Todo lo que Ud. necesita saber de CobIT

Qué es Cobit?

Es un Marco de Referencia que incluye los Objetivos de Control para la Información y las Tecnologías Relacionadas (COBIT), ahora en su tercera edición, ayuda a satisfacer las múltiples necesidades de la Administración estableciendo un puente entre los riesgos del negocio, los controles necesarios y los aspectos técnicos. Provee buenas prácticas a través de un dominio y el marco referencial de los procesos y presenta actividades en una estructura manejable y lógica. Las “Buenas prácticas” de COBIT reúne el consenso de expertos – quienes ayudarán a optimizar la inversión de la información y proporcionarán un mecanismo de medición que permitirá juzgar cuando las actividades van por el camino equivocado.

¿Cómo está estructurado?

Integra un conjunto de 34 Objetivos de Control de alto nivel, uno para cada uno de l os Procesos de TI, agrupados en cuatro dominios:

  • Planeación y Organización
  • Adquisición e Implementación
  • Entrega de servicios y Soporte
  • Monitoreo

Esta estructura cubre todos los aspectos de información y de tecnología que la soporta. Administrando adecuadamente estos 34 Objetivos de Control de alto nivel, el propietario de procesos de negocio podrá asegurar que se proporciona un sistema de control adecuado para el ambiente de tecnología de información. Adicionalmente, correspondiendo a cada uno de estos objetivos de control de alto nivel, existe una Guía o directriz de Auditoría o de aseguramiento que permite la revisión de los procesos de TI contra los 318 objetivos detallados de control recomendados por COBIT para proporcionar a la Gerencia la certeza de su cumplimiento y/o sugerencias para su mejoramiento.

¿Quiénes necesitan una Marco como COBIT?

Gerentes de Sistemas: Para ayudarlos a lograr un balance entre los riesgos y las inversiones en control en un ambiente de tecnología de información frecuentemente impredecible.

Usuarios: Para obtener una garantía en cuanto a la seguridad y controles de los servicios de tecnología de información proporcionados internamente o por terceras partes.

Auditores: Para soportar su opinión y/o proporcionar consejos a la Administración sobre los controles internos.

¿Existen niveles de Madurez como CMMI?

Sí, hay seis y son los siguientes:

1) No existe: no hay procesos de gobierno de TI

2) Inicial / Ad Hoc: hay procesos no estandarizados sobre casos individuales, donde el enfoque gerencial es caótico y reactivo

3) Repetible pero Intuitivo: las actividades de gobierno de TI e Indicadores están en desarrollo. Hay procesos que planean y monitorean, pero no han sido adoptados por la organización, ni hay comunicación sobre los estándares usados. Las responsabilidades son “individuales” y las herramientas de gobernabilidad son limitadas

4) Procesos Definidos: se han comunicado los procedimientos de gobernabilidad, y hay un entrenamiento. Existen herramientas y se utilizan técnicas modernas. Pero como el análisis de causa-efecto es aplicado ocasionalmente, las desviaciones sobre indicadores son producidos por iniciativas individuales, y cuya causa se obtiene con dificultad.

5) Administrado y Medible: se estandariza el uso del análisis causa-efecto. Los procesos se mejoran ocasionalmente y existe cierta integración con los procesos de gobierno de la empresa.

6) Optimizado: el entrenamiento y las comunicaciones están soportadas por técnicas de vanguardia. Los procesos han sido refinados y mejorados con mejores prácticas externas. La Tecnología es usada en forma extensiva y se aprovechan expertos externos y se utilizan benchmarks como guías. El gobierno de TI y de la empresa están estratégicamente conectados.

…Nosotros, Estratega, podemos ayudarlo a…

» Analizar que Controles e Indicadores de Gobernabilidad de TI tiene en su área.
»Armar un Tablero de Control de TI alineado a COBIT y a su empresa.
» Rediseñar e Implementar sus Procesos de Gobernabilidad de TI.
» Elaborar un Plan de Mejora continua de Procesos de TI que fomente el “cambio”.
» Elaborar un Plan de Comunicación que contribuya al Marketing de su área.