Canal de Telegram

24 jun 2007

Segu-Info » , » El Marco de Trabajo de COBIT

El Marco de Trabajo de COBIT

24 jun 2007, 4:12:00 p.m.   Comenta primero!
  ,  

El pasado mes de mayo, se público la versión 4.1 de COBIT*1, Objetivos de Control para Tecnologías de la Información y Relacionadas, que es un conjunto de mejores prácticas para en la seguridad de la Información creado por la Asociación para la Auditoría y Control de Sistemas de Información. ISACA*2, y el Instituto de Administración de las Tecnologías de la Información, ITGI*3. Proporciona un estándar internacional de prácticas aprobadas mundialmente que ayudan a la alta dirección, ejecutivos y administradores a incrementar el valor de las Tecnologías de la Información, TI, y a reducir los riesgos del negocio. Facilita un conjunto de buenas prácticas a través de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lógica.

COBIT 4.1 es una actualización significativa del marco que asegura que las TI estén alineadas con los objetivos de negocio, sus recursos sean usados responsablemente y sus riesgos administrados de forma apropiada. COBIT 4.1 representa una mejora indiscutible de la versión COBIT 4.0 del estándar.

La nueva versión incluye la medición del desempeño, mejores objetivos de control y mejor alineación con las metas de negocios y TI.

Muchas son las razones para la adopción de de un marco de trabajo para el control del Gobierno de las TI en las organizaciones, independientemente de su actividad y el tamaño.

Cada vez más, la alta dirección se está dando cuenta del impacto significativo que la información puede tener en el éxito de una empresa. La dirección espera de las TI contribuyan al éxito del negocio y se pueda obtener una ventaja competitiva de su buen uso. Las Organizaciones necesitan saber si con la información administrada es posible garantizar:

  • El logro de sus objetivos
  • La flexibilidad suficiente para aprender y adaptarse
  • El manejo juicioso de los riesgos a enfrenta la Organización
  • El análisis de las oportunidades de negocio y actuar de acuerdo a ellas

El éxito de la Organización depende en gran medida de que se entienden los riesgos y se aprovechan los beneficios de las TI, para ello, se necesita:

  • Alinear la estrategia de las TI con la estrategia del negocio
  • Lograr que toda la estrategia de las TI, así como las metas fluyan de forma gradual a toda la empresa
  • Proporcionar estructuras organizativas que faciliten la implementación de las metas del negocio
  • Crear las comunicaciones efectivas entre el negocio y las TI, y con los socios externos
  • Medir el desempeño de las TI.

Las empresas no pueden responder de forma efectiva a estos requerimientos de negocio y de gobierno sin adoptar e implementar un marco de Referencia de gobierno y de control para las TI, de manera que:

  • Se alinee con los requerimientos del negocio
  • El desempeño real con respecto a los requerimientos sea transparente y ágil
  • Organice todas sus actividades en un modelo de procesos generalmente aceptados
  • Identifique los principales recursos que son necesarios
  • Se definan los objetivos de control que son necesarios

El gobierno y los marcos de trabajo de control son parte de las mejores prácticas de la administración de las TI y facilitan su Gobierno, además de la necesidad de cumplir con el constante incremento de requerimientos regulatorios. Las mejores prácticas de las TI se han vuelto significativas debido a un número de factores:

  • Directores de negocio y consejos directivos que demandan un mayor retorno de la inversión en las TI
  • Preocupación por el creciente nivel de gasto en las TI
  • La necesidad de cumplir con requerimientos regulatorios para controles de las TI en áreas como la privacidad o los informes financieros: Sarbanes-Oxley Act, Basel II o regulaciones locales: LOPD, LSSI-CE, etc, y en sectores específicos como el financiero, salud, telecomunicaciones e Internet, seguros, farmacéutico, etc
  • La selección de proveedores de servicio y el manejo del Outsourcing y de la Adquisición de servicios
  • Riesgos cada vez más complejos de las TI
  • La conectividad entre las redes y su seguridad
  • Iniciativas de gobierno de TI que incluyen la adopción de marcos de referencia de control y de mejores prácticas para ayudar a monitorear y mejorar las actividades críticas de las TI, aumentar el valor del negocio y reducir sus riesgos
  • La necesidad de optimizar y minimizar los costes siguiendo un enfoque estandarizado en lugar de enfoques individualizados
  • La madurez y concienciación creciente y la aceptación de marcos de trabajo respetados tales como: COBIT, ITIL, ISO 17799, ISO 9001, CMM y PRINCE2, etc.
  • La necesidad de las empresas de valorar su desempeño en comparación con estándares generalmente aceptados y con respecto a su competencia

COBIT define las actividades de TI de una organización, en un modelo genérico de procesos en cuatro dominios. Los dominios son Planear y Organizar, Adquirir e Implementar, Entregar y Dar Soporte y Monitorear y Evaluar. El marco de trabajo de COBIT proporciona un modelo de procesos de referencia y un lenguaje común para todos los implicados en los trabajos de la organización, con el fin de que visualicen y administren las actividades de TI. La incorporación de un modelo y un lenguaje común para todas las partes de un negocio involucradas en TI es uno de los pasos iniciales más importantes hacia un buen gobierno. Brinda un marco de trabajo para la medición y monitoreo del desempeño de las Tecnologías de Información, e integra las mejores prácticas administrativas. Fomenta la propiedad de los procesos, permitiendo que se definan las responsabilidades. Determina las actividades y los riesgos que requieren ser administrados.

El alcance de los cuatro dominios es:

PLANEAR Y ORGANIZAR. Cubre las estrategias y de la organización, identificando la manera en que las TI pueda contribuir al logro de los objetivos del negocio. La visión estratégica requiere ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, se debe implementar una estructura organizacional y una estructura tecnológica apropiada. Este dominio y sus controles cubren los siguientes requerimientos del negocio:

  • ¿Están alineadas las estrategias de las TI y del negocio?
  • ¿La empresa está alcanzando un uso óptimo de sus recursos?
  • ¿Entienden todas las personas dentro de la organización los objetivos de las TI?
  • ¿Se entienden y administran los riesgos de las TI?
  • ¿Es apropiada la calidad de los sistemas de las TI para las necesidades del negocio?

ADQUIRIR E IMPLEMENTAR. Las soluciones de las TI necesitan ser identificadas, desarrolladas o adquiridas así como la implementación e integración en los procesos del negocio. Además, el cambio y el mantenimiento de los sistemas existentes son necesarios para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio. Este dominio contesta a las siguientes cuestiones:

  • ¿Los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio?
  • ¿Los nuevos proyectos son entregados a tiempo y dentro del presupuesto?
  • ¿Trabajarán adecuadamente los nuevos sistemas una vez sean implementados?
  • ¿Los cambios afectarán las operaciones actuales del negocio?

ENTREGAR Y DAR SOPORTE. Se preocupa de la entrega de los servicios requeridos, la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operacionales. Este dominio trata de garantizar:

  • ¿Se están entregando los servicios de las TI de acuerdo con las prioridades del negocio?
  • ¿Están optimizados los costos de las TI?
  • ¿Es capaz la fuerza de trabajo de utilizar los sistemas de las TI de manera productiva y segura?
  • ¿Están implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad?

MONITOREAR Y EVALUAR. Este dominio abarca la administración del desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del Gobierno. Contesta a las siguientes preguntas:

  • ¿Se mide el desempeño de las TI para detectar los problemas antes de que sea demasiado tarde?
  • ¿La Alta Dirección garantiza que los controles internos son efectivos y eficientes?
  • ¿Puede vincularse el desempeño de lo que las TI ha realizado con las metas del negocio?
  • ¿Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño?

*1. COBIT, Control Objectives for Information and related Technology
*2. ISACA, Information Systems Audit and Control Association.
*3. ITGI, IT Governance Institute.

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!