obit Objetivos de Control para la Información y Tecnologías Relacionadas ANTECEDENTES • CObIT ha sido desarrollado como un estándar generalmente aplicable y aceptado para las buenas prácticas de seguridad y control en Tecnología de Información (TI). • CObIT es la herramienta innovadora para el gobierno de TI • CObIT se fundamenta en los Objetivos de Control existentes de la ISACF. • Los Objetivos de Control resultantes han sido desarrollados para su aplicación en sistemas de información en toda la empresa. • CObIT ayuda a salvar las brechas existentes entre riesgos de negocio, necesidades de control y aspectos técnicos. Proporciona "prácticas sanas" a través de un Marco Referencial de dominios y procesos y presenta actividades en una estructura manejable y lógica. • Las prácticas sanas de CObIT representan el consenso de los expertos (le ayudarán a optimizar la inversión en información, pero aún más importante, representan aquello sobre lo usted será juzgado si las cosas salen mal. OBJETIVO El objetivo principal de Cobit consiste en proporcionar una guía a alto nivel sobre puntos en los que establecer controles internos con tal de: • Asegurar el buen gobierno, protegiendo los intereses de los clientes, accionistas, empleados, etc. • Garantizar el cumplimiento normativo del sector al que pertenezca la organización • Mejorar la eficacia y eficiencia de los procesos y actividades de la organización • Garantizar la confidencialidad, integridad y disponibilidad de la información La Misión de COBIT: • Investigar, desarrollar, hacer público y promover un marco de control de gobierno de TI autorizado, actualizado, aceptado internacionalmente para la adopción por parte de las empresas y el uso diario por parte de gerentes de negocio, profesionales de TI y profesionales de aseguramiento. CObIT esta diseñado para ser utilizado por tres audiencias distintas • Administración: Para ayudarlos a lograr un balance entre los riesgos y las inversiones en control en un ambiente de tecnología de información frecuentemente impredecible. • Usuarios: Para obtener una garantía en cuanto a la seguridad y controles de los servicios de tecnología de información proporcionados internamente o por terceras partes. • Auditores de sistemas de información: Para dar soporte a las opiniones mostradas a la administración sobre los controles internos. POR QUE?? • La alta dirección se está dando cuenta del impacto significativo que la información puede tener en el éxito de una empresa. • Las empresas exitosas entienden los riesgos y aprovechan los beneficios de TI • Las empresas no pueden responder de forma efectiva a estos requerimientos de negocio y de gobierno sin adoptar e implementar un marco de Referencia de gobierno y de control para TI QUIENES?? • Interesados dentro de la empresa que tienen interés en generar valor de las inversiones en TI: • Interesados internos y externos que proporcionan servicios de TI: • Interesados internos y externos con responsabilidades de control/riesgo: Como Satisface COBIT La Necesidad • Como respuesta a las necesidades descritas en la sección anterior, el marco de trabajo COBIT se creó con las características principales de ser: orientado a negocios, orientado a procesos, basado en controles e impulsado por mediciones. El marco de trabajo COBIT se basa en el siguiente principio (Figura 5): Para proporcionar la información que la empresa requiere para lograr sus objetivos, la empresa necesita invertir en, y administrar y controlar los recursos de TI usando un conjunto estructurado de procesos que provean los servicios que entregan la información empresarial requerida. La orientación a negocios es el tema principal de COBIT. Está diseñado para ser utilizado no sólo por proveedores de servicios, usuarios y auditores de TI, sino también y principalmente, como guía integral para la gerencia y para los dueños de los procesos de negocio. CRITERIOS DE INFORMACIÓN DE COBIT • La efectividad tiene que ver con que la información sea relevante y pertinente a los procesos del negocio, y se proporcione de una manera oportuna, correcta, consistente y utilizable. • La eficiencia consiste en que la información sea generada con el óptimo (más productivo y económico) uso de los recursos. • La confidencialidad se refiere a la protección de información sensitiva contra revelación no autorizada. • La integridad está relacionada con la precisión y completitud de la información, así como con su validez de acuerdo a los valores y expectativas del negocio. • La disponibilidad se refiere a que la información esté disponible cuando sea requerida por los procesos del negocio en cualquier momento. También concierne a la protección de los recursos y las capacidades necesarias asociadas. • El cumplimiento tiene que ver con acatar aquellas leyes, reglamentos y acuerdos contractuales a los cuales está sujeto el proceso de negocios, es decir, criterios de negocios impuestos externamente, así como políticas internas. • La confiabilidad se refiere a proporcionar la información apropiada para que la gerencia administre la entidad y ejerza sus responsabilidades fiduciarias y de gobierno. RECURSOS DE TI IDENTIFICADOS POR COBIT • Los recursos de TI identificados en COBIT se pueden definir como sigue: • Las aplicaciones incluyen tanto sistemas de usuario automatizados como procedimientos manuales que procesan información. • La información son los datos en todas sus formas, de entrada, procesados y generados por los sistemas de información, en cualquier forma en que sean utilizados por el negocio. • La infraestructura es la tecnología y las instalaciones (hardware, sistemas operativos, sistemas de administración de base de datos, redes, multimedia, etc., así como el sitio donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las aplicaciones. • Las personas son el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios de información. Estas pueden ser internas, por outsourcing o contratadas, de acuerdo a como se requieran. y de gobierno. Orientado a Procesos COBIT define las actividades de TI en un modelo genérico de procesos organizado en cuatro dominios. Estos dominios son Planear y Organizar, Adquirir e Implementar, Entregar y Dar Soporte, Monitorear y Evaluar. Los dominios se equiparan a las áreas tradicionales de TI de planear, construir, ejecutar y monitorear. Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. Normalmente se ordenan dentro de dominios de responsabilidad de plan, construir, ejecutar y Monitorear. • Planear y Organizar (PO) Proporciona dirección para la entrega de soluciones (AI) y la entrega de servicio (DS). • Adquirir e Implementar (AI) Proporciona las soluciones y las pasa para convertirlas en servicios. • Entregar y Dar Soporte (DS) Recibe las soluciones y las hace utilizables por los usuarios finales. • Monitorear y Evaluar (ME) Monitorear todos los procesos para asegurar que se sigue la dirección provista. Basado en controles LOS PROCESOS REQUIEREN CONTROLES Control se define como las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para brindar una seguridad razonable que los objetivos de negocio se alcanzarán, y los eventos no deseados serán prevenidos o detectados y corregidos. COBIT brinda un modelo genérico de procesos que representa todos los procesos que normalmente se encuentran en las funciones de TI. CONTROLES GENERALES DE TI Y CONTROLES DE APLICACIÓN Los controles generales son aquellos que están inmersos en los procesos y servicios de TI. Algunos ejemplos son: • Desarrollo de sistemas • Administración de cambios • Seguridad • Operaciones de computo Impulsado por la medición • Modelos de madurez que facilitan la evaluación por medio de benchmarking y la identificación de las mejoras necesarias en la capacidad • Metas y mediciones de desempeño para los procesos de TI, que demuestran cómo los procesos satisfacen las necesidades del negocio y de TI, y cómo se usan para medir el desempeño de los procesos internos basados en los principios de un marcador de puntuación balanceado • Metas de actividades para facilitar el desempeño efectivo de los procesos.