Introducción a COBIT
El modelo COBIT
nació de la necesidad de disponer de unas pautas a seguir para poder analizar
el desempeño de los departamentos de TIC en cumplimiento de su misión,
objetivos y funciones en las organizaciones.
Descripción de COBIT
COBIT (objetivos de
control para tecnología de información y tecnologías relacionadas) fue
presentado como metodología en 1996 como herramienta de auditoría y de gobierno
de TIC que, vinculando tecnología informática y prácticas de control, consolida
y armoniza estándares de gestión TIC, organizándose como un marco de buenas
prácticas de gestión basada en controles y responsabilidades. La dirección debe
satisfacer los niveles máximos de calidad, fiabilidad y seguridad de la
información, optimizando los recursos para lograrlo.
Está basado en la
filosofía de que los recursos TIC necesitan ser gestionados de acuerdo con un
conjunto de procesos coordinados y agrupados para proveer de la información
relevante y fiable que requiere una organización para lograr sus objetivos.
COBIT se centra en la proyección de la estrategia de negocio sobre el gobierno
de TIC, basándose en la táctica a seguir, con la focalización en los objetivos
a lograr en vez de en la manera de lograrlos.
·
Benchmarking de
la capacidad de los procesos de TI, expresada como modelos de madurez,
derivados del Modelo de Madurez de la Capacidad del Instituto de Ingeniería de
Software
·
Metas y métricas
de los procesos de TI para definir y medir sus resultados y su desempeño,
basados en los principios de Balanced Scorecard de Negocio de Robert Kaplan y
David Norton
·
Metas de
actividades para controlar estos procesos, con base en los objetivos de control
detallados de COBIT
Modelo de referencia COBIT
El concepto
fundamental del marco de referencia de COBIT se refiere a que el enfoque de
control en TIC se lleva a cabo visualizando la información necesaria para dar
soporte a los procesos de negocio.
La documentación se
ha organizado en tres niveles
COBIT es una
descripción a un nivel alto, impulsado por los requisitos del negocio, cubre el
rango completo de actividades de TIC, focalizándose en lo que se debe lograr en
lugar de cómo lograr un gobierno, administración y control efectivos. En todo caso, COBIT facilita una jerarquía de
guías que se adaptan a los puntos de vista específicos de diferentes tipos de
usuarios del marco de referencia:
·
Consejo
de administración: para obtener valor de las inversiones y riesgos de TI y para
controlar la inversión en un ambiente de TI con frecuencia impredecible.
·
Dirección
general: para obtener certidumbre sobre la administración y control de los
servicios de TI, proporcionados internamente o por terceros.
·
CIO:
para proporcionar los servicios de TI que el negocio requiere para dar soporte
a la estrategia del éste de una forma controlada y administrada.
·
Auditores:
para respaldar sus opiniones y/o proporcionar asesoría a la gerencia sobre
controles internos.
Principios de COBIT
·
Calidad: calidad, coste y entrega.
·
Confidencialidad y confiabilidad:
o Se relaciona con la protección de información
sensible a divulgación no autorizada.
o Se relaciona con la provisión de información
apropiada a la gerencia para operar la entidad y para que la gerencia ejerza
sus responsabilidades de informar cumplimiento.
o Efectividad y eficiencia de operaciones.
o Confiabilidad de información.
o Cumplimiento de leyes y regulaciones.
·
Seguridad: confidencialidad, integridad y disponibilidad.
·
Efectividad: trata con información que es relevante y pertinente al proceso de
negocio, además de ser entregada de una manera oportuna, correcta, consistente
y utilizable.
·
Eficiencia: se relaciona con la provisión de información a través del óptimo
(más productivo y económico) uso de recursos.
·
Integridad: se relaciona con la exactitud e integridad de información, así como
también con su validez en conformidad con valores y expectativas del negocio.
·
Disponibilidad: se relaciona con información disponible al
ser requerida por el proceso de negocio ahora y en el futuro. Se relaciona con
el resguardo de recursos necesarios y capacidades asociadas.
·
Cumplimiento: trata con el cumplimiento de aquellas
leyes, regulaciones y arreglos contractuales a los cuales está sujeto el
proceso de negocio; es decir, criterios de negocios impuestos externamente.
Estructura general
Podemos estructurar
los procesos COBIT según:
·
Dominios de TIC: planificación y organización, adquisición e
implementación, entrega, soporte y seguimiento.
·
Procesos de TIC: estrategia en tic, política y
procedimientos, estudio de factibilidad, pruebas de aceptación, administración
de cambios, planificación para contingencias, administración de problemas,
aseguramiento de la calidad, administración de riesgos, etc.
·
Actividades: registrar nuevos problemas, analizar y proponer soluciones,
monitorear soluciones, registrar problemas conocidos.
Para cada proceso se
definen:
·
Factores críticos de éxito. Descripción conceptual de situaciones
necesarias para lograr los objetivos.
·
Indicadores clave. Indicadores y valores correspondientes que
hay que alcanzar, y que suponen el grado de asunción de los objetivos.
·
Indicadores clave de rendimiento. Más allá de la eficacia, se definen unos
valores que nos explican en qué rango óptimo de rendimiento nos deberíamos
situar al alcanzar los objetivos. Son métricas del proceso
·
Igualmente
se mide el modelo de madurez y se hace benchmarking.
Los recursos de TIC
identificados en COBIT son:
·
Aplicaciones, incluyendo tanto sistemas de usuario
automatizados como procedimientos manuales que procesan información.
·
Información, siendo los datos en todas sus formas de entrada, procesados y
generados por los sistemas de información, en cualquier forma en que son
utilizados por el negocio.
·
La infraestructura, como la tecnología y
las instalaciones (hardware, sistemas operativos, sistemas de administración de
base de datos, redes, multimedia, etc., así como el sitio donde se encuentran y
el ambiente que los soporta) que permiten el procesamiento de las aplicaciones.
·
Los recursos humanos (personas) como son el
personal requerido para planear, organizar, adquirir, implementar, entregar,
soportar, monitorizar y evaluarlos.
Especialmente
interesante es la herramienta de COBIT sobre el mapeo de responsabilidades en
los procesos, muy clara y fácil de interpretar, aportando para cada proceso el
llamado "RACI CHART" en las que se definen actividades concretas, y
las relaciona para distintos roles (CEO, CFO, CIO, etc.) de acuerdo con un
nivel de participación (RACI = responsible, accountable, consulted, informed).
Estructura de dominios y procesos
·
Planificación y organización (PO). Este dominio integra los procesos que cubren
las estrategias y las tácticas, y tiene que ver con identificar cómo pueden las
TIC contribuir de la mejor manera al logro de los objetivos del negocio
·
Adquisición e implementación (AI). Para llevar a cabo la estrategia de TI,
las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas,
así como la implementación e integración en los procesos del negocio
·
Despliegue y soporte (DS). Este dominio cubre la entrega en sí de los
servicios requeridos, lo que incluye la prestación del servicio, la
administración de la seguridad y de la continuidad, el soporte del servicio a
los usuarios y la administración de los datos y de las instalaciones
operacionales.
·
Monitorización y evaluación (ME). Todos los procesos de TI deben evaluarse de
forma regular en el tiempo en cuanto a su calidad y cumplimiento de los
requisitos de control.
Estos dominios se
pueden entender como los equivalentes a las áreas tradicionales de gestión de
las TIC de planificación, desarrollo, explotación y seguimiento
Modelo de control
Definimos el modelo
de control como el conjunto estructurado de las políticas, procedimientos,
prácticas y estructuras organizacionales diseñadas para ofrecer un marco de
seguridad razonable para que los objetivos de negocio se alcancen, y las
situaciones no deseadas se puedan prever o sean detectadas y corregidas a
tiempo.
Cada uno de los
procesos COBIT tiene un objetivo de control de alto nivel y un número de
objetivos de control detallados.
Además de los
objetivos de control detallados, cada proceso COBIT tiene requerimientos de
control genéricos que se identifican con PCn, que significa número de control
de proceso:
·
PC1
Dueño del proceso. Asignar un dueño para cada proceso COBIT de tal manera que la
responsabilidad sea clara.
·
PC2
Reiterativo. Definir cada proceso COBIT de tal forma que sea repetitivo.
·
PC3
Metas y objetivos. Establecer metas y objetivos claros para cada proceso COBIT
para una ejecución efectiva.
·
PC4
Roles y responsabilidades. Definir roles, actividades y responsabilidades
claros en cada proceso COBIT para una ejecución eficiente.
·
PC5
Desempeño del proceso. Medir el desempeño de cada proceso COBIT en comparación
con sus metas.
·
PC6
Políticas, planes y procedimientos. Documentar, revisar, actualizar, formalizar
y comunicar a todas las partes involucradas cualquier política, plan o
procedimiento que impulse un proceso COBIT.
COBIT ofrece un
conjunto recomendado de objetivos de control de aplicación identificados por
ACn, número de control:
·
AC1
Procedimientos de preparación de datos
·
AC2
Procedimientos de autorización de documentos fuente
·
AC3
Recolección de datos de documentos fuente
·
AC4
Manejo de errores en documentos fuente
·
AC5
Retención de documentos fuente
·
AC6
Procedimientos de autorización de captura de datos
·
AC7
Verificaciones de precisión, integridad y autorización
·
AC8
Manejo de errores en la entrada de datos
·
AC9
Integridad en el procesamiento de datos
·
AC10
Validación y edición del procesamiento de datos
·
AC11
Manejo de errores en el procesamiento de datos
·
AC12
Manejo y retención de salidas
·
AC13
Distribución de salidas
·
AC14
Cuadre y conciliación de salidas
·
AC15
Revisión de salidas y manejo de errores
·
AC16
Provisión de seguridad para reportes de salida
·
AC17
Autenticidad e integridad
·
AC18
Protección de información sensitiva durante su transmisión y transporte
Modelo de madurez
La respuesta que
ofrece COBIT a las necesidades de benchmarking se encuentra integrada en los
llamados modelos de madurez, que para la administración y el control de los
procesos TIC se basa en un método de evaluación de la organización, de tal
forma que se pueda evaluar a sí misma desde un nivel de no existente (0) hasta
un nivel de optimizado (5).
·
Nivel 0: No existente. Carencia completa
de cualquier proceso reconocible. La empresa no ha reconocido siquiera que
existe un problema a resolver.
·
Nivel 1: Inicial. Existe evidencia de que
la empresa ha reconocido que los problemas existen y requieren ser resueltos.
Sin embargo, no existen procesos estándar, en su lugar existen enfoques ad
hoc, que tienden a ser aplicados de forma individual o caso por caso. El
enfoque general hacia la administración es desorganizado.
·
Nivel 2: Repetible. Se han desarrollado
los procesos hasta el punto en que se siguen procedimientos similares en
diferentes áreas que realizan la misma tarea. No hay entrenamiento o
comunicación formal de los procedimientos estándar, y se deja la
responsabilidad al individuo. Existe un alto grado de confianza en el
conocimiento de los individuos y, por lo tanto, los errores son muy probables.
·
Nivel 3: Definido. Los procedimientos se
han estandarizado y documentado, y se han difundido a través de entrenamiento.
Sin embargo, se deja que el individuo decida utilizar estos procesos, y es poco
probable que se detecten desviaciones. Los procedimientos en sí no son
sofisticados pero formalizan las prácticas existentes.
·
Nivel 4: Administrado. Es posible
monitorizar y medir el cumplimiento de los procedimientos y tomar medidas
cuando los procesos no estén trabajando de forma efectiva. Los procesos están
bajo constante mejora y proporcionan buenas prácticas. Se usa la automatización
y herramientas de una manera limitada o fragmentada.
·
Nivel 5: Optimizado. Los procesos se han
refinado hasta un nivel de mejor práctica, se basan en los resultados de
mejoras continuas y en un modelo de madurez con otras empresas. TI se usa de
forma integrada para automatizar el flujo de trabajo, proporcionando
herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se
adapte de manera rápida.
Medidas de procesos COBIT
COBIT utiliza dos tipos de métrica:
·
Indicadores
de metas. Los indicadores clave de metas (KGI) definen mediciones para
informar a la dirección general si un proceso TIC ha alcanzado sus requisitos
de negocio, y se expresan por lo general en términos de criterios de
información.
o
Indicadores
de desempeño. Los indicadores clave de desempeño (KPI) definen mediciones
que determinan qué tan bien se está desempeñando el proceso de TI para alcanzar
la meta. Son los indicadores principales que indican si será factible lograr
una meta o no, y son buenos indicadores de las capacidades, prácticas y
habilidades.
Navegación en el marco de trabajo
COBIT
Organizados por los
cuatro dominios, y para cada uno de los 34 procesos TIC, se proporcionan
objetivos de control detallados como sentencias genéricas de acciones de las
mejores prácticas de administración mínimas para garantizar que el proceso se
mantiene bajo control, dando así una visión completa de cómo controlar,
administrar y medir cada proceso.
Cada proceso está
cubierto en cuatro secciones, y cada sección constituye aproximadamente una
página.
La sección 1 contiene una descripción del proceso que resume los
objetivos del proceso, con el objetivo de control de alto nivel
representado en una cascada. Esta página también muestra la equivalencia de
este proceso con los criterios de información, con los recursos de TI y con las
áreas focales de gobierno de las TIC, indicando con una P la relación primaria y
con una S la secundaria.
La sección 2 contiene los objetivos de control detallados para
este proceso.
La sección 3 contiene las entradas y salidas del proceso, la
gráfica RACI, las metas y las métricas.
La sección 4 contiene el modelo de madurez para el proceso.
Cap comentari:
Publica un comentari a l'entrada