COBIT
Control Objectives for Information and related Technology
COBIT fue publicado por primera vez por ITGI en abril de
1996, con el fin de crear un mayor producto global que pudiese tener un impacto
duradero sobre el campo de visión de los negocios, así como sobre los controles
de los sistemas de información implantados.
ü La primera edición del COBIT, fue desarrollada como marco de
gobierno para el control de TI.
ü La segunda edición publicada en Abril de 1998, desarrolla y
mejora lo que poseía la anterior mediante la incorporación de un mayor número
de documentos de referencia fundamentales, nuevos y revisados objetivos de
control de alto nivel, intensificando las líneas maestras de auditoría,
introduciendo un conjunto de herramientas de implementación.
ü La tercera edición desarrollada en el año 2000, provee guías
para resolver las necesidades de la administración de TI
ü La cuarta edición desarrollada en el año 2005, incrementa su
foco hacia la gerencia y el gobierno de TI a niveles directivos. Dirigido a una
mayor variedad de audiencias. Incrementa madurez de las prácticas y estándares
de TI. La versión 4.1. desarrollada en el año 2007, presenta cambios menores en
la definición de procesos de control.
ü Su última actualización es el COBIT 5, desarrollado en el
año 2012, ayuda a las
empresas a crear valor óptimo de TI mediante el mantenimiento de un equilibrio
entre la obtención de beneficios y la optimización de los niveles de riesgo y
el uso de los recursos. Permite que la información y la tecnología relacionada
para ser gobernado y administrado de manera integral para el conjunto de la
empresa, teniendo en el pleno de extremo a extremo del negocio y áreas
funcionales de responsabilidad, teniendo en cuenta los intereses relacionados
con la TI de grupos de interés internos y externos.
BENEFICIOS DE IMPLEMENTAR COBIT
Ø Mantener información de
calidad para apoyar las decisiones del negocio.
Ø Generar un valor
comercial de las inversiones habilitadas por la Tecnología de la Información
(TI), es decir lograr metas estratégicas y mejoras al negocio mediante el uso
eficaz e innovador de la TI.
Ø Lograr una excelencia
operativa mediante la aplicación eficiente y fiable de la tecnología.
Ø Mantener el riesgo
relacionado con TI a niveles aceptables.
Ø Optimizar el costo de la
tecnología y los servicios de TI.
Ø Mejor alineación, con
base en su enfoque de negocio.
Ø Cumplimiento de los
requerimientos COSO para el ambiente de control TI.
Ø Una visión, entendible
para la gerencia, de lo que hace TI.
Ø Propiedad y
responsabilidades claras, con base en su orientación a procesos.
PRODUCTOS
Nivel Estratégico
Explica porque el gobierno de TI es importante, cuáles son sus intereses y responsabilidades para su administración
Nivel Estratégico
Explica porque el gobierno de TI es importante, cuáles son sus intereses y responsabilidades para su administración
Nivel Táctico
Herramientas
que ayudan a asignar responsabilidades, medir el desempeño.
Nivel Operativo
Explica
como Cobit organiza los objetivos de gobierno y las buenas prácticas de TI con
base en dominios y procesos de TI y los vincula a los requerimientos del
negocio.
CONCEPTOS
BÁSICOS
Orientación básicamente al negocio y a los procesos
La orientación a negocios es el tema principal de COBIT.
Proporciona la información que la empresa requiere para lograr sus objetivos,
la empresa necesita invertir en, y administrar y controlar los recursos de TI
usando un conjunto estructurado de procesos que provean los servicios que
entregan la información empresarial requerida.
Para gobernar efectivamente TI, es importante determinar
las actividades y los riesgos que requieren ser administrados. Normalmente se
ordenan dentro de dominios de responsabilidad de plan, construir, ejecutar y
monitorear.
• Planear y Organizar: Proporciona
dirección para la entrega de soluciones (AI) y la entrega de servicio (DS)
• Adquirir e Implementar: Proporciona
las soluciones y las pasa para convertirlas en servicios.
• Entregar y Dar Soporte
(DS): Recibe las soluciones y las hace utilizables por los usuarios finales.
• Monitorear y Evaluar: Monitorear
todos los procesos para asegurar que se sigue la dirección prevista.
o
El cubo
- Criterios
de información
Para satisfacer los
objetivos del negocio, la información necesita adaptarse a ciertos criterios de
control. Con base en los requerimientos más amplios de calidad, y de seguridad,
se definieron siete criterios de información:
1) Efectividad: se
refiere a que la información debe ser relevante y pertinente a los procesos del
negocio, y se proporcione de una manera oportuna, correcta, consistente y
utilizable.
2) Eficiencia: consiste
en que la información sea generada con el óptimo uso de los recursos.
3) Confidencialidad: se
refiere a la protección de información sensitiva contra revelación no
autorizada.
4) Integridad: Relacionada
con la precisión y completitud de la información, así como con su validez de acuerdo
a los valores y expectativas del negocio.
5) Disponibilidad: se
refiere a que la información esté disponible cuando sea requerida por los
procesos del negocio en cualquier momento. También concierne a la protección de
los recursos y las capacidades necesarias asociadas.
6) Cumplimiento: tiene
que ver con acatar aquellas leyes, reglamentos y acuerdos contractuales a los
cuales está sujeto el proceso de negocios, es decir, criterios de negocios
impuestos externamente, así como políticas internas.
7) Confiabilidad: se refiere a proporcionar
la información apropiada para que la gerencia administre la entidad y ejerza
sus responsabilidades.
La empresa debe
suministrar los recursos necesarios para responder a los requerimientos que el
negocio tiene hacia la función de tecnología de información. Los recursos
necesarios son:
a) Aplicaciones: Se entiende como sistemas de aplicación la suma de procedimientos manuales y programados.
b)
Información: datos en su más amplio
sentido, (por ejemplo, externos e internos), estructurados y no estructurados,
gráficos, sonido, etc.
c)
Infraestructura: Recursos para alojar y dar
soporte a los sistemas de información. Como el hardware, bases de datos
d)
Personal: Habilidades del personal,
conocimiento, conciencia y productividad para planear, organizar, adquirir,
entregar, soportar y monitorear servicios y sistemas de información
o
Procesos orientados
Para obtener información
que requiere la empresa para obtener sus objetivos, esta necesita invertir en
administrar y controlar recursos de TI utilizando un conjunto de procesos para
proporcionar los servicios
que entreguen esa información requerida. Los cuales
se dividen en:
ü Dominios
a)
Planear y organizar: se refiere a
identificar la manera en que TI pueda contribuir de la mejor manera al logro de
los objetivos del negocio.
b)
Adquirir e implementar: Para llevar a cabo
la estrategia de TI, se necesitan identificación de soluciones, desarrollo o
adquisición, cambios y/o mantenimiento de sistemas existentes
c)
Entregar y soportar: Cubre la entrega de
los servicios requeridos. Incluye la prestación del servicio, la administración
de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la
administración de los datos y de las instalaciones operacionales.
d)
Monitorear y evaluar: Todos los procesos de
TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y
cumplimiento de los requerimientos de control.
ü Procesos
Los procesos están
agrupados en cuatro grandes dominios que se describen a continuación:
1.
Planeación
Se vincula con la identificación de la
forma en que la tecnología de información puede contribuir de la manera más
adecuada con el logro de los objetivos del negocio.
2.
Adquisición y desarrollo
Cambios y mantenimiento de los sistemas
existentes para garantizar la continuidad del ciclo de vida para
estos sistema
estos sistema
3. Entrega y soporte
Prestación efectiva de los servicios
requeridos, comprenden desde las operaciones tradicionales sobre
aspectos de seguridad y continuidad hasta capacitación. Incluye:
aspectos de seguridad y continuidad hasta capacitación. Incluye:
4.
Monitoreo
Evaluar regularmente todos los procesos de TI para determinar su calidad y el cumplimiento de los requerimientos
Evaluar regularmente todos los procesos de TI para determinar su calidad y el cumplimiento de los requerimientos
o Controles
COBIT define objetivos de
control, políticas, procedimientos, prácticas y estructuras organizaciones
diseñados para proporcionar un aseguramiento razonable del cumplimiento de los
objetivos institucionales. Cada proceso tiene objetivo de control específicos,
objetivo de control de alto nivel, objetivos de control genéricos aplicables a
todos los procesos.
- Medición
La forma de medición es a
través del uso de un modelo de madurez. Permite comparar:
a.
Como estamos en relación a buenas prácticas
aceptadas
b.
Como estamos frente a similares
c.
Se realiza lo necesario?
d.
Identificar que se necesita realizar para lograr
el nivel de procesos
MODELO DE CAPACIDAD DE LOS PROCESOS
El modelo de madurez de los procesos manejados en COBIT
4.1., fue reemplazado por el modelo de capacidad de los procesos en COBIT 5,
este fue desarrollado basado en la
ISO/IEC 15504 de Ingeniería de Software-Evaluación de Procesos, también
conocida como Software Process Improvemente Capability Determinacion (SPICE),
en español, “Determinación de la Capacidad de Mejora del Proceso de
Software”. El modelo tiene como
objetivos generales la evaluación de procesos y apoyo a la mejora de procesos,
es decir, que proporciona un medio para medir el desempeño de cualquier de los
procesos de gobierno (basado en EDM) o de gestión (basado en PRM) y permitirá
indicar áreas de mejora.
La ISO/IEC 15504 se caracteriza por:
·
Establecer un marco y requisitos para
cualquier proceso de evaluación de procesos.
·
Proporciona requisitos para cualquier
modelo de evaluación de organizaciones.
·
Proporciona guías para la definición de
las competencias de un evaluador de procesos.
La descripción del proceso debe cumplir con los siguientes
requisitos:
· El proceso debe estar descrito en términos de su propósito y
resultados.
·
La descripción del proceso no debe
contener ningún aspecto del marco de medición por debajo del nivel 1, es decir.
Eso quiere decir que la descripción del proceso solo contiene los pasos necesarios para alcanzar el propósito y las
metas reales del proceso.
Existen 6 niveles de capacidad que se
pueden alcanzar por procesos:
·
Nivel 0 Procesos incompletos: El proceso no está implementado o no alcanzo su propósito.
·
Nivel 1 Proceso ejecutado (un atributo): Alcanzar este nivel requiere que el atributo de rendimiento sea alcanzado
ampliamente, lo que significa que el proceso se ejecute con éxito y la organización haya obtenido los resultados
esperados.
·
Nivel 2 Proceso gestionado (dos atributos): El proceso ejecutado esta ya implementado de forma
gestionada (planificado, supervisado y ajustado) y los resultados de la
ejecución están establecidos, controlados y mantenidos apropiadamente
·
Nivel 3 Proceso establecido (dos atributos): El proceso gestionado esta ahora implementado usando un
proceso definido que es capaz de alcanzar sus resultados de procesos
·
Nivel 4 Proceso predecible (dos atributos): El proceso establecido ahora se ejecuta dentro de límites
definidos para alcanzar sus resultados de proceso.
Nivel 5 Procesos optimizados (dos atributos): El
proceso predecible es mejorado de forma continua para poder cumplir con las
metas empresariales presentes y futuras
DIFERENCIAS EN LA PRÁCTICA ENTRE LOS MODELOS DE COBIT 4.1 Y COBIT 5
• En general, los resultados
de la evaluación serán menores al usar el modelo de capacidad de procesos de
COBIT 5, puesto que en el modelo de madurez de COBIT 4.1, un proceso
podía alcanzar un nivel 1 ó 2 sin alcanzar completamente todos los objetivos
del proceso; con los niveles de la capacidad de procesos de COBIT 5, esto
implicaría un resultado inferior, entre 0 y 1.
• Ya no se incluye dentro de
los contenidos detallados de un proceso en COBIT 5 un modelo específico de
madurez para cada proceso. Esto es porque el enfoque de la norma ISO/IEC 15504
para la evaluación de la capacidad de procesos no lo requiere. En cambio, el
enfoque de la norma define la información requerida en el “modelo de referencia
de procesos"
CONCLUSIONES
-
El COBIT es de gran
importancia para la obtención de información relevante para cualquier negocio.
-
Ayuda a mejorar los procesos
de negocio y permite utilizar la información de manera oportuna, correcta y consistente.
-
El uso de Cobit ayuda a lograr
un balance entre los riesgos y las inversiones que se requieren en controles.
-
Cobit le permite a los
usuarios, obtener una garantía en cuanto a la seguridad y controles de los
servicios de tecnología de información proporcionados internamente o por proveedores.
No hay comentarios.:
Publicar un comentario