Adquisición e implantación en COBIT

Este recurso de aprendizaje es una lección creada originalmente como material didáctico del proyecto de aprendizaje Dirección y gestión de proyectos y sistemas informáticos.

La adquisición e implantación de COBIT se basa en identificar soluciones automatizadas al sistema a implementar, adquirir y mantener el software aplicativo que se utiliza en el sistema, adquirir y mantener la infraestructura tecnológica de la que hace uso el sistema, facilitar la operación y el uso del propio sistema, adquirir los recursos TI necesarios para la implantación del sistema, administrar los cambios que puedan surgir e instalar y acreditar soluciones y cambios al sistema.

Identificar Soluciones Automatizadas

editar

Para garantizar que se satisfacen de manera eficiente y efectiva los requisitos de una nueva aplicación o función, se realiza un análisis antes de su compra o desarrollo. Este proceso se centra en la definición de necesidades, considerar alternativas, realizar una revisión de la factibilidad tecnológica y económica, ejecutar un análisis de riesgo y de costo-beneficio y concluye con una decisión final de “desarrollar” o “comprar”. Esto permite minimizar el costo para Adquirir e Implementar soluciones logrando satisfacer los objetivos del negocio.

Actividades Fundamentales del Proceso

editar
  • 1 Definición y Mantenimiento de los Requerimientos Técnicos y Funcionales del Negocio

Identificar, priorizar y especificar los requerimientos de negocio funcionales y técnicos para lograr los resultados esperados.

  • 2 Reporte de Análisis de Riesgos

Identificar, documentar y analizar los riesgos asociados con el diseño de soluciones para el desarrollo de los requerimientos.

  • 3 Estudio de Factibilidad y Formulación de Cursos de Acción Alternativos

Examinar la posibilidad de Implementar los requerimientos. Evaluar alternativos de acción e informar al patrocinador del negocio.

  • 4 Requerimientos, Decisión de Factibilidad y Aprobación

Verificar que el proceso requiere al patrocinador del negocio para aprobar los requisitos de negocio y los reportes del estudio de factibilidad en las etapas clave predeterminadas. El patrocinador del negocio tiene la decisión final con respecto a la elección de la solución.

Adquirir y Mantener Software Aplicativo

editar

En este proceso se cubre el diseño de las aplicaciones, la implementación de controles y requerimientos de seguridad, y el desarrollo de la configuración según los estándares. Con esto se facilita la operatividad del negocio con las aplicaciones automatizadas correctas.

Actividades Fundamentales del Proceso

editar
  • 1 Diseño de Alto Nivel

Traducir los requerimientos del negocio a una especificación de diseño de alto nivel para la adquisición de software , teniendo en cuenta las directivas tecnológicas y la arquitectura de información dentro de la organización.

  • 2 Diseño Detallado

Preparar el diseño detallado y los requerimientos técnicos del software de aplicación.

  • 3 Control y Posibilidad de Auditar las Aplicaciones

Implementar controles de negocio.

  • 4 Seguridad y Disponibilidad de las Aplicaciones

Abordar la seguridad de las aplicaciones y los requerimientos de disponibilidad en respuesta a los riesgos identificados.

  • 5 Configuración e Implantación de Software Aplicativo Adquirido

Configurar e implementar software de aplicaciones adquiridas para conseguir los objetivos de negocio.

  • 7 Desarrollo de Software Aplicativo

Garantizar que la funcionalidad de automatización se desarrolla de acuerdo con las especificaciones de diseño, los estándares de desarrollo y documentación, los requerimientos de calidad y estándares de aprobación.

  • 8 Aseguramiento de la Calidad del Software

Desarrollar, Implementar los recursos y ejecutar un plan de aseguramiento de calidad del software.

  • 9 Administración de los Requerimientos de Aplicaciones

Seguir el estado de los requerimientos individuales (incluyendo todos los requerimientos rechazados) durante el diseño, desarrollo e implementación.

  • 10 Mantenimiento de Software Aplicativo

Desarrollar una estrategia y un plan para el mantenimiento de aplicaciones de software.

Adquirir y Mantener Infraestructura Tecnológica

editar

Las organizaciones cuentan con procesos para adquirir y mantener infraestructuras tecnológicas acordes a las estrategias tecnológicas para la realización del desarrollo y pruebas.

Actividades Fundamentales del Proceso

editar
  • 1 Plan de Adquisición de Infraestructura Tecnológica.

Debe satisfacer los requerimientos funcionales y técnicos del negocio. Se tendrá en cuenta también la posible expansión de estos, la duración máxima y los posibles costes y riesgos.

  • 2 Protección y Disponibilidad del Recurso de Infraestructura.

Para proteger y conseguir maximizar la disponibilidad de los recursos, debe quedar registrado el uso, así como mantener un control y seguridad sobre el hardware y software.

  • 3 Mantenimiento de la Infraestructura.

Se tendrá una estrategia que asegure el control de los cambios y realizar revisiones de forma regular.

  • 4 Ambiente de Prueba de Factibilidad.

Disponer de un ambiente que facilite la eficiencia y efectividad de las pruebas de factibilidad e integración de las aplicaciones y la infraestructura.

Facilitar la Operación y el Uso

editar

Hay que asegurar la disponibilidad del conocimiento sobre los nuevos sistemas, lo que obliga al desarrollo de documentación y ejemplos para conseguir que la operación y el uso sean correctos y eficaces.

Actividades Fundamentales del Proceso

editar
  • 1 Plan para Soluciones de Operación.

Se debe disponer de un plan para reconocer y registrarlos aspectos técnicos, la capacidad de operación y los niveles de servicio requeridos.

  • 2 Transferencia de Conocimiento a la Gerencia del Negocio.

Se otorgan privilegios para que se pueda tomar el control del sistema y de los datos, consiguiendo dar calidad de servicio y del control interno.

  • 3 Transferencia de Conocimiento a Usuarios Finales.

Tiene como objetivo que los usuarios utilicen con eficacia el sistema, para ello se dispondrá de un plan para el entrenamiento inicial y el futuro, así como el material necesario.

  • 4 Transferencia de Conocimiento al Personal de Operaciones y Soporte.

El personal de soporte técnico debe poseer conocimiento y habilidad para mantener el servicio acordado, esto requiere el entrenamiento inicial y futuro, y la generación de documentación necesaria.

Adquirir Recursos de TI

editar

En este proceso se definen y se ejecutan los procedimientos que permiten adquirir los recursos TI necesarios para el funcionamiento del sistema (ya sean personas, hardware, software o servicios). Esto incluye la selección de los proveedores, ajustes de contratos...

Actividades Fundamentales del Proceso

editar
  • 1 Control de Adquisición

Se deben seguir unos procedimientos estándares y consistentes con el proceso de adquisiciones de la organización y con la estrategia de adquisición.

  • 2 Administración de Contratos con Proveedores

Debe haber un procedimiento a seguir a la hora de establecer, modificar y concluir contratos con los proveedores, y estos contratos deben ser revisados por asesores legales.

  • 3 Selección de Proveedores

Los proveedores se deben seleccionar de acuerdo a una práctica justa y formal.

  • 4 Adquisición de Recursos de TI

La organización debe asegurarse de que se protegen y se cumplen sus intereses en todos los contratos de adquisiciones.

Administrar Cambios

editar

Cualquier cambio que se lleve a cabo en el proyecto (procesos, procedimientos, parámetros del servicio, mantenimiento de emergencia, parches...) se deben administrar de manera formal y controlada. Además deben ser registrados, evaluados y autorizados antes de su implantación.

Actividades Fundamentales del Proceso

editar
  • 1 Estándares y Procedimientos para Cambios

Establecimiento de procesos formales y estándar para la administración de cambios.

  • 2 Evaluación de Impacto, Priorización y Autorización

Se debe evaluar el impacto en el sistema de todas las solicitudes de cambio, y estos cambios tienen que ser categorizados y priorizados. Por último también deben ser autorizados por los interesados.

  • 3 Cambios de Emergencia

Es necesario establecer un proceso a seguir a la hora de definir, plantear, evaluar y autorizar los cambios de emergencia.

  • 4 Seguimiento y Reporte del Estatus de Cambio

Hay que establecer un sistema de seguimiento y reporte del estatus de cambio de aplicaciones, procedimientos, etc. para mantener informados a los solicitantes del cambio y a los interesados.

  • 5 Cierre y Documentación del Cambio

Siempre que se implanten cambios al sistema, es importante actualizar el sistema y la documentación de usuario y procedimientos correspondientes. Además se debe establecer un proceso de revisión de los mismos.

Instalar y Acreditar Soluciones y Cambios

editar

Una vez completado el desarrollo es necesario que los nuevos sistemas estén funcionales. Para conseguirlo es necesario realizar las siguientes actividades:

  • Las pruebas convenientes con un conjunto de datos relevante.
  • Definir la transición y las instrucciones de migración.
  • Planear la liberación y la transición.
  • Revisar la post-implantación.

La adquisición e implantación se mide con los siguientes parámetros:

  • El tiempo perdido en la aplicación o los problemas de datos provocados por pruebas inadecuadas.
  • El porcentaje de sistemas que satisfacen los beneficios esperados.
  • El porcentaje de proyectos con un plan de prueba documentado y aprobado.

Objetivos de control

editar

Los objetivos de control de la adquisición y la implantación son:

  • Entrenamiento. Entrenar al personal afectado y al grupo de operaciones de la función de TI de acuerdo con el plan definido.
  • Plan de prueba. Establecer un plan de prueba basado en los estándares de la organización.
  • Plan de implantación. Establecer un plan de implantación respaldado y con vuelta atrás.
  • Ambiente de prueba. Definir y establecer un entorno seguro de pruebas.
  • Conversión de sistemas y datos. Plan de conversión de datos y migración de infraestructuras.
  • Pruebas de cambios. Realizar pruebas de cambios independientemente de acuerdo con los planes de pruebas definidos anteriormente.
  • Prueba de aceptación final. Asegurar que el dueño de proceso de negocio y los interesados de TI evalúan los resultados de los procesos de pruebas como determina el plan de pruebas.
  • Promoción a producción. Seguimiento de pruebas para controlar la entrega de los sistemas cambiados a operaciones.
  • Revisión posterior a la implantación. Establecer los procedimientos en línea con los estándares de gestión de cambios organizacionales.

Conclusiones

editar

En definitiva la adquisición e implantación de COBIT se basa en los 7 puntos que hemos explicado anteriormente. Un breve resumen sobre ellos es:

  • 1. Identificar Soluciones Automatizadas

Para satisfacer de la forma más eficiente y efectiva los requisitos de una nueva aplicación o función se realiza un análisis antes de comprarlo o desarrollarlo. En este análisis se consideran todas las alternativas posibles, se analiza la factibilidad tecnológica y económica, etc. para finalmente decidir si desarrollarlo o comprarlo.

  • 2. Adquirir y Mantener Software Aplicativo

Gracias a este apartado se facilita la operatividad del negocio con las aplicaciones automatizadas correctas.

  • 3. Adquirir y Mantener Infraestructura Tecnológica

Para adquirir y mantener la infraestructura tecnológica se realiza un plan de adquisición de la infraestructura, se mide la protección y la disponibilidad del recurso, se realiza un mantenimiento de dicha infraestructura y se dispone de un ambiente de prueba de factibilidad.

  • 4. Facilitar la Operación y el Uso

Para conseguir asegurar el conocimiento de los nuevos sistemas al departamento de operaciones se obliga al desarrollo de documentación y ejemplos para conseguir que la operación y el uso sean corrector y eficaces.

  • 5. Adquirir Recursos de TI

En este proceso se definen y se ejecutan los procedimientos que permiten adquirir los recursos TI necesarios.
Las actividades fundamentales de este proceso son un control de adquisición, la administración de contratos con proveedores, la selección de proveedores y finalmente la adquisición de los recursos TI.

  • 6. Administrar Cambios

Cualquier cambio llevado a cabo en el proyecto se debe administrar de manera formal y controlada. Las actividades fundamentales para conseguirlo es seguir los estándares y los procedimientos para los cambios, realizar una evaluación del impacto, la priorización y la autorización, establecer un proceso para cambios de emergencia, realizar un seguimiento y un reporte del estatus del cambio, y por último, realizar el cierre y la documentación del cambio.

  • 7. Instalar y Acreditar Soluciones y Cambios

Una vez completado el desarrollo es necesario que los nuevos sistemas estén totalmente funcionales.
Los objetivos de control de este proceso son realizar un entrenamiento del personal, realizar un plan de prueba, un plan de implantación, tener un correcto ambiente de prueba, realizar un plan de conversión de sistemas y datos, realizar pruebas de cambios, pruebas de aceptación final, contar con un seguimiento para la promoción a producción, y por último, realizar una revisión posterior a la implantación.

Referencias

editar

Participantes activos

editar

Categorías

editar