Avisos google

COBIT

 

La información puede verse hoy en día como un activo corporativo. Información sobre mercados, clientes, competidores, productos y muchos otros datos deben gestionarse bien para tener un servicio adecuado para los administradores de empresas. Para que esto ocurra, es irremediable seguir varias prácticas de toda gobernanza de IT (Tecnologías de la Información; Information technology, en inglés).

El COBIT (Control Objectives for Information and related Technology) fue creado por especialistas del área, que reunieron en ese framework sus conocimientos sobre gestión de IT. Es mantenido por la ISACA (una asociación internacional).

Este marco ofrece un gran número de buenas prácticas para gerenciar una empresa. Estas mejores prácticas se dividen en 4 áreas principales:

  • Planificar y organizar.
  • Adquirir e implementar.
  • Entrega y soporte.
  • Supervisar y evaluar.

Estas áreas a su vez se dividen en 34 otros procesos.

Se centra más en el control de las tareas que en la ejecución u operación. Para que se cumplan los requisitos de una organización IT, el COBIT trata de satisfacer esta necesidad a través de cuatro formas:

  • Creando un vínculo entre la IT y los requerimientos del negocio.
  • Organizando las actividades de IT en un modelo de proceso aceptable.
  • Identificación de recursos de IT que deben aprovecharse mejor.
  • Definición de objetivos de control de gestión.

Los beneficios de la implementación del COBIT son muchos, entre ellos: mejor alineación de la IT con los objetivos de la organización; una visión comprensible de lo que la IT está haciendo; responsabilidades más claras, basadas en el proceso; aceptación por otras organizaciones y órganos reguladores; es comprendido por todos los stakeholders (uienes pueden afectar o son afectados por las actividades de una empresa), ya que el COBIT s bastante difundido.

El framework COBIT

El framework COBIT, como se mencionó anteriormente, se divide en 34 procesos principales de 4 dominios principales:

1. Planificar y organizar: habla de tácticas y estrategias, identifica la mejor manera de cómo la IT irá a ayudar a alcanzar los objetivos organizacionales. Responde a las preguntas: ¿La empresa y las estrategias están alineadas? ¿La organización está usando todo el potencial de sus recursos? ¿Todos de la organización comprenden los objetivos de la IT?

2. Entregar y dar soporte: este grupo de procesos gestionará la entrega de servicios de IT en la organización, incluyendo la seguridad y continuidad, soporte a usuarios, gerencia de datos y equipos, entre otros.

3. Supervisar y evaluar: todos los procesos deben ser monitoreados para asegurarse de que están alcanzando los objetivos deseados de la organización.

4. Adquirir e implementar: las soluciones de IT necesitan se desarrolladas internamente o compradas de fuera, además de ser adecuadamente implementadas para funcionar en conjunto con todos los otros sistemas de organización.

Adquirir e implementar

La actividad de adquirir e implementar es dividida en siete procesos.

1. Identificar soluciones automatizadas: es necesario realizar un análisis para asegurarse de que todos los requisitos pueden ser satisfechos antes de crear o adquirir un software para la automatización de procesos. El proceso abarca la definición de necesidades, soluciones, viabilidad económica y tecnológica, análisis de riesgo y costo/beneficio y una decisión final para comprar o desarrollar su propio software.

2. Adquirir y mantener las aplicaciones de software: las aplicaciones deben estar disponibles para satisfacer las necesidades del negocio. Este proceso ocupa del diseño de aplicaciones, inserción adecuada de controles y requisitos de seguridad, desarrollo y configuración de acuerdo a las normas. Esto permitirá a las organizaciones apoyar las operaciones del negocio a través de aplicaciones automatizadas correctamente.

3. Adquirir y mantener la infraestructura tecnológica: analiza la planificación de adquisición, mantenimiento y protección de las infraestructuras en consonancia con las estrategias tecnológicas, además de la provisión de entornos de desarrollo y pruebas. Esto asegurará un soporte tecnológico para aplicaciones empresariales.

4. Habilitar operaciones y uso: nuevos sistemas instalados deberán mencionarse en la organización. Así es necesario a la producción de documentación y manuales para todos los usuarios y la propia IT, además del entrenamiento para el uso adecuado de las aplicaciones e infraestructura.

5. Encontrar recursos de IT: los recursos de IT, como software, servicios, equipos y personas necesitan ser encontrados. Este proceso ayudará en la selección de proveedores, creación de contratos de adquisición y la propia adquisición del producto. Eso garantizará que todos los recursos necesarios queden disponibles cuando sea necesario, en una manera eficiente de costos.

6. Gestión de cambios: todos los cambios en el software y los procedimientos deben ser gestionados, incluso aquellos hechos rápidamente en situaciones de emergencia. Esos cambios deben ser registrados, evaluados y autorizados antes de su implementación, además de revisadas después para saber si está de acuerdo con los resultados esperados. Esos cuidados irán a disminuir considerablemente la posibilidad de fallos e inestabilidad en los sistemas de producción.

7. Instalar y acreditar soluciones y cambios: nuevos sistemas deben ser instalados después del desarrollo haber concluido. Eso requiere un ambiente de pruebas apropiado. Eso certificará que los nuevos programas están de acuerdo con las expectativas y los resultados esperados.

Entrega y soporte

La actividad de entrega y soporte se separa en 13 procesos.

1. Definir y gestionar los niveles de servicio: deben ser creados y cumplidos los acuerdos de nivel de servicio para mantener a los usuarios la disponibilidad de servicios. El proceso incluye el monitoreo y aviso a los stakeholders sobre el cumplimiento de esas metas de entrega de servicio.

2. Gestión de servicios de terceros: deben definirse los papeles, responsabilidades y expectativas de los servicios prestados por terceros, a fin de minimizar los riesgos asociados.

3. Gestionar capacidad y desarrollo: el proceso debe verificar periódicamente la capacidad y el rendimiento de los sistemas de producción. Todavía se debe hacer un análisis de previsión, es decir, para prever las necesidades futuras de los recursos. Esto asegurará un crecimiento continuo y sostenido de la organización.

4. Asegurar la continuidad de los servicios: es necesario proporcionar servicios continuos de IT, y ello requiere el desarrollo, mantenimiento y prueba de los planos de continuidad, backup, etc. Ese proceso minimiza los impactos de un fallo de algún servicio de IT, por ejemplo.

Debes proporcionarle servicios continuos, y esto requiere el desarrollo, mantenimiento y pruebas de los planes de continuidad, backup, etc. Este proceso minimiza el impacto de una falla de cualquier servicio, por ejemplo.

5. Garantizar la seguridad de los sistemas: el proceso dirige a la creación de normas, políticas y procedimientos de seguridad, responsabilidades. También incluye la tarea de análisis periódicos y monitoreo e implementación de acciones correctivas para identificadas fallas o incidentes. Esto minimizará el impacto de los problemas relacionados con la seguridad.

6. Identificar y asignar los costos: es preciso disponer de una medida eficiente de los costos requeridos para la IT industrial. Por eso este proceso pretende hacer públicos todos los usuarios que cuesta en orden para mejorar el uso general de los recursos.

7. Formación de usuarios: debemos dar capacitación a todos los usuarios de los servicios, además de los mismos empleados. Definir y aplicar una estrategia de entrenamiento eficiente, evaluar los resultados. Un entrenamiento efectivo ocasionará en la reducción de errores de los usuarios, aumentando la productividad y observancia con controles clave como medidas de seguridad de usuarios.

8. Administrar la central de servicios de incidentes: un servicio de soporte interno con respuestas rápidas y eficientes requiere de un proceso bien desarrollado y ejecutado. Se debe crear un servicio con registros, clasificación de los incidentes, tendencias y análisis de las causas, más allá de la resolución. El beneficio esperado es el aumento de la productividad a través de la resolución rápida de problemas. También será posible descubrir que las causas principales de los problemas (como la falta de formación).

9. Administración de configuraciones: debemos garantizar la integridad del hardware utilizado en sistemas de producción. Para ello es necesario contar con una completa gestión de la configuración del equipo, con el fin de minimizar los problemas que pueden ocurrir.

10. Administración de problemas: el proceso permite la identificación y clasificación de problemas reportados, análisis de causa raíz y solución de problemas. Identificación y recomendaciones de mejora está también dirigida. Una gestión correcta del problema será mejorar los niveles de servicio, reducir costos y aumentar la satisfacción del usuario.

11. Gestión de datos: el control datos se realizará con base en los requerimientos de datos de la organización. Es necesario tener un control eficiente de backups, recuperación de datos, eliminación adecuada de los medios de comunicación (simplemente desechar un disco duro que no funciona es una pésima idea, pues alguien más tarde podría obtener datos sensibles).

12. Administrar el entorno físico: la seguridad de personas y equipos requiere de instalaciones muy bien diseñadas y construidas. Este proceso incluye la definición de las solicitudes para el entorno, gestión de acceso físico de personas, entre otras actividades.

13. Gestión de operaciones: el procesamiento de datos requiere de una infraestructura bien gestionada de hardware. Definición de políticas y procedimientos para la gestión eficaz de las tareas planificadas, protección de las salidas de los procesos, infraestructura, supervisión y mantenimiento preventivo del hardware. Esto ayudará a mantener la integridad de los datos, además de reducir demoras en los procesos de negocio y los costos de operación.

Supervisar y evaluar

Esta actividad se describe en 4 procesos:

1. Supervisar y evaluar el desempeño de la IT: la gestión eficaz del rendimiento necesita un proceso. Son definidos indicadores de desempeño para garantizar que todo será hecho y estará de acuerdo con las directivas y políticas establecidas.

2. Monitorear y evaluar el control interno: este proceso se ocupa de la monitorización de excepciones, los resultados de las autoevaluaciones y comentarios de los demás. Un beneficio de este proceso será la prestación de garantías acerca de la efectividad y eficiencia de las operaciones, además de cumplir con las leyes aplicables y entidades de regulación.

3. Asegurar el cumplimiento regulatorio: se necesita el establecimiento de un proceso de revisión independiente para asegurar el cumplimiento con las leyes y los organismos reguladores.

4. Proveer gobernanza de la IT: el establecimiento de un marco de gobernabilidad incluye la definición de las estructuras organizacionales, procesos, liderazgo, roles y responsabilidades para asegurar que la inversión de la organización en IT será alineada y entregada según las estrategias y objetivos.

Otras materias disponibles
Recomendado