curso seguridad en operaciones de ti 23 ene 2013 v2

Especialización en Administración de Riesgos Informáticos IX

Seguridad en Operaciones

Protocolos y presentación

►Presentación del profesor ►Viernes de 6:05 P.M. a 8:45 ó 8:55 P.M. ►Sábados 7:05 A.M. a 8: 30 A.M.

Descanso de 30 minutos 9:00 A.M. a 12:00 ó 12:15 P.M.

►Presentación de los estudiantes (nombre y perfil profesional)

►Celulares apagados ►Todas las preguntas son válidas ►Expectativas

Objetivo del curso

►Al finalizar este curso los estudiantes serán capaces de:

Identificar los marcos de trabajo internacionales aceptados para contextualizar la seguridad de las operaciones de TI.

Identificar y entender los procesos de TI donde están inmersas la operaciones de TI.

Entender los objetivos de control, los generadores de valor y riesgo y las mejores prácticas de control

Propósito

►Estructurar en los asistentes a la Especialización en Administración de Riesgos Informáticos IX de la Universidad Externado de Colombia, un concepto práctico y aplicable en sus entornos de trabajo de lo que se considera SEGURIDAD DE OPERACIONES de TI.

Contexto – Marcos de Referencia

Control Objectives for Information and related Technology

IT

Governance

ResourceManagement

Information Technology Infrastructure Library

La necesidad de un gobierno de TI

►Áreas de foco…

Gobierno de IT

Gestión de Recursos

►Alineamiento Estratégico se centra en garantizar la vinculación de los planes de negocio y de TI, en la definición, mantenimiento y validación de la propuesta de valor de TI, y en la alineación de las operaciones de TI con las operaciones de la empresa.

►Entrega de Valor focalizada en la ejecución efectiva de

la propuesta de valor en todo el ciclo de entrega de TI, asegurando que la tecnología ofrece los beneficios prometidos según la estrategia, centrándose en la optimización de costos y entregando el valor intrínseco prometido por la Tecnología de Ia información

La necesidad de Gobierno de TI (Cont…)

►Gestión de Los Recursos relacionada con la inversión óptima y el manejo adecuado de los recursos críticos de TI: procesos, personas, aplicaciones, la infraestructura y la información. Además, de los asuntos clave relacionados con la optimización del conocimiento y la infraestructura.

►Gestión de riesgos exige la conciencia del riesgo por altos funcionarios de la Organización, una clara comprensión del apetito de riesgo de la empresa, transparencia sobre los riesgos significativos para la empresa, y la inclusión de las responsabilidades de gestión de riesgos en la organización.



►Medición del desempeño seguimiento y supervisión de la implementación de estrategia, ejecución y finalización de los proyectos, uso de recursos, desempeño de los procesos y la entrega de servicios, utilizando, por ejemplo, cuadros de mando (BSCs), que traduzcan la estrategia en acción para alcanzar las metas medibles más allá de la rendición de cuentas convencional.

► Usando los fundamentos teóricos desarrollados por:

The Balanced Scorecard (BSC) dimensions. (Kaplan, Robert S.; Norton, David P.;

The Balanced Scorecard: Translating Strategy into Action, Harvard University Press, USA, 1996)

Enfoque de trabajo de COBIT

►Un marco de trabajo internacional unificador que integra la mayor parte de los principales estándares globales de TI. Entre otros: Information Technology Infrastructure Library (ITIL), Capability Maturity Model Integration (CMMI), PMBOK e ISO 17799 …..

►¿¿Qué hace COBIT? Mejora la eficiencia y efectividad de TI Ayuda a TI a entender las necesidades del negocio Implementa prácticas para cumplir con las necesidades del

negocio tan eficientemente como sea posible Asegura la alineación entre el negocio y TI Ayuda a la alta gerencia a entender y gestionar las inversiones

en TI a lo largo de todo el ciclo de vida

Qué tipo de marco de trabajo es COBIT?

Un marco de auditoría y control de TI?

COBIT (1996) and COBIT 2nd Edición (1998)

Foco sobre los Objectivos de Control

Un marco de gestión de TI?

COBIT 3rd Edition (2000)

Lineamientos de gestión añadidos

Un marco de gobierno de TI?

COBIT 4.0 (2005) y COBIT 4.1 (2007)

Procesos de gobierno y cumplimiento añadidos

11

Evolución de COBIT

►COBIT 5 ha clarificado los procesos de gestión y ha integrado los contenidos de COBIT 4.1, Val IT and Risk IT en uno proceso modelo de referencia

12

Evolución de COBIT

COBIT 5

13

Enfoque… PROCESOS

DE NEGOCIO

INFORMACIÓN

RECURSOS

DE TI

Aplicaciones Información

Infraestructura Personas

PLANEAR Y

ORGANIZAR

ADQUIRIR E

IMPLEMENTAR

ENTREGAR Y

DAR SOPORTE

MONITOREAR

Y EVALUAR

OBJETIVOS

DE GOBIERNO

Requerimientos

del Negocio (*)

Eficiencia Efectividad

Confidencialidad Disponibilidad

Integridad Cumplimiento Confiabilidad

PO

AI

ME

DS

►Las Operaciones TI son sinónimo de gestión de servicios de acuerdo con la definición oficial de ITIL.

►Las Operaciones TI se encargan de planificar, controlar y dirigir las operaciones de los servicios TI.

►Las Operaciones TI tienen también como objetivo optimizar los servicios a disposición de los clientes internos y externos.

Definición de operaciones de TI

►Ciclo de vida del servicio definido por ITIL

ESTRATEGIA DEL SERVICIO

DISEÑODEL SERVICIO

TRANSICIÓN DEL SERVICIO

OEPERACION DEL SERVICIO

MEJORA CONTINUA

DEL SERVICIO


…A lo largo de todo el ciclo de los productos TI, la fase de

operaciones alcanza cerca del 70-80% del total del tiempo y del

costo, y el resto se invierte en el desarrollo del producto (u

obtención)….


►Operaciones de IT (Servicios de Operaciones ITIL)

Actividades ejecutadas por la función de Control de Operaciones de IT, incluyendo:

1. Gestión de Consola / Puente de operaciones,

2. Programación de trabajos,

3. Generación y restauración de copias de respaldo, y

4. Gestión de impresión y salidas

… A las Operaciones de TI le preocupa de todos los

aspectos que garanticen la continuidad, disponibilidad y

calidad del servicio prestado al usuario….

Responsabilidad por las operaciones de TI

Chief Information Officer (CIO)

IT Operation Manager

Chief Information Security Officer

(CISO)

Retos por las operaciones de TI

Garantizar la continuidad,

disponibilidad y calidad del

servicio prestado a los

clientes, usuarios y a la

Organización, dentro de un

marco de trabajo

formalmente definido y

monitoreado.

Enfoque conceptual a ser usado…

Identificación de procesos

Operaciones de TI

Objetivos

de Control

Generadores

de Valor

Generadores

de Riesgo

Prácticas

De Control

Pruebas

De Control

Alcance de nuestro curso

Identificación procesos operaciones de TI

Identificación de procesos Operaciones de TI Identificación procesos operaciones de TI

► ENTREGAR Y DAR SOPORTE DS1 Definir y administrar los niveles de servicio DS2 Administrar los servicios de terceros DS3 Administrar el desempeño y la capacidad DS4 Garantizar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas DS6 Identificar y asignar costos DS7 Educar y entrenar a los usuarios DS8 Administrar la mesa de servicio y los incidentes DS9 Administrar la configuración DS10 Administrar los problemas DS11 Administrar los datos DS12 Administrar el ambiente físico DS13 Administrar las operaciones

Identificación procesos operaciones de TI

DS2 Administrar los servicios de terceros ►Descripción del proceso

La necesidad de asegurar que los servicios provistos por terceros cumplan con los requerimientos del negocio, requiere de un proceso efectivo de administración de terceros.

Este proceso se logra por medio de una clara definición de roles, responsabilidades y expectativas en los acuerdos con los terceros, así como con la revisión y monitoreo de la efectividad y cumplimiento de dichos acuerdos.

Una efectiva administración de los servicios de terceros minimiza los riesgos del negocio asociados con proveedores que no se desempeñan de forma adecuada.

DS2 Administrar los servicios de terceros

►Objetivos de control DS2 ►DS2.1 Identificación de Todas las Relaciones con Proveedores

Identificar todos los servicios de los proveedores, y categorizarlos de acuerdo con el tipo de proveedor, significado y criticidad. Mantener documentación formal de relaciones técnicas y organizacionales que cubren los roles y responsabilidades, metas, entregables esperados, y credenciales de los representantes de estos proveedores.

►DS2.2 Gestión de Relaciones con Proveedores Formalizar el proceso de gestión de relaciones con proveedores para cada

proveedor. Los dueños de las relaciones deben enlazar las cuestiones del cliente y proveedor y asegurar la calidad de las relaciones basadas en la confianza y transparencia. (e.g,. a través de SLAs).


►Objetivos de control DS2 (Cont…)

►DS2.3 Administración de Riesgos del Proveedor Identificar y mitigar los riesgos relacionados con la habilidad de los

proveedores para mantener un efectivo servicio de entrega de forma segura y eficiente sobre una base de continuidad. Asegurar que los contratos están de acuerdo con los requerimientos legales y regulatorios de los estándares universales del negocio. La administración del riesgo debe considerar además acuerdos de confidencialidad (NDAs), contratos de garantía, viabilidad de la continuidad del proveedor, conformidad con los requerimientos de seguridad, proveedores alternativos, penalizaciones e incentivos, etc.

►DS2.4 Monitoreo del Desempeño del Proveedor Establecer un proceso para monitorear la prestación del servicio para asegurar

que el proveedor está cumpliendo con los requerimientos del negocio actuales y que se adhiere continuamente a los acuerdos del contrato y a SLAs, y que el desempeño es competitivo con proveedores alternativos y las condiciones del mercado.


►Generadores de valor

Visión centralizada de proveedores para soportar la toma de decisiones

Identificación de los proveedores preferenciales para futuras adquisiciones

Gestión de proveedores de recursos

focalizados en proveedores críticos

DS2 Administrar los servicios de terceros DS2.1 - Identificación de Todas las Relaciones con Proveedores

►Generadores de riesgo

Proveedores significativos y críticos no definidos

Utilización ineficiente e inefectiva de gestión de proveedores de recursos

No claridad de roles y responsabilidades, conduciendo a errores en la comunicaciones, servicios pobres e incremento de costos


►Prácticas de Control 1. Definir y revisar con regularidad los criterios para

identificar y categorizar todas las relaciones con los proveedores de acurdo con los tipos, significancia y criticidad del servicio. La lista debe incluir una categoría que describa los proveedores como preferidos, no preferidos o no recomendables.

2. Establecer y mantener un registro detallado de proveedores, incluyendo nombre, alcance, propósito del servicios, entregables esperados, objetivos del servicio y detalles clave del contacto.


► Definición

Formalizar el proceso de gestión de relacionamiento con cada uno de los proveedores. Los dueños de las relaciones deben enlazar los asuntos del cliente y del proveedor y asegurar la calidad de las relaciones basadas en la confianza y transparencia. (Ej.: a través de Acuerdos de Niveles de Servicios (SLAs)).

DS2 Administrar los servicios de terceros DS2.2 Gestión de Relaciones con Proveedores


Apropiación clara de las responsabilidades de los clientes y proveedores

Efectivas y eficientes comunicaciones y resolución de problemas

Proyección en el tiempo de relacionamientos que soporten los objetivos generales de la Organización (ambos: negocio y TI)



Problemas y asuntos importantes no resueltos

Inadecuada calidad del servicio

Proveedores que no responden o que no están comprometidos con la relación


►Prácticas de Control 1. Definir y formalizar roles y responsabilidades para cada proveedor de

servicios. 2. Asignar dueños del relacionamiento para todos los proveedores y

hacerlos responsables (accountables), por la calidad de los servicios provistos.

3. Documentar los administradores designados para todos los proveedores y oficializar y comunicar la información dentro de la organización.

4. Establecer y comunicar el proceso formal de comunicaciones entre la organización y los proveedores de servicios.

5. Asegurar que los contratos con los proveedores claves de servicio permiten una revisión del entorno de control interno de los proveedores, ya sea por la gerencia o por terceros.

.


► Prácticas de Control 6. Revisar periódicamente los informes entre la Organización y

el proveedor de servicios.

7. Registrar los incidentes causados por los proveedores y reportarlos utilizando el proceso internos de gestión de incidentes de la Organización.

8. Revisar y evaluar de forma periódica el desempeños de los proveedores versus los niveles de servicio establecidos y acordados. Y, comunicar clara y oficialmente a los proveedores los cambios sugeridos


►Definición Identificar y mitigar los riesgos relacionados con la habilidad de

los proveedores para mantener un efectivo servicio de entrega de forma segura y eficiente sobre una base de continuidad.

Asegurar que los contratos están de acuerdo con los requerimientos legales y regulatorios de los estándares del negocio.

La administración del riesgo debe considerar además acuerdos de confidencialidad (NDAs), contratos de garantía, viabilidad de la continuidad del proveedor, conformidad con los requerimientos de seguridad, proveedores alternativos, penalizaciones e incentivos, etc.

DS2 Administrar los servicios de terceros DS2.3 Administración de Riesgos del Proveedor


Cumplimiento con requerimientos legales y contractuales

Reducción de incidentes y pérdidas potenciales

Identificación de proveedores bien administrados (bajo riesgo)



Incumplimiento de las obligaciones reglamentarias y legales

No consideración de la seguridad, así como otros incidentes

Pérdidas financieras y daños a la reputación a causa de la interrupción del servicio


► Prácticas de Control

1. Identificar y monitorear los riesgos de proveedor de conformidad con el proceso de gestión de riesgo establecido por la organización.

2. Identificar y documentar los riesgos en los contratos de los proveedores, incluyendo las remediaciones asociados con la potencial incapacidad de los proveedores para cumplir con el(los) acuerdo(s) contractual (es).

3. Al definir el contrato, tenga en cuenta los temas correctivos incluidos los acuerdos de custodia de software, proveedores alternativos o acuerdos de reserva en caso de fallas o ausencias del proveedor.

4. Revisar todos los contratos por requerimientos legales y regulatorios.


►Definición

Establecer un proceso para monitorear la

prestación del servicio que permita verificar que

el proveedor está cumpliendo con los

requerimientos del negocio actuales y que se

adhiere continuamente a los acuerdos del

contrato, a los SLAs, y que el desempeño es

competitivo con respecto a proveedores alternos y a las condiciones del mercado.

DS2 Administrar los servicios de terceros DS2.4 Monitoreo del Desempeño del Proveedor


La detección oportuna de nivel(es) de incumplimiento del(os) servicio(s)

Los beneficios reales y concretos del(os) contrato(s) de servicio

Costos controlados

Evitar disputas y/o litigios costosos



Degradación del(los) servicio(s) sin ser detectado(s)

Incapacidad para desafiar o poner en cuestión los costos y la calidad del servicio

Incapacidad operativa para optimizar la selección de los proveedores


►Prácticas de Control 1. Definir y documentar los criterios para vigilar el desempeño

proveedores de servicios. 2. Asegurar que los proveedores informan regularmente sobre

criterios de desempeño acordados. 3. Invitar a los usuarios a proporcionar información para la

evaluación de desempeño de los proveedores y la calidad de servicio recibido.

4. Evaluar los costos y condiciones de mercado para los niveles de servicio mediante la evaluación comparativa frente a otros proveedores, e identificar posibilidades de mejora.

5. Definir los procedimientos de arbitraje para consultar a un comité de arbitramiento antes de poner éstos en conocimiento.

.


DS3 Administrar el desempeño y la capacidad ►Descripción del proceso

La necesidad de administrar el desempeño y la capacidad de los recursos de TI requiere de un proceso para revisar periódicamente el desempeño actual y la capacidad de los recursos de TI.

Este proceso, incluye el pronóstico de las necesidades futuras, basadas en los requerimientos de carga de trabajo, almacenamiento y contingencias, brindando la seguridad de que los recursos de información que soportan los requerimientos del negocio están disponibles de manera continua.

DS3 Administrar el desempeño y la capacidad

►Objetivos de control ►DS3.1 Planeación del Desempeño y la Capacidad

Establecer un proceso de planeación para la revisión del desempeño y la capacidad de los recursos de TI, para asegurar la disponibilidad de la capacidad y del desempeño, con costos justificables, para procesar las cargas de trabajo acordadas tal como se determina en los SLAs. Los planes de capacidad y desempeño deben hacer uso de técnicas de modelo apropiadas para producir un modelo de desempeño, de capacidad y de desempeño de los recursos de TI, tanto actual como pronosticado.

►DS3.2 Capacidad y Desempeño Actual Revisar la capacidad y desempeño actual de los recursos de TI en intervalos

regulares para determinar si existe suficiente capacidad y desempeño para prestar los servicios con base en los niveles de servicio acordados.



►DS3.3 Capacidad y Desempeño Futuros Llevar a cabo un pronóstico de desempeño y capacidad de los recursos de TI

en intervalos regulares para minimizar el riesgo de interrupciones del servicio originadas por falta de capacidad o degradación del desempeño. Identificar también el exceso de capacidad para una posible redistribución. Identificar las tendencias de las cargas de trabajo y determinar los pronósticos que serán parte de los planes de capacidad y de desempeño.

►DS3.4 Disponibilidad de Recursos de TI Brindar la capacidad y desempeño requeridos tomando en cuenta aspectos

como cargas de trabajo normales, contingencias, requerimientos de almacenamiento y ciclos de vida de los recursos de TI. Deben tomarse medidas cuando el desempeño y la capacidad no están en el nivel requerido, tales como dar prioridad a las tareas, mecanismos de tolerancia de fallas y prácticas de asignación de recursos. La gerencia debe garantizar que los planes de contingencia consideran de forma apropiada la disponibilidad, capacidad y desempeño de los recursos individuales de TI.



►DS3.5 Monitoreo y Reporte Monitorear continuamente el desempeño y la capacidad de los

recursos de TI. La información reunida sirve para dos propósitos:

• Mantener y poner a punto el desempeño actual dentro de TI y atender temas como elasticidad, contingencia, cargas de trabajo actuales y proyectadas, planes de almacenamiento y adquisición de recursos.

• Para reportar la disponibilidad hacia el negocio del servicio prestado como se requiere en los SLAs.

Acompañar todos los reportes de excepción con recomendaciones para acciones correctivas



Gestión eficiente de recursos, evitando sobre costos

Sistema de optimización del rendimiento alcanzado mediante comparación (benchmarking), interno

Predicción del rendimiento futuro y los requisitos de capacidad

Capacidad de comparación y referencia entre las áreas de la organización y externamente para identificar las mejoras

DS3 Administrar el desempeño y la capacidad DS3.1 Planeación del Desempeño y la Capacidad


Incidentes inesperados debido a la falta de capacidad

Carencia de un sistema de disponibilidad debido a la no planeación proactiva de la capacidad y planificación del rendimiento

No cumplir con los requerimientos del negocio debido a un funcionamiento y planes de capacidad desactualizados


►Prácticas de Control

1. Definir un proceso y un marco de trabajo para desarrollar, revisar y ajustar el rendimiento y el plan de capacidad.

2. Considere lo siguiente (actual y prevista) en el desarrollo del plan de desempeño y la capacidad: Los requisitos del cliente Las prioridades de negocios Los objetivos de negocio Impacto en el presupuesto Utilización de recursos

.



Las capacidades de TI y las tendencias de la industria, incluyendo: Rendimiento de las aplicaciones La tecnología, la disponibilidad y fiabilidad Rendimiento, capacidad y apoyo a los usuarios La continuidad y la planificación de contingencia Protección de datos y las consideraciones de seguridad

3. Desarrollar y mantener el plan de desempeño y capacidad de manera oportuna, y asegurándose que está documentado y aceptado por las partes interesadas, alineados con los SLAs, y registrado formalmente.

.


►Definición

■ Revisar la capacidad y desempeño actual de los recursos de TI en intervalos regulares para determinar si existe suficiente capacidad y desempeño para prestar los servicios con base en los niveles de servicio acordados (SLAs).

DS3 Administrar el desempeño y la capacidad DS3.2 Capacidad y Desempeño Actual


Efectiva y eficiente gestión de los recursos de TI

Mejoramiento del rendimiento y de la planificación de la capacidad

Optimización del desempeño de los sistemas como consecuencia de una planeación proactiva del rendimiento y la capacidad



Interrupciones de negocios

SLAs que no se cumplen los SLAs

Requerimiento de negocio que no se cumplen

Compromisos de servicio sobre acordados o subacordados debido a las mediciones desconocidas de la capacidad



1. Monitorear el rendimiento real y el uso de la capacidad contra los umbrales definidos, con el apoyo de ser necesario de software automatizado.

2. Identificar y dar seguimiento a todos los incidentes causados por un inadecuado desempeño o capacidad.

3. Evaluar periódicamente los niveles reales de desempeño para todos los niveles de procesamiento (la demanda del negocio, capacidad de los servicio y de los recursos), comparándolos con las tendencias y los SLAs, teniendo en cuenta los cambios en ambiente tecnológico y del negocio..


►Definición ■ Llevar a cabo un pronóstico del desempeño y la

capacidad de los recursos de TI en intervalos regulares para minimizar el riesgo de interrupciones del servicio originadas por la falta de capacidad o degradación del desempeño.

■ Identificar el exceso de capacidad para una posible redistribución.

■ Identificar las tendencias de las cargas de trabajo y determinar los pronósticos que serán usados para definir los planes de capacidad y de desempeño.

DS3 Administrar el desempeño y la capacidad DS3.3 Capacidad y Desempeño Futuros


Optimización del uso de los recursos de TI

Pronóstico de las demandas del negocio relacionadas con la infraestructura de TI

Mejora del rendimiento y planificación de la capacidad



Niveles de servicio apalancados no son ofrecidos al negocio

No disponibilidad de los sistema debido a la falta de recursos

Las cargas altas de procesamiento no son cubiertos por los sistemas



1. Uso adecuado de herramientas técnicas de monitoreo y modelamiento para el dimensionamiento y estimar la capacidad y el rendimiento.

2. Medir el desempeño y la capacidad, comparar los resultados con líneas base y modelos (cuantitativos y cualitativos), y luego, compararlos con los pronósticos en intervalos determinados por las tendencias.

3. Ajustar el desempeño y los planes de capacidad y SLAs basados en la realidad operativa, nuevos, propuestos y / o proyectados, cambios del negocio y TII, así como también, revisiones de rendimiento y uso real de la capacidad, incluyendo los niveles de carga de trabajo.

4. Asegurar que la gerencia hace comparaciones de la demanda real de los recursos de TI con la oferta y la demanda prevista para evaluar las técnicas actuales de pronóstico y hacer mejoras donde sea posible


►Definición ■ Brindar la capacidad y desempeño requeridos tomando en

cuenta aspectos como cargas de trabajo normales, contingencias, requerimientos de almacenamiento y ciclos de vida de los recursos de TI.

■ Deben tomarse medidas cuando el desempeño y la capacidad no están en el nivel requerido, tales como dar prioridad a las tareas, mecanismos de tolerancia de fallas y prácticas de asignación de recursos.

■ La gerencia debe garantizar que los planes de contingencia consideren de forma apropiada la disponibilidad, la capacidad y el desempeño de los recursos individuales de TI.

DS3 Administrar el desempeño y la capacidad DS3.4 Disponibilidad de Recursos de TI


Efectiva utilización de los recursos de TI

Los niveles de servicio cumplen con los requerimientos del negocio

Efectiva gestión de la disponibilidad de los recursos de TI



No disponibilidad de los sistemas debido a fallas de los recursos de TI

Incapacidad para predecir disponibilidad y disponibilidad del los servicios de TI

Interrupciones inesperadas de los servicios de TI



1. Obtener guías de los manuales de los producto de los proveedores para asegurar un adecuado nivel de disponibilidad del rendimiento durante los procesamientos pico y cargas de trabajo.

2. Identificar las brechas de desempeño y capacidad basados en el monitoreo del rendimiento actual y pronosticado. Utilizar la disponibilidad conocida, las especificaciones de continuidad y restauración para clasificar los recursos de TI y permitirá establecer prioridades.

3. Definir las acciones correctivas, por ejemplo, cambiando la carga de trabajo, priorizando las tareas o la adición de sistemas (u otros) los recursos, cuando los problemas de rendimiento y capacidad se identifican.


►Prácticas de Control (Cont…)

4. Integrar las acciones correctivas necesarias al plan de capacidad, alimentándolos en los procesos apropiados de planeación (arquitectura de la información y dirección tecnológica) y en el proceso de gestión de cambios.

5. Definir un procedimiento de escalamiento para la resolución rápida en caso de emergencias de

capacidad y de los problemas de rendimiento.


►Definición ■ Monitorear continuamente el desempeño y la capacidad

de los recursos de TI. La información reunida sirve para dos propósitos: • Mantener y poner a punto el desempeño actual dentro de TI y

atender temas como elasticidad, contingencia, cargas de trabajo actuales y proyectadas, planes de almacenamiento y adquisición de recursos.

• Para reportar la disponibilidad hacia el negocio del servicio prestado como se requiere en los SLAs.

■ Acompañar todos los reportes de excepción con recomendaciones para acciones correctivas

DS3 Administrar el desempeño y la capacidad DS3.5 Monitoreo y Reporte


Identificados de asuntos que afectan la prestación efectiva de los servicios

Niveles de servicio de línea base identificando brechas en las expectativas

Aumento de la utilización de recursos de TI por medio de una prestación de los servicios



Falta de monitoreo del rendimiento

Los servicio no cumplen con la calidad esperada

Las desviaciones no son identificadas de manera oportuna, lo que repercute la calidad del servicio



1. Establecer un proceso de recopilación de datos para proveer a la dirección con el monitoreo e reporte de información relacionada con disponibilidad, desempeño y capacidad de cargas de trabajo de todos los recursos de TI.

2. Proveer información periódica de los resultados en una forma apropiada para la revisión por parte de TI y la gerencia del negocio y su comunicación para la gestión empresarial.

3. Asegurar que las actividades de monitoreo y reporte de de actividades están integrados en las actividades iterativas de gestión de la capacidad (monitoreo, análisis, sintonización e implementación).

4. Garantizar que los informes de capacidad son retroalimentados en los procesos de presupuesto


DS4 Garantizar la Continuidad del Servicio

►Descripción del proceso La necesidad de brindar continuidad en los

servicios de TI requiere desarrollar, mantener y probar planes de continuidad de TI, almacenar respaldos fuera de las instalaciones y entrenar de forma periódica sobre los planes de continuidad.

Un proceso efectivo de continuidad de servicios, minimiza la probabilidad y el impacto de interrupciones mayores en los servicios de TI, sobre funciones y procesos claves del negocio.

►Objetivos de control DS4.1 Marco de Trabajo de Continuidad de TI DS4.2 Planes de Continuidad de TI DS4.3 Recursos Críticos de TI DS4.4 Mantenimiento del Plan de Continuidad de TI DS4.5 Pruebas del Plan de Continuidad de TI DS4.6 Entrenamiento del Plan de Continuidad de TI DS4.7 Distribución del Plan de Continuidad de TI DS4.8 Recuperación y Reanudación de los Servicios de TI DS4.9 Almacenamiento de Respaldos Fuera de las

Instalaciones DS4.10 Revisión Post Reanudación


►Definición ■ Desarrollar un marco de trabajo de continuidad de TI para soportar la

continuidad del negocio con un proceso consistente a lo largo de toda la organización. El objetivo del marco de trabajo es ayudar en la determinación de la resistencia requerida de la infraestructura y de guiar el desarrollo de los planes de recuperación de desastres y de contingencias.

■ El marco de trabajo debe tomar en cuenta la estructura organizacional para administrar la continuidad, la cobertura de roles, las tareas y las responsabilidades de los proveedores de servicios internos y externos, su administración y sus clientes; así como las reglas y estructuras para documentar, probar y ejecutar la recuperación de desastres y los planes de contingencia de TI.

■ El plan debe también considerar puntos tales como la identificación de recursos críticos, el monitoreo y reporte de la disponibilidad de recursos críticos, el procesamiento alternativo y los principios de respaldo y recuperación.

DS4 Garantizar la Continuidad del Servicio DS4.1 Marco de Trabajo de Continuidad de TI


Continuidad de los servicios a través de TI

Plan de continuidad coherente documentado

Servicios gobernados de acuerdo con la necesidad

El logró los objetivos a corto y largo plazo soportando los objetivos de la organización.



Prácticas insuficientes de continuidad

Servicios de continuidad de TI gestionadas de manera insuficiente

Incremento de la dependencia en funcionarios (internos y/o externos) claves



1. Asignar la responsabilidad por el establecimiento de un proceso de gestión de la continuidad del negocios a largo de toda la empresa (BCP). Este proceso debe incluir un marco de continuidad de TI (DRP) para asegurar que se ha realizado un Análisis de Impacto en el Negocio (BIA), junto con los planes de continuidad de TI soportando la estrategia del negocio, una estrategia de priorización de recuperación, el apoyo operativo necesario sobre la base de estas estrategias y cualquier requerimiento de cumplimiento.

2. Asegurar que el marco de la continuidad incluye: Las condiciones y responsabilidades para la activación y / o escalamiento del

plan El establecimiento de una estrategia de priorización de recuperación, incluida

la secuencia necesaria de actividades por ejecutar Requerimientos mínimos de recuperación para mantener las operaciones de

negocios adecuadas y los niveles de servicio esperados con menos recursos


► Prácticas de Control (Cont…)

Procedimientos de emergencia Procedimientos de marcha atrás Procedimientos operacionales temporales Procedimientos de TI para la reanudación Programación de mantenimientos y programa de pruebas (simulacros) Sensibilización, educación y actividades de entrenamiento Las responsabilidades de los individuos Asuntos regulatorios Los activos y recursos críticos y el personal de contacto actualizado para

llevar a cabo los procedimientos de emergencia, de marcha atrás y de reanudación

Las instalaciones de procesamiento alternativos según lo determinado en el plan

Los proveedores alternativos para los recursos críticos Cadena definida en el plan de comunicaciones Recursos claves identificados



3. Asegúrese de que el marco de continuidad de TI considera: La estructura organizacional definida para la gestión de continuidad

de TI como un enlace para la gestión de la continuidad de la organización

Funciones, tareas y responsabilidades definidas por los SLA y / o contratos para los proveedores de servicios internos y externos

Los estándares de documentación y procedimientos de gestión del cambio para todos los relacionados con la continuidad de TI, procedimientos y pruebas

Políticas para la realización de pruebas o simulacros regulares La frecuencia y las condiciones (eventos iniciadores) para la

actualización de los planes de continuidad de TI Los resultados del proceso de evaluación de riesgos (PO9)


►Definición ■ Desarrollar planes de continuidad de TI con base en el

marco de trabajo, diseñado para reducir el impacto de una interrupción mayor de las funciones y los procesos clave del negocio.

■ Los planes deben considerar requerimientos de resistencia, procesamiento alternativo, y capacidad de recuperación de todos los servicios críticos de TI.

■ También deben cubrir los lineamientos de uso, los roles y responsabilidades, los procedimientos, los procesos de comunicación y el enfoque de pruebas.

DS4 Garantizar la Continuidad del Servicio DS4.2 Planes de Continuidad de TI


Continuidad de los servicios a través de TI considerando los requerimientos para los recursos críticos de TI

Guías, roles y responsabilidades definidas y documentadas

Logro de los objetivos a corto y mediano plazo soportando los objetivos de la organización



Imposibilidad de recuperar los sistemas de TI y los servicios de manera oportuna

Falta de alternativas del proceso de toma de decisiones

Falta de recursos suficientes para la recuperación

Errores de comunicación a los interesados internos y externos



1. Crear un plan de continuidad de TI, que considere:

Las condiciones y responsabilidades para la activación y / o escalamiento del plan

Estrategia de recuperación priorizada, incluida la secuencia de actividades necesarias

Requisitos mínimos de recuperación para mantener las operaciones de negocio y niveles de servicio con menores recursos

Procedimientos de emergencia Procedimientos de marcha atrás Procedimientos operacionales temporales Procedimientos de reanudación de procesamiento de TI Mantenimiento y programación de pruebas o simulacros



1. Crear un plan de continuidad de TI, que considere (Cont…):

Sensibilización, educación y actividades de entrenamiento Responsabilidades de los individuos Requerimientos regulatorios Activos y recursos críticos e información de contactos de

personal actualizados necesario para llevar a cabo los procedimientos de emergencia, dar marcha atrás y la reanudación

Instalaciones de procesamiento alternas según lo determinado en el plan de

Proveedores alternos para los recursos críticos



2. Definir los supuestos subyacentes (por ejemplo, el nivel de corte de previsto por el plan) en el plan de continuidad de TI y los sistemas (es decir, los sistemas informáticos, componentes de red y otras infraestructuras de TI) y los sitios a ser incluidos. Teniendo en cuenta opciones alternativas de tratamiento para cada sitio.

3. Asegúrese de que el plan de continuidad de TI incluye una lista de chequeo definida de los eventos de recuperación, así como un formulario para el registro de eventos



4. Establecer y mantener información detallada para cada sitio de recuperación, incluido el personal asignado y la logística (por ejemplo, el transporte de los medios de comunicación en el sitio de recuperación). Esta información debe incluir: Los requerimientos de procesamiento para cada sitio Ubicación Recursos (por ejemplo, sistemas, personal de apoyo) disponibles en cada ubicación Las empresas de servicios públicos de los que el sitio depende

5. Definir la estructura de los equipos de respuesta y recuperación, incluyendo el esquema de roles de reportes y responsabilidades, así como los conocimientos, habilidades y requisitos de experiencia para todos los miembros del equipo. Incluir información de contacto de todos los integrantes del equipo, y asegurarse de que se mantengan y de fácil acceso (por ejemplo, el equipo, fuera de las instalaciones, el de equipos de gestión de copias de seguridad ).



6. Definir y priorizar los procesos de comunicación y definir la responsabilidad por la comunicación (por ejemplo, clientes, público, prensa, gobierno). Mantener datos de contacto de las partes interesadas (por ejemplo, el equipo de gestión de crisis, el personal de TI de recuperación, accionistas de la empresa, el personal), proveedores de servicios (por ejemplo, vendedores, proveedores de telecomunicaciones) y terceros (por ejemplo, socios de negocios, medios de comunicación, organismos gubernamentales, públicos).



7. Mantener los procedimientos para proteger y restaurar la parte afectada de la organización, incluyendo, cuando sea necesario, la reconstrucción de la zona afectada o su reemplazo. Esto también incluye los procedimientos para responder a futuros desastres, mientras se está en el sitio alterno.

8. Crear procedimientos de emergencia para garantizar la seguridad de todas las partes afectadas, incluyendo la cobertura de salud en el trabajo y los requisitos de seguridad (por ejemplo, servicios de asesoramiento) y la coordinación con las autoridades públicas.


►Definición ■ Centrar la atención en los puntos determinados como los más críticos

en el plan de continuidad de TI, para construir resistencia y establecer prioridades en situaciones de recuperación.

■ Evitar la distracción de recuperar los puntos menos críticos y asegurarse de que la respuesta y la recuperación están alineadas con las necesidades prioritarias del negocio, asegurándose también que los costos se mantienen a un nivel aceptable y se cumple con los requerimientos regulatorios y contractuales.

■ Considerar los requerimientos de resistencia, respuesta y recuperación para diferentes niveles de prioridad, por ejemplo, de una a cuatro horas, de cuatro a 24 horas, más de 24 horas y para los periodos críticos de operación del negocio.

DS4 Garantizar la Continuidad del Servicio DS4.3 Recursos Críticos de TI


Gestión de costos para la continuidad

Gestión efectiva para los recursos críticos de TI

Servicios gobernados de acuerdo con la necesidad

Gestión priorizada de la recuperación



No disponibilidad de los recursos críticos de TI

Incremento de costos para la gestión de TI

Priorización de la recuperación de los servicios sin estar basada en las necesidades del negocio



1. Definir las prioridades para todas las aplicaciones, sistemas y sitios que están alineados con los objetivos del negocio. Considerar estas prioridades en el plan de continuidad, al momento de definirlas: Riesgos de negocio y riesgos operacional de TI Interdependencias Marco de trabajo para la clasificación de datos SLAs y OLAs Costos

2. Considere la resistencia, respuesta y requerimientos de recuperación para los diferentes niveles, por ejemplo, de una a cuatro horas, cuatro horas a 24, más de 24 horas y los períodos críticos para la operación del negocio


►Definición ■ Exhortar a la gerencia de TI a definir y ejecutar

procedimientos de control de cambios, para asegurar que el plan de continuidad de TI se mantenga actualizado y que refleje de manera continua los requerimientos actuales del negocio.

■ Es esencial que los cambios en los procedimientos y las responsabilidades sean comunicados de forma clara y oportuna.

DS4 Garantizar la Continuidad del Servicio DS4.4 Mantenimiento del Plan de Continuidad de TI


Planes apropiados de continuidad de TI soportando los objetivos de la organización

Procedimientos de control de cambios soportando los planes de continuidad de TI

Familiaridad de parte de los individuos indicados con el plan de continuidad de TI



Inapropiados planes de recuperación

Planes que fallan en reflejar de manera adecuada los cambios en la organización

Ausencia de un procedimiento de control de cambios



1. Mantener un historial de cambios del plan de continuidad de TI. Asegurar la gestión apropiada de la versión del plan, por ejemplo, mediante el uso de sistemas de gestión documental. Asegurar que todas las copias distribuidas son la misma versión.

2. Involucrar a los gerentes de continuidad del negocio y de continuidad TI en los procesos de gestión del cambio para asegurar el conocimiento de los cambios importantes que se requieren a los planes de continuidad.



3. Actualizar el plan de continuidad de TI, como se describe en el marco de continuidad de TI. Considerar eventos emergentes que impliquen la actualización del plan incluyen: Cambios importantes en la arquitectura Cambios importantes en el negocio Cambios de personal clave o cambios en la

organización Incidentes y/o desastres y lecciones aprendidas Resultados de las pruebas del plan de continuidad


►Definición ■ Probar el plan de continuidad de TI de forma regular para

asegurar que los sistemas de TI pueden ser recuperados de forma efectiva, que las deficiencias son atendidas y que el plan permanece aplicable.

■ Esto requiere una preparación cuidadosa, documentación, reporte de los resultados de las pruebas y, de acuerdo con los resultados, la implementación de un plan de acción.

■ Considerar el alcance de las pruebas de recuperación en aplicaciones individuales, en escenarios de pruebas integrados, en pruebas de punta a punta y en pruebas integradas con el proveedor.

DS4 Garantizar la Continuidad del Servicio DS4.5 Pruebas del Plan de Continuidad de TI


Recuperación efectiva de los sistemas de TI

Personal experimentado en los procesos de recuperación de los sistemas de TI


Planes actualizados para superar las deficiencias en la restauración de los sistemas



Deficiencias en los planes de recuperación

Planes de recuperación desactualizados que no reflejan la arquitectura actual

Procesos y pasos de recuperación inadecuados

Incapacidad para recuperarse de manera efectiva de producirse un verdadero desastre



1. Programar pruebas de continuidad de TI de forma regular o después de cambios importantes a la infraestructura de TI, a los negocios y aplicaciones relacionadas. Asegúrese de que todos los nuevos componentes (por ejemplo, el hardware, actualizaciones, nuevos procesos de negocio) están incluidos en el programa.

2. Crear un calendario detallado de las pruebas basadas en las prioridades de recuperación establecidos. Asegúrese de que los escenarios de prueba son realistas. Las pruebas deben incluir la recuperación de procesamiento de aplicaciones críticas de negocio y no debe limitarse a la recuperación de la infraestructura. Asegurar que el tiempo de prueba es suficiente y no tendrá impacto en la actividad regular en curso del negocio.



3. Establecer una equipo de trabajo independiente que realice un seguimiento de todos los eventos y registros de todos los resultados para ser analizados y discutidos. Los integrantes de este grupo de trabajo no debe ser personal clave definidos en el plan. Este grupo de trabajo independiente debe informar a la alta dirección y / o la junta de directores.

4. Llevar a cabo un evento en el que todas las fallas de interrogatorio se analizan y se desarrollan soluciones y son entregado a grupos de trabajo. Asegurar que todas las cuestiones pendientes relacionadas con la planificación de la continuidad se analizan y se resuelven en un marco de tiempo apropiado. Programar un nueva prueba de los cambios con parámetros similares o más fuertes para asegurar un impacto positivo en los procedimientos de recuperación.



5. Si la prueba no es factible ejecutarla, evaluar los medios alternativos para garantizar los recursos para la continuidad del negocio.

6. Medir e informar sobre el éxito o el fracaso de la prueba y, por tanto, la capacidad de continuidad y contingencia para los servicios en el proceso de gestión de riesgos (PO9).


►Definición ■ Asegurarse de que todos las partes involucradas

reciban sesiones de entrenamiento de forma regular respecto a los procesos y sus roles y responsabilidades en caso de incidente o desastre.

■ Verificar e incrementar el entrenamiento de acuerdo con los resultados de las pruebas de contingencia.

DS4 Garantizar la Continuidad del Servicio DS4.6 Entrenamiento del Plan de Continuidad de TI


Personal experimentado en los procesos de recuperación para los sistemas de TI

Personal entrenado in los procesos de recuperación

Entrenamiento programado para todos el personal con responsabilidades


Planes de entrenamiento actualizados para reflejando los resultados de las pruebas o simulacrosde contingencia



Programación desactualizada o no existente del entrenamiento

Imposibilidad de recuperar según lo esperado debido entrenamiento inadecuado u obsoleto



1. Dar capacitación a los miembros del personal necesarios con respecto a sus funciones y responsabilidades, sobre una base regular (por lo menos una vez al año), o sobre cambios en el plan

2. Evaluar todas las necesidades de capacitación y actualizar de manera todos los programas adecuadamente. Mientras se planifica el entrenamiento, tener en cuenta la cronología y el alcance de las actualizaciones del plan y los cambios, la rotación del personal que participa en la recuperación, y los últimos resultados de la(s) prueba.



3. Realizar periódicamente programas de sensibilización sobre la continuidad de TI para todos los niveles de empleados asi como para los interesados de IT para aumentar la conciencia de la necesidad de una estrategia de continuidad de TI y su rol clave en ella.

4. Medir y documentar la asistencia efectiva a las sesiones de entrenamiento, sus resultados y la cobertura dada.


►Definición ■ Determinar que existe una estrategia de

distribución definida y administrada para asegurar que los planes se distribuyan de manera apropiada y segura y que estén disponibles entre las partes involucradas y autorizadas cuando y donde se requiera.

■ Se debe prestar atención en hacerlos accesibles bajo cualquier escenario de desastre.

DS4 Garantizar la Continuidad del Servicio DS4.7 Distribución del Plan de Continuidad de TI


Personal experimentado en los procesos de recuperación para los sistemas de TI

Personal entrenado in los procesos de recuperación

Planes disponibles y accesibles a todas las partes interesadas



Información confidencial comprometida en el(los) plan(es)

Planes no accesibles a todas las partes requeridas

Actualizaciones al plan no realizadas de manera oportuna debido a una estrategia de distribución no controlada.



1. Definir una lista de distribución adecuado para el plan de continuidad de TI y mantener esta lista al día. Incluir a las personas y lugares en la lista aplicando un criterio de la necesidad-a-saber. Asegurar la existencia de procedimientos con instrucciones para el almacenamiento de información confidencial.

2. Definir un proceso de distribución que: Distribuya el plan de continuidad de TI de una manera oportuna a

todos los destinatarios y lugares en la lista de distribución Recoja y destruya las copias obsoletas del plan en línea con la

política de la organización para desechar información confidencial



3. Asegurar que todas las copias digitales y físicas del plan están protegidos de forma adecuada (por ejemplo, encriptación, protección de contraseña) y el documento es accesible sólo por personal autorizado (personal que participa en la recuperación).


►Definición ■ Planear las acciones a tomar durante el período en que TI

está recuperando y reanudando los servicios. Esto puede representar la activación de sitios de respaldo, el inicio de procesamiento alternativo, la comunicación a clientes y a los interesados, realizar procedimientos de reanudación, etc.

■ Asegurarse de que los responsables del negocio entienden los tiempos de recuperación de TI y las inversiones necesarias en tecnología para soportar las necesidades de recuperación y reanudación del negocio.

DS4 Garantizar la Continuidad del Servicio DS4.8 Recuperación y Reanudación de los Servicios de TI


Minimizar los tiempos de recuperación

Minimizar los costos de recuperación

Priorizar las tareas críticas de recuperación



Deficiencias en los planes de recuperación

Pasos y procesos de recuperación inadecuadas

Imposibilidad de recuperar los sistemas críticos de negocio y servicios de manera oportuna



1. Activar el plan de continuidad de TI, cuando las condiciones así lo requieran.

2. Mantener registro o log de actividades y problemas en las actividades de recuperación para ser usadas

durante la revisión posterior a la reanudación.


► Definición ■ Almacenar fuera de las instalaciones todos los medios de respaldo,

documentación y otros recursos de TI críticos, necesarios para la recuperación de TI y para los planes de continuidad del negocio.

■ El contenido de los respaldos a almacenar debe determinarse en conjunto entre los responsables de los procesos de negocio y el personal de TI.

■ La administración del sitio de almacenamiento externo a las instalaciones, debe apegarse a la política de clasificación de datos y a las prácticas de almacenamiento de datos de la empresa.

■ La gerencia de TI debe asegurar que los acuerdos con sitios externos sean evaluados periódicamente, al menos una vez poraño, respecto al contenido, a la protección ambiental y a la seguridad.

■ Asegurarse de la compatibilidad del hardware y del software para poder recuperar los datos archivados y periódicamente probar y renovar los datos archivados.

DS4 Garantizar la Continuidad del Servicio DS4.9 Almacenamiento de Respaldos Fuera de las Instalaciones


Disponibilidad de las data respaldada en el evento de la destrucción física de hardware

Gestión coherente de la data almacenada fuera con respecto a la data de la organización

Apropiada protección en el sitio externo



No disponibilidad de los datos en las copia de seguridad y de los medios debido a documentación faltante en el almacenamiento en el sitio externo

Pérdida de datos debido a un desastre

Destrucción accidental de los datos en las copia de seguridad

Incapacidad para localizar los medios de las copias de seguridad cuando se necesita



1. Proporcionar protección de los datos de acuerdo con el valor y la clasificación de seguridad, desde el momento en que se envían fuera de las instalaciones, mientras se transportan a / desde la organización y en el lugar de almacenamiento.

2. Asegurar de que las instalaciones en el sitio externos no están sujetas a los mismos riesgos (por ejemplo, sísmicos, el clima,) como el sitio primario.



3. Realizar pruebas periódicas de:

La calidad de las copias de respaldo y los medios usados

La capacidad para cumplir con el marco de tiempo de recuperación comprometido

4. Proporcionar instrucciones suficientes de recuperación y el etiquetado adecuado de los medios de copia de seguridad.

5. Mantener un inventario de todas las copias de respaldo y medios.


►Definición ■ Una vez lograda una exitosa reanudación de las

funciones de TI después de un desastre, determinar si la gerencia de TI ha establecido procedimientos para valorar lo adecuado del

plan y actualizar el plan en consecuencia.

DS4 Garantizar la Continuidad del Servicio DS4.10 Revisión Post Reanudación


Plan de recuperación actualizado

Objetivos alcanzados por el plan de recuperación

Adecuados planes de reanudación de acuerdo con las necesidades del negocio.



Planes de recuperación inapropiados

Planes de recuperación que no cumplen con las necesidades del negocio

Los objetivos no cumplidos por los planes de recuperación



1. Utilizar el registro o log de actividades y problemas de las actividades de recuperación, para identificar las deficiencias del plan después de restablecer el proceso normal, y ponerse de acuerdo sobre las oportunidades de mejora para incluir en la próxima actualización del plan de continuidad de TI.



3. Realizar pruebas periódicas de:

La calidad de las copias de respaldo y los medios usados

La capacidad para cumplir con el marco de tiempo de recuperación comprometido

4. Proporcionar instrucciones suficientes de recuperación y el etiquetado adecuado de los medios de copia de seguridad.

5. Mantener un inventario de todas las copias de respaldo y medios.


DS8 Administrar la Mesa de Servicio y los Incidentes.

►Descripción del proceso Responder de manera oportuna y efectiva a las consultas y

problemas de los usuarios de TI, requiere de una mesa de servicio bien diseñada y bien ejecutada, y de un proceso de administración de incidentes.

Este proceso incluye la creación de una función de mesa de servicio con registro, escalamiento de incidentes, análisis de tendencias, análisis causa-raiz y resolución.

Los beneficios del negocio incluyen el incremento en la productividad gracias a la resolución rápida de consultas. Además, el negocio puede identificar la causa raíz (tales como un pobre entrenamiento a los usuarios) a través de un proceso de reporte efectivo.

►Objetivos de control

DS8.1 Mesa de Servicios

DS8.2 Registro de Consultas de Clientes

DS8.3 Escalamiento de Incidentes

DS8.4 Cierre de Incidentes

DS8.5 Análisis de Tendencias


►Definición ■ Establecer la función de mesa de servicio, la cual es la conexión

del usuario con TI, para registrar, comunicar, atender y analizar todas las llamadas, incidentes reportados, requerimientos de servicio y solicitudes de información.

■ Deben existir procedimientos de monitoreo y escalamiento basados en los niveles de servicio acordados en los SLAs, que permitan clasificar y priorizar cualquier problema reportado como incidente, solicitud de servicio o solicitud de información.

■ Medir la satisfacción del usuario final respecto a la calidad de la mesa de servicios y de los servicios de TI

DS8 Administrar la Mesa de Servicio y los Incidentes DS8.1 Mesa de Servicios


Mayor satisfacción de los clientes

Desempeño de la mesa de servicios definido y medible

Incidentes reportados, seguidos y resueltos de manera oportuna



Aumento del tiempo de inactividad

Disminución de la satisfacción del cliente

Los usuarios desconocen los procedimientos de seguimiento sobre los casos notificados

Problemas recurrente no abordados



1. Establecer un centro de servicio como un solo punto de contacto inicial para reporte, monitoreo, escalamiento y resolución de las solicitudes e incidentes reportados por los clientes. Desarrollar los requerimientos del negocio para la mesa de servicios, con base en las definiciones de servicio y SLAs, incluyendo las horas de operación y tiempo de respuesta esperada a una llamada. Asegúrese de que los requerimientos a la mesa de servicio incluyen la identificación del personal, herramientas y la integración con otros procesos, tales como la gestión del cambio y gestión de problemas.

2. Asegúrese de que hay instrucciones claras para el personal de la mesa de servicio, cuando una solicitud no puede ser resuelta de inmediato por el personal de mesa de servicio. Establecer límites de tiempo (umbrales), para determinar el escalamiento sobre la base de la categorización / priorización de la solicitud o incidente.



3. Implementar el software de soporte y las herramientas necesarias (por ejemplo, gestión de incidentes, gestión del conocimiento, sistemas de escalamiento de incidentes, sistemas de monitoreo automático de llamadas), requeridas para la operación del servicio al cliente y configurado de acuerdo con los requisitos de SLA, facilitando la priorización automática de los incidentes y su rápida resolución.

4. Asesorar a los clientes sobre la existencia de la mesa de servicio y los estándares de servicio que pueden esperar. Obtener retroalimentación de los usuarios sobre una base regular para asegurar la satisfacción del cliente y confirmar la efectividad de la operación de la mesa de servicio.

5. Implementarr soluciones de software de mesa de servicio para crear informes de rendimiento de que permitan la supervisión del desempeño y la mejora continua de la mesa de servicio


►Definición ■ Establecer una función y sistema que permita el registro y

rastreo de llamadas, incidentes, solicitudes de servicio y necesidades de información.

■ Debe trabajar estrechamente con los procesos de administración de incidentes, administración de problemas, administración de cambios, administración de capacidad y administración de disponibilidad.

■ Los incidentes deben clasificarse de acuerdo con el negocio y a la prioridad del servicio y enrutarse al equipo de administración de problemas apropiado y se debe mantener informados a los clientes sobre el estatus de sus consultas.

DS8 Administrar la Mesa de Servicio y los Incidentes DS8.2 Registro de Consultas de Clientes


La resolución eficaz de los incidentes en el momento oportuno

Valor agregado para los usuarios finales

Rendición de cuentas por la resolución del incidente



No todos los incidentes se rastrean

Priorización de los incidentes que no reflejan las necesidades del negocio

Los incidentes no se resuelve de manera oportuna



1. Definir los niveles de prioridad a través de consultas con la empresa para garantizar que los eventos que no forman parte de las operaciones estándar (incidentes), son manejados de manera oportuna de acuerdo con los SLAs acordados. Definir los niveles de prioridad según el impacto en el negocio y la urgencia. Establecer límites de tiempo para determinar cuándo debe producirse el escalamiento, basado en la clasificación de la solicitud o incidente.

2. Registrar todas las llamadas, los incidentes, las solicitudes de servicio y necesidades de información en una herramienta automatizada. Capturar la información, incluyendo pero no limitado a, el tipo (por ejemplo, hardware, software), el estatus (por ejemplo, nueva, asignada, escalada, cerrado) y el propietario del incidente / problema.



3. Implementar mecanismos de detección de eventos dentro de las herramientas de monitoreo de sistemas para disponer de el registro automatizado de incidentes y alertas.

4. Registrar los detalles de las consultas cerradas en el sistema de gestión de servicios de la organización en apoyo de otros procesos, tales como: gestión de problemas, gestión de nivel de servicio, disponibilidad y gestión de la capacidad.

5. Actualizar el estatus del registro con todas las actividades relacionadas con el progreso del evento. Permitir a las partes involucradas a acceder a información relevante en el sistema de gestión de servicios.

6. Utilizar el sistema de gestión de servicios para reportar sobre estadísticas apropiadas y las tendencias a la alta dirección.


►Definición ■ Establecer una función y sistema que permita el registro y

rastreo de llamadas, incidentes, solicitudes de servicio y necesidades de información.

■ Debe trabajar estrechamente con los procesos de administración de incidentes, administración de problemas, administración de cambios, administración de capacidad y administración de disponibilidad.

■ Los incidentes deben clasificarse de acuerdo con el negocio y a la prioridad del servicio y enrutarse al equipo de administración de problemas apropiado y se debe mantener informados a los clientes sobre el estatus de sus consultas.

DS8 Administrar la Mesa de Servicio y los Incidentes DS8.3 Escalamiento de Incidentes


Mayor satisfacción del cliente

Proceso coherente para la resolución de problemas

Responsabilidad por los incidentes resueltos

Seguimiento preciso sobre los progresos de resolución de incidentes



Uso ineficiente de los recursos

Falta de disponibilidad de los recursos de la mesa de servicios

Incapacidad para hacer seguimiento a la resolución de incidencias



1. Asegurar que la mesa de servicios mantiene la propiedad, el monitoreo y escalamiento de solicitudes e incidentes en nombre de los clientes.

2. Notificar a la gerencia cuando ocurren incidentes de alto impacto, por ejemplo, impactos mayores al negocio o desviaciones importantes de los niveles de servicio acordados.



3. Definir e implementar un proceso para asegurar que los registros de incidentes se actualizan para mostrar la fecha, hora y la asignación de personal de TI.

4. Definir e implementar un proceso para asegurar que el personal de TI relacionados con consultas de los clientes actualicen las solicitudes o registros de incidentes con la información pertinente, tales como: clasificación, diagnóstico, causa raíz del problema, y soluciones.


►Definición ■ Establecer procedimientos para el monitoreo puntual de

la resolución de consultas de los clientes.

■ Cuando se resuelve el incidente la mesa de servicios debe registrar la causa raíz, si la conoce, y confirmar que

la acción tomada fue acordada con el cliente.

DS8 Administrar la Mesa de Servicio y los Incidentes DS8.4 Cierre de Incidentes


Mayor satisfacción de los clientes

Proceso de resolución de incidentes coherente y sistemático

Prevención de la repetición de problemas



Recopilación de información incorrecta

Incidentes comunes no resueltos adecuadamente

Incidentes que no se resuelve en forma oportuna



1. Definir un proceso para gestionar la resolución y cierre de cada incidente, incluyendo el uso de categorizaciones predeterminadas para identificar la causa raíz probable de los incidentes.

2. Registrar todos los incidentes resueltos en detalle y revisar la información para su posible actualización de la base de conocimientos. Tenga en cuenta la solución y la causa raíz probable de incidentes similares que surjan en el futuro.

3. Monitorear todas las solicitudes y los registros de incidentes a través del ciclo completo de vida, y revisarlos de manera periódica para garantizar la oportuna resolución y la cumplimiento a las consultas de los clientes.

4. Cerrar las peticiones e incidentes sólo después de la confirmación del iniciador.


►Definición ■ Emitir reportes de la actividad de la mesa de servicios

para permitir a la gerencia medir el desempeño del servicio y los tiempos de respuesta, así como para identificar tendencias de problemas recurrentes de forma que el servicio pueda mejorarse de forma continua.

DS8 Administrar la Mesa de Servicio y los Incidentes DS8.5 Análisis de Tendencias


Disminución de los tiempos de inactividad de servicio

Incremento de la satisfacción de los clientes

Confianza en los servicios ofrecidos

Medición y optimización del desempeño de la mesa de servicios



Fallas en la actividad de la mesa de servicio para soportar las actividades de negocios

Clientes no son satisfechas por los servicios ofrecidos

Los incidentes no se resuelve de manera oportuna

Aumentar el tiempo de inactividad de los clientes



1. Definir un proceso para identificar, investigar e informar sobre todas las consultas para las que los plazos acordados para la resolución (por ejemplo, SLA) fueron excedidos.

2. En apoyo de la identificación del problema, realizar análisis de tendencias de todas las consultas para identificar los incidentes que se repiten y patrones. Comunicar a la gestión de problemas para acciones adicionales.

3. Realizar un análisis de la retroalimentación recibida de los clientes para evaluar las tendencias de los niveles de satisfacción con el servicio prestado por la mesa de servicios.

4. Comparar el desempeño de la mesa de servicios con los estándares de la industria. Tome en cuenta estos resultados para el mejoramiento continuo.


DS9 Administrar la Configuración.

►Descripción del proceso Garantizar la integridad de las configuraciones de

hardware y software requiere establecer y mantener un repositorio de configuraciones completo y preciso.

Este proceso incluye la recolección de información de la configuración inicial, el establecimiento de normas, la verificación y auditoría de la información de la configuración y la actualización del repositorio de configuración conforme se necesite.

Una efectiva administración de la configuración facilita una mayor disponibilidad, minimiza los problemas de producción y resuelve los problemas más rápido.


DS9.1 Repositorio y Línea Base de Configuración

DS9.2 Identificación y Mantenimiento de Elementos de Configuración

DS9.3 Revisión de Integridad de la Configuración


►Definición ■ Establecer una herramienta de soporte y un

repositorio central que contenga toda la información relevante sobre los elementos de configuración.

■ Monitorear y grabar todos los activos y los cambios a los activos.

■ Mantener una línea base de los elementos de la ■ configuración para todos los sistemas y servicios

como punto de comprobación al cual volver tras los cambios.

DS9 Administrar la Configuración DS9.1 Repositorio y Línea Base de Configuración


Planeación efectiva de Hardware y software para mantener los servicios de negocio

La configuración desplegada coherentemente a través de la empresa

Planeación mejorada de tal forma que los cambios están de acuerdo con la arquitectura general

Ahorro de costos mediante la consolidación de proveedores

Rápida resolución de incidentes



Falta de cambios para cumplir con la arquitectura de la tecnología en general

Los activos no están protegidos adecuadamente

Cambios no autorizados en el hardware y el software no descubiertos, lo que podría resultar en brechas de la seguridad

Información documentada que no reflejan la arquitectura actual

Incapacidad para dar marcha atrás



1. Implementar un repositorio de configuración para capturar y mantener los elementos de y gestionar la configuración. El repositorio debe incluir hardware, software de aplicación, middleware, parámetros, documentación, procedimientos y herramientas para el funcionamiento, acceso y utilización de los sistemas, servicios, números de versión y detalles de la licencia.

2. Implementar una herramienta para permitir el registro efectivo de la información de gestión de configuración dentro de un repositorio.

3. Proporcionar un identificador único a cada elemento de configuración de modo que los elementos puede ser fácilmente rastreados y relacionados con las etiquetas de los activos físicos y los registros financieros.



4. Definir y documentar las líneas de base para la configuración de los componentes a través de entornos de desarrollo, prueba y producción, para permitir la identificación de la configuración del sistema en los puntos específicos en el tiempo (pasado, presente y proyectada).

5. Establecer un proceso para volver a la configuración de referencia en caso de problemas, si así se determina después de una investigación inicial.

6. Instalar mecanismos para monitorear los cambios contra el repositorio definido y la línea base. Proporcionar los informes de gestión de excepciones, la reconciliación y la toma de decisiones.


►Definición ■ Establecer procedimientos de configuración para

soportar la gestión y rastro de todos los cambios al repositorio de configuración.

■ Integrar estos procedimientos con la gestión de cambios, gestión de incidentes y procedimientos de gestión de problemas.

DS9 Administrar la Configuración DS9.2 Identificación y Mantenimiento de Elementos de Configuración


Efectiva gestión de cambios e incidentes

Cumplimiento de los requerimientos contables



Fallas en la identificación de los componentes críticos del negocio

Gestión de cambios sin control, que ocasionan interrupciones en los servicios y/o en el negocio

Incapacidad para evaluar el impacto de los cambios debido a información inexacta

Incapacidad para considerar con precisión los activos



1. Definir e implementar una política que requiere que todos los ítems de configuración y sus atributos y las versiones sean identificados y mantenidos.

2. Rotular los activos físicos de acuerdo con una política definida. Considere el uso de un mecanismo automatizado, como por ejemplo códigos de barras.

3. Definir una política que integre los procedimientos de gestión de incidentes, cambios y problema con el mantenimiento del repositorio de configuración.

4. Definir un proceso para registrar ítems de configuración nuevos, modificados y eliminados sus correspondientes atributos y versiones. Identificar y mantener las relaciones entre los ítems de configuración en el repositorio de configuración.



5. Establecer un proceso para mantener una pista de auditoría para todos los cambios a los ítems de configuración.

6. Definir un proceso para identificar los elementos críticos de configuración en relación con las funciones de negocio (análisis de impacto es caso de fallas en los componentes).

7. Registrar todos los activos, incluyendo hardware y software nuevos, adquiridos o desarrollados internamente-en el repositorio de gestión de datos de configuración.

8. Definir e implementar un proceso para garantizar la implementación de un sistemas de licenciamiento válido y así controlar e impedir la inclusión de software no autorizado.


►Definición ■ Revisar periódicamente los datos de configuración

para verificar y confirmar su integridad actual e histórica.

■ Revisar periódicamente el software instalado contra la política de uso de software para identificar software personal o no licenciado o cualquier otra instancia de software en exceso del contrato de licenciamiento actual.

■ Reportar, actuar y corregir errores y desviaciones.

DS9 Administrar la Configuración DS9.3 Revisión de Integridad de la Configuración


Identificación de desviaciones frente a la línea base

Mejoras en la identificación y resolución de problemas

Identificación de software no autorizados



Falta de identificación de los componentes críticos para el negocio

Gestión de cambios sin control, causando interrupciones en el negocio

Activos mal usados

Incremento en los costos para la resolución de problemas



1. Implementar un proceso de monitoreo que asegure la configuración de los ítems para validar la integridad de los datos de configuración. Comparar los datos registrados en contra de la existencia física real, y asegurar que los errores y las desviaciones son reportados y corregidos.

2. Usar herramientas automatizadas de descubrimiento según sea el caso, conciliar periódicamente el software y hardware realmente instalado contra la base de datos de configuración, registros de licencias y rótulos (tags) físicas.

3. Revisar periódicamente contra la política de uso del software, la existencia de cualquier software que esté violando o exceda las actuales políticas y acuerdos de licenciamiento. Reportar las desviaciones y tomar las acciones correctivas que corresponda.


DS10 Administración de Problemas

►Descripción del proceso Una efectiva administración de problemas requiere la

identificación y clasificación de problemas, el análisis de las causas desde su raíz, y la resolución de problemas.

El proceso de administración de problemas también incluye la identificación de recomendaciones para la mejora, el mantenimiento de registros de problemas y la revisión del estatus de las acciones correctivas.

Un efectivo proceso de administración de problemas mejora los niveles de servicio, reduce costos y mejora la conveniencia y satisfacción del usuario


DS10.1 Identificación y Clasificación de Problemas

DS10.2 Rastreo y Resolución de Problemas

DS10.3 Cierre de Problemas

DS10.4 Integración de las Administraciones de Cambios, Configuración y Problemas


►Definición ■ Implementar procesos para reportar y clasificar problemas que

han sido identificados como parte de la administración de incidentes.

■ Los pasos involucrados en la clasificación de problemas son similares a los pasos para clasificar incidentes; son determinar la categoría, impacto, urgencia y prioridad.

■ Los problemas deben categorizarse de manera apropiada en grupos o dominios relacionados (por ejemplo, hardware, software, software de soporte).

■ Estos grupos pueden coincidir con las responsabilidades organizacionales o con la base de usuarios y clientes, y son la base para asignar los problemas al personal de soporte.

DS10 Administración de Problemas DS10.1 Identificación y Clasificación de Problemas


Herramientas de apoyo para soportar el desempeño de la mesa de servicios

Gestión proactiva de problemas

Mejora del entrenamiento de los usuario final

Manejo de incidentes y problema eficiente y efectivo

Problemas e incidentes resueltos en forma oportuna

Mejoramiento en la calidad de los servicios de TI



Interrupción de los servicios de TI

Incremento en la probabilidad de la repetición de problemas

Problemas e incidentes no resueltos de manera oportuna

Falta de pistas de auditoría de problemas, incidentes y sus soluciones para un gestión proactiva de problema e incidentes

Recurrencia de los incidentes



1. Identificar los problemas a través de la correlación de los informes de incidentes, registros de errores (logs) y otros recursos de identificación de problemas. Determinar los niveles de prioridad y la categorización para abordar los problemas de manera oportuna.

2. Definir e implementar un proceso de manejo de problemas que tenga acceso a todos los datos relevantes, incluida la información de la gestión del cambio de sistemas y configuración de activos de TI y detalles de los incidentes, para abordar de manera efectiva la causa(s) raíz.

3. Definir los grupos de apoyo adecuados para ayudar en la identificación de problemas, análisis de causa raíz y la determinación de una solución para apoyar la gestión de problemas. Determinar los grupos de apoyo basados en categorías predefinidas, tales como hardware, red, software, aplicaciones y software de apoyo.



4. Definir los niveles de prioridad a través de consultas con la impresa para asegurarse de que la identificación de problemas y análisis de las causas se tratan de manera oportuna según los SLAs acordados. Los niveles base prioritarios del impacto en el negocio y el sentido de urgencia.

5. Informar sobre el estatus de los problemas identificados en la mesa de servicios para que los clientes y la gestión de TI se mantengan informados.


►Definición El sistema de administración de problemas debe mantener pistas de

auditoría adecuadas que permitan rastrear, analizar y determinar la causa raíz de todos los problemas reportados considerando: • Todos los elementos de configuración asociados • Problemas e incidentes sobresalientes • Errores conocidos y sospechados • Seguimiento de las tendencias de los problemas.

Identificar e iniciar soluciones sostenibles indicando la causa raíz, incrementando las solicitudes de cambio por medio del proceso de administración de cambios establecido. En todo el proceso de resolución, la administración de problemas debe obtener reportes regulares de la administración de cambios sobre el progreso en la resolución de problemas o errores.

DS10 Administración de Problemas DS10.2 Rastreo y Resolución de Problemas

►Definición (Cont…) La administración de problemas debe monitorear el

continuo impacto de los problemas y errores conocidos en los servicios a los usuarios. En caso de que el impacto se vuelva severo, la administración de problemas debe escalar el problema, tal vez refiriéndolo a un comité determinado para incrementar la prioridad de la solicitud del cambio (RFC) o para implementar un cambio urgente, lo que resulte más pertinente.

El avance de la resolución de un problema debe ser monitoreado contra los SLAs



Limitación de la interrupción o reducción de la calidad de los servicios de TI

Manejo eficiente y eficaz de los problemas e incidentes

Minimización del tiempo transcurrido para la detección de problemas y su resolución

Apropiada resolución de problemas con respecto a los niveles de servicio acordados

Mejoramiento de la calidad de los servicios de TI



Recurrencia de problemas e incidentes

Pérdida de la información

Incidentes críticos no resueltos de manera apropiada

Interrupciones en el negocio

Calidad del servicio insuficiente



1. Establecer y mantener un único sistema de gestión problema para registrar y reportar los problemas identificados y para establecer pistas de auditoría del proceso de gestión de problemas, incluyendo el estatus de cada problema, es decir: abierto, vuelto a abrir, en curso o cerrado. El sistema debe poder tener un registro para cada problema, incluyendo la información necesaria para entender el problema, la documentación pertinente del problema, las personas de contacto, momento en que se identificó el problema, las consecuencias conocidas, el dueño del problema, cualquier solución ejecutada, cómo y cuándo la(s) solución(es) fueron implementadas, y la identificación de la causa raíz.

2. Identificar e implementar un proceso para los problemas a ser asignados y analizados de manera oportuna para determinar la causa raíz. Determinar los problemas mediante la comparación de los datos de incidentes con la base de datos de errores conocidos y sospechosos (por ejemplo, aquellos comunicadas por proveedores externos). Luego de haber identificado con éxito la causa raíz del problema, clasificar los problemas como los errores conocidos.



3. Para maximizar los recursos y reducir la rotación, definir e implementar los procedimientos de administración de problemas para el rastreo de las tendencias del(os) problema(s).

4. Identificar e iniciar soluciones sostenibles (solución permanente), que aborden la raíz del problema, y elevar las solicitudes de cambio a través del proceso establecido para la gestión de cambios.



5. Definir los niveles de prioridad a través de consultas con la impresa para asegurarse de que la identificación de problemas y análisis de las causas se tratan de manera oportuna según los SLAs acordados. Los niveles base prioritarios del impacto en el negocio y el sentido de urgencia.

6. Informar sobre el estatus de los problemas identificados en la mesa de servicios para que los clientes y la gestión de TI se mantengan informados.


►Definición Disponer de un procedimiento para cerrar registros

de problemas ya sea después de confirmar la eliminación exitosa del error conocido o después de acordar con el negocio cómo manejar el problema de manera alternativa.

DS10 Administración de Problemas DS10.3 Cierre de Problemas


Consultas resueltas dentro de los rangos de tiempo acordados

Mejoramiento de las relación con los clientes y de la satisfacción de los usuarios

Eficiente y efectiva manejo de problemas e incidentes

Capacidad para aplicar las lecciones aprendidas al abordar en el futuro problemas de similar naturaleza



Consultas pendientes por resolver

Incremento de la interrupción del(os) servicio(s)

Incidentes críticos no resueltos en forma adecuada

Insatisfacción con los servicios de TI



1. Definir e implementar un proceso para el cierre de los registros de los problemas ya sea, después de la confirmación de la eliminación exitosa del error conocido, o después de un acuerdo con la empresa sobre cómo manejar el problema de forma alternativa.

2. Informar a la mesa de servicio para que los usuarios y los clientes pueden estar informados del calendario de cierre de problema. Por ejemplo, el horario para la fijación de los errores conocidos, la posible solución o el hecho de que el problema se mantendrá hasta que el cambio se implemente, y las consecuencias de los enfoques tomados.


►Definición Para garantizar una adecuada administración de

problemas e incidentes, integrar los procesos relacionados de administración de cambios, configuración y problemas.

Monitorear cuánto esfuerzo se aplica en apagar fuegos, en lugar de permitir mejoras al negocio y, en los casos que sean necesario, mejorar estos procesos para minimizar los problemas.

DS10 Administración de Problemas DS10.4 Integración de las Administraciones de Cambios, Configuración y Problemas


Mayor satisfacción de los clientes y usuarios

Eficiente y efectiva gestión de problema e incidentes

Documentación y reportes de problema e incidentes

Gestión efectiva de los servicios de TI



Pérdida de información

Incidentes críticos no resueltos en forma apropiada

Interrupciones en el negocio

Aumento del número de problemas

Disminución de la satisfacción con los servicios de TI



1. Desarrollar e implementar un proceso para capturar la información de problemas relacionados con cambios de TI y comunicarlos a los interesados clave. Esta comunicación podría adoptar la forma de informes y reuniones periódicas, con los dueños de los procesos de administración de cambios y configuración, para examinar los problemas recientes y las posibles acciones correctivas.

2. Asegurar que los dueños de los procesos y los gerentes afectados con los gerentes de los procesos de cambios y configuraciones se reúnan

periódicamente para discutir los cambios futuros previstos.



3. Para permitir a la organización monitorear los costos totales de los problemas, desarrollar e implementar un proceso para capturar los esfuerzos de cambio registrados como actividades ejecutadas en el proceso de gestión de problemas (por ejemplo, soluciones de los problemas y errores conocidos) e informar sobre ellos.

4. Para determinar la mejora global de la disponibilidad de servicios de TI, controlar los cambios resultantes del proceso de administración de problemas. Monitorear cómo los resultados del proceso de gestión de problemas disminuye la repetición de incidentes y requerimientos reactivos de soporte.


DS11 Administración de Datos

►Descripción del proceso Una efectiva administración de datos requiere de la

identificación de requerimientos de datos.

El proceso de administración de información también incluye el establecimiento de procedimientos efectivos para administrar la librería de medios, el respaldo y la recuperación de datos así como la eliminación apropiada de medios.

Una efectiva administración de datos ayuda a garantizar la calidad, oportunidad y disponibilidad de la información del negocio.

►Objetivos de control DS11.1 Requerimientos del Negocio para

Administración de Datos

DS11.2 Acuerdos de Almacenamiento y Conservación

DS11.3 Sistema de Administración de Librerías de Medios

DS11.4 Eliminación

DS11.5 Respaldo y Restauración

DS11.6 Requerimientos de Seguridad para la Administración de Datos


►Definición Verificar que todos los datos que se espera procesar

se reciben y procesan completamente, de forma precisa y a tiempo, y que todos los resultados se entregan de acuerdo con los requerimientos de negocio. Las necesidades de reinicio y reproceso están soportadas.

DS11 Administración de Datos DS11.1 Requerimientos del Negocio para Administración de Datos


Gestión de los datos orientada al apoyo de los requerimientos del negocio

Guía para el manejo de los datos

Autorización de transacciones de datos

Almacenamiento protegido de los fuentes



La gestión de datos no está apoyando a los requerimientos del negocio

Brechas de seguridad

Requerimientos legales, regulatorios y de negocio no se cumplen



1. Definir los requerimientos de negocio para la gestión de datos por parte de TI

2. Definir e implementar una política que aborde la segregación de funciones dentro de las operaciones de entrada, procesamiento y autorización de transacción de datos, incluyendo reemplazos y correcciones. Considerar las responsabilidades en cuanto a la segregación de funciones tanto en el negocio como en las operaciones.

3. Asegurar que la integridad de los datos y los requerimientos de reinicio y reprocesamiento están incluidos en programas de trabajo por lotes (batch) y procedimientos relacionados.



4. Definir e implementar un proceso que asegura que las entradas de datos están siendo validados a través de controles embebidos para asegurar la integridad, validez, precisión, seguridad, autorización e integridad.

5. Definir e implementar un proceso que asegure que todos los errores operacionales que requieren reprocesamiento de las transacciones son notificados a la función empresarial de origen y son vueltos a presentar de modo oportuno. Todas las transacciones erróneas deben pasar por los mismos controles de segregación de funciones, integridad, validez, etc, tal como como fueron procesados la primera vez.

6. Cuando sea apropiado y de conformidad con las políticas de seguridad definidas, comunicar a la gestión de seguridad las brechas o violaciones de seguridad, durante cualquier fase operativa de la recepción de datos, procesamiento y/o transmisión.



7. Definir e implementar un proceso que verifique y registre la distribución de la información de salida a las áreas o departamentos apropiados, dando un tratamiento especial a la información confidencial.

8. Definir e implementar un proceso de salvaguarda y almacenamiento apropiado para la data fuente, previniendo su alteración no autorizada.

9. Establecer políticas y procedimientos para la retención de los datos recibidos del negocio y su posterior destrucción de acuerdo con la clasificación de sensitividad de los datos.


►Definición Definir e implementar procedimientos para el

archivo, almacenamiento y retención de los datos, de forma efectiva y eficiente para conseguir los objetivos de negocio, cumplir con la política de seguridad de la organización y los requerimientos regulatorios.

DS11 Administración de Datos DS11.2 Acuerdos de Almacenamiento y Conservación


Gestión de datos alineada con el soporte a los requerimientos del negocio

Guía para el manejo de datos

Almacenamiento protegido de los fuentes

Recuperación de los datos de una manera eficiente



Datos no protegidos de accesos y/o alteraciones no autorizadas

Documentos no recuperados cuando se necesitan

Incumplimiento de las obligaciones regulatorias y legales

Acceso no autorizado a los datos



1. Establecer los procedimientos de almacenamiento y retención que cumplen con la política de seguridad de la organización y los procedimientos de gestión de cambios, incluidos el cifrado y la autenticación. Considere los datos, claves y certificados utilizados para el cifrado y la autenticación.

2. Establecer mecanismos de almacenamiento y retención para satisfacer los requisitos legales, regulatorios y de negocios, para los documentos, datos, archivos, programas, informes y mensajes (entrantes y salientes).

3. Definir e implementar procedimientos que describen el uso de herramientas de gestión de datos, por ejemplo, control de acceso, movimientos y depuración de datos.



4. Considerar el impacto de los cambios actuales y futuras en hardware y software de los estándares en la recuperación y procesamiento (tratamiento), de los datos archivados.

5. Definir e implementar procedimientos que describen el control de acceso a las herramientas de gestión de datos y medios de almacenamiento asociados. Restringir el acceso al personal autorizado.

6. Analizar los tipos de medios de la data almacenada y archivada para definir los requisitos ambientales, por ejemplo, humedad y temperatura. Monitorear y revisar el entorno del almacenamiento físico.



7. Revisar periódicamente la integridad y la facilidad de uso de los medios magnéticos. Informar periódicamente hacer seguimiento de los errores de discos. Investigar las tendencias para asegurar que los medios todavía aún se pueden utilizar. Reemplazar los medios susceptibles a la degradación, tales como cintas y DVD-ROMs.


►Definición Definir e implementar procedimientos para mantener

un inventario de medios almacenados y archivados para asegurar su uso e integridad.

DS11 Administración de Datos DS11.3 Sistema de Administración de Librerías de Medios


Conteo de todos los medios de comunicación

Mejora de la gestión de las copia de seguridad

Protección de la disponibilidad de datos

Reducción del tiempo para la restauración de datos



Integridad de los medios comprometida

Los medios de las copia de seguridad no estén disponibles cuando se necesita

Acceso no autorizado a las cintas de datos

Destrucción de las copias de seguridad

Incapacidad para determinar la ubicación de los medios de copia de seguridad



1. Asignar responsabilidades dentro de la función de TI para el desarrollo y mantenimiento de las políticas y procedimientos para la gestión de las librerías de medios.

2. Asegurar que el sistema de gestión de medios de las librerías especifica los derechos de acceso y seguridad.

3. Mantener un inventario de los medios archivados para limitar la posibilidad de pérdida de datos.

4. Revisar de forma periódica el inventario físico de medios contra de la lista. Investigar y corregir las discrepancias y medios faltantes y reportar a la gerencia


►Definición Definir e implementar procedimientos para asegurar

que los requerimientos del negocio para la protección de datos sensitivos y el software se cumplen cuando se eliminan o transfieren los datos y/o el hardware..

DS11 Administración de Datos DS11.4 Eliminación


Apropiada protección de la información corporatva

Mejoramiento de la gestión de las copia de seguridad

Protección de la disponibilidad de datos



Divulgación o revelamiento de la información corporativa

Compromiso de la integridad de los datos sensitivos

Acceso no autorizado a las cintas de datos



1. Definir claramente la responsabilidad por el desarrollo y la comunicación de las políticas de eliminación.

2. Limpiar el equipo y los medios que contengan información sensitiva antes de su reutilización o eliminación. Tales procesos deben garantizar que los datos marcados como "eliminados" o "a ser eliminados" no se puede recuperarse (por ejemplo, los medios que contienen datos confidenciales deben ser físicamente destruidos).

3. Mantener un registro de auditoría, registrar la eliminación de equipos o medios que contengan información sensitiva.



1. Definir un procedimiento para eliminar los medios activos de la lista de inventario de los medios en caso de eliminación.

2. Transportar equipos y medios no borrados en una forma segura durante todo el proceso de eliminación.

3. Exigir a los contratistas usados para la eliminación en disponer de seguridad física necesaria y procedimientos para almacenar y manipular los equipos y medios de comunicación antes y durante la eliminación.


►Definición Definir e implementar procedimientos de respaldo y

restauración de los sistemas, aplicaciones, datos y documentación alineados con los requerimientos de negocio y el plan de continuidad.

DS11 Administración de Datos DS11.5 Respaldo y Restauración


Información corporativa restaurada de manera apropiada

Gestión de copias de seguridad mejorada alineada con los requerimientos del negocio y el plan de copia de seguridad

Salvaguarda de la disponibilidad de datos y su integridad



Divulgación de la información corporativa

Imposibilidad para recuperar los datos de las copia de seguridad cuando se necesita

Procedimientos de recuperación que no cumplan con los requerimientos del negocio

Incapacidad para restaurar los datos en el evento de ocurrencia de un desastre

Inapropiado tiempo requerido para generar las copias de seguridad



1. Identificar periódicamente, los datos críticos que afectan las operaciones de negocio, en alineación con el modelo de gestión de riesgos y servicios de TI, así como el plan de continuidad de negocio.

2. Definir políticas y procedimientos para la gestión y control de copia de seguridad de sistemas, aplicaciones, datos y documentación que tengan en cuenta factores tales como: La frecuencia de las copia de seguridad (por ejemplo, discos espejos para copias

disponer de copias seguridad en tiempo real vs DVD-ROM para la retención a largo plazo)

Tipo de copias de seguridad (por ejemplo, completa vs incremental) Tipo de medios Copias de seguridad automáticas en línea Tipos de datos (por ejemplo, voz, óptica) Creación de registros o bitácoras Data críticas computacional de los usuarios finales (por ejemplo, hojas de cálculo) Ubicación física y lógica de los datos fuentes Seguridad y derechos de acceso Cifrado

.



3. Asignar responsabilidades para la generación y monitoreo de las copias de seguridad.

4. Programar, generar y registrar las copias de seguridad de acuerdo con las políticas y procedimientos establecidos.

5. Asegurar que los sistemas, aplicaciones, datos y documentación mantenidos o procesados por terceros están suficientemente respaldados y/o aseguradas. Considere la posibilidad de exigir la devolución de las copias de seguridad a los terceros. Considere la posibilidad de acuerdos de custodia o depósito

.



6. Definir los requisitos para las instalaciones y el almacenamiento en sitio y fuera del sitio de las copia de seguridad que cumplan con los requerimientos del negocio. Tenga en cuenta la accesibilidad requerida a las copias de seguridad de datos.

7. Periódicamente realizar pruebas suficientes de restauración para asegurar que todos los componentes de copias de seguridad puede ser restablecida.

8. Acordar y comunicarse con el negocio o los dueños del proceso de TI el marco de tiempo requerido para la restauración.

.


DS12 Administración del Ambiente Físico

►Descripción del proceso La protección del equipo de cómputo y del personal,

requiere de instalaciones bien diseñadas y bien administradas. El proceso de administrar el ambiente físico incluye la definición de los requerimientos físicos del centro de datos (site), la selección de instalaciones apropiadas y el diseño de procesos efectivos para monitorear factores ambientales y administrar el acceso físico.

La administración efectiva del ambiente físico reduce las interrupciones del negocio ocasionadas por daños al equipo de cómputo y al personal.


DS12.1 Selección y Diseño del Centro de Datos

DS12.2 Medidas de Seguridad Física

DS12.3 Acceso Físico

DS12.4 Protección Contra Factores Ambientales

DS12.5 Administración de Instalaciones Físicas


►Definición Definir y seleccionar el(los) centro(s) de datos físicos

(site) para el equipo de TI y soportar la estrategia de tecnología ligada a la estrategia del negocio. Esta selección y diseño del esquema de un centro de datos debe tomar en cuenta el riesgo asociado con desastres naturales y causados por el hombre.

También debe considerar las leyes y regulaciones correspondientes, tales como regulaciones de seguridad y de salud en el trabajo.

DS12 Administración del Ambiente Físico DS12.1 Selección y Diseño del Centro de Datos


Minimizar las amenazas a la seguridad física

Disminución del riesgo de un ataque físico al(los) sitio(s) donde está la infraestructura de TI reduciendo la posibilidad de que el(los) sitio(s) sean identificados por personas no autorizadas que pueden iniciar un ataque

Reducción de costos de los seguros como resultado de la demostración de una gestión óptima de seguridad física



Amenazas a la seguridad física no identificadas

Incremento de la vulnerabilidad a riesgos de seguridad, como resultado de la ubicación del sitio y / o su diseño



1. Considerando la realidad, la estrategia tecnológica del negocio y las buenas prácticas de diseño y ubicación, elegir un sitio para la infraestructura que cumpla con los requerimientos del negocio y la política de seguridad. Tener en cuenta consideraciones especiales, como la posición geográfica, los alrededores y la infraestructura. Otros riesgos que deben considerarse incluyen, pero no se limitan a: robo, aire, fuego, humo, agua, vibración, terrorismo, vandalismo, y productos químicos o explosivos.

2. Definir un proceso que identifique los posibles riesgos y amenazas para el(los) sitio(s) de la organización y evaluar el impacto en el negocio de forma continua, teniendo en cuenta el riesgo asociado con los desastres naturales y/o provocados por el hombre.

.



3. Asegurar que la selección y diseño del sitio toma en cuenta las leyes y reglamentos pertinentes, tales como los códigos de construcción y ambientales, contra incendio, ingeniería eléctrica, y la salud ocupacional y normas de seguridad.


►Definición Definir e implementar medidas de seguridad físicas

alineadas con los requerimientos del negocio. Las medidas deben incluir, pero no limitarse al esquema del perímetro de seguridad, de las zonas de seguridad, la ubicación de equipo crítico y de las áreas de envío y recepción.

En particular, mantenga un perfil bajo respecto a la presencia de operaciones críticas de TI.

Deben establecerse las responsabilidades sobre el monitoreo y los procedimientos de reporte y de resolución de incidentes de seguridad física.

DS12 Administración del Ambiente Físico DS12.2 Medidas de Seguridad Física


Protección de los sistemas críticos de TI de las amenazas físicas

Implementación efectiva de medidas de seguridad física

Promoción de la sensibilización entre el personal y gestión de requisitos de la organización para la seguridad física



Amenazas a la seguridad física no identificadas

Robos de hardware por personas no identificadas

Ataques físicos al(los) sitio(s) de TI

Reconfiguración de dispositivos sin autorización

Información confidencial que se accede por medio de dispositivos configurados para leer la radiación emitida por los equipos



1. Definir e implementar una política para la seguridad física y las medidas de control de acceso que deben seguirse para el(los) sitio(s) de TI. Revisar periódicamente la política para asegurar que siga siendo pertinente y actualizada.

2. Limitar el acceso a la información sobre los sitios claves de TI y a los planes y planos del diseño. Asegúrese de que la señalización externa y de otros sitios de TI sensitivos, son discretos y no identifican de manera obvia el(los) sitio(s) desde el exterior. Confirme que los directorios de organización o mapas no se identifica la ubicación del(los) sitio(s) de TI.

3. Diseñar las medidas de seguridad física considerando el riesgo asociado con el negocio y la operación. Las medidas de seguridad incluyen sistemas de alarmas, construcción reforzada, protección blindando el cableado y particiones físicas seguras

.



4. De forma periódica probar y documentar sus resultados de las medidas preventivas, detectivas y correctivas de la seguridad física para verificar el diseño, aplicación y su efectividad.

5. Asegurar que el diseño del sitio considera el cableado físico de las telecomunicaciones, tuberías de agua, electricidad y alcantarillado. La instalación debe ser ocultado, por lo que no sea visible directamente. Las tuberías de agua y alcantarillado también debe alejarse del entorno y alrededores de las salas de servidores.

6. Definir un proceso para el retiro seguro de los equipos informáticos, con el apoyo de las correspondientes autorizaciones que sean pertinentes.

.



7. Proteger las áreas de recepción y envío de equipos de TI de la misma forma y con el alcance que se han definido para los sitios y operaciones de TI.

8. Definir y aplicar una política y un proceso para transportar y almacenar equipo de TI de forma segura.

9. Definir un proceso para asegurar que los dispositivos de almacenamiento que contienen información sensitiva o confidencial son físicamente destruidos o desinfectados( sanitized).

10. Definir un proceso para el registro, seguimiento, gestión, comunicación y resolución de incidentes de seguridad física, alineados con el proceso de gestión de incidencias global de TI.

11. Asegurar que los sitios especialmente sensibles se revisan con frecuencia (incluyendo fines de semana y días festivos).

.


►Definición Definir e implementar procedimientos para otorgar,

limitar y revocar el acceso a locales, edificios y áreas de acuerdo con las necesidades del negocio, incluyendo las situaciones de emergencia.

El acceso a locales, edificios y áreas debe justificarse, autorizarse, registrarse y monitorearse. Esto aplica para todas las personas que accedan a las instalaciones, incluyendo personal, clientes, proveedores, visitantes o cualquier tercera persona.

DS12 Administración del Ambiente Físico DS12.3 Acceso Físico


Acceso apropiado para asegurar la resolución oportuna de un incidente crítico

Todos los visitantes puedan ser identificables y localizables

Mayor conciencia del personal de sus responsabilidades en relación con los visitantes, contratistas, proveedores, personal de servicio.



Visitantes o terceros con acceso no autorizado a los equipos informáticos y/o información

Entrada no autorizada a las áreas seguras



1. Definir e implementar un proceso que gobierne la solicitud y concesión de acceso a las instalaciones de computación. Las solicitudes fisicas formales de acceso deben ser completado y autorizado por la dirección o gerencia del sitio de TI, y mantenerse los registros de las solicitudes. Las formas usadas debe identificar específicamente las áreas y/o sitios a las que se concede al individuo el acceso.

2. Definir e implementar procedimientos para garantizar que los perfiles de acceso siguen siendo actuales. Conceder el acceso a los sitios de TI (salas de servidores, edificios, áreas o zonas) en función de sus roles y responsabilidades.

3. Definir un proceso para registrar (logs) y monitorear todos los puntos de entrada al(los) sitio(s). Registrar en el sitio a todos los visitantes, incluyendo contratistas y proveedores.



4. Definir e implementar una política instruyendo a todo el personal para usar y mostrar una identificación visible en todo momento. Evitar la emisión de tarjetas de identificación o insignias sin la debida autorización.

5. Definir e implementar una política que exige que los visitantes serán escoltados en todo momento, mientras permanezcan en el(los) sitio(s) por un integrante del grupo de operaciones de TI. Si un integrante del grupo identifica a una persona sin acompañante, no familiar y que no lleva la identificación, el personal de seguridad debe ser alertado.

6. Restringir el acceso al(los) sitio(s) de TI mediante el establecimiento de restricciones perimetrales, tales como vallas, muros, y dispositivos de seguridad en puertas interiores y exteriores. Los dispositivos deben registrar la entrada y accionar alarmas en caso de accesos no autorizados. Ejemplos de tales dispositivos incluyen tarjetas de acceso, teclados, circuito cerrado de televisión y/o escáneres biométricos, sistemas de esclusas.



7. Definir un proceso para llevar a cabo entrenamientos físico periódicos de concienciación sobre la seguridad.


►Definición Diseñar e implementar medidas de protección contra

factores ambientales. Deben instalarse dispositivos y equipo especializado para monitorear y controlar el ambiente.

DS12 Administración del Ambiente Físico DS12.4 Protección Contra Factores Ambientales


Identificación de todas las amenazas ambientales potenciales a las instalaciones de TI

Prevención o detección oportuna de las amenazas ambientales

Reducción del riesgo de rechazos de pago de siniestros por parte de las compañías de seguros por no cumplir con los requisitos de pólizas de seguros. Asimismo, reducir al mínimo el valor de las primas pagadas por seguros

Protección apropiada contra factores ambientales



Instalaciones expuestas a los impactos ambientales

Incapacidad para la detección amenazas ambientales

Medidas inadecuadas para la protección contra amenazas ambientales



1. Establecer y mantener un proceso para identificar desastres naturales y provocados por el hombre que podrían ocurrir en el área en el que las instalaciones de TI se encuentran ubicadas. Evaluar el efecto potencial sobre las instalaciones de TI.

2. Definir e implementar una política que identifica cómo los equipos, incluidos equipos móviles y fuera del sitio, están protegidos contra las amenazas ambientales. La política debe limitar o excluir aspectos como: comer, beber y fumar en las zonas sensitivas, y prohibir el almacenamiento de artículos de papelería y otros suministros que presentan un peligro de incendio dentro de los centros de cómputo.

3. Situar y construir las instalaciones de TI de forma que se minimice y mitigue la susceptibilidad a las amenazas ambientales.



4. Definir e implementar un proceso para monitorear regularmente y mantener los dispositivos que detectan de manera proactiva las amenazas ambientales (por ejemplo, fuego, agua, humo, humedad).

5. Definir e implementar procedimientos para responder a las alarmas ambientales y otras notificaciones establecidas. Documentar y probar los procedimientos, los cuales deberían incluir las prioridades de las alarmas y el contacto con las autoridades locales de respuesta a emergencias, y capacitar al personal en estos procedimientos.

6. Comparar las medidas y planes de contingencia frente a los requisitos de las pólizas de seguros, y reportar su resultado a la gerencia. Resolver de manera oportuna los puntos de incumplimiento.



7. Asegurar que el(los) sitio(s) de TI son construidos y diseñados para minimizar el impacto de los riesgos ambientales (e.g., robo, aire, fuego, humo, agua, vibración, terrorismo, vandalismo, productos químicos, explosivos, etc.). Considere la posibilidad de zonas específicas de seguridad y / o celdas resistentes al fuego (e.g., la localización de servidores de ambientes de producción y desarrollo distanciados unos del otros).

8. Mantener el(los) sitio(s) y salas de servidores limpios y en condiciones de seguridad en todo momento, es decir, limpio, sin cajas de papel o de cartón, cubos de basura llenos, sin la existencia de productos químicos o materiales inflamables.


►Definición Administrar las instalaciones, incluyendo el equipo de

comunicaciones y de suministro de energía, de acuerdo con las leyes , reglamentos, los requerimientos técnicos y de negocio, las especificaciones del proveedor y los lineamientos de seguridad y salud.

DS12 Administración del Ambiente Físico DS12.5 Administración de Instalaciones Físicas


Protección de los sistemas críticos de TI de los efectos de los cortes de energía y otros riesgos relacionados con las instalaciones

El uso efectivo y eficiente de las instalaciones y recursos de TI



Incumplimiento de las regulaciones de salud y seguridad

Caídas de los sistemas de TI, debido a la mala protección contra cortes de energía y otros riesgos relacionados con las instalaciones

Accidentes del personal



1. Definir e implementar un proceso para examinar los requerimientos de protección de las instalaciones de TI contra eventos ambientales, fluctuaciones de energía e interrupciones, en conjunto con los demás requisitos relacionados con la planificación de continuidad. Adquirir equipos de suministro de energía ininterrumpibles adecuados (e.g., UPS, baterías, generadores), para soportar la planificación de la continuidad de negocio.

2. Probar en forma periódica los mecanismos de alimentación de energía ininterrumpida, y asegurar que el poder se puede conectar a la red sin ningún efecto significativo en las operaciones del negocio.

3. Asegurar que el(los) sitio(s) tienen más de una fuente de los servicios públicos dependientes (por ejemplo, energía, telecomunicaciones, agua, gas). Separar la entrada física de cada uno de estos servicios.



4. Comprobar que el cableado externo al(los) sitio(s) de TI se encuentra bajo tierra o tiene otro tipo de protección adecuado. Determinar que el cableado dentro del sitio está contenido dentro de los conductos seguros, y los gabinetes de cableado tienen acceso restringido a personal autorizado. Proteger adecuadamente el cableado de daños causados por el fuego, el humo, el agua, la intercepción e interferencia.

5. Asegurar que el cableado y físico (datos y telefonía) son estructurado y organizado. El cableado y su estructura de conductos está documentado, por ejemplo, el plan de proyecto de construcción y los diagramas de cableado.

6. Analizar las instalaciones de alta disponibilidad por sistemas de redundancia y fail-over (requisitos de cableado externo e interno).



7. Definir e implementar un proceso para asegurar que los sitios y las instalaciones se encuentran en cumplimiento continuo con asuntos relevantes como: salud, leyes de seguridad, reglamentos, directrices y especificaciones de los proveedores.

8. Educar al personal en forma periódica en temas regulatorios de salud y seguridad, y directrices pertinentes. Educar al personal en los simulacros de incendio y ejercicios de rescate para asegurar el conocimiento y las medidas adoptadas en caso de incendio o de incidentes similares.

9. Definir e implementar un proceso para registrar, controlar, gestionar y resolver las incidentes en las instalaciones, alineados con el proceso de gestión de incidentes de TI. Hacer accesibles los informes sobre incidentes en las instalaciones en las que la divulgación se hace necesaria según las leyes y regulaciones.



7. Definir un proceso para asegurar que el(los) sitos de TI y los equipos de TI se mantienen de acuerdo con la recomendaciones de los proveedores en cuanto a los tiempos de servicios y especificaciones recomendadas. El mantenimiento debe ser realizado sólo por personal autorizado.

8. Analizar las alteraciones físicas y premisas establecidas para el(los) sitio(s) de TI, para revaluar el riesgo ambiental (e.g., daños, incendios o agua). Informar de los resultados de este análisis a la gerencia de continuidad del negocio y la área a cargo de las instalaciones.


DS13 Administración de Operaciones

►Descripción del proceso Un procesamiento de información completo y apropiado

requiere de una efectiva administración del procesamiento de datos y del mantenimiento del hardware.

Este proceso incluye la definición de políticas y procedimientos de operación para una administración efectiva del procesamiento programado, protección de datos de salida sensitivos, monitoreo de infraestructura y mantenimiento preventivo de hardware.

Una efectiva administración de operaciones ayuda a mantener la integridad de los datos y reduce los retrasos en el trabajo y los costos operativos de TI.


DS13.1 Procedimientos e Instrucciones de Operación

DS13.2 Programación de Tareas

DS13.3 Monitoreo de la Infraestructura de TI

DS13.4 Documentos Sensitivos y Dispositivos de Salida

DS13.5 Mantenimiento Preventivo del Hardware


►Definición Definir, implementar y mantener procedimientos

estándar para operaciones de TI y garantizar que el personal de operaciones está familiarizado con todas las tareas de operación relativas a ellos.

Los procedimientos de operación deben cubrir los procesos de entrega de turno (transferencia formal de la actividad, estatus, actualizaciones, problemas de operación, procedimientos deescalamiento, y reportes sobre las responsabilidades actuales) para garantizar la continuidad de las operaciones.

DS13 Administración de Operaciones DS13.1 Procedimientos e Instrucciones de Operación

►Generadores de valor Demostración de que las operaciones de TI están

cumpliendo con los SLAs Promoción de la continuidad del apoyo operacional

mediante la documentación de las experiencias del personal y su retención en una base de conocimientos

Procedimientos e instrucciones de las operaciones de TI al personal operativo, claramente estructurados, estandarizados y documentados

Reducción del tiempo de la transferencia de conocimientos entre el personal calificado de soporte de operaciones y los nuevos integrantes



Errores y reprocesamientos debido a la falta de entendimiento y comprensión de los procedimientos

Ineficiencias debido a procedimientos poco claros y / o no estándares

Incapacidad para hacer frente con rapidez a los problemas operativos, personal nuevo y cambios operativos



1. Desarrollar, implementar y mantener procedimientos operativos estándares, que cubren la definición de roles y responsabilidades, incluidas las de los proveedores de servicios externos.

2. Capacitar al personal de apoyo en los procedimientos operativos y las tareas relacionadas de las que son responsables.

3. Definir los procedimientos y responsabilidades para la entrega formal de sus deberes (e.g., cambio de turno, ausencia planificadas o no).



4. Definir los procedimientos para el manejo de excepciones de acuerdo con la gestión de incidentes y procedimientos de gestión del cambio y para enfrentar aspectos de seguridad.

5. Asegurar que la segregación de funciones está alineada con los riesgos asociado, la seguridad y los requisitos de

auditoría.


►Definición Organizar la programación de trabajos, procesos y

tareas en la secuencia más eficiente, maximizando el desempeño y la utilización para cumplir con los requerimientos del negocio.

Deben autorizarse los programas iniciales así como los cambios a estos programas.

Los procedimientos deben implementarse para identificar, investigar y aprobar las salidas de los programas estándar agendados.

DS13 Administración de Operaciones DS13.2 Programación de Tareas


Optimización de uso de los recursos del sistema balanceando las cargas de trabajo y minimizando el impacto sobre los usuarios en línea

Minimización del efecto de los cambios en los programas de trabajo para evitar interrupciones de la producción



Operaciones con picos de utilización de los recursos

Problemas con la programación según se considere (ad hoc)

Re-ejecuciones reinicios de trabajos (procesos)



1. Utilizar los procedimientos formales de control de cambios para la planificación y la programación de las actividades de procesamiento. Obtener la autorización de los programas de corrido y cambios (secuencias y tiempos) a estos.

2. Asegurar que la programación de trabajos por lotes toma en consideración los requerimientos del negocio, las prioridades, los conflictos entre los trabajos (jobs) y el balanceo de cargas de trabajo. Implementar procedimientos para identificar, investigar y aprobar las desviaciones de la programación estándar de los trabajos.

3. Definir e implementar un procedimiento para resolver y corregir errores y/o fallas durante la ejecución de los trabajo (jobs).

4. Implementar herramientas automatizadas y procesos para notificar de inmediato y corregir los fallos críticos de procesamiento.


►Definición Definir e implementar procedimientos para

monitorear la infraestructura de TI y los eventos relacionados.

Garantizar que en los registros de operación se almacena suficiente información cronológica para permitir la reconstrucción, revisión y análisis de las secuencias de tiempo de las operaciones y de las otras actividades que soportan o que están alrededor de las operaciones.

DS13 Administración de Operaciones DS13.3 Monitoreo de la Infraestructura de TI


Detección proactiva de los problemas de infraestructura que probablemente pueden dar lugar a incidentes

Capacidad para monitorear las tendencias y hacer frente a los problemas de infraestructura antes de que ocurran

Capacidad para optimizar el despliegue y uso de los recursos



Problemas de infraestructura no detectados y ocurrencia de incidentes

Problemas de infraestructura que causan un mayor impacto operacional al negocio, que se hubieran podido prevenir o detectar más temprano

Recursos de infraestructura de TI mal utilizados y desplegados



1. Definir e implementar un proceso para el registro de eventos que identifica el nivel de información a ser registrada con base en las consideraciones de riesgo y rendimiento.

2. Identificar y mantener una lista de activos de infraestructura que necesitan ser monitoreados sobre la base de la criticidad de servicio, y la relación entre los elementos de configuración y los servicios que dependen de ellos.

3. Definir e implementar reglas que identifiquen y registrar las brechas de los umbrales y las condiciones del evento. Encontrar un equilibrio entre la generación de falsos eventos menores y eventos importantes para no sobrecargar los registros de eventos con información innecesaria



3. Generar bitácoras de eventos y retenerlas durante un período adecuado para ayudar en las investigaciones futuras.

4. Establecer procedimientos para el monitoreo de bitácoras de eventos y ejecutar revisiones periódicas.

5. Asegurar que la notificaciones (tickets), se crean en el momento oportuno, cuando las actividades de monitoreo identifican desviaciones.


►Definición Establecer resguardos físicos, prácticas de registro y

administración de inventarios adecuados sobre los activos de TI más sensitivos tales como: formas, instrumentos negociables, impresoras de uso especial o dispositivos de seguridad.

DS13 Administración de Operaciones DS13.4 Documentos Sensitivos y Dispositivos de Salida

►Generadores de valor Protección adicional de las formas especiales y data

sensitiva comercial de salida a través de la gestión de un inventario

Prevención de robo, fraude, manipulación, destrucción u otros abusos de los activos sensitivos de TI

Verificación de las autorizaciones de acceso antes de conceder el acceso físico a las formas especiales y dispositivos de salida, y retención de pruebas con respecto a la integridad de los dispositivos de salida especiales



Mal uso de los activos sensitivos de TI, provocando pérdidas financieras y otros impactos al negocio

Incapacidad para dar cuenta de todos los activos sensitivos



1. Establecer procedimientos para gestionar y controlar la recepción, uso, remoción y eliminación de formularios especiales y dispositivos de salida hacia, dentro y fuera de la organización.

2. Asignar los privilegios de acceso a los documentos sensibles y dispositivos de salida basándose en el principio de privilegios mínimos, balanceando el riesgo versus los requerimientos del negocio.

3. Establecer un inventario de los documentos sensibles y dispositivos de salida, llevando a cabo conciliaciones periódicas.



3. Establecer medidas de seguridad físicas sobre las formas especiales y dispositivos sensitivos.

4. Definir e implementar un proceso para la destrucción de información confidencial y los dispositivos de salida (e.g., desmagnetización de los medios electrónicos, la destrucción física de los dispositivos de memoria, hacer disponibles trituradoras para destruir las formas especiales y otros documentos confidenciales). de TI.


►Definición Definir e implementar procedimientos para garantizar

el mantenimiento oportuno de la infraestructura para reducir la frecuencia y el impacto de las fallas o disminución del desempeño.

DS13 Administración de Operaciones DS13.5 Mantenimiento Preventivo del Hardware


Optimización del rendimiento y disponibilidad de los sistemas

Gestión preventiva de problemas e incidentes

Protección de las garantías



Problemas de infraestructura que podrían haberse evitado o prevenido

Garantías violadas debido al incumplimiento de los requesitos de mantenimiento



1. Establecer un plan de mantenimiento preventivo para todo el hardware, considerando el análisis costo-beneficio, recomendaciones del proveedor, el riesgo de interrupción, personal calificado y otros factores relevantes.

2. Revisar todos los registros de actividad de forma regular para identificar los componentes críticos de hardware que requieren mantenimiento preventivo, y actualizar el plan de mantenimiento en consecuencia.

3. Establecer contratos de mantenimiento que implican el acceso de terceros a la organización de TI para instalaciones internas (onsite) y las externas (offsite), (e.g. outsourcings). Establecer contratos formales de servicio que contengan o se refieran a todas las condiciones de seguridad necesarias (confidencialidad si es necesario), incluidos los procedimientos de autorización de acceso, para garantizar el cumplimiento de las políticas de seguridad organizacionales y estándares.



4. Comunicar de manera oportuna, los clientes u usuarios afectados los impactos esperados (e.g., las restricciones de rendimiento) que se ocasionarán por las actividades de mantenimiento.

5. Asegurar que los puertos, servicios, perfiles de usuario u otros medios utilizados para el mantenimiento o el diagnóstico se activan sólo cuando sea necesario.

6. Incorporar el tiempo de inactividad previsto en la programación de producción general, y programar las actividades de mantenimiento para minimizar el impacto adverso en los procesos de negocio.


….Preguntas?

….Muchas gracias

curso seguridad en operaciones de ti 23 ene 2013 v2

Documents