CLASE CINCO

Cobit


Al hablar de los sistemas de gestión de seguridad de la información COBIT e ITIL se asocian a esta

necesidad.

Control Objectives for Information an Related Technology (COBIT) es un conjunto de procesos
para el manejo de información creado por la asociación para la Auditoría y Control de Sistemas de
Información (ISACA) y el Instituto de Administración de las Tecnologías de la Información (ITGI) en Fundada en 1969.

Es una organización líder en Gobernabilidad, Control, Aseguramiento y Auditoría en TI.
Con sede en Chicago USA.
Tiene más de 60.000 miembros en más de 100 países.

Realiza eventos, conferencias, desarrolla estándares en IT Governance, Assurance and
Security.

COBIT es un marco de referencia para la dirección de IT, así como también está dotado de
herramientas de soporte que le permiten a la alta dirección reducir el camino entre las
necesidades de control, cuestiones técnicas y los riesgos del negocio. Cobit permite el desarrollo
de políticas claras y buenas prácticas para el control de TI en las organizaciones. Cobit enfatiza el
cumplimiento normativo, ayuda a las organizaciones a aumentar el valor obtenido de TI, facilita su
alineación y simplifica la implementación del marco de referencia de Cobit.

Para brindar confianza a los sistemas de información y en especial a la información que ellos
producen, se creó COBIT, como una herramienta de apoyo a las directivas de la compañía.

Dentro de las cualidades que podemos encontrar en COBIT son:



  • Dirigir y gestionar el uso de los sistemas.


  • Establecer un código de buenas prácticas a ser utilizado por los proveedores de sistemas.


  • Suministrar las herramientas para supervisar todas las actividades relacionadas con IT.

Veamos qué ventajas ofrece Cobit:


Además de ser un conjunto de prácticas aceptadas mundialmente, se hace un pilar o lineamiento a
seguir por el gobierno de IT. Este con sus estándares, prácticas y una vez implementado, se hace
efectivo y verificable que IT sigue las metas de negocio, con el fin de orientar su uso para obtener
las mejores ganancias y ventajas competitivas.

Es práctico con su lenguaje permitiéndoles a los altos ejecutivos comunicar sus propósitos a
cumplir, objetivos, resultados, etc.

El monitoreo y gestión de todas las actividades de IT se hace mucho más efectiva. Al igual que las
inversiones son mejor gestionadas por los ejecutivos.

Al implementar COBIT en una compañía es un indicativo de la seriedad de la organización,
demostrando así su competitividad ante las demás instituciones

Cuando todo esté plenamente identificado, la confianza será mayor porque todos los recursos se
están gestionando efectivamente.

¿Cuáles serían los beneficios obtenidos al implementar COBIT?


  • El ciclo de vida de costos de IT será más transparente y predecible.


  • IT entregara información de mayor calidad y en menor tiempo.


  • IT brindara servicios con mayor calidad y todos los proyectos apoyados en IT serán más exitosos.


  • Los requerimientos de seguridad y privacidad serán más fácilmente identificados, y su implementación podrá ser más fácilmente monitoreada.


  • Todos los riesgos asociados a IT serán gestionados con mayor efectividad.


  • El cumplimiento de regulaciones relacionadas a IT serán una práctica normal dentro de su gestión.


Componentes del COBIT



  • Resumen Ejecutivo

Resumen Ejecutivo: es un documento dirigido a la alta gerencia presentando los antecedentes y la
estructura básica de COBIT Además, describe de manera general los procesos, los recursos y los
criterios de información, los cuales conforman la columna vertebral de COBIT.

Descripción de la Estructura

Laestructura de COBIT se define a partir de una premisa simple y pragmática: Los recursos de las Tecnologías de la Información (TI) se han de gestionar mediante un conjunto de procesos
agrupados de forma natural para que proporcionen la información que la empresa necesita para
alcanzar sus objetivos.

COBIT se divide en tres niveles: Dominios, Procesos y Actividades

Dominios: Agrupación natural de procesos, normalmente corresponden a un dominio
o una responsabilidad organizacional.

Procesos: Conjuntos o series de actividades unidas con delimitación o cortes de control.

Actividades: Acciones requeridas para lograr un resultado medible.


 Dicha estructura surge por la necesidad de:

  • Orientación al Control


  • Relacionar objetivos de control individuales con los Estándares, Regulaciones y Prácticas existentes.


  • Usado por Auditores, Administradores y Usuarios


Objetivos de Control

En total se describen 302 objetivos de control detallados (de 3 a 30 objetivos por cada uno
de los procesos)

Guías de Auditoria: Se hace una presentación del proceso de auditoría generalmente
aceptado (relevamiento de información, evaluación de control, evaluación de
cumplimiento y evidenciación de los riesgos).

Este documento incluye guías detalladas para auditar cada uno de los 34 procesos
teniendo en cuenta los 302 objetivos de control detallados.

 Guías de Administración: Se enfoca de manera similar a los otros productos e integra los
principios del Balance Business Scorecard.

Expectativas de la Administración en TI


  • Proceso de Re-Ingeniería.
  • La Necesidad del Control en TI


Administradores.
Son los encargados de gobernar todo el sistema.

Usuarios.
Son aquellos a quienes el sistema utiliza para su alimentación de datos.

Auditores.
Son quienes controlan y supervisan el sistema para verificación del cumplimiento con los procesos
especificados.


ASEGURAMIENTO DE LA INFORMACIÓN


Lo definimos como el uso de información y las diferentes actividades operativas con el fin de
resguardar la información, los sistemas, las redes para su total disponibilidad, confidencialidad,
integridad, autenticación ante las amenazas locales o remotas a través de Internet.

El aseguramiento de la información es la base sobre la que se construye la toma de decisiones de
una organización. Sin aseguramiento, las empresas no tienen certidumbre de que la información
sobre la que sustentan sus decisiones de misión crítica es confiable, segura y está disponible
cuando se la necesita.


  • Técnicas de aseguramiento:


  • La auto evaluación:


Es toda de carácter gerencial y asegura a todos aquellos con intereses en los negocios,
precisándole que el control interno es confiable.

También asegura que los empleados son conscientes de los riesgos del negocio, y que llevan
adelante revisiones proactivas periódicas de los controles.

 la auditoría de sistemas de información.

Estas guías de auditoría entregan una estructura simple para auditar los controles en TI. Son
genéricas y estructuradas a alto nivel. Además de permitir la revisión de Procesos contra los
Objetivos de Control en TI.

Para auditar se debe tener un entendimiento de los requerimientos del negocio, los riesgos
relacionados, y las medidas de control relevantes. Evaluar la conveniencia de los controles
establecidos. Evaluar el cumplimiento al probar si los controles establecidos están funcionando
como se espera, de manera consistente y continua. Justificar el riesgo de que los objetivos de
control no se estén cumpliendo mediante el uso de técnicas analíticas y/o consultando fuentes
cccdalternativas.

El marco de referencia Cobit en su versión 4 (a Julio de 2010), incluye lo siguiente:

Marco de referencia: explica como Cobit organiza la Gestión de IT, los objetivos de control y
buenas prácticas del negocio por dominios y procesos de IT, relacionándolos directamente con los
requerimientos del negocio. Este marco de referencia contiene un total de 34 niveles de objetivos
de control, uno por cada proceso de IT, agrupados en cuatro dominios: Planeamiento y
Organización, Adquisición e Implementación, Desarrollo y Soporte y Monitoreo y Evaluación (Que
tal la coincidencia con el ciclo PHVA de las Normas ISO?).

Descripción de procesos: Incluida para cada uno de los 34 procesos de IT, cubriendo todas las
áreas y responsabilidades de IT de principio a fin.

Objetivos de Control: Suministra objetivos de gestión basados en las mejores prácticas para los
procesos de IT.

Directrices de Gestión: Incluye herramientas para ayudar a asignar responsabilidades y medir
desempeños.

Modelos de madurez: proporciona perfiles de los procesos de IT describiendo para cada uno de
ellos un estado actual y uno futuro.

Cobit 5:

Programado para salir en el 2011, Cobit 5 consolidara los marcos de referencia de Cobit4.1, Val IT
2.0 (inversiones en TI) y riesgos en IT, aprovechando también el modelo de negocio de Seguridad
de la Información (IMC) y ITAF.
EJERCICIO DE AUTOEVALUACIÓN

Haga un mapa comparativo entre estas dos metodologías trabajadas en esta unidad y cómo las
podría aplicar a un posible negocio suyo.

No hay comentarios:

Publicar un comentario

Suscribirse a: Comentarios (Atom)