Está en la página 1de 6

MARCO DE TRABAJO COBIT

La Misin de COBIT:
Investigar, desarrollar, hacer pblico y promover un marco de control de gobierno de TI autorizado, actualizado, aceptado internacionalmente para la adopcin por parte de las empresas y el uso diario por parte de gerentes de negocio, profesionales de TI y profesionales de aseguramiento.

LA NECESIDAD DE UN MARCO DE TRABAJO DE CONTROL PARA EL GOBIERNO DE TI


Un marco de control para el Gobierno TI define las razones de por qu se necesita el Gobierno de TI, los interesados y que se necesita cumplir en el gobierno de TI.

Por qu
Cada vez ms, la alta direccin se est dando cuenta del impacto significativo que la informacin puede tener en el xito de una empresa. La direccin espera un alto entendimiento de la manera en que la tecnologa de informacin (TI) es operada y de la posibilidad de que sea aprovechada con xito para tener una ventaja competitiva. En particular, la alta direccin necesita saber si con la informacin administrada en la empresa es posible que: Garantice el logro de sus objetivos Tenga suficiente flexibilidad para aprender y adaptarse Cuente con un manejo juicioso de los riesgos que enfrenta

Las empresas exitosas entienden los riesgos y aprovechan los beneficios de TI, y encuentran maneras para: Alinear la estrategia de TI con la estrategia del negocio Asegurar que los inversionistas y accionistas logran un debido cuidado estandarizado para la mitigacin de los riesgos de TI Lograr que toda la estrategia de TI, as como las metas fluyan de forma gradual a toda la empresa Proporcionar estructuras organizacionales que faciliten la implementacin de estrategias y metas

Las empresas no pueden responder de forma efectiva a estos requerimientos de negocio y de gobierno sin adoptar e implementar un marco de Referencia de gobierno y de control para TI, de tal manera que: Se forme un vnculo con los requerimientos del negocio El desempeo real con respecto a estos requerimientos sea transparente Se organicen sus actividades en un modelo de procesos generalmente aceptado

Quin
Un marco de referencia de gobierno y de control requiere servir a una variedad de interesados internos y externos, cada uno de los cuales tiene necesidades especficas: Interesados dentro de la empresa que tienen inters en generar valor de las inversiones en TI: Aquellos que toman decisiones de inversiones

Aquellos que deciden respecto a los requerimientos Aquellos que utilizan los servicios de TI

Interesados internos y externos que proporcionan servicios de TI: Aquellos que administran la organizacin y los procesos de TI Aquellos que desarrollan capacidades Aquellos que operan los servicios

Interesados internos y externos con responsabilidades de control/riesgo: Aquellos con responsabilidades de seguridad, privacidad y/o riesgo Aquellos que realizan funciones de cumplimiento Aquellos que requieren o proporcionan servicios de aseguramiento

Qu
Para satisfacer los requerimientos previos, un marco de referencia para el gobierno y el control de TI, debe satisfacer las siguientes especificaciones generales: Brindar un enfoque de negocios que permita la alineacin entre las metas de negocio y de TI. Establecer una orientacin a procesos para definir el alcance y el grado de cobertura, con una estructura definida que permita una fcil navegacin en el contenido. Ser generalmente aceptable al ser consistente con las mejores prcticas y estndares de TI aceptados, y que sea independiente de tecnologas especficas.

Proporcionar un lenguaje comn, con un juego de trminos y definiciones que sean comprensibles en general para todos los Interesados.

CRITERIOS DE INFORMACIN DE COBIT Para satisfacer los objetivos del negocio, la informacin necesita adaptarse a ciertos criterios de control, los cuales son referidos en COBIT como requerimientos de informacin del negocio. Con base en los requerimientos ms amplios de calidad, fiduciarios y de seguridad, se definieron los siguientes siete criterios de informacin:

La efectividad tiene que ver con que la informacin sea relevante y pertinente a los procesos del negocio, y se proporcione de una manera oportuna, correcta, consistente y utilizable. La eficiencia consiste en que la informacin sea generada con el ptimo (ms productivo y econmico) uso de los recursos. La confidencialidad se refiere a la proteccin de informacin sensitiva contra revelacin no autorizada.

La integridad est relacionada con la precisin y completitud de la informacin, as como con su validez de acuerdo a los valores y expectativas del negocio. La disponibilidad se refiere a que la informacin est disponible cuando sea requerida por los procesos del negocio en cualquier momento. Tambin concierne a la proteccin de los recursos y las capacidades necesarias asociadas. El cumplimiento tiene que ver con acatar aquellas leyes, reglamentos y acuerdos contractuales a los cuales est sujeto el proceso de negocios, es decir, criterios de negocios impuestos externamente, as como polticas internas. La confiabilidad se refiere a proporcionar la informacin apropiada para que la gerencia administre la entidad y ejerza sus responsabilidades fiduciarias y de gobierno.

ORIENTADO A PROCESOS
COBIT define las actividades de TI en un modelo genrico de procesos organizado en cuatro dominios. Estos dominios son Planear y Organizar, Adquirir e Implementar, Entregar y Dar Soporte y Monitorear y Evaluar. Los dominios se equiparan a las reas tradicionales de TI de planear, construir, ejecutar y monitorear.

Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. Normalmente se ordenan dentro de dominios de responsabilidad de plan, construir, ejecutar y Monitorear. Dentro del marco de COBIT, estos dominios, como se muestra en la Figura 8, se llaman: Planear y Organizar (PO) Proporciona direccin para la entrega de soluciones (AI) y la entrega de servicio (DS). Adquirir e Implementar (AI) Proporciona las soluciones y las pasa para convertirlas en servicios.

Entregar y Dar Soporte (DS) - Recibe las soluciones y las hace utilizables por los usuarios finales. Monitorear y Evaluar (ME) - Monitorear todos los procesos para asegurar que se sigue la direccin provista.

PLANEAR Y ORGANIZAR (PO) Este dominio cubre las estrategias y las tcticas, y tiene que ver con identificar la manera en que TI puede contribuir de la mejor manera al logro de los objetivos del negocio. Adems, la realizacin de la visin estratgica requiere ser planeada, comunicada y administrada desde diferentes perspectivas. ADQUIRIR E IMPLEMENTAR (AI) Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas as como implementadas e integradas en los procesos del negocio. ENTREGAR Y DAR SOPORTE (DS) Este dominio cubre la entrega en s de los servicios requeridos, lo que incluye la prestacin del servicio, la administracin de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administracin de los datos y de las instalaciones operativos. MONITOREAR Y EVALUAR (ME) Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administracin del desempeo, el monitoreo del control interno, el cumplimiento regulatorio y la aplicacin del gobierno.