COBIT : Objetivos de Control para la Información y Tecnologías Relacionadas

COBIT

Son las mejores prácticas de la Industria en Seguridad y tecnologías de Información, condensadas en Objetivos de Control.

Fue creada por ISACA (Information System Audit and Control Association e IT Governance Institute)

Un elemento crítico para el éxito y la supervivencia de las organizaciones, es la administración efectiva de la información y de la Tecnología de Información (TI) relacionada. En esta sociedad global (donde la información viaja a través del “ciberespacio” sin las restricciones de tiempo, distancia y velocidad) esta criticidad emerge de:

• la creciente dependencia en información y en los sistemas que proporcionan dicha información.
• la creciente vulnerabilidad y un amplio espectro de amenazas, tales como las “ciber amenazas“ y la guerra de información.
• la escala y el costo de las inversiones actuales y futuras en información y en tecnología de información; y
• el potencial que tienen las tecnologías para cambiar radicalmente las organizaciones y las prácticas de negocio, crear nuevas oportunidades y reducir costos.

Muchas organizaciones reconocen los beneficios potenciales que la tecnología puede proporcionar. Las organizaciones exitosas, sin embargo, también comprenden y administran los riesgos asociados con la implementación de nuevas tecnologías.

La dependencia en la información electrónica y en los sistemas de TI son esenciales para soportar los procesos críticos del negocio.La administración de los riesgos relacionados con TI está siendo entendido como un aspecto clave en el gobierno o dirección empresarial.

Gobierno de TI (IT Governance) es un término que representa el sistema de control o administración que establece la alta gerencia para asegurar el logro de los objetivos de la Organización.

COBIT Es la herramienta innovadora para el gobierno de TI que ayuda a la gerencia a comprender y administrar los riesgos asociados con TI.

Objetivos de Control

Los Objetivos de Control muestran una relación clara y distintiva con los objetivos de negocio con el fin de apoyar su uso en forma significativa fuera de las fronteras de la comunidad de auditoría. Los objetivos de Control están definidos con una orientación a los procesos, siguiendo el principio de reingeniería de negocios.

Los Objetivos de Control, aseguran que se proporciona un sistema de control adecuado para el ambiente de tecnología de información. Adicionalmente, correspondiendo a cada uno de los 34 objetivos de control de alto nivel, existe una guía de auditoría o de aseguramiento que permite la revisión de los procesos de TI contra los 302 objetivos detallados de control recomendados por COBIT para proporcionar a la Gerencia la certeza de su cumplimiento.

Con el fin de proporcionar la información que la empresa necesita para alcanzar sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos de TI agrupados en forma natural.
Continúa con un conjunto de 34 Objetivos de Control de alto nivel, uno para cada uno de los Procesos de TI, agrupados en cuatro dominios:

1. Planeación y organización,
2. Adquisición e implementación,
3. Entrega (de servicio) y ,
4. Monitoreo.

Planeación y organización.
Este dominio cubre la estrategia y las tácticas y se refiere a la identificación de la forma en que la tecnología de información puede contribuir de la mejor manera al logro de los objetivos del negocio. Además, la consecución de la visión estratégica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, deberán establecerse una organización y una infraestructura tecnológica apropiadas.

Adquisición e implementación.
Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.

Entrega y soporte.
En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicación, frecuentemente clasificados como controles de aplicación.
Monitoreo.
Todos los procesos necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control.

Control se define como:
Las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para garantizar razonablemente que los objetivos del negocio serán alcanzados y que eventos no deseables serán prevenidos o detectados y corregidos.
Objetivo de control en TI se define como:
Una definición del resultado o propósito que se desea alcanzar implementando procedimientos de control en una actividad de TI particular.

El concepto fundamental de COBIT se refiere a que el enfoque del control en TI se lleva a cabo visualizando la información necesaria para dar soporte a los procesos de negocio

A continuación se muestran los requerimientos para la Información hecha por COBIT:

• Efectividad. Se refiere a que la información relevante sea pertinente para el proceso del negocio, así como a que su entrega sea oportuna, correcta, consistente y de manera utilizable.
• Eficiencia. Se refiere a la provisión de información a través de la utilización óptima (más productiva y económica) de recursos.
• Confidencialidad. Se refiere a la protección de información sensible contra divulgación no autorizada.
• Integridad. Se refiere a la precisión y suficiencia de la información, así como a su validez de acuerdo con los valores y expectativas del negocio.
• Disponibilidad. Se refiere a la disponibilidad de la información cuando ésta es requerida por el proceso de negocio ahora y en el futuro. También se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas.
• Cumplimiento. Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a los que el proceso de negocios está sujeto, por ejemplo, criterios de negocio impuestos externamente.
• Confiabilidad. Se refiere a la provisión de información apropiada para la administración con el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros y de cumplimiento.

Los recursos de TI identificados en COBIT pueden explicarse/definirse como se muestra a continuación:

• Datos. Los elementos de datos en su más amplio sentido, (por ejemplo, externos e internos), estructurados y no estructurados, gráficos, sonido, etc.
• Aplicaciones. Se entiende como sistemas de aplicación la suma de procedimientos manuales y programados.
• Tecnología. La tecnología cubre hardware, software, sistemas operativos, sistemas de administración de bases de datos, redes, multimedia, etc.
• Instalaciones. Recursos para alojar y dar soporte a los sistemas de información.
• Personal. Habilidades del personal, conocimiento, conciencia y productividad para planear, organizar, adquirir, entregar, soportar y monitorear servicios y sistemas de información.

Específicamente Cobit provee Modelos de Madurez para el control sobre los procesos de TI, de tal forma que la administración pueda ubicarse en el punto donde la organización está hoy, donde está en relación con los “mejores de su clase” en su industria y con los estándares internacionales y así mismo determinar a donde quiere llegar.

Modelos de Madurez para el control sobre los procesos TI consisten en el desarrollo de un método de puntaje que una organización puede graduar desde un no existente a un optimizado, es decir, de 0 a 5. Esta aproximación ha sido derivada desde el Modelo de Madurez que el Software Engineering Institute definió para la madurez de la capacidad de desarrollo del Software (CMM): Contra estos niveles se desarrolló para cada uno de los 34 objetivos de procesos de Cobit la administración puede mapear:

• El estado actual de la organización – es decir donde la organización está hoy día.
• El estado actual de (los mejores en su clase) la industria – comparación
• El estado actual de los estándares internacionales – comparación adicional
• Y la estrategia de la organización para mejorar – es decir, donde la organización desea estar.

MODELO GENERICO DE MADUREZ

• 0 No-Existente. Falta completa de cualquier proceso reconocible. La organización no ha reconocido aún que hay un elemento a ser dirigido.  
• 1 Inicial. No hay procesos estándares y en su reemplazo hay aproximaciones que tienden a ser aplicadas en forma individual o caso a caso. El enfoque general es desorganizado. 
• 2 Repetible. Los procesos se han desarrollados en la etapa donde procedimientos similares son seguidos por diferentes personas que realizan la misma tarea. No existe capacitación formal o comunicación de procedimientos estándares y la responsabilidad recae en el individuo. Hay un alto grado de confianza en los conocimientos individuales y por lo tanto, los errores son probables.  
• 3 Definido. Los procedimientos han sido estandarizados y documentados y comunicados a través de capacitación. Sin embargo, los individuos dejan de cumplir los procesos y es improbable que las desviaciones serán detectadas. Los procedimientos no son terminados pero formalizan las practicas existentes.
• 4 Administrado. Es posible monitorear y medir el cumplimiento con los procedimientos y tomar acciones cuando éstos no estén trabajando efectivamente. Los procesos están bajo constante mejoramiento y proveen de buenas practicas. La automatización y herramientas son utilizadas en forma limitada.
• 5 Optimizado. Los procesos se han refinado al nivel de mejores prácticas , basado en el resultado de mejoramiento continuo y modelamiento de madurez. La TI es usada como una forma integrada para automatizar los flujos de trabajo, entregando herramientas para mejorar la calidad y la efectividad, permitiendo a la empresa adaptarse rápídamente.