COBIT (Control Objectives Control Objectives for Information and related Technology) Aspecto General de la Norma

Es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de TI. Vinculando tecnología informática y prácticas de control, COBIT consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la gerencia, los profesionales de control y los auditores.

COBIT es el marco aceptado internacionalmente como una buena práctica para el control de la información, TI y los riesgos que conllevan. COBIT se utiliza para implementar el gobierno de IT y mejorar los controles de IT. Contiene objetivos de control, directivas de aseguramiento, medidas de desempeño y resultados, factores críticos de éxito y modelos de madurez.

Para ayudar a las organizaciones a satisfacer con éxito los desafíos de los negocios actualmente, el IT Governance Institute® (ITGI) ha publicado la versión de COBIT® 4.1

COBIT se aplica a los sistemas de información de toda la empresa, incluyendo las computadoras personales, mini computadoras y ambientes distribuidos. Esta basado en la filosofía de que los recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos.

Misión: Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de objetivos de control para tecnología de información que sea de uso cotidiano para gerentes y auditores

Usuarios:

• La Gerencia: para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control.

• Los Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el control de los productos que adquieren interna y externamente.

• Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organización y determinar el control mínimo requerido.

• Los Responsables de TI: para identificar los controles que requieren en sus áreas.

También puede ser utilizado dentro de las empresas por el responsable de un proceso de negocio en su responsabilidad de controlar los aspectos de información del proceso, y por todos aquellos con responsabilidades en el campo de la TI en las empresas.

Características:

• Orientado al negocio

• Alineado con estándares y regulaciones "de facto"

• Basado en una revisión crítica y analítica de las tareas y actividades en TI

• Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)

Pretende ser un marco general orientado al control de los procesos de TI, dando un soporte a las funciones de Gobierno de TI.

Define 24 procesos de gestión divididos en cuatro dominios.

Para cada uno de los procesos detalla:

• Descripción del proceso

• Objetivos de control

• Recomendaciones de gestión

• Modelo de madurez

El modelo de madurez para cada proceso es muy similar al definido por el CMM, pero incluye un nivel 0 (no existente). Los demas son:

1. Inicial

2. Repetible pero intuitivo

3. Definido

4. Gestionado y medible

5. Optimizado

Procesos según COBIT

Dominio: Planificar y organizar:

Este dominio cubre la estrategia y las tácticas y se refiere a la identificación de la forma en que la tecnología de información puede contribuir de la mejor manera al logro de los objetivos de negocio. Además, la consecución de la visión estratégica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, deberán establecerse una organización y una infraestructura tecnológica apropiadas.

P01 Definir un Plan Estratégico de TI

P02 Definir la arquitectura de la información

P03 Determinar la Dirección de la Tecnología

Dominio: Adquirir e implementar

Para llevar a cabo la estrategia de TI, las soluciones de Ti deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.

AI1 Identificar soluciones automatizadas

AI2 Adquirir y mantener software de aplicación

AI3 Adquirir y mantener la infraestructura tecnológica

AI4 Habilitar la operación y el uso

AI5 Comprar los recursos de TI

AI6 Gestionar los cambios

AI7 Instalar y acreditar soluciones y cambios

Dominio: Entrega y soporte

En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicación, frecuentemente clasificados como controles de aplicación.

DS1 Definir y gestionar niveles de servicio

DS2 Gestionar servicios de terceros

DS3 Gestionar rendimientos y capacidad

DS4 Asegurar la continuidad del servicio

DS5 Asegurar la seguridad de los sistemas

DS6 Identificar y asignar costes

DS7 Educar y formar a usuarios

DS8 Gestionar la atención a usuarios e incidencias

DS9 Gestionar la configuración

DS10 Gestionar problemas

DS11 Gestionar los datos

DS12 Gestionar el ambiente físico

DS13 Gestionar la operación

Dominio: Monitorizar y evaluar

Todos los procesos de una organización necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control, integridad y confidencialidad. Este es, precisamente, el ámbito de este dominio.

ME1 Monitorizar y evaluar el rendimiento de TI

ME2 Monitorizar y evaluar el control interno

ME3 Asegurar el cumplimiento de requerimientos externos

ME4 Realizar el gobierno de TI