MODELO DE CONSTRUCCIÓN E IMPLEMENTACIÓN...

MODELO DE CONSTRUCCIÓN E IMPLEMENTACIÓN DEL SISTEMA DE OBJETIVOS DE CONTROL PARA TECNOLOGÍA DE LA INFORMACIÓN Y

TECNOLOGÍAS RELACIONADAS COBIT 5.0 EN LA RED DE INVESTIGACIÓN Y TECNOLOGÍA AVANZADA RITA Y SU INTEGRACIÓN

CON LA UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS

Jefry Steven Díaz López Flavio Alexandro Fernández y Pachón

UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS FACULTAD DE INGENIERÍA

PROYECTO CURRICULAR DE INGENIERÍA INDUSTRIAL BOGOTÁ

2016

MODELO DE CONSTRUCCIÓN E IMPLEMENTACIÓN DEL SISTEMA DE OBJETIVOS DE CONTROL PARA TECNOLOGÍA DE LA INFORMACIÓN Y

TECNOLOGÍAS RELACIONADAS COBIT 5.0 EN LA RED DE INVESTIGACIÓN Y TECNOLOGÍA AVANZADA RITA Y SU INTEGRACIÓN

CON LA UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS

Jefry Steven Díaz López Flavio Alexandro Fernández y Pachón

Director: Roberto Ferro Escobar

UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS FACULTAD DE INGENIERÍA

PROYECTO CURRICULAR DE INGENIERÍA INDUSTRIAL BOGOTÁ

2016

AGRADECIMIENTO

Queremos agradecer de manera especial a la Red de Investigación de Tecnología Avanzada (RITA) y su director el Ing. Roberto Ferro por su

colaboración y acompañamiento en la realización de esta empresa.

CONTENIDO

INTRODUCCIÓN ............................................................................................................................. 1

PLANTEAMIENTO DEL PROBLEMA ................................................................................................ 3

FORMULACIÓN DEL PROBLEMA.................................................................................................... 4

OBJETIVOS ..................................................................................................................................... 5

OBJETIVO GENERAL ................................................................................................................... 5

OBJETIVOS ESPECÍFICOS ............................................................................................................ 5

JUSTIFICACIÓN .............................................................................................................................. 6

MARCO REFERENCIAL ................................................................................................................... 8

¿Qué es COBIT? (Torre, s.f.) ...................................................................................................... 8

ISACA (ISACA, 2016) .................................................................................................................. 8

Universidad Distrital Francisco José de Caldas: Antecedentes ................................................. 9

Red de Investigación y Tecnología Avanzada (RITA) (Red de Investigaciones de Tecnología

Avanzada RITA, 2016) .............................................................................................................. 11

COBIT 5.0 ................................................................................................................................. 11

METODOLOGÍA............................................................................................................................ 16

Población ................................................................................................................................. 16

Tipo de investigación ............................................................................................................... 16

Fuentes de información .......................................................................................................... 16

Diseño metodológico .............................................................................................................. 17

Fase 1: Revisión documental ............................................................................................... 17

Fase 2: Evaluación, ajuste y estandarización de COBIT 5.0 a RITA. ..................................... 21

Fase 3: Diseño, desarrollo y elaboración del modelo de implementación de COBIT 5 en

RITA. .................................................................................................................................... 25

Fase 4: Entrega del documento final con recomendaciones y conclusiones a lugar .......... 25

MODELO DE IMPLEMENTACIÓN DE COBIT 5 EN RITA ................................................................ 26

Cascada de Metas ................................................................................................................... 28

Mapeo entre las metas corporativas y las preguntas del gobierno y la gestión .................... 29

Metas corporativas de RITA .................................................................................................... 32

Mapeo entre las metas corporativas y las metas relacionadas con las TI .............................. 34

Metas relacionadas con las TI en RITA .................................................................................... 36

Mapeo de metas TI y Procesos TI en RITA .............................................................................. 37

Indicadores .............................................................................................................................. 41

Procesos catalizadores: ........................................................................................................... 43

UN EJEMPLO PARA ESFUERZOS FUTUROS .................................................................................. 48

CONCLUSIONES: .......................................................................................................................... 49

RECOMENDACIONES ................................................................................................................... 51

ÍNDICE DE TABLAS E ILUSTRACIONES .......................................................................................... 53

BIBLIOGRAFÍA .............................................................................................................................. 54

Anexo 1: Fichas técnicas de indicadores de control ................................................................... 55

1.1 Indicadores de objetivos corporativos .............................................................................. 55

1.2 Indicadores de objetivos de TI .......................................................................................... 62

Anexo 2: Procesos catalizadores COBIT 5 y matrices RACI ......................................................... 72

EDM01: Asegurar el establecimiento y mantenimiento del marco de gobierno ................... 72

EDM02: Asegurar la entrega de beneficios ............................................................................. 75

EDM03: Asegurar la optimización del riesgo .......................................................................... 77

EDM04: Asegurar la optimización de recursos ....................................................................... 79

EDM05: Asegurar la transparencia hacia las partes interesadas ............................................ 81

APO01: Gestionar el marco de gestión de TI .......................................................................... 83

APO02: Gestionar la estrategia ............................................................................................... 88

APO03: Gestionar la innovación .............................................................................................. 93

APO04: Gestionar el portafolio ............................................................................................... 97

APO05: Gestionar los Recursos Humanos ............................................................................. 101

APO06: Gestionar las relaciones ........................................................................................... 105

APO07: Gestionar los acuerdos de servicio .......................................................................... 109

APO08: Gestionar la calidad .................................................................................................. 112

APO09: Gestionar la seguridad ............................................................................................. 117

BAI01: Gestionar los proyectos ............................................................................................. 120

BAI02: Gestionar la dirección de requisitos .......................................................................... 124

BAI03: Gestionar la identificación y la construcción de soluciones ...................................... 127

BAI04: Gestionar la disponibilidad y la capacidad ................................................................ 131

BAI05: Gestionar la introducción de cambios organizativos................................................. 135

BAI06: Gestionar la aceptación del cambio y la transición ................................................... 138

BAI07: Gestionar el conocimiento......................................................................................... 144

BAI08: Gestionar la configuración ......................................................................................... 147

DSS01: Gestionar las actividades .......................................................................................... 150

DSS02: Gestionar las peticiones y los incidentes del servicio ............................................... 153

DSS03: Gestionar los problemas ........................................................................................... 157

DSS04: Gestionar la continuidad ........................................................................................... 160

MEA01: Supervisar, evaluar y valorar rendimiento y conformidad ...................................... 164

MEA02: Supervisar, evaluar y valorar el sistema de control interno .................................... 168

MEA03: Supervisar, evaluar y valorar la conformidad con los requerimientos externos..... 172

Anexo 3: Acta de evaluación de servicios actual....................................................................... 175

Anexo 3.1: Acta de evaluación de servicios propuesta. ........................................................ 176

Anexo 4: Propuesta de bitácora de funcionamiento de la Red ................................................ 177

Anexo 5: Formato propuesto de evaluación del riesgo. ........................................................... 178

1

INTRODUCCIÓN

COBIT 5.0 es un sistema desarrollado por expertos y publicado por el Information

Systems Audit and Control Association (ISACA) y aplicado a todos los recursos

tecnológicos de cualquier organización, independiente de su naturaleza, con una

filosofía que consiste en que estos recursos deben ser administrados por

procesos que provean información que facilite la toma de decisiones y la forma

en la que estas se adoptan, generando resultados que son evaluados por medio

de la auditoría de la gestión y control de sistemas de información.

Para la Universidad Distrital Francisco José de Caldas como organización y más

específicamente en la Red de Investigación y Tecnología avanzada, ambas

pertenecientes al sector público, es importante acoger un estándar para el

desarrollo de los objetivos misionales de la propia institución que se ajuste a los

intereses de la sociedad a la que sirve y que apoye como herramienta a la

consecución de la razón de ser de la Universidad, potenciando y administrando

sus recursos y cumpliendo las disposiciones del Consejo Superior Universitario

(CSU).

Dentro de los lineamientos institucionales de la Universidad Distrital Francisco

José de Caldas contenidos en el Plan Estratégico de Desarrollo 2007-2016 y

mas específicamente el Plan Maestro de Informática y Telecomunicaciones de

la Universidad Distrital 2013-2018 que precisan adoptar un marco de trabajo para

desarrollar y gestionar las actividades relacionadas con Tecnologías de la

información y la comunicación (TIC) se plantea implementar un modelo de

gobernanza cuya base referencial está contenida en la guía COBIT 5.0. Con el

2

siguiente trabajo se desarrollará una metodología de implementación de este

modelo en la Red de investigación y tecnología aplicada (RITA) a manera de

propuesta, mediante el análisis e interpretación de los procesos, recursos y

requerimientos allí contenidos.

3

PLANTEAMIENTO DEL PROBLEMA

En la búsqueda de articular e integrar las nuevas tecnologías de la información

y el conocimiento, la Universidad Distrital pretende desarrollar, además de

fomentar tecnologías que faciliten y potencien la capacidad de procesamiento e

integración de información, que contribuya a dar soluciones a las necesidades

prioritarias de la sociedad, en plena conciencia de su responsabilidad con la

misma. En ese orden de ideas se hace necesaria la pretensión estratégica de

crear, renovar y actualizar la infraestructura de las comunicaciones, así como su

gestión (plataformas, soporte, servicios, monitoreo, adquisición, entre otros), de

manera tal que se vislumbre el cómo se administra y gestiona el trabajo

investigativo, la producción intelectual y el conocimiento científico a nivel

institucional.

De acuerdo a las disposiciones del Plan Estratégico de Desarrollo 2007-2016 y

el Plan Maestro de Informática y Telecomunicaciones de la Universidad Distrital

2013-2018 se hace necesaria el fomento, creación y definición de un sistema

con un marco de trabajo para el gobierno y gestión de las tecnologías de la

información de carácter institucional, bajo el cumplimiento de esta estrategia se

hace realmente importante tanto a nivel institucional, como a nivel de los

integrantes del comité la consolidación de un sistema que esté sustentado en

estándares y reconocidas practicas validadas a nivel nacional e internacional,

como es el caso del marco de trabajo para la gobernanza y gestión de

tecnologías de la información en las organizaciones COBIT 5.0.

Con el propósito de garantizar permanentemente la apropiación de los

desarrollos tecnológicos que permitan a la universidad lo anteriormente

mencionado, se han desarrollado a través de los últimos años diferentes

4

asociaciones y equipos de trabajo, entre los cuales se encuentra la Red de

Investigación y Tecnología Avanzada RITA, que trabaja en la consecución de

estos estándares y prácticas. Tarea que se apoya desde este trabajo a través de

la propuesta de un modelo de implementación específico para la Red y que

servirá como referente para los esfuerzos futuros en esta materia a nivel

institucional.

FORMULACIÓN DEL PROBLEMA

De acuerdo a la sección anterior, lo que aparece en este trabajo pretende

responder a la siguiente pregunta: ¿Cómo implementar un modelo de gestión y

gobierno de las tecnologías de la información en RITA siguiendo la metodología

COBIT 5 y cómo este modelo puede resultar útil en esfuerzos futuros a nivel

institucional?

5

OBJETIVOS

OBJETIVO GENERAL

Plantear un modelo de gobernanza y gestión de las tecnologías de la información

para la Universidad Distrital Francisco José de Caldas más específicamente en

la Red de Investigaciones de Tecnología Avanzada RITA, que adopte y apoye

las directrices del Plan Maestro de Informática y Telecomunicaciones 2013-2018

en consonancia con el marco de trabajo COBIT 5.0.

OBJETIVOS ESPECÍFICOS

Evaluar los capítulos y buenas prácticas aplicables para la red de

Telecomunicaciones y que se encuentran en el marco de trabajo COBIT

5.0.

Identificar y estructurar los puntos débiles y efectos desencadenantes en

materia de tecnologías de la información y las comunicaciones dentro de

la red de tecnología.

Crear una propuesta de implementación del marco de trabajo COBIT 5.0

en la red de Investigaciones de Tecnología Avanzada RITA.

Identificar los pasos a seguir para la implementación del sistema COBIT

5.0 en la Universidad Distrital Francisco José de Caldas como una entidad

pública y oficial.

6

JUSTIFICACIÓN

En términos del cumplimiento de su misión y visión, la Universidad Distrital

procura estrategias en todo ámbito que garanticen el desarrollo institucional y

evolución de la misma como centro educativo que se adapta a las necesidades

de una sociedad en constante movimiento y cambio. Uno de los retos con los

que cuenta la universidad es la incorporación y actualización de las nuevas

tecnologías de la información y las comunicaciones que ayudan a la integración,

divulgación y fortalecimiento de la investigación, la ciencia, la tecnología y la

innovación en la sociedad del conocimiento de la cual la universidad y su

comunidad hacen parte.

En concordancia con lo anterior, existe un lineamiento institucional planteado

como un objetivo misional para la estructuración de tecnologías TIC acorde a las

necesidades relacionadas con la docencia, la investigación, la extensión, los

procesos de apoyo administrativo y financiero, los órganos de control y la

dirección. Apoyado a su vez en los principios, objetivos y procesos definidos por

el marco de trabajo para la gestión y gobernanza TI en las organizaciones que

establece COBIT 5.0 para las dependencias de la universidad que tengan que

ver con tecnología, entre las que se encuentran:

RITA (Red de Investigaciones de Tecnología Avanzada)

OAS (Oficina Asesora de Sistemas)

Red de datos UD

Por otra parte, COBIT 5.0 al ser un marco de trabajo de gobernanza y gestión,

así como de control interno, proporciona también pertinentes lineamientos que

son aplicables de igual forma a instituciones públicas, como es el caso de la

7

Universidad Distrital y que al mismo tiempo se apegan a disposiciones legales,

como es el caso de la Ley 87 de 1993 que establece normas para el ejercicio del

control interno en las entidades y organismos del Estado y sus posteriores

modificaciones y/o correcciones, y la guía de auditoría para entidades públicas.

Es así como el proyecto planteado se desarrollará en la dependencia institucional

RITA, red de tecnología encargada de apoyar a los investigadores de todas las

facultades y programas especiales de la universidad, y que servirá como modelo

y ejemplo para las demás dependencias que deberán implementar COBIT 5.0

como se estipula en el Plan Maestro de Informática y Telecomunicaciones. La

presente empresa implica también la aplicación de los conocimientos adquiridos

durante el proceso formativo en el proyecto curricular de Ingeniería Industrial por

parte de los autores del proyecto.

8

MARCO REFERENCIAL

¿Qué es COBIT? (Torre, s.f.)

El COBIT, es una herramienta de gobierno de las Tecnologías de la Información

que ha cambiado de igual forma que lo ha hecho el trabajo de los profesionales

de TI. ISACA, organización creadora de esta norma COBIT (Information

Systems Audit and Control Association) así como sus patrocinadores, han

diseñado este producto principalmente como una fuente de instrucción para los

profesionales dedicados a las actividades de control.

La definición que nos ofrece el sumario ejecutivo del COBIT (Control OBjectives

for Information and related Technology) es la siguiente: “buscar, desarrollar,

publicar y promover un autoritario y actualizado conjunto internacional de

objetivos de control de tecnologías de la información, generalmente aceptadas,

para el uso diario por parte de gestores de negocio y auditores”.

ISACA (ISACA, 2016)

ISACA comenzó en 1967, cuando un pequeño grupo de personas con trabajos

similares—auditar controles en los sistemas computacionales que se estaban

haciendo cada vez más críticos para las operaciones de sus respectivas

organizaciones—se sentaron a discutir la necesidad de tener una fuente

centralizada de información y guías en dicho campo. En 1969, el grupo se

formalizó, incorporándose bajo el nombre de EDP Auditors Association

(Asociación de Auditores de Procesamiento Electrónico de Datos). En 1976 la

asociación formó una fundación de educación para llevar a cabo proyectos de

investigación de gran escala para expandir los conocimientos y el valor en el

campo de gobierno y control de TI. Conocida previamente como la

9

Information Systems Audit and Control Association (Asociación de Auditoría

y Control en Sistemas de Información), ISACA ahora es solo un acrónimo, que

refleja la amplia gama de profesionales en gobierno de TI a los que sirve.

Hoy, los integrantes de ISACA – más de 115,000 en todo el mundo – se

caracterizan por su diversidad. Los integrantes viven y trabajan en más de 180

países y cubren una variedad de puestos profesionales relacionados con TI –

sólo por nombrar algunos ejemplos, auditor de SI, consultor, profesional de la

educación, profesional de seguridad de SI, regulador, director ejecutivo de

información (CIO) y auditor interno. Algunos son nuevos en el campo, otros están

en niveles medios de la gerencia y algunos otros están en los rangos más

elevados. Trabajan en casi todas las categorías de industrias, incluyendo

finanzas y banca, contabilidad pública, gobierno y sector público, servicios y

manufactura. Esta diversidad permite que los miembros aprendan unos de otros,

e intercambien puntos de vista muy diferentes sobre una variedad de tópicos

profesionales. Esta ha sido considerada durante mucho tiempo como una de las

fortalezas de ISACA.

Universidad Distrital Francisco José de Caldas: Antecedentes

De acuerdo a las disposiciones del Plan Estratégico de Desarrollo 2007-2016 y

el Plan Maestro de Informática y Telecomunicaciones de la Universidad Distrital

2013-2018 se hace necesaria el fomento, creación y definición de un sistema

con un marco de trabajo para el gobierno y gestión de las tecnologías de la

información de carácter institucional. Bajo el cumplimiento de esta estrategia se

hace realmente importante tanto a nivel institucional, como a nivel de los

integrantes del comité la consolidación de un sistema que esté sustentado en

estándares y reconocidas practicas validadas a nivel nacional e internacional,

10

como es el caso del marco de trabajo para la gobernanza y gestión de

tecnologías de la información en las organizaciones COBIT 5.0.

Este sistema debe fortalecer e integrar las diferentes dependencias y áreas

encargadas del manejo de las investigaciones y de la información que están

consolidadas en el Plan Maestro, entre las cuales se encuentran:

RITA (Red de Investigaciones de Tecnología Avanzada)

SIGTIC

DOTE

MIDAS

UD-Seguro

Red de datos UD

ATENEA

PLANESTIC

Es importante tener en cuenta que antes de la creación de estas ya existía en la

universidad del departamento conocido como Oficina Asesora de Sistemas

(OAS) y que es el primero de ellos que ha desarrollado un sistema de

actividades, procesos y cambios para la implementación del sistema COBIT

integrándola así con otros estándares y marcos de referencia como ITIL y

desarrollando plataformas apoyadas en herramientas tecnológicas y tecnologías

de la información que estén en concordancia con las políticas y lineamientos

institucionales y se puedan integrar al momento de expandir este sub-sistema.

11

Red de Investigación y Tecnología Avanzada (RITA) (Red de

Investigaciones de Tecnología Avanzada RITA, 2016)

La Red de Investigaciones de Tecnología Avanzada RITA de la Universidad

Distrital Francisco José de Caldas es una red académica que está comprometida

con la implementación, mantenimiento y soporte de una plataforma tecnológica

de alta velocidad y servicios asociados, con el objetivo de fortalecer la ejecución

de proyectos de investigación, la innovación científica, el desarrollo tecnológico,

el apoyo a los procesos académicos basados en entornos virtuales y la creación

de nuevos protocolos y estándares para intercambio de información entre

comunidades académicas, científicas e investigativas de la ciudad, la región y el

país.

COBIT 5.0

Debido a la importancia de la información en la actualidad se han desarrollado

diferentes estrategias para manejar esta de una forma apropiada y en este

ámbito es donde cobran importancia las tecnologías de la información (IT) como

una herramienta muy poderosa y determinante para el éxito de las

organizaciones. COBIT es precisamente una estrategia desarrollada para

controlar y hacer seguimiento de todos los sistemas y tecnologías de la

información referentes a todos los campos de la organización involucrando

administradores, usuarios y auditores durante este proceso.

Las siglas COBIT significan Objetivos de Control para Tecnología de Información

y Tecnologías relacionadas (Control Objectives for Information Systems and

related Technology). El modelo es el resultado de una investigación con expertos

de varios países, desarrollado por ISACA (Information Systems Audit and Control

12

Association) y está basado en la filosofía de que los recursos TI necesitan ser

administrados por un conjunto de procesos naturalmente agrupados para

proveer la información pertinente y confiable que requiere una organización para

lograr sus objetivos.

Es así como mediante la implementación de esta estrategia se asegura que se

llegue a un cumplimiento de los objetivos y se tenga un control de las actividades

y procesos teniendo como actor principal a la información que recorre cada uno

de los deber hacer de la organización y logrando que las IT se adapten al

cumplimiento de los objetivos de control principales no solo a nivel empresarial,

sino también a nivel público y de administración de los recursos.

La norma COBIT 5.0 se basa en 5 principios fundamentales que se muestran en

la siguiente gráfica:

Ilustración 1: Principios de COBIT 5. Tomado de: COBIT 5 Un marco de negocio para el

gobierno y la gestión de las TI de la empresa

Para cumplir el primer principio referente a satisfacer las necesidades de las

partes interesadas cobran protagonismo las metas, aquello a lo que se quiere

llegar en un periodo de tiempo y que pueda ser medible y de fácil verificación y

13

es en este momento donde se desarrolla la estrategia de la cascada de metas

que no es otra cosa que la organización y jerarquización de estas para el

desarrollo de este principio

Ilustración 2: Cascada de metas de COBIT 5. Tomado de: COBIT 5 Un marco de negocio para

el gobierno y la gestión de las TI de la empresa

Cada una de las diferentes metas y posibles desarrollos esta socializado en el

documento referente a COBIT 5 publicado por ISACA.

Para poder cubrir la empresa de extremo a extremo, COBIT 5 plantea un

sistema de gobierno que debe tener en cuenta los catalizadores y el alcance del

gobierno para poder establecer estratégicamente los diferentes roles actividades

y relaciones de este dentro del sistema.

14

Ilustración 3: Roles, actividades y relaciones de COBIT 5. Tomado de: COBIT 5 Un marco de

negocio para el gobierno y la gestión de las TI de la empresa

El principio número 3 que consiste en aplicar un marco de referencia único

integrado hace referencia a que el sistema COBIT 5 está alineado con otros

estándares y marcos de referencia importantes a nivel de recursos, calidad y

procedimientos, además de que proporciona una arquitectura simple e involucra

todos los marcos desarrollados anteriormente por ISACA en las presentaciones

anteriores del sistema.

Con el fin de desarrollar un enfoque holístico se desarrollaron diferentes

catalizadores que hacen referencia a las categorías que deberían tener en

cuenta los objetivos de control y son los siguientes:

Principios, políticas y marcos de referencia

Procesos

Estructuras organizativas

Cultura, ética y comportamiento

Información

Servicios, infraestructuras y aplicaciones

Personas, habilidades y competencias

Y finalmente para separar el gobierno de la gestión se determinan las

siguientes áreas clave:

15

Ilustración 4: Áreas claves de gobierno y gestión de COBIT 5. Tomado de: COBIT 5 Un marco

de negocio para el gobierno y la gestión de las TI de la empresa

Este sistema se ha implementado en centenares de empresas y ha sido validado

por ISACA, es por esto que, aunque no se tenga información específica de cada

una de estas experiencias el desarrollo de los principios integradores que han

sido correctamente aplicados en estos casos también es fundamental como

marco referencial en este documento.

16

METODOLOGÍA

Población

Dependencia RITA (Red de Investigaciones de Tecnología Avanzada) de la

Universidad Distrital Francisco José de Caldas de la ciudad capital de Bogotá,

Colombia.

Tipo de investigación

Para efectos de la metodología de la investigación, el proyecto en su primera

etapa se caracterizó por una metodología histórica que procuró un

acercamiento al estado actual de la documentación y reglamentación actual de

RITA. Siguió pues una fase exploratoria que tuvo como fin identificar y revisar

anteriores avances o información relevante al sistema COBIT en la universidad

con el ánimo de aportar valor y relevancia al cumplimiento de los objetivos

específicos del trabajo. Luego, se dio un giro hacia la metodología descriptiva,

que aportó mediante el desarrollo y construcción del modelo, las propiedades,

características y rasgos propios del manejo de la documentación, información y

gobernanza de las tecnologías de la información y las comunicaciones apegado

al marco de referencia COBIT 5.0 en RITA, para que a su vez pueda tomarse y

ser aplicado institucionalmente.

Fuentes de información

Puesto que el proyecto requirió la recolección, análisis y evaluación de

información tanto cualitativa como cuantitativa, este se denominó de carácter

mixto, y contó con las siguientes fuentes:

Información primaria: para la elaboración del modelo, fue necesario acudir

a la dependencia RITA, con el ánimo de realizar la investigación

17

documental, que consistió en la selección, estudio y análisis de

documentos (Artículos, cartas, oficios, libros de texto, normas, históricos,

entre otros) relacionados con sistemas de control, gobernanza, auditoría

y gestión de las tecnologías de la información en RITA y en la Universidad

Distrital. De otro modo fue menester la entrevista personal o escrita a

personas implicadas e involucradas directa o indirectamente con las IT en

la dependencia. También se recolectó información a modo de observación

directa, cuando el caso lo juzgó pertinente o ventajoso.

Información secundaria: referida a la consulta del marco de referencia y

trabajo COBIT 5.0, así como también la publicación COBIT 5

Implementación.

Diseño metodológico

A continuación, se presentarán detalladamente las fases de desarrollo del

trabajo en la red:

Fase 1: Revisión documental

A partir de la revisión y estudio del Plan estratégico de Desarrollo 2007-2016 en

el “Campo Estratégico: Tecnologías de la Información y las Comunicaciones” se

evidencia la intención y necesidad de ser referente de nuevos desarrollos

institucionales de la informática y las comunicaciones en las perspectivas de la

inmersión de la Universidad en la sociedad del conocimiento a través de la

Política 4: Modernización de la gestión administrativa, financiera y del talento

humano, en su Estrategia 4: Mejoramiento de la productividad de los recursos

institucionales, desarrollando el Programa 1: Desarrollo de un sistema integrado

18

y articulado de información de la gestión académica y administrativa de la

Universidad el cual plantea desarrollar el sistema de informática y

telecomunicaciones de la Universidad mediante su puesta en funcionamiento y

consolidación.

Tabla 1: Política 4, Estrategia 4, Programa 1 PED-UD

Haciendo referencia al sistema de informática y telecomunicaciones de la

Universidad, este se crea y se rige a partir del Plan Maestro de Informática y

Telecomunicaciones, el cual fue parte esencial de la revisión documental. En

este plan se describen los ejes de acción, se tuvo especial atención en el Eje 1:

Gobierno de TI y modelo basado en servicios que cuenta con los siguientes

proyectos:

19

Tabla 2: Proyectos estratégicos Eje 1

Se tuvo en cuenta también el Eje 4: Gestión de servicios TI en el cual se dispone

la creación de un mecanismo de gobierno de TI hecho realidad a través de la

Red de investigaciones de tecnología Avanzada (RITA) mediante el Proyecto

RITA- Red de investigaciones de tecnología Avanzada RITA.

Tabla 3: PMIT-PE11

20

Todo esto sustenta que la Universidad contempla la necesidad de un gobierno

de tecnologías de la información que utilice principios, objetivos y procesos para

la gobernanza y gestión de TI que tiene como base referencial (según el artículo

9: Bases referenciales, literal d.) a COBIT 5.

Tabla 4: Bases referenciales, literal d.

La Red de Investigaciones de Tecnología Avanzada (RITA) como dependencia

de una entidad pública perteneciente al estado colombiano debe también cumplir

requerimientos legales. Para el caso puntual de este modelo, que contempla

casos de auditoría, tanto externa como interna, se debe seguir la Guía de

Auditoría para Entidades Públicas, que estipula en la presentación de su

documento lo siguiente: “la Ley 87 de 1993 determina para el Estado Colombiano

que el control interno lo conforma “el esquema de la organización, el conjunto de

los planes, métodos, principios, normas, procedimientos y los mecanismos de

verificación y evaluación”; este último aspecto se materializa a través de la

evaluación independiente o auditoría interna.(…) La metodología utilizada para

su estructuración está basada principalmente en las normas internacionales para

el ejercicio profesional de auditoría interna. Las herramientas incluidas dentro de

la misma, brindarán elementos necesarios para una evaluación y seguimiento de

forma estandarizada, en los diferentes tipos de entidades según su naturaleza,

funciones, estructura y procesos. Así mismo, está guía incluye aspectos

relevantes frente a la aplicación de diferentes políticas públicas, las cuales

21

aportan elementos para tener una visión estratégica dentro de las entidades”.

(Departamento Adminstrativo de la Función Pública, 2015)

La anterior revisión y algunas futuras fuentes de información se resumen como

lo muestra la ilustración siguiente:

Ilustración 5: Resumen de revisión documental.

Fase 2: Evaluación, ajuste y estandarización de COBIT 5.0 a RITA.

Como parte de la evaluación, se realizó un estudio del estado actual de la Red

en materia de tecnologías de la información, en donde pudo evidenciarse que en

materia de gobierno, la Red se establece de la siguiente manera:

Revisión Bibliográfica

•COBIT 5 Un marco de negocio para el gobierno y la gestión de las TI de la empresa

•COBIT 5 Implementación

•COBIT 5 Procesos catalizadores

Revisión documental

•Plan Estratégico de Desarrollo 2007-2016

•Plan Maestro de Informática y Telecomunicaciones de la Universidad Distrital Francisco José de Caldas

Revisión legal

•Acuerdo N°003 de Octubre 2 de 2008

•Guía de Auditoría para Entidades Públicas

22

Ilustración 6: Organigrama para cumplimiento de funciones y tareas Contratistas OPS – Red

RITA

La ilustración anterior evidencia que las tecnologías de la información en la Red

están encasilladas en el área técnica y solo se relacionan con el área

administrativa mediante el técnico de gestión de calidad, quien tiene como papel

secundario las políticas de TI sin un gobierno establecido y consolidado de TI

que trabaje a la par con la dirección y Coordinación general de RITA.

Una vez observado el estado actual, se procedió entonces a entrar de lleno a la

Guía COBIT (en adelante ‘Guía’), que precisa en un primer momento la

transformación de las funciones y tareas en roles, actividades haciendo

implícitas sus interrelaciones vigentes. Así:

23

Ilustración 7: Roles, Actividades y Relaciones clave.

Para el caso de la Red, se propone de la manera siguiente:

Ilustración 8: Roles, Actividades y Relaciones en RITA

24

Para luego definir la relación entre las TI y las partes interesadas que se

involucran en el funcionamiento de la Red. Esta relación se encuentra a través

de formular los responsables de cada una de las siguientes preguntas de TI

establecidas por la Guía:

Tabla 5: Relación TI - Partes interesadas.

Usuarios

Proveedores

Comunidad Universitaria

¿Esta bien securizada la información que se esta

procesando?

¿Respalda TI a RITA en el cumplimiento de la normativa y

los niveles de servicio?

¿Cómo puedo saber si se cumple con todas las normas

aplicables?

Partes interesadas internas Preguntas sobre las TI

¿Cómo se consigue valor con el uso de TI?¿está el

usuario final satisfecho con la calidad del servicio de

TI?

¿Son suficientes los recursos y la infraestructura de TI

disponibles para conseguir los objetivos estratégicos de

red requeridos?

¿Cómo se gestiona el rendimiento de TI?

¿Cómo se puede explotar mejor la tecnología de red para

conseguir nuevas oportunidades estratégicas?

¿Cómo puedo construir y estructurar mejor mi red de TI?

¿Cuáles son los requisitos de control para la

información?

¿He contemplado todos los riesgos relacionados con TI?

¿Estoy ejecutando una operación de TI eficiente y

robusta?

¿Cómo se usan los recursos de TI en la manera más

efectiva y eficiente?

¿Tengo suficiente personal para TI? ¿Cómo puedo

desarrollar y mantener sus habilidades y cómo gestiono

su rendimiento?

¿Cómo se puede mejorar la capacidad de respuesta de la

red mediante un entorno de TI más flexible?

¿Cómo es de crítica la TI para la sostenibilidad de la

red?¿Qué pasaría si la TI no estuviera disponible?

¿Cuánto se tarda en la toma de decisiones importantes

de TI?

¿Qué actividades críticas dependen de TI? ¿Cuáles son

los requerimientos de las actividades ?

Director de la red, Coordinador, Lider

en gestión de proyectos y lider

técnico, Lideres mesas de trabajo y

Lider de TI

Partes interesadas externas Preguntas sobre las TI

25

Fase 3: Diseño, desarrollo y elaboración del modelo de

implementación de COBIT 5 en RITA.

La fase 3 del trabajo se desarrollará en la siguiente sección del trabajo,

denominada: Resultados: Modelo de implementación de COBIT 5 en RITA,

puesto que responde a la pregunta problema del trabajo.

Fase 4: Entrega del documento final con recomendaciones y

conclusiones a lugar

Esta fase de la metodología se ve reflejada en este documento y sintetiza el

trabajo desarrollado durante todo el proceso.

A continuación, se presenta un esquema que sintetiza la metodología

desarrollada en este trabajo:

Ilustración 9: Resumen Metodología

26

MODELO DE IMPLEMENTACIÓN DE COBIT 5 EN RITA

En concordancia con lo descrito en las guías COBIT 5: Implementación y COBIT

5: Procesos catalizadores. Se ha desarrollado el presente modelo de la siguiente

forma:

Levantamiento de la cascada de metas para RITA: La nominación

cascada de metas hace referencia a las relaciones entre los objetivos

misionales de la organización, los objetivos corporativos, los objetivos de

TI y los objetivos de los procesos catalizadores de forma descendente y

explicita, encontrando mapeos en forma de matrices que muestran los

cruces que definen en qué punto y a qué nivel se relacionan cada uno de

los objetivos en el desarrollo de las funciones de la red.

Elaboración y establecimiento de métricas: En este paso se definen y

explican las métricas a tener en cuenta para medir los objetivos, tanto

corporativos y de TI como de los procesos catalizadores, con el fin de

aterrizar la gestión al ámbito organizacional y responder en la práctica

dicha gestión y gobierno

Levantamiento de los procesos catalizadores de la red: Los procesos

catalizadores constituyen un conjunto de actividades, que poseen

entradas y salidas en la persecución de un propósito establecido para

acelerar la gestión de las tecnologías de la información asegurando el

seguimiento, la documentación, la trazabilidad y los planes de mejora.

Levantamiento de matrices RACI: Este procedimiento se realiza en

paralelo con el levantamiento de los procesos catalizadores de la Red. Se

usa para definir los niveles de responsabilidad, estableciendo los roles y

responsabilidades de cada cargo de la red, para facilidad del lector se

27

hace necesario aclarar que la palabra RACI corresponde a una sigla que

toma sentido en la Tabla 6. Los niveles de responsabilidad definidos por

la Guía son los siguientes:

Tabla 6: Niveles de responsabilidad RACI

28

Cascada de Metas

Ilustración 10: Cascada de metas de RITA

Funciones misionales de las partes interesadas

1. Realizar la conexión a otras redes de alta velocidad como son: RUMBO, RENATA,CLARA y otras redes academicas y de investigacion cientifica nacionales einternacionales, publicas y privadas.

2. Apoyar la creación y consolidación de grupos de investigación cientifica en launiversidad.

3. Garantizar la instalación y mantenimiento de equipos de úñtima generacióntecnológica para desarrollar proyectos de cáracter científico, educativo, académico ytecnológico

4. Apoyar la realización de proyectos d einvestigación científica en los programas depregrado y posgrado.

Necesidades de las partes interesadas

1. Obtención de beneficios: Resultado investigativo y académico consecuencia de la utilizacion de los servicios de la Red por los usuarios.

2.Optimización de riesgos: Oportuna, necesaria y apropiada gestión del riesgo para reducir niveles de incertidubre.

3.Optimización de recursos: Humanos, tecnológicos, técnicos y organizacionales.

Metas Corporativas

Metas relacionadas con TI

Metas de los catalizadores

Mapeo entre las metas relacionadas con las TI y los procesos relacionados con

las TI

Mapeo detallado de las metas de la empresa y las metas relacionadas

con las TI

Mapeo entre las metas corporativas de Cobit 5 y las preguntas del gobierno y la gestión

29

Mapeo entre las metas corporativas y las preguntas del gobierno y la gestión

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

Necesidades de las

partes interesadas

Mapeo entre las metas corporativas de Cobit 5 y las preguntas del gobierno y la gestión

Cum

plim

ient

o co

n la

s po

lític

as

inte

rnas

Pers

onas

mot

ivad

as

Cultu

ra d

e in

nova

ción

de

serv

icio

s

Opt

imiz

ació

n de

los

proc

esos

Prog

ram

as g

estio

nado

s de

cam

bio

Cont

inui

dad

y di

spon

ibili

dad

del

serv

icio

Tom

a es

trat

égic

a de

dec

isio

nes

basa

da e

n in

form

ació

n

Culti

ra d

e se

rvic

io o

rient

ada

al

clie

nte

Gen

erar

val

or e

impa

cto

para

las

part

es in

tere

sada

s de

los

proy

ecto

s

Cart

era

de s

ervi

cios

Cum

plim

ient

o de

leye

s y

regu

laci

ones

ext

erna

s

¿Cómo se gestiona el rendimiento de

TI?

¿Cómo se puede explotar mejor la

tecnología de red para conseguir

nuevas oportunidades estratégicas?

¿Cómo puedo construir y estructurar

mejor mi red de TI?

¿Cuáles son los requisitos de control

para la información?

¿He contemplado todos los riesgos

relacionados con TI?

Opt

imiz

ació

n de

la fu

ncio

nalid

ad d

e

las

activ

idad

es

Pers

onas

pre

para

das

1

2

3

4

5

Prod

uctiv

idad

ope

raci

onal

y d

e lo

s

empl

eado

s

¿Cómo se consigue valor con el uso

de TI?¿está el usuario final satisfecho

con la calidad del servicio de TI?

Resp

uest

as á

gile

s a

un e

ntor

no

cam

bian

te

6

30

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

Necesidades de las

partes interesadas

Mapeo entre las metas corporativas de Cobit 5 y las preguntas del gobierno y la gestión (continuación)

Cu

mp

limie

nto

co

n la

s p

olít

icas

inte

rnas

Per

son

as m

oti

vad

as

Cu

ltu

ra d

e in

no

vaci

ón

de

serv

icio

s

Op

tim

izac

ión

de

los

pro

ceso

s

Pro

gram

as g

esti

on

ado

s d

e ca

mb

io

Co

nti

nu

idad

y d

isp

on

ibili

dad

del

serv

icio

Tom

a es

trat

égic

a d

e d

ecis

ion

es

bas

ada

en in

form

ació

n

Cu

ltir

a d

e se

rvic

io o

rien

tad

a al

clie

nte

Gen

erar

val

or

e im

pac

to p

ara

las

par

tes

inte

resa

das

de

los

pro

yect

os

Car

tera

de

serv

icio

s

Cu

mp

limie

nto

de

leye

s y

regu

laci

on

es e

xter

nas

¿Cómo se usan los recursos de TI en la

manera más efectiva y eficiente?

¿Estoy ejecutando una operación de

TI eficiente y robusta?

¿Tengo suficiente personal para TI?

¿Cómo puedo desarrollar y mantener

sus habilidades y cómo gestiono su

rendimiento?

¿Esta bien securizada la información

que se esta procesando?

¿Cómo se puede mejorar la capacidad

de respuesta de la red mediante un

entorno de TI más flexible?

Op

tim

izac

ión

de

la f

un

cio

nal

idad

de

las

acti

vid

ades

Per

son

as p

rep

arad

as

Pro

du

ctiv

idad

op

erac

ion

al y

de

los

emp

lead

os

Res

pu

esta

s ág

iles

a u

n e

nto

rno

cam

bia

nte

7

8

9

10

11

31

Tabla 7: Mapeo entre los objetivos corporativos de COBIT y las preguntas de gestión

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

Necesidades de las

partes interesadas

Mapeo entre las metas corporativas de Cobit 5 y las preguntas del gobierno y la gestión (continuación)

Cum

plim

ient

o co

n la

s po

lític

as

inte

rnas

Pers

onas

mot

ivad

as

Cultu

ra d

e in

nova

ción

de

serv

icio

s

Opt

imiz

ació

n de

los

proc

esos

Prog

ram

as g

estio

nado

s de

cam

bio

Cont

inui

dad

y di

spon

ibili

dad

del

serv

icio

Tom

a es

trat

égic

a de

dec

isio

nes

basa

da e

n in

form

ació

n

Culti

ra d

e se

rvic

io o

rient

ada

al

clie

nte

Gen

erar

val

or e

impa

cto

para

las

part

es in

tere

sada

s de

los

proy

ecto

s

Cart

era

de s

ervi

cios

Cum

plim

ient

o de

leye

s y

regu

laci

ones

ext

erna

s

Opt

imiz

ació

n de

la fu

ncio

nalid

ad d

e

las

activ

idad

es

Pers

onas

pre

para

das

¿Cómo es de crítica la TI para la

sostenibilidad de la empresa?¿Qué

pasaría si la TI no estuviera

disponible?

¿Cuánto se tarda en la toma de

decisiones importantes de TI?

¿Respalda TI a la red en el

cumplimiento de la normativa y los

niveles de servicio?¿Cómo puedo

saber si se cumple con todas las

normas aplicables?

Prod

uctiv

idad

ope

raci

onal

y d

e lo

s

empl

eado

s

Resp

uest

as á

gile

s a

un e

ntor

no

cam

bian

te

12

13

14

15

16

¿Qué actividades críticas dependen

de TI? ¿Cuáles son los requerimientos

de las actividades de la red?

¿Son suficientes los recursos y la

infraestructura de TI disponibles para

conseguir los objetivos estratégicos

de la red requeridos?

32

Metas corporativas de RITA

La estructura de las metas corporativas establecidas para el modelo en este

trabajo cuenta con la priorización de cada una de las metas con los objetivos del

gobierno establecidos anteriormente en la cascada de metas, y también las

clasifica dentro de las dimensiones del cuadro de mando integral de RITA

(Direccionamiento estratégico, Prestación del servicio y Apoyo al servicio) que

se explican a continuación:

Tabla 8: Dimensiones del CMI

Dimension del Cuadro de Mando Integral Definición

Direccionamiento estratégico

Prestación del servicio

Apoyo al servicio

Hace alusión a la parte de la Red

encargada de la dirección, administración

y toma de decisiones

Hace alusión a la parte de la Red

encargada de llevar a cabo las actividades

de los servicios solicitados por los

usuarios, así como su posterior evaluación

Hace alusión a las actividades

relacionadas indirectamente con los

servicios prestados y que ayudan al

soporte de las mismas

33

Tabla 9: Metas corporativas

P – Relación primaria

S-Relación secundaria

P

P

P

P P

P

S P

P

P

P

S S

P P

P

P

P

P P

11. Optimización de los procesos

6. Programas gestionados de cambio

10. Productividad operacional y de los empleados

Metas Corporativas

Dimension del

CMIMeta corporativa

Realización con los objetivos del gobierno

Obtención de

beneficios

Optimización

de riesgos

Optimización

de recursos

12. Cumplimiento con las políticas internas

14. Personas motivadas

9.Cultura de servicio orientada al cliente

Direccionamiento

estrategico

Prestación del

servicio

13.Personas preparadas

1.Generar valor e impacto para las partes interesadas de los proyectos

2. Portafolio de servicios

3. Cumplimiento de leyes y regulaciones externas

15. Cultura de innovación de servicios

7. Continuidad y disponibilidad del servicio

4.Respuestas agiles a un entorno cambiante

5. Toma estratégica de decisiones basada en información

8.Optimización de la funcionalidad de las actividades

Apoyo al servicio

34

Mapeo entre las metas corporativas y las metas relacionadas con las TI

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

1 Alineamiento de TI y el enfoque misional de RITA

2Cumplimiento y soporte de TI al cumplimiento de las leyes y regulaciones

externas

3 Compromiso de la dirección para tomar decisiones relacionadas con TI

4 Gestión de riesgos del servicio relacionados con las TI

5Entrega de programas que proporcionen beneficios a tiempo satisfaciendo

los requisitos y normas de calidad

6 Disponibilidad de información útil y relevante para la toma de decisiones

7 Beneficio del impacto del portafolio de servicios relacionado con las TI

8 Entrega de servicios de TI de acuerdo a los requisitos

9 Agilidades de las TI

10Seguridad de la información, infraestructuras de procesamiento y

aplicaciones

11 Optimización de infraestructura, recursos y capacidades de las TI

12 Capacitación y soporte de procesos integrando aplicaciones y tecnología

13 Cumplimiento de TI con las políticas internas

14 Personal de RITA competente

P- Primario

S- Secundario

Metas relacionadas con las TI

Prod

ucti

vida

d op

erac

iona

l y d

e lo

s

empl

eado

s

Cum

plim

ient

o co

n la

s po

lític

as in

tern

as

Pers

onas

pre

para

das

Gen

erar

val

or e

impa

cto

para

las

part

es

inte

resa

das

de lo

s pr

oyec

tos

Car

tera

de

serv

icio

s

Cum

plim

ient

o de

leye

s y

regu

laci

ones

exte

rnas

Opt

imiz

acio

n de

los

proc

esos

Pres

taci

ón d

el s

ervi

cio

Mapeo entre metas corporativas y las metas relacionadas con la TI

Pers

onas

mot

ivad

as

Cul

tura

de

inno

vaci

ón d

e se

rvic

ios

Res

pues

tas

ágile

s a

un e

ntor

no

cam

bian

te

Tom

a es

trat

égic

a de

dec

isio

nes

basa

da

en in

form

ació

n

Prog

ram

as g

esti

onad

os d

e ca

mbi

o

Meta corporativa

Con

tinu

idad

y d

ispo

nibi

lidad

del

ser

vici

o

Opt

imiz

ació

n de

la f

unci

onal

idad

de

las

acti

vida

des

Cul

tira

de

serv

icio

ori

enta

da a

l clie

nte

Direccionamiento estrategico Prestación del servicio Apoyo al servicio

Dir

ecci

onam

ient

o es

trat

egic

o

35

Tabla 10: Mapeo entre metas corporativas y las metas relacionadas con las TI

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

15 Personal de RITA motivado16 Personal de RITA preparado

17 Conocimiento, experiencia e iniciativas para la innovación

P- Primario

S- Secundario


Prod

ucti

vida

d op

erac

iona

l y d

e lo

s

empl

eado

s

Cum

plim

ient

o co

n la

s po

lític

as in

tern

as

Pers

onas

pre

para

das

Gen

erar

val

or e

impa

cto

para

las

part

es

inte

resa

das

de lo

s pr

oyec

tos

Car

tera

de

serv

icio

s

Cum

plim

ient

o de

leye

s y

regu

laci

ones

exte

rnas

Opt

imiz

acio

n de

los

proc

esos

Apo

yo a

l

serv

icio

Mapeo entre metas corporativas y las metas relacionadas con la TI (continuación)

Pers

onas

mot

ivad

as

Cul

tura

de

inno

vaci

ón d

e se

rvic

ios

Res

pues

tas

ágile

s a

un e

ntor

no

cam

bian

te

Tom

a es

trat

égic

a de

dec

isio

nes

basa

da

en in

form

ació

n

Prog

ram

as g

esti

onad

os d

e ca

mbi

o

Meta corporativa

Con

tinu

idad

y d

ispo

nibi

lidad

del

ser

vici

o

Opt

imiz

ació

n de

la f

unci

onal

idad

de

las

acti

vida

des

Cul

tira

de

serv

icio

ori

enta

da a

l clie

nte

Direccionamiento estrategico Prestación del servicio Apoyo al servicio

36

Metas relacionadas con las TI en RITA

Análogamente a las metas corporativas desarrolladas, propuestas y avaladas

para la Red se encuentran las metas relacionadas con las TI, que están

enmarcadas, como se verá, en las mismas dimensiones del cuadro de mando

integral (CMI) y que se enfocan exclusivamente en la información y las

tecnologías relacionadas en RITA, así:

Tabla 11: Metas relacionadas con las TI

Dimensión

del CMI TI

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

Entrega de programas que proporcionen beneficios a tiempo satisfaciendo

los requisitos y normas de calidad

Disponibilidad de información útil y relevante para la toma de decisiones

Personal de RITA competente

Personal de RITA motivado

Prestación

del servicioOptimización de infraestructura, recursos y capacidades de las TI

Capacitación y soporte de procesos integrando aplicaciones y tecnología

Cumplimiento de TI con las políticas internas

Apoyo al

servicio Conocimiento, experiencia e iniciativas para la innovación

Entrega de servicios de TI de acuerdo a los requisitos

Agilidades de las TI

Seguridad de la información, infraestructuras de procesamiento y


Meta de información y tecnología relacionada

Direccionami

ento

estrategico

Alineamiento de TI y el enfoque misional de RITA

Cumplimiento y soporte de TI al cumplimiento de las leyes y regulaciones

Compromiso de la dirección para tomar decisiones relacionadas con TI

Gestión de riesgos del servicio relacionados con las TI

Beneficio del impacto del portafolio de servicios relacionado con las TI

37

Mapeo de metas TI y Procesos TI en RITA

Los procesos TI que propone la Guía y que aparecen en el cruce de la matriz

siguiente hacen referencia a los procesos conocidos como catalizadores, y que

están orientados a la consecución de dichas metas de TI para la Red. En el

desarrollo que se hace posteriormente a estas matrices se explican a fondo y en

detalle cada uno de los procesos catalizadores. Por ahora, el trabajo se limitará

a nombrarlos y a asignar una prioridad (denotada P: primaria o S: secundaria)

que depende de la meta de TI y su importancia para la Red. Dichos procesos TI

siguen una nomenclatura que se describe a continuación para facilidad,

familiarización y ayuda para el lector:

Tabla 12: Cuadro de procesos catalizadores

Entregar, dar servicio y soporte

Supervisión, evaluación y verificación

EMD

APO

BAI

DSS

MEA

Definición

Evalular, orientar y supervisar

Alinear, planificar y organizar

Construcción, adquisición e implementación

Sigla asignada

38

Alin

eam

iento

de T

I y e

l enfo

que m

isio

nal d

e R

ITA

Cum

plim

iento

y s

oport

e d

e T

i al c

um

plim

iento

de

negocio

de la

s le

yes y

regula

cio

nes e

xte

rnas

Com

pro

mis

o d

e la

direcció

n p

ara

tom

ar

decis

iones r

ela

cio

nadas c

on T

I

Gestió

n d

e r

iesgos d

el s

erv

icio

rela

cio

nados c

on

las T

I

Entr

ega d

e p

rogra

mas q

ue p

roporc

ionen

benefic

ios a

tie

mpo s

atis

facie

ndo ls

o r

equis

itos y

norm

as d

e c

alid

ad

Dis

ponib

ilidad d

e in

form

ació

n ú

til y

rele

vante

Entr

ega d

e s

erv

icio

s d

e T

I de a

cuerd

o a

los

requis

itos d

e la

red

Benefic

io d

el i

mpacto

del p

ort

afo

lio d

e s

erv

icio

s

rela

cio

nados c

on la

s T

I

Agili

dades d

e la

s T

I

Seguridad d

e la

info

rmació

n, in

fraestr

uctu

ras d

e

pro

cesam

iento

y a

plic

acio

nes

Optim

izació

n d

e in

fraestr

uctu

ra, re

curs

os y

capacid

ades d

e la

s T

I

Capacita

ció

n y

soport

e d

e p

rocesos in

tegra

ndo

aplic

acio

nes y

tecnolo

gía

Cum

plim

iento

de T

I con la

s p

olít

icas in

tern

as

Pers

onal d

e R

ITA

com

pete

nte

Pers

onal d

e R

ITA

motiv

ado

Conocim

iento

, experiencia

e in

icia

tivas p

ara

la

innovació

n

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

EDM01Asegurar el establecimiento y mantenimiento del

marco de gobiernoP P P P P P P

EDM02 Asegurar la entrega de beneficios P P P P

EDM03 Asegurar la optimización del riesgo P

EDM04 Asegurar la optimización de los recursos S P S P S S

EDM05Asegurar la transpariencia hacia las partes

interesadasP P P P P

APO01 Gestionar el marco de gestión de TI P P P P

APO02 Gestionar la estrategia P P P P P P P

APO03 Gestionar la innovación S S

APO04 Gestionar el portafolio P S P S P P S

APO05 Gestionar los recursos humanos S S S

APO06 Gestionar las relaciones P S S

APO07 Gestionar los acuerdos de servicio S

APO08 Gestionar la calidad P P P

APO09 Gestionar la seguridad P

Eval

ular

, ori

enta

r y

supe

rvis

ar

Alin

ear,

pla

nifi

car

y

orga

niza

r

Direccionamiento estrategico Prestación del servicioApoyo al

servicioProcesos relacionados con TI


P- Primario

S- Secundario

39

Alin

eam

iento

de T

I y e

l enfo

que m

isio

nal d

e R

ITA

Cum

plim

iento

y s

oport

e d

e T

i al c

um

plim

iento

de

negocio

de la

s le

yes y

regula

cio

nes e

xte

rnas

Com

pro

mis

o d

e la

direcció

n p

ara

tom

ar

decis

iones r

ela

cio

nadas c

on T

I

Gestió

n d

e r

iesgos d

el s

erv

icio

rela

cio

nados c

on

las T

I

Entr

ega d

e p

rogra

mas q

ue p

roporc

ionen

benefic

ios a

tie

mpo s

atis

facie

ndo ls

o r

equis

itos y

norm

as d

e c

alid

ad

Dis

ponib

ilidad d

e in

form

ació

n ú

til y

rele

vante

Entr

ega d

e s

erv

icio

s d

e T

I de a

cuerd

o a

los

requis

itos d

e la

red

Benefic

io d

el i

mpacto

del p

ort

afo

lio d

e s

erv

icio

s

rela

cio

nados c

on la

s T

I

Agili

dades d

e la

s T

I

Seguridad d

e la

info

rmació

n, in

fraestr

uctu

ras d

e

pro

cesam

iento

y a

plic

acio

nes

Optim

izació

n d

e in

fraestr

uctu

ra, re

curs

os y

capacid

ades d

e la

s T

I

Capacita

ció

n y

soport

e d

e p

rocesos in

tegra

ndo

aplic

acio

nes y

tecnolo

gía

Cum

plim

iento

de T

I con la

s p

olít

icas in

tern

as

Pers

onal d

e R

ITA

com

pete

nte

Pers

onal d

e R

ITA

motiv

ado

Conocim

iento

, experiencia

e in

icia

tivas p

ara

la

innovació

n

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

BAI01 Gestionar los proyectos P S P S P P S

BAI02 Gestionar la definición de requisitos P P P

BAI03Gestionar la identificación y la construcción de

solucionesP S P S P

BAI04 Gestionar la disponibilidad y la capacidad P P S P

BAI05 Gestionar la introducción de cambios organizativos P P P P

BAI06Gestionar la aceptación del cambio y de la

transiciónP P S

BAI07 Gestionar el conocimiento S S S

BAI08 Gestionar la configuración S P S

DSS01 Gestionar las actividades S P S S S

DSS02 Gestionar las peticiones y los incidentes del servicio P P

DSS03 Gestionar los problemas P P P S S

DSS04 Gestionar la continuidad P P P S

Con

stru

cció

n, a

dqui

sici

ón e

impl

emen

taci

ón

Entr

egar

, dar

serv

icio

y

sopo

rte


servicioProcesos relacionados con TI (continuación)

Metas relacionadas con las TI (continuación)

P- Primario

S- Secundario

40

Tabla 13: Mapeo entre objetivos de TI y procesos catalizadores

Alin

eam

iento

de T

I y e

l enfo

que m

isio

nal d

e R

ITA

Cum

plim

iento

y s

oport

e d

e T

i al c

um

plim

iento

de

negocio

de la

s le

yes y

regula

cio

nes e

xte

rnas

Com

pro

mis

o d

e la

direcció

n p

ara

tom

ar

decis

iones r

ela

cio

nadas c

on T

I

Gestió

n d

e r

iesgos d

el s

erv

icio

rela

cio

nados c

on

las T

I

Entr

ega d

e p

rogra

mas q

ue p

roporc

ionen

benefic

ios a

tie

mpo s

atis

facie

ndo ls

o r

equis

itos y

norm

as d

e c

alid

ad

Dis

ponib

ilidad d

e in

form

ació

n ú

til y

rele

vante

Entr

ega d

e s

erv

icio

s d

e T

I de a

cuerd

o a

los

requis

itos d

e la

red

Benefic

io d

el i

mpacto

del p

ort

afo

lio d

e s

erv

icio

s

rela

cio

nados c

on la

s T

I

Agili

dades d

e la

s T

I

Seguridad d

e la

info

rmació

n, in

fraestr

uctu

ras d

e

pro

cesam

iento

y a

plic

acio

nes

Optim

izació

n d

e in

fraestr

uctu

ra, re

curs

os y

capacid

ades d

e la

s T

I

Capacita

ció

n y

soport

e d

e p

rocesos in

tegra

ndo

aplic

acio

nes y

tecnolo

gía

Cum

plim

iento

de T

I con la

s p

olít

icas in

tern

as

Pers

onal d

e R

ITA

com

pete

nte

Pers

onal d

e R

ITA

motiv

ado

Conocim

iento

, experiencia

e in

icia

tivas p

ara

la

innovació

n

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

MEA01Supervisar, evaluar y valorar rendimiento y

conformidadS S S S

MEA02Supervisar, evaluar y valorar el sistema de control

internoS S S S

MEA03Supervisar, evaluar y valorar la conformidad con los

requerimientos externoss S S S

Supe

rvis

ión,

eva

luac

ión

y ve

rifi

caci

ón


servicioProcesos relacionados con TI (continuación)

Metas relacionadas con las TI (continuación)

P- Primario

S- Secundario

41

Indicadores

Con el fin de medir los objetivos corporativos y los objetivos de TI se han

diseñado los siguientes indicadores que serán también utilizados para la

evaluación de los procesos catalizadores y su correcta aplicación:

Los indicadores presentados a continuación responden a la siguiente estructura:

Nombre del indicador: Identificador cualitativo y de búsqueda del indicador

Variables: Elementos que se tienen en cuenta para la medición del

indicador, como su nombre lo indica cambian en el tiempo

Descripción: Explica la función del indicador

Objetivo a evaluar: Relaciona el indicador con el objetivo que se quiere

medir

Fórmula de cálculo: Expresión matemática del indicador

Unidad de medición: Indica la característica de la expresión obtenida en

la fórmula

Objetivo de satisfacción: Indica el valor de la fórmula que se desea lograr

(En caso de no haber, este debe ser establecido por la dirección)

Periodicidad: Indica cada cuanto tiempo se debe medir el indicador

Fuentes de información: Establece las entradas de la información para

aplicar la fórmula de calculo

Responsable: Indica quien es el responsable de la medición y

actualización del indicador

Para ilustrar este ejemplo en este trabajo, se presentarán aquí dos ejemplos de

los indicadores propuestos para la red. El primero relacionado y enfocado a

medir los objetivos corporativos y el segundo hacia los objetivos de TI. El resto

42

de indicadores se muestran en los anexos con su respectiva tabla de

caracterización.

Tabla 14: Ficha de caracterización de un indicador de objetivos corporativos

Tabla 15: Ficha de caracterización de un indicador de objetivos de TI

Nombre del indicador

Variables

Descripción

Objetivo a evaluar

Unidad de medición

Objetivo de satisfacción

Periodicidad


Responsable

Porcentaje de servicios que tuvieron impacto en investigación

Servicios que tienen impacto en investigación

Líder de mesa de trabajo

FICHA TÉCNICA INDICADORES COBIT 5

Indica la cantidad porcentual de aporte de los servicios a la investigación

Generar valor e impacto para las partes interesadas de los proyectos

Porcentual

100

Semestral

Reporte de prestación de servicios

Fórmula de cálculo % STII=


Variables

Descripción

Objetivo a evaluar

Unidad de medición

Periodicidad


Responsable


Indica la cantidad porcentual de aporte de las TI a los objetivos corporativos


Porcentual

Anual


Fórmula de cálculo

Porcentaje de obejtivos corporativos y requerimientos sustentados por

objetivos de TI

Objetivos corporativos sustentados en TI

Líder de gestión

% OCSTI=

43

Procesos catalizadores:

Los procesos catalizadores constituyen en la práctica la columna vertebral del

sistema de gobierno basado en TI y son también el fuerte de la guía debido a

que aterrizan el proceso y responden al cómo deben realizarse las actividades y

de qué manera se miden los objetivos de estas para lograr los objetivos de TI,

que deben estar alineados con los objetivos corporativos. Están divididos en los

macro procesos descritos en la Tabla 9 y que tienen las siguientes

características:

EDM (Evaluar, Orientar y Supervisar): Los procesos que pertenecen a este grupo

se encuentran enmarcados en el área de Gobierno y sus objetivos clave son

hacer que la dirección esté involucrada y evalué todas las actividades

relacionadas con la gestión de TI, a la vez que sea el que tome decisiones para

orientarlas hacia el propósito deseado.

APO (Alinear, Planificar y Organizar): Los procesos que pertenecen a este grupo

se encuentran enmarcados en el área de Gestión y sus objetivos clave son

establecer planes de acción, alinear las prácticas con los requerimientos de la

dirección y desarrollar una organización clara de las actividades para su

realización.

BAI (Construir, Adquirir e Implementar): Los procesos que pertenecen a este

grupo se encuentran enmarcados en el área de Gestión y sus objetivos clave

son construir las plataformas de recursos necesarias para llevar a cabo el plan,

establecer proveedores y encontrar las herramientas tecnológicas y empezar el

proceso de implementación dentro de la organización.

44

DSS (Entrega, Servicio y Soporte): Los procesos que pertenecen a este grupo

se encuentran enmarcados en el área de Gestión y sus objetivos clave son

asegurar la entrega de la gestión relacionada con TI, a la vez que se presta un

servicio a los usuarios y se garantiza un soporte de todas las actividades, tanto

a nivel interno como externo.

MEA (Supervisar, Evaluar y Valorar): Los procesos que pertenecen a este grupo

se encuentran enmarcados en el área de gestión y sus objetivos clave son

supervisar el desarrollo de la gestión, evaluar las actividades y valorar procesos

de mejora continua o cambios requeridos.

El formato de los procesos catalizadores contiene los siguientes ítems para su

desarrollo:

Nombre y nomenclatura: Es un identificador del proceso para su uso y

búsqueda

Área: Indica el área de la organización al que pertenece el proceso y el

grupo de actividades

Descripción del proceso: Indica el funcionamiento del proceso

Declaración del propósito del proceso: Se establece el objetivo del

proceso dentro de la Red

Metas TI y métricas relacionadas: Relaciona el proceso catalizador con

un conjunto de metas TI para darle sentido a la gestión

Metas y métricas del proceso: Hace explícitos los objetivos específicos

del proceso y como se medirán los resultados

45

Prácticas de gobierno: Son las prácticas aterrizadas de lo que se desea

hacer con la gestión, tienen un conjunto de entradas salidas y actividades

que van a ser la base y columna vertebral de todo el modelo.

Matriz RACI: Relaciona las prácticas de gobierno con los diferentes

cargos de la red que tienen responsabilidad de diferentes formas con

ellas. Recordemos que la nomenclatura fue explicada en la descripción

general del modelo.

A continuación, se mostrará el desarrollo de un proceso catalizador para

ejemplificar lo anteriormente descrito al lector y familiarizar el formato que

poseen dichos procesos, la totalidad de procesos encuentran su descripción

completa y desarrollo aplicado a la Red en el Anexo 2, se ha decidido así para

facilitar la comprensión y aligerar, si se permite la expresión, la estructura del

trabajo.

46

Garantizar que el sistema de gobierno de TI

está incorporado a la mesa directiva

1. Número de veces que TI esta en la agenda de la mesa directiva de manera

proactiva

2. Porcentaje de proyectos de Ti en los que el impacto es monitoreado a

través de todo su ciclo de vida

Obtener garantías de que el sistema de

gobierno para TI está operando de manera

efectiva

1.Frecuencia del reporte del lider de TI a la mesa directiva de la Red

Meta del proceso Métricas relacionadas

Crear un modelo estratégico de toma de

desiciones para que las TI sean efectivas y

estén alineadas con el entorno y los

requerimientos de las partes interesadas

1. Tiempo promedio para acordar y aprobar un objetivo estratégico

relacionado con TI de RITA

2. Porcentaje de satisfacción del usuario

Meta de TI Métricas relacionadas

Alineamiento de TI y el enfoque misional de

RITA

1. Porcentaje de objetivos corporativos y requerimientos sustentados por

objetivos de TI

2. Nivel de satisfacción de la dirección con el alcance del portafolio de

servicios

Compromiso de la dirección para tomar

decisiones relacionadas con TI

1. Porcentaje de decisiones de TI claramente definidas que son

responsabilidad de la dirección


proactiva

3. Frecuencia de reuniones del equipo relacionado con TI

Proceso COBIT: EDM01 Asegurar el establecimiento y

mantenimiento del marco de gobierno

Area: Gobierno

Dominio: Evaluar, orientar y supervisar

Descripción del proceso: Analiza y articula los requerimientos para el gobierno de TI en RITA con claridad de las

responsabilidades y la autoridad para alcanzar la misión, las metas y objetivos de la Red

Declaración del propósito del proceso: Proporcionar un enfoque consistente, integrado y alineado con el alcance de

gobierno de la Red

El proceso apoya la consecución de un conjunto de principales metas de TI:

Beneficio del impacto del portafolio de

servicios relacionado con las TI

1. Porcentaje de proyectos de TI en los que el impacto es monitoreado a


2. Porcentaje de servicios de TI que generaron el impacto esperado

Metas y Métricas del proceso

6. Articular los principios que guiarán el diseño de la toma de decisiones sobre el gobierno de TI

7. Comprender la cultura de toma de decisiones y determinar un modelo óptimo para TI

8. Determinar los niveles apropiados para la delegación de autoridad para las decisiones de TI

Actividades

1. Analizar e identificar los factores del entorno y tendencias que pueden influir en el diseño del gobierno

2. Determinar la relevancia de TI y su papel respecto al negocio

3. Considerar las reguaciones externas y obligaciones legales y determinar cómo deben ser aplicadas en el gobierno de TI

4. Alinear el uso y el procesamiento ético de la información y su impacto en la sociedad con los objetivos, visión y dirección

de la empresa

5. Determinar las implicaciones del control de la Red con respecto a TI

Evaluar el sistema de gobierno.

Identificar y comprometerse continuamente

con las partes interesadas de la Red y realizar

una estimación del actual y futuro diseño del

gobierno de TI

Descripción Descripción

Comunicaciones de los

requerimientos de cumplimiento

modificados

Principios directrices del gobierno de

la Red

1. Tendencias del entorno

2. Regulaciones

3. Modelo de toma de decisiones

4. Constitución, normas de la Red

Modelo de toma de desiciones

Niveles de autoridad

Proceso COBIT, Prácticas, Actividades y entradas/salidas del proceso

Práctica de Gobierno Entradas Salidas

47

Tabla 16: Proceso catalizador de COBIT 5 aplicado a RITA

Matriz RACI:

Tabla 17: Matriz de responsabilidades RACI para la práctica de gobierno de COBIT

4. Mantener la supervisión sobre el punto hasta el que TI satisface las obligaciones, políticas y estándares

5. Proporcionar supervisión de la efectividad de TI y el cumplimiento con el sistema de control de la Red

6. Supervisar los mecanismos regulados para garantizar que el uso de TI cumple con las obligaciones relevantes

Informes sobre no cumplimientoObligaciones

Actividades

1. Evaluar la efectividad y rendimiento de las partes interesadas en la que se ha delegado responsabilidad y autoridad para

2. Evaluar periodicamente si los mecanismos para TI acordados están establecidos y operando

3. Evaluar la efectividad del diseño del gobierno e identificar las acciones para rectificar cualquier desviación

Supervisar el sistema de gobierno.

Supervisar la ejecución y la efectividad del

gobierno de TI. Analizar si el sistema de

gobierno y los mecanismos implementados

estan operando de forma efectiva y

proporcionan una supervision apropiada de TI.


Informes de servicios

Retroalimentación sobre el

rendimiento y efectividad del

gobierno

Estado y resultado de las acciones

Resultados del control interno

Resultados de las autoevaluaciones

Planes de aseguramiento

Confirmaciones de cumplimiento

1. Comunicar los principios del gobierno de TI

2. Establecer o delegar el establecimiento de las estructuras, procesos y practicas del gobierno en linea con los principios

acordados

3. Asignar responsabilidad y autoridad para que se apliquen los principios de diseño de gobierno y los modelos de toma de

decision acordados

4. Garantizar que los mecanismos de comunicación proporcionan información adecuadaa aquellos con la responsabilidad de

supervision y toma de decisiones


Orientar el sistema de servicio

Informar a los líderes y obtener su apoyo, su

aceptación y compromiso. Guiar las

estructuras, procesos y prácticas para el

gobierno de TI en línea con lo diseñado por el

gobierno. Definir la información necesaria

para una toma de desiciones informadas.


Orientar el sistema de servicioComunicaciones del gobierno de la

empresa

Actividades


I I I I

I I

Supervisar el

sistema de R R I RI I

Orientar el

sistema de R R I RI I I I

Líd

er d

e se

rvic

ios

acad

émic

os

Líd

er d

e se

rvic

ios

de

con

ecti

vid

ad

Enca

rgad

o d

e C

alid

ad

Evaluar el sistema

de gobiernoR R RC

Practica clave

de Gobierno

Dir

ecto

r d

e la

Red

Co

ord

inad

or

de

la

Red

Lid

er e

n g

esti

ón

de

pro

yect

os

Líd

er t

écn

ico

Líd

er d

e TI

Líd

er e

n s

oci

aliz

ació

n

y d

ivu

lgac

ión

Líd

er d

e se

rvic

ios

mu

ltim

edia

Líd

er e

n in

gen

ierí

a d

e

soft

war

e

48

UN EJEMPLO PARA ESFUERZOS FUTUROS

Bajo la metodología de construcción del modelo “Modelo de construcción e

implementación del sistema de objetivos de control para tecnologías de la

información y tecnologías relacionadas COBIT 5.0 en la Red de Investigación y

Tecnología Avanzada RITA” se puede reestructurar y ajustar para su ampliación

en las diferentes dependencias que integran el Comité de Informática, con el fin

de crear una red que permita la gestión de estas tecnologías de la información

en la Universidad Distrital Francisco José de Caldas mediante los siguientes

pasos:

•Identificación de requerimientos de gestión de TI en las diferentes oficinas y dependencias de la UniversidadPrimera etapa

•Establecimiento de casos particulares donde se requiera aplicar la GuíaSegunda etapa

•Desarrollo del modelo de implementación en cada una de las organizaciones identificadas:

•Reconocimiento, Cascada de Metas, establecimiento de Métricas, Formulación y levantamiento de procesos catalizadores

Tercera etapa

•Implementación paulatina de los modelos con aprobación del organismo de control (Comité, SIGUD)Cuarta etapa

•Desarrollo de una red, creación de equipos de trabajo y gobierno de TI institucional Quinta etapa

49

CONCLUSIONES:

Los principios, objetivos y procesos definidos en el modelo de implementación

de este trabajo consideran y cumplen todos los procesos y prácticas de la

gobernanza y la gestión de las Tecnologías de la Información de la guía COBIT

5, y que, por tanto, están en consonancia también con las consideraciones del

Plan Maestro de Informática y Telecomunicaciones 2013-2018 de la Universidad

Distrital Francisco José de Caldas.

El modelo aquí presentado abarca a la Red de Investigaciones de Tecnología

Avanzada RITA de extremo a extremo, tal como lo recomienda la Guía, puesto

que considera los aspectos específicos de su naturaleza tales como su

dependencia a la Universidad Distrital, sus responsabilidades, obligaciones,

limitaciones y prácticas como dependencia del aparato estatal y su propósito

objetivo misional y rector, así como su funcionamiento y dinámica interna como

organización que hace uso constante y especializado de algunas de las

Tecnologías de la Información.

Herramientas de seguimiento, control, análisis y recolección de información útil

y relevante para la red como el acta de evaluación de servicio, la bitácora de

funcionamiento de la red y la evaluación del riesgo que en este modelo se

proponen refuerzan, minimizan y en algunos casos eliminan puntos débiles y

efectos desencadenantes en materia de tecnologías de la información en RITA.

La propuesta de implementación materializada en el modelo que aquí se

presenta obedece a todas recomendaciones, planteamientos, guías, formatos y

buenas prácticas que en el marco de gobierno COBIT 5 aparecen o que son

50

requisito para crear un marco de gobierno en torno a las tecnologías de la

Información.

La cascada de metas y la puesta en marcha de los procesos catalizadores son

las actividades vitales para la iniciación de una implantación segura y confiable;

tanto en la Red como a nivel institucional; que genere los beneficios esperados

y entregue los resultados que de las tecnologías de la información se pueden

obtener, así como un compromiso de cambio y una adecuada capacitación a los

actores involucrados y las partes interesadas en la implementación.

51

RECOMENDACIONES

Se recomienda la creación y el establecimiento de un gobierno de TI que en

cabeza del líder de TI tome decisiones y evalúe los procesos realizados en este

ámbito, las personas pertenecientes al grupo de trabajo de este gobierno deben

tener conocimiento de la Guía COBIT 5 y deben integrarse a la dirección de la

Red con el fin de establecer una comunicación clara y precisa y una armonía

para la consecución de los objetivos propuestos.

Se debe realizar un esfuerzo mayúsculo para la implementación del modelo

planteado que involucra el compromiso de todas las partes funcionales de la

Red, para esto es necesario asegurar que la dirección este integrada con el

proceso de gestión de las TI y que todas las decisiones importantes provengan

de ella, es importante tener en cuenta los cambios propuestos al organigrama en

este trabajo y el establecimiento de objetivos acordes con las necesidades de TI

para de este modo hacer un buen uso de la cascada de metas.

La Red debe realizar una actividad juiciosa de medición de los indicadores

establecidos (Algunos de ellos propuestos en este trabajo) para asegurar el

cumplimiento de los objetivos de gestión organizacional y de TI, como en este

momento no se cuentan con todas las fuentes de información necesarias para el

cálculo de las métricas aquí propuestas, se proponen las siguientes actividades:

Un cambio en el acta de evaluación de servicio que incluya asuntos

relacionados con el cumplimiento de nuevos requerimientos,

interrupciones de servicio y gestión de la información. De este modo se

reemplazaría el acta utilizada actualmente (Anexo 1) con el acta

propuesta en el Anexo 1.1.

52

La creación de una bitácora de funcionamiento de la Red en donde se

registren los tiempos de prestación e interrupción de los servicios y de

apertura y cierre de la oficina. Esta bitácora se encuentra propuesta en el

Anexo 2

La evaluación del riesgo con una periodicidad anual de cada uno de los

servicios de la Red, realizada por el responsable de cada servicio y

aprobada por un miembro de la dirección. El formato propuesto para

realizar esta evaluación se encuentra en el Anexo 3.

Se recomienda también la creación de una plataforma de quejas en donde los

usuarios de manera física o virtual puedan presentar las quejas pertinentes en

cuanto a la prestación de servicios y las respuestas de la Red.

En cuanto al levantamiento de los procesos catalizadores es muy importante

entender el objetivo de cada uno dentro de la organización, dejándolo claro a

todos los miembros interesados de la Red y establecer las actividades allí

propuestas dentro del manual de funciones de TI. En caso de que no se cuente

con los documentos, prácticas o desarrollos relacionados en las entradas y

salidas de cada proceso se debe hacer una evaluación y una implementación

por parte de la dirección y los involucrados en cada uno de los procesos para

establecer su viabilidad y funcionamiento dentro de la Red.

La implementación del modelo propuesto en este trabajo requiere un gran

consumo de recursos a nivel de inversión humana y tiempo, y como tal si se

desea llevar a cabo debe estar dentro de la planeación estratégica y funcional

de la Red desde el momento en que se ponga en marcha en adelante.

53

ÍNDICE DE TABLAS E ILUSTRACIONES

Ilustración 1: Principios de COBIT 5. Tomado de: COBIT 5 Un marco de negocio para

el gobierno y la gestión de las TI de la empresa ................................................................. 12

Ilustración 2: Cascada de metas de COBIT 5. Tomado de: COBIT 5 Un marco de

negocio para el gobierno y la gestión de las TI de la empresa ......................................... 13

Ilustración 3: Roles, actividades y relaciones de COBIT 5. Tomado de: COBIT 5 Un

marco de negocio para el gobierno y la gestión de las TI de la empresa ....................... 14

Ilustración 4: Áreas claves de gobierno y gestión de COBIT 5. Tomado de: COBIT 5

Un marco de negocio para el gobierno y la gestión de las TI de la empresa ................. 15

Ilustración 5: Resumen de revisión documental. ................................................................. 21

Ilustración 6: Organigrama para cumplimiento de funciones y tareas Contratistas OPS

– Red RITA ................................................................................................................................ 22

Ilustración 7: Roles, Actividades y Relaciones clave. ......................................................... 23

Ilustración 8: Roles, Actividades y Relaciones en RITA ..................................................... 23

Ilustración 9: Resumen Metodología .......................................................................................... 25

Ilustración 10: Cascada de metas de RITA .................................................................................. 28

Tabla 1: Política 4, Estrategia 4, Programa 1 PED-UD .................................... 18

Tabla 2: Proyectos estratégicos Eje 1 .............................................................. 19

Tabla 3: PMIT-PE11 ......................................................................................... 19

Tabla 4: Bases referenciales, literal d. ............................................................. 20

Tabla 5: Relación TI - Partes interesadas. ....................................................... 24

Tabla 6: Niveles de responsabilidad RACI ....................................................... 27

Tabla 7: Dimensiones del CMI ......................................................................... 32

Tabla 8: Metas relacionadas con las TI ............................................................ 36

Tabla 9: Cuadro de procesos catalizadores ..................................................... 37

Tabla 10: Ficha de caracterización de un indicador de objetivos corporativos . 42

Tabla 11: Ficha de caracterización de un indicador de objetivos de TI ............ 42

Tabla 12: Proceso catalizador de COBIT 5 aplicado a RITA ............................ 47

Tabla 13: Matriz de responsabilidades RACI para la práctica de gobierno de

COBIT .............................................................................................................. 47

54

BIBLIOGRAFÍA

Departamento Adminstrativo de la Función Pública. (2015). Guía de Auditoría

para Entidades Públicas. Bogotá.

ISACA. (2012). COBIT 5 Un Marco de Negocio para el gobierno y la gestión de

TI en la empresa. Rolling Meadows, IL: ISACA .

ISACA. (2016). ISACA. Obtenido de http://www.isaca.org/About-

ISACA/History/Espanol/Pages/default.aspx

Red de Investigaciones de Tecnología Avanzada RITA. (2016). RITA. Obtenido

de http://rita.udistrital.edu.co/index.php/acerca-de-rita/mision-vision

Sampieri, R. H. (2006). Metodologia de la investigación. México D.F: McGraw

HIll.

Torre, A. O. (s.f.). CobiT 4.0. Obtenido de http://ds5-andre-ortega-

5a.host56.com/index.html

Universidad Distrtal Francisco José de Caldas. (2006). Plan estreatégico de

desarrollo 2007 - 2016. Bogotá D.C.

Universidad Distrtal Francisco José de Caldas. (2013). Plan Maestro de

Informática y Telecomunicaciones de la Universidad Distrital Francisco

José de Caldas. Bogotá D.C.

55

Anexo 1: Fichas técnicas de indicadores de control

1.1 Indicadores de objetivos corporativos


Variables

Descripción

Objetivo a evaluar

Unidad de medición


Periodicidad


Responsable

Porcentaje de servicios que tuvieron impacto en investigación

Servicios que tienen impacto en investigación



Indica la cantidad porcentual de aporte de los servicios a la investigación


Porcentual

100

Semestral


Fórmula de cálculo % STII=


Variables

Descripción

Objetivo a evaluar

Unidad de medición


Periodicidad


Responsable


Porcentaje de servicios que fueron aprobados

Servicios aprobados

Indica la cantidad porcentual de servicios aprobados para su ejecución en la Red



Porcentual

Semestral

Solicitudes de servicio


100

% SA=

56


Variables

Descripción

Objetivo a evaluar

Unidad de medición


Periodicidad


Responsable


Porcentaje de servicios que cumplieron las expectativas de los usuarios

Servicios que cumplieron las expectativas de los usuarios

Indica la cantidad porcentual de servicios que cumplieron las expectativas

según las encuestas de servicio

Cartera de servicios


Porcentual

Semestral

Encuestas de los servicios


100

% SS=


Variables

Descripción

Objetivo a evaluar

Unidad de medición


Periodicidad


Responsable


Porcentaje de servicios que fueron solicitados y finalizados

Servicios solicitados

Indica la cantidad porcentual de servicios que fueron finalizados

Cartera de servicios


Porcentual

100



Semestral

% SSF=


Variables

Descripción

Objetivo a evaluar

Unidad de medición


Periodicidad


Responsable

FICHA TÉCNICA INDICADORES COBIT 5Número de servicios en los que se presentó incumplimiento de leyes y

regulaciones externas

Servicios que tienen impacto en leyes y regulaciones externas

Indica la cantidad nominal de servicios que incumplieron una o más leyes y/o


0

Cumplimiento de leyes y regulaciones externas


Nominal

Semestral



ILR= Cantidad de servicios con incumplimiento de regulaciones y leyes externas

57


Variables

Descripción

Objetivo a evaluar

Unidad de medición


Periodicidad


Responsable

Semestral

Solicitudes de servicio


Nivel de satisfaccion con las respuestas de RITA a nuevos requerimientos

Cantidad de Usuarios

Indica la cantidad porcentual de usuarios que responden satisfactoriamente a

los cambios de la Red en cumplimiento de las solicitudes presentadas por los

mismos

Respuestas agiles a un entorno cambiante



Porcentual

100

% SNR=


Variables

Descripción

Objetivo a evaluar

Unidad de medición


Periodicidad


Responsable

Semestral

Agenda de reuniones de la dirección

Lider de gestión

Objetivos estratégicos

Indica el tiempo promedio de respuesta de la red para el diseño, modificación y

aprobación de objetivos estratégicos

Respuestas agiles a un entorno cambiante


Numeral


Tiempo promedio para acordar y aprobar un objetivo estratégico de RITA

Tprom Obj=


Variables

Descripción

Objetivo a evaluar

Unidad de medición


Periodicidad


Responsable

Continuidad y disponibilidad del servicio

Interrupciones de servicio


Número de interrupciones del servicio causantes de incidentes significativos

Semestral



Indica la cantidad nominal de sucesos en los que se presenta interrupciones de

servicio

0


Numeral

IS= Cantidad de servicios interrumpidos

58


Variables

Descripción

Objetivo a evaluar

Unidad de medición


Periodicidad


Responsable Líder de mesa de trabajo


Porcentaje de no prestación del servicio por falta de disponibilidad

Número de servicios no prestados por falta de disponibilidad

Indica la cantidad porcentual de servicios que no se prestan porque no hay

Continuidad y disponibilidad del servicio


Porcentual

Semestral


0

% QND=


Variables

Descripción

Objetivo a evaluar

Unidad de medición


Periodicidad


Responsable


Frecuencia de evaluación de la madurez de la capacidad de los servicios

Capacidad de los servicios de la red

Indica la frecuencia del seguimiento que se le hace a los servicios de la RED

Optimización de la funcionalidad de los servicios


Temporal

Semestral


Líder de gestión

FEMCS= Frecuencia de evaluación de la madurez de la capacidad


Variables

Descripción

Objetivo a evaluar

Unidad de medición


Periodicidad


Responsable


Número de quejas de los usuarios

Quejas de los usuarios

Indica la cantidad de quejas reportadas por los usuarios

Cultura de servicio orientada al cliente


Nominal

0

Semestral



NQU= Numero de quejas de los usuarios

59


Variables

Descripción

Objetivo a evaluar

Unidad de medición


Periodicidad


Responsable


Tendencia de los resultados de evaluación

Porcentaje usuarios satisfechos

Indica el nivel de satisfacción de los usuarios en el periodo de evaluación

Optimización de la funcionalidad de los servicios


Nominal

Cifra positiva o igual a cero

Semestral

Encuesta de satisfacción


TS=Porcentaje usuarios satisfechos- Porcentaje usuarios satisfechos periodo anterior


Variables

Descripción

Objetivo a evaluar

Unidad de medición


Periodicidad


Responsable


Número de servicios interrumpidos debido a incidentes relacionados con IT

Servicios de la Red

Indica la cantidad de servicios interrumpidos debido a fallas de TI



Nominal

0

Semestral



NSIIT = Número de servicios interrumpidos debido a incidentes relacionados con IT


Variables

Descripción

Objetivo a evaluar

Unidad de medición


Periodicidad


Responsable

Nominal

Semestral



Tendencia de las quejas de los usuarios


Porcentaje de quejas de los usuarios

Indica el nivel de satisfacción de los usuarios en el periodo de evaluación


Fórmula de cálculo TS=(Número de quejas- Número de quejas del periodo anterior) /Total de servicios prestados en el periodo ant.

60


Variables

Descripción

Objetivo a evaluar

Unidad de medición


Periodicidad


Responsable


Número de servicios prestados a tiempo

Servicios de la red

Indica la productividad y efectividad de los servicios de la red

Productividad operacional y de los empleados


Porcentual

100

Semestral



PO=


Variables

Descripción

Objetivo a evaluar

Unidad de medición


Periodicidad


Responsable


Número de incidentes relacionados al incumplimiento de politicas internas

Servicios que tienen impacto en leyes y regulaciones internas

Indica la cantidad nominal de servicios que incumplieron una o más políticas

internas

Cumplimiento de políticas internas


Nominal

0

Semestral



ILR= Cantidad de servicios con incumplimiento de políticas internas


Variables

Descripción

Objetivo a evaluar

Unidad de medición


Periodicidad


Responsable


Porcentaje de interesados que comprenden las politicas internas

Incidentes relacionados a políticas internasIndica la cantidad porcentual de incidentes en la red relacionados al

desconocimieno u omision de las políticas internas

Cumplimiento con las políticas internas


Porcentual

100

Semestral

Encuesta de motivación y capacitación


PI=

61


Variables

Descripción

Objetivo a evaluar

Unidad de medición


Periodicidad


Responsable


Porcentaje de preparacion del personal

Integrantes del equipo de trabajo de la redIndica la cantidad porcentual de empleados con formación académica

pertinente

Personas preparadas


Porcentual

Semestral

Curriculum Vitae

Coordinador

PI=


Variables

Descripción

Objetivo a evaluar

Unidad de medición


Periodicidad


Responsable

Porcentual

100

Semestral

Encuesta de motivación

Coordinador


Porcentaje de motivación

Equipo de trabajo de la red

Indica el porcentaje de personas motivadas en la red con respecto al total de

colaboradores

Personas motivadas

Fórmula de cálculo M=


Variables

Descripción

Objetivo a evaluar

Unidad de medición


Periodicidad


Responsable


Nominal

Semestral

Proyectos de servicio


Número de nuevas ideas aplicadas a la prestación de los servicios

Ideas propuestas

Indica la cantidad nominal de ideas presentadas y aprobadas relacionados a los

servicios y operacipon de la red

Cultura de innovación de servicios

Fórmula de cálculo NNI=Número de nuevas ideas aplicadas a la prestación de servicios

62

1.2 Indicadores de objetivos de TI


Variables

Descripción

Objetivo a evaluar

Unidad de medición

Periodicidad


Responsable


Indica la cantidad porcentual de aporte de las TI a los objetivos corporativos


Porcentual

Anual



Porcentaje de obejtivos corporativos y requerimientos sustentados por

objetivos de TI

Objetivos corporativos sustentados en TI

Líder de gestión

% OCSTI=


Variables

Descripción

Objetivo a evaluar

Unidad de medición


Periodicidad


Responsable


Nivel de satisfacción de la dirección con el alcance del portafolio de servicios

Servicios prestados

Indica la cantidad porcentual de servicios prestados según lo planeado



Porcentual

Semestral


100


% S


Variables

Descripción

Objetivo a evaluar

Unidad de medición


Periodicidad


Responsable

Historial de sanciones o quejas

0

Lider de gestión

FICHA TÉCNICA INDICADORES COBIT 5Número de servicios relacionados con TI en los que se presentó

incumplimiento

Servicios en los que se presento incumplimiento de las regualciones externas

Indica la cantidad de servicios que no estan cumpliendo las regulaciones y

leyes externasCumplimiento y soporte de TI al cumplimiento de las leyes y regulaciones

externas


Nominal

Semestral

NSSIRE=Número de servicios en los que se presento incumplimiento de leyes y regulaciones externas

63


Variables

Descripción

Objetivo a evaluar

Unidad de medición


Periodicidad


Responsable


Porcentaje de decisiones de TI claramente definidas que son responsabilidad

de la dirección

Decisiones tomadas por la dirección referentes a TIIndica la cantidad porcentual de aporte de la dirección a las decisiones

referentes a TI



Porcentual

Semestral

Actas de reunion de la dirección

Líder de gestión

100

% DRD=


Variables

Descripción

Objetivo a evaluar

Unidad de medición

Periodicidad


Responsable


Semestral


Líder de gestión

Participación de TI en la mesa directiva

Indica la cantidad de veces que TI esta en la agenda de la dirección


Nominal

FICHA TÉCNICA INDICADORES COBIT 5Número de veces que TI esta en la agenda de la mesa directiva de manera

proactiva

NTID=Número de veces que TI esta en la agenda de la dirección


Variables

Descripción

Objetivo a evaluar

Unidad de medición


Responsable

Agenda de reuniones del equipo de TI

Líder de gestión


Frecuencia de reuniones del equipo relacionado con TI

Reuniones del equipo TI

Indica la frecuencia con que se reune el equipo de TI



Temporal

FRTI=Frecuencia de las reuniones del equipo de TI

64


Variables

Descripción

Objetivo a evaluar

Unidad de medición


Periodicidad


Responsable

Porcentual

100

Semestral

Matriz de riesgo



Porcentaje de servicios relacionados con TI que tienen evaluación del riesgo

Servicios de TI evaluados

Indica la cantidad porcentual de servicios de TI que son evaluados


Fórmula de cálculo %STIER=


Variables

Descripción

Objetivo a evaluar

Unidad de medición


Periodicidad


Responsable

Matriz de riesgo

Líder de gestión


Número de incidentes significativos relacionados con TI que no fueron

identificados en la evaluación



Nominal

0

Semestral

Incidentes no evaluados Indica la cantidad de incidentes que no se tuvieron en cuenta en la evaluación

de riesgo

INTE=Número de incidentes relacionados con TI no identificados en la evaluación de riesgo


Variables

Descripción

Objetivo a evaluar

Unidad de medición


Responsable

Frecuencia de actualización del perfil del riesgo

Actualizaciones del perfil de riesgo

Indica la frecuencia de actualizaciones del perfil de riesgo



Temporal

Perfiles de riesgo

Líder de gestión


FAPR=Frecuencia de actualizaciones del perfil de riesgo

65


Variables

Descripción

Objetivo a evaluar

Unidad de medición


Periodicidad


Responsable

Porcentual

100

Semestral

Reporte de servicios prestados


Entrega de programas que proporcionen beneficios a tiempo satisfaciendo los

requisitos y normas de calidad



Porcentaje de servicio prestados a tiempo

Servicios prestados a tiempo

Indica el porcentaje de servicios prestados según lo planeado

PSPSP=


Variables

Descripción

Objetivo a evaluar

Unidad de medición


Periodicidad


Responsable




Porcentual

100

Semestral

Encuestas de satisfacción del cliente



Porcentaje de satisfacción del Usuario

Número de encuestas calificadas positivamente

Indica el porcentaje de clientes satisfechos con el tiempo y costo de los

PSC=


Variables

Descripción

Objetivo a evaluar

Unidad de medición


Periodicidad


Responsable

Porcentaje de servicios que se interrumpen o repiten por fallas de TI

Servicios que se interrumpen o repiten por fallas de TI

Indica el porcentaje de servicios que se repiten o interrumpen por fallas de TI




Porcentual



0

Semestral


PSRFTI=

66


Variables

Descripción

Objetivo a evaluar

Unidad de medición


Periodicidad


Responsable

Porcentual

100

Semestral

Encuestas de satisfacción




FICHA TÉCNICA INDICADORES COBIT 5Nivel de satisfacción del usuario con la calidad y disponibilidad de la

información gestionadaNúmero de encuestas calificadas positivamente a nivel de gestión de la

información

Indica el porcentaje de satsifacción del cliente con la gestión de la información

SCGI=


Variables

Descripción

Objetivo a evaluar

Unidad de medición


Periodicidad


Responsable



Nominal

0

Semestral




Número de incidentes causados por no disponibilidad de la información

Número de incidentes causados por no disponibilidad de la información

Indica la cantidad de incidentes causados por una mala gestion de la

información

NINDI=Número de incidentes causados por no disponibilidad de la información


Variables

Descripción

Objetivo a evaluar

Unidad de medición


Periodicidad


Responsable

100

Semestral


Porcentaje de proyectos de Ti en los que el impacto es monitoreado a traves

de todo su ciclo de vida

Número de proyectos de TI monitoreados

Indica el porcentaje de proyectos de TI monitoreados



Porcentual



PPTIM=

67


Variables

Descripción

Objetivo a evaluar

Unidad de medición

Periodicidad


Responsable

Porcentual

Semestral






Porcentaje de servicios de TI que generaron el impacto esperado

Número de proyectos de TI que generaron reconocimiento académico

Indica el porcentaje de proyectos de TI que generaron impacto a nivel

PSGI=


Variables

Descripción

Objetivo a evaluar

Unidad de medición


Periodicidad


Responsable

Entrega de servicios de TI de acuerdo a los requisitos


Nominal

Semestral

Bitacora de funcionamiento de la red

Líder de gestión

0

FICHA TÉCNICA INDICADORES COBIT 5Número de interrupciones de la actividad de la red debido a incidentes

relacionados con TI

Número de interrupciones debido a incidentes de TI

Indica la cantidad de interrupciones por incidentes con la TI

NITI=


Variables

Descripción

Objetivo a evaluar

Unidad de medición


Periodicidad


Responsable

100

Semestral


Nivel de satisfaccion con las respuestas de RITA a nuevos requerimientos en TI

Número de usuarios satisfechos con el cumplimiento de los nuevos

requerimientos en TI

Indica el porcentaje de usuarios con nuevos requerimientos satisfechos

Agilidad de las TI


Porcentual

Encuestas de satisfacción del cliente

Líder de gestión

%SRNR=

68


Variables

Descripción

Objetivo a evaluar

Unidad de medición

Periodicidad


Responsable

Porcentual

Semestral


Líder de gestión

Agilidad de las TI



Tiempo promedio para acordar y aprobar un objetivo estratégico relacionado

con TI de RITA

Tiempos de aprobación de objetivos estrategicos

Indica el tiempo promedio de acuerdo y aprobación de objetivos estratégicos

%TpromIO=


Variables

Descripción

Objetivo a evaluar

Unidad de medición


Periodicidad


Responsable

Seguridad de la información, infraestructuras de procesamiento y aplicaciones


Nominal

Semestral



0


Número de incidentes de seguridad causantes de perdidas financieras,

interrupciòn de los servicios o vergüenza pùblica

Número de incidentes de seguridad causantes de perdidas financieras

Indica la cantidad de incidentes de seguridad que afectan el funcionamiento

de la red

NIS=Número de incidentes de seguridad causantes de pérdidas financieras,

interrupción de los servicios o vergüenza pública


Variables

Descripción

Objetivo a evaluar

Unidad de medición


Periodicidad


Responsable

Reporte de gestión de la seguridad

Líder de gestión

Nominal

0

Semestral

Tiempo de concesion, cambio y eliminacion de privilegios de acceso

Tiempo de concesión, cambio o eliminación de privilegios de acceso

Indica el tiempo de mas utilizado para cambiar, añadir o eliminar privilegios de

acceso a la información

Seguridad de la información, infraestructuras de procesamiento y aplicaciones



TCPS=Tiempo real de cambio, concesion o eliminacion de privilegios de acceso- Tiempo estimado

69


Variables

Descripción

Objetivo a evaluar

Unidad de medición


Periodicidad


Responsable

Porcentual

100

Semestral

Reporte de servicios

Líder de mesas de trabajo

FICHA TÉCNICA INDICADORES COBIT 5Nivel de satisfacciòn de la alta dirección de RITA y de TI con costes y

capacidades TI.

Costes y capacidades TI

Indica el nivel de satsifacción de la direccion con los costos y capacidades de TI

Optimización de infraestructura, recursos y capacidades de las TI

Fórmula de cálculo NSCC=


Variables

Descripción

Objetivo a evaluar

Unidad de medición


Periodicidad


Responsable



Nominal

0

Semestral




Número de incidentes ocurridos en los servicios causados por errores de

integración de la tecnología

Número de incidentes ocurridos en los servicios causados por errores de


Indica la cantidad de incidentes causados por errores de integración

NIEI=Número de incidentes ocurridos en los servicios causados por errores de integración de la tecnología


Variables

Descripción

Objetivo a evaluar

Unidad de medición


Periodicidad


Responsable



Nominal

0

Semestral

Número de cambios en las actividades de los servicios retrasados o revisados

debido a problemas de integración de la tecnología.

Número de servicios revisados o retrasados

Indica la cantidad de servicios retrasados o revisados




NIEI=Número de cambios en las actividades de los servicios retrasados o revisados debido a un problema de integración de la tecnología

70


Variables

Descripción

Objetivo a evaluar

Unidad de medición


Periodicidad


Responsable

Nominal

0

Semestral




Número de incidentes relacionados con el incumplimiento de politicas

Número de incidentes relacionados con el incumplimiento de politicas

Indica la cantidad de incidentes relacionados con el incumplimiento de


Fórmula de cálculo NIIC=Número de incidentes relacionados con el incumplimiento de

politicas


Variables

Descripción

Objetivo a evaluar

Unidad de medición


Periodicidad


Responsable

Agenda de reuniones de la red

Líder de gestión


Porcentaje de interesados que entienden las políticas

Número de interesados que entienden las políticas



Porcentual

100

Semestral

Indica el porcentaje de interesados que entienden las politicas

%IEP=


Variables

Descripción

Objetivo a evaluar

Unidad de medición


Periodicidad


Responsable

Indica la cantidad porcentual de empleados con formación académica

Personas preparadas

Semestral

Curriculum Vitae

Coordinador

Porcentual



Porcentaje de preparacion de los empleados

Integrantes del equipo de trabajo de la red

PI=

71


Variables

Descripción

Objetivo a evaluar

Unidad de medición


Periodicidad


Responsable

Encuesta de motivación

Coordinador

Porcentual

100

Semestral

Porcentaje de motivación

Equipo de trabajo de la redIndica el porcentaje de personas motivadas en la red con respecto al total de

colaboradores

Personas motivadas



M=


Variables

Descripción

Objetivo a evaluar

Unidad de medición


Periodicidad


Responsable Líder de mesa de trabajo


Número de nuevas ideas aplicadas a la prestación de los servicios

Ideas propuestas

Nominal

Semestral

Proyectos de servicio

Indica la cantidad nominal de ideas presentadas y aprobadas relacionados a los

Cultura de innovación de servicios

Fórmula de cálculoNNIA=Número de nuevas ideas de TI aplicadas

72

Anexo 2: Procesos catalizadores COBIT 5 y matrices RACI

EDM01: Asegurar el establecimiento y mantenimiento del marco de

gobierno

Garantizar que el sistema de gobierno de TI

está incorporado a la mesa directiva


proactiva



Obtener garantías de que el sistema de

gobierno para TI está operando de manera

efectiva

1.Frecuencia del reporte del lider de TI a la mesa directiva de la Red


Crear un modelo estratégico de toma de

desiciones para que las TI sean efectivas y

estén alineadas con el entorno y los

requerimientos de las partes interesadas



2. Porcentaje de satisfacción del usuario



RITA

1. Porcentaje de objetivos corporativos y requerimientos sustentados por

objetivos de TI


servicios






proactiva


Proceso COBIT: EDM01 Asegurar el establecimiento y

mantenimiento del marco de gobierno

Area: Gobierno


Descripción del proceso: Analiza y articula los requerimientos para el gobierno de TI en RITA con claridad de las

responsabilidades y la autoridad para alcanzar la misión, las metas y objetivos de la Red

Declaración del propósito del proceso: Proporcionar un enfoque consistente, integrado y alineado con el alcance de

gobierno de la Red








73

6. Articular los principios que guiarán el diseño de la toma de decisiones sobre el gobierno de TI

7. Comprender la cultura de toma de decisiones y determinar un modelo óptimo para TI

8. Determinar los niveles apropiados para la delegación de autoridad para las decisiones de TI

Actividades

1. Analizar e identificar los factores del entorno y tendencias que pueden influir en el diseño del gobierno

2. Determinar la relevancia de TI y su papel respecto al negocio

3. Considerar las reguaciones externas y obligaciones legales y determinar cómo deben ser aplicadas en el gobierno de TI

4. Alinear el uso y el procesamiento ético de la información y su impacto en la sociedad con los objetivos, visión y dirección

de la empresa

5. Determinar las implicaciones del control de la Red con respecto a TI

Evaluar el sistema de gobierno.

Identificar y comprometerse continuamente

con las partes interesadas de la Red y realizar

una estimación del actual y futuro diseño del

gobierno de TI


Comunicaciones de los

requerimientos de cumplimiento

modificados

Principios directrices del gobierno de

la Red

1. Tendencias del entorno

2. Regulaciones

3. Modelo de toma de decisiones

4. Constitución, normas de la Red

Modelo de toma de desiciones




4. Mantener la supervisión sobre el punto hasta el que TI satisface las obligaciones, políticas y estándares

5. Proporcionar supervisión de la efectividad de TI y el cumplimiento con el sistema de control de la Red

6. Supervisar los mecanismos regulados para garantizar que el uso de TI cumple con las obligaciones relevantes

Informes sobre no cumplimientoObligaciones

Actividades

1. Evaluar la efectividad y rendimiento de las partes interesadas en la que se ha delegado responsabilidad y autoridad para

2. Evaluar periodicamente si los mecanismos para TI acordados están establecidos y operando

3. Evaluar la efectividad del diseño del gobierno e identificar las acciones para rectificar cualquier desviación

Supervisar el sistema de gobierno.

Supervisar la ejecución y la efectividad del

gobierno de TI. Analizar si el sistema de

gobierno y los mecanismos implementados

estan operando de forma efectiva y

proporcionan una supervision apropiada de TI.


Informes de servicios

Retroalimentación sobre el

rendimiento y efectividad del

gobierno

Estado y resultado de las acciones

Resultados del control interno




1. Comunicar los principios del gobierno de TI

2. Establecer o delegar el establecimiento de las estructuras, procesos y practicas del gobierno en linea con los principios

acordados

3. Asignar responsabilidad y autoridad para que se apliquen los principios de diseño de gobierno y los modelos de toma de

decision acordados

4. Garantizar que los mecanismos de comunicación proporcionan información adecuadaa aquellos con la responsabilidad de

supervision y toma de decisiones


Orientar el sistema de servicio

Informar a los líderes y obtener su apoyo, su

aceptación y compromiso. Guiar las

estructuras, procesos y prácticas para el

gobierno de TI en línea con lo diseñado por el

gobierno. Definir la información necesaria

para una toma de desiciones informadas.


Orientar el sistema de servicioComunicaciones del gobierno de la

empresa

Actividades


74

Matriz RACI:

I I I I

I I

Supervisar el

sistema de R R I RI I

Orientar el

sistema de R R I RI I I I

Líd

er d

e se

rvic

ios

acad

émic

os

Líd

er d

e se

rvic

ios

de

con

ecti

vid

ad

Enca

rgad

o d

e C

alid

ad

Evaluar el sistema

de gobiernoR R RC

Practica clave

de GobiernoD

irec

tor

de

la R

ed

Co

ord

inad

or

de

la

Red

Lid

er e

n g

esti

ón

de

pro

yect

os

Líd

er t

écn

ico

Líd

er d

e TI

Líd

er e

n s

oci

aliz

ació

n

y d

ivu

lgac

ión

Líd

er d

e se

rvic

ios

mu

ltim

edia

Líd

er e

n in

gen

ierí

a d

e

soft

war

e

75

EDM02: Asegurar la entrega de beneficios


Valor óptimo de la inversión en TI

gestionando los recursos de la red

Las inversiones individuales de TI contribuyen

al objeto de la red

1. Nivel de satisfacciòn de la alta dirección de RITA y de TI con costes y

capacidades TI.

2. Nivel de satisfaccion con las respuestas de RITA a nuevos requerimientos

en TI







La empresa esta generando un beneficio

óptimo de su portafolio de iniciativas TI,

servicios y activos aprobados

Meta del proceso

Conocimiento, experiencia e iniciativas para la

innovación 1. Número de nuevas ideas aplicadas a la prestación de los servicios

Proceso COBIT: EDM02 Asegurar la entrega de beneficios Area: Gobierno


Descripción del proceso: Optimizar la contribución al valor de la red desde los servicios corporativos, servicios de TI y activos

de TI, resultado de la inversión realizada por TI con unos costes aceptables

Declaración del propósito del proceso: Asegurar un valor óptimo de las iniciativas de TI, servicios y activos disponibles; una

entrega que sea eficiente de los servicios y soluciones de manera que las necesidades de la red sean soportadas efectiva y

eficientemente.




Entrega de servicios de TI de acuerdo a los

requisitos

1. Porcentaje de obejtivos corporativos y requerimientos sustentados por

objetivos de TI


servicios




1. Número de interrupciones de la actividad de la red debido a incidentes

relacionados con TI



RITA

Métricas relacionadas

Evaluar la optimización de beneficio.

Evaluar continuamente las inversiones,

servicios y activos del portafolio de TI para

determinar la probabilidad de alcanzar los

objetivos de la empresa y generar beneficio a

un coste razonable. Identificar y juzgar

cualquier cambio a la direccion que se le debe

dar a la gestión para optimizar la creación de

impacto.

Expectativas del impacto a generar

Resultados de generación de impacto

y comunicación relacionada

Resultados en las revisiones de los

cambios de fase

Evaluación de la alineación

estratégica


Evaluación del portafolio de servicios

Hoja de ruta estratégica

1.Comprender los requerimientos de las partes interesadas, temas estratégicos de TI y entender la importancia actual y

potencial de TI para la estrategia de la red

2. Comprender los elementos claves de gobierno para garantizar un beneficio y coste óptimo por los servicios de TI3. Compender y discutir los cambios habilitados en la empresa por tecnologias actuales, nuevas o emergentes y optimizar el

impacto que generan estas oportunidades

4. Comprender lo que se entiende por beneficio en la empresa y considerar cómo se ha comunicado, comprendido y aplicado

Actividades



5. Evaluar la efectividad de la integración y alineamiento de las metas de TI con las metas corporativas de la red

7. Evaluar la efectividad del portafolio de TI con todos los objetivos y servicios de la red

6. Comprender y considerar la efectividad de los roles, responsabilidades y organismos de toma de decisiones para generar

beneficio mediante las TI

76

Matriz RACI:

2. Definir los requerimientos para el cambio de fase.

3. Orientar la direccion para considerar usos potenciales de TI innovadoras que posibiliten que la red responda a nuevas

oportunidades y desafios.

4. Orientar los cambios necesarios en la asignacion de responsabilidades en la ejecucion del portafolio de servicios.


1. Definir un conjunto equilibrado de metas de desempeño, Métricas y puntos de referencia. Las Métricas deberian cubrir la

actividad y la medida de los resultados. Revisarlos y acordarlos con las funciones de TI y de negocio.

2. Recoger los datos pertinentes, oportunos, completos, fiables y precisos para informar sobre avances en la entrega de

beneficio respecto a los objetivos

3. Conseguir informes habituales y relevantes de la cartera, programa y desempeño de TI. Asegurar que se estan logrando

los objetivos planeados

4. Tomar las medidas de gestion apropiadas según sea necesario par aoptimizar la entrega de beneficio

5. Asegurarse que las medidas correctivas apropiadas son iniciadas y controladas

Supervisar la optimización de beneficio.

Supervisar los indicadores clave y sus Métricas

para determinar el grado en que el negocio

esta generando el beneficio previsto de los

servicios e inversiones TI. Identificar los

problemas significativos y considerar las

acciones correctivas.

Actividades

1. Definir y comunicar las inversiones de TI que permitan una efectiva medición del beneficio

Requerimientos para las revisiones

de cambio de faseOrientar la optimización de beneficio

Actividades


5. Definir y comunicar los objetivos de generación de impacto y las medidas de resultados

6. Orientar los cambios necesarios en las inversiones en TI para realinearlos con los objetivos corporativos de la red

7. Recomendar la consideracion de innovaciones potenciales desde las iniciativas TI


Orientar la optimización de beneficio

Orientar los principios y las prácticas de

gestión del beneficio para optimizar las

inversiones de TI a lo largo de todo su ciclo de

vida.


Informes de rendimiento de la cartera

de inversiones

Comentarios sobre el beneficio de la

cartera y del programa

Acciones para mejorar la entrega del

beneficio

R

R

Evaluar la

optimizacion del

beneficioOrientar la

optimizacion del

beneficioSupervisar la

optimizacion del

beneficio

Practica clave

de Gobierno

R

R

R

Dir

ecto

r d

e la

Red

I I

R C

CR C

I R I I I I I

Enca

rgad

o d

e

Cal

idad

Co

ord

inad

or

de

la

Red

Lid

er e

n g

esti

ón

de

pro

yect

os

Líd

er t

écn

ico

Líd

er d

e TI

Líd

er e

n

soci

aliz

ació

n y

div

ulg

ació

n

C

Líd

er d

e se

rvic

ios

mu

ltim

edia

Líd

er e

n in

gen

ierí

a

de

soft

war

e

R

Líd

er d

e se

rvic

ios

acad

émic

os

Líd

er d

e se

rvic

ios

de

con

ecti

vid

ad

77

EDM03: Asegurar la optimización del riesgo


Gestión de riesgos del servicio relacionados

con las TI

1. Porcentaje de servicios relacionados con TI que tienen evaluación del

riesgo

2. Número de incidentes significativos relacionados con TI que no fueron


3. Frecuencia de la actualización del perfil de riesgo

Seguridad de la información, infraestructuras

de procesamiento y aplicaciones

1. Número de incidentes de seguridad causantes de perdidas financieras,

interrupción de los servicios o vergüenza pública

2. Tiempo de concesión, cambio y eliminación de privilegios de acceso

Proceso COBIT: EDM03 Asegurar la optimización del riesgo Area: Gobierno


Descripción del proceso: Asegurar que el apetito y la tolerancia al riesgo de la red son entendidos, articulados y

comunicados y que el riesgo para la realización de beneficios relacionado con el uso de TI es identificado y gestionado

Declaración del propósito del proceso: Asegurar que los riesgos relacionados con TI de la red no exceden ni el apetito ni la

tolerancia del riesgo y que el impacto de los riesgos de TI en la realizacion de beneficios se identifica y se gestiona a la vez

que el potencial fallo en el cumplimiento se reduce al minimo


Los umbrales de riesgo son definidos y

comunicados y los riesgos clave relacionados

con las TI son conocidos

1. Numero de incidentes de TI que fueron identificados en la evaluación del

riesgo


La red gestiona el riesgo critico empresarial

relacionado con las TI eficaz y eficientemente

1. Porcentaje de servicios TI que tienen evaluación del riesgo

Los riesgos relacionados con las TI no exceden

el apetito de riesgo y el impacto del riesgo TI

es identificado y gestionado

1. Numero de incidentes de TI que no fueron identificados en la evaluación

del riesgo


Cumplimiento de políticas internas de TI1. Número de incidentes relacionados con el incumplimiento de políticas

2. Porcentaje de interesados que entienden las políticas

Metas y métricas del proceso


Evaluación de las actividades de

gestión del riesgo

Actividades

1. Determinar el nivel de riesgos relacionados con la TI que la red esta dispuesta a asumir para cumplir sus objetivos

2. Evaluar y aprobar propuestas de umbrales de tolerancia al riesgo TI frente a los niveles de riesgo y oportunidad aceptables

Factores y problemas de riesgo

emergentes

Principios de la gestión de riesgos de

la empresa

Guías de apetito de riesgo

Niveles de tolerancia de riesgo

aprobados



Evaluar la gestión de riesgos.

Examinar y evaluar continuamente el efecto

del riesgo sobre el uso actual y futuro de las TI

en la red. Considerar si el apetito de riesgo de

la red es apropiado y el riesgo sobre la

realización de beneficio es identificado y

gestionado


3. Determinar el grado de alineación de la estrategia de riesgos de TI con al estrategia de riesgos corporativa

4. Evaluar proactivamente los factores de riesgo de TI con anterioridad a las decisiones estratégicas

5. Determinar si el uso de TI esta sujeto a una valoración y evaluación de riesgos adecuada, según lo descrito en estándares

6. Evaluar las actividades de gestion de riesgos para garantizar su alineamiento con las capacidades de la red

78

Matriz RACI:

Orientar la gestión de riesgos

Orientar el establecimiento de de practicas de

gestion de riesgos para proporcionar una

seguridad razonable de que son apropiadas

para asegurar que el riesgo de TI actual no

excede el apetito de riesgo.


Actividades


Perfil de riesgo agregado incluyendo

el estado de las acciones de gestion

del riesgo

Perfiles y planes de mitigacion de la

gestion de riesgo de la red.

Políticas de gestion de riesgos

Obejtivos claves a ser monitoreados

por la gestión de riesgos

Proceso aprobado para la medicion de

la gestion de riesgos


Supervisar la gestión de riesgos.

Supervisar los objetivos y las métricas clave de

los procesos de gestión de riesgo y establecer

como las desviaciones o los problemas seran

identificados, seguidos en informados para su

resolución.


Acciones correctivas para tratar las

desviaciones de la gestión de riesgos

Problemas de la gestión de riesgos

para la dirección

1. Promover una cultura consciente de los riesgos de TI e impulsar a la empresa a una identificacion proactiva d elos riesgos

de TI, oportunidades e impactos potenciales para el negocio

2. Orientar la integración de las operaciones y la estrategia de riesgos de TI con las decisiones y operaciones estratégicas

3. Orientar la elaboración de planes de comunicación de riesgos, asi como los planes de acción de riesgo

4. Orientar la implantación de mecanismos apropiados para responder rapidamente a los riesgos cambiantes y notificar

inmediatamente a los niveles adecuados de gestión

5. Orientar, para que el riesgo, las oporutnidades, los problemas y preocupaciones puedan ser indentificadas y notificadas

por cualquier persona en cualquier momento.

6. Identificar los objetivos e indicadores clave de los procesos de gobierno y gestion de riesgos a ser monitoreados y aprobar

los enfoques, métodos, técnicas y procesos para capturar y notificar la información de medición

Resultados del análisis de riesgos

Oportunidades para la aceptación de

un mayor riesgo

Análisis de riesgos e informes de

perfil para las partes interesadas

Actividades

1. Supervisar hasta que punto se gestiona el perfil de riesgo dentro de los umbrales de apetito de riesgo

2. Supervisar las metas y métricas clave de gestión de los procesos de gobierno y gestión del riesgo respecto a los objetivos,

analizar las causas de las desviaciones e iniciar medidas correctivas para abordar las causas subyacentes

3. Facilitar la revision por las principales partes interesadas del progreso de la red hacia los objetivos identificados

4. Informar cualquier problema de gestión de riesgos a la dirección

Líd

er d

e se

rvic

ios

acad

émic

os

Líd

er d

e se

rvic

ios

de

con

ecti

vid

adEn

carg

ado

de

Cal

idadPractica clave

de Gobierno

Dir

ecto

r d

e la

Red

Co

ord

inad

or

de

la

Red

Lid

er e

n g

esti

ón

de

pro

yect

os

Líd

er t

écn

ico

Líd

er d

e TI

Líd

er e

n

soci

aliz

ació

n y

div

ulg

ació

nLí

der

de

serv

icio

s

mu

ltim

edia

Líd

er e

n in

gen

ierí

a

de

soft

war

e

R I I I I

CEvaluar la

optimizacion del

beneficioR R R

I I CSupervisar la

optimizacion del

beneficioR R I R I I I I

I I COrientar la

optimizacion del

beneficioR R I

79

EDM04: Asegurar la optimización de recursos

1. Nivel de satisfacción con las respuestas de RITA a nuevos requerimientos

en TI



Optimización de infraestructura, recursos y

capacidades de las TI

1. Nivel de satisfacción de la alta dirección de RITA y de TI con costes y

capacidades TI.

Proceso COBIT: EDM04 Asegurar la optimización de recursos Area: Gobierno


Descripción del proceso: Asegurar que las adecuadas y suficientes capacidades relacionadas con las TI estan disponibles para

soportar los costes de la red

Declaración del propósito del proceso: Asegurar que Las necesidades de recursos de la red son cubiertas de un modo óptimo

y que con TI se incrementa la probabilidad de obtención de beneficios y la preaparación para cambios futuros


Los recursos se asignan para satisfacer mejor

las prioridades de la red dentro de las

restricciones


en TI



El uso óptimo de los recursos se logra durante

su completo ciclo de vida dentro de los

servicios


Personal de RITA motivado 1. Porcentaje de motivación de los empleados



Las necesidades de los reursos de la red son

cubiertos con capacidades óptimas


capacidades TI.

Personal de RITA competente 1. Porcentaje de preparación de los empleados


Agilidad de las TI

2. Definir los principios para guiar la asignacion y gestion de recursos y capacidades de las TI para que puedan satisfacer los

objetivos dela red, de acuerdo ocn las restricciones existentes

3. Revisar y aprobar el plan de recursos y las estrategias de arquitectura de la red para la entrega de beneficio y la mitigación

de riesgo con los recursos asignados

Evaluar la gestión de recursos.

Examinar y evaluar constantemente la

necesidad actual y futura de los recursos

relacionados con TI, las opciones para la

asignación de recursos y los principios de

asignación y gestión para cumplir de manera

óptima las necesidades de la red


Principios rectores para la asignación

de recursos y capacidades

Principios rectores de la arquitectura

de la red

Plan de recursos aprobado

Brechas y cambios necesarios para

hacer realidad los objetivos de

capacidad

Planes de desarrollo de competencias

Decisiones sobre los resultados de

evaluación de proveedores



Actividades1. Examinar y evaluar la estrategia actual y futura, las opciones de aprovisionamiento de recursos TI y desarrollar

capacidades para cubrir las necesidades actuales y futuras

4. Comprender los requisitos para alinear la gestión de recursos con la planificación de recursos de la red financieros y

humanos

5. Definir los principios para la gestión y el control de la arquitectura de la red

80

Matriz RACI:

3. Definir los objetivos, medidas y metricas clave para la gestión de recursos


Orientar la gestión de recursos.

Asegurar la adopción de principios de gestión

de recursos para permitir un uso optimo de los

recursos de TI a lo largo de su completo ciclo

de vida


Comunicación de las estrategias de

reasignacion de recursos

Responsabilidades asignadas para la

gestion de recursos

Principios para la proteccion de

recursos

Actividades

1. Comunicar e impulsar la adopción de estrategias de gestión de recursos, principios y el plan de recursos y las estrategias

de arquitectura de la red acordados

2. Asignar responsabilidades para la ejecución de control de recursos

Orientar la gestióin de recursos

Supervisar la gestión de recursos.

Supervisar los objetivos y métricas clave de

los procesos de gestión de recursos y

establecer como serán identificados, seguidos

e informados para su resolución a las

desviaciones o los problemas


Comentarios sobre la asignación y

eficacia de recursos y capacidades

Acciones correctivas para hacer frente

a las desviaciones de gestión de

recursos

4. Establecer los principios relacionados con la protección de recursos

5. Alinear la gestión de recursos con la planificación de recursos humanos de la red


Supervisar la gestión de recursos

Actividades

1. Supervisar la asignación y optimización de recursos de acuerdo con los objetivos y prioridades de la red mediante

objetivos y métricas acordados

2. Supervisar las estratégias de aprovisionamiento TI y de arquitectura de la empresa y los recursos y capacidades TI para

garantizar que las necesidades actuales y futuras de la Red puedan ser satisfechas

3. Supervisar el rendimiento de los recursos frente a los objetivos y analizar las causas de las desviaciones para tomar

acciones correctivas

Enca

rgad

o d

e

Cal

idad

Evaluar la

optimizacion del

beneficioR R R C

Líd

er d

e TI

Líd

er e

n

soci

aliz

ació

n y

div

ulg

ació

n

Líd

er d

e se

rvic

ios

acad

émic

os

Líd

er d

e se

rvic

ios

de

con

ecti

vid

ad

I I I

Practica clave

de Gobierno

Dir

ecto

r d

e la

Red

Co

ord

inad

or

de

la

Red

Lid

er e

n g

esti

ón

de

pro

yect

os

Líd

er t

écn

ico

Líd

er d

e se

rvic

ios

mu

ltim

edia

Líd

er e

n

inge

nie

ría

de

soft

war

e

I

Supervisar la

optimizacion del

beneficioR R I R

C

Orientar la

optimizacion del

beneficioR R I R I I

CC I I I I I

I

81

EDM05: Asegurar la transparencia hacia las partes interesadas

Los informes para las partes interesadas se

ajustan a sus requisitos


capacidades TI.


en TI

La elaboración de informes es completa,

oportuna y precisa

1. Porcentaje de informes presentados a tiempo

2. Porcentaje de informes que contienen imprecisiones

La comunicación es eficaz y las partes

interesadas estan satisfechas1. Numero de incidentes causados por no disponibilidad de la información


Meta del proceso Metricas relacionadas






2. Numero de veces que TI esta en la agenda de la mesa directiva de manera

proactiva



requisitos


relacionados con TI

Proceso COBIT: EDM05 Asegurar la transparencia hacia las

partes interesadas

Area: Gobierno


Descripción del proceso: Asegurar que la medición y la elaboración de informes en cuanto conformidad y desempeño de TI

de la red son transparentes, con aprobación de las partes interesadas de las metas, metricas y acciones correctivas

necesarias.

Declaración del propósito del proceso: Asegurar que la comunicación con las partes interesadas sea efectiva y oportuna y

que se ha establecido una base para la elaboración de informes con el fin de aumentar el desempeño, identificar áreas

susceptibles de mejora y confirmar que las areas y estrategias de TI concuerdan con la estrategia corporativa.


2. Mantener los principios de comunicación con interesados externos e internos, incluyendo canales y formatos de

comunicación y los principios de aceptación y aprobación de los informes por parte de las partes interesadas

Ambito de aplicación refinado

Actividades1. Examinar y juzgar los requisitos actuales y futuros de elaboración de informes respecto al uso de TI dentro de la red

incluyendo alcance, condiciones y frecuencia



Evaluar los requisitos de elaboración de

informes de las partes interesadas.

Examinar y juzgar continuamente los

requisitos actuales y futuros de comunicación

con las partes interesadas y de la elaboración

de informes, incluyendo tanto los requisitos

obligatorios de la elaboración de informes

como la comunicación a otros interesados.

Establecer los principios de la comunicación.


Evaluación de los requisitos

corporativos de elaboración de

informes

Retroalimentación sobre la asignación

y eficacia de los recursos y

capacidades

Acciones dirigidas a mejorar entrega

de valorCuestiones de gestión del riesgo a

tratar por el consejo de

administración

Principios de elaboración de informes

y de comunicación

82

Matriz RACI:

Actividades

1. Evaluar periodicamente la eficacia de los mecanismos para asegurar la precision y la fiabilidad de la elaboración

obligatoria de informes

2. Evaluar periodicamente la eficacia de los mecanismos y las salidas de comunicación con interesados externos e internos

3. Determinar si se estan cumpliendo los requisitos de los diferentes interesados


Supervisar la comunicación con las partes

interesadas.

Supervisar la eficacia de la comunicación con

las partes interesadas. Evaluar los mecanismos

para asegurar la precision, la fiabilidad y la

eficacia y determinar si se estan cumpliendo

los requisitos de diferentes interesados.


Informe de la revisión de

aseguramiento

Resultados de la revisión de

aseguramiento


eficacia de recursos y capacidades


a las desviaciones de gestión de

recursos

Actividades

1. Orientar el establecimiento de la estrategia de comunicación para interesados internos y externos2. Orientar la implementación de mecanismos para garantizar que la información cumple los criterios de los requisitos

corporativos obligatorios en cuanto a la elaboración de informes TI

3. Establecer mecanismos de validación y aprobación de la elaboración obligatoria de informes

4. Establecer mecanismos de escalado en la elaboración de informes

Orientar la comunicación con las partes

interesadas y la elaboración de informes.

Garantizar el establecimiento de una

comunicación y una elaboración de informes

eficaces, incluyendo mecanismos para

asegurar la calidad y la completitud de la

información, vigilar la elaboración obligatoria

de informes y crear una estrategia de

comunicación con las partes interesadas


Informes de análisis de riesgo y perfil

de riesgos para las partes interesadas

Directrices de escalado

Reglas de validación y aprobación de

informes obligatorios


CSupervisar la

optimizacion del

beneficioC C R I

COrientar la

optimizacion del

beneficioC C R I

CEvaluar la

optimizacion del

beneficioC C R I

Líd

er e

n

soci

aliz

ació

n y

div

ulg

ació

nLí

der

de

serv

icio

s

mu

ltim

edia

Líd

er e

n

inge

nie

ría

de

soft

war

eLí

der

de

serv

icio

s

acad

émic

os

Líd

er d

e se

rvic

ios

de

con

ecti

vid

ad

Enca

rgad

o d

e

Cal

idadPractica clave

de Gobierno

Dir

ecto

r d

e la

Red

Co

ord

inad

or

de

la

Red

Lid

er e

n g

esti

ón

de

pro

yect

os

Líd

er t

écn

ico

Líd

er d

e TI

83

APO01: Gestionar el marco de gestión de TI

Conocimiento, experiencia e

iniciativas para la innovación



Se ha definido y se mantiene un

conjunto eficaz de políticas

Todos tienen conocimiento de las

políticas y de cómo deberían

implementarse

Cumplimiento de TI con las políticas

internas

1. Porcentaje de servicios que tuvieron impacto en investigación

2. Porcentaje de servicios que cumplieron las expectativas de los usuarios

1. Porcentaje de interesados que comprenden las politicas internas

Proceso COBIT: APO01 Gestionar el

marco de gestión de TI

Area: Gestión

Dominio: Alinear, planificar y organizar

Descripción del servicio: Aclarar y mantener el gobierno de la misión y la visión de RITA en TI. Implementar y

mantener mecanismos y autoridades para la gestión de la información y el uso de TI en la empresa para apoyar los

objetivos de gobierno en consonancia con las políticas y los principios rectores.

Declaración del propósito del proceso: Proporcionar un enfoque de gestión consistente que permita cumplir los

requisitos de gobierno e incluya procesos de gestión, estructuras, roles y responsabilidades administrativas;

actividades fiables y reproducibles; y habilidades y competencias.

El servicio apoya la consecución de un conjunto de principales metas de TI:


Alineamiento de TI y el enfoque

misional de RITA

Cumplimiento y soporte de TI al

cumplimiento de las leyes y


Personal de RITA motivado

Agilidad de las TI

Optimización de infraestructura,

recursos y capacidades de las TI

Personal de RITA competente


objetivos de TI

2. Nivel de satisfacción de la dirección con el alcance del portafolio de servicios

1. Número de incidentes relacionados con el incumplimiento de politicas

1. Nivel de satisfaccion con las respuestas de RITA a nuevos requerimientos en

TI

2. Tiempo promedio para acordar y aprobar un objetivo estratégico relacionado

con TI de RITA


capacidades TI.



1. Porcentaje de preparacion de los empleados

1. Porcentaje de motivación de los empleados

1. Número de nuevas ideas aplicadas a la prestación de los servicios

84

Reglas básicas de comunicación

Directrices operativas de RITA

Definición de estructura y funciones organizativas de

la Red


Responsabilidades

asignadas para la gestión

de recursos

1. Planes de desarrollo

de actividades

2. Matriz de habilidades

y competencias

Práctica de Gestión

5. Definir el enfoque, los roles y las responsabilidades de cada función dentro de la estructura organizativa relativa a TI

6. Establecer un comité estratégico de TI a nivel de la mesa directiva asegurando que el gobierno de TI está

Práctica de Gestión Entradas Salidas

7. Establecer un comité directivo de TI compuesto por el coordinador de la Red, el lider de TI y el líder técnico para

determinar prioridades de los programas de inversión de TI; realizar un seguimiento de del estado de los proyectos y

resolver los conflictos de recursos; asi como supervisar los servicios y su mejora.

8. Proporcionar directrices para cada estructura de gestión, así como las entradas requeridas y las salidas esperadas en

cuanto a las reuniones.

9. Definir reglas básicas de comunicación mediante la identificación de las necesidades comunicativas y la

identificación de planes basados en dichas necesidades a todos los niveles y direcciones.

10. Establecer y mantener una estructura óptima de enlace, comunicación y coordinación entre la Red y las funciones

de TI dentro y fuera de la Red.

1. Modelo de toma de

decisiones

2. Principios rectores en

RITA

Entradas Salidas

3. Establecer la implicación de las partes interesadas críticas para la toma de decisiones.

4. Alinear la TI de la Red con el modelo corporativo de la misma.

Modelo de arquitectura

de procesos

Definir la estructura organizativa

Establecer una estructura organizativa

extensa e interna que refleje las

necesidades de RITA y de TI.

Implementar las estructuras de

gestión requerida para permitir que la

toma de decisiones se lleve a cabo de

la foma más eficaz y eficiente posible

11. Verificar regularmente la adecuacipon y eficacia de la estructura de RITA

Descripción

Actividades

1. Definir el alcance, las funciones internas y externas, los roles internos y externos, y las capacidades y los derechos

de decisión requeridos.

2.Identificar las decisiones necesarias para alcanzar los resultados y la estrategía de TI para la gestión y ejecución de

los servicios de TI.


Actividades

1. Establecer, acordar y comunicar roles y responsabilidades relativos a TI para todo el personal de la Red, de acuerdo

con las necesidades y los objetivos de la misma, especialmente para la aprobación y toma de decisiones.

2. Tener en cuenta los requisitos desde la Red y la continuidad del servicio de TI a la hora de definir roles.

3. Contribuir al proceso de continuidad del servicio de TI manteniendo actualizada la información de contacto y las

descripciones de roles

7. Estructurar los roles y responsabilidades para reducir las posibilidades de que un solo rol pueda comprometer un

proceso crítico.

4. Incluír en las descripciones de roles y responsabilidades, la adhesión a políticas y procedimientos de gestión, al

código ético y las prácticas profesionales.

5. Implementar practicas de supervisión adecuadas para garantizar que los roles se pongan en práctica de forma

correcta. El nivel de supervisión debería estar en consonancia con la sensibilidad del puesto y el nivel de

responsabilidades asignado.

6. Asegurar que la rendición de cuentas queda definida a través de los roles y responsabilidades.

Establecer roles y responsabilidades

Establecer, acordar y comunicar roles

y responsabilidades del personal de

TI, que reflejen claramente las

necesidades generales de la red y los

objetivos de TI, así como la autoridad,

las responsabilidades y rendición de

cuentas del personal relevante.

Descripción


Definición de roles y responsabilidades relativas a TI

Definición de prácticas de supervisión

85

4. Alinear el entorno de control de TI con el entorno de las políticas de TI, con los marcos de trabajo generaes de

gobierno de TI y procesos de TI y los marcos de trabajo existentes en cuanto a riesgo y control.

Práctica de Gestión Entradas

5. Crear un conjunto de políticas para conducir las expectativas de control de TI en temas relevantes, como calidad,

seguridad, confidencialidad, controles internos, Uso de activos de TI, ética y derechos de propiedad intelectual.


Actividades

1. Adquirir comrensión de la visión, la dirección y la estrategias de RITA

2. Tener en cuenta el entorno interno de RITA

3. Inferir e integrar los principios de TI con los principios de la Red

Actividades

Comunicación sobre el

valor del conocimiento

Política y objetivos de

continuidad empresarial

2. Identificar, evaluar y priorizar las opciones para la ubicación en la Red, los modelos operativos y de

aprovisionamiento

6. Evaluar y actualizar las políticas, como mínimo una vez al año, para su necesario ajuste.

7. Implantar y aplicarl las políticas de TI a todo el personal relevante, de forma que estén incorporadas y sean parte

integral de las operaciones de RITA

8. Asegurarse de que los procedimientos estén en funcionamiento para realizar un seguimiento del cumplimiento con

las políticas y definir las consecuencias de la no conformidad.

Comunicación de

gobierno corporativo

1. Comunicar continuamente los objetivos y la dirección de TI, empleando todos los canales disponibles

2. Garantizar que la información comunicada engloba una clara articulación de la misión, los objetivos de servicio, la

seguridad, los controles internos, la calidad, el código de ética, las políticas y procedimientos, los roles y las

3. Proporcionar recursos suficientes y cualificados para dar soporte al proceso comunicativo.


Comunicar los objetivos y la dirección

de gestión.

Comunicar la sensibilización y

comprensión de los objetivos y la

dirección de TI a las partes

interesadas y usuarios pertinentes a

lo largo de toda la Red.

Principios de protección

de recursos


Comunicación de objetivos de TI

3. Definir la ubicación de las funciones de TI y obtener aprobación.

Práctica de Gestión Entradas SalidasOptimizar la ubicación de la función

de TI

Posicionar la capacidad de TI en la

estructura de la Red para reflejar la

importancia de TI en el modelo de

RITA, especialmente su criticidad para

la estrategia empresarial y el nivel de

dependencia de TI.

1. Modelo operativo

2. Estrategia de negocio

Actividades

1. Entender el contexto de la función de TI, incluyendo una evaluación de la estratégia y el modelo operativo,

importancia de TI, la situación y opciones para la provisión.


Evaluación de las opciones para la organización de TI

Definir la función operacional de las funciones de TI

Salidas

Mantener los elementos

catalizadores del sistema de gestión.

Mantener los elementos

catalizadores del sistema de gestión y

del entorno de control de la TI de la

Red. Garantizar que están alineados e

integrados con la filosofía y el estilo

operativo de gobierno y de gestión de

la empresa.

Principios rectores de la

Red.


Políticas relativas a TI

86

Definir la propiedad de la información

y del sistema.

Definir y mantener las

responsabilidades de la propiedad de

la información (datos) y los sistemas

de información. Asegurar que los

propietarios toman decisiones sobre

la clasificación de la información y los

sistemas y su protección con esta

clasificación.

Definir la propiedad de

la información y del

sistema

Actividades


Actividades

1. Hacer seguimiento del cumplimiento con políticas y procedimientos

2. Analizar los incumplimientos y adoptar las acciones apropiadas (puede incluir el cambio de requerimientos)

3. Integrar rendimiento y cumplimiento dentro de los objetivos individuales del personal

4. Evaluar periódicamente el desempeño de los catalizadores del marco de referencia y adoptar acciones necesarias

5. Analizar las tendencias en el funcionamiento y cumplimiento y adoptar las acciones apropiadas

Políticas del entorno

Actualización de

políticas, proncipios,

procedimientos y

estándares

Actividades

1. Identificar los procesos críticos de la Red basándose en el rendimiento, cumplimiento y los riesgos relacionados.

Evaluar la capacidad del proceso e identificar objetivos de mejora. Analizar las diferencias en la capacidad y control del

proceso. Identificar las opciones de mejora y rediseño de procesos.

2. Implementar las mejoras acordadas, funcionando como una práctica normal de la Red y establecer objetivos y

métricas de rendimiento que permitan el seguimiento de las mejoras del proceso.

3. Considerar las meneras de mejorar la eficiencia y la eficacia.

4. Aplicar prácticas de gestión de calidad para la actualización de procesos

5. Retirar procesos, componentes o catalizadores desactualizados


Mantener el cumplimiento con las

políticas y procedimientos.

Poner en marcha procedimientos para

mantener el cumplimiento y

medición del cumplimiento de las

políticas y otros catalizadores del

marco de referencia; hacer cumplir



Acciones de remediación por no cumplimiento

Oportunidades de mejoras de proceso

Objetivos y métricas de rendimiento para el

seguimiento de la mejora de procesos

Evaluaciones de la capacidad de los procesos

Directrices para la clasificación de datos

Directrices para el control y la seguridad de datos

Procedimiento de integridad de datos

Realimentación de la

efectividad y

funcionamiento del

gobierno

Actualización de

políticas, proncipios,

procedimientos y

estándares

1. Proveer políticas y directrices para asegurar la adecuación y consistencia de la clasificación de la información en toda

2. Definir y mantener y proporcionar herramientas adecuadas, técnicas y directrices para garantizar la seguridad y

control efectivo sobre la información y los sistemas en colaboración con el propietario.

3. Crear y mantener un inventario de la información que incluya un listado de los propietarios, custodios y

clasificaciones. Incluir sistemas subcontratados y aquellos que deben permanecer dentro de la Red.


Gestionar la mejora continua de los

procesos.

Evaluar, planificar y ejecutar la mejora

continua de procesos y su madurez

para asegurar que son capaces de

entregarse conforme a los objetivos

de RITA, de gobierno, de gestión y de

control. Actualizar los procesos y

considerar el impacto en los

catalizadores del proceso.


87

Matriz RACI:

Practica clave

de GobiernoD

irec

tor

de

la R

ed

Co

ord

inad

or

de

la

Red

Lid

er e

n g

esti

ón

de

pro

yect

os

Líd

er t

écn

ico

Líd

er d

e TI

Líd

er e

n s

oci

aliz

ació

n

y d

ivu

lgac

ión

Líd

er d

e se

rvic

ios

mu

ltim

edia

Líd

er e

n in

gen

ierí

a d

e

soft

war

eLí

der

de

serv

icio

s

acad

émic

os

Líd

er d

e se

rvic

ios

de

con

ecti

vid

ad

Enca

rgad

o d

e C

alid

ad

Definir la

estructura

organizativaC C I R

establecer roles y

responsabilidadesI I R A C

Mantener los

elementos

catalizadores del

sistema de

gestión.

A R R R C

Comunicar los

objetivos y la

dirección de

gestión.

A R R I R I I I I I I

Optimizar la

ubicación de la

función de TIC C C C R C C C C C C

Definir la

propiedad de la

información y del

sistema

A R R R R R R R C

Gestionar la

mejora continua de

los procesos.A R R R R R R R C

Mantener el

cumplimiento con

las políticas y

procedimientos

A R R R R R R R I

88

APO02: Gestionar la estrategia



RITA


objetivos de TI


servicios


requisitos


relacionados con TI



Proceso COBIT: APO02 Gestionar la estrategia Area: Gestión


Descripción del proceso: Proporcionar una visión holística del entorno actual y del entorno de TI, la dirección futura, y las

iniciativas necesarias para migrar al entorno deseado. Aprovechar los bloques y componentes de la estructura de la Red,

incluyendo los servicios externalizados y las capacidades relacionadas que permitan una respuesta ágil, confiable y eficiente

a los objetivos estratégicos.

Declaración del propósito del proceso: Alinear los planes estratégicos de TI con los objetivos de la Red. Comunicar

claramente los objetivos y las cuentas asociadas para que sean comprendidos por todos, con identificación de las opciones

estratégicas de TI, estructurados e integrados con los planes de la Red.


Existe conciencia de la estrategia de TI y una

clara asignaciòn de responsabilidades para su

entrega





Todos los aspectos de la estrategia de TI estan

alineados con la estrategia de la red


objetivos de TI


servicios

La estrategia de TI es efectiva, apropiada,

realista, factible, enfocada a la red y

equilibrada


traves de todo su ciclo de vida


Se pueden derivar objetivos a corto plazo,

concretos, claros y trazables de iniciativas a

largo plazo especificas, y se pueden traducir

por tanto, en planes operativos



TI es generador de beneficio para la red




89



Comprender la dirección de la empresa.

Considerar el entorno actual y los servicios de

la red, asi como la estrategia y los objetivos

futuros de la red. Tambien tomar en cuenta el

entorno externo a ella.


Principios guia para la asignacion de

recursos y capacidades

Oportunidades de innovacion

vinculadas con los motivadores de la

industria

Estrategia y analisis DOFA

Fuentes y prioridades para cambios

4. Identificar y analizar las fuentes de los cambios en la red y el entorno externo

5. Determinar prioridades para el cambio estratégico

Propuestas de proyecto para la

reducción de riesgo

Acciones correctivas

Revisión de los resultados de ajuste a

objetivos

Actividades1. Desarrollar y mantener un entendimiento de las estrategias y objetivos de la red, asi como el entorno y los retos

operativos actuales

2. Desarrollar y mantener un entendimiento del entorno externo a la red

3. Identificar las partes interesadas más importantes y obtener comprensión de sus requerimientos


6. Entender la arquitectura actual de la red y trabajar para determinar cualquier brecha potencial en la arquitectura


Línea de referencia a capacidades

actuales

Definición de proyectos de mejoras

potenciales

Identificar diferencias en los servicios

de TI para la red

Planes de acción, mejora y

remediaciones

Nuevos problemas y factores de

riesgo

Resultado del análisis de riesgo

Perfil de riesgo agregado

Diferencias y riesgos relacionados con

las capacidades actuales

Analisis DAFO de capacidades

Actividades

1. Desarrollar un punto de referencia de la red, entorno de TI, capacidades y servicios actuales respecto al que las

necesidades futuras puedan ser comparadas. Incluir el correspondiente detalle

2. Identificar los actuales y potenciales riesgos y tecnologías en declive

3. Identificar diferencias entre lo que se hace actualmente y las capacidades de TI.

4. Identificar la matriz DOFA en el entorno actual, las capacidades y servicios para mejorar el desempeño actual

Evaluar el entorno, capacidades y rendimiento

actuales.

Evaluar el rendimiento de la red a nivel

interno en la actualidad, las capacidades y los

servicios de TI externos para desarrollar un

entendimiento de la arquitectura en relación

con las TI. Identificar los problemas que se

están experimentando y generar

recomendaciones en las áreas que pueden

beneficiarse de esas mejoras.

90


Requerimientos de la red y

capacidades de TI

Propuesta de cambio en la

arquitectura de la red

3. Definir los objetivos/metas de TI a alto nivel y como contribuyen a los objetivos corporativos de la red4. Definir el proceso de la red requerido y deseado , las capacidades y los servicios de TI; describir los cambios a alto nivel en

la arquitectura, los procesos y procedimientos de TI, la estructura organizativa de TI, gobierno de TI, habilidades y

competencias

5. Alinear y acordar los cambios en la arquitectura de la red

Actividades1. Considerar la aplicación de tencologias emergentes e ideas innovadoras

2. Identificar las amenazas por el rechazo a las actuales y nuevas tecnologías adquiridas

6. Demostrar trazabilidad de las estrategias de la red y sus necesidades

Definir el objetivo de las capacidades de TI.

Definir el objetivo de la red, las capacidades

de TI y los objetivos de TI necesarios. Esto

debería estar basado en el entendimiento del

entorno de la red y sus necesidades; la

evaluación de los procesos actuales, el

entorno de TI, y los problemas presentados;

considerando los estándares de referencia, las

mejores prácticas y las tecnologías

emergentes o propuestas de innovación.


Análisis de las iniciativas rechazadas,

resultados y recomendaciones de las

iniciativas de pruebas de concepto

Objetivos de TI a alto nivel

Actividades

1. Identificar todas las diferencias y cambios necesarios para revisar el entorno deseado2. Considerar las implicaciones a alto nivel de todas las diferencias. Considerar el valor de los posibles cambios en el negocio

y capacidades de TI, servicios de TI, arquitectura de la red y las consecuencias de no realizarlos

3. Evaluar el impacto de posibles cambios en la operación de la red y en los modelos operativos de TI, la capacidad de

investigación y desarrollo de tecnología y los programas de inversión en TI

4. Mejorar la definición del entorno deseado y preparar una declaración con los beneficios a percibir de ese entorno


Realizar un análisis de diferencias.

Identificar las diferencias entre el entorno

actual y el deseado y considerar la alineación

de las capacidades que soportan los servicios

con los resultados de la red para optimizar la

utilización de recuros internos y externos.

Considerar los factores críticos de éxito que

apoyan la ejecución de la estrategia


Diferencias y cambios requeridos para

alcanzar la meta de capacidad

Evaluación de la alineación

Evaluación sobre el uso de enfoques

innovadores

Expectativas sobre el beneficio

Resultados del programa de

supervision de consecucion de

objetivos

Revision de los resultados de cambio

de faseResultados de la revisión post-

implementación

Declaración del beneficio para el

entorno deseado

91

1. Definir las iniciativas necesarias para cerrar diferencias y migrar del entorno actual al deseado

Asignaciones presupuestarias

Plan y presupuesto de TI

Casos de seguridad de la información

Plan de acción para ajustar las

cantidades y asignacion de licencias

Aprobación de las opciones

estratégicas


Comunicar la estrategia y direccion de TI.

Crear conciencia y comprension de la red y de

los objetivos y dirección de TI, como se

encuentra reflejada en al estrategia de TI, a

través de comunicaciones a las partes

interesadas adecuadas y a los usuarios de toda

la red



los recursos

Plan de comunicación

Paquete de comunicación


Definir el plan estrategico y la hoja de ruta.

Crear un plan estrategico que defina, en

cooperación con las partes interesadas mas

relevantes, como los objetivos de TI

contribuiran a los objetivos corporativos.

Orientar las tecnologias para definir las

iniciativas que se requieren para cerrar las

diferencias, la estrategia de abastecimiento, y

las medidas que se utilizaran para supervisar

el logro de los objetivos.


Definición de iniciativas estreategicas

Evaluación de riesgo


Actividades

Actividades

1. Desarrollar y mantener una red de aprobación, apoyo e impulso de la estrategia de TI

2. Desarrollar un plan de comunicación que cubra los mensajes necesarios, audiencias objetivo, medidas/canales de

comunicación y horarios

3. Preparar un paquete de comunicaciones que entregue el plan de manera eficaz utilizando los medios de comunicación y

tecnologias disponibles

4. Obtener retroalimentación y actualzar el plan de comunicaciones y de entrega según sea necesario


Retroalimentación sobre la eficacia

de recursos y capacidades

Alcance definido de la arquitectura

Modelo de arquitectura de la

informacion

Arquitecturas de transición

Realimentación sobre estrategias y

objetivos

Opciones de financiación

2. Identificar y abordar adecuadamente los riesgos, costes e implicaciones de lso cambios organizativos, evolucion

tecnologica, requisitos normativos en el proceso de planificacion

3. Determianr dependencias, solapamientos, sinergias e impactos entre las iniciativas y priorizar las iniciativas

4. Identificar los requerimientos de recursos y planificación

5. Traducir los objetivos en medidas de resultado representadas en métricas

6. Obtener formalmente soporte de las partes interesadas y obtener aprobación del plan

92

Matriz RACI:

I I IComunicar la

estrategia y

direcciòn de TI

R R I R I I I I

C

Realizar un analisis

de diferencias R A R R R R RR R

Definir el plan

estrategico y la

hoja de ruta

C C R A C C C C C C

Enca

rgad

o d

e

Cal

idadPráctica clave

de Gobierno

Dir

ecto

r d

e la

Red

Co

ord

inad

or

de

la

Red

Lid

er e

n g

esti

ón

de

pro

yect

os

Líd

er t

écn

ico

Líd

er d

e TI

Comprender la

direcciòn de la

empresaC A R R R R R R R

C

Definir el objetivo

de capacidades de A C I R C

R R R

C C

Evaluar el entorno,

capacidades y C R A R

C C C C

R R

Líd

er e

n

soci

aliz

ació

n y

div

ulg

ació

nLí

der

de

serv

icio

s

mu

ltim

edia

Líd

er e

n in

gen

ierí

a

de

soft

war

e

Líd

er d

e se

rvic

ios

acad

émic

os

Líd

er d

e se

rvic

ios

de

con

ecti

vid

ad

93

APO03: Gestionar la innovación

La innovación se permite y se

promueve, formando parte de la

cultura de la Red.


Los objetivos de la Red se cumplen

por la mejora de los beneficios de la

calidad y/o la reducción de costes

como resultado de la identificación e

implementación de soluciones

innovadoras.


Proceso COBIT: APO03 Gestionar la innovación Area: Gestión


Descripción del servicio: Mantener un conocimiento de la tecnología de la información y las tendencias relacionadas

con el servicio, identificar las oportunidades de innovación y planificar la manera de beneficiarse de la innovación en

relación a las necesidades de la Red. Analizar que mejora puede realizarse y cuáles son las oportunidades de las

nuevas tecnologías facilitadas por TI. Influir en la planificación estratégica y en las decisiones de la arquitectura de la

Declaración del propósito del proceso: Lograr ventaja competitiva, innovación empresarial y eficacia y eficiencia

operativa mejorada mediante la explotación de los desarrollos tecnológicos para la explotación de la información



Beneficio del impacto del portafolio

de servicios relacionado con las TI

1. Porcentaje de proyectos de Ti en los que el impacto es monitoreado a traves





El valor de RITA es creado mediante la

cualificación y puesta en escena de

los avances e innovaciones

tecnológicas más apropiadas, los

métodos y las soluciones TI utilizadas.


iniciativas para la innovación 1. Número de nuevas ideas aplicadas a la prestación de los servicios

Agilidad de las TI


TI


con TI de RITA




capacidades TI.


2. Porcentaje de servicios que cumplieron las expectativas de los usuarios

94

Actividades

1. Comprender el interés de la Red y su potencial para adoptar nuevas tecnologías canalizando los esfuerzos de

concientización en las innovaciones más oportunas.

2. Realizar estudios y analizar el entorno eexterior, incluyendo sitios web, diarios y conferencias para identificar

tecnologías emergentes.

3. Recopilar las ideas innovadoras del personal de TI y analizarlas para su posible implementación.

3. Crear un entorno que fomente la innovación manteniendo iniciativas de recursos humanos relevantes, tales como

reconocimiento de la innovación y programas de reconocimiento.

4. Mantener un programa que permita al personal presntar ideas innovadoras y crear una estructura adecuada de toma

de decisiones para evaluar y aplicar estas ideas.

5. Animar a innovar a los clientes proveedores y socios.

Supervisar y explorar el entorno

tecnológico.

Realizar una supervisión sistemática y

un escaneo del entorno externo para

identificar tecnologías emergentes

que tengan el potencial de crear

beneficio. Supervisar el mercado,

tendencias legales y regulatorias o

ideas innovadoras en el contexto de

la Red.

Tecnologías emergentes



Estratégia corporativa y análisis DAFO

de la Red.

Oportunidades de innovación

vinculadas a los motivadores de la Red

Mantener un entendimiento del

entorno de la Red.

Trabajar junto a las partes interesadas

para entender sus retos. Mantener un

entendimiento adecuado de la

estratégia de la Red y del entorno

competitivo, de modo que las



Análisis de investigación de las

posibilidades de innovación

Actividades

1. Mantener una comprensión de los motores de la Red.

2. Realizar reuniones periódicas con las mesas de trabajo y/o otras entidades interesadas en entender los problemas

actuales de la Red donde las nuevas tecnologías o innovación TI puedan crear oportunidades.

3. Entender los parámetros de inversiones para la Red enfocadas a la innovación y las nuevas tecnologías, de manera

que se desarrollen las estrategias adecuadas.

Entradas Salidas

2. Proveer de una infraestructura que permita innovar, tales como herramientas de colaboración para mejorar el

trabajo entre diferentes ubicaciones geográficas y divisiones de la Red.



Crear un entorno favorable para la

innovación.

Crear un entorno que sea propicio

para la innovación, considerando la

cultura, la gratificación, la

colaboración, los foros tecnológicos y

los mecanismos para promover y

captar ideas del personal.


Crear un entorno favorable para la

innovación

Plan de innovación

Programa de reconocimiento y

recompensa

Actividades

1. Crear un plan de innovación que incluya el apetito por el riesgo, el presupuesto previsto para invertir en la

innovación y los objetivos de la misma.

95

1. Evaluar las tecnologías identificadas, considerando aspectos tales como tiempo para alcanzar la madurez, riesgo

inherente de la nueva tecnología, ajuste con la arquitectura empresarial y potencial para agregar beneficios.

2. Identificar cualquier problema que pueda necesitar ser resuelto o probado a través de una iniciativa de prueba de

concepto.

5. Realizar pruebas de concepto para evaluar las tecnologías emergentes u otras ideas innovadoras.


Actividades

1. Valorar la implementación de nuevas tecnologías o innovaciones TI adoptadas como parte de las estrategias TI y

desarrollos de la arquitectura empresarial.

2. Capturar lecciones aprendidas y oportunidades de mejora.

Resultados y recomendaciones de las

pruebas de concepto.

Recomendar iniciativas adicionales

Evaluar y supervisar los resultados de

las pruebas de concepto y, si son

favorables, generar recomendaciones

para más iniciativas y obtener el

soporte de las partes interesadas.


Análisis de las iniciativas rechazadas

3. Alcance de la iniciativa de prueba de concepto, incluyendo resultados deseados, presupuesto necesario, plazo de

tiempo y responsabilidades.

4. Obtener autorización para hacer la prueba de concepto.

4. Identificar y evaluar el posible beneficio obtenido como fruto del uso de la innovación.

Supervisar la implementación y el uso

de la innovación.


de tecnologías emergentes durante la

integración, adopción y todo el ciclo

de vida económico, para garantizar

que se producen los beneficios

prometidos e identificar las lecciones

aprendidas.


Actividades

1. Documentar los resultados de las pruebas de concepto, incluyendo guía y recomendaciones para programas de

innovación y tendencias.

3. Realizar un seguimiento de las pruebas de concepto para medir el grado en que las mismas han influenciado en las

inversiones reales.

4. Analizar y comunicar las razones por las que se ha rechazado una prueba de concepto.


3. Ajustar el plan de innovación, si fuera necesario.

Actividades

Entradas Salidas

2. Comunicar las oportunidades de innovación viables en la estrategia TI.


de la innovación

Valoración del uso de enfoques

innovadores

Evaluación de los beneficios de la

innovación

Planes de innovación ajustados

Evaluación de las ideas de Innovación

Alcance de la prueba de concepto y

descripción de los casos de negocio

Comprobar los resultados de las

iniciativas de pruebas de concepto

Evaluar el potencial de las tecnologías

emergentes.

Analizar las tecnologías emergentes

identificadas y/u otras sugerencias de

innovación. Trabajar con las partes

interesadas para validar las

suposiciones sobre el potencial de las

nuevas tecnologías y la innovación.



96

Matriz RACI:

Practica clave

de GobiernoD

irec

tor

de

la R

ed

Co

ord

inad

or

de

la

Red

Lid

er e

n g

esti

ón

de

pro

yect

os

Líd

er t

écn

ico

Líd

er d

e TI

Líd

er e

n

soci

aliz

ació

n y

div

ulg

ació

nLí

der

de

serv

icio

s

mu

ltim

edia

Líd

er e

n in

gen

ierí

a

de

soft

war

eLí

der

de

serv

icio

s

acad

émic

os

Líd

er d

e se

rvic

ios

de

con

ecti

vid

ad

Enca

rgad

o d

e

Cal

idad

Crear un entorno

favorable para la

innovaciónA R R R R R R R R R

Mantener un

entendimiento del

entorno de la RedA R R R R R R R R

Supervisar y

explorar el entorno

tecnológico

A R R R R R R R R

Evaluar el

potencial de las

tecnologías

emergentes

I I C C R C C C C C

Recomendar

iniciativas

adicionalesI R R R R R R R R

Supervisar la

implementación y

el uso de la

innovación

I I C C R C C C C C

97

APO04: Gestionar el portafolio

Los buenos reusltados se generan a traves de

la monitorizacion1. Frecuencia de reuniones del equipo relacionado con TI

Casos de servicio evaluados y priorizados

antes de que se asignen

1. Numero de incidentes significativos relacionados con TI que no fueron


Existe una vista precisa y comprensiva del

rendimiento de los servicios


servicios

Los cambios en el programa de inversion en

recursos se ven reflejados en el portafolio de

servicios


proactiva


Se ha definido una mezcla apropiada de

servicios alineada con los objetivos

corporativos






RITA


objetivos de TI


servicios






Proceso COBIT: APO04 Gestionar el portafolio Area: Gestión


Descripción del proceso: Ejecutar el conjunto de direcciones estratégicas para alinear la inversion con la arquitectura de la

red, las características deseadas, los portafolios de servicios relacionados y los recursos. Evaluar, priorizar, y equilibrar

programas y servicios, gestionar la demanda con los recursos y restricciones, basados en su alineamiento con los objetivos

de la Red. Mover los programas seleccionados al portafolio de servicios para ser ejecutados y ajustarlo progresivamente

según las necesidades corporativas.

Declaración del propósito del proceso: Optimizar el rendimiento del portafolio global de programas en respuesta al

rendimiento de los servicios y a las cambiantes prioridades y demandas corporativas.


Entrega de programas que proporcionen

beneficios a tiempo satisfaciendo los


1. Porcentaje de servicio prestados a tiempo

2. Porcentaje de satisfacción del cliente

3. Porcentaje de servicios que se interrumpen o repiten por fallas de TI


98

Alcance de la prueba de concepto

Caso de arquitectura de la red y

proposición de beneficio

Evaluación de los portafolios de

servicio

Evaluación del alineamiento

estrategico

6. Establecer procedimientos para la comunicación de los aspectos relacionados con el portafolio de servicios

Actividades

1. Reconocer las oportunidades y clasificarlas en una línea con las categorias del portafolio de inversiones. Especificar los

resultados esperados, todas las iniciativas necesarias para alcanzar los resultados y cómo todo debe ser medido.

2. Realizar evaluaciones detalladas de todos los casos de estudio de los programas, evaluando el alineamiento estratégico,

beneficios, riesgo y disponibilidad de recursos

3. Evaluar el impacto del portafolio general por añadir los programas candidatos, incluyenedo todos los cambios requeridos

4. Decidir qué programas candidatos deberían ser trasladados al portafolio de servicios, determinar si los rechazados

deberían ser considerados a futuro

5. Determinar los hitos necesarios para el ciclo de vida de cada servicio

Evaluar y seleccionar los programas.

Basado en los requisitos de la mezcla general

del portafolio, evaluar y priorizar casos de

programas y decidir sobre las propuestas.

Dedicar recursos e iniciar los programas


Casos de estudio del programa

Evaluación de los casos

Programas seleccionados con impacto

esperado


Asignaciones de recursos

Comunicación de recursos

Recursos y plan de TI

Diferencias identificadas entre los

servicios de TI y lo corporativo

Acuerdos de nivel de servicio

Plan de obtención de beneficio

Mandato e instrucciones del

programa

Actividades1. Validar que las inversiones de TI y los servicios actuales están alineados con al visión y los principios de la Red, metas y

objetivos estratégicos.

2. Conseguir un entendimiento común entre TI y otras funciones de la red sobre las oportunidades potenciales de TI para

conducir y sustentar la estrategia corporativa

3. Crear una mezcla que logre el balance adecuado entre distintas dimensiones

4. Identificar las categorias generales de sistemas de información, aplicaciones, datos, servicios de TI, infraestructura,

activos de TI, recursos, habilidades, prácticas, controles y relaciones necesarias para sustentar la estrategia de la Red.5. Acordar una estrategia TI y unas metas, considerando las interrelaciones existentes entre la estrategia de la Red y los

servicios TI y los recursos. Identificar y facilitar sinergias que puedan ser alcanzadas

Establecer la mezcla del objetivo.

Revisar y garantizar la claridad de las

estrategias y servicios actuales corporativos y

de TI. Definir una adecuada mezcla de

inversión, basada en la alineación con la

estrategia , impacto esperado, grado de riesgo

y tipo de beneficio de los servicios del

portafolio. Ajustar las estrategias corporativas

y de TI cuando sea necesario



Iniciativas de gestión del riesgo

Definición de iniciativas estrategicas

Priorización y clasificación de las

iniciativas TI

Definición de los servicios y servicios

estandar

Mezcla del objetivo

Identificar recursos y capacidades

necesarias para soportar la estrategia

Observaciones a la estrategia y metas



99

Evaluación de los beneficios de la

innovación

Informes de rendimiento del

portafolio de inversiones

Resultado de la revisión de cambio de

estado


Supervisar, optimizar e informar sobre el

rendimiento del portafolio.

Regularmente, supervisar y optimizar el

rendimiento del portafolio y de los servicios a

lo largo de todo el ciclo de vida


Evaluación de los portafolios de

servicio

Acciones para generar más impacto

Comentarios sobre el rendimiento

del portafolio y los servicios

Actividades

1. Crear y mantener portafolios de servicios TI y activos TI, que soporten los planes estratégicos y tácticos de TI

2. Trabajar con los responsables de entrega del servicio para mantener los portafolios de servicio y con los responsables de

las operaciones. Apoyar los planes tácticos y estratégicos de TI

3. Eliminar los programas del portafolio cuando el impacto generado deseado no ha sido alcanzado

Portafolio de servicios actualizado

Portafolio de programas y servicios

actualizado

Comunicación de retiro del programa

de responsabilidades en curso

Mantener los portafolios.

Mantener los portafolios de servicios y activos

de TI


1. Revisar regularmente el portafolio para identificar y explotar sinergias, eliminar programas duplicados y mitigar el riesgo

2. Cuando sucedan cambios, volver a evaluar y priorizar el portafolio de servicios para asegurar que este alineado con la

estrategia corporativa

7. Identificar desviaciones para la gestión del beneficio o impacto generado.

8. Desarrollar métricas para medir la contribución de TI a la Red y establecer objetivos de rendimiento adecuados.


6. Incluir una supervision periodica del rendimiento, informando en qué medida los objetivos han sido alcanzados, el riesgo

mitigado, las capacidades creadas, los entregables y las metas de rendimiento conseguidas

Actividades

3. Ajustar los objetivos, previsiones, presupuestos y si fuese necesario, el grado de monitoreo para reflejar los beneficios

adquiridos de los servicios

4. Proporcionar una vista precisa a las partes interesadas sobre el rendimiento del portafolio de inversiones

5. Aportar informes ejecutivos para la revisión por parte de la alta direccion de los progresos de la red hacia las metas,

estableciendo cómo se debe seguir operando.

Actividades1. Utilizar las métricas acordadas y realizar seguimiento sobre cómo el beneficio es obtenido, cómo evoluciona a lo largo del

ciclo de vida de los servicios TI. Comunicar los resultados a las partes interesadas

2. Implementar las acciones correctivas cuando el beneficio alcanzado se desvíe del esperado. Actualizar procesos de mejora

según se requiera

3. Considerar y obtener orientación de expertos externos para mejorar las métricas y los objetivos

Gestionar la consecución del beneficio.

Supervisar los beneficios de proporcionar y

mantener servicios y capacidades TI

apropiadas basadas en el estado actual


Registro de beneficios

Resultados de la supervisión de

realización de beneficio

Resultados del beneficio y

comunicaciones acordadas

Acciones correctivas para la mejora de

la producción del beneficio


100

Matriz RACI:

C

C C

Gestionar la

consecución del

beneficio C A R R C

Mantener los

portafolios R R R C C C

C

Evaluar y

seleccionar los

programasA R R R

Supervisar,

optimizar e C C C C

Enca

rgad

o d

e

Cal

idad

Establecer la

mezcla del objetivoR C C R

Líd

er d

e TI

Líd

er e

n

soci

aliz

ació

n y

div

ulg

ació

nLí

der

de

serv

icio

s

mu

ltim

edia

Líd

er e

n in

gen

ierí

a

de

soft

war

eLí

der

de

serv

icio

s

acad

émic

os

Líd

er d

e se

rvic

ios

de

con

ecti

vid

ad

C

Práctica clave

de Gobierno

Dir

ecto

r d

e la

Red

Co

ord

inad

or

de

la

Red

Lid

er e

n g

esti

ón

de

pro

yect

os

Líd

er t

écn

ico

101

APO05: Gestionar los Recursos Humanos

Proceso COBIT: APO05 Gestionar los Recursos Humanos Area: Gestión


Descripción del proceso: Proporcionar un enfoque estructurado para garantizar una óptima estructuración, ubicación,

capacidades de decisión y habilidades de los recursos humanos. Esto incluye la comunicación de funciones y

responsabilidades definidas, la formación y planes de desarrollo personal y las espectativas de desempeño, con el apoyo de

Declaración del propósito del proceso: Optimizar las capacidades de recursos humanos para cumplir los objetivos de la Red.




RITA


objetivos de TI





capacidades TI.







Personal de RITA competente 1. Porcentaje de preparación del personal

Personal de RITA motivado 1. Porcentaje de motivación





La estructura organizacional y las relaciones de

TI de la Red son flexibles y dan respuesta ágil.


proactiva


Los recursos humanos son gestionados eficaz y

eficientemente

1. Porcentaje de preparación del personal

2. Porcentaje de motivación




Identificar personal clave de TI.

Identificar este personal en la Red a medida

que se reduce al mínimo la dependencia de

una sola persona en la realización de una

función crítica de trabajo mediante la captura

de conocimiento (documentación), el

intercambio de conocimientos, la

planificación de la sucesión y el respaldo

(backup) del personal.


Identificar personal clave de TIDocumentación actualizada de

personal clave de TI

Actividades

1. Minimizar la dependencia de una sola persona en la realización de una función crítica de trabajo mediante la captura de

conocimiento (documentación), el intercambio de conocimientos, la planificación de la sucesión y el respaldo (backup) del

personal, el entrenamiento cruzado e iniciativas de rotación de puestos.

2. Como medida de seguridad, proporcionar directrices sobre un tiempo mínimo de vacaciones anuales que deben tomar los

individuos clave

3. Tomar acciones expeditivas con respecto a cambios laborales, especialmente despidos.

4. probar regularmente los planes de respaldo (backup) del personal.

102

Concientizaciones de conocimiento y

esquemas de formación.

1. Seguimiento de resultados en

habilidades y competencias.

2. Requisitos de formación.


Metas y objetivos de la empresa

Actividades

1. Definir las habilidades y competencias necesarias y disponibles actualmente tanto de recursos internos como externos

para lograr los objetivos de la Red, de TI y de procesos.

Mantener las habilidades y competencias del

personal.

Definir y gestionar las habilidades y

competencias necesarias del personal.

Verificar estas necesidades regularmente con

base en su educación, formación y/o

experiencia y verificar que estas se

mantienen, con programas de capacitación y

certificación en su caso. Proporcionar a los

empleados aprendizaje permanente y

oportunidades para mantener sus

conocimientos, habilidades y competencias al

nivel que los objetivos de la Red lo requieran.


Enfoque del sistema de recompensas


a las desviaciones en la gestión de

recursos.

Publicar repositorios de

conocimiento.

Matriz de habilidades y

competencias.

Planes de desarrollo de habilidades

Revisión de informes

Informes de rendimiento del

portafolio de inversiones

Programa de reconocimiento y

recompensas

Objetivos de desempeño de RRHH

alineados

2. Proporcionar una planificación formal de la carrera y desarrollo profesional para fomentar el desarrollo de competencias,

oportunidades de progreso personal y una menor dependencia de personas clave.

3. Proporcionar accesos a repositorios de conocimiento para apoyar el desarrollo de habilidades y competencias.

4. Identificar las diferencias entre habilidades necesarias y las disponibles. Desarrollar planes de acción para hacerle frente

de manera individual y colectiva, tales como formación, contratación, redistribución y cambios en las estrategias de

contratación.

5. Desarrollar y ejecutar programas de formación basados en los requisitos organizativos y de procesos, incluídos los

requisitos sobre conocimiento de la Red, control interno, conducta ética y seguridad.

7. Revisar los materiales y programas de formación de manera regular para asegurarse su adecuación a los requisitos

cambiantes de la Red y su impacto en los conocimientos, aptitudes y habilidades necesarias.

Práctica de Gobierno Entradas

6. Llevar a cabo revisiones periódicas para evaluar la evolución de las habilidades y competencias de los recursos internos y

externos. Revisar la planificación de la sucesión.

Resultados de revisión de

desempeño de RRHH

Metas y objetivos de la Red.

Evaluar el desempeño laboral de los

empleados.

Lleve a cabo oportunamente evaluaciones de

manera regular con respecto a los objetivos

individuales derivados de los objetivos de la

Red, las normas internas, las

responsabilidades específicas del trabajo y el

marco de habilidades y competencias. Los

empleados debieran recibir preparación sobre

el desempeño y conducta siempre que sea

apropiado.


Enfoque del sistema de recompensas

Salidas

Actividades

1. Considerar los objetivos funcionales de la Red como el contexto para establecer las metas individuales.

2. Establecer los objetivos individuales alineados con los objetivos de los procesos relevantes, de modo que exista una clara

contribución a los objetivos de TI y de la Red. Basar las metas en objetivos SMART (Específicos, medibles, realizables,

pertinentes y de duración determinada) que reflejen las competencias básicas, los valores empresariales, y las habilidades

necesarias para las funciones.

3. Recopilar los resultados de la evaluación de desempeño de 360 grados.

4. implementar y comunicar un proceso disciplinario.5. Proporcionar instrucciones específicas para el uso y almacenamiento de información personal en el proceso de

evaluación, de conformidad con la legislación laboral y sobre datos personales aplicables.

6. Proporcionar retroalimentación oportuna sobre el desempeño frente a las metas del individuo.

7. Implementar un proceso de remuneración/reconocimiento que premie el compromiso adecuado, el desarrollo de

competencias y el logro exitoso de los objetivos de desempeño. Asegurar que el proceso se aplica de forma coherente y en

consonancia con las políticas de la Red.

8. Desarrollar planes de mejora de desempeño basados en los resultados del proceso de evaluación y requisitos de

capacitación y desarrollo de competencias identificados.

103

Actividades

1. Crear y mantener un inventario de recursos humanos de la Red.

2. Entender la demanda actual y futura de recursos humanos para apoyar el logro de los objetivos de TI y ofrecer servicios y

soluciones basados en la cartera de las iniciativas actuales relacionadas con las TI y las necesidades operativas del día a día.

4. Mantener información adecuada sobre el tiempo dedicado a diferentes tareas, trabajos, servicios o proyectos.

Práctica de Gobierno


Entradas Salidas

3. Identificar las carencias y proporcionar datos de entrada a planes de aprovisionamiento, así como a los procesos de

contratación de la Red. Crear y revisar el plan de personal, haciendo seguimiento del uso real.

Planificar y realizar un seguimiento del uso de

recursos humanos de la Red y de TI.

Comprender y realizar un seguimiento de la

demanda actual y futura de recursos humanos

para la Red y TI con responsabilidades en TI de

la Red. Identificar las carencias y proporcionar

datos de entrada a los planes de

aprovisionamiento, planes de abastecimiento

de procesos de contratación de la Red y de TI

así como de procesos de contratación.



aprovisionamiento de recursos.


eficacia de recursos y capacidades.

Asignaciones presupuestarias.

Requisitos y funciones de recursos

Carteras actuales y futuras

Estructura organozativa de la Red.

Inventario de recursos humanos de la

Red.

Análisis de deficiencias en la

obtención de recursos.

Registros de utilización de recursos

3. Proporcionar a los contratistas una definición clara de sus funciones y responsabilidades como parte de sus contratos,

incluídos requisitos explícitos para documentar su trabajo en base a normas y formatos previamente acordados.

4. Llevar a cabo revisiones periódicas para asegurarse de que el personal contratado ha firmado y aceptado todos los

acuerdos necesarios.

5. Llevar a cabo revisiones periódicas para asegurarse que las funciones de los contratistas son adecuados y en línea con los

acuerdos.

Políticas de control del personal

Acuerdos contractuales

Revisiones de acuerdos contractuales

2. Obtener un acuerdo formal con los contratistas en el inicio del contrato en cuanto a qué están obligados a cumplir con el

marco de contro TI de RITA.

Actividades

1. Implementar políticas y procedimientos que describan cuándo, cómo y qué tipo de trabajo puede ser realizado o

incrementado por consultores y/o contratistas, de acuerdo con la política de contratación en el marco de control de la Red.

Gestionar el personal contratado

Asegurese que los consultores y el personal

contratado que apoyan a la Red con

capacidades de TI conocen y cumplen las

políticas de RITA así como los requisitos

contractuales previamente acordados.


Requisitos y funciones de recursos

Requisitos y funciones de proyectos

Comunicación del retiro de programa

y responsabilidades en curso.

104

Matriz RACI:

Práctica clave

de GobiernoD

irec

tor

de

la R

ed

Co

ord

inad

or

de

la

Red

Lid

er e

n g

esti

ón

de

pro

yect

os

Líd

er t

écn

ico

Líd

er d

e TI

Líd

er e

n

soci

aliz

ació

n y

div

ulg

ació

nLí

der

de

serv

icio

s

mu

ltim

edia

Líd

er e

n in

gen

ierí

a

de

soft

war

e

Líd

er d

e se

rvic

ios

Líd

er d

e se

rvic

ios

de

con

ecti

vid

adEn

carg

ado

de

Cal

idad

Identificar personal

clave de TI

R A

Mantener las

habilidades y

competencias del

personal

R A

Evaluar el

desempeño laboral

de los empleadosR A

Planificar y realizar

un seguimiento del

uso de recursos

humanos de la Red

y de TI

R C R C C C C C

Gestionar el

personal

contratadoR A

105

APO06: Gestionar las relaciones

Existencia de buenas relaciones entre la red y

TI1. Nivel de satisfacción del usuario

Las partes interesadas de la red son

conscientes de que las oportunidades

posibilitadas por las TI






Las estrategias y requisitos estan bien

entendidos, documentados y aprobados






RITA


objetivos de TI


servicios


requisitos


relacionados con TI

Proceso COBIT: APO06 Gestionar las relaciones Area: Gestión


Descripción del proceso: gestionar las relaciones entre le negocio y TI de modo formal y transparente, enfocandolas hacia el

objetivo común de obtener resultados exitosos apoyando los objetivos estratégicos. Basar la relación en confianza mutua,

usando terminos entendibles, lenguaje común y voluntad de asumir la propiedad y responsabilidad en decisiones claves

Declaración del propósito del proceso: Crear mejores resultados, mayor confianza en la tecnología y conseguir un uso

efectivo de los recursos


Actividades

1. Identificar las partes interesadas de la red, sus intereses y sus áreas de responsabilidad

2. Revisar la orientación de la red, asuntos y objetivos estratégicos actuales

3. Mantener una atención sobre los procesos y actividades asociadas y entender los patrones de demanda relacionados con

el volumen y uso de servicios

4. Esclarecer las espectativas de la red para los servicios y soluciones basados en TI y asegurar que los requisitos son

definidos con criterios y métricas aceptadas.5. Confirmar el acuerdo sobre las expectativas del negocio, los criterios de aceptacion y las métricas para TI por todas las

partes interesadas

6. Gestionar las expectativas asegurando que las unidades entienden las prioridades, dependencias, restricciones y la

necesidad de planificar peticiones

7. Entender el entorno de negocio actual, limitaciones o flujos de procesos, expansión o contracción geográfica y

motivaciones de la industria.

Entender las expectativas de la red.

Entender el enfoque actual y las expectativas

de la red para TI. Asegurar que los requisitos

son entendidos, gestionados y comunicados y

su estado acordado y aprobado


Hoja de ruta estrategica



Expectativas de negocio aprobadas y

acordadas

106

Actividades

1. Asignar un responsable de la relación como punto único de contacto por cada unidad significativa. Asegurar que se ha

identificado una contraparte única en la organización y que tenga entendimiento de la red, suficiente concientización

tecnológica y un nivel apropiado de autoridad

2. Gestionar la relación de un modo formal y transparente que asegure un enfoque en conseguir, como objetivo común y

compartido, resultados exitosos apoyando los objetivos estratégicos dentro de las limitaciones y tolerancia de riesgos

3. Definir y comunicar un proceso de reclamaciones y escalado de las mismas para resolver cualquier incidencia en la

4. Planificar interacciones especificas y calendarios basados en objetivos acordados mutuamente y en un lenguaje común5. Asegurar que las decisiones clave son acordadas y aprobadas por las partes interesadas responsables y relevantes


Gestionar las relaciones con la red.

Gestionar la relación con los usuarios.

Asegurar que los roles y responsabilidades de

la relación estan definidos, asignados y se

facilita la comunicación.


Incidentes y peticiones de servicio

clasificados y priorizados

Confirmación de las expectativas

cumplidas del usuario

Actividades

1. Entender las tendencias tecnológicas y las nuevas tecnologías y cómo pueden aplicarse de modo innovador para la mejora

del rendimiento de los servicios

2. Tomar un papel proactivo en identificar y comunicar a las partes interesadas clave de las oportunidades, riesgos y

limitaciones. Esto incluye tecnologías y servicios.

3. Colaborar en acordar los siguientes pasos para las principales nuevas iniciativas en colaboración con la gestión de la

cartera de servicios, incluyendo el desarrollo de los distintos casos.

4. Asegurar que la red y las TI entienden y aprecian los objetivos estrategicos y la vision de la arquitectura empresarial

5. Coordinar durante la planificación de nuevas iniciativas de TI para asegurar la integración

Decisiones claves acordadas

Estado de las quejas y del escalado

Peticiones de servicio e incidentes

cerrados

Estado de las peticiones cumplidas e

informe de tendencias

Estado de los incidentes


Identificar oportunidades, riesgos y

limitaciones de TI para mejorar la red.

Identificar oportunidades potenciales para

que la TI sea catalizadora de la mejora del

rendimiento empresarial


Identificar lagunas en servicios TI para

el negocio

Planes de acción, mejora y remedio

Informes de rendimiento del nivel de

servicio

Causas raíz de los fallos en la entrega

de calidad

Acuerdo en los siguientes pasos y

planes de acción

107

Actividades

1. Llevar a cabo análisis de satisfacción de clientes y proveedores. Asegurar que se actúa sobre las cuestiones detectadas y

que se reportan los resultados y estados

2. Trabajar continuamente para identificar, comunicar e implementar iniciativas de mejora3. Trabajar con la gestión del servicio y los propietarios de los procesos para asegurar que los servicios basados en TI y la

gestión de los procesos del servicio son mejorados continuamente y las causas raiz de cualquier incidente son identificadas

y resueltas

Proveer datos de entrada para la mejora

continua de los servicios.

Mejorar y evolucionar continuamente los

servicios basados en TI y la entrega del

servicio a la red para alinearlos con los

requisitos corporativos y tecnologicos

cambiantes


Mediciones de éxito y resultados

Plan de mantienimiento

Resultados de la monitorización de la

calidad y entrega del servicio y

soluciones

Actividades1. Coordinar y comunicar cambios y actividades de transición tales como proyectos, planes de cambio, planificaciones,

políticas de lanzamiento, errores conocidos y concientización sobre la información

2. Coordinar y comunicar actividades operativas, roles y responsabilidades, incluyendo la definición de los tipos de petición,

escalado jerárquico, periodos de interrupción significativos y contenido y frecuencia de los informes de servicio

4. Mantener un plan de comunicación extremo a extremo que defina el contenido, frecuencia y destinatarios de la

información y entrega del servicio, incluyendo el estado de valor entregado y los riesgos identificados


3. Tomar consideración de la reacción del la Red ante eventos que puedan influenciar en una relación con el mismo.

Proporcionar soporte directo si fuera necesario

Plan de soporte adicional

Definición de proyectos de mejora

potencial

Análisis de satisfacción

Resultados de revisiones y auditorias

de calidad

Catálogo de servicios

Resultados de calidad del servicio

Requisitos del cliente para la gestión

de calidad

Coordinar y comunicar.

Trabajar con las partes interesadas y coordinar

de extremo a extremo la entrega de los

servicios TI y las soluciones proporcionadas a

la red


Comunicación del conocimiento

adquiridoRespuestas a los clientes


Plan de uso y operación


Comunicaciones delos tiempos de

mantenimiento

Comunicación del impacto de riesgo

Acuerdos de nivel de servicio

Plan de comunicación

Paquetes de comunicación

108

Matriz RACI:

R R C

Proveer datos de

entrada para la

mejora continua de

lso servicios

C C A R R R R

R R

Coordinar y

comunicar R R A R R R R

R RGestionar las

relaciones con la

redC R A R R R R

R R C

Identificar

oportunidades,

riesgos y

limitaciones de TI

I I A R R R R

R R CEntender las

expectativas de la

red

C C A R R R R

Líd

er d

e se

rvic

ios

acad

émic

os

Líd

er d

e se

rvic

ios

de

con

ecti

vid

adEn

carg

ado

de

Cal

idadPráctica clave

de Gobierno

Dir

ecto

r d

e la

Red

Co

ord

inad

or

de

la

Red

Lid

er e

n g

esti

ón

de

pro

yect

os

Líd

er t

écn

ico

Líd

er d

e TI

Líd

er e

n

soci

aliz

ació

n y

div

ulg

ació

n

Líd

er d

e se

rvic

ios

mu

ltim

edia

Líd

er e

n

inge

nie

ría

de

soft

war

e

109

APO07: Gestionar los acuerdos de servicio

Proceso COBIT: APO07 Gestionar los acuerdos de servicio Area: Gestión


Descripción del proceso: Alinear los servicios basados en TI y los niveles de servicios con las necesidades y expectativas de la

Red, incluyendo identificación, especificación, diseño, publicación, acuerdo y supervisión de los servicios TI, niveles de

servicio e indicadores de desempeño.

Declaración del propósito del proceso: Asegurar que los servicios TI y los niveles de servicio cubren las necesidades

presentes y futuras de RITA




requisitos

1. Numero de interrupciones de la actividad de la red debido a incidentes

relacionados con TI

Disponibilidad de información útil y relevante

para la toma de decisiones

1. Nivel de satisfacción del usuario con la calidad y disponibilidad de la

información gestionada

2. Numero de incidentes causados por no disponibilidad de la información

Los acuerdos de servicio reflejan las

capacidades y necesidades de la TI


servicios



La estructura organizacional y las relaciones de

TI de la Red son flexibles y dan respuesta ágil.



RITA puede usar de modo efectivo los

servicios TI tal como se han definido en el

catálogo.


riesgo


Identificar servicios TI.

Analizar los reuisitos de la operación de la Red

y el modo en que los servicios TI y los niveles

de servicio soportan los procesos de la Red.

Discutir y acordar servicios potenciales y

niveles de servicio y compararlos con la

cartera actual para identificar servicios nuevos

o modificarlos, u opciones de nivel de

servicio.


Identificar servicios de TI en la Red

Actividades



Carencias identificadas de los

servicios TI de cara al impacto del

servicio de la Red.

Definición de servicios estándar.

1. Valorar los servicios de TI actuales y los niveles de servicio para identificar lagunas entre los servicios existentes y los

procesos de negocio de los que son base. Identificar áreas de mejora de los servicios existentes y de las opciones de nivel

de servicio.

2. Analizar, estudiar y estimar la futura demanda y confirmar la capacidad de los servicios TI existentes.

3. Analizar las actividades de los servicios de la Red para identificar la necesidad de servicios TI nuevos o rediseñados.

6. Revisar el catálogo de servicios TI regularmente con la gestión del catálogo y la gestión de relaciones para identificar

servicios obsoletos. Acordar la retirada de los mismos y proponer cambios.

4. Comparar los requisitos identificados con los componentes del servicio existentes en el catálogo. Si es posible, agrupar

los componentes del servicio existentes en nuevos paquetes para cumplir con los requisitos identificados.

5. Siempre que sea posible, relacionar demanda con paquetes de servicio y crear servicios estandarizados para obtener una

eficiencia global.

110


Actividades

1. Publicar los servicios TI, paquetes de servicio y opciones de nivel de servicios activos de la cartera de servicios en los

catálogos.

2. Asegurar de forma continua que los componentes de servicio en el portafolio y en los catálogos de servicio relacionados

están completos y actualizados.

3. Informar al lider en socialización y divulgación las actualizaciones en el catálogo de servicio.

Catalogar servicios basados en TI.

Definir y mantener uno o más catálogos de

servicios para grupos de usuarios objetivo.

Publicar y mantener los servicios TI activos en

los catálogos.



Comunicación de estrategias de

gestión de recursos

Carteras actualizadas de programas,

servicios y activos.

Catálogos de servicio

Definir y preparar acuerdos de servicio.

Definir y preparar los acuerdos de servicio

basándose en las opciones de los catálogos de

servicio. Incluir acuerdos de nivel de

operaciones interno.


Requisitos del cliente para la gestión

de la calidad.


Acuerdos de nivel de servicio (ANS)

Acuerdos de nivel operativos (OLA)


Planes de acción de mejora y

remedio.

Actividades

1. Analizar los requisitos para acuerdos de servicio nuevos o modificados recibidos desde la gestión de las relaciones con la

Red para asegurar que los requisitos puedan ser emparejados con los niveles de servicio. Considerar aspectos tales como

tiempos de servicio, disponibilidad, rendimiento, capacidad, seguridad, continuidad, cumplimiento normativo y regulatorio,

usabilidad y limitaciones de la demanda.

2. Esbozar borradores de acuerdos a nivel de servicios con el usuario basados en los servicios, paquetes de servicios y

opciones de nivel de servicio en los catálogos de servicio.

3. Determinar, acordar y documentar los acuerdos operativos internos para cimentar los acuerdos de servicio con usuarios,

siempre que sea posible.

Supervisar e informar de los niveles de

servicio.

Supervisar los niveles de servicio, informar de

las mejoras e identificar tendencias.

Proporcionar información de gestión

adecuada para ayudar a la gestión del

rendimiento.


Acciones de remediación para tratar

desviaciones en la gestión de

recursos.

Informes de rendimiento del nivel de

servicio.

Informes de rendimiento de la cartera

de inversiones.

1. Acciones correctivas para la mejora

del impacto realizado.

2. Resultados impactados y

comunicaciones relacionadas.

Análisis de satisfacción.

Resultados de revisiones y auditorías

de calidad.

Actividades

1. Establecer y mantener medidas para supervisar y recolectar datos del nivel de servicio.

2. Evaluar el rendimiento y proporcionar informes regular y formalmente sobre el rendimiento del acuerdo de servicio,

incluyendo desviaciones con respecto a los valores acordados.

3. Hacer revisiones regulares para anticipar e identificar tendencias en el rendimiento del nivel de servicio.

1. Causas raíz de fallos en calidad de la

entrega.

2. Resultados del monitoreo de la

calidad de la entrega del servicio o

solución.

Incidentes y peticiones de servicios

priorizados y clasificados.

Incidentes y peticiones de servicios

cerrados.

1. Informe del estado del

cumplimiento de peticiones y

tendencias.

4. Acordar planes de acción y remedio para los incidentes del rendimiento o tendencias negativas del mismo.

111

Matriz RACI:

Actividades

1. Revisar los términos de los acuerdos de servicio regularmente para asegurar que son efectivos y actuales y que los

cambios en los requisitos, servicios TI, paquetes de servicios u opciones de nivel de servicio se tienen en cuenta cuando sea

apropiado.


Revisar acuerdos de servicio y contratos.

Llevar a cabo revisiones periódicas de los

acuerdos de servicio y revisarlos cuando sea

necesario.


Opinión sobre la ubicación y

efectividad de recursos y

capacidades.

Resultados de revisiones y auditorías

de calidad.

ANS Actualizados.

Evaluaciones respecto a los ANS

Resultados de calidad del servicio,

incluyendo la opinión del usuario.

Práctica clave

de Gobierno

Dir

ecto

r d

e la

Red

Co

ord

inad

or

de

la

Red

Lid

er e

n g

esti

ón

de

pro

yect

os

Líd

er t

écn

ico

Líd

er d

e TI

Líd

er e

n s

oci

aliz

ació

n

y d

ivu

lgac

ión

Líd

er d

e se

rvic

ios

mu

ltim

edia

Líd

er e

n in

gen

ierí

a

de

soft

war

eLí

der

de

serv

icio

s

acad

émic

os

Líd

er d

e se

rvic

ios

de

con

ecti

vid

ad

Enca

rgad

o d

e

Cal

idad

Identificar servicios

TI.C R R R R R R R R R I

Catalogar servicios

basados en TI. I I R I I I I I I

Definir y preparar

acuerdos de

servicio.R R R C C C C C C C C

Supervisar e

informar de los

niveles de servicio.I I I R R R R R R R

Revisar acuerdos

de servicio y

contratos.A A A C R C C C C C C

112

APO08: Gestionar la calidad








requisitos


relacionados con TI

Proceso COBIT: APO08 Gestionar la calidad Area: Gestión


Descripción del proceso: Definir y comunicar lso requisitos de calidad en todos los procesos, procedimientos y resultados

relacionados de la red, incluyendo controles, vigilancia constante y el uso de Prácticas probadas y estandares de mejora

continua y eficiencia

Declaración del propósito del proceso: Asegurar la entrega consistente de soluciones y servicios que cumplan con los

requisitos de la red y que satisfagan las necesidades de las partes interesadas


Los resultados de los proyectos y de los

servicios entregados son predecibes

1. Nivel de satisfacción del usuario


Los requisitos de calidad estan

implementados en todos los procesos


servicios









Las partes interesadas estan satisfechas con la

calidad de los servicios y las soluciones


capacidades TI.


en TI

113



1. Asegurar que el marco de control de TI, el negocio y los procesos de TI incluyen un enfoque estandar, formal y continuo de

gestion de la calidad que este alineado con los requerimientos de la red. Dentro del marco de control de TI y de los servicios,

identificar los requisitos y criterios de calidad

2. Definir roles, tareas, capacidades de decisión y responsabilidades para la gestión de la calidad dentro de la estructura

organizativa

4. Supervisar y medir la eficacia y aceptación de la gestion de la calidad y mejorarla cuando sea necesario

5. Alinear la gestión de la calidad TI con la gestión de la calidad a nivel de la Red fomentando un enfoque estandarizado y

continuo

6. Obtener los inputs necesarios de las partes interesadas internas y externas para la definición de los requisitos y criterios

de aceptación de la calidad

7. Comunicar de manera eficaz el enfoque

3. Definir planes de gestión de la calidad para los procesos, proyectos u objetivos importantes, que esten alineados con los

criterios y politicas del sistema de calidad a nivel corporativo. Registrar los datos relacionados con la calidad.

Establecer un sistema de gestion de la calidad.

Establecer y mantener un SGC que

porporcione una aproximación a la gestión de

la calidad para la información, la tecnología y

los procesos de la red que sea continua,

estandarizada, formal y que esté alineada con

los requerimientos y con la gestión de la

calidad a nivel corporativo


SGC

Actividades

Roles, responsabilidades y gestion de

SGC

Resultados de las revisiones de

eficacia de SGC

Planes de gestion de la calidad

Certificaciones de la calidad

disponibles

8. Revisar periodicamente la relevancia, eficiencia y eficacia de los procesos especificos de gestión de calidad. Supervisar el

cumplimiento de los objetivos de calidad


Definir y estionar estandares, procesos y

Prácticas de calidad.

Identificar y mantener los requisitos, normas,

procedimientos y Prácticas de los procesos

clave para orientar a la red en el cumplimiento

del SGC. Esto debería estar en consonancia con

los requisitos del marco de control TI.

Considerar la posibilidad de certificar los

procesos, las unidades de la organizacion y los

servicios clave


Revisiones de la calidad aprobadas

Estándares de gestión de la calidad

Actividades

1. Definir las normas, procedimientos y Prácticas de gestion de la calidad en consonancia con los requisitos del marco de

control de TI. Hacer uso de otras redes académicas para mejorar y adaptar los procesos de gestion de calidad

2. Considerar los beneficios de las certificaciones de calidad

114


Enfocar la gestión de la calidad en los

usuarios.

Enfocar la gestión de la calidad en los

usuarios, mediante la determinacion de sus

necesidades y asegurar el alineamiento con

las Prácticas de gestión de calidad


Supervisar y hacer controles y revisión de la

calidad.

Supervisar la calidad de los servicios de forma

permanente como defina el SGC. Definir,

planificar y aplicar nuevas medidas para

supervisar la satisfacción del cliente con la

calidad , así como el valor que proporciona el

SGC. La información recogida debería ser

utilizada por los propietarios de los procesos

para mejorar la calidad.

3. Comunicar los requisitos y expectativas del usuario por toda la organización de la red y de TI

5. Supervisar regularmente que el SGC está de acuerdo a los criterios de aceptación de la calidad. Incluir los comentarios de

los usuarios y la dirección. Responder a las discrepancias en los resultados de las revisiones para lograr una mejora continua

en SGC

6. Capturar los criterios de aceptación de la calidad para su inclusión en los ANS


4. Obtener periódicamente los puntos de vista del usuario sobre los servicios y la entrega de soluciones TI, para determinar

el impacto sobre las normas y Prácticas de TI y garantizar que se cumplen las expectativas de los usuarios y se actua en

consecuencia

Revisión de los resultados de la

calidad de los servicios, incluyendo la

opinión de los usuarios

Actividades

1. Enfocar la gestión de la calidad en los usuarios, mediante al determinación de los requisitos de los usuarios externos e

internos asegurando su alineamiento con las normas y Prácticas de TI. Definir y comunicar los roles y responsabilidades

relativos a la resolucion deconflictos entre usuarios y la organización TI.

2. Gestionar las necesidades y las expectativas de la Red para cada proceso de la misma, servicio operativo y nuevas

soluciones de TI y mantener sus criterios de aceptación de la calidad. Capturar los criterios de aceptación de la calidad para

su inclusion en los ANS

Requisitos de calidad de la red y de

los usuarios

Requisitos de los clientes para la

gestión de calidad

Criterios de aceptación

Resultados de las revisiones de

calidad, excepciones y correcciones

Plan de aseguramiento de la calidad

Estado de solicitudes de cambio e

informes de tendencias

Situación de los incidentes e informes

de tendencias

Resultados de las revisiones y

auditorías de calidad

Metas y métricas del proceso de

calidad de los servicios


Actividades

1. Supervisar la calidad de los procesos y servicios de forma permanente y sistemática mediante la descripción, las métricas,

los análisis, la mejora, y controles de procesos

2. Preparar y llevar a cabo revisiones de calidad

6. Asegurar que la dirección y los propietarios de los procesos revisan periódicamente el rendimiento de la gestión respecto

a las métricas de calidad definidas.

4. Supervisar la calidad de los procesos, así como el beneficio proporcionado por la calidad. Asegurar que la medición,

supervisión y registro de la información utilizada por los propietarios de los procesos para tomar las acciones correctivas y

preventivas necesarias

5. Supervisar las métricas de calidad basadas en objetivos alineadas con los objetivos generales de calidad y cubriendo la

calidad de todos los servicios y los proyectos individuales

3. Informar de los resultados de las revisiones y poner en marcha las mejoras necesarias

7. Analizar los resultados del rendimiento de la gestión de la calidad global

115

Entradas Salidas

Integrar la gestion de la calidad en la

implementación de soluciones y la entrega de

servicios.

Incorporar las Prácticas pertinentes de gestión

de calidad en la definición, supervisión,

notificación y gestión continua del desarrollo

de soluciones y los servicios ofrecidos


Resultados de la supervisión de la

calidad de los servicios y soluciones

entregadas

Práctica de Gobierno

1. Mantener y comunicar regularmente la necesidad y los beneficios de la mejora continua

6. Proporcionar a los empleados la formación necesaria en los métodos y herramientas de mejora continua

7. Realizar un análisis comparativo con los resultados de las revisiones de calidad internas frente a datos historicos, las

directrices de la industria, las normas y datos de tipo similar en otras empresas

Integrar la gestion de la calidad en la

implementación de soluciones y la

entrega de servicios

Portafolio de servicios

Ejemplos de las mejores Prácticas

para ser compartidos

Resultados de revisiones de analisis

comparativos de la calidad

2. Establecer una plataforma para compratir las mejores Prácticas y para capturar la información sobre los defectos y errores

que permita aprender de ellos

Actividades


Mantener una mejora continua.

Mantener y comunicar regularmente un plan

de la calidad global que promueva la mejora

continua. Esto deberia incluir la necesidad y

los beneficios de una mejora continua.

Recoger y analizar datos sobre el SGC y

mejorar su eficacia. Promover una cultura de

mejora continua de la calidad


Comunicaciones sobre las mejores

Prácticas y la mejora continua

Actividades

1. Integrar las Prácticas de gestion de la calidad en los procesos y Prácticas de desarrollo de soluciones

2. Supervisar de manera continua los niveles de servicio e incorporar Prácticas de gestión de la calidad en todos los procesos

y Prácticas de prestacion de servicios

3. Identificar y documentar las causas raíz de las no conformidades y comunicar los resultados de dirección de las TI y otras

partes interesadas de manera oportuna para permitir que se adopten las medidas correctivas oportunas. Cuando sea

necesario, realizar el seguimiento de las revisiones

Causas raíz de los fallos en la calidad

de la entrega

3. Identificar ejemplos recurrentes de inconformidades en calidad, determinar su causa raiz y evaluar su impacto y resultado

4. Promover una cultura de calidad y mejora continua

5. Establecer un circulo de retroalimentación entre la gestion de la calidad y la gestion de problemas

116

Matriz RACI:

Integrar la gestion

de la calidad en la

implementacion de

soluciones y

servicios

C A R R R R R R

R CEstablecer un

sistema de gestión

de la calidadC C I R I

Líd

er e

n

soci

aliz

ació

n y

div

ulg

ació

n

Líd

er d

e se

rvic

ios

mu

ltim

edia

Líd

er e

n in

gen

ierí

a

de

soft

war

e

Líd

er d

e se

rvic

ios

acad

émic

os

Líd

er d

e se

rvic

ios

de

con

ecti

vid

ad

Enca

rgad

o d

e

Cal

idadPráctica clave

de Gobierno

Dir

ecto

r d

e la

Red

Co

ord

inad

or

de

la

Red

Lid

er e

n g

esti

ón

de

pro

yect

os

Líd

e té

cnic

o

Líd

er d

e TI

R R R R

R R R R R CDefinir y gestionar

estandares, C C A R

R CEnfocar la gestión

de la calidad en los A R I R R R R

R CMantener una

mejora continua C A R

R R R R R C

Supervisar y hacer

controles y

revisiones de

calidad

C R A C

R R R R

117

APO09: Gestionar la seguridad

Proceso COBIT: APO09 Gestionar la seguridad Area: Gestiòn


Descripción del proceso: Definir, operar y supervisar un sistema para la gestión de la seguridad de la información

Declaración del propósito del proceso: Mantener el impacto y ocurrencia de los incidentes de la seguridad de la información

dentro de los niveles de apetito de riesgo de la red









Está en marcha un sistema que considera y

trata efectivamente los requerimientos de

seguridad de l ainformación de la empresa


interrupción de los servicios o vergüenza pùblica

2. Tiempo de concesión, cambio y eliminación de privilegios de acceso


Cumplimiento y soporte de TI al cumplimiento

de las leyes y regulaciones externas

1. Número de servicios relacionados con TI en los que se presentó

incumplimiento de leyes y regulaciones externas

Seguridad de la información, infraestructuras

de procesamiento y aplicaciones


interrupción de los servicios o vergüenza pùblica

2. Tiempo de concesion, cambio y eliminacion de privilegios de acceso

Se ha establecido, aceptado y comunicado por

toda la red un plan de seguridad



2. Número de incidentes causados por no disponibilidad de la información

Los soluciones de seguridad de la informacion

estan implementadas y operadas de forma

consistente en toda la empresa


servicios


con las TI


riesgo




118

Establecer y mantener un SGSI.

Establecer y mantener un SGSI que

proporcione un enfoque estándar, formal y

continuo a la gestión para la seguridad de la

información, tecnologia y procesos de la red

que este alineado con los requerimientos y la

gestión de la seguridad


Enfoque de seguridad de la empresa

Politica de SGSI



Propuestas de proyectos para reducir

el riesgo

7. Comunicar el enfoque de SGSI


Actividades

1. Definir el alcance y los limites del SGSI en terminos de las caracteristicas de la empresa, la organización, su localizacion,

activos y tecnologia. Incluir detalles de y justificacion para cualquier exclusion del alcance.

2. Definir un SGSI de acuerdo con la política y alineada con la red, la organización, su localización, activos y tecnología

3. Alinear el SGSI con el enfoque global de la gestión de la seguridad de la red

4. Obtener autorización de la dirección para implementar y operar o cambiar el SGSI

5. Preparar y mantener una declaración de aplicabilidad que describa el alcance del SGSI

6. Recomendar programas de formación y concientización de seguridad de la información

Declaración del alcance de SGSI

6. Definir y comunicar los roles y las responsabilidades de la gestión de la seguridad de la información

Diferencias y cambios necesarios para

alcanzar al capacidad del objetivo

Plan de tratamiento de riesgos de

seguridad de la informacion

Descripciones de dominios de partida

Actividades

1. Formular y mantener un plan de tratamiento de riesgos de seguridad de la información alineado con los objetivos

estratégicos. Asegurar que el plan identifica las Prácticas de gestion y las soluciones de seguridad apropiadas y óptimas, con

los recursos, las responsabilidades y las prioridades asociadas para gestionar los riesgos identificados de seguridad de

información

7. Integrar la planificación, el diseño, la implementación y al supervisión de procedimientos de seguridad de información y

otros controles que permitan la prevención y detección temprana de eventos de seguridad, asi como la respuesta a

incidentes de seguridad

2. Mantener un inventario de componentes de la solución implementados para gestionar los riesgos relacionados con la

seguridad como parte de la red

3. Desarrollar propuestas para implementar el plan de tratamiento de riesgos de seguridad de la información

4. Proporcionar información para el diseño y desarrollo de Prácticas de gestión y soluciones seleccionadas en base al plan de

tratamiento de riesgos de seguridad de la información

5. Definir la forma de medición de la efectividad de las Prácticas de gestion seleccionadas y especificar la forma de utilizar

estas mediciones para evaluar la efectividad y producir resultados reproducibles y comparables

Definir y gestionar un plan de tratamiento del

riesgo de seguridad de la información.

Mantener un plan de seguridad de la

información que describa cómo se gestionan y

alinean los riesgos de seguridad de la

información con la estrategia de la red.

Asegurar que las recomendaciones para

implementar las mejoras en seguridad se

basan en casos aprobados, se implementan

como parte integral del desarrollo soluciones

y servicios que se operan, después, como

parte integral de las operaciones de la red


Casos de seguridad de la informacion

119

Matriz RACI:

Actividades

1. Realizar revisiones periodicas del SGSI, incluyendo aspectos de políticas, objetivos y Prácticas del SGSI. Considerar los

resultados de auditorias de seguridad, incidentes, resultados de mediciones de efectividad, sugerencias y retroalimentación

de todas las partes interesadas

2. Realizar auditorías internas al SGSI a intervalos planificados

3. Realizar revisiones periodicas al SGSI por la dirección para asegurar que el alcance sigue siendo adecuado y que se han

identificado mejoras en el proceso de SGSI4. Proporcionar información para el mantenimiento de los planes de seguridad para que consideren las incidencias de las

actividades de supervisión y revisión periódica

5. Registrar las acciones y los eventos que podrian tener un impacto en la efectividad o el desempeño del SGSI

Supervisar y revisar el SGSI.

Mantener y comunicar regularmente la

necesidad y los beneficios de la mejora

continua de la seguridad de la información.

Recolectar y analizar datos sobre el SGSI y la

mejora de su efectividad. Corregir las no

conformidades para prevenir recurrencias.

Promover una cultura de seguridad y de

mejora continua


Recomendaciones para mejorar el

SGSI

Incidentes clasificados y priorizados y

requerimientos de servicios

Informes de auditoria del SGSI


Establecer y

mantener un SGSIC C I R I

Práctica clave

de Gobierno

Dir

ecto

r d

e la

Red

Co

ord

inad

or

de

la

Red

Lid

er e

n g

esti

ón

de

pro

yect

os

Líd

er t

écn

ico

Líd

er d

e TI

I I I I I C

Líd

er e

n

inge

nie

ría

de

soft

war

eLí

der

de

serv

icio

s

acad

émic

os

Líd

er d

e se

rvic

ios

de

con

ecti

vid

ad

Enca

rgad

o d

e

Cal

idad

Líd

er e

n

soci

aliz

ació

n y

div

ulg

ació

n

Líd

er d

e se

rvic

ios

mu

ltim

edia

C C C C C C

Definir y gestionar

un plan de

tratamiento del

riesgo de la

seguridad de la

información

C C I R C

R R R R R CSupervisar y revisar

el SGSIC R R

120

BAI01: Gestionar los proyectos

Los beneficios esperados de los proyectos son

obtenidos y aceptados

1. Porcentaje de servicios que cumplieron las expectativas de los

usuarios

2. Porcentaje de servicios de TI que generaron el impacto

esperado

Beneficio del impacto del portafolio de servicios

relacionado con las TI

1. Porcentaje de proyectos de Ti en los que el impacto es

monitoreado a traves de todo su ciclo de vida

2. Porcentaje de servicios de TI que generaron el impacto


requisitos

1. Número de interrupciones de la actividad de la red debido a

incidentes relacionados con TI



Las partes interesadas relevantes están

comprometidas con los programas y proyectos

1. Numero de veces que TI esta en la agenda de la mesa directiva

de manera proactiva

2. Número de nuevas ideas aplicadas a la prestación de los

servicios

El alcance y los resultados de los proyectos son

viables y están alineados con los objetivos

1. Porcentaje de interesados que comprenden las politicas

internas

Los planes de proyectos tienen probabilidades de

lograr los resultados esperados1. Porcentaje de servicios que tuvieron impacto en investigación

Las actividades de los proyectos se ejecutan de

acuerdo a los planes

1. Porcentaje de servicios que fueron aprobados

2. Tiempo promedio para acordar y aprobar un objetivo

estratégico de RITA

Gestión de riesgos del servicio relacionados con las

TI

1. Porcentaje de servicios relacionados con TI que tienen

evaluación del riesgo

2. Número de incidentes significativos relacionados con TI que

no fueron identificados en la evaluación


Proceso COBIT: BAI01 Gestionar los proyectos Area: Gestión

Dominio: Construir, adquirir e implementar

Descripción del proceso: Gesionar todos los proyectos del portafolio de servicios de forma coordinada y en línea con

la estratégia de la Red. Iniciar, planificar, controlar y ejecutar programas y proyectos y cerrarlos con una revisión post-

implementación.

Declaración del propósito del proceso: Alcanzar los beneficios y reducir el riesgo de retrasos y costes inesperados y

el deterioro del valor, mediante la mejora de las comunicacionesy la involucración de los usuarios finales y de la

Red, asegurando el valor y la calidad de los entregables del proyecto, maximizando su contribución al portafolio de

servicios.




1. Porcentaje de obejtivos corporativos y requerimientos

sustentados por

objetivos de TI

121

2. Mantener el plan del proyecto y cualquier plan dependiente para asegurar que están actualizados y reflejan su

progreso real y los cambios materiales aprobados.

3. Asegurar que existe una comunicación efectiva de los planes del proyecto y los informes de progreso dentro de

todos los proyectos y dentro del programa general.

4. Determinar actividades, interdependencias, colaboración necesaria y comunicación dentro de los múltiples

proyectos en el programa

5. Establecer un marco base de proyecto que es debidamente revisado, aprobado e incorporado en el plan de

proyectos integrado.

Salidas

Linea de referencia del

proyecto

Actividades

1. Desarrollar un plan de proyecto que provea información que permita a la dirección controlar el progreso del

proyecto progresivamente, el plan debería incluir detalles de los entregables del proyecto y criterios de aceptación,

recursos, responsabilidades, estructuras claras de división de trabajo y paquetes de tareas, estimación de recursos,

planes de lanzamiento, dependencias claves y definición de la ruta crítica.

1. Requisitos de gobierno de la

arquitectura

2. Descripciones en fase de valor

Portafolios de programas, servicios y

activos actualizados

riesgo de entrega el proveedor

indicado

Enfoques actualizados de

gestión de proyectos

Informes y

comunicaciones del

proyecto

Planificar proyectos

Establecer y mantener un programa de proyectos

formal, aprobado e integrado, para guiar la

ejecución del proyecto y controlarlo durante su

vida. El alcance del proyecto deberá estar

claramente definido y vinculado a la construcción y

aumento de la capacidad de la Red.

Planes del proyecto


Pactica de Gestión Entradas

Actividades

1. Mantener y reforzar un programa estándar de la gestión de proyectos alineado al entorno específico de la Red

basado en buenas prácticas y uso de la tecnología apropiada. Asegurar que el enfoque cubra todo el estilo de vida,

incluyendo gestión de alcance, recursos, costes, tiempo, calidad, comunicaciones, adquisiciones, control de

cambios, integración y generación de beneficios

2. Actualizar el enfoque de gestión de proyectos sobre la base de las lecciones aprendidas en su uso

Plan aprobado de aceptación de

pruebas


Pactica de Gestión Entradas Salidas

Mantener un enfoque estándar para la gestión de

proyectos

Mantener un enfoque estándar que posibilite

revisiones y tomas de decisión de gobierno y de

gestión enfocadas en consecución de valor y de

objetivos para la Red de una forma consistente


Requisitos para revisiones de cambio

de estado

Acciones para mejorar la entrega de

valor

122

7. Identificar las diferencias con el plan del proyecto y dar retroalimentación al jefe de proyecto para su solución.

6. Obtener la aprobación y firma documentada de los entregables producidos en cada iteración, lanzamiento o fase

del proyecto de los gestores y usuarios designados que afectan las funciones del negocio y las TI.

9. Establecer y operar un sistema de control de cambios para el proyecto de modo que todos los cambios de la línea

de referencia sean adecuadamente revisados, aprobados e incorporados en el plan del proyecto con su marco de

gobierno.

8. Evaluar el proyecto en los cambios de fase, versiones o iteraciones más importantes acordados y tomar la decisión

de parar o continuar de acuerdo con criterios de éxito predefinidos.

Descripción

Supervisar y controlar proyectos

Informes de avance del

proyectoSupervisar y controlar proyectos.

Medir el desempeño del proyecto versus sus

criterios claves de rendimiento, tales como

planificación, calidad, el coste y los riesgos. Evaluar

el impacto de las desvaciones en el proyecto e

informar a las partes interesadas clave.


Descripción

6. Identificar y autorizar la ejecución del trabajo de acuerdo al plan del proyecto.

Gestionar los recursos y los paquetes de trabajo de

gobierno.

Gestionar los paquetes de trabajo mediante

requerimientos formales de autorización y

aceptación de los paquetes de trabajo, y asignando

y coordinando los recursos del la Red y TI

adecuados.

Gestionar los recursos y los paquetes

de trabajo


Requerimientos de

recursos del proyecto

Roles y

responsabilidades del

proyecto

Diferencias en la

planificación del

proyecto


Actividades

1. Establecer y usar un conjunto de criterios de proyectos que incluyan, pero no limitados a: alcance, planificación,

calidad, coste y nivel de riesgo

2. Medir el rendimiento del proyecto versus criterios clave de rendimiento. Analizar las desviaciones de criterios de

desempeño claves por su causa y evaluar los efectos positivos y negativos en los proyectos que lo componen.

3. Notificar el progreso del proyecto dentro del programa, las desviaciones de los criterios claves de desmpeño

establecidos y los efectos positivos y negativos en los proyectos que los componen a las partes interesadas claves.

4. Supervisar los criterios claves de desempeño del proyecto para determinar si estos representan medidas claves

del avance.

5. Recomendar y supervisar las acciones correctivas, cuando sean requeridas, en linea con el marco de gobierno del

proyecto.

7. Basar el proceso de aprobación en criterios de aceptación definidos y acordados con las partes interesadas antes

de que comience el trabajo sobre el entregable de la fase o la iteración.

Cambios acordados al

proyecto

Actividades

1. Identificar las necesidades de recursos de la Red y TI para el proyecto y mapear claramente los perfiles y

responsabilidades que han sido claramente acordadas y entendidas.

2. Identificar los requerimientos de habilidades y tiempo para todos los individuos involucrados en las fases del

proyecto con relación a sus perfiles definidos.

3. Utilizar un gestor de proyecto experimentado y un líder de equipo con las habilidades apropiadas al tamaño,

complejidad y riesgo del proyecto

4. Considerar y definir los roles de otras partes involucradas.5. Definir y acordar las responsabilidades sobre la compra y gestión de productos y servicios de terceras partes, así

como la gestión de las relaciones

123

Matriz RACI:


5. Obtenga la aceptación de los entregables y la transferencia de propiedad del proyecto de las partes interesadas.


Actividades

1. Definir y aplicar los pasos clave para el cierre del proyecto, incluyendo revisiones post-implementación que

evalúen si el proyecto obtuvo los resultados y beneficios esperados.

2. Planificar y ejecutar revisiones post-implementación para identificar si los proyectos entregaron el beneficio

esperado y así mejorar la metodología de gestión de proyectos.

3. Identificar, asignar y rastrear y comunicar las actividades incompletas necesarias para lograr los resultados y

beneficios planeados del programa de proyecto.

Cerrar un proyecto o iteración.

Solicitar a las partes interesadas del proyecto, al

final de cada proyecto, versión o iteración, que

evalúen si el proyecto, fase o iteración entregaron

los resultados y beneficios planeados. Identificar y

comunicar cualquier actividad pendiente necesaria

para lograr los resultados y beneficios del

proyecto. Identificar y documentar las lecciones

aprendidas para futuros proyectos.

4. Recolectar las lecciones aprendidas de los participantes del proyecto regularmente y hasta la finalización del

proyecto. Analice datos y haga recomendaciones para mejorar los proyectos actuales así como el método de gestión

para proyectos futuros.

1. Plan de acciones de remediación

2. Informe de revisión post-

implementación

Resultados de la revisión

post-implementación

Lecciones aprendidas del

proyecto

Confirmaciones de

aceptación de las partes

interesadas del proyecto

Practica clave

de Gobierno

Dir

ecto

r d

e la

Red

Co

ord

inad

or

de

la

Red

Lid

er e

n g

esti

ón

de

pro

yect

os

Líd

e té

cnic

o

Líd

er d

e TI

Líd

er e

n

soci

aliz

ació

n y

div

ulg

ació

nLí

der

de

serv

icio

s

mu

ltim

edia

Líd

er e

n in

gen

ierí

a

de

soft

war

e

Líd

er d

e se

rvic

ios

acad

émic

os

Líd

er d

e se

rvic

ios

de

con

ecti

vid

ad

Enca

rgad

o d

e

Cal

idad

Mantener un

enfoque estándar

para la gestión de

proyectos

A C R

Planificar

proyectosR C C C C C C C

Supervisar y

controlar proyectosI I I R R R R R

Gestionar los

recursos y los

paquetes de

trabajo de

gobierno

R R R R R R C

Cerrar un proyecto

o iteraciónR C C C C C

124

BAI02: Gestionar la dirección de requisitos


capacidades TI.

Proceso COBIT: BAI02 Gestionar la dirección de requisitos Area: Gestión

Dominio: Construir, Adquirir e Implementar

Descripción del proceso: identificar soluciones y analizar requerimientos antes de la adquisición o creación para asegurar

que esten en linea con los requerimientos estrategicos de la organización y que cubren los servicios actuales. Coordinar con

las partes interesadas afectadas la revisión de las opciones viables.

Declaración del propósito del proceso: Crear soluciones viables y optimas que cumplan con las necesidades de la red

mientras minimizan el riesgo


Las soluciones propuestas cumplen con los

objetivos y restricciones de la red


capacidades TI.



El riesgo asociado con los requerimientos ha

sido tomado en cuenta en la solución

propuesta


identificados en la evaluación de riesgo

Los requerimientos funcionales y tecnicos del

negocio reflejan las necesidades y

expectativas de la red

La solucion propuesta satisface los

requerimientos funcionales y tecnicos


en TI



RITA


objetivos de TI


servicios


requisitos


relacionados con TI

125

6. Confirmar la aceptación de aspectos clave de los requerimientos, incluyendo reglas de la red, controles de información,

cumplimiento legal, auditabilidad , ergonomia, operatividad y usabilidad, seguridad y soporte documental

Guia de desarrollo de la solucion

Catalogo de proveedores

Resultados de decision de las

evaluaciones


Informes de estudio y viabilidad

Plan de alto nivel de desarrollo

Guía de desarrollo de la soluciónModelo de arquitectura de la

información

Repositorios de definicion de

requermientos

Confirmacion de los criterios de

aceptación de las partes interesadas

2. Expresar los requerimientos de la empresa en terminos de cómo la diferencia entre las capacidades de la red existentes y

deseadas son tratadas y cómo cada rol interectuará con la solución y la utilizará

Realizar un estudio de viabilidad y proponer

soluciones alternativas.

Realizar un estudio de viabilidad de las

principales soluciones alternativas, evaluando

su viabilidad y seleccionando su opción

preferida. Si se considera, inplementar la

opción seleccionada como un piloto para

determinar las posibles mejoras


Actividades1. Definir e implementar la definición de requerimientos y el procedimiento de mantenimiento y un repositorio de

requisitos acorde al tamaño, complejidad, objetivos y riesgos de la iniciativa que la red considera

7. Hacer seguimiento y controlar el alcance, los requerimientos y los cambios a lo largo del ciclo de vida de la solución del

proyecto según evolucione la comprension de la solución

8. Considerar los requerimientos relativos a políticas y estándares, arquitectura, planes TI estratégicos y tácticos, procesos

de TI, requerimientos de seguridad, requerimientos regulatorios, competencias del personal, estructura organizativa y

tecnologías catalizadoras


3. Durante todo el proyecto, obtener, analizar y confirmar que los requerimientos de todas las partes interesadas,

incluyendo los criterios de aceptación relevantes, son considerados, obtenidos, priorizados y registrados de un modo

comprensible para las partes interesadas, patrocinadores de negocio y personal de la implementación técnica, reconociendo

qu elos requerimientos pueden cambiar y llegar a ser más detallados según se implementen

Actividades1. Definir y ejecutar un estudio de viabilidad, piloto o solución básica funcional que clara y concisamente describa las

soluciones alternativas que satisfacerán los requerimientos funcionales y de la red. Incluir una evaluación de su viabilidad

técnica y económica2. Identificar las acciones requeridas para la adquisición o desarrollo de la solución, basada en la arquitectura de la empresa

y tener en cuenta el alcance y limitaciones

3. Revisar las soluciones alternativas con todas las partes interesadas y seleccionar la más apropiada basada en criterios de

viabilidad, incluyendo riesgos

4. Traducir la linea de acción preferida a un plan de alto nivel de desarrollo identificando recursos a utilizar y fases que

requieran decisiones de continuar/no continuar



4. Especificar y priorizar la información, los requerimientos técnicos y funcionales basados en los requerimientos de las

partes interesadas. Incluir requerimientos de control de la información en los procesos de la red, procesos automatizados y

entornos de TI para hacer frente a los riesgos de la información y cumplimiento con regulaciones, leyes y contratos

comerciales

5. Validar todos los requerimientos mediante aproximaciones tales como revision por iguales, validacion del modelo o

prototipo operativo.

Definir y mantener los requerimientos

tecnicos y funcionales de la red.

Basándose en lo observado, identificar,

priorizar, especificar y acordar los

requerimientos de información de la Red,

funcionales, técnicos y de control que cubra el

alcance/entendimiento de todas las iniciativas

necesarias para alcanzar los resultados

esperados de la solución de TI propuesta


Procedimientos de integridad de

datos

Guias de control y seguridad de datos

Guias de clasificación de datos

Principios de arquitectura

Registros de las peticiones de cambio

de los requerimientos


126

Matriz RACI:

Actividades

1. Involucrar a las partes interesadas para crear una lista potencial de requerimientos técnicos, funcionales, de calidad y

riesgos relativos al procesamiento de la información

2. Analizar y priorizar los riesgos de los requerimientos conforme probabilidad e impacto. Si aplica, determiar los impactos

3. Identificar modos de controlar, evitar o mitigar los riesgos de los requerimientos en orden de prioridad


Obtener la aprobación de los requerimientos

y soluciones.

Coordinar la retroalimentación de las partes

interesadas afectadas y, en las fases clave

predeterminadas, obtener la aprobación y la

firma del patrocinador o propietario del

producto y cierre de los requerimientos

técnicos y funcionales, de los estudios de

viabilidad, de los análisis de riesgos y de las

soluciones recomendadas


Plan de gestión de calidad

Aprobaciones del patrocinador de los

requerimientos y soluciones

propuestas

Descripción

Riesgos de los requerimientos

Registro de riesgos de los

requerimientos

Acciones de mitigaciòn de riesgos


Aprobaciòn de las revisiones de

calidad

Actividades1. Asegurar que la dirección de la red toman la decision final con respecto a la elección de la solución y diseño de alto nivel.

Coordinar la realimentaciòn de las partes interesadas afectadas y obtener cierre por parte de las autoridades apropiadas,

tanto técnicas como estratégicas

2. Obtener revisiones de calidad completas y de cada fase clave del proyecto, iteración o version, comparando los resultados

con los criterios originales de aceptación. Disponer la firma de la dirección y otros interesados en cada revisión de calidad

Gestionar los riesgos de los requerimientos.

Identificar, documentar, priorizar, y mitigar los

riesgos funcionales y técnicos relativos a

procesamiento de la información y asociados

con los requerimientos de la red y la solución

propuesta

Descripción

Gestionar los

riesgos de los

requerimientosR R R R C C C C C C

C C C C C C

Obtener la

aprobación de los

requerimientos y

las soluciones

R R C C

C C C C C C

Realizar un estudio

de viabilidad y

proponer

soluciones

alternativas

R R C C

C C C C C C

Definir y mantener

los requerimientos

tecnologicos y

funcionales de la

red

I R C C

Líd

er e

n

soci

aliz

ació

n y

div

ulg

ació

n

Líd

er d

e se

rvic

ios

mu

ltim

edia

Líd

er e

n in

gen

ierí

a

de

soft

war

e

Líd

er d

e se

rvic

ios

acad

émic

os

Líd

er d

e se

rvic

ios

de

con

ecti

vid

ad

Enca

rgad

o d

e

Cal

idadPractica clave

de Gobierno

Dir

ecto

r d

e la

Red

Co

ord

inad

or

de

la

Red

Lid

er e

n g

esti

ón

de

pro

yect

os

Líd

e té

cnic

o

Líd

er d

e TI

127

BAI03: Gestionar la identificación y la construcción de soluciones

Las actividades de mantenimiento

cumplen con las necesidades

tecnológicas


2. Porcentaje de satisfacción del Usuario

Diseño de la solución incluyendo los

componentes relevantes, cumpliendo

las necesidades, alineándose con

estándares y tratando todos los

riesgos identificados


proactiva


3. Porcentaje de servicios relacionados con TI que tienen evaluación del riesgo





relacionados con TI

Proceso COBIT: BAI03 Gestionar la identificación y

la construcción de soluciones

Area: Gestión


Descripción del proceso: Establecer y mantener soluciones identificadas en línea con los requerimientos de la Red que

abarcan el diseño, desarrollo compras/contratación y asociación con proveedores/fabricantes. Gestionar la

configuración, preparación, realización de pruebas, gestion de requerimientos y mantenimiento de procesos,

apliacaciones, datos, e infraestructura.

Declaración del propósito del proceso: Establecer soluciones puntuales y rentables capaces de la estratégia de la Red y

sus objetivos operacionales.


Metas y metricas del proceso



Entrega de servicios de TI de acuerdo

a los requisitos


relacionados con TI

La solución es de una calidad

aceptable y ha sido probada

convenientemente

Los cambios aprobados estan

correctamente incorporados a la

solución

Principios de arquitectura

Descripciones de los dominios de

referencia y la definición de

Análisis de investigación de las

necesidades de innovación

Evaluación de las ideas de innovación

1. confirmar criterios de aceptación

de las partes interesadas.

2. Repositorio de la definición de

requerimientos.

Descripción



Actividades

1. Establecer especificaciones de diseño a alto nivel que traduzcan la solución propuesta en procesos, servicios

soportados, aplicaciones, infraestructura y repositorios de información

Plan de alto nivel de

adquisiciones/desarrollo

Aprobación de las especificaciones del

diseño de alto nivel

2. Involucrar a usuarios experimentados y apropiadamente cualificados en el proceso de diseño para asegurar que el

diseño usa unas capacidades TI óptimas

Diseñar soluciones de alto nivel

Desarrollar y documentar diseños de

alto nivel usando técnicas de

desarrollo ágil o por fases apropiadas

y acordadas. Asegurar el alineamiento

con la estratégia TI y la arquitectura

empresarial. Asegurar que las partes

interesadas participen en el diseño y

aprobación de cada versión.

Descripción

3. Crear un diseño al nivel de detalle apropiado para la solución y el método de desarrollo en consonancia con el perfil

de la Red.

128


Construir soluciones.

Instalar y configurar las soluciones e

integrarlas con los procesos de la Red.

Implementar controles y medidas de

seguridad para proteger los recursos y

asegurar la disponibilidad e

integridad de los datos.

Descripción

Actividades

1. Integrar y configurar componentes de la solución TI y de negocio así como los repositorios de la información en línea

con las específicaciones detalladas y los requerimientos de calidad.

2. Completar y actualizar cuando sea necesario el proceso de negocio y los manuales de operaciones para registrar

cualquier personalización o condiciones especiales en la implementación.

3. Asegurar la interpolaridad de de los componentes de la solución con las pruebas soporte

4. Configurar que el software de aplicación adquirido cumple con los requerimientos de proceso.

5. Definir el catálogo de servicios para los grupos de objetivos internos y externos basados en los requerimientos de la

Red.


Descripción

Actividades

1. Diseñar progresivamente las actividades del proceso y los flujos de trabajo necesarios para llevar a cabo

conjuntamente con el nuevo sistema de aplicación para alcanzar los objetivos de la Red,

2. Clasificar las entradas y salidas de datos acorde a los estándares de arquitectura empresarial.

3. Diseñar la interfaz del sistema/solución, incluyendo cualquier intercambio sistematizado de datos.

4. Diseñar el almacenamiento de los datos, localización y capacidad de recuperación.

5. Diseñar la redundancia, recuperación y copia de seguridad apropiadas.

Diseñar los componentes detallados

de la solución

Desarrollar, documentar y elaborar

diseños detallados progresivamente

usando técnicas de desarrollo ágiles o

por fases acordadas considerando

todos los componentes.

Principios de arquitecturaEspecificaciones de diseño detalladas y

aprobadas

6. Diseñar la interfaz entre el usuario y la aplicación del sistema para que sea fácil de usar y autoexplicativo.

7. Considerar el impacto de las necesidades de la solución en el rendimiento de la infraestructura.

8. Evaluar proactivamente las debilidades del diseño a través de todo el ciclo de vida, identificando mejoras cuando se

requieran.

9. Proporcionar métodos para auditar e identificar la causa raíz de los problemas en el procesamiento.

Componentes de la solucion integrados

y configurados


129

5. Para actualizaciones de mantenimiento, utilizar los procesos de gestión de cambios.

4. Asegurar que el patrón y volumen de las actividades son análizadas periódicamente para buscar tendencias

anormales indicando una merma en la calidad o problemas de rendimiento.

Plan de mantenimiento

Componentes de la solución

actualizados y documentación

relacionada

Actividades

1. Desarrollar y ejecutar un plan para el mantenimiento de la solución y componentes de la infraestructura. Incluir

revisiones periodicas de las mismas.

2. Evaluar la significancia de las actividades de mantenimiento propuestas sobre el diseño de la solución,

funcionalidad y/o procesos de la Red actuales. Asegurar que los propietarios de los servicios comprenden el efecto de

los cambios.

3. En el caso de cambios mayores a las soluciones existentes que resulten en un cambio significativo en el diseño

actual y/o funcionalidad de los servicios, seguir el proceso usado para nuevos sistemas. Para procesos de

mantenimiento usar los procesos de gestión de cambios.

Resultados de las iniciativas de

pruebas de concepto

Registro de peticiones de cambios de

requerimientos

Registro de todas las peticiones de

cambio aprobadas y aplicadas


1. Evaluar el impacto de todas las peticiones de cambio de la solución en el desarrollo de la solución. Categorizar y

priorizar las peticiones convenientemente.

2. Hacer seguimiento de los requerimientos facilitando a las partes interesadas la supervisión, revisión y aprobación

de los cambios. Asegurar que los procesos de cambio en los procesos estpan entendidos por todos los involucrados.


3. Aplicar las peticiones de cambio, manteniendo la integridad de la integración y configuración de los componentes

de la solución.

Mantener soluciones

Desarrollar y ejecutar un plan para el

mantenimiento de la solución y

componentes de la infraestructura.

Incluir revisiones periodicas de las

mismas.

Actividades

1. Definir un plan de calidad y prácticas incluyendo, por ejemplo, especificación de criterios de calidad, procesos de

validación y verificación, definición de cómo se revisará la calidad, entre otras.

2. Supervisar frecuentemente la solución de calidad, pasada en los requerimientos del proyecto, políticas de empresa,

adhesión a metodologías de desarrollo, procedimientos de gestión de calidad y criterios de aceptación.

3. Supervisar todas las excepciones de calidad y tratar todas las acciones correctivas. Mantener un registro de todas las

revisiones, resultados, excepciones y correcciones.

Actividades


Gestionar cambios a los

requerimientos

Hacer seguimiento del estado de los

requerimientos individuales a través

de todo el ciclo de vida de los

proyectos y gestionar la aprobación

de los cambios a los requerimientos.


Resultado de las revisioens de

efectividad del SGC

Plan de gestión de calidad

Realizar controles de calidad

Desarrollar y ejecutar un plan de

calidad (QA) alineado con el SGC para

obtener la calidad especificada en la

definición de los requerimientos y de

acuerdo a las políticas y

procedimientos de calidad de la Red.


Plan de aseguramiento de la calidad

(QA)

Resultados de la revisión de calidad,

excepciones y correcciones.


130

Matriz RACI:

Catálogo de servicios actualizado

Actividades

1. Proponer definiciones de los nuevos o modificados servicios que aseguren que los servicios cumplen con el

propósito. Documentar las definiciones en el catálogo de servicios.

2. Proponer cambios o nuevas opciones de niveles de servicios para asegurar que los servicios son adecuados para su

uso.

3. Si los cambios a los servicios provienen de una autoridad de aprobación adecuada, construir los cambios o los

nuevos servicios. De otro modo, parar los cambios para revision al responsable de cada servicio.

Directrices para la asignación de

recirsos y capacidades

1. Valorar beneficios para el entorno

objetivo

2. Cambios requeridos para ajustar la

capacidad objetivo

Asignaciones de presupuestos


Definir los servicios TI y mantener el

catálogo de servicios.

Definir y acordar nuevos servicios TI o

cambios y opciones de nivel de

servicio. Documentar nuevas

definiciones o cambios en los

servicios y opciones de nivel de

servicio que serán actualizadas en el

catálogo de servicios.


1. Comunicación del presupuesto

2. Plan y presupuesto TI

Definiciones de servicio

Practica clave

de Gobierno

Dir

ecto

r d

e la

Red

Co

ord

inad

or

de

la

Red

Lid

er e

n g

esti

ón

de

pro

yect

os

Líd

er t

écn

ico

Líd

er d

e TI

Líd

er e

n

soci

aliz

ació

n y

div

ulg

ació

n

Líd

er d

e se

rvic

ios

mu

ltim

edia

Líd

er e

n in

gen

ierí

a

de

soft

war

e

Líd

er d

e se

rvic

ios

acad

émic

os

Líd

er d

e se

rvic

ios

de

con

ecti

vid

ad

Enca

rgad

o d

e

Cal

idad

Diseñar soluciones

de alto nivel I R R R R R R R C

Diseñar los

componentes

detallados de la

solución

I R R R R R R R C

Construir

solucionesI R R R R R R R C

Realizar controles

de calidadI R R R R R R R C

Gestionar cambios

a los

requerimientosI R R R R R R R C

Mantener

solucionesI R R R R R R R C

Definir los

servicios TI y

mantener el

catálogo de

servicios

I I R I I I I I I

131

BAI04: Gestionar la disponibilidad y la capacidad

Meta de TI Métricas relaciónadas


requisitos

1. Número de interrupciónes de la actividad de la red debido a incidentes

relaciónados con TI

Proceso COBIT: BAI04 Gestionar la disponibilidad y la

capacidad

Area: Gestión


Descripción del proceso: Equilibrar las necesidades actuales y futuras de disponibilidad, rendimiento y capacidad con una

provisión de servicio efectiva. Incluye la evaluación de las capacidades actuales, la previsión de necesidades futuras basadas

en los requerimientos de la red, el análisis de impacto y la evaluación de riesgo para planificar e implementar acciónes para

alcanzar los requerimientos identificados

Declaración del propósito del proceso: Mantener la disponibilidad del servicio, la gestión eficiente de recursos y la

optimización del rendimiento de los sistemas mediante la predicción del rendimiento futuro y de los requerimientos de

capacidad



capacidades TI.








Cuestiones de disponibilidad, rendimiento y

capacidad identificados y resueltos de manera

rutinaria


en TI

Meta del proceso Métricas relaciónadas

El plan de disponibilidad anticipa la

expectativa de la red en cuanto a

requerimientos criticos de capacidad


en TI

Cumplimiento de requerimientos de

capacidad, rendimiento y disponibilidad


capacidades TI.

Registro de requisitos de riesgo

Evaluar la disponibilidad, rendimiento y

capacidad actual y crear una linea de

referencia.

Evaluar al capacidad, rendimiento y al

capacidad de los servicios y recursos para

asegurar que se encuentra disponible una

capacidad y un rendimiento justificables para

dar soporte a las necesidades del negocio y

para entregar el servicios de acuerdo a las

ANS. Crear lineas de referencia para la

disponiblidad, el rendimiento y la capacidad

para comparaciónes futuras


Repositorio de definición de

requisitos

Lineas de referencia de

disponibilidad, rendimiento y

capacidad

Evaluaciónes respecto a ANS

4. Evaluar periodicamente los niveles reales de rendimiento a todos los niveles de procesamientomediante la comparación

con las tendencias y los ANS teniendo en cuenta los cambios en el entorno

3. Identificar y dar seguimiento a todos los incidentes causados por un rendimiento o una capacidad inadecuados

2. Supervisar el rendimiento y la utilización de la capacidad reales frente a umbrales definidos, con el apoyo cuando sea

necesario de software automatizado

1. Considerar en la evaluación de disponibilidad, rendimiento y capacidad de servicios y recursos lo siguiente: Requisitos del

cliente, prioridades de la red, objetivos de la red, impacto en el presupuesto, utilizaciòn de recursos, capacidades de TI y

tendencias de industria

Actividades



132


Actividades

1. Identificar solamente aquellos soluciónes o servicios que son críticas para los procesos de gestión de la disponibilidad y la

capacidad

7. Asegurar que los propietarios de procesos de la red comprenden completamente y estan de acuerdo con los resultados

del analisis. Obtener una lista de escenarios de riesgo inaceptables de la dirección de la red que requieran una respuesta

para reducir el riesgo a niveles aceptables

6. Determinar el impacto de los escenarios en las medidas de rendimiento de la red. Involucrar a la linea de la dirección,

lideres funcionales y regionales para comprender su evaluación de impacto


Evaluar el impacto de negocio.

Identificar los servicios importantes para la

empresa, mapear los servicios y recursos con

los servicios e identificar las dependencias de

la red. Asegurar que el impacto de la no

disponibilidad de recursos está acordado y

aceptado por el usuario. Asegurar que, para

las funciónes vitales de la red, los requisitos

de disponibilidad definidos en el ANS pueden

ser satisfechos


Escenarios de disponibilidad,

rendimiento y capacidad

Evaluaciónes de impacto a la red de


capacidad

ANS internos y externos

5. Determinar la probabilidad de que el objetivo de rendimiento de la disponibilidad no será alcanzado basado en los

escenarios

2. Realizar un mapa de las soluciónes o servicios selecciónados con la aplicación e infraestructura de los que dependen, para

permitir un enfoque en los recursos criticos para la planificación de disponibilidad3. Recolectar datos de patrones de disponibilidad de los registros de fallos pasados y del monitoreo de rendimiento. Utilizar

un herramientas de modelado que ayuden a predecir fallos basados en tendencias de utilización en el pasado y expectativas

de la dirección sobre nuevos entornos o condiciones de los usuarios

4. Crear escenarios basados en datos recolectados, describiendo situaciones de disponibilidad futura para ilustrar varios

niveles de capacidad potenciales necesarios para alcanzar el objetivo de rendimiento de la disponibilidad

2. Identificar las implicaciónes en la disponibilidad y la capacidad de cambios en las necesidades del negocio y

oportunidades de mejora. Utilizar técnicas de modelado para validar los planes de disponibilidad, rendimiento y capacidad

3. Priorizar las necesidades de mejora y crear planes de disponibilidad y capacidad justificables

Planificar requisitos de servicios nuevos o

modificados.

Planificar y priorizar las implicaciones en la

disponibilidad, el rendimiento y la capacidad

de cambios en las necesidades del negocio y

en los requerimientos del servicio


Mejoras priorizadas

Planes de capacidad y rendimiento

Criterios de aceptación confirmados

de las partes interesadas

Especificaciónes de diseño de alto

nivel aprobadas

Especificaciónes de diseño detallado

aprobadas


documentados

Actividades

1. Revisar las implicaciones en la disponibilidad y la capacidad del análisis de tendencias de servicio

4. Ajustar los planes de rendimiento y capacidad de los ANS sobre las bases de servicio que los soportan: realistas, nuevos,

propuestos o proyectados, sobre cambios a las aplicaciones y la infraestructura. Así como las revisiones del rendimiento y

uso de capacidad actual, técnicas de previsión actuales y realizar mejoras donde sea posible

5. Asegurar que la dirección lleva a cabo comparaciones de la demanda actual de recursos con la demanda y suministro

previstos a evaluar las técnicas de prevision actuales y realizar mejoras donde sea posible

133

Entradas SalidasPráctica de Gobierno

4. Proveer informes de capacidad para los procesos

Supervisar y revisar la disponibilidad y la

capacidad.

Supervisar, medir, analizar, informar y revisar

la disponibilidad el rendimiento y la

capacidad. Identificar desviaciones respecto a

las lineas de referencia establecidas. Revisar

informes de análisis de tendencias

identificando cualquier cuestión y variación

significativa, iniciando acciónes donde sea

necesario y asegurando que se realiza el

seguimiento de todas las cuestiones

pendientes


Supervisar y revisar la disponibilidad

y la capacidad

Informes de disponibilidad y

rendimiento

2. Proporcionar información periodica de los resultados en una forma apropiada para la revisión por las TI y la gestión y

comunicar a la dirección

3. Integrar actividades de supervisión e información en las actividades iterativas de gestion de la capacidad (supervision,

análisis, ajuste e implementaciones)

Actividades

1. Establecer un proceso de recolección de datos para proporciónar a la dirección información del seguimiento e informes de

la carga de trabajo de disponibilidad, rendimiento y capacidad de todos los recursos relaciónados con al información


Investigar y abordar cuestiones de

disponibilidad, rendimiento y capacidad.

Abordar las desviaciónes investigando y

resolviendo las cuestiones identificadas

relativas a la disponibilidad, rendimiento y

capacidad


Investigar y abordar cuestiones de


capacidad.

Actividades

1. Obtener la orientación de manuales para conseguir los insumos para garantizar un nivel adecuado de rendimiento de

disponibilidad para picos de prestación de servicio y cargas de trabajo

3. Definir acciónes correctivas

4. Integrar las acciones correctivas requeridas dentro de los procesos apropiados de planificación y gestión de cambios

5. Definir un proceso de escalado para la resolución rápida en emergencias en casos de problemas de disponibilidad y

rendimiento

Brechas de rendimiento y capacidad

Acciónes correctivas

Procedimiento de escalado ante

emergencias

2. Identificar brechas de rendimiento y capacidad sobre la base del monitoreo del rendimiento actual y previsto. Utilizar las

especificaciónes de disponibilidad, continuidad y recuperación conocidas para clasificar los recursos y permitir la

priorización

134

Matriz RACI:

Planificar

requisitos de

servicios nuevos o

modificados

C A R R R R R

Supervisar y revisar

la disponibilidad y

la capacidad

C A R R R R R

Practica clave

de Gobierno

Dir

ecto

r d

e la

Red

Co

ord

inad

or

de

la

Red

Lid

er e

n g

esti

ón

de

pro

yect

os

Líd

er t

écn

ico

Líd

er d

e TI

Líd

er e

n

soci

aliz

ació

n y

div

ulg

ació

n

Líd

er d

e se

rvic

ios

mu

ltim

edia

Líd

er e

n in

gen

ierí

a

de

soft

war

e

Líd

er d

e se

rvic

ios

acad

émic

os

Líd

er d

e se

rvic

ios

de

con

ecti

vid

ad

Enca

rgad

o d

e

Cal

idad

Evaluar la

disponibilidad,

rendimiento y

capacidad actual y

crear una linea de

referencia

C A R R R R R

R R R R

R R

Investigar y

abordar cuestiones

de disponibilidad,

rendimiento y

capacidad

I I A R

Evaluar el impacto

en la redC R R R R

135

BAI05: Gestionar la introducción de cambios organizativos




El deseo de cambio de las partes

interesadas ha sido entendido

El cambio deseado es comprendido y

aceptado por las partes interesadas

Los que juegan algún papel están

facultados para entregar el cambio

El cambio está integrado y sostenido


2. Tiempo promedio para acordar y aprobar un objetivo estratégico de RITA



capacidades TI.


Entrega de programas que

proporcionen beneficios a tiempo

satisfaciendo los requisitos y normas

de calidad


iniciativas para la innovación

Proceso COBIT: BAI05 Gestionar la introducción de

cambios organizativos

Area: Gestión


Descripción del proceso:Maximizar la probabilidad de la implementación exitosa en toda RITA del cambio organizativo

en forma rápida y con riesgo reducido, cubriendo el ciclo de vida completo del cambio y todas las partes interesadas

de la Red.

Declaración del propósito del proceso: Preparar y comprometer a las partes interesadas para el cambio en la Red y

reducir el riesgo del fracaso.




a los requisitos


relacionados con TI



136

Comunicar la visión deseada

Actividades

Plan de comunicación de la visión

Comunicaciones de la visión


1. Identificar y montar un equipo de implementación efectivo que incluya miembros de la Red y de TI con la capacidad

de invertir el tiempo necesario y conocimientos, pericia, experiencia y autoridad. Cosiderar incluir a terceros

externos, tales como consultores, para tener una visión independiente o para abordar las brechas en las habilidades.

2. Crear confianza dentro del equipo de implementación principal mediante eventos planificados cuidadosamente

mediante comunicación y actividades conjuntas efectivas.

3. Desarrollar una visión y metas comunes que soporten los objetivos empresariales de la Red.

Formar un equipo de implementación

efectivo.

Establecerlo con miembros

adecuados, creando confianza y

estableciendo metas comunes y

medidas efectivas.

Comunicar la visión deseada.

Cambiar el lenguaje de aquellos que

se verán afectados. Comunicación

realizada por la mesa directiva e

incluir la razón de ser y los beneficios

del cambio, el impacto de no hacerlo,

la hoja de ruta y la participación

requerida de las partes interesadas

Descripción


Descripción

1. Desarrollar un plan de comunicación de la visión para abordar a los grupos de audiencia principales, susperfiles de

comportamiento y requisitos de información, canales de comunicación y principio.

2. Realizar la comunicación a niveles adecuados de acuerdo con el plan.

3. Reforzar la comunicación mediante repetición y múltiples foros.

4. Verificar la comprensión de la visión deseada y dar respuesta a cualquier visión destacada por el personal.

5. Hacer responsables a todos los niveles de liderazgo para demostrar la visión.

Visión y objetivos comunes

Actividades

Criterios de aceptación de las partes

interesadas confirmados

Equipo de implementación y roles

Actividades

1. Evaluar el alcance y el impacto del cambio divisado, las diferentes partes interesadas que serán afectadas, la

naturaleza del impacto y la involucración necesaria por cada grupo de partes.

2. Identificar, evaluar y comunicar puntos de conflicto, eventos significativos, riesgos, insatisfacción de usuarios y

problemas de la red, así como beneficios iniciales, oportunidades y recompensas futuras como fundamento para

establecer el deseo de cambiar.

3. Emitir las comunicaciones de la mesa que demuestrenn el compromiso y deseo de cambiar


4. Proveer un liderazgo visible por parte de la mesa directiva para establecer la dirección y alinear, motivar e inspirar a

las partes interesadas el cambio

Establecer el deseo de cambiar

Comprender el impacto y alcance del

cambio divisado y la disposición de

cambiar de las partes interesadas.

Identificar las acciones para motivar a

las partes interesadas para aceptar y

querer que el cambio sea exitoso

Descripción DescripciónResultados de calidad del servicio,

incluyendo los comentarios del

usuario

Comunicaciones de la mesa directiva

comprometiendose con el cambio

1. Criterios de información

confirmados por las partes

interesadas

2. Repositorio de definición de

requerimientos

1. Acciones de mitigación de riesgo

2. Requerimientos del registro del

riesgo

Especificaciones de diseño de alto

nivel aprobadas

Especificaciones de diseño detallado

aprobadas



137

Matriz RACI:

Facilitar la operación y el uso.

Planificar e implementar todos los

aspectos técnicos, operativos y de

modo de uso de forma que todos

aquellos involucrados en el entorno

futuro puedan ejercer sus

responsabilidades.



documentadosPlan de operación y uso

Componentes de la solución y

documentación relacionada

actualizados

Resultados y métricas de éxito


Actividades

1. Desarrollar e implementar un plan de operación de uso del cambio que comunique y se base en las mejoras

inmediatas que se hayan percibido, trate aspectos culturales y de comportamiento propios de la transición general y

aumente el apoyo personal y el compromiso de los involucrados. Asegurar que el plan presenta una visión holística

del cambio y proporciona documentación, tutoría, formación, entrenamiento, transferencia de conocimiento y

soporte desde el primer momento de implementar el cambio y a posteriori.


Revisión del uso operativo

Salidas

1. Proporcionar tutoría, formación, entrenamiento, transferencia de conocimiento y soporte la personal nuevo para

mantener los cambios.

2. Mantener y reforzar los cambios mediante comunicaciones regulares demostrando el compromiso de la mesa

directiva.

4. Captar lecciones aprendidas sobre la implementación de los cambios y divulgar este conocimiento a toda la Red.

3. Realizar revisiones periódicas de la operación y uso de los cambios e identificar mejoras

Mantener los cambios

Mediante la formación eficaz del

personal nuevo, campañas de

comunicación periódicas,

compromiso de la mesa directiva,

supervisión de la adopción de los

cambios y divulgación a toda la Red

de las lecciones aprendidas.


Mantener los cambios

Planes de transferencia del

conocimiento

Comunicación del compromiso de la

mesa directiva

Actividades

Practica clave

de Gobierno

Dir

ecto

r d

e la

Red

Co

ord

inad

or

de

la

Red

Lid

er e

n g

esti

ón

de

pro

yect

os

Líd

er t

écn

ico

Líd

er d

e TI

Líd

er e

n s

oci

aliz

ació

n

y d

ivu

lgac

ión

Líd

er d

e se

rvic

ios

mu

ltim

edia

Líd

er e

n in

gen

ierí

a d

e

soft

war

e

Líd

er d

e se

rvic

ios

acad

émic

os

Líd

er d

e se

rvic

ios

de

con

ecti

vid

ad

Enca

rgad

o d

e C

alid

ad

Establecer el

deseo de cambiarR R R C C C C C C C C

Formar un equipo

de implementación

efectivo

I I R C I C C C C C C

Comunicar la

visión deseadaA R R C C C C C C C C

Facilitar la

operación y el usoC R R R R R R R R

Mantener los

cambiosR R R R R R R R R R R

138

BAI06: Gestionar la aceptación del cambio y la transición





capacidades TI.

Capacitación y soporte de procesos integrando

aplicaciones y tecnología

1. Número de incidentes ocurridos en los servicios causados por errores de


2. Número de cambios en las actividades de los servicios retrasados o

revisados debido a problemas de integración de la tecnología.

Proceso COBIT: BAI06 Gestionar la aceptación del cambio y

la transición

Area: Gestión


Descripción del proceso: Aceptar formalmente y hacer operativas las nuevas soluciones, incluyendo la planificación de la

implementación, la conversion de los datos y los sistemas, las pruebas de aceptación, la comunicación, la preparación del

lanzamiento, el paso a producción de servicios de TI nuevos o modificados y una revision post-implementación

Declaración del propósito del proceso: Implementar soluciones de forma segura y en linea con las expectativas y resultados

acordados


Los lanzamientos estan listos para su paso a

producción contando con la buena disposición

y el soporte de las partes interesadas


capacidades TI.

Las lecciones aprendidas contribuyen a

futuros lanzamientos


en TI


Las pruebas de aceptación consiguen la

aprobación de las partes interesadas y tienen

en cuenta todos los aspectos de los planes de

implementación y conversión


en TI

Los lanzamientos pasan a los servicios

satisfactoriamente, son estables y cumplen

con las expectativas


relacionados con TI



Actividades1. Crear un plan de implantación que refleje la estrategia global de implantación, la secuencia de acciones deimplantación,

recursos necesarios, interdependencias, criterios de aceptación por parte de la implantacion, requisitos para verificar la

instalacion y actualizacion de los planes de continuidad del negocio

2. Confirmar que todos los planes de implantación son aprobados por las partes interesadas tanto de ámbito técnico como

directivo, y revisados por auditoría interna, si es apropiado

3. Identificar y documentar el proceso de marcha atrás y recuperación4. Revisar formalmente los riesgos tecnicos y de direccion asociados a la implantación y asegurar que el riesgo clave es

considerado y tratado en el proceso de planificación

Establecer un plan de implementación.

Establecer un plan de implementación que

cubra la conversión de datos y sistemas,

criterios de aceptación de las pruebas,

comunicación, fromación, preparación del

lanzamiento, plan de marcha atrás o de

contingencia y una revision post-

implantación. Obtener la aprobación de las

partes relevantes.


Plan de gestión de la calidad Plan de implantación aprobado

Plan y cronograma de cambio

Peticiones de cambio aprobadas

Proceso de marcha atrás de la

implantación o recuperación

139


Actividades

1. Definir un plan de migración de servicios, datos e infraestructura de TI. Considerar, por ejemplo, hardware, redes,

sistemas operativos, software, datos transaccionales, ficheros maestros, copias de seguridad y archivadas, interfaces con

otros sistemas, posibles requisitos de cumplimiento y documentación de sistema en el desarrollo del plan

2. Considerar todos los ajustes necesarios a los procedimientos, incluyendo roles y responsabilidades revisados y

procedimientos de control en el plan de conversión de los servicios3. Incluir en el plan de conversión de datos, métodos para recopilar, convertir y verificar los datos que han de ser

convertidos e identificar y resolver cualquier error encontrado durante la conversión. Incluir la comparación entre el dato

convertido y el original para asegurar completitud e integridad

4. Confirmar que el plan de conversión de datos no requiere cambios en los valores de los datos a menos que sea

absolutamente necesario. Documentar los cambios hechos a valores de los datos y asegurar la aprobación del propietario de

los datos de riesgo

5. Ensayar y probar la conversión antes de hacer una conversión en vivo

Planificar la conversión de servicios, sistemas

y datos.

Preparar la migración de servicios, datos de

lso servicios TI, e infraestructura como parte

de los mecanismos de desarrollo de la red,

incluyendo registros de auditoria y un plan de

recuperación para el caso de que la migración

fallara


ANS internos y externos

Escenarios de disponibilidad,

rendimiento y capacidad

Evaluaciones de impacto a la red de


capacidad

6. Considerar el riesgo en problemas de la conversión, planificación de continuidad de negocio y procedimientos de marcha

atrás en los planes de migracion del servicio, datos e infraestructura, allá donde hay requisitos derivados de la gestión del

riesgo y de necesidades de cumplimiento normativo y legal

7. Coordinar y verificar el tiempo de completitud de los puntos de corte en la conversión, de forma que haya una transición

continua y suave sin perdidas en los datos tradicionales. 8. Planificar el respaldo de todos los sistemas y datos tomados hasta el instante anterior a la conversión. Mantener registros

de auditoría para posibilitar que pueda seguirse la traza de la conversión y asegurar que hay un plan de recuperación que

cubra la marcha atrás de la migración y la vuelta al procesamiento anterior, en caso que la migración fallara

9. Planificar la conservación de las copias de seguridad y datos archivados para cumplir con los requisitos derivados de

necesidades, cumplimiento legal o normativo que exista

140


Planificar pruebas de aceptación.

Establecer un plan de pruebas basado en

estándares, que defina roles,

responsabilidades, y criterios de entrada y

salida. Asegurar que el plan es aprobado por

las partes relevantes


Requisitos para la verificación

independiente de los entregables

2. Asegurar que el plan de pruebas refleja una evaluación de riesgos del proyecto y que todos los requisitos funcionales y

técnicos son probados, debería incluir requisitos de rendimiento, carga de trabajo, usabilidad, pruebas piloto, y pruebas de

seguridad basandose en la evaluación del riesgo de fallos del sistema y errores en la implantación

3. Asegurar que el plan de pruebas trata la necesidad potencial de acreditación interna o externa de los resultados del

proceso de pruebas

4. Asegurar que el plan de pruebas identifica los recursos necesarios para ejecutar las pruebas y evaluar los resultados.

Ejemplos de recursos pueden ser la preparación del entorno de pruebas y el tiempo dedicado por el personal al grupo de

pruebas, incluyendo el reemplazo temporal del personal de los sectores que se dediquen a las pruebas. Asegurar que se

consulta a las partes interesadas sobre la implicación de estos recursos en el plan de pruebas

5. Asegurar que el plan de pruebas identifica las fases de prueba adecuadas a los requisitos de operación y de entorno.

Algunos ejemplos de estas fases de prueba son pruebas unitarias, pruebas de sistemas, pruebas de integración, pruebas de

aceptación de usuario, pruebas de rendimiento, pruebas de carga de trabajo, pruebas de conversión de datos, pruebas de

seguridad, pruebas de disponibilidad, y pruebas de copia de respaldo y recuperación


Procedimientos de prueba

Planes de prueba

Actividades1. Desarrollar y documentar el plan de pruebas, de forma que este alineado con el programa y plan de calidad del proyecto y

estandares relevantes de la organización. Comunicar y consultar con los propietarios de servicios y grupos de interes de TI

adecuados

Plan de pruebas de aceptación

aprobadoComunicaciones de los resultados de

las pruebas

Registros y pistas de auditoria de los

resultados de las pruebas

6. Confirmar que el plan de pruebas toma en consideración la preparación de las pruebas, requisitos de formación,

instalacion o actualizacion de un entorno de pruebas definido, planificar/realizar/documentar/conservar los casos de

prueba, la gestión, corrección y escalado de errores y problemas para la aprobación formal

7. Asegurar que el plan de pruebas establece criterios claros para medir el éxito en la realización de cada fase de prueba.

Consultar a los propietarios de servicios y grupos de interes de TI sobre la definicion de estos criterios de éxito. Determinar

si el plan establece procedimientos de remediación en caso de que estos criterios de exito no se cumplan

8. Confirmar que todos los planes de prueba son aprobados por las partes interesadas, incluyendo los propietarios de

servicios y TI, según sea adecuado

1.Crear una base de datos de pruebas que sea representativa del entorno de producción. Sanear los datos reales usados en

el entorno de pruebas de acuerdo a las necesidades y estandares de la organización2. Proteger los datos de prueba y resultados que sean sensibles frente al revelado de la información, incluyendo el acceso,

la conservación, el almacenamiento y la destrucción. Considere el efecto de la interacción de los sistemas de la red con los

sistemas de terceras partes

4. Asegurar que el entorno de pruebas es representativo del escenario futuro de la red, incluyendo procedimientos y roles

de los servicios, cargas de trabajo probable, sistemas operativos, aplicaciones software necesarias, sistemas de gestion de

base de datos, redes e infraestructura de comunicaciones utilizadas en el entorno de producción

5. Asegurar que el entorno de pruebas es seguro

Establecer un entorno de pruebas.

Definir y establecer un entorno seguro de

pruebas que sea representativo de los

servicios de TI planeados, en cuanto

rendimiento y capacidad, seguridad, controles

internos, practicas d eoperación, calidad de

los datos, y requisitos de privacidad y carga de

trabajo


Establecer un entorno de pruebas Datos de prueba

Actividades

3. Poner en marcha un proceso para posibilitar la adecuada conservación o eliminación de los resultados de las pruebas,

medios de almacenamiento y otra documentación asociada, de forma que sea posible realizar revisiones adecuadas y

analisis posteriores segun lo requiera el plan de pruebas. Considere las implicaciones derivadas de requisitos de

cumplimiento normativo o legal

141


Actividades1. Revisar el registro categorizado de errores encontrados en el proceso de pruebas por el equipo de desarrollo, verificando

que todos los errores han sido corregidos o aceptados formalmente

2. Evaluar la aceptación final respecto a los criterios de éxito e interpretar los resultados finales de las pruebas de

aceptación. Presentarlos en un formato comprensible par also propietarios de los servicios y de TI de manera que pueda

realizarse una evaluación y revisión bien fundadas

9. Llevar a cabo pruebas de rendimiento de aplicación y sistema de acuerdo con el plan de pruebas. Considerar un rango de

metricas d erendimiento

10. Al realizar las pruebas, asegurar que los elementos de marcha atrás y alternativos del plan de pruebas han sido

11. Identificar, registrar y clasificarlos errores durante las pruebas. Asegurar que esta disponible un registro de auditoría de

los resultados de las pruebas. Comunicar los resultados de las pruebas a las partes interesadas de acuerdo al plan de prueba

para posibilitar la corrección de los errores y otras mejoras en calidad

Ejecutar pruebas de aceptación.

Probar los cambios independientemente, de

acuerdo con el plan de pruebas definido.


Registro de resultado de las pruebas

Evaluación de los resultados de las

pruebas de aceptación

3. Aprobar la aceptación mediante una firma formal de los propietarios de los servicios, y frupos de interes4. Asegurar que la spruebas sobre cambios sean realizadas de acuerdo al plan de pruebas. Asegurar que las pruebas son

diseñadas y ejecutadas por un grupo de pruebas independiente del grupo de desarrollo. Considerar hasta que punto deben

estar implicados los propietarios de servicios y usuarios finales en el grupo de pruebas

5. Asegurar que las pruebas y los resultados preliminares estan de acuerdo con los criterios de éxito definidos en el plan de

pruebas

6. Contemplar el uso de instrucciones de prueba claramente definidos par aimplementar las pruebas. Asegurar que el grupo

independiente de pruebas valora y aprueba cada script de pruebas para confirmar que trata adecuadamente los criterios de

éxito definidos en el plan de pruebas

7. Considerar el equilibrio adecuado entre pruebas automatizadas mediante scripts y pruebas de usuario interactivas8. Llevar a cabo pruebas de seguridad de acuerdo al plan de pruebas. Medir el alcancce de las debilidades o agujeros de

seguridad. Considerar el efecto de los incidentes de seguridad ya en construcción del plan de pruebas. Considerar el efecto

de los controles de acceso y de perimetro


Gestionar lanzamientos.

Gestionar los compenentes de los

lanzamientos de la solución


Compenentes de los lanzamientos

Actividades

Plan de lanzamientos

Registro de lanzamientos

5. Donde la distribucion de los componentes de solucion sea electronica, controlar la distribucion automatizada para

asegurar que los usuarios son notificados y que la distribucion se realiza unicamente a los destinatarios correctamente

identificados y autorizados. Incluir procedimientos en marcha atras en el proceso de lanzamiento para posibilitar la

distribucion de cambios en caso de error o mal funcionamiento

1. Prepararse para el traspaso del entorno de pruebas al de servicios, aplicaciones e infraestructura

2. Determinar el alcance de la realización de un piloto de la ejecución en paralelo del nuevo sistema y el antiguo, en el

marco del plan de implantación3. Actualizar inmediatamente la documentación sobre sistemas y servicios relevantes, informacion de configuracion y

documentación del plan de contingencia, según sea apropiado4. Asegurar que todas las bibliotecas de medios osn actualizadas inmediatamente con la version del componente de la

solución que esta siendo transferido al entorno de servicios. Archivar la version existente y su documentacion de soporte.

Asegurar que el paso a servicios de los sistemas software de aplicacion e infraestructura se realiza bajo el control de la

gestion de configuracion

6. Donde la distribucion se realice de forma física, mantener un registro formal de los elementos que han sido distribuidos, a

quién, dónde han sido implantados y cuándo ha tenido lugar cada actualización

142

Descripción

Actividades

1. Establecer procedimientos para asegurar que las revisiones post-implantación identifican, evalúan e informan hasta qué

punto:

a) Los requisitos corporativos se han cumplido

b) Los beneficios esperados se han obtenido

c) El sistema se considera utilizable

d)Las expectativas de las partes interesadas internas y externas se han cumplido

e) Ha habido oimpactos inesperados en la organizacion

f) Se ha mitigado los riesgos clave

g) Los procesos de gestion del cambio, instalacion ya creditacion se han realizado de forma eficaz y eficiente

2. Consultar a los propietarios de servicios y gestores técnicos de TI sobre la elección de métricas para medir el éxito y la

consecución de requisitos y beneficios

3. Llevar a cabo una revisión post-implantación de acuerdo al proceso de gestión del cambio en la red. Involucrar a los

propietarios de servicios según sea apropiado

4. Considerar los requisitos para la revision post-implantación que provengan de fuera

5. Acordar e implantar un plan de acción para tratar cualquier cuestion identificada en la revision post-implantación,

involucrar a los propietarios de servicios y a los gestiores técnicos de TI

Resultados y auditorías de revision de

la calidad

Causas raíz de fallos en la calidad del

suministro

Resultados de la solución y de la

supervisión de la calidad de la

prestacion del servicio

Métricas de éxito y resultados

Plan de acciones correctivas

Informe de la revision post-

implantación


Ejecutar una revision post-implantacion.

Llevar a cabo una revisión post-implantación

para confirmar salidas y resultados, identificar

lecciones aprendidas y desarrollar un plan de

acción. Evaluar y verificar el rendimiento

actual y las salidas del servicio nuevo o

modificado respecto al rendimiento y salidas

previstas

Descripción

143

Matriz RACI:

Planificar pruebas

de aceptaciónA R I R I I I I I C

Establecer un

entorno de pruebasA R I R I I I I I

Ejecutar pruebas

de aceptaciónA R I R I I I I I

Gestionar

lanzamientos

A I R R R R R R

Ejecutar una

revisión post-

implementaciónA I R R R R R R C

R C

Líd

er e

n

soci

aliz

ació

n y

div

ulg

ació

nLí

der

de

serv

icio

s

mu

ltim

edia

Líd

er e

n in

gen

ierí

a

de

soft

war

eLí

der

de

serv

icio

s

acad

émic

os

Líd

er d

e se

rvic

ios

de

con

ecti

vid

ad

Enca

rgad

o d

e

Cal

idadPractica clave

de Gobierno

Dir

ecto

r d

e la

Red

Co

ord

inad

or

de

la

Red

Lid

er e

n g

esti

ón

de

pro

yect

os

Líd

er t

écn

ico

Líd

er d

e TI

R R R R R CEstablecer un plan

de implementaciónC A

R R R R R CPlanificar la

conversion de

servicios, sistemas

y datos

C A R C

144

BAI07: Gestionar el conocimiento

Meta del proceso

Las fuentes de información son identificadas y clasificadas

El conocimiento es utilizado y compartido

El conocimiento es actualizado y mejorado para dar soporte a los requisitos.



Agilidad de las TI


TI


con TI de RITA


iniciativas para la innovación 1. Número de nuevas ideas aplicadas a la prestación de los servicios


Proceso COBIT: BAI07 Gestionar el conocimiento Area: Gestión


Descripción del proceso: Mantener la disponibilidad de conocimiento relevante, actual, validado y fiable para dar

soporte a todas las actividades de los procesos y facilitar la toma de decisiones. Planificar la identificación,

recopilación, organización, mantenimiento, uso y retirada de conocimiento.

Declaración del propósito del proceso: Proporcionar el conocimiento necesario para dar soporte al personal de todas

sus actividades laborales, para la toma de decisiones bien fundadas y para aumentar la productividad.

Cultivar y facilitar la cultura de

intercambio de conocimientos

4. Integrar prácticas de gestión del conocimiento en otros procesos de TI.



Cultivar y facilitar la cultura de


Concebir e implantar un esquema

para cultivar y facilitar una cultura de



Comunicaciones sobre el valor del

conocimiento

Actividades

1. Comunicar proactivamente el valor del conocimiento para impulsar la creación, uso, reutilización y compartición del

conocimiento

2. Impulsar la compartición y transferencia de conocimiento mediante la identificación de factores que influyan en la

motivación.

3. Crear un entorno, herramientas y elementos que den soporte a la compartición y transferencia de conocimientos.

5. Establecer expectativas de la mesa de dirección y demostrar la actitud adecuada acerca de la utilidad del

conocimiento y la necesidad de compartirlo a nivel de la Red.

145

Utilizar y compartir el conocimiento.

Difundir las fuentes de conocimiento

disponibles entre las partes

interesadas relevantes y comunicar

cómo estos recursos pueden ser

utilizados para tratar diferentes

necesidades.


Clasificación de fuentes de información

3. Clasificar las fuentes de información basándose en un esquema de clasificación de contenido. Trazar un mapa de

fuentes de información con el esquema de clasificación.

Componentes documentados de la

solución

Repositorios de información publicada

4. Publicar y hacer accesible el conocimiento a las partes interesadas relevantes basándose en roles y mecanismos de

acceso.

Entradas Salidas

Descripción

Actividades

1. Medir el uso y evaluar la utilidad, relevancia y beneficio de los elementos del conocimiento. Identificar información

relacionada que ya no es relevante para cubrir las necesidades de conocimiento de la Red.

2. Definir las reglas para la retirada del conocimiento y retirar el mismo de forma acorde.

Actividades

3. Entrenar y educar a los usuarios en el conocimiento disponible, en el acceso al conocimiento y en el uso de

herramientas de acceso al conocimiento.


Evaluar y retirar la información

Medir el uso y evaluar la actuaización

y relevancia de la información. Retirar

la información obsoleta.


Evaluar y retirar la información

Resultados de la evaluación de uso del

conocimiento

1. Identificar usuarios potenciales de conocimiento mediante la clasificación de la información.

2. Transferir el conocimiento a usuarios basándose en un análisis de necesidades, técnicas de aprendizaje efectivas y

herramientas de acceso.

Reglas para la retirada del conocimiento

Descripción

Componentes documentales de la

solución

Base de datos de usuarios de

conocimiento


conocimiento

Plan de uso y operacionesEsquemas de concientización y

formación del conocimiento

Entradas Salidas

Actividades

1. Identificar atributos compartidos y casar fuentes de información, creando relaciones entre conjuntos de

información.

2. Crear vistas para conjunto de datos relacionados, considerando requisitos organizativos y de las partes interesadas.

3. Concebir e implementar un esquema para gestionar la información no estructurada que no esté disponible a partir

de fuentes formales.


conocimiento

Entradas Salidas

Organizar y contextualizar la

información para transformarla en

conocimiento.

Organizar la información basándose

en criterios de clasificación.

Identificar y crear relaciones

significativas entre elementos de

información y facilitar el uso de la

información. Identificar propietarios y

definir e implementar niveles de

acceso a los recursos de información.


Actividades

1. Identificar usuarios potenciales de conocimiento, incluyendo propietarios de la información que pueden necesitar

contribuir y aprobar conocimiento.

2. Considerar tipos de contenido, elementos e información estructurada y no estructurada.

4. Recoger, poner en orden y validar las fuentes de información basándose en criterios de validación de la información


Identificar y clasificar fuentes de

información.

Identificar, validar y clasificar las

diferentes fuentes internas y

externas necesarias para posibilitar el

uso y la operación efectivas de los

procesos y servicios de la Red


Requisitos y fuentes del

conocimiento


146

Matriz RACI:

Practica clave

de Gobierno

Dir

ecto

r d

e la

Red

Co

ord

inad

or

de

la

Red

Lid

er e

n g

esti

ón

de

pro

yect

os

Líd

er t

écn

ico

Líd

er d

e TI

Líd

er e

n

soci

aliz

ació

n y

div

ulg

ació

n

Líd

er d

e se

rvic

ios

mu

ltim

edia

Líd

er e

n in

gen

ierí

a

de

soft

war

e

Líd

er d

e se

rvic

ios

acad

émic

os

Líd

er d

e se

rvic

ios

de

con

ecti

vid

ad

Enca

rgad

o d

e

Cal

idad

Cultivar y facilitar

la cultura de

intercambio de

conocimientos

A A A R R R R R R R R

Identificar y

clasificar fuentes

de informaciónA A A R R R R R R R C

Organizar y

contextualizar la

información para

transformarla en

conocimiento

R C C C C C I

Utilizar y compartir

el conocimientoA A A A A A A R

Evaluar y retirar la

informaciónR R R R R R R C

147

BAI08: Gestionar la configuración


Proceso COBIT: BAI08 Gestionar la configuración Area: Gestión


Descripción del proceso: Definir y mantener las definiciones y relaciones entre los principales recursos y capacidades

necesarios para la prestación de los servicios proporcionados por TI, incluyendo la recopilación de información de

configuración, el establecimiento de lineas de referencia, la verificación y auditoría de la información de la configuración y la

actualización del repositorio de configuración

Declaración del propósito del proceso: Proporcionar suficiente información sobre los activos del servicio para que el servicio

pueda gestionarse con eficacia, evaluar el impacto de los cambios y hacer frente a los incidentes de servicio


Meta del proceso



cumplimiento de las leyes y regulaciones

externas

1. Número de servicios relacionados con TI en los que se presentó

incumplimiento de leyes y regulaciones externas







capacidades TI.

Disponibilidad de información útil y

relevante para la toma de decisiones

El repositorio de configuración es correcto, completo y esta actualizado


Actividades

1. Definir y acordar el alcance y nivel de detalle para la gestión de la configuración

2. Establecer y mantener un modelo lógico para la gestion de la configuracion, incluyendo informacion sobre los tipos de

elementos de configuración, tipos de relaciones, atributos de relación y códigos de estado


Establecer y mantener un modelo de

configuración.

Establecer y mantener un modelo lógico de

la infraestructura, activos y servicios y la

forma de registrar los elementos de la

configuración y las relaciones entre ellos


Plan de lanzamiento

Ámbito de aplicación del modelo de

gestión de la configuración

Modelo de configuración lógica


Establecer y mantener un repositorio de

configuracion y una base de referencia.

Establecer y mantener un repositorio de

gestión de la configuración y crear unas

bases de referencia de configuración

controladas


Registro de licencias de Software

Repositorio de configuración

Base de referencia de configuración

Actividades

1. Identificar y clasificar los elementos de configuracion y rellenar el repositorio

2. Crear, revisar y formalizar un acuerdo sobre las bases de referencia de configuración de servicio, aplicación e

infraestructura

148



Mantener y controlar los elementos de

configuración.

Mantener un repositorio actualizado de

elementos de configuración rellenado con

los cambios


Informes de estado de solicitudes de

cambio

Resultados de los controles físicos de

inventarios

Registro de activos

Retirada autorizada de activos

Registro de activos actualizado

Repositorio actualizado con los

elementos de configuración

Cambios aprobados a la base de

referencia

Actividades

1. Identificar regularmente todos los cambios en los elementos de configuración2. Revisar los cambios propuestos a los elementos de configuracion respecto a la base de referencia para garantizar su

integridad y precisión

3. Actualizar los detalles de configuración con los cambios aprobados a elementos de configuración

4. Crear, revisar y formalizar acuerdos sobre los cambios en las lineas de referencia de configuración cuando sea necesario

Entradas Salidas

Generar informes de estado y

configuración.

Definir y elaborar informes de configuración

sobre cambios en el etado de lso elementos

de configuración


Resultados de los controles físicos de

inventariosInformes de estado de configuración

5. Periodicamente comparar el grado de completitud y precision respecto a los objetivos y tomar medidas correctivas, según

sea necesario, para mejorar la calidad de los datos del repositorio

Verificar y revisar la integridad del

repositorio de configuración

Revisar periodicamente el repositorio de

configuración y verificar la integridad y

exactitud con respecto al objetivo deseado


Verificar y revisar la integridad del

repositorio de configuración

Resultados de la verificacion física de


Resultados de examenes de

completitud del repositorio

Actividades

1. Identificar cambios en el estado de los elementos de configuracion y contrastarlo con la base de referencia

2. Enlazar todos los cambios de configuracion con las peticiones de cambio aprobadas para identificar cualquier cambio no

autorizado. Informar de cambios no autoriados a la gestión de cambios

3. Identificar requisitos de información de todas las partes interesadas, incluyendo contenido, frecuencia y medios. Generar

informes según las necesidades identificadas


3. Verificar periodicamente todos los elementos fisscos de configuracion, tal como se definen en el repositorio, existen

físicamente. Informar de cualquier desviación a la dirección

4. Establecer y revisar periodicamente el objetivo de completitud del repositorio de configuracion basado en las

necesidades de la red

2. Informar y revisar todas las desviaciones de las correcciones o acciones aprobadas para eliminar los archivos no

autorizados

Actividades

1. Verificar periodicamente los elementos de configuracion en activo contra el repositorio de configuracion comparando

configuraciones físicas y lógicas, usando las herramientas apropiadas de descubrimiento, según sea necesario

149

Matriz RACI:

Practica

clave de

GobiernoD

irec

tor

de

la R

ed

Co

ord

inad

or

de

la

Red

Lid

er e

n g

esti

ón

de

pro

yect

os

Líd

er t

écn

ico

Líd

er d

e TI

Líd

er e

n

soci

aliz

ació

n y

div

ulg

ació

n

Líd

er d

e se

rvic

ios

mu

ltim

edia

Líd

er e

n

inge

nie

ría

de

soft

war

e

Líd

er d

e se

rvic

ios

acad

émic

os

Líd

er d

e se

rvic

ios

de

con

ecti

vid

ad

Enca

rgad

o d

e

Cal

idad

Establecer y

mantener un

modelo de

configuracion

C A R R R R R C

Establecer y

mantener un

repositorio de

configuración y

una base de

referencia

A R R R R R

Mantener y

controlar los

elementos de

configuracion

A R C C C C C

Generar informes

de estado y

configuracionI A I I I I I I

Verificar y

revisar la

integridad del

repositorio de

configuracion

A R R R R R R

150

DSS01: Gestionar las actividades


relacionados con TI

Metas y metricas del proceso


Las actividades de realizan según lo

requerido y programado

1. Porcentaje de servicios que fueron solicitados y finalizados

2. Número de interrupciones del servicio causantes de incidentes significativos

3. Porcentaje de no prestación del servicio por falta de disponibilidad

4. Numero de servicios interrumpidos debido a incidentes relacionados con IT

5. Número de servicios prestados a tiempo

6. Frecuencia de evaluación de la madurez de la capacidad de los servicios

Las operaciones son monitoreadas,

medidas, reportadas y remediadas


a los requisitos


Gestión de riesgos del servicio

relacionados con las TI








2. Tendencia de los resultados de evaluación


capacidades TI.


Proceso COBIT: DSS01 Gestionar las actividades Area: Gestión

Dominio: Entrega, Servicio y Soporte

Descripción del proceso: coordinar y ejecutar las actividades y procedimientos operativos requeridos para entregar

servicios de TI tanto internos como externos, incluyendo la ejecución de procedimientos operativos estándar

predeterminados.

Declaración del propósito del proceso: Entregar los resultados de los servicios, según lo planificado.

2. Mantener una programación de actividades, ejecutar las actividades y gestionar el desmpeño y rendimiento de

dichas actividades programadas.



Ejecutar procedimientos

Mantener y ejecutar procedimientos

y tareas operativas de forma

confiable y consistente


1. Desarrollar y mantener procedimientos operativos y actividades relacionadas para dar apoyo a todos los servicios

entregados.

Plan de operación y uso Programación operativa

4. Verificar que todos los datos esperados para su procesamiento sean recibidos y procesados de una forma precisa y

oportuna. Entregar los resultados de acuerdo a los requisitos del servicio. Asegurar que los usuarios reciben los

resultados adecuados de una forma segura y oportuna

3. Asegurar que se cumplen los estándares de seguridad aplicables para la recepción, procesamiento, almacenamiento

y salida de datos de forma tal que se satisfagan los objetivos y políticas de la Red así como los requerimientos

regulatorios.

Actividades

151

Entradas Salidas

Supervisar la infraestructura de TI.

Supervisar la infraestructura y los

eventos relacionados con ella.

Almacenar la suficiente información

cronológica en los registros de

operaciones para permitir la

reconstrucción, revisión y exámen de

las secuencias de tiempo de los

servicios y las actividades soporte de

esos servicios.

Salidas

Gestionar las instalaciones.

Incluyendo equipos de electricidad y

comunicaciones, en línea con las

leyes y regulaciones, requerimientos

técnicos y directrices de seguridad y

salud en el trabajo.


Informes de evaluación de instalaciones

Concientización en seguridad y salud en

el trabajo

Instalaciones de RITA

Registro de eventos

3. Definir e implantar reglas que identifiquen y registren violaciones del umbral y condiciones de eventos, cuidando

que los registros de los eventos no estén cargados de información innecesaria.

Definiciones de servicio

Reglas de monitoreo de servicios y

condiciones iniciales

Tiquetes de incidentes

Actividades

1. Registrar eventos, identificando el nivel de información a ser grabada sobre la base de una consideración de riesgo y

rendimiento.

2. Identificar y mantener una lista de activos de infraestructura que necesiten ser monitoreados en base a la criticidad

del servicio y la relación entre los elementos de configuración y los servicios que de ellos dependen.

4. Producir registros de eventos y retenerlos por un periodo adecuado para asistir a investigaciones futuras.

5. Establecer procedimientos para supervisar los registros de eventos y llevar a cabo revisiones periódicas.


6. Asegurar que se crean oportunamente los tiquetes de incidentes cuando el monitoreo identifica desviaciones de

los umbrales definidos.

Gestionar el entorno.

Mantener las medidas para la

protección contra factores

ambientales. Instalar equipamento y

dispositivos especiales para

supervisar y controlar el entorno.


Entorno de la Red

Políticas de entorno

Informes de pólizas de seguro



Pactica de Gestión

152

Matriz RACI:

Practica clave

de GobiernoD

irec

tor

de

la R

ed

Co

ord

inad

or

de

la

Red

Lid

er e

n g

esti

ón

de

pro

yect

os

Líd

er t

écn

ico

Líd

er d

e TI

Líd

er e

n

soci

aliz

ació

n y

div

ulg

ació

nLí

der

de

serv

icio

s

mu

ltim

edia

Líd

er e

n in

gen

ierí

a

de

soft

war

e

Líd

er d

e se

rvic

ios

acad

émic

os

Líd

er d

e se

rvic

ios

de

con

ecti

vid

ad

Enca

rgad

o d

e

Cal

idad

Ejecutar

procedimientosC C A

Supervisar la

infraestructura de

TII C C C C C C C C

Gestionar el

entornoR R I I I I I C

Gestionar las

instalacionesR R I I I I I C

153

DSS02: Gestionar las peticiones y los incidentes del servicio

Proceso COBIT: DSS02 Gestionar las peticiones y los

incidentes del servicio

Area: Gestión


Descripción del proceso: coordinar y ejecutar las actividades y procedimientos operativos requeridos para entregar servicios

de TI tanto internos como externos, incluyendo la ejecución de procedimientos operativos estándar predeterminados.

Declaración del propósito del proceso: Entregar los resultados de los servicios, según lo planificado.



requisitos


relacionados con TI



Los servicios relacionados de Ti estan disponibles para ser utilizados



con las TI





Los incidentes son resueltos según los niveles de servicio acordados

Las peticiones de servicio son resueltas según los niveles de servicio acordados y la satisfacción del usuario



Esquema de clasificación de

problemas

Esquemas y modelos de clasificación de

incidentes y peticiones de servicio

Reglas para escalado de incidentes

Criterios para registro de problemas

3. Definir modelos de peticiones de servicio según el tipo de peticion de servicio correspondiente para facilitar la auto-

ayuda y el servicio eficiente para las peticiones estándar

5. Definir fuentes de conocimiento de incidentes y peticiones y su uso

Actividades

1. Definir esquemas de clasificacion y priorizacion de incidentes y peticiones de servicio y criterios para el registro de

problemas, para asegurar enfoques consistentes en el tratamiento, informando a los usuarios y realizando análisis de las

tendencias

2. Definir modelos de incidentes para errores conocidos con el fin de facilitar su resolución eficiente y efectiva

4. Definir reglas y procedimientos de escalado de incidentes, especialmente para incidentes importantes e incidentes de

seguridad

Definir esquemas de clasificacion de

incidentes y peticiones de servicio.

Definir esquemas y modelos de

clasificación de incidentes y peticiones de

servicio


Acciones y comunucaciones de

respuesta a incidentes

Reglas de monitorizacion de activos

ANS

Repositorio de configuración

Repositorio actualizado con


Informes de estado de configuración

154

Investigar, diagnosticar y localizar

incidentes.

Identificar y describir síntomas de

incidentes, determinar posibles causas y

asignar recursos a su resolución



Síntomas de incidentes

Registro de problemas


Verificar, aprobar y resolver peticiones de

servicio.

Seleccionar los procedimientos adecuados

para peticiones y verificar que las

peticiones de servicio cumplen los criterios

de petición definidos


Causas raíz relacionadas con riesgos

Peticiones de servicio aprobadas

Peticiones de servicio completas


clasificados y priorizados

1. Verificar los derechos para realizar peticiones de servicio usando, cuando sea posible, un flujo de proceso predefinido y

cambios estándar

2. Obtener aprobacion firmada si se requiere, o aprobaciones predefinidas para cambios estandar acordados

Actividades

3. Completar las peticiones siguiendo el procedimiento de petición seleccionado, utilizando, cuando sea posible, menús

automaticos de autoayuda y modelos de peticion predefinidos para los elementos solicitados frecuentemente


Actividades

1. Registrar todos los incidentes y peticiones de servicio, registrando toda la información relevante de forma que pueda ser

manejada de manera efectiva y se mantenga un registro historico completo

2. Para posibilitar análisis de tendencias, clasificar incidentes y peticiones de servicio identificando tipo y categoria

3. Priorizar peticiones de servicio e incidentes según la definicion de impacto en el negocio del ANS y la urgencia

Registrar, clasificar y priorizar peticiones e

incidentes.

Identificar, registrar y clasificar peticiones

de servicio e incidentes y asignar una

prioridad según la criticidad del negocio y

los acuerdos de servicio


Registro de incidentes y peticiones de

servicio

Tiquetes de incidentes

Reglas de supervision de activos y

condiciones de eventos

Tiquetes de incidentes de seguridad

Procedimiento de emergencia y

escalado

ANS


Resolver y recuperarse ante incidentes.

Documetnar, solicitar y probar las

soluciones identificadas o temporales y

ejecutar acciones de recuperación para

restaurar el servicio TI relacionado


Actividades

1. Identificar y describir síntomas relevantes para establecer las causas mas probables de los incidentes2. Registrar un nuevo problema si un problemas relacionado o error conocido no existe aun y si el incidente satisface los

criterios acordados para registro de problemas

3. Asignar incidentes a funciones especialistas si se necesita de un conocimiento más profundo e implicar al nivel de gestión

apropiado, cuando sea necesario


Actividades

1. Seleccionar y aplicar las resoluciones de incidentes más apropiadas

3. Ejecutar acciones de recuperación, si se requieren

4. Documentar la resolución del incidente y evaluar si puede usarse como una fuente de conocimiento en el futuro

Planes de respuesta a incidentes

relacionados con riesgos

Registro de errores conocidos

Comunicación de conocimiento

aprendido

Resoluciones de incidentes

2. Registrar si se usaron soluciones temporales para resolver los incidentes

155

Cerrar peticiones de servicio e incidentes.

Verificar la satisfactoria resolución de

incidentes y/o satisfactorio cumplimiento

de peticiones y cierre


Registros de problemas cerrados

Peticiones de servicio e incidentes

cerrados

Confirmación del usuario de resolución

o cumplimiento satisfactorios


2. Identificar la información para las partes interesadas y sus necesidades de datos e informes. Identificar la frecuencia y el

medio para informarles

Actividades

1. Supervisar y hacer seguimiento del escalado de incidentes y de resoluciones y de los procedimientos de gestión de

resoluciones para progresar hacia la resolución o cumplimiento.

3. Analizar incidentes y peticiones de servicio por categoria y tipo para establecer tendencias e identificar patrones de

asuntos recurrentes, infracciones de ANS o ineficinecias. Utilizar la información como entrada a la planificación de mejora

continua

4. Producir y distribuir informes en tiempo o proporcionar acceso controlado a datos en línea

OLA

Informes de estado de problemas

Seguir el estado y emitir informes.

Hacer seguimiento, analizar e informar de

incidentes y tendencias de cumplimiento

de peticiones, regularmente, para

proporcionar información para la mejora

continua


Informes de estado de cumplimiento de

peticiones y tendencias

Informes de resolución de problemas

Informes de monitorización de

resolución de problemas

Informes de estado y tendencia de

incidentes

Actividades

1. Verificar con los usuarios afectados que la peticion de servicio ha sido completada o el incidente ha sido resuleto de

manera satisfactoria

2. Cerrar peticiones de servicio e incidentes


156

Matriz RACI:

Practica

clave de

GobiernoD

irec

tor

de

la R

ed

Co

ord

inad

or

de

la

Red

Lid

er e

n g

esti

ón

de

pro

yect

os

Líd

er t

écn

ico

Líd

er d

e TI

Líd

er e

n

soci

aliz

ació

n y

div

ulg

ació

n

Líd

er d

e se

rvic

ios

mu

ltim

edia

Líd

er e

n in

gen

ierí

a

de

soft

war

e

Líd

er d

e se

rvic

ios

acad

émic

os

Líd

er d

e se

rvic

ios

de

con

ecti

vid

ad

Enca

rgad

o d

e

Cal

idad

Definir

esquemas de

clasificacióm de

incidentes y

peticiones de

servicio

A R R R R R R

Registrar,

clasificar y

priorizar

peticiones e

incidentes

A R R R R R

Verificar,

aprobar y

resolver

peticiones de

servicio

I R A A A A A

Investigar,

diagnosticar y

localizar

incidentes

I R A A A A A I

Resolver y

recuperarse de

incidentesI R A A A A A C

Cerrar peticiones

de servicio e

incidentes

I A I I I I I I

Seguir el estado

y emitir informesI A R R R R R I

157

DSS03: Gestionar los problemas

1. Número de interrupciones del servicio causantes de incidentes significativos

2. Porcentaje de no prestación del servicio por falta de disponibilidad

3. Número de quejas de los usuarios


5. Numero de servicios interrumpidos debido a incidentes relacionados con IT













capacidades TI.


a los requisitos


relacionados con TI








Garantizar que los problemas

relativos a TI son resueltos de forma

que no vuelven a suceder


Proceso COBIT: DSS03 Gestionar los problemas Area: Gestión


Descripción del proceso: Identificar y clasificar problemas y sus causas raíz y proporcionar solución en tiempo para

prevenir incidentes recurrentes. Proporcionar recomentaciones de mejora.

Declaración del propósito del proceso: Incrementar la disponibilidad, mejorar los niveles de servicio, reducir costes, y

mejorar la satisfaciion del usuario reduciendo el número de problemas operativos.

Salidas

Identificar y calsificar Problemas

Definir e implementar criterios y

procedimientos para informar de los

problemas identificados, incluyendo

clasificación y priorización de

problemas.


Registro de problemas Registro de problemas

4. Definir niveles de prioridad mediante consultas del entorno. Basar los niveles de prioridad en el impacto al

beneficio y en la urgencia.



Actividades

1. Identificar problemas mediante la correlación de informes de incidentes, registros de error y otros recursos de

identificación de problemas. Determinar niveles de prioridad y categorización para dedicarse a la resolución de

problemas en tiempo basándose en los riesgos de negocio y en la definición del servicio.

2. Manejar formalmente todos los problemas con acceso a todos los datos relevantes, incluyendo información sobre el

sistema de gestión de cambios y los detalles de incidentes sobre activos de TI.

3. Definir grupos de soporte adecuados para ayudar en la identificación de problemas, en el análisis de la causa raíz, y

en la determinación de la solución, para respaldar la gestión de problemas.

5. Mantener un catalogo de gestión de problemas único para gestionar e informar sobre problemas identificados y

para establecer pistas de auditoría sobre los procesos de gestión de problemas, incluyendo el estado de cada

problema.


Criterios para el registro de

problemas

Esquema de clasificación de problemas

Informe de estado de problemas

158

6. Asegurar que el conocimiento aprendido de esta revisión se incorpora en una reunión de revisión del servicio con el

encargado del mismo

Resoluciones de incidentes


cerrado

Comunicación del conocimiento

aprendido

3. A través del proceso de resolución, obtener informes periódicos de gestión de cambios acerca del progreso en la

resolución de errores y problemas.

4. Supervisar el continuo impacto de los problemas y errores conocidos en los servicios.

Resolver y cerrar problemas.

Identificar e iniciar soluciones

sostenibles refiriendose a la causa

raíz, levantando peticiones de cambio

a través de la gestión de cambios.

Asegurarse de que el personal


Registro de problemas cerrados

5. Revisar y confirmar la resolución satisfactoria de problemas grave.

Actividades

1. Cerrar registros de problemas, bien después de la confirmación de la eliminación satisfactoria del error conocido, o

bien una vez acordado como tratar el problema de una manera elternativa.

2. Informar del cierre del problema.



Actividades

1. Tan pronto como las causas raíz de los problemas se hayan identificado, crear registros de errores conocidos y una

solución temporal adecuada

2. Identificar, evaluar, priorizar y procesar soluciones a los errores conocidos basándose en el impacto, la urgencia y el

beneficio.


Informes de resolución de problemas

Registros de errores conocidos

Soluciones propuestas con errores

conocidos

Actividades

1. Identificar problemas que pueden ser errores conocidos comparando datos de incidentes con la base de datos de

errores conocidos y posibles y clasificar problemas como errores conocidos.

2. Asociar los elementos de configuración afectados con el error conocido/establecido.

3. Producir informes para comunicar el progreso de la resolución de problemas y para supervisar el impacto

continuado de los problemas no resueltos.

Entradas Salidas

Levantar errores conocidos.

Tan pronto como las causas raíz de los

problemas se hayan identificado,

crear registros de errores conocidos y

una solución temporal adecuada e

identificar soluciones potenciales.

Investigar y diagnosticar problemas.

Investigar y diagnosticar problemas

utilizando expertos en la materia

relevantes para analizar y valorar las

causas raíz.



Causas raíz de los problemas


159

Matriz RACI:

Practica clave

de GobiernoD

irec

tor

de

la R

ed

Co

ord

inad

or

de

la

Red

Lid

er e

n g

esti

ón

de

pro

yect

os

Líd

er t

écn

ico

Líd

er d

e TI

Líd

er e

n s

oci

aliz

ació

n

y d

ivu

lgac

ión

Líd

er d

e se

rvic

ios

mu

ltim

edia

Líd

er e

n in

gen

ierí

a

de

soft

war

e

Líd

er d

e se

rvic

ios

acad

émic

os

Líd

er d

e se

rvic

ios

de

con

ecti

vid

ad

Enca

rgad

o d

e

Cal

idad

Identificar y

clasificar

ProblemasI I I R C C C C C I

Investigar y

diagnosticar

problemas

R

Levantar errores

conocidosR

Resolver y cerrar

problemasI I I C R C C C C C C

160

DSS04: Gestionar la continuidad


Meta del proceso








Métricas relacionadas

1. Número de servicios prestados a tiempo


1. Porcentaje de proyectos de Ti en los que el impacto es monitoreado a traves


1. Porcentaje de interesados que comprenden las politicas internas


1. Porcentaje de preparacion del personal

La información crítica para la Red está

disponible alineada con los niveles de

servicio mínimos requeridos

Los servicios críticos tienen suficiente

resiliencia

Las pruebas de continuidad del

servicio han verificado la efectividad

del plan

Un plan de continuidad actualizado

refleja los requisitos actuales de la

Red.

Las partes interesadas han sido

formadas en el plan de continuidad.

Proceso COBIT: DSS04 Gestionar la continuidad Area: Gestión


Descripción del proceso: Establecer y mantener un plan para permitir a la red y a TI responder a incidentes e

interrupciones de servicio para la operación continua de los procesos críticos para la Red y los servicios TI requeridos y

mantener la disponibilidad de la información a un nivel aceptable.

Declaración del propósito del proceso: Continuar las operaciones críticas para la Red y mantener la disponibilidad de la

información a un nivel aceptable ante el evento de ina interrupción significativa.








a los requisitos


relacionados con TI

161

Actividades

1. Identificar escenarios potenciales probables que puedan dar pie a eventos causantes de incidentes disruptivos

importantes.

2. Realizar un análisis de impacto en la Red para evaluar el impacto en tiempo de una disrupción en funciones críticas y

el efecto que tendría en ellas.

8. Obtener la aprobación de la mesa de dirección para las opciones estratégicas seleccionadas.

6. Determinar las condiciones y los responsables de decisiones clave que puedan causar la invocaciones de los planes

de continuidad.

7. Identificar los requerimientos de recursos y costes para cada opción técnica estratégia y realizar recomendaciones

estratégicas.

3. Establecer el tiempo mínimo necesario para recuperar un proceso de negocio y su soporte de TI, basándose en una

duración aceptable de interrupción de la Red y la interrupción máxima tolerable.

4. Analizar la probabilidad de amenazas que puedan causar pérdidas de continuidad de la Red e identificar medidas

que reduzcan la probabilidad y el impacto, mejorando la prevención e incrementando la resiliencia.

5. Analizar los requerimientos de continuidad para identificar las posibles estratégias y opciones técnicas


Mantener una estrategia de

continuidad.

Evaluar las opciones de gestion de la

continuidad y escoger una estratégia

de continuidad viable y efectiva en

coste, que pueda asegurar la

continuidad y recuperación de la Red

frente a un desastre o disrupción.


1. Causas raíz relacionadas con riesgos

2. Comunicaciones del impacto de los

riesgos

Análisis de impacto en la Red

Opciones estratégicas aprobadas

Requerimientos de continuidad

2. Identificar las partes interesadas clave y los roles y responsabilidades para definir y acordar la política de

continuidad y su alcance.

3. Definir y documentar los objetivos y el alcance mínimos acordados de la política de continuidad e imbricar la

planificación de continuidad de la cultura de RITA

4. Identificar procesos de soporte esenciales y servicios TI relacionados

Definir la política de continuidad,

objetivos y alcance.

Alinear la política con los objetivos de

la Red y de las las partes interesadas


Política y objetivos de continuidad



Escenarios de incidentes que causan una

interrupción.

Valoraciones de las capacidades

actuales y lagunas de continuidad.

ANS

Actividades

1. Identificar procesos internos, subcontratados y actividades de servicio que son críticas para las operaciones de la

Red o necesarias para cumplir obligaciones legales y/o contractuales.

162

Lista de personal que requiere

formación.

Requerimientos de formación

Resultados de la supervisión de

habilidades y competencias.

Actividades

1. Definir y mantener los planes y requerimientos de formación para quienes realicen de manera continua

planificación de la continuidad, análisis de impacto, evaluaciones de riesgos, comunicación con los medios y respuesta

a incidentes.

2. Desarrollar competencias basadas en la formación práctica que incluyan la participación en ejercicios y pruebas.

3. Supervisar habilidades y competencias basándose en los resultados de los ejercicios y pruebas.


Proporcionar formación en el plan de

continuidad.

Proporcionar a todas las partes

implicadas de sesiones formativas

regulares que contemplen los

procedimientos y sus roles y

responsabilidades en caso de

disrupción.



Plan de continuidad

2. Desarrollar y mantener planes de continuidad que contengan procedimientos a seguir para permitir continuar

operando los procesos críticos y/o planes temporales de servicio.

3. Definir las condiciones y procedimientos de recuperación que permitan la reanudación de procesos y servicios,

incluyendo la actualización y conciliación de las bases de datos para preservar la integridad de la información.

4. Definir y documentar los recursos necesarios para soportar los procesos y servicios de continuidad y recuperación,

considerando personas, instalaciones e infraestructura de TI.

5. Definir y documentar los requerimientos de información de respaldo para soportar los planes y considerar las

necesidades de seguridad y almacenamiento en otra ubicación.

Actividades

1. Definir las acciones y comunicaciones de respuesta a incidentes que deben realizarse en un evento de disrupción.

Definir los roles y responsabilidades relacionados, incluyendo la responsabilidad para la política y la implementación.

Plan de continuidad de negocio (BCP)

Actividades

1. Revisar el plan y la capacidad de continuidad de forma regular frente a las asunciones hechas y los objetivos actuales

de la Red, tanto estratégicos como operativos.

2. Considerar si es necesario una revisión del análisis de impacto en la Red, dependiendo de la naturaleza de los

cambios.

3. Recomendar y comunicar los cambios en la política, planes, procedimientos, infraestructura, roles y

responsabilidades para la aprobación de la dirección y su realización mediante el proceso de gestión de cambios.

Revisar, mantener y mejorar el plan

de continuidad.

Realizar una revisión por parte de la

mesa directiva de la capacidad de

continuidad a intervalos regulares

para asegurar su idoneidad,

adecuación y efectividad. Gestionar

los cambios en el plan de acuerdo a la

gestión de cambios para mantenerlo

actualizado y reflejando

continuamente los requerimientos de

la Red.


Resultados de las revisiones de los

planes.

Cambios recomendados a los planes

7. Distribuir los planes y documentación de soporte de modo seguro a las partes interesadas y apropiadamente

autorizadas y asegurar que estén accesibles en escenarios de desastre.


Salidas

6. Determinar las habilidades necesarias para los individuos implicados en la ejecución de los planes y

procedimientos.

Desarrollar e implementar una

respuesta a la continuidad de la Red.

Desarrollar un plan de continuidad de

negocio (BCP) basado en la estratégia

que documente los procedimientos y

la información lista para el uso de un

incidente facilitando que la empresa


Acuerdos de nivel operativo (OLA)

Acciones y comunicaciones de

respuestas a incidentes

163

Matriz RACI:

2. Determinar la efectividad del plan, capacidades de continuidad, roles y responsabilidades, habilidades y

3. Identificar debilidades u omisiones en el plan y las capacidades, y hacer recomendaciones para la mejora.

4. Obtener la aprobación de la mesa directiva para los cambios en el plan y aplicarlos mediante el proceso de control

de cambios de la empresa.


Ejecutar revisiones post-reanudación.

Evaluar la adecuación del (BCP)

después de la reanudación exitosa de

los procesos y servicios de la Red

despues de una disrupción.


BCP

Cambios aprobados a los planes

Actividades

1. Evaluar la observación del (BCP) documentada.

Informe de revisión post-reanudación

Practica clave

de Gobierno

Dir

ecto

r d

e la

Red

Co

ord

inad

or

de

la

Red

Lid

er e

n g

esti

ón

de

pro

yect

os

Líd

er t

écn

ico

Líd

er d

e TI

Líd

er e

n s

oci

aliz

ació

n

y d

ivu

lgac

ión

Líd

er d

e se

rvic

ios

mu

ltim

edia

Líd

er e

n in

gen

ierí

a

de

soft

war

e

Líd

er d

e se

rvic

ios

acad

émic

os

Líd

er d

e se

rvic

ios

de

con

ecti

vid

ad

Enca

rgad

o d

e

Cal

idad

Definir la política

de continuidad,

objetivos y alcance

A R R R R R R R C

Mantener una

estrategia de

continuidadA R R R R R R R C

Desarrollar e

implementar una

respuesta a la

continuidad de la

Red

I I I R R R R R R R C

Revisar, mantener

y mejorar el plan

de continuidadA R R R R R R R

Proporcionar

formación en el

plan de

continuidad

I I I R R R R R R R

Ejecutar revisiones

post-reanudaciónC C C R R R R R R R

164

MEA01: Supervisar, evaluar y valorar rendimiento y conformidad


a los requisitos


relacionados con TI

El monitoreo, la evaluación y

generación de información es

efectiva y operativa

Objetivos y métricas integradas

dentro de los sistemas de

supervisiónd e la Red

Proceso COBIT: MEA01 Supervisar,

evaluar y valorar rendimiento y

Area: Gestión

Dominio: Supervisar. Evaluar y valorar

Descripción del servicio: Recolectar, evaluar y validar métricas y objetivos de negocio, de TI y de procesos:

Supervisar que los procesos se están realizando de acuerdo al rendimiento acordado y conforme a los objetivos y

métricas y se proporcionan informes de manera sistemática y planificada

Declaración del propósito del proceso: Proporcionar la transparencia de rendimiento y conformidad y conducción

hacia la obtención de objetivos.





1. Frecuencia de actualización del perfil del riesgo


riesgo






capacidades TI.


internas





Objetivos y métricas aprobadas por

las partes interesadas

Procesos medidos de acuerdo a las

métricas y objetivos acordados

Los informes a cerca del rendimiento

y conformidad de los procesos es útil

y a tiempo

1. Tiempo promedio para acordar y aprobar un objetivo estratégico de RITA



proactiva

165

1. Definir y revisar periódicamente los objetivos y métricas con las partes interesadas para identificar cualquier

detalle significativo omitido y definir la razonabilidad de metas y tolerancias.

2. Comunicar los cambios propuestos en las metas y tolerancias de rendimiento y cumplimiento

3. Hacer público a los usuarios de la información los cambios en metas y tolerancias

Métricas y objetivos de

rendimiento y métricas

para el seguimiento de

la mejora de los

procesos

4. Evaluar si los objetivos y métricas son adecuados, es decir, específicos, medibles alcanzables, relevantes y

limitantes en el tiempo

6. Resumir y comunicar los resultados de las autoevaluaciones para considerar acciones correctivas.

7. Definir un enfoque consistente y consensuado para la realización de autoevaluaciones de control y para la


Establecer los objetivos de

cumplimiento y rendimiento.

Colaborar con las partes interesadas

en la definición, revisión periódica,

actualización y aprobación de los

objetivos de rendimiento y

cumplimiento enmarcados dentro del

sistema de medida del rendimiento.

Objetos de supervisión

Descripción

Planes y criterios de Autoevaluación

Resultados de las revisiones de las

autoevaluaciones


Actividades

1. Mantener planes y alcances e identificar los criterios de evaluación para las autoevaluaciones. Planificar la

Actividades

2.Determinar la frecuencia de las autoevaluaciones periódicas, considerando la efectividad y eficiencia conjuntas de

3. Asegurar la responsabilidad de las autoevaluación a las personas oportunas con el fin de asegurar la objetividad y

DescripciónDescripción

Descripción

4. Proporcionar revisiones independientes para asegurar la objetividad de la autoevaluación.

5. Comparar los resultados de las autoevaluaciones con estándares y buenas prácticas.



Establecer un enfoque de supervisión

Involucrar a las partes interesadas en

el establecimiento y mantenimiento

de un enfoque de supervisión que

defina los objetivos, alcance y

método de medición de las

soluciones y objetivos de la Red

Establecer un enfoque

de supervisión

166

5. Analizar las causas de las desviaciones respecto a las metas, asignar responsabilidades para la remediación y

realizar su seguimiento. Documentar los resultados.

6. Cuando sea posible, enlazar el cumplimiento de objetivos de desempeño con el sistema de compensación y

gratificación de la Red.

Actividades

1. Diseñar informes de rendimiento que sean concisos, faciles de entender y ajustados a las diferentes necesidades

de gestión y audiencias. Facilitar la toma efectiva y oportuna de decisionesy asegurar que la cuasa y el efecto entre

objetivos y métricas se comunican de una forma comprensible.

2. Comparar los valores de rendimiento con metas y estudios comparativos internos y, cuando sea posible, con

externos.

Informes de desempeño

3. Recomendar cambios a los objetivos y métricas, cuando sea menester.

4. Distribuir los informes a las partes interesadas relevantes.


4. Alinear los datos consolidados a los enfoques y objetivos de presentación de información de la Red

5. Utilizar herramientas y sistemas apropiados para el procesamiento y formateo de datos para análisis

Descripción

Datos de supervisión apropiados

Informes del

rendimiento del

portafolio de

inversiones

Informes de desempeño

del nivel de servicioResultados de las

revisiones de

supervisión del

cumplimiento de los

proveedores

Resultados de las

revisiones de

rendimiento de los

programas

Informes de revisión de

supervisión de la

capacidad, rendimiento

y disponibilidad

Actividades

1. Recopilar datos de los procesos definidos, de forma automatizada cuando sea posible

2. Evaluar la eficiencia y oportunidad; y validar la integridad de los datos recopilados

3. Consolidar los datos para soportar el cálculo de las métricas acordadas

Recopilar y procesar los datos de

cumplimiento y rendimiento

Recopilar y procesar datos oprtunos y

precisos de acuerdo con los enfoques

de negocio

Evaluación de la

capacidad de los

procesos

Medidas y resultados

exitososInformes de evaluación

de instalaciones

1. Informe de tendencia

y estado de competitud

de las peticiones

2. Informe de tendencia

y estado de incidentes

Entradas Salidas

Analizar e informar sobre el

rendimiento

Revisar e informar de forma periódica

sobre el desempeño respecto de los

objetivos, utilizando métodos que

proporcionen una visión completa y

sucinta del rendimiento de las TI.

Analizar e informar

sobre el rendimiento


Descripción


167

Matriz RACI:

Salidas

4. Informar de los resultados a las partes interesadas

Asegurar la implantación de medidas

correctivas

Apoyar a las partes interesadas en la

identificación, inicio y seguimiento

de las acciones correctivas para

solventar anomalías.

Actividades

1. Revisar las alternativas, respuestas y recomendaciones de la dirección con el fin de tratar los problemas y

desviaciones mayores.

2. Asegurar que se mantiene la asignación de responsabilidades en las acciones correctivas.

3. Hacer seguimiento de los resultados de las acciones correctivas.


Acciones correctivas de

incumplimientosEstado y resultado de las acciones

Directrices de escalado Acciones y asignaciones correctivas


Practica clave

de Gobierno

Dir

ecto

r d

e la

Red

Co

ord

inad

or

de

la

Red

Lid

er e

n g

esti

ón

de

pro

yect

os

Líd

er t

écn

ico

Líd

er d

e TI

Líd

er e

n

soci

aliz

ació

n y

div

ulg

ació

n

Líd

er d

e se

rvic

ios

mu

ltim

edia

Líd

er e

n

inge

nie

ría

de

soft

war

eLí

der

de

serv

icio

s

acad

émic

os

Líd

er d

e se

rvic

ios

de

con

ecti

vid

ad

Enca

rgad

o d

e

Cal

idad

Establecer un

enfoque de

supervisiónA I I C R C C C C C C

Establecer los

objetivos de

cumplimiento y

rendimiento.

I I I R R R R R R R

Recopilar y

procesar los datos

de cumplimiento y

rendimiento

R A R R R R R

Analizar e informar

sobre el

rendimientoA R R R R R R R C

Asegurar la

implantación de

medidas

correctivas

I R C C

168

MEA02: Supervisar, evaluar y valorar el sistema de control interno

Proceso COBIT: MEA02 Supervisar,

evaluar y valorar el sistema de control

Area: Dirección


Descripción del servicio: Supervisa y evalúa de manera continua el entorno de control, incluyendo tanto

autoevaluaciones como revisiones externas independientes. Facilitar a la mesa directiva la identificación de

deficiencias e ineficiencias en el control y el inicio de acciones de mejora. Planificar, organizar y mantener normas

para la evaluacion del control interno y las actividades de aseguramiento,

Declaración del propósito del proceso: Ofrecer transparencia a las partes interesadas claves respecto de la

adecuación del sistema de control interno para generar confianza en las operaciones, en el logro de los objetivos de

la Red.


Los procesos, recursos e información

cumplen con los requisitos del

sistema de control interno de la

empresa


servicios

El control interno está establecido y

las deficiencias son identificadas y

comunicadas



proactiva



Todas las iniciativas de

aseguramiento se planean y ejecutan

de forma efectiva


2. Porcentaje de servicios que fueron aprobados

3.Porcentaje de servicios que cumplieron las expectativas de los usuarios





cumplimiento de las leyes y







riesgo


internas

169

Actividades

1. Determinar los destinatarios de las salidas de la iniciativa de aseguramiento y el objetivo de la revisión.

2. Realizar una evluación del riesgo a alto nivel y/o evaluar la capacidad del proceso para diagnosticar el riesgo e

identificar los procesos críticos de TI

Planificar iniciativas de

aseguramiento

Planificar las iniciativas de

aseguramiento basándose en los

objetivos de la Red y las prioridades

estratégicas

Descripción

3. Establecer la competencia y cualificación de los proveedoras de aseguramiento

Planes de aseguramiento independiente


Criterios de evaluación

Salidas

Garantizar que los proveedores de

aseguramiento son independientes y

están cualificados.

Asegurar que las entidades que

aseguran el aseguramiento son

independientes de la Red en el

alcance. Las entidades que realizan el

aseguramiento deberían mostrar una

actitud y adherencia apropiadas a los

códigos de ética y estándares.


Evaluaciones a los proveedores de la Red

Actividades

1. Establecer la adhesión a códigos de ética y estándares aplicables

2. Establecer la independencia de los proveedores de aseguramiento


Descripción

Actividades

7. Definir un enfoque consistente y consensuado para la realización de autoevaluaciones de control y para la

coordinación con auditores internos y externos.

Resultados de las

autoevaluaciones del

proveedor de

aseguramiento

1. Mantener planes y alcances e identificar los criterios de evaluación para las autoevaluaciones. Planificar la

comunicación de resultados del proceso de autoevaluación a la Red. Considerar estándares de auditoría interna en el

diseño de las autoevaluaciones.

2.Determinar la frecuencia de las autoevaluaciones periódicas, considerando la efectividad y eficiencia conjuntas de

la supervisión continua.

Planes de auditoría de programas

Evaluaciones de alto

nivel

Autoevaluaciones de control

Planes y criterios de

Autoevaluación

Resultados de las

revisiones de las

autoevaluaciones

Resultados de las

autoevaluaciones

6. Resumir y comunicar los resultados de las autoevaluaciones para considerar acciones correctivas.


3. Seleccionar, adaptar y llegar a un acuerdo sobre los objetivos de control para los procesos críticos que serán la

base para la evaluación de control

Realizar autoevaluaciones de control.

Estimular a la mesa directiva y a los

propietarios de los procesos a tomar

posesión de manera firme del

procedimiento de mejora del control

3. Asegurar la responsabilidad de las autoevaluación a las personas oportunas con el fin de asegurar la objetividad y

4. Proporcionar revisiones independientes para asegurar la objetividad de la autoevaluación.

5. Comparar los resultados de las autoevaluaciones con estándares y buenas prácticas.




170

4. Comunicarse con la mesa directiva durante la ejecución de la iniciativa para que haya un entendimiento claro del

trabajo realizado

5. Supervisar las actividades de aseguramiento y asegurar que el trabajo realizado esta completo, cumple con los

objetivos y tiene una calidad aceptable.

6. Proveer a la mesa directiva de in informe que respalde los resultados de la iniciativa y haga hincapié en las

cuestiones clave y las acciones importantes.

Actividades

1. Refinar la comprensión y alcance de los objetivos de control clave en materia de TI en la Red

2. Probar la efectividad del diseño de control de los objetivos clave de control y probar los resultados

3. Documentar el impacto de las debilidades de control

Ejecutar las iniciativas de

aseguramiento

Ejecutar la iniciativa de

aseguramineto planificada. Informar

de los hallazgos identificados.

Proveer opiniones de aseguramiento

positivo y recomendaciones de

mejora relativo al sistema interno.

Descripción

4. Donde la efectividad de control no es aceptable, definir prácticas para identificar el riesgo residual

Deficiencias de cumplimiento detectadas


1. Definir el plan de participación y los recursos necesarios

2. Definir las prácticas de recolección y evaluación de la información de los procesos bajo revisión para identificar los

controles a ser validados y los hallazgos reales para aseguramiento del riesgo

3. Definir prácticas para validar el diseño de controles y resultados; y determinar si el nivel de efectividad es

compatible con el riego aceptable.

Actividades

Informes de incidentes de incumplimiento de

causa raíz

Informe de revisión de

aseguramiento

Descripción

Descripción

Descripción


Estudiar iniciativas de aseguramiento

Definir y acordar con la dirección el

ámbito de la iniciativa de

aseguramiento, basándose en los

objetivos de aseguramiento

171

Matriz RACI:

Realizar

autoevaluaciones de

control

I I C C C C C C C C R

Garantizar que los

proveedores de

aseguramiento son

independientes y

están cualificados

R R R R R R R A

Planificar iniciativas

de aseguramientoA R R R R R R C

Estudiar iniciativas

de aseguramientoR R R R R R A

Ejecutar las

iniciativas de

aseguramientoI I I R R R R R R A

Practica clave

de Gobierno

Dir

ecto

r d

e la

Red

Co

ord

inad

or

de

la

Red

Enca

rgad

o d

e

Cal

idad

Lid

er e

n g

esti

ón

de

pro

yect

os

Líd

er t

écn

ico

Líd

er d

e TI

Líd

er e

n

soci

aliz

ació

n y

div

ulg

ació

nLí

der

de

serv

icio

s

mu

ltim

edia

Líd

er e

n in

gen

ierí

a

de

soft

war

e

Líd

er d

e se

rvic

ios

acad

émic

os

Líd

er d

e se

rvic

ios

de

con

ecti

vid

ad

172

MEA03: Supervisar, evaluar y valorar la conformidad con los

requerimientos externos

Tratar adecuadamente los requisitos externos

de cumplimiento1. Número de incidentes relacionados con el incumplimiento de politicas



Cumplimiento y soporte de TI al cumplimiento

de las leyes y regulaciones externas1. Número de incidentes relacionados con el incumplimiento de politicas


con las TI



riesgo



La totalidad de los requisitos externos de

cumplimiento se han identificado

1. Número de incidentes ocurridos en los servicios causados por errores de



Proceso COBIT: MEA03 Supervisar, evaluar y valorar la

conformidad con los requerimientos externos

Area: Gestión


Descripción del servicio: Evalúa el cumplimiento de requisitos regulatorios y contractuales tanto en los procesos

dependientes de las tecnologías de la información. Obtener garantías de que se han identificado, se cumple con los

requisitos y se ha integrado el complimiento de TI en el cumplimiento de la Red

Declaración del propósito del proceso: Asegurar que toda la empresa cumple con todos los requisitos externos que le sean

aplicables.

Identificar requisitos externos de

cumplimiento.

Identificar y supervisar de manera continuada,

cambios en las legislaciones y regulaciones,

así como otros requisitos externos de

obligatorio cumplimiento en el área de TI


Registro de requisitos de

cumplimiento

Inventario de acciones de

cumplimiento necesarias



5. Mantener un inventario actualizado de los requisitos legales , su impacto y las acciones necesarias

6. Mantener un registro general consolidado de los requisitos externos de cumplimieto que afecten a la Red.

1. Asignar la responsabilidad de identificar y supervisar los cambios legales y regulatorios externos aplicables a la utilización

de recursos de TI y al procesamiento de la información dentro de la Red

2. Identificar y valorar la totalidad de los posibles requisitos de cumplimiento y su impacto sobre las actividades de TI en

ámbitos como los flujos de datos, la privacidad, los controles internos, los informes financieros, la propiedad intelectual y la

seguridad e higiene en el trabajo

Requisitos de cumplimiento legal y

regulatorio

3. Valorar el impacto de los requisitos legales y regulatorios relacionados con TI sobre los contratos con terceros que afecten

a las operaciones de TI y los proveedores de servicio

4. obtener asesoramiento independiente, si procede, sobre las modificaciones en las legislaciones, regulaciones.

Actividades

173

1. Obtener confirmación regularmente del cumplimiento de políticas internas por parte de encargados de procesos en la Red

2. Realizar revisiones regulares para evaluar niveles de cumplimiento

3. Supervisar e informar incidentes de incumplimiento y si es necesario, investigar causa raíz

Obtener garantía del cumplimiento de

requisitos externos

Obtener y notificar garantías de cumplimiento

y adherencia a políticas, estándares,

procedimientos y metodologías. Confirmar

que las acciones correctivas para tratar las

diferencias en el cumplimiento son cerradas a

tiempo.


Reglas de validación y aprovación de

informes obligatorios

Valoración de la efectividad de las

evaluaciones

Actividades

1. Revisar y ajustar con regularidad políticas, principios, metodologías, estándares y procedimientos para que mantengan su

eficacia en asegurar el cumplimiento requerido y la gestión del riesgo en la Red.

2. Comunicar los nuevos requisitos y las modificaciones de los existentes al personal que proceda.


Optimizar la respuesta a requisitos externos

Revisar y ajustar políticas, principios,

estándares, procedimientos y metodologías

para asegurar la adecuada gestión y

comunicación de los requisits legales y

regulatorios. Considerar qué de estos pueden

ser adaptables y adoptables.

Descripción

Requisitos externos

Actividades

Políticas, procedimientos, estándares

y principios

Comunicaciones de las

modificaciones en los requisitos de

cumplimiento

Descripción



Confirmar el cumplimiento de requisitos

externos

Confirmar el cumplimiento de políticas,

principios, metodologías, estándares y

procedimientos

Resultado auditorías de cumplimiento

Resultado de auditorías de licencias

instaladas

Desviaciones de licencia

Deficiencias de cumplimiento

identificadas


Actividades1. Evaluar regularmente las políticas, estándares, procedimientos y metodologías de la Red para todos los servicios y

funciones con objeto de asegurar el cumplimiento de los requisitos legales y regulatorios aplicables.

Informes de pólizas de seguros


2. Gestionar las deficiencias de cumplimiento dentro de plazos razonables

3. Evaluar periodicamente los procesos y actividades tanto de TI como de negocio para asegurar el cumplimiento de los

requisitos

4. Revisar regularmente en busca de patrones reiterados de fallas de cumplimiento. Si procede, mejorar actividades

relacionadas

Informes de incidentes de

incumplimiento y causas raíces

Informes de garantía de

cumplimiento

174

Matriz RACI:

Identificar

requisitos externos

de cumplimientoR

Optimizar la

respuesta a

requisitos externosR R R R R R R R

Confirmar el

cumplimiento de

requisitos externosR R R R R R R A

Obtener garantía

del cumplimiento

de requisitos

externos

I I C C C C C C

Enca

rgad

o d

e

Cal

idad

Líd

er d

e se

rvic

ios

mu

ltim

edia

Practica clave

de Gobierno

Líd

er e

n in

gen

ierí

a

de

soft

war

e

Líd

er d

e se

rvic

ios

acad

émic

os

Líd

er d

e se

rvic

ios

de

con

ecti

vid

ad

Líd

er e

n

soci

aliz

ació

n y

div

ulg

ació

n

Dir

ecto

r d

e la

Red

Co

ord

inad

or

de

la

Red

Lid

er e

n g

esti

ón

de

pro

yect

os

Líd

er t

écn

ico

Líd

er d

e TI

175

Anexo 3: Acta de evaluación de servicios actual.

ACTA EVALUACIÓN DE SERVICIOS

1. DATOS GENERALES

NOMBRE DEL USUARIO__________________________________ FECHA DE SERVICIO _______________

FUNCIONARIO QUE ATENDIÓ_____________________________ HORA DE INICIO __________________

DEPENDENCIA _________________________________________ HORA DE FINALIZACIÓN____________

SERVICIO PRESTADO:

Marque con una (X) cómo evalúa el servicio recibido:

2. EVALUACIÓN Pésimo Malo Regular Bueno Excelente

Actitud de los funcionarios

Tiempo de respuesta para atender su requerimiento

Apoyo y orientación de quien le prestó el servicio

Calidad del servicio

Comentarios:

FIRMA DEL USUARIO CORREO ELECTRÓNICO:

TIPO DE USUARIO

1. Docente 2. Estudiante Pregrado 3. Estudiante Posgrado 4. Egresado

5. Funcionario 6. Otro. ¿Cuál? ____________

_______________________________________________ _________________________________________________

176

Anexo 3.1: Acta de evaluación de servicios propuesta.

ACTA EVALUACIÓN DE SERVICIOS

2. DATOS GENERALES

NOMBRE DEL USUARIO__________________________________ FECHA DE SERVICIO _______________ FUNCIONARIO QUE ATENDIÓ_____________________________ HORA DE INICIO __________________ DEPENDENCIA _________________________________________ HORA DE FINALIZACIÓN____________

SERVICIO PRESTADO:

Marque con una (X) cómo evalúa el servicio recibido:

4. EVALUACIÓN

Pésimo Malo Regular Bueno Excelente Actitud de los funcionarios Tiempo de respuesta para atender su requerimiento Apoyo y orientación de quien le prestó el servicio Calidad del servicio Sí No ¿Se cumplieron la totalidad de sus requerimientos? ¿Se interrumpió o cancelo el servicio en algún momento?

¿Considera usted que se realizó un adecuado manejo de la información?

Comentarios:

FIRMA DEL USUARIO CORREO ELECTRÓNICO:

TIPO DE USUARIO

3. Docente 2. Estudiante Pregrado 3. Estudiante Posgrado 4. Egresado 5. Funcionario 6. Otro. ¿Cuál? ____________

_______________________________________________ _________________________________________________

177

Anexo 4: Propuesta de bitácora de funcionamiento de la Red

BITACORA DE FUNCIONAMIENTO DE LA RED

Fecha: ______________ Responsable: _______________________

Hora Estado de la Red (En funcionamiento/

Servicio interrumpido)

Se han interrumpido las actividades de la

Red (Sí/No)

Causa de la interrupción

8-9 am

9-10 am

10-11 am

11am-12pm

12-1 pm

1-2pm

2-3pm

3-4pm

4-5pm

5-6pm

6-7pm

7-8pm

178

Anexo 5: Formato propuesto de evaluación del riesgo.

Este formato se encuentra en el archivo anexo titulado Mapa Integral de

Riesgos facilitado por la Red y desarrollado por el SIGUD.

MODELO DE CONSTRUCCIÓN E IMPLEMENTACIÓN...

Documents

Transcript of MODELO DE CONSTRUCCIÓN E IMPLEMENTACIÓN...