» Conozca COBIT
» Qué es COBIT ?

Control Objectives for Information and related Technology (COBIT) es un conjunto de mejores prácticas (marco de referencia o framework) para la administración IT creado por ISACA (Information Systems Audit and Control Association), e ITGI (IT Governance Institute) en 1992. COBIT brinda a managers, auditores, y usuarios IT, un set de medidas, indicadores, procesos y mejores prácticas de consenso general para asistirlos en maximizar los beneficios derivados del uso de las tecnologías de información y para obtener un control y gerenciamiento apropiado de IT en la organización

La primera edición de COBIT data de 1996. Su misión es "investigar, desarrollar, publicar y promover, un conjunto de objetivos de control generalmente aceptados para las tecnologías de la información que sean de aplicación internacional, manteniéndolos actualizados para el uso diario de gerentes y auditores". Gerentes, auditores y usuarios se benefician del desarrollo de COBIT, ya que este los ayuda a entender sus sistemas IT y decidir el nivel de seguridad y control que se requiere para proteger los activos de sus compañias a través del desarrollo de un modelo de management IT.

COBIT 4.1 tiene 34 procesos de alto nivel que cubren 210 objetivos de control categorizados en cuatro dominios:

    • » Planning and Organization
      » Acquisition and Implementation
      » Delivery and Support
      » Monitoring and Evaluation
    • » Planning and Organization (Planeamiento y Organización)

    Este dominio cubre el uso de la información y la tecnología y su mejor uso dentro de una compañia, para asistir en la consecusión de las metas y objetivos de la misma. También resalta la forma que la organización e infraestructura IT debe tomar para alcanzar resultados óptimos y para máximizar los beneficios derivados del uso de IT. Se listan a continuación los procesos comprendidos en este dominio

    • » Define a Strategic IT Plan and direction
      » Define the Information Architecture
      » Determine Technological Direction
      » Define the IT Processes, Organization and Relationships
      » Manage the IT Investment
      » Communicate Management Aims and Direction
      » Manage IT Human Resources
      » Manage Quality
      » Assess and Manage IT Risks
      » Manage Projects
    • » Acquisition and Implementation (Adquisición e Implementación)

    Este dominio identifica requerimientos IT, adquiriendo la tecnología, e implementándola dentro de los procesos de negocios vigentes de la compañia. También se ocupa del desarrollo de un plan de mantenimiento que una compañía debería adoptar para prolongar la vidad de un sistema IT y sus componentes. Se listan a continuación los procesos comprendidos en este dominio

    • » Identify Automated Solutions
      » Acquire and Maintain Application Software
      » Acquire and Maintain Technology Infrastructure
      » Enable Operation and Use
      » Procure IT Resources
      » Manage Changes
      » Install and Accredit Solutions and Changes
    • » Delivery and Support (Entrega y Soporte)

    Este dominio se enfoca en los aspectos de la entrega (provisión) de IT. Cubre áreas tales como la ejecución de aplicaciones dentro de los sistemas IT y sus resultados, así como también los procesos de soporte que permiten la ejecución efectiva y eficiente de estos sistemas IT. Estos procesos de soporte incluyen cuestiones de seguridad y entrenamiento. Se listan a continuación los procesos comprendidos en este dominio

    • » Define and Manage Service Levels
      » Manage Third-party Services
      » Manage Performance and Capacity
      » Ensure Continuous Service
      » Ensure Systems Security
      » Identify and Allocate Costs
      » Educate and Train Users
      » Manage Service Desk and Incidents
      » Manage the Configuration
      » Manage Problems
      » Manage Data
      » Manage the Physical Environment
      » Manage Operations
    • » Monitor and Evaluate (Monitoreo y Evaluación)

    Este dominio se ocupa de la estrategía de la compañia para determinar sus necesidades y para evaluar si los sistemas IT actuales, alcanzan los objetivos para los cuales fueron diseñados; y de los controles necesarios para cumplir con los requerimientos regulatorios. El monitoreo también cubre la determinación independiente de la efectividad de los sistemas IT en relacion a su capacidad para alcanzar objetivos de negocio y el control de procesos de la compañía por auditores externos e internos. Se listan a continuación los procesos comprendidos en este dominio

    • » Monitor and Evaluate IT Processes
      » Monitor and Evaluate Internal Control
      » Ensure Regulatory Compliance
      » Provide IT Governance

    • COBIT beneficia a los managers porque les provee fundamentos sobre el cual basar sus decisiones e inversiones IT. El proceso de toma de decisión es más efectivo porque COBIT ayuda al management a definir un plan estratégico IT, definir la arquitectura de información, adquirir el hardware y software necesario para ejecutar una estrategia IT, asegurando un servicio continuo, y monitoreando la performance de los sistemas IT.

    COBIT también beneficia a los auditores, ya que los ayuda a identificar puntos de control IT dentro de la infraestructura de una compañia. También los ayuda a corroborar los resultados de su auditoría.

    Recientemente, ISACA publico Val IT, que relaciona los procesos COBIT con los de alta gerencia para obtener un buen valor de las inversiones IT

    El paquete completo de COBIT consiste en:

    • » Executive Summary
      » Governance and Control Framework
      » Control Objectives
      » Management Guidelines
      » Implementation Guide
      » IT Assurance Guide
    • » Executive Summary (Resumen Ejecutivo)

    Las decisiones de negocio acertadas, son hechas sobre información concisa, oportuna y relevante. Especialmente diseñado para ejecutivos de alta gerencia con calendarios muy ajustados, el Executive Summary consiste de un Executive Overview que provee una completa noción y entendimiento de los conceptos y principios claves de COBIT

    También se incluye una sinopsis del Framework, que provee un entendimiento más detallados de estos conceptos y principios, a la vez que identifica los cuatro dominios de COBIT (Planning and Organization, Acquisition and Implementation, Delivery and Support, Monitoring and Evaluation) y los 34 procesos IT.

    » Framework (Marco de referencia)

    Una organización exitosa es construida sobre un marco de referencia sólido de datos e información. El Framework explica como los procesos IT producen información que el negocio necesita para alcanzar sus objetivos. Esta producción es controlada a través de los 34 objetivos de control de alto nivel, uno por cada proceso contenido en los cuatro dominios. El Framework identifica cuales de los siete criterios de información (efectividad, eficiencia, confidencialidad, integridad, disponibilidad, compatibilidad y confiabilidad), así como también que recursos IT (personal, aplicaciones, información e infraestructura) son importantes para que los procesos IT soporten completamente el negocio.

    » Control Objectives (Objetivos de Control)

    La clave para mantener rentabilidad en un entorno tecnológico cambiante es que tan bien la organización es capaz de mantener el control. Los Control Objectives de COBIT proporcionan una visión crítica necesaria para delinear una política clara y buenas prácticas para los controles IT. Aquí se incluyen los enunciados de los resultados deseados o propósitos a alcanzarse mediante la implementación de 214 objetivos de control detallados y específicos a través de los 34 procesos IT de alto nivel.

    » Management Guidelines (Lineamientos Gerenciales)

    Para asegurar una empresa exitosa, se debe manejar efectivamente la unión entre los procesos de negocio y la información de sistemas. Las nuevas Management Guidelines se componen de Modelos de Madurez, para ayudar a determinar las etapas y níveles de control y compararlos contra estandares coorporativos; Factores Críticos de Exito, para identificar las acciones más importantes para alcanzar el control sobre los procesos IT; Indicadores Claves de Objetivos, para definir niveles esperados de performance; e Indicadores Claves de Performance, para medir si los procesos de control IT están alcanzando sus objetivos.

    » IT Assurance Guide (Guía de Aseguramiento IT)

    Para estar seguro de que los objetivos de control están siendo alcanzados, se presenta la necesidad implicita de asegurar los controles vinculados a ellos. IT Assurance Guide provee las herramientas para asegurar los controles en toda forma necesaria, desde su diseño hasta sus resultados. La guía también permite el planeamiento y definción de alcance del aseguramiento, en una forma estandarizada y repetible, de modo que el negocio e IT puedan ser asegurados dentro de un mismo marco de referencia.