|
Objetivos de Control de Tecnologia de Informacion
(texto en castellano sin acentos)
COBIT es un estandar global que contiene los Objetivos de Control para Tecnologia de Informacion.
La comunidad de profesionistas
relacionados con TI mostro preocupacion por la falta de una guia estandar sobre control en TI, que sirviera para diferentes
grupos de interes. La Information Systems Audit and Control Foundation (ISACF), como organo que agrupa a profesionistas de
distintas areas de actuacion interesadas en el control de TI se dio a la tarea de desarrollar un cuerpo comun de conocimientos
sobre la materia.
COBIT is a global standard that contains the Control Objectives for Information and related Technology.
COBIT aims to bridge the gap that exists between business control models and control models for IT by providing a foundation
that is closely linked to business objectives while focusing on IT, and is positioned to be more comprehensive for management
and to operate at a higher level than technology standards for information systems management.
The Information Systems
Audit. and Control Foundation (ISACF), as an entity that groups professionals interested in IT control, developed a common
body of knowledge on this subject.
COBIT esta integrado por un resumen ejecutivo dirigido a la alta gerencia, que presenta los antecedentes y su estructura basica
y hace una descripcion general de los procesos, recursos y criterios de informacion necesarios para lograr objetivos de negocio.
El marco referencial presenta guias de navegacion y detalle de objetivos de control. Los objetivos de control incluyen objetivos
de control detallados para cada objetivo de alto nivel. Las direcrices de auditoria muestran el proceso generalmente aceptado
de auditoria (obtener entendimiento, evaluar los controles, evaluar su cumplimiento y substanciar los riesgos). Y las directrices
gerenciales apoyan la toma de decisiones y a dar seguimiento a traves de indicadores clave de desempeno de Procesos de TI,
factores criticos de exito de controles y opciones de implantacion de Controles.
Usted puede obtener bajar estos documentos
de Internet de la direccion indicada, con excepcion de las directrices de auditoria que es una obra exclusiva para asociados
de ISACA.
COBIT contains an executive overview for management, a framework that provides a tool for the business
process owner that facilitates the discharge of this responsibility. Control objectives and Audit Guidelines to enable the
review of IT processes against detailed control objectives to provide management assurance or advice for improvement.
Management
Guidelines that enhance and enable enterprise management to deal more effectively with the needs and requirements of IT governance.
You may download these document from internet, except the Audit Guidelines which are available only to ISACA members.
Para que un auditor pueda llevar a cabo una auditoria de sistemas, el director de una organizacion preguntara, que es lo mas
importante que debo controlar?, cuales son mis areas de riesgo?, y que estan haciendo los demas para mitigar ese riesgo?
Entonces
el auditor podra seguir el proceso de auditoria, investigando, evaluando riesgos, probando controles existentes y elaborando
pruebas para substanciar el riesgo.
For an auditor to perform an IS audit., the CEO of an organization will ask,
what is the most important thing that I need to control?, which are my areas of risk?, and what are others doing to mitigate
this risk?
Then the auditor would follow the audit process, investigating, evaluating risk, performing control compliance
tests and substantiating the risks.
Podemos acercarnos al control en tecnologia de informacion, considerando a la informacion que se requiere para soportar los
objetivos o requerimientos de negocio y dandonos cuenta que la informacion es el resultado de la aplicacion combinada de
los recursos relacionados con la tecnologia, a ser administrados por los procesos de tecnologia de informacion.
Control
in IT is approached by looking at information that is needed to support the business objectives or requirements, and by looking
at information as being the result of the combined application of IT related resources that need to be managed by IT processes.
Se observa una relacion estrecha entre los recursos de TI, los procesos de trabajo y requerimientos de negocio. Los procesos
de trabajo incluyen controles que permiten satisfacer los objetivos de negocio. En caso de que dichos controles no sean efectivos
los requerimientos de negocio se veran afectados.
There is a tight relationship between IT resources, IT processes
and business requirements.
IT processes include controls that satisfy business objectives. In case these controls are
not effective, business requirements will be affected.
El marco conceptual de COBIT puede verse desde 3 aspectos, criterios de informacion, recursos de tecnologia y procesos de
TI o procesos de trabajo. Estos se pueden observar en el cubo de COBIT.
The conceptual framework can be approached
from three vantage points: information criteria, IT resources and IT processes. These three vantage points are depicted
in the COBIT Cube.
Existen cuatro dominios o areas en donde se puede aplicar el control en tecnologia de informacion: Planeacion y Organizacion,
Adquisicion e Implantacion, Entrega o prestacion de servicios y soporte, y Monitoreo. Para cada uno de estos, existen una
serie de procesos de TI.
There have been four domains identified, where IT control can be applied: planning and
organization, acquisition and implementation, delivery and support, and monitoring. For each of them, several IT processes
exist.
Para poder establecer un control en la organizacion podemos relacionar estos elementos en COBIT, planteando un ejemplo:
El
proceso de planeacion debe tomar en consideracion los requerimientos de integridad de datos.
To establish a control
within an organization, we can relate these elements in COBIT, following an example:
The planning process, should consider
the requirements of data integrity.
Si queremos implantar COBIT, primero podemos identificar un riesgo o una carencia de control en la organizacion, entonces
nos apoyamos en alguno de los procesos de COBIT a los que se refiera dicha area de riesgo y posteriormente podemos definir
y aplicar los objetivos de control que cubran el riesgo que queremos mitigar.
To implement COBIT we need to first
identify the risk or a lack of control in our organization, then identify the process in COBIT to which this risk area relates,
and then identify and apply the control objectives that will help mitigate that risk.
To obtain more information just click here and send me your name, country of origin and email. Gracias
|
