Meilleures pratiques COBIT

Publié: 2018-10-26

Le Control Objectives for Information and Related Technologies (COBIT) a été fondé par l'Information Systems and Audit Control Association (ISACA). COBIT est un cadre qui vise à fournir des lignes directrices pour l'organisation de la gestion des technologies de l'information d'entreprise. L'alignement de toutes vos initiatives de sécurité des informations et de conformité de la sécurité avec les meilleures pratiques COBIT permettra à votre organisation de maintenir un programme de gestion des risques inébranlable.

Meilleures pratiques COBIT

L'ISACA en bref

L'ISACA a été initialement créée en 1969. Le mandat de l'organisation est de créer une certification informatique mondialement reconnue en plus de développer des directives de contrôle d'audit. L'ISACA est le cerveau derrière l'IT Governance Institute (ITGI), qui se concentre uniquement sur la découverte et la publication de ressources pertinentes qui fournissent des conseils et des normes en temps réel pour maintenir à jour les contrôles de sécurité de l'information.

Qu'est-ce que COBIT 5 ?

COBIT 5 fournit essentiellement un cadre de technologie de l'information qui intègre le Risk IT propriétaire d'ISACA, la bibliothèque d'infrastructure de technologie de l'information (ITIL) et Val IT avec les normes pertinentes prescrites par l'Organisation internationale de normalisation (ISO). Grâce à la combinaison de ces éléments, COBIT 5 cherche à fournir un programme global de cybersécurité pour la gouvernance des technologies de l'information d'entreprise.

COBIT 5 offre à toutes les organisations un moyen d'évaluer et de défendre les données au cœur de leurs processus métier. Dans le but de permettre aux entreprises à but non lucratif, du secteur public et commercial de rationaliser leurs processus informatiques, COBIT se concentre principalement sur la fourniture de conseils pratiques pour garantir la fiabilité, la qualité et le contrôle de l'infrastructure informatique.

Pourquoi choisir COBIT 5 ?

COBIT 5 vous permettra d'aligner la plupart de vos contrôles actuels sur divers autres référentiels et exigences de conformité réglementaire. Par exemple, si vous avez l'intention de vous conformer aux critères de référence du cadre COSO, vous pouvez utiliser COBIT 5 pour mesurer et définir l'efficacité du contrôle informatique. De plus, COBIT 5 définit cinq modèles de maturité de base qui peuvent vous aider à déterminer si vous êtes ou non sur la bonne voie en ce qui concerne la conformité complète.

Utiliser les 5 principes du cadre COBIT pour garantir les meilleures pratiques

L'ISACA fonde COBIT 5 sur cinq principes directeurs pertinents, qui sous-tendent l'approche unique de COBIT en matière de gouvernance et de gestion de l'information. En vous assurant que vos contrôles internes et vos processus informatiques sont alignés sur ces principes de haut niveau, il sera facile d'établir une approche d'entreprise qui correspond à vos objectifs commerciaux.

Principe 1 : Répondre aux besoins des parties prenantes

ISACA reconnaît le fait que votre organisation a différentes parties prenantes qui ont des besoins variés et parfois contradictoires. Par exemple, le service marketing peut avoir besoin d'utiliser les médias sociaux dans le but de construire votre image de marque. Néanmoins, les applications de médias sociaux tierces ignorent généralement les menaces de données que le service informatique est tenu d'atténuer.

La meilleure pratique pour répondre aux besoins des parties prenantes consiste à définir des objectifs tangibles et pertinents et à définir des niveaux de responsabilité. Cela vous aidera à identifier et à communiquer l'importance des catalyseurs.

Principe 2 : Couvrir l'entreprise de bout en bout

La gouvernance de l'information doit intégrer toutes les technologies liées à l'informatique. Tous les membres de votre organisation doivent être conscients des actifs informationnels qui permettent d'atteindre vos objectifs commerciaux. Les meilleures pratiques pour couvrir l'organisation de bout en bout incluent la définition des catalyseurs de gouvernance, la définition de la portée de la gouvernance et l'attribution des rôles et des activités.

Principe 3 : Utiliser un cadre intégré unique

COBIT 5 s'aligne sur divers cadres. Certains sont liés à l'informatique tandis que d'autres sont liés à la gestion des risques. D'une approche de gestion d'entreprise, COBIT 5 s'appuie sur ISO/IEC 9000, COSO ERM, ISO/IEC 31000 et CSO. D'une approche liée à l'informatique, COBIT se concentre sur l'intégration d'ITIL, TOGAF, des séries ISO/IEC 27000, CMMI et ISO/IEC 38500.

Les meilleures pratiques pour appliquer un cadre intégré impliquent d'examiner les normes relatives à votre organisation, de s'engager dans une identification appropriée des risques et de s'assurer que COBIT 5 est aligné sur les objectifs de votre organisation.

Principe 4 : Activer une approche holistique

Dans le cadre d'une approche holistique de la gouvernance de l'information, COBIT cherche à intégrer les facteurs qui, collectivement et individuellement, influencent la réalisation de vos objectifs commerciaux. Les cadres, principes et politiques relient les structures organisationnelles, la culture éthique d'entreprise et les processus aux services/applications/infrastructures, personnes/aptitudes/compétences et informations.

Les meilleures pratiques pour permettre une approche holistique comprennent la définition des entités décisionnelles clés, la description des activités et des pratiques pour atteindre vos objectifs, la définition des comportements de l'organisation et des membres individuels qui sont les plus importants, et la définition des rôles en fonction des aptitudes et compétences individuelles.

Principe 5 : Détacher la gouvernance de la gestion

La gouvernance implique le suivi, la direction et l'évaluation du programme de gestion de l'information que vous mettez en place. D'autre part, la gestion implique la planification, le suivi et la gestion des activités quotidiennes. Le rôle du conseil d'administration de votre organisation est la gouvernance, tandis que la direction générale sous la direction du PDG est mandatée avec la direction. Même si le cadre COBIT intègre 37 processus et 5 domaines, la vue d'ensemble de haut niveau offre un aperçu pour séparer la gouvernance de la gestion.

Les meilleures pratiques de gouvernance peuvent inclure la création de principes directeurs d'entreprise, l'établissement d'un modèle de prise de décision, la création de niveaux d'autorité, l'examen des communications de gouvernance d'entreprise et la réception de commentaires sur les performances et l'efficacité de la gouvernance. Les meilleures pratiques de gestion comprennent la communication des règles de base, l'établissement de politiques liées à l'informatique et la communication des objectifs informatiques.

Ken Lynch est un vétéran des startups de logiciels d'entreprise, qui a toujours été fasciné par ce qui pousse les travailleurs à travailler et comment rendre le travail plus attrayant. Ken a fondé Reciprocity pour poursuivre exactement cela.

Il a propulsé le succès de Reciprocity avec cet objectif basé sur la mission d'impliquer les employés dans les objectifs de gouvernance, de risque et de conformité de leur entreprise afin de créer des entreprises citoyennes plus socialement responsables. Ken a obtenu son BS en informatique et en génie électrique du MIT. En savoir plus sur ReciprocityLabs.com.

Avez-vous des idées à ce sujet? Faites-le nous savoir dans les commentaires.

Recommandations des éditeurs :

  • Les rôles et responsabilités d'un agent de conformité en assurance
  • KPI pour mesurer l'efficacité de la conformité
  • Surveillance continue pour la conformité en temps réel