Instrumento de puesta en práctica
Un Instrumento de Puesta en práctica , que contiene la Conciencia de Dirección y el Diagnóstico de Control de TI, y la Guía de Puesta en práctica, FAQs, estudios de caso de organizaciones actualmente que usan COBIT, y las presentaciones de diapositiva que pueden ser usadas introducir COBIT en organizaciones. El nuevo Juego de Instrumento es diseñado para facilitar la puesta en práctica de COBIT, relacionar lecciones cultas de organizaciones que rápidamente y satisfactoriamente aplicado COBIT en sus ambientes de trabajo, y la dirección de plomo(ventajosa) para preguntar sobre cada COBIT tratan: ¿Este dominio es importante para nuestros objetivos de negocio? ¿Bien es realizado? ¿Quién lo hace y quien es responsable? ¿Son formalizados los procesos y el control?
Directrices de Dirección
Para asegurar una empresa acertada, usted con eficacia debe manejar la unión eficaz entre procesos de negocio y sistemas de información. Las nuevas Directrices de Dirección son compuestas de Modelos de Madurez, ayudar determinar las etapas y los niveles de expectativa de control y compararlos contra normas de industria; Factores de Éxito Críticos, para identificar las acciones más importantes para alcanzar control de los procesos de TI; Indicadores de Objetivo Claves, para definir los niveles objetivo de funcionamiento; e Indicadores de Funcionamiento Claves, para medir si un proceso de control de TI encuentra su objetivo. Estas Directrices de Dirección ayudarán a contestar las preguntas de preocupación (interés) inmediata a todo los que tienen una estaca (un interés) en el éxito de la empresa.
COMO SE APLICA O COMO SE USA
Organizaciones acertadas entienden las ventajas de tecnología de información (TI) y usan este conocimiento para conducir el valor de sus accionistas. Ellos reconocen la dependencia crítica de muchos procesos de negocio sobre TI, la necesidad de cumplir con demandas de cumplimiento crecientes reguladoras y las ventajas de riesgo directivo con eficacia. Para ayudar organizaciones en satisfactoriamente la reunión de desafíos de hoy de negocio, el Instituto de Gobernación TI ® (ITGI) ha publicado la versión 4.0 de Objetivos de Control para la Información y ha relacionado la Tecnología (COBIT ®).
El acercamiento a la utilización COBIT
Lo maneja – riesgos relacionados de negocio:
· El empleo bajo sobre objetivos de negocio en el Marco COBIT
· seleccionan, procesa y controla TI apropiado por la organización de los Objetivos de Control de COBIT
· funcionan del plan de negocio de organización
· evalúan procedimientos y los resultados con Directrices de Revisión de cuentas de COBIT
· evalúan el estado de la organización, identifican factores de éxito críticos, miden el funcionamiento con las Directrices de Dirección
COBIT Para desarrollar un juego sano de procesos:
· escogen los Objetivos de Control que caben los objetivos de negocio
· identifican los modelos de industria que proporcionan la dirección para apoyar procesos (CMMI, Poblar CMM, ITIL)
COBIT cubre cuatro dominios:
- Planificación y Organización
- Adquiera e Instrumento
- Entregue y Apoyo
- Monitor y Evalúa
Planificación y Organización
La Planificación y el dominio de Organización cubren el empleo de tecnología y como mejor esto puede ser usado en una empresa ayudar alcanzar los objetivos de la empresa y objetivos. Esto también destaca la forma de organización e infraestructural TI debe tomar para alcanzar los resultados óptimos y generar la mayor parte de ventajas del empleo de TI. La mesa siguiente cataloga los objetivos de control nivel altos para el dominio de Organización y la Planificación.
OBJETIVOS DE CONTROL NIVEL ALTOS
Planificación y Organización
PO1 Definen un Plan de TI Estratégico
PO2 Definen la Información Arquitectura
PO3 Determinan Dirección Tecnológica
PO4 Definen los Procesos de TI, Organización y Relaciones
PO5 Manejan la Inversión TI
PO6 Comunican Objetivos de Dirección y Dirección
PO7 Manejan Recursos TI Humanos
PO8 Manejan Calidad
PO9 Evalúan y Manejan Riesgos de TI
PO10 Manejan Proyectos
Adquiera e Instrumento
Identificación de sus exigencias TI, adquiriendo la tecnología, y poniéndolo en práctica (realización) dentro de los procesos de negocio corrientes de la empresa. Este dominio también dirige el desarrollo de un plan de mantenimiento que una empresa debería adoptar para prolongar la vida de un sistema TI y sus componentes. La mesa siguiente cataloga los objetivos de control nivel altos para el dominio de Puesta en práctica y la Adquisición.
OBJETIVOS DE CONTROL NIVEL ALTOS
Adquiera e Instrumento
AI1 Identifican Soluciones Automatizadas
AI2 Adquieren y Mantienen Software De aplicación
AI3 Adquieren y Mantienen Infraestructura de Tecnología
AI4 Permiten Operación y Usan AI5 Procuran Recursos TI
AI6 Manejan Cambios
AI7 Instalan y Acreditan Soluciones y Cambios
Entrega y Apoyo
La Entrega y el dominio de Apoyo enfocan en los aspectos de entrega de la tecnología de información. Esto cubre áreas como la ejecución de los usos dentro del sistema TI y sus resultados, así como, los procesos de apoyo que permiten la ejecución eficaz y eficiente de estos sistemas TI. Estos procesos de apoyo incluyen cuestiones de seguridad y educación (entrenamiento). La mesa siguiente cataloga los objetivos de control nivel altos para el dominio de Apoyo y la Entrega.
OBJETIVOS DE CONTROL NIVEL ALTOS
Entregue y Apoyo
DS1 Definen y Manejan Niveles de Servicio
DS2 Manejan Servicios de Tercero
DS3 Manejan Funcionamiento y Capacidad
DS4 Aseguran Servicio Continuo
DS5 Aseguran Seguridad de Sistemas
DS6 Identifican y Asignan Gastos
DS7 Educan y Entrenan a Usuarios
DS8 Manejan Escritorio de Servicio e Incidentes
DS9 Manejan la Configuración
DS10 Manejan Problemas
DS11 Manejan Datos
DS12 Manejan el Ambiente Físico
DS13 Manejan Operaciones
Monitor y Evaluación
La Supervisión y el dominio de Evaluación tratan con la estrategia de una empresa en la evaluación de las necesidades de la empresa y si realmente la corriente TI el sistema todavía encuentra los objetivos para los cuales fue diseñado y los mandos necesarios de cumplir con exigencias reguladoras. La supervisión también cubre la cuestión de una evaluación independiente de la eficacia de sistema TI en su capacidad de encontrar objetivos de negocio y los procesos de control de la empresa por interventores internos y externos. La mesa siguiente cataloga los objetivos de control nivel altos para la Supervisión del dominio.
OBJETIVOS DE CONTROL NIVEL ALTOS
Monitor y Evalúa
ME1 Supervisan y Evalúan Procesos de TI
ME2 Supervisan y Evalúan Control Interno
ME3 Aseguran Cumplimiento Regulador
ME4 Proporcionan Gobernación TI
RESEÑA HISTÓRICA.-
Comenzando con el marco de COBIT definido en la primera edición, el uso de estándares internacionales, las pautas y la investigación en las mejores prácticas condujeron al desarrollo de los objetivos del control. Las pautas de la intervención fueron desarrolladas después para determinar si estos objetivos del control están puestos en ejecución apropiadamente.
La investigación para las primeras y segundas ediciones incluyó la colección y el análisis de fuentes internacionales identificadas y fue realizada por los equipos en Europa (universidad libre de Amsterdam), los E.E.U.U. (universidad politécnica de California) y Australia (universidad de Nuevo Gales del Sur). Cargaron a los investigadores con la compilación, la revisión, el gravamen y la incorporación apropiada de los estándares técnicos internacionales, códigos de la conducta, estándares de calidad, estándares profesionales en la revisión, y las prácticas y los requisitos de la industria, como se relacionan con el marco y con los objetivos del control individual. Después de la colección y del análisis, desafiaron a los investigadores a examinar cada dominio y a procesar profundizado y a sugerir los nuevos o modificados objetivos del control aplicables a ese detalle ÉL proceso. La consolidación de los resultados fue realizada por el comité de dirección de COBIT.
El proyecto de la edición de COBIT 3ro consistió en el desarrollar de las pautas de la gerencia y el poner al día de la edición de COBIT 2do basada en nuevas y revisadas referencias internacionales.
Además, el marco de COBIT fue revisado y realzado para apoyar aumentó control de la gerencia, introduce a gerencia de funcionamiento y la desarrolla más lejos gobierno. Proveer la gerencia un uso del marco, así que de él puede determinar y hacer las opciones para la puesta en práctica y las mejoras del control sobre su información y tecnología relacionada, así como funcionamiento de la medida, las pautas de la gerencia incluyen modelos de la madurez, factores críticos del éxito, los indicadores dominantes de la meta y los indicadores dominantes del funcionamiento relacionados con los objetivos del control.
Las pautas de la gerencia fueron desarrolladas usando un panel mundial de 40 expertos de la academia, gobierno y ÉL profesión del gobierno, del aseguramiento, del control y de la seguridad. Estos expertos participaron en un taller residencial dirigido los facilitatores profesionales y usando las pautas del desarrollo definidas por el comité de dirección de COBIT. El taller fue apoyado fuertemente por el grupo y el PricewaterhouseCoopers de Gartner, que no sólo proporcionaron la dirección del pensamiento pero también envió varias de sus expertos en control, de gerencia de funcionamiento y de seguridad de la información. Los resultados del taller eran modelos de la madurez del bosquejo, factores críticos del éxito, indicadores dominantes de la meta e indicadores dominantes del funcionamiento para cada uno de los objetivos de alto nivel del control de COBIT 34. La garantía de calidad de los delibérales iniciales fue conducida por el comité de dirección de COBIT y los resultados fueron fijados para la exposición en el Web site de ISACA. El documento de las pautas de la gerencia ofreció un nuevo sistema gerencia-orientado de herramientas, mientras que proveía de la integración y de la consistencia el marco de COBIT.
La actualización a los objetivos del control en la edición de COBIT 3ro, basada en nuevas y revisadas referencias internacionales, fue conducida por los miembros de los capítulos de ISACA, bajo dirección de los miembros del comité de dirección de COBIT. La intención no era realizar un análisis global de todo el material o de una reconstrucción de los objetivos del control, sino proporcionar un proceso incremental de la actualización. Los resultados del desarrollo de las pautas de la gerencia entonces fueron utilizados para revisar el marco de COBIT, especialmente las consideraciones, las metas y las declaraciones del activador de los objetivos de alto nivel del control. La edición de COBIT 3ro fue publicada en julio de 2000.
Los Objetivos de Control para la Información y la Tecnología relacionada (COBIT) son un juego de las mejores prácticas (el marco) para la información (TI) la dirección creada por la Revisión de cuentas de Sistemas de Información y la Asociación de Control (ISACA), y el Instituto de Gobernación TI (ITGI) en 1992.
" COBIT 4.0 ayudará a llevar las directrices de gobierno TI a más ejecutivos de negocio y de TI ", según Frank Yam, vicepresidente de Informacition Systems Audit and Control Association (ISACA).
La primera edición fue publicada en 1996; la segunda edición en 1998; la tercera edición en 2000 (la edición en línea se hizo disponible en 2003); y la cuarta edición en diciembre de 2005. Esto más recientemente ha sido bien recibido debido a acontecimientos externos, sobre todo el escándalo Enron y el paso subsecuente del Acto de Sarbanes-Oxley.
COBIT 4.0 es la primera actualización del contenido de COBIT ya que COBIT la 3a Edición fue liberado en 2000.
COBIT y OTRAS NORMAS
COBIT y ISO/IEC 17799:2005
Las dos normas internacionales usadas hoy son COBIT Y ISO/IEC 17799:2005. COBIT (Objetivos de Control para la Información y la Tecnología relacionada) fue liberado y usado principalmente por la comunidad TI. En 1998, las Directrices de Dirección fueron añadidas, y COBIT se hizo el marco internacionalmente aceptado para la gobernación TI y el control. ISO/IEC 17799:2005 (el Código de práctica para la Seguridad de Información la Dirección) es también un estándar internacional y es la mejor práctica para poner en práctica la dirección de seguridad. Las dos normas no compiten el uno con el otro y en realidad complementan el uno al otro. COBIT típicamente cubre una más amplia área mientras ISO/IEC 17799 profundamente es enfocado (concentrado) en el área de seguridad.
Abajo se describe la interrelación de las dos normas así como ISO/IEC 17799 puede ser integrado con COBIT.
(+) El marcar bueno (más de dos ISO/IEC 17799:2005 los objetivos fueron trazados un mapa de a un proceso de COBIT)
(0) En parte el marcar (un o dos ISO/IEC 17799:2005 objetivos fue trazado un mapa de a un proceso de COBIT)
(-) No o el marcar menor (ningún ISO/IEC 17799:2005 el objetivo fue trazado un mapa de a un proceso de COBIT)
(.) No existe
COBIT y Sarbanes Oxley
Requieren las empresas públicas que son sujetos a EE UU Sarbanes Oxley el Acto de 2002 para adoptar los marcos de control siguientes: el Comité de Patrocinar las Organizaciones de la Comisión de Treadway (COSO) el Control Interno Integró el Marco y los Objetivos de Control del Instituto de Gobernación TI para la Información y la Tecnología Relacionada (COBIT). En el escogimiento cuál de los marcos de control para poner en práctica para cumplir con Sarbanes-Oxley, las Seguridades estadounidenses y la Comisión De cambio sugieren que las empresas sigan el marco COSO.
COSO el Control Interno Se integró el Marco declara que el control interno es un proceso – establecido por la junta directivo de una entidad, la dirección, y otro personal – diseñado para proporcionar el aseguramiento razonable en cuanto al logro de objetivos indicados.
COBIT se acerca al control de TI por mirar la información – no la información solamente (justo) financiera – que es necesario para apoyar exigencias de negocio y los recursos asociados TI y procesos. COSO objetivos de control enfocan la eficacia, la eficacia de operaciones, el reportaje confiable financiero, y el cumplimiento con leyes y regulaciones. COBIT es ampliado para cubrir la calidad y exigencias de seguridad en siete categorías de traslapo, que incluyen la eficacia, la eficacia, la confidencialidad, la integridad, la disponibilidad, el cumplimiento, y la fiabilidad de información.
Estas categorías forman la fundación para los objetivos de control del COBIT. Los dos marcos también tienen el público diferente. COSO es útil para la dirección en general, mientras COBIT es útil para la dirección, usuarios, e interventores. COBIT expresamente es enfocado (concentrado) en mandos de TI. A causa de estas diferencias, interventores no deberían esperar una relación de uno a uno entre los cinco componentes de control de COSO y los cuatro dominios COBIT objetivos.
Luis Alberto Vargas Fernández
| Página siguiente |