Topografía 1 Nivelación y Carretera en la Ingenierías
Cobit4
1. COBIT 4
INTRODUCCIÓN
COBIT (Objetivos de Control para la Información y la Tecnología relacionada) es un
marco de referencia, un conjunto de herramientas de Gobierno de Tecnología de
Información (TI), desarrollado por Information Systems Audit and Control Association
(ISACA) y el IT Governance Institute (ITGI), es utilizado como buena práctica para el
control de la información y los riesgos de la misma. Provee de buenas prácticas gracias
a un marco de dominio y pretende ser un marco general orientado al control de los
procesos de TI, dando un soporte a las funciones de Gobierno de TI. COBIT habilita el
desarrollo de políticas claras y buenas prácticas para el control de TI, Tiene 34 objetivos
nivel altos que cubren 215 objetivos de control clasificados en cuatro dominios: Planificar
y Organizar, Adquirir e Implementar, Entrega y Soporte, Monitorizar y Evaluar.
COBIT ayuda a las organizaciones a incrementar el valor de TI, además apoya el
alineamiento con el negocio y simplifica la implantación del COBIT. Permite a gerentes
acortar la brecha entre exigencias de control, cuestiones técnicas y riesgos de negocio,
también permite una buena práctica para el control de TI en todas partes de
organizaciones.
COBIT 4.0 se destaca por el cumplimiento regulador, es decir ayuda a organizaciones
a aumentar el valor logrado de TI, permite la alineación y simplifica la puesta en práctica
del marco COBIT. Esto no anula el trabajo hecho en versiones anteriores de COBIT,
pero en cambio puede ser usado para reafirmar el trabajo ya hecho basado sobre
aquellas versiones.
2. DESARROLLO
COBIT establece mejoras en cuanto a prácticas para la seguridad, calidad, eficiencia en
TI, las cuales son necesarias para alinear TI con el negocio, además permite identificar
los riesgos, gestionar recursos y medir el desempeño de los procesos de la
organización, COBIT proporciona a gerentes, los procesos y buenas prácticas para
ayudar a maximizar las ventajas por el uso de tecnología de información y desarrollo de
la gobernación apropiada TI.
COBIT ayuda en la definición de un plan de TI estratégico, adquisición de hardware y
software necesario para ejecutar dicha estrategia, y con la supervisión del
funcionamiento del sistema TI, es por esto que los gerentes se benefician de COBIT
porque a través de este marco llegan a entender sus sistemas TIy les permite decidir el
nivel de seguridad.
Criterios de Información
COBIT establece requerimientos de información del negocio, es decir criterios de
control, que se describen a continuación.
Efectividad: La información tiene que ser relevante y pertinente a los procesos
del negocio, y que se pueda proporcionar de forma, correcta y utilizable.
Eficiencia: La información sea generada de la forma más productiva y
económica.
Confidencialidad: Protecciónde la información contra revelación no autorizada.
Integridad: Precisión de la información.
Disponibilidad: La información se encuentre disponible cuando sea requerida
por los procesos del negocio.
Cumplimiento: Regirse a leyes, reglamentos, así como políticas internas.
Confiabilidad: La información que se entregue a la gerencia debe ser la
apropiada.
Recursos de TI
Los recursos de TI junto con los procesos,constituyen una arquitectura empresarial para
TI, y para responder a los requerimientos que el negocio tiene hacia TI, una empresa
debe invertir en los recursos requeridos para crear una capacidad técnica adecuada.
Los recursos de TI identificados en COBIT:
Las aplicaciones: Sistemas de usuario automatizados, al igual que
procedimientos manuales que procesan información.
La información: Datos generados por los sistemas de información, datos de
entrada y procesados.
3. La infraestructura: Es la tecnología y las instalaciones que permiten el
procesamiento de las aplicaciones.
Las personas: Personal requerido para planear, organizar, adquirir,
implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios
de información.
Dominios Interrelacionados
El marco de COBIT proporciona un modelo de procesos de referencia y un lenguaje
común para que todos en la empresa visualicen y administren las actividades de TI, es
por esto que es importante determinar las actividades y los riesgos que requieren ser
administrados. Normalmente COBIT define actividades de TI en un modelo genérico de
procesos, que normalmente se ordenan dentro de 4 dominios Planear y Organizar,
Adquirir e Implementar, Entregar y Dar Soporte y Monitorear y Evaluar.
Planear y Organizar (PO):
- Cubre las estrategias y tácticas.
- Identificar la manera en que TI pueda contribuir de la mejor manera al logro de
los objetivos del negocio.
- Proporciona dirección para la entrega de soluciones (AI) y la entrega de servicio
(DS).
Adquirir e Implementar (AI):
- Identificación de soluciones, desarrollo o adquisición, cambios o mantenimiento
de sistemas existentes.
- Proporciona las soluciones y las pasa para convertirlas en servicios.
Entregar y Dar Soporte (DS):
- Cubre la entrega de los servicios requeridos.
- Incluye la prestación del servicio, la administración de la seguridad, el soporte
del servicio a los usuarios y la administración de los datos.
- Recibe las soluciones y las hace utilizables por los usuarios finales.
Monitorear y Evaluar (ME):
- Todos los procesos de TI deben evaluarse de forma regular, en cuanto a su
calidad y cumplimiento de los requerimientos de control.
- Abarca la administración del desempeño, el monitoreo del control interno, el
cumplimiento regulatorio y la aplicación del gobierno.
- Monitorear todos los procesos para asegurar que se sigue la dirección provista.
COBIT ha identificado 34 procesos de TI generalmente usados que puede ser utilizada
para verificar que se completan las actividades y responsabilidades; sin embargo, no es
necesario que apliquen todas.
4. Basado en Controles
COBIT define objetivos de control para los 34 procesos.
Los procesos requieren controles
Control son las políticas, procedimientos, prácticas y estructuras organizacionales
diseñadas para brindar una seguridad razonable. Los objetivos de control son los
requerimientos mínimos para un control efectivo de cada proceso de TI.
Cada proceso de TI de COBIT tiene un objetivo de control de alto nivel y un número de
objetivos de control detallados, además tiene requerimientos de control genéricos que
se identifican con PCn, que significa número de control de proceso:
PC1 Dueño del proceso: Asigna un dueño para cada proceso COBIT.
PC2 Reiterativo: Definir cada proceso COBIT de tal forma que sea repetitivo.
PC3 Metas y objetivos: Establecer metas y objetivos claros para cada proceso
COBIT.
PC4 Roles y responsabilidades: Definir roles, actividades y responsabilidades
claros en cada proceso COBIT.
PC5 Políticas, planes y procedimientos: Asegurar que las políticas, planes y
procedimientos son accesibles, correctos, entendidos y actualizados.
PC6 Desempeñodelproceso: Establecer objetivos que se reflejen en las metas
del proceso e los indicadores de desempeño.
Controles del negocio y controles de ti
Objetivos de negocio: Al nivel de dirección ejecutiva, se establecen políticas y se
toman decisiones de cómo aplicar y administrar los recursos empresariales
Controles de negocio: Son controles para actividades específicas del negocio, los
procesos de negocio están automatizados e integrados con los sistemas aplicativos de
TI.
ServiciosTI:Proporcionados para soportar los procesos de negocio, estos suelen estar
compartidos por varios procesos de negocio.
Impulsado por la medición
Para que las empresas entiendan el estado de sus sistemas de TI, deben medir donde
se encuentran y donde se requieren mejoras, para esto COBIT utiliza estos temas:
Modelos de madurez que facilitan la evaluación por medio de benchmarking y la
identificación de las mejoras necesarias en la capacidad
Metas y mediciones de desempeño para los procesos de TI, para saber cómo
los procesos satisfacen las necesidades del negocio y cómo se usan para medir
el desempeño de los procesos internos.
Metas de actividades para facilitar el desempeño efectivo de los procesos
5. Modelo genérico de madurez
Los directivos de empresas deben considerar que tan bien se está administrando TI,
para esto se debe implementar un plan de negocio para lograr un nivel apropiado de
administración y control sobre la infraestructura de información. Es por esto que
mediante un modelo de madurez, se puede ubicar en una escala y evaluarse, y saber
si se necesita una mejora. Ya que esta escala nos muestracomoun proceso evoluciona
desde una capacidad no existente hasta una capacidad optimizada.
0 No existente: La empresa no ha reconocido siquiera que existe un problema a
resolver.
1 Inicial: Existe evidencia que la empresa ha reconocido que los problemas existen y
requieren ser resueltos. El enfoque general hacia la administración es desorganizado.
2 Repetible: Se han desarrollado los procesos hasta el punto en que se siguen
procedimientos similares en diferentes áreas que realizan la misma tarea. Existe un alto
grado de confianza en el conocimiento de los individuos y, por lo tanto, los errores son
muy probables.
3 Definido: Los procedimientos se han estandarizado y documentado, y se han
difundido a través de entrenamiento.
4 Administrado: Es posible monitorear y medir el cumplimiento de los procedimientos
y tomar medidas cuando los procesos no estén trabajando de forma efectiva
5 Optimizado: Los procesos se han refinado hasta un nivel de mejor práctica, se basan
en los resultados de mejoras continuas y en un modelo de madurez con otras empresas.
Medición del desempeño
Una meta de TI se logra por un proceso o por la interacción de varios procesos, cada
meta de proceso necesita varias actividades. Las metas están definidas de arriba hacia
abajo por lo que una meta de negocio determinará varias metas de TI que la soporten.
Se utilizan dos tipos de métricas:
Indicadores clave de meta: (KGI): se miden ya que las metas se han conseguido.
Indicadores clave de desempeño (KPI): Se pueden medir antes de que el
resultado sea claro.
6. CONCLUSIONES
COBIT determina buenas prácticas en cuanto a seguridad, calidad y eficiencia
en TI, de esta manera incrementa el valor de TI y apoya el alineamiento con el
negocio, sin importar la realidad tecnológica de la organización, además ayuda
a identificar los riesgos, medir el desempeño y también el nivel de madurez de
los procesos de la organización.
COBIT brinda una guía de alto nivel para la definición y evaluación de los
procesos de negocios relacionados con los Sistemas de Información, ya que
pretende ser un marco general orientado al control de los procesos de TI, y de
esta manera ayuda a maximizar las ventajas por el uso de tecnología de
información y desarrollo de la gobernación apropiada TI.
7. BIBLIOGRAFÍA
Governance Institue. (2007). COBIT. Recuperado el 20 de abril de 2015 de:
http://cs.uns.edu.ar/~ece/auditoria/cobiT4.1spanish.pdf
Universidadsurcolombiana.Auditoriade sistemas. En quéconsisteCOBIT4.0. Recuperado el
20 de abril de 2015 de: http://galeon.com/auditoriaycont/cobit4.pdf
Isaca. Cobit 4.0. Recuperado el 20 de abril de 2015 de: http://www.isaca.org/About-
ISACA/Press-room/News-Releases/Spanish/Pages/COBIT-4-0-Una-actualizacion-
principal-en-el-estandar-internacional-permite-a-las-empresas-aumentar-s.aspx