El uso de las tic en la vida ,lo importante que son
Cobit
1. YUDIBETH ARIAS CRUZ
Grupo: ITIE 1002
Materia: Auditoriade Sistemas de TI
COBIT
La Misión de COBIT: Investigar, desarrollar, hacer público y promover un
marco de control de gobierno de TI autorizado, actualizado, aceptado
internacionalmente para la adopción por parte de las empresas y el uso
diario por parte de gerentes de negocio, profesionales de TI y profesionales
de aseguramiento.
LA NECESIDAD DE UN MARCO DE TRABAJO DE CONTROL PARA EL
GOBIERNO DE TI
Un marco de control para el Gobierno TI define las razones de por qué se
necesita el Gobierno de TI, los interesados y que se necesita cumplir en el
gobierno de TI Por qué Cada vez más, la alta dirección se está dando
cuenta del impacto significativo que la información puede tener en el éxito
de una empresa. La dirección espera un alto entendimiento de la manera
en que la tecnología de información (TI)es operada y de la posibilidad de
que sea aprovechada con éxito para tener una ventaja competitiva. En
particular, la alta dirección necesita saber si con la información
administrada en la empresa es posible que:
• Garantice el logro de sus objetivos
• Tenga suficiente flexibilidad para aprender y adaptarse
• Cuente con un manejo juicioso de los riesgos que enfrenta
• Reconozca de forma apropiada las oportunidades y actúe de acuerdo
a ellas Las empresas exitosas entienden los riesgos y aprovechan los
beneficios de TI, y encuentran maneras para:
2. YUDIBETH ARIAS CRUZ
Grupo: ITIE 1002
Materia: Auditoriade Sistemas de TI
• Alinear la estrategia de TI con la estrategia del negocio
• Asegurar que los inversionistas y accionistas logran un debido cuidado
estandarizado para la mitigación de los riesgos de TI
• Lograr que toda la estrategia de TI, así como las metas fluyan de forma
gradual a toda la empresa
• Proporcionar estructuras organizacionales que faciliten la
implementación de estrategias y metas
• Crear relaciones constructivas y comunicaciones efectivas entre el
negocio y TI, y con socios externos
• Medir el desempeño de TI Las empresas no pueden responder de forma
efectiva a estos requerimientos de negocio y de gobierno sin adoptar e
implementar un marco de Referencia de gobierno y de control para TI, de
tal manera que:
• Se forme un vínculo con los requerimientos del negocio
• El desempeño real con respecto a estos requerimientos sea transparente
• Se organicen sus actividades en un modelo de procesos generalmente
aceptado
• Se identifiquen los principales recursos a ser apalancados
• Se definan los objetivos de control Gerenciales a ser considerados
Además, el gobierno y los marcos de trabajo de control están siendo parte
de las mejores prácticas de la administración de TI y sirven como
facilitadores para establecer el gobierno de TI y cumplir con el constante
incremento de requerimientos regulatorios. Las mejores prácticas de TI se
han vuelto significativas debido a varios factores:
3. YUDIBETH ARIAS CRUZ
Grupo: ITIE 1002
Materia: Auditoriade Sistemas de TI
• Directores de negocio y consejos directivos que demandan un mayor
retorno de la inversión sobre TI, es decir, que TI genere lo que el negocio
necesita para mejorar el valor de los Interesados (Stakeholders)
• Preocupación por el creciente nivel de gasto en TI
• La necesidad de satisfacer requerimientos regulatorios para controles de
TI en áreas como privacidad y reportes financieros (por ejemplo, Sarbanes-
Oxley Act, Basel II)y en sectores específicos como el financiero,
farmacéutico y de atención a la salud
• La selección de proveedores de servicio y el manejo de Outsourcing y de
Adquisición de servicios • Riesgos crecientemente complejos de TI como la
seguridad de redes
• Iniciativas de gobierno de TI que incluyen la adopción de marcos de
referencia de control y de mejores prácticas para ayudar a monitorear y
mejorar las actividades críticas de TI, aumentar el valor del negocio y
reducir los riesgos de éste
• La necesidad de optimizar costos siguiendo, siempre que sea posible, un
enfoque estandarizado en lugar de enfoques desarrollados en forma
especial
• La madurez creciente y la consecuente aceptación de marcos de
trabajo respetados tales como COBIT, ITIL, ISO 17799, ISO 9001, CMM y
PRINCE2
• La necesidad de las empresas de valorar su desempeño en
comparación con estándares generalmente aceptados y con respecto a
su competencia (Benchmarking) Quién Un marco de referencia de
gobierno y de control requiere servir a una variedad de interesados
internos y externos, cada uno de los cuales tiene necesidades específicas:
4. YUDIBETH ARIAS CRUZ
Grupo: ITIE 1002
Materia: Auditoriade Sistemas de TI
• Interesados dentro de la empresa que tienen interés en generar valor de
las inversiones en TI: – Aquellos que toman decisiones de inversiones –
Aquellos que deciden respecto a los requerimientos – Aquellos que utilizan
los servicios de TI
• Interesados internos y externos que proporcionan servicios de TI: –
Aquellos que administran la organización y los procesos de TI – Aquellos
que desarrollan capacidades – Aquellos que operan los servicios
• Interesados internos y externos con responsabilidades de control/riesgo: –
Aquellos con responsabilidades de seguridad, privacidad y/o riesgo –
Aquellos que realizan funciones de cumplimiento – Aquellos que requieren
o proporcionan servicios de aseguramiento Qué Para satisfacer los
requerimientos previos, un marco de referencia para el gobierno y el
control de TI, debe satisfacer las siguientes especificaciones generales:
• Brindar un enfoque de negocios que permita la alineación entre las
metas de negocio y de TI.
• Establecer una orientación a procesos para definir el alcance y el grado
de cobertura, con una estructura definida que permita una fácil
navegación en el contenido.
• Ser generalmente aceptable al ser consistente con las mejores prácticas
y estándares de TI aceptados, y que sea independiente de tecnologías
específicas.
• Proporcionar un lenguaje común, con un juego de términos y
definiciones que sean comprensibles en general para todos los Interesados.
• Ayudar a satisfacer requerimientos regulatorios, al ser consistente con
estándares de gobierno corporativo generalmente aceptados (COSO) y
con controles de TI esperados por reguladores y auditores externos. Como
5. YUDIBETH ARIAS CRUZ
Grupo: ITIE 1002
Materia: Auditoriade Sistemas de TI
Satisface COBIT La Necesidad Como respuesta a las necesidades descritas
en la sección anterior, el marco de trabajo COBIT se creó con las
características principales de ser orientado a negocios, orientado a
procesos, basado en controles e impulsado por mediciones. Orientado al
negocio 10 La orientación a negocios es el tema principal de COBIT. Está
diseñado para ser utilizado no sólo por proveedores de servicios, usuarios y
auditores de TI, sino también y principalmente, como guía integral para la
gerencia y para los dueños de los procesos de negocio. El marco de
trabajo COBIT se basa en el siguiente principio (Figura 5): Para proporcionar
la información que la empresa requiere para lograr sus objetivos, la
empresa necesita invertir en, y administrar y controlar los recursos de TI
usando un conjunto estructurado de procesos que provean los servicios
que entregan la información empresarial requerida. El marco de trabajo
COBIT ofrece herramientas para garantizar la alineación con los
requerimientos del negocio. Principio Básico de COBIT Requerimientos de
Negocio CobiT Recursos de TI Procesos de TI Información de la Empresa
dirige la inversión en para entregar que es utilizado por que responde
CRITERIOS DE INFORMACIÓN DE COBIT
Para satisfacer los objetivos del negocio, la información necesita adaptarse
a ciertos criterios de control, los cuales son referidos en COBIT como
requerimientos de información del negocio. Con base en los
requerimientos más amplios de calidad, fiduciarios y de seguridad, se
definieron los siguientes siete criterios de información:
6. YUDIBETH ARIAS CRUZ
Grupo: ITIE 1002
Materia: Auditoriade Sistemas de TI
• La efectividad tiene que ver con que la información sea relevante y
pertinente a los procesos del negocio, y se proporcione de una manera
oportuna, correcta, consistente y utilizable.
• La eficiencia consiste en que la información sea generada con el óptimo
(más productivo y económico) uso de los recursos.
• La confidencialidad se refiere a la protección de información sensitiva
contra revelación no autorizada.
Todos estos componentes de COBIT se interrelacionan, ofreciendo soporte
para las necesidades de gobierno, de administración, de control y de
auditoría de los distintos interesados, como se muestra en la Figura
7. YUDIBETH ARIAS CRUZ
Grupo: ITIE 1002
Materia: Auditoriade Sistemas de TI
COBIT es un marco de referencia y un juego de herramientas de soporte
que permiten a la gerencia cerrar la brecha con respecto a los
requerimientos de control, temas técnicos y riesgos de negocio, y
comunicar ese nivel de control a los Interesados (Stakeholders). COBIT
permite el desarrollo de políticas claras y de buenas prácticas para control
de TI a través de las empresas. COBIT constantemente se actualiza y
armoniza con otros estándares. Por lo tanto, COBIT se ha convertido en el
integrador de las mejores prácticas de TI y el marco de referencia general
para el gobierno de TI que ayuda a comprender y administrar los riesgos y
beneficios asociados con TI. La estructura de procesos de COBIT y su
enfoque de alto nivel orientado al negocio brindan una visión completa de
TI y de las decisiones a tomar acerca de la misma. Los beneficios de
implementar COBIT como marco de referencia de gobierno sobre TI
incluyen:
8. YUDIBETH ARIAS CRUZ
Grupo: ITIE 1002
Materia: Auditoriade Sistemas de TI
• Mejor alineación, con base en su enfoque de negocios
• Una visión, entendible para la gerencia, de lo que hace TI
• Propiedad y responsabilidades claras, con base en su orientación a
procesos
• Aceptación general de terceros y reguladores
• Entendimiento compartido entre todos los Interesados, con base en un
lenguaje común
• Cumplimiento de los requerimientos COSO para el ambiente de control
de TI El resto de este documento brinda una descripción del marco de
trabajo COBIT, así como todos los componentes esenciales organizados
por los dominios TI de COBIT y 34 procesos de TI. Esto proporciona un útil
libro de referencia para toda la guía principal de COBIT. También se
ofrecen varios apéndices como referencias útiles.
METAS DE NEGOCIOS Y DE TI
Mientras que los criterios de información proporcionan un método
genérico para definir los requerimientos del negocio, la definición de un
conjunto de metas genéricas de negocio y de TI ofrece una base más
refinada y relacionada con el negocio para el establecimiento de
requerimientos de negocio y para el desarrollo de métricas que permitan la
medición con respecto a estas metas. Toda empresa usa TI para habilitar
iniciativas del negocio y estas pueden ser representadas como metas del
negocio para TI. El Apéndice I proporciona una matriz de metas genéricas
de negocios y metas de TI y como se asocian con los criterios de la
9. YUDIBETH ARIAS CRUZ
Grupo: ITIE 1002
Materia: Auditoriade Sistemas de TI
información. Estos ejemplos genéricos se pueden utilizar como guía para
determinar los requerimientos, metas y métricas específicas del negocio
para la empresa. Si se pretende que TI proporcione servicios de forma
exitosa para dar soporte a la estrategia de la empresa, debe existir una
propiedad y una dirección clara de los requerimientos por parte del
negocio (el cliente) y un claro entendimiento para TI, de cómo y qué debe
entregar (el proveedor). La Figura ilustra como la estrategia de la empresa
se debe traducir por parte del negocio en objetivos relacionados con
iniciativas habilitadas por TI (Las metas de negocio para TI). Estos objetivos
a su vez, deben conducir a una clara definición de los propios objetivos de
TI (las metas de TI), y luego éstas a su vez definir los recursos y capacidades
de TI (la arquitectura empresarial para TI)requeridos para ejecutar, de
forma exitosa la parte que le corresponde a TI de la estrategia empresarial.
Para que el cliente entienda las metas y los Scorecard de TI, todos estos
objetivos y sus métricas asociadas se deben expresar en términos de
negocio significativos para el cliente, y esto, combinado con una
alineación efectiva de la jerarquía de objetivos, asegurará que el negocio
10. YUDIBETH ARIAS CRUZ
Grupo: ITIE 1002
Materia: Auditoriade Sistemas de TI
pueda confirmar que TI puede, con alta probabilidad, dar soporte a las
metas del negocio.
Una vez que han sido definidas las metas alineadas, estás requieren ser
monitoreadas para garantizar que la entrega cumple con las expectativas.
Esto se logra con métricas derivadas de las metas y capturadas en el
scorecard de TI. Para que el cliente pueda entender las metas de TI y el
scorecard de TI, todos estos objetivos y métricas asociadas deben
expresarse en términos de negocio significativos para el cliente. Esto,
combinado con un alineamiento efectivo de los objetivos jerárquicos
aseguraría que el negocio puede confirmar que es probable que TI soporte
los objetivos de la empresa. El apéndice I, Tablas de enlace entre metas y
procesos, proporciona una visión global de cómo las metas genéricas de
negocio se relacionan con las metas de TI, los procesos de TI y los criterios
de la información. Las tablas ayudan a demostrar el ámbito de COBIT y las
relaciones completas de negocio entre COBIT y los impulsores de la
empresa. La figura ilustra, que estos impulsores vienen del negocio y desde
11. YUDIBETH ARIAS CRUZ
Grupo: ITIE 1002
Materia: Auditoriade Sistemas de TI
la capa de Gobierno Corporativo, en primer lugar enfocándose más en las
funcionalidades y velocidad de la entrega, más tarde en la relación costo-
eficiencia, retorno de inversión (ROI)y cumplimiento.