Modelo de Referencia COBIT 2019
Dominios de Gestión
APO - Alinear, Planificar y
Organizar
APO01—Gestionar
el marco de
gestión de TI
Diseñar el sistema de gestión para la I&T de la empresa basándose en las metas empresariales
APO01.01 Diseñar el sistema de gestión para la I&T de la empresa.
Diseñar un sistema de gestión adaptado a las necesidades de la empresa.
APO01.02 Gestionar la comunicación de objetivos, dirección y decisiones tomadas.
Concienciar y fomentar el entendimiento de los objetivos de alineamiento de I&T
a las partes interesadas en toda la empresa
APO01.03 Gestionar la implementación de procesos
Definir los niveles de capacidad del proceso objetivos.
APO01.04 Definir e implementar las estructuras organizativas.
Establecer las estructuras organizativas (como los comités) internas y externas
APO01.05 Establecer roles y responsabilidades.
Definir y comunicar roles y responsabilidades para I&T de la empresa
APO01.06 Optimizar la ubicación de la función de TI.
Colocar las capacidades de TI en la estructura organizativa genera.
APO01.07 Definir la propiedad de la información (datos) y sistemas de información.
Definir y mantener las responsabilidades de propiedad de información (datos) y
sistemas de información.
APO01.08 Definir las habilidades y competencias objetivo.
Definir las habilidades y competencias requeridas para lograr los objetivos de
gestión relevantes.
APO01.09 Definir y comunicar políticas y procedimientos.
Implementar procedimientos para mantener el cumplimiento y medir el
rendimiento de las políticas del marco de control
APO01.10 Definir e implementar la infraestructura, servicios y aplicaciones para respaldar el sistema de gobierno y gestión.
Definir e implementar infraestructura, servicios y aplicaciones para respaldar
el sistema de gobierno y gestión
APO01.11 Gestionar la mejora continua del sistema de gestión de I&T.
Mejorar continuamente los procesos y otros componentes del sistema de gestión.
APO02 — Gestionar la estrategia
Proporcionar una visión holística del entorno empresarial y de I&T actual, la dirección futura y las iniciativas necesarias para migrar al entorno futuro deseado.
APO02.01 Comprender el contexto y la dirección de la empresa.
Entender el contexto de la empresa (impulsores de la industria, la regulación
relevante, la base para la competencia)
APO02.02 Evaluar las capacidades, rendimiento y madurez digital actual de la empresa.
Evaluar el rendimiento de los servicios de I&T actuales, y desarrollar una
comprensión de las capacidades de la empresa.
APO02.03 Definir las capacidades digitales objetivo.
Definir los productos y servicios objetivo de I&T y las capacidades requeridas
APO02.04 Llevar a cabo un análisis de brecha
Identificar las brechas entre los entornos actual y objetivo.
APO02.05 Definir el plan estratégico y el mapa de ruta.
Desarrollar una estrategia digital holística, en cooperación con las partes interesadas relevantes.
APO02.06 Comunicar la dirección y estrategia de I&T.
Crear concienciación y comprensión de los objetivos y la dirección del negocio y
de I&T
APO03—Gestionar la
arquitectura de
la empresa
Establecer una arquitectura común que consiste en capas de arquitectura de procesos de negocio, información, datos, aplicaciones y tecnología.
APO03.01 Desarrollar la visión de arquitectura empresarial.
La visión de la arquitectura ofrece una temprana descripción de alto nivel de
la línea base y la arquitectura objetivo
APO03.02 Definir la arquitectura de referencia.
La arquitectura de referencia describe las arquitecturas actuales y objetivo para
los dominios de negocio, información, datos, aplicación y tecnología.
APO03.03 Seleccionar oportunidades y soluciones.
Racionalizar las brechas entre las arquitecturas de referencia y la objetivo.
APO03.04 Definir la implementación de la arquitectura.
Crear una aplicación viable y un plan de migración en alineación con los portafolios de programas y proyectos.
APO03.05 Proporcionar servicios de arquitectura empresarial.
Proporcionar servicios de arquitectura empresarial dentro de la empresa.
APO04—Gestionar
la innovación
Mantener una concienciación de I&T y tendencias de servicio relacionadas y monitorizar las tendencias tecnológicas emergentes.
APO04.01 Crear un entorno favorable que conduzca a la innovación.
Crear un entorno que propicie la innovación, considerando métodos como
la cultura, las recompensas, la colaboración, los foros de tecnología
APO04.02 Mantener un entendimiento del entorno de la empresa.
Trabajar con las partes interesadas pertinentes para entender sus desafíos
APO04.03 Monitorizar y explorar el entorno tecnológico.
Implementar una vigilancia tecnológica para monitorizar y explorar sistemáticamente el entorno externo de la empresa.
APO04.04 Evaluar el potencial de las tecnologías emergentes y las ideas de innovación.
Analizar las tecnologías emergentes identificadas y/u otras sugerencias de
innovación en I&T.
APO04.05 Recomendar iniciativas adicionales apropiadas .
Evaluar y monitorizar los resultados de las iniciativas de prueba de concepto
y, si son favorables, generar recomendaciones para más iniciativas.
APO04.06 Supervisar la implementación y el uso de la innovación.
Supervisar la implementación y el uso de las tecnologías emergentes.
APO05—Gestionar
la cartera
Ejecutar la dirección estratégica establecida para las inversiones, en línea con la visión de la arquitectura empresarial y la hoja de ruta de I&T.
APO05.01 Determinar la disponibilidad y
las fuentes de fondos.
Determinar posibles fuentes de fondos, diferentes opciones de financiamiento
y las implicaciones de las fuentes de financiamiento en las expectativas de
retorno de inversión.
APO05.02 Evaluar y seleccionar programas para financiar.
Basándose en los requisitos generales de la mezcla general del portafolio de
inversión y el plan estratégico y la hoja de ruta de I&T
APO05.03 Monitorizar, optimizar e informar sobre el rendimiento del portafolio de inversión.
Monitorizar y optimizar de forma periódica el rendimiento del portafolio de
inversión.
APO05.04 Mantener los portafolios.
Mantener los portafolios de los programas y proyectos de inversión, productos y
servicios de I&T y los activos de I&T.
APO05.05 Gestionar el logro de beneficios.
Monitorizar los beneficios de ofrecer y mantener productos de I&T apropiados.
APO06—Gestionar
el presupuesto y
los costes
Gestionar las actividades financieras relacionadas con I&T en las funciones empresariales y de TI, cubriendo el presupuesto, la gestión de costes y beneficios.
APO06.01 Gestión financiera y contable.
Establecer y mantener un método para gestionar y contabilizar todos los costes
y la depreciación relacionados con I&T.
APO06.02 Establecer prioridades para la asignación de recursos.
Implementar un proceso de toma de decisiones para establecer prioridades
sobre la asignación de recursos.
APO06.03 Crear y mantener presupuestos.
Preparar un presupuesto que refleje las prioridades de inversión con base en el
portafolio de programas habilitados por I&T y los servicios de I&T.
APO06.04 Modelar y asignar los costes.
Establecer y usar un modelo basado en los costes de I&T, por ejemplo, en la definición de los servicios.
APO06.05 Gestionar los costes.
Implementar un proceso de gestión de costes que compare los costes actuales
contra el presupuesto.
APO07—Gestionar
los recursos humanos
Proporcionar un enfoque estructurado para asegurar una contratación/adquisición, planificación, evaluación y desarrollo de recursos humanos óptimos
APO07.01 Adquirir y mantener una dotación de personal suficiente y adecuada.
Establecer y mantener un método para gestionar y contabilizar todos los costes,
inversiones y depreciación relacionados con I&T.
APO07.02 Identificar al personal clave de TI.
Identificar al personal clave de TI. Usar la captura de conocimientos
(documentación)
APO07.03 Mantener las habilidades y competencias del personal.
Definir y administrar las habilidades y competencias que necesita el personal.
APO07.04 Evaluar y reconocer/recompensar el rendimiento laboral de los empleados.
Realizar evaluaciones regulares y oportunas del rendimiento contra los objetivos
individuos derivados de las metas empresariales, estándares establecidos,
responsabilidades específicas de los cargos
APO07.05 Planificar y hacer seguimiento del uso de los recursos humanos del negocio y de TI.
Comprender y hacer un seguimiento de la demanda actual y futura de recursos
humanos del negocio y de TI.
APO07.06 Gestionar al personal contratado.
Asegurarse de que los consultores y el personal por contrato, que dan soporte
a la empresa con habilidades de I&T.
APO08—Gestionar
las relaciones
Gestionar las relaciones con las partes interesadas de una manera formal y transparente que asegure una confianza mutua y un enfoque combinado en lograr
las metas estratégicas dentro de las limitaciones de los presupuestos y la tolerancia al riesgo.
APO08.01 Entender las expectativas del negocio.
Entender los problemas, objetivos y expectativas actuales del negocio sobre I&T.
APO08.02: Alinear la estrategia de I&T con las expectativas empresariales e identificar oportunidades
para que TI mejore el negocio.
Alinear las estrategias de I&T con los objetivos y expectativas empresariales
actuales para permitir que TI
APO08.03 Gestionar la relación con el negocio.
Gestionar la relación entre la organización de servicio de TI y sus socios empresariales.
APO08.04 Coordinar y comunicar.
Trabajar con todas las partes interesadas relevantes y coordinar la prestación
íntegra de los servicios y soluciones de I&T que se ofrecen a la empresa.
APO08.05 Proporcionar aportes para la mejora continua de los servicios.
Mejorar y evolucionar continuamente los servicios habilitados por I&T
APO09—Gestionar
los acuerdos de
servicio
Alinear los productos y servicios habilitados por I&T y los niveles de servicio con las necesidades y expectativas de la empresa
APO09.01 Identificar los servicios de I&T.
Analizar los requisitos del negocio y hasta qué punto los servicios habilitados por I&T.
APO09.02 Catalogar los servicios habilitados por I&T.
Definir y mantener uno o más catálogos de servicios para grupos objetivo
relevantes.
APO09.03 Definir y preparar acuerdos de servicio.
Definir y preparar acuerdos de servicio basados en las opciones de los catálogos
de servicio.
APO09.04 Monitorizar y reportar los niveles de servicio.
Monitorizar los niveles de servicio, informar sobre los logros e identificar
tendencias.
APO09.05 Revisar los acuerdos y los contratos de servicio.
Realizar revisiones periódicas de los acuerdos de servicio y revisarlos cuando
sea necesario.
APO10—Gestionar
los proveedores
Gestionar los productos y servicios relacionados con I&T proporcionados por todo tipo de proveedores para que satisfagan los requisitos de la empresa
APO10.01 Identificar y
evaluar los contratos y
las relaciones con los proveedores.
Buscar e identificar continuamente proveedores y clasificarlos en tipo,
importancia y criticidad
APO10.02 Seleccionar proveedores.
Seleccionar proveedores externos para garantizar la mejor selección basado en los requisitos especificados
APO10.03 Gestionar los contratos y las relaciones con los proveedores.
Formalizar y gestionar la relación con el proveedor para cada uno de los
proveedores.
APO10.04 Gestionar los riesgos de los proveedores.
Identificar y gestionar el riesgo relacionado con los proveedores.
APO10.05 Supervisar el rendimiento y el cumplimiento del proveedor.
Revisar periódicamente el rendimiento general de los proveedores, el
cumplimiento con los requisitos contractuales y la ejecución del valor del
contrato.
APO11—Gestionar
la calidad
Definir y comunicar los requisitos de calidad en todos los procesos, procedimientos y resultados empresariales relacionados
APO11.01 Establecer un sistema de gestión de calidad (
SGC).
Establecer y mantener un sistema de gestión de calidad (SGC) que proporciona
un enfoque estándar, formal y continuo para la gestión de calidad de la
información.
APO11.02: Enfocar la gestión de la calidad en los clientes.
Enfocar la gestión de la calidad en los clientes para determinar sus requisitos y
asegurar su integración en las prácticas de gestión de la calidad.
APO11.03 Gestionar los estándares, prácticas y procedimientos de calidad e integrar la
gestión de la calidad en los procesos y soluciones clave.
Identificar y mantener los requisitos, estándares, procedimientos y prácticas
para los procesos clave con el fin de guiar a la empresa hacia el logro de los estándares de gestión de la calidad (SGC) acordados.
APO11.04 Llevar a cabo la monitorización, control y revisiones de calidad.
Monitorizar la calidad de los procesos y los servicios de forma continua, en línea
con los estándares de gestión de la calidad
APO11.05 Mantener la mejora continua.
Mantener y comunicar periódicamente un plan de calidad general que promueva
la mejora continua
APO12—Gestionar
el riesgo
Identificar, evaluar y reducir continuamente los riesgos relacionados con I&T
APO12.01 Recopilar datos.
Identificar y recopilar datos relevantes para habilitar una efectiva identificación,
análisis y reporte de los riesgos relacionados con I&T.
APO12.02 Analizar el riesgo.
Desarrollar una visión fundamentada del riesgo de I&T vigente, que soporte las
decisiones de riesgo.
APO12.03 Mantener un perfil de riesgo.
Mantener un inventario de los riesgos conocidos y los atributos de riesgo, incluidos la frecuencia esperada, impacto potencial y respuestas
APO12.04 Articular el riesgo.
Comunicar de manera oportuna información sobre el estado actual de las exposiciones y oportunidades relacionadas con I&T
APO12.05 Definir un portafolio con acciones de gestión de riesgos.
Gestionar las oportunidades para reducir el riesgo a un nivel aceptable como un
portafolio
APO12.06 Responder al riesgo.
Responder de manera oportuna a eventos de riesgo materializados con medidas
eficaces para limitar la magnitud de las pérdidas.
APO13—Gestionar
la seguridad
Definir, operar y monitorizar un sistema de gestión de seguridad de la información.
APO13.01 Establecer y mantener un sistema de gestión de seguridad de la información (SGSI).
Establecer y mantener un sistema de gestión de seguridad de la información
(SGSI)
APO13.02 Definir y gestionar un plan de tratamiento de riesgos de seguridad de la información y privacidad.
Mantener un plan de seguridad de la información que describa cómo se debe
manejar el riesgo de seguridad de la información y cómo se debe alinear con la
estrategia y la arquitectura de la empresa
APO13.03 Monitorizar y revisar el sistema de gestión de seguridad de la información (SGSI).
Mantener y comunicar periódicamente la necesidad y los beneficios de una
mejora continua de seguridad de la información
APO14—Gestionar
los datos
Lograr y mantener la gestión eficaz de los activos de datos de la empresa durante todo el ciclo de vida de los datos, desde la creación hasta su entrega,
mantenimiento y archivo.
APO14.01 Definir y comunicar la estrategia y los roles y responsabilidades de la gestión de datos de la organización.
Definir cómo gestionar y mejorar los activos de datos de la organización, en línea
con la estrategia y objetivos de la empresa.
APO14.02 Definir y mantener un glosario empresarial consistente.
Crear, aprobar, actualizar y promover términos y definiciones de negocio.
APO14.03 Establecer los procesos y la infraestructura para la gestión de metadatos.
Establecer los procesos y la infraestructura para especificar y extender los metadatos sobre los activos de datos de la organización
APO14.04 Definir una estrategia de calidad de los datos.
Definir una estrategia integrada en toda la organización para lograr y mantener el
nivel de calidad de datos
APO14.05 Establecer las metodologías, procesos y herramientas para la creación de perfiles de datos.
Implementar metodologías, procesos, prácticas, herramientas y plantillas para
la creación de perfiles de datos estándares.
APO14.06 Asegurar un enfoque de evaluación de la calidad de los datos.
Proporcionar un enfoque sistemático para medir y evaluar la calidad de los datos
conforme a los procesos y técnicas y contra las reglas de calidad de los datos.
APO14.07 Definir la estrategia de depuración de datos.
Definir los mecanismos, reglas, procesos y métodos para validar y corregir los
datos conforme a las reglas empresariales predefinidas
APO14.08 Gestionar el ciclo de vida de los activos de datos.
Garantizar que la organización entienda, correlacione inventarios, y controle sus
flujos de datos a través de los procesos empresariales.
APO14.09 Soportar el archivado y retención de datos.
Asegurar que el mantenimiento de datos satisfaga los requisitos organizativos y
regulatorios para la disponibilidad de datos históricos.
APO14.10 Gestionar los acuerdos de toma de copias de seguridad y restauración de datos.
Gestionar la disponibilidad de datos críticos para garantizar la continuidad operativa
BAI - Contruir, Adquirir e
Implementar
BAI01—Gestionar
los programas
Gestionar todos los programas del portafolio de inversión, de conformidad con la estrategia de la empresa y de forma coordinada
BAI01.01 Mantener un enfoque estándar en la gestión de programas.
Mantener un enfoque estándar para la gestión de programas que permita la
revisión del gobierno y la gestión
BAI01.02 Iniciar un programa.
Iniciar un programa para confirmar los beneficios esperados y obtener
autorización para proceder.
BAI01.03 Gestionar el compromiso de las partes interesadas.
Gestionar el compromiso de las partes interesadas para asegurar un intercambio
activo de información precisa, consistente y oportuna para todas las partes interesadas relevantes.
BAI01.04 Desarrollar y mantener el plan del programa.
Formular un programa para sentar las bases iniciales.
BAI01.05 Lanzar y ejecutar el programa.
Poner en marcha el programa para adquirir y dirigir los recursos necesarios y
así lograr las metas y beneficios del programa tal y como está definido en el
plan.
BAI01.06 Monitorizar, controlar y reportar sobre los resultados del programa.
Monitorizar y controlar el rendimiento en comparación con el plan durante todo
el ciclo de vida económico de la inversión
BAI01.07 Gestionar la calidad del programa.
Preparar y ejecutar un plan de gestión de la calidad, procesos y prácticas, alineado con el sistema de gestión de calidad
BAI01.08 Gestionar el riesgo del programa.
Eliminar o minimizar el riesgo específico asociado a los programas mediante
un proceso sistemático de planificación
BAI01.09 Cerrar un programa.
Retirar el programa del portafolio de inversiones activas cuando exista el
acuerdo de que se ha alcanzado el valor deseado
BAI02—Gestionar
la definición
de requisitos
Identificar las soluciones y analizar los requisitos antes de su adquisición o construcción para asegurarse de que se ajustan a los requisitos estratégicos de la
empresa
BAI02.01 Definir y mantener los requisitos funcionales y técnicos del negocio.
Con base en el caso de negocio, identificar, priorizar, especificar y acordar los
requisitos de información , funcionales, técnicos y de control del negocio
BAI02.02 Realizar un estudio de factibilidad y formular soluciones alternativas.
Realizar un estudio de factibilidad de las posibles soluciones alternativas, evaluar su viabilidad y seleccionar la opción preferida.
BAI02.03 Gestionar el riesgo de los requisitos.
Identificar, documentar, priorizar y mitigar el riesgo funcional, técnico y de
procesamiento de la información asociado con los requisitos empresariales
BAI02.04 Obtener la aprobación de requisitos y soluciones.
Coordinar la retroalimentación de las partes interesadas afectadas En etapas
clave predeterminadas, obtener la aprobación y autorización del patrocinador del negocio
BAI03—Gestionar
la identificación y
creación de
soluciones
Establecer y mantener productos y servicios identificados (tecnología, procesos de negocio y flujos de trabajo) alineados con los requisitos de la empresa
BAI03.01 Diseño de soluciones de alto nivel.
Desarrollar y documentar diseños de alto nivel para la solución en términos de
tecnología, procesos de negocio y flujos de trabajo.
BAI03.02 Diseñar componentes detallados para la solución.
Desarrollar, documentar y elaborar diseños detallados de forma progresiva
BAI03.03: Desarrollar los componentes de la solución.
Desarrollar progresivamente los componentes de la solución en un entorno
independiente, de acuerdo con los diseños detallados siguiendo estándares y requisitos de desarrollo y documentación
BAI03.04 Adquirir los componentes de la solución.
Adquirir los componentes de la solución basados en el plan de adquisiciones
BAI03.05 Construir soluciones.
Instalar y configurar soluciones e integrarlas con las actividades del proceso
de negocio.
BAI03.06 Realizar el aseguramiento de calidad (QA).
Desarrollar, aprovisionar y ejecutar un plan de aseguramiento de la calidad (QA)
que esté alineado con el sistema de gestión de la calidad
BAI03.07 Preparar las pruebas de la solución.
Establecer un plan de pruebas y los entornos/ambientes necesarios para probar
los componentes individuales e integrados de la solución
BAI03.08 Ejecutar las pruebas de la solución.
Durante el desarrollo, ejecutar pruebas continuamente (incluidas pruebas de
control)
BAI03.09 Gestionar los cambios a los requisitos.
Hacer seguimiento al estado de requisitos individuales (incluidos todos los
requisitos rechazados) durante el ciclo de vida del proyecto
BAI03.10: Mantener las soluciones.
Desarrollar y ejecutar un plan para mantener los componentes de la solución y la infraestructura.
BAI03.11 Definir productos y servicios de TI y mantener el portafolio de servicios.
Definir y acordar opciones nuevas o modificadas de productos o servicios de
TI y del nivel de servicio.
BAI03.12 Diseñar soluciones conforme a la metodología de desarrollo definida.
Diseñar, desarrollar e implementar soluciones con la metodología de desarrollo
adecuada
BAI04—Gestionar
la disponibilidad
y capacidad
Equilibrar las necesidades actuales y futuras de disponibilidad, rendimiento y capacidad con la prestación de servicios rentables
BAI04.01 Evaluar la disponibilidad, rendimiento y capacidad actuales y crear una línea de referencia.
Evaluar la disponibilidad, rendimiento y capacidad de los servicios y recursos
para asegurar que la capacidad y el rendimiento con un coste justificable están
disponibles para apoyar las necesidades y entregables del negocio contra los
acuerdos de nivel de servicio
BAI04.02 Evaluar el impacto en el negocio.
Identificar servicios importantes para la empresa. Asignar servicios y recursos a
los procesos de negocio e identificar sus dependencias de negocio
BAI04.03 Planificar los requisitos de los servicios nuevos o modificados.
Planificar y priorizar las implicaciones de disponibilidad
BAI04.04 Monitorizar y revisar la disponibilidad y la capacidad.
Monitorizar, medir, analizar, reportar y revisar la disponibilidad, el rendimiento y la
capacidad.
BAI04.05 Investigar y resolver los problemas de disponibilidad, rendimiento y capacidad.
Abordar las desviaciones investigando y resolviendo los problemas identificados
de disponibilidad, rendimiento y capacidad
BAI05—Gestionar
los cambios
organizativos
Maximizar la probabilidad de implementar con éxito un cambio organizativo sostenible en toda la empresa, de forma rápida y con un riesgo reducido
BAI05.01 Establecer el deseo de cambiar.
Comprender el alcance e impacto de los cambios deseados
BAI05.02 Formar un equipo de implementación eficaz.
Establecer un equipo de implementación eficaz con miembros apropiados
BAI05.03 Comunicar la visión deseada.
Comunicar la visión de cambio deseada en el lenguaje de los afectados por
el mismo.
BAI05.04 Facultar a los roles participantes e identificar las ganancias a corto plazo.
Facultar a los titulares de los roles de implementación mediante la asignación
de la rendición de cuentas
BAI05.05 Habilitar la operación y el uso.
Planificar e implementar todos los aspectos técnicos, operativos y de uso
BAI05.06 Incorporar nuevos enfoques.
Incorporar nuevos enfoques mediante seguimiento a los cambios
implementados
BAI05.07 Sostener los cambios.
Sostener los cambios mediante una capacitación efectiva del nuevo personal,
campañas continuas de comunicación
BAI06—Gestionar
los cambios de TI
Gestionar todos los cambios de una manera controlada, incluidos los cambios estándar y los mantenimientos de emergencia en relación con los procesos de
negocio, las aplicaciones y la infraestructura.
BAI06.01 Evaluar, priorizar y autorizar solicitudes de cambio.
Evaluar todas las solicitudes de cambio para determinar el impacto en los
procesos de negocio y servicios de I&T
BAI06.02 Gestionar cambios de emergencia.
Gestionar cuidadosamente los cambios de emergencia para minimizar futuros
incidentes
BAI06.03 Hacer seguimiento e informar sobre cambios de estado.
Mantener un sistema de seguimiento e informes para documentar los cambios
rechazados y comunicar el estado de los cambios aprobados
BAI06.04 Cerrar y documentar los cambios.
Siempre que se implementen cambios, actualizar la solución
BAI07—Gestionar la
aceptación y la
transición de
los cambios de TI
Aceptar formalmente y hacer operativas las nuevas soluciones.
BAI07.01 Establecer un plan de implementación.
Establecer un plan de implementación que cubra la conversión de sistemas y
datos, criterios de pruebas de aceptación
BAI07.02 Planificar la conversión de procesos de negocio, sistemas y datos.
Prepararse para la migración de los procesos de negocio, datos de servicios e
infraestructura de I&T
BAI07.03: Plan de pruebas de aceptación.
Establecer un plan de pruebas basado en estándares de toda la empresa que
defina roles, responsabilidades y criterios de entrada y salida
BAI07.04: Establecer un entorno de pruebas.
Definir y establecer un entorno de pruebas seguro y representativo del proceso
de negocio planificado y del entorno de operaciones de TI
BAI07.05 Realizar pruebas de aceptación.
Probar los cambios de forma independiente de acuerdo con el plan de pruebas
definido antes de la migración al entorno operativo en producción
BAI07.06 Promover a producción y gestionar las liberaciones (releases).
Promover la solución aceptada al negocio y a las operaciones
BAI07.07 Proporcionar soporte oportuno en producción.
Proporcionar, durante un periodo de tiempo acordado, soporte oportuno a
los usuarios y a las operaciones de I&T
BAI07.08 Realizar una revisión post-implementación
Realizar una revisión post-implementación para confirmar los resultados,
identificar las lecciones aprendidas y desarrollar un plan de acción
BAI08—Gestionar
el conocimiento
Mantener disponible la información de gestión relevante, vigente, conocimiento validado y confiable
BAI08.01 Identificar y clasificar las fuentes de información para el gobierno y la gestión de I&T.
Identificar, validar y clasificar las diversas fuentes de información internas
y externas requeridas para habilitar el gobierno y la gestión de I&T
BAI08.02 Organizar y contextualizar la información en conocimiento.
Organizar la información según los criterios de clasificación
BAI08.03 Utilizar y compartir conocimiento.
Transmitir los recursos de conocimiento disponibles a las partes interesadas
correspondientes
BAI08.04 Evaluar y actualizar o retirar la información.
Medir el uso y evaluar la aceptación y relevancia de la información. Actualizar la
información o retirar la información obsoleta
BAI09—Gestionar
los activos
Gestionar los activos de I&T a través de su ciclo de vida para asegurarse de que su uso aporta valor a un coste óptimo, continúan operativos
BAI09.01 Identificar y registrar los activos actuales.
Mantener un registro actualizado y preciso de todos los activos de I&T
BAI09.02 Gestionar activos críticos.
Identificar los activos que son críticos para garantizar la capacidad de prestación
del servicio.
BAI09.03: Gestionar el ciclo de vida del activo.
Gestionar los activos desde su adquisición hasta su disposición.
BAI09.04 Optimizar el valor de los activos.
Revisar periódicamente la base de activos para identificar formas de optimizar
valor y mantener el alineamiento con las necesidades del negocio
BAI09.05 Gestionar las licencias.
Gestionar las licencias de software para mantener el número de licencias óptimo
y respaldar las necesidades del negocio
BAI10—Gestionar
la configuración
Definir y mantener descripciones y relaciones entre recursos claves y las capacidades necesarias para ofrecer servicios habilitados por I&T.
BAI10.01 Establecer y mantener un modelo de la configuración.
Establecer y mantener un modelo lógico de servicios, activos, infraestructura, y
registro de los elementos de configuración
BAI10.02 Establecer y mantener un repositorio de configuración y una línea de referencia.
Establecer y mantener un repositorio de gestión de la configuración y crear
líneas de referencias de configuración controladas.
BAI10.03 Mantener y controlar los elementos de configuración.
Mantener un repositorio actualizado de los elementos de configuración (CIs)
incluyendo cualquier cambio en la configuración
BAI10.04 Generar informes de estado y de la configuración.
Definir y generar informes de la configuración sobre los cambios de estado en los elementos de la configuración
BAI10.05 Verificar y revisar la integridad del repositorio de configuración.
Revisar periódicamente el repositorio de configuración y verificar su integridad y
precisión en comparación con la meta deseada.
BAI11—Gestionar
los proyectos
Gestionar todos los proyectos que se inician en la empresa, alineados con la estrategia de la empresa
BAI11.01 Mantener un enfoque estándar en la gestión de proyectos.
Mantener una estrategia estándar para la gestión de proyectos que permita
la revisión del gobierno y gestión, la toma de decisiones y las actividades de
gestión de entrega
BAI11.02 Establecer e iniciar un proyecto.
Definir y documentar la naturaleza y alcance del proyecto con el objetivo de
confirmar y desarrollar un entendimiento común del alcance del proyecto
entre las partes interesadas.
BAI11.03 Gestionar la participación de las partes interesadas.
Gestionar la participación de las partes interesadas para asegurar un
intercambio activo de información precisa, consistente y oportuna que llegue
a todas las partes interesadas relevantes.
BAI11.04 Desarrollar y mantener el plan del proyecto.
Establecer y mantener un plan de proyecto formal, integrado y aprobado (que
cubra los recursos del negocio y de TI) para guiar la ejecución y el control del
proyecto durante su ciclo de vida.
BAI11.05 Gestionar la calidad del proyecto.
Preparar y ejecutar un plan de gestión de la calidad, procesos y prácticas,
alineadas con el sistema de gestión de calidad
BAI11.06 Gestionar el riesgo del proyecto.
Eliminar o minimizar el riesgo específico asociado a los proyectos mediante
un proceso sistemático de planificación, identificación, análisis, respuesta,
monitorización y control de las áreas
BAI11.07 Supervisar y controlar los proyectos.
Medir el rendimiento del proyecto en comparación con los criterios clave,
como son el calendario, la calidad, los costes y el riesgo
BAI11.08 Gestionar los recursos del proyecto y los paquetes de trabajo.
Gestionar los paquetes de trabajos asociados al proyecto mediante el
establecimiento de requisitos formales para autorizarlos
BAI11.09 Cerrar un proyecto o iteración.
Al final de cada proyecto, liberación o iteración, requerir a las partes interesadas
del proyecto para que determinen si el mismo ha dado los resultados previstos
en cuanto a las capacidades y ha contribuido como se esperaba a los beneficios del programa.
DSS - Entregar, Dar Servicio y
Soporte
DSS01—Gestionar
las operaciones
Coordinar y ejecutar las actividades y los procedimientos operativos requeridos para entregar los servicios de I&T
DSS01.01 Ejecutar procedimientos operativos.
Mantener y ejecutar procedimientos y tareas operativas de manera confiable y
consistente.
DSS01.02 Gestionar servicios tercerizados de I&T.
Gestionar la operación de los servicios tercerizados de I&T para mantener la
protección de la información empresarial y la confiabilidad de la provisión del
servicio.
DSS01.03 Monitorizar la infraestructura de I&T
Monitorizar la infraestructura de I&T y eventos relacionados.
DSS01.04 Gestionar el medioambiente.
Mantener medidas de protección contra los factores medioambientales
DSS01.05 Gestionar las instalaciones.
Gestionar las instalaciones, incluidos los equipos de suministro eléctrico y
comunicaciones, alineados con las leyes y reglamentos existentes
Proporcionar una respuesta oportuna y efectiva a las solicitudes de los usuarios y la resolución de todos los tipos de incidentes
DSS02.01 Definir esquemas de clasificación para incidentes y peticiones de servicio.
Definir esquemas de clasificación y modelos de incidentes y de peticiones de
servicio.
DSS02.02 Registrar, clasificar y priorizar las peticiones e incidentes.
Identificar, registrar y clasificar las peticiones de servicio y los incidentes
DSS02.03 Verificar, aprobar y resolver peticiones de servicio.
Seleccionar los procedimientos apropiados para peticiones y verificar que las
solicitudes de servicio cumplan con los criterios de solicitud definidos
DSS02.04 Investigar, diagnosticar y asignar incidentes.
Identificar y registrar los síntomas de los incidentes, determinar las causas
posibles y asignarlos para su resolución
DSS02.05 Resolver y recuperarse de los incidentes.
Documentar, aplicar y probar las soluciones definitivas o temporales
(workarounds) identificados.
DSS02.06 Cerrar las peticiones de servicio y los incidentes.
Verificar la solución satisfactoria del incidente y/o el cumplimiento de la
petición y su cierre.
DSS02.07 Hacer seguimiento al estado y producir informes.
Hacer seguimiento, analizar e informar regularmente sobre los incidentes y
el cumplimiento de las solicitudes.
DSS03—Gestionar
los problemas
Identificar y clasificar los problemas y su causa raíz.
DSS03.01 Identificar y clasificar los problemas.
Definir e implementar criterios y procedimientos para identificar e informar
sobre los problemas.
DSS03.02 Investigar y diagnosticar problemas.
Investigar y diagnosticar problemas con la ayuda de expertos en la materia para
evaluar y analizar su causa raíz
DSS03.03 Presentar los errores conocidos.
Tan pronto como se identifiquen las causas raíz de los problemas, crear registros
de los errores conocidos
DSS03.04 Resolver y cerrar los problemas.
Identificar e iniciar soluciones sostenibles dirigidas a la causa raíz del problema
DSS03.05 Realizar una gestión proactiva de los problemas.
Recopilar y analizar los datos operacionales
DSS04—Gestionar
la continuidad
Establecer y mantener un plan que permita a las organizaciones empresariales y a TI responder a los incidentes y adaptarse rápidamente a las interrupciones
DSS04.01 Definir la política de continuidad del negocio, sus objetivos y alcance.
Definir la política y alcance de la continuidad del negocio
DSS04.02 Mantener la resiliencia del negocio.
Evaluar las opciones de resiliencia del negocio y elegir una estrategia viable
y rentable para asegurar la continuidad
DSS04.03 Desarrollar e implementar una respuesta de continuidad del negocio.
Desarrollar un plan de continuidad del negocio (BCP) y un plan de recuperación
de desastres (DRP) basados en la estrategia
DSS04.04 Realizar ejercicios, probar y revisar el plan de continuidad del negocio (BCP) y el plan de respuesta ante
desastres (DRP).
Probar la continuidad de forma periódica para ver el comportamiento de los
planes contra resultados predeterminados
DSS04.05 Revisar, mantener y mejorar los planes de continuidad.
Conducir una revisión periódica de la capacidad de continuidad para asegurar su
idoneidad, lo adecuado y su efectividad
DSS04.06 Realizar formación sobre el plan de continuidad.
Proporcionar sesiones periódicas de formación sobre los procedimientos y sus
roles y responsabilidades en caso de interrupción a todas las partes internas
DSS04.07 Administrar los acuerdos de respaldo.
Mantener la disponibilidad de la información crítica para el negocio
DSS04.08: Realizar revisiones post-reanudación.
Evaluar la idoneidad del plan de continuidad del negocio (BCP) y el plan de
respuesta ante desastres (DRP) tras la reanudación exitosa de los procesos
DSS05—Gestionar
los servicios
de seguridad
Proteger la información de la empresa para mantener el nivel de riesgo de la seguridad de la información aceptable para la empresa
DSS05.01 Proteger contra software malicioso
Implementar y mantener en toda la empresa medidas preventivas, detectivas y
correctivas
DSS05.02 Gestionar la seguridad de la conectividad y de la red.
Usar medidas de seguridad y procedimientos de gestión relacionados para proteger la información a través de todos los métodos de conectividad
DSS05.03 Gestionar la seguridad de endpoint.
Garantizar que los dispositivos de punto final
05.04 Gestionar la identidad del usuario y el acceso lógico.
Asegurarse de que todos los usuarios tienen derechos de acceso a la información de acuerdo con los requisitos del negocio
DSS05.05 Gestionar el acceso físico a los activos de I&T.
Definir e implantar procedimientos (incluyendo procedimientos de emergencia)
para otorgar, limitar y revocar el acceso a las instalaciones, edificios y áreas, de
acuerdo con las necesidades del negocio.
DSS05.06 Gestionar documentos sensibles y dispositivos de salida.
Establecer protecciones físicas apropiadas, prácticas contables y gestión
de inventario relativa a activos sensibles de I&T
DSS05.07 Gestionar las vulnerabilidades y monitorizar la infraestructura para detectar eventos relacionados con la seguridad.
Mediante el uso de un portafolio de herramientas y tecnologías
DSS06—Gestionar
los controles de
procesos de negocio
Definir y mantener los controles apropiados de los procesos de negocio para asegurar que la información relacionada
DSS06.01 Alinear las actividades de control incorporadas en los procesos de negocio con los objetivos empresariales.
Evaluar y monitorizar continuamente la ejecución de las actividades de los
procesos de negocio y los controles relacionados
DSS06.02 Controlar el procesamiento de información.
Gestionar la ejecución de las actividades de los procesos del negocio y los
controles relacionados, con base en el riesgo empresarial
DSS06.03 Gestionar roles, responsabilidades, privilegios de acceso y niveles de autoridad.
Gestionar los roles de negocio, responsabilidades, niveles de autoridad y
segregación de funciones necesarias para apoyar los objetivos de los procesos
de negocio.
DSS06.04 Gestionar errores y excepciones.
Gestionar las excepciones y los errores del proceso del negocio y facilitar su
corrección, mediante la ejecución de las acciones correctivas definidas y su
escalamiento
DSS06.05 Asegurar la trazabilidad y la rendición de cuentas de los eventos de información.
Asegurarse de que la información de negocio puede rastrearse hasta el evento
de negocio que la originó y se puede asociar a las partes que rinden cuentas
DSS06.06 Asegurar los activos de información.
Asegurar los activos de información accesibles por el negocio a través de
métodos aprobados, incluyendo información en formato electrónico
MEA - Monitorizar, Evaluar y
Valorar
MEA01 — Gestionar la supervisión del rendimiento y la conformidad
Recopilar, validar y evaluar las metas y métricas de alineamiento de la empresa
MEA01.01 Establecer un enfoque de supervisión.
Involucrar a las partes interesadas a fin de establecer y mantener un enfoque de
supervisión para definir los objetivos, el alcance y el método con los que medir
la solución del negocio
MEA01.02 Establecer los objetivos de rendimiento y conformidad.
Trabajar con las partes interesadas para definir, revisar periódicamente,
actualizar y aprobar los objetivos de rendimiento y conformidad dentro del
sistema de medición de desempeño
MEA01.03 Recopilar y procesar los datos de rendimiento y conformidad.
Recopilar y procesar datos oportunos y precisos alineados con los enfoques de
la empresa.
MEA01.04 Analizar e informar sobre el rendimiento.
Revisar e informar periódicamente sobre el rendimiento en comparación con los
objetivos
MEA01.05 Asegurar la implementación de acciones correctivas.
Ayudar a las partes interesadas a identificar, iniciar y rastrear las acciones
correctivas para abordar las anomalías.
MEA02—Gestionar
el sistema de
control interno
Supervisar y evaluar continuamente el entorno de control, incluyendo autoevaluaciones y autoconcienciación
MEA02.01 Supervisar los controles internos.
Supervisar, hacer benchmark y mejorar continuamente el entorno de control y el
marco de control de I&T, para alcanzar los objetivos de la organización
MEA02.02 Revisar la eficacia de los controles del proceso de negocio.
Revisar la operación de los controles, incluidas la supervisión y la evidencia
de las pruebas
MEA02.03 Realizar autoevaluaciones de control.
Alentar a la gerencia y a los dueños de los procesos para que mejoren los
controles de forma proactiva mediante un programa continuo de autoevaluación
MEA02.04 Identificar y reportar las deficiencias de control.
Identificar las deficiencias de control y analizar e identificar sus causas
raíz subyacentes
MEA03—Gestionar
el cumplimiento de
los requisitos externos
Evaluar si los procesos de I&T y los procesos de negocio apoyados por I&T cumplen con las leyes
MEA03.01 Identificar los requisitos externos de cumplimiento.
Supervisar de forma continua los cambios en las leyes y regulaciones locales e
internacionales
MEA03.02 Optimizar la respuesta a los requisitos externos.
Revisar y ajustar las políticas, principios, estándares, procedimientos y
metodologías para asegurarse de que se aborden y comuniquen los requisitos
legales, regulatorios y contractuales
MEA03.03 Confirmar el cumplimiento externo.
Confirmar el cumplimiento de las políticas, principios, estándares, procedimientos y metodologías con los requisitos legales
MEA03.04 Obtener aseguramiento de cumplimiento externo
Obtener e informar del aseguramiento del cumplimiento y adherencia a las
políticas, principios, estándares, procedimientos y metodologías
MEA04—Gestionar
el aseguramiento
Planificar, delimitar y ejecutar iniciativas de aseguramiento para cumplir con requisitos internos, leyes, regulaciones y objetivos estratégicos
MEA04.01 Asegurar que los proveedores de aseguramiento sean independientes y estén cualificados.
Asegurar que las entidades que realizan la evaluación sean independientes de
la función, grupos u organizaciones incluidos en el alcance
MEA04.02 Desarrollar una planificación de iniciativas de aseguramiento basada en los riesgos.
Determinar objetivos de aseguramiento basados en evaluaciones del entorno y
contextos interno y externo
MEA04.03 Determinar los objetivos de la iniciativa de aseguramiento.
Definir y acordar con todas las partes interesadas el alcance de la iniciativa de
aseguramiento, con base en los objetivos de aseguramiento
MEA04.04 Definir el alcance de la iniciativa de aseguramiento.
Definir un programa de trabajo detallado para la iniciativa de aseguramiento,
estructurado conforme al alcance de los objetivos de gestión y los componentes
de gobierno.
MEA04.05 Definir el programa de trabajo para la iniciativa de aseguramiento.
Ejecutar la iniciativa de aseguramiento planificada. Validar y confirmar el diseño
de los controles internos existentes
MEA04.06 Ejecutar la iniciativa de aseguramiento, enfocándose en la efectividad del diseño.
Ejecutar la iniciativa de aseguramiento planificada. Probar si los controles
internos establecidos son adecuados y suficientes
MEA04.07 Ejecutar la iniciativa de aseguramiento, enfocándose en la eficacia operativa.
Ofrecer opiniones positivas de la evaluación cuando sea apropiado, así como
recomendaciones de mejora relacionadas con el rendimiento operacional
MEA04.08 Informar y hacer seguimiento a la iniciativa de aseguramiento.
Ofrecer opiniones positivas de la evaluación cuando sea apropiado
MEA04.09 Hacer seguimiento a las recomendaciones y a las acciones.
Acordar, hacer seguimiento e implementar las recomendaciones de mejoras
identificadas
Dominios de Gobierno
EDM - Evaluar, Dirigir y
Monitorizar
EDM01—Asegurar
el establecimiento
y el mantenimiento
del marco de
gobierno
Analizar y articular los requisitos para el gobierno de la I&T de la empresa.
EDM01.01 Evaluar el sistema de gobierno
Identificar e involucrarse continuamente con las partes interesadas de la empresa
EDM01.02 Dirigir el sistema de gobierno.
Informar a los líderes sobre los principios de gobierno de I&T y obtener su apoyo,
aprobación y compromiso.
EDM01.03 Monitorizar el sistema de gobierno.
Monitorizar la eficacia y el rendimiento del gobierno de I&T de la empresa.
Evaluar si el sistema de gobierno y los mecanismos implementados
EDM02—Asegurar
la obtención
de beneficios
Optimizar el valor al negocio de las inversiones en procesos empresariales, servicios de I&T y activos de I&T.
EDM02.01 Establecer el objetivo de la mezcla de inversión.
Revisar y asegurarse que las estrategias y los servicios actuales de la empresa
y de I&T sean claros.
EDM02.02 Evaluar la optimización del valor.
Evaluar continuamente el portafolio de inversiones, servicios y activos de I&T
con el fin de determinar la probabilidad de alcanzar los objetivos
EDM02.03 Dirigir la optimización del valor.
Dirigir los principios y las prácticas de gestión de valor para permitir la obtención
óptima de valor de las inversiones de I&T
EDM02.04 Monitorizar la optimización del valor.
Supervisar las metas y métricas clave para determinar si el negocio está recibiendo el valor y los beneficios
EDM03—Asegurar la
optimización del riesgo
Asegurar la tolerancia al riesgo de la empresa se entiendan, articulen y comuniquen, y que se identifique y gestione el riesgo para el valor de negocio
relacionado con el uso de I&T.
EDM03.01 Evaluar la gestión de riesgos.
Examinar y evaluar continuamente el efecto del riesgo sobre el uso actual y futuro de las I&T en la empresa.
EDM03.02 Dirigir la gestión de riesgos.
Dirigir el establecimiento de prácticas de gestión de riesgos para ofrecer una
seguridad razonable de que las prácticas de gestión de riesgos de I&T
EDM03.03 Monitorizar la gestión de riesgos.
Monitorizar r las metas y las métricas clave de los procesos de gestión de riesgos.
EDM04—Asegurar la
optimización de los recursos
Asegurar que se dispone de recursos adecuados y suficientes relacionadas con I&T (personas, procesos y tecnología)
EDM04.01 Evaluar la gestión de recursos.
Examinar y analizar continuamente la necesidad actual y futura de recursos empresariales y de I&T
EDM04.02 Dirigir la gestión de recursos.
Asegurar la adopción de principios de gestión de recursos para permitir un uso
óptimo de los recursos empresariales
EDM04.03 Monitorizar la gestión de recursos.
Monitorizar las metas y las métricas clave de los procesos de gestión de recursos.
EDM05—Asegurar la
transparencia de las
partes interesadas
Asegurar que se identifica e involucra a las partes interesadas en el sistema de gobierno de I&T
EDM05.01 Evaluar el compromiso y los requisitos de reportes de las partes
interesadas
Examinar y evaluar continuamente los requisitos actuales y futuros de
compromiso y presentación de informes a las partes interesadas
EDM05.02 Dirigir el compromiso, la comunicación y reporte de las partes
interesadas.
Asegurar el establecimiento de participación, comunicación y reportes efectivos para las partes interesadas
EDM05.03 Monitorizar el compromiso de las partes interesadas.
Monitorizar los niveles de participación de las partes interesadas y la efectividad
de la comunicación con las partes interesadas.
COBIT 5
Estándares, marcos de
referencia y regulaciones
Contribución de la
comunidad
Público destinatario
Profesionales del mundo
empresarial
personas de negocio
Auditores
Seguridad
Gestión de riesgos
TI