COBIT es un marco de gobierno de las tecnologías de
información que proporciona una serie de herramientas para que la gerencia pueda conectar los
requerimientos de control con los aspectos técnicos y los riesgos del negocio.
COBIT permite el desarrollo de las políticas y buenas
prácticas para el control de las tecnologías en toda la organización.
COBIT enfatiza el cumplimiento regulatorio, ayuda a las
organizaciones a incrementar su valor a través de las tecnologías, y permite su
alineamiento con los objetivos del negocio.
EVOLUCIÓN DEL COBIT
COBIT
fue publicado por primera vez por ITGI en abril de 1996, con el fin de crear un
mayor producto global que pudiese tener un impacto duradero sobre el campo de
visión de los negocios, así como sobre los controles de los sistemas de
información implantados. La primera edición del COBIT, fué publicada en 1996 y
fue vendida en 98 países de todo el mundo. Fue desarrollado como marco de gobierno para el control de TI.
La segunda edición publicada en Abril de 1998, desarrolla y mejora lo que
poseía la anterior mediante la incorporación de un mayor número de documentos
de referencia fundamentales, nuevos y revisados (de forma detallada) objetivos
de control de alto nivel, intensificando las líneas maestras de auditoría,
introduciendo un conjunto de herramientas de implementación, así como un CD-ROM
completamente organizado el cual contiene la totalidad de los contenidos de
esta segunda edición. La tercera edición desarrollada en el año 2000, provee
guías para resolver las necesidades de la administración de TI (brechas entre
los riesgos del negocio, necesidades de control y aspectos técnicos). La cuarta
edición desarrollada en el año 2005, incrementa su foco hacia la gerencia y el
gobierno de TI a niveles directivos. Dirigido a una mayor variedad de
audiencias. Incrementa madurez de las practicas y estándares de TI. La versión
4.1. desarrollada en el año 2007, presenta cambios menores en la definición de
procesos de control. Su última actualización es el COBIT 5, desarrollado en el
año 2012, que en pocas palabras, ayuda a las empresas a crear valor
óptimo de TI mediante el mantenimiento de un equilibrio entre la obtención de
beneficios y la optimización de los niveles de riesgo y el uso de los recursos.
COBIT 5 permite que la información y la tecnología relacionada para ser
gobernado y administrado de manera integral para el conjunto de la empresa,
teniendo en el pleno de extremo a extremo del negocio y áreas funcionales de
responsabilidad, teniendo en cuenta los intereses relacionados con la TI de
grupos de interés internos y externos.
BENEFICIOS DEL COBIT
- Mantener información de calidad para apoyar las decisiones del negocio.
- Generar un valor comercial de las inversiones habilitadas por la Tecnología de la Información (TI), o sea: lograr metas estratégicas y mejoras al negocio mediante el uso eficaz e innovador de la TI.
- Lograr una excelencia operativa mediante la aplicación eficiente y fiable de la tecnología.
- Mantener el riesgo relacionado con TI a niveles aceptables.
- Optimizar el costo de la tecnología y los servicios de TI.
- Mejor alineación, con base en su enfoque de negocio.
- Cumplimiento de los requerimientos COSO para el ambiente de control TI.
- Una visión, entendible para la gerencia, de lo que hace TI.
- Propiedad y responsabilidades claras, con base en su orientación a procesos.
PRODUCTOS DEL COBIT
NIVEL ESTRATÉGICO: Resumen que explica las practicas, intereses y
responsabilidades para la administración.
NIVEL TÁCTICO: Herramientas que ayuda a medir el desempeño, definir las
metas y los modelos de madurez.
NIVEL OPERATIVO: Define, implementa y evalúa
el marco de control.
· La efectividad
tiene que ver con que la información sea relevante y pertinente a los procesos
del negocio, y se proporcione de una manera oportuna, correcta, consistente y
utilizable.
· La eficiencia
consiste en que la información sea generada con el óptimo (más productivo y
económico) uso de los recursos.
· La
confidencialidad se refiere a la protección de información sensitiva contra
revelación no autorizada.
· La integridad
está relacionada con la precisión y completitud de la información, así como con
su validez de acuerdo a los valores y expectativas del negocio.
· La
disponibilidad se refiere a que la información esté disponible cuando sea
requerida por los procesos del negocio en cualquier momento. También concierne
a la protección de los recursos y las capacidades necesarias asociadas.
· El cumplimiento
tiene que ver con acatar aquellas leyes, reglamentos y acuerdos contractuales a
los cuales está sujeto el proceso de negocios, es decir, criterios de negocios
impuestos externamente, así como políticas internas.
· La
confiabilidad se refiere a proporcionar la información apropiada para que la
gerencia administre la entidad y ejerza sus responsabilidades.
La empresa debe
suministrar los recursos necesarios para responder a los requerimientos que el
negocio tiene hacia la función de tecnología de información. Los recursos
necesarios son:
a) Aplicaciones: Se entiende como
sistemas de aplicación la suma de procedimientos manuales y programados.
b)
Información: datos en su más amplio sentido, (por ejemplo, externos e
internos), estructurados y no estructurados, gráficos, sonido, etc.
c)
Infraestructura: Recursos para alojar y dar soporte a los sistemas de
información. Como el hardware, bases de datos
d) Personal:
Habilidades del personal, conocimiento, conciencia y productividad para
planear, organizar, adquirir, entregar, soportar y monitorear servicios y
sistemas de información
Para obtener
información que requiere la empresa para obtener sus objetivos, esta necesita
invertir en administrar y controlar recursos de TI utilizando un conjunto de
procesos para proporcionar los servicios que entreguen esa información
requerida. Los cuales se dividen en:
· Dominios de Cobit
a) Planear y
organizar: se refiere a identificar la manera en que TI pueda contribuir de la
mejor manera al logro de los objetivos del negocio.
b) Adquirir e
implementar: Para llevar a cabo la estrategia de TI, se necesitan
identificación de soluciones, desarrollo o adquisición, cambios y/o
mantenimiento de sistemas existentes.
c) Entregar y
soportar: Cubre la entrega de los servicios requeridos. Incluye la prestación
del servicio, la administración de la seguridad y de la continuidad, el soporte
del servicio a los usuarios, la administración de los datos y de las instalaciones
operacionales.
d) Monitorear y
evaluar: Todos los procesos de TI deben evaluarse de forma regular en el tiempo
en cuanto a su calidad y cumplimiento de los requerimientos de control.
· Procesos
Los procesos están agrupados en cuatro grandes dominios que
se describen a continuación:
1) Planeación
Se vincula con la identificación de la forma en que la tecnología de información puede contribuir de la manera más adecuada con el logro de los objetivos del negocio.
Se vincula con la identificación de la forma en que la tecnología de información puede contribuir de la manera más adecuada con el logro de los objetivos del negocio.
Se tiene en cuenta una serie de puntos:
a) Definir un plan
estratégico de TI
b) Definir la
arquitectura de información
c) Determinar la
dirección tecnológica
d) Definir la
organización y relaciones de la Función TI
e) Administrar la
inversión en TI
f) Comunicación
de las directrices Gerenciales
g) Administración
del Recurso Humano
h) Administración
de Calidad
i) Evaluación de
Riesgos
2) Adquisición y
desarrollo
Cambios y mantenimiento de los sistemas existentes para
garantizar la continuidad del ciclo de vida para estos sistemas. Incluye:
a) Identificación
de soluciones Automatizadas
b) Adquisición y
mantenimiento de software aplicativo
c) Adquisición y
mantenimiento de arquitectura TI
d) Facilitar la
operación y el uso
e) Adquirir
recursos de TI
f) Administrar
cambios
g) Instalar y
acreditar soluciones y cambios
3) Entrega y
soporte
Prestación efectiva de los servicios requeridos, comprenden
desde las operaciones tradicionales sobre aspectos de seguridad y continuidad
hasta capacitación. Incluye:
a) Definición del
nivel de servicio
b) Administración
del servicio de terceros
c) Administración
de la capacidad y el desempeño
d) Garantizar la
seguridad del sistema
e) Capacitación de
usuarios
f) Soporte a los
clientes de TI
g) Administración
de la configuración
h) Administración
de problemas e incidentes
i)
Administración de datos:
4) Monitoreo
Evaluar regularmente todos los procesos de TI para
determinar su calidad y el cumplimiento de los requerimientos de control
a) Monitorear y
Evaluar el desempeño de TI
b) Monitorear y
evaluar el control interno
c) Garantizar el
cumplimiento regulatorio
· Controles
COBIT define objetivos de control, políticas,
procedimientos, prácticas y estructuras organizaciones diseñados para
proporcionar un aseguramiento razonable del cumplimiento de los objetivos
institucionales. Cada proceso tiene objetivo de control específicos, objetivo
de control de alto nivel, objetivos de control genéricos aplicables a todos los
procesos.
TI es responsable de:
– Automatizar e
implementar los requisitos de las funciones de negocio y de control
– Establecer
controles para mantener la integridad de controles de aplicación.
Por lo tanto, los
procesos de TI de COBIT abarcan a los controles generales de TI, pero sólo los
aspectos de desarrollo de los controles de aplicación; la responsabilidad de
definir y el uso operativo es de la empresa.
· Medición
Forma de medición a través del uso de un modelo de madurez.
Permite comparación:
a. Como estamos
en relación a buenas prácticas aceptadas
b. Como estamos
frente a similares
c. Se realiza lo
necesario?
d. Identificar que
se necesita realizar para lograr el nivel de procesos
Representación gráfica de los modelos de madurez:
0. No existente. No se aplican
procesos administrativos en lo absoluto
1. Inicial. Los procesos son desorganizados
2. Repetible pero intuitivo. Los procesos siguen un patrón regular
3. Proceso definido. Los procesos se documentan y se comunican
4. Administrado y medible. Los procesos se monitorean y se miden
5. Optimizado. Las buenas prácticas se siguen y se automatizan
MODELO DE MADUREZ
Fuentes:
http://www.javeriana.edu.co/personales/hbermude/Audire/jarb.pdf
No hay comentarios:
Publicar un comentario