Alineando Cobit 4.1 Itil V3 ISO27002 en Beneficio Del Negocio

Alineando CobiT® 4.
1,
ITIL® V3 e I
ISO/IEC 270
en beneficio del negocio
Un reporte para gestión del ITGI y la OGC
GOVER
lNSTnrUTE* OGC
Office oí Gcvsrnnefii Con-merce"
Alineando CobíT®4.1, ITIL®V3 e ISO/IEC 27002en beneficio de la empresa
El IT Governance Institute®
TM
El IT Governance Institute (ITGI ) (www.itgi.org) es una entidad de investigación independiente y sin fines de lucro que
proporciona orientación para la comunidad global de negocios relacionada al gobierno de activos de TI. El ITGI fue
establecido por ISACA en 1998, para ayudar a los ejecutivos y a profesionales de TI a asegurar que las tecnologías de
información entreguen valor y mitiguen sus riesgos a través del alineamiento con los objetivos de la empresa, que los
recursos de TI se asignen apropiadamente y que se mida el desempeño de TI. El ITGI, que desarrolló CobiT® (Control
Objectives for Information and related Technology) y Val IT™, ofrece investigación original y casos de estudio para ayudar
a los líderes de las empresas y a sus consejos directivos en el desempeño de sus responsabilidades de Gobierno de TI, y a los
profesionales de TI en la entrega de servicios de valor agregado.
La Oficina Gubernamental de Comercio

La misión de la Oficina Gubernamental de Comercio (OGC) (www.ogc.gov.uk) es trabajar con organizaciones del sector
público para ayudarlos a lograr eficiencias, valor por las inversiones en actividades comerciales y mejorar el éxito de los
programas y proyectos. La OGC soporta el logro de estos objetivos a través de la concentración de sus esfuerzos en un
amplio rango de programasde mejoramiento a través de tres actividades significativas en organizaciones del sector público:
eficiencia, gestión de proyectosy programas, y compras. La OGC instrumenta este trabajo a través de la TSO (The Stationery
Office).
Límite de Responsabilidad
El ITGI y la OGC diseñaron y crearon esta publicación, titulada Alineando CobiT® 4.1, ITIL® Vi y ISO/IEC 27002 en
beneficio de la empresa (la "Obra"), principalmente como recurso educativo para directores de información, la alta dirección
y la gerencia de TI. EL ITGI y la OGC declaran que no responde o garantiza que el uso de la Obra asegure un resultado
exitoso. No deberá considerarse que la Obra incluye toda la información, los procedimientos o las pruebas apropiadas o
excluye otra información, procedimientos o pruebas que estén razonablemente dirigidas a la obtención de los mismos
resultados. Para determinar la conveniencia de cualquier información, procedimiento o prueba específica, los directores de
información, la alta dirección y la gerencia de TI deberán aplicar su propio juicio profesional a las circunstancias de control
específicas presentadas por los sistemas o entornos de tecnología de información particulares.
Acuerdo de Licencia de Uso (Disclosure)

© 2008 ITGI. Todos los derechos reservados. No está permitido el uso, copia, reproducción, modificación, distribución,
exhibición, almacenamiento en un sistema de recuperación de datos o transmisión, en cualquier forma o por cualquier medio
(electrónico, mecánico, fotocopiado, grabación u otro), de ninguna parte de la presente publicación, sin el previo
consentimiento por escrito del ITGI. Se permite la reproducción de determinadas partes de esta publicación sólo para el uso
académico, interno y no comercial, y para acuerdos de asesoría y consultaría, debiendo incluir el reconocimiento completo de
la fuente del material. No se otorga ningún otro derecho ni permiso respecto a este trabajo.
© Crown Copyright material 2008, publicada en conjunto con la OGC, es reproducida con el permiso del controller de
HMSO y Queen's Printer para Escocia. ISACA e ITGI son marcas registradas de ISACA. CobiT® es una marca registrada de
ISACA e ITGI. ITIL® es una marca registrada de la OGC en el Reino Unido y otros países. IT Infrastructure Library® es
una marca registrada de la OGC en el Reino Unido y otros países. Copias de ISO/IEC 27002:2005 y todos los estándares ISO
pueden ser adquiridas en el American National Standards Institute (ANSÍ) en http://webstore.ansi.org. teléfono
+1.212.642.4980; BSI en el Reino Unido (www.bsi-global.com/shop.htinl) y en ISO fwww.iso.org/iso/store.htmy
IT Governance Institute Oficina Gubernamental de Comercio The Stationery Office

3701 Algonquin Road, Suite 1010 Rosebery Court, St. Andrews Business Park St. Crispins, Duke Street
Rolling Meadows, IL 60008 USA Norwich, Norfolk NR7 OHS, UK Norwich NR3 1PD, UK
Phone: +1.847.660.5700 Phone: +44.845.000.4999 Phone: +44.(0). 1603.622211
Fax:+1.847.253.1443 Fax: +44.160.370.4817 Fax: +44.(0).870.600.5533
E-mail: [email protected] E-mail: [email protected] E-mail:customer.services@tso,co,uk
Web site: www.itei.ore Web site: www.ogc.gov.uk Web site: www.itil.co.uk
Alineando CobiT" 4.1, ITIL" V3 y ISO/IEC 27002 en beneficio de la empresa

Impreso en los Estados Unidos de América y publicado simultáneamente en las websites de ITGI, ISACA, OGC y TSO en
Inglaterra y Estados Unidos de América.
2008 IT GOVERNANCE INSTITUTE. TODOS LOS DERECHOS RESERVADOS.

Alineando CobiT®4.1, ITIL®V3 e ISO/IEC 27002 en beneficio de la empresa
Agradecimientos
El ITGI desea reconocer a:
El equipo de Desarrollo
IT Governance Institute
Gary Hardy, CGEIT, IT Winners, South África
Jimmy Heschl, CISA, CISM, CGEIT, KPMG, Austria
The Stationery Office

Jim Clinch, Clinch Consulting, ITIL Refresh Chief Editor, formerly with OGC, UK
Revisores expertos
John W. Lainhart IV, CISA, CISM, CGEIT, IBM, USA
Lucio Molina Focazzio, CISA, Colombia
Robert E. Stroud, CA Inc., USA
Sharon Taylor, Aspect Group Inc., Canadá
Wim Van Grembergen, Ph.D., University of Antwerp Management School and IT Alignment and
Governance (ITAG) Research Institute, Belgium
Comité Administrador de ITGI

Lynn Lawton, CISA, FBCS, FCA, FIIA, KPMG LLP, UK, Presidente Internacional
George Ataya, CISA, CISM, CGEIT, CISSP, ICT Control SA, Belgium, Vice Presidente
Yonosuke Harada, CISA, CISM, CAIS, InfoCom Research Inc., Japan, Vice Presidente
Howard Nicholson, CISA, CGEIT, City of Salisbury, Australia, Vice Presidente
José Ángel Peña Ibarra, CGEIT, Consultoría en Comunicaciones e Info., SA & CV, México, Vice
Presidente
Robert E. Stroud, CA Inc., USA, Vice Presidente
Kenneth L. VanderWal, CISA, CPA, Ernst& Young LLP (retired), USA, Vice Presidente
Frank Yam, CISA, FHKCS, FHKIoD, CÍA, CCP, CFE, CFSA, FFA, Focus Strategic Group, Hong
Kong, Vice Presidente
Marios Damianides, CISA, CISM, CA, CPA, Ernst & Young LLP, USA, Past Presidente Internacional
Everett C. Johnson Jr., CPA, Deloitte & Touche LLP (jubilado), USA, Past Presidente Internacional
Comité de Gobierno de TI
Tony Hayes, FCPA, Queensland Government, Australia, Chair
Sushil Chatterji, Edutech Enterprises, Singapore
Kyung-Tae Hwang, CISA, Dongguk University, Korea
John W. Lainhart IV, CISA, CISM, CGEIT, IBM Business Consulting Services, USA
Hugh Penri-Williams, CISA, CISM, CCSA, CÍA, Glaniad 1865 Eurl, France
Eddy Schuermans, CISA, PricewaterhouseCoopers, Belgium
Gustavo Adolfo Solís Montes, CISA, CISM, Grupo Cynthus, México
Robert E. Stroud, CA Inc., USA
John Thorp, CMC, I.S.P., The Thorp Network Inc., Canadá
Wim Van Grembergen, Ph.D., University of Antwerp Management School, and IT Alignment and
Governance (ITAG) Research Institute, Belgium
S5 2008 IT GOVERNANCE INSTITUTE. TODOS LOS DERECHOS RESERVADOS.

Alineando CobiT®4.1 , ITIL®V3 e ISO/IEC 27002 en beneficio de la empresa
Comité de Dirección CobiT

Robert E. Stroud, CA Inc., USA, Chair
Gary S. Baker, CA, Deloitte & Touche, Canadá
Rafael Eduardo Fabius, CISA, República AFAP SA, Uruguay
Erik Guldentops, CISA, CISM, University of Antwerp Management School, Belgium
Jimmy Heschl, CISM, CISA, CGEIT, KPMG, Austria
Debbie A. Lew, CISA, Ernst & Young LLP, USA
Greta Volders, Voquals, Belgium
Patrocinadores y afiliados ITGI

ISACA chapters
American Institute of Certified Public Accountants
ASÍS International
The Center for Internet Security
Commonwealth Association for Corporate Governance Inc.
FIDA Inform
Information Security Forum
Information Systems Security Association
Institut de la Gouvernance des Systemes d'Information
Institute of Management Accountants Inc.
ISACA
ITGI Japan
Norwich University
Socitm Performance Management Group
Solvay Business School
University of Antwerp Management School
Aldion Consulting Pte. Ltd.
Analytix Holdings Pty. Ltd.
Bwise B.V.
CA Inc.
Consult2Comply
Hewlett-Packard
IBM
ITpreneurs Nederlands B.V.
LogLogic Inc.
Phoenix Business and Systems Process Inc.
Project Rx Inc.
Symantec Corp.
TruArx Inc.
Wolcott Group LLC
World Pass IT Solutions
Equipo de traducción y revisión en español

Francisco Neira Basso, Perú
Rubén Uchima Senaga, Perú
Alfredo Carrasco K., CISA, Perú
Pablo Caneo Gutiérrez, CISA, CGEIT, COBIT Foundations, ITIL, Chile
Juan Dávila Ramírez, CISA, CISM, ISO 27001 LA, Perú
O 2008 IT GOVERNANCE INSTITUTE. TODOS LOS DERECHOS RESERVADOS.

Alineando CobiT®4.1, ITIL V3 e ISO/IEC 27002 en beneficio de la empresa
Tabla de contenido
1. Resumen ejecutivo 6
2. Antecedentes 8
Drivers del negocio para el uso de las mejores prácticas de TI 8
Desafíos actuales 8
3. ¿Por qué la alta dirección necesita conocer las mejores prácticas? 9
4. ¿Por qué las mejores prácticas son importantes para la empresa? 10
Las mejores prácticas y los estándares ayudan a posibilitar un gobierno eficaz de las
actividades de TI 10
Un marco de referencia de gestión de TI para apoyar a la empresa 11
Los beneficios para la empresa 12
5. COBIT, ITIL e ISO/IEC 27002: Lo que ofrecen y consideran 13
COBIT 13
ITIL 14
ISO/IEC 27002 17
6. ¿Cuál es la mejor forma de implementar COBIT, ITIL e ISO/IEC 27002? 19
Elaboración 19
Priorización 20
Planificación 20
Evitar obstáculos 21
Alinear las mejores prácticas 22
Apéndice I: Mapeo de ITIL v3 e ISO/IEC 27002 con los Objetivos de Control de COBIT 4.1 23
Apéndice II: Mapeo de los objetivos de control de COBIT 4.1 con ITIL V3 60
Apéndice III: Mapeo de los objetivos de control de COBIT 4.1 e ITIL V3 con ISO/IEC 27002 90
Apéndice IV: COBIT y productos relacionados 129

1. Resumen ejecutivo
Cada empresa necesita ajustar la utilización de estándares y prácticas a sus requerimientos individuales.
En este sentido, los tres estándares/prácticas cubiertos en esta guía pueden desempeñar un papel muy
útil, CobiT® e ISO/IEC 27002 paraayudar a definir lo que debería hacerse, e ITIL proporciona elcómo para
los aspectos de la gestión de servicios.
La creciente adopción de mejores prácticas de TI se explica porque la industria de TI requiere mejorar la

administración de la calidad y la confiabilidad de TI en los negocios y para responder a un creciente
número de requerimientos regulatorios y contractuales.
Sin embargo, existe el peligro de que las implementaciones de estas mejores prácticas, potencialmente
útiles, puedan ser costosas y desenfocadas si son tratadas como guías puramente técnicas. Para ser más
efectivos, las mejores prácticas deberían ser aplicadas en el contexto del negocio, enfocándose donde su
utilización proporcione el mayor beneficio a la organización. La alta dirección, los gerentes, auditores,
oficiales de cumplimiento y directores de TI, deberían trabajar en armonía para estar seguros que las
mejores prácticas conduzcan a servicios de TI económicos y bien controlados.
Las mejores prácticas de TI posibilitan y soportan:

• Una mejor gestión de TI, lo que es crítico para el éxito de la estrategia de la empresa.
• Un gobierno eficaz de las actividades de TI.
• Unmarco de referencia eficaz para la gestión de políticas, controles internos y prácticas definidas,
lo que es necesario para que todos sepan lo que hay que hacer.
• Muchos otros beneficios, incluyendo ganancia de eficiencias, menor dependencia de expertos,
menos errores, mejora de la confianza de los socios de negocios y de reguladores.
Este documento aplica en general a todas las mejores prácticas de TI pero se enfoca en tres prácticas y
estándares específicos, los que están siendo ampliamente adoptados a nivel global y que han sido
actualizadas para incorporar las últimas versiones:
• ITIL v3: Publicado por la OGC (Office of Government Commerce) del gobierno británico para
proporcionar un marco de referencia de mejores prácticas para la gestión de serviciosde TI.
• CobiT ® 4.1: Publicado por el ITGI y posicionado como un marco de referencia de alto nivel para
el control y el gobierno de TI.
• ISO/IEC 27002:2005: Publicado por ISO (International Organization for Standardization) y por
IEC (International Electrotechnical Commission), derivado de la norma BS 7799 del gobierno
británico, renombrada ISO/IEC 17799:2005, para proporcionar un marco de referencia del
estándar para gestión de seguridad de información.
Las descripciones de cada práctica puedenser encontradas en el cuerpoprincipal de este documento.
La implementación de las mejores prácticasdebería ser consistentecon el marco de controly la gestión de

riesgos de la empresa, apropiada para la empresa e integrada con otras metodologías y prácticas que
estén siendo utilizadas. Los estándares y las mejores prácticas no son una panacea; su efectividad depende
de cómo se implementan y mantienen. Estas son mucho más útiles cuando son aplicadas como un bloque
de principios y como un punto de partida para adaptar procedimientos específicos. Para evitar prácticas
que nunca se pongan en ejecución ('shelfware'), la dirección y el staff deben entender lo que hay que
hacer, cómo hacerlo y porqué es importante hacerlo.
La implementación debe ser adaptada a la empresa, priorizada y planificada para lograr su uso eficaz. Este
documento describe algunos obstáculos que deberían ser evitados.
<B 2008 IT GOVERNANCE INSTITUTE. TODOS LOS DERECHOS RESERVADOS.

Para lograr el alineamiento de las mejores prácticas con los requerimientos del negocio, se deberían
utilizar procesos formales que soporten el buen gobierno de TI. La OGC proporciona guías de gestión a
través de sus herramientas Successful Delivery Toolkit (www.ogc.gov.uk/sdtoolkit/). PRINCE2 como marco
de referencia de las mejores prácticas para gestión de proyectos, Managing SuccessfulProgrammes (MSP)
y Management of Risk (M_o_R®): Guidance for Practitioners para gestión de riesgos (ver www.best-
management-practice.com/). El ITGI proporciona ITGovernanceImplementatíon Guide Using COBlTand Val
IT, 2nd Edition.
CobiT puede ser utilizado en los más altos niveles de gobierno de TI, proporcionando un marco de
referencia global de control basado en el modelo de procesos de TI que el ITGI pretende se pueda adaptar
a cada empresa. También hay una necesidad de procesos detallados y estandarizados para profesionales.
Prácticas específicas y estándares como ITIL e ISO/IEC 27002, cubren áreas específicas y pueden ser
mapeadas al marco de referencia CobiT, proporcionando así una jerarquía de materiales de orientación.
Para entender mejor el mapeo entre ITIL, ISO/IEC 27002 y CobiT, vea el Apéndice I, en donde cada uno de
los 34 procesos y objetivos de control de CobiT han sido mapeados a secciones específicas de ITIL e
ISO/IEC 27002; el Apéndice II, donde un mapeo inverso muestra cómo es que tópicos clave de ITIL v3
mapean a CobiT 4.1; y el Apéndice III, donde un mapeo inverso muestra cómo las clasificaciones de
ISO/IEC 27002 mapean a CobiT.
El ITGI y la OGC continuarán actualizando sus guías para mejorar el alineamiento de la terminología y el
contenido con otros documentos, facilitando la integración y reflejando las mejores prácticas más
recientes.

2. Antecedentes
Este compendio de gestión es el resultado de un estudio conjunto iniciado por la OGC británica y el IT
Governance Institute en respuesta a la creciente importancia de las mejores prácticas de la industria de TI,
así como a la necesidad para los gerentes de TI y de staff de entender mejor el valor de las mejores
prácticas de TI y cómo implementarlas. Su primera publicación data de noviembre de 2005 y fue
actualizada en agosto de 2008 para reflejar los cambios en CobiT 4.1 e ITIL v3. El itSMF (IT Service
Management Forum) también apoyó en el estudio original.
La intención de este compendio es explicar el valor de las mejores prácticas de TI a los usuarios de
negocios y a la alta dirección, y cómo es que su armonización, implementación e integración puede ser
fácilmente realizada.
Indicadores del negocio para el uso de las mejores prácticas de TI

Las mejores prácticas de TI son importantes debido a una serie de factores:
• Los directorios y los gerentes demandan mejores retornos de las inversiones en TI. Por ejemplo, TI,
entrega lo que el negocio necesita para incrementar el valor de los accionistas.
• Preocupación sobre el creciente nivel de gastos de TI.
• La necesidad de cumplir los requisitos regulatorios para los controles de TI en áreas tales como la
privacidad y el reporte financiero (Sarbanes-Oxley Act), y en sectores específicos como el financiero,
farmacéutico y de salud.
• Laselección de proveedores de servicios y la gestión de servicios de outsourcing y compras.
• El incremento de complejidad en riesgos relacionados a TI, como la seguridad de redes.
• Lasiniciativas de gobierno de TI, que incluyen la adopción de marcos de referencia y mejores prácticas
de control para ayudar a supervisar y mejorar las actividades críticas de TI, para incrementar el valor
del negocio y reducir sus riesgos.
• La necesidad de optimizar costos a través de enfoques estandarizados, hasta donde sea posible, en
lugar de enfoques específicamente desarrollados.
• La creciente madurez y consecuente aceptación de prestigiosos marcos de referencia, tales como ITIL
(Information Technology Infrastructure Library), CobiT (Control Objectives for Information and
related Technology), ISO/IEC 27002, ISO 9002, CMM® (Capability Maturiry Model), PRINCE2 (Projects
in Controlled Environments), MSP (Managing Successful Programmes), M_o_R (Management of Risk:
Guidance for Practitioners) y PMBOK® (Project Management Body of Knowledge).
• La necesidad de las organizaciones por evaluar su desempeño respecto de estándares generalmente
aceptados y respecto de sus pares (benchmarking).
• Declaraciones de analistas que recomiendan la adopción de mejores prácticas. Por ejemplo:
"Los marcos de referencia con herramientas sólidas sonesenciales paraasegurar que los recursos de TI estén
alineados con los objetivos del negocio, y que los servicios y la información satisfagan los requisitos de
calidad, financieros y de seguridad.... CobiT e ITIL noson mutuamente excluyentes y pueden ser combinados
para obtener un poderoso marco de referencia de mejores prácticas, controly gobierno en la gestión de
servicios de TI. Las empresas que quieren ubicarsus programas ITIL en el contexto de un amplio marco de
referencia de gobierno y controldeberían utilizar CobiT1".
Desafíos actuales
El creciente uso de estándares y mejores prácticas ha generado nuevos desafíos y demandas por guías de
implementación:
• Creación de conciencia del propósito del negocio y los beneficios de estas prácticas.
• Ayuda en la toma de decisiones sobre cuáles prácticas utilizar y cómo integrarlas con las políticas y los
procedimientos internos.
• Adaptación de estándares y mejores prácticas a los requerimientos específicos de la organización.
1 Esta nota corresponde a una investigación de Gartner que fue emitida en junio de 2002, y aún tiene gran relevancia.
© 2008 IT GOVERNANCE INSTITUTE. TODOS LOS DERECHOS RESERVADOS.

3. ¿Por qué la alta dirección necesita conocer las mejores

prácticas?
Debido a su naturaleza técnica, los estándares y las mejores prácticas de TI normalmente son conocidas
por los expertos (profesionales, gerentes y asesores de TI), quienes pueden adoptarlos y utilizarlos con la
mejor intención; sin embargo, potencialmente no tienen un enfoque de negocio o no cuentan con la
participación y la ayuda del cliente.
Incluso en organizaciones donde se han implementado prácticas como CobiT e ITIL, algunos gerentes
funcionales entienden poco acerca de su real propósito y no están preparados para influir sobre su
utilización.
Para obtener el máximo valor de las mejores prácticas para el negocio, se necesita involucrar a los clientes
de los servicios de TI, dado que el uso eficaz de TI debería ser una experiencia colaborativa entre el cliente
y los proveedores del servicio (internos y externos), donde el cliente fijalos requerimientos. Otros grupos
interesados, tales como el directorio, la alta dirección, los auditores y los reguladores también tienen un
gran interés, ya sea en recibir o proporcionar la seguridad de que las inversiones en TI están debidamente
protegidas y entregan valor.
La Figura 1 resume quien tiene interés en la forma en que los estándares y las mejores prácticas de TI
pueden ayudar a considerar los aspectos de gestión de TI.
Figura 1:Gruposde interés en aspectos de gestión de TI
¿Quién tiene interés primario?

Aspectos de alta gestión basados en CobiT Alta Gerencias Gerencia Auditoria /
Dirección funcionales ' de TI Cumplimiento
Planificary Organizar
¿TI está alineada con las estrategiasdel negocio? <J V •-I
¿La empresa está logrando el uso óptimode los recursos internosy extemos? V V V V
¿Todo el personalde la empresa entiende los objetivosde TI? V •J t/ V
¿Se ha entendidoel impacto de TIen los riesgos de la empresa? i
¿Se ha establecido la responsabilidad de la gestión de los riesgos de TI?
¿Se han entendidoy se están gestionandolos riesgos de TI? V V V
¿La calidad de los sistemas es apropiadapara las necesidades de la empresa? V V
Adquirire Implemento
¿Es probableque los nuevosproyectosentreguen soluciones que satisfaganias necesidades del negocio? -•1 v
¿Es probableque los nuevosproyectosse entreguen a tiempoy dentrodel presupuesto? 4 V V
¿Los nuevos sistemas trabajarán correctamente cuando se ¡mplementen? V •i V
¿Los cambios serán realzados sin trastornar la actual operación del negocio? •i •i
Entrega y Soporte
¿Losservicios de TIse entregan en lineacon los requerimientos y lasprioridades del negocio? V <j
¿Están optimizados los costos de TI? V v ^
¿El personalestá capacitado para utilizar lossistemas de TIen forma productiva y segura? V •j
¿Los sistemas de TItienenadecuada confidencialidad, integridad y disponibilidad? V V ^
Monitorear y Evaluar
¿Se puede medir el desempeño de TIy detectar los problemas antesque sea demasiadotarde? V V V
¿Los controles internos están operando eficazmente? •J V
¿La empresa está cumpliendo las disposiciones regulatorias? V ^ •1 -J

¿El gobierno de TI es eficaz? V V V •1

4. ¿Por qué son importantes las mejores prácticas para la

empresa?
El uso efectivo de TI es crítico para el éxito de la estrategia de la empresa, comose ilustra en el siguiente
comentario:
Eluso de TI tiene elpotencial para serel mayor impulsor de riqueza económica enel siglo21.Además
deque Tiya es crítica para el éxitoempresarial, proporciona oportunidades para obtener una ventaja
competitiva y ofrece medios para incrementar laproductividad, e incluso hará aún más enelfuturo.
TI también implica riesgos. Es evidente queenestos díasde negocios globales, la caída de lossistemas
y las redes puede resultar muy costosa para cualquier empresa. En algunas industrias, TI es un recurso
competitivo necesario para diferenciarse y obtener unaventaja competitiva, mientras que en otras, no
sólo determina la prosperidad sino la supervivencia2.
Las mejores prácticas y los estándares ayudan a posibilitar un

gobierno eficaz de las actividades de TI
Incrementalmente, el uso de estándares y mejores prácticas tales como ITIL, CobiT e ISO/IEC 27002, está
siendo conducido por requerimientos de negocio para mejoras de desempeño, transparencia y control
sobre actividades de TI.
El gobierno británico reconoció prontamentela importancia de las mejores prácticas de TI, y por muchos
años las desarrolló para guiar el uso de TI en las dependencias oficiales. Estasprácticas se han convertido
en estándares de facto alrededor del mundo en sectores públicos y privados. ITIL se desarrolló hace más
de 15 años para documentar las mejores prácticaspara la gestión de servicios de TI,a través del aporte de
expertos, consultores y profesionales de la industria. ISO/IEC 20000, que está alineado con ITIL,
reemplazó a BS 15000 en 2005 como un nuevo estándar global en gestión de servicios. El marco IT
Security Code ofPractice, desarrollado inicialmente con la ayuda de la industria,se convirtió en BS 7799y
luego en ISO/IEC 17799, y ahora, en ISO/IEC 27002, el primer estándar internacional de gestión de
seguridad. PRINCE, y ahora PRINCE2, fue creada por la CCTA (Central Computerand Telecommunications
Agency) que ahora es la OGC, para proporcionar mejores prácticas para gestión de proyectos. La última
actualización de PRINCE2 data del año 2009; sin embargo, los principios y contenidos principales no han
variado.
A inicios de la década de los 90, ISACA reconoció que los auditores, quienes tenían sus propios checklist
para evaluar la efectividad de los controles de TI, hablaban en un lenguaje diferente a los profesionales de
TIy a la plana gerencial. En respuesta a esta brecha en la comunicación, se creó CobiT como un marco de
referencia de control de TI para la gerencia funcional, la gerencia de TI y para auditores, basado en un
grupo genérico de procesos de TI significativo para la gente de TI y, con el tiempo, para la gerencia. Las
mejores prácticas en CobiT representan un enfoque común para un buen control de TI, a ser
implementado por gerentes funcionales y de TI, y a ser evaluadassobre la misma base por los auditores. A
lo largo de los años, COBIT ha sido desarrollado como un estándar abierto3, y es cada vez más utilizado
como un modelo de control para implementar y demostrar un gobierno efectivo de TI. En 1998, ISACA
creó una institución afiliada, el IT Governance Institute, para supervisar el mayor desarrollo de CobiT y
para mejorar la comunicación de mensajes relacionados con el gobierno de TI a los gerentes de los
negocios, y particularmente, al directorio.
Hoy, como cada organización trata de entregar valor a través de TI, a la vez que gestiona un complejo
rango de riesgos relacionados a TI, el uso efectivo de las mejores prácticas puede ayudar a evitar la
reinvención de sus propias políticas y procedimientos, optimizando el uso de escasos recursos de TI y
reduciendo la incidencia de los mayores riesgos de TI, tales como:
2ITGI, "Board Briefingon ITGovernance", 2nd Edition, USA, 2003

3CobiT no es un estándar oficial, peroes referido asi con frecuencia, convirtiéndose en el marcode referencia de facto paraelcontroly gobierno de TI.
© 2008 IT GOVERNANCE INSTITUTE. TODOS LOS DERECHOS RESERVADOS. 10

• Proyectos fallidos.
• Inversiones perdidas.
• Brechas de seguridad.
• Fallas de los sistemas.
• Fallasde proveedores para entender y satisfacer los requerimientos de los clientes.
La OGC y el ITGI están a la vanguardia de la difusión y entrega de material sobre mejores prácticas para
hacer frente a estos y otros desafíos actuales.
Un marco de referencia de gestión de TIpara apoyar a la empresa

Las organizaciones que desean implantar las mejores prácticas de TI necesitan un marco de referencia de
gestión eficaz que proporcione un enfoque general consistente y que sea probable asegurar resultados
exitosos al utilizar TI para apoyar la estrategia de la empresa.
La OGC publica un portafolio integrado de guías para mejores prácticas, gratuito para los usuarios finales
que lo usan e implantan. Este portafolio comprende PRINCE2 (Gestión de proyectos), MSP [Managing
Successful Programmes), ITIL (Gestión de servicios de TI) y M_o_R (Gestión de riesgos). Mayores detalles
pueden encontrarse en la website de productos OGC www.best-management-practice.com. Otros tópicos y
guías de gestión están disponibles en www.ogc.gov.uk/resource toolkiLasp. las páginas del SD Toolkit de
la website de OGC.
El ITGI ha publicado las segundas ediciones de ITGovernance Implementatíon Guide Using CobiT and ValIT,
una versión de implementación rápida titulada CobiT® Quickstart, así como CobiT9SecurityBaseline for
implementíng IT security, que contiene un mapeo a ISO/IEC 27002. Todas estas publicaciones están
alineadas con CobiT 4.1. El ITGI también brinda entrenamiento en la forma de utilización de los materiales
CobiT, ofreciendo una versión en línea para ayudar a los usuarios a adaptar el material CobiT para
utilizarlos en sus propios ambientes.
Sin embargo, los usuarios necesitan más guías sobre la forma de integrar los principales marcos de
referencia con otras prácticas y estándares. En respuesta a esta necesidad, se han realizado
investigaciones para el mapeo de CobiT con una amplia variedad de otras prácticas. En el 2004, el ITGI
emprendió una iniciativa de armonización como parte de su plan de actualización de materiales CobiT.
CobiT está basado en marcos de referencia establecidos, tales como CMM de SEI (Software Engineering
Institute), ISO 9000, ITIL e ISO/IEC 27002; sin embargo, CobiT no incluye tareas y pasos de procesos
porque, aunque está orientado a procesos de TI, es un marco de referencia para gestión y control antes
que un marco de referencia para procesos. CobiT se focaliza en lo que una empresa necesita hacer, no
cómo lo tiene que hacer, y la audiencia objetivo es la alta gerencia, los gerentes funcionales, los gerentes
de TI y los auditores.
ITIL está basado en la definición de procesos de mejores prácticas para la gestión y el soporte de servicios
de TI, antes que en la definición de un marco de control de amplio alcance. Se focaliza en el método y
define un grupo más compacto de procesos. Existe material adicional en ITIL v3 que proporciona un
contexto estratégico y de negocios para la toma de decisiones de TI, y empieza describiendo el
mejoramiento continuo del servicio como una actividad integral, promoviendo el mantenimiento de la
entrega de valor a los clientes.
Debido a su alto nivel, a la amplia cobertura y porque está basado en muchas prácticas existentes,
frecuentemente se refiere a CobiT como un 'integrador', ubicando diferentes prácticas bajo un solo
paraguas, y tan importante como eso, ayudando a enlazar estas varias prácticas de TI con los
requerimientos del negocio.
Ahora que estos estándares y mejores prácticas están siendo más utilizados en situaciones reales, las
experiencias maduran y las organizaciones se mueven desde un caótico enfoque propietario de TI hacia
procesos definidos y gestionados.
2008 IT GOVERNANCE INSTITUTE. TODOS LOS DERECHOS RESERVADOS. 11

Dado que el gobierno de TI —el concepto y la práctica actual— gana impulso y aceptación, las mejores
prácticas de TI estarán mejor alineadas con los requerimientos de gobierno y del negocio, antes que a los
requisitos técnicos. El gobierno de TI se ocupa de estas principales áreas de actividad de TI de la siguiente
manera:
• El alineamiento estratégico, centrado en el alineamiento de TI con el negocio y con soluciones

colaborativas.
• La entrega de valor, concentrado en la optimización de costos y en la demostración del valor de TI.
• La gestión de riesgos, considerando el resguardo de los activos de TI (incluyendo la inversión en
proyectos), recuperación de desastres y la continuidad de las operaciones.
• La gestión de recursos, optimizando el conocimiento y la infraestructura de TI.
• La medición del desempeño, el seguimiento de la entrega de proyectos y la supervisión de servicios de
TI.
Un aspecto clave de cualquier iniciativa de gobierno de TI es la necesidad de definir los derechos para la
decisión y la rendición de cuentas. El logro de ambos cometidos en la teoría (la organización está
claramente definida) y la práctica (todos saben lo que tienen que hacer y cómo hacerlo) requiere una
cultura correcta, políticas, controles internos y prácticas definidas. CobiT • 4.0 introdujo actividades clave
y tablas RACI4 para todos los procesos de TI a fin de ayudar a guiar los roles y responsabilidades para un
gobierno de TI efectivo.
Los beneficios para la empresa

La adopción eficaz de las mejores prácticas ayudará a obtener valor de las inversiones de TI y los servicios
de TI:
• Mejorando la calidad, la respuesta y la fiabilidad de las soluciones y los servicios de TI.
• Mejorando la viabilidad, previsibilidad y repetitividad de resultados de negocio exitosos.
• Ganando la confianza y el creciente involucramiento de usuarios y patrocinadores del negocio.
• Reduciendo riesgos, incidentes y fallas en los proyectos.
• Mejorando la habilidad del negocio para gestionar y supervisar la realización de beneficios de TI.
La empresa también se beneficia de la mejora de eficiencias y reducción de costos:

• Evitando la reinvención de prácticas probadas.
• Reduciendo la dependencia de expertos.
• Incrementando el potencial del staff, menos experto pero correctamente entrenado.
• Superando silos verticales y comportamientos no deseados.
• Incrementando la estandarización que conduzca a la reducción de costos.
• Haciéndolo más fácil para aprovechar la ayuda externa a través del uso de procesos estandarizados.
En un clima de creciente regulación y preocupación sobre los riesgos relacionados a TI, las mejores
prácticas ayudarán a minimizar los aspectos de cumplimiento y la preocupación de los auditores:
• Logrando el cumplimiento y la aplicación de controles internos de 'práctica normal de negocios'.
• Demostrando adherirse a buenas prácticas aceptadas y probadas de la industria.
• Mejorando la confianza y la seguridad de la dirección y los socios.
• Generando respecto de los reguladores y otros supervisores externos.
Adoptar las mejores prácticas también ayuda a fortalecer las relaciones proveedor/cliente, resultando en
obligaciones contractuales más fáciles de supervisar y reforzar, armonizar contratos de outsourcing multi-
proveedor y mejorar la posición de mercado de aquellos proveedores de servicios que cumplen con
estándares globalmente aceptados, tales como ISO/IEC 20000 e ISO/IEC 27002.
* Lastablas RACI identifican quiénes son Responsables, Responsables de dar cuenta. Consultados e Informadosen una determinada actividad(Responsible,
Accountable, Consulted and Informed).

5. CobiT, ITIL e ISO/IEC 27002: Lo que ofrecen y consideran

CobiT
Los ejecutivos necesitan la certeza de que pueden confiar en los sistemas de información y en la
información producida por los sistemas, y así obtener un retorno positivo de las inversiones en TI. CobiT
permite que los ejecutivos de negocios entiendan mejor cómo dirigir y gestionar el uso de las TI en la
empresay el estándar de mejores prácticas que se espera de los proveedores de TI. CobiT proporciona las
herramientas para dirigir y supervisar todas las actividades relacionadas con las TI.
CobiT es un marco de referencia globalmente aceptado para el gobierno de TI basado en estándares de la

industria y las mejores prácticas. Una vez implementado, los ejecutivos pueden asegurarse de que se
ajusta de manera eficaz con los objetivos del negocio y dirigir mejor el uso de TI para obtener ventajas
comerciales. CobiT brinda un lenguaje común a los ejecutivos de negocios para comunicar las metas,
objetivosy resultados a los profesionales de auditoría, informática y otras disciplinas.
CobiT brinda las mejores prácticas y herramientas para el monitoreo y la gestión de las actividades de TI.
El uso de las TI es una inversión importante que debe ser gestionado. CobiT ayuda a los ejecutivos a
comprender y gestionar las inversiones de TI durante su ciclo de vida y proporciona un método para
evaluarsi los servicios de TIy las nuevas iniciativas satisfacen los requisitos empresariales y sea probable
que entreguen los beneficios esperados.
Existe una tremenda diferencia entre las empresas que realizan una buena gestión de TI y las que no lo
hacen, o no pueden. CobiT permite el desarrollo de políticas claras y mejores prácticas para la
administración de TI. El marco ayuda a aumentar el valor obtenido de TI. También ayuda a las
organizaciones a gestionar los riesgos relacionados con TI y a asegurar el cumplimiento, la continuidad,
seguridad y privacidad.
Debido a que CobiT es un conjunto de herramientas y técnicas probadas y aceptadas internacionalmente,

su implementación es una señal de buena gestión en una organización. Ayuda a los profesionales de TI y a
usuarios de empresas a demostrar su competencia profesional a la alta dirección. Como ocurre con
muchos procesos de negocio genéricos, existen estándares y mejores prácticas de la industria de TI que
las empresas deberían seguir cuando utilizan las TI. CobiT se nutre de estas normas y proporciona un
marco para implementarlas y gestionarlas.
Una vez que se identifican e implementan los principios clave de CobiT para una empresa, los ejecutivos
ganan confianza en que la utilización de las TI puede ser gestionada de forma eficaz.
Los ejecutivos de las empresas pueden esperar los siguientes resultados de la adopción de CobiT:
• Los gerentes y el staff de TI entenderán totalmente como es que el negocio y TI pueden trabajar en
forma conjunta para la entrega exitosa de las iniciativas de TI.
• Los costos totales del ciclo de vida de TI serán más transparentes y predecibles.
• TI ofrecerá información más oportuna y de mayor calidad.
• TI entregará proyectos de mejor calidad y más exitosos.
• Los requisitos de seguridad y privacidad serán más claros y la implementación será monitoreada con
mayor facilidad.
• Los riesgos de TI serán gestionados con mayor eficacia.
• Las auditorías serán más eficientes y exitosas.
• El cumplimiento de TI con los requisitos regulatorios serán una práctica normal de gestión.

Las versiones 4.x de CobiT, incluyen lo siguiente:

• Marco de trabajo: Explica cómo es que CobiT organiza la gestión del gobierno de TI, los objetivos de
control y las mejores prácticas delos procesos y dominios deTI, y losrelaciona con las necesidades del
negocio. El marco contiene un conjunto de 34 objetivos de control de alto nivel, uno para cada proceso
de TI, agrupados en cuatro dominios: Planificar y Organizar, Adquirir e Implementar, Entregar y dar
soporte, Monitorear y Evaluar.
• Las descripciones del proceso incluyen cada uno de 34 procesos de IT, cubriendo las áreas de
responsabilidad de la empresa y de TI desde el principio hastael final.
• Los objetivos de control proveen los objetivos de gestión de las mejores prácticas genéricas para los
procesos de TI.
• Las directrices de gestión ofrecen herramientas para ayudar a asignar responsabilidades y medir el
desempeño.
• El modelo de madurez proporciona perfiles de los procesos de TI que describen los posibles estados
actuales y futuros.
Las publicaciones adicionales de soporte están disponibles para ayudar en la orientación en la puesta en
práctica, lograr el aseguramiento y lidiar con aspectos específicos tales como la seguridad. Val IT5 ha sido
desarrollado para concentrarse específicamente en la entregade valor del gobiernode TI.
Para obtener información más completa y actualizada sobre CobiT, Val ITy productos relacionados, casos
de estudio, oportunidades de entrenamiento, boletines, e información adicional específica, visite
www.itgi.org/cobit y www.itgi.org/valit.
ITIL
Hoy, lasorganizaciones dependen de las TI para satisfacer susobjetivos corporativos y sus necesidades de
negocios, entregando valor a sus clientes. Para que esto ocurra de una forma gestionada, responsable y
repetible, la empresa debe asegurarque los servicios recibidos de alta calidad de TIdeben:
• Satisfacer las necesidades de la empresa y los requisitos de los usuarios.
• Cumplir con la legislación.
• Asignarse y entregarse de forma eficaz y eficiente.
• Revisarse y mejorarse de forma continua.
La gestión de servicios de TI se refiere a la planificación, aprovisionamiento, diseño, implementación,

operación, apoyo y mejora de los servicios de TI que sean apropiados a las necesidades del negocio. ITIL
proporciona un marco de trabajo de mejores prácticas integral, consistente y coherente para la gestión de
servicios de TI y los procesosrelacionados, la promoción de un enfoque de alta calidad para el logro de la
eficaciay eficiencia del negocio en la gestión de servicios de TI.
ITIL intenta respaldar mas no fijar los procesos de negocio de una organización. En este contexto, la OGC
no aprueba el término "Cumplimiento con ITIL". El papel del marco de trabajo de ITIL es describir los
enfoques, las funciones, los roles y procesos en los que las organizaciones pueden basar sus propias
prácticas. El rol de ITIL es brindar orientación en el nivel organizacional más bajo que pueda aplicarse.
Debajo de ese nivel, para implementar ITIL en una organización se requieren los conocimientos
específicos de sus procesos de negocio para ajustar ITIL a fin de lograr una eficacia óptima.
Es útil pensar en la estructura de gestión de servicios como una pirámide con el estándar internacional
ISO/IEC 20000:2005 {www.iso.org/iso/catalogue_detail?csnumber=41332} en la cima (Figura 2). Se trata
de una especificación formal y las organizaciones pueden obtener la acreditación para demostrar el
cumplimiento con la norma. Por debajo de la cima está la capa de mejores prácticas de ITIL, que ayuda a
asegurar y demostrar que las disposiciones de la norma se están cumpliendo. De manera similar, los
procesos de ITIL pueden ser utilizados para lograr y demostrar el cumplimiento con los objetivos de
control CobiT (la función de los apéndices del presente documento es mostrar la relación entre las dos
estructuras). Así quesi ITIL es lacapa intermedia, la adaptación de ITIL para satisfacer las necesidades de
unaorganización en particulares el nivel más bajo, la basemásamplia de la implementación de ITIL.
1ITGI, Enterprise Valué: Governance of IT Investments, TheVal IT Fromework 2.0, 2008.

Figura2 — Pirámide de gestión de servicios de TI
Guía explicativa
Marco de
Mejores
Prácticas
Implementación
yPlanes de A
Mejora
Continua
En ITILv3, el desarrollo más significativo ha sido el paso de un marco de trabajo basado en procesos a una
estructura integral que refleje el ciclo de vida de los servicios de TI. Un ejemplo de uso frecuente es ver las
fases operativas de diseño, transición y operación, como los radios de una rueda, con la estrategia en el
centro y la mejora continua del servicio alrededor del borde. En este nuevo contexto, los procesos clave se
han actualizado, pero más significativo aún, ITIL ahora describe las funciones de gestión, las actividades y
la estructura organizativa de los servicios de TI, además de los aspectos de aprovisionamiento y de
estrategia, así como la integración con el negocio.
Si bien hay volúmenes complementarios con un público específico en mente, la guía principal reside en
cinco volúmenes, disponibles por separado o como un conjunto. Los tópicos principales de ITIL se
muestran en la Figura 3. Los vínculos de referencia son:
• Service Strategy (SS): www.best-management-practice.com/Official-Bookshop/IT-Service-Management-
ITIL/1TIL-Versión-3/Service-Strategy/
• Service Design (SD): www.best-management-practice.com/Official-Bookshop/IT-Service-Management-
ITlL/ITIL-Version-3/Service-Design/
• Service Transition (ST): www.best-management-practice.com/Official-Bookshop/lT-Service-
Management-lTIL/ITIL-Version-3/Service-Transition/
• Service Operation (SO): www.best-management-practice.com/Official-Bookshop/IT-Service-
Management-ITIL/ITIL-Version-3/Service-Operation/
• Continual Service lmprovement (CSI): www.best-management-practice.com/Official-Bookshop/IT-
Service-Management-ITIL/ITIL-Version-3/Continual-Service-Improvement/

AlineandoCobiT®4.1, ITIL®V3 e ISO/IEC 27002 en beneficio de la empresa
Figura3 — Tópicos principales ITIL

Estrategia deservicio Diseño del Servicio Transición del Servicio Operación del Servicio Mejora Continuadel
(SS) (SD) (ST) (SO) Servicio (CSI)
• Gestión del servicio • Diseño balanceado • Objetivos, principios, • Equilibrio en la operación • Objetivos, métodos y
políticas, contexto, roles y del servicio técnicas
• Ciclo de vida del servicio • Requisitos, indicadores,
actividadesy limitantes modelos • Salud operacional • Cambio
• Activosdel servicio y
• Planificación ysoporte • Comunicación organizacional
creación de valor • Arquitectura orientada al
servicio • Gestión del cambio • Documentación
• Propiedad
• Tipos y estructurasde
• Drivers
proveedores de servicios • Gestión de servicios de • Activos del servicio y • Eventos, incidentesy
negocio gestiónde laconfiguración • Gestión de niveles de
• Estrategia, mercados y problemas
servicios
oferta • Modelos de diseño de • Liberación y distribución • Atenciónde requerimientos
• Medición del servicio
• Gestión financiera servicios • Validación yprueba del • Gestión de accesos
• Gestión del
• Gestión del portafolio de • Gestión del catálogo de servicio • Monitoreoy control rnnnrimipntn
servicios servicios • Evaluación • Gestión de la • Benchmarking
• Gestión de la demanda • Gestión de niveles de • Gestión del conocimiento infraestructura y el servicio
servicios
• Modelos, estándares y
• Diseñoorganizacional, • Gestionando las • Gestión de instalaciones y calidad
cultura y desarrollo • Capacidad y disponibilidad comunicxiones y el del Data Center
• Proceso de
• Estrategia de • Continuidad de servicios de compromiso • Seguridad fisica y de la mejoramiento de los
aprovisionamiento TI • Gestiónde partes información siete pasos CSI
• Automatización e • Seguridadde la interesadas • Mesa de servicios • Retorno sobre la
¡nterfaces de servicios información • Sistema de gestiónde • Gestión técnica de inversión(ROÍ) y
• Herramienta para • Gestiónde proveedores configuraciones operaciones de TIy de aspectos de negocio
estrategias • Gestión de datos y de la • Introducción poretapas aplicaciones • Roles
• Desafios y riesgos información • Desafios y riesgos • Roles, responsabilidadesy . Matriz RACI
• Gestiónde aplicaciones • Tiposde activos estructuras • Herramientas de
• Rolesy herramientas organizacionales soporte
• Análisis de impacto en el • Soporte tecnológico a la • Implementación
negocio operación delservicio • Gobierno
• Desafios y riesgos • Gestionando los cambios, • Comunicaciones
• Paquetede diseño de proyectos y riesgos • Desafios y riesgos
servicios • Desafíos • Innovación, corrección
• Criterios de aceptación de • Guía complementaria y mejoramiento
servicios • Apoyo de las mejores
• Documentación prácticas a la mejora
• Aspectosambientales continua del servicio
(CSI)
• Marco de trabajo de
maduraciónde procesos
También hay un volumen introductorio6 que describela justificación del modelo de ciclo de vida y abarca
los principios fundamentales en cada etapa del ciclo de vida. Existen otras publicaciones de apoyo y otros
títulos en preparación. El editor oficial de OGC es The Stationery Office (TSO), que publica ITIL en libros,
libros electrónicos y archivos PDF, o mediante suscripción en línea. TSO también maneja una bibliotecade
publicaciones de apoyo y complementarios y un sitio web de las mejores prácticas para ITIL y otros
productos de mejores prácticas de OGC {www.best-management-practice.com).
El esquema de calificación de ITIL {www.itil-officialsite.com/home/home.asp) ofrece la certificación de las

personas, que van desde una apreciación a nivel de fundamentos de los términos y conceptos de ITIL
hasta un título profesional avanzado. El acreditador oficial de OGC es APM Group, que licenciaa una serie
de institutos para ofrecerexámenes,gestionar y acreditara las organizaciones de formación.
Desde 1991, ITIL ha sido patrocinado y apoyado por ítSMF {www.itsmfi.org), un proveedor y grupo de
usuarios que ahora tiene capítulos en más de 40 países detodo el mundo. Es una organización sin fines de
lucro y un actor importante en el desarrollo continuo y promoción de las mejores prácticas en la gestión,
estándares y calificaciones de servicios TI. El /rSMF provee una red accesible de expertos de la industria,
fuentes de información y eventos para ayudar a los países miembros a abordar los problemas de gestión
deservicios de TI y lograr laentrega de servicios consistentes, de alta calidad, internos y externos,a través
de la adopción de mejores prácticas. A nivel mundial, el i'tSMF ahora cuenta con más de 6.000 empresas
asociadas, públicas y privadas, que incluyen más de 70.000 personas.
6OGC, The Introduction to the ITIL Service Lifecycle Book', The Stationery Office, UK, 2007, www.best-managemenl-practice.cam/Portfolio-Library/IT-
Seniice-Management-mL/ITIL-Version-3/The-lntraduction-to-thelTIL-Ser\/ice-Ufecycle/?trackid=002094&DI=5S2435.
€> 2008 IT GOVERNANCE INSTITUTE. TODOS LOS DERECHOS RESERVADOS. 16

Alineando CobiT 4.1, ITIL/-V3 e ISO/IEC 27002 en beneficio de la empresa
ISO/IEC27002
El estándar internacional fue publicado por la ISO {www.iso.org/ISO/home.htm)y la IEC, que establecieron
el comité técnico mixto ISO/IEC JTC 1. La fuente histórica para el estándar fue BS 7799-1, cuyas partes
esenciales fueron tomadas en el desarrollo de la norma ISO/IEC 17799:2005 Tecnología de la Información
- Código de Prácticas para la Gestión de Seguridad de la Información. Fue desarrollado y publicado por la
British Standards Institution (BSI), denominado como BS 7799-1:1999. El estándar original inglés se
publicó en dos partes:
• BS7799 Parte 1: Tecnologías de la Información - Código de Prácticas para la Gestión de Seguridad de
la Información.
• BS7799 Parte 2: Sistemas de Gestión de Seguridad de la Información - Especificaciones con guías para
su uso.
La norma publicó su primera edición en el año 2000 y actualizada en junio de 2005. Se puede clasificar
como las mejores prácticas actuales en materia de sistemas de gestión de seguridad de la información. La
BS 7799 original fue revisada y reeditada en septiembre de 2002. A menudo se utiliza ISO/IEC 27002
como un término genérico para describir lo que actualmente son dos documentos diferentes:
• ISO/IEC 17799 (ahora renombrada como ISO 27002, www.iso.org/ISO/iso_catalogue/catalogue_tc/
catalogue_detail. Htm?csnumber= 50297): Un conjunto de controles de seguridad (un código de
práctica).
• ISO/IEC 27001 {www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=42103,
anteriormente, BS7799-2) - Una especificación estándar para un sistema de gestión de seguridad de
información (SGSI).
El objetivo del estándar ISO/IEC 27002:2005 es brindar información a los responsables de la

implementación de seguridad de la información de una organización. Puede ser visto como una buena
práctica para desarrollar y mantener normas de seguridad y prácticas de gestión en una organización para
mejorar la fiabilidad en la seguridad de la información en las relaciones interorganizacionales. En él se
definen las estrategias de 133 controles de seguridad organizados bajo 11 dominios. La norma subraya la
importancia de la gestión del riesgo y deja claro que no es necesario aplicar cada parte, sino sólo aquellas
que sean relevantes.
Los principios rectores en la norma ISO/IEC 27002:2005 son los puntos de partida para la
implementación de seguridad de la información. Se basan en cualquiera de los requisitos legales o en las
mejores prácticas generalmente aceptadas.
Las mediciones basadas en los requisitos legales son:

• La protección y la no divulgación de datos personales.
• Protección de la información interna.
• Protección de los derechos de propiedad intelectual.
Las mejores prácticas mencionadas en la norma incluyen:

• La política de seguridad de la información.
• Asignación de la responsabilidad de seguridad de la información.
• Escalamiento de problemas.
• Gestión de la continuidad del negocio.
Cuando se implementa un sistema de gestión de seguridad de la información, se deben considerar varios

factores críticos de éxito:
• La políticade seguridad, sus objetivosy actividades deberían reflejar los objetivos de negocio.
• La implementación debería considerar los aspectos culturales de la organización.
• Se requiere un abierto apoyo y el compromiso de la alta dirección.
• Se requiere un conocimiento exhaustivo de los requisitos de seguridad, evaluación del riesgo y gestión
del riesgo.

• Elmarketingefectivo de la seguridad debe dirigirse a todo el personal, incluidoslos miembrosde la

dirección.
• Lapolíticade seguridad y las medidas de seguridad deben ser comunicadas a terceros contratados.
• Los usuarios deben ser capacitados en forma adecuada.
• Se debería disponer de un sistema integral y balanceado para la medición del desempeño, queapoyela
mejora continua de suministro de información.
Después de presentar información introductoria (ámbito de aplicación, términos y definiciones), se debe

presentar un marco de trabajo para el desarrollo de un Sistema de Gestión de Seguridad de Información
específico para la empresa, que debería consistir de al menos los siguientes componentes:
• La política de seguridad.
• Organización para la seguridad.
• Clasificación de activos y su control.
• Seguridad del personal.
• Seguridad física y ambiental.
• Comunicaciones y gestión de operaciones.
• Control de acceso.
• Adquisición, desarrollo y mantenimiento de sistemas.
• Gestión de la continuidad del negocio.
• Cumplimiento.
O 2008 IT GOVERNANCE INSTITUTE. TODOS LOS DERECHOS RESERVADOS. 18

Alineando CobiT»4.1, ITIL®V3 e ISO/IEC 27002 en beneficio de la empresa
6. ¿Cuál es la mejor forma de implementar CobiT, ITIL e

ISO/IEC 27002?
No hay duda de que las políticas y procedimientos de gestión eficaces ayudan a asegurar que TI se
gestiona como un componente más de las actividades cotidianas. La adopción de estándares y mejores
prácticas facilita la rápida aplicaciónde buenos procedimientos y evita retrasos en la creación innecesaria
de nuevos enfoques en los que hay que ponerse de acuerdo.
Sinembargo, las mejores prácticas adoptadas han de ser compatibles con un marco de gestión de riesgos y
de control apropiado para la organización, debiendo integrarse con otros métodos y prácticas que se estén
utilizando. Los estándares y las mejores prácticas no son una panacea; su efectividad depende de cómo se
implementen y se mantengan actualizados. Son muy útiles cuando se aplica como un conjunto de
principios y como punto de partida para la adaptación de procedimientos más específicos.
Para asegurar que las políticas y los procedimientos se utilizan con eficacia, se requiere un cambio de
manera que la administración y el personal entiendan qué hacer, cómo hacerlo y por qué es importante.
Para que las mejores prácticas sean eficaces, es mejor utilizar un lenguaje común y un enfoque estándar
orientado hacia las necesidades reales del negocio, ya que garantiza que todos sigan el mismo conjunto de
objetivos, asuntos y prioridades.
Elaboración
Todas las empresas necesitan adaptar el uso de estándares y prácticas tales como los presentados en este
documento, para ajustar sus requisitos individuales. Los tres documentos de guía pueden desempeñar un
papel muy útil. CobiT e ISO/IEC 27002 para ayudar a definir qué debería hacerse e ITIL muestra el cómo
para los aspectos de la gestión de servicios. Las aplicaciones típicas para este tipo de estándares y
prácticas son las siguientes:
• Para apoyar la gobernabilidad a través de:
- Proporcionar una política de gestión y un marco de control.
- Facilitar el proceso de asignación de propietarios, responsabilidades claras y rendición de cuentas
para las actividades de TI.
- Alinear los objetivos de TI con los objetivos del negocio, definiendo prioridades y la asignación de
recursos.
- Asegurar el retorno de la inversión y optimizar los costos.

- Asegurar la identificación de los riesgos significativos y que sean transparentes para la
administración, que se asigna la responsabilidad en la gestión del riesgo y se integre en la
organización, y asegurando a la dirección que se han implementado controles eficaces.
- Asegurar que los recursos se han organizado de manera eficiente y que existe suficiente capacidad
(infraestructura técnica, procesos y habilidades) para ejecutar la estrategia de TI.
- Asegurar que las actividades críticas de TI pueden ser monitoreadas y medidas, de modo que los
problemas puedan ser identificados y que las medidas correctivas puedan ser adoptadas.
• Para definir los requisitos del servicio y las definiciones del proyecto, tanto internamente como con los
proveedores de servicios, por ejemplo:
- Estableciendo objetivos claros de TI relacionados al negocio así como métricas.
- Definiendo los servicios y proyectos en términos de usuario final.
- Elaborando acuerdos de niveles de servicio y contratos que pueden ser monitoreados por los
clientes.
- Asegurando que los requisitos del cliente han sido plasmados apropiadamente en requisitos
operativos y técnicos de TI.
- Considerando los portafolios de servicios y de proyectos en conjunto, a fin de establecer las
prioridades relativas, de modo que los recursos se asignen de manera equitativa y viable.
• Para verificar la capacidad profesional o demostrar competencia en el mercado a través de:
- Las evaluaciones y las auditorías independientes de terceros.
- Compromisos contractuales.
- Constancias y certificaciones.

• Para facilitar la mejora continua por:

- Evaluaciones de madurez.
- Análisis de brechas.
- Benchmarking.
- Planificación de la mejora.
- Evitar la reinvención de buenos enfoques ya probados.
• Como marco para la auditoría,evaluación y una visión externa a través de:
- Criterios objetivos y mutuamente entendidos.
- Benchmarking para justificar las debilidades y brechas en los controles.
- Incrementando la profundidad y el valor de las recomendaciones mediante enfoques generalmente
aceptados.
Priorízación
Para evitar implementaciones de estándares y mejores prácticas costosas y fuera de foco, las empresas
necesitan priorizar dónde y cómo utilizarlos. La empresa necesitaun plan de acción eficaz que se adapte a
sus circunstancias y necesidades particulares. En primer lugar, es importante que la Alta Dirección asuma
el liderazgo del gobierno de TI y establezca la dirección que la gestión debe seguir. La Alta Dirección
debería:
• Asegurarse que TI está en la agenda.
• Cuestionar las actividades de gestión en materia de TI para asegurar que los problemas de TI son
revelados.
• Guiar a la administración ayudando a alinear las iniciativas de TI con las necesidades reales del
negocio. Asegurar que la administración valora el impacto potencial de los riesgos de TIen el negocio.
• Insistiren que el desempeño de TIsea medido y se comuniquea la Alta Dirección.
• Establecer un comité de dirección de TI o consejo de gobierno de TI con la responsabilidad de
comunicar los aspectos de TI a la Alta Dirección y la administración.
• Insistir en que exista un marco de gestión para el gobierno de TI basada en un enfoque común (por
ejemplo, CobiT) y un marco de mejores prácticas para la gestión de servicios TI y seguridad basadas en
un estándar global y defacto (por ejemplo, ITILe ISO/IEC 27002).
Planificación
Con el mandato y la dirección en marcha, la administración puede poner en práctica un enfoque de
implementación. Para ayudar a que la administración decida dónde empezar y asegurar que el proceso de
implementación ofrece resultados positivos en donde más se necesitan, se sugieren los siguientes pasos,
basados en la guía IT Governance Implementatíon Guide del ITGI:
1. Establecer un marco organizativo (idealmente como parte de una iniciativa globalde gobierno de TI),
con objetivos y responsabilidades claras, la participación de todas las partes involucradas, quienes
impulsarán la implementación y la asumirán como una iniciativa propia.
2. Alinearla estrategia de TI con los objetivos del negocio. ¿Encuáles de los objetivos de negocio actuales,
TI tiene una contribución significativa? Obtener una buena comprensión del entorno empresarial, el
apetito de riesgo, la estrategia del negocio, y su relación con TI. Las directrices de gestión de CobiT
(específicamente los objetivos y las métricas), ayudan a definir los objetivos de TI. Utilizada en
conjunto con ITIL, los servicios y los acuerdos de niveles de servicios (ANS) se puede definir en
términos de usuario final.
3. Entender y definir los riesgos. Dados los objetivos de negocio, ¿cuáles son los riesgos relativos a la
capacidad de TI para cumplirlos? Considerarlo siguiente:
- Antecedentes y patrones de desempeño.
- Factores organizacionales actuales de TI.
- Lacomplejidad y el tamaño/alcance de la infraestructura de TI existente o prevista.
- Las vulnerabilidades inherentes de la infraestructura de TI existente o prevista.
- La naturaleza de las iniciativas de TI que están siendo consideradas, por ejemplo: nuevos proyectos
de sistemas, consideraciones de outsourcing, cambios en la arquitectura, etc.

El proceso de CobiT para la gestión del riesgo (P09) y la aplicación del marco de control de CobiT y los
criterios de información, ayudarán a asegurar que los riesgos se identifican y se asignan. Implementar
ITIL aclara los riesgos operativos y la norma ISO/IEC 27002 clarifica los riesgos de seguridad.
4. Definir las áreas objetivo y determinar las áreas de proceso de TI que son críticos para la entrega de
valor y gestionar estas áreas de riesgo. El marco de procesos CobiT puede ser utilizado como la base,
respaldado por la definición en ITIL de los procesos clave de entrega de servicio y los objetivos de
seguridad de la ISO/IEC 27002. La publicación Management ofRisk: Guidance to Practitioner de la OGC
también puede ser de ayuda en la evaluación y gestión de los riesgos en cualquiera de los cuatro
niveles principales (estratégico, programa, proyecto u operativo).
5. Analizar la capacidad vigente e identificar las brechas. Realizar una evaluación de la capacidad de
madurez para saber dónde es que más se necesitan mejoras. Los modelos de madurez de CobiT
proporcionan una base soportada con más detalle en ITIL y las mejores prácticas de ISO/IEC 27002.
6. Desarrollar estrategias de mejora y decidir cuáles son los proyectos de mayor prioridad que ayudarán
a mejorar la gestión y el gobierno de estas áreas importantes. Esta decisión debe basarse en el
beneficio potencial y la facilidad de implementación, enfocado en los procesos importantes de TI y en
las competencias básicas. Se deberían perfilar proyectos específicos de mejora como parte de una
iniciativa de mejora continua.
Los objetivos de control de CobiT y las prácticas de control pueden ser apoyados por ITIL con mayor
detalle y las guías de ISO/IEC 27002.
7. Medir los resultados, estableciendo un mecanismo de puntuación para medir el desempeño actual y
monitorear los resultados de nuevas mejoras, considerando como mínimo, las siguientes preguntas
clave:
- ¿La estructura organizacional apoyará la implementación de la estrategia?
- ¿Las responsabilidades de la gestión de riesgos están integradas en la organización?
- ¿Existe infraestructura que facilite y apoye la creación y el intercambio de información comercial
vital?
- ¿Se han comunicado las estrategias y los objetivos de manera efectiva a todos los que necesitan
saber en la organización?
Los objetivos y las métricas de CobiT y el enfoque de mejora continua de siete pasos de ITIL pueden
formar la base de un sistema de puntuación.
8. Repetir los pasos 2 a 7 con una frecuencia regular.
Evitar obstáculos
Existen otras reglas obvias pero pragmáticas que la administración debe seguir:
• Tratar la iniciativa de implementación como una actividad de proyecto con una serie de fases en lugar
de un solo esfuerzo extraordinario.
• Recuerde que la implementación supone un cambio cultural, así como nuevos procesos. Por lo tanto,
un factor clave de éxito es facilitar y motivar estos cambios.
• Asegúrese de que haya una comprensión clara de los objetivos.
• Manejar las expectativas. En la mayoría de las empresas, lograr la supervisión exitosa de TI toma
tiempo y es un proceso de mejora continua.
• Concéntrese primero en las áreas donde es más fácil hacer cambios y lograr mejoras, y desde allí,
construir paso a paso.
• Obtener el respaldo de la Alta Dirección. Esto necesita estar basado en los principios de la mejor
gestión de las inversiones de TI7.
• Evitar las iniciativas que se perciben como un ejercicio puramente burocrático.
• Evitar listas de verificación fuera de foco.
Consultar la publicación Enterprise Valué: Governance of IT Investments, The Val IT Framework 2.0 del ITGI, principios de gestión de inversiones, en la
página 13.
S) 2008 IT GOVERNANCE INSTITUTE. TODOS LOS DERECHOS RESERVADOS. 21

Alinear las mejores prácticas

Las mejores prácticas de TI deben ajustarse a los requisitos del negocio y ser integradas entre sí y con los
procedimientos internos. CobiT puede ser utilizado en el más alto nivel, ofreciendo un marco general de
control basado en un modelo de procesos de TI que debería adaptarse a cada organización. Los estándares
y las prácticas específicas, tales como ITIL e ISO/IEC 27002 abarcan áreas discretas y pueden ser
mapeadas en el marco CobiT, estructurando una jerarquía de materiales de orientación.
Para comprender mejor el mapeo entre ITIL, ISO/IEC 27002 y CobiT, consulte el Apéndice I, donde cada
uno de los 34 procesos de TI y los objetivos de control de CobiT han sido mapeados a secciones específicas
de ITIL e ISO/IEC 27002; el Apéndice II, donde un mapeo reverso muestra cómo es que los tópicos clave
de ITIL v3 mapean a CobiT 4.1; y el apéndice III, donde un mapeo reverso muestra cómo es que las
clasificaciones de ISO/IEC 27002 mapean a CobiT. Estos mapeos se basan en juicios subjetivos y
solamente pretenden ser una guía.
La OGC y el ITGI seguirán actualizando ITIL y CobiT, incluyendo una mayor aproximación de sus
conceptos, la terminología y el contenido con los de otras prácticas, a fin de facilitarla integración.

Apéndice I: Mapeo de ITIL v3 e ISO/IEC 27002 con los

Objetivos de Control de COBIT 4.1
Para los propósitos de este mapeo:
• El texto mostrado en negrita indica donde es que se considera que ITIL V3 o ISO/IEC 27002:2005
brinda el mejor detalle de soporte para un objetivo de control de CobiT 4.1.
• El texto mostrado en cursiva indica donde es que se considera que ITIL V3 o ISO/IEC 27002:2005
brinda alguna información de soporte para un objetivo de control de CobiT 4.1; sin embargo, no
necesariamente es la referencia primaria.
Este mapeo no intenta ser definitivo u obligatorio, es solo una guía. Los vínculos son mostrados solamente
a alto nivel, especificando las secciones relevantes en los otros documentos.
ISACA y el ITGI realizan investigaciones detalladas en forma continua sobre el mapeo entre CobiT 4.1 y
otros estándares y mejores prácticas. Mayorinformación puede ser encontrada en www.isaca.org/cobit.
COBIT 4.1 • Dominio: Planificary Organizar (PO)

m| P01 Definir un plan estratégico de TI
La planificación estratégica de TI es necesaria para gestionar ydirigir todos losrecursos de TI enlínea con laestrategia ylasprioridades del negocio.
La función deTI ylasparles interesadas del negocio son responsables de asegurar quese obtenga elvalor óptimo a partir deun portafolio deservicios
y proyectos. El plan estratégico mejora lacomprensión delaspartes interesadas clave sobre las oportunidades y limitaciones de lasTI, evalúa el
desempeño actual, identifica losrequisitos de capacidad yderecursos humanos, aclarando elnivel de inversión requerido. La estrategia ylas
prioridades del negocio se reflejan en losportafolios yse ejecutan a través de losplanes tácticos deTI, queespecifican objetivos concisos, los planes
de acción y lastareasque son comprendidas yaceptadas tanto porel negocio comoporTI.
Informaciónde soporte
Objetivo de ControlCOBIT 4.1 Áreas clave Información de soporte ITIL V3
ISO/IEC 27002:2005
P01.1 Gestión del valor de TI • Caso de negocio • SS 2.2 ¿Qué son los servicios?
• Asignación presupuestal • SS 3.1 Creación de valor
• Obtención de beneficios • SS 3.4 Estructuras del servicio
• Evaluación de caso de negocio • SS 4.4 Prepararla ejecución
• SS 5.1 Gestión financiera
• SS 5.2 Retorno sobre la inversión
• SS 5.3 Gestión del portafolio de
servicios
• SS 5.4 Métodos de gestión del

portafolio de servicios
P01.2 Alineación de TI con el • Alineamiento de TI con la • SS 2.1 ¿Qué es gestión del

negocio estrategia del negocio servicio?
• Involucramiento bi-direccional y • SS 2.3 El proceso de negocio
reciprocoen el planestratégico • SS 2.4 Principiosde la gestión del
servicio
P01.3 Evaluación del • Lineabase deldesempeñoactual • SS 4.4 Preparar laejecución

desempeño y la capacidad • Evaluación de la contribución del • CSI 5.2 Evaluaciones
actual
negocio, funcionalidad,
estabilidad, complejidad, costos,
fortalezas y debilidades

Alineando CobiT®4.1, ITIL®V3 e ISO/IEC 27002 en beneficiode la empresa
COBlT 4.1 - Dominio: Planificar y Organizar (PO) (cont.)

P01 Definir un planestratégico de TI (cont)
Información de soporte
Objetivo de Control COBIT 4.1 Áreas clave Información de soporte ITIL V3 ISO/IEC 27002:2005
P01.4 Plan estratégicode TI Definición de objetivos de TI • SS 3.3 Tipos de proveedor de

Contribución a los objetivos de la servicio
empresa, presupuestos, • SS 3.5 Fundamentos de la

financiación, compras y estrategia estrategia del servicio
de adquisición • SS4.1 Definir el mercado
• SS 4.2 Desarrollar las ofertas
• SS 4.3 Desarrollar activos
estratégicos
• SS 4.4 Prepararla ejecución
• SS 5.5 Gestión de la demanda
• SS 6.5 Estrategia de sourcing
P01.5 Planes tácticos de TI Iniciativas de TI • SS 4.4 Prepararla ejecución

Requerimientos de recursos • SS 7.1 Implementación a través
Monitoreo y gestióndel logro del ciclo de vida
de beneficios • SS 7.2 Estrategia y diseño
• SS 7.3 Estrategia y transiciones
• SS 7.4 Estrategia y operaciones
P01.6 Gestión del portafolio de Definiendo, priorizando y SS 2.5 El ciclo de vida del
TI gestionando programas servicio
Clarificando el alcance y los SS 3.4 Estructuras del servicio

resultados del esfuerzo SS 4.2 Desarrollar las ofertas
Asignando el rolde la rendición SS 4.3 Desarrollar activos
de cuentas estratégicos
Asignando recursos y SS 5.3 Gestión del portafoliode
financiamiento servicios
SS 5.4 Métodos de gestión del
SS 5.5 Gestión de la demanda
SD 3.4 Identificar y documentar
los requisitos y drívers del
negocio
SD 3.6.1 Diseño de soluciones de
servicios
• SD 3.6.2 Diseño de sistemas de

soporte, especialmente el
P02Definir laarquitectura do información

La función de los sistemas deinformación crea y actualiza periódicamente el modelo de información del negocio ydefine los sistemas apropiados para
optimizar el uso de esta información. Esto abarca el desarrollo de un diccionario de datos ylas reglas de sintaxis de datos de la organización, el
esquema de clasificación de los datos ylos niveles de seguridad. Este proceso mejora la calidad de la gestión de toma de decisiones, al garantizar la
entrega deinformación confiable ysegura, facilitando la racionalización de los recursos desistemas de información para satisfacer adecuadamente las
estrategias empresariales. Este proceso de TI también esnecesario para consolidar la responsabilidad de reportar el estado de la integridad y la
seguridad de los datos, ampliando la eficacia yel control del intercambio de información entre las aplicaciones yla organización.
P02.1 Modelo de arquitectura Análisisde soporte a las SD 3.6 Aspectos de diseño

de información empresarial decisiones SD 3.6.3 Diseño de la arquitectura
Mantenimiento del modelo de tecnológica
arquitecturade información SD 3.9 Arquitectura orientada al
Modelocorporativode datos servicio
SD3.10 Gestión de servicio al
negocio
SD5.2 Gestión de los datosy la
información
ST4.7 Gestión del conocimiento

COBIT 4.1 - Dominio: Planificar y Organizar (PO) (cont)

P02 Definir la arquitectura de información (cont)
Objetivo de Control COBIT 4.1 Áreas clave Información de soporte ITIL V3
ISO/IEC 27002:2005
P02.2 Diccionario de datos • Diccionario corporativode datos • SD5.2Gestión de losdatosy la • 7.1.1 Inventario de activos
empresarialy reglas de sintaxis • Comprensión general de los información
• 11.1.1 Políticas de control de
de datos
datos • SD7 Consideraciones tecnológicas acceso
P02.3 Esquema de clasificación • Clases de información • SD5.2Gestión de losdatosy la • 7.2.1 Lincamientos para la
de datos información clasiftacíón
• Propietarios
• Retención • 10.7.1 Gestión de medios
removibles
• Reglas de acceso
• Niveles de seguridadpara cada • 10.8.1 Políticas y procedimientos
clase de información parael intercambio de información
• 10.8.2 Acuerdos de intercambio
acceso
P02.4 Gestión de integridad • Integridad y consistencia de los • SD5.2Gestión de losdatosy la

datos información
• ST4.7 Gestión del conocimiento
P03 Determinar la orientación tecnológica

La función de servicios de información determina la dirección tecnológica para apoyar al negocio. Esto requiere la creación de un plan de
infraestructura tecnológica y un consejo dearquitectura que establece ygestiona expectativas claras y realistas de lo que latecnología puede ofrecer
entérminos de productos, servicios ymecanismos de entrega. El plan se actualiza periódicamente yabarca aspectos tales como la arquitectura de
sistemas, dirección tecnológica, planes deadquisición, estándares, estrategias demiración ycontingencia. Esto permite una respuesta oportuna a los
cambios enel entorno competitivo, las economías de escala sobre el personal ylas inversiones en sistemas de información, así como una mejor
interoperabilidad de plataformasy aplicaciones.
ISO/IEC 27002:2005
P03.I Planeamiento de la • Tecnologías disponibles • SS8 Estrategia y tecnología • 5.1.2Revisión de lapolítica de
orientación tecnológica • Habilitación de la estrategia de TI seguridad de la información
• Arquitectura de sistemas • 14.1.1 Incluir la seguridadde
información en el proceso de
• Dirección tecnológica
gestión de continuidad del negocio
• Estrategiasde migración
• 14.1.5 Pruebas, mantenimiento y
revaluación de los planes de
continuidad del negocio
P03.2 Plan de infraestructura • Plan de infraestructura • SD 3.6.3Diseñode la arquitectura

tecnológica tecnológica tecnológica
• Orientación sobre adquisiciones
• Economías de escala
• Interoperabilidad de plataformas
P03.3 Monitoreo de tendencias • Sectordel negocio, industria, • SS 2.4Principios de lagestióndel • 6.1.1 Compromiso de la gerencia
y regulaciones futuras tecnología,infraestructura, las servicio con la seguridad de la información
tendenciaslegales y • SD4.3.5.7Modelamiento y
reglamentarias tendencias
P03.4 Estándarestecnológicos • Fórum tecnológico • 10.3.2 Aceptación del sistema

• Estándaresy directrices de • 10.8.2 Acuerdos de intercambio
productos
• 11.7.2Teletrabajo
P03.5 Consejo de arquitectura • Estándares y directrices de • 6.1.1 Compromiso de la gerencia
de TI arquitecturatecnológica con la seguridadde la información

COBIT 4.1• Dominio:Planificary Organizar (PO) (cont.)
P04 Definir los procesos, organización y relaciones de TI

Una organización de TI está definida en base a las necesidades de personal, las aptitudes, funciones, oblígxión de rendir cuenta, autoridad, roles,
responsabilidades yla supervisión. Esta organización se incrusta en un marco de procesos de TI que garantice la transparencia yel control, así como
la participación de altos ejecutivos yla gerencia de la organización. Un comité de estrategia asegura que la junta de supervisión de las TI, yuno omás
comités de direaión en la que participan las áreas de negocios yTI, determinen la priorización de los recursos de TI de acuerdo a las necesidades del
negocio. Se habilitan los procesos, las políticas y los procedimientos administrativos para todas las funciones, con especial atención al control y
garantía de calidad, gestión de riesgos, seguridad de la información, propiedad de datos ysistemas, yla segregación de fundones. TI esinvolucrada
enlos procesos relevantes dedecisión para asegurar elsoporte oportuno delos requerimientos del negocio.
P04.1 Marco de trabajode Estructura y relaciones del SS 26 Funciones y procesos a

procesosde TI procesode TI través del ciclo de vida
Propiedadde los procesos SS 3.4 Estructuras del servicio
• Integración con los procesos del SS 7.1 Implementación a través

negocio, lagestión del portafolio del ciclo de vida
de la empresay los procesos de SS 9.1 Complejidad
cambio
SS 9.2 Coordinación y control
SS 9.3 Preservando valor
' SS 9.4 Efectividad en mediciones
> SD 2.4.2 Alcance
' SD 3.6.3 Diseño de la arquitectura
tecnológica
• SD 3.6.4 Diseño de procesos
i SD 3.6.5 Diseño de sistemas de
medición y métricas
i SD 4 Procesos del diseño del
servicio
> SD 6.1 Análisis de roles
funcionales
> SD 6.2 Análisis de actividades
> SD 6.3 Habilidades y atributos
• SD 6.4 Roles y responsabilidades
> SD 8 Implementar el diseño del
servicio
• SD Apéndice C Plantillas de
documentación de procesos
(ejemplo)
• ST 3.2.7 Establecer controles y
disciplinas eficaces
• ST 4 Procesos de transición del
servicio
• ST 6.1 Roles genéricos

• ST 8 Implementar latransición del
servicio
• SO 2.3 Funciones y procesos a

través del ciclo de vida
• SO 4 Procesos de operación del
servicio
• SO 4.6 Actividades operativas del
proceso cubiertas en otras fases
del ciclo de vida
• SO 6 Organización para la
operación del servicio
• SO 8 Implementar la operación
del servicio
• CSI 3.11 Marcos, modelos,
estándares y sistemas de calidad
• CSI 4 Procesos de mejora
continua del servicio

COBIT 4.1 • Dominio: Planificar y Organizar (PO) (cont.)

1 P04 Definir los procesos, organización yrelaciones de TI (cont)
ISO/IEC 27002:2005
P04.1 Marcode trabajode • CSI4.1.1 Integracióncon el resto

procesos de TI(cont.) de etapas del ciclo de vida y los
procesos de gestión del servicio
• CSI 5.2 Evaluaciones
• CSI 5.5 El ciclo Deming
• CSI 8 Implementar la mejora
P04.2 Comitéestratégico de TI • Comité de dirección • SD 2.4.2 Alcance

• Gobierno de TI
• Dirección estratégica
• Revisión de las inversiones
P04.3 Comité directivo de TI • Priorización del programa de • 6.1.1 Compromiso de lagerencia

inversiones y el seguimientode con la seguridadde la información
estado de proyectos
• 6.1.4 Proceso de autorización para
• Resolución de recursos
las instalacionesde procesamiento
• Servicios de monitoreo de información
P04.4 Ubicación organizacional • Significado de negocio de TI • SS6.1 Desarrollo organÍ2acional • 6.1.1 Compromiso de la gerencia
de la función de TI con la seguridad de la información
• Líneas de reporte del CIO • SO 3.2.4 Organizaciones reactivas
versusproactivas • 6.1.2 Coordinación para la
seguridadde la información
• 6.1.3Asignación de las
responsabilidades parala seguridad
de la información
• 6.1.4Proceso de autorización para
las instalaciones de procesamiento
P04.5 Estructura • Alineamiento organizacionalcon • SS 2.6 Funciones y procesos a • 6.1.1 Compromiso de lagerencia
organizacional de TI las necesidades del negocio través del ciclo de vida con la seguridad de la información
• SS 6.1 Desarrollo organizacional • 6.1.2 Coordinación para la
• SS 6.2 Departamentalización seguridadde la información
organizacional
• SS 6.3 Diseño organizacional
• SS Apéndice B2 Gerentes de
producto
• SD 6.3 Habilidades y atributos
• ST 4.2.6.8 Consejo consultivo de
cambios
• ST 6.2 Contexto organizacional
para la transición de servicios
• ST 6.3 Modelos organizacionales
para apoyar la transición de
servicios
• SO 3.1 Funciones, grupos,
equipos, departamentos y
divisiones
• SO 3.2 Obtener balance en la
• SO 3.3 Prestación del servicio
• SO 6.1 Funciones
• SO 6.2 Mesa de servicios
• SO 6.3 Gestión técnica
• SO 6.4 Gestión de operaciones de
TI
• SO 6.5 Gestión de aplicaciones

• SO 6.7 Estructuras
organizacionales de operación
ripl sprvirin

COBIT 4.1 • Dominio:Planificar y Organizar (PO) (cont)

P04 Definir los procesos, organización y relaciones deTI (cont.)
P04.6 Establecer roles y Roles y responsabilidades • SS 2.6 Funciones y procesos a • 6.1.2 Coordinación parala
responsabilidades explícitos. través del ciclo de vida seguridad de lainformación
Clara rendiciónde cuentas y • SD 6.2 Análisis de actividades • 6.1.3Asignación de las
autorizaciones de usuario final • SD6.4 Roles y responsabilidades responsabilidades para la seguridad
de la información
para apoyarla transición de • 6,15 Acuerdos de confidencialidad
servicios • 8.1.1Rolesy responsabilidades
• SO 6.6 Roles y responsabilidades • 8.1.2 Verificación
en laoperación del servicio • 8.1.3Términos y condiciones del
• CSI6 Organización parala mejora empleo
continua del servicio • 8.2.2Educación, entrenamiento y
concientización en seguridad de
información
• 15.1.4Protecciónde datos y
privacidad de la información
personal
P04.7 Responsabilidades para Responsabilidad, experiencia e • CSI 6 Organización para la mejora

el aseguramiento de la calidad implementación de control de continua del servicio
deTI(QA) calidad según los requisitosde la
organización
P04.8 Responsabilidadsobre Propiedad de riesgos de TIen el SD 6.4 Roles y responsabilidades • 6.1.1 Compromiso de la gerencia
el riesgo, la seguridad y el negocio con la seguridad de la
cumplimiento información
Rolespara gestionar riesgos
críticos • 6.1.2Coordinación para la
i Gestión de la seguridad y
los riesgos en toda la • 6.1.3 Asignación délas
empresa responsabilidades para la
>Seguridadespecífica de sistemas
seguridad de la información
• 8.1.1 Roles y responsabilidades
• Dirección del apetito de
riesgo y la aceptación del • 8.2.1 Responsabilidades de la
riesgo residual Gerencia
• 8.2.3 Procesos disciplinarlos
• 15.1.1 Identificación de
legislación aplicable
• 15.1.2 Derechos de propiedad
intelectual
• 15.1.3 Protección de registros
organizacionales
• 15.1.4 Protección de datos y
privacidad de la información
personal
• 15.1.6Regulación de controles
criptográficos
• 15.2.1 Cumplimiento con politicas
y estándares de seguridad
P04.9 Propiedad de los datos y Habilitación de la propiedad de SO 6.3 Gestión técnica 6.1.3 Asignaciónde las
sistemas los datos responsabilidades parala seguridad
de la información
Toma de decisiones sobre la
clasificación de información 6.1.4 Proceso de autorizaciónpara
las instalacionesde procesamiento
de información
7.1.2Propiedad de los activos
9.2.5 Seguridad de los equipos
fuera de las instalaciones

Alineando CobíT®4.1, ITIL®V3 e ISO/IEC 27002 en beneficio de la empresa
COBIT 4.1 • Dominio: Planificary Organizar(PO) (cont)
P04 Definir los procesos, organización y relacionesde TI (cont)

Objetivo de ControlCOBIT 4.1 Áreas clave Información de soporte ITIL V3 ISO/IEC 27002:2005
P04.10 Supervisión • Roles y responsabilidades • 6.1.2 Coordinación parala

• Revisión de los seguridadde la información
indicadores clave de • 6.1.3 Asignación de las
desempeño (KPIs) responsabilidades parala seguridad
de la información
• 7.1.3 Uso aceptablede activos
• 8.2.1 Responsabilidades de la
Gerencia
P04.11 Segregación de • Ejecuciónapropiadade roles y • ST 3.2.13 Asegurarlacalidadde un • 8.2.1 Responsabilidades de la
funciones responsabilidades servicio nuevo o modificado Gerencia
• Evitarel compromiso de procesos • SO 5.13 Gestión de seguridad de la • 10.1.3 Segregación de funciones
críticos información y la operación del • 10.1.4 Separación de los entornos
servicio de desarrollo, pruebas y producción
• 10.6.1 Controles de red
P04.12 Personal de TI • Númeroy competencia; • SO 6.2 Mesa de servicios

evaluación de requerimientos
P04.13 Personal clave de TI • Roles clave definidos

• Minimizar dependencia del staff
P04.14 Políticas y • Conocimiento y cumplimiento de • 6.15 Acuerdos de confidencialidad

procedimientospara el personal políticas • 6.2.1 Identificación de riesgos
contratado • Activosde información protegidos relacionados con terceros
• 6.2.3 Considerarla seguridad en los
acuerdos con terceros
• 9,15 Trabajo en áreasseguras
• 15.15 Prevención del uso indebido
de instalaciones de procesamiento
de información
P04.15 Relaciones • Coordinación óptima • SD 4.2.5.9 Desarrollar contratos y • 6.1.6 Relación con las autoridades
• Comunicacionesycoordinación relaciones • 6.1.7 Relación congrupos de
interésespecial
P05 Gestionar ta inversión en TI
Se establece y mantiene un marco de gestión delprograma de inversiones facilitadas porTI, que abarca loscostos, beneficios, prioridades dentro del
presupuesto, un proceso formal de presupuestación y gestión contrael presupuesto. Laspartesinteresadas son consultadaspara identificar y controlar
los costos y beneficios totales dentro del contextode losplanesestratégicos y tácticosde TI, ejecutando acciones correctivascuandose necesiten. El
proceso fomenta la asociación entre TI y las partes interesadas de la empresa, facilita el usoeficaz y eficiente de los recursos de TI y promueve la
transparencia y la rendición de cuentassobreel costo total de propiedad (TCO), la realización de beneficios y el ROÍ de las inversiones facilitadas por
TI.
P05.1 Marco de trabajo para la • Gestión de portafolio • SS3.1 Creación de valor

gestión financiera • Gestión de inversiones y • SS 5,7 Gestión financiera
costos de los activos de TI
• SS 5.2 Retorno sobre la inversión
• SS Apéndice A Valor presentede
una anualidad
P05.2 Priorización dentro del • Asignación de recursos de TI • SS 5.2 Retorno sobre la inversión
presupuesto de TI • Optimización del ROÍ • SS 5.3 Gestión delportafolio de
servicios
• SS 5.4 Métodos de gestión del

portafoliode servicios

COBIT 4.1 • Dominio: Planificary Organizar (PO)(cont.)
P05 Gestionar la inversión en TI (cont.)

P05.3 Proceso presupuestal • Proceso presupuestal • SS 5.2 Retomo sobre la inversión • 5.12 Revisiónde lapolítica de
• Asegurarque el presupuestoesté seguridad de lainformación
alineado con el portafolio de
inversiones de programas y
servicios
• Revisión y aprobación del
presupuesto
P05.4 Gestión de costos de TI • Comparación de costos con el • SS 5.1 Gestión financiera (esp. • 5.12 Revisiónde lapolítica de
presupuesto 5.1.2.7) seguridad de laInformación
• Reporte de costos • 13.2.2Aprendiendo de los
• Remediación de las incidentes de seguridad de
desviaciones de costos información
respecto del plan
P05.5 Gestión de beneficios • Monitoreo y análisisde beneficios • SS 2.2 ¿Qué son los servicios?
• Mejorade la contribución de TI • SS5.1 Gestión financiera
• Mantenimiento de los casos de • SS 5.2 Retorno sobre la inversión
negocio • ST 4.4.5.10 Revisary cerrar la
transición del servicio
• ST4.4.5.8 Soportetemprano
POSComunicar las aspiraciones y la dirección de la gerencia

La gerencia desarrolla un marco de control de TI en la empresa, define y comunica las políticas. Se implementa un programa de comunicación
permanente, aprobado yapoyado por ladirección, para articular la misión, los objetivos deservicio, las políticas yprocedimientos, etc. La comunicación
apoya ellogro delos objetivos deTI yasegura elconocimiento yla comprensión los riesgos deTI ydel negocio, los objetivos yladirección. El proceso
garantiza el cumplimiento de lasleyesy regulaciones vigentes.
P06.1 Política y entorno de • Filosofíade gestión y estilode • SS 6.4 Cultura organizacional • 5.1.1 Documento de lapolítica de
control de TI operación seguridad de lainformación
• Integridad, ética, competencias, • 13.2.1 Responsabilidades y
rendircuentas y responsabilidad procedimientos
• Culturade entrega de valory
gestión de riesgos
P06.2 Riesgo corporativo y • Promulgar y controlar las políticas • 5.1.1 Documento de la política de
marco de referencia del control • Alineamiento con el control y el seguridad de la información
interno de TI riesgo de la empresa • 6.2.2 Considerar la seguridad al
tratar con los clientes
• 7.1.3 Uso aceptable de activos
• 8.2.2 Educación, entrenamiento y
Información
• 8.3.2 Devolución de activos
• 9.1.5 Trabajo en áreas seguras
• 9.2.7 Eliminar la propiedad
• 10.7.3 Procedimientos para el
manejo de la información
• 10.8.1 Políticas y procedimientos
para el intercambio de
información
• 10.9.3 Información de dominio
público
acceso
• 11.3.1 Uso de contraseñas

• 11.3.2 Equipos desatendidos de
usuario

COBIT 4.1 • Dominio: Planificary Organizar(PO) (cont.)
P06 Comunicar las aspiraciones y ladirecciónde la gerencia (cont.)

Objetivode Control COBIT 4.1 Áreas clave Información de soporte ITIL V3 ISO/IEC 27002:2005
P06.2 Riesgocorporativoy • 11.3.3 Políticas de escritorios y

marco de referencia del control pantallas limpias
interno de TI(cont.) • 11.7.1Computación móvil y las
comunicaciones
• 11.72 Teletrabajo
• 12.3.1 Políticas de uso de
controles criptográficos
intelectual
• 15.1.5 Prevención del uso
Indebido de instalaciones de
procesamiento de información
• 15.2.1Cumplimiento con políticas
y estándares de seguridad
P06.3 Gestión de políticas de • Creación de políticas • 5.1.1 Documento de la políticade

TI • Políticapropuesta, roles y seguridad de la información
responsabilidades • 5.1.2Revisión de lapolítica de
• 6.1.1 Compromiso de la gerencia
conlaseguridad de la información
• 8.1.1 Roles y responsabilidades
P06.4 Implantación de • Distribución y aplicación de las • 6.11 Compromiso de la gerencia

políticas, estándares y políticas al staff conlaseguridad de la información
procedimientos • 6.18 Revisión independiente de la
• 6.2.3 Considerar la seguridaden los
acuerdos con terceros
información
P06.5 Comunicación de los • Conciencia y comprensiónde los • ST5.1 Gestión de las • 5.11 Documento de la política de
objetivos y de la dirección de TI objetivosde TIy del negocio comunicaciones y el compromiso seguridad de la información
• SO 3.6 Comunicaciones • 6.11 Compromiso de la gerencia
conlaseguridad de la Información
• 6.1.2 Coordinación parala
P07 Gestión de los recursos humanos de TI
Se forma y mantiene una plantilla competente parala creación y entregade servicios de TI al negocio. Esto se logra a través de prácticas definidas y
acordadas que apoyen el reclutamiento, entrenamiento, evaluación del desempeño, la promoción y los ceses. Este proceso es critico, ya que las
personas son un activo importante; el buen gobierno y el entornode control interno dependen en gran medida de la motivación y competencia del
personal.
Objetivo de Control COBIT 4.1 Áreas clave Informaciónde soporte ITIL V3 ISO/IEC 27002:2005
P07.1 Reclutamientoy • Una política corporativa basada • 8.1.1 Roles y responsabilidades

retención del personal en prácticasde reclutamiento y • 8.1.2 Verificación
promocióndel personal
• 8.1.3 Términos y condiciones del
• Habilidades mapeadas hacia los empleo
objetivosorganizacionales
P07.2 Competencias del • Definición de las competencias • 8.1.1 Roles y responsabilidades
personal básicas • 8.2.2 Educación, entrenamiento y
• Verificación de competencias concientización en seguridad de
información

COBIT4.1 • Dominio: Planificar y Organizar (PO) (cont.)
BH P07 Gestión de los recursos humanos de TI (cont.) HS9

Objetivo de ControlCOBIT 4.1 Áreas clave Informaciónde soporte ITIL V3 ISO/IEC 27002:2005
P07.3 Asignación de roles • Roles y responsabilidades • 8.1.1Roles y responsabilidades

definidas • 8.13 Términos y condiciones del
• Nivel de supervisión adecuado empleo
• 8.2.1Responsabilidades de la
Gerencia
P07.4 Entrenamiento del • Inducción organizacional y • SD 6.3 Habilidades y atributos • 8.2.2 Educación, entrenamiento y
personal de TI entrenamientocontinuo para concientización en seguridad de
elevar los niveles de habilidad información
técnica y gerencial
P07.5 Dependencia de • Abordar la disponibilidad de

individuos recursos para las funciones clave
• Captura del conocimiento
• Plan de sucesión
P07.6 Verificación de • Acreditaciones de seguridad • 8.1.2 Verificación

antecedentes del personal según la criticidad de la posición
P07.7 Evaluación del • Evaluación del desempeño • 8.2.2 Educación, entrenamiento y

desempeño del empleado reforzada por un sistema de concientización en seguridad de
recompensas Información
P07.8 Cambiosy ceses en los • Transferencia y reasignación del • 8.2.3 Procesos disciplinarios
puestos de trabajo conocimiento a fin de minimizar • 8.3.1 Responsabilidades en el cese
riesgos
• 8.3.2 Devolución de activos
• 8.3.3Eliminación de privilegios de
acceso
P08 Gestión de la calidad
Unsistema de gestión de calidad (SGC)es desarrollado y mantenido, incluyendo estándares y procesos de adquisición y desarrollo probados. Esto es
posible por la planificación, implementación y el mantenimiento del SGC mediante requerimientos, procedimientos y políticas claras de calidad. Los
requisitos de calidad son establecidos y comunicados mediante indicadorescuantíficables y alcanzables. La mejoracontinua se consiguea través del
monitoreo continuo, el análisis y la actuaciónsobre las desviaciones, y comunicandolosresultados a las partes interesadas. Lagestiónde la calidades
esencial para asegurar que TIentrega valoral negocio, la mejoracontinua y la transparencia para los accionistas.
P08.1 Sistema de • Enfoque estándar alineado a los • SS 7.5 Estrategia y mejora

administración de calidad requisitos del negocioque cubren • ST4.4.5.3 Construcción y pruebas
los requisitos y criterios de
calidad
• Las políticasy los métodos para

detectar y conegircasos de no
conformidades de calidad
P08.2 Estándares y prácticas • Estándares y procedimientos para • SS 7.5 Estrategia y mejora

de calidad implementar un sistema de • ST 3.2.13 Asegurar lacalidadde un
gestión de calidad servicio nuevo o modificado
• ST 4.5 Validación del servicio y
pruebas (ITIL se enfocaen la
transición y en las pruebas
continuas del servicio)
• CSI Apéndice A Guía
complementaria

COBIT 4.1 - Dominio: Planificar y Organizar(PO)(cont)
POS Gestión de la calidad fcont.) HHHHHHHHMHk

P08.3 Estándares para • Estándares del ciclo de vida para • SS 6.5 Estrategia de sourcing • 6.1.5 Acuerdos de
desarrollos y adquisiciones entregables • SD 3.5 Actividades de diseño confidencialidad
• SD 3.6 Aspectos de diseño • 6.2.3 Considerar la seguridad en

los acuerdos con terceros
• SD 3.9 Arquitectura orientada al
servicio • 12.5.5 Outsourcing de desarrollo
de software
• SD3.11 Modelospara el diseñode
los servicios
• SD 5.3 Gestiónde aplicaciones
• SD7 Consideraciones tecnológicas
• ST3.2.3 Adopción de estándares y
de unmarco de trabajo común
• ST4.14 Políticas,principíosy
conceptos básicos
• ST4.15.1 Estrategia de transición
P08.4 Enfoque en el clientede • Sistema de gestión de la calidad • SS 5.5 Gestión de la demanda

TI orientado al cliente • SD 4.2.5.4 Comparar, mediry
• Rolesy responsabilidades para la mejorar la satisfacción del cliente
resolución de conflictos
• ST 3.2.6 Establecer y mantener
relaciones con los interesados
P08.5 Mejora continua • Los procesos de comunicación • SD 4.2.5.7 Ejecutar revisiones del
promueven la mejoracontinua servicio e instigar mejoras dentro
del plan general de mejoramiento
del servicio
• SO 5.14 Mejora de las actividades

operativas
• CS111ntroducción a la mejora
continua del servicio (CSI)
• CSI 2 Gestión del servicio como
una práctica
• CSI 3 Principios de CSI
• CSI 4.1 El proceso de mejora de
los siete pasos
• CSI 4.1.1 Integración con el resto
de etapas del ciclo de vida y los
procesos de gestión de servicio
• CSI 4.4 Retorno sobre la
inversión debido al CSI
• CSI 4.5 Aspectos del negocio en
CSI
• CSI 5 Métodos y técnicas en CSI
• CSI 5.1 Métodos y técnicas
• CSI 5.5 El ciclo Deming
• CSI 5.6 CSI y otros procesos de
gestión del servicio
• CSI 5.7 Resumen
• CSI 6 Organización para la mejora
• CSI 8 Implementar la mejora

• CSI 9 Desafíos, factores críticos
de éxito y riesgos

Alineando CobiT®4.1, ITIL V3 e ISO/IEC 27002 en beneficio de laempresa
COBIT 4.1 • Dominio: Planificar y Organizar (PO)(cont.)
P08 Gestiónde lacalidad (cont)

P08.6 Medición, monitoreo y • Monitoreo del cumplimiento con el • CSI 5.2 Evaluaciones
revisión de la calidad sistema de gestión de calidad; • CSI 5.3 Benchmarking
valordel sistema de gestión de
• CSI5.4 Marcosde medición y
calidad
reporte
POSEvaluary gestionarlos riesgos de Ti
Se crea y mantiene un marcode gestiónde riesgoque documenta un nivel común y consensuado de riesgosde TI, estrategias de mitigación y riesgos
residuales. Se identifica, analiza y evalúa cualquier impacto potencial en las metas de la organización causado por un evento no planificado. Se
adoptan estrategias de mitigación de riesgopara minimizar el riesgo residuala un nivel aceptable. El resultado de la evaluxión es entendióle para las
parlesinteresadas y expresado en términos financieros para permitirles alinearel riesgo a un nivel de tolerancia aceptable.
Objetivode Control COBlT 4.1 Áreas clave Información de soporte ITIL V3 ISO/IEC 27002:2005
P09.1 Marco de trabajo de • Alineamiento al marco de riesgo • SS 9.5 Riesgos • 14.1.1 Incluir la seguridad de
gestiónde riesgos empresarial • SD4.5.5.1Etapa 1-Inicio información en el proceso de
gestión de continuidad del
negocio
• 14.1.2Continuidad del negocio y
evaluación de riesgos
P09.2 Establecimiento del • Contextos interno y externo; • SS 9.5 Riesgos • 14.1.1 Incluirla seguridad de
contexto del riesgo metas de cada evaluación • SD4.5.5.1Etapa 1 - Inicio información en el proceso de
• SD4.5.5.2Etapa2-Requisitos y
negocio
estrategia
• 14.1.2Continuidad del negocio y
P09.3 Identificación de eventos • Amenazas importantes que • SS9.5R/esgos • 13.1.1 Reporte de eventos de
explotenvulnerabilidades tienen • SD 4.5.5.2Etapa2 -Requisitos y seguridad de información
impacto negativoen el negocio estrategia • 13.1.2 Reporte de debilidades de
• Registrode riesgos • ST9 Desafíos, factores críticos de seguridad
éxito y riesgos
• CSI 5.6.3 Gestión de continuidad de
servicios de TI
P09.4 Evaluación de riesgos de • Probabilidad e impacto de todos • SS 9.5 Riesgos • 5.1.2Revisión de la politica de
TI los riesgos identificados • SD4.5.5.2Eíapa2-Regi»s/tosy seguridad de la información
• Evaluación cualitativa y estrategia • 14.1.2 Continuidad del negocio y
cuantitativa • SD 8.1Análisis de impacto en el evaluación de riesgos
• Riesgosresiduale inherente negocio(sindetalle)
• ST 4.6 Evaluación
P09.5 Respuesta a los riesgos • Controles económicamente • SS 9.5 Riesgos

efectivosque mitiguenla • SD4.5.5.3Etapa3-lmplementación
exposición
• Estrategias de gestión del riesgo
en términosde evitar, mitigaro
aceptar
P09.6 Mantenimiento y • Priorización y planeamiento de • SS 9.5 Riesgos

monitoreo de un plan de acción las respuestas al riesgo • SD 4.5.5.4 Etapa4 - Operación
de riesgos • Costos, beneficios y continua
responsabilidades
• Monitoreo de desviaciones

COBIT 4.1• Dominio: Planificary Organizar (PO) (cont.)

PO10Gestionar proyectos
Se establece un marco de gestión de proyectos y programas de TI que asegura la adecuadapriorización y coordinación de los proyectos, incluye un
plan maestro, la asignación de recursos, la definición de entregables, la aprobación de los usuarios, una propuesta de entrega por etapas, el
aseguramiento de calidad, unplan de pruebas formal, pruebas y revisión post-implementación después de lainstalación, a fin de asegurar lagestión de
riesgos del proyecto así como la entrega de valoral negocio. Este enfoque reduce el riesgode costos inesperados y cancelaciones de proyectos,
mejora las comunicaciones y la participación de los usuarios finales y el negocio, asegura el valory la calidad de los entregables del proyecto,
maxímizando su contribución a los programas de inversión facilitados por TI.
PO10.1 Marcode trabajo para • Identificar, definir, evaluar,

la gestión de programas priorizar, seleccionar,iniciar,
gestionar y controlar todos los
programas de inversión de los
proyectos
• Coordinación, interdependencia,
conflictos con los recursos
PO10.2 Marcode trabajo para • Alcance y limites de la gestiónde

la gestión de proyectos proyectos y el métodoa
adoptarse
P010.3 Enfoquede gestiónde • Dimensionar la propuesta con el • ST 3.2 Políticas para latransición
proyectos tamaño, complejidad y del servicio
requerimientos de cada proyecto
• Estructura de gobiernodel
proyecto
• Patrocinadores del proyecto
PO10.4 Compromiso de los • Compromisoy participación de • ST 3.2.6 Establecer y mantener
interesados los interesados relaciones con los interesados
• ST 3.2.12 Asegurar una
participación temprana en el ciclode
vida del servicio
PO10.5 Declaración de alcance • Aprobaciónde la naturaleza y el • SD3.4 Identificar y documentar los

del proyecto alcance del proyecto requerimientos y drivers del negocio
• SD 3.5 Actividades de diseño
PO10.6 Inicio de las fases del • Aprobacióndel inicio de cada

proyecto etapa
• Programar decisiones de
gobierno
PO10.7 Plan integradodel • Plan integrado que cubra el • SD Apéndice D Diseñar y planificar
proyecto negocio y los recursos de TI documentos y sus contenidos
• Actividades e interdependencias
entre proyectos
PO10.8 Recursos del proyecto • Responsabilidades, relaciones,

autoridades y criteriosde
desempeño del equipo de
proyecto
• Planificación de
aprovisionamiento de recursos
PO10.9 Gestión de riesgos del • Proceso sistemático para
proyecto planificar,indentificar, analizar,
monitorear, controlary responder
ante riesgos
PO10.10 Plan de calidad del • Plan y sistema de gestión de

proyecto calidad definidos y consensuados
PO10.11 Control de cambios • Sistema de control de cambios • ST 3.2.10 Anticipar y gestionar

del proyecto para cada proyecto (costo, correcciones de curso
cronograma, alcance, calidad)
P010.12 Planeamiento del • Tareas de aseguramiento

proyecto y métodos de requeridas para apoyar la
aseguramiento acreditación

COBIT 4.1 - Dominio: Planificar y Organizar(PO)(cont)

PO10 Gestionarproyectos fcont.)
PO10.13 Medición del • Medirel desempeño del proyecto

desempeño, reporte y contra criterios clave
monitoreo del proyecto • Evaluar desviaciones,
recomendar e implementar
acciones correctivas
PO10.14 Cierre del proyecto • Revisióndel cumplimiento de

resultados y beneficiospor parte
de los directivosdel proyecto
• Comunicar acciones resaltantes y
documentar lecciones aprendidas
COBIT 4.1 • Dominio: Adquirir e implementar (Al)
Al 11dentificar soluciones automatizadas
La necesidad de una nueva ap icación o función requiere de análisi previo a la adquisición o construcción para asegurar que se satisfagan los
requerimientos del negocio de una manera eficaz y eficiente. Este proceso cubre la definición de necesidades, consideración de fuentes alternas,
revisión de factibilidades tecnológica y económica,ejecución de análisis de riesgo y de costo-beneficio, concluyendo en una decisión final para "hacer*
o "comprar". Todos estos pasos permitenque las organizacionesminimicen el costo de adquirire implementar solucionesmientras se aseguran el logro
de sus objetivos.
Al1.1 Definición y • Identificar, priorizary especificar • SS 7.5 Estrategia y mejora • 8.2.2 Educación, entrenamiento y
mantenimiento de los los requerimientos para todas las • SS 8.1 Automatización del concientización en seguridad de
requerimientos técnicos y iniciativas relacionadas con los servicio información
funcionales del negocio programas de inversión • SD 3.2 Diseño balanceado • 12.1.1Análisis y especificación de
• SD 3.3 Identificación de los requisitosde seguridad
requerimientos de servicios • 10.3.2 Aceptacióndel sistema
• SD 3.4 Identificar y documentar
los requisitos y drivers del
negocio
• SD 3.6.1 Diseño de soluciones de
servicios

soporte, especialmente el
• SD 3.6.3 Diseño de la arquitectura
tecnológica
medición y métricas
• SD 3.8 Limitaciones del diseño
• SD 3.9 Arquitectura orientada al
servicio
• SD 4.3.5.8 Dimensíonamíento de
aplicaciones
• SD Apéndice D Diseñar y
planificar documentos y sus
contenidos
• ST 3.2.5 Alinear los planes de
transición del servicio con las
necesidades del negocio
Al 1.2 Reporte de análisis de • Análisis de todas las amenazas • SD 2.4.2 Alcance • 1 í.6.2 Aislamiento de sistemas
riesgos significativasy vulnerabilidades • SD 3.6 Aspectos de diseño sensitivos
potenciales que afecten los • 12.1.1 Análisisy especificación de
• SD 4.5.5.2 Etapa 2 - Requisitos y
estrategia bs requisitosde seguridad

COBIT 4.1 • Dominio: Adquirir e implementar (Al) (cont.)
AI1 Identificar soluciones automatizadas (cont.)

AI1.3Estudio de factibilidad y • Soluciones alternativas que • SD 3.6.1 Diseño de soluciones de

formulación de cursos satisfagan losrequerimientosdel servicios
alternativos de acción negocio,evaluadospor el negocio • SD 3.7.1 Evaluación de soluciones
y porTI alternativas
• ST 3.2.4 Maximizar la reutilización
de procesosy sistemas
establecidos
AI1.4 Requerimientos, decisión • Aprobación de requerimientos, • SD 3.6.1 Diseño de soluciones de • 6.1.4Procesode autorización para
de factibilidad y aprobación opciones factibles,soluciones y la servicios las instalaciones de procesamiento
propuestade adquisición por de información
parte del patrocinador del • 10.3.2Aceptación del sistema
proyecto
AI2Adquirir y mantenersoftware aplicativo

Las aplicaciones se hacen disponibles en linea con los requerimientos del negocio. Este proceso cubre el diseño de las aplicaciones, la inclusión
correcta de loscontrolesde aplicación y los requerimientos de seguridad, así comoel desarrollo y la configuración alineados con los estándares. Esto
le permite a las organizaciones apoyar apropiadamente sus operaciones de negocioscon las aplicaciones automatizadascorrectas.
Objetivo de Control COBlT 4.1 Áreas clave Información de soporte ITILV3 ISO/IEC 27002:2005
AI2.1 Diseño a alto nivel • Traducciónde los requerimientos • SD 3.6.1 Diseño de soluciones de
del negocioa diseño de alto nivel servicios
para la adquisición • SD 3.6.3 Diseñode la arquitectura
♦ Alineamiento con la dirección tecnológica
tecnológicay la arquitectura de
información
AI2.2 Diseño detallado • Diseñotécnico y requerimientos • SS 8.2 Interíaces del servicio

de la aplicación • SD 4.2.5.2 Requisitos acordadosy
• Criterio para la aceptación documentados de los nuevos
servicios; definir los requisitosde los
niveles de servicios
• SD 5.3 Gestión de aplicaciones
A12.3 Control y auditabilidad de • Controles de negociocon • 10.10.1 Logs de auditoría

las aplicaciones aplicaciones automatizad para • 10.10.5 Logs de fallas
procesos exactos, completos,
• 12.2.1 Validación de datos de
autorizados y auditables
entrada
• 12.2.2 Control de procesamiento
interno
• 12.2.3 Integridad de mensajes
• 12.2.4 Validación de datos de
salida
• 13.2.3 Recolección de evidencia

• 15.3.1 Controles de auditoría de
sistemas de información
• 15.3.2 Protección de herramientas
de auditoría de sistemas de
información

AI2 Adquirir y mantener software aplicativo fconf.)

ISO/IEC 27002:2005
A12.4 Seguridady disponibilidad • Definición de requerimientos de • SD 3.6.1 Diseño de soluciones de • 6.1.4 Proceso de autorización para
de las aplicaciones seguridad y disponibilidad servicios las instalaciones de procesamiento
de información
• SO 4.4.5.11 Errores detectados en
el entorno de desarolb • 7.2.1 Lineamientos para la
clasificación
• 10.3.2 Aceptación del sistema
• 11.6.2 Aislamiento de sistemas
sensitivos
• 12.1.1 Análisis y especificación de
los requisitos de seguridad
• 12.2.3 Integridad de mensajes
• 12.3.1 Política de uso de controles
criptográficos
• 12.4.3 Control de acceso al código
fuente de los programas
• 12.5.2 Revisión técnica de las
aplicaciones luego de cambios en
el sistema operativo
• 12.5.4 Fuga de información
• 15.3.2 Protección de herramientas
de auditoría de sistemas de
información
AI2.5Configuración e • Configuración de los paquetes de • 12.5.3 Restricciones en los cambios a

implementación de software de software adquiridos tos paquetes de software
aplicación adquirido
AI2.6 Actualizaciones • Aplicación de procesos similares • 12.5.1 Procedimientos de control de

importantes en sistemas de desarrollo cuando se realicen cambios
existentes cambios mayores
AI2.7 Desarrollo de software • Desarrollar funcionalidad según • SD 3.7.3 Desarrollar la solución del • 12.5.5 Outsourcing de desarrollo de
aplicativo diseño, estándares y requisitosde servicio software
aseguramiento de calidad
• Requisitos legales y contractuales
seguidos por desarrolladores de
los proveedores
AI2.8 Aseguramiento de la • Política y plande aseguramiento • 10.3.2Aceptación delsistema

calidad del software de calidad (QA).
AI2.9Gestiónde los requisitos • Seguimiento de todos los • ST 3.2.6 Establecer y mantener

de las aplicaciones requerimientos a través del relaciones con los interesados
proceso de gestión de cambios • ST 3.2.10 Anticipar y gestionar
correcciones de curso
AI2.10 Mantenimiento del • Estrategia y plan para el

software aplicativo mantenimiento del software
AI3Adquirir y mantenerla infraestructura tecnológica

Las organizaciones tienen procesos para la adquisición, implementación y actualización de su infraestructura tt cnológica, lo que requiere un enfoque
planificado para la adquisición, nlantenimientoy protección de la infraestructura, en linea con estrategias tecnolc gicas consensuadas, y la provisión de
ambientes de desarrollo y prueb i. Esto asegura la disponibilidad continua de soporte tecnológicopara las aplicaciones del negocio.
AI3.1 Plan de adquisición de • Plan de adquisición, • SD 3.6.3 Diseño de la arquitectura

infraestructuratecnológica implementacióny mantenimiento tecnológica
para la infraestructura, en línea
con las necesidades del negocio
y la direccióntecnológica
AI3.2Proteccióny • Protección de recursos utilizando • SD 4.6.5.1 Controles de seguridad • 12.1.1 Análisis y especificación de los
disponibilidad de la mediciones de seguridad y • SO 5.4 Gestión y soporte de requisitos de seguridad
infraestmctura auditablidad servidores
• Uso de infraestructura sensitiva

AlineandoCobiT®4.1, ITIL®V3 e ISO/IEC 27002 en beneficio de laempresa
COBIT 4.1 - Dominio: Adquirir e implementar (Al) (cont)
AI3 Adquirir y mantener la Infraestructuratecnológica (cont.)
AI3.3 Mantenimiento de la • Control de cambios, gestión de • SO 5.4 Gestión y soporte de • 9.1.5 Trabajo en áreas seguras
infraestructura parches .estrategias de servidores
• 9.2.4 Mantenimiento de equipos
actualizacióny requerimientos de • SO 5.5 Gestión de redes
• 12.4.2 Protección de los datos de
seguridad • SO 5.7 Administración de bases
prueba de sistema
de datos
• SO 5.8 Gestión de servicios de
aplicaciones luego de cambiosen el
directorio
sistema operativo
• SO 5.9 Soporte de estaciones de
• 12.6.1 Control de vulnerabilidades
trabajo
técnicas
• SO 5.10 Gestión de middleware
• SO 5.11 Gestión Internet/web
AI3.4Ambiente de prueba de • Entornosde desarrollo y pruebas; • ST 4.4.5.1 Planificación • 10.1.4 Separaciónde los entornos
factibilidad pruebas de factibilidade • ST4.4.5.2 Preparación parala de desarrollo, pruebas y producción
integración construcción, pruebasy despliegue
• ST4.4.5.3 Construcción y pruebas
• ST4.5.5.7 Limpieza y cierre de las
pruebas
• ST4.5.7 Gestión de información
AI4 Facilitarla operación y el uso
La disponibilidad del conocimiento sobre los sistemas nuevos requiere la producción de documentxion y manuales para usuarios y para TI, a la vez
que proporcionaentrenamientopara asegurar el uso y operación adecuados de las aplicaciones y la infraestructura.
AI4.1 Planificación de • Identificación y planificación de • SD 3.6.1 Diseño de soluciones de

soluciones operacionales todos los aspectos técnicos, servicios
operacionales y de uso de la • ST 3.2.5 Alinear los planes de
solución transición del servicio con las
necesidades del negocio
• ST 3.2.9 Planificar la liberación y
el despliegue de paquetes
• ST 4.4.5.1 Planificación
• ST 4.4.5.2 Preparación para la
construcción, pruebas y
despliegue
• ST 4.4.5.5 Planificar y preparar el
despliegue
AI4.2 Transferencia de • Facilitarla propiedad, entrega, • ST3.2.5 Alinear los planes de
conocimiento a la gestión del calidad y el control interno de la transición del servicio con las
negocio solución necesidades del negocio
• ST4.7 Gestión del conocimiento
AI4.3 Transferencia de • Conocimiento y habilidades del • ST 3.2.8 Proveer sistemas parala

conocimiento a los usuarios usuario final como parte del transferencia de conocimientos y
finales proceso de negocio el soporte de decisiones
• ST 4.4.5.8 Soporte temprano
• ST 4.7 Gestión del conocimiento
AI4.4 Transferencia de • Conocimiento y habilidades para • ST 3.2.8 Proveer sistemas parala • 10.1.1 Procedimientosoperativos
conocimiento al personal de facilitar la operación y el soporte transferencia de conocimientos y documentados
operaciones y soporte de los sistemas y la el soporte de decisiones • 10.3.2 Aceptación del sistema
infraestructura • ST 4.4.5.5 Planificar y preparar el
• 10.7.4 Seguridad de la
despliegue
documentación de sistemas
• ST 3.7 Documentación
• 13.2.2 Aprendiendo de los
• ST 4.4.5.11 Errores detectados en
incidentesde seguridadde
el entorno de desarrollo
información
• SO 4.6.6 Gestión de conocimiento
(actividades operativas)

COBIT 4.1 - Dominio: Adquirir e implementar (Al) (cont)
A15Adquirirrecursosde TI
Se necesita adquirir recursos de TI, incluyendo al personal, hardware, software y servicios, lo que requiere de la definición y cumplimiento de los
procedimientos de adquisiciones, selección de proveedores, definición de aspectos contractuales y la adquisición propiamente dicha, asegurando que
laorganización tenga todos los recursos de TI de forma oportunay económica.
Objetivo de Control COBlT 4.1 Áreas clave Información de soporte ITIL V3 ISO/IEC 27002:2005
AI5.1 Control de adquisiciones • Estándaresy procedimientos • SD3.7.2Adquisición de la solución • 6.1.5 Acuerdos de confidencialidad
alineadoscon el proceso de elegida
adquisiciones de la empresa
AI5.2 Gestión de contratos de • Inicio de contrato y gestión del • SD 4.2.5.9 Desarrollar contratosy • 6.1.5 Acuerdos de confidencialidad
proveedores ciclo de vida relaciones • 6.2.3 Considerar la seguridad en los
• SD 4.7.5.3Nuevosproveedoresy acuerdos con terceros
contratos • 10.8.2 Acuerdos de intercambio
• 12.5.5Outsourcing de desarrollo de
software
Al5.3 Selección de proveedores • Procesode selección justo y • SD 3.7.1 Evaluación de

formal soluciones alternativas
• Mejor ajuste viable de los • SD 4.7.5.3 Nuevos proveedores y

requerimientos contratos
• SD Apéndice I Ejemplo de una

declaración de requerimiento y/o
una invitación a ofertar
AI5.4 Adquisición de recursos • Protección de los intereses de la • SD 3.7.2 Adquisición de la

TI empresa en los contratos solución elegida.
• Derechosy obligaciones de todas
las partes
AI6 Gestionar cambios
Todos loscambiosrelacionadoscon la infraestructura y aplicacionesdentrodelentorno de producción, inclusive los mantenimientos de emergencia y

losparches, se gestionan formalmente yde modocontrolado. Los cambios(inclusive sobre procedimientos, procesosy parámetros de servicioy de
sistema) son registrados,evaluadosy autorizados antes de su implementación y comparadoscontra los resultadosluegode su implementación. Esto
asegura una mitigación de los riesgosque afectennegativamentela estabilidad o integridad del entornode producción.
AI6.1 Estándares y • Procedimientos formales de • SD 3.2 Diseño balanceado • 10.1.2 Gestión de cambios
procedimientos para cambios gestiónde cambios • SD 3.7 Actividades subsiguientes • 12.5.3 Restricciones en los cambios
• Enfoque estandarizado del diseño a tospaquetesde software
• ST 3.2 Políticas para la transición
del sen/Icio
• ST 3.2.1 Definiré implementar

una política formal para la
• ST 3.2.2 Implementar todos los
cambios a los servicios a través
de la transición del servicio
• ST 3.2.7 Establecer controles y
disciplinas eficaces
• ST 4.1 Planificación y soporte
para la transición
• ST 4.1.4 Políticas, principios y
conceptos básicos
• ST 4.2 Gestión de cambios
IT GOVERNANCE INSTITUTE. TODOS LOS DERECHOS RESERVADOS. 40


AI6Gestionarcambios (cont.)
ISO/IEC 27002:2005
AI6.1 Estándaresy • ST 4.2.6.1 Procedimiento de

procedimientos para cambios cambio normal
(cont.) • ST 5 Actividades comunes de
operación en la transición del
servicio
• ST 6 Organización parala
para apoyar la transición de
servicios
• ST 6.4 Relación de la transición
del servicio con otras etapas del
ciclo de vida
• SO 4.6.1 Gestión de cambios
AI6.2 Evaluación de impacto, • Evaluar impacto, categorizar, • ST 4.2.6.2 Crear y registrarla • 10.1.2 Gestión de cambios
priorización y autorización priorizar y autorizar solicitud de cambio
• 12.5.1 Procedimientos de control de
• ST 4.2,6.3 Revisar la solicitud de cambas
cambio
• Í2.5.3 Restricciones en los cambios
• ST 4.2.6.4 Valorar y evaluar el a tos paquetes de software
• ST 4.2.6.5 Autorizar el cambio
• ST 4.2.6.6 Coordinar la
implementación del cambio
• ST 4.2.6.8 Consejo consultivo de
cambios
• SO 4.3.5.1 Selección por menú
• SO 4.3.5.2 Aprobación financiera
• SO 4.3.5.3 Otras aprobaciones
AI6.3Cambiosde emergencia • Proceso para definir, escalar, • ST 4.2.6.9 Cambios de • 10.1.2 Gestión de cambios
probar, documentar,evaluar y emergencia
• 11.5.4 Uso de utilitariosdel sistema
autorizar cambios de emergencia
• 12.5.1 Procedimiento de control de
cambbs
• 12.5.3 Restricciones en los cambbs

a los paquetes de software
técnicas
AI6.4Seguimientoy reporte de • Seguimientoy reportede todos • ST 3.2.13 Asegurar la calidad de • 10.1.2 Gestión de cambios
estado de los cambios los cambios (rechazados, un servicio nuevo o modificado
aprobados, en curso y • ST 3.2.14 Mejora proactiva de la
concluidos) calidad durante la transición del
servicio
• ST 4.1.5.3 Planificar y coordinarla
• ST 4.1.6 Brindar soporte al
proceso de transición
AI6.5Cierre y documentación • Implementación de cambiosy • ST 4.2.6.4 Valorar y evaluar el • 10.1.2 Gestión de cambios
del cambio actualizaciones de la cambio
documentación
• ST 4.2.6.7 Revisar y cerrarel
registro del cambio
• ST 4.4.5.10 Revisar y cerrar la
• ST 4.4.5.9 Revisar y cerrar un
despliegue
• SO 4.3.5.5 Cierre

COBIT 4.1 - Dominio: Adquirir e Implementar(Al)(confj

AI7 Instalar yacreditar soluciones ycambios ^^Bí
Los nuevos sistemas necesitan entrar enoperación una vez que se hacompletado eldesarrollo, lo que requiere depruebas adecuadas enun entorno
dedicado con datos de prueba relevantes, la definición del despliegue einstrucciones de migración, la planificación de la liberación, el pase aproducción
yuna revisión luego de su implementación. Esto asegura que los sistemas en operación estén alineados con las expectativas yresultados acordados.
Objetivo de Control COBIT 4.1 Áreas clave Información de soporte fTIL V3 ISO/IEC 27002:2005
AI7.1 Entrenamiento • Entrenamiento de usuarios en • ST 4.4.5.2 Preparación para la • 8.2.2 Educación,entrenamiento y

operaciones de acuerdo conel construcción, pruebas y concientización en seguridad de
plan de implementación despliegue información
AI7.2 Plan de pniebas • Plande prueba con definición de • ST 4.5.5.1 Gestión de pniebas y • 12.5.1 Procedimientos de control de
rolesy responsabilidades validación cambbs
• ST 4.5.5.2 Planificar y diseñar • 12.5.2 Revisión técnica de las

pruebas aplicaciones luegode cambbs en el
• ST 4.5.5.3 Verificar el plan y el sistema operativo
diseño de pruebas
• ST 4.5.5.4 Prepararel entorno de
pruebas
AI7.3 Plan de implementación • Plan de implementaciónque • ST 3.2.9 Planificar la liberación y

incluye estrategias de retirada y el despliegue de paquetes
retroceso • ST 4.1.5.2 Preparación para la
• ST 4.4.5.2 Preparación para la
contrucción, pruebas y
despliegue
• ST 4.4.5.3 Construcción y
pruebas
• ST 4.4.5.4 Pruebas y pilotos del
servicio
• ST 4.4.5.5 Planificar y prepararel
desplieque
AI7.4 Ambientede prueba • Ambientes de prueba seguros, • ST 3.2.14 Mejora proactiva de la • 10.1.4 Separaciónde los entornos
basados en condiciones de calidad durante la transición del de desarrollo, pruebasy producción
operación servicio • 12.4.3 Control de acceso al código
• ST4.4.5.2 Preparación parala fuente de los programas
construcción, pruebas y despliegue • 12.5.2 Revisión técnica de las
• ST 4.4.5.3 Construcción y pruebas aplicaciones luegode cambbsen el
• ST 4.4.5.4 Pruebas y pilotosdel sistema operativo
servicio
AI7.5Conversión de datos y • Conversiónde datos y migración

sistemas de infraestructura
AI7.6 Pruebas de cambios • Pruebas independientes de los • ST 3.2.14 Mejora proactiva de la • 6.1.4 Proceso de autorización para
cambiosprevias a la migración calidad durante la transicióndel las instalacionesde procesamiento
servicio de información
• ST 4.4.5.4 Pruebas y pibtos del • 12.4.3 Control de acceso alcódigo

servicio fuente de los programas
• ST4.5.5.5 Ejecutar pruebas • 12.5.2 Revisión técnica de las
• ST 4.5.5.6 Evaluar criteriosde finde aplicaciones luegode cambbs en el

pruebas y reportar sistema operativo
AI7.7 Pruebas de aceptación • Los dueños de los procesos de • ST 4.4.5.4 Pruebas y pilotosdel • 10.3.2 Aceptacióndel sistema
final negocios y los interesados servicio • 12.5.2 Revisión técnba de las
evalúan los resultados de las • ST 4.5.5.5 Ejecutar pruebas aplicaciones luegode cambios en el
pruebas sistema operativo
• ST 4.5.5.6 Evaluar criterios de
saliday reportar • 12.5.4 Fuga de información
AI7.8Promoción a producción • Traspaso controlado a • ST 4.4.5.5 Planificar y preparar el

operaciones, distribución de despliegue
software, procesamiento paralelo • ST 4.4.5.6 Realizar transferencia,
despliegue y retiros
• SO 4.3.5.4 Cumplimiento
IT GOVERNANCE INSTITUTE. TODOS LOS DERECHOS RESERVADOS. 42

COBIT 4.1• Dominio: Adquirir e implementar (Al) (cont)

AI7Instalar y acreditarsoluciones y cambios (cont.)
AI7.9 Revisión posteriora la • Evaluarsi se lograron los • ST 3.2.13 Asegurar la calidad de

implementación objetivos y beneficios un servicio nuevo o modificado
• Plande acción para abordar los • ST 4.1.5.3Planear y coordinarla
problemas transición del servicio
• ST 4.4.5.10 Revisar y cerrarla
• ST 4.4.5.7Verificar despliegue
• ST 4.4.5.9 Revisar y cerrar un
despliegue
• SO 4.3.5.5 Cierre
COBIT 4.1- Dominio: Entregar y darsoporte (DS)
DS1 Definiry gestionar los niveles de servicio
Ladefinición documentada de acuerdos sobre losservicios de TI y losniveles de servicio facilita lacomunicación efectiva entre lagerencia de TI y los
clientes delnegocio respecto de los servicios requeridos. Este proceso tambiénincluye el monitoreo y el reporte periódico y oportuno a los interesados
sobreel cumplimiento de los niveles de servicio, facilitando el alineamiento entrelosservicios de TI y los requisitos relacionados conel negocio.
DS1 Marco de gestión de • Proceso formal de gestión de • SS 2.6 Funciones y procesos a • 10.2.1Entrega de servicbs
niveles de servicio nivelesde servicioy alineación través del ciclo de vida
continua con los requerimientos • SS 4.3 Desarrollar activos
del negocio estratégicos
• Facilitar el entendimiento común • SS 4.4 Preparar la ejecución
entre el clientey el proveedor • SS 7.2 Estrategia y diseño
• SS 7.5 Estrategia y mejora
• SD 4.2.5.1 Diseñar marcos ANS
• SD 4.2.5.9 Desarrollar contratos y
relaciones
DS1.2 Definiciones de los • Servicios definidos basados en • SS 4.2 Desarrollar las ofertas • 10.2.1 Entrega de servicios
servicios las característicasdel servicioy • SS 4.3 Desarrollar activos
los requerimientosdel negocio en estratégicos
un catálogode servicios • SS 5.4 Métodos de gestión del
• SS 5.5 Gestión de la demanda
• SS 7.2 Estrategia y diseño
• SS 7.4 Estrategia y operaciones
• SS 8.2 Interfaces del servicio
• SD 3 Principios de diseño de
servicio
• SD 3.1 Metas
• SD 3.2 Diseño balanceado
• SD 3.4 Identificar y documentar
los requisitos y drivers del
negocio
• SD 3.6 Aspectos de diseño
• SD 4.1 Gestión del catálogo de
servicios
¡3 2008 IT GOVERNANCE INSTITUTE. TODOS LOS DERECHOS RESERVADOS. 43

Alineando CobiT®4.1, ITIL®V3 e ISO/IEC 27002en beneficio de la empresa
COBIT 4.1 • Dominio: Entregary dar soporte (DS) (cont)

DS1 Definir y gestionar los nivelesde servicio (cont)
DS1.3 Acuerdos de niveles de • Definir los ANS basándose en los • SD 4.2.5.2 Requisitos acordados • 10.2.1 Entega de servicios
servicio (ANS) requerimientos delcliente y las y documentados de los nuevos
capacidades de TI servicios; definir los requisitos de
• Métricas,roles y los niveles de servicios
responsabilidades de losservicios • SD Apéndice FEjemplosde ANS
y Acuerdos de niveles de
operación
DS1.4 Acuerdos de niveles de • Definición de la entregatécnica • SD 4.2.5.5 Examinar y revisar los
operación para soportarlosANS acuerdos suscritos y el alcance
del servicio
• SD Apéndice F Ejemplosde ANS

y Acuerdos de niveles de
operación
DS1.5 Monitoreo y reportedel • Monitoreo continuo del • SS 5.3 Gestión del portafolio de • 10.2.2Monitoreo y revisión de los
cumplimiento de losniveles de desempeño del servicio servicios servicios de terceros
servicio • SD 4.2.5.3 Monitorear el • 10.2.3 Gestbn de cambbs a los
desempeño del servicio contra el serviebs de terceros
ANS
• SD 4.2.5.6 Generar reportes del
servicio
• SD 4.2.5.7 Ejecutarrevisiones del

servicio e instigar mejoras dentro
del servicio
• SD 4.2.5.10 Reclamos y
reconocimientos
• SD 4.3.8 Gestión de la
información
• CSI 4.2 Reportes del servicio
• CSI 4.3 Mediciones del servicio
DS1.6 Revisión de los acuerdos • Revisión periódica de losANS y • SD 4.2.5.4 Comparar, medir y
de niveles de servicio y de los mejorar los contratospara mayor mejorar la satisfacción del cliente
contratos efectividady vigencia • SD 4.2.5.5 Examinary revisarlos
acuerdos suscritos y el alcance
del servicio
• SD 4.2.5.8 Examinar y revisar los
ANS, alcance del servicio y los
acuerdos suscritos
DS2 Gestionar los servicios de terceros
La necesidad de asegurar que I)s servicios de terceros (proveedores, vendedores y asociados) cumplan con les requerimientosdel negocio requiere
un proceso de gestión de terce os. Este proceso se realiza definiend o claramente los roles, responsabilidades y expectativas en los acuerdos con
terceros asi como la revisióny n onitoreo de tales acuerdos en busca d e eficacia y cumplimiento. Lagestión eficaz de servicios de terceros minimiza el
riesgo de negocio asociadocon ;l incumplimiento de proveedores.
Objetivo de Control COBIT 4.1 Áreas clave Información de soporte ITILV3 ISO/IEC 27002:2005
DS2.1 Identificación de todas • Categorizar los servicios según el • SS 7.3 Estrategia y transiciones • 6.2.1 Identificacbn de riesgos
las relaciones con proveedores tipo de proveedor,significancia y • SD 4.7.5.1 Evaluación de nuevos relacionados con terceros
criticidad proveedores y contratos

COBIT 4.1 -Dominio: Entregary darsoporte (OS)(cont)

DS2 Gestionar los serviciosde terceros (cont)
DS2.2 Gestión de relaciones • Enlace respecto a temas del • SD4.2.5.9 Desarrollar contratos y • 6.2.3 Considerar la seguridad en los
con proveedores cliente y el proveedor relaciones acuerdos con terceros
• Confianza y transparencia • SD 4.7.5.2 Clasificación de • 10.2.3 Gestión de cambios a tos
proveedores y mantenimiento de servicios de terceros
la base de datos de proveedores • 15.1.4Protección de datosy
y contratos privacidad de la información
• SD4.7.5.4 Gestión y desempeño personal
de proveedores y contratos
• SD4.7.5.5 Renovación y/o
término de contratos
DS2.3Gestión de riesgos de • Identificación de riesgo, • SD 4.7.5.3 Nuevos proveedores y • 8.2.1Identificación de rbsgos

proveedores conformidad contractual y contratos relacbnados con terceros
viabilidad de proveedores • SD4.7.5.5 Renovación y/o • 6.2,3Considerar la seguridad en los
término de contratos acuerdos con terceros
• 8.1.2 Verificacbn
• 8.1.3 Términos y condiciones del
empleo
• 10.2.3 Gestión de cambios a los
servicios de terceros
• 10.8.2 Acuerdos de intercambio
DS2.4 Monitoreo del • Satisfacerlos requerimientosdel • SD4.7.5.4 Gestión y desempeño • 6.2.3 Considerar la seguridad en los
desempeño de proveedores negocio,adhesión a los contratos de proveedores y contratos acuerdos con terceros
y desempeño competitivo • 10.2.1 En&ega de servicios
• 10.2.2Monitoreo y revisiónde los
prueba del sistema
• 12.5.5Outsourcing de desarrollo de
software
DS3 Gestionar el desempeño yla capacidad I

La necesidad de gestionar el desempeño y la capacidad de los recursos de TI requiere de un proceso para su revisión periódica, lo que incluye
pronosticar necesidades futuras basándose en requerimientos de carga de trabajo, almacenamiento y contingencia. Esteproceso provee la garantía de
que los recursos de información que soportan los requerimientos del negocio estén disponiblesen formacontinua.
ISO/IEC 27002:2005
DS3.1 Planeamiento del • Asegurarque las capacidades y • SD 4.3.5.1 Gestión de la • 10.3.1Gestiónde la capacidad
desempeño y la capacidad losdesempeños cumplen con los capacidad para el negocio
ANS • SD Apéndice J Contenido típico
de un plan de capacidad
• CSI 5.6.2 Gestión de la capacidad
DS3.2Capacidad y desempeño • Evaluación de los desempeños y • SD 4.3.5.2 Gestión de la • 10.3.1 Gestión de lacapacidad
actual capacidades actuales capacidad del servicio
• SD 4.3.5.3 Gestión de la
capacidad de los componentes
• SO 4.1.5.2 Notificación de
eventos
• SO 4.1.5.3 Detección de eventos

• SO 5.4 Gestión y soporte de
servidores

COBIT 4.1 • Dominio: Entregar y darsoporte(DS) (cont)

DS3Gestionar el desempeño y lacapacidad (cont)
I Informaciónde soporte ITIL V3
Objetivo de Control COBIT 4.1 Áreas clave ISO/IEC 27002:2005
DS3.3 Capacidad y desempeño • Pronóstico de requerimientos de • SD 4.3.5.1 Gestión de la • 10.3.1Gestiónde la capacidad

futura recursos capacidad para el negocio
• Tendencias de las cargas de • SD 4.3.5.2 Gestión de la
trabajo capacidad del servicio
• SD 4.3.5.3 Gestión de la
capacidad de los componentes
• SD 4.3.5.7 Modelamiento y
tendencias
Información
DS3.4Disponibilidad de • Provisiónde recursos, • SD 4.3.5.3 Gestión de la

recursos de TI contingencias, tolerancia a fallas capacidad de los componentes
y priorización de recursos • SD 4.3.5.4Actividades de soporte
de la gestión de capacidad
• SD 4.4 Gestión de la
disponibilidad
• SD 4.4.5.1 Actividades reactivas
de la gestión de la disponibilidad
• SD 4.4.5.2 Actividades proactívas
• SO 4.6.5 Gestión de la
disponibilidad (actívidades
operativas)
• CSI 5.6.1 Gestión de la
disponibilidad
DS3.5Monitoreo y reporte • Mantenimiento y afinamientode • SD 4.3.5.4 Actividades de soporte

performance y capacidad; reporte de la gestión de la capacidad
de la disponibilidad de servicio al • SD 4.3.5.5Gestión y control de
negocio umbrales
• SD 4.3.5.6 Gestión de la demanda
• SD 4.4.5.1 Actividades reactivas
DS4 Garantizar la continuidad del servicio
La necesidad de proveer serv cios continuos de TI requiere del desarrollo, mantenimiento y pruebas de planes de continuidad de TI, utilizar
almacenamiento de respaldos fi era de las instalaciones y proporción¡r entrenamiento periódico sobre el plan de continuidad. Un proceso eficaz de
serviciocontinuo minimiza la pro habilidad yelimpacto de unainterrupción de un servicio critico de TI en funciones y procesos claves del negocio.
DS4.1 Marcode trabajo de • Enfoque consistente y corporativo • SD 4.5 Gestión de continuidad de • 6.1.6 Relación con las
continuidad de TI a la gestiónde continuidad servicios de TI autoridades
• SD 4.5.5.1 Etapa 1 - Inicio • 6.1.7 Relación con grupos de

• CSI 5.6.3 Gestión de continuidad de interés especial
servicios de TI • 14.1.1 Incluirla seguridad de
información en el proceso de
negocio
• 14.1.2 Continuidad del negocio y
• 14.1.4Marcode planificación de
DS4.2 Planes de continuidad de • Planes individuales de • SD 4.5.5.2Etapa 2 - Requisitos y • 6.1.6 Relación con las autoridades
TI continuidad estrategia • 6.1.7 Relación con grupos de
• Análisis de impacto en el negocio • SD 4.5.5.3 Etapa 3- interés especial
• Resiliencia, procesamiento Implementación • 14.1.3Desarrollareimplementar
alternativo y recuperación • SD Apéndice KContenido típico planesde continuidad que incluyan
de un plande recuperación la segurbadde la información

COBIT4.1 • Dominio: Entregar y dar soporte (DS)(cont.)
DS4 Garantizarla continuidad del servicio (cont)

DS4.3 Recursos críticos de TI • Centrarse en la infraestructura • SD 4.4.5.2 Actividades proactívas • 14.1.1 Incluir la seguridad de
crítica, resiliencia y priorización de la gestión de la disponibilidad información en el proceso de
• Respuesta para diferentes • SD 4.5.5.4 Etapa 4-Operación gestión de continuidad delnegocio
periodos de tiempo continua • 14.1.2 Continuidad del negocio y
DS4.4 Mantenimientodel plan • Control de cambios para reflejar • SD 4.5.5.4 Etapa 4-Operación • 14.1.5 Pruebas, mantenimiento y
de continuidad de TI los requerimientoscambiantesdel continua revaluación de los planes de
negocio continuidad del negocio
DS4.5 Pruebas del plan de • Pruebas regulares • SD 4.5.5.3 Etapa 3- • 14.1.5 Pruebas, mantenimiento y
continuidad de TI • Implementación del plande Implementación revaluación de los planes de
acción • SD 4.5.5.4 Etapa 4-Operación continuidad del negocio
continua
DS4.6 Entrenamiento en el plan • Entrenamientoregularpara todas • SD 4.5.5.3 Etapa 3- • 14.1.5 Pruebas, mantenimiento y
de continuidad de TI las partes involucradas Implementación revaluación de los planes de
• SD 4.5.5.4 Etapa 4 - Operación continuidad del negocio
continua
DS4.7 Distribución del plande • Distribución segura y adecuada a • SD 4.5.5.3 Etapa 3- • 14.1.5 Pruebas, mantenimiento y
continuidad de TI todas las partes autorizadas Implementación revaluación de los planes de
• SD 4.5.5.4 Etapa 4 -Operación continuidad del negocio
continua
DS4.8 Recuperación y • Planificación del períodocuando • SD 4.4.5.2 Actividades proactívas • 14.1.1 Incluir la seguridad de
reanudación de los servicios de TIse esté recuperando y de la gestión de la disponibilidad información en el proceso de
TI reanudando servicios • SD 4.5.5.4 Etapa 4-Operación gestión de continuidad delnegocio
• Entendimiento del negocioy continua • 14.1.3 Mantener o restaurar
soporte a la inversión operaciones paraasegurarla
disponibilidad de lainformación
DS4.9 Almacenamiento externo • Almacenamiento externo de los • SD 4.5.5.2 Etapa 2 - Requisitos y • 10.5.1 Respaldode la informacbn
de respaldos medios críticos; documentacióny estrategia
recursos necesarios, en • SO 5.2.3 Respaldo y restauración
colaboración con los dueños de
los procesos de negocio
DS4.10 Revisión post • Evaluación regular de los planes • SD 4.5.5.3 Etapa3- • 14.1.5 Pruebas, mantenimiento y
reanudación Implementación revaluación de los planes de
• SD 4.5.5.4 Etapa4-Operación continuidad del negocb
continua
DS5 Garantizar la seguridad de loésistemas
La necesidad de mantener la integridad de la información y proteger los activos de TI precisa de un proceso de gestión de seguridad, lo que incluye
establecer y mantener los roles, las responsabilidades, políticas, estándares y procedimientos de seguridad de TI. Además, realizar monitoreos de
seguridad y pruebas periódicas e implementar acciones correctivas para identificar debilidades de seguridad o incidentes. Una gestión efectiva de
seguridad protege todos los activos de TI para minimizar el impacto de vulnerabilidades de seguridade incidentesen el negocio.
DS5.1 Gestión de la seguridad • Ubicarla gestión de seguridada • SD 4.6 Gestión de seguridad de la • 6.1.1 Compromiso de la gerencia
de TI alto nivel para cumplircon las información con la seguridad de la
necesidades del negocio • SO 5.13 Gestiónde seguridad de la información
información y la operación del • 6.1.2Coordinación parala
servicio seguridad de la información
• 6.2.3 Considerar la seguridad en
los acuerdos con terceros
información

Alineando CobiT®4.1, ITIL«V3 e ISO/IEC 27002 en beneficio de la empresa
COBIT4.1 - Dominio: Entregary dar soporte (DS) (cont.)
DS5 Garantizarla seguridad de los sistemas (cont.\

Objetivo de Control COBIT 4.1 Áreas clave Información de soporte [TIL V3 ISO/IEC 27002:2005
DS5.2 Plan de Seguridad de TI • Traducción de requerimientos de • SD 4.6.4 Políticas,principios y • 5.1.1 Documento de la politicade
negocio, riesgo y cumplimientoen conceptos básicos seguridad de la información
un plan de seguridad • SD 4.6.5.1 Controles de seguridad • 5.1.2Revisión de la política de
(cobertura a alto nivel, sin detalle) seguridad de la información
• 6.1.2 Coordinación para la
• 6.1.5 Acuerdos de confidencialidad
información
• 11.1.1 Politicas de control de
acceso
• 11.7.1 Computación móvil y las

comunicaciones
DS5.3 Gestión de identidad • Identificación de todos los • SO 4.5 Gestión de acceso • 5.1.1 Documento de la polítícade
usuarios(internos,extemos y seguridad de la información
temporales) y su actividad • 5.1.2 Revisión de la politica de
• 6.1.2 Coordinación para la
• 6.1.5 Acuerdos de confidencialidad
información
acceso
• 11.7.1Computación móvil y las

comunicaciones
DS5.4 Gestión de cuentas de • Gestión del ciclo de vida de las • S04.5Gesí/óndeacceso • 6.1.5 Acuerdos de confidencialidad
usuario cuentas de usuario y privilegios • SO 4.5.5.1 Peticiones de acceso • 6.2.1 Identificación de riesgos
de acceso relacionados con terceros
• SO 4.5.5.2 Verificación
• 6.2.2 Considerar la seguridad al
• SO 4.5.5.3 Habilitar privilegios tratar con los clientes
• SO 4.5.5.4 Monitorear el estado de • 8.1.1 Roles y responsabilidades
la identidad
• 8.3.1 Responsabilidades en el cese
• SO 4.5.5.5 Registro y seguimiento • 8.3.3 Eliminación de privilegios de
de accesos
acceso
• SO 4.5.5.6 Eliminar o restringir • 10.1.3Segregación defunciones
privilegios • 11.1.1 Politicas de control de
acceso
• 11.2.1 Registro de usuarios

• 11.2.2Gestión de privilegios
• 11.2.4 Revisión de derechos de
acceso de usuarios
• 11.3.1 Uso de contraseñas
• 11.5.1 Procedimientos seguros de
inicio de sesión
• 11.5.3 Sistema de gestión de
contraseñas
• 11.6.1 Restricción de acceso a la
información

COBIT 4.1 • Dominio:Entregar y dar soporte (DS)(cont.)
DS5Garantizar la seguridad de los sistemas (cont.)

DS5.5Pruebas,vigilancia y • Pruebas proactívasde la • SO 4.5.5.6Eliminar o restringir • 6.1.8 Revisión independiente de

monitoreo de la seguridad implementación de seguridad privilegios la seguridad de la información
• Acreditación oportuna • SO 5.13 Gestión de seguridad de la • 10.10.2 Monitoreo del uso del
• Reporte oportunode eventos informacbn y la operación del sistema
servicio
inusuales • 10.10.3 Protección de logs
• 10.10.4 Logs de administrador y
de operador
técnicas
• 13.1.2 Reporte de debilidades de

seguridad
• 15.2.2 Verificación de
cumplimiento técnico
• 15.3.1 Controles de auditoría de
DS5.6 Definición de incidente • Definición y clasificación de las • SD 4.6.5.1 Controles de seguridad • 8.2.3 Procesos disciplinarios
de seguridad características de los incidentes (cobertura de alto nivel, sin • 13.1.1 Reporte de eventos de
de seguridad detalle) seguridad de información
• SD 4.6.5.2 Gestión de brechas de • 13.1.2 Reporte de debilidades de
seguridad e incidentes seguridad
• 13.2.1 Responsabilidades y
procedimientos
DS5.7 Protección de la • Resistenciaa la manipulación • SO 5.4 Gestión y soporte de • 6.1.4 Proceso de autorización
tecnologíade seguridad servidores para las instalaciones de
procesamiento de información
• 9.1.6 Áreas de acceso público,
despacho y recepción
• 9.2.1 Ubicación y protección de
equipos
• 9.2.3 Seguridad del cableado
• 10.6.2 Seguridad de los servicios
de red
• 10.7.4 Seguridad de la
• 10.10.1 Logs de auditoria
• 10.10.3 Protección de logs
• 10.10.4 Logs de administrador y
de operador
• 10.10.5 Logs de fallas
• 10.10.6 Sincronización de relojes
• 11.3.2 Equipos desatendidos de
usuario
• 11.3.3 Políticas de escritorios y
pantallas limpias
• 11.4.3 Identificación de equipos
en redes
• 11.4.4 Protección de puertos de
configuración y diagnóstico
remoto

COBIT4.1 • Dominio: Entregar y dar soporte (DS)(cont)
DS5 Garantizar !a segundad de los sistemas (cont.)

DS5.7 Protección de la • 11.5.1 Procedimientos seguros de

tecnología de seguridad (cont.) inicio de sesión
• 11.5.4 Uso de utilitarios del sistema
• 11.5.5 Período de inactividad de
sesión
• 11.5.6 Limitación del tiempo de
conexión
sensitivos
• 11.7.1Computaciónmóvil y las
comunicaciones
• 11.7.2 Teletrabajo
• 12.4.1 Control del software de
operaciones
técnicas
• 13.1.2 Reporte de debilidades de
seguridad
• 15.2.2 Verificación de
cumplimiento técnico
• 15.3.2 Protección de las
herramientas de auditoría de
sistemas
DS5.8 Gestión de llaves • Gestión del ciclo de vida de llaves • 10.8.4 Mensajería electrónica
criptográficas criptográficas • 12.2.3 Integridadde mensajes
• 12.3.1 Polítíca de uso de controles
criptográficos
• 12.3.2 Gestión de llaves
• 15.1.6 Regulación de controles
criptográficos
DS5.9 Prevención, deteccióny • Parches de actualización, control • 10.4.1 Controles contra código
corrección de software de virus y protecciónde malware malicioso
malicioso • 10.4.2 Controles contra código
moil
DS5.10 Seguridad de la red • Controlespara autorizar acceso • SO 5.5 Gestión de redes • 6.2.1 Identificación de riesgos
y flujosde información desde y relacionados con terceros
hacia las redes • 10.6.1 Controles de red
• 10.6.2 Seguridad de los servicios
de red
• 11.4.1 Politica de uso de los
servicios de red
• 11.4.2 Autenticación de usuarios
para conexiones externas
• 11.4.3 Identificaciónde equipos en
redes
• 11.4.4 Protección de puertos de
remoto
• 11.4.5 Segregación en redes
• 11.4.6 Control de conexiones en la
red
• 11.4.7 Control de enrutamlento en
la red
sensitivos

1 COBIT 4.1 -Dominio: Entregar ydar soporte (DS) (cont)

1 DS5 Garantizar la seguridad de los sistemas (cont)
Objetivo de Control COBIT 4.1 Áreas clave Información de soporte
Información de soporte ITIL V3
ISO/IEC 27002:2005
DS5.11 Intercambio de datos • Ruta confiable y controles de • 6.2.1 Identificación de riesgos
sensitivos autenticación, constancia de relacionados con terceros
recepción y no repudio • 10.6.1 Controles de red
• 10.6.2Seguridad de los servicios
de red
• 11.4.1 Política de uso de los
servicios de red
• 11.4.2 Autenticación de usuarios
para conexiones externas
• 11.4.3 Identificación de equipos en
redes
• 11.4.4 Protecciónde puertos de
remoto
• 11.4.5Segregación en redes
• 11.4.6 Control de conexiones en la
red
• 11.4.7 Control de enrutamiento en
la red
sensitivos
I DS6 Identificar yasignar costos 1

La necesidad de un sistema justo yequitativo de asignación de costos de TI al negocio requiere una medición precisa de los costos de TI yun acuerdo
con los usuarios finales. Este proceso incluye la utilización de un sistema para definir, asignar yreportar los costos de TI a los usuarios de los servicios
Un sistema justo de asignación facilita latoma de decisiones másinformadas sobre elusode servicios de TI.

ISO/IEC 27002:2005
DS6.1 Definición de servicios • Identificación de todos los costos • SS 5.1 Gestión financiera
vinculados con los servicios de TI
• SD4.1Gestión del catálogo de
y a los procesos asociados servicios
DS6.2 Contabilización de TI • Asignación de costos según el • SS 5.1 Gestión financiera

modelos de costos de la empresa
DS6.3 Modelamiento de costos • Modelos de costeo de TI basados • SS 5.1 Gestión financiera

y cargos en definiciones de servicioy • SS 7.2 Estrategiay diseño
procesos de devolución
DS6.4 Mantenimiento del • Revisión regular y comparación • SS 5.1 Gestión financiera
modelo de costos delmodelo de costo/recarga
D7 Educar yentrenar alos usuarios 1

La educación efectiva detodos los usuarios deTI, incluidos a los que trabajan en TI, requiere identificar las neajsidades de formación de cada grupo
deusuarios, ladefinición y ejecución de una estrategia para una formación eficaz yla medición de los resultad ds. Un programa de formación eficaz
aumenta el uso eficaz de la tecnología reduciendo los errores de usuario, aumenlando la productividad e ¡n crementando el cumplimiento de los
controles clave, tales comolas medidas de seguridad del usuario.

ISO/IEC 27002:2005
DS7.1 Identificación de • Programa de formación para cada • SO5.13Gestión de seguridad de ia • 8.2.2 Educación,entrenamiento y
necesidades de educación y grupo de empleados información y la operación del concientización en seguridad de
formación servicio información
• SO5.14 Mejora de las actividades
operativas
DS7.2 Brindar educación y • Identificar y nombrar instructores • 8.2.2 Educación, entrenamiento y

entrenamiento
• Cronograma de entrenamiento concientización en seguridadde
información
DS7.3 Evaluación del • Evaluar la entrega del
entrenamiento recibido entrenamiento y mejoras futuras
e 2008 IT GOVERNANCE INSTITUTE. TODOS LOS DERECHOS RESERVADOS. 51

COBIT 4.1 • Dominio: Entregar y darsoporte(DS) (cont)

DS8 Gestionarla mesa de serviciosy ios incidentes
La respuesta oportuna yeficaz alas consultas ylos problemas de los usuarios de TI requiere de una mesa de servicios yun proceso de gestión de
incidentes bien diseñados ybien ejecutados. La mesa de servicios registra yescala incidentes, analiza tendencias yla causa raíz ybrinda soluciones.
Los beneficios en el negocio incluyen el aumento de la productividad através de la solución rápida de los requerimientos del usuano. Ademas, la
empresa puede abordar las causas básicas (como la formación deficiente de usuarios) através de una presentación eficaz de n
Objetivo de Control COBIT 4.1 Áreas clave información de soporte ITIL V3 ISO/IEC 27002:2005
Interface de usuario • SO 4.1 Gestión de eventos • 14.1.4 Marco deplaneamiento de

DS8.1 Mesa de servicios
Gestión de llamadas • SO 4.2 Gestión de incidentes
Clasificación y priorización de • SO 6.2 Mesa de servicios
incidentesbasadas en servicios y
ANS
DS8.2 Registro de consultas de Registro y seguimiento de todas • SO 4.1.5.3 Detección de eventos 13.1.1 Reporte de eventosde
las llamadas, incidentes, • SO 4.1.5.4 Filtrado de eventos
seguridad de información
clientes
solicitudesde servicio y • SO 4.1.5.5Significado de los 13.1.2 Se pueden agregar bs
necesidades de información reportes dedebilidades de
eventos
seguridad ya quese relacionan con
• SO 4.1.5.6 Correlación de eventos la identificación de eventos
• SO 4.1.5.7 Trigger 13.2.1 Responsabilidades y
• SO 4.2.5.1 Identificación de procedimientos
incidentes 13.2.3 Recolección de evidencia
• SO 4.2.5.2 Log de incidentes
• SO 4.2.5.3 Clasificación de
incidentes
• SO 4.2.5.4 Priorización de
incidentes
• SO 4.2.5.5Diagnósticoinicial
• SO 4.3.5.1 Selección por menú
DS8.3Escalamiento de Escalamiento de incidentes de SO 4.1.5.8 Selección de 13.1.2 Se pueden agregar los

incidentes acuerdo a los límites en los ANS respuestas reportes de debilidades de
seguridad ya quese relacionan con
SO 4.2.5.6 Escalamiento de
la identificación de eventos
incidentes
13.2.3 Recolección de evidencia
SO 4.2.5.7Investigación y
diagnóstico • 14.1.1 Incluirla seguridad de
>SO 4.2.5.8 Resolución y información en el proceso de
recuperación
gestión decontinuidad delnegocio
• 14.1.4 Marco de planificación de
i SO 5.9 Soporte de estaciones de
trabajo
DS8.4 Cierre de incidentes Registro de los incidentes SO 4.1.5.10 Cerrar eventos 13.2.2 Aprendiendo de los
resueltosy no resueltos SO 4.2.5.9 Cierre de incidentes
incidentes de seguridad de
información
13.2.3 Recobcción de evidencia
DS8.5 Reportes y análisisde Reportes de desempeño de • SO 4.1.5.9 Revisar acciones 13.2.2 Aprendiendo de los
servicio y tendenciasde los incidentes de seguridad de
tendencias • CSI 4.3 Mediciones del servicio
problemas recunentes información
(aproximada)
DS9Gestionar la configuración
Asequrar la integridad de las configuraciones de hardware ysoftware requiere el establecimiento ymantenimiento de un repositorio exacto ycompleto
de configuraciones Este proceso incluye la recolección de información de configuración inicial, el establecimiento de lineas de base, la verificación y
auditoría de la información de configuración yla actualización del repositorio de configuración, según sea necesario. Una gestión de la configuración
eficaz facilita una mayor disponibilidad del sistema, minimiza los problemas de producción yresuelve los problemas mas rápidamente.
DS9.1 Repositorio y línea base Registrar ítems de configuración, • SS 8.2 Interfaces del servicio 7.2.2 Etiquetado y manejo de la
monitorear y registrar todos los información
de configuración • ST 4.1.5.2Preparación para la
activos, implementar una línea de transición del servicio 12.4.1 Control del software de
base paracada sistemay servicio • ST 4.3.5.2 Gestióny planificación operaciones
comopunto de control de • 12.4.2 Protección de los datos de
recuperación de cambios prueba de sistema

COBIT 4.1 - Dominio: Entregar y dar soporte (DS) (cont)

DS9 Gestionar laconfiguración (cont.)

ISO/IEC 27002:2005
DS9.2 Identjficxíón y • Procedimientos de configuración • ST 4.1.5.2 Preparación para la • 7.1.1 Inventario de activos
mantenimiento de elementos de que soporten el registrode todos transición del servicio
la configuración • 7.1.2 Propiedad de los activos
los cambios en la base de datos i ST 4.3.5.3 Identificación de la
de configuración • 7.2.2Etiquetado y manejo dela
configuración
información
i ST 4.3.5.4 Control de la
• 10.7.4Seguridad de la
configuración
ST 4.3.5.5Contabilización y
• 11.4.3Identificación deequipos en
registro de estados
redes

prueba de sistema
• 72.5.3 Restricciones en los cambbs
a los paquetes de software
• 12.6.1 Controlde vulnerabilidades
técnicas
• 75.7.5 Prevención del uso indebido
de información
DS9.3 Revisión de integridad Revisión periódicade la ST 4.3.5.6 Auditoría y verificación • 7.7.7 Inventario de activos
de la configuración integridadde los datos de
SO 5.4 Gestión y soportede • 10.7.4 Seguridad de la
configuración
servidores documentación de sistemas
Control de software licenciado y SO 7 Consideraciones de
software no autorizado
tecnología (especialmente para aplicacionesluego de cambios en el
licénciamiento, mencionado en sistema operativo
SO 7.1.4)
• 75.7.5 Prevención del uso indebido
de información
DS10Gestionarproblemas
La gestión eficaz de problemas requiere de la identificación yclasificación de los problemas, el análisis de la causa raiz yla solución de problemas
También incluye la formulación de recomendaciones para la mejora, mantenimiento de registros de problemas yrevisión de la situación de las acciones
correctivas. Un proceso de gestión eficaz de problemas maxímiza la disponibilidad del sistema, mejora los niveles de servicio reduce costos ymeiora la
comodidad y la satisfacción del cliente.
Objetivo de Control COBIT 4.1 Áreas clave

ISO/IEC 27002:2005
DS10.1 Identificación y Clasificación de problemas; ' SO 4.4.5.1 Detección de 13.2.2Aprendiendo de los
clasificación de problemas asignación al personal de soporte problemas incidentesde seguridad de
SO 4.4.5.3 Clasificación de información
problemas
SO 4.4.5.4 Priorización de
problemas
SO Apéndice C Kepner y Tregoe
SO Apéndice D Diagramas de
Ishikawa
DS10.2 Seguimiento y Pistasde auditoria, seguimiento y 1 SO 4.4.5.2 Log de problemas 13.2.2Aprendiendo de los
resoluciónde problemas análisis de causa raiz de todos
• SO 4.4.5.5 Investigación y incidentes de seguridad de
los problemas información
diagnóstico de problemas
Inicio de solucionespara abordar ' SO 4.4.5.6 Soluciones
las causas de origen
provisionales
SO 4.4.5.7 Registro de errores
conocidos
SO 4.4.5.8 Resolución de
problemas
DS10.3 Cierrede problemas Procedimientos de cierre después SO 4.4.5.9 Cierrede problemas
de la eliminación del error o
SO 4.4.5.10 Revisión de
enfoques alternos problemas mayores
DS10.4 Integración de la Integración para habilitaruna
gestiónde configuración, gestión efectiva de problemas
incidentes y problemas

Alineando CobiT®4.1, ITIL®V3 e ISO/IEC 27002 en beneficio dela empresa
COBIT 4.1 - Dominio: Entregar y darsoporte (DS) (cont.)

DS11 Gestionar datos
La gestión eficaz de datos precisa de la identificación de las necesidades de datos. El proceso de gestión de datos también incluye el establecimiento
de procedimientos eficaces para la gestión de la biblioteca de medios, backup, restauración yuna adecuada eliminación de los medios. La gestión de
datos ayuda agarantizar la calidad, oportunidad ydisponibilidad de los datos del negocio.
• SD 5.2 Gesfiónde los datosy la -10.8.7 Politicas y procedimientos

DS11.1 Requerimientos del • Diseño de formulario de entrada
informacbn para elintercambio deinformación
negocio para lagestión de datos • Minimizandoerrores u omisiones
• Procedimientosde manejo de
Preparación de documentos SD 5.2 Gestión de los datos y la 10.5.1 Respaldo de lainformación

DS11.2Acuerdos para el
almacenamiento y la información 10.7.1 Gestión de mediosremovibles
Segregación de funciones
conservación SO 5.6 Almacenamiento y archivo 75.7.3 Protecciónde registros
organizacionales
• 10.7.1 Gestión de medios

DS11.3Sistema de gestión de Integridad y exactitud
removibles
librería de medios
110.7.2 Eliminación de medios
112.4.3 Control de acceso al código
9.2.6 Eliminación o reutilización

DS11.4 Eliminación Detección, reporte y corrección
segura de equipos
10.7.1 Gestión de medios
removibles
10.7.2 Eliminación de medios
DS11.5 Respaldo y restauración Requisitos legales SO 5.2.3 Respaldo y restauración • 10.5.1 Respaldode la información
Mecanismos de recuperación y
reconstrucción
Ingreso de datos porpersonal SD 5.2 Gesfión de bs datos y la • 10.5.1 Respaldode lainformación

DS11.6 Requisitos de seguridad
parala gestión de datos autorizado información • 10.7.3 Procedimientos para el
manejode la información
• 10.8.3 Medios de almacenamiento
fisico en tránsito
• 10.8.4 Mensajería electrónica
• 12.4.2 Protección de datos de
prueba de sistema
• 12.4.3 Control de acceso al código
DS12Gestionarel ambiente físico
La protección de equipos informáticos ydel personal requiere de instalaciones físicas bien diseñadas ybien administradas. El proceso de gestionar el
ambiente fisico incluye definir las condiciones físicas del sitio, seleccionar las instalaciones adecuadas, diseñar procesos eficaces para el monitoreo de
factores ambientales ygestionar el acceso fisico. La gestión eficaz del ambiente fisico reduce las interrupciones del negocio por danos alos equipos
informáticos y al personal.
• 9.1.1 Perímetro de seguridad fisica

DS12.1 Selección y diseño del Selección de sitio basada en
centro de datos estrategiatecnológica, riesgoy • 9.1.3 Seguridad de oficinas, salase
requerimientoslegales y instalaciones
regulatorios • 9.1.6Áreas de acceso público,
SOApéndice E Descripción • 9.1.1 Perímetro de seguridad fisica
DS12.2 Medidas de seguridad • Aseguramiento de la ubicación,
incluyendo protección para detallada de la gestiónde las • 9.1.2 Controles físicos de ingreso
fisica
acceso no autorizado, riesgos instalaciones • 9.1.3 Seguridad de oficinas, salase
naturales e interrupciones de instalaciones
energía • 9.2.5 Seguridad de los equipos
• 9.2.7 Eliminar la propiedad
54
© 2008 IT GOVERNANCE INSTITUTE. TODOS LOS DERECHOS RESERVADOS.
COBIT 4.1 - Dominio: Entregar y darsoporte (DS) (cont)

DS12 Gestionar el ambientefisico (cont)
Objetivo de Control COBIT 4.1 Información de soporte

Áreas clave Información de soporte ITIL V3
ISO/IEC 27002:2005
DS12.3 Acceso físico Acceso controlado a los locales SOApéndice EDescripción • 6.2.1 Identificación de riesgos
detallada de lagestión de las relacionados con terceros
instalacbnes • 9.1.2 Controles físicos de ingreso
SOApéndice F Controles de acceso • 9.1.5Trabajo en áreasseguras
físbo • 9.1.6 Áreas deacceso público,
• 9.2.5Seguridad de los equipos
DS12.4 Protección contra Monitoreo y control de factores SOApéndiceE Descripción • 9.1.4 Protección contra amenazas
factores ambientales ambientales detallada de la gestión de las extemas y ambientales
instalaciones • 9.2.1Ubicación y protecciónde
equipos
• 9.2.2 Servicios de soporte
• 9.2.3 Seguridad del cableado
DS12.5 Gestiónde instalaciones • Gestión de instalaciones de SO 5.12 Gestión det centro de • 9.2.2Servicios desoporte
físicas conformidad a los requerimientos datos e instalaciones
de negocio, legales y regulatorios
•9.2.4Mantenimiento de equipos
DS13 Gestionarlas operaciones

El procesamiento completo ypreciso de los datos requiere una gestión eficaz de los procedimientos de procesamiento de datos ymantenimiento
cuidadoso del hardware. Este proceso incluye la definición de politicas operativas yprocedimientos para una gestión eficaz del procesamiento
planificado, protegiendo la información sensitiva, monitoreando el desempeño de la infraestructura yasegurando el mantenimiento preventivo del
hardware. La gestión eficaz de operaciones ayuda amantener la integridad de los datos yreduce los retrasos en el negocio ylos costos operativos
Objetivo de Control COBIT4.1 Áreas clave Información de soporte
Información de soporte fTIL V3
ISO/IEC27002:2005
DS13.1 Procedimientos e Procedimientos y familiaridad con SO 3.7 Documentación • 10.1.1 Procedimientos operativos
instrucciones de operación tareas operativas
SO 5 Actívidades comunes de la documentados
operación del servicio ' 10.7.4Seguridad de la
SO Apéndice B Comunicaciones documentación de sistemas
en la operación de servicio
DS13.2 Programación de tareas Organización de programación de • SD 4,3.5.5Gestión y control de
tareas para maximizar el umbrales
rendimiento ylautilización para • SD 4.3.5.6 Gestión de la demanda
cumplirlos ANS
• SD 5.2.2 Programación de tareas
• SO 5.3 Gestión de mainframe
DS13.3 Monitoreo de la Infraestructura de monitoreo para • SD4.3.5.4 Actividades de soporte

infraestructura de TI eventos críticos de la gestión de capacidad
Registro de logspara permitir • SD 4.3.5.5Gestión y control de
revisión umbrales
• SO 4.1 Gestión de eventos
• SO 4.1.5.1 Ocurrencia de eventos
• SO 4.1.5.9 Revisar acciones
• SO 5.2.1 Gestión de consola /
Puente de operaciones
DS13.4 Documentos sensitivos Salvaguardas físicas paraactivos • SO 5.2.4 Datos electrónicose

y dispositivos de salida sensitivas e instrumentos impresos
negociables
DS13.5 Mantenimiento Mantenimiento para reducir el SO 5.3 Gestión de mainframe 9.2.4 Mantenimiento de equipos
preventivo del hardware impacto de fallas
SO 5.4 Gestión y soporte de
servidores

CobiT 4.1 - Dominio: Monitorear y evaluar
ME1 Monitorear y evaluar el desempeño deTI

agestión eficaz del desempeño de TI requiere un proceso de monitoreo que incluye la definición de indicadores relevantes de desempeño, el reporte
oportuno ysistemático del desempeño, yla acción inmediata sobre las desviaciones. Es necesario el monitoreo para asegurarse que las cosas se
hacen bien yestán alineadas con el conjunto de direcciones ypoliticas.
Objetivo de Control COBIT 4.1 Áreas clave Información de soporte ITtL V3 ISO/IEC 27002:2005
ME1.1 Enfoquedel monitoreo Marcode monitoreo general > SD 8.5 Mediciones del diseño de
servicio
Integración con el enfoque
corporativo • ST 4.5.5.1 Gestión de pruebas y
validación
• SO 3.5 Operación saludable
• CSI 4.1 El proceso de mejora de
los siete pasos
• CSI 4.1a Paso Uno-Definir lo
que se debe medir
• CSI 4.1b Paso Dos-Definir lo
que se puede medir
• CSI 4.1.1 Integración con el resto
de etapas del ciclode vida y los
procesosde gestión deservicio
• CSI 4.1.2 Métricas y mediciones
• CSI 4.4 Retomo sobre la
inversión debido al CSI
• CSI 4.5 Aspectos del negocio en
CSI
• CSI 5.1 Métodos y técnicas
• CSI 5.2 Evaluaciones
ME1.2 Definición y recolección Conjunto balanceado de objetivos SD 4.2.5.10 Reclamos y 10.10.2 Monitoreodel uso del
de datos de monitoreo aprobado porlosinteresados reconocimientos sistema
Comparativas, disponibilidad y CSI 4.1c Paso Tres-

recolección de datos medibles Recopilación de datos
CSI 4.1d Paso Cuatro - Procesar
los datos
ME1.3 Método de monitoreo Método para capturary reportar ST 4.5.5.2 Planificary diseñar
resultados pruebas
ST 4.5.5.3 Verificar el plan y el
diseño de pruebas
ST 4.5.5.4 Preparar el entorno de
pruebas
CSI 4.1b Paso Dos - Defina lo que
se puede medir
' CSI 4.1f Paso Seis - Presentary
utilizar la información
>CSI 5.4 Marcos de medición y
reporte
ME1.4 Evaluación del Revisión de desempeño contra SD 4.2.5.7 Ejecutarrevisiones del
desempeño objetivos servicio e instigar mejoras dentro
Acciones correctivas
del sen/icio
Análisis de causas raiz
CSI 3 Principios de mejora
continua de servicios
CSI 4.1e Paso Cinco - Analizar
los datos
CSI 5.3 Benchmarking
i CSI 8 Implementar la mejora

Alineando CohTM.1, ITIL®V3 eISO/IEC 27002 en beneficio de la empresa
CobiT 4.1 - Dominio: Monitorear yevaluar (ME) (cont)

ME1 Monitorear yevaluar eldesempeño deTI (cont.)
Información de soporteITIL V3
ISO/IEC 27002:2005
ME1.5 Reportes al Consejo Reportesde la contribución de TI • CSI 4.11 Paso Seis - Presentar y
Directivos ya ejecutivos alnegocio por losportafolios y utilizarla información
programas de servicios e
• CSI 4.2Reportes delservicio
inversión
ME1.6 Acciones correctivas 1Seguimiento ycorrecciones a • CSI4.1g Paso Siete-
todos los problemasde Implementar acciones correctivas
desempeño
ME2 Monitorear y evaluar ef control interno
IfrfnZ fU
excepciones TI resultados
de control, í. 2 def laslntem° de Tl requlereyrevisiones
auto-evaluaciones de un procescde deterceros.
monitoreo
Un bien deflnida
beneficio claveEstedelProceso *><*¥>
monitoreo ™nitoreointerno
del control yreporte de
es que
proporciona garantías con respecto aoperaciones eficaces yeficientes yel cumplimiento de las leyes yregulaciones
Objetivode Control COBIT 4.1 Áreas clave Información de soporte
ISO/IEC 27002:2005
ME2.1 Monitoreo del marco de Revisión y mejoramiento continuo >5.7.7 Documento delapolítica de
trabajo del control interno de controles internos seguridad de la información
>15.2.1 Cumplimiento con políticas y
estándares de seguridad.
ME2.2 Revisiones de Revisiónde los controles de •5.1.2Revisión de lapolitica de
supervisión revisión de la gerencia seguridadde la información
•6.1.8Revisan independiente de la
seguridad de la Información
10.10.2 Monitoreo del uso del sistema
10.10.4 Logs deadministrador y de
operador
15.2.1 Cumplimiento con políticas y
estándares de seguridad
ME2.3 Excepciones de control Análisis de las excepcionesde >15.2.1 Cumplimiento conpoliticas y
controly causas raíz estándares de seguridad
ME2.4 Autoevaluación de Evaluación de la efectividad de <15.2.1 Cumplimiento conpolíticas y
control loscontroles por medio de la auto estándares de seguridad
evaluación
ME2.5 Aseguramiento del Revisiones porterceros para • 5.1.2 Revisión de lapolitica de

control interno brindar mayorgarantía seguridadde la Información
• 6.1.8 Revisión independiente de la
• 10.10.2 Monitoreo del uso del
sistema
•10.10.4 Logs deadministrador y de
operador
• 15.2.1 Cumplimiento con politicas y
' 15.2.2 Verificación de cumplimiento
técnico
>75.3.7Controles de auditoria de
ME2.6 Control interno para Estado y conformidad de • 6.2.3 Considerar laseguridad en los
terceros controles de proveedores acuerdos con terceros
externos
• 10.2.2 Monitoreo y revisión de bs
• 15.21 Cumplimiento conpoliticas y
ME2.7 Acciones correctivas Corrección de las excepciones de • 5.1.2Revisión de lapolitica de
la evaluación de control seguridad de la información
• 15.2.1 Cumplimiento con politicas y

CobiT 4.1 - Dominio: Monitorear y evaluar (ME) (cont)

ME3 Garantizar tí cumplimiento derequisitos externos
Una supervisión eficaz del cumplimiento exige el establecimiento de un proceso de revisión para garantizar la conformidad con ^«.reglamentos y
«ufeTc^Ltuales. Este proceso incluye la identificación de los requerimientos de cumplimiento, op m.zacion yevaluación de la respuesta,
asegurando que los requisitos se han cumplido ypor último, integrando el reporte de cumplimiento de TI con el resto de la empresa.
Objetivo deControl COBIT 4.1 Áreas clave Información de soporte ITIL V3 ISO/IEC 27002:2005
• 6.1.6 Relación con las

ME3.1 Identificación de los Identificación continua de
autoridadesque tengan impacto
requisitos legales, regulatorios y requerimientos decumplimiento
para suincorporación en las potencial en TI
de cumplimiento contractual
políticas y prácticas i 15.1.1 Identificación de
legislación aplicable
>15.1.2 Derechos de propiedad
intelectual
> 15.1.4 Protección de datos y
privacidad de lainformación
personal
ME3.2 Optimización de Revisión yajuste de políticas y

respuesta a requerimientos prácficas paraasegurar el
extemos cumplimiento
Confirmación del cumplimiento 6.1.6Relación con las autoridades

ME3.3 Evaluación del
que tengan impacto potencial en TI
cumplimiento con
requerimientos externos 15.1.1 Identificación de legislación
aplicable
intelectual
• 15.1.4Protección de datos y
privacidad delainformación
personal
• 6.1.6 Relacióncon las autoridades

ME3.4 Aseguramiento positivo Reportar garantía de
cumplimiento yconfirmación de que tengan impacto potencial en TI
del cumplimiento
las acciones correctivas • 15.1.1 Identificación de legislación
aplicable
> 15.1.2 Derechos de propiedad
intelectual
> 15.1.4Proteccbnde datos y
privacidad delainformación
personal
ME3.5 Reportes integrados Reportes integrados de

cumplimiento de la empresa
ME4 Proporcionar gobierno de TI
Establecer un marco de gobierno eficaz incluye la definición de las estructuras organizativas, procesos, liderazgo, roles yresponsabilidades para
asegurar que las inversiones en TI estén alineadas yentregadas conforme con las estrategias ylos objetivos de la empresa.
Objetivo deControl COBIT 4.1 Áreas clave Información de soporte ITIL V3 ISO/IEC 27002:2005
ME4.1 Establecimiento de un Marco degobierno de TI alineado CSI 3.10 Gobierno

marco de gobierno de TI al gobierno corporativo CSi Apéndice A Guía
Basado en procesos adecuados complementaria
de TI yel modelo de control
i Marcode confirmación que
asegure elcumplimiento y la
confirmación de la entrega de la
estrategia corporativa para TI
ME4.2Alineamiento estratégico Comprensión de la Dirección de SD 3.10 Gesfión de servicio al

laestrategia de TI, la dirección negocio
estratégica, confianza entre el
negocio yTI, ylaco-responsabilí-
dad paradecisiones estratégicas
y realización de beneficios
58
ffi 2008 IT GOVERNANCE INSTITUTE. TODOS LOS DERECHOS RESERVADOS.
Alineando CobiT®4.1, ITIL®V3 eISO/IEC 27002 en beneficio de la empresa
f CobiT 4.1 - Dominio: Monitorear yevaluar (ME) (conf.)

I ME4 Proporcionar gobierno de TI {cont!
ISO/IEC 27002:2005
ME4.3 Entrega de valor • Entrega delvalor óptimo para • SS 3.7 Creación de valor
apoyar la estrategiaempresarial
• Entender los resultados de
negocioesperados; casos de
negocioeficaces;gestión delciclo
de vidaeconómico y realización
de beneficios; ejecución de la
gestión de portafolio, programas y
proyectos; asignar propiedadde
las inversiones
ME4.4 Gestión de recursos • Evaluación regular para asegurar

losrecursosapropiados y el
alineamiento con losobjetivos
vigentes yfuturos
ME4.5 Gestión de riesgos • Apetito de riesgo; prácticas • SS9.5 Riesgos

apropiadas de gestión de riesgo;
responsabilidades implícitas de
riesgos; evaluación regular y
reportestransparentesde riesgo
ME4.6 Medición del desempeño • Confirmar que losobjetivos han • SS4.4 Preparar laejecución
sidoalcanzados; revisar cualquier • SS9.4 Efectividad en mediciones
accióncorrectiva; reporte del
desempeño a laalta gerencia y • SD 3.6.5 Diseño de sistemas de
habilitar revisión de los avances medición y métricas
• CSI 4.3 Mediciones del servbio
ME4.7 Aseguramiento • Obtener el aseguramiento • 5.1.2Revisión de lapolítica de

independíente independiente apropiado (interna seguridad de la información
o externa) de cumplimiento con
los objetivos y con los • 6.1.8Revisión independíente de la
segurbad de la Información
requerimientos externos
• 10.10.2 Monitoreo del uso del
sistema

Alineando CobiT®4.1, ITIL®V3 e ISO/IEC 27002 en beneficio dela empresa
Apéndice II: Mapeo de los objetivos de control de COBIT 4.1

con ITIL V3
Este mapeo muestra la relación inversa entre las secciones de ITIL ylos objetivos de control de CobiT. Se
espera que este mapeo haga que CobiT sea más accesible alos profesionales de ITIL.
Este mapeo no intenta ser definitivo uobligatorio, es solo una guía. Los vínculos son mostrados solamente
a alto nivel, especificando las secciones relevantes en losotrosdocumentos.
Procesos de TI y
Objetivos de Control COBIT
Diseño,transición y operación comofases Gestión del portafolio de TI

Elciclode vida del servicio SS 2.5
operativas, estrategia y mejora continua como
actividades de gobierno, a través delciclo de
vida
SS2.1 Gesíón del serviciocomouna capacidad
istión del sen/icio
SS2.3
organizacional; especialización, coordinación i Alineac'tón de TIcon el negocio
SS2.4
principios deagencia, encapsulamiento; P01.2
principios en sistemas
P03.3 Monitoreo de tendenciasy regulaciones futuras
Definición de servicios en ITIL P01.1 Gestión del valor de TI

Servicios y creación de valor SS2.2
P05.5 Gestión de beneficios
Valor de servicios; utilidad y garantía P01.1 Gestión del valor de TI

SS3.1
P05.1 Marco de trabajo parala gestión financiera
ME4.3 Entrega de valor
SS 2.6.1 Definición y entendimiento defunciones en ITIL P04.5 Estructura organizacional de TI

Funciones
P04.6 Establecerrolesy responsabilidades
DS1.1 Marco de trabajo parala gestión de losniveles

de servicio
SS 2.6.2 Definición y entendimiento defunciones en ITIL P04.1 Marco de trabajo de procesosde TI

Procesos
DS1.1 Marco detrabajo para lagestión de los niveles

de servicio
Ciclosde control simple y SS 2.4.4 Ciclosde control abierto y cerrado; ciclosde

múltiple controlanidados utilizando retroalimentación
SO 5.1.2
negativa
Activos del servicio SS3.2 Recursos y capacidades; unidades de negocio
SSB.1
y unidades de servicio; tipos deactivo
Internos, servicios compartidos, externos P01.4 Planestratégicode TI
Tipos de proveedores de SS 3 3
servicio
Redes de valory sistemas de servicios P01. Gestión del valor de TI
Estructuras de servicios SS3.4
P01.6 Gestióndel portafolio de TI
P04.1 Marco detrabajo de procesosde TI
Fundamentos de estrategias SS3.5 Fundamentos; 4 Ps de la estrategia;estrategia

como... una perspectiva; unaposición, un
plan, un patrón
60
O 2008 IT GOVERNANCE INSTITUTE. TODOS LOS DERECHOS RESERVADOS.
ITIL
Procesosde TIy
Asunto Referencia Objetivos de ControlCOBIT

Área clave
del libro
Conceptos básicos (cont.)

Estructuras organizacionales SS6.1 Etapasde desarrollo organizacional Ubicación organizacional de la función de TI
SO 3.2.4
SS6.2 Departamentalización; diseño organizacional; P04.5 Estructuraorganizacional de TI
SS6.3 gerentes de producto
SS Apéndice B2
SS6.4 Cultura organizacional P06.1 Politicay entornode control de TI
SS6.5 Estrategia deabastecimiento; cómo elegir qué

abastecen estructura de abastecimiento;
abastecimiento multi-proveedor; interfaces con P01.4 Plan estratégico de TI
proveedores de servicios; gobiernodel
abastecimiento
P04.5 Estructuraorganizacional de TI
P08.3 Estándares para desarrollos yadquisiciones

SS8 Diseño de sistemas socio-técnicos
P03.1 Planeamiento delaorientación tecnológica

utomatización del servicio SS8.1 Habilidad de niveles mejorados de AI1.1 Definición y mantenimiento de los
automatización en laentregade servicios para requerimientostécnicosy funcionales del
ampliar eldesempeño de losactivos, por
ejemplo, mejorar la efectividad en costos;
preparaciónpara la automatización;
instrumentación y analíticadel servicio
rfaces del servicio Características de las interfaces de un buen Diseño detallado

servicio; tipos de encuentros de tecnología;
autoservicio, recuperación del servicio a través DS1.2 Definición de servicios
de la tecnología
DS9.1 Repositorio y línea basede configuración
Uso de herramientas SS8.3 Estrategia; simulación y modelos analíticos Repetibílidad del proceso
Mejora en el desempeño delproceso

Gestiónde riesgos SS9.5 El riesgo se define como la incertidumbredel mm
resultado; transferencia del riesgo, riesgo del
proveedor de servicio; riesgos de los contratos;
Marco de trabajo degestión de riesgos
riesgos dediseño; losriesgosde operación;
riesgos de mercado
P09.2 Establecimiento del contexto del riesgo
P09.3 Identificación de eventos
P09.4 Evaluaciónde riesgos de TI
P09.5 Respuesta a los riesgos
Mantenimiento ymonitoreo de unplan de

acción de riesgos
ME4.5 Gestión de riesgos
Creación de la SS4
estrategia de servicio
Definir el mercado Explotación de las capacidades; comprensión P01.4 Plan estratégico de TI
de losclientes y ¡as oportunidades;
clasificación yvisualización
Desarrollar las ofertas Nichos de mercado; portafolio de servicios; P01.4 Plan estratégico de TI
lista declientes potenciales y catálogo;
serviciosa jubilados; roles de la transiciónde
P01.6 Gestión del portafolio de TI
los servicios
Definición de servicios

Alineando CobíTM.1, ITIL®V3 e ISO/IEC 27002 en beneficio de la empresa
'
Procesos de TI y
ITIL
Referencia Área clave
Asunto
del libro
f Creación de laestrategia de TI (cont)

Crecimiento ymejoramiento; Gestión de POM Planestratégico de TI
" Desarrollo de activos SS 4.3
estratégicos
aumento delpotencial de servicio y P01.6 Gestión del portafolio de TI
DS1.I Marco detrabajo para lagestión delosniveles

de sprvicin
DS1.2 Definición de servicios
Realizar unaevaluación estratégica(¿dónde P01.1 Gestión del valor de TI

•j Preparación para la SS4.4
estamos ahora?), trazar objetivos; alinear tos
Evaluación deldesempeño y lacapacidad
9 *cución activos de servicios a las exigenciasdel
cliente; factores críticos de éxito y análisis de
P01.3
actual
competjfjvídad; priorización de lasinversiones; P01.4 Planestratégico de TI

examinar elpotencial delnegocio y alinearlo a
las necesidades del cliente; expansión y P01.6 Planes tácticos de TI
crecimiento; diferenciación en nichosde
DS1.1 Marco de trabajo parala gestión delosniveles
mercado.
de servicio
ME4.6 Medicióndel desempeño
SS7 Estrategia deimplementación a lolargo de

ciclo de vida del servicio
1¡ÉB|
P01.4 Planestratégico de TI
I P01.5 Planes tácticos de TI
P04.1 Marco de trabajo de procesos deTI
I DS1.2 Definición de servicios
Implementación a través delciclo devida del P01.5 Planes tácticos de TI

SS7.1
servicio
P04.1 Marco de trabajo de procesos deTI
Estrategiay diseño P01.5 Planes tácticos de TI

SS7.2
DSI.1 Marco de trabajo parala gestión delosniveles

rlp servicio
DS6.3 Modelamiento de costos y cargos
Estrategia y transiciones P01.5 Planes tácticos de TI

SS7.3
DSt.t Marco de trabajo paralagestión delosniveles

ríe servicio
:••;.
DS2.1 Identificación de todas las relacionescon

proveedores
Estrategiay operaciones P01.5 Planes tácticos de TI

SS7.4
P08.1 Sistema de administraciónde calidad

SS7.5 Estrategiay mejora
P08.2 Estándaresy practicasde calidad
AI1.1 Definición y mantenimiento de los

requerimientos técnicos yfuncionales del
neqocío
DS1.1 Marco de trabajo paralagestión delosniveles
dp servicio
62
ITIL
Procesos de TIy
Asunto Referencia Área clave Objetivosde Control COBIT
del libro
lililí/' ^ÜiSjSl!
Creación de laestrategia de TI (coníj
Desafiosy factores críticos SS9.1 Complejidad
de éxito
Marco de trabajo de procesos de TI
SS9.2 Coordinación y control P04.2 Comité estratégico de TI
SS9.3 Preservación del Valor P04.3 Comité directivo de TI
SS9.4 Medición eficaz P04.4 Ubicación organizacional de la funciónde TI
ME4.6 Medición deldesempeño
Gestión financiera de TI SS5.1, ta gestión financieracuarrüfica en términos

SO 46.7 financieros elvalor delosservicios deTI yde
tosactivos utilizados parasuentrega ycalcula P01.1 Gestión del valor de TI
las previsiones futuras
Contabilizaciónde TI
DS6.3 Modelamiento de costosy cargos
Marco detrabajo paralagestiónfinanciera
P05.4 Gestión de costos de TI
DS6.4 Mantenimientodel modelo de costos
Valoración del servicioy SS5.1.1 Cuantificación de losfondos requeridos parala

análisisde impacto en el SS 5.1.3.4 entrega de servicios basados en valores
negocio acordados
Modelamiento de la SS 5.1.2.2 Uso de información financiera con factores de DS6.3 Modelamiento de costos y cargos
demanda oferta y demanda para modelar lademanda
anticipada,contribuyendo a sondearla
provisión financieray de capacidad DS6.4 Mantenimientodel modelo de costos
Modelos de suministro de SS 5.1.2.4 Explorar alternativas de suministroo modelos

servicios, análisisy SS 5.1.3.2 de entrega para optimizar la competitrvídad
optimizacíón
Priorización dentrodel presupuestode TI
DS6.3 Modelamiento de costos y cargos
Mantenimientodel modelo de costos
Planeamiento y presupuesto SS 5.1.2.5 Planes operativos, presupuéstales, de Gestión del valor de TI

demanda, regulatorio y ambientales
Análisis de inversiones en el SS 5.1.2.6 Perfil de servicios porvalory costo Modelamiento de costosy cargos
servicio
SS 5.1.3.1
Contabilidad SS 5.1.2.7 Contabilidad relacionada con el servicio: P05.4 Gestión de costos de TI
SS 5.1.4.1 registro del servicio, tipo de costosy sus
SS 5.1.42
clasificaciones; costos recuperados; devolución
de cargos Contabilización de TI
Cumplimiento SS 5.1.2.8 Capacidadpara demostrar el usode prácticas DS6.2 Contabilización de TI

contables adecuadas y coherentes.

ITIL Procesos de TI y
Área clave
Objetivos deControl COBIT
Asunto Referencia
del libro
Gestión financiera de TI (cont.)
Estudio profundo paraentender lasvariables y DS6.3 Modelamiento de costos y cargo

Análisis de la dinámica de los SS 5.1.2.9
costos variables atributos (fijos y variables) delservicio que
aportan alcosto total delservicio, ycómo los
costosunitarios son afectados porlavariación DS6.< Mantenimiento del modelo de costos
de estos parámetros
Planeamiento, análisis, diseño, P05.1 Marco de trabajo paralagestión financiera

Implementación de lagestión SS 5.1.4.3
financiera de TI implementación, medición
Caso de negocio; objetivos de negocio; P01.1 Gestión del valor de TI

Retomo sobre la inversión SS5.2
(ROÍ) impacto en el negocio; prey post-programa
ROÍ P05.1 Marco de trabajo paralagestión financiera
P05.2 Priorización dentro delpresupuesto de TI
P05.3 Proceso presupuestal
Lagesfión delademanda influye enlallegada P01.6 Gestión delportafolio de TI

Gestión de la demanda SS5.5.SD,ST,
SO delosrequerimientos a travésde técnicas
como fijar precios fuera delas horas pico y
paquetes deofertas, facilitando latarea de
gestión de la capacidad ^__
Lamala gestión de lademanda es fuente de P01.4 Plan estratégicode TI
Desafiosde la gestiónde la SS 5.5.1
demanda SD 4.3.5.6
riesgo: el excesode capacidad generacostos
pero ningún valor y la capacidad insuficiente
impacta sobre la calidadde servicio
Gestión de la demanda SS 5.5.2 Entender el negocio del cliente paraidentificar P08.4 Enfoque en elcliente de TI
basada en actividades SS 5.5.3
yanalizar lospatrones de la actividad del
negocio que afectanlos niveles de demanda;
agregación de lademanda esperada a través
de perfiles de usuariobasados en roles
I Paquetes de servicios SS 5.5.4 Eldesarrollo de un paquete de servicios Enfoque en elcliente de TI
básicos parasatisfacer las necesidades
básicas de los clientes; la creación de
paquetes de servicios de soporteparafacilitar
servicios básicos o como diferenciadores de
valorañadido. Considerar los paquetes de
niveles de servicio para soportarsegmentosde
mercados.
Gestión del portafolio SS5.3 Elportafolio de servicios describelosservicios

SS5.4
de unproveedor en términos de valor de
de servicios
negocio : „
El portafolio de servicios: un método dinámico P01.1 Gestión del valor de TI
Importancia del portafolio de
servicios paradecidir sobre las inversiones y
gestionarlas paraobtenerel mejor valor P01.6 Gesfióndel portafolio de TI
Priorización dentrodel presupuestode TI
Definiciónde servicios (costos)
SS 5.3.1 Lasperspectivas empresariales y de TIen la P01.6 Gestióndel portafolio de TI

Servicios de negocio y
servicios de TI administración de servicios

ITIL
Procesos de TIy
Asunto Referencia Áreaclave Objetivos de Control COBIT
del libro
Gestión del portafolio deservicios (cont)

Métodosde gestión del SS5.4 Definir, analizar, aprobar ynormar (publicar y Gestión del portafolio de TI
portafolio de servicios comunicar)
P05.2 Priorización dentro del presupuesto deTI
Roldelgerente de producto SSB2 Gerente de producto: unpapel clave en la P04.5 Estructura organizacional de TI
gestión del portafolio de servicios;
responsabilidades, conocimiento crítico,
habilidades yexperiencia
SS 5.4.1 Creaciónde unportafolio de servicios P01.6 Gestión del portafolio de TI
existente; entender loscasosde negocio y los
costos de oportunidad
Analizar SS 5.4.2 Considerarcuan biense alineanlos servicios P01.6 Gestión del portafolio de TI
existentes conlosobjetivos delnegocio; el uso
de sus recursos y capacidades, y las opciones
paramodificaciones
Aprobar SS 5.4.3 Obtener autorización paralaspropuestas P01.6 Gestióndel portafolio de TI
concretas de mejora
Normar SS 5.4.4 Tomardecisiones y acciones sobre servicios P01.6 Gestión del portafolio de TI
que se retiran o la normativade nuevos
servicios; comunicar lasconclusiones y planes;
revisar el portafolio comouna actividad
continua
DISEÑO DELSERVICIO
Principiosdel diseño Definir losprocesos, organización yretectoes
Objetivos SD 2.4.1 Diseño óptimo delosprocesos paras P04.1 Marco de trabajode procesos de TI
SD3.1 las necesidades delnegocio, quepueden ser
¡mplementados, operados ymejorados, en
ambientesflexibles y seguros, con todas las
instalaciones y actívidades desoporte
incluyendo herramientasde medición
PC1 Metasy objetivos del proceso

Alcances SD 2.4.2 Cincoaspectos deldiseñode servicios Marco de trabajode procesos de TI
AI1.2 Reporte de análisis de riesgos
Diseno balanceado SD3.2 Funcionalidad, recursos y programación Definición y mantenimiento de los

requerimientos técnicosy funcionales del
negocio
Definición de servicios
Requisitos del servicio SD3.3 Enfoque holístico paraidentificar todos los Definición y mantenimientode los
elementos de un nuevo servicio requerimientos técnicosy funcionales del
negocio
Requisitosdel negocio Identificar ydocumentar losrequisitos y drivers P01.6 Gestión del portafoliode TI
del negocio paraunóptimo catálogo de
servicios
PO10.5 Declaración de alcancedelproyecto
AM t Definición y mantenimientode los

requerimientos técnicosy funcionales del
negocio

Asunto Referencia Área clave _

del libro
DISEÑO DEL SERVICIO (cont)
1 Principios del diseño (cont.)

Actividadesdel diseño:enfoqueestructuradoy P08.3 Estándares paradesarrollos y adquisiciones
1 Actividades del diseño ysus SD3.5
1 aspectos holístíco para asegurarcoherencia e
integración entodalaorganización del AI1.1 Definición y mantenimiento de los
proveedor de servicios deTI requerimientos técnicos y funcionales del
neqocio
DS1.2 Definiciónde servicios
SD3.6 Aspectos del diseño: soluciones deservicio P01.6 Gestión delportafolio de TI

claras, concisas, simplesy relevantes,
portafolio de servicios, arquitectura, procesos y P02.1 Modelo de arquitectura de información
sistemasde gestión, sistemas demedición y empresarial
métricas P03.2 Plande infraestructuratecnológica
P04.1 Marco detrabajo de procesosde TI
P08.3 Estándares paradesarrollos y adquisiciones
Al 1.2 Reporte de análisis de riesgos
AI1.3 Estudio de factibilidad y formulación de cursos

de acción alternativos
AI1.4 Requerimientos, decisión defactibilidad y
aprobación
AI2.1 Diseño de alto nivel
AI2.4 Segundad ydisponibilidad de lasaplicaciones
AI3.1 Plande adquisición de infraestructura

tecnológica
AI4.1 Planparasoluciones de operación
ME4.6 Medicióndel desempeño
PC3 Repefibilidad del proceso
Luego deldiseño delasolución del servicio, AI1.3 Estudio de factibilidad y formulación de cursos
1 Evaluación, adquisición y SD3.7
de acción alternativos
1 desarrollo evaluar soluciones alternativas de
aprovisionamiento, adquirir y/o desarrollar el AI2.7 Desabollode software aplicativo
diseño del servicioy un plande
implementación para elservicio desarrollado AI5.1 Control de adquisiciones
AI5.3 Selecciónde proveedores
AI5.4 Adquisición de recursos de TI
AI6.1 Estándares y procedimientos paracambios
Influencia de factoresinternos y externos en el AI1.1 Definición y mantenimiento de los

1 Limitaciones SD3.8
requerimientos técnicos yfuncionales del
diseño del servicio
negocio
66
(O 2008 IT GOVERNANCE INSTITUTE. TODOS LOS DERECHOS RESERVADOS.
ITIL
Procesosde TIy
Asunto Referencia Área clave Objetivos de ControlCOBIT
del libro
| DISEÑO DEL SERVICIO (con -)

••, . •' -
I Principios del diseño (cont)
1 Arquitectura orientada al SD3.9 Necesidad dedesarrollar procesos y P02.1 Modelo de arquitectura de información
1 servicio (SOA) soluciones denegocio usandoel enfoque de empresarial
SOA; mantener elcatálogo de servicios como
parte deunportafolio de servicios general y un PO8.3 Estándares paradesarrollos yadquisiciones
sistemade gestión de configuración
A11.1 Definición y mantenimiento de los
requerimientos técnicos y funcionales del
1 Gestión deservicios del SD3.10 Vincular los componentes deTI a losobjetivos P02.1 Modelo de arquitectura de información
1 negocio (BSM) del negocio empresarial
ME4.2 Alineamiento estratégico
1 Modelos para eldiseño de SD3.11 Revisión decapacidades y disponibilidades;
1 losservicios
P08.3 Estándaresparadesarrollos yadquisiciones
opciones de modelo de entrega; enfoques y
opciones de diseño y desarrollo (RAD, COTS,
etc.)
I Actividades y SD5 Actividades de lastecnologías relacionadas al DS! Definir ygestionar tos niveles deservicio I
1 consideraciones delas diseño de servicios
• tecnologías relacionadas al
SD5.1 Requisitos de ingeniería
• diseño de servicios DS* Definir ygestionar los niveles de servicio 1
SD5.2 Gestión de losdatosy la información P02.2 Diccionario dedatos empresarial y reglas de
sintaxis de datos
P02.3 Esquema de clasificación de datos
P02.4 Gestiónde integridad
DS1 Definir ygestionar los niveles desirviere \

DS11.1 Requerimientos delnegocio paralagestión de
los datos
DS11.2 Acuerdos parael almacenamiento y la
conservación
DS11.6 Requisitos deseguridad para lagestión de
datos
SD5.3 Gestión de aplicaciones AI2.9 [sic] Gestión de losrequisitos de lasaplicaciones
AI2.2 Diseño detallado
SD7 Consideraciones tecnológicas P02.2 Diccionario de datosempresarial y reglas de

sintaxis de datos
P08.3 Estándares paradesarrollos y adquisiciones
PC3 Repetibilidad delproceso
PC5 Políticas, planesy procedimientos
¿008 IT GOVERNANCE INSTITUTE. TODOS LOS DERECHOS RESERVADOS. 67




Alineando CobiT®4.1, ITIL®V3 eISO/IEC 27002 en beneficio de la empresa
ITIL
Procesosde TI y
Asunto Referencia Objetivos de Control COBIT
del libro
DISEÑO DEL SERVICIO (cont)

acidad (cont)
SD 43.5.7 Estimaciones, pilotos, prototipos, Monitoreo de tendencias y regulaciones futuras

benchmarking
Capacidad y desempeño futuros
Dimensión amiento de Estimación de los recursos necesarios para Definición y mantenimientode los
aplicaciones implementar unapropuesta de un nuevo requerimientos técnicosy funcionales del
servicio o cambio de uno existente negocio
Entregablesde la gestiónde Sistema de información de lagestión de
la información y de la gestión
DS1.5 Monitoreo y reporte delcumplimento delos
capacidad:negocio,componentesde servicios niveles de servicio
de capacidad y datosfinancieros; plan de capacidad;
informes basados enloscomponentes;
informes basados en servicios; informes de DS3.3 Capacidad y desempeño futuros
excepción; pronósticos y predicciones
Gestión de la Lagestión deiadr:.;• ,uraqueios Disponibilidad de recursos de TI

disponibilidad vnrveiesdeo. osservíetoj.
cumplen o exceden los niveles-acordados de>M
manera rentable -;
Propósito,valory conceptos SD 4.4.1 Enfoque y gestión de todos los temas de Disponibilidad de recursos de TI
SD 4.4.2 disponibilidad, relacionandotanto los servicios
SD 4.4.3
comolosrecursos, asegurando el logro y la
medición de losobjetivos de disponibilidad en PC1 Metas y objetivos del proceso
SD 4.4.4 todas las áreas
Actividadesde respuesta en SD 4.4.5.1 Medición, análisis e informes sobre la DS3.4 Disponibilidad de recursos de TI
la gestión de la disponibilidad disponibilidad de losservicios y sus
componentes; detalle de incidentes en el ciclo
de vida; análisis de fallos en el servicio DS3.5 Monitoreo y reporte
Actividades proactívas en la SD 4.4.5.2 Identificación de las funciones vitales del Disponibilidad de recursos de TI
gestión de la disponibilidad negocio;productosy componentesbásicos; rol
de otrosprocesos; soluciones especíales con
redundancia total; diseñode disponibilidad;
diseño de recuperación; análisis de impacto
por fallade componentes; puntosúnicos de Recursos críticos de TI
falla; análisis de árbol de fallas; modelamiento;
gestión de riesgos; pruebas de disponibilidad;
mantenimiento preventivo y planificado;
documentación de cortes de servicio
programado; revisión y mejoracontinua DS4.8 Recuperación y reanudación de los servicios
de TI
Entregables de la gestiónde SD 4.4.8 Sistemade información de gestión de la

la información y de la gestión disponibilidades; plande disponibilidad
de ladisponibilidad
Gestión de ia seguridad SD4.6 Lagestiónde la segundadde la friíormactón DS5.1 Gestión de la seguridadde TI
de la información alinealaseguridad de TIcon laseguridaddel
negocio y aseguraquelasegundad de la
infoítnaciónes adrmiistrada eficazmente en
todos losseiVfCios y actividades de la
administración de servicios
Propósito,valory conceptos SD461 La gestión de la seguridadde la información Gestión de la seguridadde TI
SD 4.6.2 dentro del marcode trabajodel gobierno
SD 4.6.3
corporativo; alcance; valor; marcode trabajo
de la seguridad; politicas DS5.2 Plan de seguridad de TI
SD 4.6.4.1
SD 4.6.4.2
Sistema de gestión de SD 4.6.4.3 Controlar, planificar, implementar, evaluary Gestiónde la seguridad de TI
seguridad de ¡a información mantener

Referencia Área clave
m"~~ 11
Asunto
del libro
DISEÑO DEL SERVICIO (cont.) ,

I Gestión de la seguridad de la información (cont ¡
Seguridad; noes parte delciclo devida pero AI32 Protección y disponibilidad de la infraestructura
1 Controles de seguridad SD 4.6.5.1
debe ser una parteintegrante de todos los
servicios y sistemas; gestionada a través de DS5.2 Plande seguridadde TI
controles de seguridad
DS5.6 Definición de incidente de seguridad
Examinar todos los incidentes, evaluar la DS5.6 Definición de incidentede seguridad

1 Gestión deincidentes y SD 4.6.5.2
eficacia; aprender y mejorar
Toda la información de la gestiónde la DS5.2 Plande seguridadde TI
1 Gestión delainformación SD 4.6.8
seguridad dela información almacenada enel
sistemade gestión deseguridad de
información cubre todos losserviciosde TIy
sus componentes; debe estaralineada conel
portafolio deservicios yelsistema degestión
delaconfiguración
1 Gestión de proveedores SD 4.7 Los proveedores ysusservidos prestados Í*fflHlli _
deben-gestionarse pataproporcionar una •:;*•
calidad integra de servicio deTI alnegocio,
asegurando la obtención devalor por le
"inversión:!! WSí'Viie
Asegurar que losproveedores proporcionan DS2.2 Gestión de relaciones con proveedores
1 Propósito, valor yconceptos SD 4.7.1
SD 4.7.2
valoragregado en el cumplimiento de sus
objetivos; políticas; gestión deldesempeño;
SD 4.7.3
relaciones;planes de mejora; contratos Metasy objetivosdel proceso
PC1
SD 4.7.4 estándar; resoluciónde controversias;
subcontratación
Categorízación de proveedores; mantenimiento DS2.1 Identificación de todas las relaciones con

1 Procesos clavesen la SD 4.7.5
de las bases de datos de proveedoresy proveedores
1 gestión deproveedores
contratos; nuevos proveedores y contratos; DS2.2 Gestión de relaciones con proveedores
administración de proveedores y contratos y su
desempeño;renovaciones y terminación DS2.3 Gestiónde riesgosde proveedores
DS2.4 Monitoreo deldesempeñode proveedores
AI5.2 Gestión de contratos con proveedores
AI5.3 Selecciónde proveedores
Identificación de todas las relaciones con

1 Entregables de la gestión de SD 4.7.6 Base de datos de proveedores y contratos; DS2.1
1 la información ydelagestión información, reportesy revisiones; planesde proveedores
SD 4.7.8
1 de los proveedores mejora de servicios de losproveedores;
reporte de encuestas a proveedores
Lagestión delacontinuidad delservicio deTI DS4.1 Marco de trabajo de continuidad de TI
I Gestión de la SD4.5
1 continuidad del servicio apoya lagestión de lacontinuidad del negocio:
asegurandoque todoslos requenmtentos
1 deTI : técnrcds.de TIy sérvicióstostalados puedan
reanudáis- <•„ ¡,x , vc> cordado"5
Lagestión de lacontinuidad delservicio de TI DS4.1 Marco de trabajo de continuidad de TI
1 Propósito, valor yconceptos SD 4.5.1
SD 4.5.2
es esencial paraasegurar lacontinuidad del
negocio; objetivos, alcance yvalor; enfoque del Metasy objetivosdel proceso
SD 4.5.3 PC1
ciclo de vidade la gestión de lacontinuidad del
SD 4.5.4 servicio de TI
Políticas; alcance; asignación de recursos; P09.1 Marco de trabajode gestión de riesgos
1 Inicio SD 4.5.5.1
organización y estructuras de control; plan del
proyecto y plande calidad P09.2 Establecimiento del contexto del riesgo
DS4.1 Marco de trabajo de continuidad de TI
72
Alineando CobiTM.1, ITIL®V3 eISO/IEC 27002 en beneficio de la empresa
ITIL
Procesos de TIy
Asunto Referencia Área clave Objetivos de Control COBIT
del libro
DISEÑO DEL SERVICIO (conL)
uidad del servicio de TI (confj

• Requisitos yestrategia SD4 5 5.2 Requisitos: análisis de impacto en el negocio P09.2
- — •—'
Establecimiento del contexto delriesgo

(BIA) yevaluación delriesgo; estrategia:
documentación de lasmedidas requeridas de P09.3 Identificación de eventos
reducción de riesgosy opcionesde
recuperación
P09.4 Evaluación de riesgosde TI
Al1.2 Reporte de análisis de riesgos
DS4.2 Planes de continuidad de TI
DS4.9 Almacenamiento externo de respaldos
1 Implementación SD 4.5.5.3 Desarrollar planesde gestiónde la continuidad P09.5 Respuesta a los riesgos
del serviciode TIen coordinación con los
planes para: respuestasa emergencias,
DS4.2 Planes de continuidad de TI
evaluación de daños, rescates, registros
vitales, gestión de crisis y relaciones públicas,
alojamiento y servicios, seguridad, personal, DS4.5 Pruebas del plan de continuidad de TI
comunicaciones, administración y finanzas;
planorganizacional; pruebas DS4.7 Distribución del plande continuidad de TI
1 Operaciones encurso SD 4.5.5.4 Educación, sensibilización y entrenamiento; P09.6 Mantenimiento y monitoreo deunplan de
revisión; pniebas regulares; gestión de acción de riesgos
cambios; divulgar
DS4.3 Recursos críticos de TI
DS4.4 Mantenimiento delplande continuidad de TI
DS4.5 Pruebas del plan de continuidad de TI
DS4.6 Entrenamiento en el plande continuidad de TI
DS4.7 Distribución del plande continuidad de TI
DS4.8 Recuperación y reanudación de losservicios

de TI
DS4.10 Revisión post-reanudación
1 Entregables de la gestión de SD 4.5.8 Análisis de impacto en el negocio; registro de AI1.2 Reportede análisisde riesgos
1 lainformación yde la gestión riesgo; estrategiade gestión de continuidaddel
1 de lacontinuidad del servicio negocio y planesde continuidad de negocio; DS4.2 Planes de continuidad de TI
1 deTI detalles y cronogramas de pruebas; planesde
gestiónde la continuidad del servicio de TI; DS4.4 Mantenimiento del plan de continuidad de TI
planes relacionados; toda la información
relacionada con la recuperación;toda la DS4.9 Almacenamiento externode respaldos
información de respaldo y recuperación
DS4.10 Revisiónpost-reanudación
TRANSICIÓN DEL SERVICIO •

1 Planeamiento de la ST4.1 Elobjetivo de la transicióndel servicioes AI6.1 Estándares y procedimientos paracambios
9 transición, principios, asegurarque los requerimientos estratégicos
I soporte yejecución compensados en el diseño del servicio sean
efectivamente reafizados en la operación del
servicio


ITIL
Procesosde TI y
del libro
| TRANSICIÓN DEL SERVICIO (cont)

Planeamiento de latransición, principios, soportey ejecución(cont)
Crearunaestrategia de ST 4.1.5 Contenidode la estrategia; actividades de P08.3 Estándares para desarrollosy adquisiciones
transición y prepararla preparación; planeamiento y coordinación de la
transición de servicios transición del servicio; adoptandolas mejores AI6.4 Seguimiento y reportede estado de los
prácticasgestión de proyectosy programas cambios
AI7.3 Plan de implementación
AI7.9 Revisión posterior a la Implementación
DS9.1 Repositorio y líneabase de configuración
DS9.2 Identificación y mantenimientode elementos

de la configuración
Proveersoporte al proceso ST 4.1.6 Asesorar, administrar, reporte y monitoreode AI6.4 Seguimientoy reporte de estado de los
de transición avances, revisión de los planes cambios
Actividades operacionales ST5 Actividadesque contribuyen fuertemente a la AI6.1 Estándares y procedimientospara cambios
comunes transición de servicios
ST5.1 Gestionarla comunicación y el compromiso P06.5 Comunicación de los objetivosy la direcciónde
TI
;ai6 Gestionar cambios i
ST5.2 Gestión decambios en laorganización yde los 1

grupos de interés
ST5.3 Gestión de los grupos de interés
Organización para la ST6.0 Responsabilidad y rendición de cuentas en la PÓ4 DefWf tos procesos, organización yrelaciones I
transición de servicios organización del servicio de TI
«6.1 Estándares y procedimientos para cambios
PC4 Roles y responsabilidades
ST6.1 Roles genéricos P04.1 Marcode trabajode procesos de TI
ST6.2 Contexto organizacional para la transiciónde P04.5 Estructura organizacionalde TI

servicios
ST6.3 Modelosorganizacionales para apoyarla P04.5 Estructuraorganizacional de TI

transición de servicios
P04.6 Establecer roles y responsabilidades
AI6.1 Estándares y procedimientospara cambios
ST6.4 Relaciones con otras etapas del ciclode vida AI6.1 Estándares y procedimientospara cambios
Consideraciones ST7.0 Herramientas de gestión del conocimiento; PC3 Repetibilidaddel proceso

tecnológicas colaboraciones; sistema de gestión de la
configuración PC5 Políticas, planes y procedimientos
Implementación de la ST8.0 Etapas de introducciónen la transiciónde P04.1 Marcode trabajo de procesos de TI

transición de servicios servicios
Desafios, factores críticos de ST9.0 Desafíos,factores críticosde éxito,riesgosy P09.3 Identificación de eventos
éxitoy riesgos transición de servicios bajo condiciones
difíciles
« 2008 IT GOVERNANCE INSTITUTE. TODOS LOS DERECHOS RESERVADOS. 75

AlineandoCobíT®4.1, ITIL®V3 e ISO/IEC 27002 en beneficio de la empresa
Estándares y procedimientos para cambios
Crear,registrary revisar las peticionesde Evaluación de impacto,priorización y

cambios; valorary evaluar los cambios, autorización
prioridades, planes y cronogramas;
autorización; coordinar la implementación
Revisión y registro de cierre del cambio Cierre y documentación delcambio
Ayuda a valorar, priorizar y autorizarcambios Estructura organizacional de TI
Evaluación de impacto,priorización y
autorización
Roles y responsabilidades
Procedimientosde cambios de emergencia; Estructura organizacional de TI

Consejo consultivo de cambios de emergencia;
desarrollo, prueba, documentación Cambios de emergencia
ST 4.2.6.2 RFCs,registrosde cambio, planes, decisiones, Cierre y documentación delcambio

ST 4.2.7 acciones, documentos e informes; interfaces
con la gestión de programas y proyectos;
ST 4.2.7.3
aprovisionamiento y asociaciones; interfaces
ST 4.2.7.4 internos con la gestión de activos y
configuraciones, gestión de problemas,gestión
de la continuidad del servicio de TI, gestión de
seguridad de la información, gestión de
capacidad y demanda
Métricas y KPIs KPIs; otra informaciónde gestión; mediciones
apropiadas

Alineando CobíT®4.1, ITIL®V3 e ISO/IEC 27002 en beneficio de la empresa
ITIL
Procesos de TIy

del libro
| TRANSICIÓN DEL SERVICIO

Gestión de !a I SS.SD.ST4.3, La gestión de la configuración ylos activos del i
configuración y de los | SO servicioapoya ei controly lagestiónde los
activos def servicio activos del servicio
Propósito, objetivos y valor ST 4.3.1 Gestión, control y protección delosactivos del I

ST43 2 servido fi ítems rte rnnfigiirariñn aIn brrjn HpI ^^H^fl
ST 4.3.3
ciclo de vida 1 pct 1 Metas yobjetivos del proceso
Políticas ST 4.3.4.1 Establecer objetivos, alcances yCSFs basados |
en drivers de negocio, requisitosde la gestión
contractualy de servicios, y cumplimiento con
las leyes, regulaciones y estándares;
alineación con las políticas relacionadas con la 1
gestión de liberacióny distribución; acciones
de priorización
Conceptos básicos ST 4.3.4.2 Modelosde configuración, Cls (ítemsde
configuración)
Sistema de Gestión de la ST 4.3.4.3 Contenidos,bases de datos de gestión de v:;DS9 : Gestionar íá configuradón
Configuración configuraciones múltiples; seguridad de
bibliotecas y almacenamientos; bibliotecade
medios; piezas de recambio;configuración de
referencia; díaqrama
Gestióny planeamiento ST 4.3.5.1 Actividades de gestiónde configuración y de ;..DS9 Gestionarle.configuradón
ST 4.3.5.2 activos; enfoque; contenidode un modelo de
actividad; contenidodel plande gestión de la DS9.1 Repositorio y linea base de configuración
configuración y de los activos del servicio
Identificxión de la ST 4.3.5.3 Estructuras de configuración, selección de los DS92 Identificación y mantenimiento de elementos
configuración Cls (ítems de configuración), tipos,nombres, de la configuración
etiquetado y atributos de los Cls, definición de
la documentación de configuración, relaciones,
identificación de las bibliotecas de medios,
identificación de la configuración básica,
identificación de las unidades liberadas
Controles de la configuración ST 4.3.5.4 Adecuados mecanismosde control; registros DS9.2 Identificación y mantenimiento de elementos
de cambio de los Cls, controlde versiones, de la configuración
ubicación y propiedad
Contabilización y reportes de ST 4.3.5.5 Definición de los posiblesestados de los Cl; DS9.2 Identificacióny mantenimiento de elementos
estado contabilización,los estados de configuración; de la configuración
registros; reportes de gestiónde la
configuración y de los activos del servicio
Verificacióny auditoría ST 4.3.5.6 Verificación de la conformidad de los registros DS9.3 Revisiónde integridad de la configuración
con el entorno actual, la existencia fisica de los
Cls, existencia de la documentación de la
configuración y liberaciónantes de realizar un
lanzamiento; auditoríaregularde la
configuración
Entregables de gestión de la ST 4.3.7 Copia de respaldo del Sistema de Gestión de DS9.1 Repositorioy linea base de configuración
configuracióny de los activos ST 4.3.8 la Configuracióndentroy fuera del local;
del servicio y de la gestión de política de retención de datos históricos;
la información gestión de la configuración y de los activos del
servicio que apoyan actividadesde Gestión de
Servicios de TI que no son de cliente;
mediciones de desempeño ycosto
Gestión de la liberación SO,ST4.4>SO
e implementación servicios especificadosen eldiseñodei
servicio:
Propósito ST 4.4,1 Propósito, metas y objetivos PC1 Metas y objetivos del proceso
Unidades liberadas y su ST 4.4.4.1 Conforme a las politicas AI7.3 Plan de implementación

identificación

Alineando CobiT®4.1, ITIL®V3 e ISO/IEC 27002 en beneficio de laempresa
ITIL
Procesos de TI y
Asunto Referencia Área clave _- -

del libro
TRANSICIÓN DEL SERVICIO (cont)
Gestión de la liberación y distribución(cont)
Opcionesy consideraciones ST 4.4.4.2 Enfoques y modelos Al 4.1 Plan para soluciones de operación
para el diseño de ST 4.4.4.3
liberaciones
Plan,preparación,desarrollo ST 4.4.5.1 Planeamiento AI3.4 Ambiente de pruebade factibilidad

y prueba de liberación e
implementación AI4.1 Plan para soluciones de operación
ST 4.4.5.2 Preparación para el desarrollo, pruebae AI3.4 Ambiente de pruebade factibilidad

implementación
AI4.1 Plan para soluciones de operación
AI7.1 Entrenamiento
AI7.4 Ambientede prueba
ST 4.4.5.3 Desarrolloy prueba P08.1 Sistema de administración de calidad
AI3.4 Ambiente de pruebade factibilidad
AI7.4 Ambiente de prueba
Pruebas,ensayos y pilotos ST 4.4.5.4 Construir la confianza en la capacidaddel AI7.3 Plan de implementación

del servicio servicio
AI7.4 Ambientede prueba
AI7.6 Pruebas de cambios
AI7.7 Pruebas de aceptación final
Transferencia, ST 4.4.5.5 Planeacióny preparaciónpara la AI4.1 Plan para solucionesde operación

implementación y retiro implementación
AI4.4 Transferencia de conocimiento al personal de
operaciones y soporte
AI7.8 Promoción a producción
ST 4.4.5.6 Ejecutarla transferencia, implementación y el AI7.8 Promocióna producción

retiro
Verificación ST 4.4.5.7 El servicio cubre las expectativas y AI7.9 Revisión posterior a la implementación
necesidades de los interesados
Validación y prueba dei ST4.5 Lavalidacióny prueba del servicio asegura AI7 instalaryacreditarsolucionBS y cambios
servicio queun servicio nuevo o modificado se adecúa
al propósito y su uso P08.2 Estándaresy prácticasde calidad
Propósito ST 4.5.1 Propósitos, metas y objetivos PC1 Metas y objetivosdel proceso
Validación del diseño del ST 4.5.4.1 Corrección al paquete de diseño del servicioy
servicio al modelo del servicio
Aseguramientoy calidad del ST 4.5.4.2 Validación y verificación

servicio
Politicas ST 4.5.4.3 Politicas de operación y apoyo para la
validación y verificación del servicio
Estrategias de pruebas ST 4.5.4.4 Enfoquede las pruebas y la asignación de los
recursos
Modelos de pruebas ST 4.5.4.5 Promover las pruebas repetibles, consistentes,

ST 4.5.4.7 efectivas y eficientes. Incluyeel modelode
servicio en "V*

ITIL
Procesos de TI y

dei libro
TRANSICIÓN DEL SERVICIO (cont)

Validación y prueba del servicio (cont)
Perspectiva de las pruebas ST 4.5.4.6 Las pruebas aseguran que el servicio cubre las
necesidades de quienes lo usan, lo entregan,
implementan, operan y administran
Enfoquesy técnicasde ST 4.5.4.8 El diseño de las pruebas reflejan la importancia
pruebas y consideraciones ST 4.5.4.9 del servicioy el impactoy riesgo en el negocio;
de diseño ej.: probarlas cosas correctas con la
profundidadadecuada
Tipos de prueba ST 4.5.4.10 Se necesita probartodos los aspectos del AI7.2 Plan de pruebas
servicio
Gestión de la validación y ST 4.5.5.1 Planeación,controly reporte de las actividades AI7.2 Plan de pruebas
prueba de pruebas
ME1.1 Enfoque del monitoreo
Plan y diseño de las pruebas ST 4.5.5.2 Actividades relacionadas A17.2 Plan de pruebas
y verificación de los planes y ST 4.5.5.3
diseños ME1.3 Método de monitoreo
Preparando el ambientede ST 4.5.5.4 Lineamientos básicos iniciales del ambiente de AI7.2 Plan de pruebas
prueba prueba
Ejecutar las pruebas ST 4.5.5.5 Probar el guiónde pruebas y registrar los AI7.6 Pruebas de cambios
hallazgos
AI7.7 Pruebas de aceptación final
Evaluar los criterios y ST 4.5.5.6 Comparartos hallazgos obtenidos con las AI3.4 Ambiente de prueba de factibilidad
reportes de salida; la ST 4.5.5.7 expectativas y las recomendaciones
finalizacióny cierres realizadas; revisar el enfoque y recomendar AI7.7 Pruebas de aceptación final
mejoras
Gestión de la información ST 4.5.7 Conservarlas bibliotecas y conjunto de datos AI3.4 Ambiente de prueba de factibilidad
de prueba para maximizar la consistencia y la
reutilización.
Evaluación ST4.6 La evaluación es un medioestandarizado para AI6.2 Evaluación de impacto, priorización y

determinarel rendimiento y la aceptabilidad de autorización
un servicio, y hacer frente a cualquier
desviación del plan
Propósito ST 4.6.1 Propósito,metas y objetivos PC1 Metas y objetivos del proceso
Términos, planes y procesos ST 4.6.5 Evaluacióndel rendimiento previsto del servicio P09.4 Evaluación de riesgos de TI
nuevo o modificado contra el rendimiento
actual; comprenderlos efectos previstos y los P09.5 Respuesta a los riesgos
no previstosde tos cambios; gestión de riesgos
AI7.9 Revisión posterior a la implementación
Gestión del ST 4.7 Lagestión delcorwrimiento delservicio AI4.2 Transferencia de conocimiento a la gerencia
conocimiento del aseguraque toda la informaciónrelevante se i del neqocio
servicio registray está disponible para apoyar la toma AI4.3 Transferencia de conocimiento a usuarios
de decisiones finales
AI4.4 Transferencia de conocimientoal personal de

Propósito ST 4.7.1 Propósito,metas y objetivos PCI Metas y objetivos del proceso
Datos, información, ST 4.7.4.1 El recorridodesde la captura de datos a la P02.4 Gestión de integridad

conocimientoy sabiduría sabiduría a través del contexto y la
comprensión
Estrategia de la gestión del ST 4.7.5.1 Enfoquetransversalde la organización P02.1 Modelo de arquitectura de información
conocimiento empresarial
Transferencia del ST 4.7.5.2 Comunicación, acceso y aprendizaje AI4.2 Transferencia de conocimientoa la gerencia
conocimiento apropiados del neqocio
AI4.3 Transferencia de conocimiento a usuarios
finales
AI4.4 Transferencia de conocimientoal personal de


ITIL
Procesos de TI y

del libro
TRANSICIÓN DEL SERVICIO (conL)

Gestión de conocimiento del servicio (cont)
Gestión de los datos y de la ST 4.7.5.3 Establecer requisitosy procedimientos; P02.4 Gestiónde integridad
información ST 4.7.7.1 evaluación y mejora
Sistema de gestión de ST 4.7.4.2 Establecer y utilizar el Sistema de gestión de AI4.2 Transferencia de conocimiento a la gerencia
conocimiento del servicio ST 4.7.5.4 conocimiento del servicio del negocio
Indicadores y mediciones ST 4.7.7.2 Para clientes y proveedores AI4.3 Transferencia de conocimiento a usuarios
ST 4.7.7.3 finales
AI4.4 Transferencia de conocimiento al personal de

Soporte temprano y cierre de ST 4.4.5.8 Consiste en la transicióndel soporte dei nuevo
la implementación servicio al entrar en operación, conforme a los
criteriosde salida preestablecidos con las
parles interesadas durantela fase de diseño
Soporte temprano ST 4.4.5.8 Transición del soporte del nuevo servicio al P05.5 Gestión de beneficios
entrar en operación, conformea los criterios de
salida preestablecidos con las partes
AI4.3 Transferencia de conocimiento a usuarios
interesadas durante la fase de diseño
finales
Cierre de la implementación ST 4.4.5.9 Revisar y cerrar la implementación AI6.5 Cierrey documentación del cambio
Participaciónen la transición ST 4.4.5.10 Revisary cerrar latransición del servicio; P05.5 Gestión de beneficios
final del servicio cumplimientode todas las actividades y
registrode las métricas AI7.9 Revisiónposterior a la implementación
OPERACIÓN DELSERVICIO
Principios y ejecución de laoperación del servicio

Fundamentos SO 2.3 Funcionesy procesosa través del ciclode vida P04.1 Marcode trabajo de procesos de TI
SO 2.4 Fundamentos de la operación del servicio Marco de Nivel: marco de trabajo

trabajo
Principios SO 3.0 Principiosde la operacióndel servicio Marco de Nivel:marco de trabajo

trabajo
SO 3.1 Funciones, grupos, equipos, departamentos y P04.5 Estructura organizacional de TI
divisiones
SO 3.2 Alcanzar el equilibrio en la operación del P04.5 Estructuraorganizacionalde TI

servicio
SO 3.2.4 Organizaciones proactívasversus reactivas P04.4 Ubicaciónorganizacional de la funciónde TI
SO 3.3 Prestación del servicio P04.5 Estructura organizacional de TI
SO 3.4
diseño y la transición del servicio
SO 3.5 Salud operaclonal ME1.1 Enfoque del monitoreo
SO 3.6 Comunicación P06.5 Comunicación de los objetivosy la dirección de

TI
SO 3.7 Documentación AI4.4 Transferencia de conocimiento al personal de

DS13.1 Procedimientos e instrucciones de operación

ITIL
Procesos de TI y

del libro
OPERACIÓN DEL SERVICIO (conL)

Principios y ejecución de la operacióndeí servicio(cont)
Organización para la SO 6.0 Organización para la operacióndel servicio P04.1 Marcode trabajode procesos de TI
operacióndel servicio
SO 6.1 Funciones P04.5 Estructura organizacional de TI
SO 6.2 Mesa de servicios P04.5 Estructura organizacional de Ti
P04.12 Personal de TI
SO 6.3 Gestión técnica P04.5 Estructuraorganizacional de TI
P04.9 Propiedadde losdatos y sistemas
SO 6.4 Gestiónde operaciones de TI P04.5 Estructura organizacional de TI
OS13 Gestionar lasoperaciones ; ]"
SO 6.5 Gestión de aplicaciones P04.5 Estructura organizacional de TI
AM Identificar sct«áortes automatizadas í
SO 6.6 Roles y responsabilidades de la operaciónde P04.6 Establecerrolesy responsabilidades

servicios
SO 6.7 Estructura organizativa de la operación de P04.5 Estructura organizacional de TI
servicios
Consideraciones SO 7.0 Compendiode los requerimientos tecnológicos DS9.3 Revisión de integridad de la configuración
tecnológicas para apoyar todas las fases de la operacióndel
servicio PC3 Repetibilidaddel proceso
PC5 Políticas, planes y procedimientos
Implementando la operación SO 8.0 Guíagenérica de implementación de la P04.1 Marcode trabajo de procesos de TI

del servicio operación total del servicio
Desafios, factores criticos de SO 9.0 Desafios, factores críticos de éxitoy riesgos PC3 Repetibilidaddel proceso
éxito y riesgos
Operacióndel servicio- Apéndice A Guía complementaria
Apéndices
Apéndice B Comunicacionesen la operación del servicio DS13.1 Procedimientose instruccionesde operación
Apéndice C MétodoKepner y Tregoe de análisis de

problemas
Apéndice D Diagramas de Ishikawa
Apéndice E Detallesde la gestión de las instalaciones DS12.2 Medidasde seguridadfisica
DS12.3 Acceso físico
DS12.4 Protección contra factores ambientales
DS12.5 Gestión de instalaciones físicas
Apéndice F Control de acceso físico DS12.3 Acceso físico
Gestión de eventos SO 4.1 Paraevaluar el estadode iainfraestructura y

serviciosde TIy aplicarlos controles
adecuados,13gestión de eventos moníiorea OS8 Gestionar la mesa de servíaos yios incidentes 1
todos los eventos que se producen a través de
la siftaestiuetuia ue 11 como paite de la fe^lflfl
operación normal pero detecta y escala las
condiciones de excepción ':' •.
2 008 IT GOVERNANCE INSTITUTE. TODOS LOS DERECHOS RESERVADOS. 81

Alineando CobíT®4.1, ITIL«V3 e ISO/IEC 27002 en beneficio de la empresa
ITIL
Procesos de TI y
Área clave
m-m I
Asunto Referencia
del libro
OPERACIÓN DEL SERVICIO (cont)

Gestión de eventos (cont;
Propósito, alcance, valor, SO 4.1.1 Propósitos, metas y objetivos PCI Metas y objetivos del proceso
politicas,principios y
conceptos SO 4.1.2 Monitoreo activo y pasivo; coberturade áreas; DS13.3 Monitoreo de la infraestructura de TI
SO 4.1.3
tipos de eventos:operación regular, Inusual o
excepcional
SO 4.1.4
Ciclo de vida de los eventos SO 4.1.5 Ocurrenciadel evento, notificación, detección, DS3.2 Capacidad y desempeño actual
y actividades filtrado; significado de loseventos;correlación
de eventos;triggers;selección de la respuesta: DS8.1 Mesa de servicios
registrada, respuestaautomática, alertae
intervención humana; incidentes, ¿problema0 DS8.2 Registro de consultas de clientes
cambio?; aperturay RFC;apertura y registro
de Incidente; revisión de las acciones, cieñe
DS8.3 Escalamiento de incidentes
del evento
DS8.4 Cierre de incidentes
DS8.5 Reportes y análisisde tendencias
DS13.3 Monitoreo de la infraestructura de TI
Triggerse interfases SO 4.1.6 Tiposde triggers;interfases con otros procesos DS13.3 Monitoreo de la infraestructura de TI
de gestiónde servicios
Gestión de la información SO 4.1.7 Tiposde información; registrode eventos DS8.5 Reportes y análisis de tendencias
Métricasy KPIs SO 4.1.8 Métricas propuestas; desafíos típicos; DS13.3 Monitoreo de la infraestructura de TI
SO 4.1.9 Importancia criticade filtros adecuados;

riesgos
Diseño de la gestión de SO 4.1.10 Objetivos y mecanismosde monitoreo de las DS13.3 Monitoreo de la infraestructura de TI
eventos fases de gestión de la disponibilidady
capacidadde diseño del servicio;
instrumentación; mensajes de error;detección
de eventos y mecanismos de alerta;
identificación de los umbrales
Atención de peticiones SO 4 3 Laatención de peticionesgestiona las

solicitudesde usuarios y dienles que forman
parte de la operación normal
Propósito, alcance,valor, SO 4.3.1 Propósitos, metas y objetivos PC1 Metas y objetivosdel proceso
politicas,principios y
conceptos
Politicas, principios y SO 4.3.4 Serviciosestándares de usuarios para iniciar
modelos de requerimientos cambios estándares; modelos de
requerimientos
Actividades, métodos y SO 4.3.5 Menús de autoayuda, aprobaciones, atención y AI6.2 Evaluación de irnpxto, priorización y
técnicas cieñe autorización
AI6.5 Cierre y documentación delcambio
AI7.8 Promoción a producción
AI7.9 Revisiónposteriora la implementación
DS8.2 Registro de consultas de clientes
Gestión de la información SO 4.3.7 Dependencias de la informaciónen la atención AI6.2 Evaluación de impacto, priorización y
de peticiones autorización
Métricas de la atención de SO 4.3.8 Loque se midey reportaen la efectividad de la AI6.2 Evaluación de impacto, priorización y
peticiones atención de peticiones autorización
Gestión de incidentes ST.S0 4 2

serviciointerrumpido tan pronto como sea
posible paraminimizar el impacto sobre el

Alineando CobiTM.1, ITIL®V3 e ISO/IEC 27002 en beneficiode la empresa
ITIL
Procesos de TI y
Asunto Referencia del Objetivosde Control COBIT
libro
OPERACIÓN DELSERVICIO (cont.;
Gestión de incidentes {cont)

Propósito, alcance, valor, SO 4.2.1 Propósito,meta y objetivo
políticas, principios y
conceptos SO 4.2.4 Patrón de incidentesincluyendo procedimientos
para incidentes importantes
Actividadesdel proceso de SO 4.2.5 Identificación, registro,categorizxíón,

gestión de incidentes priorización, diagnostico,escalamiento,
investigación, resolución, recuperación y cierre
del incidente
Gestión de la información Herramientas y registrosincluyendo una base de

datos de errores
Métricas de la gestión de SO 4.2.8 Lo que se mide y reporta en la efectividadde la

incidentes gestión de incidentes
Gestión de problemas ST> SO4.4 DeM^^tascaíi^'qÜe'c^ind^lOs^der^els. DS10.2

y eventos,trabajando proactivamente en la :
téífuccióri de problemase incidentes futuros
Propósito, alcance e SO 4.4.1 Propósito,metas y objetivos Metasy objetivosdel proceso

importancia
Políticas, principiosy SO 4.4.4 Modelamientode problemas DS10.2 Seguimiento y resoluciónde problemas

conceptos
Actividades, métodos y SO 4.4.5 Gestión reactivay proactiva de problemas; AI2.4 Disponibilidad y seguridad de las aplicaciones
técnicas detección, registro, categorización, priorización,
investigación, diagnostico, resolución; cursos AI4.4 Transferencia de conocimiento al personal de
alternativos y errores conocidos;revisiones de operacionesy soporte
problemas
DS10.1 Identificación y clasificación de problemas
DS10.2 Seguimiento y resoluciónde problemas
Cierre de problemas
Gestión de la información Sistema para la gestiónde la configuración y Transferencia de conocimiento al personal de

base de datos de errores conocidos operaciones y soporte
Métricasde la gestión de SO 4.4.8 Lo que se mide y reporta en la efectividadde la Mejora en el desempeño del proceso
problemas gestión de problemas
Funciones de la S06 Estaes ¡aestructura quegestiona la estabilidad/ Marco de trabajode procesos de TI

operación de servicios operativa del entorno de TI
PC4 Rolesy responsabilidades
Mesa de servicios SO 6.2 Rol, objetivosy estructura organizacional: Estructura organizacional de TI

asignación de personal; tercerización
Gestión técnica SO 6.3 Rol,objetivosy estructuraorganizacional; P04.5 Estructuraorganizacional de TI

actividades genéricas, diseño técnico,
mantenimiento y soporte, métricas; P04.9 Propiedadde los datos y sistemas
documentación
Gestión de aplicaciones SO 6.5 Roles, objetivos, principios; ciclode vida de la Estructura organizacional de TI
gestión de aplicaciones, actividades,
organización, métricas y documentación

Alineando CobiT®4.1, 1TIL®V3 e ISO/IEC 27002 en beneficio de la empresa
Respaldo y restauración
Programaciónde tareas
DS13.3 Monitoreo de la infraestructura de TI
DS13.4 Documentossensitivosy dispositivos de salida
SO 5.3 Actividadesde gestión del mainframe DS13.2 Programación de tareas
Mantenimientopreventivo del hardware

Alineando CobíT®4.1, ITIL®V3 e ISO/IEC 27002 en beneficiode la empresa
ITIL
Procesos de TI y
Asunto Referencia del Área clave

libro
OPERACIÓN DEL SERVICIO (cont)

j Gestión de operaciones (cont.)
1 Soporte ygestión de SO 5.4 Soportede S.O;gestión de licénciamiento; AI3.2 Protección y disponibilidad de la infraestructura
1 servidores soporte de tercer nivel; asistencia para
adquisiciones;seguridad del sistema;
virtualización; capacidady desempeño; AI3.3 Mantenimiento de la infraestructura
actividades rutinarias; mantenimiento, desactivar
y desechar DS3.2 Capacidad y desempeño actual
DS5.7 Protección de la tecnología de seguridad
DS9.3 Revisiónde la integridad de la configuración
DS13.5 Mantenimientopreventivodel hardware
1 Gestión deredes SO 5.5 WAN, LAN y MAN; proveedores de servicios; AI3.3 Mantenimiento de la infraestructura
soporte y mantenimiento; gestión de DNS;
gestión de la detección de intrusos; VolP DS5.10 Seguridad de la red
I Almacenamientoy archivo SO 5.6 Todos los respaldos y almacenamientos en línea DS11.2 Acuerdos para el almacenamientoy la
conservación
1 Administración debasesde SO 5.7 Relacionadoa la gestión de aplicaciones; AI3.3 Mantenimiento de la infraestructura
1 datos funcionesy responsabilidades
1 Gestión de losservicios de SO 5.8 Gestión de la información de los recursos de la AI3.3 Mantenimiento de la infraestructura
1 directorio red
1 Soporte delas estaciones de SO 5.9 Políticas; estandarización; mantenimiento; DS8.3 Escalamiento de incidentes
1 trabajo ¡nterfaz de la gestiónde despliegue; soporte y
controlde la configuración DS13.1 Procedimientose instrucciones de operación
| Gestión del middleware SO 5.10 Integración de los componentes del software; AI3.3 Mantenimiento de la infraestructura
funcionalidades y actividades
AC6 Autenticación e integridad de transacciones
| Gestión Web/Internet SO 5.11 Arquitectura; diseño; pruebas; implementación; AI3.3 Mantenimiento de la infraestructura
mantenimiento; soporte; interfaces con los
proveedores de contenido; aplicaciones back-
end; aspectos de desempeño del portal web;
gestión de la seguridad de la información
Gestión de instalacionesy del SO 5.12 Gestión de edificios; hosting de equipos;gestión DS12.5 Gestión de instalaciones físicas.
data center del suministro de energía; controles ambientales;
seguridadfisica; proteccióndel personal; envío y
recepción;mantenimiento,¡nterfaz con gestión
de contratos
Gesfión de la seguridad de SO 5.13 Rolesde la seguridadde la información (ISM) en P04.11 Segregación de funciones
información y operación de la operaciónde servicios e interfaces a ISMen
servicios otras fases del ciclo de vida DS5.1 Gestiónde la seguridad de TI
DS5.5 Pruebas, vigilanciay monitoreo de la seguridad
DS7.1 Identificación de necesidades de educacióny

entrenamiento
Mejora de las actividades SO 5.14 Automatización; revisiónde procedimientos P08.5 Mejora continua
operativas transitorios; auditoría operativas; comunicación;
educación y entrenamiento DS7.1 Identificación de necesidades de educación y
entrenamiento

ITIL
Procesos de TI y
Asunto Referencia del Área clave Objetivos de Control COBIT

libro
OPERACIÓN DEL SERVICIO (cont.)

Gestión de operaciones (cont.)
Actividades operacionales de SO 4.6 Componentes operativosde procesos en otras P04.1 Marcode trabajo de procesos de TI
procesos cubiertosen otras partes del ciclode vida
fases del ciclo de vida
SO 4.6.1 Gestiónde cambios (actividadesoperativas) AI6.1 Estándares y procedimientos para cambios
SO 4.6.2 Gestiónde la configuración (actividades

operativas)
SO 4.6.3 Gestión para liberaciones e implementación

SO 4.6.4 Gestión de lacapacidad (actividades operativas) M
SO 4.6.5 Gestión de la disponibilidad (actividades OS3.4 Disponibilidad de recursos de TI

operativas)
SO 4.6.6 Gestión del conocimiento (actividades AI4.4 Transferencia de conocimiento al personalde

operativas) operaciones y soporte
SO 4.6.7 Gestión financiera de los servicios de TI • P05 Gestionarla inversión en TI

(actividadesoperativas)
i DS6 Identificar yasignar costos
SO 4.6.8 Gestión delacontinuidad de losservicios de TI H
.-•.••• . . ':
MEJORAMIENTO CONTINUO DE LOS SERVICIOS
Principiosy ejecución CSI(Mepra La gestión del mejoramiento continuode los P08.5 Mejoracontinua
de la gestión para el continua de los servicios es una actividad continua para
servicios) incrementar la eficiencia, maximrzar la
mejoramiento continuo
efectividad y optimizar el costo de losservicios
de los servicios de TIy procesosasociadosde Gestiónde
Servicios de TI
Principios y enfoquede CSI CSI 2.4 Politicasde CSI;modeloCSI; conceptos de * ME1 /.; Monitorear yevaluaref desempeño de TI
CSI 3.1
brechasde servicios, mejoras, beneficios, ROÍ y
VOI;niveles de oportunidad; cambio P08.5 Mejoracontinua
CSI 3.2
organizacional;propiedady roles; drivers
CSI 3.3 internos y extemos
CSI 3.4
CSI 4.3.12
Mejorade los servicios CSI 3.5 Gestión de los niveles de servicio; ciclo de DSt Definir y gestionartos nivelesde sen/teto
CSI 3.6 Deming; líneasbase;modelo CSI;proceso de
mejorade 7 pasos, espiralde conocimiento, ME1.4 Evaluación del desempeño
CSI 3.7
benchmarking, gesfióndel conocimiento
CSI 3.8 PC6 Mejoraen el desempeño del proceso
CSI 3.9
Gobierno CSI 3.10 Gobierno de TI,de la empresa y corporativo ME4.1 Establecerun marco de gobiernode TI
CSI en el contexto <te la CSI 3.11 Marcooperativo,modelos, estándares y P04.1 Marco de trabajode procesos de TI
| Gestión de Servicios de TI sistemas de calidad
Consideraciones tecnológicas CSI 7.0 Herramientas para apoyar las actividades de PC5 Politicas, planes y procedimientos
CSI
Guia complementaria Apéndice A Innovación, correccióny mejoramiento;las P08.2 Estándares y prácticas de calidad
mejoresprácticasque soportan CSI
ME4.1 Establecerun marco de gobiernode TI
El proceso de mejora de CSI 4.1 Elproceso de sietepasosincluye conceptos PC6 Mejoraen el desempeño del proceso
fundamentales de mediciónevaluación y
los siete pasos
respuesta P08.5 Mejora continua

Procesos de TI y


libro
MEJORAMIENTO CONTINUO DELOS SERVICIOS (cont.)
| Gestión de los niveles de servicio (cont)

I Metas de lagestión de CSI 4.6.1 Ciclo continuo de mejoraa través de la P08.5 Mejoracontinua
1 niveles deservicio cooperación con la gestiónde niveles de servicio
y CSI
1 Plan para el mejoramiento de CSI 4.6.2 Contribuciones de la gestión de nivelesde P08.5 Mejora continua
1 servicios servicio
1 Métodos ytécnicas de CSI 5 tos métodos y técnicas de CSI incluyen P08.5 Mejoracontinua
1 CSI mediciones cualitativasy cuantitativas
ME1.1 Enfoque del monitoreo
1 EvaluackMies formales CSI 5.2 Cuándo, quéy cómo; ventajas y desventajasde P01.3 Evaluacióndel desempeño y la capacidad actual
la evaluación formal; valor del proceso contra
madurez del proceso;análisis de brechas P04.1 Marcode trabajode procesosde TI
P08.6 Medición, monitoreo y revisión de la calidad
ME1.1 Enfoquedel monitoreo
1 Benchmarking CSI 5.3 Procedimientos, costos, valor, beneficios; P08.6 Medición, monitoreoy revisiónde la calidad
personasinvolucradas; qué comparan
comparaciones con las normas de la industria; ME1.4 Evaluación del desempeño
enfoque
I Marco operativo para las CSI 5.4 Balanced scorecard; Análisis FORD P08.6 Medición, monitoreo y revisión de la calidad
I mediciones e informes
ME1.3 Método de monitoreo
1 Ciclo de Deming CSI 5.5 Elciclode Deming aplicado a la mejoray gestión P04.1 Marcode trabajode procesosde TI
CSI 3.6 de los servicios
P08.5 Mejora continua
1 Mejora continua en los CSI 5.6 Técnicasde la gestión de la disponibilidad; ciclo P08.5 Mejoracontinua
1 procesos del ciclo devida de devidaampliado para los incidentes; gestiónde
1 laGestión delosServicios la capacidad; gestiónde la continuidad de los P09.3 Identificación de eventos
cambios,liberaciones e implementaciones;
gestióndel conocimiento
DS3.1 Plañeacióndel desempeño y la capacidad
DS3.4 Disponibilidad de recursosde TI
DS4.1 Marcode trabajode continuidad de TI
PC6 Mejoraen el desempeño del proceso
1 Organización del CSI CSI 6 Involucra la identificaciónde roles y P04.6 Establecer roles y responsabilidades
responsabilidades, actividades y habilidades
PC6 Mejora en el desempeño delproceso
1 Roles yresponsabilidades CSI 6.1 Actividades y habilidades; administrador del P04.7 Responsabilidadespara el aseguramiento de la
servicio,administrador CSI, propietario del calidad de TI
servicio, propietario del proceso,gestiónde PC2 Propiedad de los procesos
conocimientos del servicio, analista de informes
1 Matriz deautoridad CSI 6.2 Flujos de procesoy tablas RACI P08.5 Mejora continua
PC6 Mejoraen el desempeño del proceso

ITIL
Procesos de TI y

libro
MEJORAMIENTO CONTINUO DELOSSERVICIOS (cont.)
Implementación del CSI CSI 8 Esta sección muestrauna guia paso a paso de la P08.5 Mejora continua
implementación inicial de CSI
Consideraciones y punto de CSI 8.1 Enfoquede servicio, de ciclo de vida o de grupo P04.1 Marco de trabajode procesos de TI
partida CSI 8.2 funcional
P08.5 Mejora continua
ME1.4 Evaluación del desempeño
Gobierno CSI 8.3 Visiónestratégica; programade Gestión de P08.5 Mejora continua

Servicios de TI; drivers del negocio;cambios del
proceso
CSI y el cambio CSI 8.4 Asuntos manejables, urgencia,liderazgoen el P08.5 Mejora continua
organizacional cambio, crear y comunicaruna visión;
empoderamiento, beneficios a corto plazo;
consolidación de mejoras e institucionalización
del cambio; cultura organizacional
Estrategia y plan de CSI 8.5 La importancia de la comunicaciónefectiva con P08.5 Mejora continua
comunicaciones todos los destinatarios

Alineando CobiTM.1, ITIL®V3 e ISO/IEC 27002 en beneficio de la empresa
Apéndice III: Mapeo de tos objetivos de control de COBIT 4.1 e

ITIL V3 con ISO/IEC 27002.
Este mapeo muestra la relación inversa entre el ISO/IEC 27002 y los objetivos de control de CobiT,
incluyendo las relaciones a las referencias de ITIL.
Este mapeo no intenta ser definitivo u obligatorio, es solo una guía. Los vínculos son mostrados solamente
a alto nivel, especificando las secciones relevantes en los otros documentos.
Clasificaciones Áreas clave Objetivos de control Procesos TI

ISO/IEC 27002 Referencia ITIL v3
información de soporte IS0/1EC 27002 C0B,T4-1 de C0B,T
4.0 Evaluacióny • P09.4 Evaluación de • P09 Evaluar y
4.1 Evaluando
riesgos de TI gestionar los riesgos
riesgos de seguridad tratamiento de
de TI
riesgos
• P09 Evaluar y
4.2 Tratamiento de
gestionar los riesgos
los riesgos de
de TI
seguridad
5.1 Politicas de
5.0 Política de
seguridad de la
información
seguridad
• P06.1 Políticay entorno • P06 Comunicar las • SS 6.4 Cultura organizacional

5.1.1 Documento de la de control de TI aspiraciones y la • ST5.1 Gestión de las
política de seguridad • P06.2 Riesgo corporativo dirección de la comunicaciones y el
de información y marco de referenciadel gerencia compromiso
control interno de TI • DS5 Garantizar la • SO 3.6 Comunicaciones
• P06.3 Gestión de politicas seguridad de los
• SO 4.5 Gestión de accesos
de TI sistemas
• SD 4.6.4 Políticas, principios
• P06.5 Comunicación de • ME2 Monitorear y
y conceptos básicos
los objetivos y la dirección evaluar el control
interno • SD 4.6.5.1 Controles de
de TI
seguridad (cobertura de alto
• DS5.2 Plan de seguridad nivel, sin detalle)
de TI
• DS5.3 Gestión de
identidad
• ME2.1 Monitoreo del
marco de trabajo de control
interno
• P03.1 Planeamiento de la • P03 Determinar la • SS 5.1 Gestión financiera

5.1.2 Revisión de la orientación tecnológica orlentxión tecnológica • SS 5.2.2 Retorno sobre la
política de seguridad • P05.3 Proceso presupuestal • P05 Gestionar la inversión
de la información inversión en TI
• P05.4 Gestión de costos • SS 5.2.3 Retorno sobre la
de TI • P06 Comunicar las inversión
• P06.3 Gestión de políticas aspiraciones y la • SS 8 Estrategia y tecnología

de TI
direaión de la
• SS 9.5 Riesgos
gerencia
• P09.4 Evaluación de • SD4.5.5.2 Etapa 2 -
riesgos de TI • P09 Evaluar y
Requisitos y estrategia
gestionar los riesgos
• DS5.2 Plan de seguridad • SD 4.6.4 Políticas, principios
de TI
de TI y conceptos básicos
• DS5 Garantizar la
• DS5.3 Gestión de • SD 4.6.5.1 Controles de
seguridad de los
identidad seguridad (cobertura de alto
sistemas
• ME2.2 Revisiones de nivel, sin detalle)
• ME2 Monitoreary
supervisión • SD 8.1 Análisis de impacto en
evaluar el control
• ME2.5 Aseguramiento del interno el negocio
control interno • ST 4.6 Evaluación
• ME4 Proporcionar
• ME2.7 Acciones correctivas gobiernode TI • SO 4.5 Gestión de accesos
• ME4.7 Aseguramiento
independiente
<D 2008 IT GOVERNANCE INSTITUTE. TODOS LOS DERECHOS RESERVADOS. 90


ISO/IEC 27002
información de soporte
6.1 Organización 6.0 Organización de

interna seguridad de la
información
• P03.3 Monitoreo de • P03 Determinar la • SS 2.4 Principios de la

6.1.1 Compromiso tendenciasy regulaciones orientación tecnológica gestión del servicio
de la gerencia con la futuras
seguridad de la > P04 Definir los • SS 2.6 Funciones y procesos
información • P03.5 Consejo de procesos, organización a través del ciclo de vida
arquitecturade TI y relacionesde TI
• SS6.1 Desarrollo
• P04.3 Comité directivo de • P06 Comunicar las organizacional
TI aspiracionesy la
• SS 6.2 Departamentallzación
dirección de la
• P04.4 Ubicación organizacional
gerencia
organizacional de la
función de TI
• SS 6.3 Diseñoorganizacional
seguridad de los • SS 6.5 Estrategia de sourcing
• P04.5 Estructura
sistemas
organizacional de TI • SS ApéndiceB2Gerentes de
producto
• P04.8 Responsabilidad
sobre el riesgo, la • SD 4.3.5.7 Modelamiento y
seguridad y el tendencias
cumplimiento
• SD 4.6 Gestión de la
• P06.3 Gestión de políticas seguridad de la Información
de TI
• P06.4 Implantación de
• SD 6.4 Rolesy
políticas, estándares y
responsabilidades
procedimientos
• SO 3.1 Funciones,grupos,
• P06.5 Comunicación de
equipos, departamentosy
losobjetivos y la dirección
divisiones
de TI
• DS5.1 Gestión de la
seguridad de TI
• SO 3.2.4 Organizaciones
reactivas versus proactívas
• SO 3.6 Comunicaciones
• SO 5.13 Gestión de seguridad

de la Información y la
• SO 6,1 Funciones
» SO 6.2 Mesa de servicios
• SO 6.4 Gestión de
operaciones de TI
aplicaciones
> SO 6.7 Estructuras
organizacionales de
>ST 4.2.6.8 Consejoconsultivo
de cambios
> ST5.1 Gestión de las

comunicaciones y el
compromiso
»ST 6.2 Contexto
organizacional para la
«ST 6.3 Modelos

organizacionales para apoyar
la transición de servicios


ISO/IEC 27002 COBIT 4.1 de COBIT
• P04.4 Ubicación • P04 Definir los • SD 4.6 Gestión de la

6.1.2 Coordinación organizacional de la procesos, organización seguridad de la información
para la seguridad función de TI y relacionesde TI
de la información
• P04.5 Estructura • P06 Comunicar las y conceptos básicos
organizacional de TI aspirxiones y la
• SD 4.6.5.1 Controles de
dirección de la
• P04.6 Establecerrolesy seguridad (cobertura de alto
gerencia
responsabilidades nivel, sin detalle)
• P04.8 Responsabilidad • SD 6.2 Análisis de xtividades
seguridad de los
sobre el riesgo,la • SD 6.3 Habilidadesy atributos
sistemas
seguridad y el
cumplimiento • SD 6.4 Roles y
responsabilidades
• P04.10 Supervisión
• SO 3.1 Funciones, grupos,
• P06.5 Comunicación de
equipos, departamentos y
los objetivos y la dirección divisiones
de TI
• DS5.1 Gestión de la
seguridad de TI
• SO 3.2.4 Organizaciones
• DS5.2 Plan de seguridad reactivas versus proactívas
de TI
identidad • SO 3.6 Comunicaciones

de la Información y la
• SO 6.1 Funciones
operaciones de TI
aplicaciones
• SO 6.6 Roles y
responsabilidades en la
• SO 6.7 Estructuras
organizacionales de
• SS 2.6 Funciones y procesos
a través del ciclo de vida
• SS6.1 Desarrollo
organizacional
• SS 6.2 Departamentalizacíón
organizacional
• SS 6.3 Diseño organizacional
• SS Apéndice B2 Gerentesde
producto
• ST 4.2.6.8 Consejo consultivo
de cambios
• ST5.1 Gestión de las

comunicaciones y el
compromiso
• ST 6.2 Contexto
organizacional para la


. , ... . ISO/IEC 27002 COBIT 4.1 de COBIT
• ST 6.3 Modelos
6.1.2 Coordinación organizacionales para apoyar
para la seguridad de la la transición de servicios
información (cont.)
• CSI 6 Organización para la
mejoracontinuadel servicio
• P04.4 Ubicación • P04 Definir los • SS6.1 Desarrollo

6.1.3 Asignación de las
organizacional de la procesos, organización organizacional
responsabilidades para función de TI y relacionesde TI
la seguridad de la • SO 3.2.4 Organizaciones
Información • P04.6 Establecer roles y reactivasversus proactívas
responsabilidades
• SD6.4 Roles y
sobre el riesgo, la
responsabilidades
seguridad y el
cumplimiento
• P04.9 Propiedad de los
datos y sistemas
• P04.10 Supervisión
• P04.3 Comité directivo de • P04 Definir los • SS 6.1 Desarrollo

6.1.4 Proceso de 6.0 Organización procesos, organización
TI organizacional
autorización para las para la seguridad de
y relacionesde TI
instalaciones de la información • P04.4 Ubicación • SO 3.2.4Organizaciones
procesamientode organizacional de la • AI1 Identificar reactivasversus proactívas
información función de TI soluciones
• SO 4.4.5.11 Errores
automatizadas
• P04.9 Propiedad de los detectados en el entorno de
datos y sistemas • AI2Adquirir y desarrollo
mantener el software
• AI1.4Requerimientos, • SO 5.4 Gestión y soporte de
aplicativo
decisión de factibilidad y servidores
aprobación • AI7 Instalar y acreditar
soluciones y cambios
• AI2.4Seguridad y
• SD 3.6.1 Diseño de
disponibilidad de las • DS5 Garantizar la
soluciones de servicios
aplicaciones seguridad de los
sistemas • ST 3.2.14 Mejora proactivade
• AI7.6 Pruebas de cambios
la calidad durante la
• DS5.7 Protección de la transición del servicio
tecnología de seguridad
• ST 4.5.5.4 Preparar el
entorno de pruebas
• ST 4.5.5.5 Ejecutarpruebas
finde pruebas y reportar
• P04.6 Establecer roles y • P04 Definir los • SS 2.6 Funcionesy procesos

6.1.5 Acuerdos de
responsabilidades procesos, organización a través del ciclo de vida
confidencialidad
y relaciones de TI
• P04.14 Políticas y • SS 6.5 Estrategia de sourcing
procedimientos para el • P08 Gestionar la
• SD3.6 Aspectosde diseño
personal contratado calidad
• SD 3.9 Arquitectura orientada
• P08.3 Estándares para • AI5Adquirir recursos
al servicio
desarrollos y adquisiciones de TI
• SD3.11 Modelos para el
• AI5.1 Control de • DS5 Garantizar la
diseño de los servicios
adquisiciones seguridad de los
sistemas • SD 5.3 Gestión de
• AI5.2 Gestión de contratos
aplicaciones
con proveedores
• SD 6.2 Análisis de actividades
• DS5.2 Plan de seguridad
de TI • SD6.4 Rolesy
responsabilidades
identidad • SD 7 Consideraciones
tecnológicas
• DS5.4 Gestión de cuentas
de usuario


ISO/IEC 27002
• SD 3.7.2Adquisición de la
6.1.5 Acuerdos de solución elegida
confidencialidad (cont.)
• SD 4.2.5.9 Desarrollar
contratos y relaciones
y conceptos básicos
nivel, sin detalle)
• SD 4.7.5.3 Nuevos
proveedores y contratos
• ST 3.2.3 Adopción de
estándares y de un marco de
trabajo común
conceptos básicos
• ST 4.1.5.1 Estrategia de
transición
• ST 6.3 Modelos
• SO 4.5.5.1 Peticiones de
acceso
• SO 4.5.5.3 Habilitar privilegios

• SO 4.5.5.4 Monitorear el
estado de la identidad
• SO 4.5.5.5 Registroy
seguimiento de accesos
• SO 4.5.5.6 Eliminar o
restringir privilegios
• SO 6.6 Roles y
mejora continuadel servicio
• P04.15 Relaciones • P04 Definir los • SD 4.2.5.9 Desarrollar

6.1.6 Relación con las procesos, organización contratos y relaciones
autoridades • DS4.1 Marco de trabajo de
y relaciones de TI
continuidad de TI • SD 4.5 Gestión de
• DS4 Garantizar la continuidad de servicios de TI
• DS4.2 Planes de
continuidad del servicio
continuidad de TI • SD 4.5.5.1 Etapa 1—Inicio
• ME3 Garantizar el
• ME3.1 Identificación de los • SD 4.5.5.2 Fase 2-
cumplimientode
requisitos legales, Requisitos y estrategia
requisitos externos
regúlatenos y de • SD 4.5.5.3 Fase 3 -
cumplimiento contractual Implementación
• ME3.3 Evaluación del
• SD Apéndice KContenido
cumplimiento con típico de un plande
requerimientos externos recuperación
• ME3.4Aseguramiento
• CSI 5.6.3 Gestión de
positivo del cumplimiento
continuidad de servicios de TI

Clasificaciones Áreasclave Objetivos de control Procesos TI

• P04.15 Relaciones • P04 Definir los • SD 4.2.5.9 Desarrollar

6.1.7 Relación con procesos, organización contratos y relaciones
grupos de interés • DS4.1 Marco de trabajo de
continuidad de TI y relaciones de TI
especial • SD 4.5 Gestión de
• DS4 Garantizar la continuidad de servicios de TI
• DS4.2 Planes de
continuidad de TI continuidad del servicio
• SD4.5.5.1 Etapa 1 —Inicio
• SD 4.5.5.2 Fase 2-
• SD 4.5.5.3 Fase 3 -
Implementaclón
• SD Apéndice KContenido
típico de un plan de
recuperación
• P06.4 Implantación de • P06 Comunicar las • SO 4.5.5.6 Eliminar o
6,1.8 Revisión 6.0 Organizaciónde politicas, estándaresy aspiraciones y la restringir privilegios
independientede la la seguridad de la procedimientos dirección de la
• SO 5.13 Gestiónde seguridad
gerencia
información
• DS5.5Pruebas, vigilancia de la información y la
y monitoreo de la • DS5 Garantizar la operación del servicio
seguridad seguridad de los
• ME2.2 Revisiones de sistemas
supervisión • ME2Monitorear y
evaluar el control
• ME2.5Aseguramiento del
control interno interno
• ME4.7Aseguramiento • ME4 Proporcionar

independiente gobierno de TI
6.2 Entidades extemas
• P04.14 Políticas y • P04 Definir los • SS 7.3 Estrategia y

6.2.1 Identificación de procedimientos para procesos, organización transiciones
riesgos relacionados personal contratado y relaciones de TI
• SD 4.7.5.1 Evaluación de
con terceros
• DS2.1 Identificación de • DS2 Gestionar los nuevos proveedores y
todas las relaciones con servicios de terceros contratos
proveedores
• DS5 Garantizar la • SD 4.7.5.2 Clasificación de
• DS2.3 Gestiónde riesgos seguridad de los proveedores y mantenimiento
de proveedores sistemas de la base de datos de
• DS5.4 Gestión de cuentas • DS12 Gestionar el
de usuario ambiente físico • SD4.7.5.5 Renovación y/o
• DS5.9 Prevención, término de contratos
detección y corrección de • SD 4.7.5.3 Nuevos
Software malicioso proveedores y contratos
• DS5.11 Intercambio de • SO 4.5 Gestión de accesos
datos sensitivos
• DS12.3 Acceso fisico acceso

• SO 4.5.5.5 Registro y
• SO 5.5 Gestión de redes
• SO Apéndice E Descripción
detallada de la gestión de las
instalaciones
• SO Apéndice F Controles de
acceso fisico

Alineando CobiT®4.1, iTIL®V3 e ISO/IEC 27002 en beneficio de la empresa

Referencia ITIL v3
ISO/IEC 27002
ISO/IEC 27002 de COBIT
>P06.2 Riesgocorporativo >P06 Comunicar las • SO 4.5 Gestión de accesos

6.2.2 Considerar la y marco de referencia para aspiraciones y la • SO 4.5.5.1 Peticiones de
seguridadal tratar con el control interno de TI dirección de la
acceso
los clientes gerencia
> DS5.4 Gestión de cuentas • SO 4.5.5.2 Verificación
de usuarios »DS5 Garantizar la
seguridad de los • SO 4.5.5.3 Habilitar privilegios
sistemas • SO 4.5.5.4 Monitorear el
• P04.14 Politicas y • P04 Definir los • SD3.6 Aspectosde diseño
6.2.3 Considerar la procedimientos para procesos, organización • SD3.9 Arquitectura orientada
seguridad en acuerdos personal contratado y relacionesde TI al servicio
con terceros • P06.4 Implantación de > P06 Comunicar las • SD3.11 Modelos para el
políticas, estándares y aspiracionesy la diseño de los servicios
procedimientos dirección de la
gerencia • SD 4.2.5.9 Desarrollar
• P08.3 Estándares para contratosy relaciones
desarrollosy adquisiciones • P08 Gestionar la
calidad • SD 4.6 Gestión de la
• AI5.2 Gestión de contratos seguridad de la información
con proveedores • AI5Adquirirrecursos
de TI • SD 4.7.5.2 Clasificación de
• DS2.2 Gestión de proveedores y mantenimiento
relaciones con • DS2 Gestionar los de la base de datos de
proveedores servicios de terceros proveedoresy contratos
• DS2.3 Gestión de riesgos • DS5 Garantizar la
de proveedores seguridad de los proveedoresy contratos
sistemas
• DS2.4 Monitoreo del • SD4.7.5.4 Gestióny
desempeño de • ME2 Monitorear y desempeñode proveedores y
proveedores evaluar el control contratos
interno
• DS5.1 Gestión de la • SD4.7.5.5 Renovacióny/o
seguridad de TI término de contratos
• ME2.6 Control interno para • SD 5.3 Gestión de
terceros aplicaciones
• SD 7 Consideraciones
tecnológicas
• ST3.2.3 Adopción de
trabajocomún
• ST4.1.4 Políticas, principiosy
conceptos básicos
transición
• SS 6.5 Estrategiade sourcing

de la información y la
7.1 Responsabilidad 7.0 Gestión de los

sobre los activos activos
> P02.2 Diccionario de datos • P02 Definir la • SD 5.2 Gestión de los datos y
7.1.1 Inventario de empresarial y reglas de arquitectura de la la información
activos sintaxis de los datos información • SD 7 Consideraciones
>DS9.2 Identificación y • DS9 Gestionar la tecnológicas
mantenimiento de configuración • ST 4.1.5.2 Preparación para
elementos de la la transición del servicio
configuración
• ST 4.3.5.3 Identificación de la
»DS9.3 Revisión de configuración
integridad de la
• ST 4.3.5.4 Control de la
configuración
configuración


de CobiT
Información de soporte ,S0"EC 27002 C0BlT4'1
• ST 4.3.5.5 Contabilización y
7.1.1 Inventario de registro de estados
activos (cont.)
• ST 4.3.5.6 Auditoria y
verificación
• SO 5.4 Gestión de servidores

y soporte
• SO 7 Consideraciones de
tecnología (especialmente
para licénciamiento, indicado
en SO)
• P04.9 Propiedadde los • P04 Definir los • SO 6.3 Gestión técnica
7.1.2 Propiedad de los datos y sistemas procesos, organización
activos
• ST 4.1.5.2 Preparación para
• DS9.2 Identificxión y y relaciones de TI
la transición del servicio
mantenimiento de • DS9 Gestionar la
elementos de la configuración
configuración
configuración
configuración
• ST 4.3.5.5Contabilización y
reqistro de estados
• PO4.10 Supervisión • P04 Definir los
7.1.3 Uso aceptable de procesos, organización
• P06.2 Riesgo corporativo
activos y relaciones de TI
y marco de referencia del
control interno de TI • P06 Comunicar las
aspiraciones y la
dirección de la
qerencia
7.2 Clasificación de la
información
• P02.3 Esquema de • P02 Definir la • SD 3.6.1 Diseño de

7.2.1 Lineamientos clasificación de datos arquitectura de la soluciones de servicios
para la clasificación información
• AI2.4 Seguridady • SD 5.2 Gestión de losdatos y
disponibilidad de las • AI2Adquirir y la información
aplicaciones mantener el software
aplicativo detectados en el ambiente de
desarrollo
• DS9.1 Repositorio y linea • DS9 Gestionar la • SS 8.2 Interfaces del servicio

7.2.2 Etiquetado y base de configuración configuración
manejo de la
información
• ST 4.3.5.2 Gestióny
planificación
configuración
configuración
reqistro de estados
8.1 Antes de la 8.0 Seguridad del
contratación de personal
personal
• P04.6 Establecer roles y • P04 Definir los • SS 2.6 Funcionesy procesos

8.1.1 Roles y responsabilidades procesos, organización a través del ciclo de vida
• P04.8 Responsabilidad y relaciones de TI
sobre riesgo, la seguridad • P06 Comunicar las
• SD 6.4 Roles y
y el cumplimiento aspiraciones y la
responsabilidades
dirección de la
• P06.3 Gestión de políticas
gerencia • ST 6.3 Modelos
de TI
• P07 Gestión de los
• P07.1 Reclutamiento y la transición de servicios
retención del personal recursos humanos de TI


información de soporte •
• P07.2 Competencias del • DS5 Garantizar la • SO 6.6 Roles y
8.1.1 Roles y personal seguridad de tos responsabilidadesen la
responsabilidades sistemas operacióndel servicio
(cont.) • P07.3 Asignación de roles
de usuario • SO 4.5.5.1 Peticiones de
acceso

• SO 4.5,5.4 Monitorear el
restringirprivilegios
mejora continua delservicio
• P04.6 Establecer roles y • P04 Definir los • SS 2.6 Funciones y procesos

8.1.2 Verificación 8.0 Seguridad del responsabilidades procesos, organización a través del ciclo de vida
personal y relacionesde TI
• P07.1 Reclutamiento y • SD 4.7.5.3 Nuevos
retención del personal • P07 Gestión de los proveedores y contratos
recursos humanos de
• P07.6 Verificación de • SD 6.2 Análisis de actividades
TI
antecedentes del personal • SD 6.4 Roles y
• DS2 Gestionar los
• DS2.3 Gestión de riesgos responsabilidades
de proveedores • ST 6.3 Modelos
• SO 6.6 Roles y
• CSI6 Organización para la

8.1.3 Términos y responsabilidades procesos, organización a través del ciclo de vida
condiciones del empleo y relaciones de TI
• P07.1 Reclutamiento y • SD 4.7.5.3 Nuevos
retención del personal • P07 Gestión de los proveedores y contratos
recursos humanos de
• P07.3 Asignación de roles • SD 4.7.5.5 Renovación y/o
TI
• DS2.3 Gestiónde riesgos
• DS2 Gestionar los
de proveedores • SD 6.2 Análisis de actividades
• SD 6.4 Roles y
responsabilidades
• ST 6.3 Modelos
• SO 6.6 Roles y
mejora continuade servicios


ISO/IEC 27002
8.2 Durante el Empleo
• P04.8 Responsabilidad > P04 Definir los • SD6.4 Roles y

i.2.1 Responsabilidades
sobre el riesgo, la procesos, organización responsabilidades
ie la Gerencia
seguridad y el y relaciones de TI
cumplimiento »ST 3.2.13Asegurar la calidad
• P07 Gestión de los de un servicio nuevo o
• P04.10 Supervisión recursos humanos de modificado
TI
• P04.11 Segregación de >SO 5.13Gestión de seguridad
funciones de la información y la
» PQ7.3 Asignación de roles operación del servicio

8.2.2 Educación,
entrenamientoy
y relacionesde TI
concientización en • P06.2 Riesgo corporativo • SS 7.5 Estrategia y mejora
seguridad de información y marco de referencia del • P06 Comunicar las
• SS 8.1 Automatización del
control interno de TI aspiraciones y la
servicio
dirección de la
• P06.4 Implantación de
gerencia • SD 3.2 Diseño balanceado
politicas, estándares y
procedimientos » P07 Gestión de los • SD3.4 Identificar y
recursos humanos de documentarlos requisitos y
• P07.2 Competencias del
TI driversdel negocio
personal
> Al11dentificar • SD 3.5 Actividades de diseño
• P07.4 Entrenamiento del
soluciones
personal de TI • SD 3.6.1 Diseño de
automatizadas
• P07.7 Evaluación del
>AI7 Instalar y acreditar
desempeño del empleado • SD 3.6.2 Diseño de sistemas
solucionesy cambios
• AI1.1 Definición y de soporte,especialmente el
> DS5 Garantizar la portafolio de servicios
mantenimiento de los
seguridad de los
requerimientos técnicos y • SD 3.6.3 Diseño de la
sistemas
funcionales del negocio arquitectura tecnológica
>DS7 Educar y entrenar
• AI7.1 Entrenamiento • SD3.6.4Diseño de procesos
a los usuarios
• DS5.1 Gestión de la • SD 3.6.5 Diseño de sistemas
seguridad de TI de medición y métricas
• DS5.2 Plan de seguridad • SD 3.8 Limitaciones del
de TI diseño
• DS5.3 Gestión de • SD3.9Arquitectura orientada

identidad al servicio
• DS7.11dentificación de las • SD 4.6 Gestión de la

necesidades de educación seguridad de la información
y entrenamiento
• SD4.6.4Politicas, principios
• DS7.2Brindar educación y y conceptos básicos
entrenamiento
nivel, sin detalle)

• SD 6.4 Rolesy
responsabilidades
» ST4.4.5.2 Preparación para
la construcción, pruebas y
despliegue
»ST 6.3 Modelos
organizacionalespara apoyar
» SO 4.5 Gestión de accesos
>SO 5.13Gestión de seguridad

operación delservicio


ISO/IEC 27002 „ „ . Referencia ITIL v3
• SO 5.14 Mejora de las

8.2.2 Educación, actividades operativas
entrenamiento y
• SO 6.6 Roles y
concientización en
seguridad de
información (cont.)
mejoracontinua delservicio
• P04.8 Responsabilidad • P04 Definir los • SD 6.4 Roles y

8.2.3 Procesos 8.0 Seguridad del sobre el riesgo, la procesos,organización responsabilidades
disciplinarios recurso humano seguridad y el y relacionesde TI
cumplimiento • P07 Gestión de los
• P07.8 Cambios y ceses en recursos humanos de
tospuestos de trabajo TI
• DS5.6 Definición de • DS5 Garantizar la

incidente de seguridad seguridad de tos
sistemas
8.3 Cambios y ceses

en el empleo
• P07.8 Cambios y ceses en • P07 Gestión de los • SO 4.5 Gestión de accesos

8.3.1 Responsabilidades los puestos de trabajo recursos humanos de
en el cese TI
• DS5.4 Gestión de cuentas acceso
de usuario • DS5 Garantizar la

seguridadde los
sistemas • SO 4.5.5.3 Habilitar privilegios
seguimientode accesos
nivel, sin detalle)
• SD 4.6.5.2 Gestión de
brechas de seguridad e
incidentes
• P06.2 Riesgo corporativo • P06 Comunicar las

8.3.2 Devolución de y marcode referencia del aspiracionesy la
activos control interno de TI dirección de la
gerencia
• P07.8 Cambios y ceses en
tos puestos de trabajo • P07 Gestión de los
recursos humanos de
TI
• P07.8 Cambios y ceses en • P07 Gestión de los • SO 4.5 Gestión de accesos

8.3.3 Eliminación de tos puestos de trabajo recursos humanos de • SO 4.5.5.1 Petictones de
privilegios de acceso TI
acceso
de usuario • DS5 Garantizar la • SO 4.5.5.2 Verificación
seguridadde los
sistemas • SO 4.5.5.3 Habilitar privilegios


| información de soporte IS0,IEC 27002 CoB,T 4"1 de COBIT
9.1 Asegurar las 9.0 Seguridad fisica

áreas y ambiental
• DS12.1 Selección y diseño • DS12 Gestionar el • SOApéndice E Descripción

9.1.1 Perímetro de del centro de datos ambiente físico detallada de la gestión de las
seguridad fisica instalaciones
• DS12.2 Medidas de
seguridad fisica
• DS12.2 Medidas de • DS12 Gestionar el • SOApéndice E Descripción

9.1.2 Controles físicos seguridad física ambiente físico detallada de la gestión de las
de ingreso instalaciones
• DS12.3 Acceso físico
• SOApéndiceF Controlesde
acceso físico
• DS12.1 Selección y diseño • DS12 Gestionar el • SOApéndice E Descripción

9.1.3Seguridadde del centro de datos ambiente físico detallada de la gestión de las
oficinas,salas e instalaciones
instalaciones • DS12.2 Medidas de
seguridad física
9.1.4 Protección contra • DS12.4 Protección contra • DS12 Gestionar el • SOApéndice E Descripción
amenazas externas y factores ambientales ambiente físico detallada de la gestión de las
ambientales instalaciones
• P04.14 Politicas y • P04 Definir los • SO 5.4 Gestión y soporte de

9.1.5Trabajoen áreas procedimientos para procesos, organización servidores
seguras personal contratado y relaciones de TI
• P06.2 Riesgocorporativo • P06 Comunicar las
• SO 5.7 Administración de
y marco de referencia para aspiraciones y la
bases de datos
el control interno de TI dirección de la
gerencia • SO 5.8 Gestión de servicios
• AI3.3 Mantenimiento de la
de directorio
infraestructura • AI3Adquirir y
mantener la • SO 5.9 Soporte de estaciones
infraestructura de trabajo
tecnológica
• DS12 Gestionar el middieware
ambiente físico
• SOApéndice E Descripción
detallada de la gestión de las
Instalaciones
aaeso físico
• DS5.7 Protección de la • DS5 Garantizar la • SO 5.4 Gestión y soporte de

9.1.6 Áreas de acceso tecnología de seguridad seguridad de los servidores
público, despacho y
recepción • DS12.1 Seleccióny diseño • SOApéndice E Descripción
del centro de datos • DS12 Gestionar el detallada de la gestión de las
ambiente fisico instalaciones
acceso físico
9.2 Seguridad de los 9.0 Seguridad física

equipos y ambiental

9.2.1 Ubicación y tecnología de seguridad seguridad de los servidores
protección de los sistemas
equipos • DS12.4 Protección contra • SO Apéndice E Descripción
factores ambientales • DS12 Gestionar el detallada de la gestión de las
ambiente físico instalaciones

Alineando CobiT®4.1, ITIL®V3 e ISO/IEC 27002 en beneficio de laempresa

ISO/IEC 27002 COBIT 4.1 de COBIT ;
información de soporte 1
• DS12.4 Protección contra • DS12 Gestionar el • SO 5.12 Gestión del centro de
9.2.2 Servicios de factores ambientales ambiente fisico datos e instalaciones
soporte • SOApéndice E Descripción
instalaciones físicas detallada de la gestión de las
instalaciones

9.2.3Seguridad del tecnología de seguridad seguridad de los servidores
cableado sistemas
• DS12.4 Protección contra • SOApéndice E Descripción
factores ambientales • DS12 Gestionar el detalladade la gestión de las
ambiente físico instalaciones
• AI3.3 Mantenimiento de la • AI3Adquirir y • SO 5.3 Gestión del mainframe

9.2.4 Mantenimiento de infraestructura mantener la
equipos infraestructura
• DS12.5 Gestión de servidores
tecnológica
instalaciones físicas
• DS12 Gestionar el
• DS13.5 Mantenimiento
ambiente físico • SO 5.7 Administración de
preventivo del hardware bases de datos
• DS13 Gestionar las
operaciones • SO 5.8 Gestión de servicios
de directorio
• SO 5.9 Soportede estaciones

de trabajo
middieware
• SO 5.12 Gestión del centro de

datos e instalaciones
• P04.9 Propiedad de los • P04 Definir los • SO 6.3 Gestión técnica

9.2.5 Seguridad de los datos y sistemas procesos, organización
• SO ApéndiceE Descripción
equipos fuera de las y relaciones de TI
• DS12.2 Medidas de detallada de la gestión de las
instalaciones
seguridad física • DS12 Gestionar el instalaciones
ambiente físico
• DS12.3 Acceso físico • SO ApéndiceF Controles de
acceso físico
9.2.6 Eliminación o • DS11.4 Desechar • DS11 Gestionar datos

reutilización segura de
equipos
• P06.2 Riesgo corporativo • P06 Comunicar las • SO ApéndiceE Descripción

9.2.7 Eliminar la y marco de referencia para aspiraciones y la detalladade la gestión de las
propiedad el control interno de TI dirección de la instalaciones
gerencia
• DS12.2 Medidas de
seguridad física • DS12 Gestión arel
ambiente físico
10.1 Responsabilidades 10.0 Gestión de

y procedimientos comunicaciones y las
operacionales operaciones
• AI1.1 Definicióny • AI1 Identificar • SS 7.5 Estrategia y mejora

10.1.1 Procedimientos mantenimiento de los soluciones
operativos requerimientos técnicosy automatizadas
documentados funcionales del negocio
• AI4 Facilitar la
• AI4.4 Transferencia del operación y el uso
conocimiento al personal • SD 3.4 Identificary
de operaciones y soporte documentar los requisitos y
operaciones
drivers del negocio
• DS13.1 Procedimientos e
instrucciones de operación • SD 3.5 Actividades de diseño


. . ., ISO/IEC 27002 COBIT 4.1 de COBIT
• SD 3.6.2 Diseño de sistemas

10.1.1 Procedimientos de soporte, especialmente el
operativos portafolio de servicios
documentados (cont.)
• SD 3.6.3 Diseño de la
arquitectura tecnológica
de medición y métricas
• SD 3.8 Limitaciones del
diseño

al servicio
• ST 3.2.8 Proveer sistemas

para la transferencia de
conocimientos y el soporte de
decisiones
• ST 4.4.5.5 Planificar y
preparar el despliegue
• ST 4.7 Gestión del
conocimiento
• SO 3.7 Documentación
detectados en el ambiente de
desarrollo
• SO 4.6.6 Gestión del

conocimiento (actividades
operativas)
• SO 5 Actívidades comunes de
la operación del servicio
• SO Apéndice B
Comunicaciones en la
• Al6.1 Estándaresy • AI6 Gestionar cambios • SD 3.2 Diseño balanceado
10.1.2 Gestión de procedimientospara
cambios • SD 3.7.2 Adquisición de la
cambios
solución elegida
• AI6.2 Evaluación de
• ST3.2 Políticaspara la
impacto, priorización y
autorización
• ST 3.2.1 Definiré
• AI6.3 Cambios de
implementar una politica
emergencia
formal para la transicióndel
• AI6.4Seguimiento y servicio
reportes de estado de los
• ST 3.2.2 Implementartodos
cambios
los cambios a los servicios a
• AI6.5Cierrey través de la transición del
documentación del cambio servicio
• ST 3.2.7 Establecer controles

y disciplinas eficaces
• ST 3.2.13 Asegurar la calidad
de un servicio nuevo o
modificado
• ST 3.2.14 Mejora proactiva de

• ST4.1 Planificación y soporte

para la transición
conceptos básicos


.. ... . ISO/IEC 27002 COBIT 4.1 de COBIT
• ST 4.1.5.3 Planificar y
10.1.2 Gestión de coordinar la transición del
cambios (cont.) servicio
• ST 4.1.6 Brindarsoporte al
proceso de transición
• ST 4.2.6.2 Crear y registrar la
solicitud de cambio
• ST 4.2.6.3 Revisar la solicitud

de cambio
• ST 4,2.6.4 Valorar y evaluar

el cambio
• ST 4.2.6.5 Autorizar el
cambio
implementacióndel cambio
• ST 4.2.6.7 Revisar y cerrar el
registro del cambio
de cambios
• ST 4.2.6.9 Cambios de
emergencia
• SO 4.3.5.1 Selección por

menú
• SO 4.3.5.3 Otras
aprobaciones
• SO 4,3.5.5 Cierre
• P04.11 Segregaciónde • P04 Definir los • ST 3.2.13 Asegurar la calidad

10.1.3Segregaciónde funciones procesos, organización de un servicio nuevo o
funciones y relacionesde TI modificado
de usuario • DS5 Garantizar la • ST 4.4.5.10 Revisar y cerrar
seguridad de los la transición del servicio
sistemas
acceso

• P04.11 Segregación de • P04 Definir los • ST 3.2.13 Asegurar la calidad
10.1.4Separación de los funciones procesos, organización de un servicio nuevo o
entornos de desarrollo, y relaciones de TI modificado
pruebas y producción • AI3.4 Ambiente de prueba
de factibilidad • AI3 Adquiriry • ST 3.2.14 Mejora proactiva de
mantener la la calidad durante la
• AI7.4 Ambiente de pruebas
infraestructura transición del servicio
tecnológica
• ST 4.4.5.1 Planificación
• AI7 Instalar y acreditar
• ST 4.4.5.3 Construcción y
pruebas


10.1.4Separación de • ST 4.4.5.4 Pruebas y pilotos

los entornos de del servicio
desarrollo, pruebasy • ST4.5.5.7Limpieza y cierre
producción (cont.) de las pruebas
• ST 4.5.7 Gestión de la
información

10.2 Gestión de la
entrega de servicios
de terceros
• DS1.1 Marco de trabajo >DS1 Definir y gestionar • SS 2.6 Funciones y procesos

10.2.1 Entrega de 10.0 Gestión de las para la gestión de niveles los niveles de servicio a través del ciclo de vida
servidos comunicaciones y las de servicio
>DS2 Gestionar los • SS 4.2 Desarrollar las ofertas
operaciones
• DS1.2 Definición de servicios de terceros • SS 4.3 Desarrollar activos
servicios estratégicos
• DS1.3 Acuerdos de niveles • SS 4.4 Prepararla ejecución
de servicio
• SS 5.5 Gestión de la
• DS2.4 Monitoreo del demanda
desempeño de
• SS 7.2 Estrategia y diseño
proveedores
• SS 7.3 Estrategia y
transiciones
• SS 7.4 Estrategia y
operaciones
• SD3.1 Metas

• SD3.4 Identificar y
documentarlos requisitos y
driversdel negocio
• SD 4.2.5.1 Diseñar el marco
operativo para el ANS
• SD 4.2.5.2Requisitos
acordados y documentados
de los nuevos servicios;
definir los requisitos de los
niveles de servicios
• SD4.7.5.4 Gestión y
desempeño de proveedores y
contratos
• SD Apéndice F Probar los

ANSy Acuerdos de Niveles
de Operación
• DS1.5Monitoreo y reporte >DS1 Definir y gestionar » SS 5.3 Gestión del portafolio

10.2.2 Monitoreo y del cumplimientode los los niveles de servicio de servicios
revisión de los servicios niveles de servicio
de terceros > DS2 Gestionar los > SD 4.2.5.3 Monitorear el
• DS2.4 Monitoreo del servicios de terceros desempeño del servicio
desempeño de contra el ANS
» ME2 Monitorear y
proveedores
evaluar el control » SD 4.2.5.6 Generar reportes
• ME2.6Control interno para interno del servicio
terceros
• SD 4.2.5.7 Ejecutarrevisiones
del servicio e instigarmejoras
dentro del plan general de
mejoramiento del servicio

Alineando CobiT®4.1, ITIL®V3 e ISO/IEC 27002 en beneficiode la empresa

ISO/IEC 27002
10.2.2 Monitoreoy reconocimientos
revisión de los
>SD 4.3.8 Gestión de la
información
(cont.)
>SD 4.7.5.4 Gestióny
desempeño de proveedoresy
contratos
>CSI 4.2 Reportes del servicio

» CSI 4.3 Mediciones del
• DS1.5Monitoreo y reporte >DS1 Definir y gestionar >SS 5.3 Gestión del portafolio
10.2.3 Gestión de del cumplimiento de los los niveles de servicio de servicios
cambios a los niveles de servicio
• DS2 Gestionar los >SD 4.2.5.3 Monitorear el
• DS2.2 Gestión de servicios de terceros desempeño del servicio
relaciones con contra el ANS
proveedores • SD 4.2.5.6 Generar reportes
• DS2.3Gestión de riesgos del servicio
de proveedores • SD 4.2.5.7 Ejecutar revisiones
del servicioe instigar mejoras
dentro del plangeneral de
mejoramiento del servicio
reconocimientos
información
• SD 4.7.5.2 Clasificación de
proveedores y mantenimiento
de la base de datos de
• SD 4.7.5.4 Gestión y
desempeño de proveedoresy
contratos
• SD 4.7.5.5 Renovación de
contrato y/o finiquito
• CSI 4.2 Reportesdel servicio
• CSI 4.3 Mediciones del
servicio
10.3 Planeamiento y
aceptación de
sistemas
• DS3.1 Planeacíón del »DS3 Gestionar el • SD 4.3.5.1 Gestión de la

10.3.1 Gestión de la desempeño y la capacidad desempeño y la capacidad para el negocio
capacidad capacidad • SD 4.3.5.2 Gestión de la
• DS3.2Capacidad y
desempeño actual capacidad del servicio
• DS3.3 Capacidad y • SD 4.3.5.3 Gestión de la
desempeño futuros capacidad de los componentes
• SD 4.3.5.7 Modelamiento y
tendencias
• SD 4.3.5.8 Dimensíonamíento
de aplicaciones


• SD ApéndiceJ Contenido
10.3.1 Gestión de la típicode un plan de
capacidad(cont.) capacidad
• SO 4.1.5.2 Notificación de
eventos
• S04.1.5.3 Detección de
eventos

servidores

servicio
• CSI 5.6.2 Gestión de la

capacidad
• P03.4 Estándares • P03 Determinar la • SS 7.5 Estrategia y mejora

10.3.2Aceptación del tecnológicos orientación tecnológica
sistema
• Al1.1 Definición y • AI1 Identificar servicio
mantenimiento de los soluciones
requerimientostécnicosy automatizadas
funcionales del negocio • SD 3.4 Identificar y
• AI2Adquirir y
documentar los requisitos y
• AI1.4 Requerimientos, mantener el software
driversdel negocio
decisión de factibilidad y aplicativo
aprobación • SD 3.5 Actividades de diseño
• AI4 Facilitar la
• AI2.4 Seguridad y operación y el uso • SD 3.6.1 Diseño de
disponibilidadde las soluciones de servicios
aplicaciones
soluciones y cambios • SD 3.6.2 Diseño de sistemas
• AI2.8 Aseguramientode la de soporte, especialmente el
calidad del software portafolio de servicios
• AI4.4 Transferencia de • SD 3.6.3 Diseño de la
conocimiento al personal arquitectura tecnológica
de operaciones y soporte
• SD3.6.4 Diseñode procesos
• AI7.7 Pruebas de
aceptación final
de medicióny métricas
• SD 3.8 Limitaciones del
diseño

al servicio
• ST 3.2.8 Proveer sistemas

para la transferencia de
decisiones
• ST 4.4.5.4 Pruebas y pilotos

del servicio
• ST 4.4.5.5 Planificary
• ST 4.5.5.5 Ejecutar pruebas
conocimiento
desarrollo

conocimiento (actividades
operativas)


ISO/IEC 27002
10.4 Protección
contra código móvil
y malicioso
10.0 Gestión de las

• DS5.9 Prevención, • DS5 Garantizar la
10.4.1 Controles contra
detección y correcciónde seguridad de los
códigomalicioso comunicaciones y
Software malicioso sistemas
las operaciones

10.4.2 Controles contra detección y correcciónde seguridadde los
códigomóvil Software malicioso sistemas
10.5 Respaldos
• DS4.9 Almacenamiento • DS4 Garantizar la • SD4.5.5.2Etapa2-

10.5.1 Respaldode la externo de respaldos continuidad del servicio Requísitosy estrategia
información • DS11.2 Acuerdos para el • DS11 Gestionar datos • SD5.2 Gestión de los datos y
almacenamiento y la la información
conservación • SO 5.2.3 Respaldoy
• DS11.5 Respaldo y restaurxión
restauración • SO 5.6 Almacenamientoy
• DS11.6 Requisitos de archivo
seguridad para la gestión
de datos
10.6 Gestión de la
seguridad de redes
• P04.11 Segregación de • P04 Definir los • ST 3.2.13Asegurarla calidad

10.6.1 Controles de red funciones [sic] procesos, organización de un servicio nuevo o
• DS5.9 Prevención, y relaciones de TI modificado

detección y correcciónde • DS5 Garantizar la • SO 5.13 Gestión de seguridad
Software malicioso seguridadde los de la información y la
• DS5.11 Intercambio de sistemas operacióndel servicio
datos sensitivos • SO 5.5 Gestión de redes

10.6.2Seguridadde tecnología de seguridad seguridadde los servidores
los servicios de red • DS5.9 Prevención, sistemas • SO 5.5 Gestión de redes
detección y correcciónde
Software malicioso
• DS5.11 Intercambio de
datos sensitivos
10.7 Manejode 10.0 Gestión de las

medios de comunicaciones y
almacenamiento las operaciones
• P02.3 Esquema de • P02 Definir la • SD 5.2 Gestión de los datos y

10.7.1 Gestión de clasificación de datos arquitecturade la la información
medios removibles de • DS11.2 Acuerdos para el información • SO 5.6 Almacenamientoy
almacenamiento almacenamiento y la • DS11 Gestionar datos archivo
conservación
• DS11.3 Sistema de gestión
de la librería de medios
• DS11.4 Desechar
• DS11.3 Sistema de gestión • DS11 Gestionar datos

10.7.2 Eliminación de
medios de
almacenamiento • DS11.4 Desechar
• P06.2 Riesgo corporativo • P06 Comunicar las • SD 5.2 Gestión de los datos y
10.7.3 Procedimientos y marco de referencia para aspiraciones y la la información
para el manejo de la el control interno de TI dirección de la
información • DS11.6 Requisitos de gerencia
seguridad para la gestión • DS11 Gestionar datos
de datos


ISO/IEC 27002 COBIT 4.1 de CobiT
• AI4.4 Transferencia de • AI4 Facilitar la • ST 3.2.8 Proveer sistemas

10.7.4 Seguridad de la conocimientoal personal operación y el uso para la transferencia de
documentación de de operaciones y soporte • DS5 Garantizar la
sistemas decisiones
• DS5.7 Protección de la seguridad de los
tecnologíade seguridad sistemas • ST 4.1.5.2 Preparación para
• DS9.2Identificación y • DS9 Gestionar la
mantenimiento de configuración • ST 4.3.5.3 Identificación de la
• DS13 Gestionarlas
configuración operaciones • ST 4.3.5.4 Control de la
• DS9.3 Revisión de configuración
Integridad de la • ST 4.3.5.5 Contabilización y
configuración registro de estados
• DS13.1 Procedimientos e • ST 4.3.5.6 Auditoria y
instruccionesde operación verificación
conocimiento
desarrollo

conocimiento(actividades
operativas)
• SO 5 Actividades comunes de
la operación del servicio
servidores
tecnologia (especialmente
en SO)
• SO Apéndice B
Comunicaciones en la
10.8 Intercambio de
información
• P02.3 Esquemade • P02 Definir la • SD 5.2 Gestión de losdatos y

10.8.1 Politicas y 10.0 Gestión de las clasificación de datos arquitectura de la la información
procedimientos para el comunicaciones y las información
• P06.2 Riesgo corporativo
intercambio de operaciones
y marco de referencia para • P06 Comunicar las
información
el control interno de TI aspiraciones y la
dirección de la
• DS11.1 Requerimientos
del negociopara la gestión gerencia
de los datos • DS1I Gestionar datos
• P02.3 Esquemade • P02 Definir la • SD 4.2.5.9 Desarrollar

10.8.2 Acuerdos de clasificación de datos arquitectura de la contratos y relaciones
intercambio información
• P03.4 Estándares • SD 4.7.5.3 Nuevos
tecnológicos • P03 Determinar la proveedores y contratos
• AI5.2 Gestión de contratos
orientación tecnológica • SD 4.7.5.5 Renovación y/o
con proveedores • AI5Adquirirrecursos término de contratos
de TI
• DS2.3Gestiónde riesgos • SD 5.2 Gestión de los datos y
de proveedores • DS2 Gestionar los la información
10.8.3 Medios de • DS11.6 Requisitos de • DS11 Gestionar datos • SD 5.2 Gestión de los datos y
almacenamiento físico seguridad para la gestión la información
en tránsito de datos

AlineandoCobiT»4.1, ITIL®V3 e ISO/IEC 27002 en beneficio de laempresa

información de soporte 'SO/IEC 27002 COBIT 4.1 de COBIT
• DS5.8 Gestión de llaves • DS5 Garantizar la • SD5.2 Gestión de los datos y

10.8.4Mensajería criptográficas seguridad de los la información
electrónica sistemas
• DS11.6 Requisitos de
seguridad para la gestión • DS11 Gestionar datos
de datos
10.8.5 Sistemas de • DS11.6 Requisitos de • DS11 Gestionar datos • SD5.2 Gesfión de los datos y
información del negocio seguridad para la gestión la información
de datos
10.9 Servicios de
comercio electrónico
• AC4 Integridad y validez • AC Controles de • SD5.2 Gestiónde los datos y

10.9.1 Comercio del procesamiento aplicación la información
electrónico
• AC6 Autenticación e • DS5 Garantizar la
integridadde seguridad de los
transacciones sistemas
datos sensitivos
• AC3 Verificaciones de • AC Controles de • SD5.2 Gestión de los datos y

10.9.2 Transacciones exactitud, totalidad, y aplicación la información
en linea autenticidad
• AC4 Integridad y validez

del procesamiento
• AC5 Revisión de salidas,
reconciliación y manejode
errores
• AC6 Autenticación e
integridad de
transacciones

10.9.3 Información de y marco de referencia del aspiraciones y la
dominio público control interno de TI dirección de la
gerencia
10.10 Monitoreo
• AI2.3Control y • AI2 Adquiriry • SO 5.4 Gestión y soporte de

10.10.1 Logs de auditabilidad de las mantener el software servidores
auditoría aplicaciones aplicativo
• DS5.7 Protección de la • DS5 Garantizar la
tecnología de seguridad seguridad de los
sistemas
• DS5.5 Pruebas, vigilancia • DS5 Garantizar la • SO 4.5.5.6 Eliminar o

10.10.2 Monitoreo del y monitoreode la seguridad de los restringir privilegios
uso de los sistemas seguridad sistemas
• ME1.2 Definición y • ME1 Monitorear y de la informacióny la
recolección de los datos de evaluar el desempeño operación del servicio
monitoreo de TI
• SD4.2.5.10 Reclamos y
• ME2.2 Revisiones de • ME2 Monitoreary reconocimientos
supervisión evaluar el control
• CSI 4.1c Paso 3 —
interno
• ME2.5 Aseguramiento del Recolección de datos
control interno • ME4 Proporcionar • CSI 4.1 d Paso 4 — Procesar
• ME4.7 Aseguramiento gobierno de TI los datos
independiente
• DS5.5 Pruebas, vigilancia • DS5 Garantizar la • SO 4.5.5.6 Inhabilitar o
10.10.3 Protección de y monitoreo de la seguridad de los restringirel acceso
logs seguridad sistemas
• DS5.7 Protección de la servidores
tecnología de seguridad • SO 5.13 Gestión de seguridad


• DS5.5 Pruebas, vigilancia • DS5 Garantizar la • SO 4.5.5.6 Inhabilitar o

10.10.4 Logsde 10.0 Gestión de las y monitoreo de la seguridad de los restringirel acceso
administrador y de comunicaciones y las seguridad sistemas • SO 5.4 Gestión y soporte de
operador operaciones • ME2 Monitorear y servidores
• DS5.7 Protección de la
tecnologíade seguridad evaluar el control • SO 5.13 Gestiónde seguridad
interno de la información y la
• ME2.2 Revisiones de
supervisión operación del servicio
• ME2.5 Aseguramiento del
control interno
• AI2.3Control y • AI2 Adquirir y • SO 5.4 Gestión y soporte de

10.10.5Logs de errores auditabilidad de las mantener el software servidores
aplicaciones aplicativo
• DS5.7 Protección de la • DS5 Garantizar la
tecnologíade seguridad seguridadde los
sistemas

10.10.6 Sincronizactón tecnologíade seguridad seguridadde los servidores
de relojes sistemas
11.1 Requisitos del 11.0 Control de acceso

negocio para el control
de acceso
• P02.2 Diccionario de datos • P02 Definir la • SD 4.6.4 Políticas, principios

11.1.1 Politicas de control empresarial y reglas de arquitecturade la y conceptos básicos
de acceso sintaxis de los datos información
• P02.3 Esquema de • P06 Comunicar las seguridad (coberturade alto
clasificación de datos aspiracionesy la nivel, sin detalle)
dirección de la
• P06.2 Riesgo corporativo • SD 5.2 Gestión de los datos y
gerencia
y marco de referencia del la información
control interno de TI • DS5 Garantizar la
seguridad de los tecnológicas
• DS5.2 Plan de seguridad
sistemas
de TI • SO 4.5 Gestión de accesos
identidad acceso
• DS5.4 Gestión de cuentas • SO 4.5.5.2 Verificación

de usuario
• SO 4.5.5.5 Registra y
11.2 Gestión de
accesos de usuarios
• DS5.4 Gestión de cuentas • DS5 Garantizar la • SO 4.5 Gestión de accesos

11.2.1 Registro de de usuario seguridad de bs • SO 4.5.5.1 Peticiones de
usuarios sistemas
acceso



información de soporte ISO/IEC 27002 COBIT4.1 de COBIT
•-•-
11.2.2 Gestión de de usuario seguridad de los • SO 4.5.5.1 Peticiones de
privilegios sistemas acceso
restrinqír privileqios
• DS5.3 Gestión de • DS5 Garantizarla • SO 4.5 Gestión de accesos
11.2.3 Gestión de identidad seguridad de los • SO 4.5.5.1 Peticiones de
contraseñas de usuarios sistemas acceso
servidores
11.2.4 Revisión de de usuario seguridad de los • SO 4.5.5.1 Peticiones de
derechos de acceso de sistemas acceso
usuarios
11.3 Responsabilidades
de usuario

11.3.1 Uso de y marco de referencia del aspiraciones y la
contraseñas control interno de TI dirección de la
• DS5.4 Gestión de cuentas gerencia
de usuario • DS5 Garantizar la
seguridad de los
sistemas
• P06.2 Riesgocorporativo • P06 Comunicar las • SO 5.4 Gestión y soporte de

11.3.2Equipos y marco de referencia del aspiraciones y la servidores
desatendidos de usuario control interno de TI dirección de la
• DS5.7 Protección de la gerencia
tecnologíade seguridad • DS5 Garantizar la
seguridad de los
sistemas
• P06.2 Riesgocorporativo • P06 Comunicar las • SO 5.4 Gestión y soporte de

11.3.3 Políticas de y marco de referencia del aspirxiones y la servidores
escritorios y pantallas control interno de TI dirección de la
limpias • DS5.7 Protección de la gerencia
seguridad de los
sistemas
<B 2008 IT GOVERNANCE INSTITUTE. TODOS LOS DERECHOS RESERVADOS. 112


ISO/IEC 27002 „ _. Referencia ITIL v3 1
1
11.4 Control de acceso 11.0 Control de acceso
detección y corrección de seguridadde los
ala red Software malicioso sistemas
• DS5.9 Prevención, • DS5 Garantizar la • SO 5.5 Gestión de redes

11.4.1 Politicas de uso detección y corrección de seguridadde los
de bs servicbs de red Software malicioso sistemas
datos sensitivos

11.4.2 Autenticación de detección y corrección de seguridadde los
usuario para conexiones Software malicioso sistemas
extemas
datos sensitivos
• DS5.7 Protección de la • DS5 Garantizar la • SO 5.4 Gestióny soporte de

11.4.3 identificación de tecnología de seguridad seguridadde los servidores
equipos en redes sistemas
• DS5.9 Prevención,
detección y corrección de • DS9 Gestionar la
• ST4.1.5.2 Preparación para
Software malicioso configuración
• DS5.11 Intercambio de • ST 4.3.5.3 Identificación de la
datos sensitivos configuración
• DS9.2 Identificación y • ST 4.3.5.4 Control de la
mantenimiento de configuración
elementos de la
configuración • ST 4.3.5.5 Contabilización y
registrode estados

11.4.4 Protección de tecnología de seguridad seguridadde los servidores
puertos deconfiguración sistemas
• DS5.9 Prevención,
y degnóstico remoto
detección y correcciónde
Software malicioso
• DS 5.11 Exchangeof
sensitive data

11.4.5 Segregación en detección y correcciónde seguridad de los
redes Software malicioso sistemas
datos sensitivos

11.4.6 Control de detección y correcciónde seguridad de los
conexbnes en la red Software malicioso sistemas
datos sensitivos

11.4.7 Control de detección y correcciónde seguridad de los
enrutamiento en la red Software malicioso sistemas
datos sensitivos


ISO/IEC 27002
11.5 Control de acceso

alsistema operativo
> DS5.4 Gestión de cuentas »DS5 Garantizar la • SO 4.5 Gestión de accesos

11.5.1 Procedimientos de usuario seguridad de los
seguros de inicio de sistemas
sesión > DS5.7 Protección de la acceso
• SO4.5.5.3 Habilitar privilegios

• SO4.5.5.5 Registro y
• SO5.4Gestión y soportede
servidores
>DS5.3 Gestión de • DS5 Garantizar la • SO 4.5 Gestión de accesos

11.5.2 Identificación y identidad seguridad de los
autenticación de usuario • SO 4.5.5.1 Peticiones de accest
sistemas
• SO4.5,5.3Habilitar privilegios
• SO 4.5.5.5Registro y
servidores
>DS5.4 Gestión de cuentas • DS5 Garantizar la • SO 4.5 Gestión de accesos

11.5.3 Sistema de de usuario seguridad de los
gestiónde contraseñas • SO 4.5.5.1 Peticiones de accesr.
sistemas
• SO4.5.5.3 Habilitar privilegios

• SO4.5.5.5 Registro y
seguimientode accesos
• AI6.3 Cambios de >AI6 Gestionar cambios • ST 4.2.6.9 Cambios de

11.5.4 Uso de utilitarios 11.0 Control de acceso
emergencia emergencia
del sistema > DS5 Garantizar la
• DS5.7 Protección de la seguridadde los • SO5.4Gestión y soportede
tecnología de seguridad sistemas servidores
p DS5.7 Protección de la • DS5 Garantizar la >SO 5.4 Gestióny soporte de

11.5.5 Período de tecnología de seguridad seguridad de los servidores
inactividad de sesión
sistemas

tecnología de seguridad seguridad de los servidores
11.5.6 Limitación del
sistemas
tiempode conexión


11.6 Control de acceso

a la información y a la
aplicación

11.6.1 Restricckxi de de usuario seguridad de los
acceso a la información sistemas
acceso
• SO 4,5.5.3 Habilitarprivilegios
• AI1.2 Reporte de análisis • AI1 Identificar • SD 2.4.2 Alcance

11.6.2 Aislamiento de de riesgos soluciones
• SD 3.6 Aspectos de diseño
sistemas sensitivos automatizadas
• AI2.4Seguridady
disponibilidad de las • AI2Adquirir y
aplicativo • SD 4.5.5.2 Etapa 2-
Requisitosy estrategia
seguridad de los • SO 4.4.5.11 Errores
• DS5.10 Seguridadde la
sistemas detectados en el entorno de
red
desarrollo
datos sensitivos
servidores
11.7Computación
móvily teletrabajo
• P06.2 Riesgo corporativo • P06 Comunicar las • SD 4.6.4 Políticas, principios

11.7.1 Computación móvil y marco de referencia del aspiraciones y la y conceptos básicos
y lascomunicaciones control interno de TI dirección de la
gerencia
• DS5.2 Plan de seguridad seguridad (cobertura de alto
de TI • DS5 Garantizar la nivel, sin detalle)
seguridad de los
• DS5.3 Gestión de • SO 5.4 Gestión y soporte de
sistemas
identidad servidores
tecnologíade seguridad
• P03.4 Estándares • P03 Determinar la • SD 4.6.4 Políticas, principios

11.7.2Teletrabajo tecnológicos orientación tecnológica y conceptos básicos
• P06.2 Riesgo corporativo • P06 Comunicar las • SD 4.6.5.1 Controles de
y marco de referencia del aspiraciones y la seguridad (cobertura de alto
control interno de TI dirección de la nivel, sin detalle)
gerencia
• DS5.2 Plan de seguridad • SO 5.4 Gestión y soporte de
de TI • DS5 Garantizar la servidores
seguridad de los
sistemas
identidad


., ...
información _
de soporte ISO/IEC 27002 COBIT 4.1
%>*>•»• •».• de COBIT
12.1 Requisitos de 12.0Adquisición,

seguridadde los desarrollo y
sistemas de mantenimiento de
información sistemas de
información
• Al1.2 Reportede análisis • AI1 Identificar • SD 2.4.2 Alcance

12.1.1 Análisis y de riesgos soluciones
especificación de • SD3.6 Aspectos de diseño
automatizadas
requisitos de seguridad • AI2.4Seguridady
disponibilidad de las • AI2Adquirir y
aplicativo • SD4.5.5.2 Etapa 2 —
• AI3.2 Protección y
Requisitosy estrategia
disponibilidadde la • AI3Adquirir y
infraestructura mantenerla • SO 4.4.5.11 Errores
infraestructura detectados en el entorno de
tecnológica desarrollo
seguridad
servidores
122 Procesamiento
correcto en
aplicaciones
• AI2.3Control y • AI2Adquirir y
12.21 Validación de
auditabilídad de las mantener el software
datos de entrada
• AI2.3Control y • AI2Adquiriry
12.2.2. Control de
auditabilídad de las mantener el software
procesamiento interno
• AI2.3Control y • AI2Adquirir y • SD 3.6.1 Diseño de
12.2.3 Integridad de auditabilídad de las mantener el software soluciones de servicios
mensajes aplicaciones aplicativo
• AI2.4Seguridady • DS5 Garantizar la detectados en el entorno de
disponibilidad de las seguridad de los desarrollo
aplicaciones sistemas
• DS5.8 Gestión de llaves

criptográficas
• AI2.3 Controly • AI2Adquiriry
1224 Validación de datos auditabilídad de las mantener el software
de salida aplicaciones aplicativo
12.3 Controles
criptográficos
• P06.2 Riesgocorporativo • P06 Comunicar las • SD 3.6.1 Diseño de

12.3.1 Políticas de uso de y marco de referenciadel aspiraciones y la soluciones de servicios
controlescriptográficos control interno de TI dirección de la
gerencia
• AI2.4 Seguridad y detectados en el entorno de
disponibilidad de las • AI2Adquiriry desarrollo
aplicativo
• DS5.8 Gestión de llaves
criptográficas • DS5 Garantizar la
seguridad de los
sistemas
• DS5.8 Gestión de llaves • DS5 Garantizar la

12.3.2 Gestión de claves criptográficas seguridad de los
sistemas
¡D 2008 IT GOVERNANCE INSTITUTE. TODOS LOS DERECHOS RESERVADOS. 116


12.4 Seguridad de
archivos del sistema

12.4.1 Control del tecnologíade seguridad seguridadde los servidores
software de operaciones sistemas
• DS9.1 Repositorio y linea • SS 8.2 Interfaces del servicio
base de configuración • DS9 Gestionar la
configuración
• ST 4.3.5.2 Gestión y
planificación
• AI3.3 Mantenimiento de la • AI3Adquirir y • SD 4.7.5.4 Gestión y

12.4.2 Protección de los infraestructura mantener la desempeño de proveedores y
datos de prueba de infraestructura contratos
• DS2.4 Monitoreo del
sistema tecnológica
desempeño de • SD 5.2 Gestión de los datos y
proveedores • DS2 Gestionar los la información
• DS9.1 Repositorio y linea • SO 5.4 Gestión y soporte de
base de configuración • DS9 Gestionar la servidores
configuración
• DS9.2Identificación y • SO 5.5 Gestión de redes
mantenimiento de • DS11 Gestionar datos
elementos de la
bases de dalos
configuración
• SO 5.8 Gestión de servicios
• DS11.6 Requisitos de
de directorio
de datos • SO 5.9 Soportede estaciones
de trabajo
middieware

• ST 4.3.5.2 Gestióny
planificación
configuración
configuración
registro de estados
• AI2.4Seguridad y • AI2 Adquirir y • SD 3.6.1 Diseño de

12.4.3 Control de acceso disponibilidad de las mantener el software soluciones de servicios
al código fuente de los aplicaciones aplicativo
• SD 5.2 Gestión de los datos y
programas
• AI7.4Ambiente de pruebas • AI7Instalary acreditar la información
• AI7.6 Pruebas de cambios • SO 4.4.5.11 Errores
• DS11 Gestionar datos detectados en el entorno de
• DS11.3Sistema de gestión
desarrollo
• ST 3.2.14 Mejora proactiva de
• DS11.6Requisitosde
de datos
• ST 4.4.5.3 Construccióny
pruebas
del servicio

fin de pruebas y reportar


12.5 Seguridad en 12.0Adquisición,

procesos de desarrollo desarrollo y
y soporte mantenimiento de
sistemas de
información
• AI2.6 Actualizaciones • AI2Adquirir y • ST 4.2.6.2 Crear y registrarla

12.5.1 Procedimientos de importantesen sistemas mantener el software solicitud de cambio
control de cambios existentes aplicativo
• AI6.2 Evaluación de • AI6 Gestionar cambios de cambio
impacto,priorización y
• AI7 Instalar y acreditar • ST 4.2.6.4 Valorary evaluar
autorización
soluciones y cambios el cambio
emergencia
cambio
• AI7.2 Plande pruebas
implementacióndel cambio
• ST 4.2,6.8 Consejo consultivo
de cambios
emergencia
• ST 4.5.5.1 Gestión de
pruebas y validación
• ST 4.5.5.2 Planificar y diseñar
pruebas
• ST 4.5.5.3 Verificar el plan y
el diseño de pruebas
entorno de pruebas

menú
• SO 4.3.5.3 Otras
aprobaciones
• AI2.4Seguridad y • AI2Adquirir y • SD 3.6.1 Diseño de

12.5.2 Revisión técnica disponibilidad de las mantener el software soluciones de servicios
de las aplicaciones luego aplicaciones aplicativo
de cambios eriel sistema • SO 4.4.5.11 Errores
operativo • AI3.3 Mantenimiento de la • AI3Adquirir y detectados en el entorno de
infraestructura mantener la desarrollo
infraestructura
• AI7.2 Plande pruebas • SO 5.4 Gestión y soporte de
tecnológica
servidores
• AI7.4Ambiente de pruebas
• AI7.6 Pruebas de cambios solucionesy cambios
• AI7.7 Pruebas de • DS9 Gestionar la
bases de datos
aceptación final configuración
• SO 5.8 Gestión de servicios
• DS9.3 Revisión de
de directorio
integridad de la
configuración • SO 5.9 Soporte de estaciones
de trabajo
middieware

servidores
para licénciamiento,indicado
en SO)


• ST3.2.14 Mejoraproactiva de
12.5.2 Revisión técnica la calidad durante la
de las aplicaciones luego transición del servicio
de cambios en el sistema
operativo (cont.)
• ST4.3.5.6 Auditoría y
verificación
• ST 4.4.5.3 Construccióny
pniebas
del servicio
• ST 4.5.5.1 Gestión de
pruebas y validxión
• ST 4.5.5.2 Planificar y diseñar
pruebas
• ST 4.5.5.3Verificar el plan y
el diseño de pruebas
entorno de pruebas
• AI2.5Configuración e • AI2Adquiriry • SD 3.2 Diseño balanceado

12.5.3 Restricciones en 12.0 Adquisición, implementación de mantener el software
los cambios a los desarrollo y • SD3.7.2Adquisición de la
software de aplicación aplicativo
solución elegida
paquetes de software mantenimiento de adquirido
• AI6 Gestionar cambios
sistemas de • ST4.1.4 Politicas, principios y
información • AI6.1 Estándares y
• DS9 Gestionar la conceptos básicos
procedimientos para
configuración
cambios • ST3.2 Políticas para la
• AI6.2 Evaluación de
impacto, priorización y • ST 3.2.1 Definiré
autorización implementar una politica
formal para la transición del
servicio
emergencia
• ST 3.2.2 Implementartodos
• DS9.2 Identificación y
los cambios a los servicios a
mantenimiento de
través de la transición del
elementos de la
servicio
configuración
• ST 3.2.7 Establecer controles
y disciplinas eficaces
• ST 4.1 Planificación y soporte
para la transición
• ST 4.2.6.2 Crear y registrar la

solicitud de cambio
• ST 4,2.6.3 Revisar la solicitud

de cambio
• ST 4.2.6.4 Valorar y evaluar

el cambio
cambio
de cambios
emergencia


información de soporte 'SO/IEC 27002 COB.T4.1 de COBIT
12.5.3 Restricciones en configuración
los cambios a los
paquetes de software • ST 4.3.5.4 Control de la
(cont.) configuración
registro de estados
• S04.3.5.1 Selecciónpor
menú
• SO 4.3.5.3 Otras
aprobaciones
• AI2.4 Seguridad y • AI2Adquirir y • SD 3.6.1 Diseño de

12.5.4 Fuga de disponibilidad de las mantener el software soluciones de servicios
información aplicaciones aplicativo
• AI7.7 Pruebas de • AI7Instalar y acreditar detectados en el entorno de
aceptación final soluciones y cambios desarrollo
• ST4.4.5.4Pniebas y pilotos
del servicio
• ST 4.5.5.5 Ejecutarpruebas
• P08.3 Estándares para • P08 Gestionar la • SD 3.6 Aspectosde diseño

12.5.5 Outsourcing de desarrollos y adquisiciones calidad
desarrollo de software • SD 3.7.3 Desarrollar la
• AI2.7 Desarrollo de • AI2 Adquirir y solución del servicio
software aplicativo mantener el software
aplicativo
• AI5.2 Gestión de contratos al servicio
con proveedores • AI5 Adquirir recursos
• SD 3.11 Modelos para el
de TI
• DS2.4 Monitoreo del diseño de los servicios
desempeño de • DS2 Gestionar los
proveedores servicios de terceros
• SD 4.7.5.4 Gestión y
desempeño de proveedores y
contratos
• SD 5.3 Gestión de
aplicaciones
tecnológicas
• ST 3.2.3 Adopción de
trabajocomún
• ST 4.1.4 Politicas, principiosy
conceptos básicos
transición


12.6 Gestión de
vulnerabilidades
técnicas
• AI3.3 Mantenimiento de la • AI3Adquirir y • SO 4.3.5.1 Selección por

12.6.1 Control de infraestructura mantener la menú
vulnerabilidades técnicas infraestructura
• AI6.2 Evaluación de • SO 4.3.5.3 Otras
tecnológica
impacto, priorización y aprobaciones
autorización • AI6 Gestionar cambios
• Al6.3 Cambios de • DS5 Garantizar la restringir privilegios
emergencia seguridad de los
sistemas
• DS5.5 Pruebas, vigilancia de la información y la
y monitoreode la • DS9 Gestionar la operación del servicio
seguridad configuración
• SO 5.4 Gestióny soportede
• DS9.2 Identificación y
mantenimiento de
bases de datos
elementos de la
configuración • SO 5.8 Gestión de servicios
de directorio
• SO 5.9 Soporte de estaciones

de trabajo
middieware

• ST 4.2.6.2 Crear y registrarla

solicitud de cambio

de cambio
• ST 4.2.6.4 Valorar y evaluar

el cambio
cambio
de cambios
emergencia
configuración
configuración
• ST4.3.5.5 Contabilización y
registro de estados


13.1 Reporte de 13.0 Gestión de

debilidades y eventos incidentes de
de seguridad de seguridad de
información información
• P09.3 Identificación de • P09 Evaluar y • SS 9.5 Riesgos

13.1.1 Reportede eventos gestionar los riesgos • ST 9 Desafios, factores
eventos de seguridad de de TI criticos de éxito y riesgos
• DS5.6 Definición de
información
incidente de seguridad • DS5 Garantizar la • SD4.5.5.2 Etapa 2 —
seguridad de los Requisitos y estrategia
• DS8.2 Registrode
sistemas • SD 4.6.5.1 Controles de
consultas de clientes
• DS8 Gestionar la mesa seguridad (coberturade alto
de servicios y los nivel, sin detalle)
incidentes • SD 4.6.5.2 Gestión de
brechas de seguridad e
incidentes
• SO 4.1.5.3 Detección de
eventos
• SO 4.1.5.4 Filtrado de
eventos
• SO 4.1.5.5 Significado de los
eventos
• SO 4.1.5.6 Correlación de
eventos
• S04.1.5.7Trigger
• SO 4.2.5.1 Identificación de
incidentes
• SO 4,2.5.2 Logde incidentes
incidentes
incidentes
• SO 4.2.5.5 Diagnósticoinicial
menú
• P09.3 Identificación de • P09 Evaluar y • SS 9.5 Riesgos

13.0 Gestión de
13.1.2Reporte de incidentes de eventos gestionar los riesgos • ST 9 Desafios, factores
debilidadesde seguridad seguridad de de TI criticosde éxito y riesgos
• DS5.5 Pruebas, vigilancia
de información información y monitoreode la • DS5 Garantizar la • SO 4.1.5.3 Detección de
seguridad seguridad de los eventos
sistemas • SO 4.1.5.4 Filtrado de
• DS5.6 Definición de
incidente de seguridad • DS8 Gestionar la mesa eventos
de servicios y los • SO 4.1.5.5 Significadode los
incidentes eventos
• DS8.2 Registrode eventos
• SO 4.1.5.7 Trigger
• DS8.3 Escalamiento de
• SO 4.1.5.8 Selección de
incidentes
respuestas
incidentes
• SO 4.2.5.2 Logde incidentes
incidentes
incidentes
• SO 4.2.5.5 Diagnóstico inicial
• SO 4.2.5.6 Escalamiento de
incidentes
• SO 4.2.5.7 Investigación y
diagnóstico


Referencia ITIL v3 1
ISO/IEC 27002
ISO/IEC 27002 COBIT 4.1 de COBIT 1
• SO 4.2.5.8 Resolucióny
recuperación
13.1.2 Reporte de
debilidadesde seguridad • SO 4.3.5.1 Selecciónpor
de información (cont.) menú
• SO 5.4 Gestióny soporte de
servidores
de trabajo
operación delservicio
• SD 4.5.5.2 Etapa2-
nivel,sin detalle)
• SD 4.6.5.2 Gestión de
brechas de seguridade
incidentes
13.2 Gestióny mejora de

Incidentes de seguridad
de información
• P06.1 Política y entorno • P06 Comunicar las • SS 6.4 Cultura organizacional

13.2.1 Responsabilidades de control de TI aspiracionesy la • SD 4.6.5.1 Controles de
y procedimientos • DS5.6 Definición de
dirección de la seguridad(cobertura de alto
gerencia nivel, sin detalle)
incidente de seguridad
• DS5 Garantizar la • SD 4.6.5.2 Gestión de
• DS8.2Registrode
seguridadde los brechas de seguridad e
sistemas incidentes
• DS8 Gestionar la mesa • SO 4.1.5.3 Detección de

de servicios y los eventos
incidentes • SO 4.1.5.4 Filtrado de
eventos
eventos
eventos
incidentes
incidentes
incidentes
menú
• P05.4 Gestión de costos • P05 Gestionar la • SS 5.1 Gestión financiera

13.2.2 Aprendiendo de de TI inversión en TI • ST 3.2.8 Proveer sistemas
los incidentes de • AI4.4 Transferencia de • AI4 Facilitar la para la transferenciade
seguridad de información conocimientoal personal operación y el uso conocimientos y el soporte de
de operaciones y soporte decisiones
• DS8 Gestionar la mesa
• DS8.4 Cierre de incidentes de servicios y los
• DS8.5Reportes y análisis
• ST 4 7 Gestión del
de tendencias • DS10 Gestionar
problemas
• DS10.1 Identificación y • SO 3.7 Documentación
clasificación de problemas


ISO/IEC 27002
Referencia ITIL v3
Información desoporte IS0/IEC 27002 COBIT 4.1 de COBIT
• DSI0.2 Seguimiento y • SO 4.1.5.9 Revisar acciones

13.2.2Aprendiendo de resolución de problemas
los incidentes de • SO 4.1.5.10 Cerrar eventos
seguridad de información • SO 4.2.5.9 Cierre de
(cont.) incidentes
• SO 4.4.5.2Log de problemas
• SO4.4.5.5 Investigación y
diagnóstico de problemas
• SO 4.4.5.6 Soluciones
provisionales
• SO 4.4,5.7 Registro de
errores conocidos
• SO 4.4.5.8 Resolución de
problemas
detectados en el entorno de
desarrollo

conocimiento(actividades
operativas)
servicio
• AI2.3 Control y • AI2Adquirir y • SD 4.6.5.1 Controles de

13.2.3 Recolección de auditabilídad de las mantener el software seguridad (cobertura de alto
evidencia aplicaciones aplicativo nivel, sin detalle)
• DS5.6 Definición de • DS5 Garantizar la • SD 4.6.5.2 Gestión de
incidentede seguridad seguridad de los brechas de seguridade
sistemas incidentes
tecnologíade seguridad • DS8 Gestionar la mesa • SO 4.1.5.3 Detección de
• DS8.2Registro de de serviciosy los

incidentes • SO 4.1.5.4 Filtrado de
eventos
• DS8.3 Escalamiento de
incidentes
eventos
• DS8.4 Cierre de incidentes • SO 4.1.5.6 Correlación de
eventos
respuestas
• SO 4.1.5.10 Cerrar eventos
incidentes
incidentes
incidentes
incidentes
diagnóstico
• SO 4.2.5.8 Resolución y
recuperación
• SO 4.2.5.9 Cierre de
incidentes
menú
• SO 5.4 Gestióny soportede
servidores
de trabajo
<S 2008 IT GOVERNANCE INSTITUTE. TODOS LOS DERECHOS RESERVADOS. 124


Referencia ITIL v3
ISO/IEC 27002 1SO„EC2?002 ce™ de COBIT
14.1 Inclusión de SI en 14.0 Gestión de

el proceso BCP continuidad de
negocios
• P03.1 Planeamiento de la • P03 Determinar la • SS 8 Estrategiay tecnología

14.1,1 Incluir seguridad orientación tecnológica orientación tecnológica • SS 9.5 Riesgos
de información en el • P09.1 Marco de trabajo de • P09 Evaluar y • SD 4.4.5.2 Actividades
proceso degestión BCP gestión de riesgos gestionarlos riesgos proactívas de la gestión de la
de TI disponibilidad
• P09.2 Establecimiento del
contexto del riesgo • DS4 Garantizar la • SD 4.5 Gestión de
continuidad del servicio continuidad de servicios de TI
• DS4.1 Marco de trabajo de
continuidad de TI • DS8 Gestionar la mesa • SD4.5.5.1 Etapa 1 — Inicio
de serviciosy los
• DS4.3 Recursos criticos de • SD4.5.5.2Etapa 2 —
incidentes
TI Requisitos y estrategia
• DS4.8Recuperacióny • SD4.5.5.4 Etapa 4-
reanudación de los Operación continua
servicios de TI
• DS8.3 Escalamiento de respuestas
incidentes
incidentes
• SO 4.2.5.7Investigación y
diagnóstico
• SO 4.2.5.8 Resolución y
recuperación
de trabajo
• P09.1 Marco de trabajo de • P09 Evaluar y • SS 9.5 Riesgos

14.1.2 Continuidad del gestión de riesgos gestionar los riesgos • ST 4.6 Evaluación
negocioy evaluación de • P09.2 Establecimiento del
de TI
riesgos contexto del riesgo • DS4 Garantizar la continuidad de servicios de TI
continuidad del servicio
• P09.4 Evaluación de • SD 4.4.5.2 Actividades
riesgos de TI proactívas de la gestión de la
• DS4.1 Marco de trabajo de disponibilidad
continuidad de TI • SD 4.5 Gestión de
• DS4.3 Recursos criticos de continuidad de servicios de TI
TI • SD4.5.5.1 Etapa 1 — Inicio
• SD4.5.5.2 Etapa 2 —
• SD4.5.5.4 Etapa 4 -
Operación continua
• SD 8.1 Análisisde impacto en
el negocio
• DS4.2 Planes de • DS4 Garantizar la • SD 4.4.5.2 Actividades

14.1.3 Inclusión de SI en continuidad de TI continuidad del servicio proactívas de la gestión de la
el desarrollo e disponibilidad
• DS4.8 Recuperación y
implementación de reanudación de los • SD4.5.5.2Etapa 2-
planes de continuidad servicios de TI Requisitos y estrategia
• SD 4.5.5.3 Etapa 3 —
Implementación
• SD 4.5.5.4 Etapa 4 —
Operacióncontinua
• SD Apéndice K Contenido
tipicode un plan de
recuperación
<E> ZOOS IT GOVERNANCE INSTITUTE. TODOS LOS DERECHOS RESERVADOS. 125

Clasificaciones Áreasclave Objetivos de control Procesos TI

ISO/IEC 27002
Referencia ITIL v3
• DS4.1 Marco de trabajode • DS4 Garantizar la • SD 4.5 Gestión de

14.1.4Marco de trabajo continuidad de TI continuidad del servicio continuidad de servicios de TI
de BCP
• DS8.1 Mesa de servicios • DS8 Gestionar la mesa • SD4.5.5.1 Etapa 1-Inicio
• DS8.3 Escalamiento de de servicios y los
• SO 4.1 Gestión de eventos
incidentes incidentes
respuestas
• SO 4.2 Gestión de incidentes
incidentes
diagnóstico
• SO4.2.5.8 Resolución y
recuperación
de trabajo
• P03.1 Planeamiento de la • P03 Determinar la • SS 8 Estrategia ytecnología

14.1.5 Pruebas, orientación tecnológica orientxión tecnológica
mantenimiento y re • SD 4.5.5.3Etapa3 —
• DS4.4 Mantenimiento del • DS4 Garantizar la Implementación
evaluación del BCP
plan de continuidad de TI continuidad del servicio
• SD4.5.5.4Etapa4-
• DS4.5 Pruebas del plan de Operación continua
continuidad de TI
• DS4.6 Entrenamiento en el
plan de continuidad de TI
• DS4.7Distribución del plan
de continuidad de TI
• DS4.10 Revisión post

reanudación
14.1.5 Pruebas, 14.0 Gestión de

mantenimientoy re continuidad de
evaluación del BCP negocios
15.1 Cumplimiento de 15.0 Cumplimiento

requisitos legales
• P04.8 Responsabilidad • P04 Definir los • SD 6.4 Rolesy

15.1.1 Identificación de sobre el riesgo, la procesos, organización responsabilidades
legislaciónaplicable seguridad y el y relaciones de TI
cumplimiento
• ME3 Garantizar el
• ME3.1 Identificación de los cumplimiento de
requisitoslegales, requisitosexternos
regulatorios y de
cumplimientocontractual
• P04.8 Responsabilidad • P04 Definir los • SD 6.4 Roles y

15.1.2 Derechos de sobre el riesgo, la procesos, organización responsabilidades
propiedad intelectual seguridad y el y relaciones de TI
cumplimiento
• P04.8 Responsabilidad • P04 Definir los • SD 5.2 Gestión de los datos y

15.1.3 Protección de sobre el riesgo, la procesos, organización la información
registros seguridad y el y relaciones de TI
• SD 6.4 Rolesy
organizac'ronales cumplimiento
• DS11 Gestionar datos responsabilidades
• DS11.2Acuerdos para el
• SO 5.6 Almacenamiento y
almacenamiento y la
archivo
conservación


Referencia ITIL v3 1
ISO/IEC 27002 (SO/|EC27002 COB.T4.! de COBIT
información de soporte 1
• P04.6 Establecerrolesy • P04 Definir los • SS 2.6 Funciones y procesos
15.1.4 Protección de
datosy privacidad de la y relaciones de TI • ST 6.3 Modelos
información personal sobre el riesgo,la • DS2 Gestionar los organizacionalespara apoyar
seguridady el servicios de terceros la transición de servicios
cumplimiento • ME3 Garantizar el • SO 6.6 Roles y
• DS2.2 Gestión de cumplimiento de responsabilidades en la
relaciones con requisitos externos operación delservicio
proveedores • SD 4.7.5.2 Clasificación de
• ME3.1 Identificación de los proveedores y mantenimiento
requisitos legales, de la base de datos de
regulatorios y de proveedores y contratos
cumplimiento contractual • SD 4.7.5.4 Gestión y
• ME3.3 Evaluación del desempeñode proveedores y
cumplimiento con contratos
requerimientosexternos • SD 4.2.5.9 Desarrollar
• ME3.4Aseguramiento contratos y relaciones
positivo delcumplimiento • SD 4.7.5.5 Renovación y/o

• SD 6.4 Roles y
responsabilidades
• CSI6 Organización para la
• P04.14 Politicas y • P04 Definir los • ST 4.1.5.2 Preparación para

15.1.5 Prevención del 15.0 Cumplimiento procedimientos para el procesos, organización la transición del servicio
uso indebido de personal contratado y relaciones de TI • ST 4.3.5.3 Identificación de la
instalaciones de • P06.2 Riesgo corporativo • P06 Comunicar las configuración
procesamientode y marcode referencia del aspiraciones y la • ST 4.3.5.4 Control de la
información control interno de TI dirección de la configuración
gerencia
• DS9.2 Identificación y • ST 4.3.5.5 Contabilización y
mantenimiento de • DS9 Gestionar la registrode estados
configuración • ST 4.3.5.6 Auditoria y
verificación
• DS9.3 Revisión de
integridad de la • SO 5.4 Gestión y soporte de
configuración servidores
en SO)
• P04.8 Responsabilidad • P04 Definir los

15.1.6 Regulación de sobre el riesgo,la procesos, organización
controles criptográficos seguridad y el y relacionesde TI
cumplimiento • DS5 Garantizar la
• DS5.8 Gestión de llaves seguridad de los
criptográficas sistemas


ISO/IEC 27002
Referencia ITIL v3
Información de soporte IS0,IEC 27002 de COBIT
15.2Cumplimientos
técnicos, de estándares
y de políticasde
seguridad
• P04.8 Responsabilidad • P04 Definir los

15.2.1 Cumplimiento con sobre el riesgo, la procesos, organización
politicas y estándares de seguridad y el y relaciones de TI
seguridad cumplimiento
• P06 Comunicar las
• P06.2 Riesgo corporativo aspiraciones y la
y marco de referencia del dirección de la
control interno de TI gerencia
• ME2.1 Monitoreo del • ME2 Monitorear y
marco de trabajo de control evaluar el control
interno interno
• ME2.2 Revisiones de
supervisión
• ME2.3 Excepciones de
control
• ME2.4 Autoevaluación de
control
• ME2.5Aseguramientodel
control interno
• ME2.6Control interno para

terceros
• ME2.7 Acciones
correctivas
• DS5.5 Pruebas, vigilancia > DS5 Garantizar la • SO 4.5.5.6 Eliminar o

15.2.2 Verificación de y monitoreo de la seguridad de los restringir privilegios
cumplimiento técnico seguridad sistemas
• SO 5.4 Gestióny soporte de
• DS5.7 Protección de la >ME2 Monitoreary servidores
tecnología de seguridad evaluar el control
interno
• ME2.5Aseguramientodel de la Información y la
control interno operación delservicio
15.3 Consideraciones
de auditoría de
sistemas de
información
• AI2.3 Control y »AI2Adquirir y • SO 4.5.5.6 Eliminar o

15.3.1 Controles de auditabilídad de las mantener el software restringir privilegios
auditoria de sistemas de aplicaciones aplicativo
información • SO5.13Gestión de seguridad
>DS5.5 Pruebas, vigilancia > DS5 Garantizar la de la información y la
y monitoreo de la seguridad de los operación del servicio
seguridad sistemas
i ME2.5 Aseguramientodel >ME2 Monitoreary

control interno evaluar el control
interno
>AI2.3 Control y • AI2Adquiriry • SD 3.6.1 Diseño de

15.3.2 Protección de 15.0 Cumplimiento auditabilídad de las mantener el software soluciones de servicios
herramientas de aplicaciones aplicativo
auditoria de sistemas c • SO 4.4.5.11 Errores
información
>AI2.4Seguridad y • DS5 Garantizar la detectados en el entorno de
disponibilidad de las seguridad de los desarrollo
aplicaciones sistemas

Apéndice IV: COBIT y productos relacionados

Las versiones 4.xdel marco de referencia CobiT, incluyen lo siguiente:
• Marco de trabajo: Explica cómo es que CobiT organiza el gobierno de TI, la gestión, los objetivos de
control ylas mejoras prácticas en dominios yprocesos de TI, ylos vincula alos requisitos de la empresa.
• Descripción de procesos: Incluye 34 procesos de TI que cubren las áreas de responsabilidad de TI de
principio a fin.
• Objetivos de control: Proporciona los objetivos genéricos de gestión de mejores prácticas para los
procesos de TI.
• Directrices de gestión: Ofrece herramientas para ayudar a asignar responsabilidades, medir el
desempeño, comparar y corregirlas brechas de capacidad.
• Modelos de madurez: Brinda los perfiles de los procesos de TI describiendo los posibles estados
presente y futuro.
El contenido básico de CobiT ha evolucionado desde su creación, incrementándose el número de trabajos
derivadosde él.Las siguientesson publicaciones actuales derivadasde CobiT:
• Board Bríefing on IT Governance, 2nd Edition: Diseñado para ayudar a los ejecutivos a entender la
importancia del gobierno deTI, cuáles son sus aspectos y cuál es la responsabilidad de la dirección para
su gestión.
• CobiT Online®: Permite que los usuarios puedan personalizar CobiT para supropia empresa, guardarla y
manejarla según sus necesidades. Brinda encuestas en tiempo real yen línea, FAQs, benchmarking yuna
herramienta de discusión para compartir experiencias y consultas.
• CobiT® Control Practices: Guidance toAchieve Control Objectivesfor Successful ITGovernance, 2ndEdition:
Proporciona una guía para evitar riesgos y obtener valor en la implementación de objetivos de control,
así como instrucciones para implementar estos objetivos. Estas prácticas de control son altamente
recomendables para utilizarlas conjuntamente con la guía IT Governance Implementatíon Guide: Using
CobiT® and Val IT™, 2nd Edition.
• IT Assurance Guide: Using CobiT®: Proporciona una guía para utilizar CobiT para soportaruna variedad
de actividades de aseguramiento y ofrece una secuencia sugerida de pruebas para todos los procesos y
los objetivos decontrol deTI deCobiT. Reemplaza la información en las Guías deAuditoría para auditar y
auto-evaluar contra los objetivos de control en CobiT® 4.1.
• IT Control Objectives for Sarbanes-Oxley: The Role of IT in the Design and Implementatíon ofInternal
Control Over Financial Reporting, 2nd Edition: Proporciona una guía para asegurar el cumplimiento enel
ambiente de TI basado en los objetivos de control de CobiT.
• IT Governance Implementatíon Guide: Using CobiT® and Val IT", 2nd Edition: Proporciona una hoja de
ruta genérica para la implementación del gobierno de TI utilizando CobiT, Val IT y un paquete de
herramientas de soporte.
• CobiT® Quickstart, 2nd Edition: Proporciona una línea base de control para pequeñas organizaciones y
un posible primer paso para empresas más grandes.
• CobiT® Security Baseline: An Information Security Survival Kit, 2nd Edition: Se focaliza en los pasos
esenciales para la implementación de la seguridad de la información en la empresa.
• Varios mapeos de CobiT, vigentes y disponibles en www.isaca.org/downloads:
- CobiT® Mapping: Mapping ofCMMl®for Development V1.2 With CobiT® 4.0
- CobiT® Mapping: Mapping of ISO/IEC 17799:2000 With CobiT®, 2ndEdition
- CobiT® Mapping: Mapping of ISO/IEC 17799:2005 With CobiT® 4.0
- CobiT® Mapping: Mapping ofITIL With CobiT® 4.0
- CobiT® Mapping: Mapping ofITIL V3 With CobiT® 4.1
- CobiT® Mapping: Mapping ofPMBOK With CobiT® 4.0
- CobiT® Mapping: Mapping ofPRINCE2 With CobiT® 4.0
- CobiT® Mapping: Mapping ofSEI'sCMMfor Software With CobiT® 4.0
- COBIT® Mapping: Mapping ofTOGAFB.l With CobiT® 4.0
- CobiT® Mapping: Overview of International ITGuidance, 2nd Edition
• Information Security Governance: Guidance for Boards of Directors and Executive Management, 2nd
Edition: Presenta a la seguridad de la información en términos de negocios. Contiene técnicas y
herramientas que ayudan a descubrir problemas relacionados con la seguridad.

Val IT es el término paraguas utilizado para describir las publicaciones y los futuros productos y
actividades adicionales que abordan el marco de referencia Val IT. Las publicaciones vigentes relacionadas
con Val IT son las siguientes:
• Enterprise Valué: Governance ofIT¡nvestments, The Val ITFramework 2.0, está basadoen el marco CobiT
y explica cómo esque una empresa puede obtener valor óptimo de las inversiones facilitadas por TI. Se
organiza en tres procesos [Gobierno del valor, Gestión del portafolio y Gestión de las inversiones) en
prácticas claves de gestión que impactan positivamente en el logro de propósitos o resultados deseados
de una actividad específica. Estas apoyan a los procesos de Val IT, jugando un rol similar a los objetivos
de control en CobiT.
• Enterprise Valué: Governance ofIT ¡nvestments, Getting Started With Valué Management: Esta publicación
brinda una sencilla guía para lograr iniciativas de gestión del valor para la empresa promovidas por
líderes organizacionales y ejecutivos de TI.
• Enterprise Valué: Governance ofIT¡nvestments, The Business Case, que se enfoca en un elemento clave del
proceso de gestión de inversiones.
Para una mayor y más actualizada información sobre CobiT, Val IT, productos relacionados, casos de
estudio, oportunidades de entrenamiento, publicaciones y otras noticias relacionadas, visite
www.isaca.org/cobitywww.isaca.org/valit.

Alineando Cobit 4.1 Itil V3 ISO27002 en Beneficio Del Negocio

Cargado por

Copyright:

Formatos disponibles

Alineando Cobit 4.1 Itil V3 ISO27002 en Beneficio Del Negocio

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Alineando Cobit 4.1 Itil V3 ISO27002 en Beneficio Del Negocio

Cargado por

Copyright:

Formatos disponibles

Alineando CobiT® 4.

La Oficina Gubernamental de Comercio

Acuerdo de Licencia de Uso (Disclosure)

IT Governance Institute Oficina Gubernamental de Comercio The Stationery Office

Alineando CobiT" 4.1, ITIL" V3 y ISO/IEC 27002 en beneficio de la empresa

2008 IT GOVERNANCE INSTITUTE. TODOS LOS DERECHOS RESERVADOS.

The Stationery Office

Comité Administrador de ITGI

S5 2008 IT GOVERNANCE INSTITUTE. TODOS LOS DERECHOS RESERVADOS.

Comité de Dirección CobiT

Patrocinadores y afiliados ITGI

Equipo de traducción y revisión en español

O 2008 IT GOVERNANCE INSTITUTE. TODOS LOS DERECHOS RESERVADOS.

Drivers del negocio para el uso de las mejores prácticas de TI 8

3. ¿Por qué la alta dirección necesita conocer las mejores prácticas? 9

4. ¿Por qué las mejores prácticas son importantes para la empresa? 10

Un marco de referencia de gestión de TI para apoyar a la empresa 11

Los beneficios para la empresa 12

5. COBIT, ITIL e ISO/IEC 27002: Lo que ofrecen y consideran 13

6. ¿Cuál es la mejor forma de implementar COBIT, ITIL e ISO/IEC 27002? 19

Alinear las mejores prácticas 22

Apéndice IV: COBIT y productos relacionados 129

2008 IT GOVERNANCE INSTITUTE. TODOS LOS DERECHOS RESERVADOS.

La creciente adopción de mejores prácticas de TI se explica porque la industria de TI requiere mejorar la

Las mejores prácticas de TI posibilitan y soportan:

Las descripciones de cada práctica puedenser encontradas en el cuerpoprincipal de este documento.

La implementación de las mejores prácticasdebería ser consistentecon el marco de controly la gestión de

<B 2008 IT GOVERNANCE INSTITUTE. TODOS LOS DERECHOS RESERVADOS.

2008 IT GOVERNANCE INSTITUTE. TODOS LOS DERECHOS RESERVADOS.

Indicadores del negocio para el uso de las mejores prácticas de TI

© 2008 IT GOVERNANCE INSTITUTE. TODOS LOS DERECHOS RESERVADOS.

3. ¿Por qué la alta dirección necesita conocer las mejores

Figura 1:Gruposde interés en aspectos de gestión de TI

¿Quién tiene interés primario?

¿La empresa está cumpliendo las disposiciones regulatorias? V ^ •1 -J

2008 IT GOVERNANCE INSTITUTE. TODOS LOS DERECHOS RESERVADOS.

4. ¿Por qué son importantes las mejores prácticas para la

Las mejores prácticas y los estándares ayudan a posibilitar un

2ITGI, "Board Briefingon ITGovernance", 2nd Edition, USA, 2003

© 2008 IT GOVERNANCE INSTITUTE. TODOS LOS DERECHOS RESERVADOS. 10

Un marco de referencia de gestión de TIpara apoyar a la empresa

2008 IT GOVERNANCE INSTITUTE. TODOS LOS DERECHOS RESERVADOS. 11

• El alineamiento estratégico, centrado en el alineamiento de TI con el negocio y con soluciones

Los beneficios para la empresa

La empresa también se beneficia de la mejora de eficiencias y reducción de costos:

2008 IT GOVERNANCE INSTITUTE. TODOS LOS DERECHOS RESERVADOS. 12

5. CobiT, ITIL e ISO/IEC 27002: Lo que ofrecen y consideran

CobiT es un marco de referencia globalmente aceptado para el gobierno de TI basado en estándares de la

Debido a que CobiT es un conjunto de herramientas y técnicas probadas y aceptadas internacionalmente,

© 2008 IT GOVERNANCE INSTITUTE. TODOS LOS DERECHOS RESERVADOS. 13

Las versiones 4.x de CobiT, incluyen lo siguiente:

La gestión de servicios de TI se refiere a la planificación, aprovisionamiento, diseño, implementación,

1ITGI, Enterprise Valué: Governance of IT Investments, TheVal IT Fromework 2.0, 2008.

2008 IT GOVERNANCE INSTITUTE. TODOS LOS DERECHOS RESERVADOS. 14

Figura2 — Pirámide de gestión de servicios de TI

2008 IT GOVERNANCE INSTITUTE. TODOS LOS DERECHOS RESERVADOS. 15

Figura3 — Tópicos principales ITIL

El esquema de calificación de ITIL {www.itil-officialsite.com/home/home.asp) ofrece la certificación de las

€> 2008 IT GOVERNANCE INSTITUTE. TODOS LOS DERECHOS RESERVADOS. 16