Sesion 3A - COBIT Enabling - APO v2.1

Programa de Actualizacin Profesional
Control de Tecnologas de
Informacin con COBIT
Sesin 4:
COBIT 5 Enabling
rea: Gestin
Dominio
Alinear, Planificar y Organizar
Control de Tecnologas de Informacin con COBIT
Juan Carlos Rodrguez Sulca, MBA, Todos los derechos reservados. Prohibida su reproduccin total o parcial, o su uso comercial sin permiso del autor.
rea: Gestin
Dominio: Alinear, Planificar y Organizar (APO)
APO01
Gestionar el marco de gestin de TI
APO02
Gestionar la estrategia
APO03
Gestionar la Arquitectura Empresarial
APO04
Gestionar la Innovacin
APO05
Gestionar el portafolio
APO06
Gestionar el presupuesto y los costes
APO07
Gestionar los recursos humanos
APO08
Gestionar las relaciones
APO09
Gestionar los acuerdos de servicio
APO10
Gestionar los proveedores
APO11
Gestionar la Calidad
APO12
Gestionar el Riesgo
APO13
Gestionar la Seguridad
Lecturas - Requisitos
1. COBIT Framework
2. COBIT Enabling - EDM
rea: Gestin
INDICADORES DE GESTIN
La ejecucin de los procesos contribuyen al cumplimiento de las metas de TI
AYUDA PARA EL LLENADO DEL FORMATO
HAGA UNA BREVE DESCRIPCIN DE LO
QUE QUIERE MEDIR POR MEDIO DE
ESTE INDICADOR
ESCRIBA EL OBJETIVO DEL

INDICADOR DE ACUERDO CON
LO QUE SE QUIERE MEDIR
ESCRIBA LA FORMULA POR MEDIO

DE LA CUAL SE GENERAR EL
INDICADOR
ESPECIFIQUE LA
UNIDAD DE MEDIDA
POR MEDIO DE LA
CUAL GENERAR EL
INDICADOR
MENCIONE LA
CIFRA A LA
CUAL SE
QUIERE
LLEGAR
ESTABLEZCA LA
PERIOICIDAD DE
SU MEDICIN
INDICADOR
DESCRIPCIN
OBJETIVO
FORMULA
UNIDAD
META
PERIOCIDAD
APO01
Agilidad de las TI
Nmero de procesos de negocio

crticos soportados por
infraestructuras y aplicaciones
actualizadas
Determinar las necesidades

de infraestructura requerida
para soportar el negocio.
Procesos Crticos Soportados

--------------------------------------Total de Procesos Crticos
Porcentaje
90%
Semestral
APO07
Competencias del
Personal de TI
Porcentaje del personal cuyas

habilidades TI son suficientes para
las competencias requeridas para
su funcin
Contar con una fuerza de

trabajo competente para
satisfacer las necesidades
del negocio
Personal con Competencias

-------------------------------------Total de Personal
Porcentaje
85%
Bimestral
NOMBRE DEL
PROCESO
NOMBRE DEL
INDICADOR, PROCURAR
QUE SEA LO BASTANTE
ESPECFICO
CUADRO DE INDICADORES
N
01
02
PROCESO
Dele un
Nombre
Utilicemos las
mtricas de TI
Pregntese
De preferencia
Porqu lo implemento?
Convirtalo en porcentaje
Debe ser realista
rea: Gestin
APO01 GESTIONAR EL MARCO DE GESTIN DE TI

PRCTICAS DE GESTIN
APO01.01 Definir la estructura Organizativa
APO01.02 Establecer roles y responsabilidades
APO01.03 Mantener los elementos catalizadores del sistema de gestin
APO01.04 Comunicar los objetivos y la direccin de gestin
APO01.05 Optimizar la ubicacin de la funcin de TI
APO01.06 Definir la propiedad de la informacin (datos) y del sistema
APO01.07 Gestionar la mejora continua de los procesos
APO01.08 Mantener el cumplimiento con las polticas y procedimientos
APO01.09 Modelo de Gestin
ISO/IEC 20000, ISO/IEC 27002, ITIL V3 2011
ISO/IEC 15504
PROPSITO
Proporcionar un enfoque de gestin consistente
que permita cumplir los requisitos de gobierno
corporativo e incluya procesos de gestin,
estructuras, roles y responsabilidades
organizativos, actividades fiables y reproducibles
y habilidades y competencias.
RACI - Responsable (R), Rinde Cuenta (A), Consultado (C), Informado (I)
Metas de TI
01 Alineamiento de TI y estrategia de negocio
02 Cumplimiento y soporte de la TI al cumplimiento del negocio de las
leyes y regulaciones externas
09 Agilidad de las TI
11 Optimizacin de activos, recursos y capacidades de las TI
15 Cumplimiento de las polticas internas por parte de las TI
16 Personal del negocio y de las TI competente y motivado
17 Conocimiento, experiencia e iniciativas para la innovacin de
negocio
Metas de Proceso
Se ha definido y se mantienen un conjunto eficaz de polticas
Todos tienen conocimiento de las polticas y de cmo deberan
implementarse
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
Definicin de estructura y funciones organizativas

Directrices operativas de la organizacin
Reglas bsicas de comunicacin
Definicin de Roles y Responsabilidades relativos a TI
Definicin de prcticas de supervisin
Polticas relativas a TI
Comunicacin de Objetivos de TI
Evaluacin de las opciones para la organizacin de TI
Definir la funcin operacional de las funciones de TI
Directrices para la clasificacin de datos
Directrices para el control y seguridad de datos
Procedimientos de integridad de datos
Evaluacin de la capacidad de los procesos
Oportunidades de mejora de procesos
Objetivos y mtricas para el seguimiento de la mejora de procesos
Acciones de remediacin por no cumplimiento
rea: Gestin
APO02 GESTIONAR LA ESTRATEGIA

PROPSITO
PRCTICAS DE GESTIN
APO02.01 Comprender la direccin de la empresa
APO02.02 Evaluar el entorno, capacidades y rendimiento actual
APO02.03 Definir el objetivo de las capacidades de TI
APO02.04 Realizar un anlisis de diferencias
APO02.05 Definir el plan estratgico y la hoja de ruta
APO02.06 Comunicar la estrategia y la direccin de TI
ISO/IEC 20000, ITIL V3 2011
ISO/IEC 15504
Alinear los planes estratgicos de TI con los

objetivos del negocio. Comunicar claramente los
objetivos y las cuentas asociadas para que sean
comprendidos por todos, con la identificacin de
las opciones estratgicas de TI, estructurados e
integrados con los planes de negocio.
Metas de TI
07 Entrega de servicios de TI de acuerdo a los requisitos del 17
Conocimiento, experiencia e iniciativas para la innovacin de negocio
Metas de Proceso
Todos los aspectos de la estrategia de TI estn alineados con la
estrategia del negocio
La estrategia de TI es coste-efectiva, apropiada, realista, factible,
enfocada al negocio y equilibrada
Se pueden derivar objetivos a corto plazo, claros, concretos y
trazables de iniciativas a largo plazo especficas, y se pueden traducir,
por tanto, en planes operativos.
TI es un generador de valor para el negocio
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
Fuentes y prioridades para cambio

Lnea de referencia de capacidades actuales
Diferencias y riesgos relacionados con las capacidades actuales
Anlisis FODA de capacidades
Objetivos de TI a alto nivel
Requerimientos de negocio y capacidades de TI
Propuesta de cambio en la arquitectura del negocio
Diferencias y cambios requeridos para alcanzar la meta de capacidad
Declaracin del valor beneficio para el entorno deseado
Definicin de iniciativas estratgicas
Evaluacin del riesgo
Hoja de ruta estratgica
Plan de comunicacin
Paquete de comunicacin
Existe conciencia de la estrategia de TI y una clara asignacin de

responsabilidades para su entrega
rea: Gestin
APO03 GESTIONAR LA ARQUITECTURA EMPRESARIAL

PROPSITO
PRCTICAS DE GESTIN
APO03.01 Desarrollar la visin de la arquitectura de la empresa
APO03.02 Definir la arquitectura de referencia
APO03.03 Seleccionar las oportunidades y las soluciones
APO03.04 Definir la implantacin de la arquitectura
APO03.05 Proveer los servicios de arquitectura empresarial
TOGAF
ISO/IEC 15504
Representar a los diferentes mdulos que

componen la empresa y sus interrelaciones, as
como los principios rectores de su diseo y
evolucin en el tiempo, permitiendo una entrega
estndar, sensible y eficiente de los objetivos
operativos y estratgicos.
Metas de TI
Metas de Proceso
La arquitectura y los estndares son eficaces apoyando a la empresa.
La certera de servicios de la arquitectura de empresa soporta el
cambio empresarial gil.
Existen dominios apropiados y actualizados y/o arquitecturas
federadas que proveen informacin fiable de la arquitectura.
Se utiliza un marco de arquitectura de empresa y una metodologa
comn, as como un repositorio de arquitectura integrado, con el fin
de permitir la reutilizacin de eficiencias dentro de la empresa.
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
Alcance de la arquitectura definido

Principios de arquitectura
Caso de negocio y propuesta de valor del concepto de arquitectura
Descripciones de dominio de partida y definicin de la arquitectura
Modelo de arquitectura de procesos
Modelo de la arquitectura de la informacin
Estrategia de implementacin de alto nivel y estrategia de migracin
Arquitecturas de transicin
Necesidades de recursos
Descripcin de las fases de implementacin
Requisitos de gobierno de la arquitectura
Orientacin para el desarrollo de soluciones
rea: Gestin
APO04 GESTIONAR LA INNOVACIN

PRCTICAS DE GESTIN
APO04.01 Crear un entorno favorable para la innovacin
APO04.02 Mantener un entendimiento del entorno de la empresa
APO04.03 Supervisar y explorar el entorno tecnolgico
APO04.04 Evaluar el potencia de las tecnologas emergentes y las ideas
innovadoras
APO04.05 Recomendar iniciativas apropiadas adicionales
APO04.06 Supervisar la implementacin y el uso de la innovacin
ISO/IEC 15504
PROPSITO
Lograr ventaja competitiva, innovacin
empresarial y eficacia y eficiencia operativa
mejorada mediante la explotacin de los
desarrollos tecnolgicos para la explotacin de la
informacin.
ISO/IEC 20000, ISO/IEC 27002, ITIL V3 2011
Metas de TI
05 Realizacin de beneficios del portafolio de Inversiones y Servicios
relacionados con las TI
08 Uso adecuado de aplicaciones, informacin y soluciones tecnolgicas
17 Conocimiento, experiencia e iniciativas para la innovacin de negocio
Metas de Proceso
El valor de empresa es creado mediante la cualificacin y puesta en
escena de los avances e innovaciones tecnolgicas mas apropiadas, los
mtodos y soluciones de TI utilizadas.
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
Plan de innovacin
Programa de reconocimiento y recompensa
Oportunidades de innovacin vinculadas a los motivadores del negocio
Anlisis de investigacin de las posibilidades de innovacin
Evaluacin de las ideas de innovacin
Alcance de la prueba de concepto y descripcin de los casos de negocio
Comprobar los resultados de las iniciativas de pruebas de concepto
Resultados y recomendaciones de las pruebas de concepto
Anlisis de las iniciativas rechazadas
Valoracin del uso de enfoques innovadores
Evaluacin de los beneficios de la innovacin
Planes de innovacin ajustados
Los objetivos de la empresa se cumplen por la mejora de los beneficios

de la calidad y/o la reduccin d costes como resultado de la identificacin
e implementacin de soluciones innovadoras.
La innovacin se permite y se promueve y forma parte de la cultura de la
empresa.
rea: Gestin
APO05 GESTIONAR EL PORTAFOLIO
ISO/IEC 15504
PRCTICAS DE GESTIN
APO05.01 Establecer la mezcla del objetivo de inversin
APO05.02 Determinar la disponibilidad y las fuentes de fondos
APO05.03 Evaluar y seleccionar los programas a financiar
APO05.04 Supervisar, optimizar e informar sobre el rendimiento del portafolio de
inversiones
APO05.05 Mantener los portafolios
APO04.06 Gestionar la consecucin de beneficios
PROPSITO
Optimizar el rendimiento del portafolio global de
programas en respuesta al rendimiento de
programas y servicios y a las cambiantes
prioridades y demandas corporativas.
ISO/IEC 20000, ITIL V3 2011, OTROS
Metas de TI
13 Entrega de Programas que proporcionen beneficios a tiempo, dentro
del presupuesto y satisfaciendo los requisitos y normas de calidad
Metas de Proceso
Se ha definido una mezcla apropiada de inversin con la estrategia
corporativa.
Fuentes de fondos de inversin identificados y estn disponibles
Casos de negocio de programas evaluados y priorizados antes de
que se asignen los fondos.
Existe una vista precisa y comprensiva del rendimiento de las
inversiones del portafolio.
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
Mezcla de inversin definida

Identificar recursos y capacidades necesarias para soportar la estrategia
Observaciones a la estrategia y a las metas
Opciones de Financiacin
Expectativas de retorno de inversin
Casos de negocio de programas
Evaluaciones de los casos de negocio
Programas seleccionados con hitos del retorno de la inversin ROI
Informes de rendimiento del portafolio de inversiones
Portafolio de programas, servicios y activos actualizados
Resultados de los beneficios y comunicaciones relacionadas
Acciones correctivas para mejorar la produccin de beneficio
Los cambios en el programa de inversiones se reflejan en los

portafolios relevantes de servicios, activos y recursos de TI.
Los beneficios han sido generados debido a los beneficios de la
monitorizacin.
rea: Gestin
APO06 GESTIONAR EL PRESUPUESTO Y LOS COSTES

PROPSITO
PRCTICAS DE GESTIN
APO06.01 Gestionar las finanzas y la contabilidad
APO06.02 Priorizar la asignacin de recursos
APO06.03 Crear y mantener presupuestos
APO06.04 Modelar y asignar costes
APO06.05 Gestionar costes
ISO/IEC 15504
Fomentar la colaboracin entre TI y las partes

interesadas de la empresa para catalizar el uso eficaz y
eficiente de los recursos relacionados con las TI y
brindar transparencia y responsabilidad sobre el coste y
valor de negocio de soluciones y servicios. Permitir a la
empresa tomar decisiones informadas con respecto a la
utilizacin de soluciones y servicios de TI.
Metas de TI
06 Transparencia de los costes, beneficios y riesgos de las TI
Metas de Proceso
Un presupuesto de TI transparente y completo que refleja
adecuadamente los gastos planificados.
La asignacin de recursos de TI para las iniciativas de TI se prioriza
basndose en necesidades de la empresa.
Los costes de los servicios se asignan de manera equitativa.
Los presupuestos pueden ser comparados con precisin con los
costes reales.
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
Procesos de Contabilidad
Esquema de clasificacin de costes de TI
Prcticas de planificacin financiera
Priorizacin y clasificacin de las iniciativas de TI
Asignaciones presupuestarias
Presupuesto y plan de TI
Comunicaciones presupuestarias
Costes de TI categorizados
Modelo de asignacin de costes
Comunicaciones de asignacin de costes
Procedimientos operativos
Mtodo de recoleccin de datos de coste
Mtodo de consolidacin de costes
Oportunidades de optimizacin de costes
rea: Gestin
APO07 GESTIONAR LOS RECURSOS HUMANOS
ISO/IEC 15504
PRCTICAS DE GESTIN
APO07.01 Mantener la dotacin de personal suficiente y adecuada.
APO07.02 Identificar personal clave de TI.
APO07.03 Mantener las habilidades y competencias del personal.
APO07.04 Evaluar el desempeo laboral de los empleados.
APO07.05 Planificar y realizar un seguimiento del uso de recursos humanos de
TI y del negocio.
APO07.06 Gestionar el personal contratado.
PROPSITO
Optimizar las capacidades de recursos humanos
para cumplir los objetivos de la empresa.
ISO/IEC 27002, SFIA
Metas de TI
16 Personal del negocio y de las TI competente y motivado
negocio
Metas de Proceso
La estructura organizacional y las relaciones de TI son flexibles y dan
respuesta gil.
Los recursos humanos son gestionados eficaz y eficientemente.
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
Evaluaciones de requisitos de personal

Planes de desarrollo de carrera y de competencias
Planes de aprovisionamiento de personal
Matriz de habilidades y competencias
Planes de desarrollo de habilidades
Revisin de informes
Metas personales
Evaluaciones de desempeo
Planes de mejora
Inventario de recursos humanos del negocio y de TI
Anlisis de deficiencias en la obtencin de recursos
Registro de utilizacin de recursos
Polticas de contratacin de personal
Acuerdos contractuales
Revisiones de acuerdos contractuales
rea: Gestin
APO08 GESTIONAR LAS RELACIONES
ISO/IEC 15504
PRCTICAS DE GESTIN
APO08.01 Entender las expectativas del negocio.
APO08.02 Identificar oportunidades, riesgos y limitaciones de TI para mejorar el
negocio.
APO08.03 Gestionar las relaciones con el negocio.
APO08.04 Coordinar y comunicar.
APO08.05 Proveer datos de entrada para la mejora continua de los servicios.
PROPSITO
Crear mejores resultados, mayor confianza en la
tecnologa y conseguir un uso efectivo de los
recursos.
Metas de TI
07 Entrega de servicios de TI de acuerdo a los requisitos del negocio
12 Capacitacin y soporte de procesos de negocio integrando
aplicaciones y tecnologa en procesos de negocio
negocio
Metas de Proceso
Las estrategias, planes y requisitos de negocio estn bien entendidos,
documentados y aprobados.
1.
2.
3.
4.
5.
6.
7.
8.
9.
Expectativas de negocio aclaradas y acordadas

Acuerdos en los siguientes pasos y planes de accin
Decisiones claves acordadas
Estado de las quejas y del escalado
Plan de Comunicacin
Paquetes de comunicacin
Respuestas de los clientes
Anlisis de satisfaccin
Definicin de proyectos de mejora potencial
Existencia de buenas relaciones entre la empresa y las TI.

Las partes interesadas del negocio son conscientes de las
oportunidades posibilitadas por la TI.
rea: Gestin
APO09 GESTIONAR LOS ACUERDOS DE SERVICIO
ISO/IEC 15504
PRCTICAS DE GESTIN
APO09.01 Identificar servicios TI.
APO09.02 Catalogar servicios basados en TI.
APO09.03 Definir y preparar acuerdos de servicio.
APO09.04 Supervisar e informar de los niveles de servicio.
APO09.05 Revisar acuerdos de servicio y contratos.
PROPSITO
Asegurar que los servicios TI y los niveles de
servicio cubren las necesidades presentes y
futuras de la empresa.
Metas de TI
14 Disponibilidad de informacin til y relevante para la toma de
decisiones
Metas de Proceso
La empresa puede usar de modo efectivo los servicios TI tal como se
han definido en el catlogo.
Los acuerdos de servicio reflejan las capacidades y necesidades de
la TI
Los servicios TI rinden como est estipulado en los acuerdos de
servicio.
1.
2.
3.
4.
5.
6.
7.
8.
Carencias identificadas de los servicios de TI de cara al negocio

Definicin de servicios estndar
Catlogo de servicio
Acuerdos de nivel de servicio ANS
Acuerdos de nivel operacional OLAS
Informes de rendimiento del nivel de servicio
Planes de accin de mejora y remedio
ANS Acutalizados
rea: Gestin
APO010 GESTIONAR LOS PROVEEDORES
ISO/IEC 15504
PRCTICAS DE GESTIN
APO10.01 Identificar y evaluar las relaciones y contratos con proveedores.
APO10.02 Seleccionar proveedores.
APO10.03 Gestionar contratos y relaciones con proveedores.
APO10.04 Gestionar el riesgo en el suministro.
APO10.05 Supervisar el cumplimiento y el rendimiento del proveedor.
PROPSITO
Minimizar el riesgo de proveedores que no rindan
y asegurar precios competitivos.
ISO/IEC 20000, ITIL V3 2011, PMBOK
Metas de TI
04 Riesgos de negocio relacionados con las TI gestionados
Metas de Proceso
Los proveedores rinden segn lo acordado.
El riesgo de los proveedores se evala y trata adecuadamente.
Las relaciones con los proveedores son eficaces.
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
Relevancia del contratista y criterios de evaluacin

Catlogo de proveedores
Revisiones potenciales de los contratos con los proveedores
Solicitudes de informacin (RFIs) y de peticiones de propuestas(RFPs) a
proveedores
Evaluacin de RFIs y RFPs
Resultados decididos tras las evaluaciones de proveedores
Roles y responsabilidades de los proveedores
Procesos de revisin y comunicacin
Resultados y sugerencias de mejora
Identificar el riesgo de entrega del proveedor
Identificar requisitos contractuales para minimizar el riesgo
Criterios de supervisin del cumplimiento de los proveedores
Resultados de las revisiones de la supervisin del cumplimiento de los
proveedores
rea: Gestin
APO11 GESTIONAR LA CALIDAD
ISO/IEC 15504
PRCTICAS DE GESTIN
APO11.01 Establecer un sistema de gestin de la calidad (SGC).
APO11.02 Definir y gestionar estndares, procesos y prcticas de calidad.
APO11.03 Enfocar la gestin de la calidad en los clientes.
APO11.04 Supervisar y hacer controles y revisiones de la calidad.
APO11.05 Integrar la gestin de la calidad en la implementacin de soluciones y
la entrega de servicios.
APO11.06 Mantener una mejora continua.
PROPSITO
Asegurar la entrega consistente de soluciones y
servicios que cumplan con los requisitos de la
organizacin y que satisfagan las necesidades de
las partes interesadas.
ISO/IEC 9001:2008
Metas de TI
Metas de Proceso
Las partes interesadas estn satisfechas con la calidad de los
servicios y las soluciones.
Los resultados de los proyectos y de los servicios entregados son
predecibles.
Los requisitos de calidad estn implementados en todos los procesos.
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
Roles, responsabilidades y capacidades de decisin del SGC

Planes de Gestin de la Calidad
Resultados de las revisiones de eficacia del SGC
Estndares de Gestin de la Calidad
Requisitos de los clientes para la gestin de la calidad
Criterios de aceptacin
Revisin de los resultados de la calidad de los servicios, incluyendo la
opinin de los clientes
Resultados de la revisiones y auditorias de calidad
Metas y mtricas del proceso de calidad de los servicios
Resultados de la supervisin de la calidad de los servicios y las
soluciones entregados
Causas raz de los fallos en la calidad de la entrega
Comunicaciones sobre las mejores prcticas y la mejora continua
Ejemplos de las mejores prcticas para ser compartidos
Resultados de revisiones de anlisis comparativos de la calidad
rea: Gestin
APO12 GESTIONAR EL RIESGO

PRCTICAS DE GESTIN
APO12.01 Recopilar datos.
APO12.02 Analizar el riesgo.
APO12.03 Mantener un perfil de riesgo.
APO12.04 Expresar el riesgo.
APO12.05 Definir un portafolio de acciones para la gestin de riesgos.
APO12.06 Responder al riesgo.
ISO/IEC 15504
PROPSITO
Integrar la gestin de riesgos empresariales
relacionados con TI con la gestin de riesgos
empresarial general (ERM) y equilibrar los costes
y beneficios de gestionar riesgos empresariales
relacionados con TI.
ISO/IEC 27001:2005, ISO/IEC 27002:2011, ISO/IEC 31000
Metas de TI
10 Seguridad de la informacin, infraestructuras de procesamiento y
aplicaciones
Metas de Proceso
El riesgo relacionado con TI est identificado, analizado, gestionado y
reportado.
Existe un perfil de riesgo actual y completo.
Todas las acciones de gestin para los riesgos significativos estn
gestionadas y bajo control.
Las acciones de gestin de riesgos estn efectivamente
implementadas.
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
Datos del entorno de operacin relacionados con el riesgo

Datos en eventos de riesgo y en factores contribuyentes
Elementos y factores de riesgo emergentes
Alcance de los esfuerzos de anlisis de riesgos
Escenarios de riesgo de TI
Resultados de anlisis de riesgos
Escenarios de riesgo documentados por lnea de negocio y funcin
Perfil de riesgo agregado, incluyendo el estado de las acciones de
gestin del riesgo
Anlisis de riesgos e informes del perfil de riesgos para las partes
interesadas
Revisin de resultados de las evaluaciones de riesgos de terceras partes
Oportunidades para la aceptacin de un riesgo mayor
Propuestas de proyecto para reducir el riesgo
Planes de respuesta para incidentes relacionados con el riesgo
Comunicaciones del impacto del riesgo
Causas raz relacionadas con el riesgo
rea: Gestin
APO13 GESTIONAR LA SEGURIDAD

PRCTICAS DE GESTIN
APO13.01 Establecer y mantener un SGSI.
APO13.02 Definir y gestionar un plan de tratamiento del riesgo de la seguridad
de la informacin.
APO13.03 Supervisar y revisar el SGSI.
ISO/IEC 27001:2005, ISO/IEC 27002:2011, ITIL V3 2011, NIST (National

Institute of Standards and Technology) SP800-53 Rev 1
ISO/IEC 15504
PROPSITO
Mantener el impacto y ocurrencia de los
incidentes de la seguridad de la informacin
dentro de los niveles de apetito de riesgo de la
empresa.
Metas de TI
10 Seguridad de la informacin, infraestructuras de procesamiento y
aplicaciones
1.
2.
3.
4.
5.
6.
Poltica de SGSI
Declaracin del alcance de SGSI
Plan de tratamiento de riesgos de seguridad de la informacin
Casos de negocio de seguridad de informacin
Informes de auditora de SGSI
Recomendaciones para mejorar el SGSI
14 Disponibilidad de informacin til y relevante para la toma de

decisiones
Metas de Proceso
Est en marcha un sistema que considera y trata efectivamente los
requerimientos de seguridad de la informacin de la empresa.
Se ha establecido, aceptado y comunicado por toda la empresa un
plan de seguridad.
Las soluciones de seguridad de la informacin estn implementadas y
operadas de forma consistente en toda la empresa.

Sesion 3A - COBIT Enabling - APO v2.1

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Sesion 3A - COBIT Enabling - APO v2.1

Загружено:

Авторское право:

Доступные форматы

Programa de Actualizacin Profesional

Gestionar el marco de gestin de TI

Gestionar la Arquitectura Empresarial

Gestionar el presupuesto y los costes

Gestionar los recursos humanos

Gestionar las relaciones

Gestionar los acuerdos de servicio

Gestionar los proveedores

Control de Tecnologas de Informacin con COBIT

Dominio: Alinear, Planificar y Organizar (APO)

ESCRIBA EL OBJETIVO DEL

ESCRIBA LA FORMULA POR MEDIO

Nmero de procesos de negocio

Determinar las necesidades

Procesos Crticos Soportados

Porcentaje del personal cuyas

Contar con una fuerza de

Personal con Competencias

Debe ser realista

Dominio: Alinear, Planificar y Organizar (APO)

APO01 GESTIONAR EL MARCO DE GESTIN DE TI

Control de Tecnologas de Informacin con COBIT

Definicin de estructura y funciones organizativas

Dominio: Alinear, Planificar y Organizar (APO)

APO02 GESTIONAR LA ESTRATEGIA

Alinear los planes estratgicos de TI con los

Fuentes y prioridades para cambio

Existe conciencia de la estrategia de TI y una clara asignacin de

Control de Tecnologas de Informacin con COBIT

Dominio: Alinear, Planificar y Organizar (APO)

APO03 GESTIONAR LA ARQUITECTURA EMPRESARIAL

Representar a los diferentes mdulos que

Control de Tecnologas de Informacin con COBIT

Alcance de la arquitectura definido

Dominio: Alinear, Planificar y Organizar (APO)

APO04 GESTIONAR LA INNOVACIN

ISO/IEC 20000, ISO/IEC 27002, ITIL V3 2011

Los objetivos de la empresa se cumplen por la mejora de los beneficios

Control de Tecnologas de Informacin con COBIT

Dominio: Alinear, Planificar y Organizar (APO)

APO05 GESTIONAR EL PORTAFOLIO

ISO/IEC 20000, ITIL V3 2011, OTROS

Mezcla de inversin definida

Los cambios en el programa de inversiones se reflejan en los

Control de Tecnologas de Informacin con COBIT

Dominio: Alinear, Planificar y Organizar (APO)

APO06 GESTIONAR EL PRESUPUESTO Y LOS COSTES

ISO/IEC 20000, ITIL V3 2011

Fomentar la colaboracin entre TI y las partes

Control de Tecnologas de Informacin con COBIT

Dominio: Alinear, Planificar y Organizar (APO)

APO07 GESTIONAR LOS RECURSOS HUMANOS

ISO/IEC 27002, SFIA

Control de Tecnologas de Informacin con COBIT

Evaluaciones de requisitos de personal

Dominio: Alinear, Planificar y Organizar (APO)

APO08 GESTIONAR LAS RELACIONES

ISO/IEC 20000, ITIL V3 2011

Expectativas de negocio aclaradas y acordadas

Existencia de buenas relaciones entre la empresa y las TI.

Control de Tecnologas de Informacin con COBIT

Dominio: Alinear, Planificar y Organizar (APO)

APO09 GESTIONAR LOS ACUERDOS DE SERVICIO

ISO/IEC 20000, ITIL V3 2011