La tercera clase aplicamos una prueba de conocimientos en l acual el alumno fue evaluado repecto a l proceso PO1 – Definición de un plan estratégico.
Fundamentalmente lo que tratamos de hacer entender es el papel del Auditor en este proceso y como podemos determinar si los planes de Negocio están alineados con los planes de TI y viceversa.
Tambien continuamos dando algunas explicaciones sobre este estandar.
El estándar Cobit (Control Objectives for Information and related
Technology) ofrece un conjunto de “mejores prácticas” para la gestión de
los Sistemas de Información de las organizaciones.
El objetivo principal de Cobit consiste en proporcionar una guía a
alto nivel sobre puntos en los que establecer controles internos con tal
de:
- Asegurar el buen gobierno, protegiendo los intereses de los stakeholders (clientes, accionistas, empleados, etc.)
- Garantizar el cumplimiento normativo del sector al que pertenezca la organización
- Mejorar la eficacia i eficiencia de los procesos y actividades de la organización
- Garantizar la confidencialidad, integridad y disponibilidad de la información
El estándard define el término control como: “Políticas,
procedimientos, prácticas y estructuras organizacionales diseñadas para
proveer aseguramiento razonable de que se lograrán los objetivos del
negocio y se prevendrán, detectarán y corregirán los eventos no
deseables”
Por tanto, la definición abarca desde aspectos organizativos (p.ej.
flujo para pedir autorización a determinada información, procedimiento
para reportar incidencias, selección de proveedores, etc.) hasta
aspectos más tecnológicos y automáticos (p.ej. control de acceso a los
sistemas, monitorización de los sistemas mediante herramientas
automatizadas, etc.).
Por otra parte, todo control tiene por naturaleza un objetivo. Es
decir, un objetivo de control es un propósito o resultado deseable como
por ejemplo: garantizar la continuidad de las operaciones ante
situaciones de contingencias.
En consecuencia, para cada objetivo de control de nuestra
organización podremos implementar uno o varios controles (p.ej.
ejecución de copias de seguridad periódicas, traslado de copias de
seguridad a otras instalaciones, etc.) que nos garanticen la obtención
del resultado deseable (p.ej. continuidad de las operaciones en caso de
contingencias).
Obviamente, los ejemplos expuestos son muy generales y poco
detallados, pero creo que muestran de forma práctica las diferentes
definiciones.
Cobit clasifica los procesos de negocio relacionados con las Tecnologías de la Información en 4 dominios:
- Planificación y Organización
- Adquisición e Implementación
- Entrega y Soporte
- Supervisión y Evaluación
En definitiva, cada dominio contiene procesos de negocio
(desglosables en actividades) para los cuales se pueden establecer
objetivos de control e implementar controles organizativos o
automatizados:
Definimos muy claramente lo que son los objetivos de Control y como deben estar sustentados.
Notamos que los alumnos no tienen bien afincado lo que es Análisis de Riesgos por lo que dimos una explicación de lo que es, pero deben estar bien claros en esto y si no entendieron deben o preguntar más (pueden hacerlo a traves del blog) o investigando por su cuenta ya que esto lo debieron ver en ASI1.
No hay comentarios:
Publicar un comentario
Has tus comentarios