Universidad Hispanoamericana

COBIT:
Adquirir e Implementar

Estudiantes: Diego Barquero

Fabiola Espinoza
Joel Segura
Randall Matamoros

1. Identificar Soluciones Automatizadas

OBJETIVO
Definicin de las necesidades
Fuentes Alternativas
Factibilidad Tecnolgica y Econmica
Anlisis de Riesgo
Anlisis de Costo Beneficio
Decisin Final

CONTROL

Identificar soluciones automatizadas con

un diseo efectivo y eficiente que sean
tcnicamente factibles y rentables de
implementar.

se logra con:

La definicin de los requerimientos.

Estudios de factibilidad.
Aprobar (o rechazar).
se mide con:

Proyectos fallidos por estudios incorrectos.

Porcentaje de estudios de factibilidad
autorizados.
Porcentaje de usuarios satisfechos

2. Adquirir y mantener software aplicativo

OBJETIVO
Diseo de aplicaciones.
Controles y requerimientos de seguridad.
Desarrollo y configuracin.

CONTROL

Adquirir y dar mantenimiento a software

aplicativo para garantizar que exista un
proceso de desarrollo oportuno y
confiable.

se logra con:

Traduccin de requerimientos a especificaciones de

diseo.
Estndares de desarrollo para todas las modificaciones.
La separacin de las actividades de desarrollo, de
pruebas y operativas.
se mide con:

Nmero de problemas en produccin por aplicacin,

que causan tiempo perdido significativo .
Porcentaje de usuarios satisfechos con la funcionalidad
entregada.

3. Adquirir y mantener infraestructura

tecnolgica

OBJETIVO

Infraestructura Tecnolgica
Adquirir
Implantar
Actualizar

CONTROL

Adquirir y dar mantenimiento a la

infraestructura tecnolgica de acuerdo
con la arquitectura definida de TI y los
estndares de tecnologa.

Se logra con:

El establecimiento de un plan de adquisicin de tecnologa

que se alinea con el plan de infraestructura tecnolgica
La planeacin de mantenimiento de la infraestructura.
La implantacin de medidas de control interno, seguridad y
auditora.
Y se mide con

El porcentaje de plataformas que no se alinean con la

arquitectura de TI definida y los estndares de tecnologa
El nmero de procesos de negocio crticos soportados por
infraestructura obsoleta (o que pronto lo ser)
El nmero de componentes de infraestructura que ya no se
pueden soportar (o que ya no se podrn en el futuro cercano)

Facilitar la operacin y el
uso

Objetivo de control de alto nivel

El conocimiento sobre los nuevos sistemas

debe estar disponible. Este proceso requiere
la generacin de documentacin y
manuales para usuarios y para TI, y
proporciona entrenamiento para garantizar
el uso y la operacin correctos de las
aplicaciones y la infraestructura.

Control sobre el proceso TI

Facilitar la operacin y el uso que satisface el
requisito de negocio de TI para garantizar la
satisfaccin de los usuarios finales mediante
ofrecimientos de servicios y niveles de
servicio, y de forma transparente integrar las
soluciones de aplicacin y tecnologa dentro
de los procesos del negocio. enfocndose en
proporcionar manuales efectivos de usuario y
de operacin y materiales de entrenamiento
para transferir el conocimiento necesario para
la operacin y el uso exitosos del sistema.

Se logra con:
El desarrollo y la disponibilidad de documentacin para
transferir el conocimiento
Comunicacin y entrenamiento a usuarios y a la gerencia
del negocio, al personal de apoyo y al personal de operacin
La generacin de materiales de entrenamiento.
Y se mide con:
El nmero de aplicaciones en que los procedimientos de TI
se integran en forma transparente dentro de los procesos de
negocio
El porcentaje de propietarios de negocios satisfechos con el
entrenamiento de aplicacin y los materiales de apoyo.
El nmero de aplicaciones que cuentan con un adecuado
entrenamiento de apoyo al usuario y a la operacin

Objetivos de control detallados

Plan para soluciones de operacin

Desarrollar un plan para identificar y documentar

todos los aspectos tcnicos, la capacidad de
operacin y los niveles de servicio requeridos, de
manera que todos los interesados puedan tomar
la responsabilidad oportunamente por la
produccin de procedimientos de administracin,
de usuario y operacionales, como resultado de la
introduccin o actualizacin de sistemas
automatizados o de infraestructura.

Transferencia de conocimiento a la gerencia del negocio

Transferir el conocimiento a la gerencia de la empresa para permitirles

tomar posesin del sistema y los datos y ejercer la responsabilidad por
la entrega y calidad del servicio, del control interno, y de los procesos
administrativos de la aplicacin. La transferencia de conocimiento
incluye la aprobacin de acceso, administracin de privilegios,
segregacin de tareas, controles automatizados del negocio,
respaldo/recuperacin, seguridad fsica y archivo de la documentacin
fuente.
Transferencia de conocimiento a usuarios finales

Transferencia de conocimiento y habilidades para permitir que los

usuarios finales utilicen con efectividad y eficiencia el sistema de
aplicacin como apoyo a los procesos del negocio. La transferencia de
conocimiento incluye el desarrollo de un plan de entrenamiento que
aborde al entrenamiento inicial y al continuo, as como el desarrollo de
habilidades, materiales de entrenamiento, manuales de usuario,
manuales de procedimiento, ayuda en lnea, asistencia a usuarios,
identificacin del usuario clave, y evaluacin.

Transferencia de conocimiento al personal de

operaciones y soporte

Transferir el conocimiento y las habilidades para

permitir al personal de soporte tcnico y de
operaciones que entregue, apoye y mantenga la
aplicacin y la infraestructura asociada de manera
efectiva y eficiente de acuerdo a los niveles de servicio
requeridos. La transferencia del conocimiento debe
incluir al entrenamiento inicial y continuo, el desarrollo
de las habilidades, los materiales de entrenamiento, los
manuales
de
operacin,
los
manuales
de
procedimientos y escenarios de atencin al usuario.

5. Adquirir Recursos de IT.

Objetivo de control de alto nivel

Se
deben
suministrar
recursos
TI,
incluyendo personas, hardware, software y
servicios. Esto requiere de la definicin y
ejecucin de los procedimientos de
adquisicin, la seleccin de proveedores, el
ajuste de arreglos contractuales y la
adquisicin en s. El hacerlo as garantiza
que la organizacin tenga todos los
recursos de TI que se requieren de una
manera oportuna y rentable.

Control sobre el proceso TI

Adquirir recursos de TI que satisface el
requisito de negocio de TI para mejorar la
rentabilidad de TI y su contribucin a la
utilidad del negocio. enfocndose en
adquirir y mantener las habilidades de TI
que respondan a la estrategia de entrega,
en una infraestructura TI integrada y
estandarizada, y reducir el riesgo de
adquisicin de TI

Se logra con:
La obtencin de asesora profesional legal y contractual
La definicin de procedimientos y estndares de
adquisicin
La adquisicin de hardware, software y servicios
requeridos de acuerdo con los procedimientos definidos
Y se mide con:
El nmero de controversias en relacin con los contratos
de adquisicin
La reduccin del costo de compra
El porcentaje de interesados clave satisfechos con los
proveedores

Objetivos de control Detallados

Control de adquisicin
Desarrollar y seguir un conjunto de procedimientos y
estndares referente con el proceso y estrategia general
de adquisiciones de la organizacin, para garantizar que la
adquisicin de infraestructura, instalaciones, hardware,
software y servicios relacionados con TI, satisfagan los
requerimientos del negocio.
Administracin de contratos con proveedores
Formular un procedimiento para borrar, actualizar o
modificar contratos que apliquen a todos los proveedores.
El
procedimiento
debe
cubrir,
al
mnimo,
responsabilidades y obligaciones de diferentes mbitos
(que incluyan clusulas de penalizacin).

Seleccin de proveedores
Seleccionar proveedores mediante una prctica justa
y formal para garantizar la escogencia del mejor con
base en los requerimientos que se han desarrollado
con informacin de proveedores potenciales y
acordados entre el cliente y el(los) proveedor(es).
Adquisicin de software
Garantizar que se protegen los intereses de la
organizacin en todos los acuerdos contractuales de
adquisicin. Incluir y reforzar los derechos y
obligaciones de todas las partes en los trminos
contractuales para la adquisicin de software
involucrados en el suministro y uso continuo de
software.

Adquisicin de recursos de desarrollo

Garantizar la proteccin de los intereses de la
organizacin en todos los acuerdos contractuales de
adquisicin. Incluir y hacer cumplir los derechos y
obligaciones de todas las partes en los trminos
contractuales para la adquisicin de recursos de
desarrollo..
Adquisicin de infraestructura, instalaciones y
servicios relacionados
Incluir y hacer cumplir los derechos y obligaciones
de todas las partes en los trminos contractuales,
que comprendan los criterios de aceptacin, para la
adquisicin de infraestructura, instalaciones y
servicios relacionados.

Grafica RACI

Una grfica RACI identifica quin es Responsable (R), quin

debe rendir cuentas (A), quin debe ser Consultado (C) y/o
Informado (I)

Metras y mtricas

6. Administrar cambios

Objetivo de control de alto nivel

Todos los cambios, incluyendo el mantenimiento de

emergencia y parches, relacionados con la
infraestructura y las aplicaciones dentro del
ambiente de produccin, deben administrarse
formalmente y controladamente. Los cambios
(incluyendo procedimientos, procesos, sistema y
parmetros del servicio) se deben registrar, evaluar
y autorizar previo a la implantacin y revisar contra
los
resultados
planeados
despus
de
la
implantacin. Esto garantiza la reduccin de
riesgos que impactan negativamente la estabilidad
o integridad del ambiente de produccin.

Control sobre el proceso TI

Administrar cambios que satisface el requisito de

negocio de TI para responder a los requerimientos
del negocio de acuerdo con la estrategia de
negocio, mientras se reducen los defectos y la
repeticin de trabajos en la prestacin del servicio
y en la solucin. enfocndose en controlar la
evaluacin de impacto, autorizacin e implantacin
de todos los cambios a la infraestructura de TI,
aplicaciones y soluciones tcnicas, minimizando
errores
que
se
deben
a
especificaciones
incompletas de la solicitud y detener la
implantacin de cambios no autorizados

Se logra con:

La definicin y comunicacin de los procedimientos de

cambio, que incluyen cambios de emergencia
La evaluacin, la asignacin de prioridad y autorizacin de
cambios
Seguimiento del estatus y reporte de los cambios
Y se mide con:

El nmero de interrupciones o errores de datos provocados

por especificaciones inexactas o una evaluacin de impacto
incompleta
La repeticin de aplicaciones o infraestructura debida a
especificaciones de cambio inadecuadas
El porcentaje de cambios que siguen procesos de control de
cambio formales

Objetivos de control
detallados
Estndares y procedimientos para
cambios
Establecer
procedimientos
de
administracin de cambio formales para
manejar de manera estndar todas las
solicitudes (incluyendo mantenimiento y
patches) para cambios a aplicaciones,
procedimientos, procesos, parmetros de
sistema y servicio, y las plataformas
fundamentales.

Evaluacin de impacto, priorizacin y autorizacin

Garantizar que todas las solicitudes de cambio se evalan

de una estructurada manera en cuanto a impactos en el
sistema operacional y su funcionalidad. Esta evaluacin
deber incluir categorizacin y priorizacin de los
cambios. Previo a la migracin hacia produccin, los
interesados correspondientes autorizan los cambios.
Cambios de emergencia

Establecer un proceso para definir, plantear, evaluar y

autorizar los cambios de emergencia que no sigan el
proceso de cambio establecido. La documentacin y
pruebas se realizan, posiblemente, despus de la
implantacin del cambio de emergencia.

Seguimiento y reporte del estatus de cambio

Establecer un sistema de seguimiento y reporte para

mantener actualizados a los solicitantes de cambio y
a los interesados relevantes, acerca del estatus del
cambio a las aplicaciones, a los procedimientos, a
los procesos, parmetros del sistema y del servicio y
las plataformas fundamentales.
Cierre y documentacin del cambio

Siempre que se implantan cambios al sistema,

actualizar el sistema asociado y la documentacin
de usuario y procedimientos correspondientes.
Establecer un proceso de revisin para garantizar la
implantacin completa de los cambios.

7. Instalar y acreditar
soluciones y cambios

Objetivo de control de alto nivel

Los
nuevos
sistemas
necesitan
estar
funcionales una vez que su desarrollo se
completa. Esto requiere pruebas adecuadas
en un ambiente dedicado con datos de
prueba relevantes, definir la transicin e
instrucciones de migracin, planear la
liberacin y la transicin en s al ambiente de
produccin, y revisar la post-implantacin.
Esto garantiza que los sistemas operacionales
estn en lnea con las expectativas
convenidas y con los resultados.

Control sobre el proceso TI

Instalar y acreditar soluciones y cambios

que satisface el requisito de negocio de TI
para contar con sistemas nuevos o
modificados que trabajen sin problemas
importantes despus de la instalacin
enfocndose en probar que las soluciones
de aplicaciones e infraestructura son
apropiadas para el propsito deseado y
estn libre de errores, y planear las
liberaciones a produccin

Se logra con:
El establecimiento de una metodologa de prueba
Realizar la planeacin de la liberacin (release)
Evaluar y aprobar los resultados de las pruebas por
parte de la gerencia del negocio
Ejecutar revisiones posteriores a la implantacin
Y se mide con:
Tiempo perdido de la aplicacin o problemas de datos
provocados por pruebas inadecuadas
Porcentaje de sistemas que satisfacen los beneficios
esperados, medidos en el proceso posterior a la
implantacin
Porcentaje de proyectos con plan de prueba
documentado y aprobado

Objetivos de control
detallados
Entrenamiento
Entrenar al personal de los departamentos
de usuario afectados y al grupo de
operaciones de la funcin de TI de acuerdo
con el plan definido de entrenamiento e
implantacin y a los materiales asociados,
como parte de cada proyecto de desarrollo,
implantacin o modificacin de sistemas de
informacin.

Plan de prueba
Establecer un plan de pruebas y obtener la aprobacin de las partes
relevantes. El plan de pruebas se basa en los estndares de toda la
organizacin y define roles, responsabilidades y criterios de xito. El
plan considera la preparacin de pruebas (incluye la preparacin del
sitio), requerimientos de entrenamiento, instalacin o actualizacin
de un ambiente de pruebas definido, planear / ejecutar / documentar
/ retener casos de prueba, manejo y correccin de errores y
aprobacin formal. Con base en la evaluacin de riesgos de fallas en
el sistema y en la implantacin, el plan deber incluir los
requerimientos de prueba de desempeo, stress, de usabilidad,
piloto y de seguridad.
Plan de implantacin
Establecer un plan de implantacin y obtener la aprobacin de las
partes relevantes. El plan define el diseo de versiones (release),
construccin de paquetes de versiones, procedimientos de
implantacin / instalacin, manejo de incidentes, controles de
distribucin (incluye herramientas), almacenamiento de software,
revisin de la versin y documentacin de cambios. El plan deber
tambin incluir medidas de respaldo/ y vuelta atrs.

Ambiente de prueba
Establecer un ambiente de prueba separado para pruebas. Este
ambiente debe reflejar el ambiente futuro de operaciones (por ejemplo,
seguridad similar, controles internos y cargas de trabajo) para permitir
pruebas acertadas. Se deben tener presentes los procedimientos para
garantizar que los datos utilizados en el ambiente de prueba sean
representativos de los datos (se limpian si es necesario) que se
utilizarn eventualmente en el ambiente de operacin. Proporcionar
medidas adecuadas para prevenir la divulgacin de datos sensibles. La
documentacin de los resultados de las pruebas se debe archivar.
Conversin de sistema y datos
Garantizar que los mtodos de desarrollo de la organizacin,
contemplen para todos los proyectos de desarrollo, implantacin o
modificacin, que todos los elementos necesarios, tales como hardware,
software, datos de transacciones, archivos maestros, respaldos y
archivos, interfases con otros sistemas, procedimientos, documentacin
de sistemas, etc., sean convertidos del viejo al nuevo sistema de
acuerdo con un plan preestablecido. Se desarrolla y mantiene una pista
de auditora de los resultados previos y posteriores a la conversin. Los
propietarios del sistema llevan a cabo una verificacin detallada del
proceso inicial del nuevo sistema para confirmar una transicin exitosa.

Prueba de cambios
Garantizar que se prueban los cambios de acuerdo con el plan de
aceptacin definido y en base en una evaluacin de impacto y recursos que
incluye el dimensionamiento del desempeo en un ambiente separado de
prueba, por parte de un grupo de prueba independiente (de los
constructores) antes de comenzar su uso en el ambiente de operacin
regular. Las pruebas paralelas o piloto se consideran parte del plan. Los
controles de seguridad se prueban y evalan antes de la liberacin, de
manera que se pueda certificar la efectividad de la seguridad. Los planes de
respaldo/vuelta atrs se deben desarrollar y probar antes de transferir el
cambio a produccin.
Prueba final de aceptacin
Garantizar que los procedimientos proporcionan, como parte de la
aceptacin final o prueba de aseguramientos de la calidad de los sistemas
de informacin nuevos o modificados, una evaluacin formal y la aprobacin
de los resultados de prueba por parte de la gerencia de los departamentos
afectados del usuario y la funcin de TI. Las pruebas debern cubrir todos
los componentes del sistema de informacin (ejemplo, software aplicativo,
instalaciones, procedimientos de tecnologa y usuario) y garantizar que los
requerimientos de seguridad de la informacin se satisfacen para todos los
componentes. Los datos de prueba se deben salvar para propsitos de
pistas de auditora y para pruebas futuras.

Transferencia a produccin
Implantar procedimientos formales para controlar la
transferencia del sistema desde el ambiente de
desarrollo al de pruebas, de acuerdo con el plan de
implantacin. La gerencia debe requerir que se obtenga
la autorizacin del propietario del sistema antes de que
se mueva un nuevo sistema a produccin y que, antes
de que se descontine el viejo sistema, el nuevo haya
operado exitosamente a travs de ciclos de produccin
diarios, mensuales, trimestrales y de fin de ao.
Liberacin de software
Garantizar que la liberacin del software se regula con
procedimientos formales que aseguren la autorizacin,
acondicionamiento, pruebas de regresin, distribucin,
transferencia
de
control,
rastreo
de
estatus,
procedimientos de respaldo y notificacin de usuario.

Distribucin del sistema

Establecer procedimientos de control para asegurar la distribucin
oportuna y correcta, y la actualizacin de los componentes
aprobados de la configuracin. Esto implica controles de integridad;
segregacin de funciones entre los que construyen, prueban y
operan; y adecuadas pistas de auditora de todas las actividades.
Registro y rastreo de cambios
Automatizar el sistema utilizado para monitorear cambios a
sistemas aplicativos para soportar el registro y rastreo de cambios
hechos en aplicaciones, procedimientos, procesos, sistemas y
parmetros de servicio, y a las plataformas subyacentes.
Revisin posterior a la implantacin
Establecer procedimientos de acuerdo con los estndares de
desarrollo y de cambios de la empresa, que requieren una revisin
posterior a la implantacin del sistema de informacin en operacin
para evaluar y reportar si el cambio satisfizo los requerimientos del
cliente y entreg los beneficios visualizados, de la forma ms
rentable.