Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.

Cobit4

365 vues

Publié le

Marco de referencia Cobit 4

Publié dans : Ingénierie
  • Login to see the comments

  • Soyez le premier à aimer ceci

Cobit4

  1. 1. COBIT 4 INTRODUCCIÓN COBIT (Objetivos de Control para la Información y la Tecnología relacionada) es un marco de referencia, un conjunto de herramientas de Gobierno de Tecnología de Información (TI), desarrollado por Information Systems Audit and Control Association (ISACA) y el IT Governance Institute (ITGI), es utilizado como buena práctica para el control de la información y los riesgos de la misma. Provee de buenas prácticas gracias a un marco de dominio y pretende ser un marco general orientado al control de los procesos de TI, dando un soporte a las funciones de Gobierno de TI. COBIT habilita el desarrollo de políticas claras y buenas prácticas para el control de TI, Tiene 34 objetivos nivel altos que cubren 215 objetivos de control clasificados en cuatro dominios: Planificar y Organizar, Adquirir e Implementar, Entrega y Soporte, Monitorizar y Evaluar. COBIT ayuda a las organizaciones a incrementar el valor de TI, además apoya el alineamiento con el negocio y simplifica la implantación del COBIT. Permite a gerentes acortar la brecha entre exigencias de control, cuestiones técnicas y riesgos de negocio, también permite una buena práctica para el control de TI en todas partes de organizaciones. COBIT 4.0 se destaca por el cumplimiento regulador, es decir ayuda a organizaciones a aumentar el valor logrado de TI, permite la alineación y simplifica la puesta en práctica del marco COBIT. Esto no anula el trabajo hecho en versiones anteriores de COBIT, pero en cambio puede ser usado para reafirmar el trabajo ya hecho basado sobre aquellas versiones.
  2. 2. DESARROLLO COBIT establece mejoras en cuanto a prácticas para la seguridad, calidad, eficiencia en TI, las cuales son necesarias para alinear TI con el negocio, además permite identificar los riesgos, gestionar recursos y medir el desempeño de los procesos de la organización, COBIT proporciona a gerentes, los procesos y buenas prácticas para ayudar a maximizar las ventajas por el uso de tecnología de información y desarrollo de la gobernación apropiada TI. COBIT ayuda en la definición de un plan de TI estratégico, adquisición de hardware y software necesario para ejecutar dicha estrategia, y con la supervisión del funcionamiento del sistema TI, es por esto que los gerentes se benefician de COBIT porque a través de este marco llegan a entender sus sistemas TIy les permite decidir el nivel de seguridad. Criterios de Información COBIT establece requerimientos de información del negocio, es decir criterios de control, que se describen a continuación. Efectividad: La información tiene que ser relevante y pertinente a los procesos del negocio, y que se pueda proporcionar de forma, correcta y utilizable. Eficiencia: La información sea generada de la forma más productiva y económica. Confidencialidad: Protecciónde la información contra revelación no autorizada. Integridad: Precisión de la información. Disponibilidad: La información se encuentre disponible cuando sea requerida por los procesos del negocio. Cumplimiento: Regirse a leyes, reglamentos, así como políticas internas. Confiabilidad: La información que se entregue a la gerencia debe ser la apropiada. Recursos de TI Los recursos de TI junto con los procesos,constituyen una arquitectura empresarial para TI, y para responder a los requerimientos que el negocio tiene hacia TI, una empresa debe invertir en los recursos requeridos para crear una capacidad técnica adecuada. Los recursos de TI identificados en COBIT: Las aplicaciones: Sistemas de usuario automatizados, al igual que procedimientos manuales que procesan información. La información: Datos generados por los sistemas de información, datos de entrada y procesados.
  3. 3. La infraestructura: Es la tecnología y las instalaciones que permiten el procesamiento de las aplicaciones. Las personas: Personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios de información. Dominios Interrelacionados El marco de COBIT proporciona un modelo de procesos de referencia y un lenguaje común para que todos en la empresa visualicen y administren las actividades de TI, es por esto que es importante determinar las actividades y los riesgos que requieren ser administrados. Normalmente COBIT define actividades de TI en un modelo genérico de procesos, que normalmente se ordenan dentro de 4 dominios Planear y Organizar, Adquirir e Implementar, Entregar y Dar Soporte y Monitorear y Evaluar. Planear y Organizar (PO): - Cubre las estrategias y tácticas. - Identificar la manera en que TI pueda contribuir de la mejor manera al logro de los objetivos del negocio. - Proporciona dirección para la entrega de soluciones (AI) y la entrega de servicio (DS). Adquirir e Implementar (AI): - Identificación de soluciones, desarrollo o adquisición, cambios o mantenimiento de sistemas existentes. - Proporciona las soluciones y las pasa para convertirlas en servicios. Entregar y Dar Soporte (DS): - Cubre la entrega de los servicios requeridos. - Incluye la prestación del servicio, la administración de la seguridad, el soporte del servicio a los usuarios y la administración de los datos. - Recibe las soluciones y las hace utilizables por los usuarios finales. Monitorear y Evaluar (ME): - Todos los procesos de TI deben evaluarse de forma regular, en cuanto a su calidad y cumplimiento de los requerimientos de control. - Abarca la administración del desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del gobierno. - Monitorear todos los procesos para asegurar que se sigue la dirección provista. COBIT ha identificado 34 procesos de TI generalmente usados que puede ser utilizada para verificar que se completan las actividades y responsabilidades; sin embargo, no es necesario que apliquen todas.
  4. 4. Basado en Controles COBIT define objetivos de control para los 34 procesos. Los procesos requieren controles Control son las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para brindar una seguridad razonable. Los objetivos de control son los requerimientos mínimos para un control efectivo de cada proceso de TI. Cada proceso de TI de COBIT tiene un objetivo de control de alto nivel y un número de objetivos de control detallados, además tiene requerimientos de control genéricos que se identifican con PCn, que significa número de control de proceso: PC1 Dueño del proceso: Asigna un dueño para cada proceso COBIT. PC2 Reiterativo: Definir cada proceso COBIT de tal forma que sea repetitivo. PC3 Metas y objetivos: Establecer metas y objetivos claros para cada proceso COBIT. PC4 Roles y responsabilidades: Definir roles, actividades y responsabilidades claros en cada proceso COBIT. PC5 Políticas, planes y procedimientos: Asegurar que las políticas, planes y procedimientos son accesibles, correctos, entendidos y actualizados. PC6 Desempeñodelproceso: Establecer objetivos que se reflejen en las metas del proceso e los indicadores de desempeño. Controles del negocio y controles de ti Objetivos de negocio: Al nivel de dirección ejecutiva, se establecen políticas y se toman decisiones de cómo aplicar y administrar los recursos empresariales Controles de negocio: Son controles para actividades específicas del negocio, los procesos de negocio están automatizados e integrados con los sistemas aplicativos de TI. ServiciosTI:Proporcionados para soportar los procesos de negocio, estos suelen estar compartidos por varios procesos de negocio. Impulsado por la medición Para que las empresas entiendan el estado de sus sistemas de TI, deben medir donde se encuentran y donde se requieren mejoras, para esto COBIT utiliza estos temas:  Modelos de madurez que facilitan la evaluación por medio de benchmarking y la identificación de las mejoras necesarias en la capacidad  Metas y mediciones de desempeño para los procesos de TI, para saber cómo los procesos satisfacen las necesidades del negocio y cómo se usan para medir el desempeño de los procesos internos.  Metas de actividades para facilitar el desempeño efectivo de los procesos
  5. 5. Modelo genérico de madurez Los directivos de empresas deben considerar que tan bien se está administrando TI, para esto se debe implementar un plan de negocio para lograr un nivel apropiado de administración y control sobre la infraestructura de información. Es por esto que mediante un modelo de madurez, se puede ubicar en una escala y evaluarse, y saber si se necesita una mejora. Ya que esta escala nos muestracomoun proceso evoluciona desde una capacidad no existente hasta una capacidad optimizada. 0 No existente: La empresa no ha reconocido siquiera que existe un problema a resolver. 1 Inicial: Existe evidencia que la empresa ha reconocido que los problemas existen y requieren ser resueltos. El enfoque general hacia la administración es desorganizado. 2 Repetible: Se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares en diferentes áreas que realizan la misma tarea. Existe un alto grado de confianza en el conocimiento de los individuos y, por lo tanto, los errores son muy probables. 3 Definido: Los procedimientos se han estandarizado y documentado, y se han difundido a través de entrenamiento. 4 Administrado: Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas cuando los procesos no estén trabajando de forma efectiva 5 Optimizado: Los procesos se han refinado hasta un nivel de mejor práctica, se basan en los resultados de mejoras continuas y en un modelo de madurez con otras empresas. Medición del desempeño Una meta de TI se logra por un proceso o por la interacción de varios procesos, cada meta de proceso necesita varias actividades. Las metas están definidas de arriba hacia abajo por lo que una meta de negocio determinará varias metas de TI que la soporten. Se utilizan dos tipos de métricas:  Indicadores clave de meta: (KGI): se miden ya que las metas se han conseguido.  Indicadores clave de desempeño (KPI): Se pueden medir antes de que el resultado sea claro.
  6. 6. CONCLUSIONES  COBIT determina buenas prácticas en cuanto a seguridad, calidad y eficiencia en TI, de esta manera incrementa el valor de TI y apoya el alineamiento con el negocio, sin importar la realidad tecnológica de la organización, además ayuda a identificar los riesgos, medir el desempeño y también el nivel de madurez de los procesos de la organización.  COBIT brinda una guía de alto nivel para la definición y evaluación de los procesos de negocios relacionados con los Sistemas de Información, ya que pretende ser un marco general orientado al control de los procesos de TI, y de esta manera ayuda a maximizar las ventajas por el uso de tecnología de información y desarrollo de la gobernación apropiada TI.
  7. 7. BIBLIOGRAFÍA Governance Institue. (2007). COBIT. Recuperado el 20 de abril de 2015 de: http://cs.uns.edu.ar/~ece/auditoria/cobiT4.1spanish.pdf Universidadsurcolombiana.Auditoriade sistemas. En quéconsisteCOBIT4.0. Recuperado el 20 de abril de 2015 de: http://galeon.com/auditoriaycont/cobit4.pdf Isaca. Cobit 4.0. Recuperado el 20 de abril de 2015 de: http://www.isaca.org/About- ISACA/Press-room/News-Releases/Spanish/Pages/COBIT-4-0-Una-actualizacion- principal-en-el-estandar-internacional-permite-a-las-empresas-aumentar-s.aspx

×