COBIT

4.1RESUMEN

POR:

Alex Díaz Ramírez

®

Summary

He technologies are constantly advancing, not only for an item from around the world but is also adapted to every need of all kinds in the world market, which is why companies are in the opportunity and need to upgrade and undertake improvement your business. 

Wherein also successful organizations understand and manage the risks associated with the implementation of new government information technology is becoming more and more important. Is defined as a structure of relationships and processes to direct and control organizations to enable it to fulfill their goals while adding value management should have an appreciation for, and a basic understanding of the risks and limitations of the use of information technology to provide effective management and adequate controls for processes.   It seeks to ensure that organizational information and related technology support business objectives. Because of this, that to meet these objectives, COBIT arises that represents a framework with several control objectives of high and low 

Where can rescue the COBIT core mission is "To research, develop publish and promote a set of control objectives for information technology authority, date, international and generally accepted for the daily use of business managers and auditors" 

The government information technology is integral to the success of organizations to ensure better, efficient and effective processes related to the organization. This feature provides the structures that support the information technology processes, resources, information technology and information with the strategies and objectives of the organization.

. I. RESUMENLas tecnologías están en constante avance, no solo para un rubro de todo el mundo sino que también es adaptada para cada necesidad de todo tipo del mercado del mundo, por este motivo las empresas están en la oportunidad y necesidad de actualizarse y emprender la mejora en su negocio.

En lo cual las organizaciones exitosas también comprenden y administran los riesgos asociados con la implementación del nuevo gobierno de tecnología de información que se está volviendo más y más importante. Se define como una estructura de relaciones y procesos para dirigir y controlar a las organizaciones con el fin que ésta pueda cumplir sus metas dando valor agregado mientras la administración debe tener una apreciación por, y un entendimiento básico de los riesgos y limitantes del empleo de la tecnología de información para proporcionar una dirección efectiva y controles adecuados para los procesos. Se busca asegurar que la información de la organización y las tecnologías relacionadas soporten

los objetivos del negocio. Es por esto, que para cumplir con estos objetivos, surge COBIT que representa un Marco de Referencias con numerosos objetivos de control de alto y bajo nivel

Donde podría rescatarse que la misión principal de COBIT es “Investigar, desarrollar publicar y promover un conjunto de objetivos de controlen tecnología de información con autoridad, actualizados, de carácter internacional y aceptados generalmente para el uso cotidiano de gerentes de empresas y auditores”

El Gobierno de tecnología de información es parte integral del éxito de las organizaciones que aseguran mejores, eficientes y efectivas de los procesos relacionados de la organización. Esta función provee las estructuras que unen los procesos de tecnología de información, los recursos de tecnología de información y la información con las estrategias y los objetivos de la organización.

II.INTRODUCIÓN

COBIT (Objetivos de Control para la Información y la Tecnología relacionada) es el marco aceptado internacionalmente como una buena práctica para el control de la información, Tecnología de Información y los riesgos que conllevan.

COBIT ayuda a salvar las brechas entre los riesgos del negocio, las necesidades de control y los aspectos propiamente técnicos. Provee de buenas prácticas, gracias a un marco de dominios.

Pretende ser un marco general orientado al control de los procesos de TI, dando un soporte a las funciones de Gobierno de TI. Define 24 procesos de gestión divididos en cuatro dominios: Planificar y organizar, Adquirir e implementar, Entrega y soporte, Monitorizar y evaluar 

COBIT es un marco de referencia (Framework) de Gobierno de Tecnología Información (TI) y un conjunto de herramientas de soporte para el gobierno de TI que les permite a los gerentes cubrir la brecha entre los requerimientos de control, los aspectos técnicos y riesgos de negocio.

El Instituto de Gobierno de TI fue formado por la Auditoría de sistemas de información y de la Asociación de control (ISACA) y su Fundación asociada en 1998 para avanzar en el entendimiento y la adopción de principios de gobierno de TI. Con la adición de las Directrices Gerenciales en la tercera edición de COBIT y su expansión y mayor cubrimiento sobre el Gobierno de TI, el Instituto de Gobierno de TI adquirió un rol de liderazgo en el desarrollo de la publicación.

III. ANTECEDENTES

El Instituto de Gobierno de TI fue formado por la Auditoría de sistemas de información y de la Asociación de control (ISACA) y su Fundación asociada en 1998 para avanzar en el entendimiento y la adopción de principios de gobierno de TI. Con la adición de las Directrices Gerenciales en la tercera edición de COBIT y su expansión y mayor cubrimiento sobre el Gobierno de TI, el Instituto de

Gobierno de TI adquirió un rol de liderazgo en el desarrollo de la publicación.

COBIT se basó originalmente en los Objetivos de Control de la ISACF y ha sido mejorado con los actuales y emergentes estándares internacionales a nivel técnico, profesional, regulatorio y específicos de la industria. Los Objetivos de Control resultantes han sido desarrollados para su aplicación en sistemas de información de toda la empresa. El término “generalmente aplicable y aceptado” es utilizado explícitamente en el mismo sentido que los Principios de Contabilidad Generalmente Aceptados (PCGA o GAAP por sus siglas en inglés).

Cobit ha tenido varias ediciones, siendo publicada la primera en 1996; la segunda edición en 1998; la tercera edición en 2000 (la edición on-line estuvo disponible en 2003); y la cuarta edición en Diciembre de 2005, la versión 4.1 está disponible desde Mayo de 2007, la versión online de Cobit 5 ya está disponible.

IV. MARCO DE TRABAJO DE COBIT

Cobit: Es una herramienta de gobierno de las Tecnologías de la Información que se aplican en los sistemas de información de toda la organización, que son incluidos las computadoras personales, minicomputadoras y ambientes distribuidos que nos brindan buenas prácticas a través de un marco de trabajo de dominios y procesos.

Misión: Investigar, desarrollar, hacer público y promover un marco de control de gobierno de TI autorizado, actualizado, aceptado internacionalmente para la adopción por parte de las empresas y el uso diario por parte de gerentes de negocio y profesionales de TI.

Visión:Ser el modelo de control para la tecnología de información.

Audiencia: COBIT está diseñado para ser utilizado por tres audiencias distintas:

Administración: Para ayudarlos a lograr un balance entre los riesgos y las inversiones en control en un ambiente de tecnología de información frecuentemente impredecible.

Usuarios: Para obtener una garantía en cuanto a la seguridad y controles de los servicios de tecnología de información proporcionados internamente o por terceras partes.

Auditores De Sistemas De Información: Para dar soporte a las opiniones mostradas a la administración sobre los controles internos.

Principios:

El enfoque del control en TI se lleva a cabo visualizando la información necesaria para dar soporte a los procesos de negocio y considerando a la información como el resultado de la aplicación combinada de recursos relacionados con las TI que deben ser administrados por procesos de TI (en el anexo nos muestra la figura1: Principios del marco de trabajo).

Objetivos de Control

El marco refencial del COBIT ha sido limitado a una serie de objetivos de control de alto nivel, enfocados a las necesidades de negocio, dentro de un proceso de tecnologías de la información determinado.

Los objetivos de control de las tecnologías de la información han sido organizados por proceso/actividad. Su forma de uso ha sido proporcionada no sólo para facilitar la entrada desde un punto de vista ventajoso, sino también para facilitar aproximaciones globales (o combinadas), tales como la implementación/ instalación de un proceso, responsabilidades globales de administración para un proceso, y el uso de los recursos de las TI por parte de un proceso.

Generadores De Mediciones

Las empresas deben medir dónde se encuentran y dónde se requieren mejoras, e implementar un juego de herramientas gerenciales para monitorear esta mejora.

¿Hasta dónde debemos ir? ¿Está justificado el costo por el beneficio?

Para responder a esto COBIT utiliza: Modelos de madurez que facilitan la evaluación

por medio de benchmarking y la identificación de las mejoras necesarias en la capacidad

Metas y mediciones de desempeño para los procesos de TI cómo los procesos satisfacen las necesidades del negocio y de TI, y cómo se usan para medir el desempeño de los procesos internos

Metas de actividades para facilitar el desempeño efectivo de los procesos

Modelo Geométrico De Madurez

0 No existente. Carencia completa de cualquier proceso reconocible. La empresa no ha reconocido siquiera que existe un problema a resolver.

1 Inicial. Existe evidencia que la empresa ha reconocido que los problemas existen y requieren ser resueltos. Sin embargo; no existen procesos estándar en su lugar existen enfoques ad hoc que tienden a ser aplicados de forma individual o caso por caso. El enfoque general hacia la administración es desorganizado.

2 Repetible. Se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares en diferentes áreas que realizan la misma tarea. No hay entrenamiento o comunicación formal de los procedimientos estándar, y se deja la responsabilidad al individuo. Existe un alto grado de confianza en el conocimiento de los individuos y, por lo tanto, los errores son muy probables.

3 Definido. Los procedimientos se han estandarizado y documentado, y se han difundido a través de entrenamiento. Sin embargo, se deja que el individuo decida utilizar estos procesos, y es poco probable que se detecten desviaciones. Los procedimientos en sí no son sofisticados pero formalizan las prácticas existentes.

4 Administrado. Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas cuando los procesos no estén trabajando de forma efectiva. Los procesos están bajo constante mejora y proporcionan buenas prácticas. Se usa la automatización y herramientas de una manera limitada o fragmentada.

Marco De Trabajo General De Cobit:

Figura 2: dominios y procesos

El modelo de procesos de COBIT compuesto de 4 dominios que contienen 34 procesos genéricos, administrando los recursos de TI para proporcionar información al negocio de acuerdo con los requerimientos del negocio y de gobierno.

Monitorear Y Evaluar.- Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administración del desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del gobierno.

ME1 Monitorear y evaluar el desempeño de TI.

ME2 Monitorear y evaluar el control interno

ME3 Garantizar cumplimiento regulatorio.

ME4 Proporcionar gobierno de TI.

Planear Y Organizar. - Estrategias y tácticas. Identificar la manera en que TI pueda contribuir de la

mejor manera al logro de los objetivos del negocio.

PO1 Definir el plan estratégico de TI.

PO2 Definir la arquitectura de la información

PO3 Determinar la dirección tecnológica.

PO4 Definir procesos, organización y relaciones de TI.

PO5 Administrar la inversión en TI.

PO6 Comunicar las aspiraciones y la dirección de la gerencia.

PO7 Administrar recursos humanos de TI.

PO8 Administrar calidad.

PO9 Evaluar y administrar riesgos de TI

PO10 Administrar proyectos.

Adquirir E Implantar. - Identificación de soluciones, desarrollo o adquisición, cambios y/o

mantenimiento de sistemas existentes.

AI1 Identificar soluciones automatizadas.

AI2 Adquirir y mantener el software aplicativo.

AI3 Adquirir y mantener la infraestructura tecnológica

AI4 Facilitar la operación y el uso.

AI5 Adquirir recursos de TI.

AI6 Administrar cambios.

AI7 Instalar y acreditar soluciones y cambios.

Entregar Y Dar Soporte. - Cubre la entrega de los servicios requeridos. Incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operacionales.

DS1 Definir y administrar niveles de servicio.

DS2 Administrar servicios de terceros.

DS3 Administrar desempeño y capacidad.

DS4 Garantizar la continuidad del servicio.

DS5 Garantizar la seguridad de los sistemas.

DS6 Identificar y asignar costos.

DS7 Educar y entrenar a los usuarios.

DS8 Administrar la mesa de servicio y los incidentes.

DS9 Administrar la configuración.

DS10 Administrar los problemas.

DS11 Administrar los datos.

DS12 Administrar el ambiente físico.

DS13 Administrar las operaciones.

ITGI (Instituto de Gobierno de TI)Se estableció en 1998 para evolucionar el pensamiento y los estándares internacionales respecto a la dirección y control de la tecnología de información de una empresa. Un gobierno de TI efectivo, ayuda a garantizar que la TI soporte las metas del negocio, optimice la inversión del negocio en TI, y administre de forma adecuada los riesgos y oportunidades asociados a la TI. El IT Governance Institute ofrece investigación original, recursos electrónicos y casos de estudio para ayudar a los líderes de las empresas y a sus consejos directivos en sus responsabilidades de Gobierno de TI.

Áreas focales del Gobierno TI Figura 3: áreas focales del gobierno de ti

Alineación Estratégica: se enfoca en garantizar el vínculo entre los planes de negocio y de TI; en definir, mantener y validar la propuesta de valor de TI; y en alinear las operaciones de TI con las operaciones de la organización.

Entrega de Valor: se refiere a ejecutar la propuesta de valor a todo lo largo del ciclo de entrega, asegurando que TI genere los beneficios prometidos en la estrategia, concentrándose en optimizar los costos y en brindar el valor intrínseco de la TI

Administración de recursos: se trata de la inversión óptima, así como la administración adecuada de los recursos críticos de TI: aplicaciones, información, infraestructura y personas.Administración de Riesgos: requiere conciencia de los riesgos por parte de los altos ejecutivos, un claro entendimiento del deseo de riesgo que tiene la

organización, comprender los requerimientos de cumplimiento, transparencia de los riesgos significativos, y la inclusión de las responsabilidades de administración de riesgos dentro de la organización.

Medición del Desempeño: Rastrear y monitorear la estrategia de implementación, la terminación del proyecto, el uso de los recursos, el desempeño de los procesos y la entrega del servicio. 

Estas áreas focales de gobierno de TI describen los tópicos en los que la dirección ejecutiva requiere poner atención para gobernar la TI en sus empresas. La dirección operacional usa procesos para organizar y administrar las actividades cotidianas de TI. COBIT brinda un modelo de procesos genéricos que representa todos los procesos que normalmente se encuentran en las funciones de TI, ofreciendo un modelo de referencia común entendible para los gerentes operacionales de IT y del negocio. Se establecieron equivalencias entre los modelos de procesos COBIT y las áreas focales del gobierno de TI ofreciendo así un puente entre lo que los gerentes operacionales deben realizar y lo que los ejecutivos desean gobernar. Figura 4: Relación de recursos de la TI

TI (Tecnologías de Información)

Un elemento crítico para el éxito y la supervivencia de las organizaciones, es la administración efectiva de la información y de la Tecnología de Información (TI) relacionada. En esta sociedad global (donde la información viaja a través del “ciberespacio” sin las restricciones de tiempo, distancia y velocidad) esta criticidad emerge de:

La creciente dependencia en información y en los sistemas que proporcionan dicha información.

La creciente vulnerabilidad y un amplio espectro de amenazas, tales como las “ciber amenazas” y la guerra de información

El costo de las inversiones actuales y futuras en información y en tecnología de información

El potencial que tienen las tecnologías para cambiar radicalmente las organizaciones y las prácticas de negocio, crear nuevas oportunidades y reducir costos

Para muchas organizaciones, la información y la tecnología que la respalda, representan los activos más valiosos de la empresa, por lo que la gestión de los riesgos asociados de la Tecnología de Información, o Gobernabilidad de TI (IT Governance), ha ganado notoriedad en tiempos recientes como un aspecto clave de la gobernabilidad corporativa, dada su capacidad de proporcionar valor agregado al negocio, balanceando la relación entre el

riesgo y el retorno de la inversión sobre TI y sus procesos.Figura 5: Organización

Conclusión

COBIT es un marco de referencia contra el cual se puede comparar los controles de Tecnología de Información con el fin de mejorarlos.

COBIT ofrece un marco de trabajo para incrementar y fortalecer la seguridad de la información en la organización, más no brinda un amplia seguridad de que estos factores sean acertados de manera correcta ya que este proceso solo los norma, no los rige, es decir todo dependerá de quienes la dirigen y siguen las normativas para el buen desempeño y fortalecimiento.

El gobierno de Tecnología de Información es un marco que permite tener responsabilidad para todos y tomar decisiones correctas para impulsar los comportamientos deseables en las organizaciones para así tener una amplia seguridad de que las tecnologías sean bien utilizados en la sociedad o empresa, para sobresalir ante todos y no ser víctimas de cualquier abuso informático.

COBIT se aplica a los sistemas de información de toda la empresa, incluyendo los computadores personales y las redes. Está basado en la filosofía de que los recursos TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos, cabe resaltar que la unión de sus partes para formar un todo traen los beneficios adecuados para el crecimiento y aprovechamiento de las funciones de la tecnología.

Anexos

Figura 1: Principios del marco de trabajo

Figura 2: Dominios y procesos

Figura 3: Áreas Focales del Gobierno de TI

Figura 4: Relación de los recursos de TI

Figura 5: Organización

Eventos

Tecnología

Información

Proceso de TI El control de

Requerimiento del negocio Que satisface

Declaración de Control

Es habilitados por

Practicas de Control

Considerando

RESUMEN GENERAL

Referencias

- Cobit 4.1

- http://www.noxglobe.com/modules/articles/cobit/

- http://es.wikipedia.org/wiki/Objetivos_de_control_para_la_informaci%C3%B3n_y_tecnolog%C3%ADas_relacionadas

- http://www.isaca.org/Knowledge-Center/COBIT/Pages/Overview.aspx

- http://www.cibertec.edu.pe/2/modulos/JER/JER_Interna.aspx?ARE=2&PFL=2&JER=3749

- http://www.channelplanet.com/index.php?idcategoria=13932

- http://www.marblestation.com/?p=645