Servicio De TI

1. DS1 Definir y administrar los niveles de servicio

Preguntas:

• ¿Existe un marco de trabajo que brinde un proceso formal de administración de niveles de servicio entre el cliente y el proveedor del servicio? De no ser así se debe establecer un marco de trabajo.

• ¿El marco de trabajo contiene los requerimientos del servicio, las prioridades del negocio y la facilidad de entendimiento entre el cliente y los prestadores de servicio? De no ser así se debe establecer el marco de trabajo con estas características.

• ¿Cuál es la definición del catalogo de servicios ofrecidos por la institución? ¿Existe algún servicio otorgado fuera de este catalogo? De no ser así recomendar elaborar un catalogo o portafolio de servicios de manera organizada y centralizada, definir las características del servicio y requerimientos del negocio.

• ¿Se ha definido y acordado convenios de niveles de servicio para todos los procesos críticos de TI con base en los requerimientos del cliente y las capacidades en TI? De no ser así se debe establecer cuáles son los requerimientos del cliente, las capacidades de TI para atender a los procesos críticos.

• ¿El porcentaje de usuarios satisfechos con el servicio cumple con los niveles previamente acordados? De no ser así establecer cuáles deberían ser los niveles acordados.

• ¿Se emiten reportes del nivel de servicio de manera diaria, quincenal, mensual o anual? ¿El formato de este reporte es entendible para todos los interesados? De no emitir reportes se debería establecer qué tipo de reportes y en que formato se debe monitorizar los logros de los niveles de servicio.

2. DS2 Administrar los servicios de terceros

Preguntas:

• ¿Se identifican en la institución cuales son los servicios otorgados por terceros y se categorizan según el tipo de proveedor, la importancia y la criticidad? De no ser así se debe realizar esta identificación y asignarle estos parámetros.

• ¿Se tiene un proceso formal de las relaciones con los proveedores por cada servicio? Se debe realizar un proceso formal con los servicios del proveedor. Esta coordinación lo deben hacer los proveedores y los clientes.

• ¿Se identifica cuales son los riesgos relacionados con la capacidad del proveedor para mantener una efectiva entrega de los servicios de forma segura y eficiente sobre una base de continuidad? De no ser así se debe identificar los procesos críticos con proveedores y establecer la capacidad de este y los riesgos para realizar este servicio.

• ¿Los contratos con los proveedores están de acuerdo con los requerimientos del negocio así como de la norma legal? De no ser así se debe revisar estos contratos.

• ¿Hay algún tipo de monitoreo en la organización para asegurar que el proveedor esta reuniendo los requisitos actuales de negocio y continuamente se apegue a los acuerdos contractuales y de nivel de servicio y que el desempeño de este sea competitivo con los proveedores alternativos y con las condiciones de mercado? De no ser así se debe establecer un medio de monitoreo para evaluar los servicios del proveedor y comparar con proveedores alternativos.

3. DS3 Administrar el desempeño y la capacidad

Preguntas:

• ¿Se tiene un proceso para realizar la planeación para la revisión del desempeño y la capacidad de TI de la organización, asegurar la disponibilidad de la capacidad del desempeño con costos justificables de la organización? De no ser así se debe realizar este proceso tomando en cuenta el desempeño, la capacidad y el rendimiento de los recursos de TI, tanto actual como pronosticado.

• ¿Se revisa en intervalos regularos la capacidad y el desempeño actual de los recursos de TI para determinar si se cuenta con la suficiente capacidad y desempeño con base en los niveles de servicio acordado? De no ser así se debe establecer una revisión del desempeño y capacidad de manera regular revisando los niveles de servicio.

• ¿Se identifica los recursos de TI para ver el exceso de capacidad para una posible redistribución? De no ser así se debe revisar si existe un exceso de capacidad.

• ¿Se identifica las tendencias de las cargas de trabajo y se determina los pronósticos de capacidad? Esto se debe revisar para saber cuándo redistribuir y realizar planes de capacidad y desempeño.

• ¿Se monitoriza la capacidad y desempeño de la organización? Esto se debe realizar para ajustar el desempeño actual de TI y realizar planes de almacenamiento y adquisición de recursos.

4. DS4 Garantizar la continuidad del servicio

Preguntas:

• ¿Se establece un proceso consistente de continuidad de negocio que contemple: la resistencia necesaria de la infraestructura, desarrollo de planes de recuperación ante desastres, planes de contingencia?

• ¿Se establece en la organización planes de contingencia que contemplen: Identificación de recursos críticos, monitoreo y reporte de disponibilidad de recursos críticos, procesamiento alternativo, principio de resguardo y recuperación? De no ser así se debe recomendar realizar planes de contingencia primero identificando los recursos críticos.

• ¿Tiene la organización un plan de continuidad de negocio para reducir el impacto mayor de las funciones y procesos claves del negocio? De no ser así se debe realizar un plan basado en el proceso de continuidad de negocio y en los planes de contingencia de TI.

• ¿Tiene la organización procedimientos de control de cambios para que el plan de continuidad de negocio se mantenga actualizado y que refleje las necesidades reales del negocio? De no ser así realizar este proceso y adecuarlo al objetivo del negocio, se debe establecer los procedimientos y los responsables.

5. DS5 Garantizar la seguridad de los sistemas

Preguntas:

• ¿Se establece un plan de seguridad de sistemas para la organización que contenga: Los requerimientos de información del negocio, la configuración de TI, los planes de acción del riesgo de información, la cultura sobre la seguridad de la información?

• ¿Se implementa dentro de las políticas y procedimiento de seguridad en conjunto con inversiones apropiadas en

...