COBIT
Control Objectives for Information and related Technology
ISACA es el acrónimo de Information Systems Audit and Control Association (Asociación de Auditoría y Control de Sistemas de Información), una asociación internacional que apoya y patrocina el desarrollo de metodologías y certificaciones para la realización de actividades auditoría y control en sistemas de información.
IT Governance Institute (ITGI, en inglés: IT Governance Institute) Tecnología de la información de gobierno es una disciplina subconjunto de gobierno corporativo centrado en la informática de sistemas (IT) y de su rendimiento y la gestión de riesgos .
Ediciones
En su cuarta edición, COBIT tiene 34 objetivos de alto nivel que cubren 210 objetivos de control (específicos o detallados) clasificados en cuatro dominios: Planificación y Organización, Adquisición e Implementación, Entrega y Soporte, y, Supervisión y Evaluación. En inglés: Plan and Organize, Acquire and Implement, Deliver and Support, and Monitor and Evaluate.
COBIT 4.1 Isaca lanzó el 10 de abril del 2012 la nueva edición de este marco de referencia. COBIT 5 es la última edición del framework mundialmente aceptado, el cual proporciona una visión empresarial de del Gobierno de TI que tiene a tecnología y a la información como protagonistas en la creación de valor para las empresas.
COBIT 5 se basa en COBIT 4.1, y a su vez lo amplía mediante la integración de otros importantes marcos y normas como Val IT y Risk IT, Information Technology Infrastructure Library (ITIL ®) y las normas ISO relacionadas.
COBIT 5
Investigar, desarrollar, publicar y promover un conjunto de objetivos de control de TI rectores, actualizados, internacional y generalmente aceptados para ser utilizados diariamente por Gerentes de negocio y Auditores.
Misión
Visión
Recientemente, ISACA ha publicado Val IT, que relaciona los procesos de COBIT con los procesos de la gerencia mayor requeridos para conseguir un buen valor de las inversiones en tecnologías de la información.
VAL IT
¿Para quiénes?
Gerentes de negocio
Gerentes de TI
Gerentes de riesgo
Usuarios de TI
Auditores
¿Para qué?
Alineación de objetivos de TI y del negocio.
Establecer una orientación a procesos.
Ser consistente con las mejores prácticas y estándares control (COSO) y de TI, independiente de tecnologías específicas.
Proporcionar un lenguaje común para todos los interesados.
1. Orientado al negocio
2. Procesos orientados
3. Basado en controles
4.Generador de mediciones
PRINCIPIO BÁSICO
Proporcionar la información que la empresa necesita para logro de sus objetivos, requiere administrar y controlar los recursos de TI usando un conjunto estructurado de procesos que ofrezcan los servicios requeridos de información.
CRITERIOS DE INFORMACIÓN
Para satisfacer los objetivos del negocio la información necesita adaptarse a ciertos criterios de control, los cuales son referidos por COBIT como requerimientos de información del negocio. Con base en los requerimientos de calidad, fiduciarios y de seguridad, se definieron las siguientes siete áreas:
METAS DE NEGOCIOS Y DE TI Mientras que los criterios de información proporcionan un método genérico para definir los requerimientos del negocio, la definición de un conjunto de metas genéricas de negocio y de TI ofrece una base más refinada y relacionada con el negocio para el establecimiento de requerimientos de negocio y para el desarrollo de métricas que permitan la medición con respecto a estas metas.
1. ORIENTADO AL NEGOCIO
Es el tema principal de COBIT. Está diseñado para ser utilizado no solo por proveedores de servicios, usuarios y auditores de TI, sino también y principalmente, como guía integral para la gerencia y para los propietarios de los procesos de negocio.
Planear y Organizar
Adquirir e Implantar
Entregar y Soportar
Monitorear y Evaluar
2. PROCESOS ORIENTADOS
COBIT define las actividades de TI en un modelo genérico de procesos en cuatro dominios. Estos dominios son:
Planear y Organizar
Adquirir e Implementar,
Entregar y Dar Soporte
Monitorear y Evaluar
Controles de negocio y controles de TI
*Al nivel de dirección ejecutiva: fijar objetivos políticas, tomar decisiones de cómo administrar los recursos.
*Al nivel de proceso de negocio: aplicar controles para actividades especificas del negocio
*Para soportar el negocio: TI provee un servicio común (redes, bases de datos, sistemas operativos, almacenamiento)
3. BASADO EN CONTROLES
*Control:Políticas, Procedimiento, prácticas diseñadas para brindar seguridad razonable que los objetivos serán alcanzados
Objetivos de control de COBIT
Son los requerimientos mínimos para un control efectivo de cada proceso de IT además brinda un modelo genérico de procesos que representa todos los procesos que normalmente se encuentran en las funciones de TI.
PC1: Dueño del Proceso
PC2: Reiterativo
PC3: Metas y Objetivos
PC4: Roles y Responsabilidades
PC5: Desempeño del Proceso
PC6: Políticas, Planes y Procedimiento
Generadores de medición
Una necesidad básica de toda empresa es entender el estado de sus propios sistemas de TI y decidir qué nivel de administración y control debe proporcionar la empresa ¿Qué se debe medir y cómo?
Modelos de Madurez: por medio del Benchmarking identificación de las mejores practicas en la capacidad.
Metas y Mediciones de desempeño para procesos TI: demuestran como los procesos satisfacen las necesidades del negocio y de TI y como se usan para medir el desempeño de los proceso internos
Indicadores de desempeño
Los indicadores clave de desempeño (KPI) definen mediciones que determinan qué tan bien se está desempeñando el proceso de TI para alcanzar la meta. Son los indicadores principales que indican si será factible lograr una meta o no, y son buenos indicadores de las capacidades, prácticas y habilidades. Miden las metas de las actividades, las cuales son las acciones que el propietario del proceso debe seguir para lograr un efectivo desempeño del proceso.
Mediciones de desempeño
COBIT utiliza dos tipos de métrica: indicadores de metas e indicadores de desempeño.
Los indicadores clave de metas (KGI) definen mediciones para informar a la gerencia después del hecho si un proceso TI alcanzó sus requerimientos de negocio, y se expresan por lo general en términos de criterios de información:
Disponibilidad de información necesaria para dar soporte a las necesidades del negocio Ausencia de riesgos de integridad y de confidencialidad
Rentabilidad de procesos y operaciones
Confirmación de confiabilidad, efectividad y cumplimiento
Las métricas efectivas deben de tener las siguientes características:
-Se identifican cuales son los requerimientos de la información necesarios que debe disponer TI y las áreas de negocio, para cumplir con los procesos del negocio.
No hay comentarios:
Publicar un comentario