COBIT 4.

0
Yazmina Delgado - Ana Mara Porras Jacqueline Vsquez

COBIT - Historia

Control Objectives for Information and related Technology (COBIT) es un conjunto de mejores prcticas (marco de referencia o framework) para la administracin IT creado por ISACA (Information Systems Audit and Control Association), e ITGI (IT Governance Institute) en 1992. COBIT brinda a managers, auditores, y usuarios IT, un set de medidas, indicadores, procesos y mejores prcticas de consenso general para asistirlos en maximizar los beneficios derivados del uso de las tecnologas de informacin y para obtener un control y gerenciamiento apropiado de IT en la organizacin

COBIT

La primera edicin de COBIT data de 1996. Su misin es "investigar, desarrollar, publicar y promover, un conjunto de objetivos de control generalmente aceptados para las tecnologas de la informacin que sean de aplicacin internacional, mantenindolos actualizados para el uso diario de gerentes y auditores". Gerentes, auditores y usuarios se benefician del desarrollo de COBIT, ya que este los ayuda a entender sus sistemas IT y decidir el nivel de seguridad y control que se requiere para proteger los activos de sus compaias a travs del desarrollo de un modelo de management IT.

COBIT
COBIT 4.1 tiene 34 procesos de alto nivel que cubren 210 objetivos de control categorizados en cuatro dominios: Planning and Organization Acquisition and Implementation Delivery and Support Monitoring and Evaluation

COBIT

COBIT
Planeamiento y Organizacin Este dominio cubre el uso de la informacin y la tecnologa y su mejor uso dentro de una compaia, para asistir en la consecusin de las metas y objetivos de la misma. Tambin resalta la forma que la organizacin e infraestructura IT debe tomar para alcanzar resultados ptimos y para mximizar los beneficios derivados del uso de IT. Se listan a continuacin los procesos comprendidos en este dominio: Define a Strategic IT Plan and direction Define the Information Architecture Determine Technological Direction Define the IT Processes, Organization and Relationships Manage the IT Investment Communicate Management Aims and Direction Manage IT Human Resources Manage Quality Assess and Manage IT Risks Manage Projects

COBIT
Adquisicin e Implementacin Este dominio identifica requerimientos IT, adquiriendo la tecnologa, e implementndola dentro de los procesos de negocios vigentes de la compaia. Tambin se ocupa del desarrollo de un plan de mantenimiento que una compaa debera adoptar para prolongar la vidad de un sistema IT y sus componentes. Se listan a continuacin los procesos comprendidos en este dominio: Identify Automated Solutions Acquire and Maintain Application Software Acquire and Maintain Technology Infrastructure Enable Operation and Use Procure IT Resources Manage Changes Install and Accredit Solutions and Changes

COBIT
Entrega y Soporte Este dominio se enfoca en los aspectos de la entrega (provisin) de IT. Cubre reas tales como la ejecucin de aplicaciones dentro de los sistemas IT y sus resultados, as como tambin los procesos de soporte que permiten la ejecucin efectiva y eficiente de estos sistemas IT. Estos procesos de soporte incluyen cuestiones de seguridad y entrenamiento. Se listan a continuacin los procesos comprendidos en este dominio: Define and Manage Service Levels Manage Third-party Services Manage Performance and Capacity Ensure Continuous Service Ensure Systems Security Identify and Allocate Costs Educate and Train Users Manage Service Desk and Incidents Manage the Configuration Manage Problems Manage Data Manage the Physical Environment Manage Operations

COBIT
Monitoreo y Evaluacin Este dominio se ocupa de la estratega de la compaia para determinar sus necesidades y para evaluar si los sistemas IT actuales, alcanzan los objetivos para los cuales fueron diseados; y de los controles necesarios para cumplir con los requerimientos regulatorios. El monitoreo tambin cubre la determinacin independiente de la efectividad de los sistemas IT en relacion a su capacidad para alcanzar objetivos de negocio y el control de procesos de la compaa por auditores externos e internos. Se listan a continuacin los procesos comprendidos en este dominio Monitor and Evaluate IT Processes Monitor and Evaluate Internal Control Ensure Regulatory Compliance Provide IT Governance

Maturity Model

Es modelo es el que en definitiva posibilita que los procesos que establece la COBIT sean auditables, esto es procesos que se pueden verificar primero si se cumplen y ejecutan de acuerdo a lo que la empresa declar ocurre la declaracin cuando se publica y difunde el proceso- y, por otro parte este modelo permite establecer cual es el nivel de desarrollo que tiene el proceso en la empresa. Para esto define 6 estados o niveles, cuya definicin genrica es la se incluye en la lista siguiente, no obstante para cada uno de los 34 procesos que conforman la COBIT existe su propio y nico Matutity Model.

Maturity Model

La siguiente es la descripcin genrica de los estados del Maturity Model:

Inexistente, se carece totalmente de un proceso. La empresa no ha reconocido la necesidad.

Inicial, existe evidencia que la empresa ha reconocido la necesidad del proceso. No existe un proceso formal estandarizado si no que existe enfoques ad-hoc que se aplican de manera individual o caso a caso. La gestin del mismo es desorganizada. Repetible, el proceso se encuentra en un nivel de desarrollo tal que distintas personas ejecutan ms o menos los mismos procedimientos. No existe una comunicacin ni entrenamiento formal de los procedimientos, y la responsabilidad se mantiene individual. Existe una gran dependencia del conocimiento que tiene los individuos y, por tanto existe una probabilidad de error importante.

Definido, el proceso esta estandarizado, documentado y difundido mediante entrenamiento. Sin embargo, se deja a voluntad de los individuos la aplicacin de los procedimientos del proceso y es poco probable que se detecten las desviaciones en su uso. Los procedimientos en s no son sofisticados y corresponden a la formalizacin de las prcticas existentes. Gestionado, es posible monitorear y medir la conformidad en la aplicacin de los procedimientos del proceso y es posible tomar acciones cuando el proceso no est operando adecuadamente. Los procesos estn mejorndose continuamente. Se dispone de automatizaciones y de herramientas que son usadas de una manera limitada o fragmentada.

Optimizado, el proceso ha sido refinado al nivel de las mejores prcticas, basado en los resultados del mejoramiento continuo y de los modelos ya maduros de otras compaas. Las TI son usadas integralmente para automatizar workflow, entregando herramientas que mejoran la calidad y efectividad, aumentando la capacidad de adaptacin de le empresa.

COBIT Como herramienta

COBIT beneficia a los managers porque les provee fundamentos sobre el cual basar sus decisiones e inversiones IT. El proceso de toma de decisin es ms efectivo porque COBIT ayuda al management a definir un plan estratgico IT, definir la arquitectura de informacin, adquirir el hardware y software necesario para ejecutar una estrategia IT, asegurando un servicio continuo, y monitoreando la performance de los sistemas IT. COBIT tambin beneficia a los auditores, ya que los ayuda a identificar puntos de control IT dentro de la infraestructura de una compaia. Tambin los ayuda a corroborar los resultados de su auditora.

Conclusiones

COBIT es un marco de referencia para profesionalizar el rea informtica de un compaa, que cuenta con capacidades propias o tercerizadas para la implementacin de proyectos tpicamente soportados con ERP de clase mundial, que tiene un rea de operacin con varias decenas de servidores que dan servicios a ms de una locacin, y que cuenta con reas de mantenimiento y soporte. Si los Sistemas Informticos son reconocidos por el directorio como un componente clave en el xito comercial de la compaa y, por lo mismos que implican riesgos para el negocio.

En caso de que su rea informtica sea pequea COBIT puede resultar muy cara en su implementacin y por tanto no se justificara. En el otro extremo si su empresa tranza su acciones en la Bolsa de New York es prcticamente obligatoria su implementacin.