domingo, 30 de marzo de 2014

Video Auditoría de Sistemas de Información


Publicado por en 1 comentario:

miércoles, 19 de marzo de 2014

RESUMEN ARGUMENTATIVO COBIT


Tesis: COBIT 5 no ofrece mayor valor al generado por COBIT 4.1., es una re-expresión con el fin de sustentar un conversión a este. Rescatándose el modelo de evaluación que logra objetivos de unificación a nivel mundial en el Control de la Tecnología de la Información, por cuanto ha adoptado estándares internacionales como es la  ISO/IEC 15504 de Ingeniería de Software-Evaluación de Procesos.

 

La información y la tecnología que soportan las actividades empresariales  representan el más valioso activo. Las empresas exitosas explotan los beneficios de la tecnología de información y la utilizan para impulsar el valor de sus interesados (stakeholders). A su vez,  entienden y administran los riesgos asociados a la TI. De ahí,  que sea un elemento clave del Gobierno Corporativo y muchas organizaciones realizan grandes esfuerzos para poder mantener una información de calidad con el fin de apoyar las decisiones de sus negocios, es por ello que la implementación de COBIT genera un gran beneficio ya que logra una excelencia operativa mediante la aplicación eficiente y fiable de la tecnología, manteniendo el riesgo relacionado con TI a niveles aceptables.

 

COBIT es un marco de gobierno de las tecnologías de información que proporciona una serie de herramientas  para que la gerencia pueda conectar los requerimientos de control con los aspectos técnicos y los riesgos del negocio. COBIT 4.1. extiende sus procesos de auditoría al gobierno y al cumplimiento en COBIT 5 se extienden al Gobierno y a la Gestión, sin embargo simplemente son diferencia de enfoque y muchas veces son meramente enunciativas es más, lo que hacen en el fondo es renombrar los componentes del COBIT 4.1. Para efectos de la comparación planteada tomaremos solo dos de los aspectos principales del marco de referencia como son el cubo que muestra la relación de los elementos que conforman el COBIT y el modelo sde evaluación de las Tecnologías de la Información

 

El Cubo de COBIT

http://francoitgrc.files.wordpress.com/2011/12/5cubo.jpg?w=431&h=220

Lo que se observa es la falta de novedad, en los cambios efectuados.

Respecto a los modelos de evaluación el modelo de madurez de los procesos manejados en COBIT 4.1., fue reemplazado por el modelo de capacidad de los procesos en COBIT 5, este  fue desarrollado basado en la ISO/IEC 15504 de Ingeniería de Software-Evaluación de Procesos, también conocida como Software Process Improvemente Capability Determinacion (SPICE), en español, “Determinación de la Capacidad de Mejora del Proceso de Software”.  El modelo tiene como objetivos generales la evaluación de procesos y apoyo a la mejora de procesos, es decir, que proporciona un medio para medir el desempeño de cualquier de los procesos de gobierno (basado en EDM) o de gestión (basado en PRM) y permitirá indicar áreas de mejora.

 

La ISO/IEC 15504 se caracteriza por:

                                                                         

  • Establecer un marco y requisitos para cualquier proceso de evaluación de procesos.
  • Proporciona requisitos para cualquier modelo de evaluación de organizaciones.
  • Proporciona guías para la definición de las competencias de un evaluador de procesos.

 

Este modelo puede resumirse en la siguiente figura:


 

La descripción del proceso debe cumplir con los siguientes requisitos para ser usada en este modelo de evaluación:

 

  • El proceso debe estar descrito en términos de su propósito y resultados.
  • La descripción del proceso no debe contener ningún aspecto del marco de medición por debajo del nivel 1, es decir, no debe aparecer ningún atributo. Eso quiere decir que la descripción del proceso solo contiene los pasoso necesarios para alcanzar el propósito y las metas reales del proceso.
     

Existen 6 niveles de capacidad que se pueden alcanzar por un procesos, cada nivel de capacidad solo puede ser alcanzado cuando el nivel inferior se ha alcanzado, estos son:

 

  • Nivel 0 Procesos incompletos: El procesos no está implementado o no alcanzo su propósito. A este nivel, hay muy poca o ninguna evidencia de ningún logro sistemático del propósito del proceso.
     
  • Nivel 1 Proceso ejecutado (un atributo): El proceso implementado su propósito. Así las cosas, alcanzar este nivel requiere que  el atributo de rendimiento sea alcanzado ampliamente, lo que significa que el proceso se ejecute con éxito  y la organización haya obtenido los resultados esperados (logro importante).
     
  • Nivel 2 Proceso gestionado (dos atributos): El proceso ejecutado esta ya implementado de forma gestionada (planificado, supervisado y ajustado) y  y los resultados de la ejecución están establecidos, controlados y mantenidos apropiadamente.
     
  • Nivel 3 Proceso establecido (dos atributos): El proceso gestionado esta ahora implementado usando un proceso definido que es capaz de alcanzar sus resultados de procesos.
     
  • Nivel 4 Proceso predecible (dos atributos): El proceso establecido ahora se ejecuta dentro de límites definidos para alcanzar sus resultados de proceso.
     
  • Nivel 5 Procesos optimizados  (dos atributos) : El proceso predecible es mejorado de forma continua para poder cumplir con las metas empresariales presentes y futuras.

Como se puede observar este modelos proporciona un a escala de medida para cada atributo de capacidad pudiéndose hacer una análisis por cada uno.

 

Diferencias en la Práctica entre los modelos de COBIT 4.1 y COBIT 5.

 

Los principales cambios a considerar incluyen:

 

• En general, los resultados de la evaluación serán menores al usar el modelo de capacidad de procesos de COBIT 5,  puesto que en  el modelo de madurez de COBIT 4.1, un proceso podía alcanzar un nivel 1 ó 2 sin alcanzar completamente todos los objetivos del proceso; con los niveles de la capacidad de procesos de COBIT 5, esto implicaría un resultado inferior, entre 0 y 1.

• Ya no se incluye dentro de los contenidos detallados de un proceso en COBIT 5 un modelo específico de madurez para cada proceso. Esto es porque el enfoque de la norma ISO/IEC 15504 para la evaluación de la capacidad de procesos no lo requiere, incluso lo prohíbe. En cambio, el enfoque de la norma define la información requerida en el “modelo de referencia de procesos” (el modelo de procesos que debe ser usado en la evaluación):

 

    • Descripción del proceso, con la declaración de propósitos.
    • Prácticas base, que son las equivalentes a prácticas de gestión o de gobierno en COBIT 5.
    • Productos de trabajo, que son el equivalente a las entradas y salidas en términos de COBIT 5.

 

El modelo de madurez de COBIT 4.1 producía un perfil de madurez de la empresa. El principal propósito de este perfil era identificar en qué dimensión o para qué atributos había debilidades específicas que necesitaban mejoras. Este enfoque era usado por las empresas cuando había un enfoque hacia la mejora más que para obtener un número de madurez para incluirlo en un informe. En COBIT 5 el modelo de evaluación proporciona una escala de medida para cada atributo de capacidad y guía sobre cómo aplicarlo, por lo que por cada proceso se puede hacer un análisis para cada uno de los nueve atributos de capacidad.

 


 


 

ISAC  2012 “Un Marco de Negocio para el Gobierno y la Gestión de las TI de la Empresa” COBIT 5. http://www.isaca.org/COBIT/Pages/COBIT-5-Framework-product-page.aspx


Elaboro: Héctor Uribe y Lorena León 


 
Publicado por en No hay comentarios:
Suscribirse a: Comentarios (Atom)