Professional Documents
Culture Documents
COBIT:
Adquirir e Implementar
OBJETIVO
Definicin de las necesidades
Fuentes Alternativas
Factibilidad Tecnolgica y Econmica
Anlisis de Riesgo
Anlisis de Costo Beneficio
Decisin Final
CONTROL
se logra con:
OBJETIVO
Diseo de aplicaciones.
Controles y requerimientos de seguridad.
Desarrollo y configuracin.
CONTROL
se logra con:
OBJETIVO
Infraestructura Tecnolgica
Adquirir
Implantar
Actualizar
CONTROL
Se logra con:
Facilitar la operacin y el
uso
Se logra con:
El desarrollo y la disponibilidad de documentacin para
transferir el conocimiento
Comunicacin y entrenamiento a usuarios y a la gerencia
del negocio, al personal de apoyo y al personal de operacin
La generacin de materiales de entrenamiento.
Y se mide con:
El nmero de aplicaciones en que los procedimientos de TI
se integran en forma transparente dentro de los procesos de
negocio
El porcentaje de propietarios de negocios satisfechos con el
entrenamiento de aplicacin y los materiales de apoyo.
El nmero de aplicaciones que cuentan con un adecuado
entrenamiento de apoyo al usuario y a la operacin
Se
deben
suministrar
recursos
TI,
incluyendo personas, hardware, software y
servicios. Esto requiere de la definicin y
ejecucin de los procedimientos de
adquisicin, la seleccin de proveedores, el
ajuste de arreglos contractuales y la
adquisicin en s. El hacerlo as garantiza
que la organizacin tenga todos los
recursos de TI que se requieren de una
manera oportuna y rentable.
Se logra con:
La obtencin de asesora profesional legal y contractual
La definicin de procedimientos y estndares de
adquisicin
La adquisicin de hardware, software y servicios
requeridos de acuerdo con los procedimientos definidos
Y se mide con:
El nmero de controversias en relacin con los contratos
de adquisicin
La reduccin del costo de compra
El porcentaje de interesados clave satisfechos con los
proveedores
Control de adquisicin
Desarrollar y seguir un conjunto de procedimientos y
estndares referente con el proceso y estrategia general
de adquisiciones de la organizacin, para garantizar que la
adquisicin de infraestructura, instalaciones, hardware,
software y servicios relacionados con TI, satisfagan los
requerimientos del negocio.
Administracin de contratos con proveedores
Formular un procedimiento para borrar, actualizar o
modificar contratos que apliquen a todos los proveedores.
El
procedimiento
debe
cubrir,
al
mnimo,
responsabilidades y obligaciones de diferentes mbitos
(que incluyan clusulas de penalizacin).
Seleccin de proveedores
Seleccionar proveedores mediante una prctica justa
y formal para garantizar la escogencia del mejor con
base en los requerimientos que se han desarrollado
con informacin de proveedores potenciales y
acordados entre el cliente y el(los) proveedor(es).
Adquisicin de software
Garantizar que se protegen los intereses de la
organizacin en todos los acuerdos contractuales de
adquisicin. Incluir y reforzar los derechos y
obligaciones de todas las partes en los trminos
contractuales para la adquisicin de software
involucrados en el suministro y uso continuo de
software.
Grafica RACI
Metras y mtricas
6. Administrar cambios
Se logra con:
Objetivos de control
detallados
Estndares y procedimientos para
cambios
Establecer
procedimientos
de
administracin de cambio formales para
manejar de manera estndar todas las
solicitudes (incluyendo mantenimiento y
patches) para cambios a aplicaciones,
procedimientos, procesos, parmetros de
sistema y servicio, y las plataformas
fundamentales.
7. Instalar y acreditar
soluciones y cambios
Los
nuevos
sistemas
necesitan
estar
funcionales una vez que su desarrollo se
completa. Esto requiere pruebas adecuadas
en un ambiente dedicado con datos de
prueba relevantes, definir la transicin e
instrucciones de migracin, planear la
liberacin y la transicin en s al ambiente de
produccin, y revisar la post-implantacin.
Esto garantiza que los sistemas operacionales
estn en lnea con las expectativas
convenidas y con los resultados.
Se logra con:
El establecimiento de una metodologa de prueba
Realizar la planeacin de la liberacin (release)
Evaluar y aprobar los resultados de las pruebas por
parte de la gerencia del negocio
Ejecutar revisiones posteriores a la implantacin
Y se mide con:
Tiempo perdido de la aplicacin o problemas de datos
provocados por pruebas inadecuadas
Porcentaje de sistemas que satisfacen los beneficios
esperados, medidos en el proceso posterior a la
implantacin
Porcentaje de proyectos con plan de prueba
documentado y aprobado
Objetivos de control
detallados
Entrenamiento
Entrenar al personal de los departamentos
de usuario afectados y al grupo de
operaciones de la funcin de TI de acuerdo
con el plan definido de entrenamiento e
implantacin y a los materiales asociados,
como parte de cada proyecto de desarrollo,
implantacin o modificacin de sistemas de
informacin.
Plan de prueba
Establecer un plan de pruebas y obtener la aprobacin de las partes
relevantes. El plan de pruebas se basa en los estndares de toda la
organizacin y define roles, responsabilidades y criterios de xito. El
plan considera la preparacin de pruebas (incluye la preparacin del
sitio), requerimientos de entrenamiento, instalacin o actualizacin
de un ambiente de pruebas definido, planear / ejecutar / documentar
/ retener casos de prueba, manejo y correccin de errores y
aprobacin formal. Con base en la evaluacin de riesgos de fallas en
el sistema y en la implantacin, el plan deber incluir los
requerimientos de prueba de desempeo, stress, de usabilidad,
piloto y de seguridad.
Plan de implantacin
Establecer un plan de implantacin y obtener la aprobacin de las
partes relevantes. El plan define el diseo de versiones (release),
construccin de paquetes de versiones, procedimientos de
implantacin / instalacin, manejo de incidentes, controles de
distribucin (incluye herramientas), almacenamiento de software,
revisin de la versin y documentacin de cambios. El plan deber
tambin incluir medidas de respaldo/ y vuelta atrs.
Ambiente de prueba
Establecer un ambiente de prueba separado para pruebas. Este
ambiente debe reflejar el ambiente futuro de operaciones (por ejemplo,
seguridad similar, controles internos y cargas de trabajo) para permitir
pruebas acertadas. Se deben tener presentes los procedimientos para
garantizar que los datos utilizados en el ambiente de prueba sean
representativos de los datos (se limpian si es necesario) que se
utilizarn eventualmente en el ambiente de operacin. Proporcionar
medidas adecuadas para prevenir la divulgacin de datos sensibles. La
documentacin de los resultados de las pruebas se debe archivar.
Conversin de sistema y datos
Garantizar que los mtodos de desarrollo de la organizacin,
contemplen para todos los proyectos de desarrollo, implantacin o
modificacin, que todos los elementos necesarios, tales como hardware,
software, datos de transacciones, archivos maestros, respaldos y
archivos, interfases con otros sistemas, procedimientos, documentacin
de sistemas, etc., sean convertidos del viejo al nuevo sistema de
acuerdo con un plan preestablecido. Se desarrolla y mantiene una pista
de auditora de los resultados previos y posteriores a la conversin. Los
propietarios del sistema llevan a cabo una verificacin detallada del
proceso inicial del nuevo sistema para confirmar una transicin exitosa.
Prueba de cambios
Garantizar que se prueban los cambios de acuerdo con el plan de
aceptacin definido y en base en una evaluacin de impacto y recursos que
incluye el dimensionamiento del desempeo en un ambiente separado de
prueba, por parte de un grupo de prueba independiente (de los
constructores) antes de comenzar su uso en el ambiente de operacin
regular. Las pruebas paralelas o piloto se consideran parte del plan. Los
controles de seguridad se prueban y evalan antes de la liberacin, de
manera que se pueda certificar la efectividad de la seguridad. Los planes de
respaldo/vuelta atrs se deben desarrollar y probar antes de transferir el
cambio a produccin.
Prueba final de aceptacin
Garantizar que los procedimientos proporcionan, como parte de la
aceptacin final o prueba de aseguramientos de la calidad de los sistemas
de informacin nuevos o modificados, una evaluacin formal y la aprobacin
de los resultados de prueba por parte de la gerencia de los departamentos
afectados del usuario y la funcin de TI. Las pruebas debern cubrir todos
los componentes del sistema de informacin (ejemplo, software aplicativo,
instalaciones, procedimientos de tecnologa y usuario) y garantizar que los
requerimientos de seguridad de la informacin se satisfacen para todos los
componentes. Los datos de prueba se deben salvar para propsitos de
pistas de auditora y para pruebas futuras.
Transferencia a produccin
Implantar procedimientos formales para controlar la
transferencia del sistema desde el ambiente de
desarrollo al de pruebas, de acuerdo con el plan de
implantacin. La gerencia debe requerir que se obtenga
la autorizacin del propietario del sistema antes de que
se mueva un nuevo sistema a produccin y que, antes
de que se descontine el viejo sistema, el nuevo haya
operado exitosamente a travs de ciclos de produccin
diarios, mensuales, trimestrales y de fin de ao.
Liberacin de software
Garantizar que la liberacin del software se regula con
procedimientos formales que aseguren la autorizacin,
acondicionamiento, pruebas de regresin, distribucin,
transferencia
de
control,
rastreo
de
estatus,
procedimientos de respaldo y notificacin de usuario.