COBIT

COBIT 5 es el marco de gestión y de negocio global para el gobierno y la gestión de las TI de la empresa. Este documento contiene los 5 principios de COBIT 5 y define los 7 catalizadores que componen el marco.

Marco de COBIT 5

COBIT 5 ayuda a las Organizaciones a crear un valor óptimo a partir de la TI, al mantener un equilibrio entre la realización de beneficios y la optimización de los niveles de riesgo y utilización de los recursos.

• Permite que las tecnologías de la información y relacionadas se gobiernen y administren de una manera holística a nivel de toda la Organización, incluyendo el alcance completo de todas las áreas de responsabilidad funcionales y de negocios, considerando los intereses relacionados con la TI de las partes interesadas internas y externas.
• Los principios y habilitadores de COBIT 5 son genéricos y útiles para las Organizaciones de cualquier tamaño, bien sean comerciales, sin fines de lucro o en el sector público.

Principios de COBIT 5

  Principio 1: Satisfacer las Necesidades de las Partes Interesadas

• Las Organizaciones tienen muchas partes interesadas y “crear valor” significa cosas diferentes a veces conflictivas para cada una de ellas.
• En el Gobierno se trata de negociar y decidir entre los diversos intereses de beneficio de las diferentes partes interesadas.
• El sistema de Gobierno deberá considerar a todas las partes interesadas al tomar decisiones con respecto a la evaluación de riesgos, los beneficios y el manejo de
  recursos.

Principio 2: Cubrir la Compañía de Forma Integral

• COBIT 5 se concentra en el gobierno y la administración de la tecnología de la información y relacionadas desde una perspectiva integral a nivel de toda la Organización. 
• Esto significa que COBIT 5: Integra el gobierno de la TI corporativa en el gobierno corporativo, o sea, el sistema de gobierno para la TI corporativa propuesto por COBIT 5 se integra, de una manera fluida, en cualquier sistema de gobierno, toda vez que COBIT 5 está alineado a los últimos desarrollos en gobierno corporativo.

Principio 3. Aplicar un único Marco Integrado

COBIT 5 está alineado con los últimos marcos y normas relevantes usados por las organizaciones: 

Corporativo: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000 

Relacionado con TI: ISO/IEC 38500, ITIL, la serie ISO/IEC 27000, TOGAF, PMBOK/PRINCE2, CMMI.

Principio 4. Habilitar un Enfoque Holístico

Los Habilitadores de COBIT 5 son:

Factores que, individual y colectivamente, influyen sobre si algo funcionará – en el caso de COBIT, Gobierno y Administración sobre la TI corporativa.
Impulsados por las metas en cascada, o sea: las metas de alto nivel relacionadas con la TI definen qué deberían lograr los diferentes habilitadores.

Descritos por el marco de COBIT 5 en siete categorías:

Principio 5. Separar el Gobierno de la Administración

El marco de COBIT 5 plasma una distinción muy clara entre el Gobierno y la Administración. 

Dichas dos disciplinas: 

• Comprenden diferentes tipos de actividades 
• Requieren diferentes estructuras organizacionales 
• Cumplen diferentes propósitos

Gobierno:

En la mayoría de las organizaciones el Gobierno es responsabilidad de la Junta Directiva bajo el liderazgo de su Presidente. 

Administración:

En la mayoría de las organizaciones, la Administración es responsabilidad de la Gerencia Ejecutiva, bajo el liderazgo del Gerente General (CEO).

ISO TI

Las ISO son normas o estándares de seguridad establecidas por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC) que se encargan de establecer estándares y guías relacionados con sistemas de gestión y aplicables a cualquier tipo de organización internacionales y mundiales, con el propósito de facilitar el comercio, facilitar el intercambio de información y contribuir a la transferencia de tecnologías.

ISO Aplicadas Auditoria de Sistemas (Algunas)

ISO 27001

ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-2.

ISO 27001 puede ser implementada en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande. Está redactada por los mejores especialistas del mundo en el tema y proporciona una metodología para implementar la gestión de la seguridad de la información en una organización. También permite que una empresa sea certificada; esto significa que una entidad de certificación independiente confirma que la seguridad de la información ha sido implementada en esa organización en cumplimiento con la norma ISO 27001.

ISO 27002

ISO/IEC 27002 proporciona recomendaciones de las mejores prácticas en la gestión de la seguridad de la información a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestión de la seguridad de la información. La seguridad de la información se define en el estándar como "la preservación de la confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder a la información), integridad (asegurando que la información y sus métodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran)".

ISO 27003- Guía para la complementación de un Sistema de Gestión de Seguridad de la Infomacion

El Sistema de Gestión de Seguridad de la Información es la parte del sistema integral de gestión, basado en un enfoque del riesgo de la información para establecer , implementar , operar, monitorear, revisar, mantener y mejorar la seguridad de la información.

El Objetivo del ISO 27003 es proporcionar orientación práctica en el desarrollo del plan de implementación para un Sistema de Gestión de Seguridad de Información.

ISO/IEC 20000-Gestión de servicios de TI

Una entrega efectiva de los servicios de TI es crucial para las empresas. Hay una percepción de que estos servicios no están alineados con las necesidades y requisitos del negocio. Esto es especialmente importante tanto si se proporciona servicios internamente a clientes como si se está subcontratando proveedores. Una manera de demostrar que los servicios de TI están cumpliendo con las necesidades del negocio es implantar un Sistema de Gestión de Servicios de TI (SGSTI) basado en los requisitos de la norma ISO/IEC 20000. La certificación en esta norma internacional permite demostrar de manera independiente que los servicios ofrecidos cumplen con las mejores prácticas.

ISO/IEC 20000 está basada y reemplaza a la BS 15000, la norma reconocida internacionalmente como una British Standard (BS), y que está disponible en dos partes: una especificación auditable y un código de buenas prácticas.

La ISO/IEC 20000 es totalmente compatible con la ITIL (IT Infrastructure Library), o guía de mejores prácticas para el proceso de GSTI. La diferencia es que el ITIL no es medible y puede ser implantado de muchas maneras, mientras que en la ISO/IEC 20000, las organizaciones deben ser auditadas y medidas frente a un conjunto establecido de requisitos.

La ISO/IEC 20000 es aplicable a cualquier organización, pequeña o grande, en cualquier sector o parte del mundo donde confían en los servicios de TI. La norma es particularmente aplicable para proveedores de servicios internos de TI, tales como departamentos de Información Tecnológica, proveedores externos de TI o incluso organizaciones subcontratadas. La norma está impactando positivamente en algunos de los sectores que necesitan TI tales como subcontratación de negocios, Telecomunicaciones, Finanzas y el Sector Público.