EL COBIT El COBIT (Objetivos de Control para Tecnologas de informacin y relacionadas ) es un marco de trabajo y un conjunto de herramientas de Gobierno de Tecnologa de Informacin

(TI) que permite a la Gerencia cerrar la brecha entre los requerimientos de control, aspectos tcnicos y riesgos de negocios. COBIT habilita el desarrollo de polticas claras y buenas prcticas para el control de TI a lo largo de las organizaciones. Para satisfacer los objetivos del negocio, la informacin necesita adaptarse a ciertos criterios de control, los cuales son referidos en COBIT como requerimientos de informacin del negocio. Con base en los requerimientos ms amplios de calidad, fiduciarios y de seguridad, los criterios de informacin utilizados son la efectividad, la eficiencia, la confidencialidad, la integridad, la disponibilidad, el cumplimiento y confiabilidad. El COBIT define las actividades de TI en un modelo de 34 procesos genricos agrupados en 4 dominios: Planear y Organizar, Adquirir e Implementar, prestacin y soporte, Monitorear y Evaluar. A continuacin se hace nfasis en uno de los dominios que conforman el COBIT: PRESTACIN Y SOPORTE Cubre la entrega de los servicios requeridos. Incluye la prestacin del servicio, la administracin de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administracin de los datos y de las instalaciones operacionales. Recibe las soluciones y las hace utilizables por los usuarios finales. Este dominio cuenta con los siguientes procesos: 1. Definicin de niveles de servicio

Objetivo: Establecer una comprensin comn del nivel de servicio requerido. Para ello se establecen convenios de niveles de servicio que formalicen los criterios de desempeo contra los cuales se medir la cantidad y la calidad del servicio y se toma en consideracin: Tales como convenios formales que determinen la disponibilidad, confiabilidad y desempeo Adems de definir las responsabilidades de los usuarios en funcin de sus servicios de informacin. 2. Administracin de servicios prestados por terceros

Objetivo: Asegurar que las tareas y responsabilidades de las terceras partes estn claramente definidas, que cumplan y continen satisfaciendo los requerimientos Para ello se establecen medidas de control dirigidas a la revisin y monitoreo de contratos y procedimientos existentes, en cuanto a su efectividad y suficiencia, con respecto a las polticas de la organizacin y toma en consideracin:

Acuerdos de servicios con terceras partes a travs de. Acuerdos de confidencialidad. Requerimientos legales regulatorios de manera de asegurar que estos concuerde con los acuerdos de seguridad identificados, declarados y acordados. Monitoreo de la entrega de servicio con el fin de asegurar el cumplimiento de los acuerdos del contrato.

3.

Administracin de desempeo y capacidad

Objetivo: Asegurar que la capacidad adecuada est disponible y que se est haciendo el mejor uso de ella para alcanzar el desempeo deseado. Para ello se realizan controles de manejo de capacidad y desempeo que recopilen datos y reporten acerca del manejo de cargas de trabajo, tamao de aplicaciones, manejo y demanda de recursos y toma en consideracin:

Requerimientos de disponibilidad y desempeo de los servicios de sistemas de informacin Monitoreo y reporte de los recursos de tecnologa de informacin Utilizar herramientas de modelado apropiadas para producir un modelo del sistema actual para apoyar el pronstico de los requerimientos de capacidad, confiabilidad de configuracin, desempeo y disponibilidad.

4. Asegurar el Servicio Continuo Objetivo: mantener el servicio disponible de acuerdo con los requerimientos y continuar su provisin en caso de interrupciones. Para ello se tiene un plan de continuidad probado y funcional, que est alineado con el plan de continuidad del negocio y relacionado con los requerimientos de negocio y toma en consideracin:

Planificacin de Severidad

Plan Documentado Procedimientos Alternativos Respaldo y Recuperacin Pruebas y entrenamiento sistemtico y singulares Garantizar la seguridad de sistemas la informacin contra uso no autorizados, divulgacin,

5.

Objetivo: salvaguardar

modificacin, dao o prdida Para ello se realizan controles de acceso lgico que aseguren que el acceso a sistemas, datos y programas est restringido a usuarios autorizados y toma en consideracin:

El acceso lgico junto con el uso de los recursos de TI deber restringirse a travs de autenticacin de usuarios identificados. Perfiles e identificacin de usuarios estableciendo procedimientos para asegurar acciones oportunas relacionadas con la requisicin, establecimiento, emisin, suspensin y suspensin de cuentas de usuario.

6. Educacin y entrenamiento de usuarios Objetivo: Asegurar que los usuarios estn haciendo un uso efectivo de la tecnologa y estn conscientes de los riesgos y responsabilidades involucrados Para ello se realiza un plan completo de entrenamiento y desarrollo y se toma en consideracin:

Curriculum de entrenamiento estableciendo y manteniendo procedimientos para identificar y documentar las necesidades de entrenamiento de todo el personal que haga uso de los servicios de informacin

Campaas de concientizacin, definiendo los grupos objetivos, identificar y asignar entrenadores y organizar oportunamente las sesiones de entrenamiento Tcnicas de concientizacin proporcionando un programa de educacin y

entrenamiento que incluya conducta tica de la funcin de servicios de informacin.

7.

Identificacin y asignacin de costos

Objetivo: Asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI Para ello se realiza un sistema de contabilidad de costos que asegure que stos sean registrados, calculados y asignados a los niveles de detalle requeridos y toma en consideracin:

Los elementos sujetos a cargo deben ser recursos identificables, medibles y predecibles para los usuarios Procedimientos y polticas de cargo que fomenten el uso apropiado de los recursos de computo y aseguren el trato justo de los departamentos usuarios y sus necesidades Tarifas definiendo e implementando procedimientos de costeo de prestar servicios, para ser analizados, monitoreados, evaluados asegurando al mismo tiempo la economa

8.

Apoyo y asistencia a los clientes de TI

Objetivo: asegurar que cualquier problema experimentado por los usuarios sea atendido apropiadamente Para ello se realiza un Bur de ayuda que proporcione soporte y asesora de primera lnea y toma en consideracin:

Consultas de usuarios y respuesta a problemas estableciendo un soporte de una funcin de bur de ayuda Monitoreo de consultas y despacho estableciendo procedimientos que aseguren que las preguntas de los clientes que pueden ser resueltas sean reasignadas al nivel adecuado para atenderlas

Anlisis y reporte de tendencias adecuado de las preguntas de los clientes y su solucin, de los tiempos de respuesta y la identificacin de tendencias

9.

Administracin de la configuracin

Objetivo: Dar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia fsica y proporcionar una base para el sano manejo de cambios

Para ello se realizan controles que identifiquen y registren todos los activos de TI as como su localizacin fsica y un programa regular de verificacin que confirme su existencia y toma en consideracin:

Registro de Activos. Administracin de cambios en la configuracin. Chequeo de software no autorizado revisando peridicamente las computadoras personales de la organizacin. Controles de almacenamiento de software.

10. Administracin de Problemas Objetivo: Asegurar que los problemas e incidentes sean resueltos y que sus causas sean investigadas para prevenir que vuelvan a suceder. Para ello se necesita un sistema de manejo de problemas que registre y d seguimiento a todos los incidentes, adems de un conjunto de procedimientos de escalamiento de problemas para resolver de la manera ms eficiente los problemas identificados

En resumen el COBIT permite desarrollar, publicar y promocionar un conjunto de objetivos de control generalmente aceptados para las tecnologas de la informacin que sean autorizados (dados por alguien con autoridad), actualizados, e internacionales para el uso del da a da de los gestores de negocios. Gracias a la ayuda que l brinda para muchos usuarios se hace ms sencilla la interpretacin de sus sistemas de informacin, y la manera adecuada de controlarlos y protegerlos.

BIBLIOGRAFA http://www.isaca.org/Content/NavigationMenu/Members_and_Leaders1/COBIT6/Obtain_C OBIT/cobiT4.1spanish.pdf http://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistemas.shtml