COBIT (Objetivos de Control para la Información y Tecnología Relacionada)

COBIT, que por sus siglas en español significa Objetivos de Control para la Información y Tecnología Relacionada, es un marco de Referencia aplicado para las buenas prácticas de control y gobierno de tecnologías de la información a través de la empresa.

Su misión, tomada de la página de COBIT es “Investigar, desarrollar, hacer público y promover un marco de control de gobierno de TI autorizado, actualizado, aceptado internacionalmente para la adopción por parte de las empresas y el uso diario por parte de gerentes de negocio, profesionales de TI y profesionales de aseguramiento”.

COBIT busca alcanzar objetivos de control en tecnología, flujo de información y riesgo.

Su función es ser una guía integral, oriendata a los procesos,  basado en controles impulsados por mediciones, dirigido a los siguientes usuarios: Proveedores, Usuarios, Auditores de IT, Gerencia y Dueños de los procesos.

Fue desarrollado por ISACA (Information System Audit and Control Association) en 1996, quien es una asociación internacional que apoya y financia  el desarrollo de metodologías y certificaciones para la realización de actividades de auditoría y control en sistemas.

Dentro de la certificaciones que ofrece podemos encontrar:

·      CISA (Certified Information System Auditor).

·      CISM (Certified Information Security Manager).

·      CGEIT (Certified in the Governance of Enterprise Information Tecnology)

·      CRISC (Certified in Risk and Information System Control)

COBIT, en su versión 4.1 y 5 maneja 34 procesos que cubren 210 objetivos de control, clasificados en 4 dominios (o procesos de tecnología de la información):

·   Planificación y organización (PO, que contiene 10 procesos): : Proporciona dirección para la entrega de soluciones en la adquisición e implementación de los controles y la entrega de servicio .

·   Adquisición e implementación (AI, que contiene 7 procesos): Proporciona las soluciones (a las cuales se llega por el proceso anterior) y las pasa para convertirlas en servicios.

·   Entrega y soporte (DS, que contiene 13 procesos): Recibe las soluciones y las hace utilizables por los usuarios finales.

·   Supervisión/Monitoreo y evaluación (ME, que contiene 4 procesos): : Monitorear     todos los procesos para asegurar que están cumpliendo con su objetivo y están siguiendo la dirección prevista.

Para llevar a cabo dichos procesos, es necesario que la empresa cuente con unos requerimientos para la información del negocio, y unos recursos que soporten la tecnología de información necesaria para desarrollar COBIT y brienden capacidad técnica, de soporte, genere resultados deseados y ayude al cumplimiento de objetivos del negocio.

Estos dos elementos se muestran de forma mas clara en el denominado Cubo de COBIT.

Es importante aclara que antes que nada la empresa debe entender el estado de sus Sistemas de Información y de todos sus componentes, determinar si esta cumpliendo con su objetivo y determinar cual sería el nivel de administración y control que se debe proporcionar para que este empiece a funcionar de forma eficiente. La concepción que debe tener el empresa antes de adaptar COBIT es la de costo-beneficio.

Es por esto, que existen 3 métodos para medir el desempeño de los sistemas de información con el fin de determinar si es necesario o no la implementación del marco de COBIT.

Modelo de madurez

Consiste en un método de asignación de puntos para que una organización pueda calificarse desde inexistente hasta optimizada (0 a 5). Se basa en el Modelo de Madurez que el Software Engineering Institute definió para la madurez de la capacidad de desarrollo de software.

La siguiente imagen presenta la clasificación de la empresa de acuerdo a su nivel de control sobre su IT.

Las escalas del Modelo de Madurez ayudarán a la gerencia de usuarios a explicar a los administradores dónde existen deficiencias en la administración de TI y a fijarse objetivos para donde necesitan estar comparando las prácticas de control de su organización con los ejemplos de la mejor práctica. El nivel correcto de madurez estará influenciado por los objetivos de negocio y el entorno operativo de la empresa. 

Metas y medición del desempeño para los procesos de TI

EL siguiente modelo se explica en la siguiente imagen, y lo que busca es determinar si el sistema de información y los procesos de TI están cumpliendo con sus objetivos, y lo más importante, están ayudando a cumplir los objetivos de la empresa.

Metas de actividades

Las metas de actividades del negocio, específicamente de la TI, se puede establecer por medio de la matriz raci.

La matriz raci busca determinar, según las actividades de la TI, quienes son:

·  Responsables

·  Rinden cuentas

·  Consultados

·  Informados

En el lado izquierdo de la matriz se encuentran las actividades relacionadas con la TI, y el en lado derecho superior se encuentra el personal de la compañía, con lo cual se busca determinar quien es responsable de que.

El siguiente gráfico ilustra la matriz raci.

Por último, la aplicación de COBIT dentro de la organización trae consigo 3 ventajas, como lo son: Mejora la toma de decisiones al asegurarse de hacerlo bajo información libre de errores, mejora la comunicación con los clientes y permite el aseguramiento de la información.

Además de esto, permite a la compañía obtener las siguientes ventajas competitivas:

·   Identificar oportunidades

·   Ayudar al cumplimiento de objetivos

·   Reducir riesgo