ACTIVIDADES

OBJETIVO
PROCESO

CONTROL
DOMINIO

PROC
DETALLE OBJETIVO CONTROL

Relacionar las metas del Negocio con las de TI

Trabajar con el negocio para garantizar que el portafolio de

inversiones de TI de la empresa contenga programas con
PO 1.1Administracion de valor de TI casos de negocio sólidos. Reconocer que existen inversiones
obligatorias, de sustento y discrecionales que difieren en
complejidad y grado de libertad en cuanto a la asignación de
fondos. Los procesos de TI deben proporcionar una entrega
efectiva y eficiente de los componentes TI de los programas y
advertencias oportunas sobre las desviaciones del plan,
incluyendo costo, cronograma o funcionalidad, que pudieran
impactar los resultados esperados de los programas. Los
servicios de TI se deben ejecutar contra acuerdos de niveles d
servicios equitativos y exigibles. La rendición de cuentas del
logro de los beneficios y del control de los costos es claramen
asignada y monitoreada. Establecer una evaluación de los
casos de negocio que sea justa, transparente, repetible y
comparable, incluyendo el valor financiero, el riesgo de no
cumplir con una capacidad y el riesgo de no materializar los
beneficios esperados.
ionar las metas del negocio con las de TI.

O 1.2 Alineacion de TI con el Negocio

Educar a los ejecutivos sobre las capacidades tecnológicas

actuales y sobre el rumbo futuro, sobre las oportunidades que
ofreceTI, y sobre qué debe hacer el negocio para capitalizar
esas oportunidades. Asegurarse de que el rumbo del negocio
cual está alineado TI está bien entendido. Las estrategias de
negocio y de TI deben estar integradas, relacionando de
manera clara las metas de la empresa y las metas de TI y
reconociendo las oportunidades así como las limitaciones en
capacidad actual, y se deben comunicar de manera amplia.
Identificar las áreas en que el negocio (estrategia) depende de
forma crítica de TI, y mediar entre los imperativos
del negocio y la tecnología, de tal modo que sepuedan
establecer prioridades concertadas.
 PO 1.2 Alineacion de
manera clara las metas de la empresa y las metas de TI y

Relacionar las metas del

reconociendo las oportunidades así como las limitaciones en
capacidad actual, y se deben comunicar de manera amplia.
Identificar las áreas en que el negocio (estrategia) depende de
forma crítica de TI, y mediar entre los imperativos
del negocio y la tecnología, de tal modo que sepuedan
establecer prioridades concertadas.

PO1.3 Evaluación del Desempeño y la Capacidad Actual

Identificar Dependencias Criticas y Desempeño Actual

Evaluar el desempeño de los planes existentes y de los

sistemas de información en términos de su contribución a los
objetivos de
negocio, su funcionalidad, su estabilidad, su complejidad, sus
costos, sus fortalezas y debilidades.
PO 01 DEFINIR UN PLAN ESTRATEGICO
PLANEAR Y ORGANIZAR

Construir un plan estratégico para TI.

Crear un plan estratégico que defina, en cooperación con los

PO1.4 Plan Estratégico de TI

interesados relevantes, cómo TI contribuirá a los objetivos

estratégicos de la empresa (metas) así como los costos y
riesgos relacionados. Incluye cómo TI dará soporte a los
programas de inversión facilitados por TI y a la entrega de los
servicios operativos. Define cómo se cumplirán y medirán los
objetivos y recibirán una autorización formal de los interesado
El plan estratégico de TI debe incluir el presupuesto de la
inversión / operativo, las fuentes de financiamiento, la
estrategia de obtención, la estrategia de adquisición, y los
requerimientos legales y regulatorios. El plan estratégico debe
ser lo suficientemente detallado para permitir la definición de
planes tácticos de TI.
 objetivos y recibirán una autorización formal de los interesado

PO1.4 Plan Estr

Construir un plan e
El plan estratégico de TI debe incluir el presupuesto de la
inversión / operativo, las fuentes de financiamiento, la
estrategia de obtención, la estrategia de adquisición, y los
requerimientos legales y regulatorios. El plan estratégico debe
ser lo suficientemente detallado para permitir la definición de
planes tácticos de TI.

Construir planes tácticos para TI.

PO1.5 Planes Tácticos de TI Crear un portafolio de planes tácticos de TI que se deriven de

plan estratégico de TI. Estos planes tácticos deben describir la
iniciativas y los requerimientos de recursos requeridos por TI,
cómo el uso de los recursos y el logro de los beneficios serán
monitoreados y administrados. Los planes tácticos deben tene
el detalle suficiente para permitir la definición de planes de
proyectos. Administrar de forma activa los planes tácticos y la
iniciativas de TI establecidas por medio del análisis de los
portafolios de proyectos y servicios. Esto incluye el equilibrio d
los requerimientos y recursos de forma regular, comparándolo
con el logro de metas estratégicas y tácticas y con los
beneficios esperados, y tomando las medidas necesarias en
caso de desviaciones.
alizar portafolios de programas y administrar

PO1.6 Administración del Portafolio de TI

portafolios de servicios y proyectos.

Administrar de forma activa, junto con el negocio, el portafolio de

programas de inversión de TI requerido para lograr objetivos de
negocio estratégicos específicos por medio de la identificación, definición,
evaluación, asignación de prioridades, selección, inicio,
administración y control de los programas. Esto incluye clarificar los
resultados de negocio deseados, garantizar que los objetivos de
los programas den soporte al logro de los resultados, entender el alcance
completo del esfuerzo requerido para lograr los resultados,
definir una rendición de cuentas clara con medidas de soporte, definir
proyectos dentro del programa, asignar recursos y
financiamiento, delegar autoridad, y comisionar los proyectos requeridos
momento de lanzar el programa.
 los programas den soporte al logro de los resultados, entender el alcance

portafolios de ser
Analizar portafolios de
completo del esfuerzo requerido para lograr los resultados,

PO1.6 Administraci
definir una rendición de cuentas clara con medidas de soporte, definir
proyectos dentro del programa, asignar recursos y
financiamiento, delegar autoridad, y comisionar los proyectos requeridos
momento de lanzar el programa.

PO2.1 Modelo de Arquitectura de Información

Crear y mantener modelo de información
corporativo/empr esar ial.

Establecer y mantener un modelo de información empresarial que facilite

Empresarial

desarrollo de aplicaciones y las actividades de soporte a

la toma de decisiones, consistente con los planes de TI como se describen
en P01. El modelo debe facilitar la creación, uso y el
compartir en forma óptima la información por parte del negocio de tal
manera que se mantenga su integridad, sea flexible, funciona
rentable, oportuna, segura y tolerante a fallos.
2.2 Diccionario de Datos Empresarial y Reglas de
ear y mantener diccionario de datos corporativo.
O2 - Definir la Arquitectura de la Información.

Mantener un diccionario de datos empresarial que incluya las

Sintaxis de Datos

reglas de sintaxis de datos de la organización. El diccionario

facilita
compartir elementos de datos entre las aplicaciones y los
sistemas, fomenta un entendimiento común de datos entre los
usuarios de
TI y del negocio, y previene la creación de elementos de dato
incompatibles.
ormación.
 usuarios de

Sinta
Crear y mantener dic
PO2 - Definir la Ar
TI y del negocio, y previene la creación de elementos de dato

PO2.2 Diccionario de
incompatibles.

Arquitectura de la Información.

*Brindar a los dueños

procedimientos y herramientas para clasifcar los sistemas de

PO2.3 Esquema de Clasificación de Datos

*Establecer y mantener esquema de clasifcación de datos.

Establecer un esquema de clasificación que aplique a toda la empresa,

basado basado en que tan critica y sensible es la informacion (esto es
información.

pública, confidencial, secreta) de la empresa. Este esquema incluye detalle

acerca de la propiedad de datos, la definición de niveles apropiados de
seguridad y de controles de protección, y una breve descripción de los
requerimientos de retención y estrucción de datos, además de qué tan
críticos y sensibles son. Se usa como base para aplicar controles como el
control de acceso, archivo o cifrado.
ar el modelo de información, el diccionario de datos y
l esquema de clasificación para planear los sistemas
PO2 - Definir la Arquitectura de la Información.

P02.4 Administración de Integridad

Definir e implementar procedimientos para garantizar la

integridad y consistencia de todos los datos almacenados en
formato electronico, tales como bases de datos, almacenes de
datos y archivos.
 PO2 - Definir la

Usar el modelo de inf

el esquema de clasif

P02.4 Adm
 DIAGNOSTICO COBIT

DETALLE OBJETIVO CONTROL

Trabajar con el negocio para garantizar que el portafolio de

nversiones de TI de la empresa contenga programas con
asos de negocio sólidos. Reconocer que existen inversiones
bligatorias, de sustento y discrecionales que difieren en
omplejidad y grado de libertad en cuanto a la asignación de
ondos. Los procesos de TI deben proporcionar una entrega
fectiva y eficiente de los componentes TI de los programas y
dvertencias oportunas sobre las desviaciones del plan,
ncluyendo costo, cronograma o funcionalidad, que pudieran
mpactar los resultados esperados de los programas. Los
ervicios de TI se deben ejecutar contra acuerdos de niveles de
ervicios equitativos y exigibles. La rendición de cuentas del
ogro de los beneficios y del control de los costos es claramente
signada y monitoreada. Establecer una evaluación de los
asos de negocio que sea justa, transparente, repetible y
omparable, incluyendo el valor financiero, el riesgo de no
umplir con una capacidad y el riesgo de no materializar los
eneficios esperados.

Educar a los ejecutivos sobre las capacidades tecnológicas

ctuales y sobre el rumbo futuro, sobre las oportunidades que
freceTI, y sobre qué debe hacer el negocio para capitalizar
sas oportunidades. Asegurarse de que el rumbo del negocio al
ual está alineado TI está bien entendido. Las estrategias de
egocio y de TI deben estar integradas, relacionando de
manera clara las metas de la empresa y las metas de TI y
econociendo las oportunidades así como las limitaciones en la
apacidad actual, y se deben comunicar de manera amplia.
dentificar las áreas en que el negocio (estrategia) depende de
orma crítica de TI, y mediar entre los imperativos
el negocio y la tecnología, de tal modo que sepuedan
stablecer prioridades concertadas.
manera clara las metas de la empresa y las metas de TI y
econociendo las oportunidades así como las limitaciones en la
apacidad actual, y se deben comunicar de manera amplia.
dentificar las áreas en que el negocio (estrategia) depende de
orma crítica de TI, y mediar entre los imperativos
el negocio y la tecnología, de tal modo que sepuedan
stablecer prioridades concertadas.

Evaluar el desempeño de los planes existentes y de los

istemas de información en términos de su contribución a los
bjetivos de
egocio, su funcionalidad, su estabilidad, su complejidad, sus
ostos, sus fortalezas y debilidades.

Crear un plan estratégico que defina, en cooperación con los

nteresados relevantes, cómo TI contribuirá a los objetivos
stratégicos de la empresa (metas) así como los costos y
esgos relacionados. Incluye cómo TI dará soporte a los
rogramas de inversión facilitados por TI y a la entrega de los
ervicios operativos. Define cómo se cumplirán y medirán los
bjetivos y recibirán una autorización formal de los interesados.
El plan estratégico de TI debe incluir el presupuesto de la
nversión / operativo, las fuentes de financiamiento, la
strategia de obtención, la estrategia de adquisición, y los
equerimientos legales y regulatorios. El plan estratégico debe
er lo suficientemente detallado para permitir la definición de
lanes tácticos de TI.
 bjetivos y recibirán una autorización formal de los interesados.
El plan estratégico de TI debe incluir el presupuesto de la
nversión / operativo, las fuentes de financiamiento, la
strategia de obtención, la estrategia de adquisición, y los
equerimientos legales y regulatorios. El plan estratégico debe
er lo suficientemente detallado para permitir la definición de
lanes tácticos de TI.

Crear un portafolio de planes tácticos de TI que se deriven del

lan estratégico de TI. Estos planes tácticos deben describir las
niciativas y los requerimientos de recursos requeridos por TI, y
ómo el uso de los recursos y el logro de los beneficios serán
monitoreados y administrados. Los planes tácticos deben tener
l detalle suficiente para permitir la definición de planes de
royectos. Administrar de forma activa los planes tácticos y las
niciativas de TI establecidas por medio del análisis de los
ortafolios de proyectos y servicios. Esto incluye el equilibrio de
os requerimientos y recursos de forma regular, comparándolos
on el logro de metas estratégicas y tácticas y con los
eneficios esperados, y tomando las medidas necesarias en
aso de desviaciones.

dministrar de forma activa, junto con el negocio, el portafolio de

rogramas de inversión de TI requerido para lograr objetivos de
egocio estratégicos específicos por medio de la identificación, definición,
valuación, asignación de prioridades, selección, inicio,
dministración y control de los programas. Esto incluye clarificar los
esultados de negocio deseados, garantizar que los objetivos de
os programas den soporte al logro de los resultados, entender el alcance
ompleto del esfuerzo requerido para lograr los resultados,
efinir una rendición de cuentas clara con medidas de soporte, definir
royectos dentro del programa, asignar recursos y
nanciamiento, delegar autoridad, y comisionar los proyectos requeridos al
momento de lanzar el programa.
os programas den soporte al logro de los resultados, entender el alcance
ompleto del esfuerzo requerido para lograr los resultados,
efinir una rendición de cuentas clara con medidas de soporte, definir
royectos dentro del programa, asignar recursos y
nanciamiento, delegar autoridad, y comisionar los proyectos requeridos al
momento de lanzar el programa.

stablecer y mantener un modelo de información empresarial que facilite el

esarrollo de aplicaciones y las actividades de soporte a
a toma de decisiones, consistente con los planes de TI como se describen
n P01. El modelo debe facilitar la creación, uso y el
ompartir en forma óptima la información por parte del negocio de tal
manera que se mantenga su integridad, sea flexible, funciona
entable, oportuna, segura y tolerante a fallos.

Mantener un diccionario de datos empresarial que incluya las

eglas de sintaxis de datos de la organización. El diccionario
acilita
ompartir elementos de datos entre las aplicaciones y los
istemas, fomenta un entendimiento común de datos entre los
suarios de
TI y del negocio, y previene la creación de elementos de datos
ncompatibles.
 suarios de
TI y del negocio, y previene la creación de elementos de datos
ncompatibles.

stablecer un esquema de clasificación que aplique a toda la empresa,

asado basado en que tan critica y sensible es la informacion (esto es
ública, confidencial, secreta) de la empresa. Este esquema incluye detalles
cerca de la propiedad de datos, la definición de niveles apropiados de
eguridad y de controles de protección, y una breve descripción de los
equerimientos de retención y estrucción de datos, además de qué tan
ríticos y sensibles son. Se usa como base para aplicar controles como el
ontrol de acceso, archivo o cifrado.

Definir e implementar procedimientos para garantizar la

ntegridad y consistencia de todos los datos almacenados en
ormato electronico, tales como bases de datos, almacenes de
atos y archivos.
 DIAGNOSTICO COBIT

PREGUNTAS
1.- ¿El portafolio de inversiones de TI contiene programas con casos de
negoci o sól i dos?
2.- ¿Los procesos de TI proporcionan una entrega efectiva de los
componentes TI de los programas?
3.- ¿Los procesos de TI proporcionan una entrega eficiente de los
componentes TI de los programas?
4.- ¿Los procesos de TI advierten oportunamente sobre las desviaciones
del plan, incluyendo costo, cronograma o funcionalidad, que pudieran
impactar los resultados esperados de los programas?
5.- ¿Los s er vi c i os de TI s e ej ec uta n c ontr a a c uer dos de ni vel
es de s er vi c i os equi ta ti vos ?
6.- ¿Los s er vi c i os de TI s e ej ec uta n c ontr a a c uer dos de ni vel
es de s er vi c i os exigibles?
7.- ¿La rendición de cuentas del logro de los beneficios y del control de
los costos está claramente asignada?
8.- ¿La rendición de cuentas del logro de los beneficios y del control de
los c os tos es tá c l a r a mente moni tor ea da?
9.- ¿Se evalúa el riesgo de no cumplir con una capacidad para obtener
los benefi c i os es per a dos ?

10.- ¿Se eva l úa el r i es go de no ma ter i a l i za r l os benefi c i os

es per a dos?

1.-¿Los ejecutivos reciben capacitación tecnológica actual?

2.-¿Los ejecutivos saben lo que debe hacer el negocio para capitalizar las
oportunidades que ofrece TI?

3.-¿Está bien entendido el rumbo del negocio al cual está alineado TI?

4.-¿Las estrategias de negocio y de TI están integradas?

4.-¿Las estrategias de negocio y de TI están integradas?

5.- ¿Cuáles s on las áreas en que el negocio (estrategia) depende de

forma crítica de TI?

6.-¿Entre los imperativos del negocio y la tecnología, están establecidas

prioridades concertadas?

1.- ¿En el desempeño de los planes existentes se evalúa la

funcionalidad?

2.- ¿En el desempeño de los planes existentes se evalúa la

estabilidad?

3.-¿En el desempeño de los planes existentes se evalúa la

complejidad?

4.-¿En el desempeño de los planes existentes se evalúa los costos?

5.-¿En el desempeño de los planes existentes se evalúa la fortaleza?

6.-¿En el desempeño de los planes existentes se evalúa la debilidad?

1.- ¿Existe un plan estratégico?

2.-¿Este plan define cómo TI contribuirá a los objetivos estratégicos de la
empresa?
3.-¿En este plan están definidos los costos relacionados?

4.-¿En este plan están definidos los riesgos relacionados?

5.-¿En el plan incluye cómo TI dará soporte a los programas de inversión?

6.-¿En el plan incluye cómo TI dará soporte a la entrega de los servicios

operativos?

7.-¿El plan define cómo se cumplirán los objetivos?

7.-¿El plan define cómo se cumplirán los objetivos?

8.-¿El plan define cómo se medirán los objetivos?

9.-¿El plan es lo suficientemente detallado para permitir la definición de

planes tácticos de TI?

1.-¿Existe un portafolio de planes tacticos de TI derivados del plan

estrategco de TI?
2.-¿Estos planes tacticos describen los recursos requeridos por TI?

3.-¿Estos planes describen como se monitorean los recursos?

4.-¿Estos planes describen como se administran los recursos?

5.-¿Estos planes tacticos describen como se monitorean los beneficios
obtenidos?
6.-¿Estos planes tacticos describen como se adminstran los beneficios
obtenidos?
7.-¿Los planes tacticos permiten la definicion de planes de proyectos?
8.-¿Se administran los planes tacticos mediante el analisis de los
portafolios de proyectos y servicios?
9.-¿El equilibrio de recursos se compara con el logro de las metas
estrategicas?
10.-¿El equilibrio de los recursos so compara con los beneficios
esperados?
11.-¿Se toman las medidas necesarias en caso de desviaciones?

1.-Saber los programas de inversion de TI(proyectos):

a.¿Se administran de forma activa la inversion?

b.¿Se identifican nuevos proyectos?

c.¿Se definen nuevos proyectos?

d.¿Se evaluan los nuevos proyectos?

e.¿Se priorizan los proyectos?

f.¿Se seleccionan proyectos?

g.¿Se administran los proyectos?

h.¿Se controlan los proyectos?

1.-¿El modelo de información empresarial facilita el desarrollo de
aplicaciones consistente con los planes de TI?
2.- ¿El modelo de informacion empresarial facilita las actividades de
soporte a la toma de decisiones, consistentes con los planes de TI?
3.-¿El modelo facilita la creacion de la informacion?
4.-¿El modelo facilita el uso de la informacion?
5.-¿El modelo facilita el compartir en forma optima la informacion?

6.-¿El modelo permite que la informacion se mantenga integra?

7.-¿El modelo permite que la informacion se mantenga flexible?

8.-¿El modelo permite que la informacion se mantenga funcional?

9.-¿El modelo permite que la informacion se mantenga rentable?

10.-¿El modelo permite que la informacion se mantenga oportuna?

11.-¿El modelo permite que la informacion se mantenga segura?

12.-¿El modelo permite que la informacion se mantenga tolerante a fallos?

1.-¿El diccionario de datos incluye reglas de sintaxis de datos de la
organizacion?

2.-¿El diccionario facilita compartir elementos de datos entre las

aplicaciones?

3.-¿El diccionario facilita compartir elementos de datos entre los

sistemas?
3.-¿El diccionario facilita compartir elementos de datos entre los
sistemas?

4.-¿El diccionario fomenta un entendimiento comun de datos entre los

usuarios de TI y del negocio?
5.-¿El diccionario previene la creacion de elementos de datos
imcompatibles?
1.-¿El esquema de clasificacion de datos aplica a toda la empresa?
2.-¿Esta basado en que tan critica es la informacion (publica, confidencial,
secreta) de la empresa?
3.-¿Esta basado en que tan sensible es la informacion (publica,
confidencial, secreta) de la empresa?
4.-¿Este esquema incluye detalles como la propiedad de datos?

5.-¿Este esquema define los niveles apropiados de seguridad ?

6.-¿Este esquema define los niveles apropiados de controles de
proteccion?
7.-¿Este esquema describe los requerimientos de retencion de datos?

8.-¿Este esquema describe los requerimientos de destruccion de datos?

9.-¿Este esquema describe que tan criticos son los datos?

10.-¿Este esquema describe que tan sensibles son los datos?

11.-¿Este esquema se utiliza como base para aplicar controles como el de
acceso, archivo o cifrado?
1.-¿Existen procedimientos que garanticen la integridad de los da tos
almacenados en formato electrónico, tales como bases de datos,
almacenes de datos y archivos?
2.-¿Existen procedimientos que garanticen la consistencia de todos los
datos almacenados en formato electrónico, tales como bases de datos,
almacenes de datos y archivos?
RESPUESTA MEDICION (INDICADOR)
 ACTIVIDADES

OBJETIVO
PROCESO

CONTROL
DOMINIO

PROC
DETALLE OBJETIVO CONTROL

mentar y analizar el riesgo del proceso de negocio. *Establecer procesos para la integridad/válidez de los r equer
Definir los requerimientos funcionales y técnicos del negocio.

AI1.1 - Definición y Mantenimiento de los Requerimientos

Técnicos y Funcionales del Negocio

Identificar, dar prioridades, especificar y acordar los

imientos.

requerimientos de negocio funcionales y técnicos

que cubran el alcance completo de todas las
iniciativas requeridas para lograr los resultados
esperados de los programas de inversión en TI.
I1.2 - Repor te de A nálisis de Riesgos.

Identificar, documentar y analizar los riesgos

asociados con los requerimientos del negocio y
diseño de soluciones como parte de los procesos
organizacionales para el desarrollo de los
requerimientos.
das.
 Identificar, documentar y analizar los riesgos

A I1.2 - Repor te de A ná
asociados con los requerimientos del negocio y

dentificar, documentar y analizar el ri

diseño de soluciones como parte de los procesos
organizacionales para el desarrollo de los
requerimientos.

AI1 - Identificar soluciones automatizadas.

AI1.3 - Estudio de Factibilidad y Formulación de Cursos de Acción

Evaluar los beneficios de negocio de las soluciones propuestas.

Desarrollar un estudio de factibilidad que examine

Alternativos.

la posibilidad de Implementar los requerimientos. La

administración del negocio, apoyada por la función
de TI, debe evaluar la factibilidad y los cursos
alternativos de acción y realizar recomendaciones
al patrocinador del negoci o.
s, Dec isión de Factibilidad y Aprobación.
e factibilidad/evaluación de impacto con
ción de los requerimientos de negocio

bar y Autorizar soluciones propuestas

orar un proceso de aprobación de

Verificar que el proceso requiere al patrocinador del

negocio para aprobar y autoriza los requisitos de
negocio, tanto funcionales como técnicos, y los
reportes del estudio de factibilidad en las etapas
clave predeterminadas. El patrocinador del negocio
tiene la decisión final con respecto a la elección de
la solución y al enfoque de adquisición.
 respecto a la implantación de los requerimi
propuestos. *Elaborar un proceso de a
requerimientos. *Aprobar y Autorizar soluc

A I1.4 - Requer imientos, Dec isión de Factib

Conducir un estudio de factibilidad/evaluaci
Verificar que el proceso requiere al patrocinador del
negocio para aprobar y autoriza los requisitos de
negocio, tanto funcionales como técnicos, y los
reportes del estudio de factibilidad en las etapas
clave predeterminadas. El patrocinador del negocio
tiene la decisión final con respecto a la elección de
la solución y al enfoque de adquisición.

Preparar diseño detallado y los requerimientos técnicos del

AI2.2 - Diseño Detallado.

Preparar el diseño detallado y los requerimientos

software aplicativo.

técnicos del software de aplicación. Definir el

criterio de aceptación de los requerimientos.
Aprobar los requerimientos para garantizar que
corresponden al diseño de alto nivel. Realizar
reevaluaciones cuando sucedan discrepancias
significativas técnicas o lógicas durante el
desarrollo o mantenimiento.
erimientos técnicos del software

e Auditar las Aplicaciones.

Implementar controles de negocio, cuando aplique,

ivo.
 AI2.3 - Control y Posibilidad de Auditar las Aplicac
Preparar diseño detallado y los requerimientos técnicos
Implementar controles de negocio, cuando aplique,

aplicativo.
en controles de aplicación automatizados tal que el
procesamiento sea exacto, completo, oportuno,
autorizado y auditable.

Especificar los controles de aplicación dentro del diseño.

AI2.4 - Seguridad y Disponibilidad de las Aplicaciones.

Abordar la seguridad de las aplicaciones y los requerimientos

de disponibilidad en respuesta a los riesgos identificados y en
línea con la clasificación de datos, la arquitectura de la
información, la arquitectura de seguridad de la información y
la tolerancia a riesgos de la organi zaci ón.
re Aplicativo Adquirido.
tomatizada adquirida.
 Personalizar e implementar la funcionalidad automatizada adquirida

AI2.5 - Configuración e Implantación de Software Aplicativo Adquirid

Configurar e implementar software de aplicaciones
adquiridas para conseguir los objetivos de negocio.
Personalizar e implementar la funcionalidad automatizada adquirida

AI2.6 - Actualizaciones Importantes en Sistemas Existentes

AI2 - Adquirir y mantener software aplicativo.

En caso de cambios importantes a los sistemas

existentes que resulten en cambios significativos al
diseño actual y/o funcionalidad, seguir un proceso
de desarrollo similar al empleado para el
desarrollo de sistemas nuevos .
A

AI2.6 -
Personaliz
esarrollar las metodologías y procesos formales para administrar el

AI2.7 - Desarrollo de Software Aplicativo.

proceso de desarrollo de la aplicación. Garantizar que la funcionalidad de automatización
se desarrolla de acuerdo con las especificaciones
de diseño, los estándares de desarrollo y
documentación, los requerimientos de calidad y
estándares de aprobación. Asegurar que todos los
aspectos legales y contractuales se identifican y
direccionan para el software aplicativo desarrollado
por terceros.
ar un plan de asegur amiento de la calidad del software par a el

AI2.8 - A segur amiento de la Calidad del Softwar e.

Desarrollar, Implementar los recursos y ejecutar un

pr oyec to.

plan de aseguramiento de calidad del software,

para obtener la calidad que se especifica en la
definición de los requerimientos y en las políticas y
procedimientos de calidad de la organización
rear un plan de asegur

AI2.8 - A segur
Dar seguimiento y administrar los requerimientos de la aplicación

AI2.9 - Administración de los Requerimientos de Aplicaciones.

Seguir el estado de los requerimientos individuales
(incluyendo todos los requerimientos rechazados)
durante el diseño, desarrollo e implementación, y
aprobar los cambios a los requerimientos a través
de un proceso de gestión de cambios establecido.
un plan para el mantenimiento de aplicaciones de

10 - Mantenimiento de Softwar e Aplicativo.

software.

Desarrollar una estrategia y un plan para el

mantenimiento de aplicaciones de software.
 Desarrollar una estrategia y un plan para el

Desarrollar un plan para el mant

AI2.10 - Mantenimiento d
softw
mantenimiento de aplicaciones de software.

Negociar la compra y adquirir la infraestructura requerida con

AI3.1 - Plan de Adquisición de Infraestructura Tecnológica.

Generar un plan para adquirir, Implementar y
proveedores(aprobados).

mantener la infraestructura tecnológica que

satisfaga los requerimientos establecidos
funcionales y técnicos del negocio, y que esté de
acuerdo con la dirección tecnológica de la
organización. El plan debe considerar extensiones
futuras para adiciones de capacidad, costos de
transición, riesgos tecnológicos y vida útil de la
inversión para actualizaciones de tecnología.
Evaluar los costos de complejidad y la viabilidad
comercial del proveedor y el producto al añadir
AI3 - Adquirir y mantener infraestructura tecnológica.

nueva capacidad técnica.

ibilidad del Recurso de Infraestructura.
iento/ proceso de adquisición.

Implementar medidas de control interno, seguridad

y auditabilidad durante la configuración, integración
y mantenimiento del hardware y del software de la
infraestructura para proteger los recursos y
garantizar su disponibilidad e integridad. Se deben
definir y comprender claramente las
responsabilidades al utilizar componentes de
infraestructura sensitivos por todos aquellos que
 Implementar medidas de control interno, seguridad

Definir el procedimiento/ proceso de a

AI3 - Ad

AI3.2 - Protección y Disponibilidad del Recurs

y auditabilidad durante la configuración, integración
y mantenimiento del hardware y del software de la
infraestructura para proteger los recursos y
garantizar su disponibilidad e integridad. Se deben
definir y comprender claramente las
responsabilidades al utilizar componentes de
infraestructura sensitivos por todos aquellos que
desarrollan e integran los componentes de
infraestructura. Se debe monitorear y evaluar su
uso.

Definir estrategia y planear el mantenimiento de infraestructura.

AI3.3 - Mantenimiento de la Infraestructura.

Desarrollar una estrategia y un plan de

mantenimiento de la infraestructura y garantizar que
se controlan los cambios, de acuerdo con el
procedimiento de administración de cambios de la
organización. Incluir una revisión periódica contra
las necesidades del negocio, administración de
parches y estrategias de actualización, riesgos,
evaluación de vulnerabilidades y requerimientos de
seguridad.
structura.

tibilidad.
Configurar componentes de la infraestructura.

AI3.4 - Ambiente de Prueba de Factibilidad.

Establecer el ambiente de desarrollo y pruebas
para soportar la efectividad y eficiencia de las
pruebas de factibilidad e integración de
aplicaciones e infraestructura, en las primeras fases
del proceso de adquisición y desarrollo. Hay que
considerar la funcionalidad, la configuración de
hardware y software, pruebas de integración y
desempeño, migración entr e a mbi entes , control
de l a versiones , datos y herramientas de prueba
y seguridad.
Desarrollar estrategia para que la solución sea operativa.

AI4.1 - Plan para Soluciones de Operación.

Desarrollar un plan para identificar y documentar

todos los aspectos técnicos, la capacidad de
operación y los niveles de servicio requeridos, de
manera que todos los interesados puedan tomar la
responsabilidad oportunamente por la producción
de procedimientos de administración, de usuario y
operati vos, como resul tado de l a i ntroducci ón o
actualización de sistemas automatizados o de
infraestructura
 Desar

A I4.2 - Tr ansfer enc ia de Conoc imiento a la Ger enc ia del Negoc io.
Desar r ollar metodología de tr ansfer enc ia de c onoc imiento.
Transferir el conocimiento a la gerencia de l a
empres a para permitir les tomar posesión del
sistema y l os datos y ejercer la responsabilidad
por la entrega y calidad del servicio, del control
interno, y de los procesos administrativos de la
aplicación. La transferencia de conocimiento incluye
la aprobación de acceso, administración de
privilegios, s egr ega c i ón de ta r ea s , c ontr ol es
a utomatizados del negocio,
respaldo/recuperación, seguridad física y archivo de
la documentación fuente.
AI4 - Facilitar la operación y el uso.

rollar manuales de procedimiento del usuario final. * Evaluar los

ados del entrenamiento y ampliar la documentación c omo se r

I4.3 - Tr ansfer enc ia de Conocimiento a Usuarios Finales.

Transferencia de conocimiento y habilidades para

permitir que los usuarios finales utilicen con
efectividad y eficiencia el si stema de apl i caci ón
como apoyo a l os procesos del negoc i o. La tr a
ns fer enc i a de c onoc i mi ento i nc l uye el
equier a.

desarrollo de un plan de entrenamiento que aborde

ADQUIRIREIMPLEMENTAR

al entrenamiento inicial y al continuo, así como el

desarrollo de habilidades, materiales de
entrenamiento, manuales de usuario, manuales de
procedimiento, ayuda en línea, asistencia a
usuarios, identificación del usuario clave, y
evaluación.
 procedimiento, ayuda en línea, asistencia a

Desarrollar manuales de pr
resultados del entrenamie

A I4.3 - Tr ansfer enc i

ADQUIRIREIMPLE
usuarios, identificación del usuario clave, y
evaluación.

AI4.4 - Transferencia de Conocimiento al Personal de Oper ac iones y

Desarrollar documentación de soporte técnica para operaciones y
personal de soporte. * Desarrollar y dar entr enamiento.

Transferir el conocimiento y las habilidades para

permitir al personal de soporte técnico y de
operaciones que entregue, apoyen y mantenga la
aplicación y la infraestructura a s oc i a da de ma
Sopor te.

ner a efec ti va y efi c i ente de a c uer do a l os ni

vel es de s er vi c i o r equer i dos . La tr a ns fer
enc i a del conocimiento debe incluir al
entrenamiento inicial y continuo, el desarrollo de las
habilidades, los materiales de entrenamiento, los
manuales de operación, los manuales de
procedimientos y escenarios de atención al usuario.
procedimientos de adquisición de TI de acuerdo
cas de adquisiciones a nivel corporativo.

I5.1 - Control de Adquisición.

Desarrollar y seguir un conjunto de procedimientos

y es tá nda r es c ons i s tente c on el pr oc es o
gener a l de adquisiciones de la organización y con
la estrategia de adquisición para adquirir
infraestructura relacionada con TI, instalaciones,
hardware, software y servicios necesarios por el
negoc i o.
 Desarrollar y seguir un conjunto de procedimientos

AI5.1 - Control de Adq

con las politicas de adquisiciones
y es tá nda r es c ons i s tente c on el pr oc es o

Desarrollar políticas y procedimientos de

gener a l de adquisiciones de la organización y con
la estrategia de adquisición para adquirir
infraestructura relacionada con TI, instalaciones,
hardware, software y servicios necesarios por el
negoc i o.

Establecer/mantener una lista de proveedores acreditados.

AI5.2 - Administración de Contratos con Proveedores.

Formular un procedimiento para establecer,

modificar y concl ui r contratos para todos l os
proveedores. El procedimiento debe cubrir, como
mínimo, responsabilidades y obligaciones legales,
financieras, organizacionales, documentales, de
desempeño, de seguridad, de propiedad intelectual
y responsabilidades de conclusión, así como
obligaciones (que incluyan cláusulas de
penalización). Todos l os contratos y l as modi fi
caci ones a contratos l as deben r evi s a r a s es or
es l ega l es .
AI5 - Adquirir recursos de TI.

és de un proceso de

or es.
P).
AI5 - A

Evaluar y selec c ionar pr oveedor es a tr avés de un proceso de

AI5.3 - Selec c ión de Pr oveedor es.

solicitud de propuesta (RFP).
Seleccionar proveedores de acuerdo a una práctica
justa y formal para garantizar la mejor viable y
encajable según los r equer i mi entos es pec i fi c
a dos . Los r equer i mi entos deben es ta r
optimizados con las entradas de los proveedores
potenciales.
organización. *Realizar adquisiciones de conformidad con los
Desar r ollar c ontr atos que pr otejan los inter eses de la

AI5.4 - Adquisición de Recursos de TI.

procedimientos establec idos.

Pr oteger y ha c er c umpl i r l os i nter es es de l

a or ga ni za c i ón en todo los contratos de
adquisiciones, incluyendo los derechos y
obligaciones de todas las partes en los términos
contractuales para la adquisición de software,
recursos de desarrollo, infraestructura y servicios.
 Desar
organiz
r impacto y dar prioridad a cambios en base a las nec esidades Desar r ollar e implementar un pr oc eso para registrar, evaluar y dar
prioridad en forma consistente a las solicitdes de c ambio.

AI6.1 - Estándares y Procedimientos para Cambios.

Establecer procedimientos de administración de
cambio formales para manejar de manera estándar
todas las solicitudes (incluyendo mantenimiento y
parches) para cambios a aplicaciones,
procedimientos, procesos, parámetros de sistema y
servicio, y las plataformas fundamentales.
- Evaluación de Impacto, Priorización y Autorización.

Garantizar que todas las solicitudes de cambio se

evalúan de una estructurada manera en cuanto a
impactos en el sistema operacional y su
funcionalidad. Esta evaluación deberá incluir
categorización y priorización de los cambios. Previo
a la migración hacia producción, los interesados
correspondientes autorizan los cambios.
goc io.
 correspondientes autorizan los cambios.

Garantizar que cualquier cambio c r ític o y de emer genc ia sigue Evaluar impacto y dar priori

AI6.2 - Evaluación de Impa

del negoc io.

A I6.3 - Cambios de Emer genc ia.

AI6 - Administrar cambios.

el proceso aprobado.

Establecer un proceso para definir, plantear, evaluar

y autorizar los cambios de emergencia que no sigan
el proceso de cambio establecido. La
documentación y pruebas se realizan,
posiblemente, después de la implantación del c a
mbi o de emer genc i a .
guimiento y Repor te del Estatus de Cambio.
Autorizar c ambios.

Es ta bl ec er un s i s tema de s egui mi ento y r

epor te pa r a mantener actualizados a los
solicitantes de cambio y a los i nter es a dos r el
eva ntes , a c er c a del es ta tus del c a mbi o a l
a s apl i caci ones, a l os procedi mi entos, a l os
procesos, parámetros del sistema y del servicio y
las plataformas fundamentales.
 solicitantes de cambio y a los i nter es a dos r el

AI6.4 - Seguimiento y Repor te

Autorizar c a
eva ntes , a c er c a del es ta tus del c a mbi o a l
a s apl i caci ones, a l os procedi mi entos, a l os
procesos, parámetros del sistema y del servicio y
las plataformas fundamentales.

Administrar y diseminar la información r elevante r efer ente a

A I6.5 - Cier r e y Documentación del Cambio.

Siempre que se implantan cambios al sistema,

cambios.

actualizar el sistema asociado y la documentación

de usuario y procedimientos correspondientes.
Establecer un proceso de revisión para garantizar la
implantación completa de los c a mbi os .
planes de investigación.

ntrenamiento.

Entrenar al personal de los departamentos de

usuario afectados y al grupo de operaciones de la
función de TI de acuerdo con el plan definido de
entrenamiento e implantación y a los materiales
 Construir y r evisar planes de investigaci

AI7.1 - Entrenamiento.
Entrenar al personal de los departamentos de
usuario afectados y al grupo de operaciones de la
función de TI de acuerdo con el plan definido de
entrenamiento e implantación y a los materiales
asociados, como parte de cada proyecto de
sistemas de la información de desarrollo,
implementación o modificación.

Definir y revisar una estr ategia de pr ueba (c r iter io de entr ada y

sálida) y la metodología de plan de prueba operacional.

AI7.2 - Plan de Prueba.

Establecer un plan de pruebas basado en los

estándares de la organización que define roles,
responsabilidades, y criterios de entrada y salida.
Asegurar que el plan esta aprobado por l a s pa r
tes r el eva ntes .
ientos de negocio y
as acreditados.

n.
Construir y mantener un repositorio de requirimientos de negocio y
técnicos y casos de prueba para sistemas acreditados.

AI7.3 - Plan de Implantación.

Establecer un plan de implantación y respaldo y
vuelta atrás. Obtener aprobación de las partes
Establec er ambiente de prueba y conducir pruebas de aceptación relevantes.

A I7.4 - A mbiente de Prueba.

Definir y establecer un entorno seguro de pruebas

representativo del entorno de operaciones planeado
finales.

relativo a seguridad, controles internos, practicas

operativos, calidad de los datos y requerimientos de
privacidad, y cargas de trabajo.
 Establec e
Ejecutar la conversación del sistema y las pruebas de integración
AI7 - Instalar y acreditar soluciones y cambios.

AI7.5 - Conversión de Sistemas y Datos.

en ambiente.
Plan de conversión de datos y migración de
infraestructuras como parte de l os métodos de
desarrol l o de l a organi zaci ón, incluyendo pistas
de auditoria, respaldo y vuelta atrás.
stablec er ambiente de prueba y conducir pruebas de aceptación

AI7.6 - Pruebas de Cambios.

Pruebas de cambios independientemente en

acuerdo con los planes de pruebas definidos antes
finales.

de la migración al entorno de operaciones.

Asegurar que el plan considera la seguridad y el
des empeño.
 AI7
Establec er ambiente
beración a producción con base en los c r iter ios de Establec er ambiente de prueba y conducir pruebas de aceptación

AI7.7 - Prueba de Aceptación Final. Asegurar que el dueño de proceso de negocio y los
interesados de TI evalúan los resultados de los
procesos de pruebas como determina el plan de
pruebas. Remediar los errores significativos
finales.

identificados en el proceso de pruebas, habiendo

completado el conjunto de pruebas identificadas en
el plan de pruebas y cualquier prueba de regresión
necesaria. Siguiendo la evaluación, aprobación
promoción a producción.
AI7.8 - Promoción a Producción.
acreditación convenidos.

Seguimiento a pruebas, controlar la entrega de los

sistemas cambiados a operaciones, manteniéndolo
en línea con el plan de implantación. Obtener la
aprobación de los interesados c l a ve, ta l es c
omo us ua r i os , dueño de s i s tema s y ger ente
de operaciones. Cuando sea apropiado, ejecutar el
sistema en paralelo con el viejo sistema por un
tiempo, y comparar el comportami ento y l os resul
tados.
 acreditación con
Establec er ambiente de prueba y conducir pruebas de aceptación Rec omendar la liberación a producció
aprobación de los interesados c l a ve, ta l es c

AI7.8 - Promoción a
omo us ua r i os , dueño de s i s tema s y ger ente
de operaciones. Cuando sea apropiado, ejecutar el
sistema en paralelo con el viejo sistema por un
tiempo, y comparar el comportami ento y l os resul
tados.

AI7.9 - Revisión Posterior a la Implantación.

Establecer procedimientos en línea con los

estándares de gestión de cambios organizacionales
finales.

para requerir una revisión posterior a la

implantación como conjunto de salida en el plan de
implementación.
 DIAGNOSTICO COBIT

DETALLE OBJETIVO CONTROL

dentificar, dar prioridades, especificar y acordar los

equerimientos de negocio funcionales y técnicos
ue cubran el alcance completo de todas las
niciativas requeridas para lograr los resultados
sperados de los programas de inversión en TI.

dentificar, documentar y analizar los riesgos

sociados con los requerimientos del negocio y
iseño de soluciones como parte de los procesos
rganizacionales para el desarrollo de los
equerimientos.
dentificar, documentar y analizar los riesgos
sociados con los requerimientos del negocio y
iseño de soluciones como parte de los procesos
rganizacionales para el desarrollo de los
equerimientos.

Desarrollar un estudio de factibilidad que examine

a posibilidad de Implementar los requerimientos. La
dministración del negocio, apoyada por la función
e TI, debe evaluar la factibilidad y los cursos
lternativos de acción y realizar recomendaciones
l patrocinador del negoci o.

Verificar que el proceso requiere al patrocinador del

egocio para aprobar y autoriza los requisitos de
egocio, tanto funcionales como técnicos, y los
eportes del estudio de factibilidad en las etapas
lave predeterminadas. El patrocinador del negocio
ene la decisión final con respecto a la elección de
a solución y al enfoque de adquisición.
Verificar que el proceso requiere al patrocinador del
egocio para aprobar y autoriza los requisitos de
egocio, tanto funcionales como técnicos, y los
eportes del estudio de factibilidad en las etapas
lave predeterminadas. El patrocinador del negocio
ene la decisión final con respecto a la elección de
a solución y al enfoque de adquisición.

Preparar el diseño detallado y los requerimientos

écnicos del software de aplicación. Definir el
riterio de aceptación de los requerimientos.
Aprobar los requerimientos para garantizar que
orresponden al diseño de alto nivel. Realizar
eevaluaciones cuando sucedan discrepancias
ignificativas técnicas o lógicas durante el
esarrollo o mantenimiento.

mplementar controles de negocio, cuando aplique,

mplementar controles de negocio, cuando aplique,
n controles de aplicación automatizados tal que el
rocesamiento sea exacto, completo, oportuno,
utorizado y auditable.

bordar la seguridad de las aplicaciones y los requerimientos

e disponibilidad en respuesta a los riesgos identificados y en
nea con la clasificación de datos, la arquitectura de la
nformación, la arquitectura de seguridad de la información y
a tolerancia a riesgos de la organi zaci ón.
Configurar e implementar software de aplicaciones
dquiridas para conseguir los objetivos de negocio.

En caso de cambios importantes a los sistemas

xistentes que resulten en cambios significativos al
iseño actual y/o funcionalidad, seguir un proceso
e desarrollo similar al empleado para el
esarrollo de sistemas nuevos .
Garantizar que la funcionalidad de automatización
e desarrolla de acuerdo con las especificaciones
e diseño, los estándares de desarrollo y
ocumentación, los requerimientos de calidad y
stándares de aprobación. Asegurar que todos los
spectos legales y contractuales se identifican y
ireccionan para el software aplicativo desarrollado
or terceros.

Desarrollar, Implementar los recursos y ejecutar un

lan de aseguramiento de calidad del software,
ara obtener la calidad que se especifica en la
efinición de los requerimientos y en las políticas y
rocedimientos de calidad de la organización
Seguir el estado de los requerimientos individuales
ncluyendo todos los requerimientos rechazados)
urante el diseño, desarrollo e implementación, y
probar los cambios a los requerimientos a través
e un proceso de gestión de cambios establecido.

Desarrollar una estrategia y un plan para el

mantenimiento de aplicaciones de software.
Desarrollar una estrategia y un plan para el
mantenimiento de aplicaciones de software.

Generar un plan para adquirir, Implementar y

mantener la infraestructura tecnológica que
atisfaga los requerimientos establecidos
uncionales y técnicos del negocio, y que esté de
cuerdo con la dirección tecnológica de la
rganización. El plan debe considerar extensiones
uturas para adiciones de capacidad, costos de
ransición, riesgos tecnológicos y vida útil de la
nversión para actualizaciones de tecnología.
Evaluar los costos de complejidad y la viabilidad
omercial del proveedor y el producto al añadir
ueva capacidad técnica.

mplementar medidas de control interno, seguridad

auditabilidad durante la configuración, integración
mantenimiento del hardware y del software de la
nfraestructura para proteger los recursos y
arantizar su disponibilidad e integridad. Se deben
efinir y comprender claramente las
esponsabilidades al utilizar componentes de
nfraestructura sensitivos por todos aquellos que
mplementar medidas de control interno, seguridad
auditabilidad durante la configuración, integración
mantenimiento del hardware y del software de la
nfraestructura para proteger los recursos y
arantizar su disponibilidad e integridad. Se deben
efinir y comprender claramente las
esponsabilidades al utilizar componentes de
nfraestructura sensitivos por todos aquellos que
esarrollan e integran los componentes de
nfraestructura. Se debe monitorear y evaluar su
so.

Desarrollar una estrategia y un plan de

mantenimiento de la infraestructura y garantizar que
se controlan los cambios, de acuerdo con el
procedimiento de administración de cambios de la
organización. Incluir una revisión periódica contra
las necesidades del negocio, administración de
parches y estrategias de actualización, riesgos,
evaluación de vulnerabilidades y requerimientos de
seguridad.
Establecer el ambiente de desarrollo y pruebas
ara soportar la efectividad y eficiencia de las
ruebas de factibilidad e integración de
plicaciones e infraestructura, en las primeras fases
el proceso de adquisición y desarrollo. Hay que
onsiderar la funcionalidad, la configuración de
ardware y software, pruebas de integración y
esempeño, migración entr e a mbi entes , control
e l a versiones , datos y herramientas de prueba
seguridad.

Desarrollar un plan para identificar y documentar

odos los aspectos técnicos, la capacidad de
peración y los niveles de servicio requeridos, de
manera que todos los interesados puedan tomar la
esponsabilidad oportunamente por la producción
e procedimientos de administración, de usuario y
perati vos, como resul tado de l a i ntroducci ón o
ctualización de sistemas automatizados o de
nfraestructura
Transferir el conocimiento a la gerencia de l a
mpres a para permitir les tomar posesión del
istema y l os datos y ejercer la responsabilidad
or la entrega y calidad del servicio, del control
nterno, y de los procesos administrativos de la
plicación. La transferencia de conocimiento incluye
a aprobación de acceso, administración de
rivilegios, s egr ega c i ón de ta r ea s , c ontr ol es
utomatizados del negocio,
espaldo/recuperación, seguridad física y archivo de
a documentación fuente.

Transferencia de conocimiento y habilidades para

ermitir que los usuarios finales utilicen con
fectividad y eficiencia el si stema de apl i caci ón
omo apoyo a l os procesos del negoc i o. La tr a
s fer enc i a de c onoc i mi ento i nc l uye el
esarrollo de un plan de entrenamiento que aborde
l entrenamiento inicial y al continuo, así como el
esarrollo de habilidades, materiales de
ntrenamiento, manuales de usuario, manuales de
rocedimiento, ayuda en línea, asistencia a
suarios, identificación del usuario clave, y
valuación.
 rocedimiento, ayuda en línea, asistencia a
suarios, identificación del usuario clave, y
valuación.

Transferir el conocimiento y las habilidades para

ermitir al personal de soporte técnico y de
peraciones que entregue, apoyen y mantenga la
plicación y la infraestructura a s oc i a da de ma
er a efec ti va y efi c i ente de a c uer do a l os ni
el es de s er vi c i o r equer i dos . La tr a ns fer
nc i a del conocimiento debe incluir al
ntrenamiento inicial y continuo, el desarrollo de las
abilidades, los materiales de entrenamiento, los
manuales de operación, los manuales de
rocedimientos y escenarios de atención al usuario.

Desarrollar y seguir un conjunto de procedimientos

es tá nda r es c ons i s tente c on el pr oc es o
ener a l de adquisiciones de la organización y con
a estrategia de adquisición para adquirir
nfraestructura relacionada con TI, instalaciones,
ardware, software y servicios necesarios por el
egoc i o.
Desarrollar y seguir un conjunto de procedimientos
es tá nda r es c ons i s tente c on el pr oc es o
ener a l de adquisiciones de la organización y con
a estrategia de adquisición para adquirir
nfraestructura relacionada con TI, instalaciones,
ardware, software y servicios necesarios por el
egoc i o.

Formular un procedimiento para establecer,

modificar y concl ui r contratos para todos l os
proveedores. El procedimiento debe cubrir, como
mínimo, responsabilidades y obligaciones legales,
financieras, organizacionales, documentales, de
desempeño, de seguridad, de propiedad intelectual
y responsabilidades de conclusión, así como
obligaciones (que incluyan cláusulas de
penalización). Todos l os contratos y l as modi fi
aci ones a contratos l as deben r evi s a r a s es or
es l ega l es .
Seleccionar proveedores de acuerdo a una práctica
usta y formal para garantizar la mejor viable y
ncajable según los r equer i mi entos es pec i fi c
dos . Los r equer i mi entos deben es ta r
ptimizados con las entradas de los proveedores
otenciales.

Pr oteger y ha c er c umpl i r l os i nter es es de l

or ga ni za c i ón en todo los contratos de
dquisiciones, incluyendo los derechos y
bligaciones de todas las partes en los términos
ontractuales para la adquisición de software,
ecursos de desarrollo, infraestructura y servicios.
Establecer procedimientos de administración de
ambio formales para manejar de manera estándar
odas las solicitudes (incluyendo mantenimiento y
arches) para cambios a aplicaciones,
rocedimientos, procesos, parámetros de sistema y
ervicio, y las plataformas fundamentales.

Garantizar que todas las solicitudes de cambio se

valúan de una estructurada manera en cuanto a
mpactos en el sistema operacional y su
uncionalidad. Esta evaluación deberá incluir
ategorización y priorización de los cambios. Previo
la migración hacia producción, los interesados
orrespondientes autorizan los cambios.
 orrespondientes autorizan los cambios.

Establecer un proceso para definir, plantear, evaluar

autorizar los cambios de emergencia que no sigan
l proceso de cambio establecido. La
ocumentación y pruebas se realizan,
osiblemente, después de la implantación del c a
mbi o de emer genc i a .

Es ta bl ec er un s i s tema de s egui mi ento y r

por te pa r a mantener actualizados a los
olicitantes de cambio y a los i nter es a dos r el
va ntes , a c er c a del es ta tus del c a mbi o a l
s apl i caci ones, a l os procedi mi entos, a l os
rocesos, parámetros del sistema y del servicio y
as plataformas fundamentales.
olicitantes de cambio y a los i nter es a dos r el
va ntes , a c er c a del es ta tus del c a mbi o a l
s apl i caci ones, a l os procedi mi entos, a l os
rocesos, parámetros del sistema y del servicio y
as plataformas fundamentales.

Siempre que se implantan cambios al sistema,

ctualizar el sistema asociado y la documentación
e usuario y procedimientos correspondientes.
Establecer un proceso de revisión para garantizar la
mplantación completa de los c a mbi os .

Entrenar al personal de los departamentos de

suario afectados y al grupo de operaciones de la
unción de TI de acuerdo con el plan definido de
ntrenamiento e implantación y a los materiales
Entrenar al personal de los departamentos de
suario afectados y al grupo de operaciones de la
unción de TI de acuerdo con el plan definido de
ntrenamiento e implantación y a los materiales
sociados, como parte de cada proyecto de
istemas de la información de desarrollo,
mplementación o modificación.

Establecer un plan de pruebas basado en los

stándares de la organización que define roles,
esponsabilidades, y criterios de entrada y salida.
Asegurar que el plan esta aprobado por l a s pa r
es r el eva ntes .
Establecer un plan de implantación y respaldo y
uelta atrás. Obtener aprobación de las partes
elevantes.

Definir y establecer un entorno seguro de pruebas

epresentativo del entorno de operaciones planeado
elativo a seguridad, controles internos, practicas
perativos, calidad de los datos y requerimientos de
rivacidad, y cargas de trabajo.
Plan de conversión de datos y migración de
nfraestructuras como parte de l os métodos de
esarrol l o de l a organi zaci ón, incluyendo pistas
e auditoria, respaldo y vuelta atrás.

Pruebas de cambios independientemente en

cuerdo con los planes de pruebas definidos antes
e la migración al entorno de operaciones.
Asegurar que el plan considera la seguridad y el
es empeño.
Asegurar que el dueño de proceso de negocio y los
nteresados de TI evalúan los resultados de los
rocesos de pruebas como determina el plan de
ruebas. Remediar los errores significativos
dentificados en el proceso de pruebas, habiendo
ompletado el conjunto de pruebas identificadas en
l plan de pruebas y cualquier prueba de regresión
ecesaria. Siguiendo la evaluación, aprobación
romoción a producción.

Seguimiento a pruebas, controlar la entrega de los

istemas cambiados a operaciones, manteniéndolo
n línea con el plan de implantación. Obtener la
probación de los interesados c l a ve, ta l es c
mo us ua r i os , dueño de s i s tema s y ger ente
e operaciones. Cuando sea apropiado, ejecutar el
istema en paralelo con el viejo sistema por un
empo, y comparar el comportami ento y l os resul
ados.
 probación de los interesados c l a ve, ta l es c
mo us ua r i os , dueño de s i s tema s y ger ente
e operaciones. Cuando sea apropiado, ejecutar el
istema en paralelo con el viejo sistema por un
empo, y comparar el comportami ento y l os resul
ados.

Establecer procedimientos en línea con los

stándares de gestión de cambios organizacionales
ara requerir una revisión posterior a la
mplantación como conjunto de salida en el plan de
mplementación.
 DIAGNOSTICO COBIT

PREGUNTAS

1.-¿Se identifica los requerimientos funcionales del negocio que cubran el alcance completo de
los programas de inversión en TI?

2.-¿Se identifica los requerimientos técnicos del negocio que cubran el alcance completo de los
programas de inversión en TI?

3.-¿Se prioriza los requerimientos funcionales del negocio que cubran el alcance completo de
los programas de inversión en TI?

4.-¿Se prioriza los requerimientos técnicos del negocio que cubran el alcance completo de los
programas de inversión en TI?

5.-¿Se especifica los requerimientos funcionales del negocio que cubran el alcance completo
de los programas de inversión en TI?

6.-¿Se especifica los requerimientos técnicos del negocio que cubran el alcance completo de
los programas de inversión en TI?

7.-¿Se acorda los requerimientos funcionales del negocio que cubran el alcance completo de
los programas de inversión en TI?
8.-¿Se acorda los requerimientos técnicos del negocio que cubran el alcance completo de los
programas de inversión en TI?

1.-¿Se Identifica los riesgos asociados con los requerimientos del negocio como parte de los
procesos organizacionales para el desarrollo de los requerimientos ?

2.-¿Se identifica los riesgos asociados con el diseño de soluciones como parte de los procesos
organizacionales para el desarrollo de los requerimientos ?

3.-¿Se documenta los riesgos asociados con los requerimientos del negocio?
3.-¿Se documenta los riesgos asociados con los requerimientos del negocio?

4.- ¿Se analiza los riesgos asociados con los requerimientos del negocio?

1.-¿Se desarrolla un estudio de factibilidad que examine la posibilidad de implementar los

requerimientos?

2.-¿La administración del negocio, apoyada por la función deTI lleva a la factibilidad?

3.-¿La administración del negocio, apoyada por la función deTI lleva a los cursos alternativos
de acción?

4.-¿La administración del negocio, apoyada por la función deTI realiza recomendaciones al
patrocinador del negocio?

1.-¿El patrocinador del negocio aprueba los requisitos funcionales de negocio?

2.-¿El patrocinador del negocio aprueba los requisitos técnicos de negocio?

3.-¿El patrocinador del negocio autoriza los requisitos funcionales de negocio?

3.-¿El patrocinador del negocio autoriza los requisitos funcionales de negocio?

4.-¿El patrocinador del negocio autoriza los requisitos técnicos de negocio?

5.-¿El patrocinador del negocio aprueba los reportes del estudio de factibilidad en las etapas
clave predeterminadas?

6.-¿El patrocinador del negocio autoriza los reportes del estudio de factibilidad en las etapas
clave predeterminadas?

1. ¿Se prepara el diseño detallado del software de aplicación?

2. ¿Se prepara los requerimientos técnicos del software de aplicación?

3.- ¿Se define el criterio de aceptación de los requerimientos ?

4.-¿Se aprueba los requerimientos para garantizar que corresponden al diseño de alto nivel?

5.-¿Se realizar evaluacion es cuando sucedan discrepancias significativas técnicas durante el

desarrollo o mantenimiento del Software de aplicación?

6.-¿Se realizar evaluaciones cuando sucedan discrepancias significativas lógicas durante el

desarrollo o mantenimiento del Software de aplicación?

1.-¿Se implementa control es de negocio cuando aplique,en control es de aplicación

automatizados?

2.-¿El procesamiento de los controles de negocio son exactos?

3.- ¿El procesamiento de los control es de negocio son completos?

4.- ¿El procesamiento de los controles de negocio son oportunos?

5.- ¿El procesamiento de los control es de negocio son autorizados?

6.- ¿El procesamiento de los controles de negocio son auditables?

1.- ¿Se aborda la seguridad de las aplicaciones?

2.-¿Se aborda los requerimientos de disponibilidad en respuesta a los riesgos identificados?

3.- ¿Se aborda los requerimentos en línea con la clasificación de datos?

4.- ¿Se aborda la arquitectura de la información?

5.- ¿Se aborda la arquitectura de seguridad de la información?

6.- ¿Se aborda la tolerancia a riesgos de la organización.?

1.-¿Se configura el software de aplicaciones adquiridas para conseguir los objetivos de

negocio?
1.-¿Se configura el software de aplicaciones adquiridas para conseguir los objetivos de
negocio?

2.-¿Se implementa software de aplicaciones adquiridas para conseguir los objetivos de

negocio?

1.-¿Se realizan cambios importantes a los sistemas existentes que resulten cambios
significativos al diseño actual?

2.-¿Se realizan cambios importantes a los sistemas existentes que resulten cambios
significativos en su funcionalidad?

3.-¿Se sigue un proceso de desarrollo similar al empleado en los sistemas existentes para el
desarrollo de sistemas nuevos ?
3.-¿Se sigue un proceso de desarrollo similar al empleado en los sistemas existentes para el
desarrollo de sistemas nuevos ?

1.-¿Se garantiza que la funcionalidad de automatización se desarrolla deacuerdo con las

especificaciones de diseño?

2.-¿Se garantiza que la funcionalidad de automatización se desarrolla deacuerdo los

estándares de desarrollo y documentación?

3.-¿Se garantiza que la funcionalidad de automatización se desarrolla deacuerdo a los

requerimientos de calidad y estándares de aprobación.?

4.-¿Sea segura que todos los aspectos legales se identifican y direccionan para el software
aplicativo desarrollado por terceros.?

5.-¿Se asegura que todos los aspectos contractuales se identifican y direccionan para el
software aplicativo desarrollado por terceros.?

1.- ¿Se desarrolla un plan de aseguramiento de calidad del software?

2.-¿Se implementa los recursos de un plan de seguro de calidad del software

3.- ¿Se ejecuta un plan de aseguramiento de calidad del software?

3.- ¿Se ejecuta un plan de aseguramiento de calidad del software?

1.¿Se sigue el estado de los requerimientos individuales durante el diseño, desarrollo e

implementación?

2.-¿Se sigue el estado de todos los requerimientos rechazados durante el diseño, desarrollo e
implementación.?

3.-¿Se aprueba los cambios a los requerimientos a través de un proceso de gestión de

cambios establecido?

1.-¿Se desarrolla una estrategia para el mantenimiento de aplicaciones de software?

2.-¿Se desarrolla un plan para el mantenimiento de aplicaciones de software?

2.-¿Se desarrolla un plan para el mantenimiento de aplicaciones de software?

1.- ¿Se genera un plan para adquirir la infraestructura tecnológica?

2.- ¿Se implementa el plan para adquirir la infraestructura tecnológica?

3.-¿Se mantiene el plan para adquirir la infraestructura tecnológica que satisfaga los
requerimientos establecidos funcionales del negocio,y que esté de acuerdo con la dirección
tecnológica de la organización?
4.-¿Se mantiene el plan para adquirir la infraestructura tecnológica que satisfaga los
requerimientos establecidos técnicos del negocio,y que esté de acuerdo con la dirección
tecnológica de la organización?

5.-¿El plan considera extensiones futuras para adiciones de capacidad,costos de

transición,riesgos tecnológicos y vida útil de la inversión para actualizaciones de tecnología?

6.- ¿Se evalúa los costos de complejidad del proveedor?

7.-¿Se evalúa los costos de la viabilidad comercial del proveedor y el producto al añadir nueva
capacidad técnica?

1.-¿Se Implementa medidas de control interno,seguridad y auditabilidad durante laconfiguración

de la infraestructura para proteger los recursos y garantizar su disponibilidad e integridad?

2.-¿Se Implementa medidas de control interno,seguridad y auditabilidad durante la integración

de la infraestructura para proteger los recursos y garantizar su disponibilidad e integridad?

3.-¿Se Implementa medidas de control interno,seguridad y auditabilidad durante el

mantenimiento del hardware y del software de la infraestructura para proteger los recursos y
garantizar su disponibilida de integridad?

4.- ¿Se define claramente las responsabilidades al utilizar componentes de infraestructura

sensitivos por todos aquellos que desarrollan e integran los componentes de infraestructura?
4.- ¿Se define claramente las responsabilidades al utilizar componentes de infraestructura
sensitivos por todos aquellos que desarrollan e integran los componentes de infraestructura?

5.¿Se comprende claramente las responsabilidades al utilizar componentes de infraestructura

sensitivos por todos aquellos que desarrollan e integran los componentes de infraestructura?

6.- ¿Se monitorea el uso del recurso de infraestructura?

7.- ¿Se evalúa el uso del recurso de infraestructura?

1.-¿Se desarrolla una estrategia para el mantenimiento de la infraestrucutura?

2.- ¿Se desarrolla un plan de mantenimiento de la infraestructura?

3.-¿La estrategia desarrollada para el mantenimiento de la infraestructura garantiza que se

controlan los cambios ,de acuerdo con el procedimiento de administración de cambios de la
organización?

4.-¿El plan desarrollado para el Mantenimiento de la Infraestructura garantiza que se controlan

los cambios ,deacuerdo con el procedimiento de administración de cambios de la organización?

5.- ¿El plan de Mantenimiento de la Infraestructura incluye una revisión periódica contra las
necesidades del negocio?

6.- ¿El plan de Mantenimiento de la Infraestructura incluye una revisión periódica contra la
administración de parches?
7.- ¿El plan de Mantenimiento de la Infraestructura incluye una revisión periódica contra las
estrategias de actualización?
8.-¿El plan de Mantenimiento de la Infraestructura incluye una revisión periódica contra los
riesgos?
9.-¿El plan de Mantenimiento de la Infraestructura incluye una revisión periódica contra la
evaluación de vulnerabilidades?
10.-¿El plan de Mantenimiento de la Infraestructura incluye una revisión periódica contra los
requerimientos de seguridad?

1.- ¿Se establece el ambiente de desarrollo de las aplicaciones?

2.- ¿Se establece el ambiente de pruebas de las aplicaciones?

2.- ¿Se establece el ambiente de pruebas de las aplicaciones?

3.-¿Se considera la funcionalidad de las aplicaciones en el ambiente de adquisición y

desarrollo?

4.-¿Se considera la integración de las aplicaciones en el ambiente de adquisición y desarrollo?

5.-¿Se considera el desempeño de las aplicaciones en el ambiente de adquisición y desarrollo?

6.-¿Se considera la migración entre ambientes de las aplicaciones en el ambiente de

adquisición y desarrollo?
7.-¿Se considera el control de la version es de las aplicaciones en el ambiente de adquisición y
desarrollo?
8.-¿Se considera los datos y herramientas de prueba de las aplicaciones en el ambiente de
adquisición y desarrollo?
9.-¿Seconsideralaseguridaddelasaplicacionesenelambientedeadquisición y desarrollo?
10.-¿Se considera la configuración de hardware y software de la infraestructura en el ambiente
de adquisición y desarrollo?

1.-¿Se desarrolla un plan donde se identifique todos los aspectos técnicos, la capacidad de
operación y los niveles de servicio requeridos en las aplicaciones?

2.-¿Se desarrolla un plan donde se documente todos los aspectos técnicos, la capacidad de
operación y los niveles de servicio requeridos en las aplicaciones?

3.-¿Se desarrolla un plan donde se identifique todos los aspectos técnicos, la capacidad de
operación y los niveles de servicio requeridos en la infraestructura?

4.-¿Se desarrolla un plan donde se documente todos los aspectos técnicos, la capacidad de
operación y los niveles de servicio requeridos en la infraestructura?
4.-¿Se desarrolla un plan donde se documente todos los aspectos técnicos, la capacidad de
operación y los niveles de servicio requeridos en la infraestructura?

1.-¿Se transfiere el conocimiento de los sistemas a la gerencia de la empresa?

2.-¿Se transfiere el conocimiento de los datos de la aplicación a la gerencia de la empresa?

3.-¿Se incluye en la transferencia del conocimiento la aprobación de acceso de las aplicaciones

e infraestructura?

4.-¿Se incluye en la transferencia del conocimiento la administración de privilegios de las

aplicaciones e infraestructura?

5.-¿Se incluye en la transferencia del conocimiento las egregación de tareas de las

aplicaciones e infraestructura?

6.-¿Se incluye en la transferencia del conocimiento los control es automatizados del negocio de
las aplicaciones e infraestructura?

7.-¿Se incluye en la transferencia del conocimiento el respaldo/recuperación de las

aplicaciones e infraestructura?
8.-¿Se incluye en la transferencia del conocimiento la seguridad física de las aplicaciones e
infraestructura?
9.-¿Se incluye en la transferencia del conocimiento el archivo de la documentación fuente de
las aplicaciones e infraestructura?

1.-¿Se mejora la transferencia de conocimiento para permitir que los usuarios finales utilicen
con efectividad y eficiencia el sistema de aplicación como apoyo a l os procesos del negocio?

2.-¿Se mejor a las habilidades para permitir que los usuarios finales utilicen con efectividad y
eficiencia el sistema de aplicación como apoyo a los procesos del negocio.?

3.-¿Se incluye en la transferencia de conocimiento el desarrollo de un plan de entrenamiento?

3.-¿Se incluye en la transferencia de conocimiento el desarrollo de un plan de entrenamiento?

1.-¿Secapacitaalpersonaldeoper a c i onesenrelacióna
lasaplicacioneseinfraestructuraatendiendoal osr equer i mi entosdel osusuariosdema ner a efec
ti va y efi c i ente?

2.-¿Secapacitaalpersonaltécnicoenrelaciónalasaplicacioneseinfraestructuraatendiendoal osr
equer i mi entosdel osusuariosdema ner a efec ti va y efi c i ente

3.-¿Seincluyeenelentr ena mi entoinicialy continuo,eldesarrollodelashabilidades del personal de

soporte técnico y de operaciones?

4.-¿Seincluyeenelentr ena mi entoinicialy continuo,l osma ter i a l esdeentr ena mi

entoeneldesarrollodelashabilidadesdelpersonaldesoportetéc ni c o y de oper a c i ones ?

5.-¿Seincluyeenelentr ena mi entoinicialycontinuo,l osmanualesdeoperaci

óneneldesarrollodelashabilidadesdelpersonaldesoportetéc ni c o y de oper a c i ones ?

6.-¿Seincluyeenelentr ena mi entoinicialycontinuo,l

osmanualesdeprocedimientoseneldesarrollodelashabilidadesdelpersonaldes opor te téc ni c o y
de oper a c i ones ?

7.-¿Seincluyeenelentr ena mi entoinicialy continuo,l oses c ena r i osdea tenc i

ónalusuarioeneldesarrollodelashabilidadesdelpersonaldes opor te téc ni c o y de oper a c i ones
?

1.- ¿Se a dqui er e i ns ta l a c i ones pa r a el á r ea de TI ?

2.- ¿Se a dqui er e ha r dwa r e pa r a el á r ea de TI ?

3.- ¿Se a dqui er e s oftwa r e pa r a el á r ea de TI ?

4.- ¿Se a dqui er e s er vi c i os nec es a r i os por el negoc i o pa r a el á r ea de T

4.- ¿Se a dqui er e s er vi c i os nec es a r i os por el negoc i o pa r a el á r ea de T

5.-¿Sedesarrollay ses i gueunconjuntodeprocedimientosy es tá nda r esconsistente con el

proceso general de adquisiciones de la organización?

6.-¿Sedesarrollay ses i gueunconjuntodeprocedimientosy es tá nda r esconsistente con la

estrategia de adquisición?

1.-¿Seformul aunprocedimientoparaes ta bl ec ercontra tosparatodosl ospr oveedor es ?

2.-¿Seformul aunprocedimientoparamodificarcontra tosparatodosl ospr oveedor es ?

3.-¿Seformul aunprocedimientoparaconcluircontra tosparatodosl ospr oveedor es ?

4.- ¿El procedimiento cubre las responsabilidades y obligaciones legales?

5.-¿Elprocedimientocubrelasresponsabilidadesyobligacionesfinancieras?

6.-¿Elprocedimientocubrelasresponsabilidadesyobligacionesorganizacionales?

7.-¿Elprocedimientocubrelasresponsabilidadesyobligacionesdocumentales?

8.-¿Elprocedimientocubrelasresponsabilidadesyobligacionesdedes empeño?

9.-¿Elprocedimientocubrelasresponsabilidadesyobligacionesdeseguridad?

10.- ¿El procedimiento cubre las responsabilidades y obligaciones de propiedad intelectual?

11.- ¿El procedimiento cubre las responsabilidades de conclusión?

12.- ¿Los contratos las revisan los asesores legales?

13.- ¿Las modificaciones a contratos las revisan los asesores legales?

1.- ¿Se selecciona proveedores de acuerdo a una práctica justa y formal?

1.- ¿Se selecciona proveedores de acuerdo a una práctica justa y formal?

2.- ¿Se selecciona proveedores de acuerdo a una práctica formal?

3.-¿Losr equer i mi entoses ta nopti mi zadosconlasentradasdel ospr oveedor es potenc i a l

es ?

1.-¿Sepr otegel osi nter es esdelaorgani zaci ónentodol oscontra tosdeadquisiciones de

software?

2.-¿Sepr otegel osi nter es esdelaorgani zaci ónentodol oscontra tosdeadquisiciones de

recursos de desarrollo?

3.-¿Sepr otegel osi nter es esdelaorgani zaci ónentodol oscontra tosdeadquisiciones de

infraestructura?

4.-¿Sepr otegel osi nter es esdelaorgani zaci ónentodol oscontra tosdeadquisiciones de

servicios?

5.-¿Sehacecumplirl osi nter es esdelaorgani zaci ónentodol oscontra tosde adquisiciones de

software?

6.-¿Sehacecumplirl osi nter es esdelaorgani zaci ónentodol oscontra tosde adquisiciones de

recursos de desarrollo?

7.-¿Sehacecumplirl osi nter es esdelaorgani zaci ónentodol oscontra tosde adquisiciones de

infraestructura?

8.-¿Sehacecumplirl osi nter es esdelaorgani zaci ónentodol oscontra tosde adquisiciones de

servicios?
8.-¿Sehacecumplirl osi nter es esdelaorgani zaci ónentodol oscontra tosde adquisiciones de
servicios?

1.-¿Sema nej adema ner aestándartoda slassolicitudesparac a mbi osalas aplicaciones?

2.-¿Sema nej adema ner aestándartoda slassolicitudesparac a mbi osal os procedi mi entos?

3.-¿Sema nej adema ner aestándartoda slassolicitudesparac a mbi osal os procesos?

4.-¿Sema nej adema ner aestándartoda slassolicitudesparac a mbi osalos parámetros de

sistema?

5.-¿Sema nej adema ner aestándartoda slassolicitudesparac a mbi osalos servicios?

6.-¿Enlasplataformasfundamentalessees ta bl ec enprocedimientosdeadministración de cambio

formales?

1.-¿Segarantizaquetoda slassolicitudesdec a mbi oseevalúanl osimpactos en el sistema

operacional?

2.-¿Segarantizaquetoda slassolicitudesdec a mbi oseevalúanl osimpactos en el sistema en su

funcionalidad?

3.- ¿La evaluación incluye la categorización de los cambios?

4.- ¿La evaluación incluye la priorización de los cambios?

4.- ¿La evaluación incluye la priorización de los cambios?

5.-¿Seautorizanl osc a mbi osenlamigraciónhacialaproduccióndelasaplicaciones por los

interesados?

1.-¿Sees ta bl ec eunpr oc es oparadefinirl osc a mbi osdeemer genc i aqueno sigan el proceso
de cambio establecido?

2.-¿Sees ta bl ec eunpr oc es oparaplantearl osc a mbi osdeemer genc i aqueno sigan el

proceso de cambio establecido?

3.-¿Sees ta bl ec eunpr oc es oparaevaluarl osc a mbi osdeemer genc i aqueno sigan el

proceso de cambio establecido?

4.-¿Sees ta bl ec eunpr oc es oparaautorizarl osc a mbi osdeemer genc i aque no sigan el

proceso de cambio establecido?

5.-¿Serealizaladocumentacióndespuésdelaimplantacióndelc a mbi ode emer genc i a ?

6.-¿Serealizalaspruebasdespuésdelaimplantacióndelc a mbi odeemer genc i a ?

1.-¿Sees ta bl ec eunsistemades egui mi entoparama nteneractualizadosalos solicitantes de

cambio y a los interesados relevantes?

2.-¿Sees ta bl ec eunsistemadereporteparama nteneractualizadosa l oss ol i c i ta ntes de c a

2.-¿Sees ta bl ec eunsistemadereporteparama nteneractualizadosa l oss ol i c i ta ntes de c a
mbi o y a l os i nter es a dos r el eva ntes ?

1.- ¿Se actualiza los cambios en los sistemas?

2.- ¿Se actualiza la documentación de usuario?

3.-¿Sees ta bl ec eunpr oc es oderevisiónparagarantizarlaimplantacióncompl eta de l os cambi

os?

1.-¿Seentr enaalpersonaldel
osdepartamentosdeusuarioafectadosdeacuerdoconelplandefinidodeentr ena mi entoe
implantacióndecasapr oyec to de s i s tema s ?
osdepartamentosdeusuarioafectadosdeacuerdoconelplandefinidodeentr ena mi entoe
implantacióndecasapr oyec to de s i s tema s ?

2.-¿Seentr enaalgrupodeoper a c i onesdelafuncióndeTIdeacuerdoconelplandefinidodeentr ena

mi entoe implantacióndecadapr oyec todesistemas?

1.-¿Sees ta bl ec eunplandepruebasbasadoenl oses tá nda r esdelaorgani zaci ón?

2.- ¿Dentro de los estándares de la organización se definen los roles?

3.-¿Dentr odel oses tá nda r esdelaorgani zaci ónsedefi nenlasresponsabilidades?

4.-¿Dentr odel oses tá nda r esdelaorgani zaci ónsedefi nenl oscriteriosde entrada y salida?

5.- ¿Se asegura que el plan está aprobado por las partes relevantes?

1.- ¿Se establece un plan de implantación y respaldo y vuelta atrás?

1.- ¿Se establece un plan de implantación y respaldo y vuelta atrás?

2.- ¿Se obti ene l a a pr oba c i ón de l a s pa r tes r el eva ntes ?

1.-¿Sedefineunentornos egur odepruebasr epr es enta ti vodelentornodeoper a c i ones ?

2.-¿Sees ta bl ec eunentornos egur odepruebasr epr es enta ti vodelentornode oper a c i ones ?

1.-¿CuentanconunPlandeconversi óndeda tosc omopa rtedel osmétodos de desarrol l o de l a
organi zaci ón?

2.-¿Cuentanconunamigracióndeinfraestructurasc omopa rtedel osmétodos de desarrol l o de l a

organi zaci ón?

1.-¿La sPruebasdec a mbi osindependientementees tá ndeacuerdoconl

osplanesdepruebasdefinidosa ntesdelamigraciónalentornodeoper a c i ones ?

2.- ¿Se asegura que el plan de pruebas considera la seguridad?

3.- ¿Se asegura que el plan de pruebas considera el desempeño?

3.- ¿Se asegura que el plan de pruebas considera el desempeño?

1.-¿Sea s egur aqueeldueñodepr oc es odenegoc i oeva l úal osresultadosde los procesos de

pruebas como determina el plan de pruebas?

2.-¿Sea s egur aquel osi nter es a dosdeTIevalúanl osresultadosdel osprocesos de pruebas

como determina el plan de pruebas?

3.-¿Ser emedi al oserroressignificativosidentificadosenelpr oc es odepruebas?

4.- ¿Se monitorea la evaluación de los procesos de prueba?

5.- ¿Se monitorea la aprobación de los procesos de prueba?

1.-¿Secontrol alaentr egadel ossistemascambiadosaoper a c i ones ,manteniéndolo en línea

con el plan de implantación.?

2.-¿Seobtienelaaprobaci óndel osi nter es a dosc l a ve,ta l esc

omousuarios,dueñodesistemasyger entedeoper a c i onescuandos eaapropiado?

3.- ¿Se ej ec uta el s i s tema en pa r a l el o c on el vi ej o s i s tema por un ti empo?

3.- ¿Se ej ec uta el s i s tema en pa r a l el o c on el vi ej o s i s tema por un ti empo?

4.- ¿Se compara el comportami ento y l os resul tados?

1.-¿Sees ta bl ec eprocedimientosenl íneaconl oses tá nda r esdeges ti óndecambios

organizacionales?

2.-¿Ser equi er eunarevisiónposteri oralaimplantaciónc omoconjuntode salida en el plan de

implementación?
RESPUESTA MEDICION (INDICADOR)