Mejores prácticas de COBIT

Publicado: 2018-10-26

Los Objetivos de Control para la Información y Tecnologías Relacionadas (COBIT) fueron fundados por la Asociación de Control de Auditoría y Sistemas de Información (ISACA). COBIT es un marco que busca proporcionar pautas para organizar la gestión de la tecnología de la información empresarial. La alineación de todas sus iniciativas de cumplimiento de la seguridad y la información que prioriza la seguridad con las mejores prácticas de COBIT permitirá a su organización mantener un programa de gestión de riesgos firme.

Mejores prácticas de COBIT

ISACA en Breve

ISACA se estableció inicialmente en 1969. El mandato de la organización es crear una certificación de TI reconocida a nivel mundial además de desarrollar una guía de control de auditoría. ISACA es el cerebro detrás del IT Governance Institute (ITGI), que se enfoca únicamente en descubrir y publicar recursos relevantes que brindan orientación y estándares en tiempo real para mantener actualizados los controles de seguridad de la información.

¿Qué es COBIT 5?

COBIT 5 básicamente proporciona un marco de tecnología de la información que integra la TI de riesgo, la Biblioteca de infraestructura de tecnología de la información (ITIL) y Val TI propiedad de ISACA con los estándares relevantes prescritos por la Organización Internacional de Normalización (ISO). A través de la combinación de estos elementos, COBIT 5 busca proporcionar un programa de ciberseguridad integral para el gobierno de la tecnología de la información empresarial.

COBIT 5 ofrece a todas las organizaciones una forma de evaluar y defender los datos como parte central de sus procesos comerciales. Con el objetivo de permitir que las empresas comerciales, del sector público y sin fines de lucro optimicen sus procesos de TI, COBIT se enfoca principalmente en brindar orientación práctica para garantizar la confiabilidad, la calidad y el control de la infraestructura de TI.

¿Por qué elegir COBIT 5?

COBIT 5 le permitirá alinear la mayoría de sus controles actuales con varios otros puntos de referencia y requisitos de cumplimiento normativo. Por ejemplo, si tiene la intención de cumplir con los puntos de referencia del marco COSO, puede usar COBIT 5 para medir y definir la efectividad del control de TI. Además, COBIT 5 define cinco modelos básicos de madurez que pueden ayudarlo a determinar si está o no en el camino correcto en lo que respecta al cumplimiento total.

Uso de los 5 principios del marco COBIT para garantizar las mejores prácticas

ISACA basa COBIT 5 en cinco principios rectores pertinentes, que subyacen en el enfoque único de COBIT para el gobierno y la gestión de la información. Al asegurarse de que sus controles internos y procesos de TI estén alineados con estos principios de alto nivel, será fácil establecer un enfoque empresarial que coincida con sus objetivos comerciales.

Principio 1: Satisfacer las necesidades de las partes interesadas

ISACA reconoce el hecho de que su organización tiene diferentes partes interesadas que tienen necesidades diversas y, a veces, contradictorias. Por ejemplo, es posible que el departamento de marketing deba usar las redes sociales para construir la imagen de su marca. No obstante, las aplicaciones de redes sociales de terceros generalmente ignoran las amenazas de datos que el departamento de TI debe mitigar.

La mejor práctica para satisfacer las necesidades de las partes interesadas es definir objetivos tangibles y relevantes y definir niveles de responsabilidad. Esto le ayudará a identificar y comunicar la importancia de los habilitadores.

Principio 2: Cubrir la empresa de principio a fin

El gobierno de la información debe incorporar todas las tecnologías relacionadas con TI. Todos en su organización deben conocer los activos de información que permiten sus objetivos comerciales. Las mejores prácticas para cubrir la organización de un extremo a otro incluyen la definición de habilitadores de gobierno, la definición del alcance del gobierno y la asignación de roles y actividades.

Principio 3: Utilice un único marco integrado

COBIT 5 se alinea con varios marcos. Algunos están relacionados con TI, mientras que otros están relacionados con la gestión de riesgos. Desde un enfoque de gestión empresarial, COBIT 5 se basa en ISO/IEC 9000, COSO ERM, ISO/IEC 31000 y CSO. Desde un enfoque relacionado con TI, COBIT se centra en la integración de ITIL, TOGAF, serie ISO/IEC 27000, CMMI e ISO/IEC 38500.

Las mejores prácticas para aplicar un marco integrado implican revisar los estándares que se relacionan con su organización, involucrarse en la identificación adecuada de riesgos y garantizar que COBIT 5 esté alineado con los objetivos de su organización.

Principio 4: Permitir un enfoque holístico

Como parte de tener un enfoque holístico hacia el gobierno de la información, COBIT busca integrar factores que influyan colectiva e individualmente en el logro de sus objetivos comerciales. Los marcos, principios y políticas unen las estructuras organizacionales, la cultura ética corporativa y los procesos con los servicios/aplicaciones/infraestructura, personas/habilidades/competencias e información.

Las mejores prácticas para habilitar un enfoque holístico incluyen la definición de entidades clave para la toma de decisiones, la descripción de actividades y prácticas para lograr sus objetivos, la definición de comportamientos de la organización y los miembros individuales que son más importantes y la definición de roles basados ​​en habilidades y competencias individuales.

Principio 5: separar la gobernanza de la gestión

La gobernanza implica monitorear, dirigir y evaluar el programa de gestión de la información que implementa. Por otro lado, la gestión implica la planificación, el seguimiento y la ejecución de las actividades diarias. La función de la junta directiva de su organización es la gobernanza, mientras que la dirección ejecutiva bajo el mando del CEO tiene el mandato de la dirección. Aunque el marco COBIT integra 37 procesos y 5 dominios, la descripción general de alto nivel ofrece un esquema para separar el gobierno de la gestión.

Las mejores prácticas para la gobernanza pueden incluir la creación de principios rectores empresariales, el establecimiento de un modelo de toma de decisiones, la creación de niveles de autoridad, la revisión de las comunicaciones de la gobernanza empresarial y la recepción de comentarios sobre el desempeño y la eficacia de la gobernanza. Las mejores prácticas para la gestión incluyen la comunicación de reglas básicas, el establecimiento de políticas relacionadas con TI y la comunicación de objetivos de TI.

Ken Lynch es un veterano de la puesta en marcha de software empresarial, que siempre ha estado fascinado por lo que impulsa a los trabajadores a trabajar y cómo hacer que el trabajo sea más atractivo. Ken fundó Reciprocity para perseguir precisamente eso.

Ha impulsado el éxito de Reciprocity con este objetivo basado en la misión de involucrar a los empleados con los objetivos de gobierno corporativo, riesgo y cumplimiento de su empresa para crear ciudadanos corporativos más socialmente conscientes. Ken obtuvo su licenciatura en Ciencias de la Computación e Ingeniería Eléctrica del MIT. Obtenga más información en ReciprocityLabs.com.

¿Tiene alguna idea sobre esto? Háganos saber abajo en los comentarios.

Recomendaciones de los editores:

  • Las funciones y responsabilidades de un oficial de cumplimiento de seguros
  • KPI's para medir la efectividad del cumplimiento
  • Supervisión continua para el cumplimiento en tiempo real