Cobit 4.1 español
Páginas: 7 (1693 palabras)
Publicado: 14 de octubre de 2010
El estándar Cobit (Control Objectives for Information and related Technology) ofrece un conjunto de “mejores prácticas” para la gestión de los Sistemas de Información de las organizaciones.
El objetivo principal de Cobit consiste en proporcionar una guía a alto nivel sobre puntos en los que establecer controles internos con tal de:
• Asegurar el buen gobierno, protegiendo los intereses delos stakeholders (clientes, accionistas, empleados, etc.)
• Garantizar el cumplimiento normativo del sector al que pertenezca la organización
• Mejorar la eficacia i eficiencia de los procesos y actividades de la organización
• Garantizar la confidencialidad, integridad y disponibilidad de la información
El estándard define el término control como: “Políticas, procedimientos,prácticas y estructuras organizacionales diseñadas para proveer aseguramiento razonable de que se lograrán los objetivos del negocio y se prevendrán, detectarán y corregirán los eventos no deseables”
Por tanto, la definición abarca desde aspectos organizativos (p.ej. flujo para pedir autorización a determinada información, procedimiento para reportar incidencias, selección de proveedores, etc.) hastaaspectos más tecnológicos y automáticos (p.ej. control de acceso a los sistemas, monitorización de los sistemas mediante herramientas automatizadas, etc.).
Por otra parte, todo control tiene por naturaleza un objetivo. Es decir, un objetivo de control es un propósito o resultado deseable como por ejemplo: garantizar la continuidad de las operaciones ante situaciones de contingencias.
Enconsecuencia, para cada objetivo de control de nuestra organización podremos implementar uno o varios controles (p.ej. ejecución de copias de seguridad periódicas, traslado de copias de seguridad a otras instalaciones, etc.) que nos garanticen la obtención del resultado deseable (p.ej. continuidad de las operaciones en caso de contingencias).
Obviamente, los ejemplos expuestos son muy generalistas y pocodetallados, pero creo que muestran de forma práctica las diferentes definiciones.
Cobit clasifica los procesos de negocio relacionados con las Tecnologías de la Información en 4 dominios:
• Planificación y Organización
• Adquisición e Implementación
• Entrega y Soporte
• Supervisión y Evaluación
En definitiva, cada dominio contiene procesos de negocio (desglosables enactividades) para los cuales se pueden establecer objetivos de control e implementar controles organizativos o automatizados:
[pic]
Por otra parte, la organización dispone de recursos (aplicaciones, información, infraestructura y personas) que son utilizados por los procesos para cubrir los requisitos del negocio:
• Efectividad (cumplimiento de objetivos)
• Eficiencia (consecución de losobjetivos con el máximo aprovechamiento de los recursos)
• Confidencialidad
• Integridad
• Disponibilidad
• Cumplimiento regulatorio
• Fiabilidad
[pic]
Cabe destacar que, Cobit también ofrece mecanismos para la medición de las capacidades de los procesos con objeto de conseguir una mejora continua. Para ello, proporciona indicaciones para valorar la madurez en función dela misma clasificación utilizada por estándares como ISO 15504:
• Nivel 0 – Proceso incompleto: El proceso no existe o no cumple con los objetivos
• Nivel 1 – Proceso ejecutado
• Nivel 2 – Proceso gestionado: el proceso no solo se encuentra en funcionamiento, sino que es planificado, monitorizado y ajustado.
• Nivel 3 – Proceso definido: el proceso, los recursos, los roles yresponsabilidades se encuentran documentados y formalizado.
• Nivel 4 – Proceso predecible: se han definido técnicas de medición de resultados y controles.
• Nivel 5 – Proceso optimizado: todos los cambios son verificados para determinar el impacto, se han definido mecanismos para la mejora continua, etc.
En general, gran parte de los puntos que se exponen a continuación pueden ser...
El objetivo principal de Cobit consiste en proporcionar una guía a alto nivel sobre puntos en los que establecer controles internos con tal de:
• Asegurar el buen gobierno, protegiendo los intereses delos stakeholders (clientes, accionistas, empleados, etc.)
• Garantizar el cumplimiento normativo del sector al que pertenezca la organización
• Mejorar la eficacia i eficiencia de los procesos y actividades de la organización
• Garantizar la confidencialidad, integridad y disponibilidad de la información
El estándard define el término control como: “Políticas, procedimientos,prácticas y estructuras organizacionales diseñadas para proveer aseguramiento razonable de que se lograrán los objetivos del negocio y se prevendrán, detectarán y corregirán los eventos no deseables”
Por tanto, la definición abarca desde aspectos organizativos (p.ej. flujo para pedir autorización a determinada información, procedimiento para reportar incidencias, selección de proveedores, etc.) hastaaspectos más tecnológicos y automáticos (p.ej. control de acceso a los sistemas, monitorización de los sistemas mediante herramientas automatizadas, etc.).
Por otra parte, todo control tiene por naturaleza un objetivo. Es decir, un objetivo de control es un propósito o resultado deseable como por ejemplo: garantizar la continuidad de las operaciones ante situaciones de contingencias.
Enconsecuencia, para cada objetivo de control de nuestra organización podremos implementar uno o varios controles (p.ej. ejecución de copias de seguridad periódicas, traslado de copias de seguridad a otras instalaciones, etc.) que nos garanticen la obtención del resultado deseable (p.ej. continuidad de las operaciones en caso de contingencias).
Obviamente, los ejemplos expuestos son muy generalistas y pocodetallados, pero creo que muestran de forma práctica las diferentes definiciones.
Cobit clasifica los procesos de negocio relacionados con las Tecnologías de la Información en 4 dominios:
• Planificación y Organización
• Adquisición e Implementación
• Entrega y Soporte
• Supervisión y Evaluación
En definitiva, cada dominio contiene procesos de negocio (desglosables enactividades) para los cuales se pueden establecer objetivos de control e implementar controles organizativos o automatizados:
[pic]
Por otra parte, la organización dispone de recursos (aplicaciones, información, infraestructura y personas) que son utilizados por los procesos para cubrir los requisitos del negocio:
• Efectividad (cumplimiento de objetivos)
• Eficiencia (consecución de losobjetivos con el máximo aprovechamiento de los recursos)
• Confidencialidad
• Integridad
• Disponibilidad
• Cumplimiento regulatorio
• Fiabilidad
[pic]
Cabe destacar que, Cobit también ofrece mecanismos para la medición de las capacidades de los procesos con objeto de conseguir una mejora continua. Para ello, proporciona indicaciones para valorar la madurez en función dela misma clasificación utilizada por estándares como ISO 15504:
• Nivel 0 – Proceso incompleto: El proceso no existe o no cumple con los objetivos
• Nivel 1 – Proceso ejecutado
• Nivel 2 – Proceso gestionado: el proceso no solo se encuentra en funcionamiento, sino que es planificado, monitorizado y ajustado.
• Nivel 3 – Proceso definido: el proceso, los recursos, los roles yresponsabilidades se encuentran documentados y formalizado.
• Nivel 4 – Proceso predecible: se han definido técnicas de medición de resultados y controles.
• Nivel 5 – Proceso optimizado: todos los cambios son verificados para determinar el impacto, se han definido mecanismos para la mejora continua, etc.
En general, gran parte de los puntos que se exponen a continuación pueden ser...
Leer documento completo
Regístrate para leer el documento completo.