I. INTRODUCCION : Qu significan las siglas COBIT? El significado de COBIT viene del ingls Control Objectives for Information and related Technology, que significa Objetivos de Control para la informacin y Tecnologas relacionadas. Qu es COBIT? Conjunto de buenas prcticas para el manejo de informacin que ha sido creado por la Asociacin para la Auditora y Control de Sistemas de Informacin,(ISACA, en ingls: Information Systems Audit and Control Association), y el Instituto de Administracin de las Tecnologas de la Informacin (ITGI, en ingls: IT Governance Institute) MISION: Investigar, desarrollar, publicar y promocionar un conjunto de objetivos de control generalmente aceptados las tecnologas de la informacin que sean autorizados, actualizados, e internacionales para el uso de los gestores de negocios y auditores. ALCANCES Y OBJETIVOS: Estndares generalmente aplicados y aceptados para las buenas prcticas de control en TI (Tecnologas de la Informacin) Para Sistemas de Informacin de la Organizacin Fundamentado en una estructura de control de las TI. Basado en los Objetivos de Control de ISACF
El COBIT est diseado para ser utilizado por tres audiencias distintas: Administracin: Para ayudarlos a lograr un balance entre los riesgos y las inversiones. Usuarios: Para obtener una garanta en cuanto a la seguridad y controles de los servicios de tecnologa de informacin proporcionados internamente o por terceras partes. Auditores de sistemas de informacin: Para dar soporte a las opiniones mostradas a la administracin sobre los controles internos EVOLUCIN DE COBIT:
DOMINIOS COBIT
PLANEAR Y ORGANIZAR Este dominio cubre la estrategia y las tcticas y se refiere a la identificacin de la forma en que la tecnologa de informacin puede contribuir de la mejor manera al logro de los objetivos del negocio. Adems, la consecucin de la visin estratgica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, debern establecerse una organizacin y una infraestructura tecnolgica apropiadas.
PO1 Definir el plan estratgico de TI. PO2 Definir la arquitectura de la informacin. PO3 Determinar la direccin tecnolgica. PO4 Definir procesos, organizacin y relaciones de TI. PO5 Administrar la inversin en TI. PO6 Comunicar las aspiraciones y la direccin de la gerencia . PO7 Administrar recursos humanos de TI. PO8 Administrar calidad. PO9 Evaluar y administrar riesgos de TI. PO10 Administrar proyectos. PO11 Administracin de Calidad.
ADQUIRIR E IMPLANTAR Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, as como implementadas e integradas dentro del proceso del negocio. Adems, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.
AI1 Identificar soluciones automatizadas. AI2 Adquirir y mantener el software aplicativo. AI3 Adquirir y mantener la infraestructura tecnolgica AI4 Facilitar la operacin y el uso. AI5 Adquirir recursos de TI. AI6 Administrar cambios.
MONITOREAR Y EVALUAR Todos los procesos necesitan ser evaluados regularmente a travs del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control.
ME1 Monitorear y evaluar el desempeo de TI. ME2 Monitorear y evaluar el control interno ME3 Garantizar cumplimiento regulatorio. ME4 Proporcionar gobierno de TI.
PRESTACIN Y SOPORTE En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, debern establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicacin, frecuentemente clasificados como controles de aplicacin. DS1 Definir y administrar niveles de servicio. DS2 Administrar servicios de terceros. DS3 Administrar desempeo y capacidad. Procesos Proceso ssssss Procesos Procesos DS4 Garantizar la continuidad del servicio. DS5 Garantizar la seguridad de los sistemas. DS6 Identificar y asignar costos. DS7 Educar y entrenar a los usuarios. DS8 Administrar la mesa de servicio y los incidentes. DS9 Administrar la configuracin. DS10 Administrar los problemas. DS11 Administrar los datos. DS12 Administrar el ambiente fsico. DS13 Administrar las operaciones.
COBIT 5 El 9 de abril de 2012 fue publicado oficialmente por ISACA el marco de referencia COBIT 5. Es la evolucin de la familia COBIT, aprovechando las versiones anteriores y las practicas actuales. Est apoyado en ms de 15 aos de experiencia global. Es resultado del trabajo de expertos de los 5 continentes y de la retroalimentacin de cientos de miembros de ISACA.
OBJETIVOS: COBIT 5 ayuda a las empresas a crear/obtener valor ptimo de la TI, manteniendo un balance entre los beneficios, riesgos y recursos. COBIT 5 tiene un enfoque holstico para administrar y gobernar la informacin y tecnologa relacionada en toda la empresa, COBIT 5 establece principios y habilitadores genricos que son tiles para empresas de todos tamaos y giros. Procesos
LOS CINCO PRINCIPIOS DE COBIT 5:
1.SATISFACER LAS NECESIDADES DE LOS INTERESADOS: Empresas existen para crear valor para sus interesados. Las Empresas tienen muchos interesados, y crear valor significa diferentes y a veces contrarias cosas a cada uno. Gobernar es acerca de negociar y decidir entre los diferentes interesados. El sistema de gobierno debe considerar a todos los interesados . Para cada decisin, se debe preguntar: - Quin recibe los beneficios? - A quin impacta el riesgo? - Qu recursos se necesitan?
2.CUBRIR LA EMPRESA DE EXTREMO A EXTREMO: Integra el gobierno empresarial de TI en el gobierno corporativo.. Cubre todas las funciones y procesos dentro de la empresa; (COBIT 5 does not focus only on the IT function).
3.APLICAR UN SOLO MARCO INTEGRADO: COBIT 5 se alinea con los estndares y marcos ms relevantes usados por las empresas: Empresariales: COSO, COSO ERM, ISO/IEC 9000, Relacionados con TI: ISO/IEC 38500, ITIL, serie ISO/IEC 27000, TOGAF. Esto permite que la empresa use COBIT 5 como un marco integrador de gobierno y administracin de TI.
4.HABILITAR UN ENFOQUE HOLSTICO: Los habilitadores de COBIT 5 son: Factores que, individual y colectivamente influencian para que algo funcione. En el caso de COBIT, este algo, son el gobierno y la administracin de TI empresarial. Se describen los habilitadores de COBIT 5 en siete categoras.
5.SEPARAR GOBIERNO DE ADMINISTRACIN Estas dos disciplinas: Incluyen diferentes tipos de actividades Requieren diferentes estructuras organizacionales Sirven para diferentes propsitos GobiernoResponsabilidad de la Junta Directiva. AdministracinResponsabilidad de la alta administracin, bajo el liderazgo del CEO.
DIFERENCIAS DE COBIT 5 CON COBIT 4.1: Los principales cambios en COBIT 5: 1. Nuevos Principios de GEIT(governance de enterprise IT: gobernabilidad de la TI empresariales) 2. Mayor foco en Habilitadores 3. Nuevo Modelo de Referencia de Procesos 4. Nuevos y modificados procesos 5. Prcticas y Actividades 6. Metas y Mtricas ms desarrolladas 7. Entradas y Salidas a nivel de prctica 8. RACI Charts ms detalladas 9. Modelos de Madurez de Capacidad del Proceso y Evaluaciones
COBIT 5 ha integrado el contenido de COBIT 4.1, Val IT and Risk IT en un Modelo de Referencia de Procesos
NUEVOS Y MODIFICADOS PROCESOS: Hay nuevos y Modificados Procesos, en particular: APO03 Gestione la arquitectura empresarial. APO04 gestionar la innovacin. APO05 Administrar carteras APO06 Gestione presupuesto y los costos APO08 gestionar las relaciones. APO13 Administrar la seguridad. BAI05 Administrar el cambio organizacional habilitacin. BAI08 gestionar el conocimiento. BAI09 Administrar activos. DSS05 servicio de seguridad Administrar. DSS06 Administrar controles de procesos de negocio
II. COBIT 5 VS CALIDAD:
8.1. ADMINISTRAR LA CALIDAD:
DESCRIPCIN GENERAL DEL PROCESO Resume los objetivos del proceso, muestra la equivalencia de este proceso con los criterios de informacin, con los recursos de Ti y con las reas focales de gobierno de TI. OBJETIVOS DE CONTROL DETALLADOS DEL PROCESO Metas intermedias para lograr el Objetivo principal. Contiene los objetivos de control detallados de ste proceso. ENTRADAS Y SALIDAS DEL PROCESO Describe lo que se necesita antes y lo que se entrega despus de realizar el proceso. GRFICA R A C I Muestra qu se debe delegar y a quin. METAS Y MTRICAS Describe cmo se debe medir el proceso. MODELO DE MADUREZ DEL PROCESO Es una gua para saber en qu nivel de eficiencia se encuentra el proceso. Muestra lo que se debe hacer para mejorar el proceso.
8.2. SISTEMA DE ADMINISTRACIN DE CALIDAD O SISTEMA DE GESTIN DE CALIDAD Establecer y mantener un SGC que proporcione un enfoque estndar, formal y continuo, con respecto a la administracin de la calidad, que est alineado con los requerimientos del negocio. El SGC identifica los requerimientos y los criterios de calidad, los procesos claves de TI, y su secuencia e interaccin, as como las polticas, criterios y mtodos para definir, detectar, corregir y prever las no conformidades. El SGC debe definir la estructura organizacional para la administracin de la calidad, cubriendo los roles, las tareas y las responsabilidades. Todas las reas clave desarrollan sus planes de calidad de acuerdo a los criterios y polticas, y registran los datos de calidad. Monitorear y medir la efectividad y aceptacin del SGC y mejorarla cuando sea necesario.
La ADMINISTRACIN DE CALIDAD tiene como objetivo: Satisfacer los requerimientos del cliente, para ello se realiza una planeacin, implementacin y mantenimiento de estndares y sistemas de administracin de calidad por parte de la organizacin y se toma en consideracin: Definicin y mantenimiento regular del plan de calidad, el cual deber promover la filosofa de mejora continua y contestar a las preguntas bsicas de qu, quin y cmo. Responsabilidades de aseguramiento de calidad que determine los tipos de actividades de aseguramiento de calidad tales como revisiones, auditorias, inspecciones, etc. que deben realizarse para alcanzar los objetivos del plan general de calidad. Metodologas del ciclo de vida de desarrollo de sistemas que rija el proceso de desarrollo, adquisicin, implementacin y mantenimiento de sistemas de informacin. Documentacin de pruebas de sistemas y programas Revisiones y reportes de aseguramiento de calidad
8.3. ESTNDARES Y PRCTICAS DE CALIDAD Identificar y mantener estndares, procedimientos y prcticas para los procesos clave de TI para orientar a la organizacin hacia el cumplimiento del SGC. Usar las mejores prcticas de la industria como referencia al mejorar y adaptar las prcticas de calidad de la organizacin.
8.4. ESTNDARES DE DESARROLLO Y DE ADQUISICIN Adoptar y mantener estndares para todo el desarrollo y adquisicin que siguen el ciclo de vida, hasta el ltimo entregable e incluyen la aprobacin en puntos clave con base en criterios de aprobacin acordados. Los temas a considerar incluyen estndares de codificacin de software, normas de nomenclatura; formatos de archivos, estndares de diseo para esquemas y diccionario de datos; estndares para la interfaz de usuario; inter-operabilidad; eficiencia de desempeo de sistemas; escalabilidad; estndares para desarrollo y pruebas; validacin contra requerimientos; planes de pruebas; y pruebas unitarias, de regresin y de integracin.
8.5. ENFOQUE EN EL CLIENTE DE TI Garantiza que la administracin de calidad se enfoque en los clientes, al determinar sus requerimientos y alinearlos con los estndares y prcticas de TI. Se definen los roles y responsabilidades respecto a la resolucin de conflictos entre el usuario/cliente y la organizacin de TI.
8.6. MEJORA CONTINUA Se elabora y comunica un plan global de calidad que promueva la mejora continua, de forma peridica.
8.7. MEDICIN, MONITOREO Y REVISIN DE LA CALIDAD Definir, planear e implantar mediciones para monitorear el cumplimiento continuo del QMS, as como el valor que QMS proporciona. La medicin, el monitoreo y el registro de la informacin deben ser usados por el dueo del proceso para tomar las medidas correctivas y preventivas apropiadas.
MODELO DE MADUREZ
Es una gua para saber en qu nivel de eficiencia se encuentra el proceso. Muestra lo que se debe hacer para mejorar el proceso.
INICIAL Conciencia de la necesidad de SGC.
REPETIBLE Se crean programas para algunas actividades.
DEFINIDO Se han definido estndares de calidad.
ADMINISTRADO Y MEDIBLE EL QMS o SGC es aplicado a todos los procesos y reas.
OPTIMIZADO Los QMS o SGC son adaptables y flexibles.
III. LINKOGRAFIA: https://www.google.com.pe/#q=guia+resumen+de+cobit http://www.isaca.org/chapters7/Monterrey/Events/Documents/20120305%20CobiT%205.pdf http://www.silver-storm.com/component/content/article/159?format=pdf https://www.google.com.pe/#q=diferencias+entre+cobit+4+y+cobit+5 https://www.slideshare.net/yhonychaponancipriano/savedfiles?s_title=c-o-b-i-t-sistema-de- investigacin&user_login=Jasik http://cs.uns.edu.ar/~ece/auditoria/cobiT4.1spanish.pdf