Cobit clasifica los procesos de negocio relacionados
con las Tecnologías de la Información en 4 dominios:
§ Planificación y
Organización
§ Adquisición e
Implementación
§ Entrega y Soporte
§ Supervisión y
Evaluación
En definitiva, cada dominio contiene procesos de negocio (desglosables
en actividades) para los cuales se pueden establecer objetivos de control e
implementar controles organizativos o automatizados:
Por otra parte, la organización dispone de recursos (aplicaciones,
información, infraestructura y personas) que son utilizados por los procesos
para cubrir los requisitos del negocio:
§ Efectividad
(cumplimiento de objetivos)
§ Eficiencia
(consecución de los objetivos con el máximo aprovechamiento de los recursos)
§ Confidencialidad
§ Integridad
§ Disponibilidad
§ Cumplimiento
regulatorio
§ Fiabilidad
Cabe destacar que, Cobit también ofrece mecanismos para la medición de
las capacidades de los procesos con objeto de conseguir una mejora continua.
Para ello, proporciona indicaciones para valorar la madurez en función de la
misma clasificación utilizada por estándares como ISO 15504:
§ Nivel 0 – Proceso
incompleto: El proceso no existe o no cumple con los objetivos
§ Nivel 1 – Proceso
ejecutado
§ Nivel 2 – Proceso
gestionado: el proceso no solo se encuentra en funcionamiento, sino que es
planificado, monitorizado y ajustado.
§ Nivel 3 – Proceso
definido: el proceso, los recursos, los roles y responsabilidades se encuentran
documentados y formalizado.
§ Nivel 4 – Proceso
predecible: se han definido técnicas de medición de resultados y controles.
§ Nivel 5 – Proceso
optimizado: todos los cambios son verificados para determinar el impacto, se
han definido mecanismos para la mejora continua, etc.
En general, gran parte de los puntos que se exponen a continuación pueden
ser mapeados a los controles definidos en el estándar ISO 27002.
No hay comentarios:
Publicar un comentario