1. Luis C. Robles Tristán
Ced. 9-717-76
Objetivos de Control
Es un conjunto de mejores prácticas para el manejo de información creado por la
Asociación para la Auditoría y Control de Sistemas de Información,(ISACA, en inglés:
Information Systems Audit and Control Association), y el Instituto de Administración de
las Tecnologías de la Información (ITGI, en inglés: IT Governance Institute) en 1992.
COBIT
La misión de COBIT es "investigar, desarrollar, publicar y promocionar un conjunto de
objetivos de control generalmente aceptados para las tecnologías de la información
que sean autorizados (dados por alguien con autoridad), actualizados, e
internacionales para el uso del día a día de los gestores de negocios (también
directivos) y auditores." Gestores, auditores, y usuarios se benefician del desarrollo de
COBIT porque les ayuda a entender sus Sistemas de Información (o tecnologías de la
información) y decidir el nivel de seguridad y control que es necesario para proteger
los activos de sus compañías mediante el desarrollo de un modelo de administración
de las tecnologías de la información.
ISACA // ISACF
Con 21.000 miembros en más de 100 países, the Information Systems Audit and
Control Association (ISACA) (Asociación de Control y Auditoría de los Sistemas de
Información) es un prestigioso líder mundial en control, seguridad y gestión de las
tecnologías de la información. ISACA patrocina congresos internacional, ofrece COBIT y
administra la prestigiosa certificación internacional CISA(R) (Certified Information
Systems Auditor(TM)) que ha sido concedida ya a más de 13.000 profesionales en todo
el mundo.
Information Systems Audit and Control Foundation (ISACF) una organización
internacional sin ánimo de lucro desarrolla investigaciones y da a conocer los nuevos
avances en materia de control y gestión de las tecnologías de la información e informa
a los usuarios tecnológicos sobre la importancia del control de los sistemas de
información en todas las organizaciones.
OBIT provee un marco para administrar y controlar las actividades de TI y soporta 5
requerimientos de un marco de control
2. Luis C. Robles Tristán
Ced. 9-717-76
COBIT describe el ciclo de vida de TI con la ayuda de 4 dominios:
Planeación y Organización
Adquisiciones e Implantación
Entrega y Soporte
Monitoreo y Evaluación
Los Procesos son una serie de actividades con controles naturales. Existen 34 procesos
para los 4 dominios. Estos procesos especifican que requiere el negocio para alcanzar
sus objetivos. La entrega de información es controlada por 34 objetivos de control de
alto nivel, uno por cada proceso.
El marco de COBIT describe como los procesos de TI entregan la información que el
negocio requiere para el logro de sus objetivos. Para controlar esta entrega COBIT hace
uso de 3 componentes clave, cada uno forma la dimensión del cubo de COBIT.
DOMINIOS DEL COBIT
Planificación y Organización:
Este dominio cubre estrategia y táctica, y se relaciona con la identificación de la forma
en que TI puede contribuir mejor al logro de los objetivos de negocios.
Más aún, la realización de la visión estratégica debe ser planificada, comunicada y
administrada para diferentes perspectivas.
Finalmente, se debe poseer una apropiada organización además de una
infraestructura tecnológica.
Adquisición e Implementación:
Para realizar la estrategia TI, se deben identificar, desarrollar o adquirir las
necesidades TI, así como implementarlas e incorporarlas a los procesos de negocios.
Además, los cambios en y la mantención de sistemas existentes son cubiertas por éste
dominio, para asegurarse que el ciclo de vida útil es continuo para estos sistemas.
Entrega y Respaldo:
Procedimientos manuales y programados, real de servicios requeridos, la cual va desde
operaciones tradicionales en seguridad y aspectos de continuidad a capacitación. Para
entregar servicios, se deben preparar los procesos de respaldo necesarios. Este
3. Luis C. Robles Tristán
Ced. 9-717-76
dominio incluye procesamiento real de datos mediante procesos de aplicaciones, a
menudo clasificados bajo controles de aplicaciones.
Monitoreo:
Todos los procesos TI deben ser evaluados regularmente en el tiempo para su calidad
y cumplimiento con requerimientos de control. Este dominio, por consiguiente, aborda
la supervisión por parte de la gerencia del proceso de control de la organización y la
garantía independiente proporcionada por auditoría interna y externa, o se obtiene de
fuentes alternativas.