Programa Nacional de Formacin en Informtica Trayecto 4 Trimestre 1 Unidad Curricular: Seguridad Informtica Mdulo: Seguridad Informtica (PISI414)

COBIT 4.1Entregar y Dar SoporteIntegrantes del grupo: (Seccin I-904)Daniel Zapata Franklin Ramrez Yasibit Reao Marlon Mirabal

COBIT 4.1: Entregar y Dar Soporte DS1 Definir y administrar los niveles de servicioDS2 Administrar los servicios de terceros DS3 Administrar el desempeo y la capacidad DS4 Garantizar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas DS6 Identificar y asignar costos DS7 Educar y entrenar a los usuarios DS8 Administrar la mesa de servicio y los incidentes DS9 Administrar la configuracin DS10 Administrar los problemas DS11 Administrar los datos DS12 Administrar el ambiente fsico DS13 Administrar las operaciones1 de

COBIT 4.1: Entregar y Dar Soporte DS1 Definir y administrar los niveles de servicioDS2 Administrar los servicios de terceros DS3 Administrar el desempeo y la capacidad DS4 Garantizar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas DS6 Identificar y asignar costos DS7 Educar y entrenar a los usuarios DS8 Administrar la mesa de servicio y los incidentes DS9 Administrar la configuracin DS10 Administrar los problemas DS11 Administrar los datos DS12 Administrar el ambiente fsico DS13 Administrar las operaciones2 de

efinir y administrar los niveles de servicioContar con una definicin documentada y un acuerdo de servicios de TI y de niveles de servicio, hace posible una comunicacin efectiva entre la gerencia de TI y los clientes de negocio respecto de los servicios requeridos. Este proceso tambin incluye el monitoreo y la notificacin oportuna a los interesados sobre el cumplimiento de los acuerdos de servicio(SLA). Este proceso permite la alineacin entre los servicios de TI y los requerimientos de negocio relacionados.

SE ENFOCA EN: La identificacin de requerimientos de servicio, el acuerdo de niveles de servicio y el monitoreo del cumplimiede los niveles de servicio3 de

SE LOGRA CON:

efinir y administrar los niveles de servicio

La formalizacin de acuerdos internos y externos en lnea con los requerimientos y las capacidad de entrega. La notificacin del cumplimiento de los niveles de servicio (reportes y reuniones). La identificacin y comunicacin de requerimientos de servicios actualizados y nuevos para planeacin estratgica.

SE MIDE CON: % de interesados satisfechos de que la entrega del servicio cumple con los niveles acordados. # de servicios entregados que no estn en el catlogo. # de reuniones formales de revisin de los SLA al ao.4 de

efinir y administrar los niveles de servicioOBJETIVOS DE CONTROL:DS1.1 Marco de Trabajo de la Administracin de los Niveles de Servicios. DS1.2 Definicin de Servicios. DS1.3 Acuerdos de Niveles de Servicio. DS1.4 Acuerdos de Niveles de Operacin. DS1.5 Monitoreo y Reporte del Cumplimiento de los Niveles de Servicio. DS1.6 Revisin de los Acuerdos de Niveles de Servicio y de los Contratos.

5 de

efinir y administrar los niveles de servicioDIRECTRICES GERENCIALESDes de P01 Entradas Planes de TI tcticos y estratgicos, portafolio de servicios de TI Clasificaciones de datos asignados Portafolio de servicios de TI actualizado Planes Iniciales de SLAs Planes Iniciales de OLAs Requerimientos de servicio en caso de desastre incluyendo roles y responsabilidades Entrada de desempeo hacia la planeacin de TI Salidas Reporte de revisin de contrato Reportes de desempeo de los procesos Requerimientos de servicios nuevos / actualizados SLAs OLAs Portafolio de servicios actualizados Hacia DS2 ME1 P01 AI1 DS2 DS8 DS4 DS2 DS8 P01 DS3 DS3 DS4 DS4 DS6 DS6 DS1 3 DS1 3

P02 P05 AI2 AI3 DS4 ME1

6 de

efinir y administrar los niveles de servicioMETAS Y MTRICAS

TI Asegurar la satisfaccin usuarios finales con de los ofertas deniveles de servicio y servicio. Responder a los negocio alineados requerimientos de con la estrategia de negocio. Asegurar entendimiento transparencia y de los costos, beneficios, estrategia, polticas y servicio de niveles de TI.

Proceso s Establecer un entendimiento comnde los niveles de servicio requeridos. Formalizar y monitorear los convenios de niveles de servicio y los criterios de desempeo. Alinear los servicios entregados con los niveles de servicio acordados. Crear un catlogo de servicios actualizado alineado con las metas del negocio.

Actividade s Definicin de servicios. Formalizacin de convenios internos y externos alineados con los requerimientos y las capacidades de entrega . Notificacin del cumplimiento de los niveles de servicio (reportes y reuniones). Asegurar que los reportes estn hechos a la medida de la audiencia que los recibe. Retroalimentar requerimientos de servicio, nuevos y actualizados, al proceso de planeacin estratgica.

Mide % de interesados del negocio satisfechos de que los servicios cumplen con los entregados niveles de servicio acordados. % de usuarios satisfechos de que los servicios entregados cumplen con los niveles de servicio acordados.

Mide % de servicios entregados que estn en el catlogo. no % de servicios que cumplen con los niveles de servicio. % de niveles de servicio que se miden.

Mide Nmero de reuniones formales de revisin de los SLAs con los responsables de negocio por ao. % de niveles de servicio reportados. % de niveles de servicio reportados de forma automatizada. Nmero de das de trabajo transcurridos para ajustar un nivel de servicio despus del acuerdo con el cliente.

7 de

COBIT 4.1: Entregar y Dar Soporte DS1 Definir y administrar los niveles de servicioDS2 Administrar los servicios de tercerosDS3 Administrar el desempeo y la capacidad DS4 Garantizar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas DS6 Identificar y asignar costos DS7 Educar y entrenar a los usuarios DS8 Administrar la mesa de servicio y los incidentes DS9 Administrar la configuracin DS10 Administrar los problemas DS11 Administrar los datos DS12 Administrar el ambiente fsico DS13 Administrar las operaciones8 de

dministrar los servicios de tercerosLa necesidad de asegurar que los servicios provistos por terproceso efectivo de administracin de terceros. Este procesexpectativas en los acuerdos con los terceros, as como conacuerdos. Una efectiva administracin de los servicios de teno se desempean de forma adecuada.

SE ENFOCA EN:El establecimiento de relaciones y responsabilidades bilaterales con proveedores calificados de servicios tercerizados y el monitoreo de la prestacin del servicio para verificar y asegurar la adherencia a los convenios

9 de

dministrar los servicios de tercerosSE LOGRA CON: La identificacin y categorizacin de los servicios del proveedor La identificacin y mitigacin de riesgos del proveedor El monitoreo y la medicin del desempeo del proveedor

SE MIDE CON: # quejas de los usuarios debidas a los servicios contratados % de los principales proveedores que cumplen claramendefinidos y los niveles de servicio % de los principales proveedores sujetos a monitoreo10 de

dministrar los servicios de tercerosOBJETIVOS DE CONTROL:DS2.1 Identificacin de Todas las Relaciones con Proveedores DS2.2 Gestin de Relaciones con Proveedores DS2.3 Administracin de Riesgos con el Proveedor DS2.4 Monitoreo del Desempeo del Proveedor

11 de

dministrar los servicios de tercerosDIRECTRICES GERENCIALES

Des de P01 P08 AI5

Entradas Estrategia de contratacin de TI Estndares de adquisicin Arreglos contractuales, requerimientos de administracin de relaciones con terceros SLAs, reporte de revisin de contrato Requerimientos de servicio contra desastre incluyendo roles y responsabilidades

Salidas Reportes de desempeo de los procesos del proveedor Catlogos Riesgos del proveedor

Hacia ME1 AI5 P09

DS1 DS4

12 de

dministrar los servicios de tercerosMETAS Y MTRICAS

TI Asegurar una relacin de satisfaccin con los mutua terceros. la satisfaccin Asegurar usuarios finales con las de los servicio y ofertas delos niveles de servicio. Asegurar entendimiento transparencia y de los beneficios, estrategia, costos, niveles de polticas y servicio de TI.

Proceso Establecer s

Mide # de quejas de los usuarios debidas a los servicios proveedores quecontratados % del gasto dedicado a aprovisionamiento competitivo

responsabilidades bilaterales relaciones y proveedores calificados de con tercerizad servicios os. Monitorear la prestacin del verificar servicio y el apego a los acuerdos. Asegurar que el proveedor los estndares internos y cumple con externos. Mantener el deseo del continuar con proveedor de la relacin.

de servicios del los proveedor Identificacin y mitigacin de proveed riesgos del or Monitoreo y medicin del del desempeo proveedor

Actividade s Identificacin y categorizacin

Mide

Mide % de los principales proveedores sujetos a una clara definicin de requerimientos y niveles de servicio % de los principales proveedores sujetos a monitoreo Nivel de satisfaccin del negocio con comunicacin efectiva por parte del proveedor Nivel de satisfaccin del proveedor con comunicacin efectiva por parte del negocio # de incidentes significativos por incumplimiento del proveedor en un periodo de tiempo

% de los principales cumplen claramente los requerimientos definidos y los niveles de servicio # de controversias formales con el proveedor % de facturas del proveedor en controversia

13 de

COBIT 4.1: Entregar y Dar Soporte DS1 Definir y administrar los niveles de servicioDS2 Administrar los servicios de terceros

DS3 Administrar el desempeo y la capacidadDS4 Garantizar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas DS6 Identificar y asignar costos DS7 Educar y entrenar a los usuarios DS8 Administrar la mesa de servicio y los incidentes DS9 Administrar la configuracin DS10 Administrar los problemas DS11 Administrar los datos DS12 Administrar el ambiente fsico DS13 Administrar las operaciones14 de

dministrar el desempeo y la capacidadLa necesidad de administrar el desempeo y la capacidad de los recursos de TI requiere de un procesdesempeo actual y la capacidad de los recursos de TI. Este proceso incluye el pronstico de las necerequerimientos de carga de trabajo, almacenamiento y contingencias. Este proceso brinda la seguridainformacin que soportan los requerimientos del negocio estn disponibles de manera continua.

SE ENFOCA EN:Cumplir con los requerimientos de tiempo de respuesta de los acuerdos de niveles de servicio, minimizando el tiempo sin servicio y haciendo mejoras continuas de desempeo y capacidad de TI a travs del monitoreo y la medicin.15 de

dministrar el desempeo y la capacidadSE LOGRA CON: La planeacin y la entrega de capacidad y disponibilidad del sistema Monitoreando y reportando el desempeo del sistema Modelando y pronosticando el desempeo del sistema.

SE MIDE CON: # de horas perdidas por usuario por mes, debidas a la falta de planeacin de la capacidad % de picos donde se excede la meta de utilizacin % de SLAs de tiempo de respuesta que no se satisfacen

16 de

dministrar el desempeo y la capacidadOBJETIVOS DE CONTROL:DS3.1 Planeacin del Desempeo y la Capacidad DS3.2 Capacidad y Desempeo Actual DS3.3 Capacidad y Desempeo Futuros DS3.4 Disponibilidad de Recursos de TI

17 de

dministrar el desempeo y la capacidadDIRECTRICES GERENCIALES

Desde AI2 AI3 DS1

Entradas Especificacione de disponibilidad, continuidad y de recuperacin s Requerimientos de monitoreo del sistema SLAs

Salidas Informacin sobre desempeo y capacidad Pla de desempeo y capacidad (requerimientos) Cambios requeridos AI6 Reportes proceso de desempeo del ME1 P02 P05

Hacia P03 AI1 AI3 ME1

18 de

dministrar el desempeo y la capacidadMETAS Y MTRICASTI Responder a los requerimientos del negocio de acuerdo con la estrategia del negocio. Asegurar que los servicios de TI estn disponibles segn se requieran. Optimizar los recursos, la infraestructura y las capacidades de TI

Procesos Monitorear y medir la carga en los picos y los tiempos de respuesta de la transaccin. Cumplir los tiempos de respuesta de los SLAs. Minimizar las fallas en las transacciones. Minimizar el tiempo sin servicio. Optimizar el uso de recursos de TI.

Actividades Planear y brindar capacidad y disponibilidad del sistema Monitoreo y reporte del desempeo del sistema Modelo y pronstico del desempeo del sistema

Mide # de horas por usuario por mes, debidas a la falta de planeacin de la capacidad # de procesos de negocio crticos no cubiertos por un plan definido de disponibilidad de servicios

Mide Carga en los picos y tasas globales de utilizacin % de picos cuando se excede la utilizacin meta % de SLAs de tiempo de respuesta que no se han cumplido Tasa de falla de transacciones

Mide Frecuencia de los pronsticos de desempeo y capacidad % de activos incluidos en las revisiones de capacidad % de activos monitoreados a travs de herramientas centralizadas

19 de

COBIT 4.1: Entregar y Dar Soporte DS1 Definir y administrar los niveles de servicioDS2 Administrar los servicios de terceros DS3 Administrar el desempeo y la capacidad

DS4 Garantizar la continuidad del servicioDS5 Garantizar la seguridad de los sistemas DS6 Identificar y asignar costos DS7 Educar y entrenar a los usuarios DS8 Administrar la mesa de servicio y los incidentes DS9 Administrar la configuracin DS10 Administrar los problemas DS11 Administrar los datos DS12 Administrar el ambiente fsico DS13 Administrar las operaciones20 de

arantizar la continuidad del servicioLa necesidad de brindar continuidad en los servicios de TI requiere desarrollar, mantener y probar planes de continuidad de TI, almacenar respaldos fuera de las instalaciones y entrenar de forma peridica sobre los planes de continuidad. Un proceso efectivo de continuidad de servicios, minimiza la probabilidad y el impacto de interrupciones mayores en los servicios de TI, sobre funciones y procesos claves del negocio.

SE ENFOCA EN:El desarrollo de resistencia (resilience) en las soluciones automatizadas y desarrollando, manteniendo y probando los planes de continuidad de TI21 de

arantizar la continuidad del servicioSE LOGRA CON: Desarrollando y manteniendo contingencia de TI (mejorando) los planes de

Con entrenamiento y pruebas de los planes de contingencia de TI Guardando copias de los planes de contingencia y de los datos fuera de las instalaciones

SE MIDE CON: # de horas perdidas por usuario por mes, debidas a interrupciones no planeadas # de procesos crticos de negocio que dependen de TI, que no estn cubiertos por unplan de continuidad22 de

arantizar la continuidad del servicioOBJETIVOS DE CONTROL:DS4.1 Marco de Trabajo de Continuidad de TI DS4.2 Planes de Continuidad de TI DS4.3 Recursos Crticos de TI DS4.4 Mantenimiento del Plan de Continuidad de TI DS4.5 Pruebas del Plan de Continuidad de TI DS4.6 Entrenamiento del Plan de Continuidad de TI DS4.7 Distribucin del Plan de Continuidad de TI DS4.8 Recuperacin y Reanudacin de los Servicios de TI DS4.9 Almacenamiento de Respaldos Fuera de las Instalaciones DS4.10 Revisin Post Reanudacin23 de

arantizar la continuidad del servicioDIRECTRICES GERENCIALESDesde P02 P09 AI2 AI4 Entradas Clasificaciones de datos asignados Valoracin de riesgo Especificacin de disponibilidad, continuidad y recuperacin Manuales de usuario, tcnicos, operativos, soporte y de administracin. SLAs y OLAs Salidas Resultados de las pruebas de Criticidad contingenciade Puntos de configuracin de TI Plan de almacenamiento de respaldos y de proteccin. Umbrales incidente / desastre Requerimientos de servicios contra desastres Reportes de incluyendo desempeo de los roles y responsabilidades procesos Hacia P09 DS9 DS1 1 DS8 DS1 3

DS1

DS1 ME1

DS2

24 de

arantizar la continuidad del servicioMETAS Y MTRICASTI Asegurar que los servicios de TI estn disponibles segn se requieran. Asegurar un mnimo impacto al negocio en caso de una interrupcin o cambio en los servicios de TI. Asegurar que los servicios y la infraestructura de TI pueden resistir y recuperarse de fallas originadas por un error, ataque deliberado o desastre.

Procesos Establecer un plan de continuidad de TI que soporte los planes de continuidad del negocio. Desarrollar planes de continuidad de TI que puedan ejecutarse, probarse y mantenerse. Minimizar la posibilidad de interrupcin de los servicios de TI.

Actividades Desarrollar y mantener (mejorar) los planes de contingencia de TI Habilitacin y pruebas de los planes de contingencia Almacenamiento de copias de los planes de contingencia fuera de las instalaciones

Mide # de horas perdidas por usuario por mes debido a interrupciones no planeadas

Mide % de SLAs de disponibilidad que se cumplen # de procesos crticos del negocio que dependen de TI, no cubiertos por un plan de continuidad % de pruebas para lograr los objetivos de recuperacin Frecuencia en la interrupcin de servicios de sistemas crticos

Mide Tiempo transcurrido entre las pruebas de cualquier elemento dado del plan de continuidad de TI Nmero de horas de habilitacin por ao de cada empleado relevante de TI % de componentes de infraestructura crticos con monitoreo de disponibilidad automatizado Frecuencia de revisin del plan de continuidad de TI

25 de

COBIT 4.1: Entregar y Dar Soporte DS1 Definir y administrar los niveles de servicioDS2 Administrar los servicios de terceros DS3 Administrar el desempeo y la capacidad DS4 Garantizar la continuidad del servicio

DS5 Garantizar la seguridad de los sistemasDS6 Identificar y asignar costos DS7 Educar y entrenar a los usuarios DS8 Administrar la mesa de servicio y los incidentes DS9 Administrar la configuracin DS10 Administrar los problemas DS11 Administrar los datos DS12 Administrar el ambiente fsico DS13 Administrar las operaciones26 de

arantizar la seguridad de los sistemas

El proceso de administracin de la seguridad incluye el establecimiento y mantenimiento de roles y responsabilidades de seguridad, polticas, estndares y procedimientos de TI. La administracin de la seguridad tambin incluye realizar monitoreos de seguridad y pruebas peridicas as como realizar acciones correctivas sobre las debilidades o incidentes de seguridad identificados

SE ENFOCA EN:La definicin de polticas, procedimientos y estndares de seguridad de TI y en el monitoreo, deteccin, reporte y resolucin de las vulnerabilidades e incidentes de seguridad

27 de

arantizar la seguridad de los sistemasSE LOGRA CON:

El entendimiento de los requerimientos, vulnerabilidades y amenazas de seguridad. La administracin de identidades y autorizaciones de los usuarios de forma estandarizada. Probando la seguridad de forma regularSE MIDE CON:

El nmero de incidentes que daan la reputacin con el pblico El nmero de sistemas donde no se cumplen los requerimientos de seguridad El nmero de violaciones en la segregacin de tareas28 de

arantizar la seguridad de los sistemasOBJETIVOS DE CONTROL:DS5. Administracin de la Seguridad de TI 1 DS5. Plan de Seguridad de TI 2 DS5. Administracin de Identidad 3 DS5. Administracin de Cuentas del Usuario 4 DS5. Pruebas, Vigilancia y Monitoreo de la 5 Seguridad DS5. Definicin de Incidente de Seguridad 6 DS5. Proteccin de la Tecnologa de Seguridad 7 DS5. Administracin de Llaves Criptogrficas 8 DS5. Prevencin, Deteccin y Correccin de Software 9 Malicioso DS5.10 Seguridad de la Red DS5.11 Intercambio de Datos Sensitivos29 de

arantizar la seguridad de los sistemasDIRECTRICES GERENCIALES

Des de P02 P03

Entradas Arquitectura de informacin; clasificacin de datos asignados Estndares de tecnologa

Salidas Definicin de incidentes de seguridad Requerimientos especficos de entrenamiento sobre Reportes de seguridad concienciade desempeo del proceso Cambios de seguridad requeridos Amenazas y vulnerabilidades de seguridad DS8

Hacia

DS7

P09 AI2 DS1

Evaluacin de riesgo Especificaciones de controles de seguridad en las aplicaciones OLAs

ME1 AI6 P09

30 de

arantizar la seguridad de los sistemasMETAS Y MTRICASTI Garantizar que la informacin crtica y confidencial est prohibida a aquellos que no tienen acceso a ella. Garantizar que las transacciones e intercambios de informacin automatizados del negocio sean confiables. Mantener la integridad de la informacin y de la infraestructura de procesamiento. Proteger y mantener registro de todos los activos de TI. Garantizar que los servicios y la infraestructura de TI pueden resistir y recuperarse de fallas originadas por un error, ataque deliberado o desastre.

Procesos Permitir el acceso a informacin crtica y sensible solo a usuarios autorizados. Identificar, monitorear y reportar vulnerabilidades e incidentes de seguridad. Detectar y resolver accesos no autorizados a la informacin, aplicaciones e infraestructura. Minimizar el impacto de las vulnerabilidades y de los incidentes de seguridad.

Actividades Entendimiento de los requerimientos, vulnerabilidades y amenazas de seguridad. Administracin de las identidades y autorizaciones de los usuarios de manera estndar. Definicin de incidentes de seguridad. Pruebas de seguridad regulares.

Mide # de incidentes con impacto al negocio. # de sistemas que no cumplen con los requerimientos de seguridad. Tiempo para otorgar, cambiar o eliminar privilegios de acceso.

Mide # y tipo de violaciones de acceso reales y sospechadas. # de violaciones en la segregacin de funciones % de usuarios que no cumplen con los estndares de contraseas. # y tipo de cdigo malicioso prevenido.

Mide Frecuencia y revisin del tipo de eventos de seguridad a ser monitoreados. # y tipo de cuentas obsoletas # de direcciones IP no autorizadas, puertos y tipos de trfico denegados % de llaves criptogrficas comprometidas y revocadas # de derechos de acceso autorizados, revocados, restaurados o cambiados.

31 de

COBIT 4.1: Entregar y Dar Soporte DS1 Definir y administrar los niveles de servicioDS2 Administrar los servicios de terceros DS3 Administrar el desempeo y la capacidad DS4 Garantizar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas

DS6 Identificar y asignar costosDS7 Educar y entrenar a los usuarios DS8 Administrar la mesa de servicio y los incidentes DS9 Administrar la configuracin DS10 Administrar los problemas DS11 Administrar los datos DS12 Administrar el ambiente fsico DS13 Administrar las operaciones32 de

DS6

dentificar y asignar cortos

La necesidad de un sistema justo y equitativo para asignar costos de TI al negocio, requiere de una medicin precisa y un acuerdo con los usuarios del negocio sobre una asignacin justa. Este proceso incluye la construccin y operacin de un sistema para capturar, distribuir y reportar costos de TI a los usuarios de los servicios. Un sistema equitativo de costos permite al negocio tomar decisiones ms informadas respectos al uso de los servicios de TI

SE ENFOCA EN:El registro completo y preciso de los costos de TI, un sistema equitativo para asignacin acordado con los usuarios de negocio, y un sistema para reportar oportunamente el uso de TI y los costos asignados33 de

DS6

dentificar y asignar cortos

SE LOGRA CON: La alineacin de cargos con la calidad y cantidad de los servicios brindados La construccin y aceptacin de un modelo de costos completo La aplicacin de cargos con base en la poltica acordada

SE MIDE CON: Porcentaje de facturas de servicios de TI aceptadas/pagadas por la gerencia del negocio. Porcentaje de variacin entre los presupuestos, pronsticos y costos actuales. Porcentaje de costos totales de TI que son distribuidos de acuerdo con los modelos acordados34 de

DS6

dentificar y asignar cortos

OBJETIVOS DE CONTROL:DS6.1 Definicin de Servicios DS6.2 Contabilizacin de TI DS6.3 Modelacin de Costos y Cargos DS6.4 Mantenimiento del Modelo de Costos

35 de

DS6Desde P04 P05 Entradas

dentificar y asignar cortos

DIRECTRICES GERENCIALES

Salidas Finanzas de TI P05 Reportes de desempeo de procesos

Hacia

Dueos de sistemas documentados Reporte cost s presupuestosode TI / beneficio,

ME1

P010

Planes de proyecto detallados

DS1

SLAs y OLAs

36 de

DS6TI

dentificar y asignar cortos

METAS Y MTRICASProcesos Desarrollo de una definicin justa y equitativa de los costos y servicios de de TI Registro preciso de los costos de los servicios de TI. Asignar de forma justa y equitativa los servicios de TI. consumidores de costos de TI a los

Actividades Revisin de costos asignados por la gerencia de negocio Alineacin de cargos con la calidad de los servicios prestados Construccin y acuerdo de un modelo de costos completo Aplicacin de cargos de acuerdo a la poltica acordada Evaluacin por comparacin de los costos de manera peridica.

Garantizar la transparencia y entendimiento de los costos, beneficios, estrategia, polticas y niveles de servicios de TI. Mejorar la relacin costo-eficiencia de TI y su contribucin a la rentabilidad del negocio. Garantizar que TI demuestra una calidad de servicio rentable, mejora continua y que est preparada para cambios futuros.

Mide % de facturas por servicios de TI aceptadas/ pagadas por la gerencia del negocio Costo unitario por servicio en el tiempo

Mide % de varianza entre los presupuestos, pronsticos y costos reales % de costos generales de TI que se asignan de acuerdo a los modelos de costos acordados

Mide % de usuarios de negocio involucrados en la definicin de modelos de costo. Frecuencia de medicin del modelo de asignacin de costos % de costos asignados de forma automtica / manual

37 de

COBIT 4.1: Entregar y Dar Soporte DS1 Definir y administrar los niveles de servicioDS2 Administrar los servicios de terceros DS3 Administrar el desempeo y la capacidad DS4 Garantizar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas DS6 Identificar y asignar costos

DS7 Educar y entrenar a los usuariosDS8 Administrar la mesa de servicio y los incidentes DS9 Administrar la configuracin DS10 Administrar los problemas DS11 Administrar los datos DS12 Administrar el ambiente fsico DS13 Administrar las operaciones38 de

ducar y entrenar a los usuariosPara una educacin efectiva de todos los usuarios de sistemas de TI, incluyendo aquellos dentro de TI, se requieren identificar las necesidades, este proceso incluye la definicin y ejecucin de una estrategia para llevar a cabo un entrenamiento efectivo y la medicin de los resultados, logrando incrementa el uso efectivo de la tecnologa al disminuir los errores, incrementando la productividad y el cumplimiento de los controles clave tales como las medidas de seguridad de los usuarios

SE ENFOCA EN:Un claro entendimiento de las necesidades de entrenamiento de los usuarios de TI, la ejecucin de una efectiva estrategia de entrenamiento y la medicin de resultados39 de

ducar y entrenar a los usuariosSE LOGRA CON: Establecer un programa de entrenamiento Organizar el entrenamiento Impartir el entrenamiento Monitorear y reportar la efectividad del entrenamiento

SE MIDE CON: Nmero de llamadas de soporte debido a problemas de entrenamiento Porcentaje de satisfaccin de los Interesados con el entrenamiento recibido Lapso de tiempo entre la identificacin de la necesidad de entrenamiento y la imparticin del mismo40 de

ducar y entrenar a los usuariosOBJETIVOS DE CONTROL:

DS7.1 Identificacin de Necesidades de Entrenamiento y Educacin DS7.2 Imparticin de Entrenamiento y Educacin DS7.3 Evaluacin del Entrenamiento Recibido

41 de

ducar y entrenar a los usuariosDIRECTRICES GERENCIALESDesd e P07 Entrada s Habilidades y competencias de los usuario incluyend e s, o entrenamiento individual y los l requerimiento especficos de s entrenamiento . Materiale d entrenamiento s ; requerimientos ede transferencia del conocimiento para implementacin de soluciones SLAs Requerimiento especfico d s s e entrenamiento sobre conocimientos de seguridad Reportes de satisfaccin de usuario Salida s Reportes de desempeo de procesos ME1 Hacia

AI4

Actualizacione s documentacin requeridas

de AI4

DS1 DS5 DS8

42 de

ducar y entrenar a los usuariosMETAS Y MTRICASTI Garantizar la satisfaccin de los usuarios finales con ofrecimiento de servicios y niveles de servicio. Garantizar el uso apropiado y el desempeo de las aplicaciones y soluciones tecnolgicas. Optimizar la infraestructura, los recursos y las capacidades de TI.

Procesos Establecer un programa de habilitacin para usuarios a todos los niveles utilizando los mtodos con mejor rentabilidad. Transferir el conocimiento a los usuarios de las aplicaciones y soluciones tecnolgicas. Incrementar la conciencia sobre los riesgos y las responsabilidades involucrados en el uso de soluciones y aplicaciones tecnolgicas.

Actividades Establecer plan de entrenamiento Organizar el entrenamiento Impartir el entrenamiento Monitorear y reportar la efectividad del entrenamiento

Mide Mejoras medidas en la productividad de los empleados como resultado de un mejor entendimiento de los sistemas. Aumento de la satisfaccin del usuario con la introduccin de servicios, sistemas o nuevas tecnologas.

Mide # de llamadas de soporte para habilitacin o para responder preguntas % de satisfaccin de los interesados a quienes se les brind habilitacin % de empleados habilitados.

Mide Frecuencia de actualizaciones del programa de habilitacin. Lapso de tiempo entre la identificacin de la necesidad de habilitacin y la imparticin de la misma.

43 de

COBIT 4.1: Entregar y Dar Soporte DS1 Definir y administrar los niveles de servicioDS2 Administrar los servicios de terceros DS3 Administrar el desempeo y la capacidad DS4 Garantizar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas DS6 Identificar y asignar costos DS7 Educar y entrenar a los usuarios

DS8 Administrar la mesa de servicio y los incidentesDS9 Administrar la configuracin DS10 Administrar los problemas DS11 Administrar los datos DS12 Administrar el ambiente fsico DS13 Administrar las operaciones44 de

dministrar la mesa de servicio y los incidentesEl proceso de administracin de incidentes incluye la creacin de una funcin de mesa de servicio con registro, escalamiento de incidentes, anlisis de tendencia, anlisis causa- raz y resolucin. Los beneficios del negocio incluyen el incremento en la productividad gracias a la resolucin rpida de consultas. Adems, el negocio puede identificar la causa raz (tales como un pobre entrenamiento a los usuarios) a travs de un proceso de reporte efectivo

SE ENFOCA EN:Una funcin profesional de mesa de servicio, con tiempo de respuesta rpido, procedimientos de escalamiento claros y anlisis de tendencias y de resolucin

45 de

dministrar la mesa de servicio y los incidentesSE LOGRA CON:

Instalacin y operacin de un servicio de una mesa de servicios Monitoreo y reporte de tendencias Definicin de procedimientos y de criterios de escalamiento clarosSE MIDE CON:

Satisfaccin del usuario con el soporte de primera lnea Porcentaje de incidentes resueltos dentro de un lapso de tiempo aceptable / acordado. ndice de abandono de llamadas46 de

dministrar la mesa de servicio y los incidentesOBJETIVOS DE CONTROL:

DS8.1 Mesa de Servicios DS8.2 Registro de Consultas de Clientes DS8.3 Escalamiento de Incidentes DS8.4 Cierre de Incidentes DS8.5 Anlisis de Tendencias

47 de

dministrar la mesa de servicio y los incidentesDIRECTRICES GERENCIALESDesde AI4 AI6 AI7 DS1 DS4 DS5 DS9 DS10 DS13 Entradas Manuales de usuario, operacin, tcnicos y de administracin Autorizacin de cambios Puntos de configuracin liberados SLAs y OLAs Umbrales de incidente / desastre Definicin de incidente de seguridad Detalles de configuracin / activos de TI Problemas conocidos, errores conocidos y soluciones alternas Tiquetes de incidente Salidas Solicitud de servicio / solicitud de cambio de incidentes Reportes Reportes de desempeo de procesos de satisfaccin Reportes de usuarios Hacia AI6 DS10 ME1 DS7 ME1

48 de

dministrar la mesa de servicio y los incidentesMETAS Y MTRICASTI Garantizar la satisfaccin de los usuarios finales con ofrecimientos de servicios y niveles de servicio. Garantizar el uso y desempeo apropiados de las aplicaciones y soluciones tecnolgicas. Garantizar que los servicios de TI estn disponibles cuando se requieran

Procesos Analizar, documentar y escalar incidentes de manera oportuna Responder a las consultas de forma precisa y oportuna Llevar a cabo de manera regular anlisis de tendencias de incidentes y consultas

Actividades Instalacin y operacin de una mes de servicios Monitoreo y reporte de tendencias Alineacin de las prioridades de resolucin con las prioridades del negocio Definicin de procedimientos y criterios de escalamiento claros

Mide Satisfaccin del usuario con el soporte de primera lnea (mesa de servicios o base de conocimientos) % de incidentes resueltos dentro de un perodo de tiempo aceptable/ acordado

Mide % de resoluciones en la primera lnea deatencin con base en el total de peticiones % de incidentes reabiertos. ndice de abandono de llamadas. Duracin promedio de los incidentes por severidad. Velocidad promedio para responder a peticiones va telfono y va web o email.

Mide % de incidentes y de solicitudes de servicio reportadas y registradas usando herramientas automatizadas # de das de entrenamiento del personal de la mesa de servicios por ao. # de llamadas atendidas por el personal de la mesa de servicios por hora. % de incidentes que requieren soporte local (en campo, visita personal) Acumulacin de consultas sin resolver

49 de

COBIT 4.1: Entregar y Dar Soporte DS1 Definir y administrar los niveles de servicioDS2 Administrar los servicios de terceros DS3 Administrar el desempeo y la capacidad DS4 Garantizar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas DS6 Identificar y asignar costos DS7 Educar y entrenar a los usuarios DS8 Administrar la mesa de servicio y los incidentes

DS9 Administrar la configuracinDS10 Administrar los problemas DS11 Administrar los datos DS12 Administrar el ambiente fsico DS13 Administrar las operaciones50 de

dministrar la configuracinUna efectiva administracin de la configuracin facilita una mayor disponibilidad, minimiza los problemas de produccin y resuelve los problemas de manera rpida. La recoleccin de informacin de la configuracin inicial, el establecimiento de normas, la verificacin y auditora de la informacin de la configuracin y la actualizacin del repositorio de configuracin conforme se necesite.

SE ENFOCA EN:Establecer y mantener un repositorio completo y preciso de atributos de la configuracin de los activos y de lneas base y compararlos contra la configuracin actual

51 de

dministrar la configuracinSE LOGRA CON:

El establecimiento de un repositorio central de todos los elementos de la configuracin La identificacin de los elementos de configuracin y su mantenimiento Revisin de la integridad de los datos de configuracinSE MIDE CON:

El nmero de problemas de cumplimiento del negocio debido a inadecuada configuracin de los activos. El nmero de desviaciones identificadas entre el repositorio de configuracin y la configuracin actual de los activos. Porcentaje de licencias compradas y no registradas en el repositorio52 de

dministrar la configuracinOBJETIVOS DE CONTROL:

DS9.1 Repositorio y Lnea Base de Configuracin DS9.2 Identificacin y Mantenimiento de Elementos de Configuracin DS9.3 Revisin de Integridad de la Configuracin

53 de

dministrar la configuracinDIRECTRICES GERENCIALESDesde AI4 AI7 DS4 Entradas Manuales de usuario, tcnicos de soporte y de administracin Elementos de configuracin liberados Criticidad de los elementos de configuracin de TI Salidas Configuracin de TI / detalles de activos RFC (Donde y Como aplicar el parche) Reportes de desempeo del proceso Hacia DS8 AI6 ME1 DS10 DS13

54 de

dministrar la configuracinMETAS Y MTRICAS

TI Optimizar la recursos y las capacidades infraestructura, los de TI. Proteger y registrar todos los de activos TI.

Proceso s Establecer un repositorio deactivos, todos los atributos de lneas configuracin y base. Mantener la integridad del de repositorio configuracin. Revisar la configuracin actual activos para de los cumplimiento comprobar el con las lneas base del repositori o

todos los elementos de para Identificar de los configuracin. configuracin elementos de y mantener la de la informacin Revisar la integridad de la configuracin. configuraci informacin de n.

Actividade Establecers repositorio central un

Mide # de problemas de cumplimiento del negocio causados por una inadecuada configuracin de los activos.

Mide # de desviaciones identificadas entre el repositorio de configuracin y las configuraciones actuales de activos. % de licencias compradas y no registradas en el repositorio.

Mide Lapso promedio de tiempo entre la identificacin y la rectificacin de una discrepancia. # de discrepancias relacionadas con la falta de informacin sobre la configuracin. % de elementos de configuracin alineados con los niveles de servicio respecto a desempeo, seguridad y disponibilidad.

55 de

COBIT 4.1: Entregar y Dar Soporte DS1 Definir y administrar los niveles de servicioDS2 Administrar los servicios de terceros DS3 Administrar el desempeo y la capacidad DS4 Garantizar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas DS6 Identificar y asignar costos DS7 Educar y entrenar a los usuarios DS8 Administrar la mesa de servicio y los incidentes DS9 Administrar la configuracin

DS10 Administrar los problemasDS11 Administrar los datos DS12 Administrar el ambiente fsico DS13 Administrar las operaciones56 de

dministrar los problemasUna efectiva administracin de problemas requiere la identificacin y clasificacin de problemas, el anlisis de las causas desde su raz, y su resolucin. El proceso de administracin de problemas tambin incluye la identificacin de recomendaciones para la mejora, el mantenimiento de registros de problemas y la revisin del estatus de las acciones correctivas. Un efectivo proceso de administracin de problemas mejora los niveles de servicio, reduce costos y mejora la conveniencia y satisfaccin del usuario

SE ENFOCA EN:Registrar, rastrear y resolver problemas operativos; investigacin de las causas raz de todos los problemas relevantes y definir soluciones para los problemas operativos identificados57 de

DS1 0SE LOGRA CON:

Entregar y Dar SoporteAdministrar los problemas

Realizando un anlisis de causas raz de los problemas reportados Analizando las tendencias Tomando propiedad de los problemas y con una resolucin de problemas progresiva.SE MIDE CON:

Nmero de problemas recurrentes con impacto en el negocio Porcentaje de problemas resueltos dentro del perodo de tiempo solicitado Frecuencia de los reportes o actualizaciones sobre un problema en curso, con base en la severidad del problema

58 de

DS1 0DS10.1 DS10.2 DS10.3

Entregar y Dar SoporteAdministrar los problemas

OBJETIVOS DE CONTROL:

Identificacin y Clasificacin de Problemas Rastreo y Resolucin de Problemas

Cierre de Problemas

DS10. Integracin de las Administraciones de Cambios, 4 Configuracin y Problemas

59 de

dministrar los problemasDIRECTRICES GERENCIALESDesde AI6 DS8 DS9 Entradas Autorizacin de cambio Reportes de incidentes Detalles de activos / Configuracin de TI Bitcora de errores Salidas Solicitud de Cambio de Problemas Registros Reportes de desempeo del proceso Problemas conocidos, errores conocidos y soluciones alternas AI6 AI6 ME1 DS8 Hacia

DS13

60 de

dministrar los problemasMETAS Y MTRICASTI Garantizar la satisfaccin usuarios finales con de los de servicios y niveles de ofrecimientos servicio. Reducir el re-trabajo y los de la solucin y de la defectos prestacin de servici os. Proteger el logro de los objetivos de TI

Proceso s Registrar y rastrear

operacin hasta su problemas de resolucin. Investigar las causas raz de problemas todos los significativos. Definir soluciones para los operativos problemas identificados.

Actividade s Dar suficiente autoridad al

problem gerente de as. Hacer anlisis de causa raz problemas de los reportados. Analizar tendencias. Tomar propiedad de los problemas y progreso de la resolucin de del problemas.

Mide # de problemas impacto al recurrentes con negocio. # de interrupciones al ocasionadas por negocio problemas operativo s.

Mide % de problemas rastread registrados y os. % de problemas recurrentes periodo de tiempo) por (en un severidad. % de problemas resueltos entiempo el requerido. # de problemas abiertos / cerrados por nuevos / severidad. Desviacin promedio y estndar del lapso de tiempo entre la identificacin del problema y su resolucin. Desviacin promedio y estndar del lapso de tiempo entre la resolucin del problema y su cierre.

Mide Duracin promedio entre el registro problema y la identificacin de la de un causa ra z. % de problemas para los cuales se un anlisis de causa realiz raz. La frecuencia de actualizaciones de un problema en reportes o curso, con base en la severidad del problema.

61 de

COBIT 4.1: Entregar y Dar Soporte DS1 Definir y administrar los niveles de servicioDS2 Administrar los servicios de terceros DS3 Administrar el desempeo y la capacidad DS4 Garantizar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas DS6 Identificar y asignar costos DS7 Educar y entrenar a los usuarios DS8 Administrar la mesa de servicio y los incidentes DS9 Administrar la configuracin DS10 Administrar los problemas

DS11 Administrar los datosDS12 Administrar el ambiente fsico DS13 Administrar las operaciones62 de

DS1 1

Entregar y Dar SoporteAdministrar los datos

Una efectiva administracin de datos requiere de la identificacin de requerimientos de datos as como tambin del establecimiento de procedimientos efectivos para administrar la librera de medios, el respaldo y la recuperacin de datos y la eliminacin apropiada de medios. Una efectiva administracin de datos ayuda a garantizar la calidad, oportunidad y disponibilidad de la informacin del negocio

SE ENFOCA EN:Mantener la integridad, exactitud, disponibilidad y proteccin de los datos.

63 de

DS1 1SE LOGRA CON:

Entregar y Dar SoporteAdministrar los datos

Respaldando los datos y probando la restauracin Administrando almacenamiento de datos en sitio y fuera de sitio. Desechando de manera segura los datos y el equipoSE MIDE CON:

Satisfaccin del usuario con la disponibilidad de los datos. Porcentaje de restauraciones exitosas de datos. Nmero de incidentes en los que tuvo que recuperarse datos sensitivos despus que los medios haban sido desechados64 de

DS1 1

Entregar y Dar SoporteAdministrar los datos

OBJETIVOS DE CONTROL:

DS11. Requerimientos del Negocio para Administracin 1 de Datos DS11.2 Acuerdos de Almacenamiento y Conservacin DS11.3 Sistema de Administracin de Libreras de Medios DS11.4 Eliminacin DS11.5 Respaldo y Restauracin DS11. Requerimientos 6 Administracin de Datos de Seguridad para la

65 de

dministrar los datosDIRECTRICES GERENCIALESDesde P02 AI4 DS1 DS4 Entradas Diccionario de datos; clasificaciones de datos asignados Manuales de usuario, operacin, tcnicos y de administracin. OLAs Plan de proteccin y de almacenamiento de respaldos Salidas Reportes de desempeo del proceso Instrucciones del operador para administracin de datos Hacia

ME1 DS13

66 de

dministrar los datosMETAS Y MTRICASTI Optimizar el uso de informacin. Garantizar que la informacin crtica y confidencial se mantiene oculta contra quienes no deben tener acceso a ella. Garantizar que TI cumpla con las leyes y regulaciones.

Procesos Mantener la completitud, exactitud, validez y accesibilidad de los datos almacenados. Asegurar los datos durante el desecho de medios Administrar de manera efectiva el almacenamiento de medios.

Actividades Respaldo de datos y prueba de restauracin. Administracin de almacenamiento de datos en sitio y fuera del sitio. Desecho seguro de datos y equipo.

Mide Nmero de eventos donde se presente incapacidad para recuperar informacin crtica para el proceso de negocio. Satisfaccin del usuario con la disponibilidad de la informacin. Incidentes de incumplimiento de las leyes debido a problemas con la administracin del almacenamiento.

Mide % de restauraciones de datos exitosas. # de incidentes en los que se recuperaron datos de medios y equipos ya desechados. # de incidentes de falta de servicio o de integridad de informacin causados por falta de capacidad de almacenamiento

Mide Frecuencia de las prueba de los medios de respaldo. Tiempo promedio del tiempo de restauracin de datos.

67 de

COBIT 4.1: Entregar y Dar Soporte DS1 Definir y administrar los niveles de servicioDS2 Administrar los servicios de terceros DS3 Administrar el desempeo y la capacidad DS4 Garantizar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas DS6 Identificar y asignar costos DS7 Educar y entrenar a los usuarios DS8 Administrar la mesa de servicio y los incidentes DS9 Administrar la configuracin DS10 Administrar los problemas DS11 Administrar los datos

DS12 Administrar el ambiente fsicoDS13 Administrar las operaciones68 de

DS1 2

Entregar y Dar SoporteAdministrar el ambiente fsico

El proceso de administrar el ambiente fsico incluye la definicin de los requerimientos fsicos del centro de datos (site), la seleccin de instalaciones apropiadas y el diseo de procesos efectivos para monitorear factores ambientales y administrar el acceso fsico. La administracin efectiva del ambiente fsico reduce las interrupciones del negocio ocasionadas por daos al equipo de cmputo y al personal

SE ENFOCA EN:Proporcionar y mantener un ambiente fsico adecuado para proteger los activos de TI contra acceso, dao o robo

69 de

DS1 2SE LOGRA CON:

Entregar y Dar SoporteAdministrar el ambiente fsico

Implementando medidas de seguridad fsicas. Seleccionando y administrando las instalacionesSE MIDE CON:

Tiempo sin servicio ocasionado por incidentes relacionados con el ambiente fsico Nmero de incidentes ocasionados por fallas o brechas de seguridad fsica Frecuencia de revisin y evaluacin de riesgos fsicos.

70 de

DS1 2

Entregar y Dar SoporteAdministrar el ambiente fsico

OBJETIVOS DE CONTROL:

DS12.1 Seleccin y Diseo del Centro de Datos DS12.2 Medidas de Seguridad Fsica DS12.3 Acceso Fsico DS12.4 Proteccin Contra Factores Ambientales DS12.5 Administracin de Instalaciones Fsicas

71 de

dministrar el ambiente fsicoDIRECTRICES GERENCIALESDesde Entradas Clasificaciones asignadas a los datos Evaluacin de riesgo Requerimientos del ambiente fisico Salidas Hacia

P02 P09 AI3

Reportes de desempeo de los procesos

ME1

72 de

dministrar el ambiente fsicoMETAS Y MTRICASTI Garantizar que los servicios infraestructura de TI puede y la resistir y recuperarse de forma de fallas ocasionadas por un error, apropiada ataque deliberado o desastre. Garantizar que la informacin crtica y confidencial est resguardada de quienes no deben tener acceso a ella. Garantizar el mnimo impacto al negocio en caso de un cambio o una interrupcin de un servicio de TI. Proteger y registrar todos los activos de TI.

Proceso s Brindar y mantener un ambiente

adecuado para los recursos fsico infraestructura de y la TI. Restringir el acceso al ambiente fsico a aquellos que no requieren el acceso.

segurid fsicas de ad Administracin y seleccin las instalaciones rigurosa de

Actividade s Implementacin de medidas

Mide Tiempo sin servicio incidentes del ocasionado por ambiente fsico. # de lesiones causadas por el ambiente fsico. Riesgos de seguridad causados por incidentes de seguridad fsica.

Mide # de incidentes causados por violaciones a la seguridad fallas o fsica # de incidentes causados por acceso no autorizado a las instalaciones de cmputo

Mide Frecuencia de habilitacin del respecto personal a medidas de proteccin, de instalaciones. seguridad y de % de personal habilitado en medidas de proteccin, seguridad y de instalaciones # de pruebas de mitigacin de riesgos realizadas en el ltimo ao. Frecuencia de las revisiones y evaluaciones de riesgo fsico.

73 de

COBIT 4.1: Entregar y Dar Soporte DS1 Definir y administrar los niveles de servicioDS2 Administrar los servicios de terceros DS3 Administrar el desempeo y la capacidad DS4 Garantizar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas DS6 Identificar y asignar costos DS7 Educar y entrenar a los usuarios DS8 Administrar la mesa de servicio y los incidentes DS9 Administrar la configuracin DS10 Administrar los problemas DS11 Administrar los datos DS12 Administrar el ambiente fsico

DS13 Administrar las

74 de

DS1 3

Entregar y Dar SoporteAdministrar las operaciones

Una efectiva administracin de operaciones ayuda a mantener la integridad de los datos y reduce los retrasos en el trabajo y los costos operativos de TI. Este proceso incluye la definicin de polticas y procedimientos de operacin para una administracin efectiva del procesamiento programado, proteccin de datos de salida sensitivos, monitoreo de infraestructura y mantenimiento preventivo de hardware.

SE ENFOCA EN:Cumplir con los niveles operativos de servicio para procesamiento de datos programado, proteccin de datos de salida sensitivos y monitoreo y mantenimiento de la infraestructura

75 de

DS1 3SE LOGRA CON:

Entregar y Dar SoporteAdministrar las operaciones

Operando el ambiente de TI en lnea con los niveles de servicio acordados y con las instrucciones definidas Manteniendo la infraestructura de TISE MIDE CON:

Nmero de niveles de servicio afectados a causa de incidentes en la operacin. Horas no planeadas de tiempo sin servicio a causa de incidentes en la operacin. Porcentaje de activos de hardware incluidos en los programas de mantenimiento.76 de

DS1 3

Entregar y Dar SoporteAdministrar las operaciones

OBJETIVOS DE CONTROL:

DS13.1 Procedimientos e Instrucciones de Operacin DS13.2 Programacin de Tareas DS13.3 Monitoreo de la Infraestructura de TI DS13.4 Documentos Sensitivos y Dispositivos de Salida DS13.5 Mantenimiento Preventivo del Hardware

77 de

dministrar las operacionesDIRECTRICES GERENCIALESDesde AI4 AI7 DS1 DS4 DS9 DS1 1 Entradas Manuales de usuario, tcnicos, operacin y administracin Promocin a produccin y liberacin de software y planes de distribucin SLAs y OLAs Plan de almacenamiento y proteccin de respaldos Configuracin de TI / detalle de los activos de TI Instrucciones del operador para administracin de datos Salidas Tiquetes de Incidentes Bitcoras de errores Reportes de desempeo de los procesos DS8 DS10 ME1 Hacia

78 de

dministrar las operacionesMETAS Y MTRICASTI Garantizar que los servicios y la infraestructura de TI puedan resistir y recuperarse de fallas ocasionadas por errores, ataques deliberados o desastres. Garantizar la satisfaccin de los usuarios finales con ofrecimientos de servicios y niveles de servicio. Asegurar que los servicios de TI estn disponibles conforme se requieran.

Procesos Definir procedimientos de operacin y alinearlos con los niveles de servicio acordados. Realizar el procesamiento de solicitudes especiales de acuerdo a los niveles de servicio acordados. Brindar resguardos fsicos para la informacin sensible.

Actividades Operacin del ambiente de TI de acuerdo con los niveles de servicio acordados, con instrucciones definidas y con supervisin cercana. Mantenimiento preventivo y monitoreo de la infraestructura de TI.

Mide # de niveles de servicio impactados por incidentes operativos. Horas de tiempo sin servicio no planeadas causadas por incidentes en la operacin.

Mide # de incidentes de tiempo sin servicio causados por la desviacin de los procedimientos de operaciones. % peticiones y trabajos programados que no se cumplen a tiempo. # de incidentes de tiempo sin servicio y de retrasos causados por procedimientos inadecuados.

Mide # de das de habilitacin por ao para el personal de operaciones. % de activos de hardware incluidos en los programas de mantenimiento preventivo. % de planes de trabajo automatizados. Frecuencia de actualizacin de los procedimientos operativos.

79 de

COBIT 4.1: Entregar y Dar Procesos Vinculados a Estndares SoporteCOBIT 4.1DS2 - Gestin de servicios de terceros DS4 - Asegurar la continuidad del servicio DS5 - Garantizar la seguridad de los sistemas

ESTANDAR ASOCIADOeSCM-CL Client Organization y eSCM-SP Service Provider BS 25999-1 (Business Continuity Management) y guas BCI (Business Continuity Institute) Open Source Security Tests methodology (OSSTMM) y Information System Security Assessment Framework Activity-Based Costing (ABC)

DS6 - Identificar y asignar costes

80 de