El documento presenta la biografía y experiencia de Fabián Descalzo como Gerente de Gobierno, Riesgo y Cumplimiento. Tiene amplia experiencia en la implementación de normas de seguridad de la información y cumplimiento en empresas de diferentes industrias. También es profesor e instructor certificado en temas de gobierno y gestión de TI, seguridad de la información y marcos como COBIT 5 e ISO 27001.

1. 21/4/2017
1
Gestión de Aseguramiento Corporativo
Fabián Descalzo
Gerente de Gobierno, Riesgo y Cumplimiento
Gerente de Servicios y Soluciones en el área de Gobierno, Riesgo y Cumplimiento (GRC) en Cybsec by
Deloitte., con amplia experiencia en la implementación y cumplimiento de Leyes y Normativas Nacionales e
Internacionales en compañías de primer nivel de diferentes áreas de negocio en la optimización y
cumplimiento de la seguridad en sistemas de información, Gobierno de TI y Gobierno de Seguridad de la
Información.
Miembro del Comité Académico E-GISART 2016 de ISACA Buenos Aires Chapter, Miembro del Comité
Directivo del “Cyber Security for Critical Assets LATAM Summit” para Qatalys Global sección Infraestructura
Crítica (Gobiernos y empresas de América Latina en el sector de la energía, química, petróleo y gas),
Miembro del Comité Científico ARGENCON del IEEE (Institute of Electrical and Electronics Engineers),
Miembro del Comité Organizador CYBER 2015 de ISACA Buenos Aires Chapter, certificado en Dirección de
Seguridad de la Información (Universidad CAECE), IRCA ISMS Auditor | Lead Auditor ISO/IEC 27001,
instructor certificado ITIL Fundation v3-2011 (EXIN) y auditor ISO 20000 (LSQA-Latu) para TÜV Rheinland.
Columnista especializado en áreas de Gobierno, Seguridad y Auditoría, Informática en Salud y Compliance
en las revistas CISALUD, PERCEPCIONES (ISACA Montevideo Chapter), El Derecho Informático, CXO-
Community y MAGAZCITUM; y disertante para CXO-COMMUNITY, Consejo Profesional de Ciencias
Informáticas, ISACA Buenos Aires Chapter, ISACA MontevideoChapter.
Profesor del módulo 27001 del curso de “TI Governance, Uso eficiente de Frameworks”, y de la
“Diplomatura en Gobierno y Gestión de Servicios de TI” del Instituto Tecnológico Buenos Aires (ITBA) y
Profesor en Sistemas de Gestión TI y Seguridad de la Información para entidades certificadoras.
Perfil del disertante
Agenda
Fase 1 Fase 2 Fase 3
• COBIT 5, sus principios y
terminología
• Necesidades actuales de los
negocios relativas a las TI
• Motivos principales para
desarrollar COBIT 5
• Beneficios de usar COBIT 5 para
el negocio
• Arquitectura de productos COBIT
5
• Los 5 principios de COBIT 5 para
el gobierno y gestión de las TI de
las empresas
• Prácticas de mejora de control a
dispositivos
• Como los problemas de gestión
de TI están afectando a las
organizaciones
• Cómo COBIT 5 facilita el
gobierno y gestión integrales de
las TI en toda la empresa
• Cómo los procesos de COBIT 5 y
el Modelo de Referencia de
Procesos (PRM, por sus siglas en
inglés) permiten realizar los 5
principios y los 7 mecanismos
facilitadores (‘catalizadores’) de
gobierno y gestión
• Servicios de TI a clientes internos
• Lo esencial del ciclo de vida de
implantación del gobierno y
gestión TI.
• Cómo identificar y evaluar las
funciones y responsabilidades en
el proceso de evaluación de la
capacidad del proceso
• Conceptos del Modelo de
Evaluación de la Capacidad de
Procesos (PAM, por sus siglas en
inglés)
• Atributos principales de COBIT 5
PAM
Fuente: COBIT® 5 y sus definiciones, ISACA®, y las figuras de COBIT 5 son propiedadde ISACA © 2012 ISACA®

2. 21/4/2017
2
COBIT 5
Principios, terminologías y asociación con el
Gobierno, Riesgo y Cumplimiento
Nuestra información se relaciona en gran medida con nuestras operaciones
ejecutivas, interacciones con los clientes y con terceros.
Esta información se crea, usa, retiene, divulga y destruye, y se encuentra en
distintas formas y en numerosas aplicaciones.
La Tecnología juega un Papel Clave en esas actividades y se está convirtiendo en
parte integral de todos los aspectos de la vida personal y comercial
¿Cuáles son las funciones de la tecnologías en una empresa?
¿Cómo aprovechar la inversión en TIC?

3. 21/4/2017
3
Las Tecnologías de la información poseen los siguientes recursos:
• Los tangibles que están representados por los diferentes componentes
de la infraestructura física de TI.
• Los recursos humanos asociados a TI que incluye el conocimiento de
las herramientas técnicas y de gestión de las Tecnologías de la
información.
• Los intangibles asociados a TI, que están representados por los activos
de conocimiento, orientación al cliente y sinergias presentes en cada
organización.
Las Tecnologías de la información son capacidades organizativas creadas
por la interacción de los citados recursos
COBIT 5COBIT4.0/4.1COBIT3COBIT2COBIT1
2005/7200019981996 2012
Val TI 2.0
(2008)
Risk TI
(2009)
Único Marco Empresarial Completo
• Mantener información de calidad para apoyar las decisiones del
negocio.
• Generar un valor comercial de las inversiones habilitadas por la
Tecnología de la Información (TI), o sea: lograr metas estratégicas
y mejoras al negocio mediante el uso eficaz e innovador de la TI.
• Lograr una excelencia operativa mediante la aplicación eficiente y
fiable de la tecnología.
• Mantener el riesgo relacionado con TI a niveles aceptables.
• Optimizar el costo de la tecnología y los servicios de TI.
¿Cómo se logran estos beneficios con el fin de crear valor para las
partes interesadas de la organización?
9

4. 21/4/2017
4
• Para lograr valor para las partes interesadas de la Organización, se requiere
un buen gobierno y una buena administración de los activos de TI y de la
información.
• Los Directivos, Gerentes y Ejecutivos de las Organizaciones deben acoger la TI
como cualquier otra parte importante del negocio.
• Cada día aumentan y se complican más los requisitos externos, tanto legales
como de cumplimiento regulatorio y contractual, relacionados con el uso de
la información y la tecnología en la Organización, amenazando el patrimonio
si no se cumplen.
• COBIT5 proporciona un marco integral que ayuda a las Organizaciones a
lograr su metas y entregar valor mediante un gobierno y una administración
efectivos de la TI de la Organización.
10
• COBIT 5 se basa en un modelo revisado de referencia de procesos con un
nuevo dominio de gobernanza y varios procesos nuevos y modificados
que ahora cubren las actividades empresariales de extremo a extremo, es
decir, las áreas de funciones de negocios y TI.
• COBIT 5 consolida COBIT 4.1, Val TI y Risk TI en un solo marco y ha sido
actualizado para alinearse con las mejores prácticas actuales.
• COBIT 5 se basa en las versiones anteriores de COBIT y por lo tanto las
empresas también pueden basarse en lo que han desarrollado utilizando
versiones anteriores.
• El nuevo modelo puede utilizarse como una guía para ajustar según sea
necesario el propio modelo de proceso de la empresa (al igual que COBIT
4.1).
• COBIT 5 presenta cinco nuevos procesos de gobernanza que han
aprovechado y mejorado los enfoques COBIT 4.1, Val TI y Risk TI. Esta
guía:
• Ayuda a las empresas a perfeccionar y fortalecer las prácticas y
actividades del gobierno de TI a nivel ejecutivo de gestión
• Soporta la integración del gobierno de TI con las prácticas existentes
de gobierno corporativo alineado con ISO / IEC 38500
Alinear, Planear, Organizar (APO)
01 Gestionar el marco de gestión de TI.
02 Gestionar la estrategia.
03 Gestionar la arquitectura empresarial.
04 Gestionar la innovación.
05 Gestionar el portafolio.
06 Gestionar el presupuesto y los costes.
07 Gestionar los recursos humanos.
08 Gestionar las relaciones.
09 Gestionar los acuerdos de servicio.
10 Gestionar los proveedores.
11 Gestionar la calidad.
12 Gestionar el riesgo.
13 Gestionar la seguridad.
Construir, Adquirir, Implantar (BAI)
01 Gestionar programas y proyectos.
02 Gestionar la definición de requisitos.
03 Gestionar la identificación y construcción de
soluciones.
04 Gestionar la disponibilidad y la capacidad.
05 Gestionar la introducción del cambio organizativo.
06 Gestionar los cambios.
07 Gestionar la aceptación del cambio y la transición.
08 Gestionar el conocimiento.
09 Gestionar los activos.
10 Gestionar la configuración.
Entrega, Servicio, Soporte (DSS)
01 Gestionar operaciones.
02 Gestionar peticiones e incidentes de servicio.
03 Gestionar problemas.
04 Gestionar la continuidad.
05 Gestionar servicios de seguridad.
06 Gestionar controles de procesos de negocio
Supervisar, Evaluar y Valorar (MEA)
01 Supervisar, evaluar y valorar el rendimiento y la
conformidad.
02 Supervisar, evaluar y valorar el sistema de control
interno.
03 Supervisar, evaluar y valorar la conformidad con
los requerimientos externos

5. 21/4/2017
5
Evaluar, Dirijir y Monitorear Procesos para el Gobierno Corporativo de TI
Procesos para la Administración de TI Corporativa
Alinear, Planear y Organizar
Construir, Adquirir e Implementar
Entregar, Servir y Dar Soporte
Monitorear, Evaluar
y Valorar
EDM01 Asegurar
que se fija el Marco
de Gobierno y su
Mantenimiento
EDM02 Asegurar
la Entrega de Valor
EDM03 Asegurar
la Optimización de
los Riesgos
EDM04 Asegurar
la Optimización de
los Recursos
EDM05 Asegurar
la Transparencia a
las partes
interesadas
APO01 Administrar
el Marco de la
Administración de TI
APO02 Administrar
la Estrategia
APO04 Administrar
la Innovación
APO03 Administrar
la Arquitectura
Corporativa
APO05 Administrar
el Portafolio
APO06 Administrar
el Presupuesto y los
Costos
APO07 Administrar
el Recurso Humano
APO08 Administrar
las Relaciones
APO09 Administrar
los Contratos de
Servicios
APO11 Administrar
la Calidad
APO10 Administrar
los Proveedores
APO12 Administrar
los Riesgos
APO13 Administrar
la Seguridad
BAI01 Administrar
Programas y
Proyectos
BAI02 Administrar
la Definición de
Requerimientos
BAI04 Administrar la
Disponibilidad y
Capacidad
BAI03 Administrar
la Identificación y
Construcción de
Soluciones
BAI05 Administrar la
Habilitación del
Cambio
BAI06 Administrar
Cambios
BAI07 Administrar la
Aceptación de
Cambios y
Transiciones
BAI08 Administrar el
Conocimiento
BAI09 Administrar
los Activos
BAI10 Admnistrar la
Configuración
DSS01 Administrar
las Operaciones
DSS02 Administrar
las Solicitudes de
Servicios y los
Incidentes
DSS04 Administrar
la Continuidad
DSS03 Administrar
Problemas
DSS05 Administrar
los Servicios de
Seguridad
DSS06 Administrar
los Controles en los
Procesos de Negocio
MEA01 Monitorear,
Evaluar y Valorar el
Desempeño y
Cumplimiento
MEA02 Monitorear,
Evaluar y Valorar el
Sistema de Control
Interno
MEA03 Monitorear,
Evaluar y Valorar el
Cumplimiento con
Requisitos Externos
Proceso Descripción Información
APO13 Gestionar la seguridad Política de SGSI
Política de cumplimiento
Política de gestión de activos
APO10 Gestionar los proveedores Política de gestión de proveedores
DSS02 Gestionar las peticiones y los
incidentes del servicio
Política de respuesta a incidentes
APO12 Gestionar el riesgo Política de gestión de riesgos
DSS03 Gestionar los problemas Políticas para tratar las causas raíz
DSS04 Gestionar la continuidad Política de continuidad de negocio
DSS01 Gestionar las operaciones Política de gestión de operaciones y comunicaciones
Política de Seguridad física y ambiental
APO07 Gestionar los recursos humanos Política de seguridad de información personal
Política de reglas de comportamiento
Políticas de confidencialidad debidamente firmadas
DSS05 Gestionar los servicios de
seguridad
Política de prevención de software malicioso
Política de conectividad
Política de control de acceso
Política de seguridad para dispositivos de usuario final
Se identifican las políticas por medio de los procesos identificados como prioritarios
Ayuda a las empresas a crear valor óptimo de TI mediante el
mantenimiento de un equilibrio entre la obtención de
beneficios y la optimización de los niveles de riesgo y el uso de
los recursos
Permite que la información y la tecnología
relacionada sean gobernadas y
administradas de manera integral para el
conjunto de la empresa, de extremo a
extremo del negocio y áreas funcionales
de responsabilidad, teniendo en cuenta
los intereses relacionados con la TI de
grupos de interés internos y externos
Los principios y los facilitadores de COBIT 5 son de carácter
genérico y útil para las empresas de todos los tamaños, sin
importar su industria

6. 21/4/2017
6
Entorno
Productivo
Registros y
Controles
GOBIERNO
DE TI
a) Evaluar el uso actual y futuro de TI.
b) Preparación directa y la aplicación de planes y políticas para garantizar que el uso de
las TI cumple con los objetivos de negocio.
c) Monitorear la conformidad de las políticas, y el desempeño contra los planes.
• El producto principal COBIT 5, es de amplia cobertura
• Contiene el resumen ejecutivo y la descripción completa de
todos los componentes del marco de COBIT 5:
• Los 5 Principios de COBIT 5
• Los 7 Habilitadores de COBIT 5, más:
• Una introducción a la guía de implementación
proporcionada por ISACA (Implementación de COBIT 5)
• Una introducción al Programa de Evaluación de COBIT
(que no se refiere específicamente al COBIT 5) y el
enfoque de la capacidad de los procesos que ISACA
adopta para COBIT.
Principios
de COBIT 5
1. Satisfacer
las
necesidades
de las partes
interesadas
2. Cubrir la
Organización de
forma integral
3. Aplicar un
solo marco
integrado
4. Habilitar
un enfoque
holistico
5. Separar el
Gobierno de la
Administración
Un sistema y sus
propiedades se
analizan como un todo,
de una manera global e
integrada
Reúne a los cinco principios que permiten a la empresa de construir una gobernabilidad efectiva y
un marco de gestión basado en un conjunto holístico de siete facilitadores que optimiza la
información y la inversión en tecnología y el uso para el beneficio de las partes interesadas

7. 21/4/2017
7
Satisfacer las Necesidades de las Partes Interesadas
• Las Organizaciones tienen muchas partes
interesadas y “crear valor” significa cosas
diferentes – a veces conflictivas – para
cada una de ellas.
• En el Gobierno se trata de negociar y
decidir entre los diversos intereses de
beneficio de las diferentes partes
interesadas.
• El sistema de Gobierno deberá considerar
a todas las partes interesadas al tomar
decisiones con respecto a la evaluación
de riesgos, los beneficios y el manejo de
recursos.
• Para cada decisión se puede, y se deben, hacer las siguientes preguntas:
• ¿Quién recibe los beneficios?
• ¿Quién asume el riesgo?
• ¿Qué recursos se necesitan?
 Las necesidades de las Partes
Interesadas deben ser
transformadas en una estrategia
accionable para la Organización.
 Las metas en cascada de COBIT 5
traducen las necesidades de las
Partes Interesadas en metas
específicas, accionables y
personalizadas dentro del contexto
de la Organización, de las metas
relacionadas con la TI y de las
metas habilitadoras.
Los beneficios de las Metas en Cascada de COBIT 5:
• Permite definir las prioridades para implementar, mejorar y
asegurar el gobierno corporativo de la TI, en base de los
objetivos (estratégicos) de la Organización y los riesgos
relacionados:
• En la práctica, las metas en cascada:
• Definen los objetivos y las metas tangibles y relevantes,
en diferentes niveles de responsabilidad.
• Filtran la base de conocimiento de COBIT 5, en base de
las metas corporativas para extraer una orientación
relevante para la inclusión en los proyectos específicos
de implementación, mejora o aseguramiento.
• Claramente identifican y comunican qué importancia
tienen los habilitadores (algunas veces muy
operacionales) para lograr las metas corporativas.

8. 21/4/2017
8
Una empresa ha definido una cantidad de metas corporativas para sí misma, entre las que la
satisfacción del cliente es la más importante. A partir de aquí, quiere conocer todos los aspectos
relativos a Ti que necesita mejorar.
La empresa decide que establecer la satisfacción del cliente como una prioridad clave equivale a
elevar la prioridad de las siguientes metas corporativas (de la figura 5):
• 6. Cultura de servicio orientada al cliente
• 7. Continuidad y disponibilidad del servicio del negocio
• 8. Respuestas ágiles a un entorno de negocios cambiante
La empresa ahora da el siguiente paso en la casada de metas: analizando qué metas relacionadas
con TI corresponden a estas metas corporativas. En el apéndice B se puede encontrar una
sugerencia de alineamiento entre ellas.
A partir de ahí, se sugieren como más importantes las siguientes metas relacionadas con TI (todas
con relaciones `P`):
• 01 Alineamiento de TI y la estrategia del negocio
• 04 Gestión de los Riesgos de negocio de acuerdo con las TI gestionados
• 07 Entrega de servicios de TI en línea con los requisitos del negocio
• 09 Agilidad de TI
• 10 Seguridad de la información, infraestructuras de procesamiento y aplicaciones
• 14 Disponibilidad de información útil y relevante para la toma de decisiones
• 17 Conocimiento, experiencia e iniciativas para la innovación en el negocio

9. 21/4/2017
9
Después de realizar un análisis de las necesidades de las partes interesadas, una empresa decide
que la sostenibilidades una estrategia prioritaria. A partir de ahí, la sostenibilidad no sólo incluye
objetivos medioambientales, sino todos los aspectos que contribuyen a la existencia a largo plazo
de la empresa.
Basándose en los resultados del análisis de necesidades de las partes interesadas, la empresa
decide enfocarse en los cinco objetivos siguientes, añadiendo algunas especificaciones de los
objetivos más en profundidad:
• 1. Valor para las partes interesadas de las inversiones del negocio, especialmente para los
grupos de interés de la sociedad
• 4. Cumplimiento de leyes y regulaciones externas, con foco en las leyes medioambientales
y leyes que traten sobre normativas laborales dentro de acuerdos de externalización
• 8. Respuesta ágil a un entorno de negocios cambiante
• 16. Personas preparadas y motivadas, reconociendo que el éxito de la empresa depende
de sus personas.
• 17. Cultura de innovación de producto y negocio, con foco en las innovaciones a largo
plazo.
• ¿Cómo consigo valor del uso de TI? ¿Están los usuarios finales satisfechos con la
calidad del servicio de TI?
• ¿Cómo gestiono el rendimiento de TI?
• ¿Cómo puedo explotar mejor las nuevas tecnologías para nuevas oportunidades de
negocio?
• ¿Cómo construyo y estructuro mejor mi departamento de TI?
• ¿Cuánto dependo de los proveedores externos? ¿Estoy gestionando bien los
contratos de externalización de TI?
• ¿Cómo obtengo aseguramiento sobre los proveedores externos?
• ¿Cuáles son los requisitos (de control) para la información?
• ¿Considero todos los riesgos relativos a TI?
• ¿Estoy realizando una operación de TI eficiente y resiliente?
• ¿Cómo controlo el coste de TI? ¿Cómo utilizo los recursos de TI de la manera más
efectiva y eficiente?
• ¿Cuáles son las opciones de aprovisionamiento más efectivas y eficientes?
• ¿Tengo suficiente personal para TI? ¿Cómo puedo desarrollar y mantener sus
habilidades y cómo gestiono su rendimiento?
• ¿Cómo consigo aseguramiento sobre TI?
• ¿Está bien asegurada la información que se está procesando?
• ¿Cómo puedo mejorar la capacidad de respuesta del negocio mediante un entorno
de TI más flexible?
• ¿Fracasan los proyectos de TI en proporcionar lo que habían prometido? Si es así,
¿por qué? ¿Está siendo TI un obstáculo para ejecutar la estrategia de negocio?
• ¿Cuán críticas son las TI para la sostenibilidad de la empresa? ¿Qué haría si las TI no
estuvieran disponibles?
• ¿Qué procesos de negocio críticos dependen de TI y cuáles son los requerimientos
de los procesos de negocio?
• ¿En cuánto han excedido de media los presupuestosde operación de TI? ¿Con qué
frecuencia y cuánto se salen del presupuesto los proyectos de TI?
• ¿Qué parte del esfuerzo de TI se dedica a apagar fuegos en lugar de facilitar las
mejoras del negocio?
• ¿Son suficientes los recursos y la infraestructura de TI disponibles para conseguir los
objetivos estratégicos de empresa requeridos?
• ¿Cuánto se tarda en la toma de decisiones importantes de TI?
• ¿Son transparentes el esfuerzo y las inversiones totales en TI?
• ¿Respalda TI a la empresa en el cumplimiento de la normativa y los niveles de
servicio? ¿Cómo puedo saber si se cumple con todas las normas aplicables?

10. 21/4/2017
10
• ¿Cómo sé que las operaciones de mi aliado de negocio son seguras y fiables?
• ¿Cómo sé que la empresa cumple con las normativas y regulaciones aplicables?
• ¿Cómo sé que la empresa está manteniendoun sistema efectivo de control interno?
• ¿Los aliados del negocio mantienen bajo control la cadena de información entre ellos?
• COBIT 5 se concentra en el gobierno y la administración de la
tecnología de la información y relacionadas desde una perspectiva
integral a nivel de toda la Organización.
• Esto significa que COBIT 5:
• Integra el gobierno de la TI corporativa en el gobierno
corporativo, o sea, el sistema de gobierno para la TI
corporativa propuesto por COBIT 5 se integra, de una manera
fluida, en cualquier sistema de gobierno, toda vez que COBIT 5
está alineado a los últimos desarrollos en gobierno
corporativo.
• Cubre todas las funciones y los procesos dentro de la
Organización; COBIT 5 no solamente se concentra en la
“Función de la TI”, sino trata la tecnología de la información y
relacionadas como activos que necesitan ser manejados como
cualquier otro activo, por todos en la Organización.
Cubrir la Organización de forma integral
Los Componentes
Claves de un
Sistema de
Gobierno
Objetivo del Gobierno: Creación de Valor
Realización
de Beneficios
Optimización
de Riesgos
Optimización
de Recursos
Habilitadores
de Gobierno
Alcance del
Gobierno
Roles, Actividades y Relaciones
Dueños y
Partes
Interesadas
Ente
Regulador
Administración
Operaciones
y
Ejecución
Roles, Actividades y Relaciones
Delegan Fijar
Directivas
MonitorearRendición de
Cuentas
Informar
Instruir y
Alinear

11. 21/4/2017
11
COBIT 5 es un marco de referencia único e integrado porque:
• Se alinea con otros estándares y marcos de referencia relevantes y, por tanto,
permite a la empresa usar COBIT 5 como el marco integrador general de gestión y
gobierno.
• Es completo en cuanto a la cobertura de la empresa, proporcionandouna base
para integrar de manera efectiva otros marcos, estándares y prácticas utilizadas. Un
marco general único sirve como una fuente consistentee integrada de guía en un
lenguaje común, no-técnico y tecnológicamenteagnóstico.
• Proporciona una arquitectura simple para estructurar los materiales de guía y
producir un conjunto consistente.
• Integra todo el conocimiento disperso previamente en los diferentes marcos de
ISACA. ISACA ha investigado las áreas clave del gobierno corporativo durante
muchos años y ha desarrollado marcos tales como COBIT, Val TI, Risk TI, BMIS, la
publicación Información sobre Gobierno de TI para la Dirección (Board Briefing on
TI Governance) e ITAF para proporcionarguía y asistencia a las empresas. COBIT 5
integra todo este conocimiento
• COBIT 5 está alineado con los últimos marcos y normas
relevantes usados por las organizaciones:
• Corporativo: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC
31000
• Relacionado con TI: ISO/IEC 38500, ITIL, la serie
ISO/IEC 27000, TOGAF, PMBOK/PRINCE2, CMMI
• Así se permite a la Organización utilizar COBIT 5 como
integrador macro en el marco de gobierno y
administración.
• ISACA está desarrollando el modelo de capacidad de los
procesos para facilitar al usuario de COBIT el mapeo de las
prácticas y actividades contra lo marcos y normas de
terceros.
Aplicar un único marco integrado

12. 21/4/2017
12
Desempeño
Metas del Negocio
Conformidad
SOX, LOPD, etc
Tablero de
Control
COSO
ISO 38500 - COBIT
ISO 22301 ISO 27000 ISO 20000
Continuidad
de Negocio
Guías de
Seguridad
ITIL
• Impulsados por las
metas en cascada, o sea:
las metas de alto nivel
relacionadas con la TI
definen qué deberían
lograr los diferentes
habilitadores.
• Descritos por el marco
de COBIT 5 en siete
categorías.
Habilitar un enfoque holístico
Los Habilitadores de COBIT 5 son:
• Factores que, individual y colectivamente, influyen sobre si algo
funcionará – en el caso de COBIT, Gobierno y Administración
sobre la TI corporativa.
Un sistema y sus propiedades se analizan como un todo, de una manera
global e integrada
1. Procesos – Describen una serie organizada de prácticas y actividades para lograr determinados
objetivos y producir una serie de resultados como apoyo al logro de las metas globales
relacionadas con la TI.
2. Estructuras Organizacionales – Constituyen las entidades claves para la toma de decisiones en
una organización.
3. Cultura, Ética y Comportamiento– De los individuos así como de la organización; se subestima
frecuentemente como factor de éxito en las actividades de gobierno y administración.
4. Principios, Políticas y Marcos – Son los vehículos para traducir el comportamiento deseado en
una orientación práctica para la administración diaria.
5. Información – Se encuentra presente en todo el ambiente de cualquier organización; o sea se
trata de toda la información producida y usada por la Organización. La información es
requerida para mantener la organización andando y bien gobernada, pero a nivel operativo, la
información frecuentemente es el producto clave de la organización en si.
6. Servicios, Infraestructura y Aplicaciones – Incluyen la infraestructura, la tecnología y las
aplicaciones que proporcionan servicios y procesamiento de tecnología de la información a la
organización.
7. Personas, Habilidades y Competencias– Están vinculadas con las personas y son requeridas
para completar exitosamente todas las actividades y para tomar las decisiones correctas, así
como para llevar a cabo las acciones correctivas.

13. 21/4/2017
13
• Administración y Gobierno sistémico mediante habilitadores
interconectados – Para lograr los objetivos principales de la
Organización, siempre debe considerarse una serie interconectada
de habilitadores, o sea, cada habilitador:
• Necesita una entrada de otros habilitadores para ser
completamente efectivo, o sea, los procesos necesitan
información, las estructuras organizacionales necesitan
habilidades y comportamiento.
• Entrega un producto de salida a beneficio de otros
habilitadores, o sea, los procesos entregan información, las
habilidades y el comportamiento hacen que los procesos sean
eficientes.
• Esto constituye un principio CLAVE que surge del trabajo de
desarrollo de ISACA en el Modelo de Negocios para la Seguridad de
la Información (BMIS por su sigla en inglés).
Las Dimensiones Habilitadoras de COBIT 5
Todos los habilitadores tienen una serie de dimensiones comunes que:
• Proporcionan una manera común, sencilla y estructurada para tratar los habilitadores
• Permiten a una entidad manejar sus interacciones complejas
• Facilitan resultados exitosos de los habilitadores
GOBIERNO Y GESTIÓN DE LA EMPRESA TI
1. Proporcionar servicios TI operativos a todos los usuarios requiere
capacidades (infraestructura, aplicación) para los que son necesarios
personas con el conjunto de habilidades y comportamiento apropiados.
Varios procesos de entrega de servicio necesitan ser también
implementados, soportados por las estructuras organizativas adecuadas,
mostrando como todos los catalizadores son necesarios para una adecuada
entrega de servicio.
2. La necesidad de seguridad de la información requiere de la creación y
puesta en marcha de varias políticas y procedimientos. Estas políticas, por
su parte, requieren la implantación de varias prácticas relacionadas con la
seguridad. Sin embargo, si la cultura y ética de la empresa y del personal no
son apropiadas, los procesos y procedimientos de seguridad de la
información no serán efectivos.

14. 21/4/2017
14
• El marco de COBIT 5 plasma una distinción muy clara entre el Gobierno y la
Administración.
• Dichas disciplinas:
• Comprenden diferentes tipos de actividades
• Requieren diferentes estructuras organizacionales
• Cumplen diferentes propósitos
Separar el Gobierno de la Administración
El Gobierno asegura que se evalúan las
necesidades, condiciones y opciones de las
partes interesadas para determinar que se
alcanzan las metas corporativas
equilibradas y acordadas; estableciendo la
dirección a través de la priorización y la
toma de decisiones; y midiendo el
rendimiento y el cumplimiento respecto a
la dirección y metas acordadas.
El Gobierno asegura que se evalúan las
necesidades, condiciones y opciones de las
partes interesadas para determinar que se
alcanzan las metas corporativas
equilibradas y acordadas; estableciendo la
dirección a través de la priorización y la
toma de decisiones; y midiendo el
rendimiento y el cumplimiento respecto a
la dirección y metas acordadas.
La gestión planifica, construye, ejecuta
y controla actividades alineadas con la
dirección establecida por el cuerpo de
gobierno para alcanzar las metas
empresariales.
La gestión planifica, construye, ejecuta
y controla actividades alineadas con la
dirección establecida por el cuerpo de
gobierno para alcanzar las metas
empresariales.
• El Gobierno asegura que se evalúen las necesidades de las
partes interesadas, así como las condiciones y opciones,
para determinar los objetivos corporativos balanceados
acordados a lograr; fijando directivas al establecer
prioridades y tomar decisiones; así como monitorear el
desempeño, cumplimiento y progreso comparándolos
contra las directivas y objetivos fijados (EDM).
• La Administración planifica, construye, ejecuta y
monitorea las actividades conforme a las directivas fijadas
por el ente de Gobierno para lograr los objetivos de la
Compañía (PBRM por su sigla en inglés – PCEM).
COBIT 5 no es obligatorio, pero propone que las organizaciones
implementen los procesos de gobierno y administración de tal manera que
las áreas claves queden cubiertas, tal como se muestra a continuación:

15. 21/4/2017
15
• Una compañía puede organizar sus procesos como estime
conveniente, siempre y cuando queden cubiertos todos los
objetivos necesarios de gobierno y administración. Las
compañías más pequeñas podrán tener menos procesos, las
compañías más grandes y más complejas podrán tener
muchos procesos, todos para cubrir los mismos objetivos.
• COBIT 5 incluye un Modelo de Referencia de Procesos (PRM),
que define y describe en detalle un número de procesos de
administración y de gobierno. Los detalles de dicho modelo
habilitador específico pueden encontrarse en el Volumen de
COBIT 5: Procesos Habilitadores.

16. 21/4/2017
16
• COBIT 5: Procesos Habilitadores complementa COBIT 5 y
contiene una guía detallada de referencias a los procesos
definidos en el Modelo de Referencia de Procesos de COBIT
5:
• En el Capítulo 2 se recapitula las metas en cascada de
COBIT 5 y se complementa con una serie de métricas
ejemplo para las metas corporativas y las metas
relacionadas con la TI.
• En el Capítulo 3 se explica el Modelo de Procesos de
COBIT 5 y se definen sus componentes.
• En el Capítulo 4 se muestra el diagrama de dicho Modelo
de Referencias de Procesos.
• El Capítulo 5 contiene la información detallada de
procesos para todos los 37 procesos de COBIT 5 en el
Modelo de Referencias de Procesos.
Prácticas genéricas
para los procesos
• Prácticas del Proceso
• Actividadesdetalladas
• El Modelo de Referencia de Procesos de COBIT 5 subdivide las
actividades y prácticas de la Organización relacionadas con la
TI en dos áreas principales – Gobierno y Administración – con
la Administración a su vez dividida en dominios de procesos:
• El Dominio de GOBIERNO contiene cinco procesos de
gobierno; dentro de cada proceso se definen las prácticas
para Evaluar, Dirigir y Monitorear (EDM).
• Los cuatro dominios de la ADMINISTRACIÓN están
alineados con las áreas de responsabilidad de Planificar,
Construir, Operar y Monitorear (PBRM).

17. 21/4/2017
17
• La mejora del Gobierno Corporativo de la Tecnología de la
Información (GEIT) ha sido ampliamente reconocida por altos
directivos como una parte esencial del gobierno corporativo.
• La información y la presencia general de la tecnología de
información ocupan cada día una parte más importante de todo
aspecto de la vida comercial y pública.
• La necesidad de generar más valor de las inversiones en la
Tecnología y de administrar una gama creciente de riesgos
relacionados con la Tecnología nunca ha sido mayor que ahora.
• Una regulación y legislación cada vez más estricta sobre el uso
comercial de la información también impulsa una mayor
concientización de la importancia de un ambiente de TI bien
gobernado y administrado.
• ISACA ha desarrollado el marco de COBIT 5 para ayudar a las
compañías a implementar unos habilitadores de gobierno sanos. De
hecho, la implementación de un buen GEIT es casi imposible sin la
activación de un marco efectivo de gobierno. También están
disponibles las mejores prácticas y los estándares que soportan al
COBIT 5.
• Los marcos, mejores prácticas y normas son útiles solamente si son
adoptados y adaptados de manera efectiva. Hay que superar muchos
retos y resolver varios asuntos para poder implementar GEIT de
manera exitosa.
• COBIT 5: Implementación proporciona una guía de orientación acerca
de cómo hacerlo.
COBIT 5: Implementación cubre los siguientes asuntos:
• Posicionamiento de GEIT en la organización
• Adopción de los primeros pasos para mejorar GEIT
• Factores de éxito y retos para la implementación
• Habilitación del cambio de comportamiento y
organizacional relacionado con el GEIT
• Implementación de una mejora continua que incluye la
habilitación del cambio y la gestión del programa
• Uso de COBIT 5 y sus componentes.

18. 21/4/2017
18
Las 7 fases de la
Implementación del
Ciclo de Vida
COBIT
®
5 Implementación
Otras Guías
Profesionales
COBIT® 5 Ambiente Colaborativo En Línea
Guías de Habilitadores de COBIT® 5
COBIT
®
5:
Procesos Habilitadores
Otras Guías
Habilitadoras
COBIT ®
5
Información Habilitadora
COBIT
®
5
Para la Seguridad
de la Información
COBIT® 5
Para el
Aseguramiento
COBIT
®
5
Para Riesgos
COBIT
®
5:
Guias Profesionales de Orientación de COBIT® 5
La Familia de Productos de COBIT 5
La familia de productos de COBIT 5 incluye los siguientes productos:
• COBIT 5 (el marco de trabajo)
• Guías de catalizadores de COBIT 5, en las que se discuten en detalle los
catalizadores para el gobierno y gestión, estas
incluyen:
– COBIT 5: Información Catalizadora
– Información posibilitadora
– Otras guías de catalizadores (visitar www.isaca.org/cobit)
• Guías profesionales de COBIT 5, incluyendo:
– Implementación de COBIT 5
– COBIT 5 para Seguridad de la Información (en desarrollo)
– COBIT 5 para Aseguramiento
– COBIT 5 para Riesgos
– Otras guías profesionales (visitar www.isaca.org/cobit)
• Un entorno colaborativo online, que estará disponible para dar soporte al
uso de COBIT 5

19. 21/4/2017
19
Gestión del Cumplimiento:
Proceso que registra y monitoriza los controles, ya sean físicos, lógicos u
organizacionales, necesarios para permitir el cumplimiento de los mandatos
legislativos o industriales y las políticas internas
Gestión del Cumplimiento:
Proceso que registra y monitoriza los controles, ya sean físicos, lógicos u
organizacionales, necesarios para permitir el cumplimiento de los mandatos
legislativos o industriales y las políticas internas
Gobierno:
Proceso operativo que asegura la
adhesión de los procesos de TI y su
alineación estratégica el negocio,
evalúa necesidades de partes
interesadas, requisitos del negocio,
monitoreo del progreso del
cumplimiento de objetivos
acordados.
Gobierno:
Proceso operativo que asegura la
adhesión de los procesos de TI y su
alineación estratégica el negocio,
evalúa necesidades de partes
interesadas, requisitos del negocio,
monitoreo del progreso del
cumplimiento de objetivos
acordados.
Gestión del Riesgo:
Proceso de análisis que permite
establecer el nivel de tolerancia del
Negocio a sus riesgos asociados, y
ayuda a identificar los controles
internos adecuados que aseguran el
Gobierno y eficacia de Cumplimiento
de cada proceso de negocio.
Gestión del Riesgo:
Proceso de análisis que permite
establecer el nivel de tolerancia del
Negocio a sus riesgos asociados, y
ayuda a identificar los controles
internos adecuados que aseguran el
Gobierno y eficacia de Cumplimiento
de cada proceso de negocio.
Estas áreas de actividad están siendo progresivamente más alineados e integrados para
mejorar el rendimiento de la empresa y la entrega de las necesidades de las partes
interesadas.
ENTORNO = RIESGOS
CUMPLIMIENTO
Leyes, Regulaciones,Políticas Internas
Asociar las áreas
Legales, Auditoría y
Seguridad con las áreas
Funcionales y
Tecnológicas
GOBIERNO
Establecer procesos
funcionales y de
servicio tecnológico
protegidos, compliance
y pensados para El
Negocio
Reconocer los diferentes
riesgos y metodología
para su gestión

20. 21/4/2017
20
Interpretación
Conocimiento del
Negocio y sus
Regulaciones
Cultura interna de la
Organización
Identificación de
riesgos asociados al
Negocio
Implementación
Capacitación y
couching
Mejora del proceso de
Proyectos
Mejora de procesos de
servicio IT/SI
Mitigación de Riesgos
Remediación de
procesos funcionales y
entorno de producción
Gestión
Gestión de riesgos
Gobierno Corporativo
Gobierno de TI
Gobierno de SI
Gobierno de Proyectos
Gobierno Corporativo de Tecnología de Información
2.1 Principios
• Principio 1: Responsabilidad
• Principio 2: Estrategia
• Principio 3: Adquisición
• Principio 4: Desempeño
• Principio 5: Conformidad
• Principio 6: ComportamientoHumano
ETAPA DE CONOCIMIENTO
• Marco legal y regulatorio
• Certificaciones y Políticas Internas de la Organización
• Relevamiento de procesos de negocio
• Relevamiento de servicios TI y SI
• Relevamiento del Marco Normativo
• Análisis de cumplimiento
ETAPA DE CONOCIMIENTO
• Marco legal y regulatorio
• Certificaciones y Políticas Internas de la Organización
• Relevamiento de procesos de negocio
• Relevamiento de servicios TI y SI
• Relevamiento del Marco Normativo
• Análisis de cumplimiento
ETAPA DE ENTENDIMIENTO
• Mapeo adecuado de los procesos de Negocio
• Mapeo adecuado de los procesos de Servicio IT/SI
• Identificación de riesgos asociados al Negocio y los servicios
que lo soportan
• Identificación de documentos del Marco Normativo según
leyes y regulaciones
ETAPA DE ENTENDIMIENTO
• Mapeo adecuado de los procesos de Negocio
• Mapeo adecuado de los procesos de Servicio IT/SI
• Identificación de riesgos asociados al Negocio y los servicios
que lo soportan
• Identificación de documentos del Marco Normativo según
leyes y regulaciones
Conocimiento y Entendimiento del entorno del Negocio y de los servicios que
soportan sus procesos
Identificación de registros y controles
Mapeo adecuado de
los procesos de
Negocio
Mapeo adecuado de
los procesos de
Servicio IT/SI
Identificación de documentos
del Marco Normativo según
leyes y regulaciones
Adecuación de documentos del
Marco Normativo a los procesos
y regulaciones del Negocio
Nivel de Madurez de la Gestión de Gobierno y Cumplimiento
Identificación de riesgos asociados al entorno del Negocio y a los
servicios que soportan sus procesos

21. 21/4/2017
21
ETAPA DE CAPACITACIÓN
• Cumplimiento sobre el Marco legal, regulatorio y Políticas
Internas de la Organización
• Intervención y responsabilidades en procesos funcionales y de
servicio
• Selección de medios de comunicación para la capacitación y
concientización
ETAPA DE CAPACITACIÓN
• Cumplimiento sobre el Marco legal, regulatorio y Políticas
Internas de la Organización
• Intervención y responsabilidades en procesos funcionales y de
servicio
• Selección de medios de comunicación para la capacitación y
concientización
ETAPA DE REMEDIACIÓN
• Definición del proceso de gestión de riesgos
• Ejecución del plan de mitigación
• Adecuación del proceso de proyectos
• Adecuación de los procesos de Servicio IT/SI
• Adecuación de los sistemas en producción
• Definición de los procesos de Auditoría
ETAPA DE REMEDIACIÓN
• Definición del proceso de gestión de riesgos
• Ejecución del plan de mitigación
• Adecuación del proceso de proyectos
• Adecuación de los procesos de Servicio IT/SI
• Adecuación de los sistemas en producción
• Definición de los procesos de Auditoría
ALCANCE E INTERPRETACIÓN POR PÚBLICO DE INTERÉS
FuncionalesFuncionales
TécnicosTécnicos
Áreas
tecnológicasy
de seguridad
Áreas
tecnológicasy
de seguridad
Dirección y
Gerencia
Dirección y
Gerencia
Usuarios clave
y finales
Usuarios clave
y finales
Marco LegalMarco Legal
TRANSMÍSIÓN DE CONOCIMIENTO
Leyes y
Regulaciones
Leyes y
Regulaciones
Aspectos de
solución técnica
Aspectos de
solución técnica
Procesos de Servicio
adecuados o Nuevos
procesos
Procesos de Servicio
adecuados o Nuevos
procesos
Procesos Funcionales
adecuados o Nuevos
procesos
Procesos Funcionales
adecuados o Nuevos
procesos
ProyectosProyectos
RemediacionesRemediaciones
Revisiones y
Auditorías
Revisiones y
Auditorías

22. 21/4/2017
22
TRANSMÍSIÓN DE CONOCIMIENTO
Material de
concientización
Material de
concientización
Material de InducciónMaterial de Inducción
Plan de Capacitación
Anual
Plan de Capacitación
Anual
RRHHRRHH
Charlas,
workshops,
cursos
Charlas,
workshops,
cursos
Mails,
posters, etc.
Mails,
posters, etc.
• El marco COBIT 5 incluye la orientación necesaria para
apoyar los objetivos de GRC de la empresa y actividades de
apoyo:
• Actividades de gobierno relacionadas a GEIT (5 procesos)
• Procesos de gestión de riesgos y apoyo para la gestión de
riesgos a través del espacio GEIT
• Cumplimiento: un enfoque específico en las actividades de
cumplimiento en el marco y cómo encajan dentro de la
imagen completa de la empresa
• La inclusión de los acuerdos de GRC en el marco de negocio
para GEIT ayuda a las empresas a evitar el problema
principal con soluciones GRC -silos de actividad!

23. 21/4/2017
23
• Proceso
• Un grupo de actividades diseñadas para lograr un objetivo
específico. Describen acciones, dependencias y secuencias
• Características de los procesos
• Tiene entradas, actividades y salidas
• Puede incluir roles, responsabilidades, herramientas y
controles de la gestión
• Posee todos los elementos necesarios para lograr las
salidas definidas
Definición de Proceso
Modelo de Proceso
Proceso
Dueño
del Proceso
Dueño
del Proceso
Documentación
Proceso
Documentación
Proceso
Objetivos
del Proceso
Objetivos
del Proceso
Realimentación del
Proceso
Realimentación del
Proceso
Políticas del
Proceso
Políticas del
Proceso
Recursos
del Proceso
Activos
Recursos
del Proceso
Activos
Capacidades
del Proceso
Activos intangibles
Capacidades
del Proceso
Activos intangibles
Salidas del
Proceso
Salidas del
Proceso
Entradas del
Proceso
Entradas del
Proceso
ActividadesActividades Métricas
CSF/KPI
Métricas
CSF/KPI
RolesRoles
ProcedimientosProcedimientos Instrucciones de
Trabajo
Instrucciones de
Trabajo
MejorasMejoras
• Son cuantificables (medibles) y se basan en el
rendimiento.
• Tienen resultados específicos.
• Tienen un cliente final que es el receptor de dicho
resultado (Cliente interno o externo)
• Se inician como respuesta a un evento
Características que identifican un proceso

24. 21/4/2017
24
¿Dónde
queremos
estar?
¿Dónde
estamos
ahora?
¿Cómo
llegamos a
dónde
queremos?
¿Cómo
sabremos que
hemos
llegado?
Visión y
objetivos de
negocio
Evaluación
Cambio
Métricas
Modelodemejoramientocontinuodeprocesos
Indicadores de madurez en función de la misma clasificación utilizada por estándares
como ISO 15504 (Software Process Improvement Capability Determination):
# Definición del nivel
Nivel 0 Proceso incompleto: El proceso no existe o no cumple con los
objetivos
Nivel 1 Proceso ejecutado
Nivel 2 Proceso gestionado: el proceso no solo se encuentra en
funcionamiento, sino que es planificado, monitorizado y ajustado
Nivel 3 Proceso definido: el proceso, los recursos, los roles y
responsabilidades se encuentran documentadosy formalizado
Nivel 4 Proceso predecible: se han definido técnicas de medición de
resultados y controles
Nivel 5 Proceso optimizado: todos los cambios son verificados para
determinar el impacto, se han definido mecanismos para la mejora
continua, etc
COBIT 5
Gobierno y gestión integral de TI

25. 21/4/2017
25
La entrega y soporte de servicios se encuentran constituidos por
diversos procesos orientados a asegurar la eficacia y eficiencia
de los sistemas de información.
Valor
Resultados del
Negocio
Preferencias de
los Clientes
Percepciones de los
Clientes
Componentes del valor
LOS OCHO
PRINCIPIOS
DE LA
GESTION DE
LA CALIDAD
Planteamiento de
sistema para la
gestión
Enfoque a cliente
Implicación de las
personas
Liderazgo
Relaciones con los
suministradores
Mejora Continua
Un enfoque de este tipo enfatiza la
importancia de:
1.La comprensión y el cumplimiento
de los requisitos.
2.La necesidad de considerar los
procesos en términos que aporten
valor.
3.La obtención de resultados del
desempeño y eficacia del proceso.
4.La mejora continua de los
procesos con base en mediciones
objetivas
ISO 20000
ISO 27001
ISO 9001
Auditoría Interna
Gestión de reportes
Acciones correctivas y preventivas
Gestión Documental
Organización de Recursos Humanos
Auditoría Interna
Gestión de reportes
Acciones correctivas y preventivas
Gestión Documental
Organización de Recursos Humanos
Enfoque basado en procesos
Administración de suministros
Satisfacción al Cliente
Calidad de Servicios
Enfoque basado en procesos
Administración de suministros
Satisfacción al Cliente
Calidad de Servicios
Gestión de Incidentes
Gestión de Cambios
Disponibilidad,Continuidad,
Seguridad y Capacidad
Gestión de Incidentes
Gestión de Cambios
Disponibilidad,Continuidad,
Seguridad y Capacidad
DesarrolloDesarrollo

26. 21/4/2017
26
SEGURIDAD
PROCESOS FUNCIONALES
PROCESOS TECNOLÓGICOS
SISTEMAS DE GESTIÓN
CALIDAD
ISO 27001 – Seguridad de la Información
ISO 20000 – Servicios de TI
Disponibilidad, incidencias,
recuperación, contratos,
continuidad, etc.
ISO/IEC 27013:2015. Guía de
implementación integrada de
ISO/IEC 27001 e ISO/IEC 20000-1
Evolución en la Gestión de Servicios TI
Foco en la Tecnología Foco en el Negocio
TradicionalADemanda
TI como Tecnología
RECURSOS
TI como un Centro de Costos
SISTEMAS
TI como un negocio
SERVICIOS TI
Tradicional
• Foco en Tecnología
• Administrar Infraestructura
• Usuarios
• Modalidad “Bombero”
• Reactivo
• Islas
• Procesos informales
Tradicional
• Foco en Tecnología
• Administrar Infraestructura
• Usuarios
• Modalidad “Bombero”
• Reactivo
• Islas
• Procesos informales
Gestión de Servicios
• Foco en el Negocio
• Proveer Servicios
• Clientes
• Prevención y Control
• Proactivo
• Integrado
• Estandarización y mejores prácticas
Gestión de Servicios
• Foco en el Negocio
• Proveer Servicios
• Clientes
• Prevención y Control
• Proactivo
• Integrado
• Estandarización y mejores prácticas
Cambio en el enfoque de procesos

27. 21/4/2017
27
• Establecery comunicar el alcance
• Adhesión a la política de calidad
• Importancia de satisfacerlos
requisitos del servicio, legales,
regulatorios y contractuales
• Asegurar la provisión de recursos
• Realizar revisiones de la gestión
• Asegurar que los riesgos se
evalúen y gestionen
• Adecuada para el propósito del
servicio
• Incluir la satisfacción de los
requisitos del servicio
• Incluir un compromisocon la
mejora continua
• Establecerun marco para el
establecimientoy revisión de los
objetivos de gestión del servicio
Gobierno de procesos operados por terceras partes
El prestador de servicios identificará todos los procesos, o parte de procesos, cuyos
requisitos sean especificados en las cláusulas de 5 a 9 y que sean operados por otras
partes. Esas otras partes pueden ser grupos internos, clientes o proveedores.
El prestador de servicios demostrarácontrol de gestión (gobierno), sobre
procesos operados por otras partes:
• Demostrandoresponsabilidad del proceso y autoridad para exigir adherencia al
proceso;
• Controlando la definición de los procesos, e interfaces
• Con otros procesos (los enunciados en las Cláusulas de 5 a 9);
• Determinando la eficiencia del proceso, su efectividad
Y conformidadcon los requisitos del proceso;
• Controlando la planificación y priorización de mejoras del proceso.
PLAN
Plan gestión
de servicios
DO
Implementar
gestión de
servicios
ACT
CHECK
Monitorear,
medir,
revisar
ACT
Mejora
continua
Requerimientosde
negocio
Requerimientosde
negocio
Requerimientosdel
cliente
Requerimientosdel
cliente
Requerimientospara
cambios / habilitación
de servicios
Requerimientospara
cambios / habilitación
de servicios
Otros procesos,
negocios proveedores,
clientes
Otros procesos,
negocios proveedores,
clientes
Service deskService desk
Otro teams, ej:
seguridad, TI
operations,
Otro teams, ej:
seguridad, TI
operations,
Resultados de negocio
Satisfacción del
cliente
Serviciosnuevos /
modificados
Otros procesos,
negocios proveedores,
clientes
Satisfacción de los
equiposde trabajo y
de las personas

28. 21/4/2017
28
La Gestión de Servicios de
Tecnología define procesos y
procedimientos para la prestación y
el soporte de servicios de TI de
calidad dentro de costospermitidos,
que soportan a su vez los procesos
de negocio de la organización
Pilares de la gestión de TI
Pilares de la gestión de TI
Un Servicio es un medio para
entregar valor a los Clientes al facilitar
los resultados que esperan obtener.
Proceso es un grupo de actividades
diseñadas para lograr un objetivo
específico. Describen acciones,
dependencias y secuencias; tiene
entradas, actividades y salidas, puede
incluir roles, responsabilidades,
herramientas y controles de la
gestión; y posee todos los elementos
necesarios para lograr las salidas
definidas
Propietario del Servicio
Responsable de la entrega de un
servicio.
Es responsable ante el cliente de:
iniciación, transición, mantenimiento,
soporte e identificar oportunidades de
mejora.
Propietario del Proceso
Responsable de asegurar que el
proceso sea consistente con el
propósito, se cumpla el estándar
acordado y que se cumplan los
objetivos definidos para el proceso.
Gestor del Proceso
Es el responsable de la gestión
operativa del proceso, con sus
responsabilidades se busca la garantía
del proceso.
Profesional del Proceso
Responsable de llevar a cabo una o
más actividades del proceso,
contribuye a crear valor para el
negocio y garantiza que entradas,
salidas e interfaces son las adecuadas
para el proceso.

29. 21/4/2017
29
Modelo de
Negocio
Modelo de
Negocio
Usuariosdel
Servicio
Usuariosdel
Servicio
PatronesdeusoPatronesdeuso
VisiónyalcanceVisiónyalcance
Diseño del ServicioDiseño del Servicio
Diseño y ArquitecturaDiseño y Arquitectura
Capacidady
disponibilidad
Capacidady
disponibilidad
ContinuidadContinuidad
SeguridadSeguridad
Análisisydiseño
aplicativo
Análisisydiseño
aplicativo
NiveldeServicioNiveldeServicio
Construcción del
Servicio
Construcción del
Servicio
Montaje de
infraestructura
Montaje de
infraestructura
HDWySFWde
base
HDWySFWde
base
ComunicacionesComunicaciones
Construcción
de software
Construcción
de software
DesarrolloDesarrollo
PruebasPruebas
Especificación del
Servicio
Requisito de
Nivel de
Servicio (SLR)
Requisito de
Nivel de
Servicio (SLR)
Acuerdo de
Nivel de
Servicio (SLA)
Acuerdo de
Nivel de
Servicio (SLA)
Acuerdo de
Nivel de
Operación
(OLA)
Acuerdo de
Nivel de
Operación
(OLA)
Contratos de
Soporte (UC)
Contratos de
Soporte (UC)
• Establecer políticas y objetivos
• Estudiar estos objetivos y expectativas generales del negocio para
que su estrategia defina la de TI, garantizando esta relación siendo
la estrategia de TI su soporte
• La Gestión de Servicios se transforma en un Activo estratégico y
debe pensarse y gestionarse de manera estratégica
• Relación entre Servicios - Sistemas – Procesos y el modelo de
negocio con sus estrategias y objetivos
Estrategia del Servicio
Tratar la gestión de servicios no sólo como una capacidad
sino como un activo estratégico

30. 21/4/2017
30
Alcance
• Desarrollo de los servicios como activos
• Implementación de la estrategia a través del Ciclo de vida del Servicio y
Gestión Financiera
• Gestión del Portfolio de Servicios y Gestión de la Demanda
• Desarrollo Organizacional y Gestión estratégica de Riesgos
• Las organizaciones usan esta guía para:
• Definir objetivos y expectativas de performance del cliente
• Definir y seleccionar oportunidades
• Permite asegurar que las organizaciones estén en posición de manejar el
costo y riesgo asociados a sus Portfolios de servicios, no solo en lo
operacional
• Comienza con un conjunto de requisitos de negocio nuevos o
modificados, para incrementar o mantener el valor para los
Clientes en el ciclo de vida del servicio
• Termina con el desarrollo de una solución diseñada para
satisfacer las necesidades documentadas del negocio
• Es una guía para el diseño y desarrollo de servicios nuevos o
modificados, para su introducción en el entorno real, como una
solución que cubra las necesidades del negocio
Cubre los principios y métodos necesarios para
transformar los objetivos estratégicos en portafolios de
servicios y activos
Diseño del Servicio
Alcance
Diseño de:
• Servicios nuevos y modificados
• Portfolio y Catálogo de Servicios
• Arquitectura tecnológica y
sistemas de gestión
• Procesos
• Métodos de medición y métricas
• Capacitación
• Seguridad y backup & recovery
• Cargos y asignación de roles
Valor para el Negocio
• Reducción de los costos
involucrados en la administración
de la infraestructura de
tecnología en las empresas (TCO -
costo total de propiedad)
• Mejora la calidad del servicio
• Más fácil implementación de
servicios nuevos o modificados
• Mejor alineación del servicio con
el negocio
• Mejoras en TI governance
• Más efectividad en Service
Management
• Mejor información para la toma
de decisiones

31. 21/4/2017
31
• Se ocupa de la gestión de cambios, riesgos y aseguramiento de
calidad
• Implementación de los diseños, para que las operaciones puedan
gestionar los servicios y la infraestructura de manera controlada
• Planeamiento e implementación de todos los releases para crear
un nuevo servicio o modificar uno existente
• Seguimiento desde testing hasta la implementación en el
ambiente de producción
• Reducción de los errores conocidos, riesgos asociados a la
transición y variaciones entre rendimiento planeado y real, al
momento de la transición
Transición del Servicio
Cubre el proceso de transición para la implementación de
nuevos servicios o su mejora.
Alcance
• Gestiona y coordina los procesos, sistemas y funciones para:
• Construcción, Testing y pasaje a producción
• Establecer los servicios según los requerimientos acordados con el
Cliente y las partes interesadas
• Guía para:
• Desarrollar y mejorar las capacidades para la transición de los
servicios nuevos o modificados hacia la operación
• Transferir los servicios desde o hacia un proveedor externo de
servicios
• Convertir los requerimientos de Estrategia del Servicio en Servicios
diseñados y en operación, mientras se controlan los riesgos de falla
y disrupción.
Valor parael negocio
• Habilidad para reaccionar rápidamente en un entorno competitivo
• Gestión de situaciones de adquisiciones, transferencias, outsourcing de
servicios
• Alta tasa de éxito en los cambios y pasajes a producción
• Mejor definición de niveles de servicio y garantías
• Más confianza en el gobierno de TI y el cumplimiento de normas
regulatorias
• Mejor estimación para el planeamiento y presupuesto de recursos
• Mejora en la productividad del negocio y de TI
• Ahorro de tiempo durante todo el ciclo de vida
• Reducción del nivel de riesgo

32. 21/4/2017
32
• Se ocupa de las actividades del negocio comunes, cumpliendo
los objetivos estratégicos, a través de la operación
• Coordina y ejecuta las actividades del día a día y entrega y
administra los Niveles de servicio
• Gestiona en forma continua la tecnología usada para entrega y
soporte de los servicios
• Si existen planes, ejecuta y mide el diseño y la optimización
• Métodos y herramientas en dos perspectivas: reactiva y
proactiva
Operación del Servicio
Cubre las mejores prácticas para la gestión del día a día en
la operación del servicio.
ALCANCE
Gestión continua (Ongoing
management):
• Los servicios
• Los procesos asociados a
los servicios
• Tecnología
• Personas
Valor para el negocio
• Concreción del real valor de la
estrategia, diseño, y transición hacia
los clientes y usuarios
• El negocio comienza a depender del
Servicio brindado por TI
• Expectativa de mantenerse dentro de
los objetivos presupuestarios
• Claridad para detectar necesidades de
financiamiento adicional para corregir
defectos imprevistos o mejorar la
eficiencia de la operación del servicio,
aún aunque lleve cierto tiempo de
puesto en marcha
• Buscar continuamente la alineación de los servicios TI a las
necesidades del negocio, identificando e implementando
mejoras
• Buscar formas de mejorar la eficiencia y efectividad de los
procesos en un equilibrio de costos
Mejora continua
Proporciona una guía para la creación y mantenimiento
del valor ofrecido a los clientes a traces de un diseño,
transición y operación del servicio optimizado.
Proporciona una guía para la creación y mantenimiento
del valor ofrecido a los clientes a traces de un diseño,
transición y operación del servicio optimizado.

33. 21/4/2017
33
Alcance
• Guía en la creación y
mantenimiento de valor para
clientes a través un mejor
diseño y operación de los
servicios
• Incluye principios, prácticas y
métodos de gestión de calidad,
gestión de cambios y mejoras en
la capacidad
• Vinculación entre los esfuerzos
de mejora con la estrategia de
servicios, diseño y transición
• Loop basado en el modelo Plan,
Do, Check, Act (PDCA)
• Alineación del Portfolio de
servicios con las necesidades del
negocio
• Lograr madurez de los procesos
Valor para el negocio
• Mejoras en la calidad del
servicio, más alta disponibilidad
• Reducción gradual de los costos y
mejor justificación de los mismos
• Mejor información sobre los
servicios existentes y las áreas de
mejora
• Mejor alineación entre el negocio
e TI
• Mayor flexibilidad y
adaptabilidad
• Comunicación más efectiva
• Mejoras en ROI (Return on
Investment) y VOI (Value on
Investment)
TI como proveedor de servicios
Centro de servicio al usuario (CSU)
El objetivo principal de un centro de
servicio al usuario es proporcionar un
único punto de contacto entre los
servicios prestados y los usuarios.
Centro de servicio al usuario (CSU)
El objetivo principal de un centro de
servicio al usuario es proporcionar un
único punto de contacto entre los
servicios prestados y los usuarios.
Gestión Técnica
Ayudar a planificar, implementar y
mantener una infraestructuratécnica
estable que proporcione soporte a los
procesos de negocio de la organización.
Gestión Técnica
Ayudar a planificar, implementar y
mantener una infraestructuratécnica
estable que proporcione soporte a los
procesos de negocio de la organización.
Gestión de Operaciones TI
Hace referencia al departamento, grupo o
equipo de personas encargado de realizar las
actividades diarias de la organización.
Se puede dividir en dos áreas:
• Control de Operaciones de TI
(administración y operación de la
infraestructura)
• Gestión de Instalaciones (Gestión del
entorno físico, por ejemplo centros de
datos, salas, equipos de refrigeración.)
Gestión de Operaciones TI
Hace referencia al departamento, grupo o
equipo de personas encargado de realizar las
actividades diarias de la organización.
Se puede dividir en dos áreas:
• Control de Operaciones de TI
(administración y operación de la
infraestructura)
• Gestión de Instalaciones (Gestión del
entorno físico, por ejemplo centros de
datos, salas, equipos de refrigeración.)
Gestión de Aplicaciones
Desempeña un papel importante en
el diseño, prueba y mejora de las
aplicaciones; Sin embargo, no es
responsable del desarrollo de las
mismas.
Define si se adquiere una aplicación
o se va a desarrollar internamente,
equilibrio entre el nivel de aptitud y
el costo de los recursos humanos
para gestionar aplicaciones.
Gestión de Aplicaciones
Desempeña un papel importante en
el diseño, prueba y mejora de las
aplicaciones; Sin embargo, no es
responsable del desarrollo de las
mismas.
Define si se adquiere una aplicación
o se va a desarrollar internamente,
equilibrio entre el nivel de aptitud y
el costo de los recursos humanos
para gestionar aplicaciones.

34. 21/4/2017
34
Beneficios y valor para el negocio
La estrategia de servicio alinea negocio y TI, para que cada uno aporte lo
mejor al otro. Se asegura que todos los elementos del ciclo de vida del
servicio, se centran en los resultados de los usuarios finales y en alcanzar
los objetivos del negocio, los requisitos y principios de gestión de servicios
adoptados por la organización.
• Metodología común en todas las áreas de TI
• Gestión de cambios eficaz
• Asegurar calidad de los servicios (SLAs)
• Reducción de costos (provisión y soporte del servicio)
• Demostrar el valor y aportación de TI al Negocio. (Gobierno de TI)
• Detalla todos los aspectos del servicio y sus requisitos a lo largo de todas las
etapas posteriores a su Ciclo de Vida
• Se ejecuta por cada servicio nuevo, cambio mayor a un servicio, eliminación
de un servicio o cambios al Paquete de Diseño del servicio mismo.
• Se produce en Diseño del Servicio y se pasa a la Transición del Servicio junto
con todos los detalles requeridos para las siguientes etapas del Ciclo de Vida.
Diseño del paquete de servicios
Enfoque integrado general para las actividades de diseño que deben ser
cubiertas:
1. Diseño de las soluciones de servicios nuevos o modificados (capacidades,
recursos, requisitos)
2. Diseño de los sistemas y herramientas de Gestión de servicios (Portfolio de
servicios, Software)
3. Diseño de la arquitectura tecnológica (Arquitectura-Hardware)
4. Diseño de los procesos para soporte y entrega de servicios (Procesos)
5. Diseño de los métodos de medición (Métricas)
Servicio es uno o más sistemas de TI que
permiten un proceso de negocios
Servicio es uno o más sistemas de TI que
permiten un proceso de negocios
Catálogo de Servicios
Tipos de Servicios
Visibles a los clientes
Invisible a los clientes, pero
esenciales para la entrega
de los servicios a clientes
• Internet
• E-mail
• Office
• ERP
......
• Network
• Infraestructura
• Aplicaciones
• Backup
•......

35. 21/4/2017
35
Durante la fase de especificación se desarrollan en detalle los requisitos
de nivel de servicio para convertirlos en normas internas
Descripción detallada
de los servicios y de
sus componentes.
Descripción detallada
de los servicios y de
sus componentes.
Especificaciones de la
forma de
implantación y
provisión del servicio.
Especificaciones de la
forma de
implantación y
provisión del servicio.
Especificaciones del
procedimiento
necesario de control
de la calidad
Especificaciones del
procedimiento
necesario de control
de la calidad
Productos de la Fase de especificación
Acuerdo de nivel de servicio (SLA)
Acuerdos de nivel operativo (OLAs)
Contratos de soporte (UCs)
Catálogo de Servicios
Nivel de Servicio
Revisar periódicamente:
• Acuerdos de nivel de servicio
desde la revisión anterior.
• Problemas relacionados con los
servicios.
• Identificación de tendencias del
servicio.
• Cambios en servicios dentro de los
niveles de servicio acordados.
• Cambios en procedimientos y
estimaciones del coste de nuevos
recursos.
• Consecuencias del incumplimiento
de los niveles de servicio
• acordados.
Determinar la eficacia y la eficiencia del
proceso (KPIs)
• Elementos de servicio incluidos en SLAs.
• Elementos del SLA con soportede OLAs y
UCs.
• Elementos de los SLAs que se monitorizan y
en los que se detecten defectos.
• Elementos de los SLAs que se revisen
periódicamente.
• Elementos de los SLAs que cumplan los
niveles de servicio acordados.
• Defectos identificados y cubiertos por un
plan de mejora.
• Acciones emprendidas para eliminar los
defectos identificados.
• Tendencias identificadas con respecto a los
niveles reales de servicio.
• Incluye servicios de terceros que forman parte integral de las ofertas de
servicio para los clientes y espacios de mercado
• Los servicios de terceros se pueden utilizar para:
• Resolver una demanda hasta que los servicios propios o del Canal
de Entrada se encuentren operativos
• Usar como sustituto para los servicios que se eliminan del Catálogo
• Cuenta con el balance apropiado de servicios de entrada (en desarrollo)
y Catálogo de servicios activos, para asegurar la viabilidad financiera del
Proveedor de servicios

36. 21/4/2017
36
• Canal de entrada de servicios conteniendo los servicios
conceptuales en desarrollo para un espacio de mercado o
cliente
• Catálogo de Servicios es el subconjunto del Portfolio de
Servicios que es visible para los clientes
• Servicios activos en fase de Operación + servicios
aprobados para ser ofrecidos
• En el Catálogo de Servicios es donde los servicios se
dividen en componentes
• Es la expresión de la capacidad operativa del Proveedor
de Servicios dentro del contexto de un Cliente o Espacio -
Nicho de Mercado
• Describe el potencial de una propuesta
• Surge de la visión de considerar TI
como una empresa en si misma
• Permite planear y dar soporte a la toma
de decisiones
• Estructura:
• Introducción: objetivos de negocio del
caso
• Métodos y suposiciones: límites del caso
de negocio
• Impacto de negocio: resultados
financieros y no financieros
• Riesgos y contingencias: probabilidad que
surjan diferentes resultados
• Recomendaciones: acciones específicas
recomendadas
• Riesgo: Incertidumbre de un
resultado
• Análisis de riesgos
– Identificar y evaluar la medida de
los riesgos calculados a partir de los
valores de activos evaluados y
niveles de
amenazas/vulnerabilidades
evaluados
• Mitigación de riegos
– Involucra la identificación, selección
y adopción de contramedidas
justificadas por los riesgos
identificados para los activos, en
términos de su impacto potencial
en los servicios, en caso que ocurra
un fallo. Incluye la reducción de
estos riesgos a un nivel aceptable
Planificación
Definición
• Inventarios de servicios
• Business Case
Análisis
• Propuestas para maximizar el
valor del Portfolio
Aprobación
• Formalización y aprobación
del Portfolio
Charter
• Comunicación y asignación
de recursos

37. 21/4/2017
37
Los servicios no pueden producirse y Almacenarse,
es un proceso simultáneo: la producción y el
consumo tienen lugar al mismo tiempo,
circunstancia que complica enormemente la
planificación de la demanda.
Los servicios no pueden producirse y Almacenarse,
es un proceso simultáneo: la producción y el
consumo tienen lugar al mismo tiempo,
circunstancia que complica enormemente la
planificación de la demanda.
Demanda
Objetivo y valor para el negocio
Gestión de la capacidad del negocio. Su objetivo es comprender
las necesidades presentes y futuras del negocio, para lo cual
obtiene información del cliente (por ejemplo, de planes
estratégicos o de marketing) y realiza análisis de tendencias
Gestión de la capacidad del servicio. Su objetivo es determinar y
comprender el uso de servicios de TI.
Gestión de la capacidad de los recursos. Su objetivo es
determinar y comprender el uso de los componentes y la
infraestructura de TI.
Niveles de evaluación

38. 21/4/2017
38
• Servicios Core
• Un Servicio TI que genera Entregables para uno o más Clientes.
• Servicios de Soporte
• Un Servicio que permite entregar un Servicio Core
• Servicio de back up
• Nivel Estratégico
• Patrones de Actividad de Negocio
• Perfil de Carga de trabajo de una o más actividades de negocio
• Variable en el tiempo
• Representa cambios en la demanda del negocio
• Perfil de Usuario
• Patrón de demanda de usuarios para los servicios TI
• Cada perfil de usuario incluye uno más Patrones de Actividad de Negocio
• Nivel Táctico
• Se puede usar el cargo diferencial para fomentar entre los Clientes el uso de
servicios en horarios de menor actividad - ejemplo
En este proceso se generan informes de excepciones sobre:
• Discrepancias entre la capacidad real y planificada
• Tendencias en las discrepancias
• Impacto sobre los niveles de servicio
• Aumento/descenso esperado de los niveles de capacidad y uso a corto y largo plazo
• Umbrales que, en caso de alcanzarse, pueden requerir la adquisición de capacidad
adicional
Indicadores clave del rendimiento:
• Predictibilidadde la demanda del cliente - Identificación de tendencias y evolución
de la carga de trabajo con el tiempo, y precisión del plan de capacidad.
• Tecnología - Opciones para medir el rendimiento de todos los servicios de TI,
• Costo - Reducción del número de compras precipitadas, reducción de la
sobrecapacidad costosa o innecesaria, y elaboración temprana de planes de inversión.
• Operaciones - Reducción del número de incidencias debidas a problemas de
capacidad o rendimiento, capacidad para satisfacer en todo momento la demanda del
cliente, y grado de importancia que se concede al proceso de gestión de la capacidad
Asegurar que los servicios nuevos, modificados o retirados,
cumplen los requisitos documentados en la definición de la
estrategia y diseño del servicio.
Debe estar presente en la coordinación de procesos,
sistemas y funciones para empaquetar, estructurar, probar y
desplegar una versión de un servicio o parte de él en un
entorno de producción.
Transición del servicio

39. 21/4/2017
39
Planificación y Soporte a la Transición
116
• Establecer y mantener políticas, normas y modelos para
los procesos y actividades de la transición del servicio.
• Presupuestar los recursos necesarios para cumplir con
los requerimientos futuros de la transición.
• Coordinar la transición del servicio junto con la gestión
de proyectos, diseño del servicio y las actividades de
desarrollo del servicio.
La Gestión de Nivel de Servicio...
• ...es un Proceso de:
• planeamiento,
coordinación, escritura,
concordancia, supervisión e
información de SLAs, y de
revisión de la realización de
los servicios
• Para asegurar:
• que la calidad y los costos
justificables de los servicios
requeridos, es mantenida y
mejorada
• Definir, negociar, acordar, monitorear y
documentar los niveles de servicio de
cualquier servicio TI que se está
entregando
• Establecer la comunicación efectiva entre
los Clientes y TI
• Brindar claridad para que todas las partes
que intervienen en la entrega de servicios
entienden el nivel de servicio que se va a
entregar
• Asegurar el desarrollo de objetivos
específicos y medibles
• Monitorear y mejorar la satisfaccióndel
Cliente
• Asegurar la implementación de medidas
adecuadas para mejorar la calidad del
servicio

40. 21/4/2017
40
Mejor relación entre TI y ClientesMejor relación entre TI y Clientes
Proceso crítico para todo proveedor de servicios de TI, ya que se
encarga de acordar y documentar los objetivos de nivel de servicio y
las responsabilidades dentro de los acuerdos de servicio
• Interfase consistente entre el negocio para todos los servicios de TI
• Feedback entre las fallas del servicio o sus brechas y las acciones
tomadas
• Mejoras en el canal de comunicación
• Relación sustentada en la confianza
Valor para el Negocio
Corresponde a todos los requisitos
de servicios que ha definido sólo
por el cliente.
Corresponde al nivel de acuerdos
de servicio entre el proveedor de
servicios TI y el cliente.
• En este proceso se negocia, acuerdan y documentan los SLR.
• Se negocian los SLA en base a los SLR definidos.
• Se revisan los OLAs y contratos de servicios para asegurar que los objetivos
estén alineados.
• Se revisan los contratos de servicio en conjunto con la gestión de
proveedores.
• El gestor de relación con el negocio garantiza que el proveedor es capaz de
satisfacer las necesidades del cliente.
• El gestor de nivel de servicio asegura que se entreguen a usuarios y
clientes los niveles de servicios acordados.
Un SLA multinivel contiene 3 capas:
1.SLA a nivel corporativo
2.SLA a nivel de cliente o a unidad de negocio
3.SLA a nivel de un servicio en particular.
– Cantidad y % de objetivos que se están cubriendo en el Acuerdo
– Cantidad y severidad de las brechas de servicio
– Cantidad y % de SLAs administrados y gestionados
– Cantidad de servicios sobre los que se hacen e informan revisiones
– Mejoras en la Satisfacción del Cliente
MÉTRICAS

41. 21/4/2017
41
• Identificar los adecuados representantes de los Clientes y el negocio
• Tener bajo control los temas pendientes
• Diferentes Requerimientos para diferentes niveles dentro de la comunidad
de usuarios
• Mantener el adecuado monitoreo de las mejoras de los servicios
• Lograr que los SLAs se firmen al nivel adecuado
El plan de mejoras de servicio se ejecuta una vez que el
servicio está dado y busca la mejora y el aprendizaje en
base a los riesgos e impactos relacionados con el servicio
DESAFÍOS
• Asegurar que los SLA sean alcanzables antes de comprometerse
• Verificar resultados propuestos en SLA antes de acordar con el
cliente.
• Cuidar que no sean extensos.
• Foco, recursos y tiempo inadecuado: a menudo SLM es visto como
algo que puede ser hecho “en los márgenes de tiempo”
• Autoridad insuficiente dada a la gestión de nivel de servicio por
medio de negociaciones
• Los SLA pueden no estar soportados por contratos
• Las responsabilidades de las partes no están claramente definidas
• Los SLA que no son comunicados apropiadamente
• Para algunas compañías, la gestión del nivel de servicio (SLM) puede
ser visto como un gasto más que un servicio cobrable
• Muchas personas de TI y negocios están viendo al SLM como un
ejercicio en la arbitración de contratos
Posibles problemas
Generar en plazo los informes acordados, fiables y precisos
para la toma de decisiones y una comunicación eficaz.
• Debe haber una clara descripción de cada informe de servicio
conteniendo su identificación, propósito, audiencia y detalle de la
fuente de datos.
• Se deben tomar decisiones y acciones correctivas que consideren los
hallazgos determinados por los informes de servicio y deben ser
comunicadas a las partes interesadas.

42. 21/4/2017
42
COBIT 5
Gobierno y gestión de terceras partes
Propósito
Obtener valor por el dinero de
proveedores, a la vez que se proveen
servicios integrales de TI al negocio.
Obtener valor por el dinero de
proveedores, a la vez que se proveen
servicios integrales de TI al negocio.
EJE VERTICAL
Lista de elementos de información que se dividenen
dos categorías:
• Elementos de información esenciales siempre
requeridos dentro de un módulo de temas.
• Elementos de información que a veces son
aplicables y que, a discreciónde los compradores, a
veces se espera dependiendoel módulo de temas.
EJE HORIZONTAL
Elementos de información requerida asignados a una
gama de módulos temáticos divididoen dos categorías:
• Módulos temáticos que siempre se incluirán en un
proceso de precalificacióny que están alineados con
las regulaciones de la organización
• Módulos de temas adicionales en los que el
comprador tiene la discreción de incluirlos o no

43. 21/4/2017
43
Ayuda en la evaluación de la
capacidad, de adherirse y cumplir
los requisitos clave
Gestión de alto nivel, evaluación de
riesgos y grados de cumplimiento
de la información en los procesos
de precalificación de proveedores
Módulos temáticos "Core“
• Perfil de la organización
• Capacidades y Capacidades del Proveedor
• Información Financiera y Seguros
Gobernanza empresarial
• Políticas de empleo
• Salud y Seguridad
• Protección de datos
• Gestión Ambiental
• Gestión de la Calidad
Módulos temáticos "Core“
• Perfil de la organización
• Capacidades y Capacidades del Proveedor
• Información Financiera y Seguros
Gobernanza empresarial
• Políticas de empleo
• Salud y Seguridad
• Protección de datos
• Gestión Ambiental
• Gestión de la Calidad
Módulos temáticos "adicionales“
• Ética empresarial
• Trazabilidad de la cadena de suministro
• Gestión de la Seguridad de la Cadena de
Suministro
• Igualdad de Oportunidades y Libertad de
Asociación
• Práctica Disciplinaria y Abuso
• Gestión de la Continuidad del Negocio
Módulos temáticos "adicionales“
• Ética empresarial
• Trazabilidad de la cadena de suministro
• Gestión de la Seguridad de la Cadena de
Suministro
• Igualdad de Oportunidades y Libertad de
Asociación
• Práctica Disciplinaria y Abuso
• Gestión de la Continuidad del Negocio
Alcance del
servicio
Alcance de
responsabilidades
Alcance de los
controles
• Gestión del servicio
• Tratamiento de datos
• Gestión de registros
• Gestión de
componentes del
servicio
(Documentación y
RRHH)
• Gestión del servicio
• Tratamiento de datos
• Gestión de registros
• Gestión de
componentes del
servicio
(Documentación y
RRHH)
MARCO
CONTRACTUAL
Los tres tipos de proveedores a clientes internos o externos de una
organización son:
Contratación interna
• Tipo I: encargada a proveedores internos de servicios circunscritos a
cada unidad de negocio
• Tipo II: encargadas a unidades de servicios compartidosque prestan sus
servicios a las diferentes unidades de negocio pertenecientes a una
misma corporación
Contratación externa (Tipo III)
• Tradicional: un solo proveedor de servicios se encarga de la prestación
del servicio en cuestión
• Múltiple:
• Principal: un solo proveedor de servicios que subcontrata a su vez a
otros proveedores
• Consorcio: combinación de diferentes proveedores de servicios para
optimizar la oferta y calidad del servicio
• Selectiva: múltiples proveedores gestionados directamente por la
organización receptora del servicio
129

44. 21/4/2017
44
Tipo de proveedores
• Suministrador Estratégico: Proveedor de servicios a
nivel mundial/Aplicación CORE.
• Suministrador Táctico: Proveedor de servicios de
resolución de incidentes en servidores.
• Suministrador Operacional: Proveedor de servicios de
hosting para un servicio interno de bajo impacto.
• Suministrador de Servicios y productos de fácil
acceso: Suministrador de papel o tóner de impresora.
Análisis de la
contratación
Evaluación del
proveedor
Condiciones de
administración y
operación de TI
Condiciones de
Seguridad de la
Información
Control del
servicio
• Descripción de objetivos
• Lista de proveedores
• Procedimientode selección
• Análisis costo - beneficio
• Aplicaciones que se le dará al producto o servicio a adquirir
• Observacionesy recomendaciones
• Capacidad financiera
• Capacidad técnica
• Habilidad de gestión y recursos disponibles.
• Política de manejo de cuentas y vínculo con los clientes
• Instrucción,capacitación e implementación
• Mantenimientode software y equipo
• Seguridad de los datos
• Beneficios del sistema
• Vida útil prevista para el sistema
• Reputación y fiabilidad del fabricante y el proveedorde servicios
• Gestión de calidad
• Registro de inspeccionessobre condicionesy
elementos de seguridad general
• Auditorías
• Capacitación del personal
• Tecnología utilizada (hardware y software)
• Niveles de actualización general
Análisis de
riesgos
Controles, monitoreo y
auditorías
• Alcance de las actividades;
• Niveles mínimos de prestación de servicio y su tipo / condiciones del servicio brindado;
• Participación de subcontratistas.
• No podrán tercerizarse actividades con proveedores que a su vez tengan contratada la función de auditoría
interna y/o externa de dichas actividades.
• Compromisos de confidencialidad. Término de compromiso de confidencialidad de la información a la que
tenga acceso/alcance el proveedor y/o subcontratista.
• Identificar posibles riesgos:
• Los mecanismos de notificación de cambios en el control accionario;
• Los mecanismos de notificación de cambios de niveles gerenciales;
• Resarcimiento por daños económicos que causará el proveedor
• El procedimiento por el cual las áreas tecnológicas y de seguridad informática pueda obtener los datos, los
programas fuentes, los manuales y la documentación técnica de los sistemas, ante cualquier situación que
pudiera sufrir el proveedor externo por la cual dejara de prestar sus servicios o de operar en el mercado
• Tener derecho a realizar auditorías a los proveedores, propias o de empresas contratadas para tal fin, y
eestablecer que cualquier Entidad Regulatoria pueda acceder sin limitación
• Contar con un plan de contingencia

45. 21/4/2017
45
Conectividad y
servicios de
nube
Conectividad y
servicios de
nube
Espacio Físico
Proveedor Espacio Físico
Cliente
Componentes
Físicos
Componentes
Físicos
Usuario
Final
EnlacesEnlaces
GobiernoGobierno
EducaciónEducación
CumplimientoCumplimiento
Gestión
de Riesgo
Gestión
de Riesgo
EducaciónEducación
Gestión
de Riesgo
Gestión
de Riesgo
Componentes
Virtuales
Componentes
Virtuales
Complemento de los procedimientos formales del área de compras,
establece las previsiones que se deben tomar en consideración a la calidad del servicio y la
seguridad de la información, en la contratación de proveedores y contratistas para las áreas
tecnológicas
Alcance de responsabilidad Cliente/Proveedor por tipo de servicio
IaaSIaaS SaaSSaaSPaaSPaaS
DatosDatos
Software y aplicaciones de usuariosSoftware y aplicaciones de usuarios
Sistemas operativos y bases de datosSistemas operativos y bases de datos
InfraestructuraVirtualInfraestructuraVirtual
Hardware e infraestructurade redHardware e infraestructurade red
Data Center (instalaciones físicas, infraestructurade seguridad, energía)Data Center (instalaciones físicas, infraestructurade seguridad, energía)
Hardware
Software
Conectividad
IaaS
Hardware
Software
Conectividad
IaaS
Servicio
Soporte
Aplicaciones
del Proveedor
SaaS
Servicio
Soporte
Aplicaciones
del Proveedor
SaaS
Desarrollo
Despliegue de
Aplicaciones
del Cliente
PaaS
Desarrollo
Despliegue de
Aplicaciones
del Cliente
PaaS
Aplicación
Plataforma
Infraestructura
Virtualización
Recursos físicos
Externalizar responsabilidad, no subcontratarla
Evitar “Acusaciones cruzadas"
Garantía del proveedor de no poder descifrar los datos
Gestión de riesgos y control al proveedor en la forma continua
Gestión de incidentes, verificación de SLA: escalamiento, comunicación y respuesta.

46. 21/4/2017
46
Extremos de responsabilidad Cliente / Proveedor
IaaSIaaS SaaSSaaSPaaSPaaS
DatosDatos
Hardware e infraestructurade redHardware e infraestructurade red
Data Center (instalaciones físicas, infraestructurade seguridad, energía)Data Center (instalaciones físicas, infraestructurade seguridad, energía)
Balance de decisiones = Perfil de riesgo
Tangibilizar los riesgos asociados a los “extremos” para
poder establecer los controles necesarios y adecuados
Extremos de responsabilidad Cliente / Proveedor
IaaSIaaS SaaSSaaSPaaSPaaS
DatosDatos
Hardware e infraestructurade redHardware e infraestructurade red
Data Center (instalaciones físicas, infraestructurade seguridad, energía)Data Center (instalaciones físicas, infraestructurade seguridad, energía)
GobiernoGobierno
Gestión de
Riesgo
Gestión de
Riesgo
EducaciónEducación CumplimientoCumplimiento
Reinvertir en controles
AHORRO
Control de Acceso
Afecta a la confidencialidad , Integridad
y Disponibilidad de los datos
Control de Acceso
Afecta a la confidencialidad , Integridad
y Disponibilidad de los datos
Control Ambiental
Afecta al rendimiento y la integridad de
la prestación del servicio.
Control Ambiental
Afecta al rendimiento y la integridad de
la prestación del servicio.

47. 21/4/2017
47
Estrategia de Contratación Descripción
Contratación interna
(Insourcing)
Utiliza los recursos internos de la organización para todas las etapas
del Ciclo de Vida
Contratación externa
(Outsourcing)
Utiliza recursos externos de la organización
Contratación Conjunta
(Co-sourcing)
La combinación de Insourcing y Outsourcing para proveer los
elementos clave del Ciclo de vida
Asociación o contratación múltiple
(Partnership o Multi-sourcing)
Acuerdos formales entre 2 o más organizaciones para trabajar en
forma conjunta. Foco en los partners estratégicos para aprovechar
oportunidades de mercado
Contratación externa de procesos
de negocio
(Business Process Outsourcing)
Los BPO son acuerdos formales entre 2 o más organizaciones para
reubicar una completa función del negocio. (por ej. Sueldos, call
center) a una locación de menor costo
Aprovisionamiento de servicios de
aplicación
(Application Service Provision)
Acuerdo formal con un Application Service Provider (ASP) para
proveer un servicio sobre un computador en una red (muchas veces
llamado ‘on-demand’ software/applications)
Contratación externa de procesos
de conocimiento
(Knowledge Process Outsourcing)
Provisión de especialistas en procesos y negocio requiriendo
específicos skills del outsourcer. La KPO se encuentra un paso
delante de la BPO en cuanto al dominio de los profesionales en el
tema
COBIT 5
Gobierno, eventos y la continuidad de negocios
• Evento
• Un Evento es un cambio de estado que es importante para la Gestión de un
Elemento de Configuración (CI) o Servicio
• Finalización de un job batch, evento sobre el cual el staff de Operaciones puede
tomar alguna acción y puede llegar a ser un Incidente
• Gestión de Eventos
• El proceso responsable de administrar y gestionar los Eventos durante todo
el Ciclo de Vida
• Alerta
• Es una advertencia de que algo ocurrió y requiere una acción o intervención
humana después que el evento ocurrió
• Incluye cualquier aspecto de servicios que se necesite controlar y que pueda ser
automatizado:
• Condiciones ambientales
• Monitorización de licencias de Software
• Seguridad (detección de intrusos)
• Actividad Normal (monitorizar una aplicación)
Proceso de resolución

48. 21/4/2017
48
• Detectar Eventos y conocer que ocurrieron para determinar
las adecuadas acciones de control
• Gestión de Eventos es la base del Monitoreo y control
Operacional
• Proporciona mecanismos para la detección temprana de
Incidentes
• Si se integra con Gestión de Disponibilidad y Gestión de
Capacidad, la Gestión de Eventos puede indicar cambios de
estado o excepciones que permitan una respuesta
temprana
Objetivos
¿Qué es un incidente?
Tener en cuenta que un incidente jamás se
convierte en un problema
Tener en cuenta que un incidente jamás se
convierte en un problema
Es una interrupción no planificada de un servicio que
ocurre de forma eventual, que puede causar una
interrupción del servicio o una reducción en su calidad
• Una condición identificada en
múltiples incidentes con síntomas
comunes
• Conlleva un proceso de análisis
para identificar las causas
La resolución de un
incidente solo busca
RECOMPONER EL
SERVICIO
Relaciones
Gestión de
Incidentes
Gestión de
Problemas
Gestión de
Cambios
Los Incidentes siguen ocurriendo
hasta que el cambio esté implementado
Los Incidentes siguen ocurriendo
hasta que el cambio esté implementado
Problema >
Error Conocido
Problema >
Error Conocido
Causa raíz
identificada
Causa raíz
identificada
solución temporalsolución temporal
Implementación
del Cambio
Implementación
del Cambio
Generación
deRFC
Generación
deRFC

49. 21/4/2017
49
Base de datos de
errores/ Problemas
Service Desk
Operaciones
Redes
Procedimientos
Otras fuentes
de incidentes
Procedimientos de
pedido de servicio
CMDB
Proceso de
Gestión de
Cambios
Proceso de
entrada de
incidentes
Resolución
Work-
arounds
Proceso de Gestión
de Incidentes
•Detección y registro de
incidentes
•Clasificación y soporte
inicial
•Investigación y
diagnóstico
•Resolución y
recuperación
•Cierre del incidente
•Asignación de
incidentes, supervisión,
seguimiento y
comunicación
Ruteo
RFC
Resolución
Detalles de
Configuración
Resolución / Work-around
Supervisión
Incidencia RecuperaciónDiagnóstico
ReparaciónDetección
Incidencia
Restablecimiento
MTBF – Tiempo medio entre fallas
o tiempo de disponibilidad
Tiempo de
recuperación
Tiempo reparación
Tiempo de
respuesta
Tiempo de
detección
MTBSI – Tiempo medio entre incidencias del sistema
MTTR: Tiempo medio de reparación o tiempo de inactividad
1 hora
9 horas
10 horas
9 horas
1 hora
10 horas
Líneas de soporte
Procedimiento
de pedido de
servicio
Detectar y
registrar
Soporte
inicial
Resolución
Recupero
Pedido
Investigación
Diagnóstico
¿Resuelto?
Primera línea Segunda línea Tercera línea N-línea
¿Resuelto?
Investigación
Diagnóstico
¿Resuelto?
Resolución
Recupero
Resolución
Recupero
ETC
SI
Cierre
NO
NO
NO

50. 21/4/2017
50
Categorías de incidentes
Se debe categorizar el incidente para que quede un registro
del tipo exacto del incidente.
• Prioridad, es la importancia relativa de un incidente ,
problema o cambio.
• Impacto, medida del efecto de un incidente, problema o
cambio sobre los procesos del negocio.
• Urgencia, medida de tiempo hasta que un incidente,
problema o cambio tiene un impacto significativo sobre
el negocio.
• Numero total de Incidentes
• Desglose en cada etapa del ciclo de vida
• Tiempo promedio transcurrido hasta lograr la solución
• Desglose por código de impacto
• % de Incidentes manejados dentro del tiempo de respuesta
acordado
• % de Incidentes resueltos en el Service Desk (1er Nivel)
• Cantidad y % de Incidentes Mayores
• Cantidad y % de Incidentes correctamente asignados.
• Costo promedio de la gestión de Incidentes
Métricas
La gestión de problemas busca minimizar el
impacto de los incidentes y problemas en el
negocio, y evitar la repetición de incidentes.
Actúa desde la identificación, pasando por la
investigación y documentación, hasta la
eventual eliminación del problema.

51. 21/4/2017
51
• Los incidentes “no son” un problema.
• Los problemas causan incidentes.
• La gestión reactiva de problemas, se dispara por un
incidente que ha tenido lugar (actividades basadas en la
fase de operaciones)
• La gestión proactiva de problemas, se dispara por
actividades que buscan mejorar los servicios (actividades
basadas en las fases del diseño y de mejora continua).
• Base de datos de errores conocidos contiene registro de
todos los errores conocidos. Los registros deben contener
información del fallo, síntomas, detalles de la solución.
“Soportar los procesos de gestión de
continuidad de negocios asegurando
que los servicios de TI requeridos,
pueden ser recuperados para
reanudar su actividad frente a una
caída, dentro de los tiempos y en las
condiciones acordadas con el
negocio”
• Mantener los Planes de Continuidad y Planes de Recuperación
• Realizar ejercicios de Análisis de impacto en el negocio (BIA)
para asegurar que todos los Planes están alineados al negocio
y a sus posibles cambios
• Evaluar impacto en los cambios de los Planes
• Asegurar implementación de medidas proactivas que permitan
asegurar la disponibilidad del servicio, cuyos costos sean
justificables
• Negociar y acordar contratos con los proveedores para tener
en cuenta el aprovisionamiento necesario para el caso de
contingencias que permitan soportar el plan de continuidad
• Realizar evaluación de riesgos y ejercicios regulares para
asegurar que los Planes definidos funcionan

52. 21/4/2017
52
Se define en términos de:
• Procesos de negocios a ser cubiertos y sus
requerimientos de TI
• Riesgos que deben considerarse
• Incluye:
• Dependencia tecnológica de la organización
• Número de ubicaciones y servicios provistos
• Nivel de servicios necesarios para soportar procesos de
negocios
• Limitaciones en los mecanismos de provisión de TISCM
• Actitudes de las organizaciones hacia el riesgo
Planeamiento
de
Contingencia
Gestión de la
Continuidad de
Negocios
Planeamiento de
la Continuidad
de Negocios
[BCP]
Planeamiento de
la Gestión de
Continuidad de
Servicios de TI
[TISCM]
• Tecnología como componente central de más procesos de negocios
• Disponibilidad de TI es crítica
• Compromiso de niveles directivos
• Apoyo de toda la organización
• Mantenimiento continuo de la capacidad de recuperación, mediante:
• Procesos de gestión de configuración y cambio
• Formación y concientización de la organización
• Tecnología de punta y herramientas de software de soporte
• Formación específica del personal involucrado en el proceso
• Pruebas regulares
Conceptos básicos

53. 21/4/2017
53
Modelo del Proceso Iterativo
Iniciar BCM
Análisis de Impacto en el negocio
Evaluación de Riesgos
Estrategia de continuidad del negocio
Planif. Organización
e Implementación
Desarrollar planes
de recuperación
Implementar medidas
de reducción de riesgo
Implementar
acuerdos
Desarrollar Procedimientos
Prueba Inicial
Etapa 1
Inicio
Etapa 2
Requerimientos
y Estrategia
Etapa 3
Implementación
Etapa 4
Gestión
Operativa
Educación y
Comunicación
Revisión y
Auditoria
Prueba
Gestión de
Cambios
Capacitación
Aseguramiento de la Calidad
Establecer políticas, alcance
“Entender los requerimientos de disponibilidad
del negocio y planificar, medir, supervisar y
mejorar continuamente la disponibilidad de la
infraestructura de TI, sus servicios y la
organización de soporte, para asegurar que
estos requerimientos se satisfagan”
• Asegurar que los servicios de TI están diseñados para proveer o
exceder el nivel de disponibilidad requerida por el negocio
• Proporcionar reportes de disponibilidad para asegurar que los
niveles acordados de disponibilidad y confiabilidad son
supervisados regularmente
• Optimizar la disponibilidad de la infraestructura para mejorar la
relación costo-beneficio
• Disminuir en un periodo de tiempo la frecuencia y duración de
incidentes que impactan la disponibilidad de TI
• Producir un Plan de disponibilidad actualizado y evaluar el
impacto de los cambios en el mismo

54. 21/4/2017
54
Requerimientos de
disponibilidad de negocios
Evaluación de impacto
en los negocios
Requerimientos de disponibilidad,
fiabilidad y mantenimiento
Datos de incidentes y
problemas
Datos de supervisión y
configuración
Realización de niveles de
servicios
Diseño de criterio de
disponibilidad y recuperación
Capacidad de recuperación de
infraestructura de TI y evaluación
de riesgos
Objetivos acordados de disponibilidad
fiabilidad y mantenimiento
Reportes de disponibilidad
fiabilidad y mantenimiento
Supervisión de disponibilidad
Planes de mejoramiento
de disponibilidad
La disponibilidad de la infraestructura de TI es influenciada por:
 Complejidad de la infraestructura de TI y el diseño de
servicios
 Confiabilidad de los componentes
 Capacidad de la organización de soporte de TI para
mantener la infraestructura de TI
 Niveles y calidad de mantenimientos provisto por
proveedores
 Calidad de los procesos y procedimientos operacionales
Influencias
162
CAPACIDAD
HARDWARE Y
SOFTWARE
PLANIFICACIÓN
DE ESPACIO
CAPACIDAD DE
SISTEMAS
AMBIENTALES
CAPACIDAD DE
RRHH

55. 21/4/2017
55
Estrategia de
Negocios
Plan de
Negocios
Estrategia de
TI/SI
Plan de
Negocios
de TI/SI
Gestión de
Capacidad
Gestión de
Capacidad
Rendimiento
y
Capacidad
Rendimiento
y
Capacidad
Hardware Redes
Periféricos Software
Recursos
Humanos
• Documenta el nivel actual de utilización de recursos y
el rendimiento de los servicios
• Debe alinearse con los planes y estrategias de
negocios
• Pronostica requerimientos futuros de recursos para
soporte de los servicios de TI
• Deben indicarse claramente los supuestos
• Recomienda sobre recursos requeridos, costos,
beneficios, impactos, etc.
• Debe actualizarse preferentemente en forma
trimestral
AjusteAjuste
MonitoreoMonitoreo
AnálisisAnálisisImplementaciónImplementación
Reporte
de
excepciones
al SLM
Reporte
de
excepciones
al SLM
Reportes de
excepciones
al uso
de recursos
Reportes de
excepciones
al uso
de recursos
Umbral de
Uso de
Recursos
Umbral de
Uso de
Recursos
Base de
Datos de
Capacidad
Base de
Datos de
Capacidad
Umbral
de SLM
Umbral
de SLM
165

56. 21/4/2017
56
Garantizar que se controlen adecuadamente los activos
necesarios para la entrega de servicios.
Incluye la gestión del ciclo de vida completo de cada CI.
Garantizar que se controlen adecuadamente los activos
necesarios para la entrega de servicios.
Incluye la gestión del ciclo de vida completo de cada CI.
• Conocer los bienes de TI, las configuraciones
dentro de la organización y los servicios
• Proveer información precisa sobre configuraciones
y su documentación para contribuir con todos los
otros procesos de gestión de servicios
• Brindar una base sólida para gestión de eventos,
incidentes, problemas, cambios y versiones de
software
• Verificar los registros de configuración contra la
infraestructura y corregir cualquier diferencia
• Gestión de configuración
• Incluye la información sobre los elementos de configuración
necesarios para los otros procesos
• Además mantiene detalles de las relaciones entre los elementos de
configuración
• Gestión de Activos
• Es un proceso contable que incluye depreciación
• Mantiene detalles de encima de un determinado valor, su unidad de
negocio y su ubicación
Configuración básica o Baseline
“Una configuración estándar que se puede
reproducir y distribuir a los usuarios.”

57. 21/4/2017
57
Actividades
Gestión de la
Configuración
Gestión de la
Configuración
1
Gestión y
Planificación
1
Gestión y
Planificación
3
Control de
Configuración
3
Control de
Configuración
4
Reporte de
estados
4
Reporte de
estados
2
Identificación
de
Configuración
2
Identificación
de
Configuración
5
Auditoria y
verificación
5
Auditoria y
verificación
170
Controlar el ciclo de vida de
todos los cambios, permitiendo
que estos se realicen con una
interrupción mínima de los
servicios de TI para el negocio.
Controlar el ciclo de vida de
todos los cambios, permitiendo
que estos se realicen con una
interrupción mínima de los
servicios de TI para el negocio.
Abarca los cambios para
servicios activos y para
Elementos de Configuración de
la línea base durante el Ciclo de
vida del Servicio
Abarca los cambios para
servicios activos y para
Elementos de Configuración de
la línea base durante el Ciclo de
vida del Servicio
Asegurar que los cambios
• Se registran
• Se evalúan
• Se autorizan
• Se clasifican por prioridad
• Se planifican
• Se prueban
• Se implementan
• Se documentan
• Se revisan
• Se controlan