Presentado por: Abrego Luis Aparicio Jennifer Denis David Olmos Yadira
COBIT Qu es? COBIT: Objetivos de Control para la Informacion y Tecnologas Relacionadas
Son las mejores prcticas de la Industria en Seguridad y tecnologas de Informacin, condensadas en Objetivos de Control.
Fue creada por ISACA (Information System Audit and Control Association e IT Governance Institute)
Un elemento crtico para el xito y la supervivencia de las organizaciones, es la administracin efectiva de la informacin y de la Tecnologa de Informacin (TI).
Muchas organizaciones reconocen los beneficios potenciales que la tecnologa puede proporcionar. Las organizaciones exitosas, sin embargo, tambin comprenden y administran los riesgos asociados con la implementacin de nuevas tecnologas.
La dependencia en la informacin electrnica y en los sistemas de TI son esenciales para soportar los procesos crticos del negocio.
La administracin de los riesgos relacionados con TI est siendo entendido como un aspecto clave en el gobierno o direccin empresarial Gobierno de TI (IT Governance) es un trmino que representa el sistema de control o administracin que establece la alta gerencia para asegurar el logro de los objetivos de la Organizacin.
COBIT Es la herramienta innovadora para el gobierno de TI que ayuda a la gerencia a comprender y administrar los riesgos asociados con TI.
Objetivos de Control Los Objetivos de Control muestran una relacin clara y distintiva con los objetivos de negocio con el fin de apoyar su uso en forma significativa fuera de las fronteras de la comunidad de auditora. Los objetivos de Control estn definidos con una orientacin a los procesos, siguiendo el principio de reingeniera de negocios. Los Objetivos de Control, aseguran que se proporciona un sistema de control adecuado para el ambiente de tecnologa de informacin.
Con el fin de proporcionar la informacin que la empresa necesita para alcanzar sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos de TI agrupados en forma natural.
Sumado con un conjunto de 34 Objetivos de Control de alto nivel, uno para cada uno de los Procesos de TI, agrupados en cuatro dominios: Planeacin y organizacin, Adquisicin e implementacin, Entrega (de servicio) y , Monitoreo.
Planeacin y organizacin. Este dominio cubre la estrategia y las tcticas y se refiere a la identificacin de la forma en que la tecnologa de informacin puede contribuir de la mejor manera al logro de los objetivos del negocio. Adems, la consecucin de la visin estratgica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, debern establecerse una organizacin y una infraestructura tecnolgica apropiadas.
Adquisicin e implementacin. Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, as como implementadas e integradas dentro del proceso del negocio. Adems, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes. Entrega y soporte. En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, debern establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicacin, frecuentemente clasificados como controles de aplicacin.
Monitoreo. Todos los procesos necesitan ser evaluados regularmente a travs del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control.
Control se define como: Las polticas, procedimientos, prcticas y estructuras organizacionales diseadas para garantizar razonablemente que los objetivos del negocio sern alcanzados y que eventos no deseables sern prevenidos o detectados y corregidos. Objetivo de control en TI se define como: Una definicin del resultado o propsito que se desea alcanzar implementando procedimientos de control en una actividad de TI particular.
El concepto fundamental de COBIT se refiere a que el enfoque del control en TI se lleva a cabo visualizando la informacin necesaria para dar soporte a los procesos de negocio
A continuacin los requerimientos para la Informacin - por COBIT:
Efectividad. Se refiere a que la informacin relevante sea pertinente para el proceso del negocio, as como a que su entrega sea oportuna, correcta, consistente y de manera utilizable. Eficiencia. Se refiere a la provisin de informacin a travs de la utilizacin ptima (ms productiva y econmica) de recursos. Confidencialidad. Se refiere a la proteccin de informacin sensible contra divulgacin no autorizada. Integridad. Se refiere a la precisin y suficiencia de la informacin, as como a su validez de acuerdo con los valores y expectativas del negocio. Disponibilidad. Se refiere a la disponibilidad de la informacin cuando sta es requerida por el proceso de negocio ahora y en el futuro. Tambin se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas.
Cumplimiento. Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a los que el proceso de negocios est sujeto, por ejemplo, criterios de negocio impuestos externamente.
Confiabilidad. Se refiere a la provisin de informacin apropiada para la administracin con el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros y de cumplimiento.
Los recursos de TI identificados en COBIT pueden explicarse/definirse como se muestra a continuacin:
Datos. Los elementos de datos en su ms amplio sentido, (por ejemplo, externos e internos), estructurados y no estructurados, grficos, sonido, etc. Aplicaciones. Se entiende como sistemas de aplicacin la suma de procedimientos manuales y programados. Tecnologa. La tecnologa cubre hardware, software, sistemas operativos, sistemas de administracin de bases de datos, redes, multimedia, etc.
Instalaciones. Recursos para alojar y dar soporte a los sistemas de informacin. Personal. Habilidades del personal, conocimiento, conciencia y productividad para planear,organizar, adquirir, entregar, soportar y monitorear servicios y sistemas de informacin.
Especficamente Cobit provee Modelos de Madurez para el control sobre los procesos de TI, de tal forma que la administracin pueda ubicarse en el punto donde la organizacin est hoy, donde est en relacin con los mejores de su clase en su industria y con los estndares internacionales y as mismo determinar a donde quiere llegar.
Modelos de Madurez Para el control sobre los procesos TI consisten en el desarrollo de un mtodo de puntaje que una organizacin puede graduar desde un no existente a un optimizado, es decir, de 0 a 5. Contra estos niveles se desarroll para cada uno de los 34 objetivos de procesos de Cobit la administracin puede mapear: El estado actual de la organizacin es decir donde la organizacin est hoy da. El estado actual de (los mejores en su clase) la industria comparacin El estado actual de los estndares internacionales comparacin adicional Y la estrategia de la organizacin para mejorar es decir, donde la organizacin desea estar.
MODELO GENERICO DE MADUREZ
0 No-Existente. Falta completa de cualquier proceso reconocible. La organizacin no ha reconocido an que hay un elemento a ser dirigido. 1 Inicial. No hay procesos estndares y en su reemplazo hay aproximaciones que tienden a ser aplicadas en forma individual o caso a caso. El enfoque general es desorganizado. 2 Repetible. Los procesos se han desarrollados en la etapa donde procedimientos similares son seguidos por diferentes personas que realizan la misma tarea. No existe capacitacin formal o comunicacin de procedimientos estndares y la responsabilidad recae en el individuo. Hay un alto grado de confianza en los conocimientos individuales y por lo tanto, los errores son probables.
3 Definido. Los procedimientos han sido estandarizados y documentados y comunicados a travs de capacitacin. Sin embargo, los individuos dejan de cumplir los procesos y es improbable que las desviaciones sern detectadas. Los procedimientos no son terminados pero formalizan las practicas existentes. 4 Administrado. Es posible monitorear y medir el cumplimiento con los procedimientos y tomar acciones cuando stos no estn trabajando efectivamente. Los procesos estn bajo constante mejoramiento y proveen de buenas practicas. La automatizacin y herramientas son utilizadas en forma limitada. 5 Optimizado. Los procesos se han refinado al nivel de mejores prcticas , basado en el resultado de mejoramiento continuo y modelamiento de madurez. La TI es usada como una forma integrada para automatizar los flujos de trabajo, entregando herramientas para mejorar la calidad y la efectividad, permitiendo a la empresa adaptarse. FIN