Búsqueda


21 de febrero de 2007

Mas respuestas a preguntas

Otro lector del blog, esta vez identificado como Jrolivas72, plantea otra consulta:

Felicidades por tu blog Antonio, te mando un cordial saludo desde México (Baja California). Viendo tu experiencia te quería preguntar algo; actualmente estoy preparando el programa de auditoría para el area de TI, espero iniciarla en 30 días. Mis colegas de TI no tienen algún modelo implementado y con esta auditoría se pretende encaminarlos en el Gobierno de TI. Crees que sea conveniente auditar con COBIT 3 (Audit Guidelines 3)?. Veo que COBIT 4 ahora trae un tercio menos de objetivos! y es mas conciso... Saludos y te agradezco cualquier comentario.

¡Caramba! Esta no está mal... con tan poca información será difícil contestar y acertar, pero vamos a ver qué podemos hilvanar como respuesta.

El principal problema con el que nos encontramos en esta pregunta es que no sabemos para qué se está preparando el programa de auditoría, cuáles son los objetivos de este plan de auditoría. Yo no soy partidario de "auditar porque sí", sino que soy más partidario de auditar y recomendar.

Es decir, si el programa de auditoría está pensado con el fin de detectar anomalías o incumplimientos de un conjunto de políticas determinado (es decir, se plantea la necesidad de Gobierno de TI, se definen los procesos, controles, políticas, etc y se define un plan de auditoría que deba comprobar el cumplimiento, entonces se puede utilizar CobiT para definir este plan siempre y cuando se haya utilizado CobiT para la definición de las políticas, controles, etc.)

Ahora bien, si el programa de auditoría está pensado para establecer "cuán lejos estamos de los objetivos planteados por CobiT", entonces no estamos ante un plan de auditorías sino ante un plan de assessments o de evaluación de la madurez.

Una vez reflexionado sobre este punto, vamos a ver qué es más conveniente, la V.3 o la V.4: es una lástima que vayas a empezar en 30 días, porque, tal y como veiamos en el artículo sobre CobiT 4.1, la ISACA está a punto de publicar el equivalente a las guías de auditoría y las guías de implantación para cada uno de los controles en CobiT 4. Pero si no te puedes esperar, comienza el desarrollo con las guías de auditoría de COBIT 3 y posteriormente "haz madurar tu plan hacia Cobit 4"

De todas formas, lo último que te puedo recomendar es tragarte las guías de auditoría de CobiT 3 sin modificación, adaptación y "moldeado" a las políticas, prácticas y experiencias en tu propia organización. Es de recibo adaptar Cobit a las necesidades de tu compañia y adoptar únicamente las partes necesarias, pues si no estarás introduciendo una presión excesiva e innecesaria a tu área de IT.

7 comentarios:

Antonio Alviárez dijo...

Madre mía que interesante blog, sobre todo para le gente que necesita del tema, muy original de tu parte. Saludos y un voto para ti en 20 m.
Te invito a conocer el mio.

alba dijo...

Hola,

Necesito recaudar información sobre COBIT, soy un poco ignorante sobre este tema la verdad, y no estoy segura de si hablamos de lo mismo, tiene relación con CALIDAD DE SOFTWARE, es que la información que necesito esta relacionada con la calidad de software, y necesitaria saber Qué es COBIT, para que sirve, de que se compone... y una larga lista de preguntas.

Siento si voy mal encaminada o me estoy equivocando.

gracias.

mi e-mail es el siguiente albita_g@hotmail.com

Sergio Hernando dijo...

Estoy contigo Antonio.

Para auditar lo primero es definir un objetivo y un alcance. Una vez conocidos ambos, es momento de seleccionar la/s metodología/s que emplearemos.

En el caso de CobIT recordaos que es una metodología para el establecimiento de objetivos de control, y que por tanto, no siempre será la mejor elección. Hay muchas auditorías donde, por motivos que no vienen al caso, se dispone de frameworks y metodologías más apropiadas.

Por ejemplo, para auditar código abierto, yo no me iría a CobIT, sino que me decantaría por Open Source Security Testing Methodology Manual.

Un saludo,

Antonio Valle dijo...

Agredecer desde aqui la participacion de Sergio Hernando, que al fin y al cabo tiene más practica que yo en el mundo de la auditoria.

A todos los interesados en temas de auditoria de SI, les recomiendo que visiten su blog en:

http://www.sahw.com/wp/

Antonio Alviárez dijo...

Hola un saludo, te dejo mi voto por el día de hoy, aquí unidos por Conejito :-)

jrolivas dijo...

Muchas gracias Antonio por tus comentarios. Estamos retomando el camino y actualmente estamos definiendo el alcance y objetivos mediante evaluaciones y cuestionarios. Nos espera una tarea ardua y muy interesante. No fué posible enviarte mi Voto por no tener un Blog inscrito pero aqui mi tendrás de lector asiduo. Saludos y suerte!.

Ricardo Javier dijo...

Hola Antonio.
Muy bueno tu blog, soy un lector asiduo y he recibido varias recomendaciones y me ha sido muy util al ir a los sitios que recomiendas para consultar mas a fondo los estandares ITIL y COBIT principalmente, pero ahora la pregunta que te hago es si en algún lugar habrá una guia para auditar la implantación de Sistemas ERP, sé que ISACA ha realizado algunos mapeos de COBIT con PMBOK,CMMI,ITIL, ISO17799 y que cubren algunos aspectos a considerar.
¿Alguna sugerencia?