Unidad 4: CobiT

1.- Conceptos generales.

Las empresas poseen un capital activo muy valioso: informacin y tecnologa. Cada vez en mayor medida, el xito de una empresa depende de la comprensin de ambos componentes. Las buenas prcticas concentradas en el marco de referencia COBIT, permiten que los negocios se alineen con la tecnologa de la informacin para as alcanzar los mejores resultados. La informacin y la tecnologa que la soporta representan los activos ms valiosos de muchas empresas, aunque con frecuencia son poco entendidos. Las empresas exitosas reconocen los beneficios de la tecnologa de informacin y la utilizan para impulsar el valor de sus interesados (stakeholders). Estas empresas tambin entienden y administran los riesgos asociados, es decir, el aumento en los requerimientos regulatorios, as como tambin una gran dependencia de muchos de los procesos de negocio en TI. Pero todos estos elementos son clave para el gobierno de la empresa. El valor, el riesgo y el control constituyen la esencia del gobierno de TI. El gobierno de TI es responsabilidad de los ejecutivos agrupados en el consejo de directores de la empresa y para ello, es necesario el liderazgo y una buena base de estructuras y procesos organizacionales que garantizan que la TI de la empresa sostiene y extiende las estrategias y objetivos organizacionales. De esta manera, el gobierno de TI facilita que la empresa aproveche al mximo su informacin, maximizando as los beneficios, capitalizando las oportunidades y ganando ventajas competitivas.

El paquete de programas de COBIT completo es un juego que consiste en seis publicaciones: 1. 2. 3. 4. 5. 6. Resumen(Sumario) Ejecutivo Marco Objetivos de Control Directrices de auditoria Instrumento de puesta en prctica Directrices de Direccin

Proporcionan una breve descripcin de cada uno de los susodichos componentes debajo. Resumen (Sumario) Ejecutivo Las decisiones de negocio estn basadas en la informacin oportuna, relevante y concisa. Expresamente diseado para directores ejecutivos embutidos de tiempo y gerentes, el Resumen (Sumario) COBIT Ejecutivo, consiste en una descripcin ejecutiva que proporciona una conciencia cuidadosa y el entendimiento de los conceptos claves del COBIT y principios. Tambin incluido es un resumen del Marco, que proporciona un entendimiento ms detallado de estos conceptos y principios, identificando los cuatro dominios del COBIT (la Planificacin y la Organizacin, la Adquisicin y la Puesta en prctica, la Entrega y el Apoyo, la Supervisin) y 34 procesos de TI.Marco Una organizacin acertada es construida sobre un marco slido de datos e informacin. El Marco explica como los procesos de TI entregan la informacin que el negocio tiene que alcanzar sus objetivos. Esta entrega es controlada por 34 objetivos de control de alto nivel, un para cada proceso de TI, contenida en los cuatro dominios. El Marco se identifica cul de los siete criterios de la informacin (la eficacia, la eficacia, la confidencialidad, la integridad, la disponibilidad, el cumplimiento y la fiabilidad), as como que recursos TI (la gente, usos, tecnologa, instalaciones y datos) son importantes para los procesos de TI para totalmente apoyar el objetivo de negocio.Objetivos de Control La llave al mantenimiento de la rentabilidad en un ambiente que se cambia tecnolgicamente es como bien usted mantiene el control. Los Objetivos de Control del COBIT proveen la perspicacia (idea) crtica tuvo que delinear una prctica clara de poltica y buena para mandos de TI. Incluido son las declaraciones de resultados deseados u objetivos para ser alcanzados por poniendo en prctica los 215 objetivos de control especficos, detallados en todas partes de los 34 procesos de TI.Directrices De auditoria Analice, evala, haga de intrprete, reaccione, el instrumento. Para alcanzar sus objetivos deseados y objetivos usted y coherentemente constantemente debe revisar sus procedimientos. Directrices de auditora perfilan y aconsejan actividades reales ser realizadas correspondiente a cada uno de los 34 objetivos de control de TI de alto nivel,

justificando el riesgo de objetivos de control no siendo encontrados. Directrices de auditora son un instrumento inestimable para interventores de sistemas de informacin en el aseguramiento de direccin que provee y/o el consejo para la mejora. Instrumento de puesta en prctica Un Instrumento de Puesta en prctica , que contiene la Conciencia de Direccin y el Diagnstico de Control de TI, y la Gua de Puesta en prctica, FAQs, estudios de caso de organizaciones actualmente que usan COBIT, y las presentaciones de diapositiva que pueden ser usadas introducir COBIT en organizaciones. El nuevo Juego de Instrumento es diseado para facilitar la puesta en prctica de COBIT, relacionar lecciones cultas de organizaciones que rpidamente y satisfactoriamente aplicado COBIT en sus ambientes de trabajo, y la direccin de plomo(ventajosa) para preguntar sobre cada COBIT tratan: Este dominio es importante para nuestros objetivos de negocio? Bien es realizado? Quin lo hace y quien es responsable? Son formalizados los procesos y el control? Directrices de Direccin Para asegurar una empresa acertada, usted con eficacia debe manejar la unin eficaz entre procesos de negocio y sistemas de informacin. Las nuevas Directrices de Direccin son compuestas de Modelos de Madurez, ayudar determinar las etapas y los niveles de expectativa de control y compararlos contra normas de industria; Factores de xito Crticos, para identificar las acciones ms importantes para alcanzar control de los procesos de TI; Indicadores de Objetivo Claves, para definir los niveles objetivo de funcionamiento; e Indicadores de Funcionamiento Claves, para medir si un procesode control de TI encuentra su objetivo. Estas Directrices de Direccin ayudarn a contestar las preguntas de preocupacin (inters) inmediata a todo los que tienen una estaca (un inters) en el xito de la empresa.

2.- Resumen Ejecutivo de CobiT Un elemento crtico para el xito y la supervivencia de las organizaciones, es la administracin efectiva de la informacin y de la Tecnologa de Informacin (TI) Relacionada. En esta sociedad global (donde la informacin viaja a travs del ciberespacio sin las restricciones de tiempo, distancia y velocidad) esta criticidad emerge de: La creciente dependencia en informacin y en los sistemas que proporcionan dicha informacin. La creciente vulnerabilidad y un amplio espectro de amenazas, tales como las ciber amenazas y la guerra de informacin. La escala y el costo de las inversiones actuales y futuras en informacin y en tecnologa de informacin; y

El potencial que tienen las tecnologas para cambiar radicalmente las organizaciones y las prcticas de negocio, crear nuevas oportunidades y reducir costos.

Para muchas organizaciones, la informacin y la tecnologa que la soporta, representan los activos ms valiosos de la empresa. Es ms, en nuestro competitivo y rpidamente cambiante ambiente actual, la Gerencia ha incrementado sus expectativas relacionadas con la entrega de servicios de TI. Por lo tanto, la Administracin requiere niveles de servicio que presenten incrementos en calidad, en funcionalidad y en facilidad de uso, as como un mejoramiento continuo y una disminucin de los tiempos de entrega; al tiempo que demanda que esto se realice a un costo ms bajo. Hay numerosos cambios en TI y en su ambiente de operacin que enfatiza la necesidad de un mejor manejo relacionado con los riesgos de TI. La dependencia en la informacin electrnica y en los sistemas de TI son esenciales para soportar los procesos crticos del negocio. Adicionalmente, el ambiente regulatorio demanda control estricto sobre la informacin. Esto a su vez conduce a un incremento de los desastres en los sistemas de informacin y al incremento del fraude electrnico. La Administracin de los riesgos relacionados con TI est siendo entendido como un aspecto clave en el gobierno o direccin empresarial. Dentro del Gobierno Empresarial, el Gobierno / Gobernabilidad de TI2 se est volviendo mas y mas importante y est definido como una estructura de relaciones y procesos para dirigir y controlar a la empresa con el fin que sta pueda cumplir sus metas dando valor agregado mientras balancea sus riesgos versus el retorno sobre TI y sus procesos. El Gobierno de TI es parte integral del xito de la Gerencia de la Empresa al asegurar mejoras medibles, eficientes y efectivas de los procesos relacionados de la empresa. El Gobierno de TI provee las estructuras que unen los procesos de TI, los recursos de TI y la informacin con las estrategias y los objetivos de la empresa. Adems, el Gobierno de TI integra e institucionaliza buenas (o mejores) prcticas de planeacin y organizacin, adquisicin e implementacin, entrega de servicios y soporte y monitorea el desempeo de TI para asegurar que la informacin de la empresa y las tecnologas relacionadas soportan sus objetivos del negocio. El Gobierno de TI conduce a la empresa a tomar total ventaja de su informacin logrando con esto maximizar sus beneficios, capitalizar sus oportunidades y obtener ventaja competitiva. Las organizaciones deben cumplir con requerimientos de calidad, fiduciarios y de seguridad, tanto para su informacin, como para sus activos. La Administracin deber adems optimizar el empleo de sus recursos disponibles, los cuales incluyen: personal, instalaciones, tecnologa, sistemas de aplicacin y datos. Para cumplir con esta responsabilidad, as como para alcanzar sus objetivos, la Administracin debe entender el estado de sus propios sistemas de TI y decidir el nivel de seguridad y control que deben proveer estos sistemas

3.-Marco referencial de CobiT El Marco de Referencia de COBIT provee adems una gua o lista de verificacin para el Gobierno de TI. El Gobierno de TI proporciona las estructuras que encadenan los procesos de TI, los recursos de TI y la informacin con los objetivos y las estrategias de la empresa. El Gobierno de TI integra de una forma ptima el desempeo de la Planeacin y Organizacin, la Adquisicin e Implementacin, la Entrega de Servicios y Soporte y el Monitoreo. El Gobierno de TI facilita que la empresa obtenga total ventaja de su informacin y as mismo maximiza sus beneficios, capitalizando sus oportunidades y obteniendo ventaja competitiva. Adicionalmente, correspondiendo a cada uno de los 34 objetivos de control de alto nivel, existe una Gua o directriz de Auditora o de aseguramiento que permite la revisin de los procesos de TI contra los 318 objetivos detallados de control recomendados por COBIT para proporcionar a la Gerencia la certeza de su cumplimiento y/o sugerencias para su mejoramiento. Las Guas o Directrices Gerenciales de COBIT, desarrolladas recientemente, ayudan a la Gerencia a cumplir de una forma mas efectiva con las necesidades y requerimientos del Gobierno de TI. Las Directrices son acciones genricas orientadas a proveer a la Administracin la direccin para mantener bajo control la informacin de la empresa y sus procesos relacionados, para monitorear el logro de las metas organizacionales, para monitorear el desempeo de cada proceso de TI y para llevar a cabo un benchmarking de los logros organizacionales. Especficamente COBIT provee: Modelos de Madurez para el control sobre los procesos de TI de tal forma que la Administracin puede ubicarse en el punto donde la organizacin est hoy, donde est en relacin con los mejores de su clase en su industria y con los estndares internacionales y as mismo determinar a donde quiere llegar; Factores Crticos de xito (Critical Success Factors), que definen o determina cuales son las ms importantes directrices que deben ser consideradas por la Administracin para lograr control sobre y dentro de los procesos de TI. Indicadores Claves del logro / Objetivos o de Resultados (Key Goal Indicators) los cuales definen los mecanismos de medicin que indicarn a la Gerenciadespus del hecho si un proceso de TI ha satisfecho los requerimientos del negocio; Los Indicadores Clave de desempeo (Key Performance Indicators) los cuales son indicadores primarios que definen la medida para conocer qu tan bien se est ejecutando el proceso de TI frente o comparado contra el objetivo que se busca.

4.-Objetivos de control y conceptos generales Brindan buenas prcticas a travs de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lgica. Las buenas prcticas de CobiT estn enfocadas fuertemente en el control y menos en la ejecucin. Estas prcticas ayudarn a optimizar las inversiones facilitadas por la TI, asegurarn la entrega del servicio y brindarn un patrn de medicin con el cual se podr calificar cuando las cosas no vayan bien. Para que la TI tenga xito en satisfacer los requerimientos del negocio, la direccin empresarial debe implantar un sistema de control interno o un marco de trabajo. El marco de trabajo de control CobiT contribuye a estas necesidades de la siguiente manera:

Estableciendo un vnculo con los requerimientos del negocio Organizando las actividades de TI en un modelo de procesos Identificando los principales recursos de TI Definiendo los objetivos de control gerenciales La orientacin al negocio que realiza CobiT consiste en vincular las metas del negocio con las metas de TI, brindando mtricas y modelos de madurez para medir los logros, e identificando las responsabilidades asociadas de los propietarios de los procesos de negocio y de TI. El enfoque hacia procesos de COBIT se ilustra con un modelo de procesos, el cual subdivide TI en 34 procesos de acuerdo a las responsabilidades de planear, construir, ejecutar y monitorear; de esta manera, se ofrece una visin de punta a punta de la TI. El concepto de arquitectura empresarial ayuda a identificar aquellos recursos esenciales para el xito de los procesos, es decir, aplicaciones, informacin, infraestructura y personas. En resumen, para proporcionar la informacin que la empresa necesita de acuerdo a sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos agrupados de forma natural. Una respuesta al requerimiento de determinar y monitorear el nivel apropiado de control y desempeo de TI, son los conceptos que CobiT define especficamente:

Benchmarking de la capacidad de los procesos de TI. Son modelos de madurez derivados del Modelo de Madurez de la Capacidad del Instituto de Ingeniera de Software Metas y mtricas de los procesos de TI para definir y medir sus resultados y su desempeo, basados en los principios de balanced business Scorecard de Robert Kaplan y David Norton

Objetivos de las actividades para controlar estos procesos, con base en los objetivos de control detallados de COBIT La evaluacin de la capacidad de los procesos basada en los modelos de madurez de CobiT es una parte clave de la implementacin del gobierno de TI. Despus de identificar los procesos y controlescrticos de TI, el modelado de la madurez permite identificar y demostrar a la direccin las brechas en la capacidad. CobiT es un marco de referencia y un juego de herramientas de soporte que permiten a la gerencia cerrar la brecha con respecto a los requerimientos de control, temas tcnicos y riesgos de negocio, y comunicar ese nivel de control a los participantes. CobiT permite el desarrollo de polticas claras y de buenas prcticas para el control de TI por parte de las empresas. CobiT constantemente se actualiza y armoniza con otros estndares, por lo tanto, CobiT se ha convertido en el integrador de las mejores prcticas de TI y el marco de referencia general para el gobierno de TI que ayuda a comprender y administrar los riesgos y beneficios asociados con TI. La estructura de procesos de CobiT y su enfoque de alto nivel orientado al negocio brindan una visin completa de TI y de las decisiones a tomar.