Embedded Files
Buena prácitca en Informática
Recomendaciones Principales de COBIT para Buenas Prácticas en TIC
COBIT, en su versión 2019, establece seis principios rectores para la gobernabilidad de la tecnología de la información, que son los siguientes:
Entrega de valor: Asegurar que las TIC generen valor para la organización, alineándose con las necesidades de los stakeholders.
Optimización de riesgos: Identificar, evaluar y gestionar los riesgos relacionados con las TIC para minimizar impactos negativos.
Optimización de recursos: Utilizar de manera eficiente los recursos de TIC, incluyendo infraestructura, personal y presupuesto.
Medición del rendimiento: Monitorear y evaluar el rendimiento de las TIC para garantizar su contribución a los objetivos organizacionales.
Integración con otras actividades de gobernabilidad: Asegurar que la gobernabilidad de TIC se integra con otras áreas de gobernabilidad empresarial.
Dinámico y adaptable: Mantener un sistema de gobernabilidad flexible y adaptable a los cambios tecnológicos y empresariales.
Recomendaciones Principales de COSO para Buenas Prácticas en TIC
COSO, a través de su marco de control interno actualizado en 2013, incluye recomendaciones para la gestión de TIC dentro de sus cinco componentes: entorno de control, evaluación de riesgos, actividades de control, información y comunicación, y monitoreo. Particularmente, el Principio 11 del marco es relevante para TIC:
Principio 11: "La entidad selecciona y desarrolla actividades de control general sobre la tecnología para apoyar el logro de los objetivos". Esto implica implementar controles generales sobre la tecnología, como gobernabilidad de TIC, controles de acceso, gestión de cambios, recuperación de desastres y seguridad informática, para garantizar que las TIC apoyen los objetivos organizacionales.
COSO también sugiere realizar evaluaciones regulares y ad hoc de estas actividades de control, asegurando que sean efectivas y estén alineadas con los procesos empresariales. Por ejemplo, en el contexto de empresas públicas, COSO es crucial para cumplir con normativas como la Ley Sarbanes-Oxley (SOX), que requiere controles internos robustos, incluyendo los relacionados con TIC.
Un detalle interesante es que, aunque COSO no se centra exclusivamente en TIC, su marco complementa a COBIT, especialmente en áreas como la gestión de riesgos y la prevención de fraudes, lo que lo hace relevante para organizaciones que buscan integrar ambos enfoques.
Recomendaciones Principales de ISO para Buenas Prácticas en TIC
ISO, a través de la norma ISO 38500:2015, proporciona seis principios para la gobernabilidad de las TIC, diseñados para guiar a los cuerpos de gobierno en el uso efectivo, eficiente y aceptable de la tecnología. Estos principios son:
Asegurar que las políticas y prácticas de TIC de la organización apoyan su estrategia y objetivos: Las TIC deben alinearse con los objetivos estratégicos de la organización, asegurando coherencia entre tecnología y negocio.
Asegurar que los riesgos relacionados con las TIC sean identificados, comprendidos y gestionados: Implica un enfoque proactivo para identificar riesgos tecnológicos, como ciberataques, y gestionarlos adecuadamente.
Asegurar que el uso de las TIC esté alineado con el apetito general de riesgo de la organización: Las decisiones sobre TIC deben considerar el nivel de riesgo que la organización está dispuesta a asumir.
Asegurar que las inversiones y recursos relacionados con las TIC estén optimizados: Implica una gestión eficiente de los recursos, asegurando que las inversiones en tecnología sean rentables y sostenibles.
Asegurar que el rendimiento relacionado con las TIC se mida, monitoree y reporte: Es necesario establecer métricas e informes para evaluar el impacto de las TIC en la organización.
Asegurar que las actividades relacionadas con las TIC sean consistentes con las leyes, regulaciones y acuerdos contractuales aplicables: Garantizar el cumplimiento legal y regulatorio, incluyendo normativas locales e internacionales.
ISO 38500 es aplicable a todas las organizaciones, independientemente de su tamaño o sector, y establece un vocabulario común para la gobernabilidad de las TIC. Un aspecto inesperado es que esta norma, aunque centrado en la gobernabilidad, también aborda aspectos prácticos como la integración con otras normas, como ISO 27001 para seguridad de la información.
Además, ISO tiene publicados otros estándares para temas relacionados con Informática:
ISO 9899 : El estándar para el lenguaje de programación C.
ISO 2022 : Un esquema de codificación de caracteres para manejar diferentes alfabetos y caracteres.
ISO/IEC 8601 : un estándar para representar fechas y horas, garantizando la consistencia en todos los sistemas de software.
Serie ISO/IEC 27000 : una colección de normas relacionadas con la seguridad de la información
RESUMEN
Esta tabla muestra que, mientras COBIT e ISO se centran en la gobernabilidad de TIC, COSO tiene un enfoque más amplio en controles internos, integrando TIC como parte de su marco. Un detalle interesante es que estas recomendaciones pueden complementarse; por ejemplo, COBIT e ISO 38500 pueden usarse juntos para una gobernabilidad integral, mientras que COSO añade un enfoque en controles específicos.
Estos estándares están descriptos en documentos en pdf.
Las empresas que CON RESPONSABILIDAD realmente deseen implementarlas de manera al menos parcial, DEBEN crear y mantener Un Sistema Informatizado que EN LA PRÁCTICA pueda ser eficaz.
El MECIP, o Modelo Estándar de Control Interno del Paraguay, es un marco diseñado para garantizar el control interno en las entidades públicas, asegurando el cumplimiento de objetivos institucionales mediante normas, principios, acciones y procesos.
Existe una gran similitud entre VARIOS de los objetivos del MECIP con los de COBIT, ISO y COSO.
Lo sensato sería que las organizaciones que utilizan estos paradigmas, USEN UN ÚNICO SISTEMA INTEGRADO para EN REALIDAD estas reglas SE CUMPLAN en beneficio de las organizaciones, de los muchos ususarios, y al final en benficio de la calidad de lo que se hace en nuestro país.
No conozco ninguna empresa que tenga SISTEMAS que INTEGREN estos tres sistemas, y desde hace muchos años, las planillas y papeles que definieron lo que la organización dice que va a hacer o que hizo, están desactualizados, son incompatibles con cosas escritas en otras planillas que deberían estar relacionadas, etc.
Page updated
Google Sites
Report abuse