POLÍTICA DE ASIGNACIÓN DE INSTALAR Y ACREDITAR

SOLUCIONES Y CAMBIOS (AI7)

Diseño y USO ACADÉMICO EXCLUSIVAMENTE CODIGO Pol Cob IAC 01
elaboración: REVISIÓN 0
Enrique H.H. FECHA 20/abril/2023
© PÁGINA 1 de 8

Política:
Los nuevos sistemas necesitan estar funcionales una vez que su desarrollo se completa. Esto requiere
pruebas adecuadas en un ambiente dedicado con datos de prueba relevantes, definir la transición e
instrucciones de migración, planear la liberación y la transición en sí al ambiente de producción, y revisar
la post-implantación. Esto garantiza que los sistemas operativos estén en línea con las expectativas
convenidas y con los resultados.

PROPÓSITO DE LA POLÍTICA

Transparentar y entender los costos de TI y mejorar la rentabilidad a través del uso

bien informado de los servicios de TI
.
I. DEFINICIONES:

Costos: los costos se refieren a los gastos necesarios para garantizar la funcionalidad de los nuevos
sistemas de TI una vez que su desarrollo se ha completado.
Recursos de TI: se refieren a los recursos humanos, financieros y técnicos necesarios para llevar a
cabo el desarrollo, pruebas, transición y liberación de nuevos sistemas de TI de manera efectiva.
Presupuesto de TI: se refiere a la cantidad de recursos financieros que se asignan a los proyectos y
actividades de TI dentro de una organización. En el contexto de esta política, el presupuesto de TI es un
factor importante a considerar para asegurar que se cuente con los recursos financieros necesarios para
llevar a cabo las diferentes fases del proyecto de TI, como el desarrollo, pruebas, transición y
liberación de los sistemas.
Inversión de TI: se refiere al gasto necesario para llevar a cabo las actividades descritas, incluyendo la
adquisición de herramientas y recursos para el desarrollo, pruebas y transición de los nuevos sistemas,
así como los costos asociados con la capacitación y la formación del personal de TI involucrado en el
proceso.
 POLÍTICA DE ASIGNACIÓN DE INSTALAR Y ACREDITAR
SOLUCIONES Y CAMBIOS (AI7)
Diseño y USO ACADÉMICO EXCLUSIVAMENTE CODIGO Pol Cob IAC 01
elaboración: REVISIÓN 0
Enrique H.H. FECHA 20/abril/2023
© PÁGINA 2 de 8

Retorno de la inversión de TI: se relaciona con la capacidad de los nuevos sistemas de cumplir con
las expectativas acordadas y proporcionar beneficios para la organización. La inversión en las pruebas
adecuadas, la planificación de la transición y la revisión posterior a la implantación deben garantizar
que el nuevo sistema funcione correctamente y tenga un impacto positivo en el rendimiento de la
organización.
Áreas de Negocio: implica la participación de diferentes áreas para garantizar el éxito del proyecto de
implementación del nuevo sistema. Es importante involucrar a los usuarios finales del sistema para
definir los requisitos y las pruebas adecuadas, a los equipos de desarrollo para la construcción y
pruebas del sistema, y a los equipos de operaciones para la transición y la administración del sistema en
el ambiente de producción.

II. RESPONSABLES DE SU APLICACIÓN:

Matriz Funciones

III. PROCESOS COBIT 4.1. ASOCIADOS A ESTA POLÍTICA:

Desde Entradas Salidas Hacia

PO3 Estándares de tecnología Componentes de configuración DS8 DS9
PO4 Dueños de sistema documentado liberados
PO8 Estándares de desarrollo Errores conocidos y aceptados AI4
PO10 Directrices de administración de proyecto y plan de Liberación a producción DS13
proyecto detallado Liberación de software y plan de DS13
AI3 Sistema configurado a ser probado/instalado distribución
AI4 Manuales de usuario, operativos, de soporte, Revisión posterior a la PO2 PO5 PO10
técnicos y de administración implantación
AI5 Adquisición de productos Monitoreo de control interno ME2
AI6 Autorización de cambio
 POLÍTICA DE ASIGNACIÓN DE INSTALAR Y ACREDITAR
SOLUCIONES Y CAMBIOS (AI7)
Diseño y USO ACADÉMICO EXCLUSIVAMENTE CODIGO Pol Cob IAC 01
elaboración: REVISIÓN 0
Enrique H.H. FECHA 20/abril/2023
© PÁGINA 3 de 8

DOMINIOS ISO 27001 ASOCIADOS A ESTA POLÍTICA:

 POLÍTICA DE ORGANIZACIÓN DE LA SEGURIDAD

 POLÍTICA DE SEGURIDAD
 POLÍTICA DE SEGURIDAD FÍSICA Y AMBIENTAL
 POLÍTICA DE SEGURIDAD DE RECURSOS HUMANOS
 POLÍTICA DE GESTIÓN DE ACTIVOS DE TI

IV. LINEAMIENTOS DE LA POLÍTICA:

1. La dirección de TI debe Identificar todos los costos de TI y equipararlos
a los servicios de TI para soportar un modelo de costos transparente.
Los servicios de TI deben alinearse a los procesos del negocio de forma
que el negocio pueda identificar los niveles de facturación de los
servicios asociados.

2. La dirección de TI debe Registrar y asignar los costos actuales de

acuerdo con el modelo de costos definido. Las variaciones entre los
presupuestos y los costos actuales deben analizarse y reportarse de
acuerdo con los sistemas de medición financiera de la empresa.

3. Con base en la definición del servicio, La dirección de TI debe definir un

modelo de costos que incluya costos directos, indirectos y fijos de los
servicios, y que ayude al cálculo de tarifas de reintegros de cobro por
servicio. El modelo de costos debe estar alineado con los
procedimientos de contabilización de costos de la empresa. El modelo
de costos de TI debe garantizar que los cargos por servicios son
identificables, medibles y predecibles por parte de los usuarios para
propiciar el adecuado uso de recursos. La gerencia del usuario debe
poder verificar el uso actual y los cargos de los servicios.

4. El gobierno de TI debe Revisar y comparar de forma regular lo

apropiado del modelo de costos/recargos para mantener su
relevancia para el negocio en evolución y para las actividades de TI.

5. El director de TI debe informar que no existe un proceso definido

de administración de cambio y los cambios se pueden realizar
 POLÍTICA DE ASIGNACIÓN DE INSTALAR Y ACREDITAR
SOLUCIONES Y CAMBIOS (AI7)
Diseño y USO ACADÉMICO EXCLUSIVAMENTE CODIGO Pol Cob IAC 01
elaboración: REVISIÓN 0
Enrique H.H. FECHA 20/abril/2023
© PÁGINA 4 de 8

virtualmente sin control. No hay conciencia de que el cambio

puede causar una interrupción para TI y las operaciones del
negocio y no hay conciencia de los beneficios de la buena
administración de cambio.

6. La dirección de TI debe reconocer que los cambios se deben

administrar y controlar. Las prácticas varían y es muy probable que se
puedan dar cambios sin autorización. Hay documentación de cambio
pobre o no existente y la documentación de configuración es incompleta
y no confiable. Es posible que ocurran errores junto con interrupciones al
ambiente de producción, provocados por una pobre administración de
cambios.

7. Existe un proceso de administración de cambio informal y la mayoría de

los cambios siguen este enfoque; sin embargo, el proceso no está
estructurado, es rudimentario y propenso a errores. La exactitud de la
documentación de la configuración es inconsistente y de planeación
limitada y la evaluación de impacto se da previa al cambio.

8. Existe un proceso formal definido para la administración del cambio,

que incluye la categorización, asignación de prioridades,
procedimientos de emergencia, autorización del cambio y
administración de liberación, y va surgiendo el cumplimiento. Se dan
soluciones temporales a los problemas y los procesos a menudo se
omiten o se hacen a un lado. Aún pueden ocurrir errores y los
cambios no autorizados ocurren ocasionalmente. El análisis de
impacto de los cambios de TI en operaciones de negocio se está
volviendo formal, para apoyar la implantación planeada de nuevas
aplicaciones y tecnologías.

9. La dirección de TI debe definir el proceso de administración de cambio

se desarrolla bien y es consistente para todos los cambios, y la gerencia
confía que hay excepciones mínimas. El proceso es eficiente y efectivo,
pero se basa en manuales de procedimientos y controles considerables
para garantizar el logro de la calidad. Todos los cambios están sujetos a
una planeación minuciosa y a la evaluación del impacto para minimizar
la probabilidad de tener problemas de post-producción. Se da un
proceso de aprobación para cambios. La documentación de
administración de cambios es vigente y correcta, con seguimiento
formal a los cambios. La documentación de configuración es
generalmente exacta. La planeación e implantación de la administración
 POLÍTICA DE ASIGNACIÓN DE INSTALAR Y ACREDITAR
SOLUCIONES Y CAMBIOS (AI7)
Diseño y USO ACADÉMICO EXCLUSIVAMENTE CODIGO Pol Cob IAC 01
elaboración: REVISIÓN 0
Enrique H.H. FECHA 20/abril/2023
© PÁGINA 5 de 8

de cambios en TI se van integrando con los cambios en los procesos de

negocio, para asegurar que se resuelven los asuntos referentes al
entrenamiento, cambio organizacional y continuidad del negocio. Existe
una coordinación creciente entre la administración de cambio de TI y el
rediseño del proceso de negocio. Hay un proceso consistente para
monitorear la calidad y el desempeño del proceso de administración de
cambios.

10. El proceso de administración de cambios se revisa con regularidad y se

actualiza para permanecer en línea con las buenas prácticas. El
proceso de revisión refleja los resultados del monitoreo. La información
de la configuración es computarizada y proporciona un control de
versión. El rastreo del cambio es sofisticado e incluye herramientas para
detectar software no autorizado y sin licencia. La administración de
cambio de TI se integra con la administración de cambio del negocio
para garantizar que TI sea un factor que hace posible el incremento de
productividad y la creación de nuevas oportunidades de negocio para la
organización.

11. El encargado de TI debe entrenar al personal de los departamentos de

usuario afectados y al grupo de operaciones de la función de TI de
acuerdo con el plan definido de entrenamiento e implantación y a los
materiales asociados, como parte de cada proyecto de sistemas de la
información de desarrollo, implementación o modificación.

12. La dirección de TI debe establecer un plan de pruebas basado en los

estándares de la organización que define roles, responsabilidades, y
criterios de entrada y salida. Asegurar que el plan está aprobado por las
partes relevantes.

13. Se debe establecer un plan de implantación y respaldo y vuelta atrás. Obtener

aprobación de las partes relevantes.

14. El director de TI debe definir y establecer un entorno seguro de pruebas

representativo del entorno de operaciones planeado relativo a
seguridad, controles internos, practicas operativos, calidad de los datos
y requerimientos de privacidad, y cargas de trabajo.

15. Plan de conversión de datos y migración de infraestructuras como

parte de los métodos de desarrollo de la organización, incluyendo
pistas de auditoria, respaldo y vuelta atrás.
 POLÍTICA DE ASIGNACIÓN DE INSTALAR Y ACREDITAR
SOLUCIONES Y CAMBIOS (AI7)
Diseño y USO ACADÉMICO EXCLUSIVAMENTE CODIGO Pol Cob IAC 01
elaboración: REVISIÓN 0
Enrique H.H. FECHA 20/abril/2023
© PÁGINA 6 de 8

16. Pruebas de cambios independientemente en acuerdo con los

planes de pruebas definidos antes de la migración al entorno de
operaciones. Asegurar que el plan considera la seguridad y el
desempeño.

17. Asegurar que el dueño de proceso de negocio y los interesados de TI

evalúan los resultados de los procesos de pruebas como determina el
plan de pruebas. Remediar los errores significativos identificados en
el proceso de pruebas, habiendo completado el conjunto de pruebas
identificadas en el plan de pruebas y cualquier prueba de regresión
necesaria. Siguiendo la evaluación, aprobación promoción a
producción.

18. El director de TI debe dar seguimiento a pruebas, controlar la

entrega de los sistemas cambiados a operaciones, manteniéndolo en
línea con el plan de implantación. Obtener la aprobación de los
interesados clave, tales como usuarios, dueño de sistemas y gerente
de operaciones. Cuando sea apropiado, ejecutar el sistema en
paralelo con el viejo sistema por un tiempo, y comparar el
comportamiento y los resultados.

19. La dirección de TI debe establecer procedimientos en línea con los

estándares de gestión de cambios organizacionales para requerir una
revisión posterior a la implantación como conjunto de salida en el plan
de implementación.

20. El director ejecutivo de TI debe asegurar que los recursos de auditoría

interna sean apropiados, suficientes y eficazmente asignados para
cumplir con el plan aprobado.

21. El director ejecutivo de TI debe comunicar los planes y requerimientos

de recursos de la actividad de auditoría interna, incluyendo los cambios
provisionales significativos, a la alta dirección y al Consejo para la
adecuada revisión y aprobación. El director ejecutivo de auditoría
también debe comunicar el impacto de cualquier limitación de recursos.
 POLÍTICA DE ASIGNACIÓN DE INSTALAR Y ACREDITAR
SOLUCIONES Y CAMBIOS (AI7)
Diseño y USO ACADÉMICO EXCLUSIVAMENTE CODIGO Pol Cob IAC 01
elaboración: REVISIÓN 0
Enrique H.H. FECHA 20/abril/2023
© PÁGINA 7 de 8

22. La dirección de TI debe determinar los recursos adecuados y

suficientes para lograr los objetivos del trabajo, basándose en una
evaluación de la naturaleza y complejidad de cada trabajo, las
restricciones de tiempo y los recursos disponibles.

23. Establecer y mantener un marco de trabajo financiero para administrar

las inversiones y el costo de los activos y servicios de TI a través del
portafolios de inversiones habilitadas por TI, casos de negocio y
presupuestos de TI.

24. Implementar un proceso de toma de decisiones para dar prioridades a

la asignación de recursos a TI para operaciones, proyectos y
mantenimiento, para maximizar la contribución de TI a optimizar el
retorno del portafolio empresarial de programas de inversión en TI y
otros servicios y activos de TI

25. Establecer un proceso para elaborar y administrar un presupuesto que

refleje las prioridades establecidas en el portafolio empresarial de
programas de inversión en TI, incluyendo los costos recurrentes de
operar y mantener la infraestructura actual. El proceso debe dar soporte
al desarrollo de un presupuesto general de TI así como al desarrollo de
presupuestos para programas individuales, con énfasis especial en los
componentes de TI de esos programas. El proceso debe permitir la
revisión, el refinamiento y la aprobación constantes del presupuesto
general y de los presupuestos de programas individuales

26. Implementar un proceso de administración de costos que compare los

costos reales con los presupuestados. Los costos se deben monitorear
y reportar. Cuando existan desviaciones, éstas se deben identificar de
forma oportuna y el impacto de esas desviaciones sobre los programas
se debe evaluar y, junto con el patrocinador del negocio para estos
programas, se deberán tomar las medidas correctivas apropiadas y, en
caso de ser necesario, el caso de negocio del programa de inversión
se deberá actualizar.

27. Implementar un proceso de monitoreo de beneficios. La contribución

esperada de TI a los resultados del negocio, ya sea como un
componente de programas de inversión en TI o como parte de un
soporte operativo regular, se debe identificar, acordar, monitorear y
reportar. Los reportes se deben revisar y, donde existan oportunidades
 POLÍTICA DE ASIGNACIÓN DE INSTALAR Y ACREDITAR
SOLUCIONES Y CAMBIOS (AI7)
Diseño y USO ACADÉMICO EXCLUSIVAMENTE CODIGO Pol Cob IAC 01
elaboración: REVISIÓN 0
Enrique H.H. FECHA 20/abril/2023
© PÁGINA 8 de 8

para mejorar la contribución de TI, se deben definir y tomar las medidas

apropiadas. Siempre que los cambios en la contribución de TI tengan
impacto en el programa, o cuando los cambios a otros proyectos
relacionados impacten al programa, el caso de negocio deberá ser
actualizado.

ELABORÓ REVISÓ APROBÓ

ALUMNO (A) DIRECTOR (A) DE DIRECTOR (A)

SEGURIDAD DE TI
DIRECTOR EMPRESA

/ MAESTRO ENRIQUE H H

V. SANCIONES PARA EMPLEADOS QUE NO CUMPLAN LA PRESENTE POLÍTICA:

a. Primer incumplimiento  Acuerdo de mejora

b. Segundo incumplimiento  Acta administrativa
c. Tercer incumplimiento  Despido o demanda legal

VI. HISTORIAL DE LA POLÍTICA:

REV. DESCRIPCION BREVE DE LA FECHA

MODIFICACION
00 Entra en vigor la presente política 27/04/20
23
 POLÍTICA DE ASIGNACIÓN DE INSTALAR Y ACREDITAR
SOLUCIONES Y CAMBIOS (AI7)
Diseño y USO ACADÉMICO EXCLUSIVAMENTE CODIGO Pol Cob IAC 01
elaboración: REVISIÓN 0
Enrique H.H. FECHA 20/abril/2023
© PÁGINA 9 de 8

01 Actualizamos alcance de la política 30 / 05 /

2021