Resumen Ejecutivo
Un elemento crítico para el éxito y la
supervivencia de las organizaciones, es la administración efectiva de
la información y de la Tecnología de Información (TI) relacionada. En
esta sociedad global (donde la información viaja a través del
"ciberespacio" sin las restricciones de tiempo, distancia y velocidad)
esta criticalidad emerge de:
·
la creciente dependencia
en información y en los sistemas que proporcionan dicha información
·
la creciente
vulnerabilidad y un amplio espectro de amenazas, tales como las "ciber
amenazas" y la guerra de información
·
la escala y el costo de
las inversiones actuales y futuras en información y en tecnología de
información;
·
el potencial que tienen
las tecnologías para cambiar radicalmente las organizaciones y las
prácticas de negocio, crear nuevas oportunidades y reducir costos
Para muchas organizaciones, la
información y la tecnología que la soporta, representan los activos
mas valiosos de la empresa.
Es más, en nuestro competitivo y
rápidamente cambiante ambiente actual, la gerencia ha incrementado sus
expectativas relacionadas con la entrega de servicios de TI.
Verdaderamente, la información y los sistemas de información son
"penetrantes" en las organizaciones (desde la plataforma del usuario
hasta las redes locales o amplias, cliente servidor y equipos
Mainframe. Por lo tanto, la administración requiere niveles de
servicio que presenten incrementos en calidad, en funcionalidad y en
facilidad de uso, así como un mejoramiento continuo y una disminución
de los tiempos de entrega) al tiempo que demanda que esto se realice a
un costo más bajo. Muchas organizaciones reconocen los
beneficios potenciales que la tecnología puede proporcionar. Las
organizaciones exitosas, sin embargo, también comprenden y administran
los riesgos asociados con la implementación de nueva tecnología.
Por lo tanto, la administración debe tener una apreciación por, y un
entendimiento básico de los riesgos y limitantes del empleo de la
tecnología de información para proporcionar una dirección efectiva y
controles adecuados. COBIT
ayuda a salvar las brechas existentes entre riesgos de negocio,
necesidades de control y aspectos técnicos. Proporciona "prácticas
sanas" a través de un Marco Referencial de dominios y procesos y
presenta actividades en una estructura manejable y lógica. Las
prácticas sanas de COBIT
representan el consenso de los expertos (le ayudarán a optimizar la
inversión en información, pero aún más importante, representan aquello
sobre lo usted será juzgado si las cosas salen mal.
Las organizaciones deben cumplir con
requerimientos de calidad, de reportes fiduciarios y de seguridad,
tanto para su información, como para sus activos. La administración
deberá obtener un balance adecuado en el empleo de sus recursos
disponibles, los cuales incluyen: personal, instalaciones, tecnología,
sistemas de aplicación y datos. Para cumplir con esta responsabilidad,
así como para alcanzar sus expectativas, la administración deberá
establecer un sistema adecuado de control interno. Por lo tanto, este
sistema o marco referencial deberá existir para proporcionar soporte a
los procesos de negocio y debe ser preciso en la forma en la que cada
actividad individual de control satisface los requerimientos de
información y puede impactar a los recursos de TI. El impacto en los
recursos de TI es enfatizado en el Marco Referencial de COBIT
conjuntamente a los requerimientos de información del negocio que
deben ser alcanzados: efectividad, eficiencia, confidencialidad,
integridad, disponibilidad, cumplimiento y confiabilidad. El control,
que incluye políticas, estructuras, prácticas y procedimientos
organizacionales, es responsabilidad de la administración.
La administración, mediante este
gobierno corporativo,
debe asegurar que la debida diligencia sea ejercitada por todos los
individuos involucrados en la administración, empleo, diseño,
desarrollo, mantenimiento u operación de sistemas de información.
Un Objetivo de Control en TI es una
definición del resultado o propósito que se desea alcanzar
implementando procedimientos de control específicos dentro de una
actividad de TI.
La orientación a negocios es el tema
principal de COBIT.
Esta diseñado no solo para ser utilizado por usuarios y auditores,
sino que en forma más importante, esta diseñado para ser utilizado
como una lista de verificación
detallada para los propietarios de los procesos de negocio. En forma
incremental, las prácticas de negocio requieren de una mayor
delegación y otorgamiento de autoridad
de los dueños de procesos para que estos posean total responsabilidad
de todos los aspectos relacionados con dichos procesos de negocio. En
forma particular, esto incluye el proporcionar controles adecuados. El
Marco Referencial de COBIT
proporciona herramientas al propietario de procesos de negocio que
facilitan el cumplimiento de esta responsabilidad. El Marco
Referencial comienza con una premisa simple y práctica:
Con el fin de
proporcionar la información que la empresa necesita para alcanzar sus
objetivos, los recursos de TI deben ser administrados por un conjunto
de procesos de TI agrupados en forma natural.
Continúa con un conjunto de 34
Objetivos de Control de alto nivel, uno para cada uno de los Procesos
de TI, agrupados en cuatro dominios: planeación & organización,
adquisición & implementación, entrega (de servicio) y monitoreo. Esta
estructura cubre todos los aspectos de información y de la tecnología
que la soporta. Dirigiendo estos 34 Objetivos de Control de alto
nivel, el propietario de procesos de negocio podrá asegurar que se
proporciona un sistema de control adecuado para el ambiente de
tecnología de información. Adicionalmente, correspondiendo a cada uno
de los 34 objetivos de control de alto nivel, existe una guía de
auditoría o de aseguramiento que permite la revisión de los procesos
de TI contra los 302 objetivos detallados de control recomendados por
COBIT
para proporcionar a la Gerencia la certeza de su cumplimiento y/o una
recomendación para su mejora. COBIT
contiene un conjunto de herramientas de implementación que proporciona
lecciones aprendidas por empresas que rápida y exitosamente aplicaron
COBIT
en sus ambientes de trabajo. Incluye un Resumen Ejecutivo para el
entendimiento y la sensibilización de la alta gerencia sobre los
principios y conceptos fundamentales de COBIT.
La guía de implementación cuenta con dos útiles herramientas
(Diagnóstico de Sensibilización Gerencial
y Diagnóstico de Control en TI)
para proporcionar asistencia en el análisis del ambiente de control en
una organización.
El Marco Referencial COBIT
otorga especial importancia al impacto sobre los recursos de TI, así
como a los requerimientos de negocios en cuanto a efectividad,
eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento
y confiabilidad que deben ser satisfechos. Además, el Marco
Referencial proporciona definiciones para los requerimientos de
negocio que son derivados de objetivos de control superiores en lo
referente a calidad, seguridad y reportes fiduciarios en tanto se
relacionen con Tecnología de Información.
La administración de una empresa
requiere de prácticas generalmente aplicables y aceptadas de control y
gobierno en TI para medir en forma comparativa
tanto su ambiente de TI existente, como su ambiente planeado.
COBIT
es una herramienta que permite a los gerentes comunicarse y salvar la
brecha existente entre los requerimientos de control, aspectos
técnicos y riesgos de negocio.
COBIT
habilita el desarrollo de una política clara y de buenas prácticas de
control de TI a través de organizaciones, a nivel mundial. El objetivo
de COBIT
es proporcionar estos objetivos de control, dentro del marco
referencial definido, y obtener la aprobación y el apoyo de las
entidades comerciales, gubernamentales y profesionales en todo el
mundo.
Por lo tanto, COBIT
esta orientado a ser la herramienta de gobierno de TI que ayude al
entendimiento y a la administración de riesgos asociados con
tecnología de información y con tecnologías relacionadas.
Antecedentes
Desarrollo Del Producto COBIT
COBIT
ha sido desarrollado como un estándar generalmente aplicable y
aceptado para las buenas prácticas de seguridad y control en
Tecnología de Información (TI). - COBIT
es la herramienta innovadora para el gobierno
de TI -.
COBIT
se fundamenta en los Objetivos de Control existentes de la
Information Systems Audit and Control Foundation (ISACF),
mejorados a partir de estándares internacionales técnicos,
profesionales, regulatorios y específicos para la industria, tanto
existentes como en surgimiento. Los Objetivos de Control resultantes
han sido desarrollados para su aplicación en sistemas de
información en toda la empresa. El término "generalmente
aplicables y aceptados" es utilizado explícitamente en el mismo
sentido que los Principios de Contabilidad Generalmente Aceptados
(PCGA o GAAP por sus siglas en inglés). Para propósitos del proyecto,
"buenas prácticas" significa consenso por parte de los
expertos.
Este estándar es relativamente pequeño
en tamaño, con el fin de ser práctico y responder, en la medida de lo
posible, a las necesidades de negocio, manteniendo al mismo tiempo una
independencia con respecto a las plataformas técnicas de TI adoptadas
en una organización. El proporcionar indicadores de desempeño (normas,
reglas, etc.), ha sido identificado como prioridad para las mejoras
futuras que se realizarán al marco referencial.
El desarrollo de COBIT
ha traído como resultado la publicación del Marco Referencial general
y de los Objetivos de Control detallados, y le seguirán actividades
educativas. Estas actividades asegurarán el uso general de los
resultados del Proyecto de Investigación COBIT.
Se determinó que las mejoras a los
objetivos de control originales debería consistir en:
·
el desarrollo de un
marco referencial para control en TI como fundamento para los
objetivos de control en TI y como una guía para la investigación
consistente en auditoría y control de TI;
·
una alineación del
marco referencial general y de los objetivos de control individuales,
con estándares y regulaciones internacionales existentes de hecho y de
derecho; y
·
una revisión crítica
de las diferentes actividades y tareas que conforman los dominios de
control en TI y, cuando fuese posible, la especificación de
indicadores de desempeño relevantes (normas, reglas, etc.) y
·
una revisión crítica
y actualización de las guías actuales para desarrollo de auditorías de
sistemas de información
Sin excluir ningún otro estándar
aceptado en el campo del control de sistemas de información que
pudiera emitirse durante la investigación, las fuentes han sido
identificadas inicialmente como:
Estándares Técnicos de ISO,
EDIFACT, etc.
Códigos de Conducta emitidos por el Council of Europe, OECD,
ISACA, etc.;
Criterios de Calificación para
sistemas y procesos de TI: ITSEC, ISO9000, SPICE, IickIT, etc.;
Estándares Profesionales para
control interno y auditoría: reporte COSO, GAO, IFAC, IIA, ISACA,
estándares CPA, etc.;
Prácticas y requerimientos de la Industria
de foros industriales (ESF, 14) y plataformas patrocinadas por
el gobierno (IBAG, NIST, DTI); y
Nuevos requerimientos
específicos de la industria de la banca y manufactura de TI.
(Ver Apéndice III Glosario de Términos
para definiciones de siglas)
El
Marco Referencial de COBIT
Estableciendo la Escena
LA
NECESIDAD DE CONTROL EN TECNOLOGIA DE INFORMACION
En años recientes, ha sido cada vez
más evidente para los legisladores, usuarios y proveedores de
servicios la necesidad de un Marco Referencial para la seguridad y el
control de tecnología de información (TI). Un elemento crítico para el
éxito y la supervivencia de las organizaciones, es la administración
efectiva de la información y de la Tecnología de Información (TI)
relacionada. En esta sociedad global (donde la información viaja a
través del "ciberespacio" sin las restricciones de tiempo, distancia y
velocidad) esta criticalidad emerge de:
·
la creciente dependencia
en información y en los sistemas que proporcionan dicha información
·
la creciente
vulnerabilidad y un amplio espectro de amenazas, tales como las "ciber
amenazas" y la guerra de información13
·
la escala y el costo de
las inversiones actuales y futuras en información y en tecnología de
información; y
·
el potencial que tienen
las tecnologías para cambiar radicalmente las organizaciones y las
prácticas de negocio, crear nuevas oportunidades y reducir costos
Para muchas organizaciones, la
información y la tecnología que la soporta, representan los activos
mas valiosos de la empresa. Verdaderamente, la información y los
sistemas de información son "penetrantes" en las organizaciones (desde
la plataforma del usuario hasta las redes locales o amplias, cliente
servidor y equipos Mainframe. Muchas organizaciones reconocen
los beneficios potenciales que la tecnología puede proporcionar. Las
organizaciones exitosas, sin embargo, también comprenden y administran
los riesgos asociados con la implementación de nueva tecnología.
Por lo tanto, la administración debe tener una apreciación por, y un
entendimiento básico de los riesgos y limitantes del empleo de la
tecnología de información para proporcionar una dirección efectiva y
controles adecuados.
La administración debe decidir
la inversión razonable en seguridad y control en TI y cómo lograr un
balance entre riesgos e inversiones en control en un ambiente de TI
frecuentemente impredecible. La administración necesita un Marco
Referencial de prácticas de seguridad y control de TI generalmente
aceptadas para medir comparativamente su ambiente de TI, tanto el
existente como el planeado.
Existe una creciente necesidad entre
los USUARIOS en cuanto a la seguridad en los servicios TI, a través de
la acreditación y la auditoría de servicios de TI proporcionados
internamente o por terceras partes, que aseguren la existencia de
controles adecuados. Actualmente, sin embargo, es confusa la
implementación de buenos controles de TI en sistemas de negocios por
parte de entidades comerciales, entidades sin fines de lucro o
entidades gubernamentales. Esta confusión proviene de los diferentes
métodos de evaluación, tales como ITSEC, TCSEC, evaluaciones ISO9000,
nuevas evaluaciones de control interno COSO, etc. Como resultado, los
usuarios necesitan una base general a ser establecida como primer
paso.
Frecuentemente, los AUDITORES han
tomado el liderazgo en estos esfuerzos internacionales de
estandarización, debido a que ellos enfrentan continuamente la
necesidad de sustentar y apoyar frente a la Gerencia su opinión acerca
de los controles internos. Sin contar con un marco referencial, ésta
se convierte en una tarea demasiado complicada. Esto ha sido mostrado
en varios estudios recientes acerca de la manera en la que los
auditores evalúan situaciones complejas de seguridad y control en TI,
estudios que fueron dados a conocer casi simultáneamente en diferentes
partes del mundo. Incluso, la administración consulta cada vez más a
los auditores para que la asesoren en forma proactiva en lo referente
a asuntos de seguridad y control de TI.
13
Guerra de información: Information warfare
Los
Principios Del Marco Referencial
Existen dos clases
distintas de modelos de control disponibles actualmente, aquéllos de
la clase del "modelo de control de negocios" (por ejemplo COSO) y los
"modelos más enfocados a TI" (por ejemplo, DTI). COBIT
intenta cubrir la brecha que existe entre los dos. Debido a esto, COBIT
se posiciona como una herramienta más completa para la Administración
y para operar a un nivel superior que los estándares de tecnología
para la administración de sistemas de información. Por lo tanto, COBIT
es el modelo para el gobierno de TI.
El concepto
fundamental del marco referencial COBIT
se refiere a que el enfoque del control en TI se lleva a cabo
visualizando la información necesaria para dar soporte a los procesos
de negocio y considerando a la información como el resultado de la
aplicación combinada de recursos relacionados con la Tecnología de
Información que deben ser administrados por procesos de TI.
Para satisfacer los
objetivos del negocio, la información necesita concordar con ciertos
criterios a los que COBIT
hace referencia como requerimientos de negocio para la información.
Al establecer la lista de requerimientos, COBIT
combina los principios contenidos en los modelos referenciales
existentes y conocidos:
|
Requerimientos de calidad
|
Calidad
Costo
Entrega (de servicio) |
|
Requerimientos Fiduciarios (COSO) |
Efectividad & eficiencia de operaciones Confiabilidad de la información
Cumplimiento de las leyes & regulaciones |
|
Requerimientos de Seguridad |
Confidencialidad
Integridad
Disponibilidad |
La Calidad ha sido
considerada principalmente por su aspecto 'negativo' (no fallas,
confiable, etc.), lo cual también se encuentra contenido en gran
medida en los criterios de Integridad. Los aspectos positivos pero
menos tangibles de la calidad (estilo, atractivo, "ver y sentir14",
desempeño más allá de las expectativas, etc.) no fueron, por un
tiempo, considerados desde un punto de vista de Objetivos de Control
de TI. La premisa se refiere a que la primera prioridad deberá estar
dirigida al manejo apropiado de los riesgos al compararlos contra las
oportunidades. El aspecto utilizable de la Calidad está cubierto por
los criterios de efectividad. Se consideró que el aspecto de entrega
(de servicio) de la Calidad se traslapa con el aspecto de
disponibilidad correspondiente a los requerimientos de seguridad y
también en alguna medida, con la efectividad y la eficiencia.
Finalmente, el Costo es también considerado que queda cubierto por
Eficiencia.
14
Ver y Sentir: Look and Feel
|
TABLA RESUMEN |
|
LEGEND |
|
Criterios de
Información |
Recursos de
TI |
|
E |
EFECTIVIDAD |
P |
RECURSOS HUMANOS |
|
E |
EFICIENCIA |
A |
SISTEMAS DE INFORMACION |
|
C |
CONFIDENCIALIDAD |
T |
TECNOLOGIA |
|
I |
INTEGRIDAD |
F |
INSTALACIONES |
|
A |
DISPONIBILIDAD |
D |
DATOS |
|
C |
CUMPLIMIENTO |
|
|
R |
CONFIABILIDAD |
|
|
DOMINIO |
PROCESO |
Criterios de
Información |
|
Recursos de TI |
|
E |
E |
C |
I |
A |
C |
R |
P |
A |
T |
F |
D |
|
Planeación
y Organización |
PO1 |
Definir un plan estratégico de
sistemas |
P |
S |
|
|
|
|
|
X |
X |
X |
X |
X |
|
PO2 |
Definir la arquitectura de
información |
P |
S |
S |
S |
|
|
|
|
X |
|
|
X |
|
PO3 |
Determinar la dirección
tecnológica |
P |
S |
|
|
|
|
|
|
|
X |
X |
|
|
PO4 |
Definir la organización y sus
relaciones |
P |
S |
|
|
|
|
|
X |
|
|
|
|
|
PO5 |
Administrar las inversiones (en
TI) |
P |
P |
|
|
|
|
S |
X |
X |
X |
X |
|
|
PO6 |
Comunicar la dirección y
objetivos de la gerencia |
P |
|
|
|
|
S |
|
X |
|
|
|
|
|
PO7 |
Administrar los recursos humanos |
P |
P |
|
|
|
|
|
X |
|
|
|
|
|
PO8 |
Asegurar el apego a disposiciones
externas |
P |
|
|
|
|
P |
S |
X |
X |
|
|
X |
|
PO9 |
Evaluar riesgos |
S |
S |
P |
P |
P |
S |
S |
X |
X |
X |
X |
X |
|
PO10 |
Administrar proyectos |
P |
P |
|
|
|
|
|
X |
X |
X |
X |
|
|
PO11 |
Administrar calidad |
P |
P |
|
P |
|
|
S
|
X |
X |
|
|
|
|
Adquisición e Implementación |
AI1 |
Identificar soluciones de
automatización |
P |
S |
|
|
|
|
|
|
X |
X |
X |
|
|
AI2 |
Adquirir y mantener software de
aplicación |
P |
P |
|
S |
|
S |
S |
|
X |
|
|
|
|
AI3 |
Adquirir y mantener la
arquitectura tecnológica |
P |
P |
|
S |
|
|
|
|
|
X |
|
|
|
AI4 |
Desarrollar y mantener
procedimientos |
P |
P |
|
S |
|
S |
S |
X |
X |
X |
X |
|
|
AI5 |
Instalar y acreditar sistemas de
información |
P |
|
|
S |
S |
|
|
X |
X |
X |
X |
X |
|
AI6 |
Administrar cambios |
P |
P |
|
P |
P |
|
S |
X |
X |
X |
X |
X |
|
Entrega de servicios
y Soporte |
DS1 |
Definir niveles de servicio |
P |
P |
S |
S |
S |
S |
S |
X |
X |
X |
X |
X |
|
DS2 |
Administrar servicios de terceros |
P |
P |
S |
S |
S |
S |
S |
X |
X |
X |
X |
X |
|
DS3 |
Administrar desempeño y capacidad |
P |
P |
|
|
S |
|
|
|
X |
X |
X |
|
|
DS4 |
Asegurar continuidad de servicio |
P |
S |
|
|
P |
|
|
X |
X |
X |
X |
X |
|
DS5 |
Garantizar la seguridad de
sistemas |
|
|
P |
P |
S |
S |
S |
X |
X |
X |
X |
X |
|
DS6 |
Identificar y asignar costos |
|
P |
|
|
|
|
P |
X |
X |
X |
X |
X |
|
DS7 |
Educar y capacitar a usuarios |
P |
S |
|
|
|
|
|
X |
|
|
|
|
|
DS8 |
Apoyar y orientar a clientes |
P |
|
|
|
|
|
|
X |
X |
|
|
|
|
DS9 |
Administrar la configuración |
P |
|
|
|
S |
|
S |
|
X |
X |
X |
|
|
DS10 |
Administrar problemas e
incidentes |
P |
P |
|
|
S |
|
|
X |
X |
X |
X |
X |
|
DS11 |
Administrar la información |
|
|
|
P |
|
|
P |
|
|
|
|
X |
|
DS12 |
Administrar las instalaciones |
|
|
|
P |
P |
|
|
|
|
|
X |
|
|
DS13 |
Administrar la operación |
P |
P |
|
S |
S |
|
|
X |
X |
|
X |
X |
|
Monitoreo |
M1 |
Monitorear el proceso |
P |
S |
S |
S |
S |
S |
S |
X |
X |
X |
X |
X |
|
M2 |
Evaluar lo adecuado del control
interno |
P |
P |
S |
S |
S |
S |
S |
X |
X |
X |
X |
X |
|
M3 |
Obtener aseguramiento
independiente |
P |
P |
S |
S |
S |
S |
S |
X |
X |
X |
X |
X |
|
M4 |
Proporcionar auditoría
independiente |
P |
P |
S |
S |
S |
S |
S |
X |
X |
X |
X |
X |
|
