Descripción General
¿Qué es la Auditoría TI bajo COBIT?
COBIT (Control Objectives for Information and Related Technologies) es el marco de referencia internacional para la gobernanza y gestión de las tecnologías de información, desarrollado por ISACA. COBIT 2019, su versión más reciente, define 40 objetivos de gestión organizados en dominios que cubren todo el ciclo de vida de la TI en la organización: desde la alineación estratégica hasta la entrega de valor, la gestión del riesgo, la gestión de recursos y la medición del desempeño.
La Auditoría TI bajo COBIT de PeruSecurity es una evaluación independiente que determina el nivel de madurez de la gobernanza TI de tu organización, identifica las brechas entre el estado actual y las buenas prácticas del marco, y produce recomendaciones concretas para mejorar el alineamiento entre TI y el negocio, optimizar los procesos de gestión tecnológica y fortalecer los controles que reducen el riesgo operacional y de cumplimiento.
¿Por qué es relevante en el Perú?
La Contraloría General de la República utiliza COBIT como referencia para las auditorías de TI en entidades del sector público. La SBS exige a las entidades financieras mantener procesos de gestión TI documentados y auditables. Las empresas que aspiran a certificaciones ISO 27001 o que participan en licitaciones internacionales encuentran en COBIT el complemento natural para demostrar madurez en gobernanza tecnológica. Y cualquier directorio que quiere ejercer su deber de diligencia sobre los activos tecnológicos de la organización necesita la perspectiva independiente que solo una auditoría externa puede proporcionar.
¿Quién lo necesita?
- Entidades públicas sujetas a auditorías de la Contraloría General de la República
- Entidades financieras que deben demostrar madurez en gestión TI ante la SBS
- Empresas que quieren alinear COBIT con su implementación de ISO 27001
- Organizaciones en proceso de transformación digital que necesitan una base sólida de gobierno TI
- Directorios que quieren una evaluación independiente del desempeño del área de TI
- Empresas que han experimentado incidentes TI recurrentes y necesitan identificar causas raíz en sus procesos
- Gerencias de TI que quieren una validación externa de su modelo de gestión
¿Qué evalúa la auditoría?
Alineación estratégica TI-negocio — Evaluación de si los objetivos, inversiones y prioridades de TI están alineados con la estrategia del negocio, y si la dirección cuenta con los mecanismos para dirigir y supervisar la función TI.
Gestión del riesgo TI — Revisión de los procesos de identificación, evaluación y tratamiento de los riesgos tecnológicos, incluyendo el marco de apetito de riesgo, los controles implementados y la supervisión continua.
Gestión de servicios y operaciones TI — Evaluación de los procesos de gestión de incidentes, problemas, cambios, configuración y disponibilidad de los servicios tecnológicos, bajo los principios ITIL integrados en COBIT.
Seguridad de la información — Revisión del gobierno de la seguridad de la información como subdominio de COBIT: políticas, responsabilidades, controles de acceso, gestión de incidentes de seguridad y cumplimiento normativo.
Gestión de proveedores y terceros — Evaluación de los procesos de selección, contratación, supervisión y terminación de relaciones con proveedores tecnológicos, incluyendo proveedores de nube y servicios gestionados.
Medición del desempeño TI — Revisión de los indicadores de desempeño (KPIs, KRIs) que la organización utiliza para medir y comunicar el valor y el riesgo de TI a la dirección y el directorio.
