MARCO DE GOBIERNO COBIT
Introducción
COBIT ayuda a las Organizaciones a crear un valor óptimo a partir de la TI, al mantener un equilibrio entre la realización de beneficios y la optimización de los niveles de riesgo y utilización de los recursos ,permite que las tecnologías de la información y relacionadas se gobiernen y administren de una manera holística a nivel de toda la Organización, incluyendo el alcance completo de todas las áreas de responsabilidad funcionales y de negocios, considerando los intereses relacionados con la TI de las partes interesadas internas y externas.
OBJETIVO GENERAL
Conocer los antecedentes y versiones del marco de Gobierno COBIT, así como sus tendencias, y como es aplicado a las organizaciones. Además de identificar los procesos que conforman este marco de gobierno y sus funciones que realizan.
El objetivo principal de COBIT
Asegurar el buen gobierno, protegiendo los intereses de los (clientes, accionistas, empleados, etc.)
Garantizar el cumplimiento normativo del sector al que pertenezca la organización
Mejorar la eficacia y eficiencia de los procesos y actividades de la organización
Garantizar la confidencialidad, integridad y disponibilidad de la información
Qué es COBIT(Objetivos de Control para la Tecnología de Información y Tecnologías Relacionadas)?
COBIT (Control Objectives for Information and related Technology) es el marco aceptado internacionalmente como una buena práctica para el control de la información, TI y los riesgos que conllevan. COBIT se utiliza para implementar el gobierno de IT y mejorar los controles de IT. Contiene objetivos de control, directivas de aseguramiento, medidas de desempeño y resultados, factores críticos de éxito y modelos de madurez.
Versiones COBIT
PRIMERA EDICIÓN 1996 (Auditoria).
Realizada por Equipos en:
Europa.
Estados Unidos.
Australia.
Procesos del COBIT 1 - PLANEAR Y ORGANIZAR
Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI puede contribuir de la mejor manera al logro de los objetivos del negocio. Además, la realización de la visión estratégica requiere ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, se debe implementar una estructura organización al y una estructura tecnológica apropiada.
SEGUNDA EDICIÓN ABRIL DE 1998 (Control).
Objetivos:
Control de alto nivel, intensificando las líneas maestras de auditoria.
CD-ROM completamente organizado el cual contiene el total de los contenidos de esta segunda edición.
Procesos del COBIT 2 - ADQUIRIR E IMPLEMENTAR
Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas así como implementadas e integradas en los procesos del negocio. Además, el cambio y el mantenimiento de los sistemas existentes está cubierto por este dominio para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio.
TERCERA EDICIÓN 2000 (Administración).
La edición on-line estuvo disponible en el 2003.
Procesos del COBIT 3 - ENTREGAR Y DAR SOPORTE
Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operativos.
CUARTA EDICIÓN Diciembre del 2005 (Gobierno de TI).
Mayo del 2007 se liberó la versión 4.1.
Define las actividades de TI en un modelo de 34 procesos genéricos agrupados en 4 dominios:
Planear y Organizar (PO) à Estrategias y tácticas. Identificar la manera en que TI pueda contribuir de la mejor manera al logro de los objetivos del negocio. Proporciona dirección para la entrega de soluciones (AI) y la entrega de servicio (DS).
PO1 Definir el plan estratégico de TI.
PO2 Definir la arquitectura de la información
PO3 Determinar la dirección tecnológica.
PO4 Definir procesos, organización y relaciones de TI.
PO5 Administrar la inversión en TI.
PO6 Comunicar las aspiraciones y la dirección de la gerencia.
PO7 Administrar recursos humanos de TI.
Adquirir e Implementar (AI) à Identificación de soluciones, desarrollo o adquisición, cambios y/o mantenimiento de sistemas existentes. Proporciona las soluciones y las pasa para convertirlas en servicios.
AI1 Identificar soluciones automatizadas.
AI2 Adquirir y mantener el software aplicativo.
AI3 Adquirir y mantener la infraestructura tecnológica
AI4 Facilitar la operación y el uso.
AI5 Adquirir recursos de TI.
AI6 Administrar cambios.
AI7 Instalar y acreditar soluciones y cambios.
Entregar y Dar Soporte (DS) à Cubre la entrega de los servicios requeridos. Incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operacionales. Recibe las soluciones y las hace utilizables por los usuarios finales.
DS1 Definir y administrar niveles de servicio.
DS2 Administrar servicios de terceros.
DS3 Administrar desempeño y capacidad.
DS4 Garantizar la continuidad del servicio.
DS5 Garantizar la seguridad de los sistemas.
DS6 Identificar y asignar costos.
DS7 Educar y entrenar a los usuarios.
DS8 Administrar la mesa de servicio y los incidentes.
DS9 Administrar la configuración.
DS10 Administrar los problemas.
DS11 Administrar los datos.
DS12 Administrar el ambiente físico.
DS13 Administrar las operaciones.
Monitorear y Evaluar (ME) à Este dominio abarca la administración del desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del gobierno. Monitorear todos los procesos para asegurar que se sigue la dirección provista.
ME1 Monitorear y evaluar el desempeño de TI.
ME2 Monitorear y evaluar el control interno
ME3 Garantizar cumplimiento regulatorio.
ME4 Proporcionar gobierno de TI.
COBIT 5
Definición
Es precisamente un modelo para auditar la gestión y control de los sistemas de información y tecnología, orientado a todos los sectores de una organización, es decir, administradores IT, usuarios y los auditores involucrados en el proceso.
Antecedentes
El Instituto de Gobierno de TI fue formado por la Auditoría de Sistemas de Información y de la Asociación de Control (ISACA) y su Fundación asociada en 1998 para avanzar en el entendimiento y la adopción de principios de gobierno de TI.
El proyecto COBIT se emprendió, con el fin de crear un mayor producto global que pudiese tener un impacto duradero sobre el campo de visión de los negocios, así como sobre los controles de los sistemas de información implantados.
COBIT ha tenido varias ediciones, siendo publicada la primera en 1996, la segunda edición en 1998, la tercera edición en 2000 (la edición on-line estuvo disponible en 2003), y la cuarta edición en Diciembre de 2005, la versión 4.1 está disponible en mayo de 2007, la versión de COBIT 5 disponible.
Los Indicadores Clave de Desempeño proporcionarán medidas de éxito que permitirán a la gerencia conocer si un proceso de TI está alcanzando los requerimientos de negocio.
Procesos de negocio a los que apoya
Clasifica los procesos de negocio relacionados con las Tecnologías de la Información en 5 dominios (4 dominios en la gestión y 1 en gobierno:
GOBIERNO
Evaluar, Dirigir y Monitorear (EDM)
EDM01. Asegurar que se fija el Marco de Gobierno y su Mantenimiento: Analiza y articula los requerimientos para el gobierno de TI de la empresa, pone en marcha y mantiene efectivas las estructuras, procesos, práctica, facilitadores con claridad de las responsabilidades y la autoridad para alcanzar la misión, las metas y los objetivos de la empresa.
EDM02. Asegurar la Entrega de Valor: Evaluar la optimización de valor, evaluar continuamente las inversiones, servicios y activos del portafolio de TI, para determinar la probabilidad de alcanzar los objetivos de la empresa y aportar valor a un costo razonable.
EDM03. Asegurar la optimización del riesgo: Asegurar que el apetito y la tolerancia al riesgo de la empresa son entendidos, articulados y comunicados y que el riesgo para el valor de la empresa relacionado con el uso de las TI es identificado y gestionado.
EDM04. Asegurar la optimización de recursos: Asegurar que las adecuadas y suficientes capacidades relacionadas con las TI (personas, procesos y tecnologías) están disponibles para soportar eficazmente los objetivos de la empresa a un coste óptimo.
EDM05. Asegurar la transparencia hacia las partes interesadas: Asegurar que la medición y la elaboración de informes en cuanto a conformidad y desempeño de las TI de la empresa son transparentes, con aprobación por las partes interesadas de las metas, las métricas y las acciones correctivas necesarias.
GESTIÓN
Alinear, Planificar y Organizar (APO)
APO01. Gestionar el marco de gestión de las TI: Aclarar y mantener el gobierno de la misión y la visión corporativa de las TI. Implementar y mantener mecanismos y autoridades para la gestión de la información y el uso de las TI en la empresa, para apoyar los objetivos de gobierno en consonancia con las políticas y los principios rectores.
APO02. Gestionar la estrategia: Proporcionar una visión holística del negocio actual y del entorno de TI, la dirección futura, y las iniciativas necesarias para migrar al entorno deseado.
APO03. Gestionar la arquitectura empresarial: Establecer una arquitectura común compuesta por los procesos de negocio, la información, los datos, las aplicaciones y las capas de la arquitectura tecnológica de manera eficaz y eficiente para la realización de las estrategias de la empresa y de las TI.
APO04. Gestionar la innovación: Mantener un conocimiento de la tecnología de la información y las tendencias relacionadas con el servicio, identificar las oportunidades de innovación y planificar la manera de beneficiarse de la innovación en relación con las necesidades del negocio. Analizar cuáles son las oportunidades para la innovación empresarial o qué mejora puede crearse con las nuevas tecnologías, servicios o innovaciones empresariales facilitadas por TI.
APO05. Gestionar el portafolio: Ejecutar el conjunto de direcciones estratégicas para la inversión alineada con la visión de la arquitectura empresarial, las características deseadas de inversión, los portafolios de servicios relacionados, considerar las diferentes categorías de inversión y recursos y las restricciones de financiación.
APO06 Gestionar el presupuesto y los costes: Gestionar las actividades financieras relacionadas con las TI tanto en el negocio como en las funciones de las TI, abarcando presupuesto, coste y gestión del beneficio, y la priorización del gasto mediante el uso de prácticas presupuestarias formales y un sistema justo y equitativo de reparto de costes a la empresa.
APO07 Gestionar los Recursos Humanos: Proporcionar un enfoque estructurado para garantizar una óptima estructuración, ubicación, capacidades de decisión y habilidades de los recursos humanos.
AP008 Gestionar las relaciones: Gestionar las relaciones entre el negocio y TI de modo formal y transparente, enfocándolas hacia el objetivo común de obtener resultados empresariales exitosos, apoyando los objetivos estratégicos y dentro de las restricciones del presupuesto y los riesgos tolerables. Basar la relación en la confianza mutua, usando términos entendibles, lenguaje común y voluntad de asumir la propiedad y responsabilidad en las decisiones claves.
AP009 Gestionar los acuerdos de servicio: Alinear los servicios basados en TI y los niveles de servicio con las necesidades y expectativas de la empresa, incluyendo identificación, especificación, diseño, publicación, acuerdo y supervisión de los servicios TI, niveles de servicio e indicadores de rendimiento.
APO10 Gestionar los Proveedores: Administrar todos los servicios de las TI prestados por todo tipo de proveedores para satisfacer las necesidades del negocio, incluyendo la selección de los proveedores, la gestión de las relaciones, la gestión de los contratos y la revisión y supervisión del desempeño, para una eficacia y cumplimiento adecuados.
APO11 Gestionar la calidad: Definir y comunicar los requisitos de calidad en todos los procesos, procedimientos y resultados relacionados de la organización, incluyendo controles, vigilancia constante y el uso de prácticas probadas y estándares de mejora continua y esfuerzos de eficiencia.
APO12 Gestionar el riesgo: Identificar, evaluar y reducir los riesgos relacionados con TI de forma continua, dentro de niveles de tolerancia establecidos por la dirección ejecutiva de la empresa.
APO13 Gestionar la seguridad: Definir, operar y supervisar un sistema para la gestión de la seguridad de la información.
Monitorear, Evaluar y Valorar (MEA)
MEA01 -Supervisar, evaluar y valorar el rendimiento y la conformidad: Recolectar, validar y evaluar métricas y objetivos de negocio, de las TI y de procesos. Supervisar que los procesos se están realizando según el rendimiento acordado y conforme a los objetivos y métricas y se proporcionan informes de forma sistemática y planificada.
MEA02 -Supervisar, evaluar y valorar el sistema de control interno: Supervisar y evaluar de forma continua el entorno de control, incluyendo tanto auto evaluaciones como revisiones externas independientes. Facilitar a la Dirección la identificación de deficiencias e ineficiencias en el control y el inicio de acciones de mejora. Planificar, organizar y mantener normas para la evaluación del control interno y las actividades de aseguramiento.
MEA03. Supervisar, evaluar y valorar la conformidad con los requerimientos externos: Evaluar el cumplimiento de requisitos regulatorios y contractuales tanto en los procesos de las TI como en los procesos de negocio dependientes de las tecnologías de la información. Obtener garantías de que se han identificado, se cumple con los requisitos y se ha integrado el cumplimiento de las TI en el cumplimiento de la empresa general.
Construir, Adquirir e Implementar (BAI)
BAI01 Gestión de programas y proyectos: Gestionar todos los programas y proyectos del portafolio de inversiones de forma coordinada y en línea con la estrategia corporativa. Iniciar, planificar, controlar y ejecutar programas y proyectos y cerrarlos con una revisión post-implementación.
BAI02 Gestionar la definición de requisitos: Identificar soluciones y analizar requerimientos antes de la adquisición o creación para asegurar que estén en línea con los requerimientos estratégicos de la organización y que cubren los procesos de negocios, aplicaciones, información/datos, infraestructura y servicios.
BAI03 Gestionar la identificación y construcción de soluciones: Establecer y mantener soluciones identificadas en línea con los requerimientos de la empresa que abarcan el diseño, desarrollo, compras/contratación y asociación con proveedores/fabricantes. Gestionar la configuración, preparación de pruebas, realización de pruebas, gestión de requerimientos y mantenimiento de procesos de negocio, aplicaciones, datos/información, infraestructura y servicios.
BAI04 Gestionar la disponibilidad y la capacidad: Equilibrar las necesidades actuales y futuras de disponibilidad, rendimiento y capacidad con una provisión de servicio efectiva en costes. Incluye la evaluación de las capacidades actuales, la previsión de necesidades futuras basadas en los requerimientos del negocio, el análisis del impacto en el negocio y la evaluación del riesgo para planificar e implementar acciones para alcanzar los requerimientos identificados.
BAI05 Gestionar la facilitación del cambio organizativo: Maximizar la probabilidad de la implementación exitosa en toda la empresa del cambio organizativo de forma rápida y con riesgo reducido, cubriendo el ciclo de vida completo del cambio y todos las partes interesadas del negocio y de las TI.
BAI06 Gestionar los cambios: Gestionar todos los cambios de una forma controlada, incluyendo cambios estándar y de mantenimiento de emergencia en relación con los procesos de negocio, aplicaciones e infraestructura.
BAI07 Gestionar la aceptación del cambio y la transición: Aceptar formalmente y hacer operativas las nuevas soluciones, incluyendo la planificación de la implementación, la conversión de los datos y los sistemas, las pruebas de aceptación, la comunicación, la preparación del lanzamiento, el paso a producción de procesos de negocio o servicios TI nuevos o modificados, el soporte temprano en producción y una revisión post-implementación.
BAI08 Gestionar el conocimiento: Mantener la disponibilidad de conocimiento relevante, actual, validado y fiable para dar soporte a todas las actividades de los procesos y facilitar la toma de decisiones. Planificar la identificación, recopilación, organización, mantenimiento, uso y retirada de conocimiento.
BAI09 Gestionar los activos: Gestionar los activos de las TI a través de su ciclo de vida para asegurar que su uso aporta valor a un coste óptimo, que se mantendrán en funcionamiento (acorde a los objetivos), que están justificados y protegidos físicamente, y que los activos que son fundamentales para apoyar la capacidad del servicio son fiables y están disponibles.
BAI10 Gestionar la configuración: Definir y mantener las definiciones y relaciones entre los principales recursos y capacidades necesarias para la prestación de los servicios proporcionados por TI, incluyendo la recopilación de información de configuración, el establecimiento de líneas de referencia, la verificación y auditoría de la información de configuración y la actualización del repositorio de configuración.
Entregar, Servir y Dar Soporte
DSS01 Gestionar operaciones: Coordinar y ejecutar las actividades y los procedimientos operativos requeridos para entregar servicios de las TI tanto internos como externalizados, incluyendo la ejecución de procedimientos operativos estándar predefinidos y las actividades de monitorización requeridas.
DSS02 Gestionar peticiones e incidentes de servicio: Proveer una respuesta oportuna y efectiva a las peticiones de usuario y la resolución de todo tipo de incidentes. Recuperar el servicio normal; registrar y completar las peticiones de usuario; y registrar, investigar, diagnosticar, escalar y resolver incidentes.
DSS03 Gestionar problemas: Identificar y clasificar problemas y sus causas raíz y proporcionar resolución en tiempo para prevenir incidentes recurrentes. Proporcionar recomendaciones de mejora.
DSS04 Gestionar la continuidad: Establecer y mantener un plan para permitir al negocio y a TI responder a incidentes e interrupciones de servicio para la operación continua de los procesos críticos para el negocio y los servicios TI requeridos y mantener la disponibilidad de la información a un nivel aceptable para la empresa.
DSS05 -Gestionar servicios de seguridad: Proteger la información de la empresa para mantener aceptable el nivel de riesgo de seguridad de la información de acuerdo con la política de seguridad. Establecer y mantener los roles de seguridad y privilegios de acceso de la información y realizar la supervisión de la seguridad.
DSS06 -Gestionar controles de procesos de negocio: Definir y mantener controles apropiados de proceso de negocio para asegurar que la información relacionada y procesada dentro de la organización o de forma externa satisface todos los requerimientos relevantes para el control de la información.
Por que adoptar COBIT y no otros marcos?
Mejor alineación basado en una focalización sobre el negocio.
Visión comprensible de TI para su administración.
Clara definición de propiedad y responsabilidades.
Aceptabilidad general con terceros y entes reguladores.
Entendimiento compartido entre todos los interesados basados en un lenguaje común.
Cumplimiento global de los requerimientos de TI planteados en el Marco de Control Interno de Negocio COSO.
Ventajas y Desventajas
Ventajas
La toma de decisiones para niveles gerenciales es más eficaz.
Los usuarios se benefician de COBIT debido al aseguramiento proporcionado a ellos si los usos que ayudan en la reunión, el tratamiento, y el reportaje de información cumplen con COBIT ya que esto implica mandos y la seguridad es en el lugar para gobernar los procesos.
A interventores porque esto les ayuda a identificar cuestiones de control de TI dentro de la infraestructura TI de una empresa. Esto también les ayuda a corroborar sus conclusiones de auditoria.
Desventajas
Los estándares no cubren todos los temas en detalle.
No existe un estándar que abarque todos los temas (gestión, seguridad, calidad, desarrollo, continuidad, etc.).
Se requiere de un esfuerzo de la organización, para adoptar los estándares.
Los dominios son Planear y Organizar, Adquirir e Implementar, Entregar y Dar Soporte y Monitorear y Evaluar.
A veces proporciona un modelo de procesos de referencia y un lenguaje común para todos los implicados en los trabajos de la organización.
Se pueden tomar decisiones de TI e inversión de las infraestructuras de TI.
Tendencias COBIT
Ofrece unas buenas prácticas y herramientas para el seguimiento y la gestión de las actividades de TI.
COBIT es un marco de trabajo para el control de los Sistemas de Información (TI) global mente aceptado basado en estándares de la industria y mejores prácticas.
Una vez implantado, los ejecutivos pueden asegurarse de que la Tecnología de la Información (TI) se encuentran alineada con los objetivos corporativos de manera eficaz y de que el uso de TI está correctamente orientado hacia la obtención de ventajas competitivas.
No hay comentarios:
Publicar un comentario