ISACA
01
ISACA surgió en 1967 de un reducido grupo de personas con trabajos similares de auditoría de controles en sistemas informáticos que se estaban haciendo más críticos para las operaciones de sus organizaciones. Este grupo vio la necesidad de disponer de una fuente centralizada de información y orientación en este campo y se formalizó en 1969, instaurándose como la Asociación de Auditores de EDP (Electronic Data Process). En 1976, la asociación instituyó una fundación educativa para emprender iniciativas de investigación a gran escala que extendiesen el conocimiento y el valor en el ámbito del control y el gobierno de las TI. ISACA, anteriormente conocida como la Asociación de Auditoría y Control de Sistemas de Información®, ahora solo utiliza sus siglas para reflejar la amplia gama de profesionales de gobierno de TI a los que prestamos servicio.
Hoy en día, las más de 165.000 personas que en todo el mundo están asociadas en ISACA se caracterizan por su diversidad. Estos profesionales residen y trabajan en más de 180 países, y desempeñan muy diversas ocupaciones profesionales relacionadas con las TI en las disciplinas de auditoría, riesgo, seguridad y gobierno de SI / TI, así como las de educadores, consultores y reguladores
02
COBIT (Control Objetives for Information and Related Technology)
COBIT es un marco de trabajo (framework) para el gobierno y la gestión de las tecnologías de la información (TI) empresariales y dirigido a toda la empresa.
Ha sido promovido por ISACA desde su primera versión en 1996 y actualmente se encuentra disponible la versión COBIT 2019. En la primera versión del marco de trabajo, COBIT se estableció como un acrónimo que significa Control Objetives for Information and Related Technology (Objetivos de Control para la Información y Tecnología Relacionada) y su público objetivo inicial eran los auditores de TI. La versión actual considera diversas partes interesadas, no solamente la función de TI de una empresa, sino a otros interesados como la Junta Directiva, Dirección Ejecutiva, Auditoría, etc.
La TI empresarial significa toda la tecnología y procesamiento de la información que una empresa utiliza para lograr sus objetivos, independientemente de dónde ocurra dentro de la empresa. En otras palabras, la TI empresarial no se limita al Depto. de TI de una organización.
03
COBIT sirve para proveer gobierno y gestión para la función de TI y hace una clara distinción entre estas dos disciplinas que abarcan distintos tipos de actividades, requieren distintas estructuras organizativas y sirven a diferentes propósitos.
El gobierno asegura que:
- Las necesidades, condiciones y opciones de las partes interesadas se evalúan para determinar objetivos empresariales equilibrados y acordados.
- La dirección se establece a través de la priorización y la toma de decisiones.
- El desempeño y el cumplimiento se monitorean en relación con la dirección y los objetivos acordados.
En la mayoría de las empresas, el gobierno en general es responsabilidad de la Junta Directiva o Consejo de Dirección bajo el liderazgo de su Presidente.
Por su parte, la gestión tiene que ver con planificar, construir, ejecutar y monitorear actividades en línea con la dirección establecida por el órgano de gobierno para alcanzar los objetivos de la empresa. En la mayoría de las empresas, la gestión es responsabilidad de la dirección ejecutiva bajo el liderazgo del director general ejecutivo (CEO).
COBIT define los componentes para crear y sostener un sistema de gobierno: procesos, estructuras organizativas, políticas y procedimientos, flujos de información, cultura y comportamientos, habilidades e infraestructura, elementos conocidos en el modelo como Catalizadores.
COBIT define los factores de diseño que deberían ser considerados por la empresa para crear un sistema de gobierno más adecuado y trata los asuntos de gobierno mediante la agrupación de componentes de gobierno relevantes dentro de objetivos de gobierno y gestión que pueden gestionarse según los niveles de capacidad requeridos.
Tomado de Global Suite
Para que la información y la tecnología contribuyan a los objetivos de la empresa, deberían alcanzarse una serie de objetivos de gobierno y gestión. Un objetivo de gobierno está relacionado con un proceso de gobierno (mostrado en el fondo oscuro de la figura 1), mientras que un objetivo de gestión está relacionado con un proceso de gestión.
Los objetivos de gobierno y gestión de COBIT se agrupan en cinco dominios. Los dominios se nombran mediante acciones que expresan el propósito clave y las áreas de actividad del objetivo que tienen:
- Los objetivos de gobierno se agrupan en el dominio Evaluar, Dirigir y Monitorizar (EDM). En este dominio, el organismo de gobierno evalúa las opciones estratégicas, direcciona a la alta gerencia con respecto a las opciones estratégicas elegidas y monitoriza la consecución de la estrategia.
- Los objetivos de gestión se agrupan en cuatro dominios:
- Alinear, Planificar y Organizar (APO) aborda la organización general, estrategia y actividades de apoyo para las I&T.
- Construir, Adquirir e Implementar (BAI) se encarga de la definición, adquisición e implementación de soluciones de TI y su integración en los procesos de negocio.
- Entregar, Dar Servicio y Soporte (DSS) aborda la ejecución operativa y el soporte de los servicios de TI, incluida la seguridad.
- Monitorizar, Evaluar y Valorar (MEA) aborda la monitorización y la conformidad de TI con los objetivos de desempeño interno, los objetivos de control interno y los requerimientos externos
En total el marco de trabajo considera 40 procesos, distribuidos en los 5 dominios, y cada proceso contiene una “caracterización del proceso” que incluye los siguientes componentes:
- Descripción y propósito general del proceso
- Encadenamiento con metas de negocio y metas de alineamiento (anteriormente conocidas como metas de TI)
- Métricas para medir el desempeño de las metas de negocio
- Métricas para medir el desempeño de las metas de alineamiento
- Prácticas de gobierno y/o gestión que forman parte del proceso y para cada una de ellas
- Métricas que permiten medir el desempeño de cada práctica de gobierno y/o gestión
- Actividades a realizar en cada práctica de gobierno y/o gestión y nivel de capacidad mínimo requerido
- Documentación relacionada (Estándares, Marcos, Requisitos de Cumplimiento)
- Matriz de roles de responsabilidad y rendición de cuentas
- Entradas y salidas de cada práctica de gobierno y/o gestión
- Personas, habilidades y competencias
- Políticas y procedimientos
- Elementos culturales clave
- Servicios, infraestructuras y aplicaciones
Para fines didácticos se anexa la introducción a la metodología COBIT
Mas información sobre esta metodología en el sitio de ISACA.ORG