COBIT

COBIT (para "  Objetivos de control de la información y tecnología relacionada  " o "objetivos de control de la información y tecnologías asociadas" en francés) es un repositorio de las mejores prácticas en auditoría y gobierno corporativo de las TIC de origen estadounidense . A lo largo de sucesivas versiones, tiende a convertirse en una herramienta unificadora para la gobernanza de los sistemas de información al integrar gradualmente contribuciones de otros estándares como ISO 9000 , ITIL ,  etc.

Histórico

El gobierno de los Sistemas de Información (Gobierno de las Tecnologías de la Información (TI)) se ha extendido dentro de las empresas en un contexto donde, por un lado, la automatización de las funciones de la empresa se ha convertido en un componente esencial dentro de la empresa. No veo cómo SI puede aportar valor y rendimiento a la organización. Así, podemos hablar de gobernanza de SI y por tanto de estándares y certificaciones que permitan esto último. Es también en aras de la transparencia de la información que los sistemas de información se han desarrollado y que su control se ha vuelto esencial. El principal repositorio de auditoría y gobernanza de SI es COBIT. En resumen, COBIT es un marco de referencia para controlar la gobernanza de SI a lo largo del tiempo. Se basa en un conjunto de buenas prácticas recopiladas de expertos en SI.

COBIT fue desarrollado en 1994 (y publicado en 1996 ) por la Asociación de Control y Auditoría de Sistemas de Información ( ISACA ). ISACA fue creada en 1967 y está representada en Francia desde 1982 por la AFAI ( Asociación Francesa de Auditoría y Consultoría de TI ). Es un marco de control que tiene como objetivo ayudar a la gerencia a gestionar los riesgos (seguridad, confiabilidad, cumplimiento) e inversiones. COBIT ha evolucionado, la versión 4 apareció en Francia en 2007.

COBIT est une approche orientée processus, qu'il regroupe en quatre domaines (planification, construction, exécution et métrologie, par analogie avec la Roue de Deming ), 34 processus distincts qui comprennent en tout 215 activités et un nombre plus important encore de « pratiques de control ". Un componente de "evaluación de sistemas de información", conocido con el nombre de Val IT, intenta completar este enfoque.

COBIT versión 5 ha estado disponible desde abril 2012. COBIT 5 es, hasta la fecha, el único repositorio orientado a negocios para el gobierno y la gestión de los sistemas de información de la empresa. Representa una importante evolución del repositorio.

COBIT 5 se puede adaptar a todo tipo de modelos de negocio, entornos tecnológicos, todas las industrias, geografías y culturas corporativas. Se puede aplicar a:

El repositorio de COBIT 5 simplifica los desafíos de gobernanza con solo cinco principios y siete habilitadores. Permite la integración con otros enfoques y estándares, incluidos TOGAF , PMBOK , PRINCE2 , COSO , ISO / IEC 20000 , ISO / IEC 27001 , ITIL , PCI DSS , Sarbanes-Oxley y Basel III .

En noviembre 2018, ISACA anunció el lanzamiento gradual de la versión 2019 de COBIT.

Principios de COBIT

COBIT proporciona a los gerentes, auditores y usuarios de tecnologías de la información y la comunicación (TIC) indicadores, procesos y mejores prácticas para ayudarlos a maximizar los beneficios del uso de técnicas de TI y desarrollo, gobierno y control de una empresa. Les ayuda a comprender sus sistemas de TI y determinar el nivel de seguridad y control que es necesario para proteger su negocio, a través del desarrollo de un modelo de gobierno de sistemas de información como COBIT. Por lo tanto, COBIT proporciona indicadores objetivos clave, indicadores clave de desempeño y factores clave de éxito para cada uno de sus procesos. El modelo COBIT se centra en lo que necesita hacer la empresa, no en cómo debe hacerlo.

El repositorio COBIT constituye una estructura de relaciones y procesos ( marco de referencia o framework ) orientados a la gestión y control de las técnicas informáticas por parte de la dirección de la empresa para alcanzar sus objetivos, utilizando estas técnicas como medio para mejorar la actividad y satisfacer las necesidades del negocio. , necesidades consolidadas en el plan estratégico de la empresa. Se basa en 5 claves principales de gobernanza y gestión de TI:

Fundamentos de COBIT 5

Una de las principales novedades de COBIT 5 es abordar el sistema de información , más allá de los procesos ya planteados por COBIT 4.1, a través de otros temas complementarios, como parte de un enfoque global (o sistémico). Todos estos temas contribuyen de manera interdependiente al control de la gobernanza y gestión del SI. 

COBIT 5 define 37 procesos agrupados en cinco áreas.

  1. Evaluar, dirigir y monitorear:
    1. Asegurar la definición y mantenimiento de un marco de gobernanza
    2. Asegurar la entrega de beneficios
    3. Garantizar la optimización de riesgos
    4. Garantice una buena relación calidad-precio
    5. Garantizar la transparencia a las partes interesadas
  2. Alinear, planificar y organizar:
    1. Gestionar el marco de gestión de TI
    2. Gestionar la estrategia
    3. Gestionar la arquitectura empresarial
    4. Gestionar la innovación
    5. Gestionar la cartera
    6. Administre el presupuesto y los costos
    7. Gestionar las relaciones humanas
    8. Gestionar relaciones
    9. Gestionar acuerdos de servicio
    10. Gestionar proveedores
    11. Gestionar la calidad
    12. Gestionar el riesgo
    13. Gestionar la seguridad
  3. Construya, adquiera e implemente:
    1. Gestionar programas y proyectos
    2. Gestionar la definición de requisitos
    3. Gestionar la identificación y construcción de soluciones.
    4. Gestionar la disponibilidad y la capacidad
    5. Gestionar el cambio organizativo
    6. Gestionar cambios
    7. Gestionar la aceptación del cambio y la transición.
    8. Gestionar el conocimiento
    9. Gestionar activos
    10. Administrar la configuración
  4. Entregar, servir y apoyar:
    1. Gestionar operaciones
    2. Gestionar solicitudes de servicio e incidentes
    3. Gestionar problemas
    4. Gestionar la continuidad
    5. Gestionar servicios de seguridad
    6. Gestionar controles de procesos comerciales
  5. Monitorear, evaluar y medir:
    1. Monitorear, evaluar y medir el desempeño y el cumplimiento
    2. Monitorear, evaluar y medir el sistema de control interno
    3. Monitorear, evaluar y medir el cumplimiento de requisitos externos

Se han realizado adaptaciones a esta versión para asegurar una mejor convergencia con otros estándares como ITIL y CMMI . Por lo tanto, COBIT 5, incluso más que COBIT 4.1, ayudará a los CIO a implementar un enfoque de mejora general del CIO, homogéneo y coordinado, que no se centra solo en los procesos.

Fundamentos de CobiT 4.1

COBIT 4.1 define 34 procesos agrupados en cuatro áreas.

COBIT consiste en descomponer cualquier sistema informático en:

  1. Planificación y Organización  : en esta área buscamos saber utilizar las técnicas de TI para que la empresa logre sus objetivos.
    1. Definición del plan estratégico de TI
    2. Definición de arquitectura de la información
    3. Definición de dirección tecnológica
    4. Organización del departamento de TI
    5. Gestión de inversiones
    6. Comunicación de los objetivos de gestión
    7. Gestión de recursos humanos
    8. Cumplimiento de requisitos legales
    9. Evaluación de riesgos
    10. Gestión de proyectos
    11. Gestión de la calidad
  2. Adquisición e Instalación  : aquí COBIT busca definir, adquirir e implementar tecnologías alineándolas con los procesos de negocio de la empresa.
    1. Identificación de soluciones automáticas
    2. Adquisición y mantenimiento de aplicaciones informáticas
    3. Adquisición y mantenimiento de infraestructura técnica
    4. Desarrollo y mantenimiento de procedimientos
    5. Instalación y certificación de sistemas
    6. Gestión del cambio
  3. Entrega y Soporte  : el objetivo es garantizar la efectividad y eficiencia de los sistemas tecnológicos en acción.
    1. Definición de niveles de servicio
    2. Gestión de servicios de terceros
    3. Gestión del rendimiento y la capacidad
    4. Garantía de continuación del tratamiento
    5. Garantizar la seguridad del sistema
    6. Identificación y asignación de costos
    7. Entrenamiento de usuario
    8. Soporte al usuario
    9. Gestión de la configuración
    10. Administracion de incidentes
    11. Gestión de datos y aplicaciones
    12. Seguridad física del sistema
    13. Gestión operativa
  4. Seguimiento  : Aquí es necesario verificar que la solución implementada esté alineada con las necesidades de la empresa en una visión estratégica.
    1. Monitoreo de procesos
    2. Evaluación del control interno
    3. Certificación por un organismo independiente
    4. Auditoría por un organismo independiente

COBIT está dirigido a diferentes usuarios:

El paquete COBIT 4.1

Incluye seis publicaciones:

El objetivo es garantizar una correspondencia duradera entre las tecnologías, los procesos comerciales y la estrategia de la empresa.

Criterios de información

Esta sección será de interés para la gerencia general al indicar qué aportará la implementación de un proceso dado a la información (por ejemplo, a la información para la toma de decisiones). Estos criterios son:

Al mejorar la información de acuerdo con estos criterios, la organización podrá alcanzar sus objetivos con mayor facilidad, abrir nuevas oportunidades y mejorar la rentabilidad.

Los recursos

Esta parte concierne más al director de sistemas de información ( DSI ) o al responsable de sistemas de información (RSI), para informarle de los recursos que serán impactados por el proceso. Los diferentes recursos son:

Los procesos

Destinados a la atención del responsable de procesos, definirán la estructura de áreas, procesos y tareas. Debe saber que un proceso se define como un conjunto de tareas. Por ejemplo, el proceso “contable” interviene en el dominio “administrativo y financiero” y se divide en actividades como “ingresar facturas, editar el saldo…”. CobiT ofrece un modelo de madurez para cada proceso con el fin de situarlo en relación con las mejores prácticas del mercado. El modelo tiene 6 niveles (0 a 5).

Los factores clave de éxito definen las acciones más importantes a realizar para controlar los procesos. Los indicadores de objetivos clave permiten saber a posteriori si un proceso ha cumplido los objetivos (en cuanto a los criterios de información). Finalmente, los indicadores clave de desempeño determinan la calidad de operación de un proceso (capacidad para lograr objetivos).

Inicio rápido de CobiT

Esta versión simplificada de CobiT está dirigida principalmente a pymes para las que las técnicas informáticas no representan un tema estratégico sino simplemente una palanca en su estrategia de crecimiento. Se basa en los siguientes supuestos:

Esta versión de COBIT conserva 30 de los 34 procesos y 62 de los 318 objetivos de control.

La implementación de Quickstart consta de seis pasos:

Limites

Según Georges Épinette, administrador de CIGREF , el enfoque para aprehender este repositorio debe hacerse de manera inteligente, especialmente cuando se trata del ciclo de vida de la relación cliente-proveedor. De hecho, CobiT presenta la pobreza relativa en términos de:

En particular, CobiT se basa en un enfoque muy funcional de la organización. En este modelo, el Sistema de Información opera en paralelo con la organización real - y en cierto modo, desconectado de ella - porque se basa en la disposición nominal de funciones. En este contexto, la alineación del sistema de información consiste en conciliar, muchas veces de manera ad hoc, la realidad de las operaciones con una visión idealizada de la organización. Otros enfoques, que combinan dinámicamente Sistema de Información y Organización según modelos que extienden el modelo funcional, evitan este escollo: este es el caso, por ejemplo, del Análisis de Decisiones de sistemas complejos inspirado en el trabajo de la ' escuela sociotécnica y cibernética actual .

En 2006, un grupo de trabajo del club de propietarios de sistemas de información publicó un estudio sobre CobiT, en el que aparecen una serie de comentarios sobre los aportes y limitaciones de CobiT.

Notas y referencias

  1. ISACA publica el marco de gobernanza de COBIT 5 - Isaca.org, 10 de abril de 2012
  2. "  ISACA actualiza el marco de COBIT para abordar las últimas tendencias y estándares de tecnología empresarial  " , en www.isaca.org (consultado el 7 de diciembre de 2018 )
  3. ISACA: “Un repositorio orientado al negocio para el gobierno corporativo y la gestión de TI” y “Procesos habilitadores”.
  4. Ahmed Bounfour, Intangible Capital, Knowledge and Performance , Harmattan, 2006 ( ISBN  978-2-2960-1128-1 ) p.  127
  5. Sistema de información: análisis prospectivo - Philippe Gautier, IGD
  6. COBIT (Objetivos de control para la información y tecnologías relacionadas), versión 4.0, 2005 - Club de propietarios de sistemas de información, Volle.com, 31 de diciembre de 2006

Apéndices

Artículos relacionados

Bibliografía

enlaces externos