Historia COBIT
Historia COBIT
Historia COBIT
En 1996, la primera edición de COBIT fue publicada. Esta incluía la colección y análisis de fuentes
internacionales reconocidas y fue realizada por equipos en Europa, Estados Unidos y Australia.
En 1998, fue publicada la segunda edición; su cambio principal fue la adición de las guías de
gestión. Para el año 2000, la tercera edición fue publicada y en el 2003, la versión en línea ya se
encontraba disponible en el sitio de ISACA.
Fue posterior al 2003 que el marco de referencia de COBIT fue revisado y mejorado para
soportar el incremento del control gerencial, introducir el manejo del desempeño y mayor
desarrollo del Gobierno de TI.
En diciembre de 2005, la cuarta edición fue publicada y en Mayo de 2007, se liberó la versión
4.1.
La versión número 5 de COBIT fue liberada en el año 2012. En esta edición se consolida e
integran los marcos de referencia de COBIT 4.1, Val IT 2.0 y Risk IT. Este nuevo marco de
referencia viene integrado principalmente del Modelo de Negocios para la Seguridad de la
Información (BMIS, Business Model for Information Security) y el Marco de Referencia para el
Aseguramiento de la Tecnología de la Información (ITAF, Information Technology Assurance
Framework).
¿Qué es COBIT?
Su sigla en inglés se refiere a Control Objectives for Information and Related Technology y es un
conjunto de mejores prácticas para el manejo de información creado por la Asociación para la
Auditoría y Control de Sistemas de Información (ISACA), y el Instituto de Administración de las
Tecnologías de la Información (ITGI) en 1992.
Cobit es un marco de referencia para la dirección de IT, asi como también de herramientas de
soporte que permite a la alta dirección reducir la brecha entre las necesidades de control,
cuestiones técnicas y los riesgos del negocio. Cobitpermite el desarrollo de políticas claras y
buenas prácticas para el control de TI en las organizaciones. Cobit enfatiza el cumplimiento
normativo, ayuda a las organizaciones a aumentar el valor obtenido de TI, facilita su alineación
y simplifica la implementación del marco de referencia de Cobit.
El propósito de Cobit es brindar a la Alta Dirección de una compañía confianza en los sistemas
de información y en la información que estos produzcan. Cobitpermite entender como dirigir y
gestionar el uso de tales sistemas así como establecer un codigo de buenas prácticas a ser
utilizado por los proveedores de sistemas. Cobit suministra las herramientas para supervisar
todas las actividades relacionadas con IT.
Principales Características:
Orientado al negocio
Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)
El objetivo es lograr que los servicios de TI se entreguen de acuerdo con las prioridades del
negocio, la optimización de costos, asegurar que la fuerza de trabajo utilice los sistemas de modo
productivo y seguro, implantar de forma correcta la confidencialidad, la integridad y la
disponibilidad.
Desventajas
COBIT resulta un modelo ambicioso que requiere de profundidad en el estudio.
Se requiere de un esfuerzo de la organización, para adoptar los estándares.
No existe en la bibliografía resultados de la experiencia práctica de los países en la
implementación de este modelo que lo hagan medible.
Se requiere un cambio de cultura en las personas que hacen el servicio (cambiar las
formas de pensar de las personas).
Lleva tiempo ver las reducciones de costos y la mejora en la entrega de los servicios.
Una implementación exitosa implica compromiso del personal a todos los niveles de la
organización.
MISION Y VISION DE COBIT
MISION
La misión de COBIT es "investigar, desarrollar, publicar y promocionar un conjunto de
objetivos de control generalmente aceptados para las tecnologías de la información
que sean autorizados (dados por alguien con autoridad), actualizados, e
internacionales para el uso del día a día de los gestores de negocios (también
directivos) y auditores." Gestores, auditores, y usuarios se benefician del desarrollo de
COBIT porque les ayuda a entender sus Sistemas de Información (o tecnologías de la
información) y decidir el nivel de seguridad y control que es necesario para proteger
los activos de sus compañías mediante el desarrollo de un modelo de administración
de las tecnologías de la información.
VISION
Ser el modelo de control para la tecnología de la información.
USUARIOS COBIT
La Gerencia: Para apoyar sus decisiones de inversión en TI y control sobre el
rendimiento de las mismas, analizar el costo beneficio del control.
Los Usuarios Finales: Quienes obtienen una garantía sobre la seguridad y el control de
los productos que adquieren interna y externamente.
Los Auditores: Para soportar sus opiniones sobre los controles de los proyectos de TI,
su impacto en la organización y determinar el control mínimo requerido.
Los Responsables de TI: Para identificar los controles que requieren en sus áreas.
También puede ser utilizado dentro de las empresas por el responsable de un proceso
de negocio en su responsabilidad de controlar los aspectos de información del
proceso, y por todos aquellos con responsabilidades en el campo de la TI en las
empresas.
PRINCIPIOS DE COBIT
Los principios de COBIT están basados en lo siguiente:
i. Procesos de TI.
ii. Requerimientos de información del negocio.
iii. Criterios de información.
iv. Recursos de TI.
i. PROCESOS DE TI
PLANEAR Y ORGANIZAR
Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar
la manera en que TI puede contribuir de la mejor manera al logro de los objetivos
del negocio. Además, la realización de la visión estratégica requiere ser
planeada, comunicada y administrada desde diferentes perspectivas.
Finalmente, se debe implementar una estructura organización al y una estructura
tecnológica apropiada. Este dominio cubre los siguientes cuestionamientos
típicos de la gerencia:
1. Definir un plan estratégico de la TI.
Toma en consideración:
Que satisface el requisito de negocio para: una mejor organización de los sistemas de
información.
Toma en consideración:
Documentación.
Diccionario de datos.
Reglas sintácticas de datos.
Propiedad de datos y clasificación critica.
Toma en consideración:
Toma en consideración:
Comité de dirección.
Consejo de nivel de responsabilidad.
Propiedad, custodia.
Supervisión.
Segregación de obligaciones.
Roles y responsabilidades.
Descripción del trabajo.
Provisión de niveles.
Clave personal.
Toma en consideración:
Consolidación de alternativas.
Control del gasto efectivo.
Justificación de los costes.
Justificación de los beneficios.
Toma en consideración:
Que satisface el requisito de negocio para: maximizar las contribuciones del personal a los
procesos de TI.
Toma en consideración:
Refuerzo y promoción.
Requisitos de calidad.
Entrenamiento.
Construcción del conocimiento.
Evaluación de la ejecución objetiva y medible.
8. Administrar la calidad.
Que satisface el requisito de negocio para: la mejora continua y medible de la calidad de los
servicios prestados por TI.
Toma en consideración:
Que satisface el requisito de negocio para: de asegurar la realización de los objetivos de TI,
respondiendo a las amenazas para el suministro de los servicios de TI.
Toma en consideración:
Toma en consideración:
Que satisface el requisito de negocio para: asegurar la mejor aproximación para satisfacer los
requisitos del usuario.
Toma en consideración:
Que satisface el requisito de negocio para: suministrar funciones automáticas que soporten
de forma efectiva los procesos de negocio.
Toma en consideración:
Requisitos de usuario.
Diseño de alto nivel.
Diseño detallado.
Archivo, gasto, proceso y requisitos externos.
Interfaz de la maquina usuario.
Controles de aplicación y requisitos de seguridad.
Documentación.
Que satisface el requisito de negocio para: adquirir y dar mantenimiento a una infraestructura
integrada y estándar de TI.
Toma en consideración:
Asentamiento de la tecnología.
Mantenimiento del hardware preventivo.
Seguridad del sistema software, instalación, mantenimiento y cambio de controles.
Toma en consideración:
Toma en consideración:
Control de adquisición.
Administración de contratos de proveedores.
Selección de proveedores.
Adquisición de software.
Adquisición de recursos de desarrollo.
Adquisición de infraestructura, instalaciones y servicios relacionados.
6. Administrar cambios.
Que satisface el requisito de negocio para: responder a los requerimientos del negocio de
acuerdo con la estrategia de negocio.
Toma en consideración:
Que satisface el requisito de negocio para: contar con sistemas nuevos o modificados que
trabajen sin problema importantes después de la instalación.
Toma en consideración:
Entrenamiento.
Plan de prueba.
Plan de implantación.
Ambiente de prueba.
Conversión de sistema y datos.
Distribución del sistema.
ENTREGAR Y DAR SOPORTE
Que satisface el requisito de negocio para: asegurar la alineación de los servicios claves de TI
con la estrategia de negocio.
Toma en consideración:
Definición de servicios.
Definición de responsabilidades.
Garantías de integridad.
Monitoreo y reporte del cumplimiento de los niveles de servicio.
Revisión de los acuerdos de niveles de servicio y de los contratos.
Que satisface el requisito de negocio para: asegurar que las reglas y las responsabilidades de
terceras partes están definidas de forma clara, adherida y continua satisfaciendo los requisitos.
Toma en consideración:
Toma en consideración:
Que satisface el requisito de negocio para: hacer que los servicios de TI requeridos estén
disponibles y asegurar un impacto de negocio mínimo en caso de una ruptura mayor.
Toma en consideración:
Clasificación critica.
Plan de continuidad documentado.
Recursos críticos de TI.
Mantenimiento, pruebas, entrenamiento y distribución del plan de continuidad de TI.
Toma en consideración:
Autorización.
Autenticidad.
Acceso.
Uso de protección e identificación.
Gestión de clave criptográfica.
Detección y prevención de virus.
Cortafuegos.
Que satisface el requisito de negocio para: asegurar un correcto conocimiento de los costes
atribuidos a los servicios de TI.
Toma en consideración:
7. Capacitación de usuarios.
Que satisface el requisito de negocio para: asegurar que los usuarios son eficientes en el uso
de la tecnología y que son conscientes de los riesgos y responsabilidades en las que están
involucrados.
Toma en consideración:
Que satisface el requisito de negocio para: permitir el efectivo uso de los sistemas de TI
garantizando la resolución y el análisis de las consultas de los usuarios finales, incidentes y
preguntas.
Toma en consideración:
9. Administración de la configuración.
Que satisface el requisito de negocio para: considerar todos los componentes de TI, prevenir
alteraciones no autorizadas, verificar la existencia física y proveer de un fundamento para una
gestión de cambio firme.
Toma en consideración:
Medios de registro.
Gestión del cambio de configuración.
Chequeo del software no autorizado.
Controles de almacenamiento de software.
Que satisface el requisito de negocio para: asegurar que los problemas e incidentes serán
resueltos, e investigando la causa para prevenir una nueva aparición de estos.
Toma en consideración:
Que satisface el requisito de negocio para: asegurar que los datos permanecen completos,
correctos y validos durante su introducción, actualización y almacenamiento.
Toma en consideración:
Diseño de modelo.
Controles de entrada.
Controles de proceso.
Controles de salida.
Almacenamiento multimedia y gestión de copias de seguridad.
Autenticidad e integridad.
Que satisface el requisito de negocio para: proveer de un medio físico apropiado que proteja
el equipamiento de las TI y a las personas contra riesgos naturales y riesgos provocados por el
hombre.
Toma en consideración:
Identificación de la situación.
Seguridad física.
Salud y seguridad del personal.
Protección de amenazas del entorno.
Que satisface el requisito de negocio para: asegurar que las funciones importantes soportadas
de las TI son realizadas regularmente de una forma ordenada.
Toma en consideración:
MONITOREAR Y EVALUAR
Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad
y cumplimiento de los requerimientos de control. Este dominio abarca la administración del
desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del
gobierno. Por lo general abarca las siguientes preguntas de la gerencia:
Toma en consideración:
Método de monitoreo.
Evaluación del desempeño.
Reportes al consejo directivo y a ejecutivos.
Acciones correctivas.
Que satisface el requisito de negocio para: proteger el logro de los objetivos de TI y cumplir
las leyes y reglamentos relacionados con TI.
Toma en consideración:
Toma en consideración:
Toma en consideración:
Confidencialidad
Integridad
Disponibilidad
iii. CRITERIOS DE INFORMACIÓN.
iv. RECURSOS DE TI
Datos: Todos los objetos de datos en su sentido más amplio,
considerando información interna y externa, estructurada o no, graficas,
sonidos, etc.
Aplicaciones: Sistemas de información, que integran procedimientos
manuales y sistematizados.
Tecnología: hardware, software de bases, sistemas operativos y
elementos de comunicaciones que junto con las aplicaciones conforman
los servicios de TI.
Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a
los sistemas informáticos.
Recursos Humanos: habilidades, conocimientos y productividad del
personal para ejecutar los procesos de TI.
Bibliografía: (para tus diapo wey)
https://es.slideshare.net/cairiza/principios-de-cobit