カテゴリー 全て - gobierno - gestión - comunicación - partes

によって DIEGO IVÁN ALVARADO VELA 2年前.

279

Objetivos Core

El modelo de referencia COBIT 2019 se centra en la evaluación, dirección y monitoreo de los recursos y la transparencia con las partes interesadas. Para asegurar que los recursos de tecnología e información (

Objetivos Core

Componenetes de gobierno

Servicios, infraestructura y aplicaciones

Cultura, ética y comportamiento

Información

Principios, políticas, procedimientos

Estructuras organizativas

Procesos

Modelo de Referencia COBIT 2019

Público destinatario

Profesionales del mundo empresarial
TI
Gestión de riesgos
Seguridad
Auditores
personas de negocio

Contribución de la comunidad

Estándares, marcos de referencia y regulaciones

COBIT 5

Dominios de Gobierno

EDM - Evaluar, Dirigir y Monitorizar
EDM05—Asegurar la transparencia de las partes interesadas

Asegurar que se identifica e involucra a las partes interesadas en el sistema de gobierno de I&T

EDM05.03 Monitorizar el compromiso de las partes interesadas.

Monitorizar los niveles de participación de las partes interesadas y la efectividad de la comunicación con las partes interesadas.

EDM05.02 Dirigir el compromiso, la comunicación y reporte de las partes interesadas.

Asegurar el establecimiento de participación, comunicación y reportes efectivos para las partes interesadas

EDM05.01 Evaluar el compromiso y los requisitos de reportes de las partes interesadas

Examinar y evaluar continuamente los requisitos actuales y futuros de compromiso y presentación de informes a las partes interesadas

EDM04—Asegurar la optimización de los recursos

Asegurar que se dispone de recursos adecuados y suficientes relacionadas con I&T (personas, procesos y tecnología)

EDM04.03 Monitorizar la gestión de recursos.

Monitorizar las metas y las métricas clave de los procesos de gestión de recursos.

EDM04.02 Dirigir la gestión de recursos.

Asegurar la adopción de principios de gestión de recursos para permitir un uso óptimo de los recursos empresariales

EDM04.01 Evaluar la gestión de recursos.

Examinar y analizar continuamente la necesidad actual y futura de recursos empresariales y de I&T

EDM03—Asegurar la optimización del riesgo

Asegurar la tolerancia al riesgo de la empresa se entiendan, articulen y comuniquen, y que se identifique y gestione el riesgo para el valor de negocio relacionado con el uso de I&T.

EDM03.03 Monitorizar la gestión de riesgos.

Monitorizar r las metas y las métricas clave de los procesos de gestión de riesgos.

EDM03.02 Dirigir la gestión de riesgos.

Dirigir el establecimiento de prácticas de gestión de riesgos para ofrecer una seguridad razonable de que las prácticas de gestión de riesgos de I&T

EDM03.01 Evaluar la gestión de riesgos.

Examinar y evaluar continuamente el efecto del riesgo sobre el uso actual y futuro de las I&T en la empresa.

EDM02—Asegurar la obtención de beneficios

Optimizar el valor al negocio de las inversiones en procesos empresariales, servicios de I&T y activos de I&T.

EDM02.04 Monitorizar la optimización del valor.

Supervisar las metas y métricas clave para determinar si el negocio está recibiendo el valor y los beneficios

EDM02.03 Dirigir la optimización del valor.

Dirigir los principios y las prácticas de gestión de valor para permitir la obtención óptima de valor de las inversiones de I&T

EDM02.02 Evaluar la optimización del valor.

Evaluar continuamente el portafolio de inversiones, servicios y activos de I&T con el fin de determinar la probabilidad de alcanzar los objetivos

EDM02.01 Establecer el objetivo de la mezcla de inversión.

Revisar y asegurarse que las estrategias y los servicios actuales de la empresa y de I&T sean claros.

EDM01—Asegurar el establecimiento y el mantenimiento del marco de gobierno

Analizar y articular los requisitos para el gobierno de la I&T de la empresa.

EDM01.03 Monitorizar el sistema de gobierno.

Monitorizar la eficacia y el rendimiento del gobierno de I&T de la empresa. Evaluar si el sistema de gobierno y los mecanismos implementados

EDM01.02 Dirigir el sistema de gobierno.

Informar a los líderes sobre los principios de gobierno de I&T y obtener su apoyo, aprobación y compromiso.

EDM01.01 Evaluar el sistema de gobierno

Identificar e involucrarse continuamente con las partes interesadas de la empresa

Dominios de Gestión

MEA - Monitorizar, Evaluar y Valorar
MEA04—Gestionar el aseguramiento

Planificar, delimitar y ejecutar iniciativas de aseguramiento para cumplir con requisitos internos, leyes, regulaciones y objetivos estratégicos

MEA04.09 Hacer seguimiento a las recomendaciones y a las acciones.

Acordar, hacer seguimiento e implementar las recomendaciones de mejoras identificadas

MEA04.08 Informar y hacer seguimiento a la iniciativa de aseguramiento.

Ofrecer opiniones positivas de la evaluación cuando sea apropiado

MEA04.07 Ejecutar la iniciativa de aseguramiento, enfocándose en la eficacia operativa.

Ofrecer opiniones positivas de la evaluación cuando sea apropiado, así como recomendaciones de mejora relacionadas con el rendimiento operacional

MEA04.06 Ejecutar la iniciativa de aseguramiento, enfocándose en la efectividad del diseño.

Ejecutar la iniciativa de aseguramiento planificada. Probar si los controles internos establecidos son adecuados y suficientes

MEA04.05 Definir el programa de trabajo para la iniciativa de aseguramiento.

Ejecutar la iniciativa de aseguramiento planificada. Validar y confirmar el diseño de los controles internos existentes

MEA04.04 Definir el alcance de la iniciativa de aseguramiento.

Definir un programa de trabajo detallado para la iniciativa de aseguramiento, estructurado conforme al alcance de los objetivos de gestión y los componentes de gobierno.

MEA04.03 Determinar los objetivos de la iniciativa de aseguramiento.

Definir y acordar con todas las partes interesadas el alcance de la iniciativa de aseguramiento, con base en los objetivos de aseguramiento

MEA04.02 Desarrollar una planificación de iniciativas de aseguramiento basada en los riesgos.

Determinar objetivos de aseguramiento basados en evaluaciones del entorno y contextos interno y externo

MEA04.01 Asegurar que los proveedores de aseguramiento sean independientes y estén cualificados.

Asegurar que las entidades que realizan la evaluación sean independientes de la función, grupos u organizaciones incluidos en el alcance

MEA03—Gestionar el cumplimiento de los requisitos externos

Evaluar si los procesos de I&T y los procesos de negocio apoyados por I&T cumplen con las leyes

MEA03.04 Obtener aseguramiento de cumplimiento externo

Obtener e informar del aseguramiento del cumplimiento y adherencia a las políticas, principios, estándares, procedimientos y metodologías

MEA03.03 Confirmar el cumplimiento externo.

Confirmar el cumplimiento de las políticas, principios, estándares, procedimientos y metodologías con los requisitos legales

MEA03.02 Optimizar la respuesta a los requisitos externos.

Revisar y ajustar las políticas, principios, estándares, procedimientos y metodologías para asegurarse de que se aborden y comuniquen los requisitos legales, regulatorios y contractuales

MEA03.01 Identificar los requisitos externos de cumplimiento.

Supervisar de forma continua los cambios en las leyes y regulaciones locales e internacionales

MEA02—Gestionar el sistema de control interno

Supervisar y evaluar continuamente el entorno de control, incluyendo autoevaluaciones y autoconcienciación

MEA02.04 Identificar y reportar las deficiencias de control.

Identificar las deficiencias de control y analizar e identificar sus causas raíz subyacentes

MEA02.03 Realizar autoevaluaciones de control.

Alentar a la gerencia y a los dueños de los procesos para que mejoren los controles de forma proactiva mediante un programa continuo de autoevaluación

MEA02.02 Revisar la eficacia de los controles del proceso de negocio.

Revisar la operación de los controles, incluidas la supervisión y la evidencia de las pruebas

MEA02.01 Supervisar los controles internos.

Supervisar, hacer benchmark y mejorar continuamente el entorno de control y el marco de control de I&T, para alcanzar los objetivos de la organización

MEA01 — Gestionar la supervisión del rendimiento y la conformidad

Recopilar, validar y evaluar las metas y métricas de alineamiento de la empresa

MEA01.05 Asegurar la implementación de acciones correctivas.

Ayudar a las partes interesadas a identificar, iniciar y rastrear las acciones correctivas para abordar las anomalías.

MEA01.04 Analizar e informar sobre el rendimiento.

Revisar e informar periódicamente sobre el rendimiento en comparación con los objetivos

MEA01.03 Recopilar y procesar los datos de rendimiento y conformidad.

Recopilar y procesar datos oportunos y precisos alineados con los enfoques de la empresa.

MEA01.02 Establecer los objetivos de rendimiento y conformidad.

Trabajar con las partes interesadas para definir, revisar periódicamente, actualizar y aprobar los objetivos de rendimiento y conformidad dentro del sistema de medición de desempeño

MEA01.01 Establecer un enfoque de supervisión.

Involucrar a las partes interesadas a fin de establecer y mantener un enfoque de supervisión para definir los objetivos, el alcance y el método con los que medir la solución del negocio

DSS - Entregar, Dar Servicio y Soporte
DSS06—Gestionar los controles de procesos de negocio

Definir y mantener los controles apropiados de los procesos de negocio para asegurar que la información relacionada

DSS06.06 Asegurar los activos de información.

Asegurar los activos de información accesibles por el negocio a través de métodos aprobados, incluyendo información en formato electrónico

DSS06.05 Asegurar la trazabilidad y la rendición de cuentas de los eventos de información.

Asegurarse de que la información de negocio puede rastrearse hasta el evento de negocio que la originó y se puede asociar a las partes que rinden cuentas

DSS06.04 Gestionar errores y excepciones.

Gestionar las excepciones y los errores del proceso del negocio y facilitar su corrección, mediante la ejecución de las acciones correctivas definidas y su escalamiento

DSS06.03 Gestionar roles, responsabilidades, privilegios de acceso y niveles de autoridad.

Gestionar los roles de negocio, responsabilidades, niveles de autoridad y segregación de funciones necesarias para apoyar los objetivos de los procesos de negocio.

DSS06.02 Controlar el procesamiento de información.

Gestionar la ejecución de las actividades de los procesos del negocio y los controles relacionados, con base en el riesgo empresarial

DSS06.01 Alinear las actividades de control incorporadas en los procesos de negocio con los objetivos empresariales.

Evaluar y monitorizar continuamente la ejecución de las actividades de los procesos de negocio y los controles relacionados

DSS05—Gestionar los servicios de seguridad

Proteger la información de la empresa para mantener el nivel de riesgo de la seguridad de la información aceptable para la empresa

DSS05.07 Gestionar las vulnerabilidades y monitorizar la infraestructura para detectar eventos relacionados con la seguridad.

Mediante el uso de un portafolio de herramientas y tecnologías

DSS05.06 Gestionar documentos sensibles y dispositivos de salida.

Establecer protecciones físicas apropiadas, prácticas contables y gestión de inventario relativa a activos sensibles de I&T

DSS05.05 Gestionar el acceso físico a los activos de I&T.

Definir e implantar procedimientos (incluyendo procedimientos de emergencia) para otorgar, limitar y revocar el acceso a las instalaciones, edificios y áreas, de acuerdo con las necesidades del negocio.

05.04 Gestionar la identidad del usuario y el acceso lógico.

Asegurarse de que todos los usuarios tienen derechos de acceso a la información de acuerdo con los requisitos del negocio

DSS05.03 Gestionar la seguridad de endpoint.

Garantizar que los dispositivos de punto final

DSS05.02 Gestionar la seguridad de la conectividad y de la red.

Usar medidas de seguridad y procedimientos de gestión relacionados para proteger la información a través de todos los métodos de conectividad

DSS05.01 Proteger contra software malicioso

Implementar y mantener en toda la empresa medidas preventivas, detectivas y correctivas

DSS04—Gestionar la continuidad

Establecer y mantener un plan que permita a las organizaciones empresariales y a TI responder a los incidentes y adaptarse rápidamente a las interrupciones

DSS04.08: Realizar revisiones post-reanudación.

Evaluar la idoneidad del plan de continuidad del negocio (BCP) y el plan de respuesta ante desastres (DRP) tras la reanudación exitosa de los procesos

DSS04.07 Administrar los acuerdos de respaldo.

Mantener la disponibilidad de la información crítica para el negocio

DSS04.06 Realizar formación sobre el plan de continuidad.

Proporcionar sesiones periódicas de formación sobre los procedimientos y sus roles y responsabilidades en caso de interrupción a todas las partes internas

DSS04.05 Revisar, mantener y mejorar los planes de continuidad.

Conducir una revisión periódica de la capacidad de continuidad para asegurar su idoneidad, lo adecuado y su efectividad

DSS04.04 Realizar ejercicios, probar y revisar el plan de continuidad del negocio (BCP) y el plan de respuesta ante desastres (DRP).

Probar la continuidad de forma periódica para ver el comportamiento de los planes contra resultados predeterminados

DSS04.03 Desarrollar e implementar una respuesta de continuidad del negocio.

Desarrollar un plan de continuidad del negocio (BCP) y un plan de recuperación de desastres (DRP) basados en la estrategia

DSS04.02 Mantener la resiliencia del negocio.

Evaluar las opciones de resiliencia del negocio y elegir una estrategia viable y rentable para asegurar la continuidad

DSS04.01 Definir la política de continuidad del negocio, sus objetivos y alcance.

Definir la política y alcance de la continuidad del negocio

DSS03—Gestionar los problemas

Identificar y clasificar los problemas y su causa raíz.

DSS03.05 Realizar una gestión proactiva de los problemas.

Recopilar y analizar los datos operacionales

DSS03.04 Resolver y cerrar los problemas.

Identificar e iniciar soluciones sostenibles dirigidas a la causa raíz del problema

DSS03.03 Presentar los errores conocidos.

Tan pronto como se identifiquen las causas raíz de los problemas, crear registros de los errores conocidos

DSS03.02 Investigar y diagnosticar problemas.

Investigar y diagnosticar problemas con la ayuda de expertos en la materia para evaluar y analizar su causa raíz

DSS03.01 Identificar y clasificar los problemas.

Definir e implementar criterios y procedimientos para identificar e informar sobre los problemas.

DSS02—Gestionar las solicitudes e incidentes de servicio

Proporcionar una respuesta oportuna y efectiva a las solicitudes de los usuarios y la resolución de todos los tipos de incidentes

DSS02.07 Hacer seguimiento al estado y producir informes.

Hacer seguimiento, analizar e informar regularmente sobre los incidentes y el cumplimiento de las solicitudes.

DSS02.06 Cerrar las peticiones de servicio y los incidentes.

Verificar la solución satisfactoria del incidente y/o el cumplimiento de la petición y su cierre.

DSS02.05 Resolver y recuperarse de los incidentes.

Documentar, aplicar y probar las soluciones definitivas o temporales (workarounds) identificados.

DSS02.04 Investigar, diagnosticar y asignar incidentes.

Identificar y registrar los síntomas de los incidentes, determinar las causas posibles y asignarlos para su resolución

DSS02.03 Verificar, aprobar y resolver peticiones de servicio.

Seleccionar los procedimientos apropiados para peticiones y verificar que las solicitudes de servicio cumplan con los criterios de solicitud definidos

DSS02.02 Registrar, clasificar y priorizar las peticiones e incidentes.

Identificar, registrar y clasificar las peticiones de servicio y los incidentes

DSS02.01 Definir esquemas de clasificación para incidentes y peticiones de servicio.

Definir esquemas de clasificación y modelos de incidentes y de peticiones de servicio.

DSS01—Gestionar las operaciones

Coordinar y ejecutar las actividades y los procedimientos operativos requeridos para entregar los servicios de I&T

DSS01.05 Gestionar las instalaciones.

Gestionar las instalaciones, incluidos los equipos de suministro eléctrico y comunicaciones, alineados con las leyes y reglamentos existentes

DSS01.04 Gestionar el medioambiente.

Mantener medidas de protección contra los factores medioambientales

DSS01.03 Monitorizar la infraestructura de I&T

Monitorizar la infraestructura de I&T y eventos relacionados.

DSS01.02 Gestionar servicios tercerizados de I&T.

Gestionar la operación de los servicios tercerizados de I&T para mantener la protección de la información empresarial y la confiabilidad de la provisión del servicio.

DSS01.01 Ejecutar procedimientos operativos.

Mantener y ejecutar procedimientos y tareas operativas de manera confiable y consistente.

BAI - Contruir, Adquirir e Implementar
BAI11—Gestionar los proyectos

Gestionar todos los proyectos que se inician en la empresa, alineados con la estrategia de la empresa

BAI11.09 Cerrar un proyecto o iteración.

Al final de cada proyecto, liberación o iteración, requerir a las partes interesadas del proyecto para que determinen si el mismo ha dado los resultados previstos en cuanto a las capacidades y ha contribuido como se esperaba a los beneficios del programa.

BAI11.08 Gestionar los recursos del proyecto y los paquetes de trabajo.

Gestionar los paquetes de trabajos asociados al proyecto mediante el establecimiento de requisitos formales para autorizarlos

BAI11.07 Supervisar y controlar los proyectos.

Medir el rendimiento del proyecto en comparación con los criterios clave, como son el calendario, la calidad, los costes y el riesgo

BAI11.06 Gestionar el riesgo del proyecto.

Eliminar o minimizar el riesgo específico asociado a los proyectos mediante un proceso sistemático de planificación, identificación, análisis, respuesta, monitorización y control de las áreas

BAI11.05 Gestionar la calidad del proyecto.

Preparar y ejecutar un plan de gestión de la calidad, procesos y prácticas, alineadas con el sistema de gestión de calidad

BAI11.04 Desarrollar y mantener el plan del proyecto.

Establecer y mantener un plan de proyecto formal, integrado y aprobado (que cubra los recursos del negocio y de TI) para guiar la ejecución y el control del proyecto durante su ciclo de vida.

BAI11.03 Gestionar la participación de las partes interesadas.

Gestionar la participación de las partes interesadas para asegurar un intercambio activo de información precisa, consistente y oportuna que llegue a todas las partes interesadas relevantes.

BAI11.02 Establecer e iniciar un proyecto.

Definir y documentar la naturaleza y alcance del proyecto con el objetivo de confirmar y desarrollar un entendimiento común del alcance del proyecto entre las partes interesadas.

BAI11.01 Mantener un enfoque estándar en la gestión de proyectos.

Mantener una estrategia estándar para la gestión de proyectos que permita la revisión del gobierno y gestión, la toma de decisiones y las actividades de gestión de entrega

BAI10—Gestionar la configuración

Definir y mantener descripciones y relaciones entre recursos claves y las capacidades necesarias para ofrecer servicios habilitados por I&T.

BAI10.05 Verificar y revisar la integridad del repositorio de configuración.

Revisar periódicamente el repositorio de configuración y verificar su integridad y precisión en comparación con la meta deseada.

BAI10.04 Generar informes de estado y de la configuración.

Definir y generar informes de la configuración sobre los cambios de estado en los elementos de la configuración

BAI10.03 Mantener y controlar los elementos de configuración.

Mantener un repositorio actualizado de los elementos de configuración (CIs) incluyendo cualquier cambio en la configuración

BAI10.02 Establecer y mantener un repositorio de configuración y una línea de referencia.

Establecer y mantener un repositorio de gestión de la configuración y crear líneas de referencias de configuración controladas.

BAI10.01 Establecer y mantener un modelo de la configuración.

Establecer y mantener un modelo lógico de servicios, activos, infraestructura, y registro de los elementos de configuración

BAI09—Gestionar los activos

Gestionar los activos de I&T a través de su ciclo de vida para asegurarse de que su uso aporta valor a un coste óptimo, continúan operativos

BAI09.05 Gestionar las licencias.

Gestionar las licencias de software para mantener el número de licencias óptimo y respaldar las necesidades del negocio

BAI09.04 Optimizar el valor de los activos.

Revisar periódicamente la base de activos para identificar formas de optimizar valor y mantener el alineamiento con las necesidades del negocio

BAI09.03: Gestionar el ciclo de vida del activo.

Gestionar los activos desde su adquisición hasta su disposición.

BAI09.02 Gestionar activos críticos.

Identificar los activos que son críticos para garantizar la capacidad de prestación del servicio.

BAI09.01 Identificar y registrar los activos actuales.

Mantener un registro actualizado y preciso de todos los activos de I&T

BAI08—Gestionar el conocimiento

Mantener disponible la información de gestión relevante, vigente, conocimiento validado y confiable

BAI08.04 Evaluar y actualizar o retirar la información.

Medir el uso y evaluar la aceptación y relevancia de la información. Actualizar la información o retirar la información obsoleta

BAI08.03 Utilizar y compartir conocimiento.

Transmitir los recursos de conocimiento disponibles a las partes interesadas correspondientes

BAI08.02 Organizar y contextualizar la información en conocimiento.

Organizar la información según los criterios de clasificación

BAI08.01 Identificar y clasificar las fuentes de información para el gobierno y la gestión de I&T.

Identificar, validar y clasificar las diversas fuentes de información internas y externas requeridas para habilitar el gobierno y la gestión de I&T

BAI07—Gestionar la aceptación y la transición de los cambios de TI

Aceptar formalmente y hacer operativas las nuevas soluciones.

BAI07.08 Realizar una revisión post-implementación

Realizar una revisión post-implementación para confirmar los resultados, identificar las lecciones aprendidas y desarrollar un plan de acción

BAI07.07 Proporcionar soporte oportuno en producción.

Proporcionar, durante un periodo de tiempo acordado, soporte oportuno a los usuarios y a las operaciones de I&T

BAI07.06 Promover a producción y gestionar las liberaciones (releases).

Promover la solución aceptada al negocio y a las operaciones

BAI07.05 Realizar pruebas de aceptación.

Probar los cambios de forma independiente de acuerdo con el plan de pruebas definido antes de la migración al entorno operativo en producción

BAI07.04: Establecer un entorno de pruebas.

Definir y establecer un entorno de pruebas seguro y representativo del proceso de negocio planificado y del entorno de operaciones de TI

BAI07.03: Plan de pruebas de aceptación.

Establecer un plan de pruebas basado en estándares de toda la empresa que defina roles, responsabilidades y criterios de entrada y salida

BAI07.02 Planificar la conversión de procesos de negocio, sistemas y datos.

Prepararse para la migración de los procesos de negocio, datos de servicios e infraestructura de I&T

BAI07.01 Establecer un plan de implementación.

Establecer un plan de implementación que cubra la conversión de sistemas y datos, criterios de pruebas de aceptación

BAI06—Gestionar los cambios de TI

Gestionar todos los cambios de una manera controlada, incluidos los cambios estándar y los mantenimientos de emergencia en relación con los procesos de negocio, las aplicaciones y la infraestructura.

BAI06.04 Cerrar y documentar los cambios.

Siempre que se implementen cambios, actualizar la solución

BAI06.03 Hacer seguimiento e informar sobre cambios de estado.

Mantener un sistema de seguimiento e informes para documentar los cambios rechazados y comunicar el estado de los cambios aprobados

BAI06.02 Gestionar cambios de emergencia.

Gestionar cuidadosamente los cambios de emergencia para minimizar futuros incidentes

BAI06.01 Evaluar, priorizar y autorizar solicitudes de cambio.

Evaluar todas las solicitudes de cambio para determinar el impacto en los procesos de negocio y servicios de I&T

BAI05—Gestionar los cambios organizativos

Maximizar la probabilidad de implementar con éxito un cambio organizativo sostenible en toda la empresa, de forma rápida y con un riesgo reducido

BAI05.07 Sostener los cambios.

Sostener los cambios mediante una capacitación efectiva del nuevo personal, campañas continuas de comunicación

BAI05.06 Incorporar nuevos enfoques.

Incorporar nuevos enfoques mediante seguimiento a los cambios implementados

BAI05.05 Habilitar la operación y el uso.

Planificar e implementar todos los aspectos técnicos, operativos y de uso

BAI05.04 Facultar a los roles participantes e identificar las ganancias a corto plazo.

Facultar a los titulares de los roles de implementación mediante la asignación de la rendición de cuentas

BAI05.03 Comunicar la visión deseada.

Comunicar la visión de cambio deseada en el lenguaje de los afectados por el mismo.

BAI05.02 Formar un equipo de implementación eficaz.

Establecer un equipo de implementación eficaz con miembros apropiados

BAI05.01 Establecer el deseo de cambiar.

Comprender el alcance e impacto de los cambios deseados

BAI04—Gestionar la disponibilidad y capacidad

Equilibrar las necesidades actuales y futuras de disponibilidad, rendimiento y capacidad con la prestación de servicios rentables

BAI04.05 Investigar y resolver los problemas de disponibilidad, rendimiento y capacidad.

Abordar las desviaciones investigando y resolviendo los problemas identificados de disponibilidad, rendimiento y capacidad

BAI04.04 Monitorizar y revisar la disponibilidad y la capacidad.

Monitorizar, medir, analizar, reportar y revisar la disponibilidad, el rendimiento y la capacidad.

BAI04.03 Planificar los requisitos de los servicios nuevos o modificados.

Planificar y priorizar las implicaciones de disponibilidad

BAI04.02 Evaluar el impacto en el negocio.

Identificar servicios importantes para la empresa. Asignar servicios y recursos a los procesos de negocio e identificar sus dependencias de negocio

BAI04.01 Evaluar la disponibilidad, rendimiento y capacidad actuales y crear una línea de referencia.

Evaluar la disponibilidad, rendimiento y capacidad de los servicios y recursos para asegurar que la capacidad y el rendimiento con un coste justificable están disponibles para apoyar las necesidades y entregables del negocio contra los acuerdos de nivel de servicio

BAI03—Gestionar la identificación y creación de soluciones

Establecer y mantener productos y servicios identificados (tecnología, procesos de negocio y flujos de trabajo) alineados con los requisitos de la empresa

BAI03.12 Diseñar soluciones conforme a la metodología de desarrollo definida.

Diseñar, desarrollar e implementar soluciones con la metodología de desarrollo adecuada

BAI03.11 Definir productos y servicios de TI y mantener el portafolio de servicios.

Definir y acordar opciones nuevas o modificadas de productos o servicios de TI y del nivel de servicio.

BAI03.10: Mantener las soluciones.

Desarrollar y ejecutar un plan para mantener los componentes de la solución y la infraestructura.

BAI03.09 Gestionar los cambios a los requisitos.

Hacer seguimiento al estado de requisitos individuales (incluidos todos los requisitos rechazados) durante el ciclo de vida del proyecto

BAI03.08 Ejecutar las pruebas de la solución.

Durante el desarrollo, ejecutar pruebas continuamente (incluidas pruebas de control)

BAI03.07 Preparar las pruebas de la solución.

Establecer un plan de pruebas y los entornos/ambientes necesarios para probar los componentes individuales e integrados de la solución

BAI03.06 Realizar el aseguramiento de calidad (QA).

Desarrollar, aprovisionar y ejecutar un plan de aseguramiento de la calidad (QA) que esté alineado con el sistema de gestión de la calidad

BAI03.05 Construir soluciones.

Instalar y configurar soluciones e integrarlas con las actividades del proceso de negocio.

BAI03.04 Adquirir los componentes de la solución.

Adquirir los componentes de la solución basados en el plan de adquisiciones

BAI03.03: Desarrollar los componentes de la solución.

Desarrollar progresivamente los componentes de la solución en un entorno independiente, de acuerdo con los diseños detallados siguiendo estándares y requisitos de desarrollo y documentación

BAI03.02 Diseñar componentes detallados para la solución.

Desarrollar, documentar y elaborar diseños detallados de forma progresiva

BAI03.01 Diseño de soluciones de alto nivel.

Desarrollar y documentar diseños de alto nivel para la solución en términos de tecnología, procesos de negocio y flujos de trabajo.

BAI02—Gestionar la definición de requisitos

Identificar las soluciones y analizar los requisitos antes de su adquisición o construcción para asegurarse de que se ajustan a los requisitos estratégicos de la empresa

BAI02.04 Obtener la aprobación de requisitos y soluciones.

Coordinar la retroalimentación de las partes interesadas afectadas En etapas clave predeterminadas, obtener la aprobación y autorización del patrocinador del negocio

BAI02.03 Gestionar el riesgo de los requisitos.

Identificar, documentar, priorizar y mitigar el riesgo funcional, técnico y de procesamiento de la información asociado con los requisitos empresariales

BAI02.02 Realizar un estudio de factibilidad y formular soluciones alternativas.

Realizar un estudio de factibilidad de las posibles soluciones alternativas, evaluar su viabilidad y seleccionar la opción preferida.

BAI02.01 Definir y mantener los requisitos funcionales y técnicos del negocio.

Con base en el caso de negocio, identificar, priorizar, especificar y acordar los requisitos de información , funcionales, técnicos y de control del negocio

BAI01—Gestionar los programas

Gestionar todos los programas del portafolio de inversión, de conformidad con la estrategia de la empresa y de forma coordinada

BAI01.09 Cerrar un programa.

Retirar el programa del portafolio de inversiones activas cuando exista el acuerdo de que se ha alcanzado el valor deseado

BAI01.08 Gestionar el riesgo del programa.

Eliminar o minimizar el riesgo específico asociado a los programas mediante un proceso sistemático de planificación

BAI01.07 Gestionar la calidad del programa.

Preparar y ejecutar un plan de gestión de la calidad, procesos y prácticas, alineado con el sistema de gestión de calidad

BAI01.06 Monitorizar, controlar y reportar sobre los resultados del programa.

Monitorizar y controlar el rendimiento en comparación con el plan durante todo el ciclo de vida económico de la inversión

BAI01.05 Lanzar y ejecutar el programa.

Poner en marcha el programa para adquirir y dirigir los recursos necesarios y así lograr las metas y beneficios del programa tal y como está definido en el plan.

BAI01.04 Desarrollar y mantener el plan del programa.

Formular un programa para sentar las bases iniciales.

BAI01.03 Gestionar el compromiso de las partes interesadas.

Gestionar el compromiso de las partes interesadas para asegurar un intercambio activo de información precisa, consistente y oportuna para todas las partes interesadas relevantes.

BAI01.02 Iniciar un programa.

Iniciar un programa para confirmar los beneficios esperados y obtener autorización para proceder.

BAI01.01 Mantener un enfoque estándar en la gestión de programas.

Mantener un enfoque estándar para la gestión de programas que permita la revisión del gobierno y la gestión

APO - Alinear, Planificar y Organizar
APO14—Gestionar los datos

Lograr y mantener la gestión eficaz de los activos de datos de la empresa durante todo el ciclo de vida de los datos, desde la creación hasta su entrega, mantenimiento y archivo.

APO14.10 Gestionar los acuerdos de toma de copias de seguridad y restauración de datos.

Gestionar la disponibilidad de datos críticos para garantizar la continuidad operativa

APO14.09 Soportar el archivado y retención de datos.

Asegurar que el mantenimiento de datos satisfaga los requisitos organizativos y regulatorios para la disponibilidad de datos históricos.

APO14.08 Gestionar el ciclo de vida de los activos de datos.

Garantizar que la organización entienda, correlacione inventarios, y controle sus flujos de datos a través de los procesos empresariales.

APO14.07 Definir la estrategia de depuración de datos.

Definir los mecanismos, reglas, procesos y métodos para validar y corregir los datos conforme a las reglas empresariales predefinidas

APO14.06 Asegurar un enfoque de evaluación de la calidad de los datos.

Proporcionar un enfoque sistemático para medir y evaluar la calidad de los datos conforme a los procesos y técnicas y contra las reglas de calidad de los datos.

APO14.05 Establecer las metodologías, procesos y herramientas para la creación de perfiles de datos.

Implementar metodologías, procesos, prácticas, herramientas y plantillas para la creación de perfiles de datos estándares.

APO14.04 Definir una estrategia de calidad de los datos.

Definir una estrategia integrada en toda la organización para lograr y mantener el nivel de calidad de datos

APO14.03 Establecer los procesos y la infraestructura para la gestión de metadatos.

Establecer los procesos y la infraestructura para especificar y extender los metadatos sobre los activos de datos de la organización

APO14.02 Definir y mantener un glosario empresarial consistente.

Crear, aprobar, actualizar y promover términos y definiciones de negocio.

APO14.01 Definir y comunicar la estrategia y los roles y responsabilidades de la gestión de datos de la organización.

Definir cómo gestionar y mejorar los activos de datos de la organización, en línea con la estrategia y objetivos de la empresa.

APO13—Gestionar la seguridad

Definir, operar y monitorizar un sistema de gestión de seguridad de la información.

APO13.03 Monitorizar y revisar el sistema de gestión de seguridad de la información (SGSI).

Mantener y comunicar periódicamente la necesidad y los beneficios de una mejora continua de seguridad de la información

APO13.02 Definir y gestionar un plan de tratamiento de riesgos de seguridad de la información y privacidad.

Mantener un plan de seguridad de la información que describa cómo se debe manejar el riesgo de seguridad de la información y cómo se debe alinear con la estrategia y la arquitectura de la empresa

APO13.01 Establecer y mantener un sistema de gestión de seguridad de la información (SGSI).

Establecer y mantener un sistema de gestión de seguridad de la información (SGSI)

APO12—Gestionar el riesgo

Identificar, evaluar y reducir continuamente los riesgos relacionados con I&T

APO12.06 Responder al riesgo.

Responder de manera oportuna a eventos de riesgo materializados con medidas eficaces para limitar la magnitud de las pérdidas.

APO12.05 Definir un portafolio con acciones de gestión de riesgos.

Gestionar las oportunidades para reducir el riesgo a un nivel aceptable como un portafolio

APO12.04 Articular el riesgo.

Comunicar de manera oportuna información sobre el estado actual de las exposiciones y oportunidades relacionadas con I&T

APO12.03 Mantener un perfil de riesgo.

Mantener un inventario de los riesgos conocidos y los atributos de riesgo, incluidos la frecuencia esperada, impacto potencial y respuestas

APO12.02 Analizar el riesgo.

Desarrollar una visión fundamentada del riesgo de I&T vigente, que soporte las decisiones de riesgo.

APO12.01 Recopilar datos.

Identificar y recopilar datos relevantes para habilitar una efectiva identificación, análisis y reporte de los riesgos relacionados con I&T.

APO11—Gestionar la calidad

Definir y comunicar los requisitos de calidad en todos los procesos, procedimientos y resultados empresariales relacionados

APO11.05 Mantener la mejora continua.

Mantener y comunicar periódicamente un plan de calidad general que promueva la mejora continua

APO11.04 Llevar a cabo la monitorización, control y revisiones de calidad.

Monitorizar la calidad de los procesos y los servicios de forma continua, en línea con los estándares de gestión de la calidad

APO11.03 Gestionar los estándares, prácticas y procedimientos de calidad e integrar la gestión de la calidad en los procesos y soluciones clave.

Identificar y mantener los requisitos, estándares, procedimientos y prácticas para los procesos clave con el fin de guiar a la empresa hacia el logro de los estándares de gestión de la calidad (SGC) acordados.

APO11.02: Enfocar la gestión de la calidad en los clientes.

Enfocar la gestión de la calidad en los clientes para determinar sus requisitos y asegurar su integración en las prácticas de gestión de la calidad.

APO11.01 Establecer un sistema de gestión de calidad ( SGC).

Establecer y mantener un sistema de gestión de calidad (SGC) que proporciona un enfoque estándar, formal y continuo para la gestión de calidad de la información.

APO10—Gestionar los proveedores

Gestionar los productos y servicios relacionados con I&T proporcionados por todo tipo de proveedores para que satisfagan los requisitos de la empresa

APO10.05 Supervisar el rendimiento y el cumplimiento del proveedor.

Revisar periódicamente el rendimiento general de los proveedores, el cumplimiento con los requisitos contractuales y la ejecución del valor del contrato.

APO10.04 Gestionar los riesgos de los proveedores.

Identificar y gestionar el riesgo relacionado con los proveedores.

APO10.03 Gestionar los contratos y las relaciones con los proveedores.

Formalizar y gestionar la relación con el proveedor para cada uno de los proveedores.

APO10.02 Seleccionar proveedores.

Seleccionar proveedores externos para garantizar la mejor selección basado en los requisitos especificados

APO10.01 Identificar y evaluar los contratos y las relaciones con los proveedores.

Buscar e identificar continuamente proveedores y clasificarlos en tipo, importancia y criticidad

APO09—Gestionar los acuerdos de servicio

Alinear los productos y servicios habilitados por I&T y los niveles de servicio con las necesidades y expectativas de la empresa

APO09.05 Revisar los acuerdos y los contratos de servicio.

Realizar revisiones periódicas de los acuerdos de servicio y revisarlos cuando sea necesario.

APO09.04 Monitorizar y reportar los niveles de servicio.

Monitorizar los niveles de servicio, informar sobre los logros e identificar tendencias.

APO09.03 Definir y preparar acuerdos de servicio.

Definir y preparar acuerdos de servicio basados en las opciones de los catálogos de servicio.

APO09.02 Catalogar los servicios habilitados por I&T.

Definir y mantener uno o más catálogos de servicios para grupos objetivo relevantes.

APO09.01 Identificar los servicios de I&T.

Analizar los requisitos del negocio y hasta qué punto los servicios habilitados por I&T.

APO08—Gestionar las relaciones

Gestionar las relaciones con las partes interesadas de una manera formal y transparente que asegure una confianza mutua y un enfoque combinado en lograr las metas estratégicas dentro de las limitaciones de los presupuestos y la tolerancia al riesgo.

APO08.05 Proporcionar aportes para la mejora continua de los servicios.

Mejorar y evolucionar continuamente los servicios habilitados por I&T

APO08.04 Coordinar y comunicar.

Trabajar con todas las partes interesadas relevantes y coordinar la prestación íntegra de los servicios y soluciones de I&T que se ofrecen a la empresa.

APO08.03 Gestionar la relación con el negocio.

Gestionar la relación entre la organización de servicio de TI y sus socios empresariales.

APO08.02: Alinear la estrategia de I&T con las expectativas empresariales e identificar oportunidades para que TI mejore el negocio.

Alinear las estrategias de I&T con los objetivos y expectativas empresariales actuales para permitir que TI

APO08.01 Entender las expectativas del negocio.

Entender los problemas, objetivos y expectativas actuales del negocio sobre I&T.

APO07—Gestionar los recursos humanos

Proporcionar un enfoque estructurado para asegurar una contratación/adquisición, planificación, evaluación y desarrollo de recursos humanos óptimos

APO07.06 Gestionar al personal contratado.

Asegurarse de que los consultores y el personal por contrato, que dan soporte a la empresa con habilidades de I&T.

APO07.05 Planificar y hacer seguimiento del uso de los recursos humanos del negocio y de TI.

Comprender y hacer un seguimiento de la demanda actual y futura de recursos humanos del negocio y de TI.

APO07.04 Evaluar y reconocer/recompensar el rendimiento laboral de los empleados.

Realizar evaluaciones regulares y oportunas del rendimiento contra los objetivos individuos derivados de las metas empresariales, estándares establecidos, responsabilidades específicas de los cargos

APO07.03 Mantener las habilidades y competencias del personal.

Definir y administrar las habilidades y competencias que necesita el personal.

APO07.02 Identificar al personal clave de TI.

Identificar al personal clave de TI. Usar la captura de conocimientos (documentación)

APO07.01 Adquirir y mantener una dotación de personal suficiente y adecuada.

Establecer y mantener un método para gestionar y contabilizar todos los costes, inversiones y depreciación relacionados con I&T.

APO06—Gestionar el presupuesto y los costes

Gestionar las actividades financieras relacionadas con I&T en las funciones empresariales y de TI, cubriendo el presupuesto, la gestión de costes y beneficios.

APO06.05 Gestionar los costes.

Implementar un proceso de gestión de costes que compare los costes actuales contra el presupuesto.

APO06.04 Modelar y asignar los costes.

Establecer y usar un modelo basado en los costes de I&T, por ejemplo, en la definición de los servicios.

APO06.03 Crear y mantener presupuestos.

Preparar un presupuesto que refleje las prioridades de inversión con base en el portafolio de programas habilitados por I&T y los servicios de I&T.

APO06.02 Establecer prioridades para la asignación de recursos.

Implementar un proceso de toma de decisiones para establecer prioridades sobre la asignación de recursos.

APO06.01 Gestión financiera y contable.

Establecer y mantener un método para gestionar y contabilizar todos los costes y la depreciación relacionados con I&T.

APO05—Gestionar la cartera

Ejecutar la dirección estratégica establecida para las inversiones, en línea con la visión de la arquitectura empresarial y la hoja de ruta de I&T.

APO05.05 Gestionar el logro de beneficios.

Monitorizar los beneficios de ofrecer y mantener productos de I&T apropiados.

APO05.04 Mantener los portafolios.

Mantener los portafolios de los programas y proyectos de inversión, productos y servicios de I&T y los activos de I&T.

APO05.03 Monitorizar, optimizar e informar sobre el rendimiento del portafolio de inversión.

Monitorizar y optimizar de forma periódica el rendimiento del portafolio de inversión.

APO05.02 Evaluar y seleccionar programas para financiar.

Basándose en los requisitos generales de la mezcla general del portafolio de inversión y el plan estratégico y la hoja de ruta de I&T

APO05.01 Determinar la disponibilidad y las fuentes de fondos.

Determinar posibles fuentes de fondos, diferentes opciones de financiamiento y las implicaciones de las fuentes de financiamiento en las expectativas de retorno de inversión.

APO04—Gestionar la innovación

Mantener una concienciación de I&T y tendencias de servicio relacionadas y monitorizar las tendencias tecnológicas emergentes.

APO04.06 Supervisar la implementación y el uso de la innovación.

Supervisar la implementación y el uso de las tecnologías emergentes.

APO04.05 Recomendar iniciativas adicionales apropiadas .

Evaluar y monitorizar los resultados de las iniciativas de prueba de concepto y, si son favorables, generar recomendaciones para más iniciativas.

APO04.04 Evaluar el potencial de las tecnologías emergentes y las ideas de innovación.

Analizar las tecnologías emergentes identificadas y/u otras sugerencias de innovación en I&T.

APO04.03 Monitorizar y explorar el entorno tecnológico.

Implementar una vigilancia tecnológica para monitorizar y explorar sistemáticamente el entorno externo de la empresa.

APO04.02 Mantener un entendimiento del entorno de la empresa.

Trabajar con las partes interesadas pertinentes para entender sus desafíos

APO04.01 Crear un entorno favorable que conduzca a la innovación.

Crear un entorno que propicie la innovación, considerando métodos como la cultura, las recompensas, la colaboración, los foros de tecnología

APO03—Gestionar la arquitectura de la empresa

Establecer una arquitectura común que consiste en capas de arquitectura de procesos de negocio, información, datos, aplicaciones y tecnología.

APO03.05 Proporcionar servicios de arquitectura empresarial.

Proporcionar servicios de arquitectura empresarial dentro de la empresa.

APO03.04 Definir la implementación de la arquitectura.

Crear una aplicación viable y un plan de migración en alineación con los portafolios de programas y proyectos.

APO03.03 Seleccionar oportunidades y soluciones.

Racionalizar las brechas entre las arquitecturas de referencia y la objetivo.

APO03.02 Definir la arquitectura de referencia.

La arquitectura de referencia describe las arquitecturas actuales y objetivo para los dominios de negocio, información, datos, aplicación y tecnología.

APO03.01 Desarrollar la visión de arquitectura empresarial.

La visión de la arquitectura ofrece una temprana descripción de alto nivel de la línea base y la arquitectura objetivo

APO02 — Gestionar la estrategia

Proporcionar una visión holística del entorno empresarial y de I&T actual, la dirección futura y las iniciativas necesarias para migrar al entorno futuro deseado.

APO02.06 Comunicar la dirección y estrategia de I&T.

Crear concienciación y comprensión de los objetivos y la dirección del negocio y de I&T

APO02.05 Definir el plan estratégico y el mapa de ruta.

Desarrollar una estrategia digital holística, en cooperación con las partes interesadas relevantes.

APO02.04 Llevar a cabo un análisis de brecha

Identificar las brechas entre los entornos actual y objetivo.

APO02.03 Definir las capacidades digitales objetivo.

Definir los productos y servicios objetivo de I&T y las capacidades requeridas

APO02.02 Evaluar las capacidades, rendimiento y madurez digital actual de la empresa.

Evaluar el rendimiento de los servicios de I&T actuales, y desarrollar una comprensión de las capacidades de la empresa.

APO02.01 Comprender el contexto y la dirección de la empresa.

Entender el contexto de la empresa (impulsores de la industria, la regulación relevante, la base para la competencia)

APO01—Gestionar el marco de gestión de TI

Diseñar el sistema de gestión para la I&T de la empresa basándose en las metas empresariales

APO01.11 Gestionar la mejora continua del sistema de gestión de I&T.

Mejorar continuamente los procesos y otros componentes del sistema de gestión.

APO01.10 Definir e implementar la infraestructura, servicios y aplicaciones para respaldar el sistema de gobierno y gestión.

Definir e implementar infraestructura, servicios y aplicaciones para respaldar el sistema de gobierno y gestión

APO01.09 Definir y comunicar políticas y procedimientos.

Implementar procedimientos para mantener el cumplimiento y medir el rendimiento de las políticas del marco de control

APO01.08 Definir las habilidades y competencias objetivo.

Definir las habilidades y competencias requeridas para lograr los objetivos de gestión relevantes.

APO01.07 Definir la propiedad de la información (datos) y sistemas de información.

Definir y mantener las responsabilidades de propiedad de información (datos) y sistemas de información.

APO01.06 Optimizar la ubicación de la función de TI.

Colocar las capacidades de TI en la estructura organizativa genera.

APO01.05 Establecer roles y responsabilidades.

Definir y comunicar roles y responsabilidades para I&T de la empresa

APO01.04 Definir e implementar las estructuras organizativas.

Establecer las estructuras organizativas (como los comités) internas y externas

APO01.03 Gestionar la implementación de procesos

Definir los niveles de capacidad del proceso objetivos.

APO01.02 Gestionar la comunicación de objetivos, dirección y decisiones tomadas.

Concienciar y fomentar el entendimiento de los objetivos de alineamiento de I&T a las partes interesadas en toda la empresa

APO01.01 Diseñar el sistema de gestión para la I&T de la empresa.

Diseñar un sistema de gestión adaptado a las necesidades de la empresa.