Alineando COBIT, ITIL e ISO 17799. La importancia de las TI en el cumplimiento de Sarbanes Oxley

Interesante documento el que propone José Manuel para leer tranquilamente, aprovechando que en verano siempre se tiene un extra de tiempo disponible.

Es un PDF de ISACA, en el que se habla de cómo alinear tres de los principales marcos de trabajo de gestión de la seguridad existentes en la actualidad: la metodología de control por objetivos CobiT, la metodología ITIL y las buenas prácticas de ISO 17799. El documento se titula Aligning COBIT, ITIL and ISO 17799 for Business Benefit.

El alineamiento es posible mapeando ITIL e ISO 17799 hacia CobiT. Sería posible mapear en otras direcciones, y de hecho yo haría un mapeo de CobiT e ITIL hacia ISO 17799, ya que el orden de los factores no altera el producto, pero bueno, CobiT es algo de ISACA y por tanto, es comprensible el porqué de ese orden de referencias. También hay que entender que en el mercado norteamericano, de donde emana y a donde se dirige principalmente este paper, lo común es tener a CobiT como referencia, en detrimento de los otros marcos.

Así, por poner un ejemplo, para el dominio de CobiT «Plan and Organise. P01. Definine a Strategic IT Plan«, es posible buscar similitud con el punto 4.1 de ISO 17799 (Infraestructura de seguridad de la información) y con los puntos 4 y 2.5 de ITIL (Alineado de estrategia TI / Negocio y el proceso de planificación estratégica, respectivamente). En todos estos puntos tenemos en común la circunstancia de que la planificación estratégica de un negocio debe contemplar a las tecnologías de la información como parte crucial, y que por tanto, deben tener su plan estratégico propio, alineado siempre con los requisitos del negocio.

El resto del documento identifica similitudes entre los tres marcos citados. Cada relación entre los tres marcos es un alineamiento.

sarbanes oxley act

Y para rizar el rizo, otro documento de control, con el acta Sarbanes Oxley (SOX) en el starring. IT Control Objectives for Sarbanes-Oxley. En este caso, como no podía ser de otro modo, se trata lo importante y sustancial de establecer, dentro de las políticas de transparencia en el reporting financiero y la revelación pública de información financiera, los mecanismos de diseño, implementación y sostenibilidad de control y gobierno TI, que aseguren que se verifique, en todo momento, que el estado financiero de una cuenta determinada es conocido, no manipulable y accesible para su revisión por parte de auditores independientes, que aseguren la transparencia y la veracidad de las cuentas.

Recordemos que SOX surge a raíz de los escándalos financieros de Enron y otras grandes compañías, en los que, tras innumerables operaciones de maquillaje financiero, se ocultó premeditadamente un estado de quiebra bajo la apariencia de una boyante y saneada cuenta de resultados.

Este escándalo, que se remonta a finales del 2001, se produjo al declarar Enron ganancias superiores a los 1000 millones de dólares, para luego, el 2 de diciembre de ese mismo año, reconocer un agujero real de 30.000 millones de dólares. Este anuncio arruinó a los accionistas y empleados, al sufrir un descalabro bursátil la cotización de las acciones, que bajaron de los 90 a los 0.42 dólares, con el agravante de la pérdida del fondo de pensiones de la compañía, cifrado en unos 700 millones de dólares.

Sirva este triste episodio para poner de relieve la importancia del control y la transparencia en las operaciones financieras de las compañías, así como los métodos de auditoría TI que posibilitan que esa transparencia sea efectiva y constatable.

9 comentarios sobre “Alineando COBIT, ITIL e ISO 17799. La importancia de las TI en el cumplimiento de Sarbanes Oxley

  1. La verdad es muy interesante el como se plantea conjugar estas «best practices» para el aseguramiento de TI a nivel mundial…

    El control nunca es suficiente.

    Saludos!

  2. hola!
    me gutaría saber si tienen algún documento que me permita saber la manera en la que se relaciona SOX con el desarrollo de un sistema.
    Algún ejemplo real o documento

  3. creo que deberian ser mas especificos y concretos, este material es muy poco eficiente y no dice aspectos importantes, como la importancia entre otras cosas. De todas formas, gracias por el esfuerzo

  4. Me encantaria que me ayuden!!! como esas mejores practicas (Itil, coso, cobit ,Iso 2700) ayudan a los auditores de sistemas..
    Gracias

  5. No debería hacerse mucho caso de un marco de referencia con ITIL, cuyos principales acreditadotes APMG y EXIN regalan las certificaciones, a través de exámenes de certificación, en los que con antelación al examen, se conoce el caso de estudio, las preguntas, e incluso las respuestas tipo.

    Eso tiene un nombre

    Ahí van los exámenes:

    APMG:

    =Responsabilidades de un gestor de cambios
    =Dificultades de no contar con la G de cambios
    =Costes de no terner la G. de cambios
    =Beneficios del proceso de G. de la Configuracion
    =Como apoya el Centro de Servicios a G. de Problemas, cambios, entregas y configuración.
    =A quien involucraría para escribir y probar los guiones y procedimientos del Centro de Servicios.
    =Criterios para clasificar e investigar problemas
    =Dependencias entre la CMDB y G. de problemas
    =Pasos para implantar una suite informçatica
    =Alianzas necesarias para diseñar el plan de continuidad en la fase de planificaciçon inicial
    =Etapas de ITSC y las salidas que genera
    =Documentos que se enconttrarçian en una auditoria del proces de Gestiçon de niveles de servicio
    ´=Problemas de una organizaciçon sin SLA
    =Como introducir la ´G de la demanda
    =Dificultades de usar sçolo recursos monetarios para deshacerse de los problemas de capacidad
    =Como medir el ROI de una ONG
    =Elementos clave de un modelo de costes
    =Contenidos del plan de disponibilidad
    =A quien involucrar para analizar la interrupciçon del servicioo ¿SOA
    =Beneficios de diseñar para la disponibilidad.

    El de EXIN:

    http://exin-exams.es/~/media/Extranet%20Documents/Exams/Exam%20Program/it%20service%20management/it%20service%20management%20service%20delivery/Sample%20exam%20ITSD%20European%20Spanish%20incl%20%20case%20A589%201%200408%20pdf.ashx

    Y en esta Dirección de correo, te lo proporcionan todo, caso, preguntas del examen, hasta las soluciones.

    sapetcosmv2@gmail.com

    Hala, el que no apruebe es por que no quiere.

Comentarios cerrados.