COBIT: (Objetivos de control para la información y tecnologías
relacionadas) es una metodología publicada en 1996 por el Instituto
de Control de TI y la Isaca(Asociación de Auditoría y Control
de Sistemas de Información) que se usa para evaluar el departamento de
informática de una compañía; en Francia está representada por la AFAI
(Asociación Francesa de Auditoría y Consejo de TI).
Este enfoque se basa en un índice de
referencia de procesos, indicadores de objetivos clave (KGl) e indicadores de
rendimiento clave (KPI) que se usan para controlar los procesos para recoger
datos que la compañía puede usar para alcanzar sus objetivos.
El enfoque COBIT propone 34 procesos
organizados en 4 áreas funcionales más grandes que abarcan 318 objetivos:
·
Entrega y asistencia técnica
·
Control
·
Planeamiento y organización
·
Aprendizaje e implementación
Es una guía de mejores prácticas presentado como
framework, dirigida a la gestión de tecnología de la información (TI).
Mantenido por ISACA (en inglés: Information Systems Audit and Control
Association) y el IT Governance Institute (ITGI, en inglés: IT Governance
Institute), tiene una serie de recursos que pueden servir de modelo de
referencia para la gestión de TI, incluyendo un resumen ejecutivo, un
framework, objetivos de control, mapas de auditoría, herramientas para su
implementación y principalmente, una guía de técnicas de gestión.
Ediciones: La primera edición fue publicada en
1996; la segunda edición en 1998; la tercera edición en 2000 (la edición
on-line estuvo disponible en 2003); y la cuarta edición en diciembre de 2005, y
la versión 4.1 está disponible desde mayo de 2007.
COBIT 5: Isaca lanzó el 10 de abril del 2012 la nueva edición de este marco de
referencia. Es la última edición del framework mundialmente aceptado, el cual
proporciona una visión empresarial del Gobierno de TI que tiene a la tecnología
y a la información como protagonistas en la creación de valor para las
empresas. Se basa en COBIT 4.1, y a su vez lo amplía
mediante la integración de otros importantes marcos y normas como Val IT y Risk
IT, Information Technology Infrastructure Library (ITIL ®) y las normas ISO
relacionadas.
COBIT 5 ayuda a empresas de todos los tamaños a:
- Optimizar
los servicios el coste de las TI y la tecnología
- Apoyar
el cumplimiento de las leyes, reglamentos, acuerdos contractuales y las
políticas
- Gestión
de nuevas tecnologías de información
En el mes de junio del 2012, ISACA lanzó "COBIT 5 para la seguridad
de la información", actualizando la última versión de su marco a fin de
proporcionar una guía práctica en la seguridad de la empresa, en todos sus
niveles prácticos.
Características de COBIT: Llegan
a ser grandes ventajas. COBIT se aplica a los sistemas de información de toda
la empresa, incluyendo las mini computadoras, computadoras personales y
ambientes distribuidas. Está basado en la filosofía de que los recursos de TI
necesitan ser administrados por un conjunto de procesos naturalmente agrupados
para proveer la información pertinente y confiable que requiere una
organización para lograr sus objetivos.
- Ha sido diseñado como un estándar
habitualmente aceptado y ajustable a las buenas prácticas de seguridad y
control en TIC.
- Suministra herramientas al responsable de los procesos que
facilitan el cumplimiento de esta tarea.
- Tiene una premisa práctica y simple: con el fin de facilitar la
información que la organización requiere para alcanzar sus objetivos,
señala que los recursos de TIC deben ser administrados por un conjunto de
procesos de TIC agrupados en forma natural.
- Es la herramienta innovadora para el manejo de TIC que ayuda a la
gerencia a comprender y administrar los riesgos asociados con TIC
- Ayuda a proteger las brechas existentes entre
necesidades de control, riesgos de negocio y aspectos técnicos.
Proporciona “prácticas sanas”
por medio de un Marco Referencial de dominios y procesos; presenta
actividades en una estructura manejable y lógica.
- Las prácticas sanas de COBIT representan el consenso de los
expertos.
- Está desarrollado no solo para ser utilizado por usuarios y auditores, sino que en forma más importante, está diseñado para ser utilizado como un Check List detallado para los responsables de cada proceso.
ITIL: La Biblioteca de Infraestructura de Tecnologías de Información,
frecuentemente abreviada ITIL (del inglés Information Technology Infrastructure
Library), es un conjunto de conceptos y prácticas para la gestión de servicios
de tecnologías de la información, el desarrollo de tecnologías de la
información y las operaciones relacionadas con la misma en general. ITIL da
descripciones detalladas de un extenso conjunto de procedimientos de gestión
ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las
operaciones de TI. Estos procedimientos son independientes del proveedor y han
sido desarrollados para servir como guía que abarque toda infraestructura,
desarrollo y operaciones de TI.
La biblioteca de infraestructura de TI (ITIL) toma este nombre por tener
su origen en un conjunto de libros, cada uno dedicado a una práctica específica
dentro de la gestión de TI. Tras la publicación inicial de estos libros, su
número creció rápidamente (dentro la versión 1) hasta unos 30 libros. Para
hacer a ITIL más accesible (y menos costosa) a aquellos que deseen explorarla,
uno de los objetivos del proyecto de actualización ITIL versión 2 fue agrupar
los libros según unos conjuntos lógicos destinados a tratar los procesos de
administración que cada uno cubre. De esta forma, diversos aspectos de los
sistemas de TIC, de las aplicaciones y del servicio se presentan en conjuntos
temáticos. Actualmente existe la nueva versión ITIL v3 que fue publicada en
mayo de 2007.
Aunque el tema de Gestión de Servicios (Soporte de Servicio y Provisión
de Servicio) es el más ampliamente difundido e implementado, el conjunto de mejores
prácticas ITIL provee un conjunto completo de prácticas que abarca no sólo los
procesos y requerimientos técnicos y operacionales, sino que se relaciona con
la gestión estratégica, la gestión de operaciones y la gestión financiera de
una organización moderna.
Objetivos: ITIL como metodología propone el establecimiento de estándares que nos ayuden en el control, operación y administración de los recursos (ya sean propios o de los clientes). Plantea hacer una revisión y reestructuración de los procesos existentes en caso de que estos lo necesiten (si el nivel de eficiencia es bajo o que haya una forma mas eficiente de hacer las cosas), lo que nos lleva a una mejora continua.
Otra de las cosas que propone es que para cada actividad que se realice se debe de hacer la documentación pertinente, ya que esta puede ser de gran utilidad para otros miembros del área, además de que quedan asentados todos los movimientos realizados, permitiendo que toda la gente esté al tanto de los cambios y no se tome a nadie por sorpresa.
En la documentación se pone la fecha en la que se hace el cambio, una breve descripción de los cambios que se hicieron, quien fue la persona que hizo el cambio, así como quien es el que autorizo el cambio, para que así se lleve todo un seguimiento de lo que pasa en el entorno. Esto es más que nada como método con el que se puede establecer cierto control en el sistema de cambios, y así siempre va a haber un responsable y se van a decir los procedimientos y cambios efectuados.
Características: Las siguientes son algunas de las características de
ITIL:
- Es
un framework de procesos de IT no propietario.
- Es
independiente de los proveedores.
- Es
independiente de la tecnología.
- Posee
gran cantidad de documentación.
- Optimizar
costos y rendimiento en los procesos.
- Está
basado en "Best Practices".
- Provee:
§ Una terminología estándar.
§ Las interdependencias entre los procesos.
§ Los lineamientos para la implementación.
§ Los lineamientos para la definición de roles y responsabilidades de los
procesos
§ Las bases para comparar la situación de la empresa frente a las “mejores
prácticas”.