Reserva de derechos

© 2018 ISACA. Reservados todos los derechos. Ninguna parte de esta publicación puede se
modificada, distribuida, exhibida, almacenada en un sistema de recuperación o transmitida
(electrónico, mecánico, fotocopiado, grabación o de otro tipo) sin la autorización previa por
sta publicación puede ser utilizada, copiada, reproducida,
cuperación o transmitida de cualquier forma por cualquier medio
a autorización previa por escrito de ISACA. . 
A continuación se enumeran las prácticas asociadas con cada uno de los procesos de gobierno y gestión en COBIT® 2019.
Las prácticas están ordenadas en el orden en que aparecen en COBIT® Marco 2019: Objetivos de gobernanza y gestión.

Objetivos: 40
Nuevo en Nuevo en
Área Dominio ID de objetivo Objetivo Descripción del objetivo Declaración del propósito del objetivo COBIT En 4.1
2019 COBIT 5

Gobernancia Evaluar, dirigir y monitorear EDM01 Establecimiento y mantenimiento del marco de gobernanza Analizar y articular los requisitos para el gobierno de la I&T empresarial. Proporcionar un enfoque coherente integrado y alineado con el enfoque
garantizado Implementar y mantener componentes de gobierno con claridad de de gobierno empresarial. Las decisiones relacionadas con I&T se toman
autoridad y responsabilidades para lograr la misión, las metas y los de acuerdo con las estrategias y objetivos de la empresa y se logra el
objetivos de la empresa. valor deseado. Con ese fin, asegúrese de que los procesos relacionados
con la I&T se supervisen de manera eficaz y transparente; se confirma el
cumplimiento de los requisitos legales, contractuales y reglamentarios; y
se cumplen los requisitos de gobernanza para los miembros de la junta.

Gobernancia Evaluar, dirigir y monitorear EDM02 Entrega de beneficios asegurada Optimice el valor para el negocio a partir de inversiones en procesos Asegurar un valor óptimo de las iniciativas, los servicios y los activos
comerciales, servicios de I&T y activos de I&T. habilitados para I&T; entrega rentable de soluciones y servicios; y una
imagen confiable y precisa de los costos y los posibles beneficios para
que las necesidades comerciales sean respaldadas de manera efectiva y
eficiente.

Gobernancia Evaluar, dirigir y monitorear EDM03 Optimización de riesgos garantizada Asegúrese de que el apetito y la tolerancia al riesgo de la empresa se Asegúrese de que el riesgo empresarial relacionado con I&T no supere el
comprendan, articulen y comuniquen, y que el riesgo para el valor apetito de riesgo y la tolerancia al riesgo de la empresa, que se
empresarial relacionado con el uso de I&T se identifique y gestione. identifique y gestione el impacto del riesgo de I&T en el valor
empresarial y se minimice el potencial de fallas de cumplimiento.

Gobernancia Evaluar, dirigir y monitorear EDM04 Optimización de recursos garantizada Asegúrese de que los recursos comerciales y de I&T (personas, procesos Asegúrese de que las necesidades de recursos de la empresa se
y tecnología) adecuados y suficientes estén disponibles para respaldar satisfagan de manera óptima, los costos de I&T se optimicen y haya una
los objetivos de la empresa de manera efectiva y a un costo óptimo. mayor probabilidad de realización de beneficios y preparación para
cambios futuros.

Gobernancia Evaluar, dirigir y monitorear EDM05 Compromiso garantizado de las partes interesadas Asegúrese de que las partes interesadas estén identificadas y Asegúrese de que las partes interesadas apoyen la estrategia y la hoja de
comprometidas con el sistema de gobierno de I&T y que la medición y la ruta de I&T, que la comunicación con las partes interesadas sea eficaz y
generación de informes de cumplimiento y desempeño de I&T de la oportuna, y que se establezca la base para la presentación de informes
empresa sean transparentes, y que las partes interesadas aprueben las para aumentar el rendimiento. Identificar áreas de mejora y confirmar
metas, las métricas y las acciones correctivas necesarias. que los objetivos y estrategias relacionados con I&T estén alineados con
la estrategia de la empresa.

Gestión Alinear, planificar y organizar APO01 Marco de gestión de I&T administrado Diseñe el sistema de gestión de I&T empresarial en función de los Implementar un enfoque de gestión coherente para que se cumplan los
objetivos empresariales y otros factores de diseño. Con base en este requisitos de gobernanza empresarial, que cubra componentes de
diseño, implemente todos los componentes requeridos del sistema de gobernanza como los procesos de gestión; Estructuras organizacionales;
gestión. funciones y responsabilidades; actividades confiables y repetibles;
elementos de información; Policias y procedimientos; destrezas y
competencias; cultura y comportamiento; y servicios, infraestructura y
aplicaciones.

Gestión Alinear, planificar y organizar APO02 Estrategia gestionada Proporcionar una visión holística del entorno empresarial actual y de Apoye la estrategia de transformación digital de la organización y
I&T, la dirección futura y las iniciativas necesarias para migrar al entorno entregue el valor deseado a través de una hoja de ruta de cambios
futuro deseado. Asegúrese de que el nivel deseado de digitalización sea incrementales. Utilice un enfoque holístico de I&T, asegurándose de que
integral para la dirección futura y la estrategia de I&T. Evalúe la madurez cada iniciativa esté claramente conectada a una estrategia global.
digital actual de la organización y desarrolle una hoja de ruta para cerrar Permitir el cambio en todos los diferentes aspectos de la organización,
las brechas. Con el negocio, reconsidere las operaciones internas y las desde los canales y procesos hasta los datos, la cultura, las habilidades,
actividades de cara al cliente. Asegúrese de centrarse en el viaje de el modelo operativo y los incentivos.
transformación en toda la organización. Aproveche los componentes
básicos de la arquitectura empresarial, los componentes de gobierno y
el ecosistema de la organización, incluidos los servicios proporcionados
externamente y las capacidades relacionadas, para permitir una
respuesta confiable pero ágil y eficiente a los objetivos estratégicos.

Gestión Alinear, planificar y organizar APO03 Arquitectura empresarial gestionada Establecer una arquitectura común que consta de procesos de negocio, Representar los diferentes bloques de construcción que conforman la sí
información, datos, aplicaciones y capas de arquitectura tecnológica. empresa y sus interrelaciones, así como los principios que guían su
Cree modelos y prácticas clave que describan las arquitecturas de diseño y evolución en el tiempo, para permitir una entrega estándar,
referencia y objetivo, en línea con la estrategia empresarial y de I&T. receptiva y eficiente de los objetivos operativos y estratégicos.
Defina requisitos para taxonomía, estándares, pautas, procedimientos,
plantillas y herramientas, y proporcione un vínculo para estos
componentes. Mejore la alineación, aumente la agilidad, mejore la
calidad de la información y genere ahorros de costos potenciales a
través de iniciativas como la reutilización de componentes básicos.

Page 3
Gestión Alinear, planificar y organizar APO04 Innovación gestionada Mantener un conocimiento de I&T y las tendencias de servicios Logre una ventaja competitiva, innovación empresarial, una mejor sí
relacionados y monitorear las tendencias tecnológicas emergentes. experiencia del cliente y una mayor eficacia y eficiencia operativa
Identifique de manera proactiva oportunidades de innovación y mediante la explotación de los desarrollos de I&T y las tecnologías
planifique cómo beneficiarse de la innovación en relación con las emergentes.
necesidades comerciales y la estrategia de I&T definida. Analizar qué
oportunidades de innovación o mejora empresarial pueden crearse
mediante tecnologías, servicios emergentes o innovación empresarial
habilitada por I&T; a través de tecnologías establecidas existentes; y por
la innovación empresarial y de procesos de TI. Influir en la planificación
estratégica y las decisiones de arquitectura empresarial.

Gestión Alinear, planificar y organizar APO05 Cartera gestionada Ejecutar la dirección estratégica establecida para las inversiones en línea Optimice el rendimiento de la cartera general de programas en sí
con la visión de la arquitectura empresarial y la hoja de ruta de I&T. respuesta al rendimiento de los programas, productos y servicios
Tenga en cuenta las diferentes categorías de inversiones y las individuales y las prioridades y la demanda cambiantes de la empresa.
limitaciones de recursos y financiación. Evaluar, priorizar y equilibrar
programas y servicios, gestionando la demanda dentro de las
limitaciones de recursos y financiación, en función de su alineación con
los objetivos estratégicos, el valor empresarial y el riesgo. Mover los
programas seleccionados a la cartera de productos o servicios activos
para su ejecución. Monitorear el desempeño de la cartera general de
productos y servicios y programas, proponiendo ajustes según sea
necesario en respuesta al desempeño del programa, producto o servicio
o prioridades cambiantes de la empresa.

Gestión Alinear, planificar y organizar APO06 Presupuesto y costos administrados Administre las actividades financieras relacionadas con I & T tanto en las Fomentar una asociación entre TI y las partes interesadas de la empresa sí
funciones comerciales como de TI, cubriendo el presupuesto, la gestión para permitir el uso eficaz y eficiente de los recursos relacionados con
de costos y beneficios y la priorización del gasto mediante el uso de I&T y brindar transparencia y responsabilidad sobre el costo y el valor
prácticas formales de presupuestación y un sistema justo y equitativo de comercial de las soluciones y servicios. Permita que la empresa tome
asignación de costos a la empresa. Consulte a las partes interesadas decisiones informadas con respecto al uso de soluciones y servicios de
para identificar y controlar los costos y beneficios totales dentro del I&T.
contexto de los planes estratégicos y tácticos de I&T. Inicie acciones
correctivas donde sea necesario.

Gestión Alinear, planificar y organizar APO07 Recursos humanos gestionados Proporcionar un enfoque estructurado para asegurar una óptima Optimice las capacidades de recursos humanos para cumplir con los
contratación / adquisición, planificación, evaluación y desarrollo de los objetivos empresariales.
recursos humanos (tanto internos como externos).

Gestión Alinear, planificar y organizar APO08 Relaciones administradas Gestione las relaciones con las partes interesadas del negocio de una Habilite el conocimiento, las habilidades y los comportamientos sí
manera formalizada y transparente que garantice la confianza mutua y adecuados para crear mejores resultados, mayor confianza, confianza
un enfoque combinado en el logro de los objetivos estratégicos dentro mutua y un uso eficaz de los recursos que estimulen una relación
de las limitaciones de los presupuestos y la tolerancia al riesgo. Basar las productiva con las partes interesadas del negocio.
relaciones en una comunicación abierta y transparente, un lenguaje
común y la voluntad de asumir la propiedad y la responsabilidad de las
decisiones clave de ambas partes. El negocio y la TI deben trabajar
juntos para crear resultados empresariales exitosos en apoyo de los
objetivos empresariales.

Gestión Alinear, planificar y organizar APO09 Acuerdos de servicios gestionados Alinee los productos, servicios y niveles de servicio habilitados para I&T Asegúrese de que los productos, servicios y niveles de servicio de I&T
con las necesidades y expectativas de la empresa, incluida la satisfagan las necesidades empresariales actuales y futuras.
identificación, especificación, diseño, publicación, acuerdo y monitoreo
de productos y servicios de I&T, niveles de servicio e indicadores de
desempeño.

Gestión Alinear, planificar y organizar APO10 Proveedores administrados Administre productos y servicios relacionados con I&T proporcionados Optimice las capacidades de I&T disponibles para respaldar la estrategia
por todo tipo de proveedores para cumplir con los requisitos y la hoja de ruta de I&T, minimizar el riesgo asociado con los
empresariales. Esto incluye la búsqueda y selección de proveedores, la proveedores que no cumplen o no cumplen las normas, y asegura
gestión de relaciones, la gestión de contratos y la revisión y seguimiento precios competitivos.
del desempeño y el ecosistema de proveedores (incluida la cadena de
suministro ascendente) para determinar la eficacia y el cumplimiento.

Gestión Alinear, planificar y organizar APO11 Calidad gestionada Definir y comunicar los requisitos de calidad en todos los procesos, Asegure la entrega consistente de soluciones y servicios tecnológicos
procedimientos y resultados empresariales relacionados. Habilite los para cumplir con los requisitos de calidad de la empresa y satisfacer las
controles, el monitoreo continuo y el uso de prácticas y estándares necesidades de las partes interesadas.
comprobados en los esfuerzos de mejora continua y eficiencia.

Gestión Alinear, planificar y organizar APO12 Riesgo gestionado Identifique, evalúe y reduzca continuamente los riesgos relacionados Integre la gestión del riesgo empresarial relacionado con I&T con la
con la I&T dentro de los niveles de tolerancia establecidos por la gestión general del riesgo empresarial (ERM) y equilibre los costos y
dirección ejecutiva de la empresa. beneficios de la gestión del riesgo empresarial relacionado con I&T.

Gestión Alinear, planificar y organizar APO13 Seguridad gestionada Definir, operar y monitorear un sistema de seguridad de la información. Mantenga el impacto y la ocurrencia de incidentes de privacidad de sí
seguridad de la información dentro de los niveles de apetito por el
riesgo de la empresa.

Gestión Alinear, planificar y organizar APO14 Datos gestionados Logre y mantenga una gestión eficaz de los activos de datos Garantice la utilización eficaz de los activos de datos críticos para lograr sí
empresariales a lo largo del ciclo de vida de los datos, desde la creación las metas y los objetivos de la empresa.
hasta la entrega, el mantenimiento y el archivo.

Page 4
Gestión Construir, adquirir e BAI01 Programas gestionados Administre todos los programas de la cartera de inversiones en Obtenga el valor comercial deseado y reduzca el riesgo de retrasos
implementar alineación con la estrategia empresarial y de manera coordinada, con inesperados, costos y erosión del valor. Para hacerlo, mejore las
base en un enfoque de gestión de programas estándar. Iniciar, planificar, comunicaciones y la participación de las empresas y los usuarios finales,
controlar y ejecutar programas y monitorear el valor esperado del garantice el valor y la calidad de los entregables del programa y el
programa. seguimiento de los proyectos dentro de los programas, y maximice la
contribución del programa a la cartera de inversiones.

Gestión Construir, adquirir e BAI02 Definición de requisitos gestionados Identifique las soluciones y analice los requisitos antes de la adquisición Cree soluciones óptimas que satisfagan las necesidades de la empresa y
implementar o creación para asegurarse de que se alinean con los requisitos minimicen el riesgo.
estratégicos de la empresa que cubren los procesos comerciales, las
aplicaciones, la información / datos, la infraestructura y los servicios.
Coordinar la revisión de opciones factibles con las partes interesadas
afectadas, incluidos los costos y beneficios relativos, el análisis de
riesgos y la aprobación de los requisitos y las soluciones propuestas.

Gestión Construir, adquirir e BAI03 Identificación y construcción de soluciones administradas Establecer y mantener productos y servicios identificados (tecnología, Garantice la entrega ágil y escalable de productos y servicios digitales.
implementar procesos comerciales y flujos de trabajo) de acuerdo con los requisitos Establezca soluciones oportunas y rentables (tecnología, procesos
empresariales que cubren el diseño, el desarrollo, la adquisición / comerciales y flujos de trabajo) capaces de respaldar los objetivos
abastecimiento y la asociación con los proveedores. Gestione la estratégicos y operativos de la empresa.
configuración, preparación de pruebas, pruebas, gestión de requisitos y
mantenimiento de procesos de negocio, aplicaciones, información /
datos, infraestructura y servicios.

Gestión Construir, adquirir e BAI04 Disponibilidad y capacidad administradas Equilibre las necesidades actuales y futuras de disponibilidad, Mantener la disponibilidad del servicio, la gestión eficiente de los
implementar rendimiento y capacidad con una prestación de servicios rentable. recursos y la optimización del rendimiento del sistema mediante la
Incluya la evaluación de las capacidades actuales, la previsión de las predicción del rendimiento futuro y los requisitos de capacidad.
necesidades futuras basadas en los requisitos comerciales, el análisis de
los impactos comerciales y la evaluación del riesgo para planificar e
implementar acciones para cumplir con los requisitos identificados.

Gestión Construir, adquirir e BAI05 Cambio organizacional gestionado Maximice la probabilidad de implementar con éxito un cambio Prepare y comprometa a las partes interesadas para el cambio sí
implementar organizacional sostenible en toda la empresa de forma rápida y con un empresarial y reduzca el riesgo de fallas.
riesgo reducido. Cubre el ciclo de vida completo del cambio y todas las
partes interesadas afectadas en el negocio y la TI.

Gestión Construir, adquirir e BAI06 Cambios de TI gestionados Administre todos los cambios de manera controlada, incluidos los Habilite la entrega rápida y confiable de cambios a la empresa. Mitigue
implementar cambios estándar y el mantenimiento de emergencia relacionados con el riesgo de afectar negativamente la estabilidad o la integridad del
los procesos comerciales, las aplicaciones y la infraestructura. Esto entorno modificado.
incluye estándares y procedimientos de cambio, evaluación de impacto,
priorización y autorización, cambios de emergencia, seguimiento,
informes, cierre y documentación.

Gestión Construir, adquirir e BAI07 Aceptación y transición de cambios de TI administrados Aceptar formalmente y poner en funcionamiento nuevas soluciones. Implementar soluciones de forma segura y acorde con las expectativas y
implementar Incluya la planificación de la implementación, la conversión de datos y resultados acordados.
sistemas, las pruebas de aceptación, la comunicación, la preparación del
lanzamiento, la promoción a la producción de procesos comerciales
nuevos o modificados y servicios de I&T, soporte de producción inicial y
una revisión posterior a la implementación.

Gestión Construir, adquirir e BAI08 Conocimiento gestionado Mantener la disponibilidad de información de gestión y conocimiento Proporcionar el conocimiento y la información necesarios para apoyar a sí
implementar relevante, actual, validada y confiable para respaldar todas las todo el personal en el gobierno y la gestión de I&T empresarial y
actividades del proceso y facilitar la toma de decisiones relacionadas con permitir una toma de decisiones informada.
el gobierno y la gestión de la I&T empresarial. Planificar la identificación,
recopilación, organización, mantenimiento, uso y retiro de
conocimientos.

Gestión Construir, adquirir e BAI09 Activos gestionados Administre los activos de I&T a lo largo de su ciclo de vida para Tenga en cuenta todos los activos de I&T y optimice el valor sí
implementar asegurarse de que su uso genere valor a un costo óptimo, que proporcionado por su uso.
permanezcan operativos (aptos para el propósito) y que estén
contabilizados y protegidos físicamente. Asegúrese de que los activos
que son críticos para respaldar la capacidad del servicio sean confiables
y estén disponibles. Administre las licencias de software para garantizar
que se adquiera, conserve e implemente la cantidad óptima en relación
con el uso comercial requerido, y que el software instalado cumpla con
los acuerdos de licencia.

Gestión Construir, adquirir e BAI10 Configuración gestionada Definir y mantener descripciones y relaciones entre los recursos y Proporcionar información suficiente sobre los activos del servicio para
implementar capacidades clave necesarios para brindar servicios habilitados para I&T. permitir que el servicio se gestione de forma eficaz. Evalúe el impacto de
Incluya la recopilación de información de configuración, el los cambios y aborde los incidentes de servicio.
establecimiento de líneas de base, la verificación y auditoría de la
información de configuración y la actualización del depósito de
configuración.

Page 5
Gestión Construir, adquirir e BAI11 Proyectos gestionados Administre todos los proyectos que se inician dentro de la empresa en Obtenga resultados definidos del proyecto y reduzca el riesgo de sí
implementar alineación con la estrategia empresarial y de una manera coordinada retrasos inesperados, costos y erosión del valor al mejorar las
basada en el enfoque de gestión de proyectos estándar. Inicie, comunicaciones y la participación de la empresa y los usuarios finales.
planifique, controle y ejecute proyectos, y cierre con una revisión Asegurar el valor y la calidad de los entregables del proyecto y
posterior a la implementación. maximizar su contribución a los programas definidos y la cartera de
inversiones.

Gestión Entrega, servicio y soporte DSS01 Operaciones gestionadas Coordinar y ejecutar las actividades y los procedimientos operativos Entregue los resultados de servicios y productos operativos de I&T según
necesarios para brindar servicios de I&T internos y subcontratados. lo planeado.
Incluir la ejecución de procedimientos operativos estándar predefinidos
y las actividades de monitoreo requeridas.

Gestión Entrega, servicio y soporte DSS02 Solicitudes e incidentes de servicios gestionados Brindar respuesta oportuna y efectiva a las solicitudes de los usuarios y Consiga una mayor productividad y minimice las interrupciones
resolución de todo tipo de incidencias. Restaurar el servicio normal; mediante la resolución rápida de las consultas y los incidentes de los
registrar y cumplir con las solicitudes de los usuarios; y registrar, usuarios. Evalúe el impacto de los cambios y aborde los incidentes de
investigar, diagnosticar, escalar y resolver incidentes. servicio. Resuelva las solicitudes de los usuarios y restaure el servicio en
respuesta a incidentes.

Gestión Entrega, servicio y soporte DSS03 Problemas gestionados Identificar y clasificar problemas y sus causas fundamentales. Brinde una Aumente la disponibilidad, mejore los niveles de servicio, reduzca los
resolución oportuna para evitar incidentes recurrentes. Brindar costos, mejore la conveniencia y la satisfacción del cliente al reducir el
recomendaciones para mejoras. número de problemas operativos e identifique las causas fundamentales
como parte de la resolución de problemas.

Gestión Entrega, servicio y soporte DSS04 Continuidad gestionada Establezca y mantenga un plan para permitir que las organizaciones Adáptese rápidamente, continúe las operaciones comerciales y
comerciales y de TI respondan a los incidentes y se adapten mantenga la disponibilidad de recursos e información a un nivel
rápidamente a las interrupciones. Esto permitirá operaciones continuas aceptable para la empresa en caso de una interrupción significativa (por
de procesos comerciales críticos y servicios de I&T requeridos y ejemplo, amenazas, oportunidades, demandas).
mantendrá la disponibilidad de recursos, activos e información a un nivel
aceptable para la empresa.

Gestión Entrega, servicio y soporte DSS05 Servicios de seguridad gestionados Proteja la información empresarial para mantener el nivel de riesgo de Minimice el impacto comercial de las vulnerabilidades e incidentes de sí
seguridad de la información aceptable para la empresa de acuerdo con seguridad de la información operativa.
la política de seguridad. Establecer y mantener roles de seguridad de la
información y privilegios de acceso. Realice un seguimiento de la
seguridad.

Gestión Entrega, servicio y soporte DSS06 Controles de procesos de negocio gestionados Definir y mantener controles de procesos de negocio apropiados para Mantener la integridad de la información y la seguridad de los activos de sí
asegurar que la información relacionada y procesada por procesos de información manejados dentro de los procesos comerciales en la
negocio internos o subcontratados satisfaga todos los requisitos de empresa o su operación subcontratada.
control de información relevantes. Identificar los requisitos de control
de información relevantes. Gestionar y operar controles adecuados de
entrada, rendimiento y salida (controles de aplicación) para garantizar
que la información y el procesamiento de la información satisfagan estos
requisitos.

Gestión Monitorear, evaluar y evaluar MEA01 Supervisión gestionada del rendimiento y la conformidad Recopile, valide y evalúe los objetivos y métricas de alineación y de la Brindar transparencia en el desempeño y la conformidad e impulsar el
empresa. Supervise que los procesos y las prácticas se estén logro de los objetivos.
desempeñando en función de los objetivos y métricas de rendimiento y
conformidad acordados. Proporcione informes que sean sistemáticos y
oportunos.

Gestión Monitorear, evaluar y evaluar MEA02 Sistema gestionado de control interno Monitorear y evaluar continuamente el entorno de control, incluidas las Obtener transparencia para las partes interesadas clave sobre la
autoevaluaciones y la autoconciencia. Permitir a la gerencia identificar idoneidad del sistema de controles internos y así brindar confianza en
deficiencias e ineficiencias de control e iniciar acciones de mejora. las operaciones, confianza en el logro de los objetivos de la empresa y
Planificar, organizar y mantener estándares para la evaluación del una comprensión adecuada del riesgo residual.
control interno y la eficacia del control de procesos.

Gestión Monitorear, evaluar y evaluar MEA03 Cumplimiento gestionado de requisitos externos Evaluar que los procesos de I&T y los procesos comerciales respaldados Asegúrese de que la empresa cumpla con todos los requisitos externos
por I&T cumplen con las leyes, regulaciones y requisitos contractuales. aplicables.
Obtener la seguridad de que se han identificado y cumplido los
requisitos; integre el cumplimiento de TI con el cumplimiento general de
la empresa.

Gestión Monitorear, evaluar y evaluar MEA04 Garantía gestionada Planifique, alcance y ejecute iniciativas de aseguramiento para cumplir Permitir a la organización diseñar y desarrollar iniciativas de sí
con los requisitos internos, leyes, regulaciones y objetivos estratégicos. aseguramiento eficientes y efectivas, proporcionando orientación sobre
Permitir a la gerencia brindar un aseguramiento adecuado y sostenible la planificación, determinación del alcance, ejecución y seguimiento de
en la empresa mediante la realización de actividades y revisiones de las revisiones de aseguramiento, utilizando una hoja de ruta basada en
aseguramiento independientes. enfoques de aseguramiento bien aceptados.

Page 6
A continuación se enumeran las prácticas asociadas con cada uno de los objetivos de gobierno y gestión en COBIT® 2019
Las prácticas están ordenadas en el orden en que aparecen en COBIT® Marco 2019: Objetivos de gobernanza y gestión.

Objetivos: 40
Practicas: 231
Área Dominio ID de objetivo Objetivo Descripción del objetivo

Gobernancia Evaluar, dirigir y EDM01 Establecimiento y Analizar y articular los requisitos para el
monitorear mantenimiento del marco gobierno de la I&T empresarial.
de gobernanza Implementar y mantener componentes
garantizado de gobierno con claridad de autoridad y
responsabilidades para lograr la misión,
las metas y los objetivos de la empresa.

7
Gobernancia Evaluar, dirigir y EDM02 Entrega de beneficios Optimice el valor para el negocio a partir
monitorear asegurada de inversiones en procesos comerciales,
servicios de I&T y activos de I&T.

8
Gobernancia Evaluar, dirigir y EDM03 Optimización de riesgos Asegúrese de que el apetito y la
monitorear garantizada tolerancia al riesgo de la empresa se
comprendan, articulen y comuniquen, y
que el riesgo para el valor empresarial
relacionado con el uso de I&T se
identifique y gestione.

Gobernancia Evaluar, dirigir y EDM04 Optimización de recursos Asegúrese de que los recursos
monitorear garantizada comerciales y de I&T (personas, procesos
y tecnología) adecuados y suficientes
estén disponibles para respaldar los
objetivos de la empresa de manera
efectiva y a un costo óptimo.

9
Gobernancia Evaluar, dirigir y EDM05 Compromiso garantizado Asegúrese de que las partes interesadas
monitorear de las partes interesadas estén identificadas y comprometidas con
el sistema de gobierno de I&T y que la
medición y la generación de informes de
cumplimiento y desempeño de I&T de la
empresa sean transparentes, y que las
partes interesadas aprueben las metas,
las métricas y las acciones correctivas
necesarias.

10
Gestión Alinear, planificar APO01 Marco de gestión de I&T Diseñe el sistema de gestión de I&T
y organizar administrado empresarial en función de los objetivos
empresariales y otros factores de diseño.
Con base en este diseño, implemente
todos los componentes requeridos del
sistema de gestión.

11
12
13
Gestión Alinear, planificar APO02 Estrategia gestionada Proporcionar una visión holística del
y organizar entorno empresarial actual y de I&T, la
dirección futura y las iniciativas
necesarias para migrar al entorno futuro
deseado. Asegúrese de que el nivel
deseado de digitalización sea integral
para la dirección futura y la estrategia de
I&T. Evalúe la madurez digital actual de
la organización y desarrolle una hoja de
ruta para cerrar las brechas. Con el
negocio, reconsidere las operaciones
internas y las actividades de cara al
cliente. Asegúrese de centrarse en el
viaje de transformación en toda la
organización. Aproveche los
componentes básicos de la arquitectura
empresarial, los componentes de
gobierno y el ecosistema de la
organización, incluidos los servicios
proporcionados externamente y las
capacidades relacionadas, para permitir
una respuesta confiable pero ágil y
eficiente a los objetivos estratégicos.

14
15
Gestión Alinear, planificar APO03 Arquitectura empresarial Establecer una arquitectura común que
y organizar gestionada consta de procesos de negocio,
información, datos, aplicaciones y capas
de arquitectura tecnológica. Cree
modelos y prácticas clave que describan
las arquitecturas de referencia y
objetivo, en línea con la estrategia
empresarial y de I&T. Defina requisitos
para taxonomía, estándares, pautas,
procedimientos, plantillas y
herramientas, y proporcione un vínculo
para estos componentes. Mejore la
alineación, aumente la agilidad, mejore
la calidad de la información y genere
ahorros de costos potenciales a través de
iniciativas como la reutilización de
componentes básicos.

16
17
Gestión Alinear, planificar APO04 Innovación gestionada Mantener un conocimiento de I&T y las
y organizar tendencias de servicios relacionados y
monitorear las tendencias tecnológicas
emergentes. Identifique de manera
proactiva oportunidades de innovación y
planifique cómo beneficiarse de la
innovación en relación con las
necesidades comerciales y la estrategia
de I&T definida. Analizar qué
oportunidades de innovación o mejora
empresarial pueden crearse mediante
tecnologías, servicios emergentes o
innovación empresarial habilitada por
I&T; a través de tecnologías establecidas
existentes; y por la innovación
empresarial y de procesos de TI. Influir
en la planificación estratégica y las
decisiones de arquitectura empresarial.

18
19
Gestión Alinear, planificar APO05 Cartera gestionada Ejecutar la dirección estratégica
y organizar establecida para las inversiones en línea
con la visión de la arquitectura
empresarial y la hoja de ruta de I&T.
Tenga en cuenta las diferentes
categorías de inversiones y las
limitaciones de recursos y financiación.
Evaluar, priorizar y equilibrar programas
y servicios, gestionando la demanda
dentro de las limitaciones de recursos y
financiación, en función de su alineación
con los objetivos estratégicos, el valor
empresarial y el riesgo. Mover los
programas seleccionados a la cartera de
productos o servicios activos para su
ejecución. Monitorear el desempeño de
la cartera general de productos y
servicios y programas, proponiendo
ajustes según sea necesario en respuesta
al desempeño del programa, producto o
servicio o prioridades cambiantes de la
empresa.

20
Gestión Alinear, planificar APO06 Presupuesto y costos Administre las actividades financieras
y organizar administrados relacionadas con I & T tanto en las
funciones comerciales como de TI,
cubriendo el presupuesto, la gestión de
costos y beneficios y la priorización del
gasto mediante el uso de prácticas
formales de presupuestación y un
sistema justo y equitativo de asignación
de costos a la empresa. Consulte a las
partes interesadas para identificar y
controlar los costos y beneficios totales
dentro del contexto de los planes
estratégicos y tácticos de I&T. Inicie
acciones correctivas donde sea
necesario.

21
22
Gestión Alinear, planificar APO07 Recursos humanos Proporcionar un enfoque estructurado
y organizar gestionados para asegurar una óptima contratación /
adquisición, planificación, evaluación y
desarrollo de los recursos humanos
(tanto internos como externos).

23
24
Gestión Alinear, planificar APO08 Relaciones administradas Gestione las relaciones con las partes
y organizar interesadas del negocio de una manera
formalizada y transparente que garantice
la confianza mutua y un enfoque
combinado en el logro de los objetivos
estratégicos dentro de las limitaciones
de los presupuestos y la tolerancia al
riesgo. Basar las relaciones en una
comunicación abierta y transparente, un
lenguaje común y la voluntad de asumir
la propiedad y la responsabilidad de las
decisiones clave de ambas partes. El
negocio y la TI deben trabajar juntos
para crear resultados empresariales
exitosos en apoyo de los objetivos
empresariales.

25
Gestión Alinear, planificar APO09 Acuerdos de servicios Alinee los productos, servicios y niveles
y organizar gestionados de servicio habilitados para I&T con las
necesidades y expectativas de la
empresa, incluida la identificación,
especificación, diseño, publicación,
acuerdo y monitoreo de productos y
servicios de I&T, niveles de servicio e
indicadores de desempeño.

26
Gestión Alinear, planificar APO10 Proveedores Administre productos y servicios
y organizar administrados relacionados con I&T proporcionados
por todo tipo de proveedores para
cumplir con los requisitos empresariales.
Esto incluye la búsqueda y selección de
proveedores, la gestión de relaciones, la
gestión de contratos y la revisión y
seguimiento del desempeño y el
ecosistema de proveedores (incluida la
cadena de suministro ascendente) para
determinar la eficacia y el cumplimiento.

27
Gestión Alinear, planificar APO11 Calidad gestionada Definir y comunicar los requisitos de
y organizar calidad en todos los procesos,
procedimientos y resultados
empresariales relacionados. Habilite los
controles, el monitoreo continuo y el uso
de prácticas y estándares comprobados
en los esfuerzos de mejora continua y
eficiencia.

28
Gestión Alinear, planificar APO12 Riesgo gestionado Identifique, evalúe y reduzca
y organizar continuamente los riesgos relacionados
con la I&T dentro de los niveles de
tolerancia establecidos por la dirección
ejecutiva de la empresa.

29
Gestión Alinear, planificar APO13 Seguridad gestionada Definir, operar y monitorear un sistema
y organizar para la seguridad de la información y la
gestión de la privacidad.

30
Gestión Alinear, planificar APO14 Datos gestionados Logre y mantenga una gestión eficaz de
y organizar los activos de datos empresariales a lo
largo del ciclo de vida de los datos, desde
la creación hasta la entrega, el
mantenimiento y el archivo.

31
32
Gestión Construir, BAI01 Programas gestionados Administre todos los programas de la
adquirir e cartera de inversiones en alineación con
implementar la estrategia empresarial y de manera
coordinada, con base en un enfoque de
gestión de programas estándar. Iniciar,
planificar, controlar y ejecutar
programas y monitorear el valor
esperado del programa.

33
34
35
Gestión Construir, BAI02 Definición de requisitos Identifique las soluciones y analice los
adquirir e gestionados requisitos antes de la adquisición o
implementar creación para asegurarse de que se
alinean con los requisitos estratégicos de
la empresa que cubren los procesos
comerciales, las aplicaciones, la
información / datos, la infraestructura y
los servicios. Coordinar la revisión de
opciones factibles con las partes
interesadas afectadas, incluidos los
costos y beneficios relativos, el análisis
de riesgos y la aprobación de los
requisitos y las soluciones propuestas.

36
Gestión Construir, BAI03 Identificación y Establecer y mantener productos y
adquirir e construcción de servicios identificados (tecnología,
implementar soluciones administradas procesos comerciales y flujos de trabajo)
de acuerdo con los requisitos
empresariales que cubren el diseño, el
desarrollo, la adquisición /
abastecimiento y la asociación con los
proveedores. Gestione la configuración,
preparación de pruebas, pruebas,
gestión de requisitos y mantenimiento
de procesos de negocio, aplicaciones,
información / datos, infraestructura y
servicios.

37
38
39
Gestión Construir, BAI04 Disponibilidad y Equilibre las necesidades actuales y
adquirir e capacidad administradas futuras de disponibilidad, rendimiento y
implementar capacidad con una prestación de
servicios rentable. Incluya la evaluación
de las capacidades actuales, la previsión
de las necesidades futuras basadas en
los requisitos comerciales, el análisis de
los impactos comerciales y la evaluación
del riesgo para planificar e implementar
acciones para cumplir con los requisitos
identificados.

40
41
Gestión Construir, BAI05 Cambio organizacional Maximice la probabilidad de
adquirir e gestionado implementar con éxito un cambio
implementar organizacional sostenible en toda la
empresa de forma rápida y con un riesgo
reducido. Cubre el ciclo de vida completo
del cambio y todas las partes interesadas
afectadas en el negocio y la TI.

42
Gestión Construir, BAI06 Cambios de TI Administre todos los cambios de manera
adquirir e gestionados controlada, incluidos los cambios
implementar estándar y el mantenimiento de
emergencia relacionados con los
procesos comerciales, las aplicaciones y
la infraestructura. Esto incluye
estándares y procedimientos de cambio,
evaluación de impacto, priorización y
autorización, cambios de emergencia,
seguimiento, informes, cierre y
documentación.

43
Gestión Construir, BAI07 Aceptación y transición Aceptar formalmente y poner en
adquirir e de cambios de TI funcionamiento nuevas soluciones.
implementar administrados Incluya la planificación de la
implementación, la conversión de datos
y sistemas, las pruebas de aceptación, la
comunicación, la preparación del
lanzamiento, la promoción a la
producción de procesos comerciales
nuevos o modificados y servicios de I&T,
soporte de producción inicial y una
revisión posterior a la implementación.

44
45
Gestión Construir, BAI08 Conocimiento gestionado Mantener la disponibilidad de
adquirir e información de gestión y conocimiento
implementar relevante, actual, validada y confiable
para respaldar todas las actividades del
proceso y facilitar la toma de decisiones
relacionadas con el gobierno y la gestión
de la I&T empresarial. Planificar la
identificación, recopilación, organización,
mantenimiento, uso y retiro de
conocimientos.

46
Gestión Construir, BAI09 Activos gestionados Administre los activos de I&T a lo largo
adquirir e de su ciclo de vida para asegurarse de
implementar que su uso genere valor a un costo
óptimo, que permanezcan operativos
(aptos para el propósito) y que estén
contabilizados y protegidos físicamente.
Asegúrese de que los activos que son
críticos para respaldar la capacidad del
servicio sean confiables y estén
disponibles. Administre las licencias de
software para garantizar que se
adquiera, conserve e implemente la
cantidad óptima en relación con el uso
comercial requerido, y que el software
instalado cumpla con los acuerdos de
licencia.

47
Gestión Construir, BAI10 Configuración gestionada Definir y mantener descripciones y
adquirir e relaciones entre los recursos y
implementar capacidades clave necesarios para
brindar servicios habilitados para I&T.
Incluya la recopilación de información de
configuración, el establecimiento de
líneas de base, la verificación y auditoría
de la información de configuración y la
actualización del depósito de
configuración.

48
Gestión Construir, BAI11 Proyectos gestionados Administre todos los proyectos que se
adquirir e inician dentro de la empresa en
implementar alineación con la estrategia empresarial y
de una manera coordinada basada en el
enfoque de gestión de proyectos
estándar. Inicie, planifique, controle y
ejecute proyectos, y cierre con una
revisión posterior a la implementación.

49
50
Gestión Entrega, servicio DSS01 Operaciones gestionadas Coordinar y ejecutar las actividades y los
y soporte procedimientos operativos necesarios
para brindar servicios de I&T internos y
subcontratados. Incluir la ejecución de
procedimientos operativos estándar
predefinidos y las actividades de
monitoreo requeridas.

51
Gestión Entrega, servicio DSS02 Solicitudes e incidentes Brindar respuesta oportuna y efectiva a
y soporte de servicios gestionados las solicitudes de los usuarios y
resolución de todo tipo de incidencias.
Restaurar el servicio normal; registrar y
cumplir con las solicitudes de los
usuarios; y registrar, investigar,
diagnosticar, escalar y resolver
incidentes.

52
Gestión Entrega, servicio DSS03 Problemas gestionados Identificar y clasificar problemas y sus
y soporte causas fundamentales. Brinde una
resolución oportuna para evitar
incidentes recurrentes. Brindar
recomendaciones para mejoras.

53
Gestión Entrega, servicio DSS04 Continuidad gestionada Establezca y mantenga un plan para
y soporte permitir que las organizaciones
comerciales y de TI respondan a los
incidentes y se adapten rápidamente a
las interrupciones. Esto permitirá
operaciones continuas de procesos
comerciales críticos y servicios de I&T
requeridos y mantendrá la disponibilidad
de recursos, activos e información a un
nivel aceptable para la empresa.

54
55
Gestión Entrega, servicio DSS05 Servicios de seguridad Proteja la información empresarial para ma
y soporte gestionados

56
57
Gestión Entrega, servicio DSS06 Controles de procesos de Definir y mantener controles de procesos
y soporte negocio gestionados de negocio apropiados para asegurar
que la información relacionada y
procesada por procesos de negocio
internos o subcontratados satisfaga
todos los requisitos de control de
información relevantes. Identificar los
requisitos de control de información
relevantes. Gestionar y operar controles
adecuados de entrada, rendimiento y
salida (controles de aplicación) para
garantizar que la información y el
procesamiento de la información
satisfagan estos requisitos.

58
59
Gestión Monitorear, MEA01 Supervisión gestionada Recopile, valide y evalúe los objetivos y
evaluar y evaluar del rendimiento y la métricas de alineación y de la empresa.
conformidad Supervise que los procesos y las prácticas
se estén desempeñando en función de
los objetivos y métricas de rendimiento y
conformidad acordados. Proporcione
informes que sean sistemáticos y
oportunos.

60
Gestión Monitorear, MEA02 Sistema gestionado de Monitorear y evaluar continuamente el
evaluar y evaluar control interno entorno de control, incluidas las
autoevaluaciones y la autoconciencia.
Permitir a la gerencia identificar
deficiencias e ineficiencias de control e
iniciar acciones de mejora. Planificar,
organizar y mantener estándares para la
evaluación del control interno y la
eficacia del control de procesos.

61
62
Gestión Monitorear, MEA03 Cumplimiento gestionado Evaluar que los procesos de I&T y los
evaluar y evaluar de requisitos externos procesos comerciales respaldados por
I&T cumplen con las leyes, regulaciones y
requisitos contractuales. Obtener la
seguridad de que se han identificado y
cumplido los requisitos; integre el
cumplimiento de TI con el cumplimiento
general de la empresa.

63
Gestión Monitorear, MEA04 Garantía gestionada Planifique, alcance y ejecute iniciativas
evaluar y evaluar de aseguramiento para cumplir con los
requisitos internos, leyes, regulaciones y
objetivos estratégicos. Permitir a la
gerencia brindar un aseguramiento
adecuado y sostenible en la empresa
mediante la realización de actividades y
revisiones de aseguramiento
independientes.

64
65
 ierno y gestión en COBIT® 2019.
tivos de gobernanza y gestión.

Declaración del propósito del objetivo ID de práctica Nombre de la práctica

Proporcionar un enfoque coherente integrado EDM01.01 Evaluar el sistema de

y alineado con el enfoque de gobierno gobernanza.
empresarial. Las decisiones relacionadas con
I&T se toman de acuerdo con las estrategias y
objetivos de la empresa y se logra el valor
deseado. Con ese fin, asegúrese de que los
procesos relacionados con la I&T se supervisen
de manera eficaz y transparente; se confirma el
cumplimiento de los requisitos legales,
contractuales y reglamentarios; y se cumplen
los requisitos de gobernanza para los miembros
de la junta.

66
 EDM01.02 Dirigir el sistema de
gobernanza.

EDM01.03 Monitorear el sistema de

gobierno.

Asegurar un valor óptimo de las iniciativas, los EDM02.01 Establecer la mezcla de

servicios y los activos habilitados para I&T; inversiones objetivo.
entrega rentable de soluciones y servicios; y
una imagen confiable y precisa de los costos y
los posibles beneficios para que las
necesidades comerciales sean respaldadas de
manera efectiva y eficiente.

EDM02.02 Evaluar la optimización del

valor.

67
 EDM02.03 Optimización de valor
directo.

EDM02.04 Supervisar la optimización

del valor.

Asegúrese de que el riesgo empresarial EDM03.01 Evaluar la gestión de

relacionado con I&T no supere el apetito de riesgos.
riesgo y la tolerancia al riesgo de la empresa,
que se identifique y gestione el impacto del
riesgo de I&T en el valor empresarial y se
minimice el potencial de fallas de
cumplimiento.

EDM03.02 Gestión de riesgo directo.

EDM03.03 Supervisar la gestión de

riesgos.

Asegúrese de que las necesidades de recursos EDM04.01 Evaluar la gestión de

de la empresa se satisfagan de manera óptima, recursos.
los costos de I&T se optimicen y haya una
mayor probabilidad de realización de
beneficios y preparación para cambios futuros.

68
 EDM04.02 Gestión directa de recursos.

EDM04.03 Supervisar la gestión de

recursos.

Asegúrese de que las partes interesadas EDM05.01 Evaluar la participación de

apoyen la estrategia y la hoja de ruta de I&T, las partes interesadas y los
que la comunicación con las partes interesadas requisitos de presentación
sea eficaz y oportuna, y que se establezca la de informes.
base para la presentación de informes para
aumentar el rendimiento. Identificar áreas de
mejora y confirmar que los objetivos y
estrategias relacionados con I&T estén
alineados con la estrategia de la empresa.

EDM05.02 Participación, comunicación

y presentación de informes
directos con las partes
interesadas.

69
 EDM05.03 Monitorear la participación
de las partes interesadas.

Implementar un enfoque de gestión coherente APO01.01 Diseñar el sistema de

para que se cumplan los requisitos de gestión de I&T empresarial.
gobernanza empresarial, que cubra
componentes de gobernanza como los
procesos de gestión; Estructuras
organizacionales; funciones y
responsabilidades; actividades confiables y
repetibles; elementos de información; Policias
y procedimientos; destrezas y competencias;
cultura y comportamiento; y servicios,
infraestructura y aplicaciones

APO01.02 Comunicar los objetivos de

gestión, la dirección y las
decisiones tomadas.

70
APO01.03 Implementar procesos de
gestión (para apoyar el
logro de los objetivos de
gobernanza y gestión).

APO01.04 Definir e implementar las

estructuras
organizacionales.

APO01.05 Establece roles y

responsabilidades.

APO01.06 Optimice la ubicación de la

función de TI.

APO01.07 Definir información (datos)

y propiedad del sistema.

71
APO01.08 Definir habilidades y
competencias objetivo.

APO01.09 Definir y comunicar

políticas y procedimientos.

APO01.10 Definir e implementar

infraestructura, servicios y
aplicaciones para respaldar
el sistema de gobierno y
gestión.

APO01.11 Gestionar la mejora

continua del sistema de
gestión de I&T.

72
Apoye la estrategia de transformación digital APO02.01 Comprender el contexto y
de la organización y entregue el valor deseado la dirección de la empresa.
a través de una hoja de ruta de cambios
incrementales. Utilice un enfoque holístico de
I&T, asegurándose de que cada iniciativa esté
claramente conectada a una estrategia global.
Permitir el cambio en todos los diferentes
aspectos de la organización, desde los canales y
procesos hasta los datos, la cultura, las
habilidades, el modelo operativo y los
incentivos.

APO02.02 Evalúe las capacidades, el

rendimiento y la madurez
digital actuales de la
empresa.

73
APO02.03 Defina las capacidades
digitales objetivo.

APO02.04 Realice un análisis de

brechas.

APO02.05 Definir el plan estratégico y

hoja de ruta.

APO02.06 Comunicar la estrategia y

dirección de I&T.

74
Representar los diferentes bloques de APO03.01 Desarrollar la visión de la
construcción que conforman la empresa y sus arquitectura empresarial.
interrelaciones, así como los principios que
guían su diseño y evolución en el tiempo, para
permitir una entrega estándar, receptiva y
eficiente de los objetivos operativos y
estratégicos.

APO03.02 Defina la arquitectura de

referencia.

75
APO03.03 Seleccione oportunidades y
soluciones.

APO03.04 Definir la implementación

de la arquitectura.

APO03.05 Brindar servicios de

arquitectura empresarial.

76
Logre una ventaja competitiva, innovación APO04.01 Crear un entorno propicio
empresarial, una mejor experiencia del cliente para la innovación.
y una mayor eficacia y eficiencia operativa
mediante la explotación de los desarrollos de
I&T y las tecnologías emergentes.

APO04.02 Mantener una comprensión

del entorno empresarial.

77
APO04.03 Supervisar y escanear el
entorno tecnológico.

APO04.04 Evaluar el potencial de las

tecnologías emergentes y
las ideas innovadoras.

APO04.05 Recomendar nuevas

iniciativas apropiadas.

APO04.06 Monitorear la
implementación y el uso de
la innovación.

78
Optimice el rendimiento de la cartera general APO05.01 Determine la disponibilidad
de programas en respuesta al rendimiento de y fuentes de fondos.
los programas, productos y servicios
individuales y las prioridades y la demanda
cambiantes de la empresa.

APO05.02 Evaluar y seleccionar

programas a financiar.

79
 APO05.03 Supervisar, optimizar e
informar sobre el
rendimiento de la cartera
de inversiones.

APO05.04 Mantener carteras.

APO05.05 Gestionar el logro de

beneficios.

Fomentar una asociación entre TI y las partes APO06.01 Administrar finanzas y

interesadas de la empresa para permitir el uso contabilidad.
eficaz y eficiente de los recursos relacionados
con I&T y brindar transparencia y
responsabilidad sobre el costo y el valor
comercial de las soluciones y servicios. Permita
que la empresa tome decisiones informadas
con respecto al uso de soluciones y servicios de
I&T.

80
APO06.02 Priorizar la asignación de
recursos.

APO06.03 Crea y mantén

presupuestos.

APO06.04 Modele y asigne costos.

APO06.05 Gestionar costes.

81
Optimice las capacidades de recursos humanos APO07.01 Adquirir y mantener una
para cumplir con los objetivos empresariales. dotación de personal
adecuada y apropiada.

APO07.02 Identifique al personal

clave de TI.

APO07.03 Mantener las habilidades y

competencias del personal.

82
APO07.04 Evaluar y reconocer /
recompensar el desempeño
laboral de los empleados.

APO07.05 Planifique y realice un

seguimiento del uso de los
recursos humanos
empresariales y de TI.

APO07.06 Gestionar personal

contratado.

83
Habilite el conocimiento, las habilidades y los APO08.01 Comprenda las expectativas
comportamientos adecuados para crear comerciales.
mejores resultados, mayor confianza, confianza
mutua y un uso eficaz de los recursos que
estimulen una relación productiva con las
partes interesadas del negocio.

APO08.02 Alinee la estrategia de I&T

con las expectativas
comerciales e identifique
oportunidades para que TI
mejore el negocio.

84
 APO08.03 Gestionar la relación
comercial.

APO08.04 Coordinar y comunicar.

APO08.05 Proporcionar información

para la mejora continua de
los servicios.

Asegúrese de que los productos, servicios y APO09.01 Identificar los servicios de

niveles de servicio de I&T satisfagan las I&T.
necesidades empresariales actuales y futuras.

APO09.02 Catálogo de servicios

habilitados para I & T.

APO09.03 Definir y preparar acuerdos

de servicio.

85
 APO09.04 Supervisar e informar los
niveles de servicio.

APO09.05 Revise los acuerdos y

contratos de servicio.

Optimice las capacidades de I&T disponibles APO10.01 Identificar y evaluar las

para respaldar la estrategia y la hoja de ruta de relaciones y los contratos
I&T, minimizar el riesgo asociado con los con los proveedores.
proveedores que no cumplen o no cumplen las
normas, y asegura precios competitivos.

APO10.02 Seleccionar proveedores.

86
 APO10.03 Gestione las relaciones y los
contratos con los
proveedores.

APO10.04 Gestione el riesgo de los

proveedores.

APO10.05 Supervise el desempeño y

el cumplimiento de los
proveedores.

Asegure la entrega consistente de soluciones y APO11.01 Establecer un sistema de

servicios tecnológicos para cumplir con los gestión de la calidad (SGC).
requisitos de calidad de la empresa y satisfacer
las necesidades de las partes interesadas.

APO11.02 Centrar la gestión de la

calidad en los clientes.

87
 APO11.03 Gestionar estándares,
prácticas y procedimientos
de calidad e integrar la
gestión de la calidad en los
procesos y soluciones clave.

APO11.04 Realizar seguimiento,

control y revisiones de la
calidad.

APO11.05 Mantener la mejora

continua.

Integre la gestión del riesgo empresarial APO12.01 Recolectar datos.

relacionado con I&T con la gestión general del
riesgo empresarial (ERM) y equilibre los costos
y beneficios de la gestión del riesgo
empresarial relacionado con I&T.

88
 APO12.02 Analice el riesgo.

APO12.03 Mantener un perfil de

riesgo.

APO12.04 Riesgo articulado.

APO12.05 Definir una cartera de

acciones de gestión de
riesgos.

APO12.06 Responda al riesgo.

Mantenga el impacto y la ocurrencia de APO13.01 Establecer y mantener un

incidentes de privacidad y seguridad de la sistema de gestión de
información dentro de los niveles de apetito seguridad de la información
por el riesgo de la empresa. (SGSI).

89
 APO13.02 Definir y gestionar un plan
de tratamiento de riesgos
para la seguridad de la
información.

APO13.03 Monitorear y revisar el

sistema de gestión de
seguridad de la información
(SGSI).

Garantice la utilización eficaz de los activos de APO14.01 Definir y comunicar la

datos críticos para lograr las metas y los estrategia de gestión de
objetivos de la empresa. datos de la organización y
los roles y
responsabilidades.

APO14.02 Defina y mantenga un

glosario empresarial
coherente.

90
APO14.03 Establecer los procesos y la
infraestructura para la
gestión de metadatos.

APO14.04 Defina una estrategia de

calidad de datos.

APO14.05 Establecer metodologías,

procesos y herramientas de
elaboración de perfiles de
datos.

APO14.06 Garantizar un enfoque de

evaluación de la calidad de
los datos.

APO14.07 Defina el enfoque de

limpieza de datos.

91
 APO14.08 Gestione el ciclo de vida de
los activos de datos.

APO14.09 Apoyar el archivo y la

retención de datos.

APO14.10 Gestione los arreglos de

copia de seguridad y
restauración de datos.

Obtenga el valor comercial deseado y reduzca BAI01.01 Mantener un enfoque

el riesgo de retrasos inesperados, costos y estándar para la gestión de
erosión del valor. Para hacerlo, mejore las programas.
comunicaciones y la participación de las
empresas y los usuarios finales, garantice el
valor y la calidad de los entregables del
programa y el seguimiento de los proyectos
dentro de los programas, y maximice la
contribución del programa a la cartera de
inversiones.

92
BAI01.02 Inicie un programa.

BAI01.03 Gestionar la participación

de las partes interesadas.

BAI01.04 Desarrollar y mantener el

plan del programa.

93
BAI01.05 Inicie y ejecute el
programa.

BAI01.06 Monitorear, controlar e

informar sobre los
resultados del programa.

BAI01.07 Gestionar la calidad del

programa.

BAI01.08 Gestionar el riesgo del

programa.

94
 BAI01.09 Cerrar un programa.

Cree soluciones óptimas que satisfagan las BAI02.01 Definir y mantener los
necesidades de la empresa y minimicen el requisitos técnicos y
riesgo. funcionales del negocio.

BAI02.02 Realizar un estudio de

viabilidad y formular
alternativas de solución.

BAI02.03 Gestionar el riesgo de

requisitos.

95
 BAI02.04 Obtenga aprobación de
requisitos y soluciones.

Garantice la entrega ágil y escalable de BAI03.01 Diseñar soluciones de alto

productos y servicios digitales. Establezca nivel.
soluciones oportunas y rentables (tecnología,
procesos comerciales y flujos de trabajo)
capaces de respaldar los objetivos estratégicos
y operativos de la empresa.

96
BAI03.02 Diseñe componentes de
solución detallados.

BAI03.03 Desarrollar componentes

de la solución.

BAI03.04 Adquirir componentes de la

solución.

97
BAI03.05 Construye soluciones.

BAI03.06 Realizar control de calidad

(QA).

BAI03.07 Prepárese para la prueba

de la solución.

BAI03.08 Ejecute la prueba de la

solución.

BAI03.09 Gestionar cambios en los

requisitos.

98
 BAI03.10 Mantener soluciones.

BAI03.11 Definir productos y

servicios de TI y mantener
la cartera de servicios.

BAI03.12 Diseñar soluciones basadas

en la metodología de
desarrollo definida.

Mantener la disponibilidad del servicio, la BAI04.01 Evalúe la disponibilidad, el

gestión eficiente de los recursos y la rendimiento y la capacidad
optimización del rendimiento del sistema actuales y cree una línea de
mediante la predicción del rendimiento futuro base.
y los requisitos de capacidad.

99
BAI04.02 Evaluar el impacto
empresarial.

BAI04.03 Planifique los requisitos de

servicio nuevos o
modificados.

BAI04.04 Supervisar y revisar la

disponibilidad y la
capacidad.

BAI04.05 Investigar y abordar

problemas de
disponibilidad, rendimiento
y capacidad.

100
Prepare y comprometa a las partes interesadas BAI05.01 Establece el deseo de
para el cambio empresarial y reduzca el riesgo cambiar.
de fallas.

BAI05.02 Forme un equipo de

implementación eficaz.

BAI05.03 Comunique la visión

deseada.

BAI05.04 Empoderar a los jugadores

de rol e identificar logros a
corto plazo.

BAI05.05 Habilite la operación y el

uso.

101
 BAI05.06 Incorporar nuevos
enfoques.

BAI05.07 Mantener los cambios.

Habilite la entrega rápida y confiable de BAI06.01 Evaluar, priorizar y

cambios a la empresa. Mitigue el riesgo de autorizar solicitudes de
afectar negativamente la estabilidad o la cambio.
integridad del entorno modificado.

BAI06.02 Gestionar cambios de

emergencia.

102
 BAI06.03 Rastree e informe el estado
del cambio.

BAI06.04 Cierre y documente los

cambios.

Implementar soluciones de forma segura y BAI07.01 Establece un plan de

acorde con las expectativas y resultados implementación.
acordados.

BAI07.02 Planifique el proceso

empresarial, el sistema y la
conversión de datos.

103
BAI07.03 Planifique las pruebas de
aceptación.

BAI07.04 Establezca un entorno de

prueba.

BAI07.05 Realice pruebas de

aceptación.

BAI07.06 Promocionar a producción

y gestionar lanzamientos.

BAI07.07 Brindar soporte de

producción temprano.

104
 BAI07.08 Realice una revisión
posterior a la
implementación.

Proporcionar el conocimiento y la información BAI08.01 Identificar y clasificar

necesarios para apoyar a todo el personal en el fuentes de información
gobierno y la gestión de I&T empresarial y para la gobernanza y
permitir una toma de decisiones informada. gestión de I&T.

BAI08.02 Organizar y contextualizar

la información en
conocimiento.

105
 BAI08.03 Utilice y comparta
conocimientos.

BAI08.04 Evaluar y actualizar o retirar

información.

Tenga en cuenta todos los activos de I&T y BAI09.01 Identificar y registrar

optimice el valor proporcionado por su uso. activos corrientes.

BAI09.02 Gestione activos críticos.

106
 BAI09.03 Gestionar el ciclo de vida de
los activos.

BAI09.04 Optimice el valor de los

activos.

BAI09.05 Gestionar licencias.

Proporcionar información suficiente sobre los BAI10.01 Establecer y mantener un

activos del servicio para permitir que el servicio modelo de configuración.
se gestione de forma eficaz. Evalúe el impacto
de los cambios y aborde los incidentes de
servicio.

BAI10.02 Establecer y mantener un

repositorio de
configuración y una línea
de base.

107
 BAI10.03 Mantener y controlar los
elementos de
configuración.

BAI10.04 Genere informes de estado

y configuración.

BAI10.05 Verifique y revise la

integridad del repositorio
de configuración.

Obtenga resultados definidos del proyecto y BAI11.01 Mantener un enfoque

reduzca el riesgo de retrasos inesperados, estándar para la gestión de
costos y erosión del valor al mejorar las proyectos.
comunicaciones y la participación de la
empresa y los usuarios finales. Asegurar el
valor y la calidad de los entregables del
proyecto y maximizar su contribución a los
programas definidos y la cartera de
inversiones.

BAI11.02 Poner en marcha e iniciar

un proyecto.

108
BAI11.03 Gestionar la participación
de las partes interesadas.

BAI11.04 Desarrollar y mantener el

plan del proyecto.

BAI11.05 Gestionar la calidad del

proyecto.

BAI11.06 Gestionar el riesgo del

proyecto.

109
 BAI11.07 Monitorear y controlar
proyectos.

BAI11.08 Gestione los recursos del

proyecto y los paquetes de
trabajo.

BAI11.09 Cierre un proyecto o

iteración.

Entregue los resultados de servicios y DSS01.01 Realizar procedimientos

productos operativos de I&T según lo operativos.
planeado.

110
 DSS01.02 Gestionar servicios de I&T
subcontratados.

DSS01.03 Monitorear la
infraestructura de I&T.

DSS01.04 Manejar el medio

ambiente.

DSS01.05 Gestionar instalaciones.

Consiga una mayor productividad y minimice DSS02.01 Definir esquemas de

las interrupciones mediante la resolución clasificación para incidentes
rápida de las consultas y los incidentes de los y solicitudes de servicio.
usuarios. Evalúe el impacto de los cambios y
aborde los incidentes de servicio. Resuelva las
solicitudes de los usuarios y restaure el servicio
en respuesta a incidentes.

DSS02.02 Registra, clasifica y prioriza

solicitudes e incidencias.

111
 DSS02.03 Verificar, aprobar y cumplir
con las solicitudes de
servicio.

DSS02.04 Investigar, diagnosticar y

asignar incidencias.

DSS02.05 Resolver y recuperarse de

incidentes.

DSS02.06 Cerrar solicitudes de

servicio e incidencias.

DSS02.07 Realice un seguimiento del

estado y genere informes.

Aumente la disponibilidad, mejore los niveles DSS03.01 Identificar y clasificar

de servicio, reduzca los costos, mejore la problemas.
conveniencia y la satisfacción del cliente al
reducir el número de problemas operativos e
identifique las causas fundamentales como
parte de la resolución de problemas.

DSS03.02 Investigar y diagnosticar

problemas.

112
 DSS03.03 Plantea errores conocidos.

DSS03.04 Resolver y cerrar

problemas.

DSS03.05 Realice una gestión

proactiva de problemas.

Adáptese rápidamente, continúe las DSS04.01 Definir la política, objetivos

operaciones comerciales y mantenga la y alcance de continuidad
disponibilidad de recursos e información a un del negocio.
nivel aceptable para la empresa en caso de una
interrupción significativa (por ejemplo,
amenazas, oportunidades, demandas).

113
DSS04.02 Mantener la resiliencia
empresarial.

DSS04.03 Desarrollar e implementar

una respuesta de
continuidad empresarial.

DSS04.04 Ejercite, pruebe y revise el

plan de continuidad del
negocio (BCP) y el plan de
respuesta a desastres
(DRP).

DSS04.05 Revisar, mantener y

mejorar los planes de
continuidad.

DSS04.06 Llevar a cabo la

capacitación del plan de
continuidad.

114
 DSS04.07 Administrar los arreglos de
respaldo.

DSS04.08 Realice una revisión

posterior a la reanudación.

Minimice el impacto comercial de la seguridad DSS05.01 Protéjase contra software

de la información operativa y las malintencionado.
vulnerabilidades e incidentes de privacidad.

DSS05.02 Gestione la seguridad de la

red y la conectividad.

DSS05.03 Gestione la seguridad de los

terminales.

DSS05.04 Gestione la identidad del

usuario y el acceso lógico.

115
DSS05.05 Gestione el acceso físico a
los activos de I&T.

DSS05.06 Gestione documentos

confidenciales y
dispositivos de salida.

DSS05.07 Gestione las

vulnerabilidades y
supervise la infraestructura
para detectar eventos
relacionados con la
seguridad.

116
Mantener la integridad de la información y la DSS06.01 Alinee las actividades de
seguridad de los activos de información control integradas en los
manejados dentro de los procesos comerciales procesos comerciales con
en la empresa o su operación subcontratada. los objetivos empresariales.

DSS06.02 Controlar el procesamiento

de la información.

117
DSS06.03 Gestione roles,
responsabilidades,
privilegios de acceso y
niveles de autoridad.

DSS06.04 Gestione errores y

excepciones.

DSS06.05 Garantizar la trazabilidad y

la responsabilidad de los
eventos de información.

118
 DSS06.06 Activos de información
seguros.

Brindar transparencia en el desempeño y la MEA01.01 Establecer un enfoque de

conformidad e impulsar el logro de los seguimiento.
objetivos.

MEA01.02 Establezca objetivos de

rendimiento y
cumplimiento.

MEA01.03 Recopile y procese datos de

rendimiento y
conformidad.

119
 MEA01.04 Analizar y reportar el
desempeño.

MEA01.05 Asegurar la
implementación de
acciones correctivas.

Obtener transparencia para las partes MEA02.01 Supervisar los controles

interesadas clave sobre la idoneidad del internos.
sistema de controles internos y así brindar
confianza en las operaciones, confianza en el
logro de los objetivos de la empresa y una
comprensión adecuada del riesgo residual.

120
MEA02.02 Revisar la efectividad de los
controles de los procesos
comerciales.

MEA02.03 Realizar autoevaluaciones

de control.

MEA02.04 Identificar y reportar

deficiencias de control.

121
Asegúrese de que la empresa cumpla con todos MEA03.01 Identificar los requisitos de
los requisitos externos aplicables. cumplimiento externos.

MEA03.02 Optimice la respuesta a los

requisitos externos.

MEA03.03 Confirme el cumplimiento

externo.

MEA03.04 Obtenga garantía de

cumplimiento externo.

122
Permitir a la organización diseñar y desarrollar MEA04.01 Asegúrese de que los
iniciativas de aseguramiento eficientes y proveedores de
efectivas, proporcionando orientación sobre la aseguramiento sean
planificación, determinación del alcance, independientes y estén
ejecución y seguimiento de las revisiones de calificados.
aseguramiento, utilizando una hoja de ruta
basada en enfoques de aseguramiento bien
aceptados.

MEA04.02 Desarrollar una

planificación basada en
riesgos de las iniciativas de
aseguramiento.

MEA04.03 Determine los objetivos de

la iniciativa de
aseguramiento.

MEA04.04 Definir el alcance de la

iniciativa de
aseguramiento.

MEA04.05 Definir el programa de

trabajo para la iniciativa de
aseguramiento.

123
MEA04.06 Ejecute la iniciativa de
aseguramiento,
enfocándose en la
efectividad del diseño.

MEA04.07 Ejecutar la iniciativa de

aseguramiento,
enfocándose en la
efectividad operativa.

MEA04.08 Informar y dar seguimiento

a la iniciativa de
aseguramiento.

MEA04.09 Dar seguimiento a

recomendaciones y
acciones.

124
Descripción de la práctica

Identifique e interactúe continuamente con las partes

interesadas de la empresa, documente la comprensión de los
requisitos y evalúe el diseño actual y futuro del gobierno de la
I&T empresarial.

125
Informar a los líderes sobre los principios de gobernanza de
I&T y obtener su apoyo, aceptación y compromiso. Orientar
las estructuras, procesos y prácticas para la gobernanza de
I&T de acuerdo con los principios de gobernanza acordados,
los modelos de toma de decisiones y los niveles de autoridad.
Definir la información necesaria para la toma de decisiones
informada.

Monitorear la efectividad y el desempeño del gobierno de I&T

de la empresa. Evaluar si el sistema de gobierno y los
mecanismos implementados (incluidas las estructuras, los
principios y los procesos) están operando de manera efectiva
y proporcionar una supervisión adecuada de I&T para permitir
la creación de valor.

Revisar y asegurar la claridad de las estrategias empresariales

y de I&T y los servicios actuales. Defina una combinación de
inversiones adecuada basada en el costo, la alineación con la
estrategia, el tipo de beneficio para los programas en la
cartera, el grado de riesgo y las medidas financieras como el
costo y el retorno esperado de la inversión (ROI) durante todo
el ciclo de vida económico. Ajustar las estrategias
empresariales y de I&T cuando sea necesario.

Evalúe continuamente la cartera de inversiones, servicios y

activos habilitados para I&T para determinar la probabilidad
de lograr los objetivos empresariales y generar valor.
Identificar y evaluar cualquier cambio en la dirección de la
gestión que optimizará la creación de valor.

126
Principios y prácticas de gestión de valor directo para permitir
la realización óptima del valor de las inversiones habilitadas
para I&T a lo largo de su ciclo de vida económico completo.

Supervise los objetivos y métricas clave para determinar si la

empresa recibe el valor esperado y se beneficia de las
inversiones y los servicios habilitados para I&T. Identifique
problemas importantes y considere acciones correctivas.

Examinar y evaluar continuamente el efecto del riesgo sobre

el uso actual y futuro de I&T en la empresa. Considere si el
apetito por el riesgo de la empresa es apropiado y asegúrese
de que el riesgo para el valor de la empresa relacionado con el
uso de I&T se identifique y gestione.

Dirigir el establecimiento de prácticas de gestión de riesgos

para proporcionar una seguridad razonable de que las
prácticas de gestión de riesgos de I&T son apropiadas y que el
riesgo de I&T real no excede el apetito de riesgo de la junta.

Monitorear los objetivos y métricas clave de los procesos de

gestión de riesgos. Determine cómo se identificarán,
rastrearán e informarán las desviaciones o problemas para su
reparación.

Examinar y evaluar continuamente la necesidad actual y

futura de recursos comerciales y de I&T (financieros y
humanos), opciones de recursos (incluidas estrategias de
abastecimiento) y principios de asignación y administración
para satisfacer las necesidades de la empresa de manera
óptima.

127
Garantizar la adopción de principios de gestión de recursos
para permitir un uso óptimo de los recursos comerciales y de
I&T a lo largo de su ciclo de vida económico completo.

Supervisar los objetivos y métricas clave de los procesos de

gestión de recursos. Determine cómo se identificarán,
rastrearán e informarán las desviaciones o problemas para su
reparación.

Examinar y evaluar continuamente los requisitos actuales y

futuros para la participación de las partes interesadas y la
presentación de informes (incluidos los informes exigidos por
los requisitos reglamentarios) y la comunicación a otras partes
interesadas. Establezca principios para interactuar y
comunicarse con las partes interesadas.

Asegurar el establecimiento de una participación,

comunicación e informes efectivos de las partes interesadas,
incluidos los mecanismos para garantizar la calidad y la
integridad de la información, supervisar los informes
obligatorios y crear una estrategia de comunicación para las
partes interesadas.

128
Monitorear los niveles de participación de las partes
interesadas y la eficacia de la comunicación con las partes
interesadas. Evaluar los mecanismos para asegurar la
precisión, confiabilidad y efectividad, y determinar si se
cumplen los requisitos de las diferentes partes interesadas en
términos de informes y comunicación.

Diseñar un sistema de gestión adaptado a las necesidades de

la empresa. Las necesidades de gestión de la empresa se
definen mediante el uso de la cascada de objetivos y la
aplicación de factores de diseño. Asegúrese de que los
componentes de gobernanza estén integrados y alineados con
la filosofía de gobernanza y gestión y el estilo operativo de la
empresa.

Comunique la conciencia y promueva la comprensión de la

alineación y los objetivos de I&T a las partes interesadas en
toda la empresa. Comunicarse a intervalos regulares sobre
decisiones importantes relacionadas con I&T y su impacto
para la organización.

129
Defina los niveles de capacidad del proceso objetivo y la
prioridad de implementación según el diseño del sistema de
gestión.

Establecer las estructuras organizativas internas y extendidas

necesarias (por ejemplo, comités) según el diseño del sistema
de gestión, lo que permite una toma de decisiones eficaz y
eficiente. Asegúrese de que la tecnología y el conocimiento de
la información necesarios se incluyan en la composición de las
estructuras de gestión.

Defina y comunique roles y responsabilidades para la I&T

empresarial, incluidos los niveles de autoridad, las
responsabilidades y la rendición de cuentas.

Coloque las capacidades de TI en la estructura organizativa

general para reflejar la importancia estratégica y la
dependencia operativa de TI dentro de la empresa. La línea
jerárquica del CIO y la representación de TI dentro de la alta
dirección deben ser acordes con la importancia de I&T dentro
de la empresa.

Definir y mantener las responsabilidades de propiedad de la

información (datos) y los sistemas de información. Asegúrese
de que los propietarios clasifiquen la información y los
sistemas y los protejan de acuerdo con su clasificación.

130
Definir las habilidades y competencias necesarias para lograr
los objetivos de gestión relevantes.

Implementar procedimientos para mantener el cumplimiento

y la medición del desempeño de las políticas y otros
componentes del marco de control. Hacer cumplir las
consecuencias del incumplimiento o desempeño inadecuado.
Realice un seguimiento de las tendencias y el rendimiento y
considérelos en el futuro diseño y mejora del marco de
control.

Definir e implementar infraestructura, servicios y aplicaciones

para respaldar el sistema de gestión y gobierno (por ejemplo,
repositorios de arquitectura, sistema de gestión de riesgos,
herramientas de gestión de proyectos, herramientas de
seguimiento de costes y herramientas de seguimiento de
incidentes).

Mejore continuamente los procesos y otros componentes del

sistema de gestión para garantizar que puedan cumplir con los
objetivos de gestión y gobierno. Considere la guía de
implementación de COBIT, los estándares emergentes, los
requisitos de cumplimiento, las oportunidades de
automatización y los comentarios de las partes interesadas.

131
Comprender el contexto empresarial (impulsores de la
industria, regulaciones relevantes, bases para la
competencia), su forma actual de trabajar y su nivel de
ambición en términos de digitalización.

Evalúe el desempeño de los servicios actuales de I&T y

desarrolle una comprensión de las capacidades comerciales y
de I&T actuales (tanto internas como externas). Evalúe la
madurez digital actual de la empresa y su apetito por el
cambio.

132
Con base en la comprensión del contexto y la dirección de la
empresa, defina los productos y servicios de I&T objetivo y las
capacidades requeridas. Considere estándares de referencia,
mejores prácticas y tecnologías emergentes validadas.

Identifique las brechas entre los entornos actuales y de

destino y describa los cambios de alto nivel en la arquitectura
empresarial.

Desarrolle una estrategia digital holística, en cooperación con

las partes interesadas relevantes, y detalle una hoja de ruta
que defina los pasos incrementales necesarios para lograr las
metas y los objetivos. Asegúrese de centrarse en el viaje de
transformación mediante el nombramiento de una persona
que ayude a encabezar la transformación digital e impulse la
alineación entre la empresa y la I&T.

Crear conciencia y comprensión de los objetivos y la dirección

del negocio y de I&T, tal como se refleja en la estrategia de
I&T, a través de la comunicación con las partes interesadas y
los usuarios adecuados en toda la empresa.

133
La visión de la arquitectura proporciona una descripción de
primer nivel y de alto nivel de las arquitecturas de referencia y
de destino, que cubre los dominios de negocios, información,
datos, aplicaciones y tecnología. La visión de la arquitectura
proporciona al patrocinador una herramienta clave para
vender los beneficios de las capacidades propuestas a las
partes interesadas dentro de la empresa. La visión de la
arquitectura describe cómo las nuevas capacidades (en línea
con la estrategia y los objetivos de I&T) cumplirán las metas
empresariales y los objetivos estratégicos y abordarán las
preocupaciones de las partes interesadas cuando se
implementen.

La arquitectura de referencia describe las arquitecturas actual

y objetivo para los dominios de negocios, información, datos,
aplicaciones y tecnología.

134
Racionalice las brechas entre las arquitecturas de referencia y
de destino, teniendo en cuenta las perspectivas comerciales y
técnicas, y agrúpelas lógicamente en paquetes de trabajo del
proyecto. Integre el proyecto con cualquier programa de
inversión habilitado para I & T relacionado para garantizar que
las iniciativas arquitectónicas estén alineadas con estas
iniciativas y las habiliten como parte del cambio empresarial
general. Haga de este un esfuerzo de colaboración con las
partes interesadas clave de la empresa de negocios y TI para
evaluar la preparación para la transformación de la empresa e
identificar oportunidades, soluciones y todas las restricciones
de implementación.

Cree un plan viable de implementación y migración alineado

con las carteras de programas y proyectos. Asegúrese de que
el plan esté estrechamente coordinado para generar valor y
que los recursos necesarios estén disponibles para completar
el trabajo necesario.

Brindar servicios de arquitectura empresarial dentro de la

empresa que incluyen orientación y monitoreo de proyectos
de implementación, formalización de formas de trabajar a
través de contratos de arquitectura y medición y
comunicación del valor de la arquitectura y monitoreo de
cumplimiento.

135
Crear un entorno propicio para la innovación, considerando
métodos como la cultura, la recompensa, la colaboración, los
foros tecnológicos y los mecanismos para promover y capturar
las ideas de los empleados.

Trabaje con las partes interesadas relevantes para

comprender sus desafíos. Mantener un conocimiento
adecuado de la estrategia empresarial, el entorno competitivo
y otras limitaciones, de modo que se puedan identificar las
oportunidades que ofrecen las nuevas tecnologías.

136
Configurar un proceso de vigilancia de la tecnología para
realizar un seguimiento y análisis sistemáticos del entorno
externo de la empresa para identificar tecnologías
emergentes que tienen el potencial de crear valor (por
ejemplo, realizando la estrategia empresarial, optimizando los
costos, evitando la obsolescencia y habilitando mejor los
procesos empresariales y de I&T ). Monitorear el mercado, el
panorama competitivo, los sectores industriales y las
tendencias legales y regulatorias para poder analizar
tecnologías emergentes o ideas de innovación en el contexto
empresarial.

Analice las tecnologías emergentes identificadas y / u otras

sugerencias innovadoras de I&T para comprender su potencial
comercial. Trabajar con las partes interesadas para validar los
supuestos sobre el potencial de las nuevas tecnologías y la
innovación.

Evaluar y monitorear los resultados de las iniciativas de

prueba de concepto y, si es favorable, generar
recomendaciones para futuras iniciativas. Obtenga el apoyo
de las partes interesadas.

Supervisar la implementación y el uso de tecnologías e

innovaciones emergentes durante la adopción, la integración
y durante todo el ciclo de vida económico para garantizar que
se realicen los beneficios prometidos e identificar las lecciones
aprendidas.

137
Determine las fuentes potenciales de fondos, las diferentes
opciones de financiamiento y las implicaciones de la fuente de
financiamiento en las expectativas de retorno de la inversión.

Con base en los requisitos para la combinación general de la

cartera de inversiones y el plan estratégico y la hoja de ruta de
I&T, evalúe y priorice los casos de negocios del programa y
decida sobre las propuestas de inversión. Asignar fondos e
iniciar programas.

138
Supervise y optimice periódicamente el rendimiento de la
cartera de inversiones y los programas individuales a lo largo
de todo el ciclo de vida de la inversión. Asegurar un
seguimiento continuo de la alineación de la cartera con la
estrategia de I&T.

Mantener carteras de programas y proyectos de inversión,

productos y servicios de I&T y activos de I&T.

Monitorear los beneficios de proporcionar y mantener

productos, servicios y capacidades de I&T apropiados, según
el caso comercial actual y acordado.

Establecer y mantener un método para administrar y

contabilizar todos los costos, inversiones y depreciación
relacionados con I&T como parte integral de los sistemas y
cuentas financieros de la empresa. Informe utilizando los
sistemas de medición financiera de la empresa.

139
Implementar un proceso de toma de decisiones para priorizar
la asignación de recursos y establecer reglas para inversiones
discrecionales por unidades de negocios individuales. Incluya
el uso potencial de proveedores de servicios externos y
considere las opciones de compra, desarrollo y alquiler.

Prepare un presupuesto que refleje las prioridades de

inversión en función de la cartera de programas y servicios de
I&T habilitados para I&T.

Establecer y utilizar un modelo de costeo de I&T basado, por

ejemplo, en la definición del servicio. Este enfoque asegura
que la asignación de los costos de los servicios sea
identificable, mensurable y predecible, y fomenta el uso
responsable de los recursos, incluidos los proporcionados por
los proveedores de servicios. Revise y compare con
regularidad el modelo de costo / contracargo para mantener
su relevancia y adecuación para la evolución de las actividades
comerciales y de TI.

Implemente un proceso de administración de costos que

compare los costos reales con el presupuesto. Los costos
deben ser monitoreados e informados. Las desviaciones del
presupuesto deben identificarse de manera oportuna y
evaluarse su impacto en los procesos y servicios de la
empresa.

140
Establecer y mantener un método para administrar y
contabilizar todos los costos, inversiones y depreciación
relacionados con I&T como parte integral de los sistemas y
cuentas financieros de la empresa. Informe utilizando los
sistemas de medición financiera de la empresa.

Identifique al personal clave de TI. Utilice la captura de

conocimientos (documentación), el intercambio de
conocimientos, la planificación de la sucesión y el respaldo del
personal para minimizar la dependencia de una sola persona
que realiza una función laboral crítica.

Definir y gestionar las habilidades y competencias requeridas

del personal. Verificar periódicamente que el personal tenga
las competencias para cumplir con sus funciones sobre la base
de su educación, formación y / o experiencia. Verifique que
estas competencias se mantengan, utilizando programas de
calificación y certificación cuando corresponda. Brindar a los
empleados aprendizaje continuo y oportunidades para
mantener sus conocimientos, habilidades y competencias al
nivel requerido para lograr los objetivos de la empresa.

141
Llevar a cabo evaluaciones de desempeño periódicas y
oportunas con respecto a los objetivos individuales derivados
de las metas de la empresa, los estándares establecidos, las
responsabilidades laborales específicas y el marco de
habilidades y competencias. Implementar un proceso de
remuneración / reconocimiento que recompense el logro
exitoso de las metas de desempeño.

Comprender y realizar un seguimiento de la demanda actual y

futura de recursos humanos empresariales y de TI con
responsabilidades en I&T empresarial. Identifique las
deficiencias y proporcione información sobre los planes de
abastecimiento, los procesos de contratación empresarial y de
TI, y los procesos de contratación empresarial y de TI.

Asegúrese de que los consultores y el personal contratado que

apoyan a la empresa con habilidades de I&T conozcan y
cumplan con las políticas de la organización y cumplan con los
requisitos contractuales acordados.

142
Comprender los problemas, los objetivos y las expectativas
comerciales actuales de I&T. Asegúrese de que los requisitos
se comprendan, gestionen y comuniquen, y que su estado
esté acordado y aprobado.

Alinee las estrategias de I&T con los objetivos y expectativas

comerciales actuales para permitir que TI sea un socio de
valor agregado para el negocio y un componente de gobierno
para mejorar el desempeño empresarial.

143
Gestionar la relación entre la organización de servicios de TI y
sus socios comerciales. Asegúrese de que los roles y
responsabilidades de las relaciones estén definidos y
asignados, y que se facilite la comunicación.

Trabajar con todas las partes interesadas relevantes y

coordinar la entrega de un extremo a otro de los servicios y
soluciones de I&T que se brindan a la empresa.

Mejorar y evolucionar continuamente los servicios habilitados

para I&T y la entrega de servicios a la empresa para alinearse
con los cambiantes objetivos de la empresa y los requisitos
tecnológicos.

Analice los requisitos comerciales y el grado en que los

servicios y niveles de servicio habilitados para I&T respaldan
los procesos comerciales. Discuta y acuerde con la empresa
los posibles servicios y niveles de servicio. Compare los niveles
de servicio potenciales con la cartera de servicios actual;
identificar servicios u opciones de nivel de servicio nuevos o
modificados.

Defina y mantenga uno o más catálogos de servicios para los

grupos destinatarios relevantes. Publique y mantenga los
servicios habilitados para I & T en vivo en los catálogos de
servicios.

Definir y preparar acuerdos de servicio basados ​en opciones

en los catálogos de servicios. Incluir acuerdos operativos
internos.

144
Supervise los niveles de servicio, informe sobre los logros e
identifique las tendencias. Proporcionar la información de
gestión adecuada para ayudar a la gestión del desempeño.

Realizar revisiones periódicas de los acuerdos de servicio y

revisarlos cuando sea necesario.

Busque e identifique continuamente proveedores y

categorícelos por tipo, importancia y criticidad. Establecer
criterios para evaluar proveedores y contratos. Revise la
cartera general de proveedores y contratos existentes y
alternativos.

Seleccione proveedores de acuerdo con una práctica justa y

formal para garantizar un mejor ajuste viable en función de
los requisitos especificados. Los requisitos deben optimizarse
con las aportaciones de los proveedores potenciales.

145
Formalizar y gestionar la relación con el proveedor de cada
proveedor. Gestione, mantenga y supervise los contratos y la
prestación de servicios. Asegúrese de que los contratos
nuevos o modificados se ajusten a los estándares de la
empresa y los requisitos legales y reglamentarios. Trate las
disputas contractuales.

Identifique y gestione los riesgos relacionados con la

capacidad de los proveedores para proporcionar de forma
continua una prestación de servicios segura, eficiente y eficaz.
Esto también incluye a los subcontratistas o proveedores
ascendentes que son relevantes en la prestación de servicios
del proveedor directo.

Revise periódicamente el desempeño general del proveedor,

el cumplimiento de los requisitos del contrato y la relación
calidad-precio. Abordar los problemas identificados.

Establecer y mantener un sistema de gestión de la calidad

(SGC) que proporcione un enfoque estándar, formal y
continuo para la gestión de la calidad de la información. El
SGC debería permitir que la tecnología y los procesos
comerciales se alineen con los requisitos comerciales y la
gestión de la calidad empresarial.

Centrar la gestión de la calidad en los clientes determinando

sus requisitos y asegurando la integración en las prácticas de
gestión de la calidad.

146
Identificar y mantener estándares, procedimientos y prácticas
para procesos clave para guiar a la empresa en el
cumplimiento de la intención de los estándares de gestión de
calidad (SGC) acordados. Esta actividad debe alinearse con los
requisitos del marco de control de I&T. Considere la
certificación de procesos clave, unidades organizativas,
productos o servicios.

Monitorear la calidad de los procesos y servicios de manera

permanente, de acuerdo con los estándares de gestión de la
calidad. Definir, planificar e implementar medidas para
monitorear la satisfacción del cliente con la calidad, así como
el valor proporcionado por el sistema de gestión de la calidad
(SGC). El propietario del proceso debe utilizar la información
recopilada para mejorar la calidad.

Mantener y comunicar periódicamente un plan de calidad

general que promueva la mejora continua. El plan debe definir
la necesidad y los beneficios de la mejora continua. Recopilar
y analizar datos sobre el sistema de gestión de la calidad (SGC)
y mejorar su eficacia. Corrija las no conformidades para evitar
que se repitan.

Identificar y recopilar datos relevantes para permitir la

identificación, el análisis y la generación de informes de
riesgos relacionados con la I&T.

147
Desarrollar una visión fundamentada sobre el riesgo de I&T
real, en apoyo de las decisiones de riesgo.

Mantenga un inventario de los riesgos conocidos y los

atributos de riesgo, incluida la frecuencia esperada, el impacto
potencial y las respuestas. Documentar los recursos, las
capacidades y las actividades de control actuales relacionadas
con los elementos de riesgo.

Comunicar información sobre el estado actual de las

exposiciones y oportunidades relacionadas con I&T de manera
oportuna a todas las partes interesadas requeridas para una
respuesta adecuada.

Gestionar oportunidades para reducir el riesgo a un nivel

aceptable como cartera.

Responder de manera oportuna a los eventos de riesgo

materializados con medidas efectivas para limitar la magnitud
de la pérdida.

Establecer y mantener un sistema de gestión de seguridad de

la información (SGSI) que proporcione un enfoque estándar,
formal y continuo para la gestión de la seguridad y la
privacidad de la información. Asegúrese de que el sistema
admita tecnología segura y procesos comerciales que estén
alineados con los requisitos comerciales, la seguridad
empresarial y la gestión de la privacidad empresarial.

148
Mantenga un plan de seguridad de la información que
describa cómo se gestionará el riesgo de seguridad de la
información y se alineará con la estrategia y la arquitectura de
la empresa. Asegúrese de que las recomendaciones para
implementar mejoras de seguridad se basen en casos
comerciales aprobados, se implementen como parte integral
del desarrollo de servicios y soluciones y se operen como
parte integral de la operación comercial.

Mantener y comunicar periódicamente la necesidad y los

beneficios de la mejora continua en la seguridad de la
información. Recopile y analice datos sobre el sistema de
gestión de seguridad de la información (SGSI) y mejore su
eficacia. Corrija las no conformidades para evitar que se
repitan.

Definir cómo administrar y mejorar los activos de datos de la

organización, de acuerdo con la estrategia y los objetivos de la
empresa. Comunique la estrategia de gestión de datos a todas
las partes interesadas. Asigne roles y responsabilidades para
garantizar que los datos corporativos se gestionen como
activos críticos y que la estrategia de gestión de datos se
implemente y se mantenga de manera eficaz y sostenible.

Cree, apruebe, actualice y promueva términos y definiciones

comerciales coherentes para fomentar el uso compartido de
datos en toda la organización.

149
Establezca los procesos y la infraestructura para especificar y
ampliar los metadatos sobre los activos de datos de la
organización, fomentando y respaldando el intercambio de
datos, asegurando el uso conforme de los datos, mejorando la
capacidad de respuesta a los cambios comerciales y
reduciendo el riesgo relacionado con los datos.

Definir una estrategia integrada para toda la organización para

lograr y mantener el nivel de calidad de los datos (como
complejidad, integridad, precisión, integridad, validez,
trazabilidad y puntualidad) requerido para respaldar las metas
y los objetivos comerciales.

Implemente metodologías, procesos, prácticas, herramientas

y plantillas de creación de perfiles de datos estandarizados
que se puedan aplicar en varios repositorios y almacenes de
datos.

Proporcionar un enfoque sistemático para medir y evaluar la

calidad de los datos de acuerdo con los procesos y técnicas, y
contra las reglas de calidad de los datos.

Defina los mecanismos, reglas, procesos y métodos para

validar y corregir datos de acuerdo con reglas comerciales
predefinidas.

150
Asegúrese de que la organización comprenda, mapee, haga un
inventario y controle sus flujos de datos a través de los
procesos comerciales a lo largo del ciclo de vida de los datos,
desde la creación o adquisición hasta el retiro.

Asegúrese de que el mantenimiento de datos satisfaga los

requisitos organizativos y reglamentarios para la
disponibilidad de datos históricos. Asegúrese de que se
cumplan los requisitos legales y reglamentarios para el archivo
y la retención de datos.

Gestione la disponibilidad de datos críticos para garantizar la

continuidad operativa.

Mantener un enfoque estándar para la gestión de programas

que permita la revisión de la gestión y el gobierno, la toma de
decisiones y las actividades de gestión de la entrega. Estas
actividades deben enfocarse consistentemente en el valor y
los objetivos comerciales (es decir, requisitos, riesgo, costos,
cronograma y objetivos de calidad).

151
Inicie un programa para confirmar los beneficios esperados y
obtener la autorización para continuar. Esto incluye acordar el
patrocinio del programa, confirmar el mandato del programa
mediante la aprobación del caso de negocio conceptual,
nombrar miembros de la junta o del comité del programa,
producir el resumen del programa, revisar y actualizar el caso
de negocio, desarrollar un plan de realización de beneficios y
obtener la aprobación de los patrocinadores para Continuar.

Gestionar la participación de las partes interesadas para

garantizar un intercambio activo de información precisa,
coherente y oportuna para todas las partes interesadas
relevantes. Esto incluye planificar, identificar e involucrar a las
partes interesadas y gestionar sus expectativas.

Formule un programa para sentar las bases iniciales.

Colóquelo para una ejecución exitosa al formalizar el alcance
del trabajo e identificar los entregables que satisfarán los
objetivos y generarán valor. Mantener y actualizar el plan del
programa y el caso comercial durante todo el ciclo de vida
económico del programa, asegurando la alineación con los
objetivos estratégicos y reflejando el estado actual y los
conocimientos adquiridos hasta la fecha.

152
Lanzar y ejecutar el programa para adquirir y dirigir los
recursos necesarios para lograr las metas y beneficios del
programa como se define en el plan del programa. De acuerdo
con los criterios de revisión de la etapa o de la versión,
prepárese para las revisiones de la etapa, la iteración o la
versión para informar el progreso y defienda la financiación
hasta la siguiente revisión de la etapa o la versión.

Supervise y controle el rendimiento según el plan a lo largo de

todo el ciclo de vida económico de la inversión, cubriendo la
entrega de la solución a nivel del programa y el valor /
resultado a nivel empresarial. Informar el desempeño al
comité directivo del programa y a los patrocinadores.

Preparar y ejecutar un plan, procesos y prácticas de gestión de

la calidad que se alineen con los estándares de gestión de la
calidad (SGC). Describa el enfoque de la calidad e
implementación del programa. El plan debe ser revisado y
acordado formalmente por todas las partes interesadas e
incorporado en el plan del programa integrado.

Eliminar o minimizar el riesgo específico asociado a los

programas a través de un proceso sistemático de
planificación, identificación, análisis, respuesta, seguimiento y
control de las áreas o eventos con potencial de provocar
cambios no deseados. Defina y registre cualquier riesgo que
enfrenta la gestión del programa.

153
Eliminar el programa de la cartera de inversiones activa
cuando haya acuerdo de que se ha logrado el valor deseado o
cuando esté claro que no se logrará dentro de los criterios de
valor establecidos para el programa.

Con base en el caso de negocio, identifique, priorice,

especifique y acuerde la información comercial, los requisitos
funcionales, técnicos y de control que cubran el alcance /
comprensión de todas las iniciativas necesarias para lograr los
resultados esperados de la solución de negocios habilitada
para I&T propuesta.

Realizar un estudio de viabilidad de posibles soluciones

alternativas, evaluar su viabilidad y seleccionar la opción
preferida. Si es apropiado, implemente la opción seleccionada
como piloto para determinar posibles mejoras.

Identificar, documentar, priorizar y mitigar los riesgos

funcionales, técnicos y relacionados con el procesamiento de
la información asociados con los requisitos empresariales, los
supuestos y la solución propuesta.

154
Coordinar la retroalimentación de las partes interesadas
afectadas. En etapas clave predeterminadas, obtenga la
aprobación y aprobación del patrocinador comercial o
propietario del producto con respecto a los requisitos
funcionales y técnicos, los estudios de viabilidad, los análisis
de riesgos y las soluciones recomendadas.

Desarrolle y documente diseños de alto nivel para la solución

en términos de tecnología, procesos comerciales y flujos de
trabajo. Utilice técnicas de desarrollo ágil rápidas o por fases
acordadas y apropiadas. Asegure la alineación con la
estrategia de I&T y la arquitectura empresarial. Reevalúe y
actualice los diseños cuando se produzcan problemas
importantes durante las fases de construcción o diseño
detallado, o a medida que la solución evolucione. Aplicar un
enfoque centrado en el usuario; asegurarse de que las partes
interesadas participen activamente en el diseño y aprueben
cada versión.

155
Desarrollar, documentar y elaborar diseños detallados de
forma progresiva. Utilice técnicas de desarrollo ágil rápidas o
por fases acordadas y apropiadas, que aborden todos los
componentes (procesos comerciales y controles manuales y
automatizados relacionados, aplicaciones de I&T de apoyo,
servicios de infraestructura y productos de tecnología, y
socios / proveedores). Asegúrese de que el diseño detallado
incluya acuerdos de nivel de servicio (SLA) internos y externos
y acuerdos de nivel operativo (OLA).

Desarrolle los componentes de la solución de forma

progresiva en un entorno separado, de acuerdo con diseños
detallados siguiendo los estándares y requisitos para el
desarrollo y la documentación, el aseguramiento de la calidad
(QA) y la aprobación. Asegúrese de que se aborden todos los
requisitos de control en los procesos comerciales, las
aplicaciones de I&T y los servicios de infraestructura, los
productos de tecnología y servicios y los servicios de socios /
proveedores.

Adquirir componentes de la solución, basados ​en el plan de

adquisición, de acuerdo con los requisitos y diseños
detallados, principios y estándares de arquitectura, y los
procedimientos generales de adquisiciones y contratos de la
empresa, requisitos de control de calidad y estándares de
aprobación. Asegúrese de que el proveedor identifique y
aborde todos los requisitos legales y contractuales.

156
Instale y configure soluciones e integre con las actividades de
procesos comerciales. Durante la configuración e integración
del hardware y el software de infraestructura, implemente
medidas de control, seguridad, privacidad y auditabilidad para
proteger los recursos y garantizar la disponibilidad y la
integridad de los datos. Actualice el catálogo de productos o
servicios para reflejar las nuevas soluciones.

Desarrollar, dotar de recursos y ejecutar un plan de QA

alineado con el QMS para obtener la calidad especificada en la
definición de requisitos y en las políticas y procedimientos de
calidad de la empresa.

Establezca un plan de prueba y los entornos necesarios para

probar los componentes individuales e integrados de la
solución. Incluya los procesos comerciales y los servicios,
aplicaciones e infraestructura de soporte.

Durante el desarrollo, ejecute las pruebas continuamente

(incluidas las pruebas de control), de acuerdo con el plan de
pruebas definido y las prácticas de desarrollo en el entorno
apropiado. Involucre a los propietarios de procesos
comerciales y a los usuarios finales en el equipo de prueba.
Identifique, registre y priorice los errores y problemas
identificados durante las pruebas.

Realice un seguimiento del estado de los requisitos

individuales (incluidos todos los requisitos rechazados) a lo
largo del ciclo de vida del proyecto. Gestionar la aprobación
de cambios a los requisitos.

157
Desarrollar y ejecutar un plan para el mantenimiento de los
componentes de la solución y la infraestructura. Incluya
revisiones periódicas contra las necesidades comerciales y los
requisitos operativos.

Definir y acordar productos o servicios de TI nuevos o

modificados y opciones de nivel de servicio. Documentar
definiciones de productos y servicios nuevos o modificados y
opciones de nivel de servicio para actualizarlos en la cartera
de productos y servicios.

Diseñar, desarrollar e implementar soluciones con la

metodología de desarrollo adecuada (es decir, I&T en cascada,
Agile o bimodal), de acuerdo con la estrategia y los requisitos
generales.

Evalúe la disponibilidad, el rendimiento y la capacidad de los

servicios y recursos para garantizar que la capacidad y el
rendimiento justificables en función de los costos estén
disponibles para respaldar las necesidades comerciales y
cumplir con los acuerdos de nivel de servicio (SLA). Cree líneas
de base de disponibilidad, rendimiento y capacidad para
futuras comparaciones.

158
Identificar servicios importantes para la empresa. Asigne
servicios y recursos a los procesos comerciales e identifique
las dependencias comerciales. Asegúrese de que el impacto
de los recursos no disponibles esté totalmente acordado y
aceptado por el cliente. Para las funciones comerciales vitales,
asegúrese de que los requisitos de disponibilidad se puedan
satisfacer según el acuerdo de nivel de servicio (SLA).

Planifique y priorice la disponibilidad, el rendimiento y las

implicaciones de capacidad de las necesidades cambiantes del
negocio y los requisitos de servicio.

Supervisar, medir, analizar, informar y revisar la

disponibilidad, el rendimiento y la capacidad. Identificar
desviaciones de las líneas de base establecidas. Revise los
informes de análisis de tendencias que identifican problemas
y variaciones importantes. Inicie acciones donde sea necesario
y asegúrese de que se aborden todos los problemas
pendientes.

Aborde las desviaciones investigando y resolviendo problemas

identificados de disponibilidad, rendimiento y capacidad.

159
Comprenda el alcance y el impacto del cambio deseado.
Evalúe la preparación y voluntad de los interesados ​para
cambiar. Identifique las acciones que motivarán la aceptación
y participación de las partes interesadas para que el cambio
funcione con éxito.

Establezca un equipo de implementación eficaz reuniendo a

los miembros adecuados, generando confianza y
estableciendo objetivos comunes y medidas de eficacia.

Comunicar la visión deseada para el cambio en el lenguaje de

los afectados. La comunicación debe ser realizada por la alta
dirección e incluir la justificación y los beneficios del cambio;
los impactos de no hacer el cambio; y la visión, la hoja de ruta
y la implicación que se requiere de los distintos actores.

Empoderar a quienes tienen roles de implementación

asignándoles responsabilidad. Brindar capacitación y alinear
estructuras organizacionales y procesos de RRHH. Identifique
y comunique los logros a corto plazo que son importantes
desde una perspectiva de habilitación del cambio.

Planificar e implementar todos los aspectos técnicos,

operativos y de uso para que todos los involucrados en el
entorno estatal futuro puedan ejercer su responsabilidad.

160
Incorpore nuevos enfoques mediante el seguimiento de los
cambios implementados, la evaluación de la efectividad del
plan de operación y uso y el mantenimiento de la conciencia
continua a través de la comunicación regular. Tome las
medidas correctivas que sean apropiadas (que pueden incluir
hacer cumplir el cumplimiento).

Mantener los cambios a través de la capacitación efectiva del

nuevo personal, campañas de comunicación continuas, el
compromiso continuo de la alta dirección, el monitoreo de la
adopción y el intercambio de lecciones aprendidas en toda la
empresa.

Evalúe todas las solicitudes de cambio para determinar el

impacto en los procesos comerciales y los servicios de I&T, y
para evaluar si el cambio afectará negativamente el entorno
operativo e introducirá un riesgo inaceptable. Asegúrese de
que los cambios se registren, prioricen, categoricen, evalúen,
autoricen, planifiquen y programen.

Gestione con cuidado los cambios de emergencia para

minimizar más incidentes. Asegúrese de que el cambio de
emergencia esté controlado y se lleve a cabo de forma segura.
Verifique que los cambios de emergencia se evalúen y
autoricen adecuadamente después del cambio.

161
Mantenga un sistema de seguimiento e informes para
documentar los cambios rechazados y comunicar el estado de
los cambios aprobados, en proceso y completos. Asegúrese de
que los cambios aprobados se implementen según lo
planeado.

Siempre que se implementen cambios, actualice la solución, la

documentación del usuario y los procedimientos afectados
por el cambio.

Establezca un plan de implementación que cubra la

conversión de datos y sistemas, los criterios de prueba de
aceptación, la comunicación, la capacitación, la preparación
del lanzamiento, la promoción a la producción, el soporte de
producción temprano, un plan de respaldo / respaldo y una
revisión posterior a la implementación. Obtenga la aprobación
de las partes relevantes.

Prepárese para el proceso empresarial, los datos de servicios

de I&T y la migración de la infraestructura como parte de los
métodos de desarrollo de la empresa. Incluya pistas de
auditoría y un plan de recuperación en caso de que falle la
migración.

162
Establezca un plan de prueba basado en estándares de toda la
empresa que definan roles, responsabilidades y criterios de
entrada y salida. Asegúrese de que el plan sea aprobado por
las partes relevantes.

Definir y establecer un entorno de prueba seguro que

represente el proceso de negocio planificado y el entorno de
operaciones de TI en términos de rendimiento, capacidad,
seguridad, controles internos, prácticas operativas, calidad de
los datos, requisitos de privacidad y cargas de trabajo.

Pruebe los cambios de forma independiente, de acuerdo con

el plan de prueba definido, antes de la migración al entorno
operativo en vivo.

Promocionar la solución aceptada para el negocio y las

operaciones. Cuando corresponda, ejecute la solución como
una implementación piloto o en paralelo con la solución
anterior durante un período definido y compare el
comportamiento y los resultados. Si ocurren problemas
importantes, vuelva al entorno original según el plan de
respaldo / respaldo. Gestione las versiones de los
componentes de la solución.

Durante un período de tiempo acordado, brinde soporte

temprano a los usuarios y las operaciones de I&T para resolver
problemas y ayudar a estabilizar la nueva solución.

163
Realice una revisión posterior a la implementación para
confirmar el resultado y los resultados, identificar las lecciones
aprendidas y desarrollar un plan de acción. Evalúe el
rendimiento y los resultados reales del servicio nuevo o
modificado en comparación con el rendimiento y los
resultados previstos por el usuario o cliente.

Identifique, valide y clasifique diversas fuentes de información

interna y externa necesarias para permitir la gobernanza y la
gestión de I&T, incluidos documentos de estrategia, informes
de incidentes e información de configuración que progresa
desde el desarrollo hasta las operaciones antes de su puesta
en funcionamiento.

Organiza la información según criterios de clasificación.

Identificar y crear relaciones significativas entre los elementos
de información y permitir el uso de la información. Identifique
a los propietarios y aproveche e implemente niveles de acceso
de información definidos por la empresa a la información de
gestión y los recursos de conocimiento.

164
Propagar los recursos de conocimiento disponibles a las partes
interesadas relevantes y comunicar cómo se pueden utilizar
estos recursos para abordar diferentes necesidades (por
ejemplo, resolución de problemas, aprendizaje, planificación
estratégica y toma de decisiones).

Medir el uso y evaluar la actualidad y relevancia de la

información. Actualice la información o retire la información
obsoleta.

Mantener un registro actualizado y preciso de todos los

activos de I&T que se requieren para brindar servicios y que
son propiedad o están controlados por la organización con
una expectativa de beneficios futuros (incluidos los recursos
con valor económico, como hardware o software). Asegure la
alineación con la gestión de la configuración y la gestión
financiera.

Identifique los activos que son críticos para brindar capacidad

de servicio. Maximice su confiabilidad y disponibilidad para
respaldar las necesidades comerciales.

165
Gestione los activos desde la adquisición hasta la eliminación.
Asegúrese de que los activos se utilicen de la manera más
eficaz y eficiente posible y que se contabilicen y se protejan
físicamente hasta que se retiren adecuadamente.

Revise periódicamente la base de activos general para

identificar formas de optimizar el valor en consonancia con las
necesidades comerciales.

Administre las licencias de software para mantener la

cantidad óptima de licencias y respaldar los requisitos
comerciales. Asegúrese de que la cantidad de licencias que
posee sea suficiente para cubrir el software instalado en uso.

Establecer y mantener un modelo lógico de los servicios,

activos, infraestructura y registro de elementos de
configuración (CIs), incluyendo las relaciones entre ellos.
Incluya los CI que se consideren necesarios para gestionar los
servicios de forma eficaz y para proporcionar una descripción
única y fiable de los activos de un servicio.

Establezca y mantenga un repositorio de gestión de la

configuración y cree líneas de base de configuración
controladas.

166
Mantenga un repositorio actualizado de elementos de
configuración (CI) completando los cambios de configuración.

Definir y producir informes de configuración sobre cambios de

estado de elementos de configuración.

Revise periódicamente el depósito de configuración y

verifique que esté completo y sea correcto con el objetivo
deseado.

Mantener un enfoque estándar para la gestión de proyectos

que permita la revisión de la gestión y el gobierno, la toma de
decisiones y las actividades de gestión de la entrega. Estas
actividades deben enfocarse consistentemente en el valor y
los objetivos comerciales (es decir, requisitos, riesgo, costos,
cronograma y objetivos de calidad).

Definir y documentar la naturaleza y el alcance del proyecto

para confirmar y desarrollar un entendimiento común del
alcance del proyecto entre las partes interesadas. La
definición debe ser aprobada formalmente por los
patrocinadores del proyecto.

167
Gestione la participación de las partes interesadas para
garantizar un intercambio activo de información precisa,
coherente y oportuna que llegue a todas las partes
interesadas relevantes. Esto incluye planificar, identificar e
involucrar a las partes interesadas y gestionar sus
expectativas.

Establecer y mantener un plan de proyecto integrado, formal

y aprobado (que cubra los recursos comerciales y de TI) para
guiar la ejecución y el control del proyecto a lo largo de la vida
del proyecto. El alcance de los proyectos debe definirse
claramente y vincularse a la creación o mejora de la capacidad
empresarial.

Preparar y ejecutar un plan, procesos y prácticas de gestión de

la calidad que se alineen con los estándares de gestión de la
calidad (SGC). Describa el enfoque de la calidad e
implementación del proyecto. El plan debe ser revisado y
acordado formalmente por todas las partes interesadas e
incorporado en los planes integrados del proyecto.

Eliminar o minimizar el riesgo específico asociado a los

proyectos a través de un proceso sistemático de planificación,
identificación, análisis, respuesta, seguimiento y control de las
áreas o eventos con potencial de provocar cambios no
deseados. Defina y registre cualquier riesgo que enfrenta la
gestión de proyectos.

168
Mida el desempeño del proyecto contra los criterios clave de
desempeño del proyecto, como el cronograma, la calidad, el
costo y el riesgo. Identifique cualquier desviación de los
objetivos esperados. Evaluar el impacto de las desviaciones en
el proyecto y el programa general e informar los resultados a
las partes interesadas clave.

Administre los paquetes de trabajo del proyecto

estableciendo requisitos formales sobre la autorización y
aceptación de paquetes de trabajo y asignando y coordinando
los recursos comerciales y de TI adecuados.

Al final de cada proyecto, lanzamiento o iteración, solicite a

las partes interesadas del proyecto que determinen si el
proyecto, lanzamiento o iteración entregó los resultados
requeridos en términos de capacidades y contribuyó como se
esperaba a los beneficios del programa. Identificar y
comunicar las actividades pendientes necesarias para lograr
los resultados planificados del proyecto y / o los beneficios del
programa. Identifique y documente las lecciones aprendidas
para proyectos, lanzamientos, iteraciones y programas
futuros.

Mantener y realizar los procedimientos operativos y las tareas

operativas de forma fiable y coherente.

169
Gestionar el funcionamiento de los servicios de I&T
subcontratados para mantener la protección de la
información empresarial y la fiabilidad de la prestación del
servicio.

Monitorear la infraestructura de I&T y eventos relacionados.

Almacene suficiente información cronológica en los registros
de operaciones para reconstruir y revisar las secuencias de
tiempo de las operaciones y otras actividades que rodean o
apoyan las operaciones.

Mantener medidas de protección frente a factores

ambientales. Instale equipos y dispositivos especializados para
monitorear y controlar el medio ambiente.

Administre las instalaciones, incluidos los equipos de energía y

comunicaciones, de acuerdo con las leyes y regulaciones, los
requisitos técnicos y comerciales, las especificaciones de los
proveedores y las pautas de salud y seguridad.

Definir esquemas y modelos de clasificación para incidencias y

solicitudes de servicio.

Identifique, registre y clasifique las solicitudes de servicio e

incidentes y asigne una prioridad de acuerdo con la
importancia del negocio y los acuerdos de servicio.

170
Seleccione los procedimientos de solicitud apropiados y
verifique que las solicitudes de servicio cumplan con los
criterios de solicitud definidos. Obtenga aprobación, si es
necesario, y cumpla con las solicitudes.

Identifique y registre los síntomas del incidente, determine las

posibles causas y asigne para su resolución.

Documente, aplique y pruebe las soluciones o soluciones

alternativas identificadas. Realice acciones de recuperación
para restaurar el servicio relacionado con I&T.

Verificar la resolución satisfactoria de incidencias y / o el

cumplimiento de las solicitudes y cerrar.

Realice un seguimiento, analice e informe periódicamente las

incidencias y el cumplimiento de las solicitudes. Examine las
tendencias para proporcionar información para la mejora
continua.

Definir e implementar criterios y procedimientos para

identificar y reportar problemas. Incluya la clasificación,
categorización y priorización de problemas.

Investigue y diagnostique problemas utilizando expertos en la

materia relevantes para evaluar y analizar las causas raíz.

171
Tan pronto como se identifiquen las causas fundamentales de
los problemas, cree registros de errores conocidos,
documente las soluciones alternativas adecuadas e identifique
las posibles soluciones.

Identificar e iniciar soluciones sostenibles que aborden la

causa raíz. Genere solicitudes de cambio a través del proceso
de gestión de cambios establecido, si es necesario, para
resolver errores. Asegurar que el personal afectado conozca
las acciones realizadas y los planes desarrollados para evitar
que se produzcan incidencias futuras.

Recopile y analice datos operativos (especialmente registros

de incidentes y cambios) para identificar tendencias
emergentes que puedan indicar problemas. Registre los
registros de problemas para permitir la evaluación.

Defina la política y el alcance de continuidad del negocio,

alineados con los objetivos de la empresa y las partes
interesadas, para mejorar la resiliencia empresarial.

172
Evalúe las opciones de resiliencia empresarial y elija una
estrategia rentable y viable que garantice la continuidad de la
empresa, la recuperación ante desastres y la respuesta ante
incidentes ante un desastre u otro incidente o interrupción
importante.

Desarrolle un plan de continuidad comercial (BCP) y un plan

de recuperación ante desastres (DRP) basados ​en la
estrategia. Documente todos los procedimientos necesarios
para que la empresa continúe con las actividades críticas en
caso de un incidente.

Pruebe la continuidad de forma regular para poner en práctica

los planes frente a resultados predeterminados, mantener la
resiliencia empresarial y permitir el desarrollo de soluciones
innovadoras.

Llevar a cabo una revisión por la dirección de la capacidad de

continuidad a intervalos regulares para asegurar su
conveniencia, adecuación y eficacia continuas. Administre los
cambios en los planes de acuerdo con el proceso de control de
cambios para garantizar que los planes de continuidad se
mantengan actualizados y reflejen continuamente los
requisitos comerciales reales.

Proporcionar a todas las partes interesadas internas y

externas sesiones de formación periódicas sobre los
procedimientos y sus funciones y responsabilidades en caso
de interrupción.

173
Mantenga la disponibilidad de información crítica para el
negocio.

Evaluar la idoneidad del plan de continuidad comercial (BCP) y

el plan de respuesta ante desastres (DRP) luego de la
reanudación exitosa de los procesos y servicios comerciales
después de una interrupción.

Implementar y mantener medidas preventivas, detectivescas

y correctivas (especialmente parches de seguridad
actualizados y control de virus) en toda la empresa para
proteger los sistemas de información y la tecnología de
software malicioso (p. Ej., Malware, ransomware, virus,
gusanos, spyware, spam).

Utilice medidas de seguridad y procedimientos de gestión

relacionados para proteger la información sobre todos los
métodos de conectividad.

Asegúrese de que los puntos finales (por ejemplo,

computadora portátil, computadora de escritorio, servidor y
otros dispositivos móviles y de red o software) estén
protegidos a un nivel igual o superior a los requisitos de
seguridad y privacidad definidos para la información
procesada, almacenada o transmitida.

Asegúrese de que todos los usuarios tengan derechos de

acceso a la información de acuerdo con la política de
privacidad y los requisitos comerciales de la unidad de
negocio. Coordinar con las unidades de negocio que gestionan
sus propios derechos de acceso dentro de los procesos de
negocio.

174
Definir e implementar procedimientos (incluidos los de
emergencia) para otorgar, limitar y revocar el acceso a las
instalaciones, edificios y áreas, de acuerdo con las
necesidades comerciales. El acceso a las instalaciones,
edificios y áreas debe estar justificado, autorizado, registrado
y monitoreado. Este requisito se aplica a todas las personas
que ingresan a las instalaciones, incluido el personal, el
personal temporal, los clientes, los proveedores, los visitantes
o cualquier otro tercero.

Establecer salvaguardas físicas apropiadas, prácticas contables

y administración de inventario con respecto a activos de I&T
sensibles, como formularios especiales, instrumentos
negociables, impresoras de propósito especial o tokens de
seguridad.

Utilizando una cartera de herramientas y tecnologías (por

ejemplo, herramientas de detección de intrusos), gestione las
vulnerabilidades y supervise la infraestructura para detectar
accesos no autorizados. Asegúrese de que las herramientas de
seguridad, las tecnologías y la detección estén integradas con
el monitoreo general de eventos y la gestión de incidentes.

175
Evalúe y supervise continuamente la ejecución de las
actividades de los procesos comerciales y los controles
relacionados (basados ​en el riesgo empresarial), para
garantizar que los controles de procesamiento se alineen con
las necesidades comerciales.

Operar la ejecución de las actividades de los procesos de

negocio y los controles relacionados, con base en el riesgo
empresarial. Asegúrese de que el procesamiento de la
información sea válido, completo, preciso, oportuno y seguro
(es decir, refleje un uso comercial legítimo y autorizado).

176
Administre los roles comerciales, las responsabilidades, los
niveles de autoridad y la segregación de funciones necesarias
para respaldar los objetivos del proceso comercial. Autorice el
acceso a todos los activos de información relacionados con los
procesos de información empresarial, incluidos los que están
bajo la custodia de la empresa, TI y terceros. Esto asegura que
la empresa sepa dónde están los datos y quién los está
manejando en su nombre.

Administre las excepciones y errores de los procesos

comerciales y facilite la corrección, ejecutando acciones
correctivas definidas y escalando según sea necesario. Este
tratamiento de excepciones y errores proporciona garantía de
la precisión e integridad del proceso de información
comercial.

Asegúrese de que la información comercial pueda rastrearse

hasta un evento comercial que se originó y asociarse con las
partes responsables. Esta capacidad de descubrimiento
proporciona la seguridad de que la información comercial es
confiable y se ha procesado de acuerdo con los objetivos
definidos.

177
Asegurar los activos de información accesibles por la empresa
a través de métodos aprobados, incluida la información en
forma electrónica (por ejemplo, dispositivos de medios
portátiles, aplicaciones de usuario y dispositivos de
almacenamiento, u otros métodos que crean nuevos activos
en cualquier forma), información en forma física (por ejemplo,
documentos fuente o informes de salida) e información
durante el tránsito. Esto beneficia a la empresa al
proporcionar protección de la información de un extremo a
otro.

Comprometerse con las partes interesadas para establecer y

mantener un enfoque de seguimiento para definir los
objetivos, el alcance y el método para medir la solución
empresarial y la prestación de servicios y la contribución a los
objetivos empresariales. Integre este enfoque con el sistema
de gestión del desempeño corporativo.

Trabajar con las partes interesadas para definir, revisar,

actualizar y aprobar periódicamente los objetivos de
desempeño y cumplimiento dentro del sistema de medición
del desempeño.

Recopile y procese datos oportunos y precisos alineados con

los enfoques empresariales.

178
Revise e informe periódicamente el desempeño con respecto
a los objetivos. Utilice un método que proporcione una visión
completa y sucinta del desempeño de I&T y que se ajuste al
sistema de monitoreo empresarial.

Ayudar a las partes interesadas a identificar, iniciar y realizar

un seguimiento de las acciones correctivas para abordar las
anomalías.

Monitorear, comparar y mejorar continuamente el entorno de

control de I&T y el marco de control para cumplir con los
objetivos organizacionales.

179
Revise el funcionamiento de los controles, incluido el
seguimiento y la prueba de pruebas, para asegurarse de que
los controles dentro de los procesos comerciales funcionan de
manera eficaz. Incluir actividades para mantener evidencia de
la operación efectiva de los controles a través de mecanismos
tales como pruebas periódicas, monitoreo continuo,
evaluaciones independientes, centros de comando y control y
centros de operación de redes. Esta evidencia asegura a la
empresa que los controles cumplen con los requisitos
relacionados con las responsabilidades comerciales,
regulatorias y sociales.

Alentar a los propietarios de los procesos y la administración a

mejorar los controles de manera proactiva a través de un
programa continuo de autoevaluación que evalúe la
integridad y eficacia del control de la administración sobre los
procesos, las políticas y los contratos.

Identifique las deficiencias de control y analice e identifique

sus causas subyacentes. Escalar las deficiencias de control e
informar a las partes interesadas.

180
Monitorear de manera continua los cambios en las leyes,
regulaciones y otros requisitos externos locales e
internacionales e identificar los mandatos de cumplimiento
desde una perspectiva de I&T.

Revisar y ajustar políticas, principios, estándares,

procedimientos y metodologías para asegurar que los
requisitos legales, regulatorios y contractuales sean
abordados y comunicados. Considere la posibilidad de adoptar
y adaptar estándares de la industria, códigos de buenas
prácticas y guías de buenas prácticas.

Confirmar el cumplimiento de políticas, principios, estándares,

procedimientos y metodologías con los requisitos legales,
regulatorios y contractuales.

Obtener e informar garantías de cumplimiento y adherencia a

políticas, principios, estándares, procedimientos y
metodologías. Confirme que las acciones correctivas para
abordar las brechas de cumplimiento se cierren de manera
oportuna.

181
Asegúrese de que las entidades que realizan el aseguramiento
sean independientes de la función, grupos u organizaciones
en el alcance. Las entidades que realizan el aseguramiento
deben demostrar una actitud y apariencia apropiadas,
competencia en las habilidades y conocimientos necesarios
para realizar el aseguramiento y adherencia a los códigos de
ética y estándares profesionales.

Determinar los objetivos de aseguramiento basados ​en

evaluaciones del entorno y contexto interno y externo, el
riesgo de no lograr las metas de la empresa y las
oportunidades asociadas al logro de las mismas metas.

Definir y acordar con todas las partes interesadas los objetivos

de la iniciativa de aseguramiento.

Definir y acordar con todas las partes interesadas el alcance

de la iniciativa de aseguramiento, con base en los objetivos de
aseguramiento.

Definir un programa de trabajo detallado para la iniciativa de

aseguramiento, estructurado de acuerdo con los objetivos de
gestión y los componentes de gobernanza en el alcance.

182
Ejecutar la iniciativa de garantía planificada. Validar y
confirmar el diseño de los controles internos implantados.
Además, y específicamente en las asignaciones de auditoría
interna, considere la rentabilidad del diseño del componente
de gobierno.

Ejecutar la iniciativa de garantía planificada. Pruebe si los

controles internos establecidos son adecuados y suficientes.
Probar el resultado de los objetivos clave de gestión en el
alcance de la iniciativa de aseguramiento.

Proporcionar opiniones de aseguramiento positivas, cuando

corresponda, y recomendaciones de mejora relacionadas con
el desempeño operativo identificado, el cumplimiento externo
y las debilidades del control interno.

Acordar, dar seguimiento e implementar las recomendaciones

de mejora identificadas.

183
A continuación se enumeran las actividades asociadas con cada una de las prácticas de gobierno y gestión en COBIT ® 2019.
Las actividades se ordenan en el orden en que aparecen en COBIT® Marco 2019: Objetivos de gobernanza y gestión.

Ocupaciones: 1202
Área Dominio ID de objetivo Objetivo ID de práctica Nombre de la práctica Actividad

Gobernancia Evaluar, dirigir y EDM01 Establecimiento y EDM01.01 Evaluar el sistema de 1. Analizar e identificar los factores ambientales internos y externos
monitorear mantenimiento del marco gobernanza (obligaciones legales, regulatorias y contractuales) y las tendencias en
de gobernanza garantizado el entorno empresarial que pueden influir en el diseño de la
gobernanza.

Gobernancia Evaluar, dirigir y EDM01 Establecimiento y EDM01.01 Evaluar el sistema de 2. Determine la importancia de I&T y su función con respecto al
monitorear mantenimiento del marco gobernanza negocio.
de gobernanza garantizado

Gobernancia Evaluar, dirigir y EDM01 Establecimiento y EDM01.01 Evaluar el sistema de 3. Considere las regulaciones externas, las leyes y las obligaciones
monitorear mantenimiento del marco gobernanza contractuales y determine cómo deben aplicarse dentro del gobierno
de gobernanza garantizado de la I&T empresarial.

Gobernancia Evaluar, dirigir y EDM01 Establecimiento y EDM01.01 Evaluar el sistema de 4. Determinar las implicaciones del entorno de control empresarial
monitorear mantenimiento del marco gobernanza general con respecto a I&T.
de gobernanza garantizado

Gobernancia Evaluar, dirigir y EDM01 Establecimiento y EDM01.01 Evaluar el sistema de 5. Alinear el uso ético y el procesamiento de la información y su
monitorear mantenimiento del marco gobernanza impacto en la sociedad, el medio ambiente natural y los intereses de
de gobernanza garantizado las partes interesadas internas y externas con la dirección, metas y
objetivos de la empresa.

184
Gobernancia Evaluar, dirigir y EDM01 Establecimiento y EDM01.01 Evaluar el sistema de 6. Articular los principios que guiarán el diseño de la gobernanza y la
monitorear mantenimiento del marco gobernanza toma de decisiones de I&T.
de gobernanza garantizado

Gobernancia Evaluar, dirigir y EDM01 Establecimiento y EDM01.01 Evaluar el sistema de 7. Determinar el modelo óptimo de toma de decisiones para I&T.
monitorear mantenimiento del marco gobernanza
de gobernanza garantizado

Gobernancia Evaluar, dirigir y EDM01 Establecimiento y EDM01.01 Evaluar el sistema de 8. Determine los niveles apropiados de delegación de autoridad,
monitorear mantenimiento del marco gobernanza incluidas las reglas de umbral, para las decisiones de I&T.
de gobernanza garantizado

Gobernancia Evaluar, dirigir y EDM01 Establecimiento y EDM01.02 Dirigir el sistema de 1. Comunicar la gobernanza de los principios de I&T y acordar con la
monitorear mantenimiento del marco gobernanza. dirección ejecutiva la forma de establecer un liderazgo informado y
de gobernanza garantizado comprometido.

Gobernancia Evaluar, dirigir y EDM01 Establecimiento y EDM01.02 Dirigir el sistema de 2. Establecer o delegar el establecimiento de estructuras, procesos y
monitorear mantenimiento del marco gobernanza. prácticas de gobernanza de acuerdo con los principios de diseño
de gobernanza garantizado acordados.

Gobernancia Evaluar, dirigir y EDM01 Establecimiento y EDM01.02 Dirigir el sistema de 3. Establecer una junta de gobierno de I&T (o equivalente) a nivel de
monitorear mantenimiento del marco gobernanza. junta. Esta junta debe garantizar que la gobernanza de la información
de gobernanza garantizado y la tecnología, como parte de la gobernanza empresarial, se aborde
adecuadamente; asesorar sobre dirección estratégica; y determinar
la priorización de los programas de inversión habilitados para I & T de
acuerdo con la estrategia y las prioridades comerciales de la empresa.
Gobernancia Evaluar, dirigir y EDM01 Establecimiento y EDM01.02 Dirigir el sistema de 4. Asignar responsabilidad, autoridad y rendición de cuentas para las
monitorear mantenimiento del marco gobernanza. decisiones de I&T de acuerdo con los principios de diseño de
de gobernanza garantizado gobernanza acordados, los modelos de toma de decisiones y la
delegación.

185
Gobernancia Evaluar, dirigir y EDM01 Establecimiento y EDM01.02 Dirigir el sistema de 5. Asegurarse de que los mecanismos de comunicación y
monitorear mantenimiento del marco gobernanza. presentación de informes brinden a los responsables de la
de gobernanza garantizado supervisión y la toma de decisiones la información adecuada.

Gobernancia Evaluar, dirigir y EDM01 Establecimiento y EDM01.02 Dirigir el sistema de 6. Indique que el personal siga las pautas relevantes para el
monitorear mantenimiento del marco gobernanza. comportamiento ético y profesional y se asegure de que se conozcan
de gobernanza garantizado y se cumplan las consecuencias del incumplimiento.

Gobernancia Evaluar, dirigir y EDM01 Establecimiento y EDM01.02 Dirigir el sistema de 7. Dirigir el establecimiento de un sistema de recompensas para
monitorear mantenimiento del marco gobernanza. promover el cambio cultural deseable.
de gobernanza garantizado

Gobernancia Evaluar, dirigir y EDM01 Establecimiento y EDM01.03 Monitorear el sistema de 1. Evaluar la eficacia y el desempeño de las partes interesadas a las
monitorear mantenimiento del marco gobierno. que se les ha delegado la responsabilidad y la autoridad para el
de gobernanza garantizado gobierno de la I&T empresarial.

Gobernancia Evaluar, dirigir y EDM01 Establecimiento y EDM01.03 Monitorear el sistema de 2. Evaluar periódicamente si la gobernanza acordada de los
monitorear mantenimiento del marco gobierno. mecanismos de I&T (estructuras, principios, procesos, etc.) están
de gobernanza garantizado establecidos y operando de manera efectiva.

Gobernancia Evaluar, dirigir y EDM01 Establecimiento y EDM01.03 Monitorear el sistema de 3. Evaluar la efectividad del diseño de gobernanza e identificar
monitorear mantenimiento del marco gobierno. acciones para rectificar las desviaciones encontradas.
de gobernanza garantizado

Gobernancia Evaluar, dirigir y EDM01 Establecimiento y EDM01.03 Monitorear el sistema de 4. Supervisar hasta qué punto I&T satisface las obligaciones
monitorear mantenimiento del marco gobierno. (reglamentarias, legislativas, de derecho consuetudinario,
de gobernanza garantizado contractuales), políticas internas, estándares y pautas profesionales.

186
Gobernancia Evaluar, dirigir y EDM01 Establecimiento y EDM01.03 Monitorear el sistema de 5. Supervisar la eficacia y el cumplimiento del sistema de control de la
monitorear mantenimiento del marco gobierno. empresa.
de gobernanza garantizado

Gobernancia Evaluar, dirigir y EDM01 Establecimiento y EDM01.03 Monitorear el sistema de 6. Monitorear los mecanismos regulares y rutinarios para asegurar
monitorear mantenimiento del marco gobierno. que el uso de I&T cumpla con las obligaciones relevantes
de gobernanza garantizado (regulatorias, legislativas, de derecho consuetudinario,
contractuales), estándares y pautas.

Gobernancia Evaluar, dirigir y EDM02 Entrega de beneficios EDM02.01 Establecer la mezcla de 1. Crear y mantener carteras de programas de inversión habilitados
monitorear asegurada inversiones objetivo. para I&T, servicios de TI y activos de TI, que forman la base del
presupuesto de TI actual y respaldan los planes tácticos y estratégicos
de I&T.

Gobernancia Evaluar, dirigir y EDM02 Entrega de beneficios EDM02.01 Establecer la mezcla de 2. Obtener un entendimiento común entre TI y las otras funciones
monitorear asegurada inversiones objetivo. comerciales sobre las oportunidades potenciales para que TI habilite
y contribuya a la estrategia empresarial.

Gobernancia Evaluar, dirigir y EDM02 Entrega de beneficios EDM02.01 Establecer la mezcla de 3. Identificar las categorías amplias de sistemas de información,
monitorear asegurada inversiones objetivo. aplicaciones, datos, servicios de TI, infraestructura, activos de I&T,
recursos, habilidades, prácticas, controles y relaciones necesarias
para respaldar la estrategia empresarial.

Gobernancia Evaluar, dirigir y EDM02 Entrega de beneficios EDM02.01 Establecer la mezcla de 4. Acordar los objetivos de I&T, teniendo en cuenta las
monitorear asegurada inversiones objetivo. interrelaciones entre la estrategia empresarial y los servicios, activos
y otros recursos de I&T. Identificar y aprovechar las sinergias que se
pueden lograr.

Gobernancia Evaluar, dirigir y EDM02 Entrega de beneficios EDM02.01 Establecer la mezcla de 5. Definir una combinación de inversiones que logre el equilibrio
monitorear asegurada inversiones objetivo. adecuado entre una serie de dimensiones, incluido un equilibrio
adecuado de rendimientos a corto y largo plazo, beneficios
financieros y no financieros e inversiones de alto y bajo riesgo.

187
Gobernancia Evaluar, dirigir y EDM02 Entrega de beneficios EDM02.02 Evaluar la optimización del 1. Comprender los requisitos de las partes interesadas; cuestiones
monitorear asegurada valor. estratégicas de I&T, como la dependencia de I&T; y conocimientos y
capacidades tecnológicos con respecto a la importancia real y
potencial de I&T para la estrategia de la empresa.

Gobernancia Evaluar, dirigir y EDM02 Entrega de beneficios EDM02.02 Evaluar la optimización del 2. Comprender los elementos clave de gobernanza necesarios para la
monitorear asegurada valor. entrega confiable, segura y rentable de un valor óptimo a partir del
uso de servicios, activos y recursos de I&T nuevos y existentes.

Gobernancia Evaluar, dirigir y EDM02 Entrega de beneficios EDM02.02 Evaluar la optimización del 3. Comprender y discutir periódicamente las oportunidades que
monitorear asegurada valor. podrían surgir para la empresa a partir de los cambios propiciados
por las tecnologías actuales, nuevas o emergentes, y optimizar el
valor creado a partir de esas oportunidades.

Gobernancia Evaluar, dirigir y EDM02 Entrega de beneficios EDM02.02 Evaluar la optimización del 4. Comprender qué constituye valor para la empresa y considerar qué
monitorear asegurada valor. tan bien se comunica, comprende y aplica a lo largo de los procesos
de la empresa.

Gobernancia Evaluar, dirigir y EDM02 Entrega de beneficios EDM02.02 Evaluar la optimización del 5. Evaluar la eficacia con la que se han integrado y alineado la
monitorear asegurada valor. empresa y las estrategias de I&T dentro de la empresa y con los
objetivos empresariales para generar valor.

Gobernancia Evaluar, dirigir y EDM02 Entrega de beneficios EDM02.02 Evaluar la optimización del 6. Comprender y considerar cuán efectivos son los roles,
monitorear asegurada valor. responsabilidades, responsabilidades y órganos de toma de
decisiones actuales para garantizar la creación de valor a partir de
inversiones, servicios y activos habilitados para I&T.

Gobernancia Evaluar, dirigir y EDM02 Entrega de beneficios EDM02.02 Evaluar la optimización del 7. Considere qué tan bien la administración de inversiones, servicios y
monitorear asegurada valor. activos habilitados para I&T se alinea con la administración del valor
empresarial y las prácticas de administración financiera.

188
Gobernancia Evaluar, dirigir y EDM02 Entrega de beneficios EDM02.02 Evaluar la optimización del 8. Evaluar la cartera de inversiones, servicios y activos para alinearla
monitorear asegurada valor. con los objetivos estratégicos de la empresa; valor empresarial, tanto
financiero como no financiero; riesgo, riesgo de entrega y riesgo de
beneficios; alineación de procesos comerciales; eficacia en términos
de usabilidad, disponibilidad y capacidad de respuesta; y eficiencia en
términos de costo, redundancia y salud técnica.
Gobernancia Evaluar, dirigir y EDM02 Entrega de beneficios EDM02.03 Optimización de valor 1. Definir y comunicar tipos, categorías, criterios y ponderaciones
monitorear asegurada directo. relativas de carteras e inversiones a los criterios para permitir
puntuaciones generales de valor relativo.

Gobernancia Evaluar, dirigir y EDM02 Entrega de beneficios EDM02.03 Optimización de valor 2. Definir requisitos para etapas y otras revisiones para determinar la
monitorear asegurada directo. importancia de la inversión para la empresa y el riesgo asociado,
cronogramas de programas, planes de financiamiento y la entrega de
capacidades y beneficios clave y contribución continua al valor.

Gobernancia Evaluar, dirigir y EDM02 Entrega de beneficios EDM02.03 Optimización de valor 3. Dirigir a la gerencia para que considere posibles usos innovadores
monitorear asegurada directo. de I&T que permitan a la empresa responder a nuevas oportunidades
o desafíos, emprender nuevos negocios, aumentar la competitividad
o mejorar los procesos.

Gobernancia Evaluar, dirigir y EDM02 Entrega de beneficios EDM02.03 Optimización de valor 4. Dirigir cualquier cambio requerido en la asignación de
monitorear asegurada directo. responsabilidades y responsabilidades para ejecutar la cartera de
inversiones y entregar valor de los procesos y servicios comerciales.

Gobernancia Evaluar, dirigir y EDM02 Entrega de beneficios EDM02.03 Optimización de valor 5. Dirigir los cambios necesarios a la cartera de inversiones y servicios
monitorear asegurada directo. para realinearlos con los objetivos y / o limitaciones de la empresa
actuales y esperados.

Gobernancia Evaluar, dirigir y EDM02 Entrega de beneficios EDM02.03 Optimización de valor 6. Recomendar la consideración de posibles innovaciones, cambios
monitorear asegurada directo. organizacionales o mejoras operativas que podrían generar un mayor
valor para la empresa a partir de iniciativas habilitadas por I&T.

189
Gobernancia Evaluar, dirigir y EDM02 Entrega de beneficios EDM02.03 Optimización de valor 7. Definir y comunicar los objetivos de entrega de valor a nivel
monitorear asegurada directo. empresarial y las medidas de resultado para permitir un seguimiento
eficaz.

Gobernancia Evaluar, dirigir y EDM02 Entrega de beneficios EDM02.04 Supervisar la optimización 1. Definir un conjunto equilibrado de objetivos de desempeño,
monitorear asegurada del valor. métricas, metas y puntos de referencia. Las métricas deben cubrir las
medidas de actividad y resultados, incluidos los indicadores de
adelanto y retraso de los resultados, así como un equilibrio adecuado
de medidas financieras y no financieras. Revíselos y acuerdelos con TI
y otras funciones comerciales, y otras partes interesadas relevantes.
Gobernancia Evaluar, dirigir y EDM02 Entrega de beneficios EDM02.04 Supervisar la optimización 2. Recopile datos relevantes, oportunos, completos, creíbles y
monitorear asegurada del valor. precisos para informar sobre el progreso en la entrega de valor con
respecto a los objetivos. Obtenga una visión sucinta, de alto nivel y
completa de la cartera, el programa y el desempeño de I&T
(capacidades técnicas y operativas) que respalde la toma de
decisiones. Asegúrese de que se estén logrando los resultados
esperados.
Gobernancia Evaluar, dirigir y EDM02 Entrega de beneficios EDM02.04 Supervisar la optimización 3. Obtener informes periódicos y relevantes de desempeño de
monitorear asegurada del valor. portafolios, programas e I&T (tecnológicos y funcionales). Revisar el
progreso de la empresa hacia las metas identificadas y la medida en
que se lograron los objetivos planificados, se obtuvieron los
entregables, se cumplieron las metas de desempeño y se mitigó el
riesgo.
Gobernancia Evaluar, dirigir y EDM02 Entrega de beneficios EDM02.04 Supervisar la optimización 4. Tras la revisión de los informes, asegúrese de que se inicien y
monitorear asegurada del valor. controlen las medidas correctivas de gestión adecuadas.

Gobernancia Evaluar, dirigir y EDM02 Entrega de beneficios EDM02.04 Supervisar la optimización 5. Tras la revisión de los informes, tome las medidas de gestión
monitorear asegurada del valor. adecuadas según sea necesario para garantizar que se optimice el
valor.

Gobernancia Evaluar, dirigir y EDM03 Optimización de riesgos EDM03.01 Evaluar la gestión de riesgos. 1. Comprender la organización y su contexto en relación con el riesgo
monitorear garantizada de I&T.

190
Gobernancia Evaluar, dirigir y EDM03 Optimización de riesgos EDM03.01 Evaluar la gestión de riesgos. 2. Determine el apetito por el riesgo de la organización, es decir, el
monitorear garantizada nivel de riesgo relacionado con I&T que la empresa está dispuesta a
asumir en su búsqueda de los objetivos empresariales.

Gobernancia Evaluar, dirigir y EDM03 Optimización de riesgos EDM03.01 Evaluar la gestión de riesgos. 3. Determinar los niveles de tolerancia al riesgo frente al apetito por
monitorear garantizada el riesgo, es decir, desviaciones temporalmente aceptables del
apetito por el riesgo.

Gobernancia Evaluar, dirigir y EDM03 Optimización de riesgos EDM03.01 Evaluar la gestión de riesgos. 4. Determine el grado de alineación de la estrategia de riesgo de I&T
monitorear garantizada con la estrategia de riesgo empresarial y asegúrese de que el apetito
por el riesgo esté por debajo de la capacidad de riesgo de la
organización.

Gobernancia Evaluar, dirigir y EDM03 Optimización de riesgos EDM03.01 Evaluar la gestión de riesgos. 5. Evalúe proactivamente los factores de riesgo de I&T antes de las
monitorear garantizada decisiones empresariales estratégicas pendientes y asegúrese de que
las consideraciones de riesgo sean parte del proceso de decisión
empresarial estratégica.

Gobernancia Evaluar, dirigir y EDM03 Optimización de riesgos EDM03.01 Evaluar la gestión de riesgos. 6. Evaluar las actividades de gestión de riesgos para asegurar la
monitorear garantizada alineación con la capacidad de la empresa para las pérdidas
relacionadas con I&T y la tolerancia de los líderes hacia las mismas.

Gobernancia Evaluar, dirigir y EDM03 Optimización de riesgos EDM03.01 Evaluar la gestión de riesgos. 7. Atraer y mantener las habilidades y el personal necesarios para la
monitorear garantizada gestión de riesgos de I&T

Gobernancia Evaluar, dirigir y EDM03 Optimización de riesgos EDM03.02 Gestión de riesgo directo. 1. Dirigir la traducción e integración de la estrategia de riesgos de I&T
monitorear garantizada en prácticas de gestión de riesgos y actividades operativas.

191
Gobernancia Evaluar, dirigir y EDM03 Optimización de riesgos EDM03.02 Gestión de riesgo directo. 2. Dirigir el desarrollo de planes de comunicación de riesgos (que
monitorear garantizada abarquen todos los niveles de la empresa).

Gobernancia Evaluar, dirigir y EDM03 Optimización de riesgos EDM03.02 Gestión de riesgo directo. 3. Implementación directa de los mecanismos apropiados para
monitorear garantizada responder rápidamente a los riesgos cambiantes e informar
inmediatamente a los niveles apropiados de gestión, respaldados por
principios acordados de escalamiento (qué informar, cuándo, dónde y
cómo).

Gobernancia Evaluar, dirigir y EDM03 Optimización de riesgos EDM03.02 Gestión de riesgo directo. 4. Indique que el riesgo, las oportunidades, los problemas y las
monitorear garantizada preocupaciones pueden ser identificados e informados por cualquier
persona a la parte correspondiente en cualquier momento. El riesgo
se debe gestionar de acuerdo con las políticas y procedimientos
publicados y se debe escalar a los tomadores de decisiones
relevantes.
Gobernancia Evaluar, dirigir y EDM03 Optimización de riesgos EDM03.02 Gestión de riesgo directo. 5. Identificar los objetivos y métricas clave de los procesos de gestión
monitorear garantizada y gobierno de riesgos a monitorear, y aprobar los enfoques, métodos,
técnicas y procesos para capturar y reportar la información de
medición.

Gobernancia Evaluar, dirigir y EDM03 Optimización de riesgos EDM03.03 Supervisar la gestión de 1. Informar cualquier problema relacionado con la gestión de riesgos
monitorear garantizada riesgos. al consejo de administración o al comité ejecutivo.

Gobernancia Evaluar, dirigir y EDM03 Optimización de riesgos EDM03.03 Supervisar la gestión de 2. Supervisar hasta qué punto se gestiona el perfil de riesgo dentro de
monitorear garantizada riesgos. los umbrales de tolerancia y apetito por el riesgo de la empresa.

Gobernancia Evaluar, dirigir y EDM03 Optimización de riesgos EDM03.03 Supervisar la gestión de 3. Monitorear los objetivos y métricas clave de los procesos de
monitorear garantizada riesgos. gestión y gobernanza de riesgos frente a los objetivos, analizar la
causa de cualquier desviación e iniciar acciones correctivas para
abordar las causas subyacentes.

192
Gobernancia Evaluar, dirigir y EDM03 Optimización de riesgos EDM03.03 Supervisar la gestión de 4. Permitir la revisión de las partes interesadas clave del progreso de
monitorear garantizada riesgos. la empresa hacia las metas identificadas.

Gobernancia Evaluar, dirigir y EDM04 Optimización de recursos EDM04.01 Evaluar la gestión de 1. Partiendo de las estrategias actuales y futuras, examine las
monitorear garantizada recursos. opciones potenciales para proporcionar recursos relacionados con
I&T (tecnología, recursos financieros y humanos) y desarrolle
capacidades para satisfacer las necesidades actuales y futuras
(incluidas las opciones de abastecimiento).

Gobernancia Evaluar, dirigir y EDM04 Optimización de recursos EDM04.01 Evaluar la gestión de 2. Definir los principios clave para la asignación de recursos y la
monitorear garantizada recursos. gestión de recursos y capacidades para que I&T pueda satisfacer las
necesidades de la empresa de acuerdo con las prioridades acordadas
y las limitaciones presupuestarias. Por ejemplo, defina opciones de
abastecimiento preferidas para ciertos servicios y límites financieros
por opción de abastecimiento.
Gobernancia Evaluar, dirigir y EDM04 Optimización de recursos EDM04.01 Evaluar la gestión de 3. Revisar y aprobar el plan de recursos y las estrategias de
monitorear garantizada recursos. arquitectura empresarial para generar valor y mitigar el riesgo con los
recursos asignados.

Gobernancia Evaluar, dirigir y EDM04 Optimización de recursos EDM04.01 Evaluar la gestión de 4. Comprender los requisitos para alinear la gestión de recursos de
monitorear garantizada recursos. I&T con la planificación de recursos humanos y financieros de la
empresa.

Gobernancia Evaluar, dirigir y EDM04 Optimización de recursos EDM04.01 Evaluar la gestión de 5. Definir principios para la gestión y control de la arquitectura
monitorear garantizada recursos. empresarial.

Gobernancia Evaluar, dirigir y EDM04 Optimización de recursos EDM04.02 Gestión directa de recursos. 1. Asignar responsabilidades para ejecutar la gestión de recursos.
monitorear garantizada

193
Gobernancia Evaluar, dirigir y EDM04 Optimización de recursos EDM04.02 Gestión directa de recursos. 2. Establecer principios relacionados con la salvaguarda de recursos.
monitorear garantizada

Gobernancia Evaluar, dirigir y EDM04 Optimización de recursos EDM04.02 Gestión directa de recursos. 3. Comunicar e impulsar la adopción de las estrategias de gestión de
monitorear garantizada recursos, los principios y el plan de recursos y las estrategias de
arquitectura empresarial acordados.

Gobernancia Evaluar, dirigir y EDM04 Optimización de recursos EDM04.02 Gestión directa de recursos. 4. Alinee la gestión de recursos con la planificación financiera y de
monitorear garantizada recursos humanos de la empresa.

Gobernancia Evaluar, dirigir y EDM04 Optimización de recursos EDM04.02 Gestión directa de recursos. 5. Definir objetivos, medidas y métricas clave para la gestión de
monitorear garantizada recursos.

Gobernancia Evaluar, dirigir y EDM04 Optimización de recursos EDM04.03 Supervisar la gestión de 1. Monitorear la asignación y optimización de recursos de acuerdo
monitorear garantizada recursos. con los objetivos y prioridades de la empresa utilizando metas y
métricas acordadas.

Gobernancia Evaluar, dirigir y EDM04 Optimización de recursos EDM04.03 Supervisar la gestión de 2. Monitorear las estrategias de abastecimiento relacionadas con I&T,
monitorear garantizada recursos. las estrategias de arquitectura empresarial y las capacidades y
recursos relacionados con el negocio y la TI para garantizar que se
puedan satisfacer las necesidades y objetivos actuales y futuros de la
empresa.

Gobernancia Evaluar, dirigir y EDM04 Optimización de recursos EDM04.03 Supervisar la gestión de 3. Monitorear el desempeño de los recursos contra los objetivos,
monitorear garantizada recursos. analizar la causa de las desviaciones e iniciar acciones correctivas
para abordar las causas subyacentes.

194
Gobernancia Evaluar, dirigir y EDM05 Compromiso garantizado de EDM05.01 Evaluar la participación de 1. Identifique a todas las partes interesadas relevantes de I&T dentro
monitorear las partes interesadas las partes interesadas y los y fuera de la empresa. Agrupe a las partes interesadas en categorías
requisitos de presentación de partes interesadas con requisitos similares.
de informes.

Gobernancia Evaluar, dirigir y EDM05 Compromiso garantizado de EDM05.01 Evaluar la participación de 2. Examinar y emitir un juicio sobre los requisitos de informes
monitorear las partes interesadas las partes interesadas y los obligatorios actuales y futuros relacionados con el uso de I&T dentro
requisitos de presentación de la empresa (regulación, legislación, derecho consuetudinario,
de informes. contractual), incluido el alcance y la frecuencia.

Gobernancia Evaluar, dirigir y EDM05 Compromiso garantizado de EDM05.01 Evaluar la participación de 3. Examinar y emitir un juicio sobre los requisitos de comunicación e
monitorear las partes interesadas las partes interesadas y los informes actuales y futuros para otras partes interesadas
requisitos de presentación relacionados con el uso de I&T dentro de la empresa, incluido el nivel
de informes. requerido de participación / consulta y el alcance de la
comunicación / nivel de detalle y condiciones.

Gobernancia Evaluar, dirigir y EDM05 Compromiso garantizado de EDM05.01 Evaluar la participación de 4. Mantener los principios para la comunicación con las partes
monitorear las partes interesadas las partes interesadas y los interesadas externas e internas, incluidos los formatos y canales de
requisitos de presentación comunicación, y para la aceptación y aprobación de los informes por
de informes. parte de las partes interesadas.

Gobernancia Evaluar, dirigir y EDM05 Compromiso garantizado de EDM05.02 Participación, comunicación 1. Dirigir el establecimiento de la estrategia de consulta y
monitorear las partes interesadas y presentación de informes comunicación para los grupos de interés externos e internos.
directos con las partes
interesadas.

Gobernancia Evaluar, dirigir y EDM05 Compromiso garantizado de EDM05.02 Participación, comunicación 2. Dirigir la implementación de mecanismos para asegurar que la
monitorear las partes interesadas y presentación de informes información cumpla con todos los criterios para los requisitos
directos con las partes obligatorios de informes de I&T para la empresa.
interesadas.

Gobernancia Evaluar, dirigir y EDM05 Compromiso garantizado de EDM05.02 Participación, comunicación 3. Establecer mecanismos de validación y aprobación de informes
monitorear las partes interesadas y presentación de informes obligatorios.
directos con las partes
interesadas.

195
Gobernancia Evaluar, dirigir y EDM05 Compromiso garantizado de EDM05.02 Participación, comunicación 4. Establecer mecanismos de escalamiento de informes.
monitorear las partes interesadas y presentación de informes
directos con las partes
interesadas.

Gobernancia Evaluar, dirigir y EDM05 Compromiso garantizado de EDM05.03 Monitorear la participación 1. Evaluar periódicamente la efectividad de los mecanismos para
monitorear las partes interesadas de las partes interesadas. asegurar la precisión y confiabilidad de los informes obligatorios.

Gobernancia Evaluar, dirigir y EDM05 Compromiso garantizado de EDM05.03 Monitorear la participación 2. Evaluar periódicamente la eficacia de los mecanismos y los
monitorear las partes interesadas de las partes interesadas. resultados de la participación y la comunicación con las partes
interesadas externas e internas.

Gobernancia Evaluar, dirigir y EDM05 Compromiso garantizado de EDM05.03 Monitorear la participación 3. Determine si se cumplen los requisitos de las diferentes partes
monitorear las partes interesadas de las partes interesadas. interesadas y evalúe los niveles de participación de las partes
interesadas.

Gestión Alinear, planificar y APO01 Marco de gestión de I&T APO01.01 Diseñar el sistema de gestión 1. Comprender la visión, la dirección y la estrategia de la empresa, así
organizar administrado de I&T empresarial. como el contexto y los desafíos actuales de la empresa.

Gestión Alinear, planificar y APO01 Marco de gestión de I&T APO01.01 Diseñar el sistema de gestión 2. Considerar el entorno interno de la empresa, incluida la cultura y
organizar administrado de I&T empresarial. filosofía de la gestión, la tolerancia al riesgo, la política de seguridad y
privacidad, los valores éticos, el código de conducta, la
responsabilidad y los requisitos para la integridad de la gestión.

Gestión Alinear, planificar y APO01 Marco de gestión de I&T APO01.01 Diseñar el sistema de gestión 3. Aplicar la cascada de metas de COBIT y los factores de diseño a la
organizar administrado de I&T empresarial. estrategia empresarial y el contexto para decidir las prioridades del
sistema de gestión y, por lo tanto, para la implementación de las
prioridades de los objetivos de gestión.

196
Gestión Alinear, planificar y APO01 Marco de gestión de I&T APO01.01 Diseñar el sistema de gestión 4. Validar las prioridades seleccionadas para la implementación de los
organizar administrado de I&T empresarial. objetivos de gestión con buenas prácticas o requisitos específicos de
la industria (por ejemplo, regulaciones específicas de la industria) y
con estructuras de gobernanza adecuadas.

Gestión Alinear, planificar y APO01 Marco de gestión de I&T APO01.02 Comunicar los objetivos de 1. Proporcionar recursos suficientes y capacitados para apoyar el
organizar administrado gestión, la dirección y las proceso de comunicación.
decisiones tomadas.

Gestión Alinear, planificar y APO01 Marco de gestión de I&T APO01.02 Comunicar los objetivos de 2. Definir reglas básicas para la comunicación identificando las
organizar administrado gestión, la dirección y las necesidades de comunicación e implementando planes basados ​en
decisiones tomadas. esas necesidades, considerando la comunicación de arriba hacia
abajo, de abajo hacia arriba y horizontal.

Gestión Alinear, planificar y APO01 Marco de gestión de I&T APO01.02 Comunicar los objetivos de 3. Comunicar continuamente los objetivos y la dirección de I&T.
organizar administrado gestión, la dirección y las Asegurar que la comunicación sea apoyada por la dirección ejecutiva
decisiones tomadas. en acciones y palabras, utilizando todos los canales disponibles.

Gestión Alinear, planificar y APO01 Marco de gestión de I&T APO01.02 Comunicar los objetivos de 4. Asegurar que la información comunicada abarque una misión
organizar administrado gestión, la dirección y las claramente articulada, objetivos de servicio, política de seguridad y
decisiones tomadas. privacidad, controles internos, calidad, código de ética / conducta,
políticas y procedimientos, roles y responsabilidades, etc. Comunicar
la información con el nivel de detalle apropiado para las audiencias
respectivas dentro de la empresa.
Gestión Alinear, planificar y APO01 Marco de gestión de I&T APO01.03 Implementar procesos de 1. Desarrollar el modelo de proceso de destino de gobierno de I&T
organizar administrado gestión (para apoyar el logro específico para la organización, basado en la selección de objetivos
de los objetivos de de gestión prioritarios (salida de la cascada de metas y ejercicio de
gobernanza y gestión). factores de diseño).

Gestión Alinear, planificar y APO01 Marco de gestión de I&T APO01.03 Implementar procesos de 2. Analizar la brecha entre el modelo de proceso objetivo para la
organizar administrado gestión (para apoyar el logro organización y las prácticas y actividades actuales.
de los objetivos de
gobernanza y gestión).

197
Gestión Alinear, planificar y APO01 Marco de gestión de I&T APO01.03 Implementar procesos de 3. Redactar una hoja de ruta para la implementación de las prácticas
organizar administrado gestión (para apoyar el logro y actividades de los procesos que faltan. Utilice métricas de práctica
de los objetivos de para realizar un seguimiento de la implementación exitosa.
gobernanza y gestión).

Gestión Alinear, planificar y APO01 Marco de gestión de I&T APO01.04 Definir e implementar las 1. Identificar las decisiones necesarias para el logro de los resultados
organizar administrado estructuras organizacionales. empresariales y la estrategia de I&T y para la gestión y ejecución de
los servicios de I&T.

Gestión Alinear, planificar y APO01 Marco de gestión de I&T APO01.04 Definir e implementar las 2. Involucrar a las partes interesadas que son fundamentales para la
organizar administrado estructuras organizacionales. toma de decisiones (responsables, consultados o informados).

Gestión Alinear, planificar y APO01 Marco de gestión de I&T APO01.04 Definir e implementar las 3. Definir el alcance, enfoque, mandato y responsabilidades de cada
organizar administrado estructuras organizacionales. función dentro de la organización relacionada con I&T, de acuerdo
con la dirección de gobierno.

Gestión Alinear, planificar y APO01 Marco de gestión de I&T APO01.04 Definir e implementar las 4. Definir el alcance de las funciones internas y externas, los roles
organizar administrado estructuras organizacionales. internos y externos, las capacidades y los derechos de decisión
necesarios para cubrir todas las prácticas, incluidas las realizadas por
terceros.

Gestión Alinear, planificar y APO01 Marco de gestión de I&T APO01.04 Definir e implementar las 5. Alinear la organización relacionada con I&T con modelos
organizar administrado estructuras organizacionales. organizacionales de arquitectura empresarial.

Gestión Alinear, planificar y APO01 Marco de gestión de I&T APO01.04 Definir e implementar las 6. Establecer un comité de dirección de I&T (o equivalente)
organizar administrado estructuras organizacionales. compuesto por ejecutivos, negocios y administración de I&T para
rastrear el estado de los proyectos, resolver conflictos de recursos y
monitorear los niveles de servicio y las mejoras de servicio.

198
Gestión Alinear, planificar y APO01 Marco de gestión de I&T APO01.04 Definir e implementar las 7. Proporcionar directrices para cada estructura de gestión (incluido
organizar administrado estructuras organizacionales. el mandato, los objetivos, los asistentes a la reunión, el calendario, el
seguimiento, la supervisión y la supervisión), así como las
aportaciones necesarias y los resultados esperados de las reuniones.

Gestión Alinear, planificar y APO01 Marco de gestión de I&T APO01.04 Definir e implementar las 8. Verificar periódicamente la adecuación y eficacia de las estructuras
organizar administrado estructuras organizacionales. organizativas.

Gestión Alinear, planificar y APO01 Marco de gestión de I&T APO01.05 Establece roles y 1. Establecer, acordar y comunicar las funciones y responsabilidades
organizar administrado responsabilidades. relacionadas con I&T para todo el personal de la empresa, en
consonancia con las necesidades y objetivos comerciales. Delinee
claramente las responsabilidades y responsabilidades, especialmente
para la toma de decisiones y aprobaciones.

Gestión Alinear, planificar y APO01 Marco de gestión de I&T APO01.05 Establece roles y 2. Considere los requisitos de la empresa y la continuidad del servicio
organizar administrado responsabilidades. de I&T al definir roles, incluido el respaldo del personal y los
requisitos de capacitación cruzada.

Gestión Alinear, planificar y APO01 Marco de gestión de I&T APO01.05 Establece roles y 3. Proporcionar información para el proceso de continuidad del
organizar administrado responsabilidades. servicio de I&T manteniendo actualizada la información de contacto y
las descripciones de funciones en la empresa.

Gestión Alinear, planificar y APO01 Marco de gestión de I&T APO01.05 Establece roles y 4. Incluir requisitos específicos en las descripciones de funciones y
organizar administrado responsabilidades. responsabilidades con respecto al cumplimiento de las políticas y
procedimientos de gestión, el código de ética y las prácticas
profesionales.

Gestión Alinear, planificar y APO01 Marco de gestión de I&T APO01.05 Establece roles y 5. Asegúrese de que la rendición de cuentas se defina a través de
organizar administrado responsabilidades. roles y responsabilidades.

199
Gestión Alinear, planificar y APO01 Marco de gestión de I&T APO01.05 Establece roles y 6. Estructurar roles y responsabilidades para reducir la posibilidad de
organizar administrado responsabilidades. que un solo rol comprometa un proceso crítico.

Gestión Alinear, planificar y APO01 Marco de gestión de I&T APO01.05 Establece roles y 7. Implementar prácticas de supervisión adecuadas para garantizar
organizar administrado responsabilidades. que los roles y responsabilidades se ejerzan adecuadamente, para
evaluar si todo el personal tiene suficiente autoridad y recursos para
ejecutar sus roles y responsabilidades y, en general, para revisar el
desempeño. El nivel de supervisión debe estar alineado con la
sensibilidad del puesto y el alcance de las responsabilidades
asignadas.
Gestión Alinear, planificar y APO01 Marco de gestión de I&T APO01.06 Optimice la ubicación de la 1. Comprender el contexto para la ubicación de la función de TI,
organizar administrado función de TI. incluida la evaluación de la estrategia empresarial y el modelo
operativo (centralizado, federado, descentralizado, híbrido), la
importancia de I&T y la situación y las opciones de abastecimiento.

Gestión Alinear, planificar y APO01 Marco de gestión de I&T APO01.06 Optimice la ubicación de la 2. Identificar, evaluar y priorizar opciones para la ubicación
organizar administrado función de TI. organizacional, modelos operativos y de abastecimiento.

Gestión Alinear, planificar y APO01 Marco de gestión de I&T APO01.06 Optimice la ubicación de la 3. Definir la ubicación de la función de TI y obtener un acuerdo.
organizar administrado función de TI.

Gestión Alinear, planificar y APO01 Marco de gestión de I&T APO01.07 Definir información (datos) y 1. Proporcionar directrices para garantizar una clasificación adecuada
organizar administrado propiedad del sistema. y coherente de los elementos de información en toda la empresa.

Gestión Alinear, planificar y APO01 Marco de gestión de I&T APO01.07 Definir información (datos) y 2. Crear y mantener un inventario de información (sistemas y datos)
organizar administrado propiedad del sistema. que incluya una lista de propietarios, custodios y clasificaciones.
Incluya los sistemas que se subcontratan y aquellos cuya propiedad
debe permanecer dentro de la empresa.

200
Gestión Alinear, planificar y APO01 Marco de gestión de I&T APO01.07 Definir información (datos) y 3. Evaluar y distinguir entre datos, información y sistemas críticos (de
organizar administrado propiedad del sistema. alto valor) y no críticos. Garantice la protección adecuada para cada
categoría.

Gestión Alinear, planificar y APO01 Marco de gestión de I&T APO01.08 Definir habilidades y 1. Identificar las habilidades y competencias necesarias para lograr
organizar administrado competencias objetivo. los objetivos de gestión seleccionados.

Gestión Alinear, planificar y APO01 Marco de gestión de I&T APO01.08 Definir habilidades y 2. Analizar la brecha entre las habilidades y capacidades objetivo para
organizar administrado competencias objetivo. la empresa y las habilidades actuales de la fuerza laboral. Consulte
APO07 — Recursos humanos administrados para obtener
información sobre el desarrollo de habilidades y las prácticas de
administración.

Gestión Alinear, planificar y APO01 Marco de gestión de I&T APO01.09 Definir y comunicar políticas 1. Crear un conjunto de políticas para impulsar las expectativas de
organizar administrado y procedimientos. control de TI sobre temas clave relevantes como calidad, seguridad,
privacidad, confidencialidad, controles internos, uso de activos de
I&T, ética y derechos de propiedad intelectual (IP).

Gestión Alinear, planificar y APO01 Marco de gestión de I&T APO01.09 Definir y comunicar políticas 2. Implementar y hacer cumplir las políticas de I&T de manera
organizar administrado y procedimientos. uniforme para todo el personal relevante para que se integren y se
conviertan en parte integral de las operaciones empresariales.

Gestión Alinear, planificar y APO01 Marco de gestión de I&T APO01.09 Definir y comunicar políticas 3. Evalúe y actualice las políticas al menos una vez al año para
organizar administrado y procedimientos. adaptarse a los entornos operativos o comerciales cambiantes.

Gestión Alinear, planificar y APO01 Marco de gestión de I&T APO01.10 Definir e implementar 1. Identificar los objetivos de gestión prioritarios que se pueden
organizar administrado infraestructura, servicios y lograr mediante la automatización de servicios, aplicaciones o
aplicaciones para respaldar infraestructura.
el sistema de gobierno y
gestión.

201
Gestión Alinear, planificar y APO01 Marco de gestión de I&T APO01.10 Definir e implementar 2. Seleccionar e implementar las herramientas más apropiadas y
organizar administrado infraestructura, servicios y comunicarse con las partes interesadas.
aplicaciones para respaldar
el sistema de gobierno y
gestión.

Gestión Alinear, planificar y APO01 Marco de gestión de I&T APO01.10 Definir e implementar 3. Brindar capacitación sobre las herramientas seleccionadas, según
organizar administrado infraestructura, servicios y sea necesario.
aplicaciones para respaldar
el sistema de gobierno y
gestión.

Gestión Alinear, planificar y APO01 Marco de gestión de I&T APO01.11 Gestionar la mejora continua 1. Evalúe periódicamente el desempeño de los componentes del
organizar administrado del sistema de gestión de marco y tome las medidas adecuadas.
I&T.

Gestión Alinear, planificar y APO01 Marco de gestión de I&T APO01.11 Gestionar la mejora continua 2. Identificar los procesos críticos para el negocio basados ​en los
organizar administrado del sistema de gestión de impulsores de desempeño y conformidad y el riesgo relacionado.
I&T. Evaluar la capacidad e identificar los objetivos de mejora. Analice las
brechas en la capacidad y el control. Identificar opciones para
mejorar o rediseñar el proceso.

Gestión Alinear, planificar y APO01 Marco de gestión de I&T APO01.11 Gestionar la mejora continua 3. Priorizar iniciativas de mejora en función de los posibles beneficios
organizar administrado del sistema de gestión de y costes. Implemente las mejoras acordadas, opere como una
I&T. práctica comercial normal y establezca metas y métricas de
desempeño para permitir el monitoreo de las mejoras.

Gestión Alinear, planificar y APO01 Marco de gestión de I&T APO01.11 Gestionar la mejora continua 4. Considere formas de mejorar la eficiencia y la eficacia (por
organizar administrado del sistema de gestión de ejemplo, mediante capacitación, documentación, estandarización y /
I&T. o automatización de procesos).

Gestión Alinear, planificar y APO01 Marco de gestión de I&T APO01.11 Gestionar la mejora continua 5. Aplicar prácticas de gestión de la calidad para actualizar el proceso.
organizar administrado del sistema de gestión de
I&T.

202
Gestión Alinear, planificar y APO01 Marco de gestión de I&T APO01.11 Gestionar la mejora continua 6. Retirar componentes de gobierno obsoletos (procesos, elementos
organizar administrado del sistema de gestión de de información, políticas, etc.).
I&T.

Gestión Alinear, planificar y APO02 Estrategia gestionada APO02.01 Permitir el cambio en todos 1. Desarrollar y mantener una comprensión del entorno externo de la
organizar los diferentes aspectos de la empresa.
organización, desde los
canales y procesos hasta los
datos, la cultura, las
habilidades, el modelo
operativo y los incentivos.
Gestión Alinear, planificar y APO02 Estrategia gestionada APO02.01 Permitir el cambio en todos 2. Desarrollar y mantener una comprensión de la forma actual de
organizar los diferentes aspectos de la trabajar, incluido el entorno operativo, la arquitectura empresarial
organización, desde los (negocios, información, datos, aplicaciones y dominios tecnológicos),
canales y procesos hasta los la cultura empresarial y los desafíos actuales.
datos, la cultura, las
habilidades, el modelo
operativo y los incentivos.
Gestión Alinear, planificar y APO02 Estrategia gestionada APO02.01 Permitir el cambio en todos 3. Desarrollar y mantener una comprensión de la dirección futura de
organizar los diferentes aspectos de la la empresa, incluida la estrategia, las metas y los objetivos de la
organización, desde los empresa. Comprender el nivel de ambición de la empresa en
canales y procesos hasta los términos de digitalización, que puede incluir una gama de objetivos
datos, la cultura, las cada vez más ambiciosos, desde reducir costos, aumentar la
habilidades, el modelo centralidad del cliente o llegar al mercado más rápido digitalizando
operativo y los incentivos. las operaciones internas, hasta crear flujos de ingresos
Gestión Alinear, planificar y APO02 Estrategia gestionada APO02.01 Permitir el cambio en todos 4. Identifique a las
completamente partesa interesadas
nuevos clavemodelos
partir de nuevos y obtenga información(p.
comerciales.
organizar los diferentes aspectos de la sobre sus requisitos.
ej., plataforma empresarial).
organización, desde los
canales y procesos hasta los
datos, la cultura, las
habilidades, el modelo
operativo y los incentivos.
Gestión Alinear, planificar y APO02 Estrategia gestionada APO02.02 Evalúe las capacidades, el 1. Desarrollar una línea de base de las capacidades y servicios
organizar rendimiento y la madurez comerciales y de I&T actuales. Incluya la evaluación de los servicios
digital actuales de la provistos externamente, la gobernanza de I&T y las habilidades y
empresa. competencias relacionadas con I&T en toda la empresa.

Gestión Alinear, planificar y APO02 Estrategia gestionada APO02.02 Evalúe las capacidades, el 2. Evaluar la madurez digital en diferentes dimensiones (p. Ej.,
organizar rendimiento y la madurez Capacidad del liderazgo para aprovechar la tecnología, nivel de riesgo
digital actuales de la tecnológico aceptado, enfoque de la innovación, cultura y nivel de
empresa. conocimiento de los usuarios). Evalúe el apetito por el cambio.

203
Gestión Alinear, planificar y APO02 Estrategia gestionada APO02.03 Defina las capacidades 1. Resuma el contexto y la dirección de la empresa e identifique
organizar digitales objetivo. aspectos específicos de I&T de la estrategia empresarial (por ejemplo,
procesos de digitalización, implementación de nueva tecnología,
soporte de arquitectura heredada, aplicación de nuevos modelos de
negocios digitales, desarrollo de cartera de productos digitales, etc.).

Gestión Alinear, planificar y APO02 Estrategia gestionada APO02.03 Defina las capacidades 2. Definir objetivos y metas de I&T de alto nivel y especificar su
organizar digitales objetivo. contribución a los objetivos de la empresa.

Gestión Alinear, planificar y APO02 Estrategia gestionada APO02.03 Defina las capacidades 3. Detallar los servicios y productos de I&T necesarios para alcanzar
organizar digitales objetivo. los objetivos empresariales. Considere tecnologías emergentes
validadas o ideas de innovación, estándares de referencia, negocios
de la competencia y capacidades de I&T, puntos de referencia
comparativos de buenas prácticas y provisión de servicios
emergentes de I&T.
Gestión Alinear, planificar y APO02 Estrategia gestionada APO02.03 Defina las capacidades 4. Determinar las capacidades, metodologías y enfoques
organizar digitales objetivo. organizativos de I&T necesarios para realizar la cartera de productos
y servicios de I&T definida. Considere diferentes metodologías de
desarrollo (Agile, scrum, cascada, TI bimodal), según los requisitos
comerciales. Considere cómo cada uno podría ayudar a lograr los
objetivos de I&T.
Gestión Alinear, planificar y APO02 Estrategia gestionada APO02.04 Realice un análisis de 1. Identifique todas las brechas y cambios necesarios para realizar el
organizar brechas. entorno objetivo.

Gestión Alinear, planificar y APO02 Estrategia gestionada APO02.04 Realice un análisis de 2. Describir los cambios de alto nivel en la arquitectura empresarial
organizar brechas. (negocios, información, datos, aplicaciones y dominios tecnológicos).

Gestión Alinear, planificar y APO02 Estrategia gestionada APO02.04 Realice un análisis de 3. Considere las implicaciones de alto nivel de todas las brechas.
organizar brechas. Evalúe el impacto de los cambios potenciales en los modelos
operativos de negocios y de I&T, las capacidades de investigación y
desarrollo de I&T y los programas de inversión de I&T.

204
Gestión Alinear, planificar y APO02 Estrategia gestionada APO02.04 Realice un análisis de 4. Considere el valor de los cambios potenciales en las capacidades
organizar brechas. comerciales y de TI, los servicios de I&T y la arquitectura empresarial,
y las implicaciones si no se realizan cambios.

Gestión Alinear, planificar y APO02 Estrategia gestionada APO02.04 Realice un análisis de 5. Refinar la definición del entorno objetivo y preparar una
organizar brechas. declaración de valor que describa los beneficios del entorno objetivo.

Gestión Alinear, planificar y APO02 Estrategia gestionada APO02.05 Definir el plan estratégico y 1. Definir las iniciativas necesarias para cerrar las brechas entre el
organizar hoja de ruta. entorno actual y el objetivo. Integre iniciativas en una estrategia
coherente de I&T que alinee I&T con todos los aspectos del negocio.

Gestión Alinear, planificar y APO02 Estrategia gestionada APO02.05 Definir el plan estratégico y 2. Detallar una hoja de ruta que defina los pasos incrementales
organizar hoja de ruta. necesarios para lograr las metas y objetivos de la estrategia de I&T.
Asegurar que se incluyan acciones para capacitar a las personas con
nuevas habilidades, apoyar la adopción de nueva tecnología, sostener
el cambio en toda la organización, etc.

Gestión Alinear, planificar y APO02 Estrategia gestionada APO02.05 Definir el plan estratégico y 3. Considere el ecosistema externo (socios empresariales,
organizar hoja de ruta. proveedores, nuevas empresas, etc.) para ayudar a respaldar la
ejecución de la hoja de ruta.

Gestión Alinear, planificar y APO02 Estrategia gestionada APO02.05 Definir el plan estratégico y 4. Agrupar acciones en programas y / o proyectos con un objetivo
organizar hoja de ruta. claro o entregable. Para cada proyecto, identifique los requisitos de
recursos de alto nivel, el cronograma, el presupuesto operativo / de
inversión, el riesgo, el impacto del cambio, etc.

Gestión Alinear, planificar y APO02 Estrategia gestionada APO02.05 Definir el plan estratégico y 5. Determinar dependencias, superposiciones, sinergias e impactos
organizar hoja de ruta. entre proyectos y priorizar.

205
Gestión Alinear, planificar y APO02 Estrategia gestionada APO02.05 Definir el plan estratégico y 6. Finalizar la hoja de ruta, indicando la programación relativa y las
organizar hoja de ruta. interdependencias de los proyectos.

Gestión Alinear, planificar y APO02 Estrategia gestionada APO02.05 Definir el plan estratégico y 7. Asegúrese de centrarse en el viaje de transformación. Designe a un
organizar hoja de ruta. campeón de la transformación digital y la alineación entre las
empresas y I&T (director digital [CDO] u otro rol tradicional de C-
suite).

Gestión Alinear, planificar y APO02 Estrategia gestionada APO02.05 Definir el plan estratégico y 8. Obtenga apoyo y aprobación formal del plan por parte de las
organizar hoja de ruta. partes interesadas.

Gestión Alinear, planificar y APO02 Estrategia gestionada APO02.05 Definir el plan estratégico y 9. Traducir objetivos en resultados medibles representados por
organizar hoja de ruta. métricas (qué) y metas (cuánto). Asegúrese de que los resultados y
las medidas se correlacionen con los beneficios empresariales.

Gestión Alinear, planificar y APO02 Estrategia gestionada APO02.06 Comunicar la estrategia y 1. Desarrollar un plan de comunicación que cubra los mensajes
organizar dirección de I&T. requeridos, públicos objetivo, mecanismos / canales de comunicación
y horarios.

Gestión Alinear, planificar y APO02 Estrategia gestionada APO02.06 Comunicar la estrategia y 2. Prepare un paquete de comunicación que entregue el plan de
organizar dirección de I&T. manera efectiva, utilizando los medios y tecnologías disponibles.

Gestión Alinear, planificar y APO02 Estrategia gestionada APO02.06 Comunicar la estrategia y 3. Desarrollar y mantener una red para respaldar, apoyar e impulsar
organizar dirección de I&T. la estrategia de I&T.

206
Gestión Alinear, planificar y APO02 Estrategia gestionada APO02.06 Comunicar la estrategia y 4. Obtenga comentarios y actualice el plan de comunicación y la
organizar dirección de I&T. entrega según sea necesario.

Gestión Alinear, planificar y APO03 Arquitectura empresarial APO03.01 Desarrollar la visión de la 1. Identifique las partes interesadas clave y sus preocupaciones /
organizar gestionada arquitectura empresarial. objetivos. Definir los requisitos empresariales clave que se abordarán,
así como las vistas de la arquitectura que se desarrollarán para
satisfacer los requisitos de las partes interesadas.

Gestión Alinear, planificar y APO03 Arquitectura empresarial APO03.01 Desarrollar la visión de la 2. Identificar los objetivos empresariales y los impulsores
organizar gestionada arquitectura empresarial. estratégicos. Defina las limitaciones que deben abordarse, incluidas
las limitaciones específicas del proyecto y de toda la empresa (p. Ej.,
Tiempo, cronograma, recursos, etc.).

Gestión Alinear, planificar y APO03 Arquitectura empresarial APO03.01 Desarrollar la visión de la 3. Alinear los objetivos de la arquitectura con las prioridades
organizar gestionada arquitectura empresarial. estratégicas del programa.

Gestión Alinear, planificar y APO03 Arquitectura empresarial APO03.01 Desarrollar la visión de la 4. Comprenda las capacidades y los objetivos de la empresa, luego
organizar gestionada arquitectura empresarial. identifique las opciones para alcanzar esos objetivos.

Gestión Alinear, planificar y APO03 Arquitectura empresarial APO03.01 Desarrollar la visión de la 5. Evalúe la preparación de la empresa para el cambio.
organizar gestionada arquitectura empresarial.

Gestión Alinear, planificar y APO03 Arquitectura empresarial APO03.01 Desarrollar la visión de la 6. Definir el alcance de la arquitectura de referencia y la arquitectura
organizar gestionada arquitectura empresarial. de destino. Enumere los elementos que están dentro del alcance y los
que están fuera del alcance. (No es necesario describir la arquitectura
de referencia y de destino con el mismo nivel de detalle).

207
Gestión Alinear, planificar y APO03 Arquitectura empresarial APO03.01 Desarrollar la visión de la 7. Comprender las metas y los objetivos estratégicos de la empresa
organizar gestionada arquitectura empresarial. actual. Trabajar dentro del proceso de planificación estratégica para
garantizar que las oportunidades de arquitectura empresarial
relacionadas con I&T se aprovechen en el desarrollo del plan
estratégico.

Gestión Alinear, planificar y APO03 Arquitectura empresarial APO03.01 Desarrollar la visión de la 8. Con base en las preocupaciones de las partes interesadas, los
organizar gestionada arquitectura empresarial. requisitos de capacidad empresarial, el alcance, las limitaciones y los
principios, cree la visión de la arquitectura (es decir, la vista de alto
nivel de las arquitecturas de referencia y de destino).

Gestión Alinear, planificar y APO03 Arquitectura empresarial APO03.01 Desarrollar la visión de la 9. Confirmar y elaborar los principios de la arquitectura, incluidos los
organizar gestionada arquitectura empresarial. principios empresariales. Asegúrese de que las definiciones
existentes estén actualizadas. Aclare cualquier área de ambigüedad.

Gestión Alinear, planificar y APO03 Arquitectura empresarial APO03.01 Desarrollar la visión de la 10. Identificar el riesgo de cambio empresarial asociado con la visión
organizar gestionada arquitectura empresarial. de la arquitectura. Evalúe el nivel inicial de riesgo (por ejemplo,
crítico, marginal o insignificante). Desarrolle una estrategia de
mitigación para cada riesgo significativo.

Gestión Alinear, planificar y APO03 Arquitectura empresarial APO03.01 Desarrollar la visión de la 11. Desarrollar un caso de negocio del concepto de arquitectura
organizar gestionada arquitectura empresarial. empresarial y esbozar los planes y el enunciado del trabajo de
arquitectura. Aprobación segura para iniciar un proyecto alineado e
integrado con la estrategia empresarial.

Gestión Alinear, planificar y APO03 Arquitectura empresarial APO03.01 Desarrollar la visión de la 12. Definir las propuestas de valor, metas y métricas de la
organizar gestionada arquitectura empresarial. arquitectura de destino.

Gestión Alinear, planificar y APO03 Arquitectura empresarial APO03.02 Defina la arquitectura de 1. Mantener un repositorio de arquitectura que contenga estándares,
organizar gestionada referencia. componentes reutilizables, artefactos de modelado, relaciones,
dependencias y vistas, para permitir la uniformidad de la
organización y el mantenimiento de la arquitectura.

208
Gestión Alinear, planificar y APO03 Arquitectura empresarial APO03.02 Defina la arquitectura de 2. Seleccione puntos de vista de referencia del repositorio de
organizar gestionada referencia. arquitectura que permitan al arquitecto demostrar cómo se abordan
las inquietudes de las partes interesadas en la arquitectura.

Gestión Alinear, planificar y APO03 Arquitectura empresarial APO03.02 Defina la arquitectura de 3. Para cada punto de vista, seleccione los modelos necesarios para
organizar gestionada referencia. admitir la vista específica requerida. Utilice herramientas o métodos
seleccionados y el nivel apropiado de descomposición.

Gestión Alinear, planificar y APO03 Arquitectura empresarial APO03.02 Defina la arquitectura de 4. Desarrollar descripciones de dominios arquitectónicos de
organizar gestionada referencia. referencia, utilizando el alcance y el nivel de detalle necesarios para
respaldar la arquitectura de destino y, en la medida de lo posible,
identificando los bloques de construcción de arquitectura relevantes
del repositorio de arquitectura.

Gestión Alinear, planificar y APO03 Arquitectura empresarial APO03.02 Defina la arquitectura de 5. Mantener un modelo de arquitectura de procesos como parte de
organizar gestionada referencia. la línea de base y las descripciones del dominio objetivo. Estandarizar
las descripciones y documentación de procesos. Defina los roles y
responsabilidades de los tomadores de decisiones del proceso, el
propietario del proceso, los usuarios del proceso, el equipo del
proceso y cualquier otra parte interesada del proceso que deba
participar.
Gestión Alinear, planificar y APO03 Arquitectura empresarial APO03.02 Defina la arquitectura de 6. Mantener un modelo de arquitectura de información como parte
organizar gestionada referencia. de la línea de base y las descripciones del dominio objetivo,
consistente con la estrategia empresarial para adquirir, almacenar y
usar datos de manera óptima en apoyo de la toma de decisiones.

Gestión Alinear, planificar y APO03 Arquitectura empresarial APO03.02 Defina la arquitectura de 7. Verifique los modelos de arquitectura para la coherencia y
organizar gestionada referencia. precisión internas. Realice un análisis de brechas entre la línea de
base y el objetivo. Priorice las brechas y defina componentes nuevos
o modificados que deben desarrollarse para la arquitectura de
destino. Resuelva incompatibilidades, inconsistencias o conflictos
dentro de la arquitectura de destino.
Gestión Alinear, planificar y APO03 Arquitectura empresarial APO03.02 Defina la arquitectura de 8. Llevar a cabo una revisión formal de las partes interesadas
organizar gestionada referencia. examinando la arquitectura propuesta con la intención original del
proyecto de arquitectura y la declaración del trabajo de arquitectura.

209
Gestión Alinear, planificar y APO03 Arquitectura empresarial APO03.02 Defina la arquitectura de 9. Finalizar las arquitecturas de dominio de negocios, información,
organizar gestionada referencia. datos, aplicaciones y tecnología. Cree un documento de definición de
arquitectura.

Gestión Alinear, planificar y APO03 Arquitectura empresarial APO03.03 Seleccione oportunidades y 1. Determine y confirme los atributos clave del cambio empresarial.
organizar gestionada soluciones. Considere la cultura empresarial, el impacto potencial de la cultura
en la implementación de la arquitectura y las capacidades de
transición de la empresa.

Gestión Alinear, planificar y APO03 Arquitectura empresarial APO03.03 Seleccione oportunidades y 2. Identifique los impulsores de la empresa que limitarían la
organizar gestionada soluciones. secuencia de implementación. Incluya una revisión de los planes
comerciales y estratégicos de la línea de negocio y de la empresa.
Considere la madurez actual de la arquitectura empresarial.

Gestión Alinear, planificar y APO03 Arquitectura empresarial APO03.03 Seleccione oportunidades y 3. Revisar y consolidar los resultados del análisis de brechas entre las
organizar gestionada soluciones. arquitecturas de referencia y objetivo. Evaluar las implicaciones con
respecto a las posibles soluciones, oportunidades, interdependencias
y alineación con los programas actuales habilitados para I&T.

Gestión Alinear, planificar y APO03 Arquitectura empresarial APO03.03 Seleccione oportunidades y 4. Evaluar los requisitos, las brechas, las soluciones y otros factores
organizar gestionada soluciones. para identificar un conjunto mínimo de requisitos funcionales cuya
integración en los paquetes de trabajo conduciría a una
implementación más eficiente y eficaz de la arquitectura de destino.

Gestión Alinear, planificar y APO03 Arquitectura empresarial APO03.03 Seleccione oportunidades y 5. Conciliar los requisitos consolidados con las posibles soluciones.
organizar gestionada soluciones.

Gestión Alinear, planificar y APO03 Arquitectura empresarial APO03.03 Seleccione oportunidades y 6. Refinar las dependencias iniciales e identificar las limitaciones en
organizar gestionada soluciones. los planes de implementación y migración. Compile un informe de
análisis de dependencia.

210
Gestión Alinear, planificar y APO03 Arquitectura empresarial APO03.03 Seleccione oportunidades y 7. Confirme la preparación de la empresa y el riesgo asociado con la
organizar gestionada soluciones. transformación empresarial.

Gestión Alinear, planificar y APO03 Arquitectura empresarial APO03.03 Seleccione oportunidades y 8. Formular una estrategia de alto nivel para la implementación y la
organizar gestionada soluciones. migración. Implemente la arquitectura de destino (y organice
cualquier arquitectura de transición) de acuerdo con la estrategia, los
objetivos y los plazos generales de la empresa.

Gestión Alinear, planificar y APO03 Arquitectura empresarial APO03.03 Seleccione oportunidades y 9. Identificar y agrupar los principales paquetes de trabajo en un
organizar gestionada soluciones. conjunto coherente de programas y proyectos, respetando la
dirección y el enfoque de la implementación estratégica empresarial.

Gestión Alinear, planificar y APO03 Arquitectura empresarial APO03.03 Seleccione oportunidades y 10. Desarrollar arquitecturas de transición donde el alcance del
organizar gestionada soluciones. cambio requerido por la arquitectura de destino requiera un enfoque
incremental.

Gestión Alinear, planificar y APO03 Arquitectura empresarial APO03.04 Definir la implementación de 1. Establecer los elementos necesarios en el plan de implementación
organizar gestionada la arquitectura. y migración como parte de la planificación del programa y del
proyecto. Asegúrese de que el plan se alinee con los requisitos de los
tomadores de decisiones relevantes.

Gestión Alinear, planificar y APO03 Arquitectura empresarial APO03.04 Definir la implementación de 2. Confirmar incrementos y fases de la arquitectura de transición.
organizar gestionada la arquitectura. Actualice el documento de definición de arquitectura.

Gestión Alinear, planificar y APO03 Arquitectura empresarial APO03.04 Definir la implementación de 3. Definir y completar la implementación de la arquitectura y el plan
organizar gestionada la arquitectura. de migración, incluidos los requisitos de gobernanza relevantes.
Integre el plan, las actividades y las dependencias en la planificación
de programas y proyectos.

211
Gestión Alinear, planificar y APO03 Arquitectura empresarial APO03.04 Definir la implementación de 4. Comunicar la hoja de ruta arquitectónica definida a las partes
organizar gestionada la arquitectura. interesadas relevantes. Informar a las partes interesadas sobre la
definición de la arquitectura de destino, las pautas y principios de la
arquitectura, la cartera de servicios, etc.

Gestión Alinear, planificar y APO03 Arquitectura empresarial APO03.05 Brindar servicios de 1. Confirme el alcance y las prioridades y proporcione orientación
organizar gestionada arquitectura empresarial. para el desarrollo y la implementación de soluciones (por ejemplo,
mediante el uso de una arquitectura orientada a servicios).

Gestión Alinear, planificar y APO03 Arquitectura empresarial APO03.05 Brindar servicios de 2. Administre los requisitos de arquitectura empresarial y respalde el
organizar gestionada arquitectura empresarial. negocio y la TI con asesoramiento y experiencia en principios,
modelos y componentes arquitectónicos. Garantice que las nuevas
implementaciones (así como los cambios en la arquitectura actual) se
alineen con los principios y requisitos de la arquitectura empresarial.

Gestión Alinear, planificar y APO03 Arquitectura empresarial APO03.05 Brindar servicios de 3. Gestionar la cartera de servicios de arquitectura empresarial y
organizar gestionada arquitectura empresarial. garantizar la alineación con los objetivos estratégicos y el desarrollo
de soluciones.

Gestión Alinear, planificar y APO03 Arquitectura empresarial APO03.05 Brindar servicios de 4. Identificar las prioridades de la arquitectura empresarial. Alinee las
organizar gestionada arquitectura empresarial. prioridades con los impulsores de valor. Defina y recopile métricas de
valor y mida y comunique el valor de la arquitectura empresarial.

Gestión Alinear, planificar y APO03 Arquitectura empresarial APO03.05 Brindar servicios de 5. Establecer un foro de tecnología para brindar pautas
organizar gestionada arquitectura empresarial. arquitectónicas, asesorar proyectos y orientar la selección de
tecnología. Mida el cumplimiento de las normas y directrices, incluido
el cumplimiento de los requisitos externos y la relevancia comercial
interna.

Gestión Alinear, planificar y APO04 Innovación gestionada APO04.01 Crear un entorno propicio 1. Crear un plan de innovación que incluya el apetito por el riesgo,
organizar para la innovación. una propuesta de presupuesto para iniciativas de innovación y
objetivos de innovación.

212
Gestión Alinear, planificar y APO04 Innovación gestionada APO04.01 Crear un entorno propicio 2. Proporcionar infraestructura que pueda ser un componente de
organizar para la innovación. gobernanza para la innovación (por ejemplo, herramientas de
colaboración para mejorar el trabajo entre ubicaciones geográficas
y / o divisiones).

Gestión Alinear, planificar y APO04 Innovación gestionada APO04.01 Crear un entorno propicio 3. Mantener un programa que permita al personal presentar ideas
organizar para la innovación. innovadoras y crear una estructura de toma de decisiones adecuada
para evaluar y hacer avanzar las ideas.

Gestión Alinear, planificar y APO04 Innovación gestionada APO04.01 Crear un entorno propicio 4. Fomentar las ideas de innovación de clientes, proveedores y socios
organizar para la innovación. comerciales.

Gestión Alinear, planificar y APO04 Innovación gestionada APO04.02 Mantener una comprensión 1. Mantener una comprensión de los impulsores de la industria y el
organizar del entorno empresarial. negocio, la estrategia empresarial y de I&T, y las operaciones
empresariales y los desafíos actuales. Aplicar el conocimiento para
identificar la tecnología de valor agregado potencial e innovar en I&T.

Gestión Alinear, planificar y APO04 Innovación gestionada APO04.02 Mantener una comprensión 2. Llevar a cabo reuniones periódicas con unidades de negocio,
organizar del entorno empresarial. divisiones y / u otras entidades interesadas para comprender los
problemas comerciales actuales, los cuellos de botella de los
procesos u otras limitaciones en las que las tecnologías emergentes o
la innovación de I&T pueden crear oportunidades.

Gestión Alinear, planificar y APO04 Innovación gestionada APO04.02 Mantener una comprensión 3. Comprender los parámetros de inversión empresarial para la
organizar del entorno empresarial. innovación y las nuevas tecnologías para que se desarrollen las
estrategias adecuadas.

Gestión Alinear, planificar y APO04 Innovación gestionada APO04.03 Supervisar y escanear el 1. Comprender el apetito empresarial y el potencial de innovación
organizar entorno tecnológico. tecnológica. Centrar los esfuerzos de sensibilización en las
innovaciones tecnológicas más oportunas.

213
Gestión Alinear, planificar y APO04 Innovación gestionada APO04.03 Supervisar y escanear el 2. Establezca un proceso de vigilancia de la tecnología y realice
organizar entorno tecnológico. investigaciones y análisis del entorno externo, incluidos los sitios
web, revistas y conferencias apropiados, para identificar las
tecnologías emergentes y su valor potencial para la empresa.

Gestión Alinear, planificar y APO04 Innovación gestionada APO04.03 Supervisar y escanear el 3. Consultar con expertos externos según sea necesario para
organizar entorno tecnológico. confirmar la investigación o proporcionar información sobre
tecnologías emergentes.

Gestión Alinear, planificar y APO04 Innovación gestionada APO04.03 Supervisar y escanear el 4. Capturar ideas de innovación de I & T del personal y revisarlas para
organizar entorno tecnológico. una posible implementación.

Gestión Alinear, planificar y APO04 Innovación gestionada APO04.04 Evaluar el potencial de las 1. Evaluar las tecnologías identificadas, considerando aspectos como
organizar tecnologías emergentes y las el tiempo para alcanzar la madurez, el riesgo inherente (incluidas las
ideas innovadoras. posibles implicaciones legales), la adecuación a la arquitectura
empresarial y el potencial de valor, en línea con la estrategia
empresarial y de I&T.

Gestión Alinear, planificar y APO04 Innovación gestionada APO04.04 Evaluar el potencial de las 2. Identifique los problemas que puedan necesitar ser resueltos o
organizar tecnologías emergentes y las validados a través de una iniciativa de prueba de concepto.
ideas innovadoras.

Gestión Alinear, planificar y APO04 Innovación gestionada APO04.04 Evaluar el potencial de las 3. Alcance la iniciativa de prueba de concepto, incluidos los
organizar tecnologías emergentes y las resultados deseados, el presupuesto requerido, los plazos y las
ideas innovadoras. responsabilidades.

Gestión Alinear, planificar y APO04 Innovación gestionada APO04.04 Evaluar el potencial de las 4. Obtenga la aprobación para la iniciativa de prueba de concepto.
organizar tecnologías emergentes y las
ideas innovadoras.

214
Gestión Alinear, planificar y APO04 Innovación gestionada APO04.04 Evaluar el potencial de las 5. Lleve a cabo iniciativas de prueba de concepto para probar
organizar tecnologías emergentes y las tecnologías emergentes u otras ideas de innovación. Identifique
ideas innovadoras. problemas y determine si la implementación o el despliegue deben
considerarse en función de la viabilidad y el ROI potencial.

Gestión Alinear, planificar y APO04 Innovación gestionada APO04.05 Recomendar nuevas 1. Documentar los resultados de la prueba de concepto, incluida la
organizar iniciativas apropiadas. orientación y recomendaciones para las tendencias y los programas
de innovación.

Gestión Alinear, planificar y APO04 Innovación gestionada APO04.05 Recomendar nuevas 2. Comunicar oportunidades de innovación viables en la estrategia de
organizar iniciativas apropiadas. I&T y los procesos de arquitectura empresarial.

Gestión Alinear, planificar y APO04 Innovación gestionada APO04.05 Recomendar nuevas 3. Analizar y comunicar las razones de las iniciativas de prueba de
organizar iniciativas apropiadas. concepto rechazadas.

Gestión Alinear, planificar y APO04 Innovación gestionada APO04.05 Recomendar nuevas 4. Realice un seguimiento de las iniciativas de prueba de concepto
organizar iniciativas apropiadas. para medir la inversión real.

Gestión Alinear, planificar y APO04 Innovación gestionada APO04.06 Monitorear la 1. Capturar lecciones aprendidas y oportunidades de mejora.
organizar implementación y el uso de
la innovación.

Gestión Alinear, planificar y APO04 Innovación gestionada APO04.06 Monitorear la 2. Asegurar que las iniciativas de innovación se alineen con la
organizar implementación y el uso de estrategia empresarial y de I&T. Supervise la alineación de forma
la innovación. continua. Ajustar el plan de innovación, si es necesario.

215
Gestión Alinear, planificar y APO04 Innovación gestionada APO04.06 Monitorear la 3. Evaluar nuevas tecnologías o innovaciones de I&T implementadas
organizar implementación y el uso de como parte de la estrategia de I&T y el desarrollo de la arquitectura
la innovación. empresarial. Evaluar el nivel de adopción durante la gestión del
programa de iniciativas.

Gestión Alinear, planificar y APO04 Innovación gestionada APO04.06 Monitorear la 4. Identificar y evaluar el valor potencial de la innovación.
organizar implementación y el uso de
la innovación.

Gestión Alinear, planificar y APO05 Cartera gestionada APO05.01 Determine la disponibilidad y 1. Comprender la disponibilidad actual y el compromiso de fondos, el
organizar fuentes de fondos. gasto actual aprobado y el gasto real hasta la fecha.

Gestión Alinear, planificar y APO05 Cartera gestionada APO05.01 Determine la disponibilidad y 2. Identificar opciones para financiamiento adicional de inversiones
organizar fuentes de fondos. habilitadas para I&T, considerando tanto fuentes internas como
externas.

Gestión Alinear, planificar y APO05 Cartera gestionada APO05.01 Determine la disponibilidad y 3. Determinar las implicaciones de la fuente de financiamiento sobre
organizar fuentes de fondos. las expectativas de rendimiento de la inversión.

Gestión Alinear, planificar y APO05 Cartera gestionada APO05.02 Evaluar y seleccionar 1. Identificar y clasificar oportunidades de inversión de acuerdo con
organizar programas a financiar. las categorías de la cartera de inversiones. Especifique los resultados
empresariales esperados, las iniciativas necesarias para lograr los
resultados esperados, los costos de alto nivel, las dependencias y los
riesgos. Especifique la metodología para medir los resultados, el
costo y el riesgo.
Gestión Alinear, planificar y APO05 Cartera gestionada APO05.02 Evaluar y seleccionar 2. Realizar una evaluación detallada de todos los casos de negocio del
organizar programas a financiar. programa. Evalúe la alineación estratégica, el beneficio empresarial,
el riesgo y la disponibilidad de recursos.

216
Gestión Alinear, planificar y APO05 Cartera gestionada APO05.02 Evaluar y seleccionar 3. Evaluar el impacto de agregar programas potenciales en la cartera
organizar programas a financiar. de inversiones general, incluidos los cambios que podrían ser
necesarios para otros programas.

Gestión Alinear, planificar y APO05 Cartera gestionada APO05.02 Evaluar y seleccionar 4. Decidir qué programas candidatos deben trasladarse a la cartera
organizar programas a financiar. de inversiones activa. Decidir si los programas rechazados deben
mantenerse para una consideración futura o deben proporcionarse
fondos iniciales para determinar si el caso comercial puede mejorarse
o descartarse.

Gestión Alinear, planificar y APO05 Cartera gestionada APO05.02 Evaluar y seleccionar 5. Determine los hitos necesarios para el ciclo de vida económico
organizar programas a financiar. completo de cada programa seleccionado. Asignar y reservar la
financiación total del programa por hito. Mueva el programa a la
cartera de inversiones activa.

Gestión Alinear, planificar y APO05 Cartera gestionada APO05.02 Evaluar y seleccionar 6. Establecer procedimientos para comunicar los aspectos
organizar programas a financiar. relacionados con los costos, beneficios y riesgos de las carteras para
su consideración en los procesos de priorización presupuestaria,
administración de costos y administración de beneficios.

Gestión Alinear, planificar y APO05 Cartera gestionada APO05.03 Supervisar, optimizar e 1. Revisar la cartera con regularidad para identificar y aprovechar las
organizar informar sobre el sinergias, eliminar la duplicación entre programas e identificar y
rendimiento de la cartera de mitigar el riesgo.
inversiones.

Gestión Alinear, planificar y APO05 Cartera gestionada APO05.03 Supervisar, optimizar e 2. Cuando se produzcan cambios, reevalúe y cambie las prioridades
organizar informar sobre el de la cartera para garantizar la alineación con la estrategia comercial
rendimiento de la cartera de y de I&T. Mantenga una combinación de inversiones objetivo para
inversiones. que la cartera optimice el valor general. Los programas pueden
cambiarse, aplazarse o retirarse, y pueden iniciarse nuevos
programas para reequilibrar y optimizar la cartera.
Gestión Alinear, planificar y APO05 Cartera gestionada APO05.03 Supervisar, optimizar e 3. Ajustar los objetivos, las previsiones, los presupuestos y, si es
organizar informar sobre el necesario, el grado de seguimiento de la empresa para reflejar los
rendimiento de la cartera de gastos y los beneficios empresariales atribuibles a los programas de la
inversiones. cartera de inversiones activa. Recargue los gastos del programa.
Establezca procesos de presupuestación flexibles para que los
proyectos prometedores obtengan recursos para escalar
rápidamente.

217
Gestión Alinear, planificar y APO05 Cartera gestionada APO05.03 Supervisar, optimizar e 4. Desarrollar métricas para medir la contribución de I&T a la
organizar informar sobre el empresa. Establecer objetivos de rendimiento adecuados que
rendimiento de la cartera de reflejen los objetivos de capacidad empresarial y de I&T necesarios.
inversiones. Utilice la orientación de expertos externos y los datos de referencia
para desarrollar métricas.

Gestión Alinear, planificar y APO05 Cartera gestionada APO05.03 Supervisar, optimizar e 5. Brindar una visión precisa del desempeño de la cartera de
organizar informar sobre el inversiones a todas las partes interesadas.
rendimiento de la cartera de
inversiones.

Gestión Alinear, planificar y APO05 Cartera gestionada APO05.03 Supervisar, optimizar e 6. Proporcionar informes para la revisión de la alta dirección del
organizar informar sobre el progreso de la empresa hacia las metas identificadas, indicando lo
rendimiento de la cartera de que aún se necesita gastar y lograr en determinados períodos de
inversiones. tiempo.

Gestión Alinear, planificar y APO05 Cartera gestionada APO05.03 Supervisar, optimizar e 7. En el seguimiento periódico del desempeño, incluya información
organizar informar sobre el sobre la medida en que se han logrado los objetivos planificados, se
rendimiento de la cartera de han mitigado los riesgos, se han creado las capacidades, se han
inversiones. obtenido los entregables y se han cumplido las metas de desempeño.

Gestión Alinear, planificar y APO05 Cartera gestionada APO05.03 Supervisar, optimizar e 8. Identifique las desviaciones del presupuesto frente al gasto real y
organizar informar sobre el el ROI esperado de las inversiones.
rendimiento de la cartera de
inversiones.

Gestión Alinear, planificar y APO05 Cartera gestionada APO05.04 Mantener carteras. 1. Crear y mantener carteras de programas de inversión habilitados
organizar para I&T, servicios de I&T y activos de I&T, que forman la base del
presupuesto actual de I&T y respaldan los planes tácticos y
estratégicos de I&T.

Gestión Alinear, planificar y APO05 Cartera gestionada APO05.04 Mantener carteras. 2. Trabajar con los gerentes de prestación de servicios para mantener
organizar las carteras de servicios. Trabaje con gerentes de operaciones,
gerentes de producto y arquitectos para mantener las carteras de
activos. Priorice las carteras para respaldar las decisiones de
inversión.

218
Gestión Alinear, planificar y APO05 Cartera gestionada APO05.04 Mantener carteras. 3. Eliminar un programa de la cartera de inversiones activa cuando se
organizar hayan logrado los beneficios empresariales deseados o cuando esté
claro que los beneficios no se lograrán dentro de los criterios de valor
establecidos para el programa.

Gestión Alinear, planificar y APO05 Cartera gestionada APO05.05 Gestionar el logro de 1. Utilice las métricas acordadas y haga un seguimiento de cómo se
organizar beneficios. logran los beneficios, cómo evolucionan a lo largo del ciclo de vida de
los programas y proyectos, cómo se entregan a partir de los
productos y servicios de I&T y cómo se comparan con los puntos de
referencia internos y de la industria. Comunique los resultados a las
partes interesadas.
Gestión Alinear, planificar y APO05 Cartera gestionada APO05.05 Gestionar el logro de 2. Implementar acciones correctivas cuando los beneficios obtenidos
organizar beneficios. se desvíen significativamente de los beneficios esperados. Actualice
el caso de negocio para nuevas iniciativas e implemente procesos de
negocio y mejoras de servicio según sea necesario.

Gestión Alinear, planificar y APO05 Cartera gestionada APO05.05 Gestionar el logro de 3. Considere obtener orientación de expertos externos, líderes de la
organizar beneficios. industria y datos de evaluación comparativa para probar y mejorar las
métricas y los objetivos.

Gestión Alinear, planificar y APO06 Presupuesto y costos APO06.01 Administrar finanzas y 1. Definir procesos, insumos, productos y responsabilidades para la
organizar administrados contabilidad. gestión financiera y la contabilidad de I&T en consonancia con las
políticas y el enfoque de presupuestación empresarial y contabilidad
de costos. Definir cómo analizar e informar (a quién y cómo) sobre el
proceso de control presupuestario de I&T.

Gestión Alinear, planificar y APO06 Presupuesto y costos APO06.01 Administrar finanzas y 2. Definir un esquema de clasificación para identificar todos los
organizar administrados contabilidad. elementos de costos relacionados con I&T (gastos de capital [capex]
vs. gastos operativos [opex], hardware, software, personas, etc.).
Identifica cómo se capturan.

Gestión Alinear, planificar y APO06 Presupuesto y costos APO06.01 Administrar finanzas y 3. Utilizar información financiera para proporcionar información para
organizar administrados contabilidad. casos comerciales de nuevas inversiones en activos y servicios de I&T.

219
Gestión Alinear, planificar y APO06 Presupuesto y costos APO06.01 Administrar finanzas y 4. Asegúrese de que los costos se mantengan en las carteras de
organizar administrados contabilidad. activos y servicios de I&T.

Gestión Alinear, planificar y APO06 Presupuesto y costos APO06.01 Administrar finanzas y 5. Establecer y mantener prácticas para la planificación financiera y la
organizar administrados contabilidad. optimización de los costos operativos recurrentes para entregar el
máximo valor a la empresa con el menor gasto.

Gestión Alinear, planificar y APO06 Presupuesto y costos APO06.02 Priorizar la asignación de 1. Clasifique todas las iniciativas de I&T y las solicitudes de
organizar administrados recursos. presupuesto según los casos comerciales y las prioridades
estratégicas y tácticas. Establecer procedimientos para determinar las
asignaciones presupuestarias y el corte.

Gestión Alinear, planificar y APO06 Presupuesto y costos APO06.02 Priorizar la asignación de 2. Asignar recursos comerciales y de TI (incluidos los proveedores de
organizar administrados recursos. servicios externos) dentro de las asignaciones presupuestarias de alto
nivel para programas, servicios y activos habilitados para I&T.
Considere las opciones para comprar o desarrollar activos y servicios
capitalizados versus activos y servicios utilizados externamente sobre
una base de pago por uso.
Gestión Alinear, planificar y APO06 Presupuesto y costos APO06.02 Priorizar la asignación de 3. Establecer un procedimiento para comunicar las decisiones
organizar administrados recursos. presupuestarias y revisarlas con los responsables del presupuesto de
la unidad de negocio.

Gestión Alinear, planificar y APO06 Presupuesto y costos APO06.02 Priorizar la asignación de 4. Identificar, comunicar y resolver impactos significativos de
organizar administrados recursos. decisiones presupuestarias en casos de negocios, carteras y planes
estratégicos. Por ejemplo, esto puede incluir cuando los
presupuestos requieran revisión debido a circunstancias cambiantes
de la empresa o cuando no sean suficientes para respaldar los
objetivos estratégicos o los objetivos del caso de negocios).
Gestión Alinear, planificar y APO06 Presupuesto y costos APO06.02 Priorizar la asignación de 5. Obtener la ratificación del comité ejecutivo de las implicaciones
organizar administrados recursos. presupuestarias de I&T que impactan negativamente los planes
estratégicos o tácticos de la entidad. Sugerir acciones para resolver
estos impactos.

220
Gestión Alinear, planificar y APO06 Presupuesto y costos APO06.03 Crea y mantén presupuestos. 1. Implementar un presupuesto formal de I&T, incluidos todos los
organizar administrados costos de I&T esperados de los programas, servicios y activos
habilitados para I&T.

Gestión Alinear, planificar y APO06 Presupuesto y costos APO06.03 Crea y mantén presupuestos. 2. Al crear el presupuesto, considere los siguientes componentes:
organizar administrados alineación con el negocio; alineación con la estrategia de
abastecimiento; fuentes autorizadas de financiamiento; costos de
recursos internos, incluido el personal, los activos de información y
las adaptaciones; costos de terceros, incluidos contratos de
subcontratación, consultores y proveedores de servicios; gastos de
capital y operativos; y elementos de costo que dependen de la carga
Gestión Alinear, planificar y APO06 Presupuesto y costos APO06.03 Crea y mantén presupuestos. 3.
deDocumentar
trabajo. la justificación para justificar contingencias y revisarlas
organizar administrados periódicamente.

Gestión Alinear, planificar y APO06 Presupuesto y costos APO06.03 Crea y mantén presupuestos. 4. Instruir a los propietarios de procesos, servicios y programas, así
organizar administrados como a los administradores de proyectos y activos, para planificar los
presupuestos.

Gestión Alinear, planificar y APO06 Presupuesto y costos APO06.03 Crea y mantén presupuestos. 5. Revise los planes presupuestarios y tome decisiones sobre las
organizar administrados asignaciones presupuestarias. Recopile y ajuste el presupuesto en
función de las necesidades cambiantes de la empresa y las
consideraciones financieras.

Gestión Alinear, planificar y APO06 Presupuesto y costos APO06.03 Crea y mantén presupuestos. 6. Registrar, mantener y comunicar el presupuesto actual de I&T,
organizar administrados incluidos los gastos comprometidos y los gastos corrientes,
considerando los proyectos de I&T registrados en las carteras de
inversión habilitadas para I&T y la operación y mantenimiento de las
carteras de activos y servicios.

Gestión Alinear, planificar y APO06 Presupuesto y costos APO06.03 Crea y mantén presupuestos. 7. Monitorear la efectividad de los diferentes aspectos de la
organizar administrados presupuestación.

221
Gestión Alinear, planificar y APO06 Presupuesto y costos APO06.03 Crea y mantén presupuestos. 8. Utilice los resultados del seguimiento para implementar mejoras y
organizar administrados garantizar que los presupuestos futuros sean más precisos, fiables y
rentables.

Gestión Alinear, planificar y APO06 Presupuesto y costos APO06.04 Modele y asigne costos. 1. Decidir sobre un modelo de asignación de costos que permita la
organizar administrados asignación justa, transparente, repetible y comparable de los costos
relacionados con I&T a los usuarios. Un ejemplo de modelo de
asignación básico es la distribución uniforme de los costos
compartidos relacionados con I&T. Este es un modelo de asignación
muy simple que es fácil de aplicar; sin embargo, dependiendo del
contexto de la empresa, a menudo se considera injusto y no fomenta
Gestión Alinear, planificar y APO06 Presupuesto y costos APO06.04 Modele y asigne costos. 2. Inspeccione
el uso los catálogos
responsable de definiciones
de los recursos. Un esquemade servicios para
de cálculo de costos
organizar administrados identificar
basado en los servicios sujetos
actividades, al los
en el que contracargo
costos se del usuario
asignan y aquellos
a los servicios
que
de TIson
y seservicios
cargan acompartidos.
los usuarios de estos servicios, permite una
asignación de costos más transparente y comparable.

Gestión Alinear, planificar y APO06 Presupuesto y costos APO06.04 Modele y asigne costos. 3. Diseñe el modelo de costos para que sea lo suficientemente
organizar administrados transparente para permitir que los usuarios identifiquen su uso real y
los cargos mediante el uso de categorías e impulsores de costos que
tengan sentido para el usuario (por ejemplo, costo por llamada al
servicio de asistencia técnica, costo por licencia de software) y para
habilitar mejor previsibilidad de los costos de I&T y utilización
eficiente y eficaz de los recursos de I&T. Analice los generadores de
Gestión Alinear, planificar y APO06 Presupuesto y costos APO06.04 Modele y asigne costos. 4. Explique
costos los principios
(tiempo y resultados
invertido por actividad,del modelo
gastos, de costos
porción a las fijos
de costos
organizar administrados partes interesadas clave. Obtenga sus comentarios para un mayor
frente a costos variables, etc.). Decidir sobre la diferenciación
ajuste hacia(por
apropiada un ejemplo,
modelo transparente y completo.
diferentes categorías de usuarios con
diferentes pesos) y usar aproximaciones o promedios de costos
cuando los costos reales son de naturaleza muy variable.

Gestión Alinear, planificar y APO06 Presupuesto y costos APO06.04 Modele y asigne costos. 5. Obtenga la aprobación de las partes interesadas clave y comunique
organizar administrados el modelo de costos de I&T a la gerencia de los departamentos de
usuarios.

Gestión Alinear, planificar y APO06 Presupuesto y costos APO06.04 Modele y asigne costos. 6. Comunicar cambios importantes en los principios del modelo de
organizar administrados costo / devolución de cargo a las partes interesadas clave y la
administración de los departamentos de usuarios.

222
Gestión Alinear, planificar y APO06 Presupuesto y costos APO06.05 Gestionar costes. 1. Obtenga la aprobación de las partes interesadas clave y comunique
organizar administrados el modelo de costos de I&T a la gerencia de los departamentos de
usuarios.

Gestión Alinear, planificar y APO06 Presupuesto y costos APO06.05 Gestionar costes. 2. Establecer escalas de tiempo para la operación del proceso de
organizar administrados gestión de costos de acuerdo con los requisitos y el cronograma
presupuestario y contable.

Gestión Alinear, planificar y APO06 Presupuesto y costos APO06.05 Gestionar costes. 3. Defina un método para la recopilación de datos relevantes para
organizar administrados identificar las desviaciones en el presupuesto frente a los reales, el
ROI de la inversión, las tendencias de los costos del servicio, etc.

Gestión Alinear, planificar y APO06 Presupuesto y costos APO06.05 Gestionar costes. 4. Defina cómo se consolidan los costos para los niveles apropiados
organizar administrados en la empresa (TI central versus presupuesto de TI dentro de los
departamentos comerciales) y cómo se presentarán a las partes
interesadas. Los informes brindan información sobre costos por
categoría de costo, presupuesto frente a estado real, gasto máximo,
etc., para permitir la identificación oportuna de las acciones
correctivas necesarias.
Gestión Alinear, planificar y APO06 Presupuesto y costos APO06.05 Gestionar costes. 5. Instruya a los responsables de la gestión de costes para que
organizar administrados capturen, recopilen y consoliden los datos, y presenten y notifiquen
los datos a los responsables del presupuesto correspondientes. Los
analistas presupuestarios y los propietarios analizan conjuntamente
las desviaciones y comparan el rendimiento con los puntos de
referencia internos y de la industria. Deben establecer y mantener el
método de asignación de gastos generales. El resultado del análisis
Gestión Alinear, planificar y APO06 Presupuesto y costos APO06.05 Gestionar costes. 6. Asegurarseuna
proporciona de explicación
que los niveles apropiados
de las de administración
desviaciones significativas y las
organizar administrados revisen los resultados del análisis
acciones correctivas sugeridas. y aprueben las acciones correctivas
sugeridas.

Gestión Alinear, planificar y APO06 Presupuesto y costos APO06.05 Gestionar costes. 7. Asegurar que se identifiquen los cambios en las estructuras de
organizar administrados costos y las necesidades de la empresa y que se revisen los
presupuestos y pronósticos según sea necesario.

223
Gestión Alinear, planificar y APO06 Presupuesto y costos APO06.05 Gestionar costes. 8. A intervalos regulares, y especialmente cuando los presupuestos se
organizar administrados reducen debido a restricciones financieras, identifique formas de
optimizar los costos e introducir eficiencias sin poner en peligro los
servicios.

Gestión Alinear, planificar y APO07 Recursos humanos APO07.01 Adquirir y mantener una 1. Evaluar los requisitos de personal de forma regular o ante cambios
organizar gestionados dotación de personal importantes. Asegúrese de que tanto la empresa como la función de
adecuada y apropiada. TI tengan recursos suficientes para respaldar las metas y objetivos de
la empresa, los procesos y controles comerciales y las iniciativas
habilitadas para I&T de manera adecuada y apropiada.

Gestión Alinear, planificar y APO07 Recursos humanos APO07.01 Adquirir y mantener una 2. Mantener los procesos de contratación y retención de personal de
organizar gestionados dotación de personal TI y de negocios de acuerdo con las políticas y procedimientos
adecuada y apropiada. generales de personal de la empresa.

Gestión Alinear, planificar y APO07 Recursos humanos APO07.01 Adquirir y mantener una 3. Establecer arreglos de recursos flexibles, como el uso de
organizar gestionados dotación de personal transferencias, contratistas externos y arreglos de servicios de
adecuada y apropiada. terceros, para respaldar las necesidades cambiantes del negocio.

Gestión Alinear, planificar y APO07 Recursos humanos APO07.01 Adquirir y mantener una 4. Incluya verificaciones de antecedentes en el proceso de
organizar gestionados dotación de personal contratación de TI para empleados, contratistas y proveedores. El
adecuada y apropiada. alcance y la frecuencia de estos controles deben depender de la
sensibilidad y / o criticidad de la función.

Gestión Alinear, planificar y APO07 Recursos humanos APO07.02 Identifique al personal clave 1. Como medida de seguridad, proporcione pautas sobre un tiempo
organizar gestionados de TI. mínimo de vacaciones anuales que deben tomar las personas clave.

Gestión Alinear, planificar y APO07 Recursos humanos APO07.02 Identifique al personal clave 2. Tomar las medidas adecuadas con respecto a los cambios de
organizar gestionados de TI. trabajo, especialmente los despidos.

224
Gestión Alinear, planificar y APO07 Recursos humanos APO07.02 Identifique al personal clave 3. Utilice la captura de conocimientos (documentación), el
organizar gestionados de TI. intercambio de conocimientos, la planificación de la sucesión, el
respaldo del personal, la capacitación cruzada y las iniciativas de
rotación de trabajos para minimizar la dependencia de una sola
persona que realiza una función laboral crítica.

Gestión Alinear, planificar y APO07 Recursos humanos APO07.02 Identifique al personal clave 4. Pruebe periódicamente los planes de respaldo del personal.
organizar gestionados de TI.

Gestión Alinear, planificar y APO07 Recursos humanos APO07.03 Mantener las habilidades y 1. Identificar las habilidades y competencias disponibles actualmente
organizar gestionados competencias del personal. de los recursos internos y externos.

Gestión Alinear, planificar y APO07 Recursos humanos APO07.03 Mantener las habilidades y 2. Identificar brechas entre las habilidades requeridas y disponibles.
organizar gestionados competencias del personal. Desarrollar planes de acción, tales como capacitación (habilidades
técnicas y de comportamiento), reclutamiento, redespliegue y
estrategias de abastecimiento cambiadas, para abordar las brechas
de manera individual y colectiva.

Gestión Alinear, planificar y APO07 Recursos humanos APO07.03 Mantener las habilidades y 3. Revise los materiales y programas de capacitación con regularidad.
organizar gestionados competencias del personal. Asegurar la adecuación con respecto a los requisitos cambiantes de la
empresa y su impacto en los conocimientos, habilidades y habilidades
necesarios.

Gestión Alinear, planificar y APO07 Recursos humanos APO07.03 Mantener las habilidades y 4. Brindar acceso a repositorios de conocimiento para apoyar el
organizar gestionados competencias del personal. desarrollo de habilidades y competencias.

Gestión Alinear, planificar y APO07 Recursos humanos APO07.03 Mantener las habilidades y 5. Desarrollar e impartir programas de formación basados ​en los
organizar gestionados competencias del personal. requisitos de la organización y los procesos, incluidos los requisitos de
conocimiento empresarial, control interno, conducta ética, seguridad
y privacidad.

225
Gestión Alinear, planificar y APO07 Recursos humanos APO07.03 Mantener las habilidades y 6. Realizar revisiones periódicas para evaluar la evolución de las
organizar gestionados competencias del personal. habilidades y competencias de los recursos internos y externos.
Revise la planificación de la sucesión.

Gestión Alinear, planificar y APO07 Recursos humanos APO07.04 Evaluar y reconocer / 1. Considere las metas funcionales / empresariales como el contexto
organizar gestionados recompensar el desempeño para establecer metas individuales.
laboral de los empleados.

Gestión Alinear, planificar y APO07 Recursos humanos APO07.04 Evaluar y reconocer / 2. Establezca metas individuales alineadas con las metas
organizar gestionados recompensar el desempeño empresariales y de I&T relevantes. Base las metas en objetivos
laboral de los empleados. específicos, mensurables, alcanzables, relevantes y con límite de
tiempo (SMART) que reflejen las competencias básicas, los valores
empresariales y las habilidades requeridas para el (los) rol (s).

Gestión Alinear, planificar y APO07 Recursos humanos APO07.04 Evaluar y reconocer / 3. Brindar retroalimentación oportuna sobre el desempeño frente a
organizar gestionados recompensar el desempeño las metas del individuo.
laboral de los empleados.

Gestión Alinear, planificar y APO07 Recursos humanos APO07.04 Evaluar y reconocer / 4. Proporcionar instrucciones específicas para el uso y
organizar gestionados recompensar el desempeño almacenamiento de la información personal en el proceso de
laboral de los empleados. evaluación, de conformidad con la legislación laboral y de datos
personales aplicable.

Gestión Alinear, planificar y APO07 Recursos humanos APO07.04 Evaluar y reconocer / 5. Compile los resultados de la evaluación del desempeño de 360 ​
organizar gestionados recompensar el desempeño grados.
laboral de los empleados.

Gestión Alinear, planificar y APO07 Recursos humanos APO07.04 Evaluar y reconocer / 6. Proporcionar planificación de carrera formal y planes de desarrollo
organizar gestionados recompensar el desempeño profesional basados ​en los resultados del proceso de evaluación para
laboral de los empleados. fomentar el desarrollo de competencias y oportunidades para el
avance personal y reducir la dependencia de personas clave.
Proporcione capacitación a los empleados sobre el desempeño y la
conducta cuando sea apropiado.

226
Gestión Alinear, planificar y APO07 Recursos humanos APO07.04 Evaluar y reconocer / 7. Implementar un proceso de remuneración / reconocimiento que
organizar gestionados recompensar el desempeño recompense el compromiso apropiado, el desarrollo de competencias
laboral de los empleados. y el logro exitoso de las metas de desempeño. Asegúrese de que el
proceso se aplique de manera coherente y en consonancia con las
políticas de la organización.

Gestión Alinear, planificar y APO07 Recursos humanos APO07.04 Evaluar y reconocer / 8. Implementar y comunicar un proceso disciplinario.
organizar gestionados recompensar el desempeño
laboral de los empleados.

Gestión Alinear, planificar y APO07 Recursos humanos APO07.05 Planifique y realice un 1. Crear y mantener un inventario de recursos humanos comerciales
organizar gestionados seguimiento del uso de los y de TI.
recursos humanos
empresariales y de TI.

Gestión Alinear, planificar y APO07 Recursos humanos APO07.05 Planifique y realice un 2. Comprender la demanda actual y futura de recursos humanos para
organizar gestionados seguimiento del uso de los apoyar el logro de los objetivos de I&T y brindar servicios y soluciones
recursos humanos basados ​en la cartera de iniciativas actuales relacionadas con I&T, la
empresariales y de TI. cartera de inversiones futuras y las necesidades operativas del día a
día.

Gestión Alinear, planificar y APO07 Recursos humanos APO07.05 Planifique y realice un 3. Identifique las deficiencias y proporcione información sobre los
organizar gestionados seguimiento del uso de los planes de abastecimiento, así como los procesos de contratación
recursos humanos empresarial y de TI. Cree y revise el plan de personal, realizando un
empresariales y de TI. seguimiento del uso real.

Gestión Alinear, planificar y APO07 Recursos humanos APO07.05 Planifique y realice un 4. Mantener información adecuada sobre el tiempo dedicado a las
organizar gestionados seguimiento del uso de los diferentes tareas, asignaciones, servicios o proyectos.
recursos humanos
empresariales y de TI.

Gestión Alinear, planificar y APO07 Recursos humanos APO07.06 Gestionar personal 1. Implementar políticas y procedimientos del personal contratado.
organizar gestionados contratado.

227
Gestión Alinear, planificar y APO07 Recursos humanos APO07.06 Gestionar personal 2. Al comienzo del contrato, obtenga un acuerdo formal de los
organizar gestionados contratado. contratistas de que deben cumplir con el marco de control de I&T de
la empresa, como las políticas de autorización de seguridad, control
de acceso físico y lógico, uso de instalaciones, requisitos de
confidencialidad de la información y no divulgación. acuerdos.

Gestión Alinear, planificar y APO07 Recursos humanos APO07.06 Gestionar personal 3. Avise a los contratistas que la administración se reserva el derecho
organizar gestionados contratado. de monitorear e inspeccionar todo el uso de los recursos de TI,
incluido el correo electrónico, las comunicaciones de voz y todos los
programas y archivos de datos.

Gestión Alinear, planificar y APO07 Recursos humanos APO07.06 Gestionar personal 4. Como parte de sus contratos, proporcione a los contratistas una
organizar gestionados contratado. definición clara de sus funciones y responsabilidades, incluidos
requisitos explícitos para documentar su trabajo según los estándares
y formatos acordados.

Gestión Alinear, planificar y APO07 Recursos humanos APO07.06 Gestionar personal 5. Revisar el trabajo de los contratistas y basar la aprobación de los
organizar gestionados contratado. pagos en los resultados.

Gestión Alinear, planificar y APO07 Recursos humanos APO07.06 Gestionar personal 6. En contratos formales e inequívocos, defina todo el trabajo
organizar gestionados contratado. realizado por partes externas.

Gestión Alinear, planificar y APO07 Recursos humanos APO07.06 Gestionar personal 7. Realizar revisiones periódicas para asegurarse de que el personal
organizar gestionados contratado. contratado haya firmado y acordado todos los acuerdos necesarios.

Gestión Alinear, planificar y APO07 Recursos humanos APO07.06 Gestionar personal 8. Realizar revisiones periódicas para asegurar que las funciones y los
organizar gestionados contratado. derechos de acceso de los contratistas sean adecuados y estén en
consonancia con los acuerdos.

228
Gestión Alinear, planificar y APO08 Relaciones administradas APO08.01 Comprenda las expectativas 1. Identificar los grupos de interés del negocio, sus intereses y sus
organizar comerciales. áreas de responsabilidad.

Gestión Alinear, planificar y APO08 Relaciones administradas APO08.01 Comprenda las expectativas 2. Revisar la dirección actual de la empresa, los problemas, los
organizar comerciales. objetivos estratégicos y la alineación con la arquitectura empresarial.

Gestión Alinear, planificar y APO08 Relaciones administradas APO08.01 Comprenda las expectativas 3. Comprender el entorno empresarial actual, las limitaciones o
organizar comerciales. problemas de los procesos, la expansión o contracción geográfica y
los impulsores regulatorios / de la industria.

Gestión Alinear, planificar y APO08 Relaciones administradas APO08.01 Comprenda las expectativas 4. Mantener un conocimiento de los procesos comerciales y las
organizar comerciales. actividades asociadas. Comprender los patrones de demanda que se
relacionan con los volúmenes y el uso del servicio.

Gestión Alinear, planificar y APO08 Relaciones administradas APO08.01 Comprenda las expectativas 5. Gestione las expectativas asegurándose de que las unidades de
organizar comerciales. negocio comprendan las prioridades, las dependencias, las
limitaciones financieras y la necesidad de programar las solicitudes.

Gestión Alinear, planificar y APO08 Relaciones administradas APO08.01 Comprenda las expectativas 6. Aclare las expectativas comerciales de los servicios y soluciones
organizar comerciales. habilitados para I&T. Asegúrese de que los requisitos se definan con
los criterios y métricas de aceptación comercial asociados.

Gestión Alinear, planificar y APO08 Relaciones administradas APO08.01 Comprenda las expectativas 7. Confirme que existe un acuerdo entre TI y todos los
organizar comerciales. departamentos comerciales sobre las expectativas y cómo se
medirán. Asegúrese de que este acuerdo sea confirmado por todas
las partes interesadas.

229
Gestión Alinear, planificar y APO08 Relaciones administradas APO08.02 Alinee la estrategia de I&T 1. Posicione a TI como socio del negocio. Desempeñar un papel
organizar con las expectativas proactivo en la identificación y comunicación con las partes
comerciales e identifique interesadas clave sobre oportunidades, riesgos y limitaciones. Esto
oportunidades para que TI incluye tecnologías, servicios y modelos de procesos comerciales
mejore el negocio. actuales y emergentes.

Gestión Alinear, planificar y APO08 Relaciones administradas APO08.02 Alinee la estrategia de I&T 2. Colaborar en nuevas iniciativas importantes con la gestión de
organizar con las expectativas carteras, programas y proyectos. Asegure la participación de la
comerciales e identifique organización de TI desde el inicio de una nueva iniciativa
oportunidades para que TI proporcionando recomendaciones y consejos de valor agregado (por
mejore el negocio. ejemplo, para el desarrollo de casos de negocios, definición de
requisitos, diseño de soluciones) y asumiendo la propiedad de los
flujos de trabajo de I&T.
Gestión Alinear, planificar y APO08 Relaciones administradas APO08.03 Gestionar la relación 1. Asigne un gerente de relaciones como único punto de contacto
organizar comercial. para cada unidad comercial importante. Asegúrese de que se
identifique una sola contraparte en la organización empresarial y que
la contraparte tenga conocimiento comercial, conocimiento
tecnológico suficiente y el nivel apropiado de autoridad.

Gestión Alinear, planificar y APO08 Relaciones administradas APO08.03 Gestionar la relación 2. Gestionar la relación de una manera formalizada y transparente
organizar comercial. que asegure un enfoque en el logro de un objetivo común y
compartido de resultados empresariales exitosos en apoyo de los
objetivos estratégicos y dentro de las limitaciones de los
presupuestos y la tolerancia al riesgo.

Gestión Alinear, planificar y APO08 Relaciones administradas APO08.03 Gestionar la relación 3. Definir y comunicar un procedimiento de quejas y escalamiento
organizar comercial. para resolver cualquier problema de relación.

Gestión Alinear, planificar y APO08 Relaciones administradas APO08.03 Gestionar la relación 4. Asegurarse de que las decisiones clave sean acordadas y aprobadas
organizar comercial. por las partes interesadas responsables pertinentes.

Gestión Alinear, planificar y APO08 Relaciones administradas APO08.03 Gestionar la relación 5. Planifique interacciones y horarios específicos basados ​en objetivos
organizar comercial. mutuamente acordados y un lenguaje común (reuniones de revisión
de servicio y desempeño, revisión de nuevas estrategias o planes,
etc.).

230
Gestión Alinear, planificar y APO08 Relaciones administradas APO08.04 Coordinar y comunicar. 1. Coordinar y comunicar cambios y actividades de transición como
organizar proyectos o planes de cambio, cronogramas, políticas de
lanzamiento, errores conocidos de lanzamiento y conciencia de
capacitación.

Gestión Alinear, planificar y APO08 Relaciones administradas APO08.04 Coordinar y comunicar. 2. Coordinar y comunicar las actividades operativas, los roles y las
organizar responsabilidades, incluida la definición de los tipos de solicitudes, el
escalamiento jerárquico, las interrupciones importantes (planificadas
y no planificadas) y el contenido y la frecuencia de los informes de
servicio.

Gestión Alinear, planificar y APO08 Relaciones administradas APO08.04 Coordinar y comunicar. 3. Asumir la responsabilidad de la respuesta de la empresa a eventos
organizar importantes que puedan influir en la relación con la empresa. Brinde
apoyo directo si es necesario.

Gestión Alinear, planificar y APO08 Relaciones administradas APO08.04 Coordinar y comunicar. 4. Mantener un plan de comunicación de un extremo a otro que
organizar defina el contenido, la frecuencia y los destinatarios de la
información de prestación de servicios, incluido el estado del valor
entregado y cualquier riesgo identificado.

Gestión Alinear, planificar y APO08 Relaciones administradas APO08.05 Proporcionar información 1. Realizar análisis de satisfacción de clientes y proveedores.
organizar para la mejora continua de Asegúrese de que se aborden los problemas; informe de resultados y
los servicios. estado.

Gestión Alinear, planificar y APO08 Relaciones administradas APO08.05 Proporcionar información 2. Trabajar juntos para identificar, comunicar e implementar
organizar para la mejora continua de iniciativas de mejora.
los servicios.

Gestión Alinear, planificar y APO08 Relaciones administradas APO08.05 Proporcionar información 3. Trabajar con la gestión de servicios y los propietarios de procesos
organizar para la mejora continua de para garantizar que los servicios y procesos de gestión de servicios
los servicios. habilitados para I&T se mejoren continuamente y que se identifiquen
y resuelvan las causas fundamentales de cualquier problema.

231
Gestión Alinear, planificar y APO09 Acuerdos de servicios APO09.01 Identificar los servicios de 1. Evalúe los servicios y niveles de servicio actuales de I&T para
organizar gestionados I&T. identificar las brechas entre los servicios existentes y las actividades
comerciales que respaldan. Identificar áreas para mejorar los
servicios existentes y las opciones de nivel de servicio.

Gestión Alinear, planificar y APO09 Acuerdos de servicios APO09.01 Identificar los servicios de 2. Analizar, estudiar y estimar la demanda futura y confirmar la
organizar gestionados I&T. capacidad de los servicios habilitados para I & T existentes.

Gestión Alinear, planificar y APO09 Acuerdos de servicios APO09.01 Identificar los servicios de 3. Analizar las actividades de los procesos comerciales para identificar
organizar gestionados I&T. la necesidad de servicios de I&T nuevos o rediseñados.

Gestión Alinear, planificar y APO09 Acuerdos de servicios APO09.01 Identificar los servicios de 4. Compare los requisitos identificados con los componentes de
organizar gestionados I&T. servicio existentes en la cartera. Si es posible, empaque los
componentes de servicio existentes (servicios de I&T, opciones de
nivel de servicio y paquetes de servicios) en nuevos paquetes de
servicios para cumplir con los requisitos comerciales identificados.

Gestión Alinear, planificar y APO09 Acuerdos de servicios APO09.01 Identificar los servicios de 5. Revise periódicamente la cartera de servicios de I&T con gestión de
organizar gestionados I&T. cartera y gestión de relaciones comerciales para identificar servicios
obsoletos. Acuerde la jubilación y proponga cambios.

Gestión Alinear, planificar y APO09 Acuerdos de servicios APO09.01 Identificar los servicios de 6. Siempre que sea posible, haga coincidir las demandas con los
organizar gestionados I&T. paquetes de servicios y cree servicios estandarizados para obtener
eficiencias generales.

Gestión Alinear, planificar y APO09 Acuerdos de servicios APO09.02 Catálogo de servicios 1. Publique en catálogos servicios relevantes habilitados para I&T en
organizar gestionados habilitados para I & T. vivo, paquetes de servicios y opciones de nivel de servicio de la
cartera.

232
Gestión Alinear, planificar y APO09 Acuerdos de servicios APO09.02 Catálogo de servicios 2. Asegúrese continuamente de que los componentes de servicio de
organizar gestionados habilitados para I & T. la cartera y los catálogos de servicios relacionados estén completos y
actualizados.

Gestión Alinear, planificar y APO09 Acuerdos de servicios APO09.02 Catálogo de servicios 3. Informar a la dirección de relaciones comerciales de cualquier
organizar gestionados habilitados para I & T. actualización de los catálogos de servicios.

Gestión Alinear, planificar y APO09 Acuerdos de servicios APO09.03 Definir y preparar acuerdos 1. Analice los requisitos de los acuerdos de servicio nuevos o
organizar gestionados de servicio. modificados recibidos de la gestión de relaciones comerciales para
asegurarse de que se puedan cumplir. Tenga en cuenta aspectos
como los tiempos de servicio, la disponibilidad, el rendimiento, la
capacidad, la seguridad, la privacidad, la continuidad, el
cumplimiento y las cuestiones normativas, la usabilidad, las
limitaciones de la demanda y la calidad de los datos.
Gestión Alinear, planificar y APO09 Acuerdos de servicios APO09.03 Definir y preparar acuerdos 2. Redactar acuerdos de servicio al cliente basados ​en los servicios,
organizar gestionados de servicio. paquetes de servicios y opciones de nivel de servicio en los catálogos
de servicios relevantes.

Gestión Alinear, planificar y APO09 Acuerdos de servicios APO09.03 Definir y preparar acuerdos 3. Finalizar acuerdos de servicio al cliente con gestión de relaciones
organizar gestionados de servicio. comerciales.

Gestión Alinear, planificar y APO09 Acuerdos de servicios APO09.03 Definir y preparar acuerdos 4. Determinar, acordar y documentar acuerdos operativos internos
organizar gestionados de servicio. para respaldar los acuerdos de servicio al cliente, si corresponde.

Gestión Alinear, planificar y APO09 Acuerdos de servicios APO09.03 Definir y preparar acuerdos 5. Servir de enlace con la administración de proveedores para
organizar gestionados de servicio. garantizar que los contratos comerciales apropiados con proveedores
de servicios externos respalden los acuerdos de servicio al cliente, si
corresponde.

233
Gestión Alinear, planificar y APO09 Acuerdos de servicios APO09.04 Supervisar e informar los 1. Establecer y mantener medidas para monitorear y recopilar datos
organizar gestionados niveles de servicio. de nivel de servicio.

Gestión Alinear, planificar y APO09 Acuerdos de servicios APO09.04 Supervisar e informar los 2. Evaluar el desempeño y proporcionar informes regulares y
organizar gestionados niveles de servicio. formales del desempeño del contrato de servicio, incluidas las
desviaciones de los valores acordados. Distribuya este informe a la
gerencia de relaciones comerciales.

Gestión Alinear, planificar y APO09 Acuerdos de servicios APO09.04 Supervisar e informar los 3. Realice revisiones periódicas para pronosticar e identificar
organizar gestionados niveles de servicio. tendencias en el desempeño del nivel de servicio. Incorporar
prácticas de gestión de la calidad en el seguimiento del servicio.

Gestión Alinear, planificar y APO09 Acuerdos de servicios APO09.04 Supervisar e informar los 4. Proporcionar la información de gestión adecuada para ayudar a la
organizar gestionados niveles de servicio. gestión del desempeño.

Gestión Alinear, planificar y APO09 Acuerdos de servicios APO09.04 Supervisar e informar los 5. Acuerde planes de acción y soluciones para cualquier problema de
organizar gestionados niveles de servicio. desempeño o tendencias negativas.

Gestión Alinear, planificar y APO09 Acuerdos de servicios APO09.05 Revise los acuerdos y 1. Revise periódicamente los acuerdos de servicio de acuerdo con los
organizar gestionados contratos de servicio. términos acordados para asegurarse de que sean efectivos y estén
actualizados. Cuando corresponda, tenga en cuenta los cambios en
los requisitos, los servicios habilitados para I&T, los paquetes de
servicios o las opciones de nivel de servicio.

Gestión Alinear, planificar y APO09 Acuerdos de servicios APO09.05 Revise los acuerdos y 2. Cuando sea necesario, revise el acuerdo de servicio existente con
organizar gestionados contratos de servicio. el proveedor de servicios. Acordar y actualizar los acuerdos
operativos internos.

234
Gestión Alinear, planificar y APO10 Proveedores administrados APO10.01 Identificar y evaluar las 1. Explore continuamente el panorama empresarial en busca de
organizar relaciones y los contratos nuevos socios y proveedores que puedan proporcionar capacidades
con los proveedores. complementarias y respaldar la realización de la estrategia de I&T, la
hoja de ruta y los objetivos empresariales.

Gestión Alinear, planificar y APO10 Proveedores administrados APO10.01 Identificar y evaluar las 2. Establecer y mantener criterios relacionados con el tipo, la
organizar relaciones y los contratos importancia y la criticidad de los proveedores y los contratos de los
con los proveedores. proveedores, lo que permite un enfoque en los proveedores
preferidos e importantes.

Gestión Alinear, planificar y APO10 Proveedores administrados APO10.01 Identificar y evaluar las 3. Identificar, registrar y categorizar proveedores y contratos
organizar relaciones y los contratos existentes de acuerdo con criterios definidos para mantener un
con los proveedores. registro detallado de proveedores preferidos que deben
administrarse con cuidado.

Gestión Alinear, planificar y APO10 Proveedores administrados APO10.01 Identificar y evaluar las 4. Establecer y mantener criterios de evaluación de proveedores y
organizar relaciones y los contratos contratos para permitir la revisión general y la comparación del
con los proveedores. desempeño de los proveedores de manera coherente.

Gestión Alinear, planificar y APO10 Proveedores administrados APO10.01 Identificar y evaluar las 5. Evalúe y compare periódicamente el desempeño de los
organizar relaciones y los contratos proveedores existentes y alternativos para identificar oportunidades
con los proveedores. o una necesidad imperiosa de reconsiderar los contratos actuales con
los proveedores.

Gestión Alinear, planificar y APO10 Proveedores administrados APO10.02 Seleccionar proveedores. 1. Revise todas las solicitudes de información (RFI) y solicitudes de
organizar propuestas (RFP) para asegurarse de que definen claramente los
requisitos (por ejemplo, requisitos de la empresa para la seguridad y
privacidad de la información, requisitos de procesamiento de I&T y
negocios operativos, prioridades para la prestación de servicios) e
incluya un procedimiento para aclarar los requisitos. Las RFI y RFP
deben dar a los proveedores tiempo suficiente para preparar sus
Gestión Alinear, planificar y APO10 Proveedores administrados APO10.02 Seleccionar proveedores. 2. Evaluar RFI
propuestas y RFP de
y deben acuerdo
definir con el proceso
claramente / criterio
los criterios de
de adjudicación y
organizar evaluación aprobado
el proceso de decisión.y mantener evidencia documental de las
evaluaciones. Verifique las referencias de los proveedores
candidatos.

235
Gestión Alinear, planificar y APO10 Proveedores administrados APO10.02 Seleccionar proveedores. 3. Seleccione el proveedor que mejor se adapte a la RFP. Documentar
organizar y comunicar la decisión y firmar el contrato.

Gestión Alinear, planificar y APO10 Proveedores administrados APO10.02 Seleccionar proveedores. 4. En el caso específico de la adquisición de software, incluir y hacer
organizar cumplir los derechos y obligaciones de todas las partes en los
términos contractuales. Estos derechos y obligaciones pueden incluir
la propiedad y la concesión de licencias de propiedad intelectual;
mantenimiento; garantías; procedimientos de arbitraje; términos de
actualización; y aptos para su propósito, incluida la seguridad, la
privacidad, el depósito en garantía y los derechos de acceso.
Gestión Alinear, planificar y APO10 Proveedores administrados APO10.02 Seleccionar proveedores. 5. En el caso específico de adquisición de recursos para el desarrollo,
organizar incluir y hacer cumplir los derechos y obligaciones de todas las partes
en los términos contractuales. Estos derechos y obligaciones pueden
incluir la propiedad y la concesión de licencias de propiedad
intelectual; aptos para el propósito, incluidas las metodologías de
desarrollo; pruebas; procesos de gestión de la calidad, incluidos los
criterios de desempeño requeridos; revisiones de desempeño; base
Gestión Alinear, planificar y APO10 Proveedores administrados APO10.02 Seleccionar proveedores. 6.
deObtener asesoramiento
pago; garantías; legal sobre
procedimientos deacuerdos
arbitraje;de adquisición
gestión de
de recursos
organizar desarrollo
humanos; ydecumplimiento
recursos relacionados con lade
de las políticas propiedad y la concesión
la empresa.
de licencias de propiedad intelectual.

Gestión Alinear, planificar y APO10 Proveedores administrados APO10.02 Seleccionar proveedores. 7. En el caso específico de adquisición de infraestructura,
organizar instalaciones y servicios relacionados, incluir y hacer cumplir los
derechos y obligaciones de todas las partes en los términos
contractuales. Estos derechos y obligaciones pueden incluir niveles
de servicio, procedimientos de mantenimiento, controles de acceso,
seguridad, privacidad, revisión de desempeño, bases para pagos y
procedimientos de arbitraje.
Gestión Alinear, planificar y APO10 Proveedores administrados APO10.03 Gestione las relaciones y los 1. Asigne propietarios de relaciones a todos los proveedores y
organizar contratos con los hágalos responsables de la calidad de los servicios prestados.
proveedores.

Gestión Alinear, planificar y APO10 Proveedores administrados APO10.03 Gestione las relaciones y los 2. Especifique un proceso formal de comunicación y revisión,
organizar contratos con los incluidas las interacciones y los horarios de los proveedores.
proveedores.

236
Gestión Alinear, planificar y APO10 Proveedores administrados APO10.03 Gestione las relaciones y los 3. Acordar, gestionar, mantener y renovar contratos formales con el
organizar contratos con los proveedor. Asegúrese de que los contratos se ajusten a los
proveedores. estándares de la empresa y los requisitos legales y reglamentarios.

Gestión Alinear, planificar y APO10 Proveedores administrados APO10.03 Gestione las relaciones y los 4. Incluir disposiciones en los contratos con proveedores de servicios
organizar contratos con los clave para la revisión del sitio del proveedor y las prácticas y
proveedores. controles internos por parte de la administración o terceros
independientes. Acordar controles independientes de auditoría y
aseguramiento de los entornos operativos de los proveedores que
brindan servicios subcontratados para confirmar que los requisitos
acordados se están abordando de manera adecuada.
Gestión Alinear, planificar y APO10 Proveedores administrados APO10.03 Gestione las relaciones y los 5. Utilice los procedimientos establecidos para tratar las disputas
organizar contratos con los contractuales. Siempre que sea posible, primero use relaciones y
proveedores. comunicaciones efectivas para superar los problemas del servicio.

Gestión Alinear, planificar y APO10 Proveedores administrados APO10.03 Gestione las relaciones y los 6. Definir y formalizar roles y responsabilidades para cada proveedor
organizar contratos con los de servicios. Cuando varios proveedores se combinan para brindar un
proveedores. servicio, considere asignar un rol de contratista principal a uno de los
proveedores para que asuma la responsabilidad de un contrato
general.

Gestión Alinear, planificar y APO10 Proveedores administrados APO10.03 Gestione las relaciones y los 7. Evalúe la efectividad de la relación e identifique las mejoras
organizar contratos con los necesarias.
proveedores.

Gestión Alinear, planificar y APO10 Proveedores administrados APO10.03 Gestione las relaciones y los 8. Definir, comunicar y acordar las formas de implementar las
organizar contratos con los mejoras necesarias en la relación.
proveedores.

Gestión Alinear, planificar y APO10 Proveedores administrados APO10.04 Gestione el riesgo de los 1. Al preparar el contrato, prevea el riesgo potencial del servicio
organizar proveedores. definiendo claramente los requisitos del servicio, incluidos los
acuerdos de custodia de software, proveedores alternativos o
acuerdos de reserva para mitigar posibles fallas del proveedor;
seguridad y protección de la propiedad intelectual; intimidad; y
cualquier requisito legal o reglamentario.

237
Gestión Alinear, planificar y APO10 Proveedores administrados APO10.04 Gestione el riesgo de los 2. Identificar, monitorear y, cuando sea apropiado, administrar el
organizar proveedores. riesgo relacionado con la capacidad del proveedor para brindar el
servicio de manera eficiente, efectiva, segura, confidencial, confiable
y continua. Integre los procesos de gestión de TI internos críticos con
los de los proveedores de servicios subcontratados, cubriendo, por
ejemplo, la planificación del rendimiento y la capacidad, la gestión de
cambios y la gestión de la configuración.
Gestión Alinear, planificar y APO10 Proveedores administrados APO10.04 Gestione el riesgo de los 3. Evaluar el ecosistema más amplio del proveedor e identificar,
organizar proveedores. monitorear y, cuando corresponda, administrar el riesgo relacionado
con los subcontratistas y proveedores ascendentes que influyen en la
capacidad del proveedor para brindar servicios de manera eficiente,
efectiva, segura, confiable y continua.

Gestión Alinear, planificar y APO10 Proveedores administrados APO10.05 Supervise el desempeño y el 1. Solicite revisiones independientes de las prácticas y controles
organizar cumplimiento de los internos de los proveedores, si es necesario.
proveedores.

Gestión Alinear, planificar y APO10 Proveedores administrados APO10.05 Supervise el desempeño y el 2. Defina y documente los criterios para monitorear el desempeño de
organizar cumplimiento de los los proveedores alineados con los acuerdos de nivel de servicio.
proveedores. Asegúrese de que el proveedor informe de forma regular y
transparente sobre los criterios acordados.

Gestión Alinear, planificar y APO10 Proveedores administrados APO10.05 Supervise el desempeño y el 3. Supervisar y revisar la prestación del servicio para asegurarse de
organizar cumplimiento de los que el proveedor esté proporcionando una calidad de servicio
proveedores. aceptable, cumpliendo los requisitos y cumpliendo las condiciones
del contrato.

Gestión Alinear, planificar y APO10 Proveedores administrados APO10.05 Supervise el desempeño y el 4. Revise el desempeño del proveedor y la relación calidad-precio.
organizar cumplimiento de los Asegúrese de que el proveedor sea confiable y competitivo, en
proveedores. comparación con los proveedores alternativos y las condiciones del
mercado.

Gestión Alinear, planificar y APO10 Proveedores administrados APO10.05 Supervise el desempeño y el 5. Monitorear y evaluar la información disponible externamente
organizar cumplimiento de los sobre el proveedor y la cadena de suministro del proveedor.
proveedores.

238
Gestión Alinear, planificar y APO10 Proveedores administrados APO10.05 Supervise el desempeño y el 6. Registre y evalúe los resultados de la revisión periódicamente y
organizar cumplimiento de los discútalos con el proveedor para identificar las necesidades y
proveedores. oportunidades de mejora.

Gestión Alinear, planificar y APO11 Calidad gestionada APO11.01 Establecer un sistema de 1. Asegúrese de que el marco de control de I&T y los procesos
organizar gestión de la calidad (SGC). comerciales y de TI incluyan un enfoque estándar, formal y continuo
para la gestión de la calidad que esté alineado con los requisitos de la
empresa. Dentro del marco de control de I&T y los procesos
comerciales y de TI, identifique los requisitos y criterios de calidad
(por ejemplo, basados ​en requisitos legales y requisitos de los
clientes).
Gestión Alinear, planificar y APO11 Calidad gestionada APO11.01 Establecer un sistema de 2. Definir roles, tareas, derechos de decisión y responsabilidades para
organizar gestión de la calidad (SGC). la gestión de la calidad en la estructura organizacional.

Gestión Alinear, planificar y APO11 Calidad gestionada APO11.01 Establecer un sistema de 3. Obtener información de la dirección y las partes interesadas
organizar gestión de la calidad (SGC). externas e internas sobre la definición de los requisitos de calidad y
los criterios de gestión de la calidad.

Gestión Alinear, planificar y APO11 Calidad gestionada APO11.01 Establecer un sistema de 4. Monitorear y revisar regularmente el SGC en función de los
organizar gestión de la calidad (SGC). criterios de aceptación acordados. Incluya comentarios de clientes,
usuarios y administración.

Gestión Alinear, planificar y APO11 Calidad gestionada APO11.01 Establecer un sistema de 5. Responder a las discrepancias en los resultados de la revisión para
organizar gestión de la calidad (SGC). mejorar continuamente el SGC.

Gestión Alinear, planificar y APO11 Calidad gestionada APO11.02 Centrar la gestión de la 1. Enfocar la gestión de la calidad en los clientes determinando los
organizar calidad en los clientes. requisitos internos y externos del cliente y asegurando la alineación
de los estándares y prácticas de I&T. Definir y comunicar roles y
responsabilidades relacionados con la resolución de conflictos entre
el usuario / cliente y la organización de TI.

239
Gestión Alinear, planificar y APO11 Calidad gestionada APO11.02 Centrar la gestión de la 2. Gestionar las necesidades y expectativas del negocio para cada
organizar calidad en los clientes. proceso empresarial, servicio operativo de TI y nuevas soluciones.
Mantener sus criterios de aceptación de calidad.

Gestión Alinear, planificar y APO11 Calidad gestionada APO11.02 Centrar la gestión de la 3. Comunicar los requisitos y expectativas del cliente en toda la
organizar calidad en los clientes. organización comercial y de TI.

Gestión Alinear, planificar y APO11 Calidad gestionada APO11.02 Centrar la gestión de la 4. Obtenga periódicamente opiniones de los clientes sobre los
organizar calidad en los clientes. procesos de negocio y el aprovisionamiento de servicios y la entrega
de soluciones de TI. Determine el impacto en los estándares y
prácticas de I&T y asegúrese de que se cumplan y se lleven a cabo las
expectativas del cliente.

Gestión Alinear, planificar y APO11 Calidad gestionada APO11.02 Centrar la gestión de la 5. Capturar criterios de aceptación de calidad para su inclusión en
organizar calidad en los clientes. SLA.

Gestión Alinear, planificar y APO11 Calidad gestionada APO11.03 Gestionar estándares, 1. Definir los estándares, prácticas y procedimientos de gestión de la
organizar prácticas y procedimientos calidad de acuerdo con los requisitos del marco de control de I&T y
de calidad e integrar la los criterios y políticas de gestión de la calidad empresarial.
gestión de la calidad en los
procesos y soluciones clave.

Gestión Alinear, planificar y APO11 Calidad gestionada APO11.03 Gestionar estándares, 2. Integrar las prácticas de gestión de la calidad requeridas en los
organizar prácticas y procedimientos procesos y soluciones clave en toda la organización.
de calidad e integrar la
gestión de la calidad en los
procesos y soluciones clave.

Gestión Alinear, planificar y APO11 Calidad gestionada APO11.03 Gestionar estándares, 3. Considere los beneficios y costos de las certificaciones de calidad.
organizar prácticas y procedimientos
de calidad e integrar la
gestión de la calidad en los
procesos y soluciones clave.

240
Gestión Alinear, planificar y APO11 Calidad gestionada APO11.03 Gestionar estándares, 4. Comunicar eficazmente el enfoque de gestión de la calidad (por
organizar prácticas y procedimientos ejemplo, a través de programas formales y regulares de formación en
de calidad e integrar la calidad).
gestión de la calidad en los
procesos y soluciones clave.

Gestión Alinear, planificar y APO11 Calidad gestionada APO11.03 Gestionar estándares, 5. Registre y controle los datos de calidad. Utilice las buenas prácticas
organizar prácticas y procedimientos de la industria como referencia al mejorar y adaptar las prácticas de
de calidad e integrar la calidad de la empresa.
gestión de la calidad en los
procesos y soluciones clave.

Gestión Alinear, planificar y APO11 Calidad gestionada APO11.03 Gestionar estándares, 6. Revisar periódicamente la pertinencia, la eficiencia y la eficacia
organizar prácticas y procedimientos continuas de los procesos específicos de gestión de la calidad.
de calidad e integrar la Monitorear el logro de los objetivos de calidad.
gestión de la calidad en los
procesos y soluciones clave.

Gestión Alinear, planificar y APO11 Calidad gestionada APO11.04 Realizar seguimiento, control 1. Preparar y realizar revisiones de calidad para procesos y soluciones
organizar y revisiones de la calidad. organizacionales clave.

Gestión Alinear, planificar y APO11 Calidad gestionada APO11.04 Realizar seguimiento, control 2. Para estos procesos y soluciones organizacionales clave, supervise
organizar y revisiones de la calidad. las métricas de calidad impulsadas por metas alineadas con los
objetivos generales de calidad.

Gestión Alinear, planificar y APO11 Calidad gestionada APO11.04 Realizar seguimiento, control 3. Asegurarse de que la dirección y los propietarios de los procesos
organizar y revisiones de la calidad. revisen periódicamente el desempeño de la gestión de la calidad
frente a las métricas de calidad definidas.

Gestión Alinear, planificar y APO11 Calidad gestionada APO11.04 Realizar seguimiento, control 4. Analizar los resultados generales del desempeño de la gestión de la
organizar y revisiones de la calidad. calidad.

241
Gestión Alinear, planificar y APO11 Calidad gestionada APO11.04 Realizar seguimiento, control 5. Informar los resultados de la revisión del desempeño de la gestión
organizar y revisiones de la calidad. de la calidad e iniciar mejoras cuando corresponda.

Gestión Alinear, planificar y APO11 Calidad gestionada APO11.05 Mantener la mejora 1. Establecer una plataforma para compartir buenas prácticas y
organizar continua. capturar información sobre defectos y errores para permitir aprender
de ellos.

Gestión Alinear, planificar y APO11 Calidad gestionada APO11.05 Mantener la mejora 2. Identificar ejemplos de procesos de entrega de excelente calidad
organizar continua. que puedan beneficiar a otros servicios o proyectos. Compártalas con
los equipos de prestación de servicios y proyectos para fomentar la
mejora.

Gestión Alinear, planificar y APO11 Calidad gestionada APO11.05 Mantener la mejora 3. Identificar ejemplos recurrentes de defectos de calidad. Determine
organizar continua. su causa raíz, evalúe su impacto y resultado, y acuerde acciones de
mejora con los equipos de entrega de servicios y / o proyectos.

Gestión Alinear, planificar y APO11 Calidad gestionada APO11.05 Mantener la mejora 4. Capacitar a los empleados en los métodos y herramientas de
organizar continua. mejora continua.

Gestión Alinear, planificar y APO11 Calidad gestionada APO11.05 Mantener la mejora 5. Compare los resultados de las revisiones de calidad con los datos
organizar continua. históricos internos, las pautas de la industria, los estándares y los
datos de tipos similares de empresas.

Gestión Alinear, planificar y APO12 Riesgo gestionado APO12.01 Recolectar datos. 1. Establecer y mantener un método para la recopilación, clasificación
organizar y análisis de datos relacionados con el riesgo de I&T.

242
Gestión Alinear, planificar y APO12 Riesgo gestionado APO12.01 Recolectar datos. 2. Registrar datos relevantes y significativos relacionados con el
organizar riesgo de I&T en el entorno operativo interno y externo de la
empresa.

Gestión Alinear, planificar y APO12 Riesgo gestionado APO12.01 Recolectar datos. 3. Adoptar o definir una taxonomía de riesgos para definiciones
organizar coherentes de escenarios de riesgo y categorías de impacto y
probabilidad.

Gestión Alinear, planificar y APO12 Riesgo gestionado APO12.01 Recolectar datos. 4. Registre datos sobre eventos de riesgo que hayan causado o
organizar puedan causar impactos comerciales según las categorías de impacto
definidas en la taxonomía de riesgos. Capture datos relevantes de
asuntos, incidentes, problemas e investigaciones relacionados.

Gestión Alinear, planificar y APO12 Riesgo gestionado APO12.01 Recolectar datos. 5. Examine y analice los datos históricos de riesgo de I&T y la
organizar experiencia de pérdida a partir de datos y tendencias disponibles
externamente, pares de la industria a través de registros de eventos
basados ​en la industria, bases de datos y acuerdos de la industria
para la divulgación de eventos comunes.

Gestión Alinear, planificar y APO12 Riesgo gestionado APO12.01 Recolectar datos. 6. Para clases de eventos similares, organice los datos recopilados y
organizar resalte los factores contribuyentes. Determine los factores
contribuyentes comunes en múltiples eventos.

Gestión Alinear, planificar y APO12 Riesgo gestionado APO12.01 Recolectar datos. 7. Determinar las condiciones específicas que existían o no existían
organizar cuando ocurrieron los eventos de riesgo y la forma en que las
condiciones afectaron la frecuencia de los eventos y la magnitud de
la pérdida.

Gestión Alinear, planificar y APO12 Riesgo gestionado APO12.01 Recolectar datos. 8. Realizar análisis periódicos de eventos y factores de riesgo para
organizar identificar problemas de riesgo nuevos o emergentes y comprender
los factores de riesgo internos y externos asociados.

243
Gestión Alinear, planificar y APO12 Riesgo gestionado APO12.02 Analice el riesgo. 1. Definir el alcance apropiado de los esfuerzos de análisis de riesgos,
organizar considerando todos los factores de riesgo y / o la importancia
comercial de los activos.

Gestión Alinear, planificar y APO12 Riesgo gestionado APO12.02 Analice el riesgo. 2. Construir y actualizar periódicamente escenarios de riesgo de I&T;
organizar Exposiciones a pérdidas relacionadas con I&T; y escenarios
relacionados con el riesgo de reputación, incluidos escenarios
compuestos de tipos y eventos de amenazas en cascada y / o
coincidentes. Desarrollar expectativas para actividades de control
específicas y capacidades para detectar.
Gestión Alinear, planificar y APO12 Riesgo gestionado APO12.02 Analice el riesgo. 3. Estime la frecuencia (o probabilidad) y la magnitud de la pérdida o
organizar ganancia asociada con los escenarios de riesgo de I&T. Tenga en
cuenta todos los factores de riesgo aplicables y evalúe los controles
operativos conocidos.

Gestión Alinear, planificar y APO12 Riesgo gestionado APO12.02 Analice el riesgo. 4. Compare el riesgo actual (exposición a pérdidas relacionadas con
organizar I&T) con el apetito por el riesgo y la tolerancia aceptable al riesgo.
Identifique un riesgo elevado o inaceptable.

Gestión Alinear, planificar y APO12 Riesgo gestionado APO12.02 Analice el riesgo. 5. Proponer respuestas al riesgo para el riesgo que exceda los niveles
organizar de tolerancia y apetito por el riesgo.

Gestión Alinear, planificar y APO12 Riesgo gestionado APO12.02 Analice el riesgo. 6. Especificar requisitos de alto nivel para proyectos o programas que
organizar implementarán las respuestas de riesgo seleccionadas. Identificar los
requisitos y expectativas para los controles clave apropiados para las
respuestas de mitigación de riesgos.

Gestión Alinear, planificar y APO12 Riesgo gestionado APO12.02 Analice el riesgo. 7. Validar los resultados del análisis de riesgos y del análisis de
organizar impacto empresarial (BIA) antes de utilizarlos en la toma de
decisiones. Confirme que el análisis se alinea con los requisitos de la
empresa y verifique que las estimaciones se hayan calibrado y
examinado adecuadamente para detectar sesgos.

244
Gestión Alinear, planificar y APO12 Riesgo gestionado APO12.02 Analice el riesgo. 8. Analice el costo / beneficio de las posibles opciones de respuesta al
organizar riesgo, como evitar, reducir / mitigar, transferir / compartir y aceptar
y explotar / aprovechar. Confirme la respuesta óptima al riesgo.

Gestión Alinear, planificar y APO12 Riesgo gestionado APO12.03 Mantener un perfil de riesgo. 1. Haga un inventario de los procesos comerciales y documente su
organizar dependencia de los procesos de administración de servicios de I&T y
los recursos de la infraestructura de TI. Identifique el personal de
apoyo, las aplicaciones, la infraestructura, las instalaciones, los
registros manuales críticos, los proveedores y los subcontratistas.

Gestión Alinear, planificar y APO12 Riesgo gestionado APO12.03 Mantener un perfil de riesgo. 2. Determinar y acordar qué servicios de I&T y recursos de
organizar infraestructura de TI son esenciales para mantener el funcionamiento
de los procesos comerciales. Analizar dependencias e identificar
vínculos débiles.

Gestión Alinear, planificar y APO12 Riesgo gestionado APO12.03 Mantener un perfil de riesgo. 3. Agregue los escenarios de riesgo actuales por categoría, línea de
organizar negocio y área funcional.

Gestión Alinear, planificar y APO12 Riesgo gestionado APO12.03 Mantener un perfil de riesgo. 4. Capture periódicamente toda la información del perfil de riesgo y
organizar consolidela en un perfil de riesgo agregado.

Gestión Alinear, planificar y APO12 Riesgo gestionado APO12.03 Mantener un perfil de riesgo. 5. Capturar información sobre el estado del plan de acción de riesgo
organizar para su inclusión en el perfil de riesgo de I&T de la empresa.

Gestión Alinear, planificar y APO12 Riesgo gestionado APO12.03 Mantener un perfil de riesgo. 6. Con base en todos los datos del perfil de riesgo, defina un conjunto
organizar de indicadores de riesgo que permitan la rápida identificación y
seguimiento de los riesgos actuales y las tendencias de riesgo.

245
Gestión Alinear, planificar y APO12 Riesgo gestionado APO12.03 Mantener un perfil de riesgo. 7. Capturar información sobre eventos de riesgo de I&T que se han
organizar materializado para su inclusión en el perfil de riesgo de TI de la
empresa.

Gestión Alinear, planificar y APO12 Riesgo gestionado APO12.04 Riesgo articulado. 1. Informar los resultados del análisis de riesgos a todas las partes
organizar interesadas afectadas en términos y formatos útiles para respaldar
las decisiones empresariales. Siempre que sea posible, incluya
probabilidades y rangos de pérdidas o ganancias junto con los niveles
de confianza, para permitir que la administración equilibre el riesgo y
la rentabilidad.
Gestión Alinear, planificar y APO12 Riesgo gestionado APO12.04 Riesgo articulado. 2. Proporcionar a los tomadores de decisiones una comprensión del
organizar peor de los casos y los escenarios más probables, exposiciones a
pérdidas relacionadas con I&T y reputación significativa,
consideraciones legales y regulatorias, o cualquier otra categoría de
impacto según la taxonomía de riesgo.

Gestión Alinear, planificar y APO12 Riesgo gestionado APO12.04 Riesgo articulado. 3. Informar el perfil de riesgo actual a todos los grupos de interés.
organizar Incluir información sobre la eficacia del proceso de gestión de riesgos,
la eficacia del control, las lagunas, las inconsistencias, las
redundancias, el estado de la remediación y sus impactos en el perfil
de riesgo.

Gestión Alinear, planificar y APO12 Riesgo gestionado APO12.04 Riesgo articulado. 4. De forma periódica, para las áreas con riesgo relativo y paridad de
organizar capacidad de riesgo, identifique oportunidades relacionadas con I&T
que permitan aceptar un mayor riesgo y mejorar el crecimiento y la
rentabilidad.

Gestión Alinear, planificar y APO12 Riesgo gestionado APO12.04 Riesgo articulado. 5. Revisar los resultados de las evaluaciones objetivas de terceros y
organizar las revisiones de auditoría interna y aseguramiento de la calidad.
Inclúyalos en el perfil de riesgo. Revise las brechas identificadas y las
exposiciones a pérdidas relacionadas con I&T para determinar la
necesidad de un análisis de riesgo adicional.

Gestión Alinear, planificar y APO12 Riesgo gestionado APO12.05 Definir una cartera de 1. Mantener un inventario de las actividades de control que existen
organizar acciones de gestión de para mitigar el riesgo y que permiten asumir el riesgo de acuerdo con
riesgos. el apetito y la tolerancia al riesgo. Clasifique las actividades de control
y asignelas a escenarios de riesgo de I&T específicos y agregaciones
de escenarios de riesgo de I&T.

246
Gestión Alinear, planificar y APO12 Riesgo gestionado APO12.05 Definir una cartera de 2. Determinar si cada entidad organizacional monitorea el riesgo y
organizar acciones de gestión de acepta la responsabilidad de operar dentro de sus niveles de
riesgos. tolerancia individuales y de cartera.

Gestión Alinear, planificar y APO12 Riesgo gestionado APO12.05 Definir una cartera de 3. Definir un conjunto equilibrado de propuestas de proyectos
organizar acciones de gestión de diseñadas para reducir el riesgo y / o proyectos que permitan
riesgos. oportunidades empresariales estratégicas, considerando costos,
beneficios, efecto sobre el perfil de riesgo actual y la normativa.

Gestión Alinear, planificar y APO12 Riesgo gestionado APO12.06 Responda al riesgo. 1. Prepare, mantenga y pruebe planes que documenten los pasos
organizar específicos a seguir cuando un evento de riesgo pueda causar un
incidente operativo o de desarrollo significativo con un impacto
comercial grave. Asegúrese de que los planes incluyan vías de
escalada en toda la empresa.

Gestión Alinear, planificar y APO12 Riesgo gestionado APO12.06 Responda al riesgo. 2. Aplicar el plan de respuesta apropiado para minimizar el impacto
organizar cuando ocurren incidentes de riesgo.

Gestión Alinear, planificar y APO12 Riesgo gestionado APO12.06 Responda al riesgo. 3. Categorice los incidentes y compare las exposiciones a pérdidas
organizar relacionadas con I&T con los umbrales de tolerancia al riesgo.
Comunique los impactos comerciales a los tomadores de decisiones
como parte de los informes y actualice el perfil de riesgo.

Gestión Alinear, planificar y APO12 Riesgo gestionado APO12.06 Responda al riesgo. 4. Examinar las pérdidas / eventos adversos pasados ​y las
organizar oportunidades perdidas y determinar las causas fundamentales.

Gestión Alinear, planificar y APO12 Riesgo gestionado APO12.06 Responda al riesgo. 5. Comunicar la causa raíz, los requisitos adicionales de respuesta al
organizar riesgo y las mejoras del proceso a los tomadores de decisiones
apropiados. Asegúrese de que la causa, los requisitos de respuesta y
la mejora del proceso se incluyan en los procesos de gobernanza de
riesgos.

247
Gestión Alinear, planificar y APO13 Seguridad gestionada APO13.01 Establecer y mantener un 1. Definir el alcance y los límites del sistema de gestión de seguridad
organizar sistema de gestión de de la información (SGSI) en términos de las características de la
seguridad de la información empresa, la organización, su ubicación, activos y tecnología. Incluya
(SGSI). detalles y justificación de las exclusiones del alcance.

Gestión Alinear, planificar y APO13 Seguridad gestionada APO13.01 Establecer y mantener un 2. Definir un SGSI de acuerdo con la política empresarial y el contexto
organizar sistema de gestión de en el que opera la empresa.
seguridad de la información
(SGSI).

Gestión Alinear, planificar y APO13 Seguridad gestionada APO13.01 Establecer y mantener un 3. Alinear el SGSI con el enfoque empresarial general para la gestión
organizar sistema de gestión de de la seguridad.
seguridad de la información
(SGSI).

Gestión Alinear, planificar y APO13 Seguridad gestionada APO13.01 Establecer y mantener un 4. Obtener la autorización de la gerencia para implementar y operar o
organizar sistema de gestión de cambiar el SGSI.
seguridad de la información
(SGSI).

Gestión Alinear, planificar y APO13 Seguridad gestionada APO13.01 Establecer y mantener un 5. Preparar y mantener una declaración de aplicabilidad que describa
organizar sistema de gestión de el alcance del SGSI.
seguridad de la información
(SGSI).

Gestión Alinear, planificar y APO13 Seguridad gestionada APO13.01 Establecer y mantener un 6. Definir y comunicar las funciones y responsabilidades de gestión de
organizar sistema de gestión de la seguridad de la información.
seguridad de la información
(SGSI).

Gestión Alinear, planificar y APO13 Seguridad gestionada APO13.01 Establecer y mantener un 7. Comunicar el enfoque SGSI.
organizar sistema de gestión de
seguridad de la información
(SGSI).

248
Gestión Alinear, planificar y APO13 Seguridad gestionada APO13.02 Definir y administrar un plan 1. Formular y mantener un plan de tratamiento de riesgos de
organizar de tratamiento de riesgos de seguridad de la información alineado con el objetivo estratégico y la
privacidad y seguridad de la arquitectura empresarial. Asegúrese de que el plan identifique las
información. prácticas de gestión y las soluciones de seguridad adecuadas y
óptimas, con los recursos asociados, las responsabilidades y las
prioridades para gestionar los riesgos de seguridad de la información
identificados.
Gestión Alinear, planificar y APO13 Seguridad gestionada APO13.02 Definir y administrar un plan 2. Mantener como parte de la arquitectura empresarial un inventario
organizar de tratamiento de riesgos de de los componentes de la solución que están en su lugar para
privacidad y seguridad de la gestionar los riesgos relacionados con la seguridad.
información.

Gestión Alinear, planificar y APO13 Seguridad gestionada APO13.02 Definir y administrar un plan 3. Desarrollar propuestas para implementar el plan de tratamiento de
organizar de tratamiento de riesgos de riesgos de seguridad de la información, respaldado por casos de
privacidad y seguridad de la negocios adecuados que incluyan la consideración del financiamiento
información. y la asignación de roles y responsabilidades.

Gestión Alinear, planificar y APO13 Seguridad gestionada APO13.02 Definir y administrar un plan 4. Proporcionar información para el diseño y desarrollo de prácticas y
organizar de tratamiento de riesgos de soluciones de gestión seleccionadas del plan de tratamiento de
privacidad y seguridad de la riesgos de seguridad de la información.
información.

Gestión Alinear, planificar y APO13 Seguridad gestionada APO13.02 Definir y administrar un plan 5. Implementar programas de concientización y capacitación en
organizar de tratamiento de riesgos de seguridad y privacidad de la información.
privacidad y seguridad de la
información.

Gestión Alinear, planificar y APO13 Seguridad gestionada APO13.02 Definir y administrar un plan 6. Integrar la planificación, diseño, implementación y monitoreo de
organizar de tratamiento de riesgos de los procedimientos de seguridad y privacidad de la información y
privacidad y seguridad de la otros controles capaces de permitir la pronta prevención, detección
información. de eventos de seguridad y respuesta a incidentes de seguridad.

Gestión Alinear, planificar y APO13 Seguridad gestionada APO13.02 Definir y administrar un plan 7. Definir cómo medir la efectividad de las prácticas de manejo
organizar de tratamiento de riesgos de seleccionadas. Especifique cómo se utilizarán estas mediciones para
privacidad y seguridad de la evaluar la efectividad para producir resultados comparables y
información. reproducibles.

249
Gestión Alinear, planificar y APO13 Seguridad gestionada APO13.03 Monitorear y revisar el 1. Realizar revisiones periódicas de la eficacia del SGSI. Incluya el
organizar sistema de gestión de cumplimiento de la política y los objetivos del SGSI y la revisión de las
seguridad de la información prácticas de seguridad y privacidad.
(SGSI).

Gestión Alinear, planificar y APO13 Seguridad gestionada APO13.03 Monitorear y revisar el 2. Realizar auditorías del SGSI a intervalos planificados.
organizar sistema de gestión de
seguridad de la información
(SGSI).

Gestión Alinear, planificar y APO13 Seguridad gestionada APO13.03 Monitorear y revisar el 3. Llevar a cabo una revisión de la gestión del SGSI de forma regular
organizar sistema de gestión de para garantizar que el alcance sigue siendo adecuado y se identifican
seguridad de la información las mejoras en el proceso del SGSI.
(SGSI).

Gestión Alinear, planificar y APO13 Seguridad gestionada APO13.03 Monitorear y revisar el 4. Registre las acciones y eventos que podrían tener un impacto en la
organizar sistema de gestión de efectividad o el desempeño del SGSI.
seguridad de la información
(SGSI).

Gestión Alinear, planificar y APO13 Seguridad gestionada APO13.03 Monitorear y revisar el 5. Proporcionar información para el mantenimiento de los planes de
organizar sistema de gestión de seguridad para tener en cuenta los resultados de las actividades de
seguridad de la información seguimiento y revisión.
(SGSI).

Gestión Alinear, planificar y APO14 Datos gestionados APO14.01 Definir y comunicar la 1. Establecer una función de gestión de datos con la responsabilidad
organizar estrategia de gestión de de gestionar las actividades que apoyan los objetivos de la gestión de
datos de la organización y los datos.
roles y responsabilidades.

Gestión Alinear, planificar y APO14 Datos gestionados APO14.01 Definir y comunicar la 2. Especificar roles y responsabilidades para respaldar la gestión de
organizar estrategia de gestión de datos y la interacción entre el gobierno y la función de gestión de
datos de la organización y los datos.
roles y responsabilidades.

250
Gestión Alinear, planificar y APO14 Datos gestionados APO14.01 Definir y comunicar la 3. Asegurarse de que el negocio y la tecnología desarrollen en
organizar estrategia de gestión de colaboración la estrategia de gestión de datos de la organización.
datos de la organización y los Asegúrese de que los objetivos, las prioridades y el alcance de la
roles y responsabilidades. gestión de datos reflejen los objetivos de la empresa, sean
coherentes con las políticas y normativas de gestión de datos y estén
aprobados por todas las partes interesadas.
Gestión Alinear, planificar y APO14 Datos gestionados APO14.01 Definir y comunicar la 4. Comunicar los objetivos, las prioridades y el alcance de la gestión
organizar estrategia de gestión de de datos y ajustarlos según sea necesario, basándose en los
datos de la organización y los comentarios.
roles y responsabilidades.

Gestión Alinear, planificar y APO14 Datos gestionados APO14.01 Definir y comunicar la 5. Utilice métricas para evaluar y monitorear el logro de objetivos
organizar estrategia de gestión de para la gestión de datos.
datos de la organización y los
roles y responsabilidades.

Gestión Alinear, planificar y APO14 Datos gestionados APO14.01 Definir y comunicar la 6. Monitorear el plan de secuencia para la implementación de la
organizar estrategia de gestión de estrategia de gestión de datos. Actualícelo según sea necesario,
datos de la organización y los según las revisiones de progreso.
roles y responsabilidades.

Gestión Alinear, planificar y APO14 Datos gestionados APO14.01 Definir y comunicar la 7. Utilizar técnicas estadísticas y otras técnicas cuantitativas para
organizar estrategia de gestión de evaluar la eficacia de los objetivos estratégicos de gestión de datos
datos de la organización y los para lograr los objetivos comerciales. Realice las modificaciones
roles y responsabilidades. necesarias, según las métricas.

Gestión Alinear, planificar y APO14 Datos gestionados APO14.01 Definir y comunicar la 8. Asegúrese de que la organización investigue los procesos
organizar estrategia de gestión de comerciales innovadores y los requisitos reglamentarios emergentes
datos de la organización y los para garantizar que el programa de gestión de datos sea compatible
roles y responsabilidades. con las necesidades comerciales futuras.

Gestión Alinear, planificar y APO14 Datos gestionados APO14.01 Definir y comunicar la 9. Hacer contribuciones a las mejores prácticas de la industria para el
organizar estrategia de gestión de desarrollo e implementación de estrategias de gestión de datos.
datos de la organización y los
roles y responsabilidades.

251
Gestión Alinear, planificar y APO14 Datos gestionados APO14.02 Defina y mantenga un 1. Asegúrese de que los términos comerciales estándar estén
organizar glosario empresarial fácilmente disponibles y se comuniquen a las partes interesadas
coherente. relevantes.

Gestión Alinear, planificar y APO14 Datos gestionados APO14.02 Defina y mantenga un 2. Asegúrese de que cada término comercial agregado al glosario
organizar glosario empresarial comercial tenga un nombre y una definición únicos.
coherente.

Gestión Alinear, planificar y APO14 Datos gestionados APO14.02 Defina y mantenga un 3. Utilice términos y definiciones comerciales estándar de la industria,
organizar glosario empresarial según corresponda, en el glosario comercial.
coherente.

Gestión Alinear, planificar y APO14 Datos gestionados APO14.02 Defina y mantenga un 4. Establecer, documentar y seguir un proceso para definir,
organizar glosario empresarial administrar, usar y mantener el glosario empresarial. Por ejemplo, las
coherente. nuevas iniciativas deben aplicar términos comerciales estándar como
parte del proceso de definición de requisitos de datos para garantizar
la coherencia del lenguaje. Esto ayudará a lograr la comparabilidad
del contenido y facilitará el intercambio de datos en toda la
organización.
Gestión Alinear, planificar y APO14 Datos gestionados APO14.02 Defina y mantenga un 5. Asegúrese de que los nuevos esfuerzos de desarrollo, integración
organizar glosario empresarial de datos y consolidación de datos apliquen términos comerciales
coherente. estándar como parte del proceso de definición de requisitos de datos.

Gestión Alinear, planificar y APO14 Datos gestionados APO14.02 Defina y mantenga un 6. Integre el glosario empresarial en el repositorio de metadatos de la
organizar glosario empresarial organización, con los permisos de acceso adecuados.
coherente.

Gestión Alinear, planificar y APO14 Datos gestionados APO14.03 Establecer los procesos y la 1. Establecer y seguir un proceso de gestión de metadatos.
organizar infraestructura para la
gestión de metadatos.

252
Gestión Alinear, planificar y APO14 Datos gestionados APO14.03 Establecer los procesos y la 2. Asegúrese de que la documentación de metadatos capture las
organizar infraestructura para la interdependencias de datos.
gestión de metadatos.

Gestión Alinear, planificar y APO14 Datos gestionados APO14.03 Establecer los procesos y la 3. Establecer y seguir categorías, propiedades y estándares de
organizar infraestructura para la metadatos.
gestión de metadatos.

Gestión Alinear, planificar y APO14 Datos gestionados APO14.03 Establecer los procesos y la 4. Desarrollar y utilizar metadatos para realizar análisis de impacto
organizar infraestructura para la sobre posibles cambios en los datos.
gestión de metadatos.

Gestión Alinear, planificar y APO14 Datos gestionados APO14.03 Establecer los procesos y la 5. Complete el repositorio de metadatos de la organización con
organizar infraestructura para la categorías y clasificaciones adicionales de metadatos de acuerdo con
gestión de metadatos. un plan de implementación por fases. Vincúlelo a capas de
arquitectura.

Gestión Alinear, planificar y APO14 Datos gestionados APO14.03 Establecer los procesos y la 6. Valide los metadatos y cualquier cambio en los metadatos con
organizar infraestructura para la respecto a la arquitectura existente.
gestión de metadatos.

Gestión Alinear, planificar y APO14 Datos gestionados APO14.03 Establecer los procesos y la 7. Asegúrese de que la organización haya desarrollado un
organizar infraestructura para la metamodelo integrado implementado en todas las plataformas.
gestión de metadatos.

Gestión Alinear, planificar y APO14 Datos gestionados APO14.03 Establecer los procesos y la 8. Asegúrese de que los tipos de metadatos y las definiciones de
organizar infraestructura para la datos respalden prácticas coherentes de importación, suscripción y
gestión de metadatos. consumo.

253
Gestión Alinear, planificar y APO14 Datos gestionados APO14.03 Establecer los procesos y la 9. Utilice medidas y métricas para evaluar la precisión y adopción de
organizar infraestructura para la metadatos.
gestión de metadatos.

Gestión Alinear, planificar y APO14 Datos gestionados APO14.03 Establecer los procesos y la 10. Evaluar los cambios de datos planificados para determinar el
organizar infraestructura para la impacto en el repositorio de metadatos. Mejore continuamente los
gestión de metadatos. procesos de captura, cambio y refinamiento de metadatos.

Gestión Alinear, planificar y APO14 Datos gestionados APO14.04 Defina una estrategia de 1. Definir una estrategia de calidad de datos en colaboración con las
organizar calidad de datos. partes interesadas del negocio y la tecnología, aprobada por la
dirección ejecutiva y gestionada. La estrategia debería facilitar el paso
del estado actual al objetivo. También debe alinearse explícitamente
con los objetivos comerciales y la estrategia de gestión de datos de la
organización.
Gestión Alinear, planificar y APO14 Datos gestionados APO14.04 Defina una estrategia de 2. Asegurarse de que la estrategia de calidad de los datos se siga en
organizar calidad de datos. toda la organización y esté acompañada de las políticas, los procesos
y las directrices correspondientes.

Gestión Alinear, planificar y APO14 Datos gestionados APO14.04 Defina una estrategia de 3. Anclar las políticas, los procesos y la gobernanza contenidos en la
organizar calidad de datos. estrategia de calidad de los datos a lo largo del ciclo de vida de los
datos. Ordenar los procesos correspondientes en la metodología del
ciclo de vida del desarrollo del sistema.

Gestión Alinear, planificar y APO14 Datos gestionados APO14.04 Defina una estrategia de 4. Desarrollar, monitorear y mantener un plan de secuencia para los
organizar calidad de datos. esfuerzos de mejora de la calidad de los datos en toda la
organización.

Gestión Alinear, planificar y APO14 Datos gestionados APO14.04 Defina una estrategia de 5. Para evaluar el progreso, supervise los planes para cumplir con las
organizar calidad de datos. metas y objetivos de la estrategia de calidad de datos.

254
Gestión Alinear, planificar y APO14 Datos gestionados APO14.04 Defina una estrategia de 6. Recopile sistemáticamente informes de las partes interesadas
organizar calidad de datos. sobre problemas de calidad de los datos. Incluya sus expectativas
para mejorar la calidad de los datos en la estrategia de calidad de los
datos. Mídelos y monitorízalos.

Gestión Alinear, planificar y APO14 Datos gestionados APO14.05 Establecer metodologías, 1. Definir y estandarizar metodologías, procesos, prácticas,
organizar procesos y herramientas de herramientas y plantillas de resultados de elaboración de perfiles de
elaboración de perfiles de datos. Asegúrese de que los procesos de creación de perfiles sean
datos. reutilizables y aprovechados en varios almacenes de datos y
repositorios de datos compartidos.

Gestión Alinear, planificar y APO14 Datos gestionados APO14.05 Establecer metodologías, 2. Involucrar la gestión de datos para identificar conjuntos de datos
organizar procesos y herramientas de compartidos centrales que se perfilan y monitorean regularmente.
elaboración de perfiles de
datos.

Gestión Alinear, planificar y APO14 Datos gestionados APO14.05 Establecer metodologías, 3. En los esfuerzos de elaboración de perfiles de datos, incluya la
organizar procesos y herramientas de evaluación de la conformidad del contenido de los datos con sus
elaboración de perfiles de metadatos y estándares aprobados.
datos.

Gestión Alinear, planificar y APO14 Datos gestionados APO14.05 Establecer metodologías, 4. Durante una actividad de elaboración de perfiles de datos,
organizar procesos y herramientas de compare los problemas reales con los problemas pronosticados
elaboración de perfiles de estadísticamente, en función de los resultados históricos de la
datos. elaboración de perfiles.

Gestión Alinear, planificar y APO14 Datos gestionados APO14.05 Establecer metodologías, 5. Asegurarse de que los resultados se almacenen de forma
organizar procesos y herramientas de centralizada, se controlen y analicen sistemáticamente con respecto
elaboración de perfiles de a las estadísticas y métricas. Proporcione la información resultante
datos. sobre las mejoras en la calidad de los datos a lo largo del tiempo.

Gestión Alinear, planificar y APO14 Datos gestionados APO14.05 Establecer metodologías, 6. Cree informes de creación de perfiles automatizados en tiempo
organizar procesos y herramientas de real o casi en tiempo real para todas las fuentes de datos y
elaboración de perfiles de repositorios críticos.
datos.

255
Gestión Alinear, planificar y APO14 Datos gestionados APO14.06 Garantizar un enfoque de 1. Realizar periódicamente evaluaciones de la calidad de los datos, de
organizar evaluación de la calidad de acuerdo con una frecuencia aprobada por la política de evaluación de
los datos. la calidad de los datos. Asegúrese de que la gobernanza de los datos
determine el conjunto clave de atributos por área temática para las
evaluaciones de la calidad de los datos.

Gestión Alinear, planificar y APO14 Datos gestionados APO14.06 Garantizar un enfoque de 2. Incluir recomendaciones para la remediación, con justificación de
organizar evaluación de la calidad de apoyo, en los resultados de la evaluación de la calidad de los datos.
los datos.

Gestión Alinear, planificar y APO14 Datos gestionados APO14.06 Garantizar un enfoque de 3. Evaluar la calidad de los datos, utilizando umbrales y objetivos
organizar evaluación de la calidad de establecidos para cada dimensión de calidad seleccionada.
los datos.

Gestión Alinear, planificar y APO14 Datos gestionados APO14.06 Garantizar un enfoque de 4. Genere sistemáticamente informes de medición de la calidad de
organizar evaluación de la calidad de los datos, basados ​en la criticidad de los atributos y la volatilidad de
los datos. los datos.

Gestión Alinear, planificar y APO14 Datos gestionados APO14.06 Garantizar un enfoque de 5. Revisar y mejorar continuamente los procesos de evaluación y
organizar evaluación de la calidad de presentación de informes de la calidad de los datos.
los datos.

Gestión Alinear, planificar y APO14 Datos gestionados APO14.07 Defina el enfoque de 1. Establezca y mantenga una política de limpieza de datos.
organizar limpieza de datos.

Gestión Alinear, planificar y APO14 Datos gestionados APO14.07 Defina el enfoque de 2. Mantenga el historial de cambios de datos a través de actividades
organizar limpieza de datos. de limpieza.

256
Gestión Alinear, planificar y APO14 Datos gestionados APO14.07 Defina el enfoque de 3. Establecer métodos para corregir los datos y definir esos métodos
organizar limpieza de datos. dentro de un plan. Los métodos pueden incluir comparación de
múltiples repositorios, verificación con una fuente válida,
verificaciones lógicas, integridad referencial o tolerancia de rango.

Gestión Alinear, planificar y APO14 Datos gestionados APO14.07 Defina el enfoque de 4. En los acuerdos de nivel de servicio, incluya criterios de calidad de
organizar limpieza de datos. datos para responsabilizar a los proveedores de datos de los datos
depurados.

Gestión Alinear, planificar y APO14 Datos gestionados APO14.08 Gestione el ciclo de vida de 1. Mapear y alinear los requisitos de los consumidores y productores
organizar los activos de datos. de datos.

Gestión Alinear, planificar y APO14 Datos gestionados APO14.08 Gestione el ciclo de vida de 2. Defina las asignaciones de procesos comerciales a datos.
organizar los activos de datos. Manténgalos y revíselos periódicamente para verificar su
cumplimiento.

Gestión Alinear, planificar y APO14 Datos gestionados APO14.08 Gestione el ciclo de vida de 3. Siga un proceso definido para acuerdos de colaboración con
organizar los activos de datos. respecto a los datos compartidos y el uso de datos dentro de los
procesos comerciales.

Gestión Alinear, planificar y APO14 Datos gestionados APO14.08 Gestione el ciclo de vida de 4. Implementar flujos de datos y mapas completos del ciclo de vida
organizar los activos de datos. de los datos al proceso para los datos compartidos para cada proceso
comercial importante a nivel organizacional.

Gestión Alinear, planificar y APO14 Datos gestionados APO14.08 Gestione el ciclo de vida de 5. Asegúrese de que los cambios en los conjuntos de datos
organizar los activos de datos. compartidos o los conjuntos de datos de destino para un propósito
comercial específico sean administrados por estructuras de gobierno
de datos, con la participación de las partes interesadas relevantes.

257
Gestión Alinear, planificar y APO14 Datos gestionados APO14.08 Gestione el ciclo de vida de 6. Utilice métricas para expandir la reutilización de datos compartidos
organizar los activos de datos. aprobados y eliminar la redundancia de procesos.

Gestión Alinear, planificar y APO14 Datos gestionados APO14.09 Apoyar el archivo y la 1. Asegúrese de que las políticas exijan la gestión del historial de
organizar retención de datos. datos, incluidos los requisitos de retención, destrucción y
seguimiento de auditoría.

Gestión Alinear, planificar y APO14 Datos gestionados APO14.09 Apoyar el archivo y la 2. Asegurar la existencia de un método definido que garantice la
organizar retención de datos. accesibilidad a los datos históricos necesarios para respaldar las
necesidades comerciales.

Gestión Alinear, planificar y APO14 Datos gestionados APO14.09 Apoyar el archivo y la 3. Utilizar políticas y procesos para controlar el acceso, la transmisión
organizar retención de datos. y las modificaciones a los datos históricos y archivados.

Gestión Alinear, planificar y APO14 Datos gestionados APO14.09 Apoyar el archivo y la 4. Asegúrese de que la organización tenga un depósito de
organizar retención de datos. almacenamiento de datos prescrito que proporcione acceso a datos
históricos para satisfacer las necesidades de análisis que respaldan
los procesos comerciales.

Gestión Alinear, planificar y APO14 Datos gestionados APO14.10 Gestione los arreglos de 1. Defina un cronograma para garantizar la copia de seguridad
organizar copia de seguridad y correcta de todos los datos críticos, teniendo en cuenta la frecuencia,
restauración de datos. el tipo de copia de seguridad, la seguridad, la privacidad y otros
criterios.

Gestión Alinear, planificar y APO14 Datos gestionados APO14.10 Gestione los arreglos de 2. Defina los requisitos para el almacenamiento en el sitio y fuera del
organizar copia de seguridad y sitio de los datos de respaldo, teniendo en cuenta el volumen, la
restauración de datos. capacidad y el período de retención, en consonancia con los
requisitos comerciales.

258
Gestión Alinear, planificar y APO14 Datos gestionados APO14.10 Gestione los arreglos de 3. Establezca un programa de pruebas para los datos de respaldo.
organizar copia de seguridad y Asegúrese de que los datos se puedan restaurar correctamente sin
restauración de datos. afectar drásticamente el negocio.

Gestión Construir, adquirir e BAI01 Programas gestionados BAI01.01 Mantener un enfoque 1. Mantener y hacer cumplir un enfoque estándar para la gestión de
implementar estándar para la gestión de programas, alineado con el entorno específico de la empresa y con
programas. las buenas prácticas basadas en un proceso definido y el uso de la
tecnología adecuada. Asegúrese de que el enfoque cubra el ciclo de
vida completo y las disciplinas a seguir, incluida la gestión del alcance,
los recursos, el riesgo, el costo, la calidad, el tiempo, la comunicación,
la participación de las partes interesadas, las adquisiciones, el control
Gestión Construir, adquirir e BAI01 Programas gestionados BAI01.01 Mantener un enfoque 2.
deEstablecer
cambios, launa oficina dey programas
integración o una
la realización oficina de gestión de
de beneficios.
implementar estándar para la gestión de proyectos (PMO) que mantenga el enfoque estándar para la gestión
programas. de programas y proyectos en toda la organización. La PMO respalda
todos los programas y proyectos mediante la creación y el
mantenimiento de las plantillas de documentación del proyecto
requeridas, brindando capacitación y mejores prácticas para los
gerentes de programas / proyectos, rastreando métricas sobre el uso
Gestión Construir, adquirir e BAI01 Programas gestionados BAI01.01 Mantener un enfoque 3.
deEvaluar las lecciones
las mejores prácticasaprendidas sobredelaproyectos,
para la gestión base del uso
etc.del
Enenfoque
algunos
implementar estándar para la gestión de de gestión
casos, del también
la PMO programapuede
y actualizar
informarel enfoque en consecuencia.
sobre progreso del
programas. programa / proyecto a la alta dirección y / o partes interesadas,
ayudar a priorizar proyectos y garantizar que todos los proyectos
respalden los objetivos comerciales generales de la empresa.

Gestión Construir, adquirir e BAI01 Programas gestionados BAI01.02 Inicie un programa. 1. Acuerde el patrocinio del programa. Nombrar una junta / comité
implementar del programa con miembros que tengan un interés estratégico en el
programa, que sean responsables de la toma de decisiones de
inversión, que se verán afectados significativamente por el programa
y serán necesarios para permitir la implementación del cambio.

Gestión Construir, adquirir e BAI01 Programas gestionados BAI01.02 Inicie un programa. 2. Nombrar un gerente dedicado para el programa, con las
implementar competencias y habilidades adecuadas para administrar el programa
de manera efectiva y eficiente.

Gestión Construir, adquirir e BAI01 Programas gestionados BAI01.02 Inicie un programa. 3. Confirmar el mandato del programa con patrocinadores y partes
implementar interesadas. Articular los objetivos estratégicos del programa, las
estrategias potenciales para la entrega, la mejora y los beneficios que
se esperan, y cómo el programa encaja con otras iniciativas.

259
Gestión Construir, adquirir e BAI01 Programas gestionados BAI01.02 Inicie un programa. 4. Desarrolle un caso de negocio detallado para un programa.
implementar Involucrar a todas las partes interesadas clave para desarrollar y
documentar una comprensión completa de los resultados
empresariales esperados, cómo se medirán, el alcance total de las
iniciativas requeridas, el riesgo involucrado y el impacto en todos los
aspectos de la empresa. Identificar y evaluar cursos de acción
alternativos para lograr los resultados empresariales deseados.
Gestión Construir, adquirir e BAI01 Programas gestionados BAI01.02 Inicie un programa. 5. Desarrollar un plan de realización de beneficios que se gestionará a
implementar lo largo del programa para garantizar que los beneficios planificados
siempre tengan dueños y se logren, sostengan y optimicen.

Gestión Construir, adquirir e BAI01 Programas gestionados BAI01.02 Inicie un programa. 6. Preparar el caso de negocio del programa inicial (conceptual),
implementar proporcionando información esencial para la toma de decisiones con
respecto al propósito, la contribución a los objetivos comerciales, el
valor esperado creado, los plazos, etc. Envíelo para su aprobación.

Gestión Construir, adquirir e BAI01 Programas gestionados BAI01.03 Gestionar la participación de 1. Planificar cómo se identificarán, analizarán, involucrarán y
implementar las partes interesadas. gestionarán las partes interesadas dentro y fuera de la empresa a lo
largo del ciclo de vida de los proyectos.

Gestión Construir, adquirir e BAI01 Programas gestionados BAI01.03 Gestionar la participación de 2. Identificar, involucrar y gestionar a las partes interesadas mediante
implementar las partes interesadas. el establecimiento y mantenimiento de niveles adecuados de
coordinación, comunicación y enlace para garantizar que participen
en el programa.

Gestión Construir, adquirir e BAI01 Programas gestionados BAI01.03 Gestionar la participación de 3. Analizar los intereses y requisitos de las partes interesadas.
implementar las partes interesadas.

Gestión Construir, adquirir e BAI01 Programas gestionados BAI01.03 Gestionar la participación de 4. Siga un proceso definido para acuerdos de colaboración con
implementar las partes interesadas. respecto a los datos compartidos y el uso de datos dentro de los
procesos comerciales.

260
Gestión Construir, adquirir e BAI01 Programas gestionados BAI01.04 Desarrollar y mantener el 1. Especifique el financiamiento, el costo, el cronograma y las
implementar plan del programa. interdependencias de múltiples proyectos.

Gestión Construir, adquirir e BAI01 Programas gestionados BAI01.04 Desarrollar y mantener el 2. Definir y documentar el plan del programa que cubra todos los
implementar plan del programa. proyectos. Incluya lo que se necesita para generar cambios en la
empresa; su propósito, misión, visión, valores, cultura, productos y
servicios; Procesos de negocios; habilidades y números de personas;
relaciones con stakeholders, clientes, proveedores y otros;
necesidades tecnológicas; y la reestructuración organizacional
requerida para lograr los resultados empresariales esperados del
Gestión Construir, adquirir e BAI01 Programas gestionados BAI01.04 Desarrollar y mantener el 3. Asegurarse de que haya una comunicación eficaz de los planes del
programa.
implementar plan del programa. programa y los informes de progreso entre todos los proyectos y con
el programa en general. Asegúrese de que los cambios realizados en
los planes individuales se reflejen en los otros planes del programa
empresarial.

Gestión Construir, adquirir e BAI01 Programas gestionados BAI01.04 Desarrollar y mantener el 4. Mantener el plan del programa para asegurarse de que esté
implementar plan del programa. actualizado y refleje la alineación con los objetivos estratégicos
actuales, el progreso real y los cambios materiales en los resultados,
beneficios, costos y riesgos. Haga que la empresa impulse los
objetivos y priorice el trabajo en todo momento para garantizar que
el programa, tal como se diseñó, cumplirá con los requisitos de la
empresa. Revise el progreso de los proyectos individuales y ajuste los
Gestión Construir, adquirir e BAI01 Programas gestionados BAI01.04 Desarrollar y mantener el 5. A lo largo
proyectos de lasea
según vidanecesario
económica delcumplir
para programa, actualice
con los hitos yy mantenga
implementar plan del programa. el caso de negocios y un
lanzamientos programados. registro de beneficios para identificar y
definir los beneficios clave que surgen de emprender el programa.

Gestión Construir, adquirir e BAI01 Programas gestionados BAI01.04 Desarrollar y mantener el 6. Preparar un presupuesto del programa que refleje todos los costos
implementar plan del programa. del ciclo de vida económico y los beneficios financieros y no
financieros asociados.

Gestión Construir, adquirir e BAI01 Programas gestionados BAI01.05 Inicie y ejecute el programa. 1. Planificar, proporcionar recursos y encargar los proyectos
implementar necesarios para lograr los resultados del programa, con base en la
revisión de fondos y las aprobaciones en cada revisión de etapa.

261
Gestión Construir, adquirir e BAI01 Programas gestionados BAI01.05 Inicie y ejecute el programa. 2. Gestionar cada programa o proyecto para garantizar que las
implementar actividades de toma de decisiones y entrega se centren en el valor
mediante el logro de beneficios para el negocio y las metas de
manera coherente, abordando el riesgo y logrando los requisitos de
las partes interesadas.

Gestión Construir, adquirir e BAI01 Programas gestionados BAI01.05 Inicie y ejecute el programa. 3. Establecer etapas acordadas del proceso de desarrollo (puntos de
implementar control de desarrollo). Al final de cada etapa, facilite discusiones
formales de los criterios aprobados con las partes interesadas.
Después de completar con éxito las revisiones de funcionalidad,
desempeño y calidad, y antes de finalizar las actividades de la etapa,
obtenga la aprobación formal y la aprobación de todas las partes
interesadas y del patrocinador / propietario del proceso comercial.
Gestión Construir, adquirir e BAI01 Programas gestionados BAI01.05 Inicie y ejecute el programa. 4. Emprender un proceso de realización de beneficios a lo largo del
implementar programa para garantizar que los beneficios planificados siempre
tengan propietarios y es probable que se logren, mantengan y
optimicen. Supervise la entrega de beneficios e informe con respecto
a los objetivos de rendimiento en la etapa-puerta o en las revisiones
de iteración y lanzamiento. Realice un análisis de la causa raíz de las
desviaciones del plan e identifique y aborde las acciones correctivas
Gestión Construir, adquirir e BAI01 Programas gestionados BAI01.05 Inicie y ejecute el programa. 5. Planifique auditorías, revisiones de calidad, revisiones de fase /
necesarias.
implementar etapa-gate y revisiones de los beneficios obtenidos.

Gestión Construir, adquirir e BAI01 Programas gestionados BAI01.06 Monitorear, controlar e 1. Actualizar las carteras operativas de I&T para reflejar los cambios
implementar informar sobre los resultados que resulten del programa en las carteras de servicios, activos o
del programa. recursos de I&T relevantes.

Gestión Construir, adquirir e BAI01 Programas gestionados BAI01.06 Monitorear, controlar e 2. Supervisar y controlar el desempeño del programa general y los
implementar informar sobre los resultados proyectos dentro del programa, incluidas las contribuciones del
del programa. negocio y de TI a los proyectos. Informe de manera oportuna,
completa y precisa. Los informes pueden incluir cronograma,
financiamiento, funcionalidad, satisfacción del usuario, controles
internos y aceptación de responsabilidades.
Gestión Construir, adquirir e BAI01 Programas gestionados BAI01.06 Monitorear, controlar e 3. Monitorear y controlar el desempeño en comparación con las
implementar informar sobre los resultados estrategias y los objetivos de la empresa y de I&T. Informar a la
del programa. gerencia sobre los cambios corporativos implementados, los
beneficios obtenidos contra el plan de realización de beneficios y la
idoneidad del proceso de realización de beneficios.

262
Gestión Construir, adquirir e BAI01 Programas gestionados BAI01.06 Monitorear, controlar e 4. Monitorear y controlar los servicios, activos y recursos de TI
implementar informar sobre los resultados creados o modificados como resultado del programa. Anote las
del programa. fechas de implementación y puesta en servicio. Informar a la gerencia
sobre los niveles de desempeño, la prestación sostenida de servicios
y la contribución al valor.

Gestión Construir, adquirir e BAI01 Programas gestionados BAI01.06 Monitorear, controlar e 5. Gestionar el desempeño del programa contra criterios clave (por
implementar informar sobre los resultados ejemplo, alcance, cronograma, calidad, realización de beneficios,
del programa. costos, riesgo, velocidad), identificar desviaciones del plan y tomar
medidas correctivas oportunas cuando sea necesario.

Gestión Construir, adquirir e BAI01 Programas gestionados BAI01.06 Monitorear, controlar e 6. Monitorear el desempeño del proyecto individual relacionado con
implementar informar sobre los resultados la entrega de las capacidades esperadas, cronograma, realización de
del programa. beneficios, costos, riesgo u otra métrica. Identificar los impactos
potenciales en el desempeño del programa y tomar las medidas
correctivas oportunas cuando sea necesario.

Gestión Construir, adquirir e BAI01 Programas gestionados BAI01.06 Monitorear, controlar e 7. De acuerdo con los criterios de revisión de etapa-puerta, liberación
implementar informar sobre los resultados o iteración, realizar revisiones para informar sobre el progreso del
del programa. programa de modo que la administración pueda tomar decisiones de
pasar / no-pasar o de ajuste y aprobar nuevos fondos hasta la
siguiente etapa-puerta, lanzamiento o iteración.

Gestión Construir, adquirir e BAI01 Programas gestionados BAI01.07 Gestionar la calidad del 1. Identificar las tareas y prácticas de aseguramiento necesarias para
implementar programa. respaldar la acreditación de sistemas nuevos o modificados durante
la planificación del programa e incluirlas en los planes integrados.
Asegúrese de que las tareas brinden garantía de que los controles
internos y las soluciones de seguridad / privacidad cumplen los
requisitos definidos.
Gestión Construir, adquirir e BAI01 Programas gestionados BAI01.07 Gestionar la calidad del 2. Proporcionar garantía de calidad para los entregables del
implementar programa. programa, identificar la propiedad y las responsabilidades, los
procesos de revisión de la calidad, los criterios de éxito y las métricas
de desempeño.

Gestión Construir, adquirir e BAI01 Programas gestionados BAI01.07 Gestionar la calidad del 3. Definir los requisitos para la validación y verificación
implementar programa. independientes de la calidad de los entregables en el plan.

263
Gestión Construir, adquirir e BAI01 Programas gestionados BAI01.07 Gestionar la calidad del 4. Realizar actividades de aseguramiento y control de la calidad de
implementar programa. acuerdo con el plan de gestión de la calidad y el SGC.

Gestión Construir, adquirir e BAI01 Programas gestionados BAI01.08 Gestionar el riesgo del 1. Establecer un enfoque formal de gestión de riesgos alineado con el
implementar programa. marco de gestión de riesgos empresariales (ERM). Asegúrese de que
el enfoque incluya identificar, analizar, responder, mitigar,
monitorear y controlar el riesgo.

Gestión Construir, adquirir e BAI01 Programas gestionados BAI01.08 Gestionar el riesgo del 2. Asignar a personal debidamente capacitado la responsabilidad de
implementar programa. ejecutar el proceso de gestión de riesgos de la empresa dentro de un
programa y asegurarse de que esto se incorpore en las prácticas de
desarrollo de la solución. Considere asignar este rol a un equipo
independiente, especialmente si se requiere un punto de vista
objetivo o si un programa se considera crítico.
Gestión Construir, adquirir e BAI01 Programas gestionados BAI01.08 Gestionar el riesgo del 3. Realizar la evaluación de riesgos de identificación y cuantificación
implementar programa. de riesgos de forma continua a lo largo del programa. Gestionar y
comunicar el riesgo de forma adecuada dentro de la estructura de
gobierno del programa.

Gestión Construir, adquirir e BAI01 Programas gestionados BAI01.08 Gestionar el riesgo del 4. Identificar a los propietarios de las acciones para evitar, aceptar o
implementar programa. mitigar el riesgo.

Gestión Construir, adquirir e BAI01 Programas gestionados BAI01.09 Cerrar un programa. 1. Llevar el programa a un cierre ordenado, incluida la aprobación
implementar formal, la disolución de la organización del programa y la función de
apoyo, la validación de los entregables y la comunicación de la
jubilación.

Gestión Construir, adquirir e BAI01 Programas gestionados BAI01.09 Cerrar un programa. 2. Revisar y documentar las lecciones aprendidas. Una vez que se
implementar retire el programa, elimínelo de la cartera de inversiones activa.
Traslade las capacidades resultantes a una cartera de activos
operativos para garantizar que el valor se siga creando y
manteniendo.

264
Gestión Construir, adquirir e BAI01 Programas gestionados BAI01.09 Cerrar un programa. 3. Establezca la responsabilidad y los procesos para garantizar que la
implementar empresa continúe optimizando el valor del servicio, activo o recursos.
Es posible que se requieran inversiones adicionales en algún
momento futuro para garantizar que esto ocurra.

Gestión Construir, adquirir e BAI02 Definición de requisitos BAI02.01 Definir y mantener los 1. Asegurarse de que todos los requisitos de las partes interesadas,
implementar gestionados requisitos técnicos y incluidos los criterios de aceptación relevantes, se consideren,
funcionales del negocio. capturen, prioricen y registren de una manera que sea comprensible
para todas las partes interesadas, reconociendo que los requisitos
pueden cambiar y serán más detallados a medida que se
implementen.
Gestión Construir, adquirir e BAI02 Definición de requisitos BAI02.01 Definir y mantener los 2. Expresar los requisitos comerciales en términos de cómo se debe
implementar gestionados requisitos técnicos y abordar la brecha entre las capacidades comerciales actuales y
funcionales del negocio. deseadas y cómo el usuario (empleado, cliente, etc.) interactuará y
utilizará la solución.

Gestión Construir, adquirir e BAI02 Definición de requisitos BAI02.01 Definir y mantener los 3. Especificar y priorizar la información, los requisitos funcionales y
implementar gestionados requisitos técnicos y técnicos, con base en el diseño de la experiencia del usuario y los
funcionales del negocio. requisitos confirmados de las partes interesadas.

Gestión Construir, adquirir e BAI02 Definición de requisitos BAI02.01 Definir y mantener los 4. Asegurar que los requisitos cumplan con las políticas y estándares
implementar gestionados requisitos técnicos y de la empresa, la arquitectura empresarial, los planes estratégicos y
funcionales del negocio. tácticos de I&T, los procesos comerciales y de TI internos y externos,
los requisitos de seguridad, los requisitos reglamentarios, las
competencias de las personas, la estructura organizativa, el caso de
negocio y la tecnología habilitadora.
Gestión Construir, adquirir e BAI02 Definición de requisitos BAI02.01 Definir y mantener los 5. Incluir requisitos de control de la información en los procesos
implementar gestionados requisitos técnicos y comerciales, procesos automatizados y entornos de I&T para abordar
funcionales del negocio. el riesgo de la información y cumplir con las leyes, regulaciones y
contratos comerciales.

Gestión Construir, adquirir e BAI02 Definición de requisitos BAI02.01 Definir y mantener los 6. Confirmar la aceptación de los aspectos clave de los requisitos,
implementar gestionados requisitos técnicos y incluidas las reglas empresariales, la experiencia del usuario, los
funcionales del negocio. controles de información, la continuidad del negocio, el
cumplimiento legal y reglamentario, la auditabilidad, la ergonomía, la
operatividad y usabilidad, la seguridad, la confidencialidad y la
documentación de respaldo.

265
Gestión Construir, adquirir e BAI02 Definición de requisitos BAI02.01 Definir y mantener los 7. Realizar un seguimiento y controlar el alcance, los requisitos y los
implementar gestionados requisitos técnicos y cambios a lo largo del ciclo de vida de la solución a medida que
funcionales del negocio. evoluciona la comprensión de la solución.

Gestión Construir, adquirir e BAI02 Definición de requisitos BAI02.01 Definir y mantener los 8. Definir e implementar un procedimiento de definición y
implementar gestionados requisitos técnicos y mantenimiento de requisitos y un repositorio de requisitos que sean
funcionales del negocio. apropiados para el tamaño, complejidad, objetivos y riesgo de la
iniciativa que la empresa está considerando emprender.

Gestión Construir, adquirir e BAI02 Definición de requisitos BAI02.01 Definir y mantener los 9. Valide todos los requisitos a través de enfoques como la revisión
implementar gestionados requisitos técnicos y por pares, la validación de modelos o la creación de prototipos
funcionales del negocio. operativos.

Gestión Construir, adquirir e BAI02 Definición de requisitos BAI02.02 Realizar un estudio de 1. Identificar las acciones necesarias para la adquisición o el
implementar gestionados viabilidad y formular desarrollo de soluciones basadas en la arquitectura empresarial.
alternativas de solución. Tenga en cuenta las limitaciones de alcance y / o tiempo y / o
presupuesto.

Gestión Construir, adquirir e BAI02 Definición de requisitos BAI02.02 Realizar un estudio de 2. Revise las soluciones alternativas con todas las partes interesadas.
implementar gestionados viabilidad y formular Seleccione el más apropiado en función de los criterios de viabilidad,
alternativas de solución. incluidos el riesgo y el costo.

Gestión Construir, adquirir e BAI02 Definición de requisitos BAI02.02 Realizar un estudio de 3. Traducir el curso de acción preferido en un plan de adquisición /
implementar gestionados viabilidad y formular desarrollo de alto nivel que identifique los recursos que se utilizarán y
alternativas de solución. las etapas que requieren una decisión de ir / no ir.

Gestión Construir, adquirir e BAI02 Definición de requisitos BAI02.02 Realizar un estudio de 4. Definir y ejecutar un estudio de viabilidad, piloto o solución básica
implementar gestionados viabilidad y formular de trabajo que describa de forma clara y concisa las soluciones
alternativas de solución. alternativas y mida cómo estas satisfarían los requisitos comerciales y
funcionales. Incluir una evaluación de su viabilidad tecnológica y
económica.

266
Gestión Construir, adquirir e BAI02 Definición de requisitos BAI02.03 Gestionar el riesgo de 1. Identificar el riesgo de requisitos técnicos, funcionales y de calidad
implementar gestionados requisitos. (debido, por ejemplo, a la falta de participación del usuario,
expectativas poco realistas, desarrolladores que agregan
funcionalidades innecesarias, suposiciones poco realistas, etc.).

Gestión Construir, adquirir e BAI02 Definición de requisitos BAI02.03 Gestionar el riesgo de 2. Determinar la respuesta de riesgo adecuada a los requisitos de
implementar gestionados requisitos. riesgo.

Gestión Construir, adquirir e BAI02 Definición de requisitos BAI02.03 Gestionar el riesgo de 3. Analizar el riesgo identificado estimando la probabilidad y el
implementar gestionados requisitos. impacto en el presupuesto y el cronograma. Evaluar el impacto
presupuestario de las acciones apropiadas de respuesta al riesgo.

Gestión Construir, adquirir e BAI02 Definición de requisitos BAI02.04 Obtenga aprobación de 1. Asegúrese de que el patrocinador de la empresa o el propietario
implementar gestionados requisitos y soluciones. del producto tome la decisión final de la solución, el enfoque de
adquisición y el diseño de alto nivel, de acuerdo con el caso de
negocio. Obtenga las aprobaciones necesarias de las partes
interesadas afectadas (p. Ej., Propietario del proceso comercial,
arquitecto empresarial, gerente de operaciones, oficial de seguridad,
privacidad).
Gestión Construir, adquirir e BAI02 Definición de requisitos BAI02.04 Obtenga aprobación de 2. Obtenga revisiones de calidad durante y al final de cada etapa,
implementar gestionados requisitos y soluciones. iteración o lanzamiento clave del proyecto. Evalúe los resultados con
respecto a los criterios de aceptación originales. Haga que los
patrocinadores comerciales y otras partes interesadas firmen cada
revisión de calidad exitosa.

Gestión Construir, adquirir e BAI03 Identificación y BAI03.01 Diseñar soluciones de alto 1. Establecer una especificación de diseño de alto nivel que traduzca
implementar construcción de soluciones nivel. la solución propuesta en un diseño de alto nivel para procesos
administradas comerciales, servicios de soporte, flujos de trabajo, aplicaciones,
infraestructura y repositorios de información capaces de cumplir con
los requisitos de arquitectura empresarial y comercial.

Gestión Construir, adquirir e BAI03 Identificación y BAI03.01 Diseñar soluciones de alto 2. Involucrar a diseñadores de experiencia de usuario y especialistas
implementar construcción de soluciones nivel. de TI debidamente calificados y experimentados en el proceso de
administradas diseño para asegurarse de que el diseño proporcione una solución
que utilice de manera óptima las capacidades de I&T propuestas para
mejorar el proceso comercial.

267
Gestión Construir, adquirir e BAI03 Identificación y BAI03.01 Diseñar soluciones de alto 3. Cree un diseño que cumpla con los estándares de diseño de la
implementar construcción de soluciones nivel. organización. Asegúrese de que mantiene un nivel de detalle
administradas apropiado para la solución y el método de desarrollo y coherente con
las estrategias comerciales, empresariales y de I&T, la arquitectura
empresarial, el plan de seguridad / privacidad y las leyes,
regulaciones y contratos aplicables.
Gestión Construir, adquirir e BAI03 Identificación y BAI03.01 Diseñar soluciones de alto 4. Después de la aprobación del aseguramiento de la calidad,
implementar construcción de soluciones nivel. presente el diseño final de alto nivel a las partes interesadas del
administradas proyecto y al patrocinador / propietario del proceso comercial para
su aprobación según los criterios acordados. Este diseño evolucionará
a lo largo del proyecto a medida que aumente la comprensión.

Gestión Construir, adquirir e BAI03 Identificación y BAI03.02 Diseñe componentes de 1. Diseñar progresivamente las actividades de los procesos
implementar construcción de soluciones solución detallados. comerciales y los flujos de trabajo que deben realizarse junto con el
administradas nuevo sistema de aplicación para cumplir con los objetivos de la
empresa, incluido el diseño de las actividades de control manual.

Gestión Construir, adquirir e BAI03 Identificación y BAI03.02 Diseñe componentes de 2. Diseñe los pasos de procesamiento de la solicitud. Estos pasos
implementar construcción de soluciones solución detallados. incluyen la especificación de tipos de transacciones y reglas de
administradas procesamiento comercial, controles automatizados, definiciones de
datos / objetos comerciales, casos de uso, interfaces externas,
restricciones de diseño y otros requisitos (por ejemplo, licencias,
legales, estándares e internacionalización / localización).
Gestión Construir, adquirir e BAI03 Identificación y BAI03.02 Diseñe componentes de 3. Clasifique las entradas y salidas de datos de acuerdo con los
implementar construcción de soluciones solución detallados. estándares de arquitectura empresarial. Especifique el diseño de la
administradas recopilación de datos de origen. Documente las entradas de datos
(independientemente de la fuente) y la validación para procesar
transacciones, así como los métodos de validación. Diseñe los
productos identificados, incluidas las fuentes de datos.
Gestión Construir, adquirir e BAI03 Identificación y BAI03.02 Diseñe componentes de 4. Diseñe la interfaz sistema / solución, incluido cualquier
implementar construcción de soluciones solución detallados. intercambio de datos automatizado.
administradas

Gestión Construir, adquirir e BAI03 Identificación y BAI03.02 Diseñe componentes de 5. Diseñar el almacenamiento, la ubicación, la recuperación y la
implementar construcción de soluciones solución detallados. recuperabilidad de datos.
administradas

268
Gestión Construir, adquirir e BAI03 Identificación y BAI03.02 Diseñe componentes de 6. Diseñe la redundancia, la recuperación y la copia de seguridad
implementar construcción de soluciones solución detallados. adecuadas.
administradas

Gestión Construir, adquirir e BAI03 Identificación y BAI03.02 Diseñe componentes de 7. Diseñe la interfaz entre el usuario y la aplicación del sistema para
implementar construcción de soluciones solución detallados. que sea fácil de usar y autodocumentada.
administradas

Gestión Construir, adquirir e BAI03 Identificación y BAI03.02 Diseñe componentes de 8. Considere el impacto de la necesidad de la solución para el
implementar construcción de soluciones solución detallados. desempeño de la infraestructura, siendo sensible a la cantidad de
administradas activos informáticos, la intensidad del ancho de banda y la
sensibilidad temporal de la información.

Gestión Construir, adquirir e BAI03 Identificación y BAI03.02 Diseñe componentes de 9. Evalúe de manera proactiva las debilidades del diseño (por
implementar construcción de soluciones solución detallados. ejemplo, inconsistencias, falta de claridad, fallas potenciales) a lo
administradas largo del ciclo de vida. Identifique las mejoras cuando sea necesario.

Gestión Construir, adquirir e BAI03 Identificación y BAI03.02 Diseñe componentes de 10. Proporcionar la capacidad de auditar transacciones e identificar
implementar construcción de soluciones solución detallados. las causas fundamentales de los errores de procesamiento.
administradas

Gestión Construir, adquirir e BAI03 Identificación y BAI03.03 Desarrollar componentes de 1. Dentro de un entorno separado, desarrolle el diseño detallado
implementar construcción de soluciones la solución. propuesto para los procesos comerciales, los servicios de soporte, las
administradas aplicaciones, la infraestructura y los repositorios de información.

Gestión Construir, adquirir e BAI03 Identificación y BAI03.03 Desarrollar componentes de 2. Cuando los proveedores de terceros estén involucrados en el
implementar construcción de soluciones la solución. desarrollo de la solución, asegúrese de que el mantenimiento, el
administradas soporte, los estándares de desarrollo y las licencias se aborden y
cumplan en las obligaciones contractuales.

269
Gestión Construir, adquirir e BAI03 Identificación y BAI03.03 Desarrollar componentes de 3. Realice un seguimiento de las solicitudes de cambio y las revisiones
implementar construcción de soluciones la solución. de diseño, rendimiento y calidad. Asegurar la participación activa de
administradas todas las partes interesadas afectadas.

Gestión Construir, adquirir e BAI03 Identificación y BAI03.03 Desarrollar componentes de 4. Documente todos los componentes de la solución de acuerdo con
implementar construcción de soluciones la solución. los estándares definidos. Mantenga el control de versiones sobre
administradas todos los componentes desarrollados y la documentación asociada.

Gestión Construir, adquirir e BAI03 Identificación y BAI03.03 Desarrollar componentes de 5. Evaluar el impacto de la personalización y configuración de la
implementar construcción de soluciones la solución. solución en el rendimiento y la eficiencia de las soluciones adquiridas
administradas y en la interoperabilidad con aplicaciones, sistemas operativos y otra
infraestructura existentes. Adapte los procesos comerciales según
sea necesario para aprovechar la capacidad de la aplicación.

Gestión Construir, adquirir e BAI03 Identificación y BAI03.03 Desarrollar componentes de 6. Asegurar que las responsabilidades por el uso de componentes de
implementar construcción de soluciones la solución. infraestructura de alta seguridad o acceso restringido estén
administradas claramente definidas y comprendidas por quienes desarrollan e
integran componentes de infraestructura. Su uso debe ser
monitoreado y evaluado.

Gestión Construir, adquirir e BAI03 Identificación y BAI03.04 Adquirir componentes de la 1. Crear y mantener un plan para la adquisición de componentes de
implementar construcción de soluciones solución. la solución. Considere la flexibilidad futura para adiciones de
administradas capacidad, costos de transición, riesgos y actualizaciones durante la
vida útil del proyecto.

Gestión Construir, adquirir e BAI03 Identificación y BAI03.04 Adquirir componentes de la 2. Revisar y aprobar todos los planes de adquisición. Considere el
implementar construcción de soluciones solución. riesgo, los costos, los beneficios y la conformidad técnica con los
administradas estándares de arquitectura empresarial.

Gestión Construir, adquirir e BAI03 Identificación y BAI03.04 Adquirir componentes de la 3. Evaluar y documentar el grado en que las soluciones adquiridas
implementar construcción de soluciones solución. requieren la adaptación del proceso empresarial para aprovechar los
administradas beneficios de la solución adquirida.

270
Gestión Construir, adquirir e BAI03 Identificación y BAI03.04 Adquirir componentes de la 4. Siga las aprobaciones requeridas en los puntos clave de decisión
implementar construcción de soluciones solución. durante los procesos de adquisición.
administradas

Gestión Construir, adquirir e BAI03 Identificación y BAI03.04 Adquirir componentes de la 5. Registrar la recepción de todas las adquisiciones de infraestructura
implementar construcción de soluciones solución. y software en un inventario de activos.
administradas

Gestión Construir, adquirir e BAI03 Identificación y BAI03.05 Construye soluciones. 1. Integre y configure los repositorios de información y componentes
implementar construcción de soluciones de soluciones de TI y de negocio de acuerdo con especificaciones
administradas detalladas y requisitos de calidad. Tenga en cuenta el papel de los
usuarios, las partes interesadas del negocio y el propietario del
proceso en la configuración de los procesos empresariales.

Gestión Construir, adquirir e BAI03 Identificación y BAI03.05 Construye soluciones. 2. Completar y actualizar los manuales operativos y de procesos
implementar construcción de soluciones comerciales, cuando sea necesario, para tener en cuenta cualquier
administradas personalización o condiciones especiales exclusivas de la
implementación.

Gestión Construir, adquirir e BAI03 Identificación y BAI03.05 Construye soluciones. 3. Considere todos los requisitos de control de información
implementar construcción de soluciones relevantes en la integración y configuración de componentes de la
administradas solución. Incluya la implementación de controles comerciales, cuando
corresponda, en los controles de aplicaciones automatizados, de
modo que el procesamiento sea preciso, completo, oportuno,
autorizado y auditable.
Gestión Construir, adquirir e BAI03 Identificación y BAI03.05 Construye soluciones. 4. Implementar pistas de auditoría durante la configuración e
implementar construcción de soluciones integración de hardware y software de infraestructura para proteger
administradas los recursos y garantizar la disponibilidad e integridad.

Gestión Construir, adquirir e BAI03 Identificación y BAI03.05 Construye soluciones. 5. Considere cuándo el efecto de las personalizaciones y
implementar construcción de soluciones configuraciones acumulativas (incluidos los cambios menores que no
administradas estaban sujetos a especificaciones formales de diseño) requiere una
reevaluación de alto nivel de la solución y la funcionalidad asociada.

271
Gestión Construir, adquirir e BAI03 Identificación y BAI03.05 Construye soluciones. 6. Configure el software de aplicación adquirido para cumplir con los
implementar construcción de soluciones requisitos de procesamiento comercial.
administradas

Gestión Construir, adquirir e BAI03 Identificación y BAI03.05 Construye soluciones. 7. Definir catálogos de productos y servicios para los grupos
implementar construcción de soluciones destinatarios internos y externos relevantes, en función de los
administradas requisitos comerciales.

Gestión Construir, adquirir e BAI03 Identificación y BAI03.05 Construye soluciones. 8. Asegurar la interoperabilidad de los componentes de la solución
implementar construcción de soluciones con pruebas de soporte, preferiblemente automatizadas.
administradas

Gestión Construir, adquirir e BAI03 Identificación y BAI03.06 Realizar control de calidad 1. Definir un plan de garantía de calidad y las prácticas incluyen, por
implementar construcción de soluciones (QA). ejemplo, la especificación de los criterios de calidad, los procesos de
administradas validación y verificación, la definición de cómo se revisará la calidad,
las calificaciones necesarias de los revisores de calidad y los roles y
responsabilidades para el logro de la calidad.

Gestión Construir, adquirir e BAI03 Identificación y BAI03.06 Realizar control de calidad 2. Monitorear con frecuencia la calidad de la solución según los
implementar construcción de soluciones (QA). requisitos del proyecto, las políticas empresariales, la adherencia a las
administradas metodologías de desarrollo, los procedimientos de gestión de la
calidad y los criterios de aceptación.

Gestión Construir, adquirir e BAI03 Identificación y BAI03.06 Realizar control de calidad 3. Emplear, según corresponda, inspección de códigos, prácticas de
implementar construcción de soluciones (QA). desarrollo basadas en pruebas, pruebas automatizadas, integración
administradas continua, recorridos y pruebas de aplicaciones. Informar sobre los
resultados del proceso de monitoreo y las pruebas al equipo de
desarrollo de software de aplicación y a la administración de TI.

Gestión Construir, adquirir e BAI03 Identificación y BAI03.06 Realizar control de calidad 4. Monitorear todas las excepciones de calidad y abordar todas las
implementar construcción de soluciones (QA). acciones correctivas. Mantenga un registro de todas las revisiones,
administradas resultados, excepciones y correcciones. Repita las revisiones de
calidad, cuando corresponda, según la cantidad de reelaboración y la
acción correctiva.

272
Gestión Construir, adquirir e BAI03 Identificación y BAI03.07 Prepárese para la prueba de 1. Cree un plan de pruebas integrado y prácticas acordes con el
implementar construcción de soluciones la solución. entorno empresarial y los planes estratégicos de tecnología.
administradas Asegúrese de que el plan y las prácticas de prueba integrados
permitan la creación de entornos de prueba y simulación adecuados
para ayudar a verificar que la solución funcionará con éxito en el
entorno en vivo y entregará los resultados previstos y que los
controles son adecuados.
Gestión Construir, adquirir e BAI03 Identificación y BAI03.07 Prepárese para la prueba de 2. Cree un entorno de prueba que admita el alcance completo de la
implementar construcción de soluciones la solución. solución. Asegúrese de que el entorno de prueba refleje, lo más
administradas fielmente posible, las condiciones del mundo real, incluidos los
procesos y procedimientos comerciales, la gama de usuarios, los tipos
de transacciones y las condiciones de implementación.

Gestión Construir, adquirir e BAI03 Identificación y BAI03.07 Prepárese para la prueba de 3. Cree procedimientos de prueba que se alineen con el plan y las
implementar construcción de soluciones la solución. prácticas y permitan la evaluación del funcionamiento de la solución
administradas en condiciones del mundo real. Asegúrese de que los procedimientos
de prueba evalúen la idoneidad de los controles, basados ​en
estándares de toda la empresa que definen roles, responsabilidades y
criterios de prueba, y estén aprobados por las partes interesadas del
proyecto y el patrocinador / propietario del proceso comercial.
Gestión Construir, adquirir e BAI03 Identificación y BAI03.07 Prepárese para la prueba de 4. Documente y guarde los procedimientos de prueba, casos,
implementar construcción de soluciones la solución. controles y parámetros para futuras pruebas de la aplicación.
administradas

Gestión Construir, adquirir e BAI03 Identificación y BAI03.08 Ejecute la prueba de la 1. Realice pruebas de las soluciones y sus componentes de acuerdo
implementar construcción de soluciones solución. con el plan de pruebas. Incluya probadores independientes del
administradas equipo de la solución, con propietarios de procesos comerciales y
usuarios finales representativos. Asegúrese de que las pruebas se
realicen solo dentro de los entornos de desarrollo y prueba.

Gestión Construir, adquirir e BAI03 Identificación y BAI03.08 Ejecute la prueba de la 2. Utilice instrucciones de prueba claramente definidas, como se
implementar construcción de soluciones solución. define en el plan de prueba. Considere el equilibrio adecuado entre
administradas las pruebas automatizadas con guiones y las pruebas de usuario
interactivas.

Gestión Construir, adquirir e BAI03 Identificación y BAI03.08 Ejecute la prueba de la 3. Realice todas las pruebas de acuerdo con el plan de prueba y las
implementar construcción de soluciones solución. prácticas. Incluya la integración de los procesos comerciales y los
administradas componentes de la solución de TI y de los requisitos no funcionales
(por ejemplo, seguridad, privacidad, interoperabilidad, usabilidad).

273
Gestión Construir, adquirir e BAI03 Identificación y BAI03.08 Ejecute la prueba de la 4. Identificar, registrar y clasificar (p. Ej., Errores menores,
implementar construcción de soluciones solución. significativos y de misión crítica) durante las pruebas. Repita las
administradas pruebas hasta que se hayan resuelto todos los errores importantes.
Asegúrese de que se mantenga una pista de auditoría de los
resultados de las pruebas.

Gestión Construir, adquirir e BAI03 Identificación y BAI03.08 Ejecute la prueba de la 5. Registrar los resultados de las pruebas y comunicar los resultados
implementar construcción de soluciones solución. de las pruebas a las partes interesadas de acuerdo con el plan de
administradas pruebas.

Gestión Construir, adquirir e BAI03 Identificación y BAI03.09 Gestionar cambios en los 1. Evalúe el impacto de todas las solicitudes de cambio de solución en
implementar construcción de soluciones requisitos. el desarrollo de la solución, el caso comercial original y el
administradas presupuesto. Categorícelos y priorícelos en consecuencia.

Gestión Construir, adquirir e BAI03 Identificación y BAI03.09 Gestionar cambios en los 2. Realice un seguimiento de los cambios en los requisitos,
implementar construcción de soluciones requisitos. permitiendo a todas las partes interesadas monitorear, revisar y
administradas aprobar los cambios. Asegúrese de que todos los interesados ​y el
patrocinador / propietario del proceso empresarial comprendan y
acuerden plenamente los resultados del proceso de cambio.

Gestión Construir, adquirir e BAI03 Identificación y BAI03.09 Gestionar cambios en los 3. Aplicar solicitudes de cambio, manteniendo la integridad de la
implementar construcción de soluciones requisitos. integración y configuración de los componentes de la solución.
administradas Evaluar el impacto de cualquier actualización importante de la
solución y clasificarla de acuerdo con los criterios objetivos acordados
(como los requisitos de la empresa), según el resultado del análisis
del riesgo involucrado (como el impacto en los sistemas y procesos
existentes o la seguridad / privacidad), el costo justificación de
Gestión Construir, adquirir e BAI03 Identificación y BAI03.10 Mantener soluciones. 1. Desarrollar
beneficios y ejecutar
y otros un plan para el mantenimiento de los
requisitos.
implementar construcción de soluciones componentes de la solución. Incluya revisiones periódicas de las
administradas necesidades comerciales y los requisitos operativos, como la gestión
de parches, las estrategias de actualización, el riesgo, la privacidad, la
evaluación de vulnerabilidades y los requisitos de seguridad.

Gestión Construir, adquirir e BAI03 Identificación y BAI03.10 Mantener soluciones. 2. Evaluar la importancia de una actividad de mantenimiento
implementar construcción de soluciones propuesta en el diseño, la funcionalidad y / o los procesos
administradas comerciales de la solución actual. Considere el riesgo, el impacto del
usuario y la disponibilidad de recursos. Asegúrese de que los
propietarios de los procesos comerciales comprendan el efecto de
designar cambios como mantenimiento.

274
Gestión Construir, adquirir e BAI03 Identificación y BAI03.10 Mantener soluciones. 3. En caso de cambios importantes en las soluciones existentes que
implementar construcción de soluciones resulten en un cambio significativo en los diseños actuales y / o la
administradas funcionalidad y / o los procesos comerciales, siga el proceso de
desarrollo utilizado para los nuevos sistemas. Para actualizaciones de
mantenimiento, utilice el proceso de gestión de cambios.

Gestión Construir, adquirir e BAI03 Identificación y BAI03.10 Mantener soluciones. 4. Asegúrese de que el patrón y el volumen de las actividades de
implementar construcción de soluciones mantenimiento se analicen periódicamente para detectar tendencias
administradas anormales que indiquen problemas subyacentes de calidad o
rendimiento, costo / beneficio de una actualización importante o
reemplazo en lugar del mantenimiento.

Gestión Construir, adquirir e BAI03 Identificación y BAI03.11 Definir productos y servicios 1. Proponer definiciones de los productos y servicios de TI nuevos o
implementar construcción de soluciones de TI y mantener la cartera modificados para garantizar que sean adecuados para su propósito.
administradas de servicios. Documentar las definiciones propuestas en la lista del portafolio de
productos y servicios a desarrollar.

Gestión Construir, adquirir e BAI03 Identificación y BAI03.11 Definir productos y servicios 2. Proponer opciones de nivel de servicio nuevas o modificadas
implementar construcción de soluciones de TI y mantener la cartera (tiempos de servicio, satisfacción del usuario, disponibilidad,
administradas de servicios. rendimiento, capacidad, seguridad, privacidad, continuidad,
cumplimiento y usabilidad) para garantizar que los productos y
servicios de TI sean aptos para su uso. Documente las opciones de
servicio propuestas en la cartera.
Gestión Construir, adquirir e BAI03 Identificación y BAI03.11 Definir productos y servicios 3. Interactúe con la gestión de relaciones comerciales y la gestión de
implementar construcción de soluciones de TI y mantener la cartera la cartera para acordar las definiciones de productos y servicios
administradas de servicios. propuestos y las opciones de nivel de servicio.

Gestión Construir, adquirir e BAI03 Identificación y BAI03.11 Definir productos y servicios 4. Si el cambio de producto o servicio se encuentra dentro de la
implementar construcción de soluciones de TI y mantener la cartera autoridad de aprobación acordada, cree los productos y servicios de
administradas de servicios. TI nuevos o modificados o las opciones de nivel de servicio. De lo
contrario, transfiera el cambio a la administración de la cartera para
su revisión de inversiones.

Gestión Construir, adquirir e BAI03 Identificación y BAI03.12 Diseñar soluciones basadas 1. Analizar y evaluar el impacto de elegir una metodología de
implementar construcción de soluciones en la metodología de desarrollo (es decir, cascada, ágil, bimodal) sobre los recursos
administradas desarrollo definida. disponibles, los requisitos de arquitectura, los ajustes de
configuración y la rigidez del sistema.

275
Gestión Construir, adquirir e BAI03 Identificación y BAI03.12 Diseñar soluciones basadas 2. Establecer la metodología de desarrollo y el enfoque
implementar construcción de soluciones en la metodología de organizacional adecuados que brinden la solución propuesta de
administradas desarrollo definida. manera eficiente y efectiva y que sea capaz de cumplir con los
requisitos comerciales, arquitectónicos y del sistema. Adapte los
procesos según sea necesario a la estrategia elegida.

Gestión Construir, adquirir e BAI03 Identificación y BAI03.12 Diseñar soluciones basadas 3. Establecer los equipos de proyecto necesarios según lo definido
implementar construcción de soluciones en la metodología de por la metodología de desarrollo elegida. Proporcione suficiente
administradas desarrollo definida. formación.

Gestión Construir, adquirir e BAI03 Identificación y BAI03.12 Diseñar soluciones basadas 4. Considere la posibilidad de aplicar un sistema dual, si es necesario,
implementar construcción de soluciones en la metodología de en el que los grupos multifuncionales (fábricas digitales) se centren
administradas desarrollo definida. en desarrollar un producto o proceso utilizando una tecnología,
metodología operativa o de gestión diferente del resto de la
empresa. La integración de estos grupos en unidades de negocio
tiene la ventaja de difundir la nueva cultura de desarrollo ágil y hacer
que esta fábrica digital se acerque a la norma.
Gestión Construir, adquirir e BAI04 Disponibilidad y capacidad BAI04.01 Evalúe la disponibilidad, el 1. Tenga en cuenta lo siguiente (actual y previsto) en la evaluación de
implementar administradas rendimiento y la capacidad la disponibilidad, el rendimiento y la capacidad de los servicios y
actuales y cree una línea de recursos: requisitos del cliente, prioridades comerciales, objetivos
base. comerciales, impacto presupuestario, utilización de recursos,
capacidades de TI y tendencias de la industria.

Gestión Construir, adquirir e BAI04 Disponibilidad y capacidad BAI04.01 Evalúe la disponibilidad, el 2. Identificar y dar seguimiento a todas las incidencias causadas por
implementar administradas rendimiento y la capacidad desempeño o capacidad inadecuados.
actuales y cree una línea de
base.

Gestión Construir, adquirir e BAI04 Disponibilidad y capacidad BAI04.01 Evalúe la disponibilidad, el 3. Supervise el rendimiento real y el uso de la capacidad frente a
implementar administradas rendimiento y la capacidad umbrales definidos, apoyados, cuando sea necesario, con software
actuales y cree una línea de automatizado.
base.

Gestión Construir, adquirir e BAI04 Disponibilidad y capacidad BAI04.01 Evalúe la disponibilidad, el 4. Evalúe periódicamente los niveles actuales de rendimiento para
implementar administradas rendimiento y la capacidad todos los niveles de procesamiento (demanda comercial, capacidad
actuales y cree una línea de de servicio y capacidad de recursos) comparándolos con las
base. tendencias y los SLA. Tenga en cuenta los cambios en el medio
ambiente.

276
Gestión Construir, adquirir e BAI04 Disponibilidad y capacidad BAI04.02 Evaluar el impacto 1. Identifique solo aquellas soluciones o servicios que son críticos en
implementar administradas empresarial. el proceso de gestión de la disponibilidad y la capacidad.

Gestión Construir, adquirir e BAI04 Disponibilidad y capacidad BAI04.02 Evaluar el impacto 2. Asigne las soluciones o servicios seleccionados a las aplicaciones y
implementar administradas empresarial. la infraestructura (TI e instalaciones) de las que dependen para
permitir un enfoque en los recursos críticos para la planificación de la
disponibilidad.

Gestión Construir, adquirir e BAI04 Disponibilidad y capacidad BAI04.02 Evaluar el impacto 3. Recopile datos sobre patrones de disponibilidad de registros de
implementar administradas empresarial. fallas pasadas y monitoreo de desempeño. Utilice herramientas de
modelado que ayuden a predecir fallas en función de las tendencias
de uso pasadas y las expectativas de gestión del nuevo entorno o las
condiciones del usuario.

Gestión Construir, adquirir e BAI04 Disponibilidad y capacidad BAI04.02 Evaluar el impacto 4. Con base en los datos recopilados, cree escenarios que describan
implementar administradas empresarial. situaciones de disponibilidad futuras para ilustrar una variedad de
niveles de capacidad potenciales necesarios para lograr el objetivo de
rendimiento de disponibilidad.

Gestión Construir, adquirir e BAI04 Disponibilidad y capacidad BAI04.02 Evaluar el impacto 5. Con base en los escenarios, determine la probabilidad de que no se
implementar administradas empresarial. logre el objetivo de rendimiento de disponibilidad.

Gestión Construir, adquirir e BAI04 Disponibilidad y capacidad BAI04.02 Evaluar el impacto 6. Determine el impacto de los escenarios en las medidas de
implementar administradas empresarial. desempeño comercial (por ejemplo, ingresos, ganancias, servicios al
cliente). Involucrar a los líderes regionales, funcionales
(especialmente financieros) y de línea de negocio para comprender
su evaluación del impacto.

Gestión Construir, adquirir e BAI04 Disponibilidad y capacidad BAI04.02 Evaluar el impacto 7. Asegúrese de que los propietarios de los procesos de negocio
implementar administradas empresarial. comprendan y estén de acuerdo con los resultados de este análisis.
De los dueños de negocios, obtenga una lista de escenarios de riesgo
inaceptables que requieren una respuesta para reducir el riesgo a
niveles aceptables.

277
Gestión Construir, adquirir e BAI04 Disponibilidad y capacidad BAI04.03 Planifique los requisitos de 1. Identificar las implicaciones de disponibilidad y capacidad de las
implementar administradas servicio nuevos o necesidades comerciales cambiantes y las oportunidades de mejora.
modificados. Utilice técnicas de modelado para validar los planes de disponibilidad,
rendimiento y capacidad.

Gestión Construir, adquirir e BAI04 Disponibilidad y capacidad BAI04.03 Planifique los requisitos de 2. Revisar las implicaciones de disponibilidad y capacidad del análisis
implementar administradas servicio nuevos o de tendencias del servicio.
modificados.

Gestión Construir, adquirir e BAI04 Disponibilidad y capacidad BAI04.03 Planifique los requisitos de 3. Asegurarse de que la administración realice comparaciones de la
implementar administradas servicio nuevos o demanda real de recursos con la oferta y la demanda pronosticadas
modificados. para evaluar las técnicas de pronóstico actuales y realizar mejoras
cuando sea posible.

Gestión Construir, adquirir e BAI04 Disponibilidad y capacidad BAI04.03 Planifique los requisitos de 4. Priorice las mejoras necesarias y cree planes de capacidad y
implementar administradas servicio nuevos o disponibilidad que justifiquen los costos.
modificados.

Gestión Construir, adquirir e BAI04 Disponibilidad y capacidad BAI04.03 Planifique los requisitos de 5. Ajustar los planes de rendimiento y capacidad y los SLA basados ​en
implementar administradas servicio nuevos o procesos de negocio realistas, nuevos, propuestos y / o proyectados y
modificados. servicios de apoyo, aplicaciones y cambios de infraestructura.
También incluya revisiones del rendimiento real y el uso de la
capacidad, incluidos los niveles de carga de trabajo.

Gestión Construir, adquirir e BAI04 Disponibilidad y capacidad BAI04.04 Supervisar y revisar la 1. Proporcionar informes de capacidad a los procesos de
implementar administradas disponibilidad y la capacidad. presupuestación.

Gestión Construir, adquirir e BAI04 Disponibilidad y capacidad BAI04.04 Supervisar y revisar la 2. Establecer un proceso de recopilación de datos para proporcionar
implementar administradas disponibilidad y la capacidad. a la administración información de seguimiento y presentación de
informes sobre la disponibilidad, el rendimiento y la carga de trabajo
de capacidad de todos los recursos relacionados con I&T.

278
Gestión Construir, adquirir e BAI04 Disponibilidad y capacidad BAI04.04 Supervisar y revisar la 3. Proporcionar informes periódicos de los resultados en una forma
implementar administradas disponibilidad y la capacidad. adecuada para que los revise el departamento de TI y la
administración comercial y la comunicación a la administración
empresarial.

Gestión Construir, adquirir e BAI04 Disponibilidad y capacidad BAI04.04 Supervisar y revisar la 4. Integrar las actividades de seguimiento y presentación de informes
implementar administradas disponibilidad y la capacidad. en las actividades de gestión de la capacidad iterativa (seguimiento,
análisis, ajuste e implementaciones).

Gestión Construir, adquirir e BAI04 Disponibilidad y capacidad BAI04.05 Investigar y abordar 1. Obtenga orientación de los manuales de productos de los
implementar administradas problemas de disponibilidad, proveedores para garantizar un nivel adecuado de disponibilidad de
rendimiento y capacidad. rendimiento para el procesamiento y las cargas de trabajo máximas.

Gestión Construir, adquirir e BAI04 Disponibilidad y capacidad BAI04.05 Investigar y abordar 2. Definir un procedimiento de escalamiento para una rápida
implementar administradas problemas de disponibilidad, resolución en caso de problemas de capacidad y rendimiento de
rendimiento y capacidad. emergencia.

Gestión Construir, adquirir e BAI04 Disponibilidad y capacidad BAI04.05 Investigar y abordar 3. Identificar las brechas de rendimiento y capacidad basándose en el
implementar administradas problemas de disponibilidad, seguimiento del rendimiento actual y previsto. Utilice las
rendimiento y capacidad. especificaciones conocidas de disponibilidad, continuidad y
recuperación para clasificar los recursos y permitir la priorización.

Gestión Construir, adquirir e BAI04 Disponibilidad y capacidad BAI04.05 Investigar y abordar 4. Definir acciones correctivas (por ejemplo, cambiar la carga de
implementar administradas problemas de disponibilidad, trabajo, priorizar tareas o agregar recursos cuando se identifican
rendimiento y capacidad. problemas de desempeño y capacidad).

Gestión Construir, adquirir e BAI04 Disponibilidad y capacidad BAI04.05 Investigar y abordar 5. Integrar las acciones correctivas necesarias en los procesos
implementar administradas problemas de disponibilidad, adecuados de planificación y gestión de cambios.
rendimiento y capacidad.

279
Gestión Construir, adquirir e BAI05 Cambio organizacional BAI05.01 Establece el deseo de 1. Evaluar el alcance y el impacto del cambio previsto, las diversas
implementar gestionado cambiar. partes interesadas que se ven afectadas, la naturaleza del impacto y
la participación requerida de cada grupo de partes interesadas, y la
disposición y capacidad actuales para adoptar el cambio.

Gestión Construir, adquirir e BAI05 Cambio organizacional BAI05.01 Establece el deseo de 2. Establecer el deseo de cambiar, identificar, aprovechar y
implementar gestionado cambiar. comunicar los puntos débiles actuales, los eventos negativos, el
riesgo, la insatisfacción del cliente y los problemas comerciales, así
como los beneficios iniciales, las oportunidades y recompensas
futuras y las ventajas competitivas.

Gestión Construir, adquirir e BAI05 Cambio organizacional BAI05.01 Establece el deseo de 3. Emitir comunicaciones clave del comité ejecutivo o del director
implementar gestionado cambiar. ejecutivo para demostrar compromiso con el cambio.

Gestión Construir, adquirir e BAI05 Cambio organizacional BAI05.01 Establece el deseo de 4. Proporcionar un liderazgo visible de la alta dirección para
implementar gestionado cambiar. establecer la dirección y alinear, motivar e inspirar a las partes
interesadas a desear el cambio.

Gestión Construir, adquirir e BAI05 Cambio organizacional BAI05.02 Forme un equipo de 1. Identificar y reunir un equipo de implementación central eficaz que
implementar gestionado implementación eficaz. incluya miembros apropiados de negocios y TI con la capacidad de
dedicar la cantidad de tiempo requerida y contribuir con
conocimiento y experiencia, experiencia, credibilidad y autoridad.
Considere incluir partes externas, como consultores, para brindar una
visión independiente o para abordar las brechas de habilidades.
Identifique agentes de cambio potenciales dentro de las diferentes
Gestión Construir, adquirir e BAI05 Cambio organizacional BAI05.02 Forme un equipo de 2. Genere
partes confianza
de la empresadentro del equipo
con quienes de implementación
el equipo central a
central puede trabajar
implementar gestionado implementación eficaz. través de eventos cuidadosamente planificados
para respaldar la visión y los cambios en cascada. con comunicación
efectiva y actividades conjuntas.

Gestión Construir, adquirir e BAI05 Cambio organizacional BAI05.02 Forme un equipo de 3. Desarrollar una visión y metas comunes que apoyen los objetivos
implementar gestionado implementación eficaz. de la empresa.

280
Gestión Construir, adquirir e BAI05 Cambio organizacional BAI05.03 Comunique la visión 1. Desarrollar un plan de comunicación de la visión para abordar los
implementar gestionado deseada. grupos de audiencia principales, sus perfiles de comportamiento y
requisitos de información, canales de comunicación y principios.

Gestión Construir, adquirir e BAI05 Cambio organizacional BAI05.03 Comunique la visión 2. Entregar la comunicación a los niveles apropiados de la empresa,
implementar gestionado deseada. de acuerdo con el plan.

Gestión Construir, adquirir e BAI05 Cambio organizacional BAI05.03 Comunique la visión 3. Reforzar la comunicación a través de múltiples foros y repetición.
implementar gestionado deseada.

Gestión Construir, adquirir e BAI05 Cambio organizacional BAI05.03 Comunique la visión 4. Hacer que todos los niveles de liderazgo sean responsables de
implementar gestionado deseada. demostrar la visión.

Gestión Construir, adquirir e BAI05 Cambio organizacional BAI05.03 Comunique la visión 5. Verifique la comprensión de la visión deseada y responda a
implementar gestionado deseada. cualquier problema destacado por el personal.

Gestión Construir, adquirir e BAI05 Cambio organizacional BAI05.04 Empoderar a los jugadores 1. Planifique las oportunidades de capacitación que el personal
implementar gestionado de rol e identificar logros a necesitará para desarrollar las habilidades y actitudes adecuadas para
corto plazo. sentirse empoderado.

Gestión Construir, adquirir e BAI05 Cambio organizacional BAI05.04 Empoderar a los jugadores 2. Identifique, priorice y ofrezca oportunidades para obtener
implementar gestionado de rol e identificar logros a ganancias rápidas. Estos podrían estar relacionados con áreas de
corto plazo. dificultad conocidas actuales o factores externos que deben
abordarse con urgencia.

281
Gestión Construir, adquirir e BAI05 Cambio organizacional BAI05.04 Empoderar a los jugadores 3. El apalancamiento generó ganancias rápidas al comunicar los
implementar gestionado de rol e identificar logros a beneficios a los afectados para mostrar que la visión va por buen
corto plazo. camino. Afine la visión, mantenga a los líderes a bordo y genere
impulso.

Gestión Construir, adquirir e BAI05 Cambio organizacional BAI05.04 Empoderar a los jugadores 4. Identificar estructuras organizativas compatibles con la visión; si es
implementar gestionado de rol e identificar logros a necesario, realice cambios para asegurar la alineación.
corto plazo.

Gestión Construir, adquirir e BAI05 Cambio organizacional BAI05.04 Empoderar a los jugadores 5. Alinee los procesos de RR.HH. y los sistemas de medición (por
implementar gestionado de rol e identificar logros a ejemplo, evaluación del desempeño, decisiones de compensación,
corto plazo. decisiones de promoción, reclutamiento y contratación) para
respaldar la visión.

Gestión Construir, adquirir e BAI05 Cambio organizacional BAI05.04 Empoderar a los jugadores 6. Identifique y administre a los líderes que continúan resistiéndose al
implementar gestionado de rol e identificar logros a cambio necesario.
corto plazo.

Gestión Construir, adquirir e BAI05 Cambio organizacional BAI05.05 Habilite la operación y el uso. 1. Desarrolle un plan de operación y uso del cambio. El plan debe
implementar gestionado comunicar y basarse en los logros rápidos obtenidos, abordar los
aspectos de comportamiento y culturales de la transición más amplia
y aumentar la aceptación y el compromiso. Asegúrese de que el plan
cubra una visión holística del cambio y proporcione documentación
(p. Ej., Procedimientos), tutoría, capacitación, entrenamiento,
transferencia de conocimientos, apoyo mejorado inmediato posterior
Gestión Construir, adquirir e BAI05 Cambio organizacional BAI05.05 Habilite la operación y el uso. 2.
a laImplementar el plan de operación
puesta en funcionamiento y uso.
y apoyo Defina y realice un
continuo.
implementar gestionado seguimiento de las medidas de éxito, incluidas las medidas
comerciales estrictas y las medidas de percepción que indiquen cómo
se sienten las personas acerca de un cambio. Tome las medidas
correctivas necesarias.

Gestión Construir, adquirir e BAI05 Cambio organizacional BAI05.06 Incorporar nuevos enfoques. 1. Haga que los propietarios de los procesos sean responsables de las
implementar gestionado operaciones diarias normales.

282
Gestión Construir, adquirir e BAI05 Cambio organizacional BAI05.06 Incorporar nuevos enfoques. 2. Celebre los éxitos e implemente programas de recompensa y
implementar gestionado reconocimiento para reforzar el cambio.

Gestión Construir, adquirir e BAI05 Cambio organizacional BAI05.06 Incorporar nuevos enfoques. 3. Proporcionar conciencia continua a través de la comunicación
implementar gestionado regular del cambio y su adopción.

Gestión Construir, adquirir e BAI05 Cambio organizacional BAI05.06 Incorporar nuevos enfoques. 4. Utilice sistemas de medición del desempeño para identificar las
implementar gestionado causas fundamentales de la baja adopción. Tomar acción correctiva.

Gestión Construir, adquirir e BAI05 Cambio organizacional BAI05.06 Incorporar nuevos enfoques. 5. Realizar auditorías de cumplimiento para identificar las causas
implementar gestionado fundamentales de la baja adopción. Recomendar acción correctiva.

Gestión Construir, adquirir e BAI05 Cambio organizacional BAI05.07 Mantener los cambios. 1. Sostener y reforzar el cambio a través de una comunicación regular
implementar gestionado que demuestre el compromiso de la alta dirección.

Gestión Construir, adquirir e BAI05 Cambio organizacional BAI05.07 Mantener los cambios. 2. Brindar tutoría, capacitación, entrenamiento y transferencia de
implementar gestionado conocimientos al nuevo personal para sostener el cambio.

Gestión Construir, adquirir e BAI05 Cambio organizacional BAI05.07 Mantener los cambios. 3. Realizar revisiones periódicas del funcionamiento y uso del cambio.
implementar gestionado Identificar mejoras.

283
Gestión Construir, adquirir e BAI05 Cambio organizacional BAI05.07 Mantener los cambios. 4. Capturar lecciones aprendidas relacionadas con la implementación
implementar gestionado del cambio. Comparta conocimientos en toda la empresa.

Gestión Construir, adquirir e BAI06 Cambios de TI gestionados BAI06.01 Evaluar, priorizar y autorizar 1. Utilice solicitudes de cambio formales para permitir que los
implementar solicitudes de cambio. propietarios de procesos comerciales y TI soliciten cambios en los
procesos, la infraestructura, los sistemas o las aplicaciones
comerciales. Asegúrese de que todos estos cambios surjan solo a
través del proceso de gestión de solicitudes de cambio.

Gestión Construir, adquirir e BAI06 Cambios de TI gestionados BAI06.01 Evaluar, priorizar y autorizar 2. Categorice todos los cambios solicitados (por ejemplo, procesos
implementar solicitudes de cambio. comerciales, infraestructura, sistemas operativos, redes, sistemas de
aplicación, software de aplicación comprado / empaquetado) y
relacione los elementos de configuración afectados.

Gestión Construir, adquirir e BAI06 Cambios de TI gestionados BAI06.01 Evaluar, priorizar y autorizar 3. Dar prioridad a todos los cambios solicitados en función de los
implementar solicitudes de cambio. requisitos comerciales y técnicos; recursos requeridos; y las razones
legales, reglamentarias y contractuales del cambio solicitado.

Gestión Construir, adquirir e BAI06 Cambios de TI gestionados BAI06.01 Evaluar, priorizar y autorizar 4. Aprobar formalmente cada cambio por parte de los propietarios de
implementar solicitudes de cambio. procesos comerciales, gerentes de servicios y partes interesadas
técnicas de TI, según corresponda. Los cambios que son de bajo
riesgo y relativamente frecuentes deben aprobarse previamente
como cambios estándar.

Gestión Construir, adquirir e BAI06 Cambios de TI gestionados BAI06.01 Evaluar, priorizar y autorizar 5. Planifique y programe todos los cambios aprobados.
implementar solicitudes de cambio.

Gestión Construir, adquirir e BAI06 Cambios de TI gestionados BAI06.01 Evaluar, priorizar y autorizar 6. Planifique y evalúe todas las solicitudes de forma estructurada.
implementar solicitudes de cambio. Incluya un análisis de impacto en los procesos comerciales, la
infraestructura, los sistemas y las aplicaciones, los planes de
continuidad comercial (BCP) y los proveedores de servicios para
garantizar que se hayan identificado todos los componentes
afectados. Evalúe la probabilidad de afectar negativamente el
entorno operativo y el riesgo de implementar el cambio. Considere
las implicaciones de seguridad, privacidad, legales, contractuales y de
cumplimiento del cambio solicitado. Considere también las
interdependencias entre los cambios. Involucrar a los propietarios de
los procesos comerciales en el proceso de evaluación, según
corresponda.

284
Gestión Construir, adquirir e BAI06 Cambios de TI gestionados BAI06.01 Evaluar, priorizar y autorizar 7. Considere el impacto de los proveedores de servicios contratados
implementar solicitudes de cambio. (por ejemplo, del procesamiento comercial, la infraestructura, el
desarrollo de aplicaciones y los servicios compartidos
subcontratados) en el proceso de gestión del cambio. Incluir la
integración de los procesos de gestión de cambios organizativos con
los procesos de gestión de cambios de los proveedores de servicios y
el impacto en los términos contractuales y SLA.
Gestión Construir, adquirir e BAI06 Cambios de TI gestionados BAI06.02 Gestionar cambios de 1. Defina qué constituye un cambio de emergencia.
implementar emergencia.

Gestión Construir, adquirir e BAI06 Cambios de TI gestionados BAI06.02 Gestionar cambios de 2. Asegurarse de que exista un procedimiento documentado para
implementar emergencia. declarar, evaluar, aprobar preliminarmente, autorizar después del
cambio y registrar un cambio de emergencia.

Gestión Construir, adquirir e BAI06 Cambios de TI gestionados BAI06.02 Gestionar cambios de 3. Verificar que todos los arreglos de acceso de emergencia para
implementar emergencia. cambios estén debidamente autorizados, documentados y revocados
después de que se haya aplicado el cambio.

Gestión Construir, adquirir e BAI06 Cambios de TI gestionados BAI06.02 Gestionar cambios de 4. Monitorear todos los cambios de emergencia y realizar revisiones
implementar emergencia. posteriores a la implementación que involucren a todas las partes
interesadas. La revisión debe considerar e iniciar acciones correctivas
basadas en las causas raíz, como problemas con los procesos
comerciales, desarrollo y mantenimiento del sistema de aplicaciones,
entornos de desarrollo y prueba, documentación y manuales, e
integridad de los datos.
Gestión Construir, adquirir e BAI06 Cambios de TI gestionados BAI06.03 Rastree e informe el estado 1. Categorice las solicitudes de cambio en el proceso de seguimiento
implementar del cambio. (por ejemplo, rechazadas, aprobadas pero aún no iniciadas,
aprobadas y en proceso y cerradas).

Gestión Construir, adquirir e BAI06 Cambios de TI gestionados BAI06.03 Rastree e informe el estado 2. Implementar informes de estado de cambios con métricas de
implementar del cambio. desempeño para permitir la revisión por parte de la gerencia y el
monitoreo tanto del estado detallado de los cambios como del
estado general (por ejemplo, análisis de antigüedad de las solicitudes
de cambio). Asegúrese de que los informes de estado formen una
pista de auditoría para que los cambios puedan seguirse
posteriormente desde el inicio hasta la eliminación final.

285
Gestión Construir, adquirir e BAI06 Cambios de TI gestionados BAI06.03 Rastree e informe el estado 3. Supervise los cambios abiertos para asegurarse de que todos los
implementar del cambio. cambios aprobados se cierren de manera oportuna, según la
prioridad.

Gestión Construir, adquirir e BAI06 Cambios de TI gestionados BAI06.03 Rastree e informe el estado 4. Mantener un sistema de seguimiento y presentación de informes
implementar del cambio. para todas las solicitudes de cambio.

Gestión Construir, adquirir e BAI06 Cambios de TI gestionados BAI06.04 Cierre y documente los 1. Incluir cambios en la documentación dentro del procedimiento de
implementar cambios. gestión. Entre los ejemplos de documentación se incluyen los
procedimientos operativos comerciales y de TI, la continuidad del
negocio y la documentación de recuperación ante desastres, la
información de configuración, la documentación de la aplicación, las
pantallas de ayuda y los materiales de formación.
Gestión Construir, adquirir e BAI06 Cambios de TI gestionados BAI06.04 Cierre y documente los 2. Defina un período de retención adecuado para la documentación
implementar cambios. de cambios y la documentación del usuario y del sistema anterior y
posterior al cambio.

Gestión Construir, adquirir e BAI06 Cambios de TI gestionados BAI06.04 Cierre y documente los 3. Someter la documentación al mismo nivel de revisión que el
implementar cambios. cambio real.

Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.01 Establece un plan de 1. Crear un plan de implementación que refleje la estrategia de
implementar cambios de TI implementación. implementación amplia, la secuencia de pasos de implementación,
administrados los requisitos de recursos, las interdependencias, los criterios para la
aceptación por parte de la administración de la implementación de
producción, los requisitos de verificación de la instalación, la
estrategia de transición para el soporte de producción y la
actualización de la continuidad del negocio. planes.
Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.01 Establece un plan de 2. De los proveedores de soluciones externos, obtenga el
implementar cambios de TI implementación. compromiso de su participación en cada paso de la implementación.
administrados

286
Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.01 Establece un plan de 3. Identificar y documentar los procesos de recuperación y respaldo.
implementar cambios de TI implementación.
administrados

Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.01 Establece un plan de 4. Confirmar que todos los planes de implementación sean
implementar cambios de TI implementación. aprobados por las partes interesadas técnicas y comerciales y
administrados revisados ​por auditoría interna, según corresponda.

Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.01 Establece un plan de 5. Revise formalmente el riesgo técnico y comercial asociado con la
implementar cambios de TI implementación. implementación. Asegúrese de que el riesgo clave se considere y
administrados aborde en el proceso de planificación.

Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.02 Planifique el proceso 1. Definir un proceso de negocio, datos de servicios de I&T y un plan
implementar cambios de TI empresarial, el sistema y la de migración de infraestructura. Al desarrollar el plan, considere, por
administrados conversión de datos. ejemplo, hardware, redes, sistemas operativos, software, datos de
transacciones, archivos maestros, copias de seguridad y archivos,
interfaces con otros sistemas (tanto internos como externos),
posibles requisitos de cumplimiento, procedimientos comerciales y
documentación del sistema. .
Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.02 Planifique el proceso 2. En el plan de conversión de procesos de negocio, considere todos
implementar cambios de TI empresarial, el sistema y la los ajustes necesarios a los procedimientos, incluidos los roles y
administrados conversión de datos. responsabilidades revisados ​y los procedimientos de control.

Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.02 Planifique el proceso 3. Confirme que el plan de conversión de datos no requiere cambios
implementar cambios de TI empresarial, el sistema y la en los valores de los datos a menos que sea absolutamente necesario
administrados conversión de datos. por razones comerciales. Documente los cambios realizados en los
valores de los datos y asegure la aprobación del propietario de los
datos del proceso empresarial.

Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.02 Planifique el proceso 4. Planifique la retención de la copia de seguridad y los datos
implementar cambios de TI empresarial, el sistema y la archivados para cumplir con las necesidades comerciales y los
administrados conversión de datos. requisitos reglamentarios o de cumplimiento.

287
Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.02 Planifique el proceso 5. Ensaye y pruebe la conversión antes de intentar una conversión en
implementar cambios de TI empresarial, el sistema y la vivo.
administrados conversión de datos.

Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.02 Planifique el proceso 6. Coordine y verifique el tiempo y la integridad de la transición de
implementar cambios de TI empresarial, el sistema y la conversión para que haya una transición suave y continua sin pérdida
administrados conversión de datos. de datos de transacciones. Cuando sea necesario, en ausencia de
cualquier otra alternativa, congele las operaciones en vivo.

Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.02 Planifique el proceso 7. Planifique realizar una copia de seguridad de todos los sistemas y
implementar cambios de TI empresarial, el sistema y la datos tomados en el punto antes de la conversión. Mantenga pistas
administrados conversión de datos. de auditoría para permitir que se vuelva a rastrear la conversión.
Asegúrese de que haya un plan de recuperación que cubra el
retroceso de la migración y el retroceso al procesamiento anterior en
caso de que falle la migración.
Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.02 Planifique el proceso 8. En el plan de conversión de datos, incorpore métodos para
implementar cambios de TI empresarial, el sistema y la recopilar, convertir y verificar los datos que se convertirán, e
administrados conversión de datos. identificar y resolver los errores encontrados durante la conversión.
Incluya la comparación de los datos originales y convertidos para
verificar que estén completos e íntegros.

Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.02 Planifique el proceso 9. Considere el riesgo de problemas de conversión, la planificación de
implementar cambios de TI empresarial, el sistema y la la continuidad del negocio y los procedimientos de reserva en el
administrados conversión de datos. proceso de negocio, el plan de migración de datos e infraestructura
cuando exista gestión de riesgos, necesidades comerciales o
requisitos reglamentarios / de cumplimiento.

Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.03 Planifique las pruebas de 1. Desarrolle y documente el plan de prueba, que se alinee con el
implementar cambios de TI aceptación. programa, el plan de calidad del proyecto y los estándares
administrados organizacionales relevantes. Comunicarse y consultar con los
propietarios de procesos de negocio y las partes interesadas de TI
adecuados.

Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.03 Planifique las pruebas de 2. Asegúrese de que el plan de prueba refleje una evaluación del
implementar cambios de TI aceptación. riesgo del proyecto y de que se prueben todos los requisitos
administrados funcionales y técnicos. Basado en la evaluación del riesgo de falla del
sistema y fallas en la implementación, incluya en el plan los requisitos
de rendimiento, estrés, usabilidad, prueba piloto, pruebas de
seguridad y privacidad.

288
Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.03 Planifique las pruebas de 3. Asegúrese de que el plan de prueba aborde la posible necesidad de
implementar cambios de TI aceptación. acreditación interna o externa de los resultados del proceso de
administrados prueba (por ejemplo, requisitos financieros o reglamentarios).

Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.03 Planifique las pruebas de 4. Asegúrese de que el plan de pruebas identifique los recursos
implementar cambios de TI aceptación. necesarios para ejecutar las pruebas y evaluar los resultados.
administrados Ejemplos de recursos pueden ser la construcción de entornos de
prueba y el uso del tiempo del personal para el grupo de prueba,
incluido el posible reemplazo temporal del personal de prueba en los
entornos de producción o desarrollo. Asegúrese de que se consulte a
las partes interesadas sobre las implicaciones de recursos del plan de
Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.03 Planifique las pruebas de 5. Asegúrese de que el plan de prueba identifique las fases de prueba
prueba.
implementar cambios de TI aceptación. apropiadas para los requisitos operativos y el entorno. Ejemplos de
administrados dichas fases de prueba incluyen prueba unitaria, prueba del sistema,
prueba de integración, prueba de aceptación del usuario, prueba de
rendimiento, prueba de esfuerzo, prueba de conversión de datos,
prueba de seguridad, prueba de privacidad, prueba de preparación
operativa y pruebas de respaldo y recuperación.
Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.03 Planifique las pruebas de 6. Confirme que el plan de prueba considera la preparación de la
implementar cambios de TI aceptación. prueba (incluida la preparación del sitio), los requisitos de
administrados capacitación, la instalación o una actualización de un entorno de
prueba definido, la planificación / ejecución / documentación /
retención de casos de prueba, el manejo de errores y problemas, la
corrección y escalamiento, y aprobación.
Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.03 Planifique las pruebas de 7. Confirme que todos los planes de prueba estén aprobados por las
implementar cambios de TI aceptación. partes interesadas, incluidos los propietarios de procesos comerciales
administrados y TI, según corresponda. Las partes interesadas pueden incluir
gerentes de desarrollo de aplicaciones, gerentes de proyectos y
usuarios finales de procesos comerciales.

Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.03 Planifique las pruebas de 8. Asegúrese de que el plan de prueba establezca criterios claros para
implementar cambios de TI aceptación. medir el éxito de la realización de cada fase de prueba. Consulte a los
administrados propietarios de los procesos de negocio y a las partes interesadas de
TI para definir los criterios de éxito. Determine que el plan establece
procedimientos de remediación cuando no se cumplen los criterios
de éxito. Por ejemplo, si hay una falla significativa en una fase de
prueba, el plan debe brindar orientación sobre si pasar a la siguiente
Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.04 Establezca un entorno de 1. Cree
fase, una base
detener de datos
la prueba de datos de
o posponer prueba que sean
la implementación.
implementar cambios de TI prueba. representativos del entorno de producción. Desinfecte los datos
administrados utilizados en el entorno de prueba del entorno de producción de
acuerdo con las necesidades comerciales y los estándares de la
organización. Por ejemplo, considere si los requisitos de
cumplimiento o reglamentarios obligan al uso de datos
desinfectados.

289
Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.04 Establezca un entorno de 2. Proteja los datos y resultados confidenciales de las pruebas contra
implementar cambios de TI prueba. la divulgación, incluido el acceso, la retención, el almacenamiento y la
administrados destrucción. Considere el efecto de la interacción de los sistemas
organizacionales con los de terceros.

Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.04 Establezca un entorno de 3. Implementar un proceso para permitir la retención o eliminación
implementar cambios de TI prueba. adecuada de los resultados de las pruebas, los medios y otra
administrados documentación asociada que permitirá una revisión adecuada y un
análisis posterior o una nueva prueba eficiente según lo requiera el
plan de pruebas. Considere el efecto de los requisitos reglamentarios
o de cumplimiento.
Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.04 Establezca un entorno de 4. Asegúrese de que el entorno de prueba sea representativo del
implementar cambios de TI prueba. panorama comercial y operativo futuro. Incluya los procedimientos y
administrados roles de los procesos comerciales, el posible estrés de la carga de
trabajo, los sistemas operativos, el software de aplicación necesario,
los sistemas de administración de bases de datos y la infraestructura
informática y de red que se encuentra en el entorno de producción.
Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.04 Establezca un entorno de 5. Asegúrese de que el entorno de prueba sea seguro y no pueda
implementar cambios de TI prueba. interactuar con los sistemas de producción.
administrados

Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.05 Realice pruebas de 1. Revise el registro categorizado de errores encontrados en el
implementar cambios de TI aceptación. proceso de prueba por el equipo de desarrollo. Verifique que todos
administrados los errores hayan sido corregidos o aceptados formalmente.

Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.05 Realice pruebas de 2. Evaluar la aceptación final frente a los criterios de éxito e
implementar cambios de TI aceptación. interpretar los resultados de la prueba de aceptación final.
administrados Preséntelos en una forma que sea comprensible para los propietarios
de procesos de negocio y TI, para que se pueda llevar a cabo una
revisión y evaluación informadas.

Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.05 Realice pruebas de 3. Aprobar la aceptación, con la aprobación formal de los propietarios
implementar cambios de TI aceptación. del proceso de negocio, terceros (según corresponda) y las partes
administrados interesadas de TI antes de la promoción.

290
Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.05 Realice pruebas de 4. Asegúrese de que la prueba de cambios se lleve a cabo de acuerdo
implementar cambios de TI aceptación. con el plan de prueba. Asegúrese de que las pruebas estén diseñadas
administrados y realizadas por un grupo de pruebas que sea independiente del
equipo de desarrollo. Tenga en cuenta hasta qué punto los
propietarios de procesos comerciales y los usuarios finales están
involucrados en el grupo de prueba. Asegúrese de que las pruebas se
realicen solo dentro del entorno de prueba.
Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.05 Realice pruebas de 5. Asegúrese de que las pruebas y los resultados previstos estén de
implementar cambios de TI aceptación. acuerdo con los criterios de éxito definidos establecidos en el plan de
administrados pruebas.

Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.05 Realice pruebas de 6. Considere usar instrucciones de prueba claramente definidas
implementar cambios de TI aceptación. (scripts) para implementar las pruebas. Asegúrese de que el grupo de
administrados prueba independiente evalúe y apruebe cada guión de prueba para
confirmar que aborda adecuadamente los criterios de éxito de la
prueba establecidos en el plan de prueba. Considere el uso de scripts
para verificar hasta qué punto el sistema cumple con los requisitos de
seguridad y privacidad.
Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.05 Realice pruebas de 7. Considere el equilibrio adecuado entre las pruebas automatizadas
implementar cambios de TI aceptación. con guiones y las pruebas de usuario interactivas.
administrados

Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.05 Realice pruebas de 8. Realizar pruebas de seguridad de acuerdo con el plan de pruebas.
implementar cambios de TI aceptación. Mida el alcance de las debilidades o lagunas de seguridad. Considere
administrados el efecto de los incidentes de seguridad desde la construcción del
plan de prueba. Considere el efecto sobre los controles de acceso y
límites. Considere la privacidad.

Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.05 Realice pruebas de 9. Realizar pruebas de rendimiento del sistema y la aplicación de
implementar cambios de TI aceptación. acuerdo con el plan de prueba. Considere una variedad de métricas
administrados de desempeño (por ejemplo, tiempos de respuesta del usuario final y
desempeño de actualización del sistema de administración de la base
de datos).

Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.05 Realice pruebas de 10. Al realizar las pruebas, asegúrese de que se hayan abordado los
implementar cambios de TI aceptación. elementos de respaldo y retroceso del plan de prueba.
administrados

291
Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.05 Realice pruebas de 11. Identificar, registrar y clasificar (p. Ej., Errores menores,
implementar cambios de TI aceptación. significativos, de misión crítica) durante las pruebas. Asegúrese de
administrados que esté disponible una pista de auditoría de los resultados de las
pruebas. De acuerdo con el plan de pruebas, comunique los
resultados de las pruebas a las partes interesadas para facilitar la
corrección de errores y una mayor mejora de la calidad.
Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.06 Promocionar a producción y 1. Prepararse para la transferencia de los procedimientos comerciales
implementar cambios de TI gestionar lanzamientos. y los servicios, las aplicaciones y la infraestructura de apoyo desde las
administrados pruebas al entorno de producción de acuerdo con los estándares de
gestión del cambio organizacional.

Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.06 Promocionar a producción y 2. Determinar el alcance de la implementación piloto o el
implementar cambios de TI gestionar lanzamientos. procesamiento paralelo de los sistemas nuevos y antiguos de acuerdo
administrados con el plan de implementación.

Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.06 Promocionar a producción y 3. Actualice con prontitud la documentación relevante del sistema y
implementar cambios de TI gestionar lanzamientos. el proceso comercial, la información de configuración y los
administrados documentos del plan de contingencia, según corresponda.

Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.06 Promocionar a producción y 4. Asegúrese de que todas las bibliotecas de medios se actualicen
implementar cambios de TI gestionar lanzamientos. rápidamente con la versión del componente de la solución que se
administrados transfiere de la prueba al entorno de producción. Archive la versión
existente y su documentación de respaldo. Asegúrese de que la
promoción a la producción de sistemas, software de aplicación e
infraestructura esté bajo control de configuración.
Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.06 Promocionar a producción y 5. Cuando la distribución de los componentes de la solución se lleve a
implementar cambios de TI gestionar lanzamientos. cabo de forma electrónica, controle la distribución automatizada para
administrados garantizar que los usuarios sean notificados y que la distribución se
produzca solo en los destinos autorizados y correctamente
identificados. En el proceso de publicación, incluya procedimientos
de respaldo para permitir la revisión de la distribución de cambios en
caso de un mal funcionamiento o error.
Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.06 Promocionar a producción y 6. Donde la distribución toma forma física, mantenga un registro
implementar cambios de TI gestionar lanzamientos. formal de qué elementos se han distribuido, a quién, dónde se han
administrados implementado y cuándo se ha actualizado cada uno.

292
Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.07 Brindar soporte de 1. Proporcionar recursos adicionales, según sea necesario, a los
implementar cambios de TI producción temprano. usuarios finales y al personal de soporte hasta que la versión se haya
administrados estabilizado.

Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.07 Brindar soporte de 2. Proporcionar recursos de sistemas de I&T adicionales, según sea
implementar cambios de TI producción temprano. necesario, hasta que el lanzamiento se encuentre en un entorno
administrados operativo estable.

Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.08 Realice una revisión 1. Establecer procedimientos para garantizar que las revisiones
implementar cambios de TI posterior a la posteriores a la implementación identifiquen, evalúen e informen
administrados implementación. sobre la medida en que han ocurrido los siguientes eventos: se han
cumplido los requisitos de la empresa; se han obtenido los beneficios
esperados; el sistema se considera utilizable; se cumplen las
expectativas de las partes interesadas internas y externas; se han
producido impactos inesperados en la empresa; se mitiga el riesgo
Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.08 Realice una revisión 2. Consultar
clave; a los propietarios
y los procesos de gestióndedeprocesos
cambios,deinstalación
negocio yyaacreditación
la dirección
implementar cambios de TI posterior a la técnica de TI
se llevaron sobrede
a cabo la manera
eleccióneficaz
de métricas para medir el éxito y el
y eficiente.
administrados implementación. logro de los requisitos y beneficios.

Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.08 Realice una revisión 3. Realizar la revisión posterior a la implementación de acuerdo con
implementar cambios de TI posterior a la el proceso de gestión del cambio organizacional. Involucrar a los
administrados implementación. propietarios de procesos comerciales y a terceros, según
corresponda.

Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.08 Realice una revisión 4. Considere los requisitos para la revisión posterior a la
implementar cambios de TI posterior a la implementación que surjan del negocio externo y de TI (por ejemplo,
administrados implementación. auditoría interna, ERM, cumplimiento).

Gestión Construir, adquirir e BAI07 Aceptación y transición de BAI07.08 Realice una revisión 5. Acordar e implementar un plan de acción para abordar los
implementar cambios de TI posterior a la problemas identificados en la revisión posterior a la implementación.
administrados implementación. Involucrar a los propietarios de los procesos de negocio y a la
dirección técnica de TI en el desarrollo del plan de acción.

293
Gestión Construir, adquirir e BAI08 Conocimiento gestionado BAI08.01 Identificar y clasificar fuentes 1. Identifique a los usuarios potenciales del conocimiento, incluidos
implementar de información para la los propietarios de la información que puedan necesitar contribuir y
gobernanza y gestión de I&T. aprobar el conocimiento. Obtenga los requisitos de conocimiento y
las fuentes de información de los usuarios identificados.

Gestión Construir, adquirir e BAI08 Conocimiento gestionado BAI08.01 Identificar y clasificar fuentes 2. Considere los tipos de contenido (procedimientos, procesos,
implementar de información para la estructuras, conceptos, políticas, reglas, hechos, clasificaciones),
gobernanza y gestión de I&T. artefactos (documentos, registros, video, voz) e información
estructurada y no estructurada (expertos, redes sociales, correo
electrónico, correo de voz, Feeds de resumen de sitios enriquecidos
(RSS)).
Gestión Construir, adquirir e BAI08 Conocimiento gestionado BAI08.01 Identificar y clasificar fuentes 3. Clasifique las fuentes de información con base en un esquema de
implementar de información para la clasificación de contenido (por ejemplo, modelo de arquitectura de
gobernanza y gestión de I&T. información). Asignar fuentes de información al esquema de
clasificación.

Gestión Construir, adquirir e BAI08 Conocimiento gestionado BAI08.01 Identificar y clasificar fuentes 4. Recopilar, cotejar y validar las fuentes de información con base en
implementar de información para la criterios de validación de la información (por ejemplo,
gobernanza y gestión de I&T. comprensibilidad, relevancia, importancia, integridad, precisión,
consistencia, confidencialidad, vigencia y confiabilidad).

Gestión Construir, adquirir e BAI08 Conocimiento gestionado BAI08.02 Organizar y contextualizar la 1. Identificar atributos compartidos y relacionar fuentes de
implementar información en información, creando relaciones entre conjuntos de información
conocimiento. (etiquetado de información).

Gestión Construir, adquirir e BAI08 Conocimiento gestionado BAI08.02 Organizar y contextualizar la 2. Cree vistas de conjuntos de datos relacionados, teniendo en
implementar información en cuenta los requisitos organizativos y de las partes interesadas.
conocimiento.

Gestión Construir, adquirir e BAI08 Conocimiento gestionado BAI08.02 Organizar y contextualizar la 3. Diseñar e implementar un esquema para gestionar el conocimiento
implementar información en no estructurado no disponible a través de fuentes formales (por
conocimiento. ejemplo, conocimiento experto).

294
Gestión Construir, adquirir e BAI08 Conocimiento gestionado BAI08.02 Organizar y contextualizar la 4. Publicar y hacer accesible el conocimiento a las partes interesadas
implementar información en relevantes, con base en roles y mecanismos de acceso.
conocimiento.

Gestión Construir, adquirir e BAI08 Conocimiento gestionado BAI08.03 Utilice y comparta 1. Establecer expectativas de gestión y demostrar una actitud
implementar conocimientos. adecuada con respecto a la utilidad del conocimiento y la necesidad
de compartir el conocimiento relacionado con el gobierno y la gestión
de la I&T empresarial.

Gestión Construir, adquirir e BAI08 Conocimiento gestionado BAI08.03 Utilice y comparta 2. Identificar usuarios potenciales del conocimiento por clasificación
implementar conocimientos. del conocimiento.

Gestión Construir, adquirir e BAI08 Conocimiento gestionado BAI08.03 Utilice y comparta 3. Transferir el conocimiento a los usuarios del conocimiento, basado
implementar conocimientos. en un análisis de brechas de necesidades y técnicas de aprendizaje
efectivas. Cree un entorno, herramientas y artefactos que apoyen el
intercambio y la transferencia de conocimiento. Asegúrese de que
existan controles de acceso adecuados, de acuerdo con la
clasificación de conocimiento definida.
Gestión Construir, adquirir e BAI08 Conocimiento gestionado BAI08.03 Utilice y comparta 4. Medir el uso de herramientas y elementos de conocimiento y
implementar conocimientos. evaluar el impacto en los procesos de gobernanza.

Gestión Construir, adquirir e BAI08 Conocimiento gestionado BAI08.03 Utilice y comparta 5. Mejorar la información y el conocimiento para los procesos de
implementar conocimientos. gobernanza que muestran brechas de conocimiento.

Gestión Construir, adquirir e BAI08 Conocimiento gestionado BAI08.04 Evaluar y actualizar o retirar 1. Defina los controles para el retiro del conocimiento y retire el
implementar información. conocimiento en consecuencia.

295
Gestión Construir, adquirir e BAI08 Conocimiento gestionado BAI08.04 Evaluar y actualizar o retirar 2. Evaluar la utilidad, relevancia y valor de los elementos del
implementar información. conocimiento. Actualice la información obsoleta que aún tiene
relevancia y valor para la organización. Identifique la información
relacionada que ya no sea relevante para los requisitos de
conocimiento de la empresa y retírela o archive de acuerdo con la
política.
Gestión Construir, adquirir e BAI09 Activos gestionados BAI09.01 Identificar y registrar activos 1. Identifique todos los activos que posee en un registro de activos
implementar corrientes. que registra el estado actual. Los activos se informan en el balance
general; se compran o crean para aumentar el valor de una empresa
o beneficiar las operaciones de la empresa (por ejemplo, hardware y
software). Identifique todos los activos que posee y mantenga la
alineación con los procesos de administración de cambios y
administración de la configuración, el sistema de administración de la
Gestión Construir, adquirir e BAI09 Activos gestionados BAI09.01 Identificar y registrar activos 2. Identificar los
configuración requisitos
y los registroslegales, reglamentarios
de contabilidad o contractuales
financiera.
implementar corrientes. que deben abordarse al administrar el activo.

Gestión Construir, adquirir e BAI09 Activos gestionados BAI09.01 Identificar y registrar activos 3. Verifique que los activos sean adecuados para su propósito (es
implementar corrientes. decir, que estén en condiciones de uso).

Gestión Construir, adquirir e BAI09 Activos gestionados BAI09.01 Identificar y registrar activos 4. Asegúrese de contabilizar todos los activos.
implementar corrientes.

Gestión Construir, adquirir e BAI09 Activos gestionados BAI09.01 Identificar y registrar activos 5. Verificar la existencia de todos los activos propios mediante la
implementar corrientes. realización periódica de comprobaciones y conciliaciones de
inventario físico y lógico. Incluya el uso de herramientas de
descubrimiento de software.

Gestión Construir, adquirir e BAI09 Activos gestionados BAI09.01 Identificar y registrar activos 6. Determine periódicamente si cada activo continúa proporcionando
implementar corrientes. valor. Si es así, estime la vida útil esperada para entregar valor.

296
Gestión Construir, adquirir e BAI09 Activos gestionados BAI09.02 Gestione activos críticos. 1. Identifique los activos que son críticos para proporcionar capacidad
implementar de servicio haciendo referencia a los requisitos en las definiciones de
servicio, SLA y el sistema de gestión de la configuración.

Gestión Construir, adquirir e BAI09 Activos gestionados BAI09.02 Gestione activos críticos. 2. De forma regular, considere el riesgo de falla o la necesidad de
implementar reemplazo de cada activo crítico.

Gestión Construir, adquirir e BAI09 Activos gestionados BAI09.02 Gestione activos críticos. 3. Comunicar a los clientes y usuarios afectados el impacto esperado
implementar (por ejemplo, restricciones de rendimiento) de las actividades de
mantenimiento.

Gestión Construir, adquirir e BAI09 Activos gestionados BAI09.02 Gestione activos críticos. 4. Incorporar el tiempo de inactividad planificado en un programa de
implementar producción general. Programe las actividades de mantenimiento para
minimizar el impacto adverso en los procesos comerciales.

Gestión Construir, adquirir e BAI09 Activos gestionados BAI09.02 Gestione activos críticos. 5. Mantenga la resiliencia de los activos críticos aplicando un
implementar mantenimiento preventivo regular. Supervise el desempeño y, si es
necesario, proporcione activos alternativos y / o adicionales para
minimizar la probabilidad de fallas.

Gestión Construir, adquirir e BAI09 Activos gestionados BAI09.02 Gestione activos críticos. 6. Establecer un plan de mantenimiento preventivo para todo el
implementar hardware, considerando el análisis de costo / beneficio, las
recomendaciones de los proveedores, el riesgo de interrupción, el
personal calificado y otros factores relevantes.

Gestión Construir, adquirir e BAI09 Activos gestionados BAI09.02 Gestione activos críticos. 7. Establecer acuerdos de mantenimiento que impliquen el acceso de
implementar terceros a las instalaciones de I&T de la organización para actividades
en el sitio y fuera del sitio (por ejemplo, subcontratación). Establecer
contratos de servicio formales que contengan o hagan referencia a
todas las condiciones de seguridad y privacidad necesarias, incluidos
los procedimientos de autorización de acceso, para garantizar el
cumplimiento de las políticas y estándares de seguridad / privacidad
de la organización.

297
Gestión Construir, adquirir e BAI09 Activos gestionados BAI09.02 Gestione activos críticos. 8. Asegúrese de que los servicios de acceso remoto y los perfiles de
implementar usuario (u otros medios utilizados para el mantenimiento o el
diagnóstico) estén activos solo cuando sea necesario.

Gestión Construir, adquirir e BAI09 Activos gestionados BAI09.02 Gestione activos críticos. 9. Monitorear el desempeño de los activos críticos examinando las
implementar tendencias de los incidentes. Cuando sea necesario, tome las
medidas necesarias para repararlo o reemplazarlo.

Gestión Construir, adquirir e BAI09 Activos gestionados BAI09.03 Gestionar el ciclo de vida de 1. Adquirir todos los activos según las solicitudes aprobadas y de
implementar los activos. acuerdo con las políticas y prácticas de adquisiciones de la empresa.

Gestión Construir, adquirir e BAI09 Activos gestionados BAI09.03 Gestionar el ciclo de vida de 2. Obtenga, reciba, verifique, pruebe y registre todos los activos de
implementar los activos. manera controlada, incluido el etiquetado físico según sea necesario.

Gestión Construir, adquirir e BAI09 Activos gestionados BAI09.03 Gestionar el ciclo de vida de 3. Aprobar los pagos y completar el proceso con los proveedores de
implementar los activos. acuerdo con las condiciones del contrato pactado.

Gestión Construir, adquirir e BAI09 Activos gestionados BAI09.03 Gestionar el ciclo de vida de 4. Despliegue los activos siguiendo el ciclo de vida de implementación
implementar los activos. estándar, incluida la gestión de cambios y las pruebas de aceptación.

Gestión Construir, adquirir e BAI09 Activos gestionados BAI09.03 Gestionar el ciclo de vida de 5. Asignar activos a los usuarios, con aceptación de responsabilidades
implementar los activos. y aprobación, según corresponda.

298
Gestión Construir, adquirir e BAI09 Activos gestionados BAI09.03 Gestionar el ciclo de vida de 6. Siempre que sea posible, reasigne los activos cuando ya no sean
implementar los activos. necesarios debido a un cambio de rol de usuario, redundancia dentro
de un servicio o retiro de un servicio.

Gestión Construir, adquirir e BAI09 Activos gestionados BAI09.03 Gestionar el ciclo de vida de 7. Planificar, autorizar e implementar actividades relacionadas con la
implementar los activos. jubilación, conservando los registros adecuados para satisfacer las
necesidades comerciales y reglamentarias en curso.

Gestión Construir, adquirir e BAI09 Activos gestionados BAI09.03 Gestionar el ciclo de vida de 8. Elimine los activos de forma segura, considerando, por ejemplo, la
implementar los activos. eliminación permanente de cualquier dato grabado en los
dispositivos multimedia y el daño potencial al medio ambiente.

Gestión Construir, adquirir e BAI09 Activos gestionados BAI09.03 Gestionar el ciclo de vida de 9. Disponer de forma responsable los activos cuando no sirvan para
implementar los activos. ningún propósito útil por retiro de todos los servicios relacionados,
tecnología obsoleta o falta de usuarios en cuanto a impacto
ambiental.

Gestión Construir, adquirir e BAI09 Activos gestionados BAI09.04 Optimice el valor de los 1. Revise periódicamente la base de activos general, considerando si
implementar activos. está alineada con los requisitos comerciales.

Gestión Construir, adquirir e BAI09 Activos gestionados BAI09.04 Optimice el valor de los 2. Evalúe los costos de mantenimiento, considere la razonabilidad e
implementar activos. identifique opciones de menor costo. Incluya, cuando sea necesario,
reemplazo por nuevas alternativas.

Gestión Construir, adquirir e BAI09 Activos gestionados BAI09.04 Optimice el valor de los 3. Revise las garantías y considere la relación calidad-precio y las
implementar activos. estrategias de reemplazo para determinar las opciones de menor
costo.

299
Gestión Construir, adquirir e BAI09 Activos gestionados BAI09.04 Optimice el valor de los 4. Utilice estadísticas de capacidad y utilización para identificar
implementar activos. activos infrautilizados o redundantes que podrían considerarse para
su eliminación o reemplazo para reducir costos.

Gestión Construir, adquirir e BAI09 Activos gestionados BAI09.04 Optimice el valor de los 5. Revise la base general para identificar oportunidades de
implementar activos. estandarización, abastecimiento único y otras estrategias que puedan
reducir los costos de adquisición, soporte y mantenimiento.

Gestión Construir, adquirir e BAI09 Activos gestionados BAI09.04 Optimice el valor de los 6. Revisar el estado general para identificar oportunidades para
implementar activos. aprovechar tecnologías emergentes o estrategias de abastecimiento
alternativas para reducir costos o aumentar la relación calidad-precio.

Gestión Construir, adquirir e BAI09 Activos gestionados BAI09.05 Gestionar licencias. 1. Mantenga un registro de todas las licencias de software adquiridas
implementar y los acuerdos de licencia asociados.

Gestión Construir, adquirir e BAI09 Activos gestionados BAI09.05 Gestionar licencias. 2. Realice una auditoría de forma regular para identificar todas las
implementar instancias de software con licencia instalado.

Gestión Construir, adquirir e BAI09 Activos gestionados BAI09.05 Gestionar licencias. 3. Compare la cantidad de instancias de software instaladas con la
implementar cantidad de licencias que posee. Asegúrese de que el método de
medición del cumplimiento de la licencia cumpla con los requisitos
contractuales y de la licencia.

Gestión Construir, adquirir e BAI09 Activos gestionados BAI09.05 Gestionar licencias. 4. Cuando las instancias sean inferiores a la cantidad que se posee,
implementar decida si es necesario retener o cancelar las licencias, teniendo en
cuenta la posibilidad de ahorrar en costos de mantenimiento,
capacitación y otros costos innecesarios.

300
Gestión Construir, adquirir e BAI09 Activos gestionados BAI09.05 Gestionar licencias. 5. Cuando las instancias sean más altas que el número que posee,
implementar considere primero la oportunidad de desinstalar las instancias que ya
no sean necesarias o que no estén justificadas y luego, si es
necesario, compre licencias adicionales para cumplir con el acuerdo
de licencia.

Gestión Construir, adquirir e BAI09 Activos gestionados BAI09.05 Gestionar licencias. 6. Con regularidad, considere si se puede obtener un mejor valor
implementar mejorando los productos y las licencias asociadas.

Gestión Construir, adquirir e BAI10 Configuración gestionada BAI10.01 Establecer y mantener un 1. Defina y acuerde el alcance y el nivel de detalle para la gestión de
implementar modelo de configuración. la configuración (es decir, qué servicios, activos y elementos
configurables de infraestructura incluir).

Gestión Construir, adquirir e BAI10 Configuración gestionada BAI10.01 Establecer y mantener un 2. Establecer y mantener un modelo lógico para la gestión de la
implementar modelo de configuración. configuración, que incluya información sobre tipos de CI, atributos,
tipos de relaciones, atributos de relaciones y códigos de estado.

Gestión Construir, adquirir e BAI10 Configuración gestionada BAI10.02 Establecer y mantener un 1. Identifique y clasifique los CI y llene el repositorio.
implementar repositorio de configuración
y una línea de base.

Gestión Construir, adquirir e BAI10 Configuración gestionada BAI10.02 Establecer y mantener un 2. Crear, revisar y acordar formalmente las líneas base de
implementar repositorio de configuración configuración de un servicio, aplicación o infraestructura.
y una línea de base.

Gestión Construir, adquirir e BAI10 Configuración gestionada BAI10.03 Mantener y controlar los 1. Identifique periódicamente todos los cambios en los elementos de
implementar elementos de configuración. configuración.

301
Gestión Construir, adquirir e BAI10 Configuración gestionada BAI10.03 Mantener y controlar los 2. Para garantizar la integridad y precisión, revise los cambios
implementar elementos de configuración. propuestos a los IC con respecto a la línea de base.

Gestión Construir, adquirir e BAI10 Configuración gestionada BAI10.03 Mantener y controlar los 3. Actualice los detalles de configuración de los cambios aprobados
implementar elementos de configuración. en los elementos de configuración.

Gestión Construir, adquirir e BAI10 Configuración gestionada BAI10.03 Mantener y controlar los 4. Cree, revise y acuerde formalmente los cambios en las líneas base
implementar elementos de configuración. de configuración cuando sea necesario.

Gestión Construir, adquirir e BAI10 Configuración gestionada BAI10.04 Genere informes de estado y 1. Identifique los cambios de estado de los CI e informe con respecto
implementar configuración. a la línea de base.

Gestión Construir, adquirir e BAI10 Configuración gestionada BAI10.04 Genere informes de estado y 2. Haga coincidir todos los cambios de configuración con las
implementar configuración. solicitudes de cambio aprobadas para identificar cualquier cambio no
autorizado. Informar cambios no autorizados a la gestión de cambios.

Gestión Construir, adquirir e BAI10 Configuración gestionada BAI10.04 Genere informes de estado y 3. Identificar los requisitos de presentación de informes de todas las
implementar configuración. partes interesadas, incluido el contenido, la frecuencia y los medios.
Elaborar informes de acuerdo con los requisitos identificados.

Gestión Construir, adquirir e BAI10 Configuración gestionada BAI10.05 Verifique y revise la 1. Verifique periódicamente los elementos de configuración en vivo
implementar integridad del repositorio de con el repositorio de configuración comparando configuraciones
configuración. físicas y lógicas y utilizando las herramientas de descubrimiento
adecuadas, según sea necesario.

302
Gestión Construir, adquirir e BAI10 Configuración gestionada BAI10.05 Verifique y revise la 2. Informar y revisar todas las desviaciones en busca de correcciones
implementar integridad del repositorio de aprobadas o acciones para eliminar cualquier activo no autorizado.
configuración.

Gestión Construir, adquirir e BAI10 Configuración gestionada BAI10.05 Verifique y revise la 3. Verifique periódicamente que todos los elementos de
implementar integridad del repositorio de configuración física, según se definen en el repositorio, existan
configuración. físicamente. Informe cualquier desviación a la gerencia.

Gestión Construir, adquirir e BAI10 Configuración gestionada BAI10.05 Verifique y revise la 4. Establezca y revise periódicamente el objetivo para verificar que el
implementar integridad del repositorio de repositorio de configuración esté completo en función de las
configuración. necesidades comerciales.

Gestión Construir, adquirir e BAI10 Configuración gestionada BAI10.05 Verifique y revise la 5. Compare periódicamente el grado de integridad y precisión con los
implementar integridad del repositorio de objetivos y tome las medidas correctivas, según sea necesario, para
configuración. mejorar la calidad de los datos del repositorio.

Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.01 Mantener un enfoque 1. Mantener y hacer cumplir un enfoque estándar para la gestión de
implementar estándar para la gestión de proyectos alineado con el entorno específico de la empresa y con las
proyectos. buenas prácticas basadas en un proceso definido y el uso de la
tecnología adecuada. Asegúrese de que el enfoque cubra el ciclo de
vida completo y las disciplinas a seguir, incluida la gestión del alcance,
los recursos, el riesgo, el costo, la calidad, el tiempo, la comunicación,
la participación de las partes interesadas, las adquisiciones, el control
Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.01 Mantener un enfoque 2.
deProporcionar la formación
cambios, la integración y laadecuada ende
realización gestión de proyectos y
beneficios.
implementar estándar para la gestión de considerar la certificación de los directores de proyectos.
proyectos.

Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.01 Mantener un enfoque 3. Establecer una oficina de gestión de proyectos (PMO) que
implementar estándar para la gestión de mantenga el enfoque estándar para la gestión de programas y
proyectos. proyectos en toda la organización. La PMO apoya todos los proyectos
mediante la creación y el mantenimiento de las plantillas de
documentación del proyecto requeridas, brindando capacitación y
mejores prácticas para los gerentes de proyectos, rastreando
métricas sobre el uso de las mejores prácticas para la gestión de
proyectos, etc. En algunos casos, la PMO también puede informar
sobre el progreso del proyecto a la alta dirección y / o las partes
interesadas, ayudan a priorizar los proyectos y garantizan que todos
los proyectos respalden los objetivos comerciales generales de la
empresa.

303
Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.01 Mantener un enfoque 4. Evaluar las lecciones aprendidas sobre el uso del enfoque de
implementar estándar para la gestión de gestión de proyectos. Actualice las buenas prácticas, herramientas y
proyectos. plantillas en consecuencia.

Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.02 Poner en marcha e iniciar un 1. Para crear un entendimiento común del alcance del proyecto entre
implementar proyecto. las partes interesadas, bríndeles una declaración clara por escrito que
defina la naturaleza, el alcance y los entregables de cada proyecto.

Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.02 Poner en marcha e iniciar un 2. Asegúrese de que cada proyecto tenga uno o más patrocinadores
implementar proyecto. con autoridad suficiente para gestionar la ejecución del proyecto
dentro del programa general.

Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.02 Poner en marcha e iniciar un 3. Asegúrese de que las partes interesadas y los patrocinadores clave
implementar proyecto. dentro de la empresa (negocios y TI) estén de acuerdo y acepten los
requisitos del proyecto, incluida la definición de los criterios de éxito
(aceptación) del proyecto y los indicadores clave de rendimiento
(KPI).

Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.02 Poner en marcha e iniciar un 4. Designe un gerente dedicado al proyecto. Asegúrese de que la
implementar proyecto. persona tenga la comprensión necesaria de la tecnología y los
negocios y las competencias y habilidades correspondientes para
gestionar el proyecto de manera eficaz y eficiente.

Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.02 Poner en marcha e iniciar un 5. Asegúrese de que la definición del proyecto describa los requisitos
implementar proyecto. para un plan de comunicación del proyecto que identifique las
comunicaciones internas y externas del proyecto.

Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.02 Poner en marcha e iniciar un 6. Con la aprobación de las partes interesadas, mantenga la definición
implementar proyecto. del proyecto durante todo el proyecto, reflejando los requisitos
cambiantes.

304
Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.02 Poner en marcha e iniciar un 7. Para hacer un seguimiento de la ejecución de un proyecto, poner
implementar proyecto. en marcha mecanismos tales como informes regulares y revisiones de
fase, liberación o fase, para que ocurran de manera oportuna y con la
aprobación adecuada.

Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.03 Gestionar la participación de 1. Planifique cómo se identificarán, analizarán, involucrarán y
implementar las partes interesadas. gestionarán las partes interesadas dentro y fuera de la empresa a lo
largo del ciclo de vida del proyecto.

Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.03 Gestionar la participación de 2. Identificar, involucrar y gestionar a las partes interesadas mediante
implementar las partes interesadas. el establecimiento y mantenimiento de niveles adecuados de
coordinación, comunicación y enlace para garantizar que participen
en el proyecto.

Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.03 Gestionar la participación de 3. Analizar los intereses, requisitos y participación de las partes
implementar las partes interesadas. interesadas. Tome las medidas necesarias para solucionar el
problema.

Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.04 Desarrollar y mantener el 1. Desarrolle un plan de proyecto que proporcione información que
implementar plan del proyecto. permita a la gerencia controlar el progreso del proyecto de manera
progresiva. El plan debe incluir detalles de los entregables del
proyecto y los criterios de aceptación, los recursos y
responsabilidades internos y externos requeridos, las estructuras y
los paquetes de trabajo de desglose del trabajo claros, las
estimaciones de los recursos requeridos, los hitos / plan / fases de
Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.04 Desarrollar y mantener el 2. Mantener el
lanzamiento, lasplan del proyecto
dependencias y cualquier
clave, plan dependiente
el presupuesto (por
y los costos, y la
implementar plan del proyecto. ejemplo, plan de riesgo, plan de calidad,
identificación de un camino crítico. plan de realización de
beneficios). Asegúrese de que los planes estén actualizados y reflejen
el progreso real y los cambios materiales aprobados.

Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.04 Desarrollar y mantener el 3. Asegúrese de que haya una comunicación eficaz de los planes del
implementar plan del proyecto. proyecto y los informes de progreso. Asegúrese de que los cambios
realizados en los planes individuales se reflejen en otros planes.

305
Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.04 Desarrollar y mantener el 4. Determinar las actividades, las interdependencias y la colaboración
implementar plan del proyecto. y comunicación requeridas dentro del proyecto y entre múltiples
proyectos dentro de un programa.

Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.04 Desarrollar y mantener el 5. Asegúrese de que cada hito vaya acompañado de un producto
implementar plan del proyecto. importante que requiera revisión y aprobación.

Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.04 Desarrollar y mantener el 6. Establezca una línea de base del proyecto (por ejemplo, costo,
implementar plan del proyecto. cronograma, alcance, calidad) que se revise, apruebe e incorpore
adecuadamente en el plan integrado del proyecto.

Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.05 Gestionar la calidad del 1. Proporcionar garantía de calidad para los entregables del proyecto,
implementar proyecto. identificar la propiedad y las responsabilidades, los procesos de
revisión de la calidad, los criterios de éxito y las métricas de
desempeño.

Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.05 Gestionar la calidad del 2. Identificar las tareas y prácticas de aseguramiento necesarias para
implementar proyecto. respaldar la acreditación de sistemas nuevos o modificados durante
la planificación del proyecto. Inclúyelos en los planes integrados.
Asegúrese de que las tareas brinden garantía de que los controles
internos y las soluciones de seguridad y privacidad cumplen los
requisitos definidos.
Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.05 Gestionar la calidad del 3. Definir los requisitos para la validación y verificación
implementar proyecto. independientes de la calidad de los entregables en el plan.

Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.05 Gestionar la calidad del 4. Realizar actividades de aseguramiento y control de la calidad de
implementar proyecto. acuerdo con el plan de gestión de la calidad y el SGC.

306
Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.06 Gestionar el riesgo del 1. Establecer un enfoque formal de gestión de riesgos del proyecto
implementar proyecto. alineado con el marco de ERM. Asegúrese de que el enfoque incluya
identificar, analizar, responder, mitigar, monitorear y controlar el
riesgo.

Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.06 Gestionar el riesgo del 2. Asignar a personal debidamente capacitado la responsabilidad de
implementar proyecto. ejecutar el proceso de gestión de riesgos del proyecto de la empresa
dentro de un proyecto y asegurarse de que esto se incorpore en las
prácticas de desarrollo de la solución. Considere asignar este rol a un
equipo independiente, especialmente si se requiere un punto de vista
objetivo o si un proyecto se considera crítico.
Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.06 Gestionar el riesgo del 3. Identificar a los propietarios de las acciones para evitar, aceptar o
implementar proyecto. mitigar el riesgo.

Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.06 Gestionar el riesgo del 4. Realizar la evaluación de riesgos del proyecto para identificar y
implementar proyecto. cuantificar el riesgo de forma continua a lo largo del proyecto.
Gestionar y comunicar el riesgo de forma adecuada dentro de la
estructura de gobierno del proyecto.

Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.06 Gestionar el riesgo del 5. Reevalúe el riesgo del proyecto periódicamente, incluso al inicio de
implementar proyecto. cada fase principal del proyecto y como parte de las evaluaciones de
las solicitudes de cambios importantes.

Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.06 Gestionar el riesgo del 6. Mantener y revisar un registro de riesgos del proyecto de todos los
implementar proyecto. riesgos potenciales del proyecto y un registro de mitigación de
riesgos de todos los problemas del proyecto y su resolución. Analice
el registro periódicamente en busca de tendencias y problemas
recurrentes para asegurarse de que se corrijan las causas
fundamentales.
Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.07 Monitorear y controlar 1. Establecer y utilizar un conjunto de criterios del proyecto que
implementar proyectos. incluyen, entre otros, el alcance, el beneficio comercial esperado, el
cronograma, la calidad, el costo y el nivel de riesgo.

307
Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.07 Monitorear y controlar 2. Informar a las partes interesadas clave identificadas el progreso del
implementar proyectos. proyecto dentro del proyecto, las desviaciones de los criterios clave
de desempeño del proyecto establecidos (tales como, entre otros, los
beneficios comerciales esperados) y los posibles efectos positivos y
negativos en el proyecto.

Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.07 Monitorear y controlar 3. Documentar y enviar los cambios necesarios a las partes
implementar proyectos. interesadas clave del proyecto para su aprobación antes de su
adopción. Comunique los criterios revisados ​a los gerentes de
proyecto para su uso en futuros informes de desempeño.

Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.07 Monitorear y controlar 4. Para los entregables producidos en cada iteración, lanzamiento o
implementar proyectos. fase del proyecto, obtenga la aprobación y el visto bueno de los
gerentes y usuarios designados en las funciones de TI y de negocio
afectadas.

Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.07 Monitorear y controlar 5. Base el proceso de aprobación en criterios de aceptación
implementar proyectos. claramente definidos acordados por las partes interesadas clave
antes de que comience el trabajo en la fase del proyecto o la
iteración entregable.

Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.07 Monitorear y controlar 6. Evaluar el proyecto en las principales etapas, lanzamientos o
implementar proyectos. iteraciones acordadas. Tome decisiones formales de ir / no ir basadas
en criterios de éxito críticos predeterminados.

Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.07 Monitorear y controlar 7. Establecer y operar un sistema de control de cambios para el
implementar proyectos. proyecto de modo que todos los cambios en la línea de base del
proyecto (por ejemplo, alcance, beneficios comerciales esperados,
cronograma, calidad, costo, nivel de riesgo) se revisen, aprueben e
incorporen adecuadamente en el plan integrado del proyecto. en
consonancia con el marco de gobernanza del programa y proyecto.
Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.07 Monitorear y controlar 8. Medir el desempeño del proyecto contra los criterios clave de
implementar proyectos. desempeño del proyecto. Analizar las desviaciones de los criterios
clave de desempeño del proyecto establecidos por causa y evaluar
los efectos positivos y negativos en el proyecto.

308
Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.07 Monitorear y controlar 9. Monitorear los cambios en el proyecto y revisar los criterios clave
implementar proyectos. de desempeño del proyecto existentes para determinar si todavía
representan medidas válidas de progreso.

Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.07 Monitorear y controlar 10. Recomendar y monitorear las acciones correctivas, cuando sea
implementar proyectos. necesario, de acuerdo con el marco de gobernanza del proyecto.

Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.08 Gestione los recursos del 1. Identifique las necesidades comerciales y de recursos de TI para el
implementar proyecto y los paquetes de proyecto y asigne claramente los roles y responsabilidades
trabajo. apropiados, con las autoridades de escalada y toma de decisiones
acordadas y entendidas.

Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.08 Gestione los recursos del 2. Identificar las habilidades requeridas y los requisitos de tiempo
implementar proyecto y los paquetes de para todas las personas involucradas en las fases del proyecto en
trabajo. relación con los roles definidos. Asignar personal a los roles según la
información de habilidades disponible (por ejemplo, matriz de
habilidades de TI).

Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.08 Gestione los recursos del 3. Utilizar la gestión de proyectos con experiencia y los recursos del
implementar proyecto y los paquetes de líder del equipo con las habilidades adecuadas para el tamaño, la
trabajo. complejidad y el riesgo del proyecto.

Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.08 Gestione los recursos del 4. Considere y defina claramente los roles y responsabilidades de
implementar proyecto y los paquetes de otras partes involucradas, incluyendo finanzas, legal, adquisiciones,
trabajo. recursos humanos, auditoría interna y cumplimiento.

Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.08 Gestione los recursos del 5. Definir claramente y acordar la responsabilidad de la adquisición y
implementar proyecto y los paquetes de gestión de productos y servicios de terceros, y gestionar las
trabajo. relaciones.

309
Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.08 Gestione los recursos del 6. Identificar y autorizar la ejecución de la obra según el plan del
implementar proyecto y los paquetes de proyecto.
trabajo.

Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.08 Gestione los recursos del 7. Identifique las lagunas en el plan del proyecto y proporcione
implementar proyecto y los paquetes de retroalimentación al director del proyecto para corregirlas.
trabajo.

Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.09 Cierre un proyecto o 1. Obtener la aceptación de las partes interesadas de los entregables
implementar iteración. del proyecto y transferir la propiedad.

Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.09 Cierre un proyecto o 2. Definir y aplicar los pasos clave para el cierre del proyecto,
implementar iteración. incluidas las revisiones posteriores a la implementación que evalúan
si un proyecto logró los resultados deseados.

Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.09 Cierre un proyecto o 3. Planificar y ejecutar revisiones posteriores a la implementación
implementar iteración. para determinar si los proyectos arrojaron los resultados esperados.
Mejorar la metodología del proceso de gestión de proyectos y
desarrollo de sistemas.

Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.09 Cierre un proyecto o 4. Identificar, asignar, comunicar y rastrear cualquier actividad
implementar iteración. incompleta requerida para asegurar que el proyecto entregó los
resultados requeridos en términos de capacidades y los resultados
contribuyeron como se esperaba a los beneficios del programa.

Gestión Construir, adquirir e BAI11 Proyectos gestionados BAI11.09 Cierre un proyecto o 5. Con regularidad, y una vez finalizado el proyecto, recopile las
implementar iteración. lecciones aprendidas de los participantes del proyecto. Revíselos y las
actividades clave que llevaron a obtener beneficios y valor. Analizar
los datos y hacer recomendaciones para mejorar el proyecto actual y
el método de gestión de proyectos para proyectos futuros.

310
Gestión Entrega, servicio y DSS01 Operaciones gestionadas DSS01.01 Realizar procedimientos 1. Desarrollar y mantener procedimientos operativos y actividades
soporte operativos. relacionadas para respaldar todos los servicios prestados.

Gestión Entrega, servicio y DSS01 Operaciones gestionadas DSS01.01 Realizar procedimientos 2. Mantener un cronograma de actividades operativas y realizar las
soporte operativos. actividades.

Gestión Entrega, servicio y DSS01 Operaciones gestionadas DSS01.01 Realizar procedimientos 3. Verificar que todos los datos que se espera procesar se reciban y
soporte operativos. procesen de manera completa, precisa y oportuna. Entregue
resultados de acuerdo con los requisitos de la empresa. Apoyar las
necesidades de reinicio y reprocesamiento. Asegúrese de que los
usuarios reciban los resultados correctos de manera segura y
oportuna.
Gestión Entrega, servicio y DSS01 Operaciones gestionadas DSS01.01 Realizar procedimientos 4. Gestionar el rendimiento y el rendimiento de las actividades
soporte operativos. programadas.

Gestión Entrega, servicio y DSS01 Operaciones gestionadas DSS01.01 Realizar procedimientos 5. Monitorear los incidentes y problemas relacionados con los
soporte operativos. procedimientos operativos y tomar las acciones apropiadas para
mejorar la confiabilidad de las tareas operativas realizadas.

Gestión Entrega, servicio y DSS01 Operaciones gestionadas DSS01.02 Gestionar servicios de I&T 1. Asegurarse de que los requisitos de la empresa para la seguridad
soporte subcontratados. de los procesos de información se adhieran a los contratos y SLA con
terceros que alojan o prestan servicios.

Gestión Entrega, servicio y DSS01 Operaciones gestionadas DSS01.02 Gestionar servicios de I&T 2. Asegurarse de que los requisitos y prioridades de procesamiento
soporte subcontratados. de TI y de negocios operativos de la empresa para la prestación de
servicios se adhieran a los contratos y SLA con terceros que alojan o
prestan servicios.

311
Gestión Entrega, servicio y DSS01 Operaciones gestionadas DSS01.02 Gestionar servicios de I&T 3. Integrar los procesos de gestión de TI internos críticos con los de
soporte subcontratados. los proveedores de servicios subcontratados. Esto debería cubrir, por
ejemplo, la planificación del rendimiento y la capacidad, la gestión de
cambios, la gestión de la configuración, la gestión de incidentes y
solicitudes de servicio, la gestión de problemas, la gestión de la
seguridad, la continuidad del negocio y la supervisión del rendimiento
y la generación de informes del proceso.
Gestión Entrega, servicio y DSS01 Operaciones gestionadas DSS01.02 Gestionar servicios de I&T 4. Planifique una auditoría independiente y aseguramiento de los
soporte subcontratados. entornos operativos de los proveedores subcontratados para
confirmar que los requisitos acordados se están abordando
adecuadamente.

Gestión Entrega, servicio y DSS01 Operaciones gestionadas DSS01.03 Monitorear la infraestructura 1. Registre eventos. Identificar el nivel de información a registrar, con
soporte de I&T. base en una consideración de riesgo y desempeño.

Gestión Entrega, servicio y DSS01 Operaciones gestionadas DSS01.03 Monitorear la infraestructura 2. Identificar y mantener una lista de activos de infraestructura que
soporte de I&T. necesitan ser monitoreados, en base a la criticidad del servicio y la
relación entre los elementos de configuración y los servicios que
dependen de ellos.

Gestión Entrega, servicio y DSS01 Operaciones gestionadas DSS01.03 Monitorear la infraestructura 3. Definir e implementar reglas que identifiquen y registren las
soporte de I&T. violaciones de los umbrales y las condiciones del evento. Encuentre
un equilibrio entre la generación de eventos menores espurios y
eventos significativos para que los registros de eventos no se
sobrecarguen con información innecesaria.

Gestión Entrega, servicio y DSS01 Operaciones gestionadas DSS01.03 Monitorear la infraestructura 4. Produzca registros de eventos y consérvelos durante un período
soporte de I&T. apropiado para ayudar en futuras investigaciones.

Gestión Entrega, servicio y DSS01 Operaciones gestionadas DSS01.03 Monitorear la infraestructura 5. Asegúrese de que los tickets de incidentes se creen de manera
soporte de I&T. oportuna al monitorear las desviaciones identificadas de los umbrales
definidos.

312
Gestión Entrega, servicio y DSS01 Operaciones gestionadas DSS01.03 Monitorear la infraestructura 6. Establezca procedimientos para monitorear los registros de
soporte de I&T. eventos. Realice revisiones periódicas.

Gestión Entrega, servicio y DSS01 Operaciones gestionadas DSS01.04 Manejar el medio ambiente. 1. Identificar desastres naturales y provocados por el hombre que
soporte puedan ocurrir en el área donde se encuentran las instalaciones de
TI. Evaluar el efecto potencial en las instalaciones de TI.

Gestión Entrega, servicio y DSS01 Operaciones gestionadas DSS01.04 Manejar el medio ambiente. 2. Identificar cómo los equipos de I&T, incluidos los equipos móviles y
soporte externos, están protegidos contra las amenazas ambientales.
Asegúrese de que la política limite o excluya comer, beber y fumar en
áreas sensibles y prohíba el almacenamiento de material de oficina y
otros suministros que representen un peligro de incendio dentro de
las salas de computadoras.
Gestión Entrega, servicio y DSS01 Operaciones gestionadas DSS01.04 Manejar el medio ambiente. 3. Mantenga los sitios de TI y las salas de servidores limpios y en
soporte condiciones seguras en todo momento (es decir, sin ensuciar, sin
cajas de papel o cartón, sin cubos de basura llenos, sin productos
químicos o materiales inflamables).

Gestión Entrega, servicio y DSS01 Operaciones gestionadas DSS01.04 Manejar el medio ambiente. 4. Situar y construir instalaciones de TI para minimizar y mitigar la
soporte susceptibilidad a las amenazas ambientales (por ejemplo, robo, aire,
fuego, humo, agua, vibración, terror, vandalismo, productos
químicos, explosivos). Considere zonas de seguridad específicas y / o
celdas a prueba de fuego (p. Ej., Ubicar los entornos / servidores de
producción y desarrollo alejados unos de otros).
Gestión Entrega, servicio y DSS01 Operaciones gestionadas DSS01.04 Manejar el medio ambiente. 5. Compare las medidas y los planes de contingencia con los
soporte requisitos de la póliza de seguros e informe los resultados. Abordar
los puntos de incumplimiento de manera oportuna.

Gestión Entrega, servicio y DSS01 Operaciones gestionadas DSS01.04 Manejar el medio ambiente. 6. Responder a las alarmas ambientales y otras notificaciones.
soporte Documentar y probar los procedimientos, que deben incluir la
priorización de las alarmas y el contacto con las autoridades locales
de respuesta a emergencias. Capacite al personal en estos
procedimientos.

313
Gestión Entrega, servicio y DSS01 Operaciones gestionadas DSS01.04 Manejar el medio ambiente. 7. Monitorear y mantener regularmente los dispositivos que detectan
soporte de manera proactiva las amenazas ambientales (por ejemplo, fuego,
agua, humo, humedad).

Gestión Entrega, servicio y DSS01 Operaciones gestionadas DSS01.05 Gestionar instalaciones. 1. Examinar los requisitos de protección de las instalaciones de TI
soporte contra fluctuaciones y cortes de energía, junto con otros requisitos de
planificación de la continuidad del negocio. Adquirir equipo de
suministro ininterrumpido adecuado (por ejemplo, baterías,
generadores) para respaldar la planificación de la continuidad del
negocio.
Gestión Entrega, servicio y DSS01 Operaciones gestionadas DSS01.05 Gestionar instalaciones. 2. Pruebe periódicamente los mecanismos del sistema de
soporte alimentación ininterrumpida. Asegúrese de que la alimentación se
pueda conectar al suministro sin ningún efecto significativo en las
operaciones comerciales.

Gestión Entrega, servicio y DSS01 Operaciones gestionadas DSS01.05 Gestionar instalaciones. 3. Asegúrese de que las instalaciones que albergan los sistemas de
soporte I&T tengan más de una fuente de servicios públicos dependientes
(por ejemplo, energía, telecomunicaciones, agua, gas). Separe la
entrada física de cada servicio.

Gestión Entrega, servicio y DSS01 Operaciones gestionadas DSS01.05 Gestionar instalaciones. 4. Confirme que el cableado externo al sitio de TI esté ubicado bajo
soporte tierra o tenga una protección alternativa adecuada. Determine que el
cableado dentro del sitio de TI esté contenido dentro de conductos
seguros y que el acceso a los gabinetes de cableado esté restringido
al personal autorizado. Proteja adecuadamente el cableado contra
daños causados ​por fuego, humo, agua, intercepciones e
interferencias.
Gestión Entrega, servicio y DSS01 Operaciones gestionadas DSS01.05 Gestionar instalaciones. 5. Asegúrese de que el cableado y el parcheo físico (datos y teléfono)
soporte estén estructurados y organizados. Las estructuras de cableado y
conductos deben documentarse (p. Ej., Planos de construcción y
diagramas de cableado).

Gestión Entrega, servicio y DSS01 Operaciones gestionadas DSS01.05 Gestionar instalaciones. 6. Con regularidad, educar al personal sobre las leyes, los
soporte reglamentos y las pautas pertinentes de salud y seguridad. Eduque al
personal sobre los simulacros de incendio y rescate para garantizar el
conocimiento y las acciones tomadas en caso de incendio o
incidentes similares.

314
Gestión Entrega, servicio y DSS01 Operaciones gestionadas DSS01.05 Gestionar instalaciones. 7. Asegúrese de que los sitios y equipos de TI se mantengan de
soporte acuerdo con las especificaciones y los intervalos de servicio
recomendados por el proveedor. Asegúrese de que el mantenimiento
sea realizado únicamente por personal autorizado.

Gestión Entrega, servicio y DSS01 Operaciones gestionadas DSS01.05 Gestionar instalaciones. 8. Analizar los sistemas de alta disponibilidad de las instalaciones que
soporte albergan los requisitos de cableado de redundancia y falla (externos e
internos).

Gestión Entrega, servicio y DSS01 Operaciones gestionadas DSS01.05 Gestionar instalaciones. 9. Asegurarse de que los sitios e instalaciones de TI cumplan
soporte continuamente con las leyes, reglamentaciones, directrices y
especificaciones de los proveedores de salud y seguridad pertinentes.

Gestión Entrega, servicio y DSS01 Operaciones gestionadas DSS01.05 Gestionar instalaciones. 10. Registrar, monitorear, gestionar y resolver los incidentes de las
soporte instalaciones de acuerdo con el proceso de gestión de incidentes de
I&T. Poner a disposición informes sobre incidentes en las
instalaciones cuya divulgación sea requerida por las leyes y
regulaciones.

Gestión Entrega, servicio y DSS01 Operaciones gestionadas DSS01.05 Gestionar instalaciones. 11. Analice las alteraciones físicas en los sitios o instalaciones de TI
soporte para reevaluar el riesgo ambiental (por ejemplo, daños por fuego o
agua). Informe los resultados de este análisis a la gestión de las
instalaciones y la continuidad del negocio.

Gestión Entrega, servicio y DSS02 Solicitudes e incidentes de DSS02.01 Definir esquemas de 1. Definir esquemas de clasificación y priorización de solicitudes de
soporte servicios gestionados clasificación para incidentes servicio e incidentes, y criterios para el registro de problemas. Utilice
y solicitudes de servicio. esta información para garantizar enfoques coherentes para manejar
e informar a los usuarios sobre problemas y realizar análisis de
tendencias.

Gestión Entrega, servicio y DSS02 Solicitudes e incidentes de DSS02.01 Definir esquemas de 2. Definir modelos de incidentes para errores conocidos para permitir
soporte servicios gestionados clasificación para incidentes una resolución eficiente y efectiva.
y solicitudes de servicio.

315
Gestión Entrega, servicio y DSS02 Solicitudes e incidentes de DSS02.01 Definir esquemas de 3. Defina modelos de solicitud de servicio según el tipo de solicitud de
soporte servicios gestionados clasificación para incidentes servicio para permitir la autoayuda y un servicio eficiente para las
y solicitudes de servicio. solicitudes estándar.

Gestión Entrega, servicio y DSS02 Solicitudes e incidentes de DSS02.01 Definir esquemas de 4. Defina reglas y procedimientos de escalada de incidentes,
soporte servicios gestionados clasificación para incidentes especialmente para incidentes importantes e incidentes de
y solicitudes de servicio. seguridad.

Gestión Entrega, servicio y DSS02 Solicitudes e incidentes de DSS02.01 Definir esquemas de 5. Definir fuentes de conocimiento sobre incidentes y solicitudes y
soporte servicios gestionados clasificación para incidentes describir cómo utilizarlas.
y solicitudes de servicio.

Gestión Entrega, servicio y DSS02 Solicitudes e incidentes de DSS02.02 Registra, clasifica y prioriza 1. Registre todas las solicitudes de servicio e incidentes, registrando
soporte servicios gestionados solicitudes e incidencias. toda la información relevante, de modo que se puedan manejar de
manera efectiva y se pueda mantener un registro histórico completo.

Gestión Entrega, servicio y DSS02 Solicitudes e incidentes de DSS02.02 Registra, clasifica y prioriza 2. Para permitir el análisis de tendencias, clasifique las solicitudes de
soporte servicios gestionados solicitudes e incidencias. servicio y los incidentes identificando el tipo y la categoría.

Gestión Entrega, servicio y DSS02 Solicitudes e incidentes de DSS02.02 Registra, clasifica y prioriza 3. Priorice las solicitudes de servicio y los incidentes en función de la
soporte servicios gestionados solicitudes e incidencias. definición de servicio del SLA de impacto y urgencia del negocio.

Gestión Entrega, servicio y DSS02 Solicitudes e incidentes de DSS02.03 Verificar, aprobar y cumplir 1. Verifique la autorización para las solicitudes de servicio utilizando,
soporte servicios gestionados con las solicitudes de cuando sea posible, un flujo de proceso predefinido y cambios
servicio. estándar.

316
Gestión Entrega, servicio y DSS02 Solicitudes e incidentes de DSS02.03 Verificar, aprobar y cumplir 2. Obtenga la aprobación o aprobación financiera y funcional, si es
soporte servicios gestionados con las solicitudes de necesario, o aprobaciones predefinidas para los cambios estándar
servicio. acordados.

Gestión Entrega, servicio y DSS02 Solicitudes e incidentes de DSS02.03 Verificar, aprobar y cumplir 3. Cumplir con las solicitudes realizando el procedimiento de solicitud
soporte servicios gestionados con las solicitudes de seleccionado. Siempre que sea posible, utilice menús automatizados
servicio. de autoayuda y modelos de solicitud predefinidos para los artículos
solicitados con frecuencia.

Gestión Entrega, servicio y DSS02 Solicitudes e incidentes de DSS02.04 Investigar, diagnosticar y 1. Identificar y describir los síntomas relevantes para establecer las
soporte servicios gestionados asignar incidencias. causas más probables de los incidentes. Consulte los recursos de
conocimiento disponibles (incluidos los errores y problemas
conocidos) para identificar posibles resoluciones de incidentes
(soluciones temporales y / o soluciones permanentes).

Gestión Entrega, servicio y DSS02 Solicitudes e incidentes de DSS02.04 Investigar, diagnosticar y 2. Si aún no existe un problema relacionado o un error conocido y si
soporte servicios gestionados asignar incidencias. el incidente satisface los criterios acordados para el registro del
problema, registre un nuevo problema.

Gestión Entrega, servicio y DSS02 Solicitudes e incidentes de DSS02.04 Investigar, diagnosticar y 3. Asignar incidentes a funciones especializadas si se necesita una
soporte servicios gestionados asignar incidencias. experiencia más profunda. Involucrar al nivel apropiado de
administración, donde y si es necesario.

Gestión Entrega, servicio y DSS02 Solicitudes e incidentes de DSS02.05 Resolver y recuperarse de 1. Seleccionar y aplicar las resoluciones de incidentes más adecuadas
soporte servicios gestionados incidentes. (solución temporal y / o solución permanente).

Gestión Entrega, servicio y DSS02 Solicitudes e incidentes de DSS02.05 Resolver y recuperarse de 2. Registre si se utilizaron soluciones alternativas para la resolución
soporte servicios gestionados incidentes. de incidentes.

317
Gestión Entrega, servicio y DSS02 Solicitudes e incidentes de DSS02.05 Resolver y recuperarse de 3. Realice acciones de recuperación, si es necesario.
soporte servicios gestionados incidentes.

Gestión Entrega, servicio y DSS02 Solicitudes e incidentes de DSS02.05 Resolver y recuperarse de 4. Documente la resolución de incidentes y evalúe si la resolución se
soporte servicios gestionados incidentes. puede utilizar como una fuente de conocimiento futura.

Gestión Entrega, servicio y DSS02 Solicitudes e incidentes de DSS02.06 Cerrar solicitudes de servicio 1. Verificar con los usuarios afectados que la solicitud de servicio se
soporte servicios gestionados e incidencias. ha cumplido satisfactoriamente o que la incidencia se ha resuelto
satisfactoriamente y en un plazo acordado / aceptable.

Gestión Entrega, servicio y DSS02 Solicitudes e incidentes de DSS02.06 Cerrar solicitudes de servicio 2. Cerrar solicitudes de servicio e incidencias.
soporte servicios gestionados e incidencias.

Gestión Entrega, servicio y DSS02 Solicitudes e incidentes de DSS02.07 Realice un seguimiento del 1. Monitorear y rastrear las escaladas y resoluciones de incidentes y
soporte servicios gestionados estado y genere informes. solicitar procedimientos de manejo para avanzar hacia la resolución o
finalización.

Gestión Entrega, servicio y DSS02 Solicitudes e incidentes de DSS02.07 Realice un seguimiento del 2. Identificar las partes interesadas en la información y sus
soporte servicios gestionados estado y genere informes. necesidades de datos o informes. Identificar la frecuencia y el medio
de los informes.

Gestión Entrega, servicio y DSS02 Solicitudes e incidentes de DSS02.07 Realice un seguimiento del 3. Producir y distribuir informes oportunos o proporcionar acceso
soporte servicios gestionados estado y genere informes. controlado a datos en línea.

318
Gestión Entrega, servicio y DSS02 Solicitudes e incidentes de DSS02.07 Realice un seguimiento del 4. Analizar las incidencias y las solicitudes de servicio por categoría y
soporte servicios gestionados estado y genere informes. tipo. Establezca tendencias e identifique patrones de problemas
recurrentes, infracciones de SLA o ineficiencias.

Gestión Entrega, servicio y DSS02 Solicitudes e incidentes de DSS02.07 Realice un seguimiento del 5. Utilice la información como entrada para la planificación de la
soporte servicios gestionados estado y genere informes. mejora continua.

Gestión Entrega, servicio y DSS03 Problemas gestionados DSS03.01 Identificar y clasificar 1. Identificar problemas mediante la correlación de informes de
soporte problemas. incidentes, registros de errores y otros recursos de identificación de
problemas.

Gestión Entrega, servicio y DSS03 Problemas gestionados DSS03.01 Identificar y clasificar 2. Maneje todos los problemas formalmente con acceso a todos los
soporte problemas. datos relevantes. Incluya información del sistema de gestión de
cambios de TI y la configuración / activos de TI y detalles de
incidentes.

Gestión Entrega, servicio y DSS03 Problemas gestionados DSS03.01 Identificar y clasificar 3. Definir grupos de apoyo apropiados para ayudar con la
soporte problemas. identificación de problemas, el análisis de la causa raíz y la
determinación de soluciones para respaldar la gestión de problemas.
Determine los grupos de apoyo basados ​en categorías predefinidas,
como hardware, red, software, aplicaciones y software de apoyo.

Gestión Entrega, servicio y DSS03 Problemas gestionados DSS03.01 Identificar y clasificar 4. Defina los niveles de prioridad consultando con la empresa para
soporte problemas. garantizar que la identificación del problema y el análisis de la causa
raíz se manejen de manera oportuna de acuerdo con los SLA
acordados. Basar los niveles de prioridad en el impacto y la urgencia
del negocio.

Gestión Entrega, servicio y DSS03 Problemas gestionados DSS03.01 Identificar y clasificar 5. Informe el estado de los problemas identificados a la mesa de
soporte problemas. servicio para que los clientes y la administración de TI puedan
mantenerse informados.

319
Gestión Entrega, servicio y DSS03 Problemas gestionados DSS03.01 Identificar y clasificar 6. Mantener un único catálogo de gestión de problemas para
soporte problemas. registrar e informar de los problemas identificados. Utilice el catálogo
para establecer pistas de auditoría de los procesos de gestión de
problemas, incluido el estado de cada problema (es decir, abierto,
reabierto, en curso o cerrado).

Gestión Entrega, servicio y DSS03 Problemas gestionados DSS03.02 Investigar y diagnosticar 1. Identifique problemas que pueden ser errores conocidos
soporte problemas. comparando los datos del incidente con la base de datos de errores
conocidos y sospechados (por ejemplo, los comunicados por
proveedores externos). Clasifique los problemas como errores
conocidos.

Gestión Entrega, servicio y DSS03 Problemas gestionados DSS03.02 Investigar y diagnosticar 2. Asocie los elementos de configuración afectados al error
soporte problemas. establecido / conocido.

Gestión Entrega, servicio y DSS03 Problemas gestionados DSS03.02 Investigar y diagnosticar 3. Producir informes para comunicar el progreso en la resolución de
soporte problemas. problemas y monitorear el impacto continuo de los problemas no
resueltos. Supervise el estado del proceso de gestión de problemas a
lo largo de su ciclo de vida, incluida la información de la gestión de
cambios y configuración de TI.

Gestión Entrega, servicio y DSS03 Problemas gestionados DSS03.03 Plantea errores conocidos. 1. Tan pronto como se identifiquen las causas fundamentales de los
soporte problemas, cree registros de errores conocidos y desarrolle una
solución alternativa adecuada.

Gestión Entrega, servicio y DSS03 Problemas gestionados DSS03.03 Plantea errores conocidos. 2. Identificar, evaluar, priorizar y procesar (a través de la gestión de
soporte cambios de TI) las soluciones para errores conocidos, basándose en
un caso de negocio de costo / beneficio y en el impacto y la urgencia
del negocio.

Gestión Entrega, servicio y DSS03 Problemas gestionados DSS03.04 Resolver y cerrar problemas. 1. Cierre los registros de problemas después de la confirmación de la
soporte eliminación exitosa del error conocido o después de un acuerdo con
la empresa sobre cómo manejar el problema alternativamente.

320
Gestión Entrega, servicio y DSS03 Problemas gestionados DSS03.04 Resolver y cerrar problemas. 2. Informe a la mesa de servicio sobre el cronograma para el cierre
soporte del problema (por ejemplo, el cronograma para corregir los errores
conocidos, la posible solución o el hecho de que el problema
permanecerá hasta que se implemente el cambio) y las
consecuencias del enfoque adoptado. Mantenga informados a los
usuarios y clientes afectados según corresponda.
Gestión Entrega, servicio y DSS03 Problemas gestionados DSS03.04 Resolver y cerrar problemas. 3. A lo largo del proceso de resolución, obtenga informes periódicos
soporte de la administración de cambios de TI sobre el progreso en la
resolución de problemas y errores.

Gestión Entrega, servicio y DSS03 Problemas gestionados DSS03.04 Resolver y cerrar problemas. 4. Monitorear el impacto continuo de los problemas y errores
soporte conocidos en los servicios.

Gestión Entrega, servicio y DSS03 Problemas gestionados DSS03.04 Resolver y cerrar problemas. 5. Revisar y confirmar el éxito de la resolución de problemas
soporte importantes.

Gestión Entrega, servicio y DSS03 Problemas gestionados DSS03.04 Resolver y cerrar problemas. 6. Asegúrese de que el conocimiento aprendido de la revisión se
soporte incorpore en una reunión de revisión del servicio con el cliente
comercial.

Gestión Entrega, servicio y DSS03 Problemas gestionados DSS03.05 Realice una gestión proactiva 1. Capture la información del problema relacionada con los cambios e
soporte de problemas. incidentes de I&T y comuníquela a las partes interesadas clave.
Comuníquese a través de informes y reuniones periódicas entre los
propietarios del proceso de gestión de incidentes, problemas,
cambios y configuración para considerar problemas recientes y
posibles acciones correctivas.
Gestión Entrega, servicio y DSS03 Problemas gestionados DSS03.05 Realice una gestión proactiva 2. Asegúrese de que los propietarios de procesos y los gerentes de la
soporte de problemas. gestión de incidentes, problemas, cambios y configuración se reúnan
periódicamente para discutir los problemas conocidos y los cambios
planificados para el futuro.

321
Gestión Entrega, servicio y DSS03 Problemas gestionados DSS03.05 Realice una gestión proactiva 3. Identificar e iniciar soluciones sostenibles (arreglos permanentes)
soporte de problemas. que aborden la causa raíz. Generar solicitudes de cambio a través de
los procesos de gestión de cambios establecidos.

Gestión Entrega, servicio y DSS03 Problemas gestionados DSS03.05 Realice una gestión proactiva 4. Para permitir que la empresa controle los costos totales de los
soporte de problemas. problemas, capture los esfuerzos de cambio que resulten de las
actividades del proceso de gestión de problemas (por ejemplo,
arreglos de problemas y errores conocidos) e informe sobre ellos.

Gestión Entrega, servicio y DSS03 Problemas gestionados DSS03.05 Realice una gestión proactiva 5. Genere informes para monitorear la resolución de problemas en
soporte de problemas. comparación con los requisitos comerciales y los SLA. Asegurar la
escalada adecuada de problemas, como escalar a un nivel de gestión
superior de acuerdo con los criterios acordados, contactar a
proveedores externos o consultar al consejo asesor de cambios para
aumentar la prioridad de una solicitud urgente de cambio (RFC) para
implementar una solución temporal.
Gestión Entrega, servicio y DSS03 Problemas gestionados DSS03.05 Realice una gestión proactiva 6. Para optimizar el uso de recursos y reducir las soluciones, realice
soporte de problemas. un seguimiento de las tendencias de los problemas.

Gestión Entrega, servicio y DSS04 Continuidad gestionada DSS04.01 Definir la política, objetivos y 1. Identificar los procesos comerciales internos y subcontratados y las
soporte alcance de continuidad del actividades de servicio que son fundamentales para las operaciones
negocio. de la empresa o necesarias para cumplir con las obligaciones legales y
/ o contractuales.

Gestión Entrega, servicio y DSS04 Continuidad gestionada DSS04.01 Definir la política, objetivos y 2. Identificar las partes interesadas clave y los roles y
soporte alcance de continuidad del responsabilidades para definir y acordar la política de continuidad y el
negocio. alcance.

Gestión Entrega, servicio y DSS04 Continuidad gestionada DSS04.01 Definir la política, objetivos y 3. Definir y documentar los objetivos políticos mínimos acordados y el
soporte alcance de continuidad del alcance para la resiliencia empresarial.
negocio.

322
Gestión Entrega, servicio y DSS04 Continuidad gestionada DSS04.01 Definir la política, objetivos y 4. Identificar los procesos comerciales de apoyo esenciales y los
soporte alcance de continuidad del servicios de I&T relacionados.
negocio.

Gestión Entrega, servicio y DSS04 Continuidad gestionada DSS04.02 Mantener la resiliencia 1. Identificar escenarios potenciales que puedan dar lugar a eventos
soporte empresarial. que puedan causar incidentes disruptivos importantes.

Gestión Entrega, servicio y DSS04 Continuidad gestionada DSS04.02 Mantener la resiliencia 2. Realizar un análisis de impacto empresarial para evaluar el impacto
soporte empresarial. a lo largo del tiempo de una interrupción de las funciones
comerciales críticas y el efecto que tendría una interrupción en ellas.

Gestión Entrega, servicio y DSS04 Continuidad gestionada DSS04.02 Mantener la resiliencia 3. Establecer el tiempo mínimo requerido para recuperar un proceso
soporte empresarial. comercial y el soporte de I&T, basado en una duración aceptable de
interrupción comercial y una interrupción máxima tolerable.

Gestión Entrega, servicio y DSS04 Continuidad gestionada DSS04.02 Mantener la resiliencia 4. Determinar las condiciones y dueños de decisiones clave que harán
soporte empresarial. que se invoquen los planes de continuidad.

Gestión Entrega, servicio y DSS04 Continuidad gestionada DSS04.02 Mantener la resiliencia 5. Evalúe la probabilidad de amenazas que podrían causar la pérdida
soporte empresarial. de la continuidad del negocio. Identificar medidas que reducirán la
probabilidad y el impacto a través de una mejor prevención y una
mayor resiliencia.

Gestión Entrega, servicio y DSS04 Continuidad gestionada DSS04.02 Mantener la resiliencia 6. Analizar los requisitos de continuidad para identificar posibles
soporte empresarial. opciones comerciales y técnicas estratégicas.

323
Gestión Entrega, servicio y DSS04 Continuidad gestionada DSS04.02 Mantener la resiliencia 7. Identificar los requisitos de recursos y los costos para cada opción
soporte empresarial. técnica estratégica y hacer recomendaciones estratégicas.

Gestión Entrega, servicio y DSS04 Continuidad gestionada DSS04.02 Mantener la resiliencia 8. Obtenga la aprobación empresarial ejecutiva para las opciones
soporte empresarial. estratégicas seleccionadas.

Gestión Entrega, servicio y DSS04 Continuidad gestionada DSS04.03 Desarrollar e implementar 1. Defina las acciones de respuesta a incidentes y las comunicaciones
soporte una respuesta de que se tomarán en caso de interrupción. Definir roles y
continuidad empresarial. responsabilidades relacionados, incluida la responsabilidad por la
política y la implementación.

Gestión Entrega, servicio y DSS04 Continuidad gestionada DSS04.03 Desarrollar e implementar 2. Asegúrese de que los proveedores clave y los socios externos
soporte una respuesta de tengan planes de continuidad efectivos. Obtenga evidencia auditada
continuidad empresarial. según sea necesario.

Gestión Entrega, servicio y DSS04 Continuidad gestionada DSS04.03 Desarrollar e implementar 3. Definir las condiciones y los procedimientos de recuperación que
soporte una respuesta de permitirían la reanudación del procesamiento comercial. Incluir
continuidad empresarial. actualización y conciliación de bases de datos de información para
preservar la integridad de la información.

Gestión Entrega, servicio y DSS04 Continuidad gestionada DSS04.03 Desarrollar e implementar 4. Desarrollar y mantener BCP y DRP operativos que contengan los
soporte una respuesta de procedimientos a seguir para permitir la operación continua de
continuidad empresarial. procesos comerciales críticos y / o arreglos de procesamiento
temporal. Incluya enlaces a planes de proveedores de servicios
subcontratados.

Gestión Entrega, servicio y DSS04 Continuidad gestionada DSS04.03 Desarrollar e implementar 5. Definir y documentar los recursos necesarios para apoyar los
soporte una respuesta de procedimientos de continuidad y recuperación, considerando
continuidad empresarial. personas, instalaciones e infraestructura de TI.

324
Gestión Entrega, servicio y DSS04 Continuidad gestionada DSS04.03 Desarrollar e implementar 6. Defina y documente los requisitos de respaldo de la información
soporte una respuesta de necesarios para respaldar los planes. Incluya planos y documentos en
continuidad empresarial. papel, así como archivos de datos. Considere la necesidad de
seguridad y almacenamiento externo.

Gestión Entrega, servicio y DSS04 Continuidad gestionada DSS04.03 Desarrollar e implementar 7. Determine las habilidades requeridas para las personas
soporte una respuesta de involucradas en la ejecución del plan y los procedimientos.
continuidad empresarial.

Gestión Entrega, servicio y DSS04 Continuidad gestionada DSS04.03 Desarrollar e implementar 8. Distribuya los planos y la documentación de respaldo de forma
soporte una respuesta de segura a las partes interesadas debidamente autorizadas. Asegúrese
continuidad empresarial. de que los planes y la documentación sean accesibles en todos los
escenarios de desastre.

Gestión Entrega, servicio y DSS04 Continuidad gestionada DSS04.04 Ejercite, pruebe y revise el 1. Definir objetivos para ejercitar y probar los sistemas comerciales,
soporte plan de continuidad del técnicos, logísticos, administrativos, procedimentales y operativos del
negocio (BCP) y el plan de plan para verificar la integridad del BCP y el DRP para cumplir con el
respuesta a desastres (DRP). riesgo comercial.

Gestión Entrega, servicio y DSS04 Continuidad gestionada DSS04.04 Ejercite, pruebe y revise el 2. Definir y acordar ejercicios de partes interesadas que sean realistas
soporte plan de continuidad del y validen procedimientos de continuidad. Incluya roles y
negocio (BCP) y el plan de responsabilidades y acuerdos de retención de datos que causen una
respuesta a desastres (DRP). interrupción mínima en los procesos comerciales.

Gestión Entrega, servicio y DSS04 Continuidad gestionada DSS04.04 Ejercite, pruebe y revise el 3. Asignar roles y responsabilidades para realizar ejercicios y pruebas
soporte plan de continuidad del del plan de continuidad.
negocio (BCP) y el plan de
respuesta a desastres (DRP).

Gestión Entrega, servicio y DSS04 Continuidad gestionada DSS04.04 Ejercite, pruebe y revise el 4. Programe ejercicios y actividades de prueba según lo definido en
soporte plan de continuidad del los planes de continuidad.
negocio (BCP) y el plan de
respuesta a desastres (DRP).

325
Gestión Entrega, servicio y DSS04 Continuidad gestionada DSS04.04 Ejercite, pruebe y revise el 5. Realice una sesión informativa y un análisis posteriores al ejercicio
soporte plan de continuidad del para considerar el logro.
negocio (BCP) y el plan de
respuesta a desastres (DRP).

Gestión Entrega, servicio y DSS04 Continuidad gestionada DSS04.04 Ejercite, pruebe y revise el 6. Con base en los resultados de la revisión, desarrollar
soporte plan de continuidad del recomendaciones para mejorar los planes de continuidad actuales.
negocio (BCP) y el plan de
respuesta a desastres (DRP).

Gestión Entrega, servicio y DSS04 Continuidad gestionada DSS04.05 Revisar, mantener y mejorar 1. Revise periódicamente los planes de continuidad y la capacidad
soporte los planes de continuidad. frente a las suposiciones realizadas y los objetivos operativos y
estratégicos comerciales actuales.

Gestión Entrega, servicio y DSS04 Continuidad gestionada DSS04.05 Revisar, mantener y mejorar 2. Revise periódicamente los planes de continuidad para considerar el
soporte los planes de continuidad. impacto de cambios nuevos o importantes en la organización
empresarial, los procesos comerciales, los acuerdos de
subcontratación, las tecnologías, la infraestructura, los sistemas
operativos y los sistemas de aplicación.

Gestión Entrega, servicio y DSS04 Continuidad gestionada DSS04.05 Revisar, mantener y mejorar 3. Considere si se puede requerir una evaluación de impacto
soporte los planes de continuidad. comercial revisada, dependiendo de la naturaleza del cambio.

Gestión Entrega, servicio y DSS04 Continuidad gestionada DSS04.05 Revisar, mantener y mejorar 4. Recomendar cambios en políticas, planes, procedimientos,
soporte los planes de continuidad. infraestructura y roles y responsabilidades. Comuníquelos según
corresponda para la aprobación y el procesamiento de la
administración a través del proceso de administración de cambios de
TI.

Gestión Entrega, servicio y DSS04 Continuidad gestionada DSS04.06 Llevar a cabo la capacitación 1. Implementar la concientización y capacitación sobre BCP y DRP.
soporte del plan de continuidad.

326
Gestión Entrega, servicio y DSS04 Continuidad gestionada DSS04.06 Llevar a cabo la capacitación 2. Definir y mantener los requisitos y planes de capacitación para
soporte del plan de continuidad. quienes realizan la planificación de la continuidad, las evaluaciones
de impacto, las evaluaciones de riesgos, la comunicación con los
medios y la respuesta a incidentes. Asegúrese de que los planes de
formación consideren la frecuencia de la formación y los mecanismos
de impartición de la formación.
Gestión Entrega, servicio y DSS04 Continuidad gestionada DSS04.06 Llevar a cabo la capacitación 3. Desarrollar competencias basadas en la formación práctica,
soporte del plan de continuidad. incluida la participación en ejercicios y pruebas.

Gestión Entrega, servicio y DSS04 Continuidad gestionada DSS04.06 Llevar a cabo la capacitación 4. Con base en el ejercicio y los resultados de las pruebas, supervise
soporte del plan de continuidad. las habilidades y competencias.

Gestión Entrega, servicio y DSS04 Continuidad gestionada DSS04.07 Administrar los arreglos de 1. Realice copias de seguridad de los sistemas, aplicaciones, datos y
soporte respaldo. documentación de acuerdo con un programa definido. Considere la
frecuencia (mensual, semanal, diaria, etc.), el modo de copia de
seguridad (por ejemplo, duplicación de disco para copias de
seguridad en tiempo real frente a DVD-ROM para retención a largo
plazo), tipo de copia de seguridad (por ejemplo, completa frente a
incremental), y tipo de medio. Considere también copias de
Gestión Entrega, servicio y DSS04 Continuidad gestionada DSS04.07 Administrar los arreglos de 2. Defina los
seguridad enrequisitos para el almacenamiento
línea automatizadas, tipos de datosen(p.elEj.,
sitio y fuera
Voz, del
ópticos),
soporte respaldo. sitio de los datos de respaldo que cumplan con los requisitos
creación de registros, datos informáticos críticos del usuario final (p.
comerciales. Tenga enubicación
Ej., Hojas de cálculo), cuenta lafísica
accesibilidad necesaria
y lógica de fuentespara realizar
de datos,
copias de seguridad de los datos.
seguridad y derechos de acceso y cifrado.

Gestión Entrega, servicio y DSS04 Continuidad gestionada DSS04.07 Administrar los arreglos de 3. Pruebe y actualice periódicamente los datos archivados y de
soporte respaldo. respaldo.

Gestión Entrega, servicio y DSS04 Continuidad gestionada DSS04.07 Administrar los arreglos de 4. Asegurarse de que los sistemas, aplicaciones, datos y
soporte respaldo. documentación mantenidos o procesados ​por terceros tengan una
copia de seguridad adecuada o estén protegidos de otro modo.
Considere solicitar la devolución de copias de seguridad de terceros.
Considere los arreglos de depósito en garantía o depósito.

327
Gestión Entrega, servicio y DSS04 Continuidad gestionada DSS04.08 Realice una revisión 1. Evaluar la adherencia a los BCP y DRP documentados.
soporte posterior a la reanudación.

Gestión Entrega, servicio y DSS04 Continuidad gestionada DSS04.08 Realice una revisión 2. Determinar la eficacia de los planes, las capacidades de
soporte posterior a la reanudación. continuidad, los roles y responsabilidades, las habilidades y
competencias, la resistencia al incidente, la infraestructura técnica y
las estructuras y relaciones organizativas.

Gestión Entrega, servicio y DSS04 Continuidad gestionada DSS04.08 Realice una revisión 3. Identificar debilidades u omisiones en los planes y capacidades y
soporte posterior a la reanudación. hacer recomendaciones para mejorar. Obtenga la aprobación de la
gerencia para cualquier cambio en los planes y solicite a través del
proceso de control de cambios de la empresa.

Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.01 Protéjase contra el malware. 1. Instale y active herramientas de protección de software
soporte gestionados malintencionado en todas las instalaciones de procesamiento, con
archivos de definición de software malintencionado que se actualizan
según sea necesario (de forma automática o semiautomática).

Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.01 Protéjase contra el malware. 2. Filtre el tráfico entrante, como el correo electrónico y las
soporte gestionados descargas, para protegerse contra la información no solicitada (por
ejemplo, software espía, correos electrónicos de phishing).

Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.01 Protéjase contra el malware. 3. Comunicar el conocimiento del software malintencionado y hacer
soporte gestionados cumplir los procedimientos y responsabilidades de prevención.
Realice capacitaciones periódicas sobre malware en el uso del correo
electrónico e Internet. Capacite a los usuarios para que no abran, sino
que informen, correos electrónicos sospechosos y para que no
instalen software compartido o no aprobado.
Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.01 Protéjase contra el malware. 4. Distribuya todo el software de protección de forma centralizada
soporte gestionados (versión y nivel de parche) mediante la configuración centralizada y la
gestión de cambios de TI.

328
Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.01 Protéjase contra el malware. 5. Revisar y evaluar periódicamente la información sobre nuevas
soporte gestionados amenazas potenciales (por ejemplo, revisar los avisos de seguridad de
los productos y servicios de los proveedores).

Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.02 Gestione la seguridad de la 1. Permita que solo los dispositivos autorizados tengan acceso a la
soporte gestionados red y la conectividad. información corporativa y la red empresarial. Configure estos
dispositivos para forzar la entrada de contraseña.

Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.02 Gestione la seguridad de la 2. Implementar mecanismos de filtrado de red, como firewalls y
soporte gestionados red y la conectividad. software de detección de intrusos. Haga cumplir las políticas
adecuadas para controlar el tráfico entrante y saliente.

Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.02 Gestione la seguridad de la 3. Aplicar protocolos de seguridad aprobados a la conectividad de la
soporte gestionados red y la conectividad. red.

Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.02 Gestione la seguridad de la 4. Configure el equipo de red de manera segura.
soporte gestionados red y la conectividad.

Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.02 Gestione la seguridad de la 5. Cifre la información en tránsito según su clasificación.
soporte gestionados red y la conectividad.

Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.02 Gestione la seguridad de la 6. Con base en las evaluaciones de riesgos y los requisitos
soporte gestionados red y la conectividad. comerciales, establecer y mantener una política de seguridad de la
conectividad.

329
Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.02 Gestione la seguridad de la 7. Establecer mecanismos confiables para apoyar la transmisión y
soporte gestionados red y la conectividad. recepción segura de información.

Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.02 Gestione la seguridad de la 8. Realice pruebas de penetración periódicas para determinar la
soporte gestionados red y la conectividad. idoneidad de la protección de la red.

Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.02 Gestione la seguridad de la 9. Realice pruebas periódicas de seguridad del sistema para
soporte gestionados red y la conectividad. determinar si la protección del sistema es adecuada.

Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.03 Gestione la seguridad de los 1. Configure los sistemas operativos de manera segura.
soporte gestionados terminales.

Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.03 Gestione la seguridad de los 2. Implementar mecanismos de bloqueo de dispositivos.
soporte gestionados terminales.

Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.03 Gestione la seguridad de los 3. Gestionar el acceso y el control remotos (por ejemplo, dispositivos
soporte gestionados terminales. móviles, teletrabajo).

Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.03 Gestione la seguridad de los 4. Administre la configuración de la red de manera segura.
soporte gestionados terminales.

330
Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.03 Gestione la seguridad de los 5. Implementar filtrado de tráfico de red en dispositivos de punto
soporte gestionados terminales. final.

Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.03 Gestione la seguridad de los 6. Proteja la integridad del sistema.
soporte gestionados terminales.

Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.03 Gestione la seguridad de los 7. Brindar protección física a los dispositivos terminales.
soporte gestionados terminales.

Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.03 Gestione la seguridad de los 8. Deseche los dispositivos de punto final de forma segura.
soporte gestionados terminales.

Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.03 Gestione la seguridad de los 9. Administre el acceso malintencionado a través del correo
soporte gestionados terminales. electrónico y los navegadores web. Por ejemplo, bloquee ciertos
sitios web y desactive el clic en enlaces para teléfonos inteligentes.

Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.03 Gestione la seguridad de los 10. Cifre la información almacenada según su clasificación.
soporte gestionados terminales.

Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.04 Gestione la identidad del 1. Mantenga los derechos de acceso de los usuarios de acuerdo con
soporte gestionados usuario y el acceso lógico. la función comercial, los requisitos del proceso y las políticas de
seguridad. Alinee la gestión de identidades y derechos de acceso a las
funciones y responsabilidades definidas, en función de los principios
de privilegio mínimo, necesidad de tener y necesidad de saber.

331
Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.04 Gestione la identidad del 2. Administrar todos los cambios a los derechos de acceso (creación,
soporte gestionados usuario y el acceso lógico. modificaciones y eliminaciones) de manera oportuna basándose
únicamente en transacciones aprobadas y documentadas autorizadas
por las personas designadas para la administración.

Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.04 Gestione la identidad del 3. Separe, reduzca al número mínimo necesario y administre
soporte gestionados usuario y el acceso lógico. activamente las cuentas de usuarios privilegiados. Asegúrese de
monitorear toda la actividad en estas cuentas.

Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.04 Gestione la identidad del 4. Identifique de manera única todas las actividades de
soporte gestionados usuario y el acceso lógico. procesamiento de información por roles funcionales. Coordinar con
las unidades de negocio para garantizar que todos los roles se definan
de manera coherente, incluidos los roles definidos por la propia
empresa dentro de las aplicaciones de procesos de negocio.

Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.04 Gestione la identidad del 5. Autenticar todo el acceso a los activos de información según el rol
soporte gestionados usuario y el acceso lógico. del individuo o las reglas comerciales. Coordinar con las unidades
comerciales que administran la autenticación dentro de las
aplicaciones utilizadas en los procesos comerciales para garantizar
que los controles de autenticación se hayan administrado
correctamente.
Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.04 Gestione la identidad del 6. Asegúrese de que todos los usuarios (internos, externos y
soporte gestionados usuario y el acceso lógico. temporales) y su actividad en los sistemas de TI (aplicación comercial,
infraestructura de TI, operaciones del sistema, desarrollo y
mantenimiento) sean identificables de manera única.

Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.04 Gestione la identidad del 7. Mantener una pista de auditoría del acceso a la información
soporte gestionados usuario y el acceso lógico. dependiendo de su sensibilidad y los requisitos reglamentarios.

Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.04 Gestione la identidad del 8. Realice una revisión de gestión periódica de todas las cuentas y los
soporte gestionados usuario y el acceso lógico. privilegios relacionados.

332
Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.05 Gestione el acceso físico a los 1. Registre y controle todos los puntos de entrada a los sitios de TI.
soporte gestionados activos de I&T. Registre a todos los visitantes, incluidos los contratistas y
proveedores, del sitio.

Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.05 Gestione el acceso físico a los 2. Asegúrese de que todo el personal muestre una identificación
soporte gestionados activos de I&T. debidamente aprobada en todo momento.

Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.05 Gestione el acceso físico a los 3. Exigir que los visitantes sean acompañados en todo momento
soporte gestionados activos de I&T. mientras estén en el sitio.

Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.05 Gestione el acceso físico a los 4. Restrinja y controle el acceso a sitios de TI sensibles mediante el
soporte gestionados activos de I&T. establecimiento de restricciones perimetrales, como vallas, muros y
dispositivos de seguridad en puertas interiores y exteriores.

Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.05 Gestione el acceso físico a los 5. Gestionar solicitudes para permitir el acceso debidamente
soporte gestionados activos de I&T. autorizado a las instalaciones informáticas.

Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.05 Gestione el acceso físico a los 6. Asegúrese de que los perfiles de acceso se mantengan
soporte gestionados activos de I&T. actualizados. Base el acceso a los sitios de TI (salas de servidores,
edificios, áreas o zonas) en función del trabajo y responsabilidades.

Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.05 Gestione el acceso físico a los 7. Llevar a cabo una formación periódica de concienciación sobre la
soporte gestionados activos de I&T. seguridad de la información física.

333
Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.06 Gestione documentos 1. Establecer procedimientos para regular la recepción, uso,
soporte gestionados confidenciales y dispositivos eliminación y eliminación de documentos confidenciales y
de salida. dispositivos de salida dentro y fuera de la empresa.

Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.06 Gestione documentos 2. Asegúrese de que existan controles criptográficos para proteger la
soporte gestionados confidenciales y dispositivos información confidencial almacenada electrónicamente.
de salida.

Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.06 Gestione documentos 3. Asigne privilegios de acceso a documentos confidenciales y
soporte gestionados confidenciales y dispositivos dispositivos de salida según el principio de privilegio mínimo,
de salida. equilibrando el riesgo y los requisitos comerciales.

Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.06 Gestione documentos 4. Establezca un inventario de documentos confidenciales y
soporte gestionados confidenciales y dispositivos dispositivos de salida, y realice conciliaciones periódicas.
de salida.

Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.06 Gestione documentos 5. Establecer salvaguardas físicas apropiadas sobre documentos
soporte gestionados confidenciales y dispositivos sensibles.
de salida.

Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.06 Gestione documentos 6. Implementar controles criptográficos para garantizar la protección
soporte gestionados confidenciales y dispositivos de la información sensible (confidencialidad, autenticidad,
de salida. integridad).

Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.07 Gestione las vulnerabilidades 1. Utilice continuamente una cartera de tecnologías, servicios y
soporte gestionados y supervise la infraestructura activos compatibles (por ejemplo, escáneres de vulnerabilidades,
para detectar eventos fuzzers y rastreadores, analizadores de protocolos) para identificar
relacionados con la vulnerabilidades de seguridad de la información.
seguridad.

334
Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.07 Gestione las vulnerabilidades 2. Definir y comunicar escenarios de riesgo para que se puedan
soporte gestionados y supervise la infraestructura reconocer fácilmente y se comprendan la probabilidad y los
para detectar eventos impactos.
relacionados con la
seguridad.

Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.07 Gestione las vulnerabilidades 3. Revise periódicamente los registros de eventos para detectar
soporte gestionados y supervise la infraestructura posibles incidentes.
para detectar eventos
relacionados con la
seguridad.

Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.07 Gestione las vulnerabilidades 4. Asegúrese de que los tickets de incidentes relacionados con la
soporte gestionados y supervise la infraestructura seguridad se creen de manera oportuna cuando el monitoreo
para detectar eventos identifica posibles incidentes.
relacionados con la
seguridad.

Gestión Entrega, servicio y DSS05 Servicios de seguridad DSS05.07 Gestione las vulnerabilidades 5. Registre los eventos relacionados con la seguridad y conserve los
soporte gestionados y supervise la infraestructura registros durante el período apropiado.
para detectar eventos
relacionados con la
seguridad.

Gestión Entrega, servicio y DSS06 Controles de procesos de DSS06.01 Alinee las actividades de 1. Identificar y documentar las actividades de control necesarias para
soporte negocio gestionados control integradas en los que los procesos comerciales clave satisfagan los requisitos de
procesos comerciales con los control para los objetivos estratégicos, operativos, de informes y de
objetivos empresariales. cumplimiento.

Gestión Entrega, servicio y DSS06 Controles de procesos de DSS06.01 Alinee las actividades de 2. Priorizar las actividades de control en función del riesgo inherente
soporte negocio gestionados control integradas en los al negocio. Identifica los controles clave.
procesos comerciales con los
objetivos empresariales.

Gestión Entrega, servicio y DSS06 Controles de procesos de DSS06.01 Alinee las actividades de 3. Asegurar la propiedad de las actividades de control clave.
soporte negocio gestionados control integradas en los
procesos comerciales con los
objetivos empresariales.

335
Gestión Entrega, servicio y DSS06 Controles de procesos de DSS06.01 Alinee las actividades de 4. Implementar controles automatizados.
soporte negocio gestionados control integradas en los
procesos comerciales con los
objetivos empresariales.

Gestión Entrega, servicio y DSS06 Controles de procesos de DSS06.01 Alinee las actividades de 5. Monitorear continuamente las actividades de control de un
soporte negocio gestionados control integradas en los extremo a otro para identificar oportunidades de mejora.
procesos comerciales con los
objetivos empresariales.

Gestión Entrega, servicio y DSS06 Controles de procesos de DSS06.01 Alinee las actividades de 6. Mejorar continuamente el diseño y la operación de los controles
soporte negocio gestionados control integradas en los de procesos comerciales.
procesos comerciales con los
objetivos empresariales.

Gestión Entrega, servicio y DSS06 Controles de procesos de DSS06.02 Controlar el procesamiento 1. Autenticar al originador de transacciones y verificar que la persona
soporte negocio gestionados de la información. tenga la autoridad para originar la transacción.

Gestión Entrega, servicio y DSS06 Controles de procesos de DSS06.02 Controlar el procesamiento 2. Asegurar una adecuada segregación de funciones con respecto a la
soporte negocio gestionados de la información. originación y aprobación de transacciones.

Gestión Entrega, servicio y DSS06 Controles de procesos de DSS06.02 Controlar el procesamiento 3. Verifique que las transacciones sean precisas, completas y válidas.
soporte negocio gestionados de la información. Los controles pueden incluir secuencia, límite, rango, validez,
razonabilidad, consultas de tabla, existencia, verificación de clave,
dígito de control, integridad, verificaciones de relaciones duplicadas y
lógicas y ediciones de tiempo. Los criterios y parámetros de
validación deben estar sujetos a revisiones y confirmaciones
periódicas. Valide los datos de entrada y edítelos o, cuando
Gestión Entrega, servicio y DSS06 Controles de procesos de DSS06.02 Controlar el procesamiento 4. Sin comprometer
corresponda, los niveles
devuélvalos de corrección
para su autorización
lo de
mástransacciones
cerca posible del
soporte negocio gestionados de la información. originales, corrija
punto de origen. y vuelva a enviar los datos que se ingresaron por
error. Cuando sea apropiado para la reconstrucción, conserve los
documentos originales durante el tiempo apropiado.

336
Gestión Entrega, servicio y DSS06 Controles de procesos de DSS06.02 Controlar el procesamiento 5. Mantener la integridad y validez de los datos durante todo el ciclo
soporte negocio gestionados de la información. de procesamiento. Asegúrese de que la detección de transacciones
erróneas no interrumpa el procesamiento de transacciones válidas.

Gestión Entrega, servicio y DSS06 Controles de procesos de DSS06.02 Controlar el procesamiento 6. Maneje la salida de manera autorizada, entréguela al destinatario
soporte negocio gestionados de la información. apropiado y proteja la información durante la transmisión. Verifique
la precisión y la integridad de la salida.

Gestión Entrega, servicio y DSS06 Controles de procesos de DSS06.02 Controlar el procesamiento 7. Mantenga la integridad de los datos durante interrupciones
soporte negocio gestionados de la información. inesperadas en el procesamiento comercial. Confirme la integridad
de los datos después de fallas en el procesamiento.

Gestión Entrega, servicio y DSS06 Controles de procesos de DSS06.02 Controlar el procesamiento 8. Antes de transferir datos de transacciones entre aplicaciones
soporte negocio gestionados de la información. internas y funciones comerciales / operativas (dentro o fuera de la
empresa), verifique el direccionamiento adecuado, la autenticidad
del origen y la integridad del contenido. Mantenga la autenticidad e
integridad durante la transmisión o el transporte.

Gestión Entrega, servicio y DSS06 Controles de procesos de DSS06.03 Gestione roles, 1. Asignar roles y responsabilidades según las descripciones de
soporte negocio gestionados responsabilidades, privilegios trabajo aprobadas y las actividades de los procesos comerciales.
de acceso y niveles de
autoridad.

Gestión Entrega, servicio y DSS06 Controles de procesos de DSS06.03 Gestione roles, 2. Asignar niveles de autoridad para la aprobación de transacciones,
soporte negocio gestionados responsabilidades, privilegios límites de transacciones y cualquier otra decisión relacionada con el
de acceso y niveles de proceso empresarial, según los puestos de trabajo aprobados.
autoridad.

Gestión Entrega, servicio y DSS06 Controles de procesos de DSS06.03 Gestione roles, 3. Asignar roles para actividades sensibles para que haya una clara
soporte negocio gestionados responsabilidades, privilegios separación de funciones.
de acceso y niveles de
autoridad.

337
Gestión Entrega, servicio y DSS06 Controles de procesos de DSS06.03 Gestione roles, 4. Asigne derechos de acceso y privilegios según el mínimo necesario
soporte negocio gestionados responsabilidades, privilegios para realizar las actividades laborales, según los roles laborales
de acceso y niveles de predefinidos. Elimine o revise los derechos de acceso de inmediato si
autoridad. cambia la función del trabajo o si un miembro del personal abandona
el área de procesos comerciales. Revise periódicamente para
asegurarse de que el acceso sea apropiado para las amenazas, los
riesgos, la tecnología y las necesidades comerciales actuales.
Gestión Entrega, servicio y DSS06 Controles de procesos de DSS06.03 Gestione roles, 5. Periódicamente, sensibilizar y capacitar sobre roles y
soporte negocio gestionados responsabilidades, privilegios responsabilidades para que todos comprendan sus
de acceso y niveles de responsabilidades; la importancia de los controles; y la seguridad,
autoridad. integridad, confidencialidad y privacidad de la información de la
empresa en todas sus formas.

Gestión Entrega, servicio y DSS06 Controles de procesos de DSS06.03 Gestione roles, 6. Asegurarse de que los privilegios administrativos estén asegurados,
soporte negocio gestionados responsabilidades, privilegios controlados y controlados de manera suficiente y eficaz para evitar
de acceso y niveles de un uso indebido.
autoridad.

Gestión Entrega, servicio y DSS06 Controles de procesos de DSS06.03 Gestione roles, 7. Revise periódicamente las definiciones de control de acceso, los
soporte negocio gestionados responsabilidades, privilegios registros y los informes de excepciones. Asegúrese de que todos los
de acceso y niveles de privilegios de acceso sean válidos y estén alineados con los miembros
autoridad. actuales del personal y sus roles asignados.

Gestión Entrega, servicio y DSS06 Controles de procesos de DSS06.04 Gestione errores y 1. Revise errores, excepciones y desviaciones.
soporte negocio gestionados excepciones.

Gestión Entrega, servicio y DSS06 Controles de procesos de DSS06.04 Gestione errores y 2. Hacer un seguimiento, corregir, aprobar y volver a enviar los
soporte negocio gestionados excepciones. documentos y transacciones de origen.

Gestión Entrega, servicio y DSS06 Controles de procesos de DSS06.04 Gestione errores y 3. Mantener evidencia de acciones correctivas.
soporte negocio gestionados excepciones.

338
Gestión Entrega, servicio y DSS06 Controles de procesos de DSS06.04 Gestione errores y 4. Definir y mantener procedimientos para asignar la propiedad de
soporte negocio gestionados excepciones. errores y excepciones, corregir errores, anular errores y manejar
condiciones de desequilibrio.

Gestión Entrega, servicio y DSS06 Controles de procesos de DSS06.04 Gestione errores y 5. Informar los errores del proceso de información comercial
soporte negocio gestionados excepciones. relevante de manera oportuna para realizar un análisis de la causa
raíz y las tendencias.

Gestión Entrega, servicio y DSS06 Controles de procesos de DSS06.05 Garantizar la trazabilidad y la 1. Capture la información de la fuente, la evidencia de respaldo y el
soporte negocio gestionados responsabilidad de los registro de transacciones.
eventos de información.

Gestión Entrega, servicio y DSS06 Controles de procesos de DSS06.05 Garantizar la trazabilidad y la 2. Defina los requisitos de retención, basados ​en los requisitos
soporte negocio gestionados responsabilidad de los comerciales, para satisfacer las necesidades operativas, de informes
eventos de información. financieros y de cumplimiento.

Gestión Entrega, servicio y DSS06 Controles de procesos de DSS06.05 Garantizar la trazabilidad y la 3. Eliminar la información de origen, la evidencia de respaldo y el
soporte negocio gestionados responsabilidad de los registro de transacciones de acuerdo con la política de retención.
eventos de información.

Gestión Entrega, servicio y DSS06 Controles de procesos de DSS06.06 Activos de información 1. Restringir el uso, distribución y acceso físico de la información
soporte negocio gestionados seguros. según su clasificación.

Gestión Entrega, servicio y DSS06 Controles de procesos de DSS06.06 Activos de información 2. Proporcionar formación y concientización sobre el uso aceptable.
soporte negocio gestionados seguros.

339
Gestión Entrega, servicio y DSS06 Controles de procesos de DSS06.06 Activos de información 3. Aplicar la clasificación de datos y las políticas y procedimientos de
soporte negocio gestionados seguros. seguridad y uso aceptable para proteger los activos de información
bajo el control de la empresa.

Gestión Entrega, servicio y DSS06 Controles de procesos de DSS06.06 Activos de información 4. Identificar e implementar procesos, herramientas y técnicas para
soporte negocio gestionados seguros. verificar razonablemente el cumplimiento.

Gestión Entrega, servicio y DSS06 Controles de procesos de DSS06.06 Activos de información 5. Informar a las empresas y otras partes interesadas sobre las
soporte negocio gestionados seguros. infracciones y desviaciones.

Gestión Monitorear, evaluar y MEA01 Supervisión gestionada del MEA01.01 Establecer un enfoque de 1. Identificar a las partes interesadas (por ejemplo, administración,
evaluar rendimiento y la seguimiento. propietarios de procesos y usuarios).
conformidad

Gestión Monitorear, evaluar y MEA01 Supervisión gestionada del MEA01.01 Establecer un enfoque de 2. Comprometerse con las partes interesadas y comunicar los
evaluar rendimiento y la seguimiento. requisitos y objetivos de la empresa para el seguimiento, la
conformidad agregación y la presentación de informes, utilizando definiciones
comunes (por ejemplo, glosario empresarial, metadatos y
taxonomía), línea de base y evaluación comparativa.

Gestión Monitorear, evaluar y MEA01 Supervisión gestionada del MEA01.01 Establecer un enfoque de 3. Alinear y mantener continuamente el enfoque de seguimiento y
evaluar rendimiento y la seguimiento. evaluación con el enfoque empresarial y las herramientas que se
conformidad utilizarán para la recopilación de datos y la presentación de informes
empresariales (por ejemplo, aplicaciones de inteligencia empresarial).

Gestión Monitorear, evaluar y MEA01 Supervisión gestionada del MEA01.01 Establecer un enfoque de 4. Acuerde los tipos de metas y métricas (por ejemplo, conformidad,
evaluar rendimiento y la seguimiento. desempeño, valor, riesgo), taxonomía (clasificación y relaciones entre
conformidad metas y métricas) y retención de datos (evidencia).

340
Gestión Monitorear, evaluar y MEA01 Supervisión gestionada del MEA01.01 Establecer un enfoque de 5. Solicitar, priorizar y asignar recursos para el seguimiento,
evaluar rendimiento y la seguimiento. considerar idoneidad, eficiencia, eficacia y confidencialidad.
conformidad

Gestión Monitorear, evaluar y MEA01 Supervisión gestionada del MEA01.01 Establecer un enfoque de 6. Validar periódicamente el enfoque utilizado e identificar las partes
evaluar rendimiento y la seguimiento. interesadas, los requisitos y los recursos nuevos o modificados.
conformidad

Gestión Monitorear, evaluar y MEA01 Supervisión gestionada del MEA01.01 Establecer un enfoque de 7. Acordar una gestión del ciclo de vida y un proceso de control de
evaluar rendimiento y la seguimiento. cambios para el seguimiento y la presentación de informes. Incluya
conformidad oportunidades de mejora para informes, métricas, enfoques, líneas
de base y evaluaciones comparativas.

Gestión Monitorear, evaluar y MEA01 Supervisión gestionada del MEA01.02 Establezca objetivos de 1. Defina los objetivos y métricas. Revíselos periódicamente con las
evaluar rendimiento y la rendimiento y cumplimiento. partes interesadas para identificar los elementos importantes que
conformidad faltan y definir la razonabilidad de los objetivos y las tolerancias.

Gestión Monitorear, evaluar y MEA01 Supervisión gestionada del MEA01.02 Establezca objetivos de 2. Evaluar si los objetivos y métricas son adecuados, es decir,
evaluar rendimiento y la rendimiento y cumplimiento. específicos, medibles, alcanzables, relevantes y con plazos
conformidad determinados (SMART).

Gestión Monitorear, evaluar y MEA01 Supervisión gestionada del MEA01.02 Establezca objetivos de 3. Comunicar los cambios propuestos a los objetivos y tolerancias de
evaluar rendimiento y la rendimiento y cumplimiento. desempeño y cumplimiento (relacionados con las métricas) con las
conformidad partes interesadas clave de la debida diligencia (por ejemplo, legal,
auditoría, recursos humanos, ética, cumplimiento, finanzas).

Gestión Monitorear, evaluar y MEA01 Supervisión gestionada del MEA01.02 Establezca objetivos de 4. Publique los objetivos y tolerancias modificados a los usuarios de
evaluar rendimiento y la rendimiento y cumplimiento. esta información.
conformidad

341
Gestión Monitorear, evaluar y MEA01 Supervisión gestionada del MEA01.03 Recopile y procese datos de 1. Recopilar datos de procesos definidos (automatizados, cuando sea
evaluar rendimiento y la rendimiento y conformidad. posible).
conformidad

Gestión Monitorear, evaluar y MEA01 Supervisión gestionada del MEA01.03 Recopile y procese datos de 2. Evaluar la eficiencia (esfuerzo en relación con la información
evaluar rendimiento y la rendimiento y conformidad. proporcionada) y la idoneidad (utilidad y significado) de los datos
conformidad recopilados y validar la integridad de los datos (precisión e
integridad).

Gestión Monitorear, evaluar y MEA01 Supervisión gestionada del MEA01.03 Recopile y procese datos de 3. Agregar datos para respaldar la medición de las métricas
evaluar rendimiento y la rendimiento y conformidad. acordadas.
conformidad

Gestión Monitorear, evaluar y MEA01 Supervisión gestionada del MEA01.03 Recopile y procese datos de 4. Alinee los datos agregados con el enfoque y los objetivos de la
evaluar rendimiento y la rendimiento y conformidad. presentación de informes empresariales.
conformidad

Gestión Monitorear, evaluar y MEA01 Supervisión gestionada del MEA01.03 Recopile y procese datos de 5. Utilizar herramientas y sistemas adecuados para el procesamiento
evaluar rendimiento y la rendimiento y conformidad. y análisis de datos.
conformidad

Gestión Monitorear, evaluar y MEA01 Supervisión gestionada del MEA01.04 Analizar y reportar el 1. Diseñe informes de desempeño del proceso que sean concisos,
evaluar rendimiento y la desempeño. fáciles de entender y que se adapten a las diversas necesidades de
conformidad administración y audiencias. Facilite la toma de decisiones efectiva y
oportuna (por ejemplo, cuadros de mando, informes de semáforos).
Asegúrese de que la causa y el efecto entre los objetivos y las
métricas se comuniquen de manera comprensible.
Gestión Monitorear, evaluar y MEA01 Supervisión gestionada del MEA01.04 Analizar y reportar el 2. Distribuir informes a las partes interesadas relevantes.
evaluar rendimiento y la desempeño.
conformidad

342
Gestión Monitorear, evaluar y MEA01 Supervisión gestionada del MEA01.04 Analizar y reportar el 3. Analizar la causa de las desviaciones con respecto a los objetivos,
evaluar rendimiento y la desempeño. iniciar acciones correctivas, asignar responsabilidades para la
conformidad reparación y dar seguimiento. En los momentos adecuados, revise
todas las desviaciones y busque las causas fundamentales, cuando
sea necesario. Documente los problemas para obtener más
orientación si el problema se repite. Documentar los resultados.
Gestión Monitorear, evaluar y MEA01 Supervisión gestionada del MEA01.04 Analizar y reportar el 4. Cuando sea posible, integre el desempeño y el cumplimiento en los
evaluar rendimiento y la desempeño. objetivos de desempeño de los miembros individuales del personal y
conformidad vincule el logro de los objetivos de desempeño con el sistema de
compensación de recompensas de la organización.

Gestión Monitorear, evaluar y MEA01 Supervisión gestionada del MEA01.04 Analizar y reportar el 5. Compare los valores de desempeño con los objetivos y puntos de
evaluar rendimiento y la desempeño. referencia internos y, cuando sea posible, con los puntos de
conformidad referencia externos (industria y competidores clave).

Gestión Monitorear, evaluar y MEA01 Supervisión gestionada del MEA01.04 Analizar y reportar el 6. Analice las tendencias en el desempeño y el cumplimiento y tome
evaluar rendimiento y la desempeño. las medidas adecuadas.
conformidad

Gestión Monitorear, evaluar y MEA01 Supervisión gestionada del MEA01.04 Analizar y reportar el 7. Recomendar cambios en los objetivos y métricas, cuando
evaluar rendimiento y la desempeño. corresponda.
conformidad

Gestión Monitorear, evaluar y MEA01 Supervisión gestionada del MEA01.05 Asegurar la implementación 1. Revisar las respuestas, opciones y recomendaciones de la
evaluar rendimiento y la de acciones correctivas. administración para abordar problemas y desviaciones importantes.
conformidad

Gestión Monitorear, evaluar y MEA01 Supervisión gestionada del MEA01.05 Asegurar la implementación 2. Asegurarse de que se mantenga la asignación de responsabilidad
evaluar rendimiento y la de acciones correctivas. para la acción correctiva.
conformidad

343
Gestión Monitorear, evaluar y MEA01 Supervisión gestionada del MEA01.05 Asegurar la implementación 3. Seguimiento de los resultados de las acciones comprometidas.
evaluar rendimiento y la de acciones correctivas.
conformidad

Gestión Monitorear, evaluar y MEA01 Supervisión gestionada del MEA01.05 Asegurar la implementación 4. Informar los resultados a las partes interesadas.
evaluar rendimiento y la de acciones correctivas.
conformidad

Gestión Monitorear, evaluar y MEA02 Sistema gestionado de MEA02.01 Supervisar los controles 1. Identificar los límites del sistema de control interno. Por ejemplo,
evaluar control interno internos. considere cómo los controles internos de la organización tienen en
cuenta las actividades de desarrollo o producción subcontratadas y /
o en el extranjero.

Gestión Monitorear, evaluar y MEA02 Sistema gestionado de MEA02.01 Supervisar los controles 2. Evaluar el estado de los controles internos de los proveedores de
evaluar control interno internos. servicios externos. Confirme que los proveedores de servicios
cumplan con los requisitos legales y reglamentarios y las obligaciones
contractuales.

Gestión Monitorear, evaluar y MEA02 Sistema gestionado de MEA02.01 Supervisar los controles 3. Realizar actividades de seguimiento y evaluación del control
evaluar control interno internos. interno basadas en estándares de gobierno organizacional y marcos y
prácticas aceptados por la industria. Incluya también el seguimiento y
la evaluación de la eficiencia y eficacia de las actividades de
supervisión gerencial.

Gestión Monitorear, evaluar y MEA02 Sistema gestionado de MEA02.01 Supervisar los controles 4. Asegurar que las excepciones de control sean reportadas,
evaluar control interno internos. monitoreadas y analizadas con prontitud, y que las acciones
correctivas apropiadas sean priorizadas e implementadas de acuerdo
con el perfil de gestión de riesgos (por ejemplo, clasificar ciertas
excepciones como un riesgo clave y otras como un riesgo no clave).

Gestión Monitorear, evaluar y MEA02 Sistema gestionado de MEA02.01 Supervisar los controles 5. Considere evaluaciones independientes del sistema de control
evaluar control interno internos. interno (por ejemplo, por auditoría interna o pares).

344
Gestión Monitorear, evaluar y MEA02 Sistema gestionado de MEA02.01 Supervisar los controles 6. Mantener el sistema de control interno, considerando los cambios
evaluar control interno internos. continuos en el negocio y el riesgo de I&T, el entorno de control
organizacional y los procesos comerciales y de I&T relevantes. Si
existen lagunas, evalúe y recomiende cambios.

Gestión Monitorear, evaluar y MEA02 Sistema gestionado de MEA02.01 Supervisar los controles 7. Evaluar periódicamente el desempeño del marco de control,
evaluar control interno internos. comparándolo con los estándares aceptados por la industria y las
buenas prácticas. Considere la adopción formal de un enfoque de
mejora continua para la supervisión del control interno.

Gestión Monitorear, evaluar y MEA02 Sistema gestionado de MEA02.02 Revisar la efectividad de los 1. Comprender y priorizar el riesgo para los objetivos
evaluar control interno controles de los procesos organizacionales.
comerciales.

Gestión Monitorear, evaluar y MEA02 Sistema gestionado de MEA02.02 Revisar la efectividad de los 2. Identificar controles clave y desarrollar una estrategia adecuada
evaluar control interno controles de los procesos para validar controles.
comerciales.

Gestión Monitorear, evaluar y MEA02 Sistema gestionado de MEA02.02 Revisar la efectividad de los 3. Identificar la información que indicará si el ambiente de control
evaluar control interno controles de los procesos interno está operando de manera efectiva.
comerciales.

Gestión Monitorear, evaluar y MEA02 Sistema gestionado de MEA02.02 Revisar la efectividad de los 4. Mantener evidencia de la efectividad del control.
evaluar control interno controles de los procesos
comerciales.

Gestión Monitorear, evaluar y MEA02 Sistema gestionado de MEA02.02 Revisar la efectividad de los 5. Desarrollar e implementar procedimientos rentables para obtener
evaluar control interno controles de los procesos esta información de acuerdo con los criterios de calidad de la
comerciales. información aplicables.

345
Gestión Monitorear, evaluar y MEA02 Sistema gestionado de MEA02.03 Realizar autoevaluaciones de 1. Definir un enfoque consensuado y acordado para realizar
evaluar control interno control. autoevaluaciones de control y coordinar con los auditores internos y
externos.

Gestión Monitorear, evaluar y MEA02 Sistema gestionado de MEA02.03 Realizar autoevaluaciones de 2. Mantener planes de evaluación y alcance e identificar criterios de
evaluar control interno control. evaluación para realizar autoevaluaciones. Planificar la comunicación
de los resultados del proceso de autoevaluación a la dirección
empresarial, informática y general y al consejo. Considere los
estándares de auditoría interna en el diseño de autoevaluaciones.

Gestión Monitorear, evaluar y MEA02 Sistema gestionado de MEA02.03 Realizar autoevaluaciones de 3. Determinar la frecuencia de las autoevaluaciones periódicas,
evaluar control interno control. teniendo en cuenta la eficacia y la eficiencia generales del
seguimiento continuo.

Gestión Monitorear, evaluar y MEA02 Sistema gestionado de MEA02.03 Realizar autoevaluaciones de 4. Asignar la responsabilidad de la autoevaluación a las personas
evaluar control interno control. adecuadas para garantizar la objetividad y la competencia.

Gestión Monitorear, evaluar y MEA02 Sistema gestionado de MEA02.03 Realizar autoevaluaciones de 5. Prever revisiones independientes para asegurar la objetividad de la
evaluar control interno control. autoevaluación y permitir el intercambio de buenas prácticas de
control interno de otras empresas.

Gestión Monitorear, evaluar y MEA02 Sistema gestionado de MEA02.03 Realizar autoevaluaciones de 6. Compare los resultados de las autoevaluaciones con los estándares
evaluar control interno control. y buenas prácticas de la industria.

Gestión Monitorear, evaluar y MEA02 Sistema gestionado de MEA02.03 Realizar autoevaluaciones de 7. Resumir e informar los resultados de las autoevaluaciones y
evaluar control interno control. evaluaciones comparativas para las acciones correctivas.

346
Gestión Monitorear, evaluar y MEA02 Sistema gestionado de MEA02.04 Identificar y reportar 1. Comunicar los procedimientos para escalar las excepciones de
evaluar control interno deficiencias de control. control, el análisis de la causa raíz y la presentación de informes a los
propietarios de los procesos y las partes interesadas de I&T.

Gestión Monitorear, evaluar y MEA02 Sistema gestionado de MEA02.04 Identificar y reportar 2. Considere el riesgo empresarial relacionado para establecer
evaluar control interno deficiencias de control. umbrales para la escalada de excepciones y fallas de control.

Gestión Monitorear, evaluar y MEA02 Sistema gestionado de MEA02.04 Identificar y reportar 3. Identificar, informar y registrar las excepciones de control. Asignar
evaluar control interno deficiencias de control. la responsabilidad de resolverlos e informar sobre el estado.

Gestión Monitorear, evaluar y MEA02 Sistema gestionado de MEA02.04 Identificar y reportar 4. Decidir qué excepciones de control se deben comunicar a la
evaluar control interno deficiencias de control. persona responsable de la función y qué excepciones se deben
escalar. Informar a los propietarios de procesos afectados y a las
partes interesadas.

Gestión Monitorear, evaluar y MEA02 Sistema gestionado de MEA02.04 Identificar y reportar 5. Haga un seguimiento de todas las excepciones para asegurarse de
evaluar control interno deficiencias de control. que se hayan abordado las acciones acordadas.

Gestión Monitorear, evaluar y MEA02 Sistema gestionado de MEA02.04 Identificar y reportar 6. Identificar, iniciar, rastrear e implementar acciones correctivas que
evaluar control interno deficiencias de control. surjan de las evaluaciones de control y los informes.

Gestión Monitorear, evaluar y MEA03 Cumplimiento gestionado MEA03.01 Identificar los requisitos de 1. Asignar la responsabilidad de identificar y monitorear cualquier
evaluar de requisitos externos cumplimiento externos. cambio en los requisitos legales, reglamentarios y otros requisitos
contractuales externos relevantes para el uso de los recursos de TI y
el procesamiento de información dentro del negocio y las
operaciones de TI de la empresa.

347
Gestión Monitorear, evaluar y MEA03 Cumplimiento gestionado MEA03.01 Identificar los requisitos de 2. Identificar y evaluar todos los requisitos de cumplimiento
evaluar de requisitos externos cumplimiento externos. potenciales y el impacto en las actividades de I&T en áreas tales
como flujo de datos, privacidad, controles internos, informes
financieros, regulaciones específicas de la industria, propiedad
intelectual, salud y seguridad.

Gestión Monitorear, evaluar y MEA03 Cumplimiento gestionado MEA03.01 Identificar los requisitos de 3. Evaluar el impacto de los requisitos legales y reglamentarios
evaluar de requisitos externos cumplimiento externos. relacionados con I&T en contratos de terceros relacionados con
operaciones de TI, proveedores de servicios y socios comerciales
comerciales.

Gestión Monitorear, evaluar y MEA03 Cumplimiento gestionado MEA03.01 Identificar los requisitos de 4. Definir las consecuencias del incumplimiento.
evaluar de requisitos externos cumplimiento externos.

Gestión Monitorear, evaluar y MEA03 Cumplimiento gestionado MEA03.01 Identificar los requisitos de 5. Obtener asesoría legal independiente, cuando corresponda, sobre
evaluar de requisitos externos cumplimiento externos. cambios a las leyes, regulaciones y estándares aplicables.

Gestión Monitorear, evaluar y MEA03 Cumplimiento gestionado MEA03.01 Identificar los requisitos de 6. Mantener un registro actualizado de todos los requisitos legales,
evaluar de requisitos externos cumplimiento externos. reglamentarios y contractuales relevantes; su impacto y acciones
requeridas.

Gestión Monitorear, evaluar y MEA03 Cumplimiento gestionado MEA03.01 Identificar los requisitos de 7. Mantener un registro general armonizado e integrado de requisitos
evaluar de requisitos externos cumplimiento externos. externos de cumplimiento para la empresa.

Gestión Monitorear, evaluar y MEA03 Cumplimiento gestionado MEA03.02 Optimice la respuesta a los 1. Revisar y ajustar periódicamente las políticas, los principios, los
evaluar de requisitos externos requisitos externos. estándares, los procedimientos y las metodologías para que sean
eficaces a la hora de garantizar el cumplimiento necesario y abordar
el riesgo empresarial. Utilice expertos internos y externos, según sea
necesario.

348
Gestión Monitorear, evaluar y MEA03 Cumplimiento gestionado MEA03.02 Optimice la respuesta a los 2. Comunicar los requisitos nuevos y modificados a todo el personal
evaluar de requisitos externos requisitos externos. relevante.

Gestión Monitorear, evaluar y MEA03 Cumplimiento gestionado MEA03.03 Confirme el cumplimiento 1. Evaluar periódicamente las políticas, estándares, procedimientos y
evaluar de requisitos externos externo. metodologías organizacionales en todas las funciones de la empresa
para asegurar el cumplimiento de los requisitos legales y
reglamentarios relevantes en relación con el procesamiento de la
información.

Gestión Monitorear, evaluar y MEA03 Cumplimiento gestionado MEA03.03 Confirme el cumplimiento 2. Abordar las brechas de cumplimiento en las políticas, estándares y
evaluar de requisitos externos externo. procedimientos de manera oportuna.

Gestión Monitorear, evaluar y MEA03 Cumplimiento gestionado MEA03.03 Confirme el cumplimiento 3. Evaluar periódicamente los procesos y actividades comerciales y de
evaluar de requisitos externos externo. TI para garantizar el cumplimiento de los requisitos legales,
reglamentarios y contractuales aplicables.

Gestión Monitorear, evaluar y MEA03 Cumplimiento gestionado MEA03.03 Confirme el cumplimiento 4. Revise periódicamente los patrones recurrentes de fallas en el
evaluar de requisitos externos externo. cumplimiento y evalúe las lecciones aprendidas.

Gestión Monitorear, evaluar y MEA03 Cumplimiento gestionado MEA03.03 Confirme el cumplimiento 5. Con base en la revisión y las lecciones aprendidas, mejorar las
evaluar de requisitos externos externo. políticas, los estándares, los procedimientos, las metodologías y los
procesos y actividades asociados.

Gestión Monitorear, evaluar y MEA03 Cumplimiento gestionado MEA03.04 Obtenga garantía de 1. Obtenga la confirmación periódica del cumplimiento de las
evaluar de requisitos externos cumplimiento externo. políticas internas por parte de los propietarios de procesos de TI y del
negocio y los jefes de unidad.

349
Gestión Monitorear, evaluar y MEA03 Cumplimiento gestionado MEA03.04 Obtenga garantía de 2. Realizar revisiones internas y externas periódicas (y, cuando
evaluar de requisitos externos cumplimiento externo. corresponda, independientes) para evaluar los niveles de
cumplimiento.

Gestión Monitorear, evaluar y MEA03 Cumplimiento gestionado MEA03.04 Obtenga garantía de 3. Si es necesario, obtenga afirmaciones de proveedores de servicios
evaluar de requisitos externos cumplimiento externo. de I&T externos sobre los niveles de cumplimiento de las leyes y
regulaciones aplicables.

Gestión Monitorear, evaluar y MEA03 Cumplimiento gestionado MEA03.04 Obtenga garantía de 4. Si es necesario, obtenga afirmaciones de los socios comerciales
evaluar de requisitos externos cumplimiento externo. sobre los niveles de cumplimiento de las leyes y regulaciones
aplicables en lo que respecta a las transacciones electrónicas entre
empresas.

Gestión Monitorear, evaluar y MEA03 Cumplimiento gestionado MEA03.04 Obtenga garantía de 5. Integrar informes sobre requisitos legales, regulatorios y
evaluar de requisitos externos cumplimiento externo. contractuales a nivel empresarial, involucrando a todas las unidades
de negocio.

Gestión Monitorear, evaluar y MEA03 Cumplimiento gestionado MEA03.04 Obtenga garantía de 6. Monitorear e informar sobre problemas de incumplimiento y,
evaluar de requisitos externos cumplimiento externo. cuando sea necesario, investigar la causa raíz.

Gestión Monitorear, evaluar y MEA04 Garantía gestionada MEA04.01 Asegúrese de que los 1. Establecer el cumplimiento de los códigos de ética y estándares
evaluar proveedores de aplicables (p. Ej., El Código de ética profesional de ISACA) y los
aseguramiento sean estándares de aseguramiento (específicos de la industria y la
independientes y estén geografía) (p. Ej., Los Estándares de aseguramiento y auditoría de TI
calificados. de ISACA y los [IAASB] Marco internacional para trabajos de
aseguramiento [Marco de aseguramiento del IAASB]).
Gestión Monitorear, evaluar y MEA04 Garantía gestionada MEA04.01 Asegúrese de que los 2. Establecer la independencia de los proveedores de aseguramiento.
evaluar proveedores de
aseguramiento sean
independientes y estén
calificados.

350
Gestión Monitorear, evaluar y MEA04 Garantía gestionada MEA04.01 Asegúrese de que los 3. Establecer la competencia y calificación de los proveedores de
evaluar proveedores de aseguramiento.
aseguramiento sean
independientes y estén
calificados.

Gestión Monitorear, evaluar y MEA04 Garantía gestionada MEA04.02 Desarrollar una planificación 1. Comprender la estrategia y las prioridades de la empresa.
evaluar basada en riesgos de las
iniciativas de aseguramiento.

Gestión Monitorear, evaluar y MEA04 Garantía gestionada MEA04.02 Desarrollar una planificación 2. Comprender el contexto interno de la empresa. Esta comprensión
evaluar basada en riesgos de las ayudará al profesional de aseguramiento a evaluar mejor los
iniciativas de aseguramiento. objetivos empresariales y la importancia relativa de los objetivos
empresariales y de alineación, así como las amenazas más
importantes a estos objetivos. A su vez, esto ayudará a definir un
alcance mejor y más relevante para el encargo de aseguramiento.
Gestión Monitorear, evaluar y MEA04 Garantía gestionada MEA04.02 Desarrollar una planificación 3. Comprender el contexto externo de la empresa. Esta comprensión
evaluar basada en riesgos de las ayudará al profesional de aseguramiento a comprender mejor los
iniciativas de aseguramiento. objetivos empresariales y la importancia relativa de los objetivos
empresariales y de alineación, así como las amenazas más
importantes a estos objetivos. A su vez, esto ayudará a definir un
alcance mejor y más relevante para el encargo de aseguramiento.
Gestión Monitorear, evaluar y MEA04 Garantía gestionada MEA04.02 Desarrollar una planificación 4. Desarrollar un plan anual general para las iniciativas de
evaluar basada en riesgos de las aseguramiento que contengan los objetivos de aseguramiento
iniciativas de aseguramiento. consolidados.

Gestión Monitorear, evaluar y MEA04 Garantía gestionada MEA04.03 Determine los objetivos de la 1. Definir el objetivo de aseguramiento de la iniciativa de
evaluar iniciativa de aseguramiento. aseguramiento identificando a las partes interesadas de la iniciativa
de aseguramiento y sus intereses.

Gestión Monitorear, evaluar y MEA04 Garantía gestionada MEA04.03 Determine los objetivos de la 2. Acordar los objetivos de alto nivel y los límites organizacionales del
evaluar iniciativa de aseguramiento. trabajo de aseguramiento.

351
Gestión Monitorear, evaluar y MEA04 Garantía gestionada MEA04.03 Determine los objetivos de la 3. Considere el uso de la Cascada de Metas de COBIT y sus diferentes
evaluar iniciativa de aseguramiento. niveles para expresar el objetivo de aseguramiento.

Gestión Monitorear, evaluar y MEA04 Garantía gestionada MEA04.03 Determine los objetivos de la 4. Asegurarse de que los objetivos del trabajo de aseguramiento
evaluar iniciativa de aseguramiento. consideren los tres componentes de los objetivos de valor: entregar
beneficios que apoyen los objetivos estratégicos, optimizar el riesgo
de que no se logren los objetivos estratégicos y optimizar los niveles
de recursos requeridos para lograr los objetivos estratégicos.

Gestión Monitorear, evaluar y MEA04 Garantía gestionada MEA04.04 Definir el alcance de la 1. Definir todos los componentes de gobernanza en el alcance de la
evaluar iniciativa de aseguramiento. revisión, es decir, los principios, políticas y marcos; procesos;
Estructuras organizacionales; cultura, ética y comportamiento;
información; servicios, infraestructura y aplicaciones; personas,
habilidades y competencias

Gestión Monitorear, evaluar y MEA04 Garantía gestionada MEA04.04 Definir el alcance de la 2. Con base en la definición del alcance, defina un plan de
evaluar iniciativa de aseguramiento. participación, considerando la información que se recopilará y las
partes interesadas que se entrevistarán.

Gestión Monitorear, evaluar y MEA04 Garantía gestionada MEA04.04 Definir el alcance de la 3. Confirme y perfeccione el alcance basándose en la comprensión de
evaluar iniciativa de aseguramiento. la arquitectura empresarial.

Gestión Monitorear, evaluar y MEA04 Garantía gestionada MEA04.04 Definir el alcance de la 4. Refinar el alcance del trabajo de aseguramiento, basado en los
evaluar iniciativa de aseguramiento. recursos disponibles.

Gestión Monitorear, evaluar y MEA04 Garantía gestionada MEA04.05 Definir el programa de 1. Definir pasos detallados para recopilar y evaluar información de los
evaluar trabajo para la iniciativa de controles de gestión dentro del alcance. Centrarse en evaluar la
aseguramiento. definición y aplicación de buenas prácticas, relacionadas con el
diseño de controles, y el logro de los objetivos de control,
relacionados con la efectividad del control.

352
Gestión Monitorear, evaluar y MEA04 Garantía gestionada MEA04.05 Definir el programa de 2. Comprender el contexto de los objetivos de gestión y los controles
evaluar trabajo para la iniciativa de de gestión de apoyo que se implementan. Comprenda cómo estos
aseguramiento. controles de gestión contribuyen al logro de los objetivos de
alineación y los objetivos empresariales.

Gestión Monitorear, evaluar y MEA04 Garantía gestionada MEA04.05 Definir el programa de 3. Comprender a todas las partes interesadas y sus intereses.
evaluar trabajo para la iniciativa de
aseguramiento.

Gestión Monitorear, evaluar y MEA04 Garantía gestionada MEA04.05 Definir el programa de 4. Acordar las buenas prácticas esperadas para los controles de
evaluar trabajo para la iniciativa de gestión.
aseguramiento.

Gestión Monitorear, evaluar y MEA04 Garantía gestionada MEA04.05 Definir el programa de 5. Si un control de gestión es débil, defina prácticas para identificar el
evaluar trabajo para la iniciativa de riesgo residual (en preparación para la presentación de informes).
aseguramiento.

Gestión Monitorear, evaluar y MEA04 Garantía gestionada MEA04.05 Definir el programa de 6. Comprender la etapa del ciclo de vida de los controles de gestión y
evaluar trabajo para la iniciativa de acordar los valores esperados.
aseguramiento.

Gestión Monitorear, evaluar y MEA04 Garantía gestionada MEA04.06 Ejecute la iniciativa de 1. Perfeccionar la comprensión del tema de aseguramiento de TI.
evaluar aseguramiento, enfocándose
en la efectividad del diseño.

Gestión Monitorear, evaluar y MEA04 Garantía gestionada MEA04.06 Ejecute la iniciativa de 2. Refinar el alcance del tema de aseguramiento de TI.
evaluar aseguramiento, enfocándose
en la efectividad del diseño.

353
Gestión Monitorear, evaluar y MEA04 Garantía gestionada MEA04.06 Ejecute la iniciativa de 3. Observar / inspeccionar y revisar el enfoque de control de gestión.
evaluar aseguramiento, enfocándose Valide el diseño con el propietario del control en cuanto a integridad,
en la efectividad del diseño. relevancia, puntualidad y mensurabilidad.

Gestión Monitorear, evaluar y MEA04 Garantía gestionada MEA04.06 Ejecute la iniciativa de 4. Pregunte al propietario del control si se han asignado las
evaluar aseguramiento, enfocándose responsabilidades del componente de gobierno y la responsabilidad
en la efectividad del diseño. general. Confirma la respuesta. Pruebe si se comprenden y aceptan la
rendición de cuentas y las responsabilidades. Verifique que estén
disponibles las habilidades adecuadas y los recursos necesarios.

Gestión Monitorear, evaluar y MEA04 Garantía gestionada MEA04.06 Ejecute la iniciativa de 5. Reconsiderar el equilibrio entre los tipos de prevención y detección
evaluar aseguramiento, enfocándose y corrección de las actividades de control de gestión.
en la efectividad del diseño.

Gestión Monitorear, evaluar y MEA04 Garantía gestionada MEA04.06 Ejecute la iniciativa de 6. Considere el esfuerzo invertido en mantener los controles de
evaluar aseguramiento, enfocándose gestión y el costo / efectividad asociado.
en la efectividad del diseño.

Gestión Monitorear, evaluar y MEA04 Garantía gestionada MEA04.07 Ejecutar la iniciativa de 1. Evaluar si se logran los resultados esperados para cada uno de los
evaluar aseguramiento, enfocándose controles de gestión en el alcance. Es decir, evaluar la eficacia del
en la efectividad operativa. control de gestión (eficacia del control).

Gestión Monitorear, evaluar y MEA04 Garantía gestionada MEA04.07 Ejecutar la iniciativa de 2. Asegúrese de que el profesional de aseguramiento pruebe el
evaluar aseguramiento, enfocándose resultado o la efectividad del control de gestión buscando evidencia
en la efectividad operativa. directa e indirecta del impacto en los objetivos de los controles de
gestión. Esto implica la justificación directa e indirecta de la
contribución medible de las metas de gestión a las metas de
alineación, registrando así la evidencia directa e indirecta de que
realmente se han logrado los resultados esperados.
Gestión Monitorear, evaluar y MEA04 Garantía gestionada MEA04.07 Ejecutar la iniciativa de 3. Determine si el profesional de aseguramiento obtiene evidencia
evaluar aseguramiento, enfocándose directa o indirecta para elementos / períodos seleccionados
en la efectividad operativa. aplicando una selección de técnicas de prueba para asegurar que el
control de gestión bajo revisión esté funcionando de manera efectiva.
Asegúrese de que el profesional de aseguramiento también realice
una revisión limitada de la idoneidad de los resultados del control de
gestión y determine el nivel de pruebas sustantivas y el trabajo
adicional necesario para garantizar que el desempeño del control de
gestión sea adecuado.

354
Gestión Monitorear, evaluar y MEA04 Garantía gestionada MEA04.07 Ejecutar la iniciativa de 4. Investigar si un control de gestión puede hacerse más eficiente y si
evaluar aseguramiento, enfocándose su diseño puede ser más efectivo optimizando pasos o buscando
en la efectividad operativa. sinergias con otros controles de gestión.

Gestión Monitorear, evaluar y MEA04 Garantía gestionada MEA04.08 Informar y dar seguimiento a 1. Documente el impacto de las debilidades de control.
evaluar la iniciativa de
aseguramiento.

Gestión Monitorear, evaluar y MEA04 Garantía gestionada MEA04.08 Informar y dar seguimiento a 2. Comunicarse con la gerencia durante la ejecución de la iniciativa
evaluar la iniciativa de para que haya una comprensión clara del trabajo realizado y un
aseguramiento. acuerdo y aceptación de los hallazgos y recomendaciones
preliminares.

Gestión Monitorear, evaluar y MEA04 Garantía gestionada MEA04.08 Informar y dar seguimiento a 3. Proporcionar a la gerencia un informe (alineado con los términos
evaluar la iniciativa de de referencia, alcance y estándares de reporte acordados) que
aseguramiento. respalde los resultados de la iniciativa y permita un enfoque claro en
temas clave y acciones importantes.

Gestión Monitorear, evaluar y MEA04 Garantía gestionada MEA04.08 Informar y dar seguimiento a 4. Supervisar las actividades de aseguramiento y asegurarse de que el
evaluar la iniciativa de trabajo realizado esté completo, cumpla con los objetivos y sea de
aseguramiento. una calidad aceptable. Revise el enfoque o los pasos detallados si
ocurren brechas de calidad.

Gestión Monitorear, evaluar y MEA04 Garantía gestionada MEA04.09 Dar seguimiento a 1. Acordar e implementar internamente, dentro de la organización,
evaluar recomendaciones y acciones. las acciones necesarias que se deben tomar para resolver las
debilidades y brechas identificadas.

Gestión Monitorear, evaluar y MEA04 Garantía gestionada MEA04.09 Dar seguimiento a 2. Dar seguimiento, dentro de la organización, para determinar si se
evaluar recomendaciones y acciones. tomaron acciones correctivas y se resolvieron las debilidades de
control interno.

355