COBIT para proceso de Auditoria de TI

 

COBIT (Objetivos de Control para la Información y Tecnologías Relacionadas)

COBIT (Objetivos de Control para la Información y Tecnologías Relacionadas), es como su nombre lo indica un conjunto de buenas practicas para el manejo de la información, el cual fue diseñado por el ISACA (Informamtions Systems Audit and Control Association). Su uso principal se centra en planear, implementar, controlar y evaluar.

COBIT se plantea 4 frentes de acción como lo son:
  • Planificación y Organización.
  • Adquisición e implementación
  • Entrega y soporte
  • Supervisión y evaluación.
Dentro de su misión esta la investigación, el desarrollo, la publicación y la promoción de un conjunto de objetivos de control. Por lo general estos objetivos son aprobados, actualizados y rigen a nivel internacional para efectos de uso en gestores de negocios y auditores.
COBIT esta diseñado para ser usado por 3 audiencias dentro del marco de infraestructuras de TI.
  • Audiencia 1 (área administrativa): Ayuda a lograr un balance de riesgo e inversión.
  • Audiencia 2 (usuarios): donde se obtiene una garantía y control de servicios de información proporcionados internamente o por terceras partes.
  • Audiencia 3 (auditores): Soporta las opiniones dadas a la administración sobre los controles internos.
Dentro del resumen ejecutivo generado se tiene un soporte sobre la administración efectiva de la información y las tecnologías para su manejo, al ser estas un elemento critico para el éxito y supervivencia de las organizaciones. Se tienen en cuenta factores de afectación sobre la administración de la información, tales como la creciente dependencia de información y sistemas que proporcionan dicha información, la creciente vulnerabilidad y el margen de amenazas emergentes en la red, la inversión actual y a futuro que se deberá proporcionar sobre las tecnologías de información y el potencial que tiene actualmente las tecnologías para cambiar de forma radical organizaciones y practicas de negocio.
COBIT contiene un marco de trabajo regido por la información, los requerimientos, los recursos TI y procesos. Los recursos TI son administrados por los procesos TI para alcanzar objetivos de TI en respuesta a los requerimientos de negocio. Estas bases son definidas en los siguientes puntos:
Requerimientos de información de negocio:
  • Calidad: Compuesta por Calidad, Costo y entrega.
  • Fiduciarios: Eficacia y eficiencia, confiabilidad, cumplimiento.
  • Seguridad: Confidencialidad, Integridad, Disponibilidad.
Recursos de TI:
  • Datos: Todos los objetos de datos en su sentido mas amplio.
  • Aplicaciones: Sistemas informáticos para procesamiento de datos junto con sus procedimientos y manuales.
  • Infraestructura: Hardware, software de base y elementos de comunicaciones que junto con las aplicaciones conforman los servicios de TI. (Tecnología e instalaciones)
  • Personal: (La Gente) Actitudes, Aptitudes y productividad en los aspectos de TI de la compañía.
Procesos de TI:
  • Dominios: El agrupamiento lógico de los procesos y la delimitan de ciclo de vida de los procesos de TI.
  • Procesos: Secuencia lógica de actividades, roles y responsabilidades.
  • Actividades: Conformadas por un conjunto de tareas y pasos. Estas son necesarias para alcanzar los objetivos del proceso.
El cubo COBIT es un referente gráfico de los ítems abordados anteriormente donde se puede visualizar una cara para los Procesos de TI, otra para los Criterios de Información y otra para Recursos de TI. 
La presente normativa se da a modo de sistema, donde se tienen unos recursos compuestos por datos, instalaciones, tecnologías, sistemas, personal. Con estos recursos ya se pueden llevar acabo los Procesos y actividades necesarios para cumplir con los requerimientos de negocios.
Los Dominios podrían ser:
Primarios: Grado al cual el objetivo impacta directamente el requerimiento de información de interes.
Secundario: Grado al cual el objetivo de control definido satisface en menor media el requerimiento de información de interés.
El objeto principal de COBIT es su orientación a negocios. Aun que este diseñado para ser usado por auditores y usuarios, el objeto principal es dar referentes detallados a la parte administrativa de la organización par la toma de decisiones. El marco referencial que deja COBIT proporciona herramientas a los propietarios para tomar las respectivas decisiones sobre la dirección de información y tecnología del negocio. Los recursos de TI deben ser administrados por un conjunto de procesos de TI agrupados de forma natural para proporcionar información que la organización necesita para el alcance de sus metas. COBIT por lo tanto esta orientado a ser la herramienta del gobierno de TI para ayudar al entendimiento y administración de riesgos asociados con tecnologías de información y tecnologías relacionadas.
COBIT proporciona una estructura de 34 objetivos de control de alto nivel, uno para cada uno de los procesos de TI, establecidos en los siguientes dominios:
Planeación y organización.
Adquisición e implementación.
Entrega de servicio y monitoreo.
Actualmente COBIT se encuentra por su versión 5.
La versión 1 fue liberada en 1996 para efectos de auditoria.
La versión 2 fue liberada en 1998 para efectos de control
La versión 3 fue liberada en el año 2000 para efectos de administración.
La versión 4 fue liberada en 2005 y hace énfasis en cumplimiento de reglamento y gobierno TI.
La versión 5 fue liberada en 2012 y se encuentra orientado a gerenciamiento de tecnologías, es complementado con herramientas y capacitación, es respaldado por una comunidad de expertos, mapeado con otros estándares y es orientado a procesos sobre la base de dominios de responsabilidad.