COBIT-ADQUIRIR E IMPLEMENTAR

Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser

identificadas, desarrolladas o adquiridas as como implementadas e
integradas en los procesos del negocio. Adems, el cambio y el
mantenimiento de los sistemas existentes est cubierto por este dominio
para garantizar que las soluciones sigan satisfaciendo los objetivos del
negocio. Este dominio, por lo general, cubre los siguientes cuestionamientos
de la gerencia:

Es probable que los nuevos proyectos generan soluciones que

satisfagan las necesidades del negocio?
Es probable que los nuevos proyectos sean entregados a tiempo y
dentro del presupuesto?
Trabajarn adecuadamente los nuevos sistemas una vez sean
implementados?
Los cambios no afectarn a las operaciones actuales del negocio?

La adquisicin e implantacin de COBIT se basa en identificar soluciones

automatizadas al sistema a implementar, adquirir y mantener el software
aplicativo que se utiliza en el sistema, adquirir y mantener la infraestructura
tecnolgica de la que hace uso el sistema, facilitar la operacin y el uso del
propio sistema, adquirir los recursos TI necesarios para la implantacin del
sistema, administrar los cambios que puedan surgir e instalar y acreditar
soluciones y cambios al sistema.

Identificar Soluciones Automatizadas

Para garantizar que se satisfacen de manera eficiente y efectiva los
requisitos de una nueva aplicacin o funcin, se realiza un anlisis antes de
su compra o desarrollo. Este proceso se centra en la definicin de
necesidades, considerar alternativas, realizar una revisin de la factibilidad
tecnolgica y econmica, ejecutar un anlisis de riesgo y de costo-beneficio
y concluye con una decisin final de desarrollar o comprar. Esto permite
minimizar el costo para Adquirir e Implementar soluciones logrando
satisfacer los objetivos del negocio.
Actividades Fundamentales del Proceso

Definicin y Mantenimiento de los Requerimientos Tcnicos y

Funcionales del Negocio:
Identificar, priorizar y especificar los requerimientos de negocio
funcional y tcnico para lograr los resultados esperados.
Reporte de Anlisis de Riesgos:
Identificar, documentar y analizar los riesgos asociados con el diseo
de soluciones para el desarrollo de los requerimientos.
Estudio de Factibilidad y Formulacin de Cursos de Accin
Alternativos:
Examinar la posibilidad de Implementar los requerimientos. Evaluar
alternativos de accin e informar al patrocinador del negocio.

Requerimientos, Decisin de Factibilidad y Aprobacin:

Verificar que el proceso requiere al patrocinador del negocio para
aprobar los requisitos de negocio y los reportes del estudio de
factibilidad en las etapas clave predeterminadas. El patrocinador del
negocio tiene la decisin final con respecto a la eleccin de la
solucin.

Adquirir y Mantener Software Aplicativo

En este proceso se cubre el diseo de las aplicaciones, la implementacin
de controles y requerimientos de seguridad, y el desarrollo de la
configuracin segn los estndares. Con esto se facilita la operatividad del
negocio con las aplicaciones automatizadas correctas.
Actividades Fundamentales del Proceso

Diseo de Alto Nivel

Traducir los requerimientos del negocio a una especificacin de
diseo de alto nivel para la adquisicin de software, teniendo en
cuenta las directivas tecnolgicas y la arquitectura de informacin
dentro de la organizacin.
Diseo Detallado
Preparar el diseo detallado y los requerimientos tcnicos del
software de aplicacin.
Control y Posibilidad de Auditar las Aplicaciones
Implementar controles de negocio.
Seguridad y Disponibilidad de las Aplicaciones
Abordar la seguridad de las aplicaciones y los requerimientos de
disponibilidad en respuesta a los riesgos identificados.
Configuracin e Implantacin de
Software
Aplicativo
Adquirido
Configurar e implementar software de aplicaciones adquiridas para
conseguir los objetivos de negocio.
Desarrollo de Software Aplicativo
Garantizar que la funcionalidad de automatizacin se desarrolla de
acuerdo con las especificaciones de diseo, los estndares de
desarrollo y documentacin, los requerimientos de calidad y
estndares de aprobacin.
Aseguramiento de la Calidad del Software
Desarrollar, Implementar los recursos y ejecutar un plan de
aseguramiento de calidad del software.
Administracin de los Requerimientos de Aplicaciones
Seguir el estado de los requerimientos individuales (incluyendo todos
los requerimientos rechazados) durante el diseo, desarrollo e
implementacin.
Mantenimiento de Software Aplicativo
Desarrollar una estrategia y un plan para el mantenimiento de
aplicaciones de software.

Adquirir y Mantener Infraestructura Tecnolgica

Las organizaciones cuentan con procesos para adquirir y mantener

infraestructuras tecnolgicas acordes a las estrategias tecnolgicas para la
realizacin del desarrollo y pruebas.
Actividades Fundamentales del Proceso

Plan de Adquisicin de Infraestructura Tecnolgica.

Debe satisfacer los requerimientos funcionales y tcnicos del negocio.
Se tendr en cuenta tambin la posible expansin de estos, la
duracin mxima y los posibles costes y riesgos.
Proteccin y Disponibilidad del Recurso de Infraestructura.
Para proteger y conseguir maximizar la disponibilidad de los recursos,
debe quedar registrado el uso, as como mantener un control y
seguridad sobre el hardware y software.
Mantenimiento de la Infraestructura.
Se tendr una estrategia que asegure el control de los cambios y
realizar revisiones de forma regular.
Ambiente de Prueba de Factibilidad.
Disponer de un ambiente que facilite la eficiencia y efectividad de las
pruebas de factibilidad e integracin de las aplicaciones y la
infraestructura.

Facilitar la Operacin y el Uso

Hay que asegurar la disponibilidad del conocimiento sobre los nuevos
sistemas, lo que obliga al desarrollo de documentacin y ejemplos para
conseguir que la operacin y el uso sean correctos y eficaces.

Actividades Fundamentales del Proceso

Plan para Soluciones de Operacin.

Se debe disponer de un plan para reconocer y registrarlos aspectos
tcnicos, la capacidad de operacin y los niveles de servicio
requeridos.
Transferencia de Conocimiento a la Gerencia del Negocio.
Se otorgan privilegios para que se pueda tomar el control del sistema
y de los datos, consiguiendo dar calidad de servicio y del control
interno.
Transferencia de Conocimiento a Usuarios Finales.
Tiene como objetivo que los usuarios utilicen con eficacia el sistema,
para ello se dispondr de un plan para el entrenamiento inicial y el
futuro, as como el material necesario.
Transferencia de Conocimiento al Personal de Operaciones y
Soporte.
El personal de soporte tcnico debe poseer conocimiento y habilidad
para mantener el servicio acordado, esto requiere el entrenamiento
inicial y futuro, y la generacin de documentacin necesaria.

Adquirir Recursos de TI

En este proceso se definen y se ejecutan los procedimientos que permiten

adquirir los recursos TI necesarios para el funcionamiento del sistema (ya
sean personas, hardware, software o servicios). Esto incluye la seleccin de
los proveedores, ajustes de contratos.
Actividades Fundamentales del Proceso

Control de Adquisicin
Se deben seguir unos procedimientos estndares y consistentes con
el proceso de adquisiciones de la organizacin y con la estrategia de
adquisicin.
Administracin de Contratos con Proveedores
Debe haber un procedimiento a seguir a la hora de establecer,
modificar y concluir contratos con los proveedores, y estos contratos
deben ser revisados por asesores legales.
Seleccin de Proveedores
Los proveedores se deben seleccionar de acuerdo a una prctica justa
y formal.
Adquisicin de Recursos de TI
La organizacin debe asegurarse de que se protegen y se cumplen
sus intereses en todos los contratos de adquisiciones.

Administrar Cambios
Cualquier cambio que se lleve a cabo en el proyecto (procesos,
procedimientos, parmetros del servicio, mantenimiento de emergencia,
parches...) se deben administrar de manera formal y controlada. Adems
deben ser registrados, evaluados y autorizados antes de su implantacin.
Actividades Fundamentales del Proceso

Estndares y Procedimientos para Cambios

Establecimiento de procesos formales y estndar para la
administracin de cambios.
Evaluacin de Impacto, Priorizacin y Autorizacin
Se debe evaluar el impacto en el sistema de todas las solicitudes de
cambio, y estos cambios tienen que ser categorizados y priorizados.
Por ltimo tambin deben ser autorizados por los interesados.
Cambios de Emergencia
Es necesario establecer un proceso a seguir a la hora de definir,
plantear, evaluar y autorizar los cambios de emergencia.
Seguimiento y Reporte del Estatus de Cambio
Hay que establecer un sistema de seguimiento y reporte del estatus
de cambio de aplicaciones, procedimientos, etc. para mantener
informados a los solicitantes del cambio y a los interesados.
Cierre y Documentacin del Cambio
Siempre que se implanten cambios al sistema, es importante
actualizar el sistema y la documentacin de usuario y procedimientos
correspondientes. Adems se debe establecer un proceso de revisin
de los mismos.

Instalar y Acreditar Soluciones y Cambios

Una vez completado el desarrollo es necesario que los nuevos sistemas
estn funcionales. Para conseguirlo es necesario realizar las siguientes
actividades:

Las pruebas convenientes con un conjunto de datos relevante.

Definir la transicin y las instrucciones de migracin.
Planear la liberacin y la transicin.
Revisar la post-implantacin.

La adquisicin e implantacin se mide con los siguientes parmetros:

El tiempo perdido en la aplicacin o los problemas de datos

provocados por pruebas inadecuadas.
El porcentaje de sistemas que satisfacen los beneficios esperados.
El porcentaje de proyectos con un plan de prueba documentado y
aprobado.

Objetivos de control
Los objetivos de control de la adquisicin y la implantacin son:

Entrenamiento. Entrenar al personal afectado y al grupo de

operaciones de la funcin de TI de acuerdo con el plan definido.
Plan de prueba. Establecer un plan de prueba basado en los
estndares de la organizacin.
Plan de implantacin. Establecer un plan de implantacin
respaldado y con vuelta atrs.
Ambiente de prueba. Definir y establecer un entorno seguro de
pruebas.
Conversin de sistemas y datos. Plan de conversin de datos y
migracin de infraestructuras.
Pruebas
de
cambios.
Realizar
pruebas
de
cambios
independientemente de acuerdo con los planes de pruebas definidos
anteriormente.
Prueba de aceptacin final. Asegurar que el dueo de proceso de
negocio y los interesados de TI evalan los resultados de los procesos
de pruebas como determina el plan de pruebas.
Promocin a produccin. Seguimiento de pruebas para controlar la
entrega de los sistemas cambiados a operaciones.
Revisin
posterior
a
la
implantacin.
Establecer
los
procedimientos en lnea con los estndares de gestin de cambios
organizacionales.

Resumen
En definitiva la adquisicin e implantacin de COBIT se basa en los 7 puntos
que hemos explicado anteriormente. Un breve resumen sobre ellos es:
1. Identificar Soluciones Automatizadas
Para satisfacer de la forma ms eficiente y efectiva los requisitos de una
nueva aplicacin o funcin se realiza un anlisis antes de comprarlo o
desarrollarlo. En este anlisis se consideran todas las alternativas posibles,
se analiza la factibilidad tecnolgica y econmica, etc. para finalmente
decidir si desarrollarlo o comprarlo.
2. Adquirir y Mantener Software Aplicativo
Gracias a este apartado se facilita la operatividad del negocio con las
aplicaciones automatizadas correctas.
3. Adquirir y Mantener Infraestructura Tecnolgica
Para adquirir y mantener la infraestructura tecnolgica se realiza un plan de
adquisicin de la infraestructura, se mide la proteccin y la disponibilidad
del recurso, se realiza un mantenimiento de dicha infraestructura y se
dispone de un ambiente de prueba de factibilidad.
4. Facilitar la Operacin y el Uso
Para conseguir asegurar el conocimiento de los nuevos sistemas al
departamento de operaciones se obliga al desarrollo de documentacin y
ejemplos para conseguir que la operacin y el uso sean corrector y eficaces.
5. Adquirir Recursos de TI
En este proceso se definen y se ejecutan los procedimientos que permiten
adquirir los recursos TI necesarios. Las actividades fundamentales de este
proceso son un control de adquisicin, la administracin de contratos con
proveedores, la seleccin de proveedores y finalmente la adquisicin de los
recursos TI.
6. Administrar Cambios

Cualquier cambio llevado a cabo en el proyecto se debe administrar de

manera formal y controlada. Las actividades fundamentales para
conseguirlo es seguir los estndares y los procedimientos para los cambios,
realizar una evaluacin del impacto, la priorizacin y la autorizacin,
establecer un proceso para cambios de emergencia, realizar un seguimiento
y un reporte del estatus del cambio, y por ltimo, realizar el cierre y la
documentacin del cambio.
7. Instalar y Acreditar Soluciones y Cambios
Una vez completado el desarrollo es necesario que los nuevos sistemas
estn totalmente funcionales.
Los objetivos de control de este proceso son realizar un entrenamiento del
personal, realizar un plan de prueba, un plan de implantacin, tener un
correcto ambiente de prueba, realizar un plan de conversin de sistemas y
datos, realizar pruebas de cambios, pruebas de aceptacin final, contar con
un seguimiento para la promocin a produccin, y por ltimo, realizar una
revisin posterior a la implantacin