COBIT

COBIT (Gestión de Riesgos)

El COBIT es un modelo para auditar la gestión y control de los sistemas de información y tecnología, orientado a todos los sectores de una organización, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso. El COBIT es un modelo de evaluación y monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca controles específicos de IT desde una perspectiva de negocios.

Las siglas COBIT significan Objetivos de Control para Tecnología de Información y Tecnologías relacionadas (Control Objectives for Information Systems and related Technology).

COBIT se aplica a los sistemas de información de toda la empresa, incluyendo los computadores personales y las redes. Está basado en la filosofía de que los recursos TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos.

La misión de COBIT es buscar, desarrollar, publicar y promover un autoritario y actualizado conjunto internacional de objetivos de control de tecnologías de la información, generalmente aceptadas, para el uso diario por parte de gestores de negocio y auditores.


BENEFICIOS COBIT

  • Mejor alineación basado en la focalización sobre el negocio.
  • Visión comprensible de TI para su administración.
  • Clara definición de propiedad y responsabilidades.
  • Aceptabilidad general con terceros y entes reguladores.
  • Entendimiento compartido entre todos los interesados basados en un lenguaje común.
  • Cumplimiento global de los requerimientos de TI planteados en el Marco de Control Interno de Negocio COSO.

El conjunto de lineamientos y estándares internacionales conocidos como COBIT, define un marco de referencia que clasifica los procesos de las unidades de tecnología de información de las organizaciones en cuatro "dominios" principales, a saber:

  • Planificación y organización: este dominio cubre la estrategia y las tácticas, se refiere a la identificación de la forma en que las Tecnologías de la Información pueden contribuir al logro de los objetivos del negocio. Además, la consecución de la visión estratégica necesita ser planeada; comunicada, y administrada desde diferentes perspectivas. Finalmente, deberá establecerse una organización y una infraestructura tecnológica apropiadas.
  • Adquisición e implantación: para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas; desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.
  • Soporte y servicios: en este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento; pasando por seguridad, y aspectos de continuidad. Con el fin de proveer servicios, deberán establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicación, frecuentemente clasificados como controles de aplicación.
  • Monitoreo: todos los procesos necesitan ser evaluados regularmente para verificar su calidad y suficiencia en cuanto a los requerimientos de control.

Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los aspectos de información, como de la tecnología que la respalda. Estos dominios y objetivos de control facilitan que la generación y procesamiento de la información cumplan con las características de efectividad; eficiencia; confidencialidad; integridad; disponibilidad; cumplimiento y confiabilidad.

Características

  • Orientado al negocio.
  • Alineado con estándares y regulaciones "de facto".
  • Basado en una revisión crítica y analítica de las tareas y actividades en TI.
  • Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA).

PRINCIPIOS:

El enfoque del control en TI se lleva a cabo visualizando la información necesaria para dar soporte a los procesos de negocio y considerando a la información como el resultado de la aplicación combinada de recursos relacionados con las TI que deben ser administrados.

Requerimientos de la información del negocio: Para alcanzar las peticiones de negocio, la información necesita satisfacer ciertos criterios:

  • Requerimientos de Calidad: calidad; costo, y entrega.
  • Requerimientos Fiduciarios: efectividad y eficiencia operacional; confiabilidad de los reportes financieros, y cumplimiento de leyes y regulaciones.
  • Requerimientos de Seguridad: confidencialidad; integridad, y disponibilidad.

COMPONENTES COBIT:

  • Resumen Ejecutivo: Es un documento dirigido a la alta gerencia presentando los antecedentes y la estructura básica de COBIT. Aunado a esto, describe de manera general los procesos; recursos, y criterios de información, los cuales conforman la "columna vertebral" de COBIT.
  • Marco de Referencia (Framework): Incluye la introducción contenida en el resumen ejecutivo y muestra las guías de navegación para que los lectores se orienten en la exploración del material de COBIT haciendo una presentación detallada de los 34 procesos contenidos en los cuatro dominios.
  • Objetivos de Control: Integran en su contenido lo expuesto tanto en el resumen ejecutivo como en el marco de referencia y presenta los objetivos de control detallados para cada uno de los 34 procesos.
  • Planear y organizar.