Sie sind auf Seite 1von 9

COBIT Objetivos de control para la informacin y tecnologas relacionadas Objetivos de Control para Tecnologas de informacin y relacionadas (COBIT, en ingls:

Control Objectives for Information and related Technology) es un conjunto de mejores prcticas para el manejo de informacin creado por la Asociacin para la Auditora y Control de Sistemas de Informacin,(ISACA, en ingls: Information Systems Audit and Control Association), y el Instituto de Administracin de las Tecnologas de la Informacin (ITGI, en ingls: IT Governance Institute) en 1992. Ediciones La primera edicin fue publicada en 1996; la segunda edicin en 1998; la tercera edicin en 2000 (la edicin on-line estuvo disponible en 2003); y la cuarta edicin en diciembre de 2005, y la versin 4.1 est disponible desde mayo de 2007. En su cuarta edicin, COBIT tiene 34 objetivos de alto nivel que cubren 210 objetivos de control (especficos o detallados) clasificados en cuatro dominios: Planificacin y Organizacin, Adquisicin e Implementacin, Entrega y Soporte, y, Supervisin y Evaluacin. En ingls: Plan and Organize, Acquire and Implement, Deliver and Support, and Monitor and Evaluate. Misin La misin de COBIT es "investigar, desarrollar, publicar y promocionar un conjunto de objetivos de control generalmente aceptados para las tecnologas de la informacin que sean autorizados (dados por alguien con autoridad), actualizados, e internacionales para el uso del da a da de los gestores de negocios (tambin directivos) y auditores." Gestores, auditores, y usuarios se benefician del desarrollo de COBIT porque les ayuda a entender sus Sistemas de Informacin (o tecnologas de la informacin) y decidir el nivel de seguridad y control que es necesario para proteger los activos de sus compaas mediante el desarrollo de un modelo de administracin de las tecnologas de la informacin. El modelo COBIT para auditora y control de sistemas de informacin. La evaluacin de los requerimientos del negocio, los recursos y procesos IT, son puntos bastante importantes para el buen funcionamiento de una compaa y para el aseguramiento de su supervivencia en el mercado. El COBIT es precisamente un modelo para auditar la gestin y control de los sistemas de informacin y tecnologa, orientado a todos los sectores de una organizacin, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso.

Las siglas COBIT significan Objetivos de Control para Tecnologa de Informacin y Tecnologas relacionadas (Control Objectives for Information Systems and related Technology). El modelo es el resultado de una investigacin con expertos de varios pases, desarrollado por ISACA (Information Systems Audit and Control Association). La estructura del modelo COBIT propone un marco de accin donde se evalan los criterios de informacin, como por ejemplo la seguridad y calidad, se auditan los recursos que comprenden la tecnologa de informacin, como por ejemplo el recurso humano, instalaciones, sistemas, entre otros, y finalmente se realiza una evaluacin sobre los procesos involucrados en la organizacin. El COBIT es un modelo de evaluacin y monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca controles especficos de IT desde una perspectiva de negocios. La adecuada implementacin de un modelo COBIT en una organizacin, provee una herramienta automatizada, para evaluar de manera gil y consistente el cumplimiento de los objetivos de control y controles detallados, que aseguran que los procesos y recursos de informacin y tecnologa contribuyen al logro de los objetivos del negocio en un mercado cada vez ms exigente, complejo y diversificado, seal un informe de ETEK. COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de tecnologa. Vinculando tecnologa informtica y prcticas de control, el modelo COBIT consolida y armoniza estndares de fuentes globales prominentes en un recurso crtico para la gerencia, los profesionales de control y los auditores. COBIT se aplica a los sistemas de informacin de toda la empresa, incluyendo los computadores personales y las redes. Est basado en la filosofa de que los recursos TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la informacin pertinente y confiable que requiere una organizacin para lograr sus objetivos. El conjunto de lineamientos y estndares internacionales conocidos como COBIT, define un marco de referencia que clasifica los procesos de las unidades de tecnologa de informacin de las organizaciones en cuatro dominios principales, a saber: Planificacin y organizacin Adquisicin e implantacin Soporte y Servicios Monitoreo

Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los aspectos de informacin, como de la tecnologa que la respalda. Estos dominios y objetivos de control facilitan que la generacin y procesamiento de

la informacin cumplan con las caractersticas de efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad. Asimismo, se deben tomar en cuenta los recursos que proporciona la tecnologa de informacin, tales como: datos, aplicaciones, plataformas tecnolgicas, instalaciones y recurso humano. Cualquier tipo de empresa puede adoptar una metodologa COBIT, como parte de un proceso de reingeniera en aras de reducir los ndices de incertidumbre sobre vulnerabilidades y riesgos de los recursos IT y consecuentemente, sobre la posibilidad de evaluar el logro de los objetivos del negocio apalancado en procesos tecnolgicos, finaliz el informe de ETEK. Cobit, estndar para el buen gobierno de los sistemas de informacin. El estndar Cobit (Control Objectives for Information and related Technology) ofrece un conjunto de mejores prcticas para la gestin de los Sistemas de Informacin de las organizaciones. El objetivo principal de Cobit consiste en proporcionar una gua a alto nivel sobre puntos en los que establecer controles internos con tal de:

Asegurar el buen gobierno, protegiendo los intereses de los stakeholders (clientes, accionistas, empleados, etc.) Garantizar el cumplimiento normativo del sector al que pertenezca la organizacin Mejorar la eficacia i eficiencia de los procesos y actividades de la organizacin Garantizar la confidencialidad, integridad y disponibilidad de la informacin

El estndard define el trmino control como: Polticas, procedimientos, prcticas y estructuras organizacionales diseadas para proveer aseguramiento razonable de que se lograrn los objetivos del negocio y se prevendrn, detectarn y corregirn los eventos no deseables Por tanto, la definicin abarca desde aspectos organizativos (p.ej. flujo para pedir autorizacin a determinada informacin, procedimiento para reportar incidencias, seleccin de proveedores, etc.) hasta aspectos ms tecnolgicos y automticos (p.ej. control de acceso a los sistemas, monitorizacin de los sistemas mediante herramientas automatizadas, etc.). Por otra parte, todo control tiene por naturaleza un objetivo. Es decir, un objetivo de control es un propsito o resultado deseable como por ejemplo: garantizar la continuidad de las operaciones ante situaciones de contingencias. En consecuencia, para cada objetivo de control de nuestra organizacin podremos implementar uno o varios controles (p.ej. ejecucin de copias de seguridad peridicas, traslado de copias de seguridad a otras instalaciones,

etc.) que nos garanticen la obtencin del resultado deseable (p.ej. continuidad de las operaciones en caso de contingencias). Obviamente, los ejemplos expuestos son muy generalistas y poco detallados, pero creo que muestran de forma prctica las diferentes definiciones. Cobit clasifica los procesos de negocio relacionados con las Tecnologas de la Informacin en 4 dominios:

Planificacin y Organizacin Adquisicin e Implementacin Entrega y Soporte Supervisin y Evaluacin

En definitiva, cada dominio contiene procesos de negocio (desglosables en actividades) para los cuales se pueden establecer objetivos de control e implementar controles organizativos o automatizados:

Por otra parte, la organizacin dispone de recursos (aplicaciones, informacin, infraestructura y personas) que son utilizados por los procesos para cubrir los requisitos del negocio:

Efectividad (cumplimiento de objetivos) Eficiencia (consecucin de los objetivos con el mximo aprovechamiento de los recursos) Confidencialidad Integridad Disponibilidad Cumplimiento regulatorio

Fiabilidad

Cabe destacar que, Cobit tambin ofrece mecanismos para la medicin de las capacidades de los procesos con objeto de conseguir una mejora continua. Para ello, proporciona indicaciones para valorar la madurez en funcin de la misma clasificacin utilizada por estndares como ISO 15504:

Nivel 0 Proceso incompleto: El proceso no existe o no cumple con los objetivos Nivel 1 Proceso ejecutado Nivel 2 Proceso gestionado: el proceso no solo se encuentra en funcionamiento, sino que es planificado, monitorizado y ajustado. Nivel 3 Proceso definido: el proceso, los recursos, los roles y responsabilidades se encuentran documentados y formalizado. Nivel 4 Proceso predecible: se han definido tcnicas de medicin de resultados y controles. Nivel 5 Proceso optimizado: todos los cambios son verificados para determinar el impacto, se han definido mecanismos para la mejora continua, etc.

En general, gran parte de los puntos que se exponen a continuacin pueden ser mapeados a los controles definidos en el estndar ISO 27002. Planificacin y Organizacin La direccin de la organizacin debe implicarse en la definicin de la estrategia a seguir en el mbito de los sistemas de informacin, de forma que sea posible proporcionar los servicios que requieran las diferentes reas de negocio. Para ello, Cobit presenta 10 procesos:

PO1 Definicin de un plan estratgico: gestin del valor, alineacin con las necesidades del negocio, planes estratgicos y tcticos.

P02 Definicin de la arquitectura de informacin: modelo de arquitectura, diccionario de datos, clasificacin de la informacin, gestin de la integridad. P03 Determinar las directrices tecnolgicas: anlisis de tecnologas emergentes, monitorizar tendencias y regulaciones. P04 Definicin de procesos IT, organizacin y relaciones: anlisis de los procesos, comits, estructura organizativa, responsabilidades, propietarios de la informacin, supervisin, segregacin de funciones, polticas de contratacin. P05 Gestin de la inversin en tecnologa: gestin financiera, priorizacin de proyectos, presupuestos, gestin de los costes y beneficios. P06 Gestin de la comunicacin: polticas y procedimientos, concienciacin de usuarios. P07 Gestin de los recursos humanos de las tecnologas de la informacin: contratacin, competencias del personal, roles, planes de formacin, evaluacin del desempeo de los empleados. P08 Gestin de la calidad: mejora continua, orientacin al cliente, sistemas de medicin y monitorizacin de la calidad, estndares de desarrollo y adquisicin. P09 Validacin y gestin del riesgo de las tecnologas de la informacin P10 Gestin de proyectos: planificacin, definicin de alcance, asignacin de recursos, etc.

Podemos encontrar puntos de conexin con otros estndares y marcos de trabajo que nos pueden servir de soporte: Cobit Relacionado P04 Definicin de procesos IT, Procesos segn ISO organizacin y relaciones P05 Gestin de la inversin en Val IT y VMM (Value Measuring tecnologa Methodology) P08 Gestin de la calidad ISO 9000 P09 Validacin y gestin del riesgo de BS 7799-3 (Guidelines for information las tecnologas de la informacin security risk management) P10 Gestin de proyectos PMBok y PRINCE2

Adquisicin e Implementacin Con el objeto de garantizar que las adquisiciones de aplicaciones comerciales, el desarrollo de herramientas a medida y su posterior mantenimiento se encuentren alineado con las necesidades del negocio, el estndar Cobit define los siguientes 7 procesos:

AI1 Identificacin de soluciones: anlisis funcional y tcnico, anlisis del riesgo, estudio de la viabilidad. AI2 Adquisicin y mantenimiento de aplicaciones: Diseo, controles sobre la seguridad, desarrollo, configuracin, verificacin de la calidad, mantenimiento. AI3 Adquisicin y mantenimiento de la infraestructura tecnolgica: Plan de infraestructuras, controles de proteccin y disponibilidad, mantenimiento. AI4 Facilidad de uso: Formacin a gerencia, usuarios, operadores y personal de soporte. AI5 Obtencin de recursos tecnolgicos: control y asignacin los recursos disponibles, gestin de contratos con proveedores, procedimientos de seleccin de proveedores. AI6 Gestin de cambios: Procedimientos de solicitud/autorizacin de cambios, verificacin del impacto y priorizacin, cambios de emergencia, seguimiento de los cambios, actualizacin de documentos. AI7 Instalacin y acreditacin de soluciones y cambios: Formacin, pruebas tcnicas y de usuario, conversiones de datos, test de aceptacin por el cliente, traspaso a produccin.

Es posible identificar relaciones entre los procesos de este apartado con los presentados por el estndar ISO 12207: Cobit AI1 Identificacin de soluciones AI2 Adquisicin y mantenimiento de aplicaciones AI3 Adquisicin y mantenimiento de la infraestructura tecnolgica AI4 Facilidad de uso AI5 Obtencin de recursos tecnolgicos AI6 Gestin de cambios ISO 12207 5.1 Adquisicin 5.1 Adquisicin, 5.2 Suministro, 5.3 Desarrollo, 5.5 Mantenimiento, 6.2 Gestin de configuraciones 5.1 Adquisicin, 5.2 Suministro, 5.5 Mantenimiento, 7.2 Infraestructura 6.1 Documentacin, 6.8 Resolucin de problemas, 7.1 Gerencia, 7.4 Formacin 7.2 Infraestructuras

5.2 Suministro, 5.5 Mantenimiento, 7.3 Mejoras AI7 Instalacin y acreditacin 6.3 Verificacin de la calidad, 6.4 Verificacin, de soluciones y cambios 6.5 Validacin, 6.6 Integracin, 6.7 Auditora Como soporte a los procesos de este apartado es posible utilizar metodologas de desarrollo y modelos de capacidad como ISO 15504 y CMMI.

Entrega y Soporte La entrega y soporte de servicios se encuentran constituidos por diversos procesos orientados a asegurar la eficacia y eficiencia de los sistemas de informacin. El estndar Cobit ha definido 13 procesos diferentes:

DS1 Definicin y gestin de los niveles de servicio: SLA con usuarios/clientes DS2 Gestin de servicios de terceros: gestin de las relaciones con proveedores, valoracin del riesgo (non-disclousure agreements NDA), monitorizacin del servicio. DS3 Gestin del rendimiento y la capacidad: planes de capacidad, monitorizacin del rendimiento, disponibilidad de recursos. DS4 Asegurar la continuidad del servicio: plan de continuidad, recursos crticos, recuperacin de servicios, copias de seguridad. DS5 Garantizar la seguridad de los sistemas: gestin de identidades, gestin de usuarios, monitorizacin y tests de seguridad, protecciones de seguridad, prevencin y correccin de software malicioso, seguridad de la red, intercambio de datos sensibles. DS6 Identificar y asignar costes DS7 Formacin a usuarios: identificar necesidades, planes de formacin. DS8 Gestin de incidentes y Help Desk: registro y escalado de incidencias, anlisis de tendencias. DS9 Gestin de configuraciones: definicin de configuraciones base, anlisis de integridad de configuraciones. DS10 Gestin de problemas: identificacin y clasificacin, seguimiento, integracin con la gestin de incidentes y configuraciones. DS11 Gestin de los datos: acuerdos para la retencin y almacenaje de los datos, copias de seguridad, pruebas de recuperacin. DS12 Gestin del entorno fsico: acceso fsico, medidas de seguridad, medidas de proteccin medioambientales. DS13 Gestin de las operaciones: planificacin de tareas, mantenimiento preventivo.

En general, gran parte de los aspectos descritos se encuentran relacionados con las guas proporcionadas por ITIL (Information Technology Infraestructure Library) y el estndar ISO 20000.

Por otra parte, existen procesos determinados que pueden ser vinculados a otros estndares: Relacionado eSCM-CL Client Organization y eSCM-SP Service Provider BS 25999-1 (Business Continuity Management) y guas BCI (Business Continuity Institute) Open Source Security Tests methodology (OSSTMM) DS5 Garantizar la y Information System Security Assessment seguridad de los sistemas Framework DS6 Identificar y asignar Activity-Based Costing (ABC) costes Supervisin y Evaluacin El ltimo dominio se centra en la supervisin de los sistemas con tal de:

Cobit DS2 Gestin de servicios de terceros DS4 Asegurar la continuidad del servicio

Garantizar la alineacin con la estratgica del negocio Verificar las desviaciones en base a los acuerdos del nivel de servicio Validar el cumplimiento regulatorio

Esta supervisin implica paralelamente la verificacin de los controles por parte de auditores (internos o externos), ofreciendo una visin objetiva de la situacin y con independencia del responsable del proceso. El estndar Cobit define los siguientes 4 procesos:

ME1 Monitorizacin y evaluacin del rendimiento ME2 Monitorizacin y evaluacin del control interno ME3 Asegurar el cumplimiento con requerimientos externos ME4 Buen gobierno

Conclusin El estndar Cobit nos ofrece una completa gua de alto nivel para la definicin y evaluacin de los procesos de negocios relacionados con los Sistemas de Informacin. Por otra parte, permite el uso de otros marcos de trabajo ms especficos (p.ej. CMMI, ITIL, etc.) sin perder la compatibilidad gracias a al carcter generalista de Cobit.

Das könnte Ihnen auch gefallen