Adquisición e implantación en COBIT
La adquisición e implantación de COBIT se basa en identificar soluciones automatizadas al sistema a implementar, adquirir y mantener el software aplicativo que se utiliza en el sistema, adquirir y mantener la infraestructura tecnológica de la que hace uso el sistema, facilitar la operación y el uso del propio sistema, adquirir los recursos TI necesarios para la implantación del sistema, administrar los cambios que puedan surgir e instalar y acreditar soluciones y cambios al sistema.
Identificar Soluciones Automatizadas
editarPara garantizar que se satisfacen de manera eficiente y efectiva los requisitos de una nueva aplicación o función, se realiza un análisis antes de su compra o desarrollo. Este proceso se centra en la definición de necesidades, considerar alternativas, realizar una revisión de la factibilidad tecnológica y económica, ejecutar un análisis de riesgo y de costo-beneficio y concluye con una decisión final de “desarrollar” o “comprar”. Esto permite minimizar el costo para Adquirir e Implementar soluciones logrando satisfacer los objetivos del negocio.
Actividades Fundamentales del Proceso
editar- 1 Definición y Mantenimiento de los Requerimientos Técnicos y Funcionales del Negocio
Identificar, priorizar y especificar los requerimientos de negocio funcionales y técnicos para lograr los resultados esperados.
- 2 Reporte de Análisis de Riesgos
Identificar, documentar y analizar los riesgos asociados con el diseño de soluciones para el desarrollo de los requerimientos.
- 3 Estudio de Factibilidad y Formulación de Cursos de Acción Alternativos
Examinar la posibilidad de Implementar los requerimientos. Evaluar alternativos de acción e informar al patrocinador del negocio.
- 4 Requerimientos, Decisión de Factibilidad y Aprobación
Verificar que el proceso requiere al patrocinador del negocio para aprobar los requisitos de negocio y los reportes del estudio de factibilidad en las etapas clave predeterminadas. El patrocinador del negocio tiene la decisión final con respecto a la elección de la solución.
Adquirir y Mantener Software Aplicativo
editarEn este proceso se cubre el diseño de las aplicaciones, la implementación de controles y requerimientos de seguridad, y el desarrollo de la configuración según los estándares. Con esto se facilita la operatividad del negocio con las aplicaciones automatizadas correctas.
Actividades Fundamentales del Proceso
editar- 1 Diseño de Alto Nivel
Traducir los requerimientos del negocio a una especificación de diseño de alto nivel para la adquisición de software , teniendo en cuenta las directivas tecnológicas y la arquitectura de información dentro de la organización.
- 2 Diseño Detallado
Preparar el diseño detallado y los requerimientos técnicos del software de aplicación.
- 3 Control y Posibilidad de Auditar las Aplicaciones
Implementar controles de negocio.
- 4 Seguridad y Disponibilidad de las Aplicaciones
Abordar la seguridad de las aplicaciones y los requerimientos de disponibilidad en respuesta a los riesgos identificados.
- 5 Configuración e Implantación de Software Aplicativo Adquirido
Configurar e implementar software de aplicaciones adquiridas para conseguir los objetivos de negocio.
- 7 Desarrollo de Software Aplicativo
Garantizar que la funcionalidad de automatización se desarrolla de acuerdo con las especificaciones de diseño, los estándares de desarrollo y documentación, los requerimientos de calidad y estándares de aprobación.
- 8 Aseguramiento de la Calidad del Software
Desarrollar, Implementar los recursos y ejecutar un plan de aseguramiento de calidad del software.
- 9 Administración de los Requerimientos de Aplicaciones
Seguir el estado de los requerimientos individuales (incluyendo todos los requerimientos rechazados) durante el diseño, desarrollo e implementación.
- 10 Mantenimiento de Software Aplicativo
Desarrollar una estrategia y un plan para el mantenimiento de aplicaciones de software.
Adquirir y Mantener Infraestructura Tecnológica
editarLas organizaciones cuentan con procesos para adquirir y mantener infraestructuras tecnológicas acordes a las estrategias tecnológicas para la realización del desarrollo y pruebas.
Actividades Fundamentales del Proceso
editar- 1 Plan de Adquisición de Infraestructura Tecnológica.
Debe satisfacer los requerimientos funcionales y técnicos del negocio. Se tendrá en cuenta también la posible expansión de estos, la duración máxima y los posibles costes y riesgos.
- 2 Protección y Disponibilidad del Recurso de Infraestructura.
Para proteger y conseguir maximizar la disponibilidad de los recursos, debe quedar registrado el uso, así como mantener un control y seguridad sobre el hardware y software.
- 3 Mantenimiento de la Infraestructura.
Se tendrá una estrategia que asegure el control de los cambios y realizar revisiones de forma regular.
- 4 Ambiente de Prueba de Factibilidad.
Disponer de un ambiente que facilite la eficiencia y efectividad de las pruebas de factibilidad e integración de las aplicaciones y la infraestructura.
Facilitar la Operación y el Uso
editarHay que asegurar la disponibilidad del conocimiento sobre los nuevos sistemas, lo que obliga al desarrollo de documentación y ejemplos para conseguir que la operación y el uso sean correctos y eficaces.
Actividades Fundamentales del Proceso
editar- 1 Plan para Soluciones de Operación.
Se debe disponer de un plan para reconocer y registrarlos aspectos técnicos, la capacidad de operación y los niveles de servicio requeridos.
- 2 Transferencia de Conocimiento a la Gerencia del Negocio.
Se otorgan privilegios para que se pueda tomar el control del sistema y de los datos, consiguiendo dar calidad de servicio y del control interno.
- 3 Transferencia de Conocimiento a Usuarios Finales.
Tiene como objetivo que los usuarios utilicen con eficacia el sistema, para ello se dispondrá de un plan para el entrenamiento inicial y el futuro, así como el material necesario.
- 4 Transferencia de Conocimiento al Personal de Operaciones y Soporte.
El personal de soporte técnico debe poseer conocimiento y habilidad para mantener el servicio acordado, esto requiere el entrenamiento inicial y futuro, y la generación de documentación necesaria.
Adquirir Recursos de TI
editarEn este proceso se definen y se ejecutan los procedimientos que permiten adquirir los recursos TI necesarios para el funcionamiento del sistema (ya sean personas, hardware, software o servicios). Esto incluye la selección de los proveedores, ajustes de contratos...
Actividades Fundamentales del Proceso
editar- 1 Control de Adquisición
Se deben seguir unos procedimientos estándares y consistentes con el proceso de adquisiciones de la organización y con la estrategia de adquisición.
- 2 Administración de Contratos con Proveedores
Debe haber un procedimiento a seguir a la hora de establecer, modificar y concluir contratos con los proveedores, y estos contratos deben ser revisados por asesores legales.
- 3 Selección de Proveedores
Los proveedores se deben seleccionar de acuerdo a una práctica justa y formal.
- 4 Adquisición de Recursos de TI
La organización debe asegurarse de que se protegen y se cumplen sus intereses en todos los contratos de adquisiciones.
Administrar Cambios
editarCualquier cambio que se lleve a cabo en el proyecto (procesos, procedimientos, parámetros del servicio, mantenimiento de emergencia, parches...) se deben administrar de manera formal y controlada. Además deben ser registrados, evaluados y autorizados antes de su implantación.
Actividades Fundamentales del Proceso
editar- 1 Estándares y Procedimientos para Cambios
Establecimiento de procesos formales y estándar para la administración de cambios.
- 2 Evaluación de Impacto, Priorización y Autorización
Se debe evaluar el impacto en el sistema de todas las solicitudes de cambio, y estos cambios tienen que ser categorizados y priorizados. Por último también deben ser autorizados por los interesados.
- 3 Cambios de Emergencia
Es necesario establecer un proceso a seguir a la hora de definir, plantear, evaluar y autorizar los cambios de emergencia.
- 4 Seguimiento y Reporte del Estatus de Cambio
Hay que establecer un sistema de seguimiento y reporte del estatus de cambio de aplicaciones, procedimientos, etc. para mantener informados a los solicitantes del cambio y a los interesados.
- 5 Cierre y Documentación del Cambio
Siempre que se implanten cambios al sistema, es importante actualizar el sistema y la documentación de usuario y procedimientos correspondientes. Además se debe establecer un proceso de revisión de los mismos.
Instalar y Acreditar Soluciones y Cambios
editarUna vez completado el desarrollo es necesario que los nuevos sistemas estén funcionales. Para conseguirlo es necesario realizar las siguientes actividades:
- Las pruebas convenientes con un conjunto de datos relevante.
- Definir la transición y las instrucciones de migración.
- Planear la liberación y la transición.
- Revisar la post-implantación.
La adquisición e implantación se mide con los siguientes parámetros:
- El tiempo perdido en la aplicación o los problemas de datos provocados por pruebas inadecuadas.
- El porcentaje de sistemas que satisfacen los beneficios esperados.
- El porcentaje de proyectos con un plan de prueba documentado y aprobado.
Objetivos de control
editarLos objetivos de control de la adquisición y la implantación son:
- Entrenamiento. Entrenar al personal afectado y al grupo de operaciones de la función de TI de acuerdo con el plan definido.
- Plan de prueba. Establecer un plan de prueba basado en los estándares de la organización.
- Plan de implantación. Establecer un plan de implantación respaldado y con vuelta atrás.
- Ambiente de prueba. Definir y establecer un entorno seguro de pruebas.
- Conversión de sistemas y datos. Plan de conversión de datos y migración de infraestructuras.
- Pruebas de cambios. Realizar pruebas de cambios independientemente de acuerdo con los planes de pruebas definidos anteriormente.
- Prueba de aceptación final. Asegurar que el dueño de proceso de negocio y los interesados de TI evalúan los resultados de los procesos de pruebas como determina el plan de pruebas.
- Promoción a producción. Seguimiento de pruebas para controlar la entrega de los sistemas cambiados a operaciones.
- Revisión posterior a la implantación. Establecer los procedimientos en línea con los estándares de gestión de cambios organizacionales.
Conclusiones
editarEn definitiva la adquisición e implantación de COBIT se basa en los 7 puntos que hemos explicado anteriormente. Un breve resumen sobre ellos es:
- 1. Identificar Soluciones Automatizadas
Para satisfacer de la forma más eficiente y efectiva los requisitos de una nueva aplicación o función se realiza un análisis antes de comprarlo o desarrollarlo. En este análisis se consideran todas las alternativas posibles, se analiza la factibilidad tecnológica y económica, etc. para finalmente decidir si desarrollarlo o comprarlo.
- 2. Adquirir y Mantener Software Aplicativo
Gracias a este apartado se facilita la operatividad del negocio con las aplicaciones automatizadas correctas.
- 3. Adquirir y Mantener Infraestructura Tecnológica
Para adquirir y mantener la infraestructura tecnológica se realiza un plan de adquisición de la infraestructura, se mide la protección y la disponibilidad del recurso, se realiza un mantenimiento de dicha infraestructura y se dispone de un ambiente de prueba de factibilidad.
- 4. Facilitar la Operación y el Uso
Para conseguir asegurar el conocimiento de los nuevos sistemas al departamento de operaciones se obliga al desarrollo de documentación y ejemplos para conseguir que la operación y el uso sean corrector y eficaces.
- 5. Adquirir Recursos de TI
En este proceso se definen y se ejecutan los procedimientos que permiten adquirir los recursos TI necesarios.
Las actividades fundamentales de este proceso son un control de adquisición, la administración de contratos con proveedores, la selección de proveedores y finalmente la adquisición de los recursos TI.
- 6. Administrar Cambios
Cualquier cambio llevado a cabo en el proyecto se debe administrar de manera formal y controlada. Las actividades fundamentales para conseguirlo es seguir los estándares y los procedimientos para los cambios, realizar una evaluación del impacto, la priorización y la autorización, establecer un proceso para cambios de emergencia, realizar un seguimiento y un reporte del estatus del cambio, y por último, realizar el cierre y la documentación del cambio.
- 7. Instalar y Acreditar Soluciones y Cambios
Una vez completado el desarrollo es necesario que los nuevos sistemas estén totalmente funcionales.
Los objetivos de control de este proceso son realizar un entrenamiento del personal, realizar un plan de prueba, un plan de implantación, tener un correcto ambiente de prueba, realizar un plan de conversión de sistemas y datos, realizar pruebas de cambios, pruebas de aceptación final, contar con un seguimiento para la promoción a producción, y por último, realizar una revisión posterior a la implantación.
Referencias
editarParticipantes activos
editar- RotaruDan
- Adrian Rabadan (discusión) 00:55 8 ene 2015 (UTC)
- Teresa Rodríguez (discusión)
- Josecgon (discusión) 14:59 8 ene 2015 (UTC)