Diapositiva 1

COBIT:Adquirir e ImplementarEstudiantes: Diego Barquero Fabiola Espinoza Joel Segura Randall MatamorosUniversidad Hispanoamericana1. Identificar Soluciones Automatizadas

OBJETIVO

Definicin de las necesidadesFuentes AlternativasFactibilidad Tecnolgica y EconmicaAnlisis de RiesgoAnlisis de Costo BeneficioDecisin Final

Identificar soluciones automatizadas con un diseo efectivo y eficiente que sean tcnicamente factibles y rentables de implementar. CONTROL

se logra con:

La definicin de los requerimientos.Estudios de factibilidad. Aprobar (o rechazar).

se mide con:

Proyectos fallidos por estudios incorrectos.Porcentaje de estudios de factibilidad autorizados.Porcentaje de usuarios satisfechos

2. Adquirir y mantener software aplicativo

Diseo de aplicaciones.Controles y requerimientos de seguridad.Desarrollo y configuracin.

OBJETIVO

Adquirir y dar mantenimiento a software aplicativo para garantizar que exista un proceso de desarrollo oportuno y confiable. CONTROL

se logra con:Traduccin de requerimientos a especificaciones de diseo.Estndares de desarrollo para todas las modificaciones.La separacin de las actividades de desarrollo, de pruebas y operativas. se mide con:

Nmero de problemas en produccin por aplicacin, que causan tiempo perdido significativo .Porcentaje de usuarios satisfechos con la funcionalidad entregada.

3. Adquirir y mantener infraestructura tecnolgica

Infraestructura Tecnolgica

AdquirirImplantarActualizarOBJETIVO

Adquirir y dar mantenimiento a la infraestructura tecnolgica de acuerdo con la arquitectura definida de TI y los estndares de tecnologa.CONTROL

Se logra con: El establecimiento de un plan de adquisicin de tecnologa que se alinea con el plan de infraestructura tecnolgica La planeacin de mantenimiento de la infraestructura.La implantacin de medidas de control interno, seguridad y auditora.

Y se mide con

El porcentaje de plataformas que no se alinean con la arquitectura de TI definida y los estndares de tecnologaEl nmero de procesos de negocio crticos soportados por infraestructura obsoleta (o que pronto lo ser) El nmero de componentes de infraestructura que ya no se pueden soportar (o que ya no se podrn en el futuro cercano)

Facilitar la operacin y el uso

El conocimiento sobre los nuevos sistemas debe estar disponible. Este proceso requiere la generacin de documentacin y manuales para usuarios y para TI, y proporciona entrenamiento para garantizar el uso y la operacin correctos de las aplicaciones y la infraestructura.Objetivo de control de alto nivel

Facilitar la operacin y el uso que satisface el requisito de negocio de TI para garantizar la satisfaccin de los usuarios finales mediante ofrecimientos de servicios y niveles de servicio, y de forma transparente integrar las soluciones de aplicacin y tecnologa dentro de los procesos del negocio. enfocndose en proporcionar manuales efectivos de usuario y de operacin y materiales de entrenamiento para transferir el conocimiento necesario para la operacin y el uso exitosos del sistema.Control sobre el proceso TI

Se logra con: El desarrollo y la disponibilidad de documentacin para transferir el conocimiento Comunicacin y entrenamiento a usuarios y a la gerencia del negocio, al personal de apoyo y al personal de operacin La generacin de materiales de entrenamiento.

Y se mide con:El nmero de aplicaciones en que los procedimientos de TI se integran en forma transparente dentro de los procesos de negocio El porcentaje de propietarios de negocios satisfechos con el entrenamiento de aplicacin y los materiales de apoyo. El nmero de aplicaciones que cuentan con un adecuado entrenamiento de apoyo al usuario y a la operacin

Plan para soluciones de operacin

Desarrollar un plan para identificar y documentar todos los aspectos tcnicos, la capacidad de operacin y los niveles de servicio requeridos, de manera que todos los interesados puedan tomar la responsabilidad oportunamente por la produccin de procedimientos de administracin, de usuario y operacionales, como resultado de la introduccin o actualizacin de sistemas automatizados o de infraestructura.Objetivos de control detallados

Transferencia de conocimiento a la gerencia del negocio

Transferir el conocimiento a la gerencia de la empresa para permitirles tomar posesin del sistema y los datos y ejercer la responsabilidad por la entrega y calidad del servicio, del control interno, y de los procesos administrativos de la aplicacin. La transferencia de conocimiento incluye la aprobacin de acceso, administracin de privilegios, segregacin de tareas, controles automatizados del negocio, respaldo/recuperacin, seguridad fsica y archivo de la documentacin fuente. Transferencia de conocimiento a usuarios finales

Transferencia de conocimiento y habilidades para permitir que los usuarios finales utilicen con efectividad y eficiencia el sistema de aplicacin como apoyo a los procesos del negocio. La transferencia de conocimiento incluye el desarrollo de un plan de entrenamiento que aborde al entrenamiento inicial y al continuo, as como el desarrollo de habilidades, materiales de entrenamiento, manuales de usuario, manuales de procedimiento, ayuda en lnea, asistencia a usuarios, identificacin del usuario clave, y evaluacin.

Transferencia de conocimiento al personal de operaciones y soporte

Transferir el conocimiento y las habilidades para permitir al personal de soporte tcnico y de operaciones que entregue, apoye y mantenga la aplicacin y la infraestructura asociada de manera efectiva y eficiente de acuerdo a los niveles de servicio requeridos. La transferencia del conocimiento debe incluir al entrenamiento inicial y continuo, el desarrollo de las habilidades, los materiales de entrenamiento, los manuales de operacin, los manuales de procedimientos y escenarios de atencin al usuario.

5. Adquirir Recursos de IT.

Se deben suministrar recursos TI, incluyendo personas, hardware, software y servicios. Esto requiere de la definicin y ejecucin de los procedimientos de adquisicin, la seleccin de proveedores, el ajuste de arreglos contractuales y la adquisicin en s. El hacerlo as garantiza que la organizacin tenga todos los recursos de TI que se requieren de una manera oportuna y rentable.Objetivo de control de alto nivel

Adquirir recursos de TI que satisface el requisito de negocio de TI para mejorar la rentabilidad de TI y su contribucin a la utilidad del negocio. enfocndose en adquirir y mantener las habilidades de TI que respondan a la estrategia de entrega, en una infraestructura TI integrada y estandarizada, y reducir el riesgo de adquisicin de TIControl sobre el proceso TI

Se logra con: La obtencin de asesora profesional legal y contractual La definicin de procedimientos y estndares de adquisicin La adquisicin de hardware, software y servicios requeridos de acuerdo con los procedimientos definidos Y se mide con: El nmero de controversias en relacin con los contratos de adquisicin La reduccin del costo de compra El porcentaje de interesados clave satisfechos con los proveedores

Control de adquisicinDesarrollar y seguir un conjunto de procedimientos y estndares referente con el proceso y estrategia general de adquisiciones de la organizacin, para garantizar que la adquisicin de infraestructura, instalaciones, hardware, software y servicios relacionados con TI, satisfagan los requerimientos del negocio.Administracin de contratos con proveedoresFormular un procedimiento para borrar, actualizar o modificar contratos que apliquen a todos los proveedores. El procedimiento debe cubrir, al mnimo, responsabilidades y obligaciones de diferentes mbitos (que incluyan clusulas de penalizacin).

Objetivos de control Detallados

Seleccin de proveedoresSeleccionar proveedores mediante una prctica justa y formal para garantizar la escogencia del mejor con base en los requerimientos que se han desarrollado con informacin de proveedores potenciales y acordados entre el cliente y el(los) proveedor(es).Adquisicin de softwareGarantizar que se protegen los intereses de la organizacin en todos los acuerdos contractuales de adquisicin. Incluir y reforzar los derechos y obligaciones de todas las partes en los trminos contractuales para la adquisicin de software involucrados en el suministro y uso continuo de software.

Adquisicin de recursos de desarrolloGarantizar la proteccin de los intereses de la organizacin en todos los acuerdos contractuales de adquisicin. Incluir y hacer cumplir los derechos y obligaciones de todas las partes en los trminos contractuales para la adquisicin de recursos de desarrollo..Adquisicin de infraestructura, instalaciones y servicios relacionadosIncluir y hacer cumplir los derechos y obligaciones de todas las partes en los trminos contractuales, que comprendan los criterios de aceptacin, para la adquisicin de infraestructura, instalaciones y servicios relacionados.

Grafica RACI

Una grfica RACI identifica quin es Responsable (R), quin debe rendir cuentas (A), quin debe ser Consultado (C) y/o Informado (I)

Metras y mtricas

6. Administrar cambios

Todos los cambios, incluyendo el mantenimiento de emergencia y parches, relacionados con la infraestructura y las aplicaciones dentro del ambiente de produccin, deben administrarse formalmente y controladamente. Los cambios (incluyendo procedimientos, procesos, sistema y parmetros del servicio) se deben registrar, evaluar y autorizar previo a la implantacin y revisar contra los resultados planeados despus de la implantacin. Esto garantiza la reduccin de riesgos que impactan negativamente la estabilidad o integridad del ambiente de produccin.Objetivo de control de alto nivel

Administrar cambios que satisface el requisito de negocio de TI para responder a los requerimientos del negocio de acuerdo con la estrategia de negocio, mientras se reducen los defectos y la repeticin de trabajos en la prestacin del servicio y en la solucin. enfocndose en controlar la evaluacin de impacto, autorizacin e implantacin de todos los cambios a la infraestructura de TI, aplicaciones y soluciones tcnicas, minimizando errores que se deben a especificaciones incompletas de la solicitud y detener la implantacin de cambios no autorizadosControl sobre el proceso TI

Se logra con:

La definicin y comunicacin de los procedimientos de cambio, que incluyen cambios de emergencia La evaluacin, la asignacin de prioridad y autorizacin de cambios Seguimiento del estatus y reporte de los cambios

Y se mide con:

El nmero de interrupciones o errores de datos provocados por especificaciones inexactas o una evaluacin de impacto incompleta La repeticin de aplicaciones o infraestructura debida a especificaciones de cambio inadecuadas El porcentaje de cambios que siguen procesos de control de cambio formales

Estndares y procedimientos para cambios Establecer procedimientos de administracin de cambio formales para manejar de manera estndar todas las solicitudes (incluyendo mantenimiento y patches) para cambios a aplicaciones, procedimientos, procesos, parmetros de sistema y servicio, y las plataformas fundamentales.Objetivos de control detallados

Evaluacin de impacto, priorizacin y autorizacin

Garantizar que todas las solicitudes de cambio se evalan de una estructurada manera en cuanto a impactos en el sistema operacional y su funcionalidad. Esta evaluacin deber incluir categorizacin y priorizacin de los cambios. Previo a la migracin hacia produccin, los interesados correspondientes autorizan los cambios.

Cambios de emergencia

Establecer un proceso para definir, plantear, evaluar y autorizar los cambios de emergencia que no sigan el proceso de cambio establecido. La documentacin y pruebas se realizan, posiblemente, despus de la implantacin del cambio de emergencia.

Seguimiento y reporte del estatus de cambio

Establecer un sistema de seguimiento y reporte para mantener actualizados a los solicitantes de cambio y a los interesados relevantes, acerca del estatus del cambio a las aplicaciones, a los procedimientos, a los procesos, parmetros del sistema y del servicio y las plataformas fundamentales.

Cierre y documentacin del cambio

Siempre que se implantan cambios al sistema, actualizar el sistema asociado y la documentacin de usuario y procedimientos correspondientes. Establecer un proceso de revisin para garantizar la implantacin completa de los cambios.

7. Instalar y acreditar soluciones y cambios

Los nuevos sistemas necesitan estar funcionales una vez que su desarrollo se completa. Esto requiere pruebas adecuadas en un ambiente dedicado con datos de prueba relevantes, definir la transicin e instrucciones de migracin, planear la liberacin y la transicin en s al ambiente de produccin, y revisar la post-implantacin. Esto garantiza que los sistemas operacionales estn en lnea con las expectativas convenidas y con los resultados. Objetivo de control de alto nivel

Instalar y acreditar soluciones y cambios que satisface el requisito de negocio de TI para contar con sistemas nuevos o modificados que trabajen sin problemas importantes despus de la instalacin enfocndose en probar que las soluciones de aplicaciones e infraestructura son apropiadas para el propsito deseado y estn libre de errores, y planear las liberaciones a produccin Control sobre el proceso TI

Se logra con:El establecimiento de una metodologa de prueba Realizar la planeacin de la liberacin (release) Evaluar y aprobar los resultados de las pruebas por parte de la gerencia del negocio Ejecutar revisiones posteriores a la implantacin Y se mide con: Tiempo perdido de la aplicacin o problemas de datos provocados por pruebas inadecuadas Porcentaje de sistemas que satisfacen los beneficios esperados, medidos en el proceso posterior a la implantacin Porcentaje de proyectos con plan de prueba documentado y aprobado

Entrenamiento Entrenar al personal de los departamentos de usuario afectados y al grupo de operaciones de la funcin de TI de acuerdo con el plan definido de entrenamiento e implantacin y a los materiales asociados, como parte de cada proyecto de desarrollo, implantacin o modificacin de sistemas de informacin. Objetivos de control detallados

Plan de prueba Establecer un plan de pruebas y obtener la aprobacin de las partes relevantes. El plan de pruebas se basa en los estndares de toda la organizacin y define roles, responsabilidades y criterios de xito. El plan considera la preparacin de pruebas (incluye la preparacin del sitio), requerimientos de entrenamiento, instalacin o actualizacin de un ambiente de pruebas definido, planear / ejecutar / documentar / retener casos de prueba, manejo y correccin de errores y aprobacin formal. Con base en la evaluacin de riesgos de fallas en el sistema y en la implantacin, el plan deber incluir los requerimientos de prueba de desempeo, stress, de usabilidad, piloto y de seguridad.

Plan de implantacin Establecer un plan de implantacin y obtener la aprobacin de las partes relevantes. El plan define el diseo de versiones (release), construccin de paquetes de versiones, procedimientos de implantacin / instalacin, manejo de incidentes, controles de distribucin (incluye herramientas), almacenamiento de software, revisin de la versin y documentacin de cambios. El plan deber tambin incluir medidas de respaldo/ y vuelta atrs.

Ambiente de prueba Establecer un ambiente de prueba separado para pruebas. Este ambiente debe reflejar el ambiente futuro de operaciones (por ejemplo, seguridad similar, controles internos y cargas de trabajo) para permitir pruebas acertadas. Se deben tener presentes los procedimientos para garantizar que los datos utilizados en el ambiente de prueba sean representativos de los datos (se limpian si es necesario) que se utilizarn eventualmente en el ambiente de operacin. Proporcionar medidas adecuadas para prevenir la divulgacin de datos sensibles. La documentacin de los resultados de las pruebas se debe archivar.

Conversin de sistema y datos Garantizar que los mtodos de desarrollo de la organizacin, contemplen para todos los proyectos de desarrollo, implantacin o modificacin, que todos los elementos necesarios, tales como hardware, software, datos de transacciones, archivos maestros, respaldos y archivos, interfases con otros sistemas, procedimientos, documentacin de sistemas, etc., sean convertidos del viejo al nuevo sistema de acuerdo con un plan preestablecido. Se desarrolla y mantiene una pista de auditora de los resultados previos y posteriores a la conversin. Los propietarios del sistema llevan a cabo una verificacin detallada del proceso inicial del nuevo sistema para confirmar una transicin exitosa.

Prueba de cambios Garantizar que se prueban los cambios de acuerdo con el plan de aceptacin definido y en base en una evaluacin de impacto y recursos que incluye el dimensionamiento del desempeo en un ambiente separado de prueba, por parte de un grupo de prueba independiente (de los constructores) antes de comenzar su uso en el ambiente de operacin regular. Las pruebas paralelas o piloto se consideran parte del plan. Los controles de seguridad se prueban y evalan antes de la liberacin, de manera que se pueda certificar la efectividad de la seguridad. Los planes de respaldo/vuelta atrs se deben desarrollar y probar antes de transferir el cambio a produccin.

Prueba final de aceptacin Garantizar que los procedimientos proporcionan, como parte de la aceptacin final o prueba de aseguramientos de la calidad de los sistemas de informacin nuevos o modificados, una evaluacin formal y la aprobacin de los resultados de prueba por parte de la gerencia de los departamentos afectados del usuario y la funcin de TI. Las pruebas debern cubrir todos los componentes del sistema de informacin (ejemplo, software aplicativo, instalaciones, procedimientos de tecnologa y usuario) y garantizar que los requerimientos de seguridad de la informacin se satisfacen para todos los componentes. Los datos de prueba se deben salvar para propsitos de pistas de auditora y para pruebas futuras.

Transferencia a produccin Implantar procedimientos formales para controlar la transferencia del sistema desde el ambiente de desarrollo al de pruebas, de acuerdo con el plan de implantacin. La gerencia debe requerir que se obtenga la autorizacin del propietario del sistema antes de que se mueva un nuevo sistema a produccin y que, antes de que se descontine el viejo sistema, el nuevo haya operado exitosamente a travs de ciclos de produccin diarios, mensuales, trimestrales y de fin de ao.

Liberacin de software Garantizar que la liberacin del software se regula con procedimientos formales que aseguren la autorizacin, acondicionamiento, pruebas de regresin, distribucin, transferencia de control, rastreo de estatus, procedimientos de respaldo y notificacin de usuario.

Distribucin del sistema Establecer procedimientos de control para asegurar la distribucin oportuna y correcta, y la actualizacin de los componentes aprobados de la configuracin. Esto implica controles de integridad; segregacin de funciones entre los que construyen, prueban y operan; y adecuadas pistas de auditora de todas las actividades.

Registro y rastreo de cambios Automatizar el sistema utilizado para monitorear cambios a sistemas aplicativos para soportar el registro y rastreo de cambios hechos en aplicaciones, procedimientos, procesos, sistemas y parmetros de servicio, y a las plataformas subyacentes.

Revisin posterior a la implantacin Establecer procedimientos de acuerdo con los estndares de desarrollo y de cambios de la empresa, que requieren una revisin posterior a la implantacin del sistema de informacin en operacin para evaluar y reportar si el cambio satisfizo los requerimientos del cliente y entreg los beneficios visualizados, de la forma ms rentable.