COBIT: Objetivos de control para la información y tecnologías relacionadas
Es un marco que comprende las mejores practicas enfocadas al control y monitoreo de la tecnología de la información. El cual es desarrollado por ISACA (Asociación de Auditoría y Control de Sistemas de Información), la cual es una asociación internacional creada en el año 1967, con el objetivo de suplir la necesidad de centralizar información y metodologías en el área operativa, en 1976 emitió la primera certificación en sistemas de información. Actualmente se encarga de apoyar y patrocinar la construcción de metodologías y certificaciones para la realización de auditorias y control en sistemas de información.
Hechos relevantes ISACA
Certificado de auditor de sistemas de información
Esta certificación se otorga para auditar, controlar, supervisar los sistemas de tecnología de la información y de negocio de una organización.
Certificado de administrador de seguridad de información
Certificado de gobierno de la empresa de TI
Este reconoce conocimientos y aplicación de las TI en las empresas, así como principios y practicas de gobierno. Ofrece que la credibilidad para discutir temas críticos en torno a la gobernabilidad y alineación estratégica basada en la experiencia , habilidades y conocimientos del negocio
Certificados en riesgo y información de sistemas de control
Este certificado hace referencia a la capacidad de gestionar riesgos empresariales, convirtiendo en piezas estratégicas para el negocio
COBIT, es un modelo de administración de la TI el cual incluye una marco, unos objetivos de control, un mapa de auditoria, herramientas para su implementación y fundamentalmente guías de técnica de gestión.
COBIT a sacado 6 ediciones, La primera edición fue publicada en 1996; la segunda edición en 1998; la tercera edición en 2000, la cuarta edición en diciembre de 2005, la versión 4.1 en 2007 y la versión 5 en el año 2012
Beneficios de COBIT
- Alinea las metas y actividades de la función de TI con el negocio
- Aprovechar al máximo la información generando beneficios para el negocio
- integrar e institucionalizar las buenas prácticas de control TI
- cubrir las necesidades de calidad, regulación y seguridad de la información
- Establecer un nivel apropiado de control, ajustado a las necesidades del negocio
- Enfoque flexible que se integra con otros marcos de referencia (COSO)
Áreas de enfoque de gobierno de TI
Alineación estratégica: garantiza la alineación de TI con la estrategia organizacional.
Entrega de valor: busca que TI genere los beneficios esperados a la estrategia. Se centra en optimizar costos y dar valor a TI
Administración de recursos: optimización de conocimiento e infraestructura
Administración de riesgos: conocimiento de los riesgos, del apetito de los mismos y de las responsabilidades de administrarlos en la organización.
Medición de desempeño: Rastrea y monitorea la estrategia de implemetación.
principios
Sa Satisfacer las necesidades de las partes interesadas
Cubrir la compañía de forma integral
Aplicar un marco integrado
Habilitar un enfoque holístico
Separar el gobierno de la administración
COBIT 4.1
COBIT se divide en 3 niveles el estratégico, táctico y operativo
Estratégico: Se explica porque el gobierno de TI
es importante, cuales son sus intereses y sus responsabilidades para su
administración.
Táctico: Herramientas para asignar
responsabilidades, medir el desempeño, llevar a cabo benchmarks y manejar
brechas de capacidad.
Operativo: Organiza los objetivos de gobierno
y las buenas practicas de TI. Relaciona los requerimientos de
control de alto nivel considerados por la dirección.
REQUERIMIENTOS DE NEGOCIO
Para lograr los objetivos del negocio, la información debe cumplir con ciertos criterios de control (requerimientos de información de negocio):
Efectividad: la información debe ser relevante y pertinente a los procesos de negocio, y proporcionada oportunamente, correcta, útil y consistente.
eficiencia: La información debe ser generada con el optimo uso de recursos.
Confidencialidad: Protección de la información no autorizada.
Integridad: Precisión, completitud y validez de la información
Disponibilidad: La información debe estar disponible cuando sea requerida por los procesos del negocio en cualquier momento.
Cumplimiento: Acatar aquellas leyes, estatutos,reglamento y acuerdos contractuales a los cuales esta sujeta el proceso del negocio (Políticas internas)
Confiabilidad: proporcionar la información apropiada para que la gerencia administre la entidad y ejerza sus responsabilidades.
METAS DE NEGOCIOS Y DE TI
Mientras que los criterios de información proporcionan un método genérico para definir los requerimientos del negocio, la definición de un conjunto de metas genéricas de negocio y de TI da un soporte mas refinado y relacionado con el negocio y el establecimiento de sus requerimientos y parámetros para la medición de las metas.
RECURSOS DE TI
La organización realiza sus operaciones con respecto a las metas por medio de un conjunto de procesos definidos con claridad que utiliza las habilidades de las personas y la infraestructura de tecnología para ejecutar aplicaciones automatizadas de negocio, tomando ventaja la información del negocio
Los recursos de TI identificados en COBIT son los siguientes:
• Las aplicaciones incluyen tanto sistemas de usuario automatizados como procedimientos manuales que procesan información.
• La información son los datos en todas sus formas, de entrada, procesados y generados por los sistemas de información, en cualquier forma en que sean utilizados por el negocio.
• La infraestructura es la tecnología y las instalaciones (hardware, sistemas operativos, sistemas de administración de base de datos, redes, multimedia, etc., así como el sitio donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las aplicaciones.
• Las personas son el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios de información. Estas pueden ser internas, por outsourcing o contratadas, de acuerdo a como se requieran.
PROCESOS DE TI
COBIT define las actividades de TI en un modelo general de procesos organizados en cuatro dominios. Estos dominios son Planear y Organizar, Adquirir e Implementar, Entregar y Dar Soporte y Monitorear y Evaluar. Los dominios se equiparan a las áreas tradicionales de TI de planear, construir, ejecutar y monitorear. El marco de trabajo de COBIT proporciona un modelo de procesos de referencia y un lenguaje común para que todos en la empresa visualicen y administren las actividades TI.
procesos:Conjunto de actividades unidas con delimitación o cortes de control.
Actividades: Acciones requeridas para lograr un resultado medible
Los dominios de COBIT corresponden a la responsabilidad organizacional, en este se definen las actividades de TI en 34 procesos genéricos que cubren 210 objetivos de contro, y se agrupan en cuatro:
- Planificación y Organización -PO (Plan and Organize) Proporciona dirección para la entrega de soluciones (AI) y la entrega de servicio (DS). " Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI puede contribuir de la mejor manera al logro de los objetivos del negocio. Además, la realización de la visión estratégica requiere ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, se debe implementar una estructura organizacional y una estructura tecnológica apropiada".
- Adquisición e Implantación-AI (Acquire and Implement) Proporciona las soluciones y las pasa para convertirlas en servicios. "Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas así como implementadas e integradas en los procesos del negocio. Además, el cambio y el mantenimiento de los sistemas existentes está cubierto por este dominio para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio".
- Entrega y Soporte- ES (Deliver and Support) Recibe las soluciones y las hace utilizables por los usuarios finales. "Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operativos".
- Supervisión y Evaluación-SE (Monitor and Evaluate). Monitorear todos los procesos para asegurar que se sigue la dirección provista. Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administración del desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del gobierno.
CONTROLES
Los procesos necesitan de controles, un control se define como las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para brindar una seguridad razonable que los objetivos de negocio se alcanzarán, y los eventos no deseados serán prevenidos o detectados y corregidos.
COBIT 5
COBIT 5 es producto de la mejora estratégica de ISACA impulsando la próxima generación de guías sobre el Gobierno y la Administración de la información y los Activos Tecnológicos de las Organizaciones
COBIT 5 permite que las tecnologías de la información y relacionadas se gobiernen y administren de una manera holística a nivel de toda la Organización, incluyendo el alcance completo de todas las áreas de responsabilidad funcionales y de negocios, considerando los intereses relacionados con la TI de las partes interesadas internas y externas.
COBIT 5 PRINCIPIOS Y HABILITADORES
Los principios y habilitadores de COBIT 5 son genéricos y útiles para las Organizaciones de cualquier tamaño, bien sean comerciales, sin fines de lucro o en el sector público.
Cobit 5 integra cinco aspectos
El poder de COBIT 5 está en su amplitud de herramientas, recursos y orientación. El valor de COBIT 5 se encuentra en la forma en que se aplica a su profesión.
Bibliografía
http://www.isaca.org/cobit/pages/default.aspx
http://www.isaca.org/COBIT/Pages/COBIT-5-spanish.aspx
http://cs.uns.edu.ar/~ece/auditoria/cobiT4.1spanish.pdf
http://www.javeriana.edu.co/personales/hbermude/Audire/jarb.pdf
This entry was posted
on 9:10
.
You can leave a response
and follow any responses to this entry through the
Suscribirse a:
Enviar comentarios (Atom)
.