Alături de Common Criteria şi BS 7799 (ISO 27001), standardul COBIT (Control Objectives for Information and Related Technology), elaborat de ISACA (Information Systems Audit and Control Association – Asociaţia Internaţională a Auditorilor de Sisteme Informatice), este cel de-al treilea standard internaţional, prin care se poate realiza dezvoltarea şi creşterea securităţii sistemelor informatice.
COBIT este un set de obiective de control în domeniul informaticii, acceptate pe plan internaţional, care se pot aplica în general şi care sunt recunoscute în domeniul controlului de securitate şi reglementare informatică.
În cursul procesului de elaborare a standardului COBIT, s-au luat în calcul mai ales considerente ale trei grupuri profesionale diferite :

  • Pentru persoanele de conducere la nivel înalt oferă asistenţă în privinţa managementului de risc al mediului informatic aflat în mişcare continuă, respectiv în deciziile cu privire la investiţiile necesare pentru crearea controalelor.
  • Pentru utilizatori asigură controlul şi securitatea serviciilor informatice.
  • Pentru controlorii sistemului de informaţii creează o bază uniformă pentru evaluarea controalelor interne, respectiv pentru activităţile de estimare şi consultare pentru management.

CobiT permite dezvoltarea de politici şi bune practici pentru controlul informaţiei în cadrul unei organizaţii, pornind de la premiza că tehnologia informaţiei trebuie să livreze informaţia de care organizaţia are nevoie pentru a-şi atinge obiectivele. CobiT tratează de asemenea cerinţele de securitate şi de calitate ale organizaţiei, furnizând şapte criterii care pot fi folosite pentru a defini generic cerinţele afacerii faţă de tehnologia informaţiei: eficienţă, eficacitate, disponibilitate, integritate, confidenţialitate, credibilitate şi conformitate.

Implementarea CobiT permite o mai bună aliniere între tehnologia informaţiei şi afacere, o perspectivă mai clară a managementului asupra activităţilor informatice, responsabilităţi clare, condiţii generale de acceptare cu terţe părţi şi organisme de reglementare, o înţelegere comună bazată pe un limbaj comun. Structura de control propusă de CobiT face legătura între iniţiativele tehnologiei informaţiei şi cerinţele afacerii, creează posibilitatea organizării activităţilor informatice într-un model de proces general acceptat, identifică principalele resurse informatice ce pot fi exploatate şi defineşte obiective de control.

Obiectivele de control, ghidurile de management şi modelele de maturitate constituie nucleul CobiT, care este divizat pe 34 de procese informatice, fiecare proces fiind acoperit în patru secţiuni ce oferă o imagine completă asupra controlului, administrării şi măsurării procesului.

În ceea ce priveşte securitatea informaţiei, cerinţa de business este protejarea informaţiei împotriva utilizării neautorizate, a dezvăluirii, modificării, pierderii sau coruperii. Controlul procesului care satisface această cerinţă de business se activează prin controlul accesului logic, care să asigure că accesul la sisteme, date şi aplicaţii este permis doar utilizatorilor autorizaţi, prin metode şi practici precum autentificarea, autorizarea şi controlul accesului, crearea de profile de utilizatori, cerinţele de confidenţialitate, administrarea cheilor criptografice, managementul incidentelor, şcolarizarea corespunzătoare a utilizatorilor, administrarea centralizată a securităţii, instrumente de monitorizare etc.

Cunoaşterea acestor standarde este un prim pas în procesul de organizare a activităţilor informatice şi a securităţii, de îmbunătăţire a calităţii serviciilor informatice şi de administrare a riscurilor, în final de atingere a unui nivel superior de calitate în executarea şi livrarea acestor servicii.

Adoptarea acestor standarde internaţionale oferă o serie de avantaje clare: abordarea securităţii informaţiei în contextul general al afacerii, al strategiei, tehnologiei şi comportamentului uman, cu efectul adoptării unor decizii mai bune privind politica şi implementarea soluţiilor de securitate.

3 Comments to “COBIT”

  1. andrei says:

    ce se intelege prin notiunea de ‘stakeholder’?asa cum e folosita in cobit..daca stiti

  2. Un individ sau un grup de indivizi care au un interes semnificativ vis-à-vis de succesul sau eşecul procesului;
    Poate coincide cu beneficiarul, intermediarul sau adversarul unui proces;
    Grijile, interesele şi capacitatea de acţiune ale acestora sunt diferite şi de aceea este foarte importantă identificarea corectă a grupurilor de interes.

  3. andrei says:

    Exista ceva documentatie recunoscuta dupa care se poate face o evaluare adecvata a riscurilor?