COBIT
Introduccin
La evaluacin de los requerimientos del negocio, los recursos y procesos IT, son puntos bastante importantes para el buen funcionamiento de una compaa y para el aseguramiento de su supervivencia en el mercado. El COBIT es precisamente un modelo para auditar la gestin y control de los sistemas de informacin y tecnologa, orientado a todos los sectores de una organizacin, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso. Por tanto, el siguiente trabajo tiene la finalidad de exponer las Normas COBIT de manera simple y comprensible. Las siglas COBIT significan Objetivos de Control para Tecnologa de Informacin y Tecnologas relacionadas (Control Objectives for Information Systems and related Technology). El modelo es el resultado de una investigacin con expertos de varios pases, desarrollado por ISACA (Information Systems Audit and Control Association). La estructura del modelo COBIT propone un marco de accin donde se evalan los criterios de informacin, como por ejemplo la seguridad y calidad, se auditan los recursos que comprenden la tecnologa de informacin, como por ejemplo el recurso humano, instalaciones, sistemas, entre otros, y finalmente se realiza una evaluacin sobre los procesos involucrados en la organizacin. El COBIT es un modelo de evaluacin y monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca controles especficos de IT desde una perspectiva de negocios. El cuerpo del trabajo contiene aspectos como la resea histrica, misin, usuarios, Caractersticas y Estructura de COBIT. Adems, estaremos incluyendo el conjunto de lineamientos y estndares internacionales conocidos como COBIT, los cuales clasifican los procesos de las unidades de tecnologa de informacin de las organizaciones en cuatro dominios principales, a saber: Planificacin y organizacin Adquisicin e implantacin Soporte y Servicios Monitoreo
Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los aspectos de informacin, como de la tecnologa que la respalda. Estos dominios y objetivos de control facilitan que la generacin y procesamiento de la informacin cumplan con las caractersticas de efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad.
�COBIT se aplica a los sistemas de informacin de toda la empresa, incluyendo los computadores personales y las redes. Est basado en la filosofa de que los recursos TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la informacin pertinente y confiable que requiere una organizacin para lograr sus objetivos.
Resea Histrica
COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de TI. Vinculando tecnologa informtica y prcticas de control, COBIT consolida y armoniza estndares de fuentes globales prominentes en un recurso crtico para la gerencia, los profesionales de control y los auditores. COBIT se aplica a los sistemas de informacin de toda la empresa, incluyendo las computadoras personales, mini computadoras y ambientes distribuidos. Est basado en la filosofa de que los recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la informacin pertinente y confiable que requiere una organizacin para lograr sus objetivos.
Misin
Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de objetivos de control para tecnologa de informacin que sea de uso cotidiano para gerentes y auditores
Usuarios
La Gerencia: Para apoyar sus decisiones de inversin en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control. Los Usuarios Finales: quienes obtienen una garanta sobre la seguridad y el control de los productos que adquieren interna y externamente. Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organizacin y determinar el control mnimo requerido. Los Responsables de TI: para identificar los controles que requieren en sus reas.
Tambin puede ser utilizado dentro de las empresas por el responsable de un proceso de negocio en su responsabilidad de controlar los aspectos de informacin del proceso, y por todos aquellos con responsabilidades en el campo de la TI en las empresas.
Caractersticas
Orientado al negocio Alineado con estndares y regulaciones "de facto" Basado en una revisin crtica y analtica de las tareas y actividades en TI Alineado con estndares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)
�Principios
El enfoque del control en TI se lleva a cabo visualizando la informacin necesaria para dar soporte a los procesos de negocio y considerando a la informacin como el resultado de la aplicacin combinada de recursos relacionados con las TI que deben ser administrados por procesos de TI.
Requerimientos de la informacin del negocio
Para alcanzar los requerimientos de negocio, la informacin necesita satisfacer ciertos criterios: Requerimientos de Calidad: Calidad, Costo y Entrega. Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de los reportes financieros y Cumplimiento le leyes y regulaciones. Efectividad: La informacin debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable. Eficiencia: Se debe proveer informacin mediante el empleo ptimo de los recursos (la forma ms productiva y econmica). Confiabilidad: proveer la informacin apropiada para que la administracin tome las decisiones adecuadas para manejar la empresa y cumplir con sus responsabilidades. Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales est comprometida la empresa. Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad Confidencialidad: Proteccin de la informacin sensible contra divulgacin no autorizada Integridad: Refiere a lo exacto y completo de la informacin as como a su validez de acuerdo con las expectativas de la empresa. Disponibilidad: accesibilidad a la informacin cuando sea requerida por los procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a la misma.
Recursos de TI
En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos de negocio: Datos: Todos los objetos de informacin. Considera informacin interna y externa, estructurada o no, grficas, sonidos, etc. Aplicaciones: entendido como los sistemas de informacin, que integran procedimientos manuales y sistematizados. Tecnologa: incluye hardware y software bsico, sistemas operativos, sistemas de administracin de bases de datos, de redes, telecomunicaciones, multimedia, etc. Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de informacin. Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Informacin.
�Procesos de TI
La estructura de COBIT se define a partir de una premisa simple y pragmtica: "Los recursos de las Tecnologas de la Informacin (TI) se han de gestionar mediante un conjunto de procesos agrupados de forma natural para que proporcionen la informacin que la empresa necesita para alcanzar sus objetivos". COBIT se divide en tres niveles: Dominios: Agrupacin natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional. Procesos: Conjuntos o series de actividades unidas con delimitacin o cortes de control. Actividades: Acciones requeridas para lograr un resultado medible.
Se definen 34 objetivos de control generales, uno para cada uno de los procesos de las TI. Estos procesos estn agrupados en cuatro grandes dominios que se detallan a continuacin junto con sus procesos y una descripcin general de las actividades de cada uno:
Dominio: Planear y Organizar
Este dominio cubre las estrategias y las tcticas, y tiene que ver con identificar la manera en que TI puede contribuir de la mejor manera al logro de los objetivos del negocio. Adems, se debe implementar una estructura organizacional y una estructura tecnolgica apropiada.
1. Definir un Plan Estratgico de TI.
La planeacin estratgica de TI es necesaria para gestionar y dirigir todos los recursos de TI en lnea con la estrategia y prioridades del negocio. El plan estratgico mejora la comprensin de los interesados clave de las oportunidades y limitaciones de TI, evala el desempeo actual, identifica la capacidad y los requerimientos de recursos humanos, y clarifica el nivel de investigacin requerido.
Objetivos de control
Administracin del Valor de TI Alineacin de TI con el Negocio Evaluacin del Desempeo y la Capacidad Actual Plan Estratgico de TI Planes Tcticos de TI Administracin del Portafolio de TI
2. Definir la Arquitectura de la Informacin.
La funcin de sistemas de informacin debe crear y actualizar de forma regular un modelo de informacin del negocio y definir los sistemas apropiados para optimizar el uso de esta informacin.
�Este proceso mejora la calidad de la toma de decisiones gerenciales asegurndose que se proporciona informacin confiable y segura, y permite racionalizar los recursos de los sistemas de informacin para igualarse con las estrategias del negocio.
Objetivos de Control
Modelo de Arquitectura de Informacin Empresarial Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos Esquema de Clasificacin de Datos Administracin de Integridad
3. Determinar la Direccin Tecnolgica.
Esto requiere de la creacin de un plan de infraestructura tecnolgica y de un comit de arquitectura que establezca y administre expectativas realistas y claras de lo que la tecnologa puede ofrecer en trminos de productos, servicios y mecanismos de aplicacin.
Objetivos de control
Planeacin de la Direccin Tecnolgica Plan de Infraestructura Tecnolgica Monitoreo de Tendencias y Regulaciones Futuras Estndares Tecnolgicos Consejo de Arquitectura de TI
4. Definir los Procesos, Organizacin y Relaciones de TI.
Una organizacin de TI se debe definir tomando en cuenta los requerimientos de personal, funciones, rendicin de cuentas, autoridad, roles, responsabilidades y supervisin. Deben existir procesos, polticas de administracin y procedimientos para todas las funciones, con atencin especfica en el control, el aseguramiento de la calidad, la administracin de riesgos, la seguridad de la informacin, la propiedad de datos y de sistemas y la segregacin de funciones
�Objetivos de Control
Marco de Trabajo de Procesos de TI Comit Estratgico de TI Comit Directivo de TI Ubicacin Organizacional de la Funcin de TI Estructura Organizacional Establecimiento de Roles y Responsabilidades Responsabilidad de Aseguramiento de Calidad de TI Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento Supervisin Segregacin de Funciones Personal de TI Personal Clave de TI Relaciones
5. Administrar la Inversin en TI.
Establecer y mantener un marco de trabajo para administrar los programas de inversin en TI que abarquen costos, beneficios, prioridades dentro del presupuesto, un proceso presupuestal formal y administracin contra ese presupuesto.
Objetivos de Control
Prioridades Dentro del Presupuesto de TI Proceso Presupuestal Administracin de Costos de TI Administracin de Beneficios
6. Comunicar las Aspiraciones y la Direccin de la Gerencia.
Un programa de comunicacin continua se debe implementar para articular la misin, los objetivos de servicio, las polticas y procedimientos, etc., aprobados y apoyados por la direccin. La comunicacin apoya el logro de los objetivos de TI y asegura la concienciacin y el entendimiento de los riesgos de negocio y de TI.
�Ambiente de Polticas y de Control Riesgo Corporativo y Marco de Referencia de Control Interno de TI Administracin de Polticas para TI Implantacin de Polticas de TI Comunicacin de los Objetivos y la Direccin de TI
7. Administrar los Recursos Humanos de TI.
Adquirir, mantener y motivar una fuerza de trabajo para la creacin y entrega de servicios de TI para el negocio. Esto se logra siguiendo prcticas definidas y aprobadas que apoyan el reclutamiento, entrenamiento, la evaluacin del desempeo, la promocin y la terminacin Reclutamiento y Retencin del Personal Competencias del Personal Entrenamiento del Personal de TI Dependencia Sobre los Individuos Evaluacin del Desempeo del Empleado Cambios y Terminacin de Trabajo
8. Administrar la Calidad.
Los requerimientos de calidad se deben manifestar y documentar con indicadores cuantificables y alcanzables. La mejora continua se logra por medio del constante monitoreo, correccin de desviaciones y la comunicacin de los resultados a los interesados. La administracin de calidad es esencial para garantizar que TI est dando valor al negocio, mejora continua y transparencia para los interesados. Sistema de Administracin de Calidad Estndares y Prcticas de Calidad Estndares de Desarrollo y de Adquisicin Enfoque en el Cliente de TI Medicin, Monitoreo y Revisin de la Calidad
9. Evaluar y Administrar los Riesgos de TI.
Crear y dar mantenimiento a un marco de trabajo de administracin de riesgos. El marco de trabajo documenta un nivel comn y acordado de riesgos de TI, estrategias de mitigacin y riesgos residuales. Cualquier impacto potencial sobre las metas de la organizacin, causado por algn evento no planeado se debe identificar, analizar y evaluar.
�Marco de Trabajo de Administracin de Riesgos Establecimiento del Contexto del Riesgo Evaluacin de Riesgos de TI Respuesta a los Riesgos Mantenimiento y Monitoreo de un Plan de Accin de Riesgos
10.
Administrar Proyectos.
El marco de trabajo debe incluir un plan maestro, asignacin de recursos, definicin de entregables, aprobacin de los usuarios, un enfoque de entrega por fases, aseguramiento de la calidad, un plan formal de pruebas, revisin de pruebas y post-implantacin despus de la instalacin para garantizar la administracin de los riesgos del proyecto y la entrega de valor para el negocio. Este enfoque reduce el riesgo de costos inesperados y de cancelacin de proyectos. Marco de Trabajo para la Administracin de Programas Marco de Trabajo para la Administracin de Proyectos Compromiso de los Interesados Declaracin de Alcance del Proyecto Inicio de las Fases del Proyecto Plan Integrado del Proyecto Recursos del Proyecto Administracin de Riesgos del Proyecto Plan de Calidad del Proyecto Control de Cambios del Proyecto Planeacin del Proyecto y Mtodos de Aseguramiento Medicin del Desempeo, Reporte y Monitoreo del Proyecto Cierre del Proyecto
Dominio: Adquirir e Implementar
Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas as como la implementacin e integracin en los procesos del negocio. Adems, el cambio y el mantenimiento de los sistemas existentes est cubierto por este dominio para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio.
�Este dominio, por lo general, cubre los siguientes cuestionamientos de la gerencia: Los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio? Los nuevos proyectos son entregados a tiempo y dentro del presupuesto? Trabajarn adecuadamente los nuevos sistemas una vez sean implementados? Los cambios afectarn las operaciones actuales del negocio?
1. Identificar soluciones automatizadas
La necesidad de una nueva aplicacin o funcin requiere de anlisis antes de la compra o desarrollo para garantizar que los requisitos del negocio se satisfacen con un enfoque efectivo y eficiente. Este proceso cubre la definicin de las necesidades, considera las fuentes alternativas, realiza una revisin de la factibilidad tecnolgica y econmica, ejecuta un anlisis de riesgo y de costo-beneficio y concluye con una decisin final de desarrollar o comprar. Todos estos pasos permiten a las organizaciones minimizar el costo para adquirir e implantar soluciones, mientras que al mismo tiempo facilitan el logro de los objetivos del negocio.
�Objetivos de control detallados
1.1. 1.2. 1.3. 1.4. Definicin y mantenimiento de los requerimientos tcnicos y funcionales del negocio. Reporte de anlisis de riesgos Estudio de factibilidad y formulacin de cursos de accin alternativos Requerimientos, decisin de factibilidad y aprobacin.
2. Adquirir y mantener software aplicativo Objetivos de control detallados
2.1. 2.2. 2.3. 2.4. 2.5. 2.6. 2.7. 2.8. 2.9. 2.10. Diseo de alto nivel Diseo detallado Control y auditabilidad de las aplicaciones Seguridad y disponibilidad de las aplicaciones. Configuracin e implantacin de software aplicativo adquirido Actualizaciones importantes en sistemas existentes Desarrollo de software aplicativo Aseguramiento de la Calidad del Software Administracin de los requerimientos de aplicaciones Mantenimiento de software aplicativo
3. Adquirir y mantener infraestructura tecnolgica
Las organizaciones deben contar con procesos para adquirir, implantar y actualizar la infraestructura tecnolgica. Esto requiere de un enfoque planeado para adquirir, mantener y proteger la infraestructura de acuerdo con las estrategias tecnolgicas convenidas y la disposicin del ambiente de desarrollo y pruebas. Esto garantiza que exista un soporte tecnolgico continuo para las aplicaciones del negocio.
�Objetivos de control detallados
3.1. 3.2. 3.3. 3.4. Plan de adquisicin de infraestructura tecnolgica Proteccin y disponibilidad del recurso de infraestructura Mantenimiento de la Infraestructura Ambiente de prueba de factibilidad
4. Facilitar la operacin y el uso
El conocimiento sobre los nuevos sistemas debe estar disponible. Este proceso requiere la generacin de documentacin y manuales para usuarios y para TI, y proporciona entrenamiento para garantizar el uso y la operacin correctos de las aplicaciones y la infraestructura.
Objetivos de control detallados
4.1. 4.2. 4.3. 4.4. Plan para soluciones de operacin Transferencia de conocimiento a la gerencia del negocio Transferencia de conocimiento a usuarios finales Transferencia de conocimiento al personal de operaciones y soporte
5. Adquirir recursos de TI
Se deben suministrar recursos TI, incluyendo personas, hardware, software y servicios. Esto requiere de la definicin y ejecucin de los procedimientos de adquisicin, la seleccin de proveedores, el ajuste de arreglos contractuales y la adquisicin en s. El hacerlo as garantiza que la organizacin tenga todos los recursos de TI que se requieren de una manera oportuna y rentable.
Objetivos de control detallados
5.1. 5.2. 5.3. 5.4. 5.5. 5.6. Control de adquisicin Administracin de contratos con proveedores Seleccin de proveedores Adquisicin de software Adquisicin de recursos de desarrollo Adquisicin de infraestructura, instalaciones y servicios relacionados
6. Administrar cambios
Todos los cambios, incluyendo el mantenimiento de emergencia y parches, relacionados con la infraestructura y las aplicaciones dentro del ambiente de produccin, deben administrarse formalmente
�y controladamente. Los cambios (incluyendo procedimientos, procesos, sistema y parmetros del servicio) se deben registrar, evaluar y autorizar previo a la implantacin y revisar contra los resultados planeados despus de la implantacin. Esto garantiza la reduccin de riesgos que impactan negativamente la estabilidad o integridad del ambiente de produccin.
Objetivos de control detallados
6.1. 6.2. 6.3. 6.4. 6.5. Estndares y procedimientos para cambios Evaluacin de impacto, priorizacin y autorizacin Cambios de emergencia Seguimiento y reporte del estatus de cambio Cierre y documentacin del cambio
7. Instalar y acreditar soluciones y cambios
Los nuevos sistemas necesitan estar funcionales una vez que su desarrollo se completa. Esto requiere pruebas adecuadas en un ambiente dedicado con datos de prueba relevantes, definir la transicin e instrucciones de migracin, planear la liberacin y la transicin en s al ambiente de produccin, y revisar la post-implantacin. Esto garantiza que los sistemas operacionales estn en lnea con las expectativas convenidas y con los resultados.
