COBIT

ADQUISICIÓN E IMPLANTACIÓN

INSTITUCIÓN UNIVERSITARIA CESMAG

PROGRAMA INGENIERÍA
FACULTADA DE INGENIERÍA DE SISTEMAS
SAN JUAN DE PASTO
OCTUBRE 14 DE 2014
 COBIT
ADQUISICIÓN E IMPLANTACIÓN

PRESENTADO A:
ING. CARLOS FERNADO GONZALES GUZMAN

INTEGRANTES:

JAIR RIASCOS SANTACRUZ

JONNTHAN ROSERO PORTILLA
WILMER MONTENEGRO CORDOBA
HOLLY REVELO NARVAES
CARLOS REALPE VELASQUEZ

INSTITUCIÓN UNIVERSITARIA CESMAG

PROGRAMA INGENIERÍA
FACULTADA DE INGENIERÍA DE SISTEMAS
SAN JUAN DE PASTO
OCTUBRE 14 DE 2014
 TABLA DE CONTENIDO

1. ADQUIRIR E IMPLEMENTAR.......................................................................................................4
1.1 AI1. IDENTIFICAR SOLUCIONES AUTOMATIZADAS...................................................................4
1.1.1 Objetivo del control...........................................................................................................5
1.1.2 Modelo de madurez..........................................................................................................5
1.2 AI2 Adquirir y mantener software aplicativo............................................................................6
1.2.1 Objetivos de control..........................................................................................................6
1.2.2 Modelo de madurez..........................................................................................................7
1.3 AI3 Adquirir y mantener infraestructura tecnológica...............................................................8
1.3.1 Objetivos de control..........................................................................................................9
1.3.2 Modelo de madurez..........................................................................................................9
1.4. AI4 Facilitar la operación y el uso..........................................................................................10
1.4.2 Modelo de madurez............................................................................................................11
1.5 AI5 Adquirir recursos de TI.....................................................................................................13
1.5.1 Objetivos de control............................................................................................................13
1.5.2 Modelo de madurez............................................................................................................14
1.6. AI6 Administrar cambios..................................................................................................14
1.6.1. Objetivo de control...................................................................................................14
1.6.2. Modelo de madurez.................................................................................................15
1.7. AI7 Instalar y acreditar soluciones y cambios...................................................................16
1.7.1. Objetivo de control...................................................................................................16
2. EJEMPLO DE COMPARACION DEL PETI CON EL DOMINIO ADQUIRIR E IMPLEMEMNTAR 18
1. ADQUIRIR E IMPLEMENTAR

Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser

identificadas, desarrolladas o adquiridas a si como implementadas e integradas en
los procesos de las empresa. A demás el cambio y mantenimiento de los sistemas
existentes está cubierto por este dominio para garantizar que las soluciones sigan
satisfaciendo los objetivos de la empresa.

Esta fase o dominio del COBIT dentro de la gerencia de una empresa contesta a
los siguientes cuestionarios.

- ¿Es posible que los nuevos proyectos generan soluciones que satisfagan las
necesidades del negocio?
- ¿Es probables que los nuevos proyectos sean entregados a tiempo y dentro
del mismo presupuesto?
- ¿Trabajaran adecuada mente los nuevos sistemas una vez sean
implementados?
- ¿Los cambios no afectaran a las operaciones actuales del negocio?

1.1 AI1. IDENTIFICAR SOLUCIONES AUTOMATIZADAS

Control sobre el proceso TI de Identificar soluciones automatizadas que satisface

el requisito de negocio de TI para traducir los requerimientos funcionales y de
control a un diseño efectivo y eficiente de soluciones automatizadas enfocándose
en la identificación de soluciones técnicamente factibles y rentables

Se logra con:
- La definición de los requerimientos técnicos y de negocio
- Realizar estudios de factibilidad como se define en los estándares de
desarrollo
- Aprobar (o rechazar) los requerimientos y los resultados de los estudios de
factibilidad

Y se mide con:
- Número de proyectos donde los beneficios establecidos no se lograron
debido a suposiciones de factibilidad incorrectas
- Porcentaje de estudios de factibilidad autorizados por el propietario del
proceso
 - Porcentaje de usuarios satisfechos con la funcionalidad entregada

1.1.1 Objetivo del control

 AI1.1 Definición y mantenimiento de los requerimientos técnicos y

funcionales del negocio: identificar, priorizar, especificar y acordar los
requerimientos tecnológicos del negocio para lograr los resultados esperados.
 AI1.2 Reporte de análisis de riesgos: identificar, documentar y analizar los
riesgos asociados con los requerimientos y diseños para el proceso
organizacional.
 AI1.3 Estudio de factibilidad y formulación de cursos de acción
alternativos: realizar estudio para la posible implementación de los
requerimientos, la administración de proyectos apoyado por TI
 AI1.4 Requerimientos, decisión de factibilidad y aprobación: verificación
de procesos para aprobar y autorizar requerimientos tanto funcionales como
técnicos. El patrocinador del negocio tiene la decisión final con respecto a la
elección de la solución.

1.1.2 Modelo de madurez

Las empresas deben medir dónde se encuentran y dónde se requieren mejoras, e

implementar un juego de herramientas gerenciales para monitorear esta mejora.
COBIT atiende estos temas a través de:

CUANDO

0 No existente La organización, no está consciente de

las soluciones tecnológicas
1 Inicial/Ad Hoc Existe un análisis mínimo de la
tecnología disponible por grupos
individuales de la organización.
2 Repetible pero intuitiva Usan enfoques no estructurados para
definir requerimientos e identificar las
soluciones tecnológicas de manera
informal con bases en la experiencia
interna y el conocimiento de la TI
3 Proceso definido Sus enfoques son claros y
estructurados que determinan las
soluciones de TI las cuales requieren
la consideración de alternativas
evaluadas contra los requerimientos
 del negocio o del usuario.
4 Administrado y medible La documentación de los proyectos es
de buena calidad y por cada etapa se
aprueba adecuadamente, en la cual
existe una metodología establecida
para la identificación y evaluación de
soluciones de la TI, además de las
medidas alternativas que esta presenta
5 Optimizado La metodología que esta presenta está
sujeta a una mejora actualizada, tiene
la flexibilidad de proyectos de cualquier
dimensión, además es soportada en
base de datos de conocimientos
internos y externos sobre soluciones
tecnológicas, además de la
documentación que hace que la
producción y el mantenimiento de los
proyectos sean eficientes

1.2 AI2 Adquirir y mantener software aplicativo

Control sobre el proceso TI de Adquirir y dar mantenimiento a software aplicativo

que satisface el requisito de negocio de TI para construir las aplicaciones de
acuerdo con los requerimientos del negocio y haciéndolas a tiempo y a un costo
razonable enfocándose en garantizar que exista un proceso de desarrollo
oportuno y confiable

Se logra con;
- La traducción de requerimientos de negocio a especificaciones de diseño
- La adhesión a los estándares de desarrollo para todas las modificaciones
- La separación de las actividades de desarrollo, de pruebas y operativas

Y se mide con:
- Número de problemas en producción por aplicación, que causan tiempo
perdido significativo
- Porcentaje de usuarios satisfechos con la funcionalidad entregada

1.2.1 Objetivos de control

 AI2.1 Diseño de alto nivel: Teniendo en cuentas las directivas tecnológicas y

la arquitectura de la información se traduciría todos los requerimientos a una
especificación de diseño de alto nivel para la adquisición de software, esto
tiene que ser aprobado por gerencia y tener en cuenta la revaluación cuando
sucedan erros en el desarrollo o mantenimiento.
 AI2.2 Diseño detallado: preparar el diseño detallado de los requerimientos
técnicos del software, definir y aprobar los requerimientos para garantizar que
corresponden al diseño de alto nivel y tener presente la revaluación.
 AI2.3 Control y audibilidad de las aplicaciones: implementar controles de
aplicaciones automatizadas para que el procesamiento sea completo,
oportuno, auditable y autorizado.
 AI2.4 Seguridad y disponibilidad de las aplicaciones: se aborda la
seguridad y los requerimientos de las aplicaciones en respuesta a los riegos
que se puedan dar en el desarrollo y mantenimiento del proyecto.
 AI2.5 Configuración e implantación de software aplicativo adquirido:
configurar e implementar software de aplicación adquirido para conseguir los
objetivos del negocio.
 AI2.6 Actualizaciones importantes en sistemas existentes: en caso de
cambios que resulten en el diseño funcional o actual, seguir un proceso de
desarrollo a los empleados pertinentes para el desarrollo de sistemas nuevos.
 AI2.7 Desarrollo de software aplicativo: garantizar que en la funcionalidad
de automatización se desarrolle de acuerdo con las especificaciones del
diseño, los estándares y documentaciones donde están los requerimientos de
calidad y las aprobaciones de estándares.
 AI2.8 Aseguramiento de la Calidad del Software: desarrollar e implementar
los recursos y ejecutar los planes de requerimientos de calidad de software.
 AI2.9 Administración de los requerimientos de aplicaciones: seguir el
estado de todos los requerimientos (los rechazados) durante todo el proceso
de diseño, desarrollo e implementación y aprobar los cambios con un proceso
de gestión de cambios establecidos.
 AI2.10 Mantenimiento de software aplicativo: desarrollar una estrategia y un
plan para el mantenimiento de aplicaciones de software.

1.2.2 Modelo de madurez

La administración del proceso de Adquirir y mantener software aplicativo que

satisfaga el requisito de negocio de TI de hacer disponibles aplicaciones de
acuerdo con los requerimientos del negocio, en tiempo y a un costo razonable es:

CUANDO

0 No existente Las aplicaciones se obtienen con base

en oferta de proveedores considerando
poco o nada los requerimientos
actuales.
1 Inicial/Ad Hoc Los enfoques para la adquisición y
mantenimiento de software barina de
un proyecto a otro, se obtiene como
resultado ineficiencia en el
mantenimiento y soporte (no se tiene

2 Repetible pero intuitiva
3 Proceso definido
4 Administrado y medible
5 Optimizado
consideración hacia la seguridad y
disponibilidad en el diseño de
software).
Existen procesos de adquisición y
mantenimiento de aplicaciones
similares pero con diferencias.
Existe un proceso claro definido y de
comprensión general para la
adquisición y mantenimiento de
software aplicativo. Las metodologías
utilizadas son inflexibles y difíciles de
aplicar en todos los casos por ende
esta metodología en ciertos casos se
saltan pasos.
Su metodología es formal y bien
comprendida que incluyen un proceso
de diseño y especificación, de
adquisición, prueba y requerimientos
para la documentación.
La metodología presenta un buen
avance y permite un posicionamiento
estratégico rápido que permite un
grado alto de flexibilidad para
responder a requerimientos
cambiantes.

1.3 AI3 Adquirir y mantener infraestructura tecnológica

Control sobre el proceso TI de Adquirir y dar mantenimiento a la infraestructura

tecnológica que satisface el requisito de negocio de TI para adquirir y dar
mantenimiento a una infraestructura integrada y estándar de TI enfocándose en
proporcionar plataformas adecuadas para las aplicaciones del negocio, de
acuerdo con la arquitectura definida de TI y los estándares de tecnología

Se logra con:
- El establecimiento de un plan de adquisición de tecnología que se alinea
con el plan de infraestructura tecnológica
- La planeación de mantenimiento de la infraestructura
- La implantación de medidas de control interno, seguridad y auditoria

Y se mide con:
- El porcentaje de plataformas que no se alinean con la arquitectura de TI
definida y los estándares de tecnología
- El número de procesos de negocio críticos soportados por infraestructura
obsoleta (o que pronto lo será)
 - El número de componentes de infraestructura que ya no se pueden
soportar (o que ya no se podrán en el futuro cercano)

1.3.1 Objetivos de control

 AI3.1 Plan de adquisición de infraestructura tecnológica: generar un plan

para adquirir, implementar y mantener la infraestructura tecnológica que
satisfaga los requerimientos establecidos y que esto esté de acuerdo con la
dirección tecnológica de la dirección, el plan ante mencionado debe considerar
extensiones para adiciones de capacidad, costos de transición, riesgos
tecnológicos, vida útil económicamente.
 AI3.2 Protección y disponibilidad del recurso de infraestructura:
implementar mediad de control internas de seguridad y auditabilidad durante la
configuración, integración y mantenimiento de hardware y software para
proteger recursos y garantizar la integridad de los mismos.
 AI3.3 Mantenimiento de la Infraestructura: desarrollar un plan estratégico de
mantenimiento garantizando que se controlen los cambios, una revisión
periódica actualizada contra las necesidades, riesgos, evaluación de
vulnerabilidad que el negocio requiera.
 AI3.4 Ambiente de prueba de factibilidad: establecer el ambiente de
desarrollo y prueba para soporta la efectividad y eficiencia de las pruebas, se
considera la funcionalidad, configuración de hardware y software, la integración
y desempeño, la migración de datos.

1.3.2 Modelo de madurez

La administración del proceso de Adquirir y mantener infraestructura de tecnología

que satisfaga el requisito de negocio de TI de adquirir y mantener una
infraestructura de TI integrada y estandarizada es:

CUANDO

0 No existente No se reconoce la administración de la

infraestructura de tecnología como un
asunto importante al cual debe ser
resuelto.
1 Inicial/Ad Hoc Aunque se tiene la percepción de que
la infraestructura del TI es importante
no existe un enfoque general
consistente (los procesos de
mantenimiento reaccionan a
necesidades de corto plazo).
2 Repetible pero intuitiva No hay consistencia entre enfoques
tácticos al adquirir y dar mantenimiento
a la infraestructura de TI.
3 Proceso definido El proceso respalda las necesidades
 de la aplicación crítica del negocio
pero no se aplica en forma consistente.
Existen ambientes separados para
prueba y producción pero si se planea
el programa y la coordinación del
mantenimiento.
4 Administrado y medible Se le da un seguimiento consistente y
a un enfoque hacia la reutilización. La
infraestructura de TI soporta
adecuadamente las aplicaciones del
negocio.
5 Optimizado El proceso de adquisición y
mantenimiento de la infraestructura de
la tecnología es preventivo y está
estrechamente en contacto con las
aplicaciones críticas del negocio.

1.4. AI4 Facilitar la operación y el uso

Facilitar la operación y el uso que satisface el requisito de negocio de TI para

garantizar la satisfacción de los usuarios finales mediante ofrecimientos de
servicios y niveles de servicio, y de forma transparente integrar las soluciones de
aplicación y tecnología dentro de los procesos del negocio. Enfocándose en
proporcionar manuales efectivos de usuario y de operación y materiales de
entrenamiento para transferir el conocimiento necesario para la operación y el uso
exitosos del sistema.

Se logra con:
- El desarrollo y la disponibilidad de documentación para transferir el
conocimiento
- Comunicación y entrenamiento a usuarios y a la gerencia del negocio, al
personal de apoyo y al personal de operación
- La generación de materiales de entrenamiento

Y se mide con:
- El número de aplicaciones en que los procedimientos de TI se integran en
forma transparente dentro de los procesos de negocio
- El porcentaje de propietarios de negocios satisfechos con el entrenamiento
de aplicación y los materiales de apoyo.
- El número de aplicaciones que cuentan con un adecuado entrenamiento de
apoyo al usuario y a la operación

1.4.1 Objetivos de control

 AI4.1 Plan para soluciones de operación: desarrollar plan para identificar y
documentar los aspectos técnicos, la capacidad de operación y niveles de
servicio requerido, para así tomar responsabilidad oportuna por la producción
de procedimientos de administración, como resultados de la introducción o
actualización de sistemas de automatización o de infraestructura.
 AI4.2 Transferencia de conocimiento a la gerencia del negocio: transferir el
conocimiento a la gerencia para permitir tomar posesión del sistema y los
datos, la trasferencia de conocimiento incluye la aprobación de acceso,
administración de privilegios, segregación de tareas, controles automatizados
del negocio, respaldo, seguridad física y archivos de la documentación fuente.
 AI4.3 Transferencia de conocimiento a usuarios finales: transferir
conocimiento y habilidades para que los usuarios lo utilicen con eficiencia y
eficacia el sistema en los procesos del negocio. Esto incluye un entrenamiento,
así como el desarrollo de habilidades, material, manuales, ayuda en línea,
asistencia de usuarios, identificación del usuario clave y evaluación.
 AI4.4 Transferencia de conocimiento al personal de operaciones y
soporte: transferir el conocimiento y habilidades para que el personal de
soporte técnico y de operaciones para que mantengan la aplicación y la
infraestructura asociada de manera efectiva y eficiente, esto debe incluir el
entrenamiento inicial y continuo, el desarrollo de las habilidades, los materiales
de entrenamiento, manuales operativos, manual de procedimiento y atención al
usuario.

1.4.2 Modelo de madurez

Administración del proceso de facilitar la operación y el uso que satisfaga el

requerimiento de negocio de TI de garantizar la satisfacción de los usuarios finales
con ofrecimiento de servicios y niveles de servicio, e integrar de forma
transparente aplicaciones y soluciones de tecnología dentro de los procesos del
negocio es:

CUANDO

0 No existente Procesos de documentación de

usuario, manual de operación y
material de entrenamiento. Lo que sí
existe en la documentación
suministrada con los productos que se
adquieren.
1 Inicial/Ad Hoc La documentación se genera
ocasionalmente y se distribuye a
grupos limitados, esta documentación
ya caduca, el material de
entrenamiento tiene un esquema único
y con calidad variable. No hay aporte
 en el diseño de programas de
entrenamiento.
2 Repetible pero intuitiva Se generan procesos y
documentación, pero no se basa en un
enfoque estructural marco de trabajo.
No hay enfoque uniforme para el
procedimiento de usuario y de
operación. Los soportes de usuario
van desde muy pobre a bueno con una
consistencia muy pequeña a lo largo
de la organización, se proporcionan
programas de entrenamiento pero no
hay un plan general para el
entrenamiento.
3 Proceso definido Existe documentación bien definida
para el usuario, se guarda y mantiene
los documentos en un lugar apropiado
y el que lo necesite tiene acceso a
ellos. Estos documentos también se
encuentran fuera de la organización
para que en caso de desastre no se
pierdan. El contenido varía debido a
que no hay un control para reforzar el
cumplimiento de estándares, cada vez
se utilizan más herramientas
automatizadas en la gerencia y se
programa muy a menudo el
entrenamiento del negocio como el de
los usuarios.
4 Administrado y medible Existen esquemas definidos en el
material de entrenamiento que cuentan
con el soporte de la TI. Estos cubren
todo el sistema y unidad de negocio, el
entrenamiento de negocio y usuario es
sensible a las necesidades del
negocio. La administración de las TI
está desarrollando medidas para el
desarrollo y la entrega de
documentación, materiales y
programas de entrenamiento.
5 Optimizado La documentación de usuarios y de
operación se mejora contantemente
con la adopción de nuevas
herramientas o métodos. El material de
procedimientos y entrenamientos se
mantiene en constante evolución y se
 mantiene en forma electrónica, esto se
encuentran completamente integrados
con el negocio y con las definiciones
de procesos de negocio, siendo así un
apoyo a los requerimientos de toda la
organización y no solo orientados a la
TI.

1.5 AI5 Adquirir recursos de TI

Control sobre el proceso TI de Adquirir recursos de TI que satisface el requisito de

negocio de TI para mejorar la rentabilidad de TI y su contribución a la utilidad del
negocio enfocándose en adquirir y mantener las habilidades de TI que respondan
a la estrategia de entrega, en una infraestructura TI integrada y estandarizada, y
reducir el riesgo de adquisición de TI

Se logra con:
- La obtención de asesoría profesional legal y contractual
- La definición de procedimientos y estándares de adquisición
- La adquisición de hardware, software y servicios requeridos de acuerdo con
los procedimientos definidos

Y se mide con:
- El número de controversias en relación con los contratos de adquisición
- La reducción del costo de compra
- El porcentaje de interesados clave satisfechos con los proveedores

1.5.1 Objetivos de control

 AI5.1 Control de adquisición: desarrollar y seguir un conjunto de

procedimientos consistentes con el proceso de adquisiciones de la
organización y con la estrategia para adquirir infraestructuras relacionadas con
la TI. Instalación de hardware, software y servicios necesarios para el negocio.
 AI5.2 Administración de contratos con proveedores: formular un
procedimiento para establecer, modificar y concluir contratos para todos los
proveedores. El procedimiento deben tener responsabilidades y obligaciones
legales, financieras, organizacionales, documentales, de desempeño, de
seguridad, de propiedad intelectual y responsabilidades de conclusión, así
como obligaciones que incluyan cláusulas de penalización.
 AI5.3 Selección de proveedores: seleccionar proveedores de acuerdo a una
práctica justa y formal según los requerimientos especificados. Estos deben ser
optimizados con la entrada de los proveedores potenciales.
 AI5.4 Adquisición de las TI: proteger los intereses de la organización en
todos los contratos de adquisiciones, incluyendo los derechos y obligaciones
de todas las partes en los términos contractuales para la adquisición de
software, recursos de desarrollo, infraestructura y servicios.

1.5.2 Modelo de madurez

La administración del proceso de Adquirir recursos de TI que satisfaga el

requerimiento de negocio de TI de mejorar la rentabilidad de TI y su contribución a
la utilidad del negocio es:

CUANDO

0 No existente
1 Inicial/Ad Hoc
2 Repetible pero intuitiva
3 Proceso definido
4 Administrado y medible
5 Optimizado

1.6. AI6 Administrar cambios

Los cambios deben administrarse debidamente y controladamente, los cambios

tanto en mantenimiento, procedimientos, procesos, sistemas y parámetros del
servicio deben registrar, evaluar y autorizar previo a la implementación, esto
garantiza la reducción de riesgos.

Se logra con
- La definición y comunicación de los procedimientos de cambio, que
incluyen cambios de emergencia
- La evaluación, la asignación de prioridad y autorización de cambios
- Seguimiento del estatus y reporte de los cambios

Y se mide con
- El número de interrupciones o errores de datos provocados por
especificaciones inexactas o una evaluación de impacto incompleta
- La repetición de aplicaciones o infraestructura debida a especificaciones de
cambio inadecuadas
- El porcentaje de cambios que siguen procesos de control de cambio
formales
1.6.1. Objetivo de control

 AI6.1 Estándares Procedimientos para Cambios

Establecer instrucciones de .dirección de cambio formales para manejar de
manera estándar todas las solicitudes para cambios en general

 AI6.2 Evaluación de Impacto, Priorización y Autorización

Responde a que todas las solicitudes de cambio se evalúen de una manera
ordenada en cuanto a impactos en el sistema operacional y su funcionalidad
 AI6.3 Cambios de Emergencia
Establece un proceso para los cambios emergentes que no sigan el proceso de
cambio establecido
 AI6.4 Seguimiento y Reporte del Estatus de Cambio
Se establece un seguimiento y reporte para mantener actualizado los solicitantes
de cambios y a los interesados relevantes
 AI6.5 Cierre y Documentación de Cambio
Se actualiza el sistema asociado, documentación, y procedimientos
correspondientes, se ejecuta la revisión general de los cambios para garantizar la
implementación completa

1.6.2. Modelo de madurez

CUANDO

0 No existente No existe un proceso definido de

administración de cambio y los
cambios se pueden realizar
virtualmente sin control.
1 Inicial/Ad Hoc Se reconoce que los cambios se
deben administrar y controlar, pero
puede haber falencias en la
documentación, producción, inducidos
por un pobre administración de
cambios
2 Repetible pero intuitiva
3 Proceso definido
4 Administrado y medible
5 Optimizado
Existe un proceso de administración de
cambio informal, aunque puede haber
falencias en documentación
Existe un proceso definido en la parte
de administración de cambios, se va
surgiendo el cumplimiento. Se dan
soluciones temporales a los problemas
y los procesos a menudo se omiten.
El proceso de administración de
cambio es eficiente y efectivo, se
desarrolla bien y es consistente para
todos los cambios; la gerencia confía
que hay excepciones mínimas.
El proceso de administración de
cambios se revisa con regularidad. La
administración de cambio de TI se
integra con la administración de
cambio del negocio para garantizar
que TI sea un factor que hace posible
el incremento de productividad

1.7. AI7 Instalar y acreditar soluciones y cambios

Se necesita contar con sistemas nuevos o modificados que trabajen sin errores
después de la instalación o implementación, esto requiere pruebas adecuadas en
un ambiente relevante, lo cual garantiza que el sistema esté en línea con las
expectativas y resultados.

Se logra con
- El establecimiento de una metodología de prueba
- Realizar la planeación de la liberación (release)
- Evaluar y aprobar los resultados de las pruebas por parte de la gerencia del
negocio
- Ejecutar revisiones posteriores a la implantación
Y se mide con
- Tiempo perdido de la aplicación o problemas de datos provocados por
pruebas inadecuadas
- Porcentaje de sistemas que satisfacen los beneficios esperados, medidos
en el proceso posterior a la implantación
 - Porcentaje de proyectos con plan de prueba documentado y aprobado
1.6.1. Objetivo de control

 AI7.1 Entrenamiento
Se capacita al personal de los departamentos de usuarios afectados y al grupo de
operaciones de la función de TI.
 AI7.2 Plan de Prueba
Establecer un plan de pruebas basado en los estándares de la organización (roles,
responsabilidades, entradas y salidas)
 AI7.3 Plan Implementación
Establecer un plan de implantación y respaldo y retroalimentacion
 AI7.4 Ambiente de Prueba
Establecer un entorno seguro para pruebas planeadas relativas a seguridad,
controles internos, prácticas operativas, calidad de los datos y requerimientos de
privacidad, y cargas de trabajo.
 AI7.5 Conversión sistema y datos
Plan de conversión de datos y migración de infraestructuras como parte de los
métodos de desarrollo de la organización.
 AI7.6 Prueba de cambios
Pruebas de cambios independientemente en acuerdo con los planes de pruebas
definidos
 AI7.7 Prueba de aceptación final
Asegurar que el dueño de proceso de negocio y los interesados de TI evalúan los
resultados de los procesos de pruebas como remediar los errores significativos
identificados en el mismo proceso
 AI7.8 Promoción a producción
Ejecutar el sistema en paralelo con el viejo sistema por un tiempo, y comparar el
comportamiento y los resultados
 AI7.9 Revisión Posterior a la implantación
Establecer procedimientos en línea con los estándares de gestión de cambios
organizacionales para requerir una revisión posterior a la implantación como
conjunto de salida en el plan de implementación
2. EJEMPLO DE COMPARACION DEL PETI CON EL DOMINIO ADQUIRIR E
IMPLEMEMNTAR

Teniendo en cuenta el proceso D04 que trata sobre los sistemas de

información y comunicaciones y que a su vez se encuentra dentro de el un
subproceso D04.03 que trata sobre la administración de hardware y software
de comunicaciones, se puede hacer una relación de las actividades de este
con las actividades propuestas dentro De cada proceso que conforma el
dominio ADQUIRIR E IMPLEMENTAR DEL MANUAL COBIT 4.1

La actividad 1 definida como analizar y validar las necesidades administrativas

está fuertemente relacionada con el proceso AI1 (Identificar Soluciones
Automatizadas) y la actividad AI1.1 (Definición y mantenimiento de los
requerimientos técnicos y funcionales del negocio) ya que se debe tener claro los
requerimientos y además tener en cuenta que estos pueden cambiar lo que se
entendería como un mantenimiento a los requerimientos o un mejoramiento de los
mismos.

La actividad 3 definida como comunicación y divulgación del peti está

relacionada con el proceso AI4 (facilitar la operación y el uso) con las actividades
AI4.2 (transferencia del conocimiento a la gerencia del negocio) se utilizara para
informar a todos los administrativos del colegio INEM Pasto los cuales tendrán
toda la administración del sistema de información.
AI4.3 (transferencia del conocimiento a los usuarios finales) con el cual se dará a
conocer a los usuarios la manera de cómo utilizar los recursos con eficiencia y
eficacia para lo cual se utilizaran manuales de usuario y materiales de
entrenamiento.
AI4.4 (transferencia del conocimiento al personal de operaciones y soporte)
también el personal de operaciones y soporte será informado de cómo mantener
las aplicaciones en un correcto funcionamiento que sea eficiente y eficaz de
acuerdo a los niveles de servicio requeridos.
La actividad 5 definida como que tipo de mantenimiento se va a desarrollar está
relacionada con el proceso AI3 (adquirir y mantener infraestructura tecnológica)
con la actividad.
AI3.2 (protección y disponibilidad del recurso de infraestructura) implementándolas
medidas de control respectivas donde se tiene en cuenta la instalación,
configuración y el mantenimiento de hardware software.
La actividad 6 definida como brindar la solución del requerimiento está
relacionada con el proceso AI4 (facilitar la operación y el uso) con la actividad.
AI4.3 (transferencia del conocimiento a los usuarios finales) con el cual se dará a
conocer a los usuarios la manera de cómo utilizar los recursos con eficiencia y
eficacia para lo cual se utilizaran manuales de usuario y materiales de
entrenamiento.

La actividad 7 definida como revisión medios físicos de comunicación se

relaciona con la actividad AI3 (adquirir y mantener infraestructura tecnológica) y se
realizará donde se tienen en cuenta los planes de mantenimiento que se deben
seguir para mantener un óptimo funcionamiento del hardware.
AI3.4 (ambiente de prueba de factibilidad) para poder garantizar la efectividad y
eficiencia mediante pruebas de integración y desempeño.

La actividad 8 definida como diseñar y actualizar el programa de mantenimiento

preventivo y correctivo se relaciona con la actividad AI3 (adquirir y mantener
infraestructura tecnológica) y se realizará:
AI3.2 (Protección y disponibilidad del recurso de infraestructura) para poder
controlar mejor lo relacionado al mantenimiento y cambios de hardware y software
dentro de la organización.
La actividad 11 definida como capacitación del personal auxiliar que maneja el
sistema de información se relaciona con la actividad AI7 (instalar y acreditar
soluciones y cambios) se realizará:
AI7.1 (entrenamiento) entrenar al personal docente para poder hacer mejor uso de
los sistemas de información y actualizarlos si se realizó alguna modificación al
sistema.
Teniendo en cuenta el proceso D04 que trata sobre los sistemas de información y
comunicaciones y que a su vez se encuentra dentro de el un subproceso D04.02
que trata sobre la administración de hardware y software de comunicaciones, se
puede hacer una relación de las actividades de este con las actividades
propuestas dentro De cada proceso que conforma el dominio ADQUIRIR E
IMPLEMENTAR DEL MANUAL COBIT 4.1

La actividad 1 definida como analizar y validar las necesidades administrativas

está fuertemente relacionada con el proceso AI1 (Identificar Soluciones
Automatizadas) y la actividad AI1.1 (Definición y mantenimiento de los
requerimientos técnicos y funcionales del negocio) ya que se debe tener claro los
requerimientos y además tener en cuenta que estos pueden cambiar lo que se
entendería como un mantenimiento a los requerimientos o un mejoramiento de los
mismos.

Teniendo en cuenta el proceso D04 que trata sobre los sistemas de

información y comunicaciones y que a su vez se encuentra dentro del un
subproceso D04.021 que trata sobre la administración de hardware y
software de comunicaciones, se puede hacer una relación de las actividades
de este con las actividades propuestas dentro De cada proceso que
conforma el dominio ADQUIRIR E IMPLEMENTAR DEL MANUAL COBIT 4.1

La actividad 3 definida como realizar análisis de requerimientos de hardware está

fuertemente relacionada con el proceso AI1 (Identificar Soluciones Automatizadas)
y a su vez con la actividad Definición y Mantenimiento de los Requerimientos
Técnicos y Funcionales del Negocio ya para cumplir los requerimientos del
negocio se deben tener claros los requerimientos de hardware para un
funcionamiento óptimo que contribuya al buen funcionamiento del negocio.
La actividad 4 definida como recibir y verificar hardware adquirido está
fuertemente relacionado con el proceso AI3 (Adquirir y Mantener Infraestructura
Tecnológica) y la actividad definir el procedimiento de adquisición ya que dentro
de esta se tienen en cuenta las medidas de control del hardware en donde una de
ellas sería la implementación de medidas de seguridad y auditabilidad durante la
configuración, la integración y el mantenimiento del hardware.
La actividad 5 definida como elaborar oficio para el almacén de no recibido está
relacionada con el proceso AI5 (Adquirir Recursos de TI) y la actividad evaluar y
seleccionar proveedores ya que aquí se tiene en cuenta la confiabilidad que pueda
tener la organización con cada uno de sus proveedores.
La actividad 8 definida como soporte a usuarios y mantenimiento correctivo del
hardware esta relacionado por una parte con el proceso AI3 (Adquirir y Mantener
Infraestructura Tecnológica) y la actividad definir estrategia y planear el
mantenimiento de la infraestructura y por otra parte esta relacionado con el
proceso AI4 (Facilitar la Operación y el Uso) y la actividad desarrollar
documentación de soporte técnico para personar ya que en estas actividades se
reflejan las estrategias que debe tener una organización en cuanto a la
planificación de actividades dirigidas al mantenimiento y al soporte de la
infraestructura informática.
La actividad 9 definida como establecer requisitos para la entrega de hardware
está relacionada con el proceso AI5 (Adquirir Recursos de TI) y la actividad
realizar adquisiciones de acuerdo con los procedimientos establecidos ya que aquí
es donde la organización estipula claramente los requisitos que se debe tener para
adquirir y entregar dentro de la organización el hardware.
La actividad 10 definida como administrar software está relacionada con el
proceso AI2 (Adquirir y Mantener Software Aplicativo) y la actividad dar
seguimiento y administrar los requerimientos de las aplicaciones ya que en esta
hace un seguimiento detallado del estado de los requerimientos y necesidades de
las aplicaciones para poder conocer las falencias y disminuirlas o desaparecerlas
para mejorar.
Las actividades 11y 12 definidas como analizar la pertinencia del software sin
licencia o no autorizado y la actividad generar informe a jefe de dependencia y
generar autorización de desinstalación de software están relacionadas con el
proceso AI2(Adquirir y Mantener Software Aplicativo) y la actividad dar
seguimiento y administrar los requerimientos de las aplicaciones ya que en esta se
tienen en cuenta que es lo que necesita cada aplicación para funcionar
correctamente donde uno de esos requerimientos es funcionar con una adecuada
licencia para obtener el 100% de funcionamiento.
La actividad 13 definida como determinar las necesidades del nuevo software está
relacionada con el proceso AI1 (Identificar Soluciones Automatizadas) y la
actividad definir los requerimientos técnicos y funcionales del negocio ya que aquí
se tienen en cuenta tanto los requerimientos de negocio como los de TI, lo que
quiere decir que se evalúan las necesidades que tiene la empresa para que en
base a ellas se busque el software necesario para cubrirlas.
La actividad 14 definida como recibir las licencias de software están relacionadas
con el proceso AI5 (Adquirir Recursos de TI) y la actividad desarrollar y políticas y
procedimientos de adquisición ya que aquí es donde se controla el tipo de
software que debe usar la empresa en donde uno de ellos puede ser software
licenciado o no licenciado.
La actividad 15 definida como verificar los requisitos del hardware y software está
relacionada con el proceso AI2(Adquirir y Mantener Software Aplicativo) y la
actividad dar seguimiento y administrar los requerimientos de las aplicaciones
donde se tiene en cuenta que después de adquirir el software se debe hacer un
seguimiento en cuanto a funcionamiento, compatibilidad y aspectos que puedan
hacer que el software no sea lo que se está buscando, es decir, que no cumpla
con los requerimientos de la empresa.
La actividad 17 definida como hacer solicitud de capacitación a los funcionarios en
el nuevo software está relacionada con AI4 (Facilitar la Operación y el Uso) y la
actividad desarrollar y dar entrenamiento donde se contempla el dar a conocer los
manuales de funcionamiento de las aplicaciones para que el personal utilice las
herramientas de manera eficiente y correcta para sacar el mejor provecho de las
herramientas de TI.
La actividad 18 definida como realizar el cronograma de mantenimiento está
relacionada con el proceso AI3 (Adquirir y Mantener Infraestructura Tecnológica) y
la actividad definir estrategia y planear el mantenimiento de la infraestructura en
donde se tienen en cuenta los componentes hardware y software ya además se
estipula cada cuanto se debe hacer dicho mantenimiento.
La actividad 21 definida como definir las características y necesidades del
requerimiento en cuanto a comunicaciones esta relacionada con el proceso AI1
(Identificar Soluciones Automatizadas) y a su vez con la actividad Definición y
Mantenimiento de los Requerimientos Técnicos y Funcionales del Negocio.

Teniendo en cuenta el proceso D04 que trata sobre los sistemas de

información y comunicaciones y que a su vez se encuentra dentro de el
subproceso D04.03 que trata sobre la administración de hardware y software
de comunicaciones, se puede hacer una relación de las actividades de este
con las actividades propuestas dentro De cada proceso que conforma el
dominio ADQUIRIR E IMPLEMENTAR DEL MANUAL COBIT 4.1

La actividad 1 definida como establecer políticas internas en la administración de

sistemas de información está relacionada con el proceso AI2(Adquirir y Mantener
Software Aplicativo) y la actividad dar seguimiento y administrar los requerimientos
de la aplicación en donde se establece un control para administrar y manejar de la
mejor manera las aplicaciones, es decir, siempre verificar el estado de los
sistemas de información para buscar posibles inconsistencias y a su vez
encontrarles una solución.
La actividad 2 definida como definir el tipo de requerimiento está relacionada con
el proceso AI1 (Identificar Soluciones Automatizadas) y la actividad definir los
requerimientos técnicos y funcionales del negocio ya que aquí es en donde se
definen lo que necesita el negocio lo cual aclara que tipo de sistema de
información podría llegar a adquirir e implementar.

La actividad 5 definida como generar informes periódicos sobre el uso de los

sistemas de información está relacionada con el proceso AI2 (Adquirir y Mantener
Software Aplicativo) y la actividad dar seguimiento y administrar los requerimientos
de la aplicación en donde se contempla como una estrategia el generar dichos
informes para siempre estar en la búsqueda de posibles errores en el
funcionamiento de los sistemas de información.
La actividad 6 definida como formular mecanismos y estrategias de capacitación
dirigidas al personal que opera los sistemas de información esta relacionada con
el proceso AI4 (Facilitar la Operación y el Uso) y la actividad desarrollar
metodologías de trasferencia de conocimiento ya que aquí se tiene en cuenta que
la información de soporte sobre los sistemas de información se la debe dar a
conocer al personal para que maneje dichos sistemas de manera eficiente.