COBIT Definición y herramientas .
21 de octubre de 2011 Sergio Vasco Hernández Auditoria y Certificación de Sistemas Informáticos Máster en Ingeniería Informática Universidad de Extremadura
1-INTRODUCCIÓN. ........................................................................................................... 2 2.-DEFINICIÓN. ............................................................................................................... 2 3.-HERRAMIENTAS. ........................................................................................................... 2 3.1.-CLASIFICACIÓN. ..................................................................................................... 2 3.1.1.-PUBLICACIONES. ............................................................................................... 2
1 1 0 2 e d e r b u t c o e d 1 2 | T I B O C
1
En el presente documento se van a estudiar la definición de CobiT y las herramientas existentes que se pueden utilizar para CobiT.
CobiT es un marco de gobernanza de TI y herramientas de apoyo que permite a los administradores cerrar la brecha entre las necesidades de control, cuestiones técnicas y de riesgos del negocio. CobiT permite el desarrollo de políticas claras y buenas prácticas para el control de toda la organización. CobiT enfatiza el cumplimiento normativo, ayuda a las organizaciones a aumentar el valor logrado de TI, permite la alineación y simplifica la implementación del marco CobiT.
En este punto se van a incluir productos relacionados que ayudan a los profesionales alcanzar el valor de los sistemas de información. COBIT posee una creciente familia de publicaciones de los productos diseñados para ayudar en la implementación eficaz de gobierno de TI en toda la empresa.
Algunas de las publicaciones que nos podemos encontrar son:
Board Briefing on IT Governance, 2nd Edition. Describe los conceptos de las cinco áreas de TI de gobierno de ISACA, y proporciona orientación sobre las funciones y responsabilidades para el gobierno de TI, y cómo configurar un comité efectivo de estrategia de TI. Posee listas de control y herramientas para ayudar a iniciar y mantener un sistema de gestión eficaz.
Information Security Governance: Guidance for Boards of Directors and Executive Management, 2nd Edition. Explica la seguridad de la información en términos de negocio, ayudando a los ejecutivos y gerentes a comprender los problemas de seguridad de la información y a tener confianza en cómo las organizaciones están administrando los riesgos relacionados con la seguridad. CobiT Control Practices: Guidance to Achieve Control Objectives for Successful IT Governance, 2nd Edition. Proporciona una guía sobre qué controles son necesarios y cuáles son las mejores prácticas para cumplir con los objetivos de control específicos. CobiT Security Baseline, 2nd Edition. Presenta información a empresas que tienen que adoptar un marco de gobernanza de TI de una manera fácil de seguir. Se centra en el tema específico de la seguridad informática. Se ofrece una introducción a la seguridad de la información, una explicación de por qué la seguridad es importante, y la línea de base de seguridad basada en COBIT y los controles clave. Las referencias a la norma ISO / IEC 27 002.
Unlocking Value: An Executive Primer on the Critical Role of IT Governance. ayuda a los ejecutivos a entender la manera de desbloquear el valor de sus inversiones en TI y ofrecer soluciones fiables. Se proporciona a los ejecutivos con una comprensión de la forma de aplicar buenas prácticas de gestión, así como la forma de crear un llamado a las empresas de la necesidad de adoptar los conceptos de gobierno de TI. IT Control Objectives for Sarbanes-Oxley, 2nd Edition. fue diseñado para ser una referencia para la gestión ejecutiva y de control de los profesionales en la evaluación de una organización de TI con los controles requeridos por la ley Sarbanes-Oxley. Esta publicación proporciona una guía sobre cómo asegurar el cumplimiento por el medio ambiente de TI basada en los objetivos de control COBIT relacionados con la información financiera.
1 1 0 2 e d e r b u t c o e d 1 2 | T I B O C
2
IT Control Objectives for Basel II. Proporciona un marco para la gestión de riesgos operativos y de información en el contexto de Basilea II. Se presenta un esquema de riesgo de Basilea II, los vínculos entre los riesgos operativos y riesgos de TI y un enfoque para la gestión de riesgos de la información.
1 1 0 2 e d e r b u t c o e d 1 2 | T I B O C
3
Aligning CobiT 4.1, ITIL v3 and ISO/IEC 27002 for Business Benefit. es el resultado de un estudio conjunto con la Oficina Británica de Comercio Gubernamental (OGC), en reconocimiento de la importancia creciente de las mejores prácticas para la industria de TI. Se destaca el valor de las mejores prácticas y cómo la armonización, implementación e integración de las mejores prácticas (COBIT, ITIL e ISO / IEC 27002) puede ser más fácil. CobiT User Guide for Service Managers. es una introducción a los retos del negocio y la gobernabilidad que enfrentan los administradores de servicios y la forma en que COBIT puede ayudar. Se explica el papel del gerente de servicio y por qué es importante para la gestión efectiva de las TI, las tareas clave de la gobernanza para el papel alineado con los procesos de ITIL v3 y COBIT 4.1 objetivos de control, ejemplos de casos, un modelo de madurez de alto nivel para el área de papel y enlaces a otras referencias. CobiT and Application Controls: A Management Guide. Proporciona orientación sobre los controles de aplicación, incluida la definición y la naturaleza, y el diseño y operación de ellos, las relaciones y dependencias que tienen con otros controles (por ejemplo, controles generales de TI), y las responsabilidades relativas de los negocios y de gestión de TI. COBIT Mapping Series (detail). Un documento de información general de mapeo y las asignaciones de varias de COBIT con otros internacionales, nacionales y estándares de la industria y los marcos se han publicado por ITGI. Asignaciones específicas disponibles incluyen COBIT a la norma ISO / IEC 27002, NIST SP 800-53, ITIL, TOGAF, CMMI, PMBOK y PRINCE2. Building the Business Case for CobiT and Val IT: Executive Briefing . Demuestra el valor de negocio de COBIT y Val IT. El conjunto de datos enorme que resulta de la investigación ofrece muchas oportunidades de análisis y, además de clarificar la relación entre el gobierno de la empresa de TI y el rendimiento del negocio, también es un buen indicador del estado de ejecución actual del COBIT y Val IT para empresas de diferente tamaño, segmento de la industria y la ubicación geográfica. ITGI Enables ISO/IEC 38500:2008 Adoption. Este Libro Blanco reconoce la publicación de la norma ISO38500 y la necesidad de orientación y apoyo efectivo en la forma de abordar los principios y conceptos. El documento describe cómo la familia de productos de ISACA y cómo pueden proporcionar orientación y apoyo de una manera que se pueden adaptar a las empresas de todos los tamaños. The Risk IT Framework. complementa COBIT e incluye los procesos clave de gestión, prácticas y modelos de madurez para tres ámbitos: gestión del riesgo, evaluación del riesgo y respuesta al riesgo. The Risk IT Practitioner Guide. es una publicación de apoyo que ofrece ejemplos de las técnicas clave que se pueden utilizar para abordar cuestiones relacionadas con los riesgos de TI , y una orientación más detallada sobre la forma de abordar los conceptos tratados en el modelo de proceso. Esta guía también aborda la mitigación de los riesgos de TI utilizando COBIT y Val IT y comparaciones de los riesgos de TI contra ISO31000, ISO27005 y ERM del COSO The Business Case Guide: Using Val IT 2.0. Este guía basada en la Val IT Framework 2.0 ofrece a ejecutivos de TI y a líderes de organizaciones los consejos de directores de programas, ejemplos de modelos de madurez y la información de referencia. La información ayuda a los profesionales obtener de "por qué" al "qué" y "cómo" en la creación, mantenimiento utilización del caso de negocio como una herramienta operativa.
CobiT Online. COBIT Online ® es un sistema interactivo basado en web, que provee acceso rápido y fácil a todos los recursos COBIT. Con COBIT Online, se puede navegar y buscar las mejores prácticas, realizar la evaluación comparativa, y acceder a la versión más actualizada de los textos de orientación. También se pueden compartir experiencias y aprender de otros usuarios en la sección de la comunidad y área de discusión. Además, se puede construir y descargar su propia versión personalizada de COB IT con MyCobiT.
COBIT Awareness Course. El curso de sensibilización CO BIT es una sesión de 2 horas de fo rmación inicial que aborda la importancia de la gobernanza de TI y la necesidad de un marco de control de TI. Este curso introduce a COBIT como un marco general que sirve de puente entre los riesgos del negocio, las necesidades de control, y las cuestiones técnicas. Los usuarios aprenden cómo COBIT ofrece buenas prácticas a través de u n marco de dominio y un proceso que presenta actividades en una estructura manejable y lógica. Además, el curso ofrece información sobre la forma en que COBIT se relaciona con otros ámbitos, tales como ITIL, ISO / IEC 17799, y COSO.
COBIT Foundation Course (and certificate). Este curso de tres días proporciona un nivel de comprensión de la base de COBIT y del marco de Gobierno de TI. Cubre l a necesidad de un marco de control de TI y cómo se trata en COBIT.
COBIT for Sarbanes-Oxley Compliance Course. Este curso es ideal para profesionales de TI, los profesionales de auditoría y cumplimiento de los especialistas que están trabajando hacia el cumplimiento de Sarbanes Oxley en un organización.
1 1 0 2 e d e r b u t c o e d 1 2 | T I B O C
4
1 1 0 2 e d e r b u t c o e d 1 2 | T I B O C
5
Meycor CobiT Suite. Meycor CobiT Suite es una completa herramienta integral e intuitiva para la implementación del marco CobiT, para la Gobernanza, la Gestión de riesgos tecnológicos, la Seguridad, el Control Interno, y el Aseguramiento de la TI. Las funcionalidades que ofrece son: Obtener la información centralizada de auto evaluaciones tecnológicas en base a o CobiT. o Automatizar la evaluación de riesgos tecnológicos mediante una metodología clara y sencilla. Contar con la base de procesos, objetivos, riesgos e indicadores definidos por CobiT o cargados en el software para su utilización. Priorizar las inversiones en tecnología. o o Alinear rápidamente las metas de la organización con las metas de TI. o Contar con un sistema automático de tablero de control para un adecuado seguimiento de los indicadores implementados. o Reducir los riesgos en tecnología. Priorizar los proyectos en tecnología mediante el impacto y la relación costo / riesgo. o Automatizar mapas, gráficos e informes en distintos formatos. o Contar con un diagnóstico claro de la madurez de los distintos procesos de o tecnología, al igual que la generación de recomendaciones de mejora por parte del software. SoftExpert Excellence Suite. Asegura la conformidad con muchas reglamentaciones, incluso la COBIT. SE Suite le permite aumentar la eficiencia de sus procesos de calidad, minimizar los altos costos de conformidad y lanzar nuevos productos al mercado con rapidez. Cada solución del SoftExpert Excellence Suite atiende un requisito llave, como se muestra a continuación: SE Performance. o
o
Asocia las metas de TI a las metas corporativas. Informa la identificación de situaciones críticas y también del desempeño actual de la empresa. Automatiza el establecimiento, gestión y la comunicación del plan estratégico de TI y corporativo. Capacita la empresa a monitorear el desempeño actual relacionado con las metas previamente definidas y relata este desempeño a los auditores y participantes internos, en tiempo real. Fornece el establecimiento de indicadores claves relacionados a los procesos empresariales o elementos de infraestructura de TI. Garantiza la conformidad total con la metodología de BSC (Balanced ScoreCard) con la práctica de la administración por objetivos y en el Gestión de indicadores de desempeño.
SE Risk.
Gestión de los riesgos corporativos y de TI. Riesgos, controles y pruebas son asociados para garantizar el rastreo. El modelo de riesgos puede fácilmente ser configurado para diferentes estructuras o metodologías organizacionales, tornando posible que las organizaciones adapten la solución a sus propios sistemas y procesos. Automatiza el rastreo de los riesgos. Identifica y evalúa los riesgos basados en la significancia y probabilidad. Fornece un modelo que establece las metas de Gestión de riesgos y prioridades, identifica los planes de acción y las responsabilidades y monitora los resultados. Sistema ofrece recursos para generar reportes, tales como peinéis, mapas de indicadores de riesgos, facilitando el monitoreo por los ejecutivos de los riesgos críticos.
1 1 0 2 e d e r b u t c o e d 1 2 | T I B O C
6
o
SE Project.
o
SE Workflow.
o
7
o
Deja disponible una herramienta de Workflow, fácilmente personalizada y customizada para estructurar los procesos relacionados a los servicios. Monitorea y relata el desempeño del nivel de servicio. Automatiza la gestión y la evaluación del servicio de terceros y proveedores. Automatiza el proceso de registro, evaluación y prioridad de cambios. Garantiza que cualquier cambio, mismo que sea crítico y de emergencia siga el proceso aprobado. Gestiona y disemina las informaciones relevantes en relación a las modificaciones. Mantiene el historial de cambios realizados de fácil acceso. Ofrece un abordaje con evaluaciones de las fases para los proyectos, incluso los criterios de BSC y criterios de decisión.
SE Document.
1 1 0 2 e d e r b u t c o e d 1 2 | T I B O C
Fornece estructuras para la gestión y modelos para inversiones en TI. Provee una Gestión de proyectos y procesos, alineado con la norma PMBOK. Soporta la configuración y la manutención del monitoreo de los proyectos, mediciones y gestión del sistema. Automatiza la creación y la Gestión de los proyectos, planificación, planes de calidad, presupuestos, comunicación y planes de riesgo. Herramienta nativa "Team Workflow" que garantiza que todos participen y estén comprometidos con el proyecto. Automatiza la asignación de tareas, la ruta, revisión y aprobación, aumentando de forma significante la eficiencia de todo el equipo. Ofrece una función que permite personalizar, organizar los procesos y generar reportes. Ofrece la posibilidad de clasificar los proyectos. Deja disponible modelos de checklist para garantizar la calidad de las actividades. Gestiona el proceso de desarrollo de proyectos y productos. Gestiona y evalúa todas las fases de un proyecto, y deja disponible criterios de BSC (Balanced Scored Card) para la toma de decisión.
Gestiona cualquier documento relacionado con COBIT, como procesos o proyectos, en un sistema centralizado y seguro que puede ser accedido por usuarios y auditores en cualquier lugar. Automatiza la asignación, encaminamiento, revisión y aprobación de un documento, aumentando de esta forma la eficacia de todo el equipo o la empresa. Cualquier modificación hecha en un documento es automáticamente rastreada y el camino de aprobación es simplificado. Ofrece para los usuarios, auditores o ejecutivos una fácil herramienta de búsqueda y recuperación de documentos, resultando en la economía de tiempo. Mantienen los documentos retenidos de acuerdo con la política de la empresa y por tiempo determinado por la misma. Documenta todo el sistema de Gestión de calidad. Garantiza que apenas la última versión del documento sea utilizada, evitando el uso de documentos obsoletos.
SE Process.
Garantiza que todos los procesos sean definidos, planificados y documentados. Garantiza que los procesos sean monitoreados y controlados de forma eficaz y eficiente. Soporta la creación de ciclos de aprobación para garantizar una mejor visualización y responsabilidades. Rastrea los datos y genera reportes completos. Garantiza la visualización en tiempo real del ambiente de COBIT, permitiendo un monitoreo continúo de los procesos, aumentando la confianza entre los ejecutivos, responsables de los procesos y auditores.
o
SE Audit.
o
Los resultados de las auditorias son comunicados a la gerencia automáticamente, en tiempo real. Todos los datos levantados en la auditoria son registrados. Gestiona cualquier acción correctiva requerida. Garantiza que las auditorias y las acciones correctivas sean realizadas dentro de los plazos a través de un cronograma previamente definido.
SE Action.
o
Los procesos pueden ser realizados bajo condiciones controladas: instrucciones documentadas, procesos controlados y aprobación de los procesos y controles.
Identifica los incidentes y problemas reportados. Automatiza el ciclo de mejora continua, gestionando la ocurrencia desde la identificación, resolución y estandarización. Ofrece la clasificación (severidad e impacto) y el procedimiento de escalonamiento (funcional y jerárquico). Las causas de los problemas en procesos o controles son identificadas y registradas. La eficacia de las acciones correctivas pueden ser evaluadas. Garantiza que la acción correctiva apropiada sea decidida e implementada. Garantiza que la responsabilidad para la acción correctiva sea claramente definida. Corrige cualquier deficiencia antes que ellas puedan causar defectos en los productos o procesos. Mantienen el registro de los defectos, de la investigación, su causa y las acciones correctivas. Informa los usuarios en tiempo real sobre sus pendencias o acciones.
SE Competence.
Organiza las descripciones de cargos y funciones dentro del área de TI e identifica las responsabilidades específicas requeridas, autoridades y capacidades. Marca en agenda las capacitaciones en calendarios configurables con visualización automática de las necesidades de capacitación que están pendientes en un cierto período de tiempo. Deja disponible la visualización de resultados a través de diversos tipos de gráficos, como por ejemplo el gráfico de Gantt. Los resultados pueden ser basados en un área específica de TI o en toda la empresa. Ofrece herramientas para la realización de diversos tipos de evaluación de competencias. Evalúa las competencias y las habilidades de los colaboradores. Gestiona los niveles de calificación de los funcionarios.
http://www.isaca.org/Knowledge-Center/cobit/Documents/CobiT-Products.pdf http://www.isaca.org/Knowledge-Center/cobit/Pages/Overview.aspx http://www.datasec-soft.com/sp/content/view/123/74/
1 1 0 2 e d e r b u t c o e d 1 2 | T I B O C
8