Make your own free website on Tripod.com
Home | Latin CACS 2009

COBIT

Elia Fernandez Torres

Objetivos de Control de Tecnologia de Informacion

(texto en castellano sin acentos)

COBIT es un estandar global que contiene los Objetivos de Control para Tecnologia de Informacion.
La comunidad de profesionistas relacionados con TI mostro preocupacion por la falta de una guia estandar sobre control en TI, que sirviera para diferentes grupos de interes. La Information Systems Audit and Control Foundation (ISACF), como organo que agrupa a profesionistas de distintas areas de actuacion interesadas en el control de TI se dio a la tarea de desarrollar un cuerpo comun de conocimientos sobre la materia.

COBIT is a global standard that contains the Control Objectives for Information and related Technology. COBIT aims to bridge the gap that exists between business control models and control models for IT by providing a foundation that is closely linked to business objectives while focusing on IT, and is positioned to be more comprehensive for management and to operate at a higher level than technology standards for information systems management.
The Information Systems Audit. and Control Foundation (ISACF), as an entity that groups professionals interested in IT control, developed a common body of knowledge on this subject.

lamina 2

COBIT esta integrado por un resumen ejecutivo dirigido a la alta gerencia, que presenta los antecedentes y su estructura basica y hace una descripcion general de los procesos, recursos y criterios de informacion necesarios para lograr objetivos de negocio. El marco referencial presenta guias de navegacion y detalle de objetivos de control. Los objetivos de control incluyen objetivos de control detallados para cada objetivo de alto nivel. Las direcrices de auditoria muestran el proceso generalmente aceptado de auditoria (obtener entendimiento, evaluar los controles, evaluar su cumplimiento y substanciar los riesgos). Y las directrices gerenciales apoyan la toma de decisiones y a dar seguimiento a traves de indicadores clave de desempeno de Procesos de TI, factores criticos de exito de controles y opciones de implantacion de Controles.
Usted puede obtener bajar estos documentos de Internet de la direccion indicada, con excepcion de las directrices de auditoria que es una obra exclusiva para asociados de ISACA.

COBIT contains an executive overview for management, a framework that provides a tool for the business process owner that facilitates the discharge of this responsibility. Control objectives and Audit Guidelines to enable the review of IT processes against detailed control objectives to provide management assurance or advice for improvement.
Management Guidelines that enhance and enable enterprise management to deal more effectively with the needs and requirements of IT governance.
You may download these document from internet, except the Audit Guidelines which are available only to ISACA members.

lamina 3

Para que un auditor pueda llevar a cabo una auditoria de sistemas, el director de una organizacion preguntara, que es lo mas importante que debo controlar?, cuales son mis areas de riesgo?, y que estan haciendo los demas para mitigar ese riesgo?
Entonces el auditor podra seguir el proceso de auditoria, investigando, evaluando riesgos, probando controles existentes y elaborando pruebas para substanciar el riesgo.

For an auditor to perform an IS audit., the CEO of an organization will ask, what is the most important thing that I need to control?, which are my areas of risk?, and what are others doing to mitigate this risk?
Then the auditor would follow the audit process, investigating, evaluating risk, performing control compliance tests and substantiating the risks.

lamina 4

Podemos acercarnos al control en tecnologia de informacion, considerando a la informacion que se requiere para soportar los objetivos o requerimientos de negocio y dandonos cuenta que la informacion es el resultado de la aplicacion combinada de los recursos relacionados con la tecnologia, a ser administrados por los procesos de tecnologia de informacion.

Control in IT is approached by looking at information that is needed to support the business objectives or requirements, and by looking at information as being the result of the combined application of IT related resources that need to be managed by IT processes.

lamina 5

Se observa una relacion estrecha entre los recursos de TI, los procesos de trabajo y requerimientos de negocio. Los procesos de trabajo incluyen controles que permiten satisfacer los objetivos de negocio. En caso de que dichos controles no sean efectivos los requerimientos de negocio se veran afectados.

There is a tight relationship between IT resources, IT processes and business requirements.
IT processes include controls that satisfy business objectives. In case these controls are not effective, business requirements will be affected.

lamina 6

El marco conceptual de COBIT puede verse desde 3 aspectos, criterios de informacion, recursos de tecnologia y procesos de TI o procesos de trabajo. Estos se pueden observar en el cubo de COBIT.

The conceptual framework can be approached from three vantage points: information criteria, IT resources and IT processes. These three vantage points are depicted in the COBIT Cube.

lamina 7

Existen cuatro dominios o areas en donde se puede aplicar el control en tecnologia de informacion: Planeacion y Organizacion, Adquisicion e Implantacion, Entrega o prestacion de servicios y soporte, y Monitoreo. Para cada uno de estos, existen una serie de procesos de TI.

There have been four domains identified, where IT control can be applied: planning and organization, acquisition and implementation, delivery and support, and monitoring. For each of them, several IT processes exist.

lamina 8

Para poder establecer un control en la organizacion podemos relacionar estos elementos en COBIT, planteando un ejemplo:
El proceso de planeacion debe tomar en consideracion los requerimientos de integridad de datos.

To establish a control within an organization, we can relate these elements in COBIT, following an example:
The planning process, should consider the requirements of data integrity.

lamina 9

Si queremos implantar COBIT, primero podemos identificar un riesgo o una carencia de control en la organizacion, entonces nos apoyamos en alguno de los procesos de COBIT a los que se refiera dicha area de riesgo y posteriormente podemos definir y aplicar los objetivos de control que cubran el riesgo que queremos mitigar.

To implement COBIT we need to first identify the risk or a lack of control in our organization, then identify the process in COBIT to which this risk area relates, and then identify and apply the control objectives that will help mitigate that risk.

To obtain more information just click here and send me your name, country of origin and email. Gracias