COBIT (Objetivos de Control para la Información y Tecnologías Relacionadas)
Estar preparado es importante, saber esperar lo es aún más, pero aprovechar el momento adecuado es la clave de la vida.(ZzJosmellzZ)
Capitulo I
COBIT (Objetivos de Control para la Información y Tecnologías Relacionadas)
El COBIT es precisamente un modelo para auditar la gestión y control de los sistemas de información y tecnología, orientado a todos los sectores de una organización, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso. El COBIT es un modelo de evaluación y monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca controles específicos de IT desde una perspectiva de negocios.
Las siglas COBIT significan Objetivos de Control para Tecnología de Información y Tecnologías relacionadas (Control Objectives for Information Systems and related Technology). El modelo es el resultado de una investigación con expertos de varios países, desarrollado por ISACA (Information Systems Audit and Control Association).
COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de tecnología. Vinculando tecnología informática y prácticas de control, el modelo COBIT consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la gerencia, los profesionales de control y los auditores.
COBIT se aplica a los sistemas de información de toda la empresa, incluyendo los computadores personales y las redes. Está basado en la filosofía de que los recursos TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos.
MISIÒN DEL COBIT
Buscar, desarrollar, publicar y promover un autoritario y actualizado conjunto internacional de objetivos de control de tecnologías de la información, generalmente aceptadas, para el uso diario por parte de gestores de negocio y auditores.
BENEFICIOS COBIT
· Mejor alineación basada en una focalización sobre el negocio.
· Visión comprensible de TI para su administración.
· Clara definición de propiedad y responsabilidades.
· Aceptabilidad general con terceros y entes reguladores.
· Entendimiento compartido entre todos los interesados basados en un lenguaje común.
· Cumplimiento global de los requerimientos de TI planteados en el Marco de Control Interno de Negocio COSO.
DESVENTAJAS DEL COBIT
“Resulta un modelo ambicioso que requiere de profundidad en el estudio, que se enriquece constantemente y provee de guías de auditorías que por dificultades económicas y de gestión no hemos podido obtener.”
“No existe en la bibliografía resultados de la experiencia práctica de los países en la implementación de este modelo que lo hagan medible, sin embargo conocemos que se emplea pero no en la generalidad de los casos.”
ESTRUCTURA DEL COBIT
La estructura del modelo COBIT propone un marco de acción donde se evalúan los criterios de información, como por ejemplo la seguridad y calidad, se auditan los recursos que comprenden la tecnología de información, como por ejemplo el recurso humano, instalaciones, sistemas, entre otros, y finalmente se realiza una evaluación sobre los procesos involucrados en la organización.
"La adecuada implementación de un modelo COBIT en una organización, provee una herramienta automatizada, para evaluar de manera ágil y consistente el cumplimiento de los objetivos de control y controles detallados, que aseguran que los procesos y recursos de información y tecnología contribuyen al logro de los objetivos del negocio en un mercado cada vez más exigente, complejo y diversificado.
DOMINIOS COBIT
El conjunto de lineamientos y estándares internacionales conocidos como COBIT, define un marco de referencia que clasifica los procesos de las unidades de tecnología de información de las organizaciones en cuatro "dominios" principales, a saber:
·PLANIFICACIÓN Y ORGANIZACIÓN: Este dominio cubre la estrategia y las tácticas y se refiere a la identificación de la forma en que la tecnología de información puede contribuir de la mejor manera al logro de los objetivos del negocio. Además, la consecución de la visión estratégica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, deberán establecerse una organización y una infraestructura tecnológica apropiadas.
· ADQUISION E IMPLANTACION: Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.
· SOPORTE Y SERVICIOS: En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicación, frecuentemente clasificados como controles de aplicación.
· MONITOREO: Todos los procesos necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control.
· Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los aspectos de información, como de la tecnología que la respalda. Estos dominios y objetivos de control facilitan que la generación y procesamiento de la información cumplan con las características de efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad.
Video de introducciòn de cobit
Concepto de Cobit
Fundación del Cobit
Capitulo II
USUARIOS COBIT
· LA GERENCIA: Para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control.
· LOS USUARIOS FINALES: Quienes obtienen una garantía sobre la seguridad y el control de los productos que adquieren interna y externamente.
· LOS AUDITORES: Para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organización y determinar el control mínimo requerido.
· LOS RESPONSABLES DE TI: Para identificar los controles que requieren en sus áreas.
También puede ser utilizado dentro de las empresas por el responsable de un proceso de negocio en su responsabilidad de controlar los aspectos de información del proceso, y por todos aquellos con responsabilidades en el campo de la TI en las empresas.
CARACTERÍSTICAS DEL COBIT
· Orientado al negocio.
· Alineado con estándares y regulaciones "de facto".
· Basado en una revisión crítica y analítica de las tareas y actividades en TI.
· Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA).
PRINCIPIOS
El enfoque del control en TI se lleva a cabo visualizando la información necesaria para dar soporte a los procesos de negocio y considerando a la información como el resultado de la aplicación combinada de recursos relacionados con las TI que deben ser administrados por procesos de TI.
· Requerimientos de la información del negocio: Para alcanzar los requerimientos de negocio, la información necesita satisfacer ciertos
CRITERIOS
· REQUERIMIENTOS DE CALIDAD: Calidad, Costo y Entrega.
· REQUERIMIENTOS FIDUCIARIOS: Efectividad y Eficiencia operacional, Confiabilidad de los reportes financieros y Cumplimiento le leyes y regulaciones.
· REQUERIMIENTOS DE SEGURIDAD: Confidencialidad, Integridad y Disponibilidad.
En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos de negocio:
NIVELES COBIT
Se divide en 3 niveles, los cuales son los siguientes:
· DOMINIOS: Agrupación natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional.
· PROCESOS: Conjuntos o series de actividades unidas con delimitación o cortes de control.
· ACTIVIDADES: Acciones requeridas para lograr un resultado medible.
COMPONENTES COBIT
Resumen Ejecutivo: Es un documento dirigido a la alta gerencia presentando los antecedentes y la estructura básica de COBIT Además, describe de manera general los procesos, los recursos y los criterios de información, los cuales conforman la "Columna Vertebral" de COBIT.
Marco de Referencia (Framework): Incluye la introducción contenida en el resumen ejecutivo y presenta las guías de navegación para que los lectores se orienten en la exploración del material de COBIT haciendo una presentación detallada de los 34 procesos contenidos en los cuatro dominios.
Objetivos de Control: Integran en su contenido lo expuesto tanto en el resumen ejecutivo como en el marco de referencia y presenta los objetivos de control detallados para cada uno de los 34 procesos.
• PLANEAR Y ORGANIZAR
PO1 Definir el plan estratégico de TI.
PO2 Definir la arquitectura de la información
PO3 Determinar la dirección tecnológica.
PO4 Definir procesos, organización y relaciones de TI.
PO5 Administrar la inversión en TI.
PO6 Comunicar las aspiraciones y la dirección de la gerencia.
PO7 Administrar recursos humanos de TI.
PO8 Administrar calidad.
PO9 Evaluar y administrar riesgos de TI
PO10 Administrar proyectos.
PO11Administración de Calidad
•ADQUIRIR E IMPLANTAR
AI1 Identificar soluciones automatizadas.
AI2 Adquirir y mantener el software aplicativo.
AI3 Adquirir y mantener la infraestructura tecnológica
AI4 Facilitar la operación y el uso.
AI5 Adquirir recursos de TI.
AI6 Administrar cambios.
•MONITOREAR Y EVALUAR
ME1 Monitorear y evaluar el desempeño de TI.
ME2 Monitorear y evaluar el control interno
ME3 Garantizar cumplimiento regulatorio.
ME4 Proporcionar gobierno de TI.
•PRESTACIÓN Y SOPORTE
DS1 Definir y administrar niveles de servicio.
DS2 Administrar servicios de terceros.
DS3 Administrar desempeño y capacidad.
DS4 Garantizar la continuidad del servicio.
DS5 Garantizar la seguridad de los sistemas
DS6 Identificar y asignar costos.
DS7 Educar y entrenar a los usuarios.
DS8 Administrar la mesa de servicio y los incidentes.
DS9 Administrar la configuración.
DS10 Administrar los problemas.
DS11 Administrar los datos.
DS12 Administrar el ambiente físico.
DS13 Administrar las operaciones.
QUIÈNES HAN ADOPTADO EL COBIT
Advirtiendo la necesidad de contar con un adecuado marco de referencia para el gobierno de los sistemas de información y las tecnologías relacionadas, muchas organizaciones en el ámbito nacional e internacional ya han adoptado el COBIT como una de las mejores prácticas. Sin intención de ser exhaustivo, sólo mencionaré las que desde hace tiempo lo vienen haciendo: Gobierno de la Provincia de Mendoza; Superintendencia de Administradoras de Fondos de Jubilaciones y Pensiones; Superintendencia de Entidades Financieras y Cambiarias; la Reserva Federal de los Estados Unidos de América; Daimler-Chrysler en Alemania y los EE.UU., entre otras.
Características del Cobit
Principios del Cobit
Componentes del Cobit
Capitulo III
UN MARCO DE REFERENCIA PARA LA INFORMACIÓN Y LA TECNOLOGÍA
Las empresas poseen un capital activo muy valioso: información y tecnología. Cada vez en mayor medida, el éxito de una empresa depende de la comprensión de ambos componentes. Las buenas prácticas concentradas en el marco de referencia COBIT, permiten que los negocios se alineen con la tecnología de la información para así alcanzar los mejores resultados.
La información y la tecnología que la soporta representan los activos más valiosos de muchas empresas, aunque con frecuencia son poco entendidos. Las empresas exitosas reconocen los beneficios de la tecnología de información y la utilizan para impulsar el valor de sus interesados (stakeholders). Estas empresas también entienden y administran los riesgos asociados, es decir, el aumento en los requerimientos regulatorios, así como también una gran dependencia de muchos de los procesos de negocio en TI. Pero todos estos elementos son clave para el gobierno de la empresa. El valor, el riesgo y el control constituyen la esencia del gobierno de TI.
El gobierno de TI es responsabilidad de los ejecutivos agrupados en el consejo de directores de la empresa y para ello, es necesario el liderazgo y una buena base de estructuras y procesos organizacionales que garantizan que la TI de la empresa sostiene y extiende las estrategias y objetivos organizacionales. De esta manera, el gobierno de TI facilita que la empresa aproveche al máximo su información, maximizando así los beneficios, capitalizando las oportunidades y ganando ventajas competitivas.
Los Objetivos de Control para la Información y la Tecnología relacionada (CobiT®) brindan buenas prácticas a través de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lógica. Las buenas prácticas de CobiT están enfocadas fuertemente en el control y menos en la ejecución. Estas prácticas ayudarán a optimizar las inversiones facilitadas por la TI, asegurarán la entrega del servicio y brindarán un patrón de medición con el cual se podrá calificar cuando las cosas no vayan bien. Para que la TI tenga éxito en satisfacer los requerimientos del negocio, la dirección empresarial debe implantar un sistema de control interno o un marco de trabajo. El marco de trabajo de control CobiT contribuye a estas necesidades de la siguiente manera:
· Estableciendo un vínculo con los requerimientos del negocio
· Organizando las actividades de TI en un modelo de procesos
· Identificando los principales recursos de TI
· Definiendo los objetivos de control gerenciales
La orientación al negocio que realiza CobiT consiste en vincular las metas del negocio con las metas de TI, brindando métricas y modelos de madurez para medir los logros, e identificando las responsabilidades asociadas de los propietarios de los procesos de negocio y de TI. El enfoque hacia procesos de COBIT se ilustra con un modelo de procesos, el cual subdivide TI en 34 procesos de acuerdo a las responsabilidades de planear, construir, ejecutar y monitorear; de esta manera, se ofrece una visión de punta a punta de la TI. El concepto de arquitectura empresarial ayuda a identificar aquellos recursos esenciales para el éxito de los procesos, es decir, aplicaciones, información, infraestructura y personas. En resumen, para proporcionar la información que la empresa necesita de acuerdo a sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos agrupados de forma natural.
Una respuesta al requerimiento de determinar y monitorear el nivel apropiado de control y desempeño de TI, son los conceptos que CobiT define específicamente:
· Benchmarking de la capacidad de los procesos de TI. Son modelos de madurez derivados del Modelo de Madurez de la Capacidad del Instituto de Ingeniería de Software
· Metas y métricas de los procesos de TI para definir y medir sus resultados y su desempeño, basados en los principios de balanced business Scorecard de Robert Kaplan y David Norton
· Objetivos de las actividades para controlar estos procesos, con base en los objetivos de control detallados de COBIT
La evaluación de la capacidad de los procesos basada en los modelos de madurez de CobiT es una parte clave de la implementación del gobierno de TI. Después de identificar los procesos y controlescríticos de TI, el modelado de la madurez permite identificar y demostrar a la dirección las brechas en la capacidad.
CobiT es un marco de referencia y un juego de herramientas de soporte que permiten a la gerencia cerrar la brecha con respecto a los requerimientos de control, temas técnicos y riesgos de negocio, y comunicar ese nivel de control a los participantes. CobiT permite el desarrollo de políticas claras y de buenas prácticas para el control de TI por parte de las empresas. CobiT constantemente se actualiza y armoniza con otros estándares, por lo tanto, CobiT se ha convertido en el integrador de las mejores prácticas de TI y el marco de referencia general para el gobierno de TI que ayuda a comprender y administrar los riesgos y beneficios asociados con TI. La estructura de procesos de CobiT y su enfoque de alto nivel orientado al negocio brindan una visión completa de TI y de las decisiones a tomar.
VAL IT
Recientemente, ISACA ha publicado Val IT, que relaciona los procesos de COBIT con los procesos de la gerencia mayor requeridos para conseguir un buen valor de las inversiones en tecnologías de la información.
Objetivos de Control para la información y Tecnologías relacionadas (COBIT ). Es el marco aceptado internacionalmente como un conjunto de herramientas de soporte que permite cubrir la brecha entre los requerimientos de control, los aspectos técnicos y riesgos de negocio, haciendo posible el desarrollo de una política clara y las buenas prácticas para los controles (IT) a través de las organizaciones.
CONCLUSIONES
Si bien COBIT es un marco general, su flexibilidad y versatilidad nos permite adaptarlo a cualquier tipo y tamaño de empresa, realizando una implementación gradual y progresiva acorde a los recursos disponibles y acompasando la estrategia empresarial.
Si bien aún no es requerido formalmente en forma regulatoria, es un estándar de facto en toda Latinoamérica y es una fuerte recomendación en los ámbitos financieros.Es parte de la misión de ISACA, la divulgación de COBIT y apoyo en la implementación como forma de promover la eficiencia y buena gestión de los procesos de tecnología que nos permita compararnos y mejorar día a día en pos de la concreción de los Objetivos de Negocio.En el futuro, continuaremos viendo el crecimiento de COBIT en sus facetas de administración y dirección de los recursos de tecnología. Aparecerán nuevas herramientas de la familia de productos COBIT y nuevos recursos con los cuales mejorar la administración. Se continuará refinando el producto en sí, mejorando la calidad de sus referencias cruzadas, su relacionamiento con otros modelos, estándares y normas. Se procurará institucionalizar y mejorar la calidad de las versiones en otras lenguas y, sin duda, continuará el esfuerzo fundamental del ITGI en la difusión del uso de esta importante base de dirección.