MEMPTI

El Marco de Evaluación y Mejora de Prácticas de TI (MEMPTI) es un marco desarrollado para ayudar a las empresas en la evaluación de capacidad de sus prácticas en alineación con ITIL 4.

• Gobierno de TI
• Gobierno de TI
• Estructuras Organizacionales
• Proyectos TI
• Consideraciones para Proyectos TI
• Planeación de Proyectos TI
• Desarrollo de Proyectos TI
• Validación de Proyectos TI
• Aprendizaje en los Proyectos TI
• Estrategia TI
• Estrategia TI
• Portafolio de Servicios TI
• Finanzas de TI
• Gestion de acuerdos TI
• Servicios TI
• Gestión de Infraestructura
• Gestión de Software TI
• Demanda y Capacidad TI
• Gestión de Disponibilidad y Continuidad
• Gestión de Proveedores y Contratos
• Soporte de Servicios TI
• Calidad de los Servicios TI
• Sistemas de Seguridad de la Información
• Gestión de Cambios y Transiciones
• Asegurar la Calidad de los Servicios y Procesos TI
• Institucionalización de las TI
• Conocimiento TI
• Innovación y Mejora TI

Gobierno de TI

Gobierno de TI

1. Definición de Metas Corporativas, además de otros referentes de metas y objetivos.

1.1 ¿Las metas corporativas están disponibles para las partes interesadas de la organización?

• ¿Las metas corporativas están disponibles para las partes interesadas de la organización?

1.2 ¿Se tienen identificadas las regulaciones externas, obligaciones legales y contractuales? ¿Se determina cómo éstas deben ser aplicadas en el gobierno de TI de la empresa?

• En algunas empresas, hay regulaciones por las superintendencias; cosas simples como registrar las bases de datos ante la SIC; Ley 1581 (protección de datos); regulaciones ambientales, etc.

1.3 ¿Las metas de la organización pasan por un análisis de los beneficios que entregan, los recursos necesarios para su ejecución y los riesgos relacionados?

• Para garantizar que las metas están bien definidas se deben considerar criterios como ¿Qué voy a ganar? ¿Qué ganan mis partes interesadas? ¿Qué recursos necesitamos para que las metas se vuelvan realidad? ¿Qué riesgos traen los cambios?

1.4 Las metas de la organización se priorizan utilizando criterios especificos (Ej: Recursos necesarios, Riesgos relacionados, Beneficios obtenidos)

• Es importante conocer cuales son las metas más importantes dentro de la organización

2. Toma de decisiones

2.1 ¿Se tienen definidos criterios para la selección de un proveedor, adquisiones de herramientas o decisiones importantes en T.I?

• Algunas empresas tienen en cuenta criterios como "Calidad - Costo - Garantías - etc" Además de asignar un puntaje para cada criterios y así garantizar una selección objetiva

3. Políticas (directrices ó reglas ó guías) y principios

3.1 ¿La organización cuenta con un conjunto de directrices (reglas o guías) que le permitan alcanzar las metas corporativas?

• Se tienen en cuenta soluciones digitales como parte de su cadena de valor, alineando tecnología con equipos autoorganizados y ágiles

3.2 ¿Se tienen establecidas las directrices (reglas o guías) para orientar y controlar los procesos de TI?

• Normalmente son llamadas Políticas

3.3 ¿Las directrices (reglas o guías) de los procesos estan disponibles en un repositorio/herramienta central?

3.4 ¿Las partes interesadas conocen las directrices (reglas o guías) del proceso?

• Para que las políticas sean realmente efectivas, todas las partes interesadas deben conocerlas

3.5 ¿Se tienen identificadas las sanciones/penalizaciones para el NO cumplimiento de las directrices (reglas o guías)?

• Todas las políticas deben tener sanciones por su no cumplimiento, incluyendo sanciones pedagógicas

3.6 ¿Se tienen institucionalizados los principios operativos de la organización y de las TI?

• Los principios son la orientación que toma la organización, algunos ejemplos de principios son: Innovación; Calidad; Servicios al cliente;

Estructuras Organizacionales

1. Estructuras organizacionales

1.1 ¿Se cuenta con la definición de una estructura organizacional publicamente disponible para los Stakeholders?

1.2 ¿Se tiene identificada la composición de cada estructura organizacional?

• Se deben identificar los miembros de cada estructura organizacional

1.3 ¿Se tiene identificada la relación entre las estructuras organizacionales y los procesos/actividades de la organización?

2. Acuerdos Operativos

2.1 ¿Se tienen identificadas las responsabilidades, requisitos y relaciones de las áreas/funciones en relación a los servicios TI?

• OLA's

2.2 ¿Se monitorea el cumplimiento de los acuerdos operativos?

• Muchas veces se monitorea a través de herramientas de gestión de tareas

2.3 ¿Se usan los informes de monitoreo de los acuerdos operativos para realizar mejoras a las operaciones de las TI y las funciones/áreas involucradas?

3. Gestión del talento y mano de obra

3.1 ¿Cada rol involucrado está definido formalmente, junto con sus habilidades y conocimiento necesario para ejecutarlo?

• Inventario de habilidades de cada rol

3.2 ¿Se cuenta con un proceso que permita identificar, desarrollar y reclutar el personal requerido?

3.3 ¿Se cuenta con un cronograma de capacitación con su respectivo presupuesto?

3.4 ¿Se realiza medición y seguimiento al desarrollo de habilidades del personal?

Proyectos TI

Consideraciones para Proyectos TI

1. Metodologias

1.1 ¿Se tiene definida una metodología formal para la planeación, desarrollo y puesta en marcha de los proyectos TI ?

• Metodología que defina los componentes principales de un proceso de software, que considere sus fases, las actividades principales y de soporte involucradas, roles y responsabilidades y herramientas de apoyo al ciclo de vida. Ejemplo: Metodología tradicional (RUP (Rational Unified Process); MSF (Microsoft Solution Framework); Modelo de la espiral), Metodología ágil: Scrum, XP (Extreme Programming)

1.2 ¿Se cuenta con arquitectura(s) de referencia para los sistemas de información?

• Plantilla para orientar el bosquejo de otras arquitecturas más específicas bajo parámetros, patrones y atributos de calidad definidos.

2. Portafolio de proyectos TI

2.1 ¿Se tiene identificado un portafolio de los proyectos realizados en T.I?

• Por lo menos, un listado de todos los proyectos ejecutados; la duración; el presupuesto; los responsables; y los documentos asociados

2.2 ¿Existen guías de ajuste que permitan aplicar sólo los procesos relevantes según las características del proyecto?

3. PMO

3.1 ¿Existe alguna función de T.I. o de la organización que planifique, de seguimiento y genere reportes sobre el estado de los proyectos T.I?

• Algo como una PMO; o equipo encargado de la gestión de proyetos de TI

3.2 ¿Existe alguna herramienta o software para el control y seguimiento de las actividades de los proyectos TI?

• Herramienta en la que se muestre el proyecto, requerimientos o actividades del proyecto, y el seguimiento o control sobre los mismos

Planeación de Proyectos TI

1. Planificación de Recursos

1.1 ¿La organización cuenta con criterios/lineamientos para realizar la planificación y seguimiento de las finanzas de los Proyectos TI?

• Plantillas - técnicas para cotizar; Herramientas como "Análisis de Valor Ganado"

1.2 ¿Se identifica el alcance, tiempo y costo para cada proyecto de TI?

• Caso de negocio, documento de inicio de proyecto, documento de iniciativa de proyecto, etc

1.3 ¿Se cuenta con una identificación del perfil técnico o habilidades del personal requerido para cada proyecto TI?

• Matriz de requerimientos de habilidades; relación de las habilidades o conocimientos del personal del proyecto

1.4 ¿Se cuenta con la identificación de los recursos técnicos o tecnológicos requeridos para cada proyecto TI?

• lista o relación de los recursos técnicos ( equipos requeridos para el proyecto), tecnológicos,personas, conocimientos, servicios y recursos económicos

2. Partes interesadas

2.1 ¿Se identifican las partes interesadas para cada proyecto de TI?

• Caso de negocio, documento de inicio de proyecto, documento de iniciativa de proyecto, matriz de partes interesadas del proyecto, plan de proyecto, project charter

2.2 ¿Se garantiza el compromiso de las partes interesadas de cada proyecto de TI?

• Generalmente el compromiso de las partes interesadas queda pactado o se oficializa en el kickoff de proyecto.

2.3 ¿Existe un mecanismo formal para la recolección / recopilación de los requerimientos de cada proyecto de TI?

• Proceso, procedimento, mecanismo que permita la identificación, especificación y análisis de las necesidades funcionales y no funcionales, definición de criterios de aceptación y trazabilidad de los requerimientos del proyecto
• Se entienden las necesidades de las partes interesadas, y se articulan y acuerdan los requerimientos, se fijan las expectativas de los resultados esperados

3. Organización de proyectos

3.1 ¿Se planifican adecuadamente las actividades / tareas relacionadas con cada proyecto de TI, teniendo en cuenta sus requerimientos?

• Cronograma de actividades que puede llevarse de manera manual en una matriz excel, o con ayuda de un software de proyectos o software colaborativo de proyectos para el fácil seguimiento, se alinea la ejecución de proyectos de acuerdo a prácticas ágiles

3.2 ¿Se realiza la estimación de los requerimientos de los proyectos de TI, teniendo como base criterios para su estimación objetiva?

• evidencia de la estimación, puede ser de manera manual en matriz excel o con un software de proyectos. Verificar si existen los criterios para la estimación: documentados en un procedimiento, preconfigurados en la herramienta o matriz

3.3 ¿Se realiza la asignación de los requerimientos de los proyectos TI (compromiso con los requerimientos)?

• Generalmente se puede verificar en la herramienta de proyectos, o puede ser de manera manual mediante el listado de requerimientos junto con la relacion del equipo o miembro responsable de su cumplimiento

3.4 ¿Existe un repositorio para el almacenamiento de los requerimientos de cada proyecto de TI (Backlog de proyecto)?

• Generalmente se puede verificar en la herramienta de proyectos, en la que se encuentra todo el listado de requerimientos categorizados y con su estado actual (pendiente, en progreso, en prueba, terminado)

3.5 ¿Se tiene la aceptación del cliente sobre los prototipos de cada requerimiento del proyecto?

• Prototipos, mockups, bocetos, simulaciones de lo que se desarrollará en cada requerimiento, aceptados por el cliente para proceder a su desarrollo

Desarrollo de Proyectos TI

1. Monitoreo y Control

1.1 ¿Se realiza seguimiento continuo al proceso de desarrollo de los proyectos?

• La reunión diaria de Scrum, La revisión entre colegas, etc Se cuenta con una estructura de proyectos orientada a la agilidad como un Product Owner, Scrum Master un equipo Scrum

1.2 ¿Se monitorea el uso del presupuesto respecto al progreso del proyecto?

2. Obstaculos/Impedimentos

2.1 ¿Se identifican, registran y clasifican los impedimentos que presentan los equipos de proyecto durante la ejecución de sus actividades de proyecto?

• Se puede tener un impediment log, con el registro de los impedimientos, el o los responsables de la solución, con fechas y comentarios particulares de la solución

2.2 ¿Se da solución a los impedimentos que presenta el equipo?

2.3 ¿Se analizan los datos recolectados como prevención a futuros impedimentos similares?

3. Técnicas de Desarrollo

3.1 ¿Se realizan procesos de refinamiento/refactorización del código que garanticen la calidad del mismo?

3.2 ¿Se realiza la documentación del código fuente según los criterios de documentación de la organización?

3.3 ¿Se mantienen actualizados los repositorios para el almacenamiento del código fuente de los proyectos?

3.4 ¿Existe trazabilidad entre los requerimientos y el código fuente y su arquitectura?

Validación de Proyectos TI

1. Pruebas/Verificación

1.1 ¿La organización cuenta con un plan de aseguramiento de calidad que le permita garantizar la calidad de los proyectos y sus respectivos entregables?

1.2 ¿Se tienen criterios definidos para identificar los entregables de los proyectos que deben pasar por pruebas/verificación?

1.3 ¿Se utilizan los criterios definidos para la ejecución de las pruebas/verificaciones sobre los entregables de los proyectos?

• Plantilla que involucre aspectos como descripción de las pruebas, pruebas obligatorias, pruebas no obligatorias, técnicas y tipo de pruebas: funcionales, de usabilidad, beta, alfa, desempeño, estrés.

1.4 ¿Se tienen establecidos ambientes de pruebas y producción de manera independiente?

2. Validaciones con el cliente/patrocinador

2.1 ¿Se tienen criterios definidos para identificar los entregables de los proyectos que deben pasar por validación con el cliente/patrocinador?

2.2 ¿Se utilizan los criterios definidos para realizar la validación sobre los entregables de los proyectos?

3. Resultados y análisis de las pruebas y validaciones

3.1 ¿Se analizan los resultados de las actividades de pruebas?

3.2 ¿Se analizan los resultados de las actividades de la validación?

Aprendizaje en los Proyectos TI

1. Lecciones aprendidas

1.1 ¿Están definidos los mecanismos de recolección de las lecciones aprendidas para los proyectos?

• Scrum por ejemplo, sugiere la realización de reuniones de retrospectiva

1.2 ¿Las lecciones aprendidas están disponibles por las partes interesadas relevantes basándose en su rol?

1.3 ¿Se tienen definidos los mecanismos para asegurar el uso de las lecciones aprendidas como punto de partida para los proyectos?

Estrategia TI

Estrategia TI

1. Plan Estratégico de Tecnología

1.1 ¿Se cuenta con un plan de tecnología que considere los procesos, la capacitación, la infraestructura, el software, el personal y las finanzas de T.I?

• Por lo general se llama PETIC; Considerar que todos los ítems mencionados hagan parte del plan (algunas empresas se limitan a planear las adquisiciones)

1.2 ¿Se alinea la gestión de T.I aunque sea de manera informal con la estrategia de la entidad?

• Normalmente se usa una matriz de mapeo entre las metas corporativas y las de T.I.

1.3 ¿Se realiza seguimiento sobre el cumplimiento de las metas/objetivos definidos por T.I.?

• Por lo general se usa una herramienta para dar seguimiento al PETI, en el que se puede llevar control de las fechas, avances, recursos etc

2. Políticas de tecnología

2.1 ¿Cuenta la organización con un conjunto consistente de políticas de T.I.?

• Ejemplos: Políticas de seguridad de la información; de accesos; uso de herramientas; disposición de activos; adquisiciones; capacitación; reglas generales del área

2.2 ¿Las políticas están alineadas con los planes de la organización y de las T.I.?

• En algunas empresas las políticas sólo se definen por definirlas, en casos peores, sólo son un "copy-paste" de políticas de libros o internet

2.3 ¿Las partes interesadas conocen las políticas? ¿Se hace seguimiento sobre el cumplimiento de las mismas?

• Muchas veces las políticas sólo quedan en papel, pero nadie las conoce o las aplica; peor aún, nunca se les da seguimiento

3. Portafolio de Procesos

3.1 ¿Cuenta la organización con un artefacto que muestre de forma global los procesos y sus respectivas relaciones?

• Normalmente las empresas tienen un gráfico que muestran los procesos y las relaciones entre ellos

3.2 ¿Los procesos de la organización tienen lineamientos/criterios especificos para su definición y puesta en marcha?

• Conocer si los procesos están basados en algún marco de referencia, o estándar (ej: ITIL - COBIT - alguna ISO)

3.3 ¿Se realiza la capacitación/socialización sobre nuevos procesos/actualización de procesos?

• En algunas compañías los procesos, son simplemente flujogramas o papel que tiene algunas indicaciones, pero la gente no los sabe usar, no los conoce o simplemente están desactualizados; El mundo ideal es que se tenga una plataforma E-learning para "documentar" y ojalá en video

Portafolio de Servicios TI

1. Analizar las iniciativas de nuevos servicios

1.1 Existe un artefacto/documento para presentar la ideas de desarrollo de nuevos servicios

• Esta información está centralizada y es permanente actualizada

1.2 Existe un artefacto/documento para presentar la ideas de mejora continua / desarrollo de nuevos servicios

• Un procedimiento de gestión de cambios, o mecanismos de gestión de la innovación para nuevos servicios o productos, y que estos estén alineados con las necesidades del cliente o potenciales clientes

1.3 ¿Existe un repositorio para el almacenamiento de las ideas de mejora continua / casos de negocio sobre los servicios?

1.4 Existen criterios para la aprobacion de las iniciativas de mejora/desarrollo de servicios

• Esto aplica tanto para servicios internos como para servicios externos

1.5 ¿Se gestiona el diseño de nuevos servicios desde la planeación, gestión de partes interesadas, información, tecnología y prácticas tanto para productos o servicios nuevos como para mejorar los existentes?

• El diseño del servicio incluye la planeación y gestión de personas, alidados, proveedores, información, comunicación, tecnología y prácticas para productos y servicios nuevos y existentes, y la interacción entre organizaciones y clientes
• Descripción del proceso de diseño, plan de diseño y como se capturan e incluyen las necesidades de los clientes dentro de estos
• El diseño de servicios debería estar alineado con los resultados esperados de la organización
• El diseño de productos y servicios está alineado con los elementos funcionales pero también con los aspectos operacionales

2. Establecer y mantener un Catalogo de Servicios para los Stakeholders

2.1 ¿Existe una herramienta/artefacto que permita almacenar los detalles de los servicios y su propuesta de valor?

• ¿Existe un catálogo de servicios y está disponible para las audiencias relevantes?
• ¿Disponen los usuarios de un instructivo que les permita identificar como pueden solicitar el servicio?
• ¿Estan definidos los requisitos para la utilizacion del servicio?
• ¿El usuario conoce los tiempos/horarios de servicio?
• ¿Se identifican los servicios que son prestados y los que son consumidos por la organización?

2.2 ¿Se notifica a las partes interesadas, sobre la disponibilidad de un nuevo servicio?

• ¿La gestión de catálogos de servicio está articulada con la gestión de la configuración, las finanzas, gestión de relaciones, proveedores y cambios? ¿Con qué áreas o procesos interactúa?

2.3 ¿Se notifica a las partes interesadas, sobre las modificaciones realizadas a los servicios existentes?

2.4 ¿El catalogo de los servicios está disponible para los usuarios de las T.I? ¿Está disponible en las herramientas de auto-ayuda?

• Beneficios esperados del servicio
• Características que entrega el servicio

3. Establecer y mantener un Catalogo de Servicios para los Grupos de Soporte

3.1 ¿Está disponible el catalogo para los equipos de soporte?

• La información contenida en el catálogo de servicios se ajusta en criterios de alcance y calidad

3.2 ¿Se tienen identificadas las capacidades/recursos requeridos para entregar los servicios?

• Estas capacidades deberían alimentarse de otros procesos o actividades de la organización como la gestión del portafolio, análisis de negocio, diseños del servicio y el resultado de la gestión de TI

3.3 ¿Se tiene informacion sobre las preguntas frecuentes realizadas por los usuarios de los servicios?

4. Permitir la Retirada de servicios evitando al maximo la afectacion sobre los usuarios + los servicios relacionados

4.1 ¿Existe un artefacto/documento para solicitar la retirada de un servicio?

• La herramienta/matriz permite registrar nuevos servicios o servicios en desarrollo
• Se tienen criterios para gestionar los cambios dependiendo de su categoría, y estos criterios son claros y entendidos dentro de la organización

4.2 ¿Existen criterios para analizar la retirada de un servicio?

• Existen criterios para la planeación de retiro de servicios, se contemplan y preveen los aspectos negativos que podría causar una mala práctica en clientes y en la organización

4.3 ¿Se notifica a las partes interesadas sobre la retirada de los servicios, garantizando una transicion suave?

Finanzas de TI

1. Inversiones en TI

1.1 ¿Se prioriza la asignación del capital financiero según las metas corporativas?

1.2 ¿Existe un repositorio con la información historica de los casos de negocio y su respectiva aprobación/rechazo?

• Se espera que todas las inversiones en T.I. estén justificadas; de ser posible que se tengan categorías para poder filtrar las inversiones

1.3 ¿Se tienen definidos los rubros/categorías de inversión para las T.I. y su respectivo presupuesto?

• Es importante identificar en que se invierte el dinero de T.I (¿Cuánto para capacitación? ¿Cuánto para mejoras? ¿Cuánto para procesos? ¿Cuánto para software/hardware? Etc

2. Contabilidad TI

2.1 ¿Se tienen lleva un control de los costos/gastos según rubros/categorías para las T.I.?

2.2 ¿Se lleva un control de los costos asociados a la prestación de los servicios de T.I. y los proyectos TI?

• Se espera conocer en que se gasta el presupuesto T.I., de ser posible se debe poder identificar el costo de producción de cada servicio T.I (así más adelante se puede calcular el ROI/VOI de cada servicio)

3. Medición del valor

3.1 ¿Se realiza un análisis de costo/beneficio de las inversiones realizadas en las TI para medir el ROI/VOI?

• Asegurar soluciones óptimas para las necesidades de organizaciones y clientes, se asegura que su cubren los requerimientos de una manera apropiada para la prestación de los servicios

3.2 ¿A intervalos regulares, se realiza una revisión de los presupuestos vs costos?

3.3 ¿Se realiza una gestión de cartera garantizando la adecuada relación costo/precio de los servicios del catálogo?

Gestion de acuerdos TI

1. Establecer los acuerdos de nivel de servicio (SLA)

1.1 ¿Se tienen identificados y documentados los requisitos de los servicios y/o componentes asociados al servicio?

• Considerar aspectos tales como tiempos del servicio, disponibilidad, rendimiento, capacidad, seguridad, continuidad, cumplimiento normativo y regulatorio, usabilidad y limitaciones de la demanda.

1.2 ¿Se analiza relación con la Gestión de Proveedores para mantener alineados los contratos con los SLA's?

• Algunas empresas realizan reuniones periódicas entre Proveedores y Niveles de Servicio

1.3 ¿Los SLA's están disponibles para los clientes/usuarios del servicio?

2. Negociar y revisar periódicamente con los clientes y usuarios los acuerdos de nivel de servicio (SLA) para garantizar el alineamiento con las necesidades de negocio

2.1 ¿Los SLA's son negociados con los clientes para garantizar la completa satisfacción de sus necesidades?

• El objetivo es garantizar que lo que realmente necesitan los clientes/usuarios, es lo que ofrece la organización
• Se podrían utilizar datos de la demanda ó incluso reuniones con los usuarios
• Encontrar el objetivo de calidad esperado por el cliente

2.2 ¿Se comunican las actualizaciones/cambios que sufren los niveles de servicio?

• Se inicial mejoras en el servicio, icluidas las acciones para mejorar los acuerdos de servicio, el monitireo y la presentación de los informes

3. Monitorear y mejorar el nivel de servicio acordado

3.1 ¿Se evalúa cumplimiento del acuerdo de servicio según la frecuencia de prestación de servicio acordada con el cliente?

• Gráficos SLAM

3.2 ¿Se identifican las posibles amenazas que pueden afectar el nivel de servicio acordado?

3.3 ¿Se acuerdan planes de acción y remedio para los incidentes del rendimiento o tendencias negativas del mismo que afectan los SLA?

• Se captura la información sobre oportunidades de mejora, incluido el rendimiento funcional de los ANS definidos y la satisfacción de las partes interesadas.

3.4 ¿Se llevan a cabo revisiones periódicas de los acuerdos de servicio para ajustarlos cuando sea necesario?

• Definir reuniones para la revisión de los niveles de servicio (en esta reunión se miran los informes) (podría ser una reunión trimestral)

Servicios TI

Gestión de Infraestructura

1. Red

1.1 ¿Se tienen identificados los componentes de red?

• Se deben poder identificar los componentes de la red, tales como Router, Switch, Firewall, Canales de Internet, VPN's

1.2 Se deben poder identificar los componentes de la red, tales como Router, Switch, Firewall, Canales de Internet, VPN's

• Se deben poder identificar las configuraciones de la red, tales como Router, Switch, Firewall, Canales de Internet, VPN's

1.3 ¿Se tienen identificados los usuarios de la red?

• Se debe poder saber ¿Quién está conectado?

1.4 ¿Se tiene filtrado el contenido entrante y saliente de la red?

• Firewall

2. Dispositivos tecnológicos

2.1 ¿La organización cuenta con un repositorio que permita identificar cada uno de sus dispositivos tecnológicos?

• CMS

2.2 ¿Se cuenta con un control de la configuración de cada dispositivo tecnológico?

• Asignación; Históricos; Prestamos; de: Computadores; Servidores; Celulares; Proyectores; Impresoras

2.3 ¿Se realiza mantenimiento preventivo sobre los dispositivos tecnológicos?

• Asignación; Históricos; Prestamos; de: Computadores; Servidores; Celulares; Proyectores; Impresoras

3 Activos Fisicos

3.1 ¿Se tiene un inventario de los activos fisicos de TI , incluyendo el etiquetado físico si fuera necesario?

• Armarios; Aire Acondicionados; Repuestos de hardware;

4. Datacenter

4.1 ¿Se cuenta con el control de acceso fisico a los Centros de Datos de TI?

4.2 ¿Se realiza un control de la temperatura del centro de datos y los dispositivos en el?

4.3 ¿Se realiza un mantenimiento físico a las instalaciones de los Centros de Datos?

4.4 ¿Se cuenta con sistemas de respaldo energético para los Centros de Datos?

4.5 ¿Se hace la Referenciación de los Dispositivos Tecnológicos de manera precisa?

Gestión de Software TI

1. Arquitectura de Software

1.1 ¿Se identifican las arquitecturas de los respectivos sistemas de información?

• Diseño fundamental que incluye los diferentes componentes y atributos (Funcionalidad, usabilidad, tolerancia a cambios, performance, reutilización, aspectos estéticos ) y la forma en que interactuan entre sí y las relaciones entre ellos.

1.2 ¿Se identifican los sistemas de información críticos para la organización?

• Hace referencia a aquellas aplicaciones que bajo ninguna circunstancia se pueden manipular o tocar porque por ejmplo no se cuenta con el soporte adecuado, están desarrolladas en un leguaje poco conocido, hay pocos o no existe soporte en el mercado, etc

2. Control de Software TI

2.1 ¿La organización cuenta con catálogo actualizado de los sistemas de información y sus respectivos atributos?

• Directorio actualizado de los sistemas de información, que incluya los atributos relevantes (nombre del sistema, descripción del sistema, estado (Desarrollo, Pruebas, Producción), plataforma de aplicaciones, plataforma de base de datos, proveedor, descripción del servicio, lenguaje de programación, categoría (Misional, de apoyo, financiero, administrativo, portales, transversal) y la relaciones entre ellos.

2.2 ¿Se tiene control sobre el licenciamiento de los dispositivos tecnológicos de TI?

3. interfaces

3.1 ¿Se identifican las interfaces entre los sistemas de información?

• Cualquier sistema de información en algún momento necesita comunicarse con otro, por lo que se hace necesario definir las fronteras, límites para esta comunicación. Ejemplo: El sistema de gestión de accesos del personal está comunicado con el sistema de nómina, esto con el fin de reportar los retrasos, incumplimientos en los horarios de llegada y así poder efectuar los descuentos correspondientes.

4. Control de Configuración

4.1 ¿Para cada uno de los sistemas de información se cuenta con la documentación técnica?

• Documentación de usuario, técnica y de operación debidamente actualizada, que asegure la transferencia de conocimiento a los usuarios, hacia la dirección de Tecnología y hacia los servicios de soporte tecnológico

4.2 ¿Para cada uno de los sistemas de información se cuenta con la documentación de usuario final?

4.3 ¿Existe un repositorio de códigos fuente u otros activos generados para los sistemas de información?

• Por ejemplo el SVN (Apache Subversión; Bitbucket; Github; etc), herramienta de control de versiones open source.

4.4 Se tiene un sistema de gestión documental (SKMS) donde se recopile la documentación relacionada con los sistemas de información?

• Repositorio de información como Nuxeo; Alfresco; OpenKM

4.5 ¿Se tiene un control de las diferentes versiones de los sistemas de información?

Demanda y Capacidad TI

1. Demanda

1.1 ¿Se recolectan y analizan métricas sobre la demanda de los servicios de acuerdo a los usuarios que utilizan dichos servicios?

• Tener en cuenta métricas como número de transacciones, recurrencia de usuarios, recursos necesarios para cubrir dicha demanda de usuarios. ¿Dónde se almacenan dichas métricas?, ¿Quién analiza las métricas?, ¿Cada cuánto se recolectan y analizan?. Verificar herramienta o documentación

1.2 ¿El personal de tecnología conoce cuáles son los servicios principales del negocio y periodos críticos en que hay mayor demanda de usuarios (Rendimiento del servicio)?

• Indagar sobre cómo se le da a conocer esta información al personal de la operación (reunión, comunicado, correo, etc)

1.3 ¿Se cuenta con identificación de los perfiles de los usuarios a partir de las métricas y tendencias de utilización de los servicios tecnológicos?

• Revisar si existe documentación sobre la caracterización de perfiles de los usuarios internos y externos. Indagar si el personal de la operación conoce dichos perfiles de usuario

2. Capacidad

2.1 ¿Se realiza monitoreo a la capacidad de los servicios tecnológicos de acuerdo a su criticidad para el negocio?

• Tener en cuenta los servicios identificados en el numeral 2,2 (servicios principales del negocio). Indagar sobre herramienta o software utilizado para el monitoreo y cada cuanto se revisa la información

2.2 ¿De acuerdo al monitoreo de los servicios tecnológicos (demanda y capacidad), se planifican los recursos necesarios para responder adecuadamente a los cambios en la demanda de los servicios tecnológicos (plan de capacidad)?

• Tener en cuenta los resultados del monitoreo de la demanda y de la capacidad de los servicios tecnológicos. ¿qué sucede cuando se identifican periodos pico de utilización de los servicios?, ¿se planifica la respuesta a la demanda de usuarios?, ¿Quién tiene la autoridad para facilitar los recursos o infraestructura requerida?

2.3 ¿Se realiza la supervision de la capacidad planificada frente a la capacidad utilizada?

• se recomienda utilizar algún tipo de software que permita supervisar el comportamiento del plan de capacidad, ¿Quién realiza la supervisión?

2.4 ¿Frecuentemente se toman decisiones o acciones correctivas sobre la capacidad de los servicios tecnológicos teniendo como base los resultados de la supervisión de la capacidad?

• ¿Quién toma las decisiones?, ¿se deja evidencia de la toma de decisiones o sobre los cambios hechos al plan de capacidad?, ¿Cada cuánto se realizan revisiones al plan de capacidad?

2.5 ¿Se conoce la capacidad de los servicios?

¿Se conoce la capacidad de los servicios?

2.6 ¿Están determinados los criterios de desempeño y capacidad como funciones vitales del negocio, retrasos aceptables, degradación del rendimiento aceptable (factor de escala)?

• Validar con los SLM

Gestión de Disponibilidad y Continuidad

1. Disponibilidad

1.1 ¿Se monitorean los eventos generados por los activos y/o servicios tecnológicos?

• Tener en cuenta los servicios principales, o servicios críticos para la operación del negocio; Preferiblemente contar con una herramienta o software que permita tal monitoreo

1.2 ¿Se cuenta con un plan de Alta disponibilidad para los servicios tecnológicos que se ajuste a los objetivos y prioridades del negocio?

• ¿La operación conoce el plan de alta disponibilidad?, ¿La operación conoce cuáles son los objetivos y prioridades del negocio?. Si no existe un plan formal, ¿cómo responde la operación frente a la caída de un servicio?: ¿se cuenta con un canal de respaldo?, ¿se realiza backup a los servidores?, ¿Los servidores de respaldo suben automáticamente?

1.3 ¿Frecuentemente se realizan pruebas de los planes de Alta disponibilidad como medida proactiva frente a fallas críticas de los servicios tecnológicos?

• ¿Cada cuánto se realizan las pruebas del plan de disponibilidad?, ¿Se planifican las pruebas?, ¿Quién las hace?, ¿Qué documentación se deja como evidencia de las pruebas del plan de disponibilidad?

1.4 ¿El personal de tecnología tiene conocimiento del plan de Alta disponibilidad y cómo ponerlo en marcha cuando es requerido?

• Revisar si existe un procedimiento documentado, contacto con proveedores,

1.5 ¿Se realiza la supervisión de los planes de Alta disponibilidad teniendo en cuenta los objetivos y prioridades del negocio?

• Verificar la existencia de evidencia sobre alguna reunión o revisión de los planes de alta disponibilidad, en la que se demuestre que la alta gerencia está involucrada. Tener en cuenta la alineación con lo que espera el negocio de acuerdo a la estrategia

1.6 ¿Frecuentemente se toman decisiones o acciones correctivas sobre los planes de Alta disponibilidad de los servicios tecnológicos teniendo como base los resultados del monitoreo de la disponibilidad?

• Tomando como base el monitoreo de la disponibilidad y el plan de disponibilidad, ¿Hay evidencia de las decisiones tomadas?, ¿Se siguen procedimientos para la toma de decisiones?¿Se cuenta con un plan de mejoras a la disponibilidad?

1.7 ¿Existe recopilación de datos necesarios para medir la disponibilidad?

• ¿Se cuenta con indicadores?¿Se realiza seguimiento, análisis y reporte de la disponibilidad de sus servicios y/o componentes?

2. Continuidad

2.1 ¿Se identifican y gestionan los incidentes que generan la NO continuidad de los servicios tecnológicos?

• Tener en cuenta la herramienta de gestión de incidentes para filtrar los incidentes relacionados con la falta de continuidad de los servicios tecnológicos
• Se debería asegurar la disponibilidad y rendimiento de los servicios en niveles suficientes en caso de desastre
• Se gestionan las dependencias de los servicios y se mantienen bajo medidas de control para prevenir la caída de los servicios

2.2 ¿Existe un procedimiento estandarizado para la ejecución, almacenamiento y prueba de las copias de seguridad (backups)?

• Indagar sobre el procedimiento establecido para la ejecución de backups. ¿El personal de la operación conoce y maneja claramente el procedimiento? Indicar qué incluye el procedimiento

2.3 Cuenta la organización con planes de contingencia y continuidad de negocio?

• Plan logístico para la práctica de cómo una organización debe recuperar y restaurar sus funciones críticas parcial o totalmente interrumpidas dentro de un tiempo predeterminado después de una interrupción no deseada

3. Riesgos

3.1 ¿Existen lineamientos ó guías claras para la gestión de riesgos de T.I?

• Indagar sobre la documentación existente sobre cómo funciona la gestión de riesgos de T.I., políticas, partes involucradas, información requerida, herramienta o software autorizado, métricas, cultura de gestión de riesgos, frecuencia de las actividades de gestión de riesgo. Verificar si estas guías cumplen un ciclo de identificación, análisis, evaluación, controles (tratamientos), monitoreo y revisión

3.2 ¿Se gestionan los riesgos asociados a los servicios tecnológicos?

• Verificar si existe evidencia de la gestión de riesgos del área de T.I. (evidencia sobre algun tipo de software o herramienta). Quién hace la identificación de riesgos, cómo lo hace, cada cuanto lo hace, como se analizan los riesgos, categorías de riesgo, respuesta a los riesgos, controles. Tener en cuenta los servicios tecnológicos principales o críticos para la operación del negocio. Verificar si existe evidencia sobre algun software o herramienta. Se debe encontrar principalmente información técnica de cada servicio, la gestión de riesgos debe tener un enfoque operacional y estratégico

Gestión de Proveedores y Contratos

1. Gestión de la Información de Proveedores

1.1 ¿Se tienen identificados todos los proveedores que soportan las operaciones de TI según categorías?

• Algunas categorías son: Capacitación; Servicios de Red; Mantenimiento; Consultoría; Software; Infraestructura;

1.2 ¿Se tiene registro y seguimiento sobre los servicios prestados por los proveedores?

• Contratos o documentación relacionada con: Equipo y roles del equipo contratista, responsabilidades del contratista, disponibilidad del servicio y horarios de prestación del mismo, indicadores y niveles de calidad, procedimiento para transferencia de conocimiento a la entidad o a otro contratista

1.3 ¿Se tienen clasificados los proveedores según su estado?

• Inscrito; Autorizado; Suspendido; Prohibido; En Evaluación; etc

2. Gestión de Contratos

2.1 ¿Se definen criterios de aceptación y ANS cuando con los proveedores de Servicios TI?

• Definición de indicadores para evaluar el desempeño del servicio y el cumplimiento pactado con el contratista. Pueden incluir penalizaciones económicas si se diera a lugar.

2.2 ¿Los contratos con los proveedores poseen clausulas que permitan garantizar el cumplimiento de los mismos?

• Transferencia de derechos de autor; Penalizaciones por incumplimiento; Pólizas

2.3 ¿Se realiza una evaluación sobre la prestación de servicios de los proveedores?

• Cuando un proveedor presta servicios, debe ser evaluado a intervalos regulares para garantizar que cumple con lo acordado; Por lo general se califican númericamente (1 a 5); En algunos casos, se pueden identificar proveedores prohibidos dada su baja calificación

2.4 ¿Existe un rol especializado que realice la supervisión/seguimiento de cada contrato suscrito con los proveedores?

• Normalmente llamad@ Interventor@/Supervisor@

Soporte de Servicios TI

1. Mesa de Servicio

1.1 ¿Cuenta con herramientas parametrizadas y automatizadas para brindar un soporte mas eficiente (por ejem. Chatbots, que soportan los canales tradicionales de reporte de servicios?)

1.2 ¿Se monitorea el cumplimiento de los Acuerdos de Nivel de Servicio?

1.3 ¿Los analistas o asesores de de la mesa de servicio cuentan con las heramieta adecudas para brnidar apoyo y soporte en la resolución de incidentes y solicitudes?

1.4 ¿Se tienen definidos criterios para identificar/separar los incidentes, las solicitudes y/o los problemas?

1.5 ¿Existen criterios para realizar la priorización de incidentes, solicitudes y/o problemas?

1.6 ¿Existen criterios para realizar la asignación de un Acuerdo de Nivel de Servicio a los incidentes, solicitudes y/o solicitudes?

1.7 ¿Todos los incidentes y/o solicitudes son asignados a una persona/grupo de resolución? ¿Existen criterios para realizar dicha asignación?

• Existen criterios para asignan los incidentes/solicitudes a grupos especializados cuando no se puedan resolver en el grupo de primer nivel.

2. Gestión de Incidentes y Solicitudes

2.1 ¿Los incidentes/solicitudes tienen relacionado el servicio afectado/involucrado?

2.2 ¿Los incidentes/solicitudes tienen relacionados los elementos de configuración afectados/involucrados?

2.3 ¿Se realiza la medición de la satisfacción de los clientes respecto a la atención/resolución de sus incidentes/solicitudes?

2.4 ¿Se usan los datos históricos y/o tendencias para prevenir la ocurrencia de incidentes?

2.5 ¿Se usan los datos históricos y/o tendencias para crear elementos de Auto-Ayuda que disminuyan la cantidad de solicitudes generadas por los usuarios?

3. Gestión de Problenas

3.1 ¿Se cuenta con un equipo multidisciplinar para el análisis e impacto de aquellos incidentes que pueden derivar en afectaciones más graves del servicio?

• ¿El análisis de problemas utiliza información sobre la arquitectura y la configuración del producto para identificar los elementos de configuración (CI) que probablemente causen los incidentes relevantes?

3.2 ¿Los problemos identificados, actualmente cuentan con un analisis de causa raíz ?

3.3 ¿Se cuenta con un control efectivo de los errores conocidos, es decir, se cuenta con información actualizada sobre todos los errores conocidos de sus productos, incluidos sus estados, y el impacto de estos en los servicios?

4. Investigación y resolución de los incidentes

4.1 ¿Se notifica formalmente a las partes interesadas sobre el estado de sus incidentes/solicitudes?

4.2 Cuando para la resolución del incidente/solicitud se requiere realizar un cambio, se realiza siguiendo un proceso/control de cambios

4.3 ¿Se mide el tiempo que tarda el incidente/solicitud en un área/equipo?

4.4 Cuando se cierra el incidente/solicitud, se detalla la solución aplicada? ¿Existen categorías para esta información?

• Confirmar con el usuario/grupo afectado que la solución aplicada a su incidentes/solicitud fue satisfactoria (antes de realizar el cierre en la herramienta)

4.5 Existe y se mantiene actualizada una Base de Conocimiento

• Registrar si se usaron soluciones temporales para resolver los incidentes

Calidad de los Servicios TI

Sistemas de Seguridad de la Información

1. Gobierno de la seguridad

1.1 ¿Existe una función/área encargada de garantizar la seguridad de la información?

• Estructura del area de seguridad de la informacion

1.2 ¿Está alineada la seguridad de la información con la estrategia de negocio para apoyar los objetivos organizacionales?

• El gobierno de seguridad de la información incluye los elementos que se requieren para brindar a la alta dirección la certeza de que su dirección y empeño se reflejan en la postura de seguridad de la organización al utilizar un enfoque estructurado para implementar un programa de seguridad

1.3 Se ejecutan medidas apropiadas para mitigar los riesos y reducir el posible impacto que tendrían en los recursos de información a un nivel aceptable?

1.4 ¿Se realizan evaluaciones periódicamente que permitan conocer el estado del SGSI respecto a las mejores prácticas?

1.5 ¿Se conocen y planifican las inversiones y costos necesarios para alcanzar el nivel de seguridad adecuado?

• Se cuenta con presupuesto para el área de seguridad o es el mismo que se tiene para la dirección de tecnología.

2. Politicas y cumplimiento

2.1 ¿Se tiene creada y se mantiene la política de seguridad para la organización?

• Documento que establece las políticas que integran el Sistema de Gestión de Seguridad de la Información SGSI, las cuales deben ser adoptadas por los funcionarios, contratistas, personal interno, visitantes y terceros que presten sus servicios o tengan algún tipo de relación con la organizacion enfocado al cumplimiento de la normatividad legal Colombiana vigente y a las buenas prácticas de seguridad de la información como la norma ISO 27001/2013

2.2 ¿Se fomenta la adopción de una "cultura de seguridad de la información" en todos los niveles? (Concientización)?

• Campañas de sensibilización periodicas con el fin de dar a conocer los riesgos a los que los sistemas de información, los usuarios, las redes y la información en general están expuestos para generar dentro de los funcionarios buenas prácticas respecto a la seguridad de la información, estás buenas prácticas actúan de manera preventiva ayudando a la entidad a salvaguardar sus activos de información

2.3 ¿Tiene la organización clasificada la informacion de acuerdo a su criticidad? (política de clasificación de información)

• De acuerdo a la prioridad de la informacion, debería existir una clasificación que permita actuar de acuerdo a la urgencia establecida en casos de afectación de la disponibilidad y continuidad (robo de información, hackeo, phising, manipulación indebida) y evitar problemas a nivel general de la organización.Políticas que establezcan los estándares utilizados por la organización tendientes a proteger la confidencialidad de los Datos de Carácter Privado (o clasificados como tal) que se encuentran en su poder o bajo su control.

2.4 ¿Existen métricas para comprobar el resultado de los planes, procesos y controles de seguridad implantados?

• Métricas definidas tanto a nivel estratégico (progreso de los planes) como táctico y operativo (procesos y controles). Ejemplo: Porcentaje de disminución de contraseñas débiles tras la campaña de concientización; porcentaje de empleados que han recibido concientización en seguridad; porcentaje de equipos en los que se ha instalado antivirus

2.5 ¿El plan de seguridad de la información se ejecuta y prueba de acuerdo a lo definido en el SGSI?

• Resultados de las pruebas del plan de seguridad de la informacion y posibles ajustes aplicables

3. Riesgos e Incidentes de Seguridad

3.1 ¿Se les da tratamiento a las amenazas y vulnerabilidades que pueden poner en riesgo la seguridad de la información?

• Qué amenazas y vulnerabilidades han aumentado su exposición a riesgo los últimos 12 meses? (relacionado con el uso de redes sociales, computación en la nube, computación móvil, accesos no autorizados, empleados descuidados o inconsientes, controles de seguridad obsoletos, contraseñas)

3.2 ¿Los incidentes de seguridad reciben tratamiento diferencial respecto a los incidentes generados por la operación?

• Existe en la organización un área especializada para la gestión de incidencias de seguridad, por ejemplo un SOC.

3.3 ¿Se puede identificar la trazabilidad de los incidentes de seguridad?

• Herramienta, log o similar que muestre la traza de los incidentes para conocer la procedencia y historial de los incidentes de seguridad

4. Acceso y Confidencialidad

4.1 ¿La organización cuenta con herramientas de aprovisionamiento de derechos a aplicaciones y servicios según el rol, que permitan otorgar, denegar los accesos?

• Herramienta de gestion de servicios o similar para configurar y controlar los accesos

4.2 ¿Se monitorea el acceso a los servicios considerando criterios como identidad; rol; derechos?

4.3 ¿Se controla el acceso de terceros a las instalaciones, aplicaciones y servicios de la organización?

Gestión de Cambios y Transiciones

1. Gestionar los cambios

1.1 ¿Se tienen definidos procedimientos para realizar cambios recurrentes o de bajo impacto para la organización?

• Procedimiento de gestión de cambios

1.2 ¿Los cambios son clasificados por tipo o categoría?

• Cambios de emergencia; Cambios normales; Cambios estándar

1.3 ¿Existe un grupo o rol encargado de la revisión y autorización para la ejecución de los cambios de alta prioridad o criticidad para la organización?

• Cambios de emergencia; Cambios normales; Cambios estándar

1.4 ¿Se definen los roles o grupos responsables de la construcción, pruebas e implementación de los cambios autorizados?

1.5 ¿Se actualizan los Sistemas de Información correspondientes afectados en la ejecución de cambios? ¿Se comunican a las partes interesadas relevantes?

• Cada vez que se realiza un cambio en un servicio se actualiza el portafolio; Cada vez que se cambia un elemento de configuración, se actualiza el CMS, etc

1.6 ¿Se tiene algún artefacto o herramienta para llevar un control de los cambios solicitados, ejecutados y rechazados?

• Cronograma de cambios

2. Gestionar las transiciones

2.1 ¿Se define y da seguimiento a un plan de lanzamiento para cada despliegue que se va a realizar?

• En este plan se debe asegurar la coordinación de todos los equipos involucrados

2.2 ¿Se usa un entorno de pruebas parar garantizar un despliegue exitoso?

2.3 ¿Se realiza una revisión post-implementación para garantizar que los lanzamientos pasan a producción satisfactoriamente, son estables y cumplen con las expectativas?

3. Evaluación de los cambios

3.1 ¿Se identifica el valor/retorno que generarán los cambios antes de su aprobación y/o puesta en marcha?

• En este plan se debe asegurar la coordinación de todos los equipos involucrados

3.2 ¿Se realiza una medición del valor que entregaron los cambios en la organización?

• En este plan se debe asegurar la coordinación de todos los equipos involucrados

Asegurar la Calidad de los Servicios y Procesos TI

1. Auditorías / Aseguramiento de Calidad

1.1 ¿Se tienen definidos los criterios estándar para realizar el seguimiento de los procesos/actividades que son realizados por las T.I.?

• Se espera que hayan criterios suficientes para conocer el estado de T.I.; en la mayoría de las empresas se limitan a lo que diga la ISO 9001, pero lastimosamente eso y nada es lo mismo;

1.2 ¿Se realiza la evaluación objetiva de cada criterio definido para el aseguramiento de calidad?

• Se debe mirar que efectivamente se estén ejecutando auditorías periodicas y que se hagan por alguien que pueda objetivamente hacer este trabajo. (No puede ser el jefe de área)

2. Informes de Evaluación

2.1 ¿Se socializan los informes generados por las auditorías para su respectivo analisis/correción?

• En algunas empresas aún cuando se hace auditoría, no se hace socialización de los resultados, y peor aún no se hace seguimiento a las NO Conformidades

2.2 ¿Se realiza el seguimiento de las NO conformidades hasta su cierre/corrección?

• De nada sirve encontrar NO conformidades si no se hace su respectivo cierre o corrección; Normalmente las NO conformidades se convierten en tareas o incluso en proyectos

3. Trazabilidad en los Sistemas de Información

3.1 ¿La organización posee mecanismos para asegurar la trazabilidad sobre las transacciones realizadas en los sistemas de información?

• Registro histórico de las acciones realizadas por los usuarios sobre los sistemas de información manteniendo la trazabilidad y apoyando los procesos de auditoria

Institucionalización de las TI

Conocimiento TI

1. Capacitación

1.1 ¿Se cuenta con un plan de capacitación sobre el uso de los sistemas de información y asi garantizar utilización de manera eficiente?

• Planes de capacitación y entrenamiento funcional y técnico a los usuarios. Se crean planes de orientación relevantes, con materiales de capacitación (textos, videos, podcast, etc)y compartes inforamción a ravés de los canales diseñados para tal fin)

1.2 ¿Se realizan jornadas de capacitación sobre Seguridad de la Información, en alineación con el SGSI?

1.3 ¿Se realizan capacitaciones que promuevan el uso y desarrollo/investigación de nuevas tecnologías?

• Se establecen prioridades para compartir el conocimiento en una rutina operativa complicada, es decir, que debido a la falta de tiempo y espacio es necesario darles un tratamiento especial.

1.4 ¿Se realiza seguimiento y control del plan de capacitaciones?

1.5 ¿Se evalua la efectividad que genera la capacitación brindada a los empleados?

1.6 ¿Existen mecanismos institucionalizados para garantizar la transferencia de conocimiento?

• Plataformas E-learning; Documentación obligatoria. Se dispone de un proceso mediante el cual se gestionan las nuevas necesidades de conocimiento.

1.7 ¿Se realiza una revisión periódica del Sistema de Gestión del Conocimiento para retirar la información obsoleta?

2. Motivación y crecimiento

2.1 ¿Existe un plan de motivación, incentivos, ó salario emocional que promueva un mejor ambiente laboral entre la comunidad de funcionarios?

2.2 ¿Se tiene definido un plan de carrera según los roles definidos en la estructura de la organización?

2.3 ¿Existe un plan de motivación, incentivos, ó salario emocional que promueva la capacitación continua?

Innovación y Mejora TI

1. Ideas de Mejora

1.1 ¿Se tiene institucionalizado el procedimiento necesario para realizar sugerencias de mejora a los servicios y/o actividades de la organización?

1.2 ¿Existe un repositorio para el almacenamiento y gestión de las ideas de mejora continua?

• Acciones de mejora sobre procesos y productos de la organización, así como sobre la gestión de proyectos internos y externos

1.3 ¿Existen mecanismos para dar seguimiento y notificación a las ideas de mejora continua recibidas por las partes interesadas?

1.4 ¿Se tienen definidas las métricas/reportes/resultados que revisa el comité de Mejoramiento Continuo? (Se realizan casos de negocio para las acciones de mejora antes de ser implementadas)

• Si cuentan con un comité de mejora, este cada cuanto se reune, que metricas revisa (todo lo relacionado con este comite)

1.5 ¿Se realiza planificación para la implementación de las ideas de mejora?

• Se cuenta con mapas de ruta

1.6 ¿Se realizan actividades para fomentar la mejora continua en toda la organización?

• Se emprenden acciones hacia la transformación digital de la organización

1.7 ¿Existe un mecanismo de evaluación y priorización de oportunidades de mejora?

2. Garantizar la satisfacción de los clientes/usuarios respecto a los servicios ofrecidos

2.1 ¿Se realizan encuestas de satisfacción de los clientes/usuarios respecto a los servicios de TI? ¿Existen canales de comunicación que faciliten la colaboración con los clientes/usuarios que permitan recolectar oportunidades de mejora?

2.2 ¿Se realizan reuniones con las partes interesadas clave para identificar oportunidades para la prestación de nuevos servicios y actualizar los planes de Niveles de Servicio/Portafolio de Servicios?

2.3 ¿Se analizan los resultados de las encuestas/opiniones de los usuarios para identificar oportunidades de mejora?

3. Ambiente de Innovación

3.1 ¿Se realizan actividades relacionadas con la investigación de nuevas tecnologías?

• En algunas empresas, se destinan equipos completos para la investigación, en otras se dan jornadas libre para ello; (Recuerda que estas actividades deben ser continuas y deben estar planificadas)

3.2 ¿Existe un proceso o un conjunto de incentivos que promuevan la innovación?

• En algunas empresas hay procesos formalmente definidos, existen comités, hay incentivos; Se debe identificar como se recogen ideas de mejora o surgen nuevos proyectos

3.3 ¿Se tienen identificadas las actividades/procesos que se pueden automatizar utilizando las TI?

3.4 ¿Se investiga la portabilidad de los servicios TI?

• ¡Que están haciendo por la portabilidad de los servicios (accesos desde un movil, una tablet, etc)

4. Indicadores y métricas

4.1 ¿Se tiene definido el conjunto de indicadores asociados a los procesos/actividades/metas del área de T.I?

• Indicadores que genera el área de tecnologia, métricas, cuadros de mando

4.2 ¿Se analizan las métricas de las T.I para identificar mejoras, correcciones o cambios?

• en muchas empresas sólo se recojen métricas en las herramientas, pero no se usan para generar valor

4.3 ¿Se definen métricas que permitan evaluar los resultados de las acciones de mejora?