seguridad
de servicio
MEA02—Gestionar
el sistema
BAI03—Gestionar BAI07—Gestionar de control interno
la identificación BAI06—Gestionar la aceptación y
los programas la definición la disponibilidad los cambios
y construcción de los cambios de TI la transición de
de requisitos y capacidad organizativos
soluciones los cambios de TI
MEA03—Gestionar
BAI08—Gestionar el BAI09—Gestionar BAI10—Gestionar BAI11—Gestionar el cumplimiento
conocimiento los activos la configuración los proyectos de los
requisitos externos

DSS01—Gestionar las solicitudes DSS03—Gestionar DSS04—Gestionar los controles MEA04—Gestionar
las operaciones los servicios
e incidentes los problemas la continuidad de procesos el aseguramiento
de seguridad
de servicio de negocio
4.3 Componentes del sistema de gobierno
Con el objetivo de cumplir con los objetivos de gobierno y gestión, cada empresa debe establecer, personalizar y
sostener un sistema de gobierno creado a partir de una serie de componentes.
 Estos componentes son factores que, de forma individual y colectiva, contribuyen al buen funcionamiento del
sistema de gobierno de la empresa en cuanto a I&T.
 Los componentes interactúan entre sí, lo que da lugar a un sistema holístico de gobierno de I&T.
 Los componentes pueden ser de diversos tipos. Los más comunes son procesos. Sin embargo, los componentes de
un sistema de gobierno incluyen también estructuras organizativas; políticas y procedimientos; elementos de
información; cultura y comportamiento; habilidades y competencias; y servicios, infraestructura y aplicaciones
(figura 4.3).
 Los procesos describen una serie de prácticas y actividades organizadas para lograr determinados objetivos y
producir una serie de resultados que contribuyan a la consecución de la totalidad de los objetivos relacionados
con las TI.
 Las estructuras organizativas son las entidades clave de toma de decisiones en una empresa.
 Los principios, las políticas y los marcos convierten el comportamiento deseado en orientación práctica para la
gestión del día a día.
 La información es generalizada a lo largo de cualquier organización e incluye toda la información producida y
utilizada por la empresa. COBIT se centra en la información requerida para el funcionamiento eficaz del sistema de
gobierno de la empresa.
21

 La cultura, la ética y el comportamiento de los individuos y de la empresa son, a menudo, subestimados como un
factor de éxito de las actividades de gobierno y gestión.
 Las personas, las habilidades y las competencias son necesarias para tomar buenas decisiones, ejecutar acciones
correctivas y completar satisfactoriamente todas las actividades.
 Los servicios, la infraestructura y las aplicaciones incluyen la infraestructura, la tecnología y las aplicaciones que
brindan a la empresa un sistema de gobierno para el procesamiento de I&T.
Figura 4.3—Componentes COBIT de un sistema de gobierno
Procesos
Servicios,
infraestructura Estructuras
y aplicaciones organizativas
Sistema
Personas, de gobierno Principios,
habilidades políticas,
y competencias procedimientos
Cultura,
ética y Información
comportamiento
Los componentes de cualquier tipo pueden ser genéricos o variantes de los componentes genéricos:
 Los componentes genéricos se describen en el modelo core de COBIT (ver la figura 4.2) y se aplican, en
principio, a cualquier situación. Sin embargo, su naturaleza es genérica y suelen requerir una adaptación antes de
que se puedan implementar en la práctica.
 Las alternativas se basan en componentes genéricos, pero se adaptan para un propósito o contexto específico
dentro de un área prioritaria (p. ej.: para seguridad de la información, DevOps, una regulación específica).
4.4 Áreas prioritarias
Un área prioritaria describe un tópico, dominio o asunto de gobierno que puede abordarse por una serie de
objetivos de gobierno y gestión y sus componentes. Algunos de los ejemplos de áreas prioritarias son: pequeñas y
medianas empresas, ciberseguridad, transformación digital, computación en la nube, privacidad, y DevOps.9 Las 3
áreas prioritarias pueden incluir una combinación de componentes de gobierno genéricos y variantes.
9
3
DevOps es un ejemplo tanto de una variante de componente como de un área prioritaria. ¿Por qué? DevOPs es un tema de actualidad en el mercado y requiere indudablemente unas directrices
específicas, lo que lo convierte en un área prioritaria. DevOps incluye una serie de objetivos de gobierno y gestión genéricos del modelo core de COBIT, junto con una serie de variantes de procesos y
estructuras organizativas relativas al desarrollo, la operación y la monitorización.
22

CAPÍTULO 4
La cantidad de áreas prioritarias es prácticamente ilimitada. Esto hace que COBIT sea abierto. Se pueden añadir
nuevas áreas prioritarias conforme sea necesario o conforme los expertos y especialistas en la materia contribuyan al
modelo COBIT abierto.
4.5 Factores de diseño

Los factores de diseño son factores que pueden influir en el diseño del sistema de gobierno de una empresa y
posicionarla para que tenga éxito al usar la I&T.
Los posibles impactos que pueden tener los factores de diseño en el sistema de gobierno se señalan en la sección
7.1. Puede encontrar más información y una guía detallada acerca de cómo usar los factores de diseño al diseñar
un sistema de gobierno en la Guía de diseño COBIT® 2019.
Los factores de diseño incluyen cualquier combinación de lo siguiente (figura 4.4):
Figura 4.4—Factores de diseño COBIT
Estrategia Metas Problemas Panorama

Perfil de riesgo
empresarial empresariales relacionados de amenazas
con I&T
Requerimientos Modelo de Métodos Estrategia de

Rol de TI abastecimiento de adopción Tamaño de
de la empresa
cumplimiento para TI implementación de tecnología
de TI
Factores futuros
1. Estrategia de la empresa—Las empresas pueden contar con distintas estrategias, que pueden expresarse como
uno o más de los arquetipos que se muestran en la figura 4.5. Las organizaciones suelen contar con una estrategia
principal y, como mucho, una estrategia secundaria.
Figura 4.5—Factor de diseño de estrategia de la empresa

Arquetipo de la estrategia Explicación
Crecimiento/Adquisición La empresa se centra en el crecimiento (ingresos).10 4
Innovación/Diferenciación La empresa debe centrarse en ofrecer productos y servicios diferentes y/o

innovadores a sus clientes.11 5
Liderazgo en costos La empresa debe centrarse en la minimización de costes a corto plazo.12 6
Servicio al cliente/Estabilidad La empresa se centra en proporcionar un servicio estable y orientado al

cliente.13 7
10 Se corresponde con el prospector de la tipología Miles-Snow. Ver “Miles and Snow’s Typology of Defender, Prospector, Analyzer, and Reactor,” Elibrary, https://ebrary.net/3737/management/miles_snows_typology_defender_prospector_analyzer_reactor.
11 Ver Reeves, Martin; Claire Love, Philipp Tillmanns, “Your Strategy Needs a Strategy,” Harvard Business Review, septiembre 2012, https://hbr.org/2012/09/your-strategy-needs-a-strategy, especialmente relacionado con la visión y el modelado.
12 Corresponde al liderazgo en costes; ver University of Cambridge, “Porter’s Generic Competitive Strategies (ways of competing),” Institute for Manufacturing (IfM) Management Technology Policy, https://www.ifm.eng.cam.ac.uk/research/dstools/porters-generic-competitive-
strategies/. También corresponde a la excelencia operativa; ver Treacy, Michael; Fred Wiersema, “Customer Intimacy and Other Value Disciplines,” Harvard Business Review, enero/febrero 1993, https://hbr.org/1993/01/customer-intimacy-and-other-value-disciplines
7
13 Corresponde a los defensores de la tipología Miles-Snow. Ver op cit “Miles and Snow’s Typology of Defender, Prospector, Analyzer, and Reactor.”
23

2. Objetivos empresariales que soporten la estrategia empresarial—La estrategia empresarial se logra mediante la
consecución de (una serie de) metas empresariales. Estos objetivos se definen en el marco de referencia COBIT, se
estructuran en torno a las dimensiones del cuadro de mando integral (balanced scorecard), e incluyen los elementos que se
muestran en la figura 4.6.
Figura 4.6—Factor de diseño de metas empresariales

Referencia Dimensión del cuadro de mando integrado Meta empresarial
(Balanced Scorecard, BSC)
EG01 Financiera Portafolio de productos y servicios competitivos
EG02 Financiera Gestión de riesgo de negocio
EG3 Financiera Cumplimiento de leyes y regulaciones externas
EG4 Financiera Calidad de la información financiera
EG5 Cliente Cultura de servicio orientada al cliente
EG6 Cliente Continuidad y disponibilidad del servicio del negocio
EG7 Cliente Calidad de la información de gestión
EG8 Interna Optimización de la funcionalidad de los procesos internos del
negocio
EG9 Interna Optimización de costes de los procesos del negocio
EG10 Interna Habilidades, motivación y productividad del personal
EG11 Interna Cumplimiento de las políticas internas
EG12 Crecimiento Gestión de programas de transformación digital
EG13 Crecimiento Innovación de productos y negocios
La sección 4.6 incluye más información de la cascada de metas de COBIT, que es la elaboración detallada de este factor
de diseño.
3. El perfil de riesgo de la empresa y los problemas actuales relacionados con la I&T—El perfil de riesgo identifica los
tipos de riesgos relacionados con I&T a los que está expuesta la empresa en la actualidad e indica qué áreas de riesgo
exceden el apetito al riesgo. Las categorías de riesgo148 enumeradas en la figura 4.7 merecen consideración.
Figura 4.7—Factores de diseño del perfil de riesgo (Categorías de riesgo de TI)

Referencia Categoría de riesgo
1 Toma de decisiones sobre inversiones en TI, definición y mantenimiento del portafolio
2 Gestión del ciclo de vida de programas y proyectos
3 Coste y supervisión de TI
4 Experiencia, habilidades y comportamientos de TI
5 Arquitectura de la empresa/TI
6 Incidentes de infraestructura operativa de TI
7 Acciones no autorizadas
8 Adopción de software/problemas de uso
9 Incidentes de hardware
10 Fallos de software
11 Ataques lógicos (hacking, malware)
12 Incidentes de terceros/proveedores externos
13 Incumplimiento
14 Problemas geopolíticos
15 Acción sindical
16 Desastres naturales
17 Innovación tecnológica
18 Medio ambiente
19 Gestión de información y datos
8
14 Modificado por ISACA: La Guía del profesional de Riesgos de TI, EE. UU., 2009
24

CAPÍTULO 4
4. Problemas relacionados con I&T—Un método asociado para una valoración de riesgos de I&T de la empresa
consiste en considerar a qué problemas relacionados con I&T se enfrenta o, dicho de otro modo, qué riesgo
relacionado con I&T se ha materializado. El problema más común de todos15 Se incluyen en la figura 4.8. 9
Figura 4.8—Factor de diseño de problemas relacionados con I&T

Referencia Descripción
A Frustración entre distintas unidades de TI a través de la organización debido a una percepción de baja
contribución al valor del negocio
B Frustración entre distintos departamentos de la empresa (por ej. el cliente de TI) y el departamento de TI debido a
iniciativas fallidas o una percepción de baja contribución al valor del negocio
C Incidentes significativos relacionados con TI, como pérdida de datos, brechas de seguridad, fracaso de proyectos
y errores de aplicaciones, relacionados con TI
D Problemas de entrega del servicio por parte de los terceros de TI
E Incumplimiento de los requerimientos regulatorios o contractuales relacionados con TI
F Hallazgos habituales de auditoría u otros informes de evaluación sobre un pobre desempeño de TI o notificación
de problemas en la calidad del servicio de TI
G Importantes gastos ocultos y fraudulentos en TI, es decir, gasto en TI por departamentos de usuarios fuera del
control de los mecanismos normales de decisión de inversión y los presupuestos aprobados de TI
H Duplicidades o solapamientos entre varias iniciativas u otras formas de desperdicio de recursos
I Recursos de TI insuficientes, personal con habilidades inadecuadas o personal agotado/insatisfecho
J Cambios o proyectos habilitados por TI no satisfacen a menudo las necesidades del negocio y que se ejecutan
tarde o por encima del presupuesto
K Resistencia de los miembros del consejo de administración, ejecutivos o alta gerencia a involucrarse en las TI o
una falta de patrocinio empresarial comprometido con TI
L Modelo operativo de TI complejo y/o mecanismos de decisión confusos para las decisiones relacionadas con TI
M Coste de TI excesivamente alto
N Implementación obstaculizada o fallida de nuevas iniciativas o innovaciones causada por la arquitectura y
sistemas de TI actuales
O Brecha entre conocimiento tecnológico y empresarial, lo que lleva a que los usuarios del negocio y los
especialistas en TI hablen lenguajes distintos
P Problemas habituales con la calidad de los datos y la integración de datos de distintas fuentes
Q Nivel elevado de informática de usuario final, lo que genera (entre otros problemas) una falta de supervisión y
control de calidad sobre las aplicaciones que se están desarrollado y colocando en operación
R Los departamentos del negocio implementan sus propias soluciones de información con poco o ningún
involucramiento del departamento de TI de la empresa.1610
S Ignorancia y/o incumplimiento de las regulaciones de privacidad
T Incapacidad para explotar nuevas tecnologías o innovar utilizando I&T
5. Panorama de amenazas—El panorama de amenazas bajo el cual opera la empresa puede clasificarse tal como se
muestra en la figura 4.9.
Figura 4.9—Factor de diseño del panorama de amenazas

Panorama de amenazas Explicación
Normal La empresa funciona bajo lo que se consideran niveles de amenaza normales.
Alto Debido a su situación geopolítica, sector industrial o perfil específico, la empresa
funciona en un entorno de amenazas elevadas.
9
15 ISACA, Ver también la Sección 3.3.1 Puntos críticos típicos, en la Guía de implementación de COBIT® 2019: Implementación y optimización de una solución de gobierno de Información y Tecnología, EE.UU., 2019
10
16 Este problema está relacionado con la informática de usuario final, que suele surgir de la insatisfacción con respecto a las soluciones y servicios de TI.
25

6. Requerimientos de cumplimiento—Los requerimientos de cumplimiento a los que la empresa está sujeta pueden
clasificarse conforme a las categorías enumeradas en la figura 4.10.
Figura 4.10—Factor de diseño de los requerimientos de cumplimiento

Entornos regulatorios Explicación
Requerimientos de cumplimiento bajos La empresa está sujeta a un conjunto de requerimientos de
cumplimiento mínimos que son inferiores a la media.
Requerimientos de cumplimiento normales La empresa está sujeta a un conjunto de requerimientos de
cumplimiento comunes a las distintas industrias.
Requerimientos de cumplimiento altos La empresa está sujeta a requerimientos de cumplimiento más elevados
de lo normal, en la mayoría de los casos relacionados con el sector
industrial y las condiciones geopolíticas.
7. Rol de TI—-El rol de TI para la empresa puede clasificarse tal como se muestra en la figura 4.11.
Figura 4.11—Factor de Diseño del rol de TI

17
Rol de TI 11
Explicación
Soporte TI no es crucial para el funcionamiento y la continuidad de los procesos
y servicios del negocio ni para su innovación.
Fábrica Cuando las TI fallan, hay un impacto inmediato en el funcionamiento y
continuidad de los procesos y servicios del negocio. Sin embargo, las TI
no se consideran un factor impulsor de la innovación de procesos y
servicios del negocio.
Cambio Las TI se consideran un factor impulsor de la innovación de procesos y
servicios del negocio. En este momento, sin embargo, no hay una
dependencia crítica en TI para el funcionamiento y la continuidad actual
de los procesos y servicios del negocio.
Estratégico Las TI son críticas para el funcionamiento e innovación de los procesos
y servicios del negocio de la organización.
8. Modelo de abastecimiento para TI—El modelo de abastecimiento que la empresa adopta puede clasificarse tal
como se muestra en la figura 4.12.
Figura 4.12—Factor de diseño del modelo de abastecimiento para TI

Modelo de abastecimiento Explicación
Externalización / Tercerización (outsourcing) La empresa requiere los servicios de un tercero para proporcionar
servicios de TI.
Nube La empresa maximiza el uso de la nube para proporcionar servicios de
TI a sus usuarios.
Internalizado (insourced) La empresa aporta su propio personal y servicios de TI.
Híbrido Se aplica un modelo híbrido que combina los otros tres modelos en
distintos grados.
11
17 Los roles incluídos en esta tabla se han extraido de McFarlan, F. Warren; James L. McKenney; Philip Pyburn; “The Information Archipelago—Plotting a Course,” Harvard Business Review, enero 1993, https://hbr.org/1983/01/the-information-
archipelago-plotting-a-course.
26

CAPÍTULO 4
9. Métodos de implementación de TI—Los métodos que la empresa adopta pueden clasificarse tal como se muestra
en la figura 4.13.
Figura 4.13—Factor de diseño de los métodos de implementación de TI

Método de implementación de TI Explicación
Agil La empresa utiliza los métodos de desarrollo de trabajo Agil para su
desarrollo de software.
DevOPs La empresa usa los métodos de trabajo DevOps para la creación,
despliegue y operaciones de software.
Tradicional La empresa usa un método más clásico para el desarrollo de software
(cascada) y separa el desarrollo de software de las operaciones.
Híbrido La empresa usa una mezcla de implementación de TI tradicional y TI
moderna, a la que solemos referirnos como «TI bimodal».
10. Estrategia de adopción de tecnología—La estrategia de adopción de tecnología puede clasificarse tal como se
Figura 4.14—Factor de diseño de la estrategia de adopción de tecnología

Estrategia de adopción de tecnología Explicación
El que primero se mueve (First mover) La empresa suele adoptar nuevas tecnologías lo antes posible e
intenta lograr la «ventaja del que primero se mueve».
Seguidor (Follower) La empresa suele esperar a que las nuevas tecnologías se
generalicen y pongan a prueba antes de adoptarlas.
Adoptadores lentos (Slow adopter) La empresa tarda mucho en adoptar las nuevas tecnologías.
11. Tamaño de la empresa—Se identifican dos categorías, tal como se muestra en la figura 4.15, para el diseño de
un sistema de gobierno de la empresa.18 12
Figura 4.15—Factor de diseño del tamaño de la empresa

Tamaño de la empresa Explicación
Empresa grande (predeterminada) Empresa con más de 250 empleados que laboran tiempo completo (FTE)
Pequeñas y medianas empresas Empresa con entre 50 y 250 empleados que laboran tiempo completo
(FTE)
12
18 En esta publicación no se han considerado las microempresas, es decir, empresas con menos de 50 empleados.
27

4.6 Cascada de metas
Las necesidades de las partes interesadas tienen que transformase en una estrategia factible para la empresa. La
cascada de metas (figura 4.16) soporta las metas empresariales, que es uno de los factores de diseño clave para un
sistema de gobierno. Apoya la priorización de los objetivos de la dirección basada en la priorización de las metas
empresariales.
Figura 4.16—Cascada de metas de COBIT
Impulsores y
necesidades
de las partes
interesadas
Metas
Recae en empresariales
Metas de
Recae en
alineamiento
Objetivos de
gobierno y
Recae en gestión
La cascada de metas soporta además la conversión de las metas empresariales en prioridades para metas de
alineamiento. La cascada de metas se ha actualizado de forma exhaustiva en COBIT® 2019:
 las metas empresariales se han consolidado, reducido, actualizado y aclarado.
 Las metas de alineamiento subrayan el alineamiento de todos los esfuerzos de TI con los objetivos del negocio.19 13
Este término actualizado también pretende evitar la equivocación frecuente de que estas metas indican
exclusivamente metas internas del departamento de TI dentro de una empresa Al igual que las metas empresariales,
las metas de alineamiento se han consolidado, reducido, actualizado y aclarado cuando ha sido necesario.
13
19 Las metas de alineamiento se denominaban metas relacionadas con TI en COBIT 5.
28

CAPÍTULO 4
4.6.1 Metas empresariales
Las necesidades de las partes interesadas tienen un efecto en las metas empresariales. La figura 4.17 muestra el
conjunto de 13 metas empresariales junto con una serie de métricas asociadas de ejemplo.
Figura 4.17—Cascada de metas: Metas y métricas empresariales

Referencia Dimensión del Meta empresarial Métricas de ejemplo
BSC
EG01 Financiera Portafolio de productos y  Porcentaje de productos y servicios que cumplen o exceden
servicios competitivos los objetivos de ingresos y/o cuota de mercado
 Porcentaje de productos y servicios que cumplen o exceden
los objetivos de satisfacción del cliente
 Porcentaje de productos y servicios que proporcionan una
ventaja competitiva
 Plazo de comercialización para nuevos productos y servicios
EG02 Financiera Gestión de riesgo de negocio  Porcentaje de objetivos y servicios empresariales críticos
cubiertos por la evaluación de riesgos
 Tasa (ratio) de incidentes significativos que no se
identificaron en la evaluación de riesgos frente al total de
incidentes
 Frecuencia adecuada de la actualización del perfil de riesgo
EG03 Financiera Cumplimiento de leyes y  Coste de incumplimiento regulatorio, incluyendo
regulaciones externas liquidacionesy multas
 Número de problemas de incumplimiento regulatorio que
causan comentarios públicos o publicidad negativa
 Número de problemas de incumplimiento señalados por los
reguladores o autoridades supervisoras
 Número de problemas de incumplimiento regulatorio en
relación con acuerdos contractuales con socios
empresariales
EG04 Financiera Calidad de la información  Encuesta de satisfacción de las partes interesadas clave con
financiera respecto al nivel de transparencia, comprensión y precisión
de la información financiera de la empresa
 Coste de incumplimiento regulatorio con respecto a
regulaciones financieras
EG05 Cliente Cultura de servicio orientada al  Número de interrupciones del servicio al cliente
cliente  Porcentaje de partes interesadas del negocio satisfechas de
que la prestación de servicios al cliente cumpla con los
niveles de servicio acordados
 Número de quejas de los clientes
 Tendencia de los resultados de la encuesta de satisfacción
al cliente
EG06 Cliente Continuidad y disponibilidad  Número de interrupciones del servicio al cliente o procesos
del servicio del negocio empresariales que han causado incidentes significativos
 Coste empresarial causado por los incidentes
 Número de horas de procesamiento perdidas por el negocio
debido a interrupciones inesperadas del servicio
 Porcentaje de quejas en función de los objetivos de
EG07 Cliente Calidad de la información de  Grado de satisfacción del consejo de administración y la
gestión dirección ejecutiva con la información para la toma de
decisiones
 Número de incidentes causados por decisiones erróneas de
negocio basadas en información incorrecta
 Tiempo que se tarda en proporcionar la información de
soporte para permitir la toma de decisiones empresariales
eficaces
 Puntualidad en la entrega de la información de gestión
29

Figura 4.17—Cascada de metas: Metas y métricas empresariales (cont.)

Referencia Dimensión del Meta empresarial Métricas de ejemplo
BSC
EG08 Interna Optimización de la  Niveles de satisfacción del consejo de administración y la
funcionalidad de procesos dirección ejecutiva con las capacidades del proceso del
internos del negocio negocio
 Niveles de satisfacción de los clientes con las capacidades
de prestación de servicios
 Niveles de satisfacción de los proveedores con las
EG09 Interna Optimización de costes de los  Relación entre el coste y los niveles de servicio conseguidos
procesos del negocio  Niveles de satisfacción del consejo de administración y la
dirección ejecutiva con los costes de proceso del negocio
EG10 Interna Habilidades, motivación y  Productividad del personal comparada con benchmarks
productividad del personal  Nivel de satisfacción de las partes interesadas con los
niveles de experiencia y habilidades del personal
 Porcentaje de personal cuyas habilidades son insuficientes
con respecto a la competencia requerida para sus funciones
 Porcentaje de personal satisfecho
EG11 Interna Cumplimiento con las políticas  Número de incidentes relacionados con el incumplimiento de
internas la política
 Porcentaje de las partes interesadas que entienden las
políticas
 Porcentaje de políticas respaldadas por estándares y
prácticas de trabajo eficaces
EG12 Crecimiento Gestión de programas de  Número de programas ejecutados a tiempo y dentro del
transformación digital presupuesto
 Porcentaje de partes interesadas satisfechas con la
ejecución del programa
 Porcentaje de programas de transformación del negocio
suspendidos
 Porcentaje de programas de transformación del negocio con
actualizaciones del estado notificadas periódicamente
EG13 Crecimiento Innovación de producto y  Nivel de conciencia y comprensión de las oportunidades de
negocio innovación del negocio
 Satisfacción de las partes interesadas con los niveles de
experiencia e ideas sobre innovación y productos
 Número de iniciativas de productos y servicios aprobadas
4.6.2 Metas de alineamiento
Las metas empresariales tienen un efecto en cascada a las metas de alineamiento. La figura 4.18 incluye un conjunto
de metas de alineamiento y métricas de ejemplo.
Figura 4.18—Cascada de metas: Metas y métricas de alineamiento

Referencia Dimensión del Metas de alineamiento Métricas
BSC de TI
AG01 Financiera Cumplimiento y soporte de I&T  Coste de incumplimiento de TI, incluidos liquidaciones y
para el cumplimiento multas, y el impacto de la pérdida reputacional
empresarial con las leyes y  Número de problemas de incumplimiento relacionados con TI
regulaciones externas notificados al consejo de administración o que causan
comentarios o descrédito públicos
 Número de problemas de incumplimiento en relación con
acuerdos contractuales con los proveedores de servicios de
TI
AG02 Financiera Gestión de riesgo relacionado  Frecuencia adecuada de la actualización del perfil de riesgo
con I&T  Porcentaje de las evaluaciones de riesgo empresarial,
incluido el riesgo relacionado con I&T
 Número de incidentes significativos relacionados con I&T
que no se identificaron en la evaluación de riesgos
30

CAPÍTULO 4
Figura 4.18—Cascada de metas: Metas y métricas de alineamiento (cont.)

BSC de TI
AG03 Financiera Beneficios obtenidos del  Porcentaje de inversiones posibilitadas por I&T en las que
portafolio de inversiones y los beneficios previstos se cumplen o exceden
servicios relacionados con I&T  Porcentaje de servicios de I&T para los que se han logrado
los beneficios esperados (indicados en los acuerdos de nivel
de servicio)
AG04 Financiera Calidad de la información  Satisfacción de las partes interesadas clave con respecto al
financiera relacionada con la nivel de transparencia, comprensión y precisión de la
tecnología información financiera de TI
 Porcentaje de servicios de I&T con costes operativos
claramente definidos y aprobados y beneficios esperados
AG05 Cliente Prestación de servicios de I&T  Porcentaje de partes interesadas del negocio satisfechas
conforme a los requerimientos con que la prestación de servicios de TI cumpla con los
del negocio niveles de servicio acordados
 Número de interrupciones del negocio debido a incidentes de
servicios de TI
 Porcentaje de usuarios satisfechos con la calidad de la
prestación de servicios de TI
AG06 Cliente Agilidad para convertir los  Nivel de satisfacción de los ejecutivos de negocios con la
requerimientos del negocio en capacidad de respuesta de TI a los nuevos requisitos
soluciones operativas  Promedio de plazo de comercialización para servicios y
aplicaciones nuevos relacionados con las I&T
 Tiempo promedio para convertir los objetivos estratégicos
de I&T en una iniciativa acordada y aprobada
 Número de procesos de negocio críticos soportados por
AG07 Interna Seguridad de la información,  Número de incidentes de confidencialidad que causan
infraestructura y aplicaciones pérdidas financieras, interrupción del negocio o descrédito
de procesamiento y privacidad público
 Número de incidentes de disponibilidad que causan pérdidas
financieras, interrupción del negocio o descrédito público
 Número de incidentes de integridad que causan pérdidas
financieras, interrupción del negocio o descrédito público
AG08 Interna Habilitar y dar soporte a  Plazo para la ejecución de servicios y procesos
procesos de negocio mediante empresariales
la integración de aplicaciones  Número de programas empresariales facilitados por I&T
y tecnología retrasados o que incurren en costes adicionales debido a
problemas de integración tecnológica
 Número de cambios en los procesos de negocio que se
deben aplazar o revisar debido a problemas de integración
tecnológica
 Número de aplicaciones o infraestructuras críticas que
operan en silos y no están integradas
AG09 Interna Ejecución de programas dentro  Número de programas/proyectos ejecutados a tiempo y
del plazo, sin exceder el dentro del presupuesto
presupuesto, y que cumplen  Número de programas que necesitan una revisión
con los requisitos y estándares significativa debido a defectos de calidad
de calidad  Porcentaje de partes interesadas satisfechas con la calidad
del programa/proyecto
AG10 Interna Calidad de la información  Nivel de satisfacción del usuario con la calidad, puntualidad
sobre gestión de I&T y disponibilidad de la información de gestión relacionada con
I&T, tras considerar los recursos disponibles
 Relación y extensión de las decisiones de negocio erróneas
en las que la información errónea o no disponible
relacionada con I&T fue un factor clave
 Porcentaje de información que satisface los criterios de
calidad
31

Figura 4.18—Cascada de metas: Metas y métricas de alineamiento (cont.)

BSC de TI
AG11 Interna Cumplimiento de I&T con las  Número de incidentes relacionados con el incumplimiento de
políticas internas las políticas relacionadas con TI
 Número de excepciones a las políticas internas
 Frecuencia de revisión y actualización de la política
AG12 Aprendizaje y Personal competente y  Porcentaje de empresarios con dominio de I&T (es decir,
crecimiento motivado con un aquellos que tienen los conocimientos y comprensión de I&T
entendimiento mutuo de la requeridos para guiar, dirigir, innovar y ver las oportunidades
tecnología y el negocio de I&T en su área de experiencia)
 Porcentaje de empresarios con dominio de TI (es decir,
aquellos que tienen los conocimientos y comprensión de los
dominios importantes del negocio requeridos para guiar,
dirigir, innovar y ver las oportunidades de I&T para su ámbito
empresarial)
 Número o porcentaje de empresarios con experiencia en
gestión de tecnología
AG13 Aprendizaje y Conocimiento, experiencia e  Nivel de conciencia de los ejecutivos de negocios y
crecimiento iniciativas para la innovación comprensión de las posibilidades de innovación de las I&T
empresarial  Número de iniciativas aprobadas como resultado de ideas
innovadoras de I&T
 Número de campeones en innovación
reconocidos/premiados
32

CAPÍTULO 5
OBJETIVOS DE GOBIERNO Y GESTIÓN DE COBIT
Capítulo 5
Objetivos de gobierno y gestión de COBIT
5.1 Propósito
En la sección 4.2, figura 4.2 se muestra el modelo core de COBIT, incluyendo los 40 objetivos de gobierno y
gestión. La figura 5.1 enumera todos los objetivos de gobierno y gestión, cada uno de ellos con su declaración de
propósito. La declaración de propósito es una elaboración más detallada (con un nivel de detalle mayor) de cada
objetivo de gobierno y gestión.
Figura 5.1—Modelo Core de COBIT: Objetivos y propósito de gobierno y gestión

Referencia Nombre Propósito
EDM01 Asegurar el establecimiento y el Proporcionar un enfoque uniforme, integrado y alineado con el
mantenimiento del marco de enfoque de gobierno de la empresa Las decisiones relacionadas con
gobierno I&T deben hacerse en línea con las estrategias y objetivos de la
empresa y el valor esperado es alcanzado. En este sentido, debe
asegurarse de que los procesos relacionados con I&T se monitoricen
de forma eficaz y transparente; que se cumpla con los requisitos
legales, contractuales y regulatorios; y que se cumplan los requisitos
de gobierno para los miembros del consejo de dirección.
EDM02 Asegurar la entrega de beneficios. Asegurar un valor óptimo de las iniciativas, servicios y activos
habilitados por I&T; la entrega rentable de soluciones y servicios; y
una imagen confiable y precisa de los costes y beneficios probables
para que las necesidades empresariales se satisfagan de forma
eficaz y eficiente.
EDM03 Asegurar la optimización del riesgo Asegurarse de que el riesgo de negocio relacionado con I&T no
exceda el apetito y tolerancia al riesgo de la empresa, que se
identifique y gestione el impacto del riesgo de I&T en el valor de
negocio y que se minimicen los posibles fallos de cumplimiento.
EDM04 Asegurar la optimización de recursos Asegurarse de que las necesidades de recursos de la empresa se
satisfagan de manera óptima, que los costes de I&T se optimicen, y
que exista una mayor probabilidad de obtener beneficios y buena
disposición para cambios futuros.
EDM05 Asegurar la participación de las Asegurarse de que las partes interesadas apoyen la estrategia y la
partes interesadas hoja de ruta de I&T, que la comunicación con las partes interesadas
sea eficaz y oportuna, y que se establezcan las bases para los
informes con el fin de aumentar el desempeño. Identificar las áreas
de mejora y confirmar que los objetivos y estrategias relacionados
con I&T se ajusten a la estrategia de la empresa.
APO01 Gestionar el marco de gestión de I&T Implementar un enfoque uniforme de gestión para permitir que se
alcancen los requisitos de gobierno empresarial, con cobertura de
componentes de gobierno, como los procesos de gestión, las
estructuras organizativas, los roles y las responsabilidades, las
actividades confiables y repetibles, los elementos de información, las
políticas y procedimientos, las habilidades y las competencias, la
cultura y el comportamiento, y los servicios, infraestructura y
aplicaciones.
APO02 Gestionar la estrategia Apoyar la estrategia de transformación digital de la organización y
proporcionar el valor deseado a través de una hoja de ruta con
cambios incrementales. Usar un enfoque holístico en cuanto a T&I,
asegurando que cada iniciativa esté claramente conectada con una
estrategia global. Habilitar el cambio en todos los diversos aspectos
de la organización, desde los canales y procesos a los datos, cultura,
habilidades, modelo operativo e incentivos.
APO03 Gestionar la arquitectura empresarial Representar los diferentes componentes que conforman la empresa y
sus interrelaciones, así como los principios que guían su diseño y
evolución a lo largo del tiempo, para posibilitar una prestación
estándar, atenta y eficiente de los objetivos operativos y estratégicos.
APO04 Gestionar la innovación Lograr ventajas competitivas, innovación empresarial, una mejor
experiencia de cliente y una mayor eficacia y eficiencia operativa con
el aprovechamiento de los desarrollos de I&T y las tecnologías
emergentes.
33

Figura 5.1—Modelo Core de COBIT: Objetivos y propósito de gobierno y gestión (cont.)

APO05 Gestionar el portafolio Optimizar el rendimiento del portafolio general de programas en
respuesta al rendimiento individual de programas, productos y
desempeño de servicios y a las cambiantes prioridades y demandas
de la empresa.
APO06 Gestionar el presupuesto y los costes Fomentar la asociación entre TI y las partes interesadas de la
empresa para permitir el uso eficaz y eficiente de los recursos
relacionados con I&T, y proporcionar transparencia y rendición de
cuentas sobre el coste y el valor de soluciones y servicios para el
negocio. Habilitar a la empresa para que tome decisiones informadas
sobre el uso de soluciones y servicios de I&T.
APO07 Gestionar los recursos humanos Optimizar las capacidades de recursos humanos para satisfacer los
objetivos de la empresa
APO08 Gestionar las relaciones Facilitar el conocimiento, habilidades y comportamientos correctos
para generar mejores resultados, aumentar la credibilidad, la
confianza mutua y el uso eficaz de los recursos para estimular una
relación productiva con las partes interesadas de la empresa.
APO09 Gestionar los acuerdos de servicio Asegurarse de que los productos, servicios y niveles de servicio de
I&T satisfagan las necesidades actuales y futuras de la empresa.
APO10 Gestionar los proveedores Optimizar las capacidades disponibles de I&T para apoyar la
estrategia y la hoja de ruta de I&T, minimizar el riesgo asociado con
proveedores que no rinden o cumplen con los requisitos y asegurar
precios competitivos.
APO11 Gestionar la calidad Asegurar la entrega consistente de soluciones y servicios
tecnológicos para satisfacer los requisitos de calidad de la empresa y
las necesidades de las partes interesadas.
APO12 Gestionar riesgos Integrar la gestión del riesgo empresarial relacionado con la I&T con
la gestión del riesgo empresarial global (ERM), y equilibrar los costes
y beneficios de la gestión del riesgo empresarial relacionado con T&I.
APO13 Gestionar la seguridad Mantener el impacto y la existencia de incidentes de seguridad de la
información dentro de los niveles de apetito de riesgo de la empresa.
APO14 Gestionar los datos Asegurar el uso eficaz de activos de datos críticos para lograr las
metas y objetivos empresariales.
BAI01 Gestionar los programas Obtener el valor de negocio deseado y reducir el riesgo de retrasos,
costes y erosión de valor inesperados. Para ello, se deben mejorar las
comunicaciones y la participación del negocio y de los usuarios
finales, asegurar el valor y la calidad de los entregables de los
programas y realizar un seguimiento de los proyectos dentro de los
programas y maximizar la contribución del programa al portafolio de
inversiones.
BAI02 Gestionar la definición de Crear soluciones óptimas que satisfagan las necesidades de la
requerimientos empresa, mientras se minimiza el riesgo.
BAI03 Gestionar la identificación y Asegurar una entrega ágil y escalable de productos y servicios
construcción de soluciones digitales. Establecer soluciones oportunas y rentables (tecnología,
procesos de negocio y flujos de trabajo) capaces de apoyar los
objetivos estratégicos y operativos de la empresa.
BAI04 Gestionar la disponibilidad y Mantener la disponibilidad del servicio, la gestión eficiente de los
capacidad recursos y la optimización del rendimiento del sistema a través de la
predicción de los requisitos futuros de rendimiento y capacidad.
BAI05 Gestionar los cambios organizativos Preparar y conseguir el compromiso a las partes interesadas para el
cambio en el negocio y reducir el riesgo de fracaso.
BAI06 Gestionar los cambios de TI Facilitar una ejecución de cambios rápida y confiable para el negocio.
Mitigar el riesgo de afectar negativamente a la estabilidad o
integridad del entorno que se ha modificado.
BAI07 Gestionar la aceptación y la Implementar soluciones seguras y conforme a las expectativas y
transición de los cambios de TI resultados acordados.
34

CAPÍTULO 5
OBJETIVOS DE GOBIERNO Y GESTIÓN DE COBIT
Figura 5.1—Modelo Core de COBIT: Objetivos y propósito de gobierno y gestión (cont.)

BAI08 Gestionar el conocimiento Proporcionar los conocimientos e información de gestión necesarios
para apoyar a todo el personal en el gobierno y gestión de I&T de la
empresa y permitir la toma de decisiones informadas.
BAI09 Gestionar los activos Tener en cuenta todos los activos de I&T y optimizar el valor
proporcionado por su uso.
BAI10 Gestionar la configuración Proporcionar información suficiente sobre los activos del servicio
para facilitar que el servicio se gestione de forma eficiente. Evaluar el
impacto de los cambios y hacer frente a los incidentes del servicio.
BAI11 Gestionar los proyectos Lograr los resultados definidos del proyecto y reducir el riesgo de
retrasos inesperados, costes y erosión del valor mediante la mejora
de las comunicaciones y la participación del negocio y de los
usuarios finales. Asegurar el valor y la calidad de los entregables del
proyecto y maximizar su contribución a los programas y al portafolio
de inversión definidos.
DSS01 Gestionar las operaciones Proporcionar los resultados de los productos y servicios operativos
de I&T según lo planeado.
DSS02 Gestionar las peticiones y los Lograr una mayor productividad y minimizar las interrupciones
incidentes del servicio mediante la resolución rápida de consultas e incidentes de los
usuarios. Evaluar el impacto de los cambios y hacer frente a los
incidentes del servicio. Resolver las solicitudes de los usuarios y
restaurar el servicio como respuesta ante incidentes.
DSS03 Gestionar los problemas Aumentar la disponibilidad, mejorar los niveles de servicio, reducir los
costes y atender mejor las necesidades del cliente y lograr su
satisfacción reduciendo el número de problemas operativos, e
identificar las causas raíz como parte de la resolución de problemas.
DSS04 Gestionar la continuidad Adaptarse rápidamente, continuar las operaciones del negocio y
mantener la disponibilidad de los recursos y la información a un nivel
aceptable para la empresa en caso de una interrupción significativa
(como amenazas, oportunidades, demandas).
DSS05 Gestionar los servicios de seguridad Minimizar el impacto en el negocio de las vulnerabilidades e
incidentes operativos de seguridad de la información
DSS06 Gestionar los controles de los Mantener la integridad de la información y la seguridad de los activos
procesos de negocio de información manejados en los procesos de negocio, dentro de la
empresa o su operación tercerizada.
MEA01 Gestionar la monitorización del Proporcionar transparencia en el desempeño y la conformidad e
rendimiento y la conformidad impulsar el logro de las metas.
MEA02 Gestionar el sistema de control Dar información transparente a las partes interesadas clave sobre la
interno idoneidad del sistema de controles internos que permita,
proporcionar credibilidad en las operaciones, confianza en el logro de
los objetivos de la empresa y una comprensión adecuada del riesgo
residual.
MEA03 Gestionar el cumplimiento de los Asegurarse de que la empresa cumpla con todos los requisitos
requerimientos externos externos aplicables.
MEA04 Gestionar el aseguramiento Facilitar a la organización el diseño y desarrollo de iniciativas de
aseguramiento eficaces y eficientes, proporcionando una guía sobre
la planificación, alcance, ejecución y seguimiento de las revisiones de
aseguramiento, usando una hoja de ruta basada en criterios de
aseguramiento que sean bien acogidos.
35

36

CAPÍTULO 6
GESTIÓN DEL DESEMPEÑO EN COBIT
Capítulo 6
Gestión del Desempeño en COBIT
6.1 Definición
La gestión del desempeño es una parte fundamental de un sistema de gobierno y gestión. La «gestión del
desempeño» es un término general que engloba todas las actividades y métodos. Expresa hasta qué punto funciona
bien el sistema de gobierno y gestión y todos los componentes de una empresa, y cómo pueden mejorarse para
alcanzar el nivel requerido. Incluye conceptos y métodos como niveles de capacidad y niveles de madurez. COBIT
utiliza el término gestión del desempeño de COBIT (CPM, por sus siglas en inglés) para describir estas actividades,
y el concepto forma parte íntegra del marco de referencia COBIT.
6.2 Principios de gestión del desempeño de COBIT
COBIT® 2019 se basa en los siguientes principios:

1. El modelo CPM debería entenderse y usarse fácilmente.
2. El modelo CPM debe ser consistente con, y apoyar, el modelo conceptual de COBIT. Debería facilitar la gestión
del desempeño de cualquier tipo de componente del sistema de gobierno; debe ser posible gestionar el
desempeño de los procesos, así como el desempeño de otros tipos de componentes (como estructuras
organizativas o información), si los usuarios desean hacerlo.
3. El modelo CPM debería proporcionar resultados confiables, repetibles y relevantes.
4. El modelo CPM debe ser flexible, para poder dar soporte a los requerimientos de distintas organizaciones con
distintas prioridades y necesidades.
5. El modelo CPM debería admitir distintos tipos de evaluaciones, desde autoevaluaciones a evaluaciones formales
o auditorías.
6.3 Visión general de la gestión del Desempeño de COBIT
El modelo CPM (figura 6.1) está en gran parte alineado y amplía los conceptos de CMMI® Development V2.020 . 1
 Las actividades del proceso están asociadas con los niveles de capacidad. Esto está incluido en la guía del Marco
de referencia COBIT® 2019: Objetivos de gobierno y gestión.
 Otros tipos de componentes de gobierno y gestión (como las estructuras organizativas, información) también
podrían tener niveles de capacidad definidos para ellos en guías futuras.
 Los niveles de madurez están asociados con áreas prioritarias (como una colección de objetivos de gobierno y
gestión y los componentes subyacentes) y se alcanzarán si se obtienen todos los niveles de capacidad requeridos.
1
20 CMMI® Development V2.0, CMMI Institute, EE. UU., 2018, https://cmmiinstitute.com/model-viewer/dashboard
37

Figura 6.1—Niveles de capacidad
COBIT 5 PAM
(ISO/IEC 15504➔ CMMI 2.0 Actualización de
ISO/IEC 33000) COBIT
Madurez Madurez
Procesos Capacidad Procesos Capacidad
Otros tipos de componentes de Capacidad

gobierno y gestión
Si la empresa desea seguir usando el modelo de capacidad de procesos de COBIT 5 basado en la Organización
Internacional de Normalización (ISO)/Comisión Electrotécnica Internacional (IEC) 15504 (ahora ISO/IEC 33000, en
el que los niveles de capacidad tienen muy diferentes significados), tendrá toda la información para hacerlo en el
Marco de referencia COBIT® 2019: Objetivos de gobierno y gestión. No serán necesarias publicaciones diferentes al
modelo de evaluación de procesos (PAM) , ni se proporcionarán con COBIT® 2019.
En COBIT® 2019, los resultados explícitos del proceso o metas del proceso se sustituyen por las propias prácticas de
los procesos. Esto desemboca en la situación siguiente para una evaluación ISO/IEC33000:
1. Los resultados del proceso están ahora relacionados con las prácticas del proceso de manera individual (es decir,
los resultados del proceso son el cumplimiento satisfactorio de las prácticas del proceso). Nota: las prácticas del
proceso se formulan como prácticas, y los resultados pueden derivarse de ello. Ejemplo: APO01.01 Diseñar el
sistema de gestión para la I&T de la empresa tiene como resultado del proceso APO01.01: Se diseña un sistema
de gestión para la I&T de la empresa.
2. Las prácticas base son las mismas que las prácticas del proceso de COBIT® 2019 para cada objetivo de gobierno
y gestión.
3. Los productos de trabajo son lo mismo que los flujos y elementos de información bajo el componente C para
cada objetivo de gobierno/gestión.
Así, la correspondencia de los resultados con las prácticas base y los productos de trabajo se hace por definición en
COBIT® 2019.
6.4 Gestión del desempeño de los procesos
6.4.1 Niveles de capacidad del proceso
COBIT® 2019 admite un esquema de capacidad de procesos basado en CMMI. El proceso dentro de cada objetivo de
gobierno y gestión puede funcionar con distintos niveles de capacidad, que van de 0 a 5. El nivel de capacidad es una
medida de lo bien que se ha implementado y funciona un proceso. La figura 6.2 muestra el modelo, los niveles de
capacidad incrementales y las características generales de cada uno.
38

CAPÍTULO 6
Figura 6.2—Niveles de capacidad para los procesos
El proceso lograr su propósito, está bien

5 definido, su rendimiento se mide para
mejorar el desempeño y se persigue la
mejora connua.
4 El proceso lograr su propósito, está bien definido, y su

rendimiento se mide (de forma cuantava).
El proceso logra su propósito de forma mucho más organizada usando

3 acvos para la organización. Los procesos están, por lo general, bien
definidos.
2 El proceso lograr su propósito a través de la aplicación de un conjunto de acvidades básicas,

pero completas, que pueden caracterizarse como realizadas.
1 El proceso logra más o menos su propósito a través de la aplicación de un conjunto de acvidades incompleto
que pueden caracterizarse como iniciales o intuivas, no muy organizadas.
• Falta de cualquier capacidad básica

0 • Estrategia incompleta para abordar el propósito de gobierno y gesón
• La intención de todas las práccas del proceso puede haberse definido o no.
El modelo core de COBIT asigna niveles de capacidad a todas las actividades del proceso, permitiendo una clara
definición de los procesos y las actividades requeridas para alcanzar los distintos niveles de capacidad. Ver Marco de
referencia COBIT® 2019: Objetivos de gobierno y gestión para más detalles.
6.4.2 Calificar las actividades del proceso
Un nivel de capacidad puede alcanzarse en distinto grado, lo cual puede expresarse mediante una serie de
calificaciones. El rango de calificaciones disponible depende del contexto en el que se realiza la evaluación del
desempeño:
 Algunos métodos formales que conducen a una certificación independiente usan una serie de calificaciones
binarias de aprobado/falla.
 Métodos menos formales (usados con frecuencia en contextos de mejora del desempeño) funcionan mejor con una
serie de calificaciones más amplio, como el conjunto siguiente:
 Completamente—El nivel de capacidad se alcanza para más del 85 por ciento. (Este sigue siendo un juicio
personal, pero puede corroborarse mediante el examen o evaluación de los componentes del habilitador, como
las actividades del proceso, las metas del proceso o las buenas prácticas de la estructura organizativa).
 Largamente—El nivel de capacidad se alcanza para entre el 50 por ciento y el 85 por ciento.
 Parcialmente—El nivel de capacidad se alcanza para entre el 15 por ciento y el 50 por ciento.
 No—El nivel de capacidad se alcanza para menos del 15 por ciento.
6.4.3 Niveles de madurez del área prioritaria
En ocasiones se requiere un nivel más alto para expresar el desempeño sin la granularidad aplicable a las
calificaciones individuales de capacidad del proceso. Los niveles de madurez pueden usarse para ese propósito.
COBIT® 2019 define los niveles de madurez como una medida de desempeño a nivel del área prioritaria, como se
39

Figura 6.3—Niveles de madurez para áreas prioritarias
Opmización—La empresa se centra en

5 la mejora connua.
4 Cuantavo—La empresa se basa en los datos, con la

mejora cuantava del desempeño.
3 Definido—Los estándares a nivel de empresa proporcionan directrices

para la empresa en su conjunto.
2 Gesonado—La planificación y la medición se producen, aunque no de forma estandarizada.
1 Inicial—El trabajo se finaliza, pero el objevo e intención del área prioritaria no se han logrado aún.
0 Incompleto—El trabajo podría o no completarse para lograr el propósito de los objevos de gobierno y gesón del área prioritaria.
Los niveles de madurez están asociados con áreas prioritarias (por ej. una colección de objetivos de gobierno y
gestión y los componentes subyacentes) y un cierto nivel de madurez se alcanzará si todos los procesos incluidos en
el área prioritaria alcanzan ese nivel de capacidad específico.
6.5 Gestión del desempeño de otros componentes del sistema de gobierno
6.5.1 Gestión del desempeño de las estructuras organizativas
Aunque no existe ningún método formal ni aceptado de forma general para evaluar las estructuras organizativas,
pueden evaluarse de modo menos formal según los criterios siguientes. Para cada criterio, pueden definirse una serie
de subcriterios, relacionados con los distintos niveles de capacidad. Los criterios son:
 La ejecución satisfactoria de esas prácticas del proceso ante los que la estructura (o rol) organizativo rinde cuentas
o es responsable [una A o una R, respectivamente, en una matriz de asignación de responsabilidades por cargo. R:
Responsable,A: Quien rinde cuentas, C: Consultado, I: Informado (RACI)]
 La aplicación satisfactoria de una serie de buenas prácticas para estructuras organizativas, como:
 Principios operativos
- La estructura organizativa se establece formalmente.
- La estructura organizativa tiene un mandato claro, documentado y bien entendido.
- Se documentan los principios operativos.
- Las reuniones regulares tienen lugar conforme se define en los principios operativos.
- Los informes/actas de reuniones están disponibles y son útiles.
 Composición
- La estructura organizativa se establece formalmente.
40

CAPÍTULO 6
 Alcance (Span) del control

- La estructura organizativa tiene un mandato claro, documentado y bien entendido.
- Se documentan los principios operativos.
- Las reuniones regulares tienen lugar conforme se define en los principios operativos.
- Los informes/actas de reuniones están disponibles y son útiles.
 Nivel de autoridad y derechos de decisión
- Los derechos de decisión de la estructura organización están definidos y documentados.
- Los derechos de decisión de la estructura organizativa son respetados y cumplidos (también un asunto de
cultura/comportamiento).
 Delegación de autoridad
- La delegación de autoridad se implementa de forma significativa.
 Procedimientos de escalamiento
- Los procedimientos de escalamiento se definen y aplican.
 La aplicación satisfactoria de una serie de prácticas de gestión de estructuras organizativas (prácticas no
funcionales que surgen desde el punto de vista de la estructura organizativa):
 Los objetivos de desempeño de las estructuras organizativas se identifican.
 El desempeño de las estructuras organizativas se planifica y supervisa.
 El desempeño de la estructura organizativa se ajusta para cumplir con los planes.
 Los recursos e información necesarios para las estructuras organizativas se identifican, se ponen a disposición, se
asignan y se utilizan.
 Las interfaces entre la estructura organizativa y otras partes interesadas se gestionan para garantizar una
comunicación eficaz y una asignación clara de responsabilidad.
 Las evaluaciones regulares resultan en la mejora continua requerida de la estructura organizativa, en su
composición, mandato o cualquier otro parámetro.
En cuanto a los procesos, los niveles de capacidad bajos requieren que se satisfaga un subconjunto de estos criterios,
y niveles de capacidad altos requieren que se satisfagan todos los criterios. Pero, como ya se ha indicado, no existe
un esquema generalmente aceptado para evaluar estructuras organizativas. Sin embargo, esto no evita que una
empresa defina su propio esquema de capacidades para estructuras organizativas.
6.5.2 Gestión de desempeño de elementos de información
El componente del elemento de información para un sistema de gobierno de I&T es más o menos equivalente a los
productos de trabajo del proceso como se describe en el Marco de referencia COBIT® 2019: Objetivos de gobierno y
gestión.
Aunque no existe ningún método formal ni aceptado de forma general para evaluar los elementos de información,
pueden evaluarse de modo menos formal según el modelo de referencia de información presentado por primera vez
en COBIT® 5: Información Catalizadora.21 2
Este modelo define tres criterios de calidad principales para la información y 15 subcriterios, como se muestra en la
figura 6.4.
2
21 Ver ISACA, COBIT® 5: Información catalizadora, sección 3.1.2 Metas, EE. UU., 2013, http://www.isaca.org/COBIT/Pages/COBIT-5-Enabling-Information-product-page.aspx
41

Figura 6.4—Modelo de referencia de la información Criterio de calidad para la información
Hasta dónde la información es correcta

Precisión y confiable
Objevidad Hasta dónde la información es objetiva,

sin prejuicios e imparcial
Intrínseco
Hasta dónde la información es considerada
El alcance al que los Credibilidad verdadera y creíble
valores de los datos
se corresponden
con los valores reales Hasta dónde la información es altamente
y verdaderos Reputación respetada en términos de su fuente o conteni
Relevancia Hasta dónde la información es aplicable y

útil para la tarea en cuestión
Hasta dónde la información no está

Completa completa y es de la amplitud y la profundidad
suficiente para la tarea en cuestión
Hasta dónde la información está
Actualizada suficientemente actualizada para la tarea en
cuestión
Candad Hasta dónde el volumen de información

apropiada es apropiado para la tarea en cuestión
Criterios de Representación
calidad de la Hasta dónde la información es representada
Contextual concisa de forma compacta
información
El alcance al que a
información es Representación Hasta dónde la información se presenta
aplicable a la tarea del consistente en el mismo formato
usuario de la
información y es Hasta dónde la información está en los
presentada de una Interpretabilidad lenguajes, símbolos y unidades apropiados,
manera comprensible y con definiciones claras
clara, reconociendo
que la calidad de la
información depende Hasta dónde la información es
Comprensible comprendida fácilmente
del contexto en que se
use.
Facilidad de El grado hasta el cual la información es fácil
manipulación de manipular y aplicar a distintas tareas
Hasta dónde la información está disponible

Disponibilidad cuando se requiere, o fácil y rápidamente
Seguridad/ recuperable
Privacidad/
Accesibilidad
Hasta dónde la Hasta dónde el acceso a la información está
Acceso restringido de manera apropiada para las
información está restringido partes autorizadas
disponible o se puede
obtener.
Un elemento de información puede evaluarse considerando el grado de los criterios de calidad relevantes, como se
definen en la figura 6.4, se han alcanzado.
42

CAPÍTULO 6
6.5.3 Gestión del desempeño de la cultura y el comportamiento
Para el componente de gobierno de la cultura y el comportamiento, debería ser posible definir una serie de
comportamientos deseables (y/o no deseables) para el buen gobierno y gestión de TI, y asignar distintos niveles de
capacidad a cada uno.
Marco de referencia COBIT® 2019: Objetivos de gobierno y gestión define aspectos del componente de la cultura y
el comportamiento para la mayoría de objetivos. A partir de ahí, es posible evaluar hasta qué grado se cumplen estas
condiciones o comportamientos.
El contenido de áreas prioritarias, que incluyen una serie de comportamientos deseados más detallados, se
desarrollará más adelante. Se sugiere al usuario consultar isaca.org/cobit para obtener la guía del área prioritaria más
reciente y disponible.
43

44

CAPÍTULO 7
DISEÑO DE UN SISTEMA DE GOBIERNO PERSONALIZADO
Capítulo 7
Diseño de un sistema de gobierno personalizado
7.1 Impacto de factores de diseño
Esta sección proporciona una visión general a alto nivel del impacto potencial de los factores de diseño de un sistema
de gobierno para I&T de la empresa. También describe, a alto nivel, un flujo de trabajo para el diseño personalizado
de un sistema de gobierno para la empresa. Puede encontrarse más información sobre estas materias en la guía de
diseño de COBIT® 2019.
Los factores de diseño influyen de modo distinto en la personalización del sistema de gobierno de una empresa. Esta
publicación distingue tres tipos distintos de impacto, ilustrados en la figura 7.1.
Figura 7.1—Impacto de los factores de diseño en un sistema de gobierno y gestión
1. Prioridad del
objetivo de
gestión y niveles
de capacidad
objetivo
Impacto de
los factores
de diseño
3. Áreas prioritarias 2. Variaciones de

específicas componentes
1. Gestión de prioridad/selección del objetivo—El modelo core de COBIT incluye 40 objetivos de gobierno y
gestión, consistiendo cada uno del proceso y una serie de componentes relacionados. Estos son intrínsecamente
equivalentes; no hay ningún orden de prioridad natural entre ellos. Sin embargo, los factores de diseño pueden
influir en esta equivalencia y hacer que algunos objetivos de gobierno y gestión sean más importantes que otros,
a veces hasta el extremo de que algunos objetivos de gobierno y gestión pasen a ser insignificantes. En la
práctica, esta mayor importancia se traduce en el establecimiento de unos niveles de capacidad por alcanzar más
altos para objetivos de gobierno y gestión importantes.
45

Ejemplo: Cuando una empresa identifica la(s) meta(s) más relevante(s) de la lista de metas empresariales y aplica la
cascada de metas, esto llevará a una selección de objetivos de gestión prioritarios. Por ejemplo, cuando EG01 El
portafolio de productos y servicios competitivos es calificado muy alto por una empresa, hará que el objetivo de
gestión APO05 Gestionar el portafolio sea una parte importante de este sistema de gobierno de la empresa.
Ejemplo: Una empresa que es muy adversa al riesgo dará más prioridad a los objetivos de gestión que aspiren a
gobernar y gestionar el riesgo y la seguridad. Objetivos de gobierno y gestión del EDM03 Asegurar la optimización
del riesgo, APO12 Gestionar riesgos, APO13 Gestionar la seguridad y DSS05 Gestionar los servicios de seguridad
se convertirán en una parte importante de ese sistema de gobierno de la empresa y tendrá unos niveles de capacidad
objetivos más altos definidos para ellos.
Ejemplo: Una empresa que opera en un entorno de grandes amenazas requerirá un alto nivel de capacidad de los
procesos relacionados con la seguridad: APO13 Gestionar la seguridad y DSS05 Gestionar los servicios de
seguridad.
Ejemplo: Una empresa en la que el rol de TI es estratégico y crucial para el éxito del negocio requerirá una gran
participación de los roles relacionados con TI en las estructuras organizativas, un conocimiento profundo del negocio
por parte de los profesionales de TI (y viceversa) y un foco en procesos estratégicos como APO02 Gestionar la
estrategia y APO08 Gestionar las relaciones.
2. Variación de componentes—Los componentes deben alcanzar los objetivos de gobierno y gestión. Algunos
factores de diseño pueden influir en la importancia de uno o más componentes o pueden requerir variaciones
específicas.
Ejemplo: Las pequeñas y medianas empresas podrían no necesitar un conjunto completo de roles y estructuras
organizativas, como se mostraba en el modelo core de COBIT, pero podrían usar una serie reducida. Esta serie
reducida de objetivos de gobierno y gestión y los componentes incluidos se define en el área prioritaria de pequeñas
y medianas empresas.22 1
Ejemplo: Una empresa que opera en un entorno muy regulado podría atribuir mayor importancia a productos de
trabajo y políticas y procedimientos documentados y algunos roles, como la función de oficial de cumplimiento.
Ejemplo: Una empresa que usa DevOps en el desarrollo de soluciones y operaciones requerirá actividades
específicas, estructuras organizativas, cultura, etc., centradas en BAI03 Gestionar la identificación y construcción de
soluciones y DSS01 Gestionar las operaciones.
3. Necesidad para áreas prioritarias específicas—Algunos factores de diseño, como el panorama de amenazas,
riesgo específico, métodos de desarrollo a cumplir y configuración de la infraestructura, impulsará la necesidad
para variar el contenido del modelo core de COBIT para un contexto determinado.
Ejemplo: Las empresas que adoptan un método DevOps requieren un sistema de gobierno con una variante de
diversos procesos de COBIT genéricos, descritos en la guía del área prioritaria de DevOps23 para COBIT. 2
Ejemplo: Las pequeñas y medianas empresas tienen menos personal, menos recursos de TI, y líneas de mando
jerárquicas más cortas y directas, y difieren en muchos aspectos de las empresas grandes. Por ese motivo, su sistema
de gobierno para I&T tendrá que ser menos costoso, comparado con las grandes empresas. Esto se describe en la
guía del área prioritaria de PYMES de COBIT.24 3
1
22 En el momento de la publicación de Marco de referencia COBIT® 2019: Introducción y metodología, el contenido del área prioritaria de pequeñas y medianas empresas estaba en desarrollo y no se había publicado aún.
2
23 En el momento de la publicación de Marco de referencia COBIT® 2019: Introducción y metodología, el contenido del área prioritaria de DevOps estaba en desarrollo y no se había publicado.
3
24 En el momento de la publicación de Marco de referencia COBIT® 2019: Introducción y metodología, el contenido del área prioritaria de pequeñas y medianas empresas estaba en desarrollo y no se había publicado aún.
46

CAPÍTULO 7
DISEÑO DE UN SISTEMA DE GOBIERNO PERSONALIZADO
7.2 Fases y pasos del proceso de diseño
La figura 7.2 ilustra el flujo propuesto para el diseño de un sistema de gobierno personalizado.
Figura 7.2—Flujo de trabajo del diseño del sistema de gobierno
2. Determinar
1. Entender el alcance inicial 3. Perfeccionar 4. Finalizar el
el contexto del sistema el alcance del diseño del
y estrategia de gobierno. sistema de sistema de
de la empresa. gobierno. gobierno.
• 1.1 Entender la • 2.1 Considerar la • 3.1 Considerar el panorama • 4.1 Resolver conflictos
estrategia empresarial. estrategia empresarial. de amenazas. de prioridades
• 1.2 Entender las • 2.2 Considerar las • 3.2 Considerar los inherentes.
metas empresariales. metas empresariales requerimientos de • 4.2 Finalizar el diseño
• 1.3 Comprender el y aplicar la cascada cumplimiento. del sistema de
perfil de riesgo. de metas de COBIT. • 3.3 Considerar el rol de TI. gobierno.
• 1.4 Entender los • 2.3 Considerar el • 3.4 Considerar el modelo
problemas actuales perfil de riesgo de de abastecimiento.
relacionados con I&T. la empresa. • 3.5 Considerar los métodos de
• 2.4 Considerar los implementación de TI.
problemas actuales • 3.6 Considerar la estrategia
relacionados con I&T. de adopción de TI.
• 3.7 Considerar el tamaño de la empresa.
Las distintas fases y pasos del proceso de diseño, como se ilustran en la figura 7.2, resultarán en recomendaciones
para priorizar los objetivos de gobierno y gestión o componentes del sistema de gobierno relacionados con estos,
para alcanzar niveles de capacidad, o para adoptar variantes específicas de un componente del sistema de gobierno.
Algunos de estos pasos o sub-pasos podrían derivar en recomendaciones contradictorias, lo cual es inevitable cuando
se consideran un gran número de factores de diseño, la naturaleza genérica en su conjunto de la guía del factor de
diseño y las tablas de correspondencia utilizadas.
Se sugiere poner todas las recomendaciones obtenidas durante los distintos pasos en un canvas de diseño y, en la
última fase del proceso de diseño, resolver (hasta donde sea posible) los conflictos entre los elementos del canvas de
diseño y acabar el diseño. No hay una fórmula mágica. El diseño final será una decisión que variará según el caso,
dependiendo de todos los elementos del canvas de diseño. Si siguen estos pasos, las empresas lograrán un sistema de
gobierno adaptado a sus necesidades.
47

48

CAPÍTULO 8
IMPLEMENTAR EL GOBIERNO DE TI DE LA EMPRESA
Capítulo 8
Implementar el gobierno de TI de la empresa
8.1 Propósito de la guía de implementación COBIT
La Guía de implementación de COBIT® 2019 destaca una visión de gobierno de I&T que abarca toda la empresa.
Esta guía reconoce que I&T está en todas las área de las empresas y que no es ni posible ni es una buena práctica
separar las actividades empresariales y las de TI. El gobierno y gestión de I&T de la empresa debería, por tanto,
implementarse como una parte integral del gobierno de la empresa, cubriendo todas las áreas de responsabilidad
funcionales de TI y del negocio.
Una de las razones comunes de por qué algunas implementaciones de sistemas de gobierno fracasan es que no se
inician y se gestionan apropiadamente como programas para asegurar que se obtengan los beneficios. Los programas
de gobierno deben estar patrocinados por la dirección ejecutiva, tener un alcance apropiado y definir objetivos que
sean alcanzables. Esto permite a la empresa asimilar el ritmo del cambio según lo previsto. La gestión de programas
se aborda, por ello, como una parte íntegra del ciclo de vida de la implementación.
También se asume que mientras que se recomienda un enfoque de programa y proyecto para impulsar de forma
eficaz iniciativas de mejora, la meta es además establecer una práctica empresarial normal y un método sostenible
para gobernar y gestionar las I&T empresariales como cualquier otro aspecto del gobierno de la empresa. Por este
motivo, el método de implementación está basado en empoderar a las partes interesadas de la empresa y de TI y los
distintos actores que se apropien de las decisiones y actividades de gobierno y gestión relacionados con TI
facilitando y permitiendo el cambio. El programa de implementación se cierra cuando el proceso para centrarse en
las prioridades relacionadas con TI y la mejora del gobierno genera un beneficio medible, y el programa ha pasado a
integrarse en la actividad empresarial continua.
Puede encontrarse más información sobre estas materias en la Guía de implementación de COBIT® 2019.
8.2 Método de Implementación de COBIT
Hay siete fases que componen el método de implementación de COBIT:

 ¿Cuáles son los impulsores?
 ¿Dónde estamos ahora?
 ¿Dónde queremos estar?
 ¿Qué debe hacerse?
 ¿Cómo llegamos ahí?
 ¿Lo logramos?
 ¿Cómo mantenemos el impulso?
El método de Implementación de COBIT se resume en la figura 8.1.
49

Figura 8.1—Hoja de ruta de implementación COBIT
8.2.1 Fase 1: ¿Cuáles son los impulsores?
La fase 1 del método de implementación identifica los impulsores de cambio actuales y crea a nivel de la gestión
ejecutiva el deseo de cambiar que se expresa como una descripción de un caso de negocio. Un impulsor del cambio
es un evento interno o externo, una condición o problema importante que sirve como estímulo para el cambio.
Eventos, tendencias (industria, mercado o técnica), falta de rendimiento, implementaciones de software e incluso las
metas empresariales pueden actuar todos como impulsores del cambio.
El riesgo asociado a la implementación del propio programa se describe en el caso de negocio y se gestiona a lo largo
del ciclo de vida. La preparación, mantenimiento y monitorización de un caso de negocio son disciplinas
fundamentales e importantes para justificar, apoyar y a continuación garantizar resultados satisfactorios para
cualquier iniciativa, incluida la mejora del sistema de gobierno. Ellos aseguran un foco continuo en los beneficios del
programa y su obtención.
8.2.2 Fase 2: ¿Dónde estamos ahora?
La fase 2 alinea los objetivos relacionados con I&T con las estrategias y el riesgo empresarial y prioriza las metas
empresariales más importantes, alineando metas y procesos. La Guía de diseño COBIT® 2019 proporciona distintos
factores de diseño para contribuir a la selección.
Dependiendo de las metas empresariales y de las relacionadas con TI seleccionadas y otros factores de diseño, la
empresa debe identificar los objetivos de gobierno y gestión críticos y los procesos subyacentes que tengan la
capacidad suficiente para asegurar resultados satisfactorios. La dirección debe conocer su capacidad actual y dónde
podría haber deficiencias. Esto puede lograrse mediante una evaluación del estado actual de la capacidad de los
procesos seleccionados.
50

CAPÍTULO 8
IMPLEMENTAR EL GOBIERNO DE TI DE LA EMPRESA
8.2.3 Fase 3: ¿Dónde queremos estar?
La fase 3 establece un objetivo de mejora seguido de un análisis de brechas para identificar posibles soluciones.
Algunas soluciones serán ganancias rápidas y otras serán tareas más retadoras a largo plazo. La prioridad debería
otorgarse a los proyectos cuya consecución resulte más fácil y que probablemente proporcionen los mayores
beneficios. Las tareas a más largo plazo deben desglosarse en partes gestionables.
8.2.4 Fase 4: ¿Qué debe hacerse?
La fase 4 describe cómo planificar soluciones factibles y prácticas definiendo proyectos apoyados por casos de
negocio justificables y un plan de cambio para la implementación. Un caso de negocio bien desarrollado puede
contribuir a garantizar que los beneficios del proyecto se identifiquen y monitoricen continuamente.
8.2.5 Fase 5: ¿Cómo llegamos ahí?
La fase 5 contempla la implementación de las soluciones propuesta a través de prácticas diarias y estableciendo
medidas y sistemas de monitorización para garantizar que se logra el alineamiento con el negocio, y poder medir el
desempeño.
Para tener éxito, se requiere conciencia, comunicación, comprensión y compromiso por parte de la alta dirección, y
propiedad de los dueños de los procesos del negocio y de TI afectados.
8.2.6 Fase 6: ¿Lo logramos?
La fase 6 se centra en la transición sostenible de las prácticas de gobierno y gestión mejoradas a operaciones
empresariales normales. Se centra además en la monitorización de las mejoras usando las métricas de desempeño y
los beneficios esperados.
8.2.7 Fase 7: ¿Cómo mantenemos el impulso?
La fase 7 revisa el éxito general de la iniciativa, identifica otros requerimientos de gobierno y gestión y refuerza la
necesidad de una mejora continua. También prioriza más oportunidades para mejorar el sistema de gobierno.
La gestión de programas y proyectos se basa en buenas prácticas y proporciona puntos de control en cada una de las
siete fases para garantizar que el desempeño del programa va por buen camino, el caso de negocio y el riesgo están
actualizados, y la planificación de la fase siguiente se ha ajustado como corresponde. Se asume que el enfoque
estándar de la empresa se seguirá.
Puede encontrarse más ayuda sobre la gestión de programas y proyectos en los objetivos de gestión de COBIT
BAI01 Gestionar los programas y BAI11 Gestionar los proyectos. Aunque la presentación de informes no se
menciona de forma explícita en ninguna de las fases, se trata de un hilo continuo durante todas las fases e iteraciones.
51

8.3 Relación entre la Guía de diseño COBIT® 2019 y la Guía de implementación

COBIT® 2019
El flujo de trabajo explicado en la Guía de diseño COBIT® 2019 tiene los siguientes puntos de conexión con la Guía
de implementación de COBIT® 2019. La Guía de diseño COBIT® 2019 elabora una serie de tareas definidas en la
Guía de implementación de COBIT® 2019. La figura 8.2 muestra una visión general panorámica de estos puntos de
conexión. Puede encontrarse más información detallada en la Guía de diseño COBIT® 2019.
Figura 8.2—Puntos de conexión entre la Guía de diseño COBIT y la Guía de implementación COBIT
Guía de implementación COBIT Guía de diseño COBIT
Fase 1:¿Cuáles son los impulsores? [Tareas de mejora → Paso 1:Entender el contexto y estrategia de la empresa.
continua (por sus siglas en ingles, CI)]
Fase 2:¿Dónde estamos ahora? (tareas CI) → Paso 2:Determinar el alcance inicial del sistema de
gobierno
Paso 3:Perfeccionar el alcance del sistema de gobierno
Paso 4:Finalizar el diseño del sistema de gobierno
Fase 3:¿Dónde queremos estar? (tareas CI) → Paso 4:Finalizar el diseño del sistema de gobierno.
52

CAPÍTULO 9
COMIENCE CON COBIT: CONSTRUYENDO EL CASO
Capítulo 9
Comience con COBIT: Construyendo el Caso
9.1 Caso de negocio
La práctica empresarial común dicta la preparación de un caso de negocio para analizar y justificar el inicio de un
gran proyecto y/o la inversión financiera. Este ejemplo se proporciona como una guía no prescriptiva, genérica para
fomentar la preparación de un caso de negocio para justificar la inversión en un programa de implementación GETI.
Cada empresa tiene sus propios motivos para mejorar el GETI y su propio método para la preparación de casos de
negocio. Esto puede ir desde un método detallado con el énfasis en beneficios cuantificados a una perspectiva
cualitativa de mayor nivel. Las empresas deberían seguir enfoques de casos de negocios internos y justificaciones de
inversión actuales, si existen. Este ejemplo y las directrices de esta publicación se proporcionan para ayudar a
centrarse en los temas que deberían abordarse en un caso de negocio.
El supuesto a modo de ejemplo es Acme Corporation, una gran empresa multinacional con una mezcla de
unidades de negocio tradicionales y consolidadas, así como negocios basados en Internet que adoptan las
últimas tecnologías. Muchas de las unidades de negocio se han adquirido y existen en varios países con
distintos entornos políticos, culturales y económicos locales. El equipo central de la dirección ejecutiva se ha
visto influenciado por las últimas directrices de gobierno empresarial, incluido COBIT, que llevan
utilizándose centralmente durante algún tiempo. Quieren asegurarse de que la expansión rápida y la
adopción de TI avanzada proporcione el valor esperado; también pretenden gestionar nuevos riesgos
significativos. Por tanto, han ordenado a la empresa en su conjunto la adopción de una estrategia GETI
uniforme. Esta estrategia incluye la participación de los profesionales de auditorías y riesgos y la
presentación de informes anuales internos por parte de la dirección de la unidad de negocio sobre la
idoneidad de los controles en todas las entidades.
Aunque el ejemplo se deriva de situaciones reales, no refleja ninguna empresa actual existente.
9.2 Resumen ejecutivo

Este caso de negocio describe el alcance del programa GETI propuesto para Acme Corporation conforme a COBIT.
Es preciso un caso de negocio propiamente dicho para garantizar que el consejo de administración y las unidades de
negocio de Acme Corporation aceptan la iniciativa e identifican los posibles beneficios. Acme Corporation
monitorizará el caso de negocio para garantizar que los beneficios esperados se han obtenido.
El alcance, en términos de las entidades empresariales que conforman Acme Corporation, es global. Se admite que se
aplicará algún tipo de priorización en todas las entidades durante la fase inicial del programa GETI debido a los
recursos limitados del programa.
Varias partes interesadas muestran su interés en los resultados del programa GETI, desde la junta directiva a los
gerentes locales de cada entidad de Acme Corporation, así como las partes interesadas externas, como los accionistas
y organismos gubernamentales.
Deben tenerse en cuenta algunos problemas significativos, así como el riesgo, de la implementación del programa
GETI a la escala global precisada. Uno de los mayores desafíos es la naturaleza emprendedora de muchas de las
empresas de internet, así como el modelo de negocio descentralizado o federado que existe dentro de Acme
Corporation.
El programa GETI se alcanzará centrándose en la capacidad de los procesos de Acme y otros componentes del
sistema de gobierno relacionados con estos, definidos en COBIT, y relevantes para cada unidad de negocio. Los
objetivos de gobierno y gestión relevantes y priorizados a los que prestará atención cada entidad se identificarán por
medio de un taller facilitado por los miembros del programa GETI. Los objetivos comenzarán con las metas
estratégicas y empresariales de cada unidad, así como los supuestos de riesgo empresarial relacionados con TI que
corresponden a la unidad de negocio particular.
53

El objetivo del programa GETI consiste en asegurar que se cuente con un sistema de gobierno adecuado, incluidas
las estructuras de gobierno, y que se aumente el nivel de capacidad e idoneidad de los procesos de TI relevantes. La
expectativa es que conforme aumente la capacidad de un proceso de TI, lo hagan también su eficiencia y calidad.
Simultáneamente, el riesgo asociado disminuirá de forma proporcional. De esta forma, cada unidad de negocio puede
alcanzar beneficios empresariales reales.
Una vez que se establece el proceso de evaluación del nivel de capacidad dentro de cada unidad de negocio, se
anticipa que las autoevaluaciones seguirán dentro de cada una de ellas a modo de práctica empresarial normal.
El programa GETI se ejecutará en dos fases diferenciadas. La primera fase es la fase de desarrollo, en la que el
equipo desarrollará y pondrá a prueba la estrategia y el conjunto de herramientas que se usarán en el conjunto de
Acme Corporation. Al final de la fase 1, los resultados se presentarán a la dirección del grupo para su aprobación
final. Una vez que se haya obtenido la aprobación final, en forma de caso de negocio aprobado, el programa GETI se
desplegará en el resto de la entidad conforme a lo acordado (implementación, fase 2).
Debe tenerse en cuenta que el programa GETI no es el responsable de implementar las acciones correctivas
identificadas por cada unidad de negocio. El programa GETI únicamente consolidará e informará de los avances que
le haya hecho llegar cada unidad.
La última tarea que deberá completar el programa GETI será la de ofrecer los resultados de forma sostenible de aquí
en adelante. Este aspecto requerirá tiempo y bastante debate y desarrollo. Este debate y desarrollo debería
desembocar en una mejora de los mecanismos de presentación de informes y cuadros de mandos actual.
Se ha preparado un presupuesto inicial para la fase de desarrollo del programa GETI. El presupuesto se detalla en un
calendario aparte. También se establecerá un presupuesto detallado para la fase 2 del proyecto, que la dirección del
grupo presentará para su aprobación.
9.3 Antecedentes
GETI es una parte integral del gobierno empresarial en su conjunto y se centra en el desempeño de TI y la gestión de
riesgos atribuibles a la dependencia en TI de la empresa.
TI forma parte de las operaciones de las empresas de Acme Corporation. Para muchos, internet es el core de sus
operaciones. Por ello, GETI sigue la estructura de gestión del grupo: un formato descentralizado. La dirección de
cada unidad de negocio/filial es responsable de asegurar la implementación de los procesos adecuados relevantes
para GETI.
Anualmente, la dirección de cada filial importante deberá enviar un informe formal por escrito al comité de riesgos
apropiado, que será un subgrupo del consejo de dirección. En este informe se detallará el grado de implementación
de la política GETI durante el año financiero. Deberá informarse de aquellas excepciones significativas en cada
reunión programada del comité de riesgos correspondiente.
El consejo de dirección, ayudado por los comités de auditoría y riesgo, asegurará que el desempeño del grupo GETI
sea evaluado, monitorizado, reportado y publicado en un resumen de cuentas GETI, como parte del informe anual
integral de la empresa. El resumen de cuentas se basará en los informes obtenidos de los equipos de riesgo,
cumplimiento y auditoría interna y la dirección de cada una de las filiales importantes. Proporcionará, tanto a las
partes interesadas internas como externas, toda la información relevante y confiable acerca de la calidad del
desempeño del grupo GETI.
Los servicios de auditoría interna proporcionarán el aseguramiento a la dirección y al comité de auditoría sobre la
idoneidad y eficacia de GETI.
54

CAPÍTULO 9
El riesgo empresarial de las TI se comunicará y debatirá como parte del proceso de gestión de riesgos en los registros
de riesgos presentado al comité de riesgos correspondiente.
9.4 Desafíos del negocio
Debido a la naturaleza omnipresente de las TI y al ritmo de evolución de la tecnología, se requiere un marco

confiable para controlar de forma adecuada el entorno de TI y evitar brechas de control que pudieran exponer a la
empresa a un riesgo inaceptable.
El objetivo no es impedir las operaciones de TI de las distintas entidades operativas. En lugar de ello, se trata de
mejorar el perfil de riesgo de las entidades de forma que tenga sentido desde el punto de vista empresarial y
proporcionar una mayor eficacia y calidad del servicio al tiempo que se cumple de forma explícita, no solo con la
Carta estatutaria del grupo GETI de Acme Corporation, sino también con cualquier otro precepto legislativo,
regulatorio y/o contractual.
Algunos ejemplos de puntos de dolor son:25 1
 Complejos esfuerzos de aseguramiento de TI debido a la naturaleza emprendedora de muchas de las unidades de

negocio
 Modelos operativos de TI complejos debido a los modelos de negocio basados en servicios de internet en uso
 Entidades dispersas geográficamente formadas por diversas culturas e idiomas
 El modelo de control de negocio descentralizado/federado y enormemente autónomo utilizado por el grupo
 Implementación de niveles razonables de gestión de TI, dado el personal altamente técnico y, en ocasiones, volátil
de TI
 El equilibrio de TI frente a los impulsores de la empresa para las capacidades innovadora y la agilidad empresarial
y la necesidad de gestionar el riesgo y contar con un control adecuado
 El establecimiento de niveles de riesgo y tolerancia para cada unidad de negocio
 Una necesidad creciente de concentrarse en el cumplimiento de la regulación (privacidad) y los requisitos de
cumplimiento contractuales [Sector de tarjetas de pago (PCI)].
 Hallazgos de auditorías regulares sobre controles de TI deficientes relacionados con la calidad del servicio de TI
 Entrega satisfactoria y dentro del plazo de servicios nuevos e innovadores en un mercado altamente competitivo
9.4.1 Análisis de brechas y meta
En la actualidad, no existe una estrategia o marco a nivel de grupo para GETI o uso de buenas prácticas y estándares
de TI. Entre las unidades de negocio locales, hay distintos niveles de adopción de buenas prácticas con respecto a
GETI. Por ello, tradicionalmente se ha prestado muy poca atención al nivel de capacidad de procesamiento de las TI
Según la experiencia adquirida, los niveles son, por lo general, bajos.
El objetivo del programa GETI es, por tanto, aumentar el nivel de capacidad y adecuación de los procesos y
controles de TI apropiados para cada unidad de negocio de forma prioritaria.
El resultado debería ser que se ha identificado y articulado un riesgo significativo y que la dirección puede abordar el
riesgo e informar sobre su estado. Como el nivel de capacidad de cada unidad de negocio aumenta, la calidad y
eficiencia debería aumentar también de forma proporcional y el perfil de riesgo empresarial de TI de cada unidad
debería disminuir.
Por último, el valor de negocio debería aumentar, como consecuencia de una GETI eficaz.26 2
1
25 Esta enumeración es un subgrupo de la enumeración de la sección 4.5 (Factores de diseño) y se incluye también en la Guía de implementación de COBIT® 2019.
2
26 Existe un estudio empírico que respalda esta conclusión. Por ejemplo, ver op cit De Haes, Joshi y van Grembergen.
55

9.4.2 Alternativas consideradas
Existen muchos marcos de TI, cuya misión individual es la de controlar aspectos significativos de las TI. El marco de
referencia COBIT es considerado por muchos como el marco de control y GETI más importante del mundo. Ya está
siendo implementado por algunas filiales de Acme Corporation.
Acme eligió a COBIT como su marco preferido para la implementación de GETI y debería, por ello, ser adoptado
por todas sus filiales.
COBIT no tiene por qué implementarse en su totalidad; solo debe implementarse en aquellas áreas relevantes de la
filial o unidad de negocio correspondiente, teniendo en cuenta lo siguiente:
1. La fase de desarrollo de cada entidad en el ciclo de vida del negocio
2. Los objetivos de negocio de cada entidad
3. La importancia de las TI para la unidad de negocio
4. El riesgo empresarial relacionado con las TI al que se enfrenta cada entidad
5. Los requerimientos legales y contractuales
6. Otras razones pertinentes
Si una filial o unidad de negocio específica ha aplicado ya otro marco, o se planifica una implementación en el
futuro, la implementación debe corresponderse con COBIT, por razones de elaboración de informes, auditoría y
transparencia del control interno.
9.5 Solución propuesta
El programa GETI se planifica en dos fases distintas.
9.5.1 Fase 1. Pre-planificación
La fase 1 del programa GETI es la fase de desarrollo. Durante esta fase del programa, se llevan a cabo los pasos
siguientes:
1. Se finaliza la estructura del equipo principal entre las partes interesadas y los implicados en el proyecto.
2. El equipo principal completa la formación básica en COBIT.
3. Se llevan a cabo talleres con el equipo principal para definir una estrategia para el grupo.
4. Se crea una comunidad online dentro de Acme Corporation, para que actúe como foro para el intercambio de
conocimientos.
5. Se identifican todas las partes interesadas y sus necesidades.
6. Las estructuras, roles y responsabilidades del consejo, las reglas de toma de decisiones y los acuerdos para la
presentación de informes se clarifican y re-alinean, si es necesario.
7. Se desarrolla y mantiene un caso de negocio para el programa GETI, como base para la implementación
satisfactoria del programa.
8. Se crea un plan de comunicación para los principios rectores, las políticas y los beneficios esperados a lo largo
del programa.
9. Se desarrollan las herramientas de evaluación y elaboración de informes para su uso durante el ciclo de vida del
programa y aun después que finalice.
10. Se pone a prueba la estrategia en una entidad local. Esta actividad se realiza para facilitar la logística y el
perfeccionamiento de la estrategia y las herramientas.
11. La estrategia perfeccionada se aplica de forma experimental en una de las entidades externas. De este modo se
entienden y cuantifican las dificultades que conlleva la ejecución de la fase de evaluación del programa GETI
bajo condiciones de negocio más complejas.
56

CAPÍTULO 9
12. Se presenta el caso de negocio y la estrategia final, incluido un plan de roll-out ante la dirección ejecutiva de
Acme Corporation para su aprobación.
9.5.2 Fase 2. Implementación del programa
El programa GETI se ha diseñado para iniciar un programa continuado de mejora continua, basado en un ciclo de
vida facilitado, iterativo, siguiendo los pasos siguientes:
1. Determinar los factores de mejora de GETI tanto desde el punto de vista del grupo Acme Corporation como a
nivel de las unidades de negocio.
2. Determinar el estado actual de GETI.
3. Determinar el estado deseado de GETI (tanto a corto como a largo plazo).
4. Determinar que debe implementarse a nivel de la unidad de negocio para facilitar los objetivos de negocio
locales, y alinearse así con las expectativas del grupo.
5. Implementar los proyectos de mejora identificados y acordados a nivel de las unidades de negocio locales.
6. Obtener y monitorizar los beneficios.
7. Sostener la nueva forma de trabajo manteniendo el impulso actual.
9.5.3 Alcance del programa
El programa GETI abarcará:

1. Todas las entidades del grupo: Sin embargo, se priorizará a las entidades conforme a la interacción, debido a los
recursos limitados del programa.
2. El método de priorización. Deberá acordarse con la dirección de Acme Corporación, pero podría hacerse
conforme a lo siguiente:
a. Tamaño de la inversión
b. Ingresos/contribución al grupo
c. Perfil de riesgo desde la perspectiva del grupo
d. Una combinación de estos criterios
3. La lista de entidades que se cubrirán durante el año financiero actual. Esta lista debería finalizarse y acordarse
con la dirección de Acme Corporation.
9.5.4 Metodología del programa y alineamiento
El programa GETI cumplirá su mandato usando una estrategia de taller interactivo impartido en todas las entidades.
La estrategia empieza con los objetivos de negocio y los dueños objetivo, normalmente el CEO y el director
financiero (CFO). Esta estrategia debe garantizar que los resultados del programa estén estrechamente alineados con
los resultados y prioridades esperados del negocio.
Cuando se han cubierto los objetivos de negocio, la prioridad se centra en las operaciones de TI, generalmente bajo
el control del director general de tecnología (CTO) o el director de información (CIO). A nivel de operaciones de TI,
se consideran más detalles sobre los riesgos y objetivos de negocio relacionados con las TI.
Los objetivos de negocio y TI, así como los riesgos de negocio de TI, se combinan a continuación en una
herramienta (basada en las directrices COBIT), que proporcionará una serie de áreas prioritarias dentro de los
procesos COBIT para su consideración por parte de la unidad de negocio. De este modo, la unidad de negocio puede
priorizar sus medidas correctivas para abordar las áreas de riesgo de TI.
57

9.5.5 Entregables del programa
Como se ha mencionado anteriormente, un objetivo global del programa GETI es incorporar las buenas prácticas de
GETI a las operaciones continuas de las diversas entidades del grupo.
El programa GETI dará lugar a resultados específicos para permitir a Acme Corporation aprovechar la consecución
de los objetivos pretendidos. Entre ellos se incluyen:
1. El programa GETI facilitará el intercambio de conocimiento interno a través de la plataforma de intranet y
aprovechará las relaciones actuales con los proveedores en beneficio de las unidades de negocio individuales.
2. Se crearán informes detallados de cada facilitación con las unidades de negocio derivados de la herramienta de
evaluación del programa GETI. Los informes incluirán:
a. Los objetivos de negocio priorizados actuales, y los objetivos de TI consiguientes, basados en COBIT
b. El riesgo relacionado con TI identificado por la unidad de negocio de forma estandarizada, y las áreas
prioritarias acordadas en las que se centrará la unidad de negocio dependiendo de los procesos y prácticas de
COBIT y otros componentes recomendados.
3. Se crearán informes generales de progreso sobre el alcance de unidades de negocio de Acme Corporation
pretendidas por parte del programa GETI.
4. Los informes consolidados del grupo cubrirán:
a. El progreso de las unidades de negocio involucradas en sus proyectos de implementación acordados,
conforme a la monitorización acordada de las métricas de rendimiento
b. Visión de riesgo de TI consolidado en todas las entidades de Acme Corporation
c. Requerimientos específicos del comité(s) de riesgos
5. Se generará un informe financiero del presupuesto del programa comparado con el montante actual
desembolsado.
6. Se creará una monitorización e informe de beneficios, con respecto a los objetivos y métricas de valor definidos
por la unidad de negocio.
9.5.6 Riesgo del programa
A continuación, se muestran lo que se consideran posibles tipos de riesgo para el inicio y continuación satisfactoria
del programa GETI de Acme Corporation. El riesgo se mitigará centrándose en la habilitación de cambios y se
monitorizará y abordará de forma continua a través de revisiones del programa y un registro del riesgo. Estos tipos
de riesgo son:
1. El compromiso y apoyo de la dirección al programa, tanto a nivel de grupo como a nivel de las unidades de
negocio locales
2. Demostrar la creación de valor y beneficios reales a cada entidad local a través de la adopción del programa. Las
entidades locales deberían querer adoptar el proceso por el valor que crea, en lugar de hacerlo por la política
establecida.
3. La participación activa de la dirección local en la implementación del programa
4. Identificar a las partes interesadas clave de cada entidad para su participación en el programa
5. La visión empresarial dentro de los cargos de dirección de TI
6. La integración satisfactoria con cualquier otra iniciativa de gobierno o cumplimiento que exista en el grupo
7. Las estructuras de comités adecuadas para supervisar el programa. Por ejemplo, el progreso del programa GETI
en su conjunto podría pasar a ser un punto de la agenda del comité ejecutivo de TI. También deberán constituirse
equivalentes locales. Esto podría replicarse a nivel geográfico, así como a nivel de las filiales locales del grupo,
donde fuera necesario.
58

CAPÍTULO 9
9.5.7 Partes interesadas
En los resultados del programa GETI, se han identificado las partes interesadas siguientes:
1. Comité de riesgos
2. Comité ejecutivo de TI
3. Equipo de gobierno
4. Personal de cumplimiento
5. Dirección regional
6. Dirección ejecutiva a nivel local (incluida la dirección de TI)
7. Servicios de auditoría interna
Se recopilará y publicará una estructura final que contiene los nombres individuales de las partes interesadas después
de consultarlo con la dirección del grupo.
El programa GETI precisa que las partes interesadas identificadas proporcionen lo siguiente:
1. Directrices sobre la dirección general del programa GETI. Estas directrices incluyen las decisiones sobre asuntos
importantes de gobierno definidos en una matriz RACI del grupo conforme a las directrices de COBIT. También
incluye el establecimiento de prioridades, el acuerdo sobre financiación y la aprobación de objetivos de valor.
2. Aceptación de los entregables y monitorización de los beneficios esperados del programa GETI
9.5.8 Análisis de coste-beneficio
El programa debería identificar los beneficios esperados y monitorizar que se está generando el valor real del
negocio a partir de la inversión. La gestión local debería motivar y apoyar el programa. Una buena GETI debería
derivar en beneficios que se establecerán como objetivos específicos para cada unidad de negocio y se monitorizarán
y medirán durante la implementación para asegurar que se han obtenido. Los beneficios incluyen:
1. Maximizar el aprovechamiento de oportunidades de negocio a través de TI, al tiempo que se mitiga el riesgo de
negocio relacionado con TI a niveles aceptables, asegurando así que el riesgo se pondera de forma responsable
con respecto a la oportunidad en todas las iniciativas empresariales
2. Respaldar los objetivos del negocio mediante inversiones clave e ingresos óptimos de esas inversiones,
alineando así directamente las iniciativas y objetivos de TI con la estrategia del negocio
3. Cumplimiento legislativo, regulatorio y contractual al igual que el cumplimiento de los procedimientos y política
internos
4. Una estrategia uniforme para medir y monitorizar el progreso, la eficiencia y la eficacia
5. Una mejor calidad en la prestación del servicio
6. Un coste más bajo de las operaciones de TI y/o una mayor productividad de TI realizando más trabajo de forma
constante con menos tiempo y menos recursos
Los costes centrales incluirán el tiempo requerido para la gestión del programa por parte del grupo, los recursos de
asesoría externos y los cursos de formación iniciales. Estos costes centrales se han estimado para la fase 1. El coste
de los talleres de evaluación para los directivos de las unidades de negocio y responsables de procesos a título
individual (asistencia, lugar de realización del taller, facilitadores y otros costes relacionados) se financiarán
localmente y se proporcionará una estimación. Las iniciativas de mejora de proyecto específicas para cada unidad de
negocio se estimarán en la fase 2 y se considerarán en base a cada caso y en su conjunto. Esto permitirá al grupo
maximizar la eficiencia y la estandarización.
59

9.5.9 Desafíos y factores de éxito
La figura 9.1 resume los retos que podrían afectar al programa GETI durante el periodo de implementación del
mismo y los factores críticos de éxito que deberían abordarse para asegurar un resultado satisfactorio.
Figura 9.1—Desafíos y medidas planificadas de Acme Corporation

Desafío Factor crítico de éxito —Medidas planificadas
Incapacidad de obtener y mantener el respaldo  Mitigar a través de estructuras de comités dentro del grupo (que
para mejorar los objetivos deberán ser acordadas y constituidas).
Brecha de comunicación entre TI y el negocio  Involucrar a todas las partes interesadas.
Coste de mejoras superior a beneficios  Priorizar la identificación de beneficios.
percibidos
Falta de confianza y buenas relaciones entre TI  Fomentar una comunicación abierta y transparente acerca del
y la empresa rendimiento, vinculada a la gestión del rendimiento corporativo.
 Priorizar las interfaces del negocio y la mentalidad de servicio.
 Publicar los resultados positivos y lecciones aprendidas para
contribuir a establecer y mantener la credibilidad.
 Garantizar que el CIO mantenga la credibilidad y el liderazgo a la hora
de generar confianza y relaciones.
 Formalizar los roles y responsabilidades de gobierno en el negocio
para que quede clara la rendición de cuentas por las decisiones
tomadas.
 Identificar y comunicar la evidencia de problemas reales, riesgos que
deben evitarse y beneficios que deben obtenerse (en términos
empresariales) relacionados con las mejoras propuestas.
 Priorizar una planificación que facilite los cambios.
Falta de comprensión del entorno de Acme por  Aplicar una metodología de evaluación uniforme.
parte de los responsables del programa GETI
Distintos niveles de complejidad (técnica,  Tratar a las entidades de forma individualizada. Beneficiarse de las
organizativa, modelo operativo) lecciones aprendidas e intercambiar conocimientos.
Entender los marcos, procesos y prácticas de  Formar y hacer de mentores.
GETI
Resistencia al cambio  Asegurar la implementación del ciclo de vida también incluye
cambios en las actividades de facilitación.
Adopción de mejoras  Facilitar la capacitación local a nivel de entidad.
Dificultad a la hora de integrar GETI en los  Involucrar a proveedores/terceros en las actividades de GETI.
modelos de gobierno de los socios externos  Incorporar condiciones y el derecho a una auditoría en los contratos.
Fallo a la hora de cumplir con los compromisos  Gestionar las expectativas.
de implementación de GETI  Simplificar, ser realistas y prácticos.
 Desglosar el proyecto global en proyectos pequeños factibles,
logrando experiencia y beneficios.
Intentar no hacer demasiadas cosas a la vez;  Aplicar los principios de gestión del programa y proyecto.
que TI intente resolver problemas  Utilizar hitos.
extremadamente difíciles y/o complejos  Priorizar tareas 80/20 (80 por ciento de beneficio con 20 por ciento de
trabajo) y tener cuidado a la hora de establecer secuencias en el
orden correcto. Capitalizar las ganancias rápidas.
 Generar confianza/credibilidad. Contar con las habilidades y
experiencias para simplificar y ser prácticos.
 Reutilizar lo que ya se tiene como base.
60

CAPÍTULO 9
Figura 9.1—Desafíos y medidas planificadas de Acme Corporation (cont.)

Desafío Factor crítico de éxito —Medidas planificadas
TI en modo apagar incendios y/o no priorizar  Aplicar buenas habilidades de liderazgo.
bien y no poder centrarse en GETI  Obtener el compromiso e impulso de la alta dirección para que los
empleados puedan centrase en GETI.
 Abordar las causas raíz del entorno operativo (intervención externa,
dirección priorizando TI).
 Aplicar una disciplina más férrea/gestión de peticiones del negocio.
 Obtener ayuda externa.
Ausencia de las habilidades y competencias de  Enfocarse en una planificación de cambio organizativo:
TI requeridas, como entender el negocio, los  Desarrollo
procesos, habilidades sociales  Capacitación
 Coaching
 Tutoría
 Retroalimentación al proceso de contratación
 Entrenamiento / capacitación cruzada
Mejoras no adoptadas ni aplicadas  Usar una estrategia individual con principios acordados para la
entidad local. Su implementación debe ser práctica.
Resulta difícil mostrar o demostrar los  Identificar las métricas de desempeño.
beneficios
Pérdida de interés y motivación  Generar un compromiso a nivel de grupo, incluida la comunicación.
61

62

CAPÍTULO 10
COBIT Y OTROS ESTÁNDARES
Capítulo 10
COBIT y otros estándares
10.1 Reglas/Guia Principal
Una de las reglas de oro que se aplicó a lo largo de todo el desarrollo de COBIT® 2019 fue mantener la posición de
COBIT como marco paraguas (umbrela framework). Esto significa que COBIT sigue alineado con una serie de
estándares, marcos y/o regulaciones relevantes.
En este contexto, alineamiento significa que COBIT no contradice ninguna directriz de los estándares relacionados.
Al mismo tiempo, es importante recordar que COBIT no copia los contenidos de dichos estándares relacionados. En
su lugar, suele proporcionar informaciones o referencias equivalentes a las directrices vinculadas.
10.2 Lista de estándares referenciados
Entre los estándares y directrices utilizadas durante el desarrollo de la actualización de COBIT® 2019 se encuentran:
 CIS® Center for Internet Security®, The CIS Critical Security Controls for Effective Cyber Defense, Versión 6.1,
agosto 2016
 Cloud standards and good practices:
 Amazon Web Services (AWS®)
 Security Considerations for Cloud Computing, ISACA
 Controls and Assurance in the Cloud: Using COBIT® 5, ISACA
 CMMI® Cybermaturity Platform, 2018
 CMMI® Data Management Maturity (DMM)SM model, 2014
 CMMI® Development V2.0, CMMI Institute, USA, 2018
 Comité de Organizaciones Patrocinadoras (COSO) Enterprise Risk Management (ERM) Framework, junio 2017
 Comité europeo de normalización (CEN), e-Competence Framework (e-CF) - A common European Framework for
ICT Professionals in all industry sectors - Part 1: Framework, EN 16234-1:2016
 HITRUST® Common Security Framework, version 9, September 2017
 Information Security Forum (ISF), The Standard of Good Practice for Information Security 2016
 Normativa de la Organización Internacional de Normalización / Comisión Electrotécnica Internacional (ISO/CEI)
 ISO/CIE 20000-1:2011(E)
 ISO/CIE 27001:2013/Cor.2:2015(E)
 ISO/CIE 27002:2013/Cor.2:2015(E)
 ISO/CIE 27004:2016(E)
 ISO/CIE 27005:2011(E)
 ISO/CIE 38500:2015(E)
 ISO/CIE 38502:2017(E)
 Information Technology Infrastructure Library (ITIL®) v3, 2011
 Institute of Internal Auditors® (IIA®), “Core Principles for the Professional Practice of Internal Auditing”
 King IV Report on Corporate Governance™, 2016
63

 Normativa del Instituto de Estándares y Tecnología de Estados Unidos (NIST):

 Framework for Improving Critical Infrastructure Cybersecurity V1.1, abril 2018
 Special Publication 800-37, Revisión 2 (Borrador), mayo 2018
 Special Publication 800-53, Revisión 5 (Borrador), agosto 2017
 “Options for Transforming the IT Function Using Bimodal IT,” MIS Quarterly Executive (documentación técnica)
 A Guide to the Project Management Book of Knowledge: PMBOK® Guide, 6.ª Edición, 2017
 PROSCI® 3-Phase Change Management Process
 Scaled Agile Framework for Lean Enterprises (SAFe®)
 Skills Framework for the Information Age (SFIA®) V6, 2015
 The Open Group IT4IT™ Reference Architecture, versión 2.0
 The Open Group Standard TOGAF® versión 9.2, 2018
 The TBM Taxonomy, The TBM Council
64

Cobit versión 2019
A LA LUZ DE LA TRANSFORMACIÓN DIGITAL, LA INFORMACIÓN Y LA TECNO LOGÍA (I&T) SE HAN CONVERTIDO EN ALGO FUNDAMENTAL
PARA EL SOPORTE, L
LA SOSTENIBILIDAD Y EL CRECIMIENTO DE LAS EMPRESAS. ANTERIORMENTE, LOS CONSEJOS DE GOBIERNO (COMITÉS DE DIRECCIÓN) Y
LA ALTA GERENCIA PODÍAN DELEGAR, IGNORAR O EVITAR LAS DECISIONES RELACIONADAS CON LAS I&T. EN LA MAYORÍA DE SECTORES
E INDUSTRIAS, ESTAS ACTITUDES AHORA NO SON ACONSEJABLES . LA CRE ACIÓN DE VALOR PARA LOS GRUPOS DE INTERÉS (POR
EJEMPLO, LA GENERACIÓN DE BENEFICIOS CON UN COSTO ÓPTIMO DE RECU RSOS Y UN RIESGO OPTIMIZADO) SUELE VENIR DE LA
MANO DE UN ALTO NIVEL DE DIGITALIZACIÓN EN NUEVOS MODELOS DE NEG OCIO, PROCESOS EFICIENTES, UNA EXITOSA INNOVACIÓN,
ETC. LAS EMPRESAS DIGITALES DEPENDEN CADA VEZ MÁS DE LA I&T PARA SU SUPERVIVENCIA Y CRECIMIENTO.
SUSANA CADENA - AUDITORÍA DE SISTEMAS II

Gobierno Costos inferiores de continuidad relacionados con
las TI
empresarial de
tecnologías de la
información (GETI) Mayor capacidad innovadora gracias a las TI
Mayor alineamiento entre la inversión digital y los

objetivos y estrategia empresariales
Mayor confianza entre el negocio y las TI
Cambio hacia una «mentalidad de valor» en torno

a los activos digitales.
Partes
Interesadas
COBIT 2019

Partes
Interesadas
COBIT 2019
• Satisfacer las necesidades de las partes
interesadas y generar eL valor del uso de la I&T.
• Se crea a partir de una serie de componentes

que pueden ser de distinto tipo y que funcionan
conjuntamente de forma holística.
• Debería ser dinámico.
• Debería distinguir claramente entre actividades

de gobierno y gestión, y estructuras.
• Personalizarse de acuerdo con las necesidades

de la empresa, utilizando una serie de factores
de diseño como parámetros para personalizar y
priorizar los componentes del sistema de
gobierno.
• Cubrir la empresa de principio a fin,

centrándose no solo en la función de TI

Basarse en un modelo Debería ser abierto y flexible. Alinearse con los principales
conceptual que identifique los Debería permitir la estándares, marcos y
componentes principales y las incorporación de nuevo regulaciones relacionados.
relaciones entre componentes contenido y la capacidad para
para maximizar la uniformidad abordar nuevos asuntos de la
y permitir la automatización. forma más flexible, mientras
mantiene la integridad y
uniformidad. Marco de
Gobierno

Los objetivos de gobierno se agrupan en el
dominio Evaluar, Dirigir y Monitorizar
(EDM).
Gobierno y
Gestión En este dominio, el organismo de gobierno
evalúa las opciones estratégicas,
direcciona a la alta gerencia con respecto a
las opciones estratégicas elegidas y
monitoriza la consecución de la estrategia.

Componentes del Sistema de Gobierno
Los procesos describen una serie de prácticas y actividades organizadas para lograr determinados objetivos y producir una serie de resultados que
contribuyan a la consecución de la totalidad de los objetivos relacionados con las TI.
Las estructuras organizativas son las entidades clave de toma de decisiones en una empresa.
Los principios, las políticas y los marcos convierten el comportamiento deseado en orientación práctica para la gestión del día a día.
La información es generalizada a lo largo de cualquier organización e incluye toda la información producida y utilizada por la empresa. COBIT se
centra en la información requerida para el funcionamiento eficaz del sistema de gobierno de la empresa.
La cultura, la ética y el comportamiento de los individuos y de la empresa son, a menudo, subestimados como un factor de éxito de las actividades
de gobierno y gestión.
Las personas, las habilidades y las competencias son necesarias para tomar buenas decisiones, ejecutar acciones correctivas y completar
satisfactoriamente todas las actividades.
Los servicios, la infraestructura y las aplicaciones incluyen la infraestructura, la tecnología y las aplicaciones que brindan a la empresa un sistema de
gobierno para el procesamiento de I&T.

Los objetivos de gestión se agrupan en cuatro dominios:
Alinear, Planificar y Organizar (APO) aborda la
organización general, estrategia y actividades de apoyo
para las I&T.
Construir, Adquirir e Implementar (BAI) se encarga de la

definición, adquisición e implementación de soluciones
Gobierno y de I&T y su integración en los procesos de negocio.
Gestión Entregar, Dar Servicio y Soporte (DSS) aborda la ejecución

operativa y el soporte de los servicios de I&T, incluida la
seguridad.
Monitorizar, evaluar y Valorar (MEA) aborda la

monitorización y la conformidad de I&T con los objetivos
de desempeño interno, los objetivos de control interno y
los requerimientos externos.

Taller: Transformación Digital en las
Empresas
¿Cómo mi organización esta respondiendo a la Transformación Digital?
• Analizar si mi empresa ha tomado en cuenta este concepto.
• Identificar los productos creados por mi empresa respondiendo a la transformación digital
Diagnóstico de gobierno empresarial de TI

• Analice los componentes del Sistema de gobierno e incluya una explicación de los siguientes aspectos:
• Acciones que tiene mi empresa para cumplir el componente
• Acciones que no ha considerado mi empresa para cumplir el componente
• Acciones recomendadas para cumplir el componente
Conclusiones
• Mi empresa esta lista para la transformación digital
• Mi empresa estaría lista para adoptar un enfoque COBIT

Cobit y versión 2019

Principios que describen los requisitos
Entorno fundamentales de un sistema de
gobierno para la Información y la
COBIT 2019 se Tecnología de la empresa
desarrolló en
base a dos
series de Principios para un marco de gobierno
principios: que pueda usarse para crear un sistema
de gobierno para la empresa
Satisfacer las necesidades de Se crea a partir de una serie de Debería ser dinámico.
las partes interesadas y componentes que pueden ser
generar eL valor del uso de la de distinto tipo y que
I&T. funcionan conjuntamente de
forma holística.
Principios
para un
Debería distinguir claramente Personalizarse de acuerdo con Cubrir la empresa de principio
sistema de
entre actividades de gobierno
y gestión, y estructuras.
las necesidades de la empresa,
utilizando una serie de
factores de diseño como
a fin, centrándose no solo en la
función de TI gobierno
parámetros para personalizar y
priorizar los componentes del
sistema de gobierno.

Beneficio
El valor refleja un
Riesgo
Satisfacer las equilibrio entre:

Recursos
partes
interesadas Las empresas necesitan una
estrategia y un sistema de
gobierno práctico para
materializar este valor.

¿ Que es COBIT ?
COBIT hace una distinción clara entre: El gobierno asegura que: La gerencia planifica, construye, ejecuta y
monitorea actividades en línea con la
dirección establecida por el
Gobierno Las necesidades, condiciones y opciones de las partes
interesadas se evalúan para determinar objetivos
Gestión. empresariales equilibrados y acordados.
La dirección se establece a través de la priorización y la
toma de decisiones.
El desempeño y el cumplimiento se monitorean en
relación con la dirección y los objetivos acordados.

Cobit y su relación con
otro marcos de trabajo

¿ Que es COBIT ?
COBIT hace una distinción clara entre: El gobierno asegura que: La gerencia planifica, construye, ejecuta y
monitorea actividades en línea con la
dirección establecida por el
Gobierno Las necesidades, condiciones y opciones de las partes
interesadas se evalúan para determinar objetivos
Gestión. empresariales equilibrados y acordados.
La dirección se establece a través de la priorización y la
toma de decisiones.
El desempeño y el cumplimiento se monitorean en
relación con la dirección y los objetivos acordados.

Define los componentes para crear y sostener un
sistema de gobierno: procesos, estructuras
organizativas, políticas y procedimientos, flujos
de información, cultura y comportamientos,
habilidades e infraestructura.
¿ Que es Define los factores de diseño que deberían ser

considerados por la empresa para crear un
COBIT ? sistema de gobierno más adecuado.
Trata asuntos de gobierno mediante la

agrupación de componentes de gobierno
relevantes dentro de objetivos de gobierno y
gestión que pueden gestionarse según los
niveles de capacidad requeridos.

¿ Que no es COBIT ?
No es una descripción No es un marco para
completa de todo el entorno organizar procesos de
de TI de una empresa. negocio.
No es un marco técnico (de No toma ni prescribe

TI) para gestionar toda la ninguna decisión relacionada
tecnología. con la TI.
No decidirá cuál es la mejor

estrategia de TI, cuál es la
mejor arquitectura, o cuánto
puede o debería costar la TI.

Es un marco para el gobierno y la gestión de las
tecnologías de la información dirigido a toda la
empresa.
Las TI empresarial significa toda la tecnología y

procesamiento de la información que la empresa utiliza Diferencias
para lograr sus objetivos, independientemente de
dónde ocurra dentro de la empresa. COBIT e ITIL
Las TI empresarial no se limita al departamento de TI de
una organización, aunque este está indudablemente
incluido

Diferencias COBIT E ITIL
Procesos de ITIL están alineados al COBIT de una manera

significativa
Ejemplo dominio de COBIT Entregar y dar soporte

Diferencias
Tomado de : https://sg.com.mx/content/view/638
Diferencias COBIT y COSO
COSO IDENTIFICA CINCO COSO PROPORCIONA UN ENFOQUE COSO SE CENTRA PRINCIPALMENTE COBIT 5 TAMBIÉN INCORPORA
COMPONENTES DE CONTROL PRÁCTICO DE GESTIÓN DE RIESGOS EN CINCO PUNTOS ESTRATÉGICOS CINCO PRINCIPIOS
INTERNO, QUE DEBERÁN ESTAR A LOS CONTROLES INTERNOS QUE CLAVE INTERRELACIONADOS. ESTOS ESTRATÉGICOS. SE TRATA DE
INTEGRADOS PARA ALCANZAR LOS LAS ORGANIZACIONES SON GOBERNANZA Y CULTURA, SATISFACER LAS NECESIDADES DE
OBJETIVOS DEL REPORTE IMPLEMENTAN. ESTRATEGIA Y ESTABLECIMIENTO LAS PARTES INTERESADAS,
FINANCIERO Y SU DIVULGACIÓN. DE OBJETIVOS, DESEMPEÑO, PERMITIENDO UN ENFOQUE
REVISIÓN Y REVISIÓN, HOLÍSTICO, CUBRIENDO LA
INFORMACIÓN, COMUNICACIÓN E EMPRESA DE EXTREMO A
INFORMES. EXTREMO, APLICANDO UN MARCO
INTEGRADO ÚNICO Y SEPARANDO
LA GOBERNANZA Y LA GESTIÓN.

Complementos
01 02 03 04 05
Tienen cinco principios COSO proporciona COBIT 5 ofrece a las COSO se utiliza por las COBIT 5 para organizar su
estratégicos clave que orientación para que las mismas organizaciones un organizaciones que panorama de control.
desempeñan funciones organizaciones utilicen en marco para desarrollar buscan crear marcos de
diferentes para las sus esfuerzos por controles y mejores informes de riesgos
organizaciones. establecer la tolerancia al prácticas financieros
riesgo y reducir el fraude

COSO y COBIT 5 trabajan en armonía no solo para
crear un panorama de control sino también un
modelo impermeable de riesgo y gobernanza, que le
permite cumplir con todos los requisitos.
COSO está allí para responder a los controles
Marcos relacionados con el deber fiduciario y, por lo tanto, se
limita al entorno de TI de su organización.
complementarios COBIT 5 va más allá de la información financiera, ya

que cubre todo el entorno de TI de una organización.
Las organizaciones que buscan crear marcos de
informes de riesgos financieros que utilicen COSO
también pueden usar COBIT 5 para organizar su
panorama de control.

¿Qué significa el Gobierno
empresarial de TI?
Estructura
Principios del
marco de
gobierno
Los tres (3) principios
identifican los principios
UN MARCO DE GOBERNANZA UN MARCO DE GOBERNANZA UN MARCO DE GOBERNANZA
subyacentes de un marco de DEBERÍA BASARSE EN UN MODELO DEBERÍA SER ABIERTO Y FLEXIBLE. DEBERÍA AJUSTARSE A LAS
gobernanza que puede CONCEPTUAL, IDENTIFICANDO LOS DEBE PERMITIR LA ADICIÓN DE PRINCIPALES NORMAS, MARCOS Y
utilizarse para construir un COMPONENTES CLAVE Y LAS
RELACIONES ENTRE LOS
NUEVOS CONTENIDOS Y LA
CAPACIDAD DE ABORDAR NUEVAS
REGLAMENTOS CONEXOS
PERTINENTES
sistema de gobernanza para la COMPONENTES, PARA MAXIMIZAR CUESTIONES DE LA MANERA MÁS
empresa. LA COHERENCIA Y PERMITIR LA FLEXIBLE POSIBLE, MANTENIENDO
AUTOMATIZACIÓN. AL MISMO TIEMPO LA INTEGRIDAD
Y LA COHERENCIA.
Principios del sistema de Gobierno
Los seis (6) principios son los requisitos básicos para un sistema de gobernanza de la información y la
tecnología de las empresas.
1 2 3 4 5 6
Cada empresa necesita Un sistema de Un sistema de Un sistema de gobierno Un sistema de gobierno Un sistema de
un sistema de gobernanza para la I&T gobernanza debe ser debería distinguir debería adaptarse a las gobernanza debería
gobernanza para de la empresa se dinámico. Esto significa claramente entre las necesidades de la abarcar la empresa de
satisfacer las construye a partir de una que cada vez que se actividades y estructuras empresa, utilizando un extremo a extremo,
necesidades de las serie de componentes modifican uno o más de de gobierno y de gestión. conjunto de factores de centrándose no sólo en
partes interesadas y que pueden ser de los factores de diseño diseño como parámetros la función de la
generar valor a partir del diferentes tipos y que debe considerarse el para personalizar y tecnología de la
uso de la información y funcionan impacto de esos cambios priorizar los información sino en toda
la tecnología. conjuntamente de en el sistema de GEI. componentes del la tecnología y el
manera holística. sistema de gobierno. procesamiento de la
información que la
empresa pone en
marcha para alcanzar su
CONCEPTOS CLAVE
• Los objetivos de la empresa se han consolidado, reducido,
actualizado y aclarado.
• Las metas de alineación enfatizan la alineación de todos los
esfuerzos de TI con los objetivos de negocio
• Estos fueron los objetivos relacionados con la tecnología de la
información en el COBIT 5
• La actualización trata de evitar el frecuente malentendido de
que estas metas indican objetivos puramente internos del
departamento de TI dentro de una empresa
• También se han consolidado, reducido, actualizado y aclarado,
cuando ha sido necesario, los objetivos de alineación
• Los componentes pueden ser genéricos o variantes
CONCEPTOS de componentes genéricos:-
• Los componentes genéricos se describen en el
CLAVE modelo central de COBIT
• Se aplica en principio a cualquier situación, sin
embargo, son de carácter genérico y, por lo
general, necesitan una adaptación antes de su
aplicación práctica
• Las variantes se basan en componentes
genéricos pero adaptado a un propósito o
contexto específico dentro de una esfera de
interés (por ejemplo, para la seguridad de la
información, DevOps, una regulación particular)
Area de enfoque
Una área de enfoque de interés
describe un determinado tema, Las esferas de actividad pueden
dominio o cuestión de gobernanza que contener una combinación de
puede ser abordado por un conjunto de Componentes y variantes genéricas de
objetivos de gobernanza y gestión y sus gobernanza
componentes.
Nuevas áreas de enfoque pueden ser

El número de áreas de enfoque es
añadidas según se requiera o según
virtualmente ilimitado. Eso es lo que
contribuyan los expertos en la materia y
hace a COBIT abierto.
los profesionales.
• Influir en el diseño del sistema de
gobierno de una empresa
Factores • Posicionarlo para el éxito en el uso de
I&T
de • Más información y orientación

detallada sobre cómo utilizar los
factores de diseño para diseñar un
diseño sistema de gobierno se puede
encontrar en la publicación de la Guía
de Diseño COBIT
FACTORES DE DISEÑO:
EJEMPLOS
• Estrategia de la empresa
• Crecimiento / Adquisición
• Innovación / Diferenciación
• Liderazgo en costos
• Servicio al cliente / Estabilidad
• Entorno de riesgo
• Normal
• Alto
• Papel de la TI
• Apoyo
• Fábrica
• Turna redonda
• Estratégica
DISEÑAR Y APLICAR UN SISTEMA DE
GOBIERNO ADAPTADO
OBJETIVO DE GESTIÓN NIVELES DE PRIORIDAD Y DE HACEN QUE ALGUNOS OBJETIVOS DE GOBERNANZA EN LA PRÁCTICA, ESTA MAYOR IMPORTANCIA SE
CAPACIDAD DE LAS METAS Y GESTIÓN SEAN MÁS IMPORTANTES QUE OTROS, A TRADUCE EN EL ESTABLECIMIENTO DE NIVELES DE
VECES HASTA EL PUNTO DE QUE SE VUELVAN CAPACIDAD MÁS ALTOS DE OBJETIVOS
INSIGNIFICANTES
Los factores de diseño influyen de diferentes maneras en la

adaptación del sistema de gobierno de una empresa.
• Factor de diseño de impacto
• Áreas de enfoque específicas
• Algunos factores de diseño, como el panorama de las
amenazas, el riesgo específico, los métodos de desarrollo de
objetivos y el establecimiento de la infraestructura, impulsarán
la necesidad de variar el contenido del modelo básico de
COBIT a un contexto específico
• Variaciones de los componentes
• Los componentes son necesarios para lograr los objetivos de
gobernanza y gestión. Algunos factores de diseño pueden
influir en la importancia de uno o más componentes o pueden
requerir variaciones específicas
DISEÑAR Y APLICAR UN SISTEMA DE

GOBIERNO ADAPTADO
DISEÑAR UN SISTEMA DE GOBIERNO A MEDIDA
FLUJO DE TRABAJO DEL DISEÑO DEL SISTEMA DE GOBIERNO
Las diferentes etapas y pasos del proceso El enfoque de aplicación se basa en la

de diseño se traducirán en potenciación de las empresas y los
recomendaciones para priorizar los interesados en la tecnología de la
objetivos de gobernanza y gestión o los información y los actores principales para
componentes conexos del sistema de que asuman la responsabilidad de las
gobernanza, para los niveles de capacidad decisiones y actividades de gobernanza y
previstos o para adoptar variantes gestión relacionadas con la tecnología de
específicas de un componente del sistema la información facilitando y propiciando el
de gobernanza. cambio.
• La guía de aplicación es un enfoque por etapas
con tres perspectivas
• Mejora continua
• Gestión del programa
• Habilitación de cambios
Guia de aplicación
• Los factores de diseño son factores
que pueden influir en el diseño del
Factores de sistema de gobierno de una
empresa y posicionarla para que
diseño tenga éxito al usar la I&T.
Estructura
Estrategia de la empresa
Estrategia de la empresa
Objetivos empresariales
Perfil de riesgo
Problemas relacionados con I&T
Panorama de amenazas—
Requerimientos de cumplimiento—
Rol de TI
Modelo de abastecimiento para TI—
Métodos de implementación de TI—
Estrategia de adopción de tecnología—
Factor de diseño del tamaño de la empresa
COBIT 5: Procesos Habilitadores (Cont.)
COBIT 5: Procesos Habilitadores:
• El Modelo de Referencia de Procesos de COBIT 5 subdivide
las actividades y prácticas de la Organización relacionadas con
la TI en dos áreas principales – Gobierno y Administración –
con la Administración a su vez dividida en dominios de
procesos:
• El Dominio de GOBIERNO contiene cinco procesos de
gobierno; dentro de cada proceso se definen las prácticas para
Evaluar, Dirigir y Monitorear (EDM).
• Los cuatro dominios de la ADMINISTRACIÓN están alineados
con las áreas de responsabilidad de Planificar, Construir, Operar
y Monitorear (PBRM por su sigla en inglés).
1
El modelo de procesos muestra:
• • Partes Interesadas—Los procesos tienen partes interesadas internas y externas, con sus propios
roles; las partes
• interesadas y sus niveles de responsabilidad se hallan documentados en matrices que
muestran quién realiza, quién
• es responsable, a quién se consulta o a quién se informa (RACI). Las partes interesadas
externas incluyen clientes,
• socios de negocio, accionistas y entidades reguladoras. Las partes interesadas internas
incluyen al Consejo de
• Administración, la dirección, el personal y los voluntarios.
• • Metas—Las metas del proceso se definen como ‘una declaración que describe el resultado
deseado de un proceso. Un
• resultado puede ser cualquier elemento, un cambio significativo de estado o una mejora
significativa de la capacidad
• de otros procesos’. Son parte de la cascada de metas, es decir, las metas de proceso
apoyan las metas TI, que a su vez
• apoyan las metas corporativas.
• Para cada proceso COBIT 5, las prácticas de gobierno/gestión
proporcionan todo un conjunto de requerimientos de alto nivel para un
gobierno y gestión de la TI corporativa eficaces y prácticos.
Éstas son:
• - Declaraciones de acciones para obtener beneficios, optimizar el nivel de
riesgo y optimizar el uso de recursos
• - Alineadas con los pertinentes estándares y buenas prácticas generalmente
aceptados
• - Genéricas y en consecuencia, con necesidad de ser adaptadas a cada
compañía
• - Que den cobertura a aquéllos que desempeñan un cargo de negocio y de TI
en el proceso (extremo a extremo)
Los cinco principios de COBIT 5
• COBIT 5 es un marco de trabajo que
permite comprender el gobierno y la gestión
de las tecnologías de información (TI) de
una organización, así como evaluar el
estado en que se encuentran las TI en la
empresa.
CONTROL OBJECTIVES FOR
INFORMATION AND RELATED
TECHNOLOGY
COBIT 5
Control Objectives for Information
and related Technology o COBIT 5
• También se puede definir como un conjunto de
herramientas de soporte empleadas por los gerentes
para reducir la brecha entre los requerimientos de
control, los temas técnicos y los riesgos del negocio.
– Así, mediante COBIT 5 se puede desarrollar una política clara que

permite el control de las TI en la organización. La aplicación de este
marco incide especialmente en el cumplimiento regulatorio y ayuda a
incrementar el valor asociado al área de TI de la organización. Desde
su inicio, COBIT 5 ha evolucionado desde su uso para la auditoría de
TI, para luego pasar por el control, la gestión de TI, el gobierno de TI,
llegando a su versión actual que es un enfoque holístico de gobierno
corporativo de TI.
Este marco de trabajo cuenta con cinco principios
que una organización debe seguir para adoptar la
gestión de TI:
• Satisfacción de las necesidades de los accionistas:
– se alinean las necesidades de los accionistas con los objetivos
empresariales específicos, objetivos de TI y objetivos habilitadores.
Se optimiza el uso de recursos cuando se obtienen beneficios con un
nivel aceptable de riesgo.
• Considerar la empresa de punta a punta:

– El gobierno de TI y la gestión de TI son asumidos desde una
perspectiva global, de tal modo que se cubren todas las necesidades
corporativas de TI. Esto se aplica desde una perspectiva "de punta
a punta" basada en los 7 habilitadores de COBIT.
Aplicar un único modelo de
referencia integrado:
• COBIT 5 integra los mejores marcos de Information Systems
Audit and Control Association (ISACA) como Val IT, que
relaciona los procesos de COBIT con los de la gerencia
requeridos para conseguir un buen valor de las inversiones en
TI. También se relaciona con Risk IT, lanzado por ISACA para
ayudar a organizaciones a equilibrar los riesgos con los
beneficios.
– Se considera el uso de Business Model for Information Security
(BMIS) e IT Assurance Framework (ITAF). Además permite
alinearse con los principales estándares o marcos como
Information Technology Infrastructure Library (ITIL), The Open
Group Architecture Forum (TOGAF), Project Management Body
of Knowledge (PMBOK), PRojects IN Controlled Environments 2
(PRINCE2), Committee of Sponsoring Organizations of the
Treadway Commission (COSO) y estándares ISO.
Posibilitar un enfoque holístico:
• Los habilitadores de COBIT 5 están
identificados en siete categorías que abarcan la
empresa de punta a punta. Individual y
colectivamente, estos factores influyen para
que el gobierno de TI y la gestión de TI operen
en función de las necesidades del negocio.
El holismo es una posición metodológica y

epistemológica que postula cómo los sistemas y sus
propiedades, deben ser analizados en su conjunto y
no sólo a través de las partes que los componen
Separar el gobierno de la gestión:
• COBIT 5 distingue con claridad los ámbitos del gobierno de TI
y la gestión de TI. Se entiende por gobierno de TI las funciones
relacionadas con la evaluación, la dirección y el monitoreo de las
TI. El gobierno busca asegurar el logro de los objetivos
empresariales y también evalúa las necesidades de los
accionistas, así como las condiciones y las opciones existentes. La
dirección se concreta mediante la priorización y la toma efectiva
de decisiones. Y el monitoreo abarca el desempeño, el
cumplimiento y el progreso en función con los objetivos
acordados. La gestión está más relacionada con la planificación,
la construcción, la ejecución y el monitoreo de las actividades
alineadas con la dirección establecida por el organismo de
gobierno para el logro de los objetivos empresariales.
• FUENTE CONSULTADA:
Todo lo que usted quería saber sobre
COBIT y no se animó a preguntar.
ISACA
– ISACA es el acrónimo de Information Systems Audit and Control
Association (Asociación de Auditoría y Control de Sistemas de
Información), una asociación internacional que apoya y
patrocina el desarrollo
de metodologías y certificaciones para la realización de
actividades de auditoría y control en sistemas de
información.
– ISACA fue fundada en el año 1967 cuando un grupo de auditores
en sistemas informáticos percibieron la necesidad de centralizar la
fuente de información y metodología para el área de operación.
Fue en 1969 que el grupo se formalizó a asociación, originalmente
incorporada como EDP Auditors Association.
– En 1976 el nombre pasó a ser ISACA, por el que es actualmente
conocida, y se estableció la primera certificación
profesional de auditoría de sistemas de información, o CISA.
Situación actual
• ISACA actualmente atiende a unos 95.000 electores
(miembros y profesionales con certificaciones
ISACA) en unos 160 países.[cita requerida] Los cargos de
los miembros son tales como auditor, consultor,
educador, profesional de seguridad, regulador,
director ejecutivo de información y auditor interno.
Trabajan en casi todas las categorías de la industria.
Hay una red de capítulos de ISACA con 170
capítulos establecidos en 160 países.
• Los capítulos proporcionan educación y formación
constante, recursos compartidos, promoción,
creación de redes y otros beneficios.
Hechos sobre ISACA
ISACA® (isaca.org) ayuda a los profesionales globales a liderar, adaptar
y asegurar la confianza en un mundo digital en evolución ofreciendo
conocimiento, estándares, relaciones, acreditación y desarrollo de
carrera innovadores y de primera clase. Establecida en 1969, ISACA es
una asociación global sin ánimo de lucro de 140 000 profesionales en
180 países. ISACA también ofrece Cybersecurity Nexus™ (CSX), un
recurso integral y global en ciberseguridad, y COBIT®, un marco de
negocio para gobernar la tecnología de la empresa. ISACA
adicionalmente promueve el avance y certificación de habilidades y
conocimientos críticos para el negocio, a través de las certificaciones
globalmente respetadas: Certified Information Systems
Auditor (CISA ), Certified Information Security Manager (CISM®),
® ® ®
Certified in the Governance of Enterprise IT® (CGEIT®) y Certified in Risk
and Information Systems Control™ (CRISC™). La asociación tiene más
de 200 capítulos en todo el mundo.
Hechos sobre ISACA
• Son los custodios del framework COBIT;
• Son los creadores del ITGI (IT Governance Institute);
• Desarrollaron cuatro certificaciones profesionales:
• CISA - Certified Information Systems Auditor, certificación de
auditores de sistemas de información. Existen cerca de 90.000 personas
certificadas (2012);
• CISM - Certified Information Security Manager, certificación de
gestores de seguridad. Existen cerca de 16.000 personas certificadas;
• CGEIT - Certified in the Governance of Enterprise IT, certificación de
gestores de la gobernanza empresarial TI. Existen cerca de 4.600
personas certificadas (2007);
• CRISC - Certified in Risk and Information Systems Control,
certificación de gestores de control de riesgos en sistemas de
información. Existen cerca de 15.000 personas certificadas (2010).
Historia y evolución de Cobit El
proyecto COBIT
• Se emprendió por primera vez en el año 1995, con el fin de crear un
mayor producto global que pudiese tener un impacto duradero sobre el
campo de visión de los negocios, así como sobre los controles de los
sistemas de información implantados. La primera edición del COBIT,
fue publicada en 1996 y fue vendida en 98 países de todo el mundo. La
segunda edición (tema de estudio en este informe) publicada en Abril
de 1998, desarrolla y mejora lo que poseía la anterior mediante la
incorporación de un mayor número de documentos de referencia
fundamentales, nuevos y revisados (de forma detallada) objetivos de
control de alto nivel, intensificando las líneas maestras de auditoría,
introduciendo un conjunto de herramientas de implementación, así
como un CD-ROM completamente organizado el cual contiene la
totalidad de los contenidos de esta segunda edición. COBIT ha tenido
cinco versiones principales: En 1996, la primera edición de COBIT fue
puesto en libertad. En 1998, la segunda edición añade "Directrices
para la gestión".
¿Qué es Cobit y para que sirve?
• COBIT fue creado para ayudar a las
organizaciones a obtener el valor óptimo de TI
manteniendo un balance entre la realización de
beneficios, la utilización de recursos y los niveles
de riesgo asumidos. COBIT 5 posibilita que TI
sea gobernada y gestionada en forma holística
para toda la organización, tomando en
consideración el negocio y áreas funcionales de
punta a punta así como los interesados internos
y externos. COBIT 5 se puede aplicar a
organizaciones de todos los tamaños, tanto en el
sector privado, público o entidades sin fines de
lucro.
¿Quién utiliza COBIT?
• COBIT es empleado en todo el mundo por
quienes tienen como responsabilidad
primaria los procesos de negocio y la
tecnología, aquellos de quien depende la
tecnología y la información confiable, y
los que proveen calidad, confiabilidad y
control de TI.
¿Qué ocurrió con los objetivos
de control en COBIT 5?
• Al basarse en 5 principios y 7 habilitadores,
COBIT 5 utiliza prácticas de gobierno y
gestión para describir las acciones que son
ejemplo de mejores prácticas de su
aplicación. COBIT 5 ha cambiado su
enfoque de objetivos de control a una visión
por proceso, descripta en detalle por uno de
los principales redactores del nuevo
estándar, Erik Guidentops, en su artículo
“Where Have All The Control Objectives
Gone?”.
¿Cuáles son los 5 principios de
COBIT 5?
• Satisfacer las necesidades del accionista
• Considerar la empresa de punta a punta
• Aplicar un único modelo de referencia
integrado
• Posibilitar un enfoque holístico
• Separar gobierno de la gestión.
¿Cuáles son los 7 habilitadores
de COBIT 5?
• Principios, políticas y modelos de
referencia
• Procesos
• Estructuras organizacionales
• Cultura, ética y comportamiento
• Información
• Servicios, infraestructura y aplicaciones
• Gente, habilidades y competencias.
¿Qué hay de la separación entre
Gobierno y Gestión?
• El gobierno asegura que los objetivos empresariales
se logran evaluando las necesidades de los
accionistas, las condiciones y opciones; establecer la
dirección a través de la priorización y la toma de
decisiones; y monitorear el desempeño, el
cumplimiento y el progreso versus la dirección y
objetivos acordados (EDM, por Evaluar, Dirigir,
Monitorear).
• Por su parte la gestión se ocupa de planificar,
construir, ejecutar y monitorear las actividades
alineadas con la dirección establecida por el
organismo de gobierno para el logro de los objetivos
empresariales (PBRM ó Planificar, Construir,
Ejecutar y Monitorear, por su sigla en inglés).
¿Es COBIT 5 un modelo superior a otros
modelos de control aceptados?
• La mayoría de los ejecutivos conocen la importancia de los marcos
generales de control en relación con la responsabilidad fiduciaria,
tales como COSO, Cadbury, CoCo, Sarbanes-Oxley. Sin embargo, no
necesariamente son conscientes del nivel de detalle de cada
uno. Por otro lado, los ejecutivos cada vez más conocen la
importancia de guías técnicas como ITIL (para la gestión de
servicios de TI) e ISO 27001 (para seguridad de información).
• Si bien estos estándares y modelos enfatizan el control del
negocio y la seguridad y servicio de TI, COBIT es el único que se
ocupa de los controles específicos de TI desde la perspectiva del
negocio. De hecho, COBIT 5 se basa en ISO/IEC 15504 e ITIL. No
se pretende que COBIT reemplace estos modelos de control, sino
lo que se destacan son los elementos de gobierno y gestión y las
prácticas necesarias para crear valor para la compañía.
¿Cuál es la forma más rápida y efectiva de presentar
COBIT a los ejecutivos?
• La cultura empresarial es de vital

importancia. Una cultura proactiva será más
receptiva que una que no lo es. Sin embargo, hay
que considerar el énfasis que COBIT hace en la
creación de valor para el accionista por estar
guiado por los objetivos del negocio, la
alineación con estándares internacionales
reconocidos y su simplicidad. Las áreas de
gobierno y gestión emanan de tan sólo 5
principios y 7 habilitadores.
– Fuente: https://www.isaca.org/pages/default.aspx
COBIT 5: Procesos Habilitadores (Cont.)
COBIT 5: Procesos Habilitadores:
• El Modelo de Referencia de Procesos de COBIT 5 subdivide
las actividades y prácticas de la Organización relacionadas con
la TI en dos áreas principales – Gobierno y Administración –
con la Administración a su vez dividida en dominios de
procesos:
• El Dominio de GOBIERNO contiene cinco procesos de
gobierno; dentro de cada proceso se definen las prácticas para
Evaluar, Dirigir y Monitorear (EDM).
• Los cuatro dominios de la ADMINISTRACIÓN están alineados
con las áreas de responsabilidad de Planificar, Construir, Operar
y Monitorear (PBRM por su sigla en inglés).
1
El modelo de procesos muestra:
• • Partes Interesadas—Los procesos tienen partes interesadas internas y externas, con sus propios
roles; las partes
• interesadas y sus niveles de responsabilidad se hallan documentados en matrices que
muestran quién realiza, quién
• es responsable, a quién se consulta o a quién se informa (RACI). Las partes interesadas
externas incluyen clientes,
• socios de negocio, accionistas y entidades reguladoras. Las partes interesadas internas
incluyen al Consejo de
• Administración, la dirección, el personal y los voluntarios.
• • Metas—Las metas del proceso se definen como ‘una declaración que describe el resultado
deseado de un proceso. Un
• resultado puede ser cualquier elemento, un cambio significativo de estado o una mejora
significativa de la capacidad
• de otros procesos’. Son parte de la cascada de metas, es decir, las metas de proceso
apoyan las metas TI, que a su vez
• apoyan las metas corporativas.
• Para cada proceso COBIT 5, las prácticas de gobierno/gestión
proporcionan todo un conjunto de requerimientos de alto nivel para un
gobierno y gestión de la TI corporativa eficaces y prácticos.
Éstas son:
• - Declaraciones de acciones para obtener beneficios, optimizar el nivel de
riesgo y optimizar el uso de recursos
• - Alineadas con los pertinentes estándares y buenas prácticas generalmente
aceptados
• - Genéricas y en consecuencia, con necesidad de ser adaptadas a cada
compañía
• - Que den cobertura a aquéllos que desempeñan un cargo de negocio y de TI
en el proceso (extremo a extremo)

Final Audi

Cargado por

Copyright:

Formatos disponibles

Final Audi

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Final Audi

Cargado por

Copyright:

Formatos disponibles

1.

A qué dominio se refiere las siguientes acciones: Realizar la entrega operativa y el

Personal Copy of Susana Cadena (ISACA ID: 1310934)

Participar en los foros en línea de ISACA: https://engage.isaca.org/onlineforums

Marco de Referencia COBIT® 2019: Objetivos de gobierno y gestión

Personal Copy of Susana Cadena (ISACA ID: 1310934)

En memoria: John Lainhart (1946-2018)

Personal Copy of Susana Cadena (ISACA ID: 1310934)

Página dejada intencionalmente en blanco

Personal Copy of Susana Cadena (ISACA ID: 1310934)

COBIT Working Group (2017-2018)

Personal Copy of Susana Cadena (ISACA ID: 1310934)

Consejo de dirección de ISACA

Personal Copy of Susana Cadena (ISACA ID: 1310934)

Capítulo 2. Estructura de esta publicación y público destinatario................................................................... 15

Capítulo 3. Estructura de objetivos de gobierno y gestión COBIT................................................................... 17

Capítulo 4. Objetivos de gobierno y gestión de COBIT: Guía detallada....................................................... 27

Personal Copy of Susana Cadena (ISACA ID: 1310934)

Capítulo 3. Estructura de objetivos de gobierno y gestión de COBIT

Personal Copy of Susana Cadena (ISACA ID: 1310934)

1.1 COBIT como marco de gobierno de la información y la tecnología

1.1.1 ¿Qué es COBIT y qué no es?

Personal Copy of Susana Cadena (ISACA ID: 1310934)

Debemos disipar algunos conceptos erróneos acerca de COBIT:

1.2 Visión general de COBIT® 2019

Figura 1.1—Visión general de COBIT

COBIT 5 Modelo de referencia COBIT

• Riesgo las áreas prioritarias

Marco de referencia COBIT® 2019:

Personal Copy of Susana Cadena (ISACA ID: 1310934)

1.3 Terminología y conceptos clave del marco de referencia COBIT

1.3.1 Objetivos de gobierno y gestión

Personal Copy of Susana Cadena (ISACA ID: 1310934)

Figura 1.2—Modelo Core de COBIT

DSS02—Gestionar DSS05—Gestionar DSS06—Gestionar

1.3.2 Componentes del sistema de gobierno

Personal Copy of Susana Cadena (ISACA ID: 1310934)

Figura 1.3—Componentes COBIT de un sistema de gobierno

Personal Copy of Susana Cadena (ISACA ID: 1310934)

Personal Copy of Susana Cadena (ISACA ID: 1310934)

2.1 Estructura de esta publicación

El resto de este documento contiene las secciones y apéndices:

2.2 Público destinatario

Personal Copy of Susana Cadena (ISACA ID: 1310934)

Página dejada en blanco intencionadamente

Personal Copy of Susana Cadena (ISACA ID: 1310934)

La estructura de esta información se detalla en las secciones siguientes

3.2 Objetivos de gobierno y gestión

La información general detallada para cada objetivo (figura 3.1) incluye:

Personal Copy of Susana Cadena (ISACA ID: 1310934)

Figura 3.1—Presentación de objetivos de gobierno y gestión

3.3 Cascada de metas

Figura 3.2—Presentación de metas empresariales y de alineamiento

Las metas de alineamiento incluyen:

Personal Copy of Susana Cadena (ISACA ID: 1310934)

• EG03: Cumplimiento con las leyes y regulaciones externas

Figura 3.3—Presentación de metas aplicables y métricas modelo

<EG REF> • <MÉTRICA> <AG REF> • <MÉTRICA>

3.4 Componente: Proceso

Figura 3.4—Presentación del componente de procesos

Capítulo 4. Objetivos de gobierno y gestión de COBIT: Guía detallada....................................................... 27

• EG03: Cumplimiento con las leyes y regulaciones externas

El proceso lograr su propósito a través de la aplicación de un conjunto de acvidades básicas,

ISO/IEC 38500:2015(E) 5.2 Principle 1: Responsibility (Direct)