Está en la página 1de 9

UNIVERSIDAD MAYOR DE SAN ANDRS FACULTAD DE CIENCIAS PURAS Y NATURALES CARRERA DE INFORMATICA

COBIT (Control OBjectives for Information and related Technology)

MATERIA DOCENTE INTEGRANTES

: : :

INF-315 LIC. Toledo Univ. Mario J. Argollo Rafael C.I. 6035397 LP. Univ. Edgar Mendoza Fernandez C.I. 6035397 LP.

LA PAZ BOLIVIA .

2 2012

COBIT
ndice ndice.................................................................................................................................1 Introduccin......................................................................................................................2 Propsito...........................................................................................................................2 Misin COBIT.....................................................................................................................2 Conceptos generales de COBIT......................................................................................3 Planificacin y Organizacin...........................................................................................5 Adquisicin e Implementacin........................................................................................6 Entrega y Soporte.............................................................................................................7 Supervisin y Evacuacin...............................................................................................8 Conclusin.........................................................................................................................8 Fuentes de Informacin....................................................................................................8

Introduccin COBIT (Control OBjectives for Information and related Technology | Objetivos de Control para tecnologa de la informacin y relacionadas) es un marco de gobernacin TI y mejoras prcticas para el manejo de informacin, que permite a gerentes acortar el hueco entre exigencias de control, cuestiones tcnicas y riesgos de negocios. COBIT permite el desarrollo claro de la politica y la bueno prctica del control de TI en todas las partes de las organizaciones. Creado por la Asociacin para la Auditora y Control de Sistemas de Informacin,(ISACA, en ingls: Information Systems Audit and Control Association), y el Instituto de Administracin de las Tecnologas de la Informacin (ITGI, en ingls: IT Governance Institute) en 1992. COBIT ha cambiado la forma en que trabajan los profesionales de TI. Vinculando tecnologa informtica y prcticas de control, COBIT consolida y armoniza estndares de fuentes globales prominentes en un recurso crtico para la gerencia, los profesionales de control y los auditores. Como tal, COBIT representa una estructura de control autorizada, actualizada, un conjunto de objetivos de control generalmente aceptados, y un producto agregado que posibilita la fcil aplicacin de la Estructura y los Objetivos de Control - denominado las Guas de Auditoria. COBIT se aplica a los sistemas de informacin de toda la empresa, incluyendo los computadores personales, minicomputadores, mainframes y ambientes distribuidos. Est basado en la filosofa de que los recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la informacin pertinente y confiable que requiere una organizacin para lograr sus objetivo. Con la adicin de las Guas Gerenciales, COBIT ahora soporta auto-evaluacin del estado estratgico organizacional, identificacin de acciones para mejorar los procesos de TI y monitorear el desempeo de estos procesos de TI. Desde que se liber la 1ra edicin de COBIT en 1992 se ha vendido e implementado en ms de 100 pases del mundo. Propsito El propsito de COBIT es proveer a la gerencia y a los propietarios de los procesos del negocio con un modelo de gobierno de Tecnologa Informtica (TI) que ayude a comprender y administrar los riesgos asociados con TI. COBIT ayuda a sortear las brechas entre los riesgos del negocio, las necesidades de control y los aspectos tcnicos. Es un modelo de control para satisfacer las necesidades de gobierno de TI y asegurar la integridad de la informacin y de los sistemas de informacin. Misin COBIT Investigar, desarrollar, hacer pblico y promover un marco de control de gobierno de TI

4 autorizado, actualizado, aceptado internacionalmente para la adopcin por parte de las empresas y el uso diario por parte de gerentes de negocio, profesionales de TI y profesionales de aseguramiento. Conceptos generales de COBIT El estndar Cobit (Control Objectives for Information and related Technology) ofrece un conjunto de mejores prcticas para la gestin de los Sistemas de Informacin de las organizaciones. El objetivo principal de Cobit consiste en proporcionar una gua a alto nivel sobre puntos en los que establecer controles internos con tal de: Asegurar el buen gobierno, protegiendo los intereses de los stakeholders (clientes, accionistas, empleados, etc.) Garantizar el cumplimiento normativo del sector al que pertenezca la organizacin Mejorar la eficacia i eficiencia de los procesos y actividades de la organizacin Garantizar la confidencialidad, integridad y disponibilidad de la informacin El estndard define el trmino control como: Polticas, procedimientos, prcticas y estructuras organizacionales diseadas para proveer aseguramiento razonable de que se lograrn los objetivos del negocio y se prevendrn, detectarn y corregirn los eventos no deseables. Por tanto, la definicin abarca desde aspectos organizativos (p.ej. flujo para pedir autorizacin a determinada informacin, procedimiento para reportar incidencias, seleccin de proveedores, etc.) hasta aspectos ms tecnolgicos y automticos (p.ej. control de acceso a los sistemas, monitorizacin de los sistemas mediante herramientas automatizadas, etc.). Por otra parte, todo control tiene por naturaleza un objetivo. Es decir, un objetivo de control es un propsito o resultado deseable como por ejemplo: garantizar la continuidad de las operaciones ante situaciones de contingencias. En consecuencia, para cada objetivo de control de nuestra organizacin podremos implementar uno o varios controles (p.ej. ejecucin de copias de seguridad peridicas, traslado de copias de seguridad a otras instalaciones, etc.) que nos garanticen la obtencin del resultado deseable (p.ej. continuidad de las operaciones en caso de contingencias). Obviamente, los ejemplos expuestos son muy generalistas y poco detallados, pero creo que muestran de forma prctica las diferentes definiciones. Cobit clasifica los procesos de negocio relacionados con las Tecnologas de la Informacin en 4 dominios:

Planificacin y Organizacin Adquisicin e Implementacin Entrega y Soporte Supervisin y Evaluacin

En definitiva, cada dominio contiene procesos de negocio (desglosables en actividades) para los cuales se pueden establecer objetivos de control e implementar controles organizativos o automatizados:

Por otra parte, la organizacin dispone de recursos (aplicaciones, informacin, infraestructura y personas) que son utilizados por los procesos para cubrir los requisitos del negocio: Efectividad (cumplimiento de objetivos) Eficiencia (consecucin de los objetivos con el mximo aprovechamiento de los recursos) Confidencialidad Integridad Disponibilidad Cumplimiento regulatorio Fiabilidad

Cabe destacar que, Cobit tambin ofrece mecanismos para la medicin de las capacidades de los procesos con objeto de conseguir una mejora continua. Para ello, proporciona

6 indicaciones para valorar la madurez en funcin de la misma clasificacin utilizada por estndares como ISO15504: Nivel 0 Proceso incompleto: El proceso no existe o no cumple con los objetivos Nivel 1 Proceso ejecutado Nivel 2 Proceso gestionado: el proceso no solo se encuentra en funcionamiento, sino que es planificado, monitorizado y ajustado. Nivel 3 Proceso definido: el proceso, los recursos, los roles y responsabilidades se encuentran documentados y formalizado. Nivel 4 Proceso predecible: se han definido tcnicas de medicin de resultados y controles. Nivel 5 Proceso optimizado: todos los cambios son verificados para determinar el impacto, se han definido mecanismos para la mejora continua, etc. En general, gran parte de los puntos que se exponen a continuacin pueden ser mapeados a los controles definidos en el estndar ISO 27002. Planificacin y Organizacin La direccin de la organizacin debe implicarse en la definicin de la estrategia a seguir en el mbito de los sistemas de informacin, de forma que sea posible proporcionar los servicios que requieran las diferentes reas de negocio. Para ello, Cobit presenta 10 procesos:

PO1 Definicin de un plan estratgico: gestin del valor, alineacin con las necesidades del negocio, planes estratgicos y tcticos. P02 Definicin de la arquitectura de informacin: modelo de arquitectura, diccionario de datos, clasificacin de la informacin, gestin de la integridad. P03 Determinar las directrices tecnolgicas: anlisis de tecnologas emergentes, monitorizar tendencias y regulaciones. P04 Definicin de procesos IT, organizacin y relaciones: anlisis de los procesos, comits, estructura organizativa, responsabilidades, propietarios de la informacin, supervisin, segregacin de funciones, polticas de contratacin. P05 Gestin de la inversin en tecnologa: gestin financiera, priorizacin de proyectos, presupuestos, gestin de los costes y beneficios. P06 Gestin de la comunicacin: polticas y procedimientos, concienciacin de usuarios. P07 Gestin de los recursos humanos de las tecnologas de la informacin: contratacin, competencias del personal, roles, planes de formacin, evaluacin del desempeo de los empleados. P08 Gestin de la calidad: mejora continua, orientacin al cliente, sistemas de medicin y monitorizacin de la calidad, estndares de desarrollo y adquisicin. P09 Validacin y gestin del riesgo de las tecnologas de la informacin P10 Gestin de proyectos: planificacin, definicin de alcance, asignacin de recursos, etc.

Podemos encontrar puntos de conexin con otros estndares y marcos de trabajo que nos pueden servir de soporte:

Cobit Relacionado P04 Definicin de procesos IT, Procesos segn ISO organizacin y relaciones P05 Gestin de la inversin en Val IT y VMM (Value Measuring Methodolotecnologa gy) P08 Gestin de la calidad ISO 9000 P09 Validacin y gestin del riesgo de BS 7799-3 (Guidelines for information seculas tecnologas de la informacin rity risk management) P10 Gestin de proyectos PMBok y PRINCE2 Adquisicin e Implementacin Con el objeto de garantizar que las adquisiciones de aplicaciones comerciales, el desarrollo de herramientas a medida y su posterior mantenimiento se encuentre alineado con las necesidades del negocio, el estndar Cobit define los siguientes 7 procesos: AI1 Identificacin de soluciones: anlisis funcional y tcnico, anlisis del riesgo, estudio de la viabilidad. AI2 Adquisicin y mantenimiento de aplicaciones: Diseo, controles sobre la seguridad, desarrollo, configuracin, verificacin de la calidad, mantenimiento. AI3 Adquisicin y mantenimiento de la infraestructura tecnolgica: Plan de infraestructuras, controles de proteccin y disponibilidad, mantenimiento. AI4 Facilidad de uso: Formacin a gerencia, usuarios, operadores y personal de soporte. AI5 Obtencin de recursos tecnolgicos: control y asignacin los recursos disponibles, gestin de contratos con proveedores, procedimientos de seleccin de proveedores. AI6 Gestin de cambios: Procedimientos de solicitud/autorizacin de cambios, verificacin del impacto y priorizacin, cambios de emergencia, seguimiento de los cambios, actualizacin de documentos. AI7 Instalacin y acreditacin de soluciones y cambios: Formacin, pruebas tcnicas y de usuario, conversiones de datos, test de aceptacin por el cliente, traspaso a produccin. Es posible identificar relaciones entre los procesos de este apartado con los presentados por el estndar ISO 12207: Cobit ISO 12207 AI1 Identificacin de soluciones 5.1 Adquisicin 5.1 Adquisicin, 5.2 Suministro, 5.3 AI2 Adquisicin y mantenimiento de Desarrollo, 5.5 Mantenimiento, 6.2 Gestin de aplicaciones configuraciones AI3 Adquisicin y mantenimiento de 5.1 Adquisicin, 5.2 Suministro, 5.5 la infraestructura tecnolgica Mantenimiento, 7.2 Infraestructura AI4 Facilidad de uso 6.1 Documentacin, 6.8 Resolucin de

8 problemas, 7.1 Gerencia, 7.4 Formacin AI5 Obtencin de recursos tecnolgicos AI6 Gestin de cambios 7.2 Infraestructuras

5.2 Suministro, 5.5 Mantenimiento, 7.3 Mejoras AI7 Instalacin y acreditacin de 6.3 Verificacin de la calidad, 6.4 Verificacin, soluciones y cambios 6.5 Validacin, 6.6 Integracin, 6.7 Auditora Como soporte a los procesos de este apartado es posible utilizar metodologas de desarrollo y modelos de capacidad como ISO 15504 y CMMI. Entrega y Soporte La entrega y soporte de servicios se encuentran constituidos por diversos procesos orientados a asegurar la eficacia y eficiencia de los sistemas de informacin. El estndar Cobit ha definido 13 procesos diferentes: DS1 Definicin y gestin de los niveles de servicio: SLA con usuarios/clientes DS2 Gestin de servicios de terceros: gestin de las relaciones con proveedores, valoracin del riesgo (non-disclousure agreements NDA), monitorizacin del servicio. DS3 Gestin del rendimiento y la capacidad: planes de capacidad, monitorizacin del rendimiento, disponibilidad de recursos. DS4 Asegurar la continuidad del servicio: plan de continuidad, recursos crticos, recuperacin de servicios, copias de seguridad. DS5 Garantizar la seguridad de los sistemas: gestin de identidades, gestin de usuarios, monitorizacin y tests de seguridad, protecciones de seguridad, prevencin y correccin de software malicioso, seguridad de la red, intercambio de datos sensibles. DS6 Identificar y asignar costes DS7 Formacin a usuarios: identificar necesidades, planes de formacin. DS8 Gestin de incidentes y Help Desk: registro y escalado de incidencias, anlisis de tendencias. DS9 Gestin de configuraciones: definicin de configuraciones base, anlisis de integridad de configuraciones. DS10 Gestin de problemas: identificacin y clasificacin, seguimiento, integracin con la gestin de incidentes y configuraciones. DS11 Gestin de los datos: acuerdos para la retencin y almacenaje de los datos, copias de seguridad, pruebas de recuperacin. DS12 Gestin del entorno fsico: acceso fsico, medidas de seguridad, medidas de proteccin medioambientales. DS13 Gestin de las operaciones: planificacin de tareas, mantenimiento preventivo. En general, gran parte de los aspectos descritos se encuentran relacionados con las guas proporcionadas por ITIL (Information Technology Infraestructure Library) y el estndar ISO 20000. Por otra parte, existen procesos determinados que pueden ser vinculados a otros estndares:

9 Cobit DS2 Gestin de servicios de terceros DS4 Asegurar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas DS6 Identificar y asignar costes Supervisin y Evacuacin El ltimo dominio se centra en la supervisin de los sistemas con tal de:

Relacionado eSCM-CL Client Organization y eSCM-SP Service Provider BS 25999-1 (Business Continuity Management) y guas BCI(Business Continuity Institute) Open Source Security Tests methodology (OSSTMM) y Information System Security Assessment Framework Activity-Based Costing (ABC)

Garantizar la alineacin con la estratgica del negocio Verificar las desviaciones en base a los acuerdos del nivel de servicio Validar el cumplimiento regulatorio

Esta supervisin implica paralelamente la verificacin de los controles por parte de auditores (internos o externos), ofreciendo una visin objetiva de la situacin y con independencia del responsable del proceso. El estndar Cobit define los siguientes 4 procesos: ME1 Monitorizacin y evaluacin del rendimiento ME2 Monitorizacin y evaluacin del control interno ME3 Asegurar el cumplimiento con requerimientos externos ME4 Buen gobierno Conclusin El estndar Cobit nos ofrece una completa gua de alto nivel para la definicin y evaluacin de los procesos de negocios relacionados con los Sistemas de Informacin. Por otra parte, permite el uso de otros marcos de trabajo ms especficos (p.ej. CMMI, ITIL, etc.) sin perder la compatibilidad gracias a al carcter generalista de Cobit. Bibliografia y fuentes de informacin Estndar Cobit 4.1 Spanish y el paper Auditoria i Programari Lliure (autores Joan Puig y Sergi Blanco). En que consiste COBIT ( Www.monografias.com) Cobit 4.1 (Sisteseg) Cobit (ELG Auditoria - Consultorias)

También podría gustarte