COBIT
(Objetivos de Control para Tecnología de Información y Tecnologías
relacionadas)
COBIT, lanzado en 1996, es una herramienta de
gobierno de TI que ha cambiado la forma en que trabajan los profesionales de
TI. Vinculando tecnología informática y prácticas de control, COBIT consolida y
armoniza estándares de fuentes globales prominentes en un recurso crítico para
la gerencia, los profesionales de control y los auditores.
COBIT se aplica a los sistemas de información de
toda la empresa, incluyendo las computadoras personales, mini computadoras y
ambientes distribuidos. Está basado en la filosofía de que los recursos de TI
necesitan ser administrados por un conjunto de procesos naturalmente agrupados
para proveer la información pertinente y confiable que requiere una
organización para lograr sus objetivos.
Misión: Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de objetivos de control para tecnología de información que sea de uso cotidiano para gerentes y auditores
Usuarios:
- La Gerencia: para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control.
- Los Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el control de los productos que adquieren interna y externamente.
- Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organización y determinar el control mínimo requerido.
- Los Responsables de TI: para identificar los controles que requieren en sus áreas.
También puede ser utilizado dentro de las empresas
por el responsable de un proceso de negocio en su responsabilidad de controlar
los aspectos de información del proceso, y por todos aquellos con
responsabilidades en el campo de la TI en las empresas.
Características:
- Orientado al negocio
- Alineado con estándares y regulaciones "de facto"
- Basado en una revisión crítica y analítica de las tareas y actividades en TI
- Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA).
Principios:
El enfoque del control en TI se lleva a cabo visualizando la información necesaria para dar soporte a los procesos de negocio y considerando a la información como el resultado de la aplicación combinada de recursos relacionados con las TI que deben ser administrados por procesos de TI.
El enfoque del control en TI se lleva a cabo visualizando la información necesaria para dar soporte a los procesos de negocio y considerando a la información como el resultado de la aplicación combinada de recursos relacionados con las TI que deben ser administrados por procesos de TI.
- Requerimientos de la información del negocio
Para alcanzar los requerimientos de negocio, la
información necesita satisfacer ciertos criterios:
Requerimientos
de Calidad: Calidad, Costo y Entrega.
Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de los reportes financieros y Cumplimiento le leyes y regulaciones.
Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de los reportes financieros y Cumplimiento le leyes y regulaciones.
Requerimientos de Seguridad: Confidencialidad,
Integridad y Disponibilidad
- Confidencialidad: Protección de la información sensible contra divulgación no autorizada.
- Integridad: Refiere a lo exacto y completo de la información así como a su validez de acuerdo con las expectativas de la empresa.
- Disponibilidad: accesibilidad a la información cuando sea requerida por los procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a la misma.
- Recursos de TI.
En COBIT se establecen los siguientes recursos en
TI necesarios para alcanzar los objetivos de negocio:
- Datos: Todos los objetos de información. Considera información interna y externa, estructurada o no, gráficas, sonidos, etc.
- Aplicaciones: entendido como los sistemas de información, que integran procedimientos manuales y sistematizados.
- Tecnología: incluye hardware y software básico, sistemas operativos, sistemas de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc.
- Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información.
- Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Información.
La estructura de COBIT se define a partir de una
premisa simple y pragmática: "Los recursos de las Tecnologías de la
Información (TI) se han de gestionar mediante un conjunto de procesos agrupados
de forma natural para que proporcionen la información que la empresa necesita
para alcanzar sus objetivos".
COBIT se
divide en tres niveles:
Dominios
Procesos
Actividades
Dominios
Procesos
Actividades
Dominios:
Agrupación natural de procesos, normalmente corresponden a un dominio o una
responsabilidad organizacional.
Procesos:
Conjuntos o series de actividades unidas con delimitación o cortes de control.
Actividades:
Acciones requeridas para lograr un resultado medible.
