Proceso de la administración basada en ITIL / CobIT Tal vez encuentre su entorno de la tecnología de la información (TI) difícil de controlar y costoso de administrar. La infraestructura Básica de TI se caracteriza por procesos manuales y localizados; un mínimo control central; y políticas y estándares de TI inexistentes o no aplicados respecto a la seguridad, el respaldo, la administración e implementación de imágenes, el cumplimiento y otras prácticas de TI comunes. Al cambiar de una infraestructura Estandarizada de TI, su organización se puede beneficiar al contar con personal de TI capacitado sobre las mejores prácticas tales como Microsoft Operations Framework (MOF), la Biblioteca de infraestructura de TI (ITIL), la administración y configuración centrales de seguridad, la definición de imágenes estándar de escritorio, así como diversos directorios para una fácil autenticación. El siguiente gráfico describe parar usted el entorno del cliente y qué beneficios y acciones realizar al ayudar al cliente a cambiar de un estado de madurez al siguiente incluyendo la siguiente información:
Descripción del entorno del cliente Problemas/Desafíos Problemas Beneficios de pasar al siguiente nivel Proyectos posibles con un cliente (plan de acción)
Mapeando ITIL v.3 y Cobit 4.1 ISACA ha publicado el documento de mapeo entreITIL V3 y Cobit 4.1; es el resultado de un trabajo que era bastante complicado de hacer, ya que como en los demás documentos de mapeo, se intenta realizar un análisis de cómo se referencia cada uno de los objetivos de control detallados de Cobit en ITIL V3 y para poder hacer esto el equipo de trabajo debe tener grandes conocimientos de ambos extremos de la comparación. En este estudio ha habido varias cosas que me han llamado la atención: lo primero es la evolución que ha habido en la metodología de realización de estos estudios: si miramos el documento de mapeo de ITIL V2 con Cobit 4.0 (fechado en Enero de 2007) veremos que el nivel de detalle al que se ha llegado en este nuevo análisis es mucho mayor y que ya no es tan absoluto como antes (en el de V2 se analizaba si un objetivo de control se cubre o no, booleano, blanco o negro); sin embargo, ahora hay una escala en la que se habla de cubrir “mucho, poco o nada” un objetivo de control. Otro de los detalles que me ha parecido interesante es ver de forma gráfica la evolución de ITIL en cuanto al nivel de cobertura a las necesidades de un departamento IT. Si miramos los mapas de cobertura veremos que ITIL V2 cubría una pequeña parte de Cobit (sobre todo en la parte de Deliver and Support, como era de esperar) mientras que la cobertura de V3 es mucho más amplia. Por último, me llamó la atención ese “agujero” que quedaba en DS… ¿qué pasaba con DS7, que no estaba cubierto?; así que me fui al manual de Cobit a buscar qué era el DS7 y me encontré con una gran sorpresa: DS7 Educate and Train Users Impresionante! Según este análisis, ITIL V3 no cubre en ningún aspecto la formación del usuario final. Y al menos por lo que yo he leído, es prácticamente cierto, salvo porque en alguna parte del Service Transition se habla de formar a los usuarios y en V2, en alguna parte de la Gestión de Versiones también se habla de la formación de usuarios. Pero desde luego no es algo a lo que se le preste una atención especial sino que se menciona “de pasada”. ¡¡Qué gran carencia!! Visión de servicio? Tratar al usuario como a un cliente? Hacemos de todo para asegurar unos servicios de calidad y no nos acordamos de formar a los usuarios en el uso de los servicios? Aquí me viene a la cabeza la definición de Mark Toomey sobre el Gobierno de TI y la nueva norma ISO 38500: Las TIC son una herramienta del negocio. Es responsabilidad del Negocio determinar cómo, cuándo, dónde y porqué utilizará la herramienta y es responsabilidad de IT proporcionar la herramienta que satisfaga estas necesidades. Pero no sólo estamos hablando de entregar una herramienta que satisfaga las necesidades, sino que también hemos de garantizar que quien ha de usar la herramienta sabrá sacar el máximo partido de ella; y no ya sólo por una visión egoísta del tema, en cuanto a que a medida que los usuarios estén más y mejor formados, menos problemas tendremos en IT (en soporte funcional, técnico o en peticiones, por ejemplo) sino que cuanto más y mejor estén formados los usuarios más
partido podrán sacar de las herramientas que les proporcionemos y podrán aportar mayores eficiencias gracias al uso adecuado de las TIC. Formar a los usuarios es una gran inversión, pero ITIL V3 se olvidó de ello. Fuente: www.gobiernotic.es/2008/08/mapping-itil-v3-with-cobit-41.html http://seguridad-informacion.blogspot.com/2008/08/mapping-itil-v3-with-cobit-41.html https://www.isaca.org/Template.cfm?Section=home&Template=/ContentManagement/ContentDisplay.cfm&ContentID= 43999 El Marco de Trabajo de COBIT En mayo 2007, se público la versión 4.1 de COBIT*1, Objetivos de Control para Tecnologías de la Información y Relacionadas, que es un conjunto de mejores prácticas para en la seguridad de la Información creado por la Asociación para la Auditoría y Control de Sistemas de Información. ISACA*2, y el Instituto de Administración de las Tecnologías de la Información, ITGI*3. Proporciona un estándar internacional de prácticas aprobadas mundialmente que ayudan a la alta dirección, ejecutivos y administradores a incrementar el valor de las Tecnologías de la Información, TI, y a reducir los riesgos del negocio. Facilita un conjunto de buenas prácticas a través de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lógica. COBIT 4.1 es una actualización significativa del marco que asegura que las TI estén alineadas con los objetivos de negocio, sus recursos sean usados responsablemente y sus riesgos administrados de forma apropiada. COBIT 4.1 representa una mejora indiscutible de la versión COBIT 4.0 del estándar. La nueva versión incluye la medición del desempeño, mejores objetivos de control y mejor alineación con las metas de negocios y TI. Muchas son las razones para la adopción de de un marco de trabajo para el control del Gobierno de las TI en las organizaciones, independientemente de su actividad y el tamaño. Cada vez más, la alta dirección se está dando cuenta del impacto significativo que la información puede tener en el éxito de una empresa. La dirección espera de las TI contribuyan al éxito del negocio y se pueda obtener una ventaja competitiva de su buen uso. Las Organizaciones necesitan saber si con la información administrada es posible garantizar:
El logro de sus objetivos La flexibilidad suficiente para aprender y adaptarse El manejo juicioso de los riesgos a enfrenta la Organización El análisis de las oportunidades de negocio y actuar de acuerdo a ellas
El éxito de la Organización depende en gran medida de que se entienden los riesgos y se aprovechan los beneficios de las TI, para ello, se necesita:
Alinear la estrategia de las TI con la estrategia del negocio Lograr que toda la estrategia de las TI, así como las metas fluyan de forma gradual a toda la empresa Proporcionar estructuras organizativas que faciliten la implementación de las metas del negocio Crear las comunicaciones efectivas entre el negocio y las TI, y con los socios externos Medir el desempeño de las TI.
Las empresas no pueden responder de forma efectiva a estos requerimientos de negocio y de gobierno sin adoptar e implementar un marco de Referencia de gobierno y de control para las TI, de manera que:
Se alinee con los requerimientos del negocio El desempeño real con respecto a los requerimientos sea transparente y ágil Organice todas sus actividades en un modelo de procesos generalmente aceptados Identifique los principales recursos que son necesarios Se definan los objetivos de control que son necesarios
El gobierno y los marcos de trabajo de control son parte de las mejores prácticas de la administración de las TI y facilitan su Gobierno, además de la necesidad de cumplir con el constante incremento de requerimientos regulatorios. Las mejores prácticas de las TI se han vuelto significativas debido a un número de factores:
Directores de negocio y consejos directivos que demandan un mayor retorno de la inversión en las TI Preocupación por el creciente nivel de gasto en las TI La necesidad de cumplir con requerimientos regulatorios para controles de las TI en áreas como la privacidad o los informes financieros: Sarbanes-Oxley Act, Basel II o regulaciones locales: LOPD, LSSI-CE, etc, y en sectores específicos como el financiero, salud, telecomunicaciones e Internet, seguros, farmacéutico, etc La selección de proveedores de servicio y el manejo del Outsourcing y de la Adquisición de servicios Riesgos cada vez más complejos de las TI La conectividad entre las redes y su seguridad Iniciativas de gobierno de TI que incluyen la adopción de marcos de referencia de control y de mejores prácticas para ayudar a monitorear y mejorar las actividades críticas de las TI, aumentar el valor del negocio y reducir sus riesgos La necesidad de optimizar y minimizar los costes siguiendo un enfoque estandarizado en lugar de enfoques individualizados La madurez y concienciación creciente y la aceptación de marcos de trabajo respetados tales como: COBIT, ITIL, ISO 17799, ISO 9001, CMM y PRINCE2, etc. La necesidad de las empresas de valorar su desempeño en comparación con estándares generalmente aceptados y con respecto a su competencia
COBIT define las actividades de TI de una organización, en un modelo genérico de procesos en cuatro dominios. Los dominios son Planear y Organizar, Adquirir e Implementar, Entregar y Dar Soporte y Monitorear y Evaluar. El marco de trabajo de COBIT proporciona un modelo de procesos de referencia y un lenguaje común para todos los implicados en los trabajos de la organización, con el fin de que visualicen y administren las actividades de TI. La incorporación de un modelo y un lenguaje común para todas las partes de un negocio involucradas en TI es uno de los pasos iniciales más importantes hacia un buen gobierno. Brinda un marco de trabajo para la medición y monitoreo del desempeño de las Tecnologías de Información, e integra las mejores prácticas administrativas. Fomenta la propiedad de los procesos, permitiendo que se definan las responsabilidades. Determina las actividades y los riesgos que requieren ser administrados. El alcance de los cuatro dominios es: PLANEAR Y ORGANIZAR. Cubre las estrategias y de la organización, identificando la manera en que las TI pueda contribuir al logro de los objetivos del negocio. La visión estratégica requiere ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, se debe implementar una estructura organizacional y una estructura tecnológica apropiada. Este dominio y sus controles cubren los siguientes requerimientos del negocio:
¿Están alineadas las estrategias de las TI y del negocio? ¿La empresa está alcanzando un uso óptimo de sus recursos? ¿Entienden todas las personas dentro de la organización los objetivos de las TI? ¿Se entienden y administran los riesgos de las TI? ¿Es apropiada la calidad de los sistemas de las TI para las necesidades del negocio?
ADQUIRIR E IMPLEMENTAR. Las soluciones de las TI necesitan ser identificadas, desarrolladas o adquiridas así como la implementación e integración en los procesos del negocio. Además, el cambio y el mantenimiento de los sistemas existentes son necesarios para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio. Este dominio contesta a las siguientes cuestiones:
¿Los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio? ¿Los nuevos proyectos son entregados a tiempo y dentro del presupuesto? ¿Trabajarán adecuadamente los nuevos sistemas una vez sean implementados? ¿Los cambios afectarán las operaciones actuales del negocio?
ENTREGAR Y DAR SOPORTE. Se preocupa de la entrega de los servicios requeridos, la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operacionales. Este dominio trata de garantizar:
¿Se están entregando los servicios de las TI de acuerdo con las prioridades del negocio? ¿Están optimizados los costos de las TI? ¿Es capaz la fuerza de trabajo de utilizar los sistemas de las TI de manera productiva y segura?
¿Están implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad?
MONITOREAR Y EVALUAR. Este dominio abarca la administración del desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del Gobierno. Contesta a las siguientes preguntas:
¿Se mide el desempeño de las TI para detectar los problemas antes de que sea demasiado tarde? ¿La Alta Dirección garantiza que los controles internos son efectivos y eficientes? ¿Puede vincularse el desempeño de lo que las TI ha realizado con las metas del negocio? ¿Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño?
*1. COBIT, Control Objectives for Information and related Technology *2. ISACA, Information Systems Audit and Control Association. *3. ITGI, IT Governance Institute. Control Interno (COBIT vs COSO) El control interno es uno de los elementos de gestión empresarial que más cambios ha sufrido en los últimos años. En sus comienzos fue un concepto prácticamente exclusivo de las áreas financieras de las grandes corporaciones. Más adelante se fue extendiendo gracias a que los auditores internos lo heredaron y desarrollaron, aunque en gran medida siguió bastante ligado a los entornos económicos. Y en los últimos años el concepto se amplió y extendió a otros ámbitos, siendo poco a poco utilizado por responsables de calidad, seguridad o tecnología informática. En la actualidad existen una gran cantidad de modelos de control interno, pero en muchas ocasiones es difícil distinguir entre unos y otros y apreciar claramente sus diferencias y similitudes. Y más si tenemos en cuenta que entre unos y otros existen muchas influencias y puntos comunes. Por eso, creo que este documento puede ser bastante útil para todo aquél que quiera adentrarse en estos temas. En el documento se comparan tres modelos de control interno: Cobit, SAC y COSO. Inicialmente se lleva a cabo una presentación de cada uno de los tres modelos, y posteriormente se comparan distintos atributos de cada uno de ellos, analizando a quién va dirigido, la forma de ver el control interno de cada modelo, los objetivos organizacionales que persiguen, los componentes del modelo, el ámbito de aplicación y el alcance, entre otros. Sin pararme a resumir el contenido del documento completo, sí que quiero destacar algunas diferencias que me parecen significativas, sobre todo entre COSO y COBIT, que son los dos modelos más difundidos en la actualidad. La primera gran diferencia es que COSO está enfocado a toda la organización, mientras que COBIT se centra en el entorno IT. La segunda es que COBIT contempla de forma específica la seguridad de la información como uno de sus objetivos, cosa que COSO no hace. Y la tercera, que el modelo de control interno que presenta COBIT es más completo, dentro de su ámbito, que el de COSO, ya que contempla políticas, procedimientos y estructuras organizativas además de procesos para definir el modelo de control interno. Como única pega que se le puede poner al documento, y a falta de una referencia clara sobre su fecha de realización, es que tengo la sensación de que el artículo no es demasiado actual, y no utiliza ni la referencia de COBIT v4 para analizar este modelo ni las aportaciones del informe COSO II para completar este otro. De todos modos, creo que la referencia es bastante útil para adentrarse en el mundillo del control interno. Fuente: http://secugest.blogspot.com/2007/04/control-interno.html