divendres, 18 de novembre de 2011

COBIT


Introducción a COBIT

El modelo COBIT nació de la necesidad de disponer de unas pautas a seguir para poder analizar el desempeño de los departamentos de TIC en cumplimiento de su misión, objetivos y funciones en las organizaciones.

Descripción de COBIT

COBIT (objetivos de control para tecnología de información y tecnologías relacionadas) fue presentado como metodología en 1996 como herramienta de auditoría y de gobierno de TIC que, vinculando tecnología informática y prácticas de control, consolida y armoniza estándares de gestión TIC, organizándose como un marco de buenas prácticas de gestión basada en controles y responsabilidades. La dirección debe satisfacer los niveles máximos de calidad, fiabilidad y seguridad de la información, optimizando los recursos para lograrlo.

Está basado en la filosofía de que los recursos TIC necesitan ser gestionados de acuerdo con un conjunto de procesos coordinados y agrupados para proveer de la información relevante y fiable que requiere una organización para lograr sus objetivos. COBIT se centra en la proyección de la estrategia de negocio sobre el gobierno de TIC, basándose en la táctica a seguir, con la focalización en los objetivos a lograr en vez de en la manera de lograrlos.



·         Benchmarking de la capacidad de los procesos de TI, expresada como modelos de madurez, derivados del Modelo de Madurez de la Capacidad del Instituto de Ingeniería de Software
·         Metas y métricas de los procesos de TI para definir y medir sus resultados y su desempeño, basados en los principios de Balanced Scorecard de Negocio de Robert Kaplan y David Norton
·         Metas de actividades para controlar estos procesos, con base en los objetivos de control detallados de COBIT





Modelo de referencia COBIT


El concepto fundamental del marco de referencia de COBIT se refiere a que el enfoque de control en TIC se lleva a cabo visualizando la información necesaria para dar soporte a los procesos de negocio.

La documentación se ha organizado en tres niveles 




COBIT es una descripción a un nivel alto, impulsado por los requisitos del negocio, cubre el rango completo de actividades de TIC, focalizándose en lo que se debe lograr en lugar de cómo lograr un gobierno, administración y control efectivos.  En todo caso, COBIT facilita una jerarquía de guías que se adaptan a los puntos de vista específicos de diferentes tipos de usuarios del marco de referencia:

·         Consejo de administración: para obtener valor de las inversiones y riesgos de TI y para controlar la inversión en un ambiente de TI con frecuencia impredecible.
·         Dirección general: para obtener certidumbre sobre la administración y control de los servicios de TI, proporcionados internamente o por terceros.
·         CIO: para proporcionar los servicios de TI que el negocio requiere para dar soporte a la estrategia del éste de una forma controlada y administrada.
·         Auditores: para respaldar sus opiniones y/o proporcionar asesoría a la gerencia sobre controles internos.




Principios de COBIT



 Debemos considerar unos requisitos de las necesidades de negocio hacia la información:

·         Calidad: calidad, coste y entrega.
·         Confidencialidad y confiabilidad:
o   Se relaciona con la protección de información sensible a divulgación no autorizada.
o   Se relaciona con la provisión de información apropiada a la gerencia para operar la entidad y para que la gerencia ejerza sus responsabilidades de informar cumplimiento.
o   Efectividad y eficiencia de operaciones.
o   Confiabilidad de información.
o   Cumplimiento de leyes y regulaciones.
·         Seguridad: confidencialidad, integridad y disponibilidad.
·         Efectividad: trata con información que es relevante y pertinente al proceso de negocio, además de ser entregada de una manera oportuna, correcta, consistente y utilizable.
·         Eficiencia: se relaciona con la provisión de información a través del óptimo (más productivo y económico) uso de recursos.
·         Integridad: se relaciona con la exactitud e integridad de información, así como también con su validez en conformidad con valores y expectativas del negocio.
·         Disponibilidad: se relaciona con información disponible al ser requerida por el proceso de negocio ahora y en el futuro. Se relaciona con el resguardo de recursos necesarios y capacidades asociadas.
·         Cumplimiento: trata con el cumplimiento de aquellas leyes, regulaciones y arreglos contractuales a los cuales está sujeto el proceso de negocio; es decir, criterios de negocios impuestos externamente.

Estructura general

Podemos estructurar los procesos COBIT según:
·         Dominios de TIC: planificación y organización, adquisición e implementación, entrega, soporte y seguimiento.
·         Procesos de TIC: estrategia en tic, política y procedimientos, estudio de factibilidad, pruebas de aceptación, administración de cambios, planificación para contingencias, administración de problemas, aseguramiento de la calidad, administración de riesgos, etc.
·         Actividades: registrar nuevos problemas, analizar y proponer soluciones, monitorear soluciones, registrar problemas conocidos.



Para cada proceso se definen:
·         Factores críticos de éxito. Descripción conceptual de situaciones necesarias para lograr los objetivos.
·         Indicadores clave. Indicadores y valores correspondientes que hay que alcanzar, y que suponen el grado de asunción de los objetivos.
·         Indicadores clave de rendimiento. Más allá de la eficacia, se definen unos valores que nos explican en qué rango óptimo de rendimiento nos deberíamos situar al alcanzar los objetivos. Son métricas del proceso
·         Igualmente se mide el modelo de madurez y se hace benchmarking.


Los recursos de TIC identificados en COBIT son: 
·         Aplicaciones, incluyendo tanto sistemas de usuario automatizados como procedimientos manuales que procesan información.
·         Información, siendo los datos en todas sus formas de entrada, procesados y generados por los sistemas de información, en cualquier forma en que son utilizados por el negocio.
·         La infraestructura, como la tecnología y las instalaciones (hardware, sistemas operativos, sistemas de administración de base de datos, redes, multimedia, etc., así como el sitio donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las aplicaciones.
·         Los recursos humanos (personas) como son el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorizar y evaluarlos.

Especialmente interesante es la herramienta de COBIT sobre el mapeo de responsabilidades en los procesos, muy clara y fácil de interpretar, aportando para cada proceso el llamado "RACI CHART" en las que se definen actividades concretas, y las relaciona para distintos roles (CEO, CFO, CIO, etc.) de acuerdo con un nivel de participación (RACI = responsible, accountable, consulted, informed).


Estructura de dominios y procesos



·         Planificación y organización (PO). Este dominio integra los procesos que cubren las estrategias y las tácticas, y tiene que ver con identificar cómo pueden las TIC contribuir de la mejor manera al logro de los objetivos del negocio
·         Adquisición e implementación (AI). Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas, así como la implementación e integración en los procesos del negocio
·         Despliegue y soporte (DS). Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios y la administración de los datos y de las instalaciones operacionales.
·         Monitorización y evaluación (ME). Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requisitos de control.
Estos dominios se pueden entender como los equivalentes a las áreas tradicionales de gestión de las TIC de planificación, desarrollo, explotación y seguimiento






Modelo de control

Definimos el modelo de control como el conjunto estructurado de las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para ofrecer un marco de seguridad razonable para que los objetivos de negocio se alcancen, y las situaciones no deseadas se puedan prever o sean detectadas y corregidas a tiempo.
Cada uno de los procesos COBIT tiene un objetivo de control de alto nivel y un número de objetivos de control detallados.


Además de los objetivos de control detallados, cada proceso COBIT tiene requerimientos de control genéricos que se identifican con PCn, que significa número de control de proceso:

·         PC1 Dueño del proceso. Asignar un dueño para cada proceso COBIT de tal manera que la responsabilidad sea clara.
·         PC2 Reiterativo. Definir cada proceso COBIT de tal forma que sea repetitivo.
·         PC3 Metas y objetivos. Establecer metas y objetivos claros para cada proceso COBIT para una ejecución efectiva.
·         PC4 Roles y responsabilidades. Definir roles, actividades y responsabilidades claros en cada proceso COBIT para una ejecución eficiente.
·         PC5 Desempeño del proceso. Medir el desempeño de cada proceso COBIT en comparación con sus metas.
·         PC6 Políticas, planes y procedimientos. Documentar, revisar, actualizar, formalizar y comunicar a todas las partes involucradas cualquier política, plan o procedimiento que impulse un proceso COBIT.

COBIT ofrece un conjunto recomendado de objetivos de control de aplicación identificados por ACn, número de control:
·         AC1 Procedimientos de preparación de datos
·         AC2 Procedimientos de autorización de documentos fuente
·         AC3 Recolección de datos de documentos fuente
·         AC4 Manejo de errores en documentos fuente
·         AC5 Retención de documentos fuente
·         AC6 Procedimientos de autorización de captura de datos
·         AC7 Verificaciones de precisión, integridad y autorización
·         AC8 Manejo de errores en la entrada de datos
·         AC9 Integridad en el procesamiento de datos
·         AC10 Validación y edición del procesamiento de datos
·         AC11 Manejo de errores en el procesamiento de datos
·         AC12 Manejo y retención de salidas
·         AC13 Distribución de salidas
·         AC14 Cuadre y conciliación de salidas
·         AC15 Revisión de salidas y manejo de errores
·         AC16 Provisión de seguridad para reportes de salida
·         AC17 Autenticidad e integridad
·         AC18 Protección de información sensitiva durante su transmisión y transporte

Modelo de madurez

La respuesta que ofrece COBIT a las necesidades de benchmarking se encuentra integrada en los llamados modelos de madurez, que para la administración y el control de los procesos TIC se basa en un método de evaluación de la organización, de tal forma que se pueda evaluar a sí misma desde un nivel de no existente (0) hasta un nivel de optimizado (5).

·         Nivel 0: No existente. Carencia completa de cualquier proceso reconocible. La empresa no ha reconocido siquiera que existe un problema a resolver.
·         Nivel 1: Inicial. Existe evidencia de que la empresa ha reconocido que los problemas existen y requieren ser resueltos. Sin embargo, no existen procesos estándar, en su lugar existen enfoques ad hoc, que tienden a ser aplicados de forma individual o caso por caso. El enfoque general hacia la administración es desorganizado.
·         Nivel 2: Repetible. Se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares en diferentes áreas que realizan la misma tarea. No hay entrenamiento o comunicación formal de los procedimientos estándar, y se deja la responsabilidad al individuo. Existe un alto grado de confianza en el conocimiento de los individuos y, por lo tanto, los errores son muy probables.
·         Nivel 3: Definido. Los procedimientos se han estandarizado y documentado, y se han difundido a través de entrenamiento. Sin embargo, se deja que el individuo decida utilizar estos procesos, y es poco probable que se detecten desviaciones. Los procedimientos en sí no son sofisticados pero formalizan las prácticas existentes.
·         Nivel 4: Administrado. Es posible monitorizar y medir el cumplimiento de los procedimientos y tomar medidas cuando los procesos no estén trabajando de forma efectiva. Los procesos están bajo constante mejora y proporcionan buenas prácticas. Se usa la automatización y herramientas de una manera limitada o fragmentada.
·         Nivel 5: Optimizado. Los procesos se han refinado hasta un nivel de mejor práctica, se basan en los resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI se usa de forma integrada para automatizar el flujo de trabajo, proporcionando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte de manera rápida.

Medidas de procesos COBIT

COBIT utiliza dos tipos de métrica:
·         Indicadores de metas. Los indicadores clave de metas (KGI) definen mediciones para informar a la dirección general si un proceso TIC ha alcanzado sus requisitos de negocio, y se expresan por lo general en términos de criterios de información.
o    Indicadores de desempeño. Los indicadores clave de desempeño (KPI) definen mediciones que determinan qué tan bien se está desempeñando el proceso de TI para alcanzar la meta. Son los indicadores principales que indican si será factible lograr una meta o no, y son buenos indicadores de las capacidades, prácticas y habilidades.








Navegación en el marco de trabajo COBIT


Organizados por los cuatro dominios, y para cada uno de los 34 procesos TIC, se proporcionan objetivos de control detallados como sentencias genéricas de acciones de las mejores prácticas de administración mínimas para garantizar que el proceso se mantiene bajo control, dando así una visión completa de cómo controlar, administrar y medir cada proceso.

Cada proceso está cubierto en cuatro secciones, y cada sección constituye aproximadamente una página.

La sección 1 contiene una descripción del proceso que resume los objetivos del proceso, con el objetivo de control de alto nivel representado en una cascada. Esta página también muestra la equivalencia de este proceso con los criterios de información, con los recursos de TI y con las áreas focales de gobierno de las TIC, indicando con una P la relación primaria y con una S la secundaria.

La sección 2 contiene los objetivos de control detallados para este proceso.

La sección 3 contiene las entradas y salidas del proceso, la gráfica RACI, las metas y las métricas.

La sección 4 contiene el modelo de madurez para el proceso.




Cap comentari:

Publica un comentari a l'entrada