1

REPÚBLICA BOLIVARIANA DE VENEZUELA

MINISTERIO DEL PODER POPULAR PARA LA EDUCACIÓN

UNIVERSITARIA

UNIVERSIDAD POLITECNICA DEL OESTE “MARISCAL SUCRE”

PNF INFORMATICA

COBIT

Autores: Castellano Carlos CI. 13797343

Correa Ludwig C.I. 16.952.726

Correa Joharry C.I. 15.396.627

González Amiderli C.I.14.299.483

Caracas, Noviembre de 2012

2

INTRODUCCIÓN

A través del contenido de este trabajo se estudiará el concepto amplio

y de gran importancia de COBIT, en sus versiones mejoradas con la finalidad

de establecer parámetros para una organización, aportándonos gran

conocimiento ya que nos sirve para llevar las directrices de un ente. El

desarrollo de COBIT nos ayudará en gran parte a conocer o entender los

problemas de las TI (Tecnologías de la información), a demás conoceremos

la relación de COBIT con otras normas,

3

RESEÑA HISTÓRICA

La necesidad de uso de estándares internacionales, pautas y la

investigación en las mejores prácticas (marco de referencia o framework)

condujeron al desarrollo de los objetivos del control; los cuales son abordados a

través de COBIT, el cual significa Control Objectives for Information and

related Technology o Objetivos de Control para tecnología de la información

y relacionada. El mismo brinda a managers, auditores, y usuarios IT, un set

de medidas, indicadores, procesos y mejores prácticas de consenso general

para asistirlos en maximizar los beneficios derivados del uso de las

tecnologías de información y para obtener un control y gerenciamiento

apropiado de IT en la organización

La investigación para las primeras y segundas ediciones de COBIT,

incluyen la colección y el análisis de fuentes internacionales identificadas y

realizada por los equipos en Europa (universidad libre de Amsterdam), los

E.E.U.U. (universidad politécnica de California) y Australia (universidad de Nuevo

Gales del Sur). Contienen una compilación, revisión e incorporación apropiada

de los estándares técnicos internacionales, códigos de la conducta, estándares

de calidad, estándares profesionales en la revisión, y las prácticas y los

requisitos de la industria, como se relacionan con el marco y con los objetivos

del control individual. Se converso con diversos investigadores para examinar

cada dominio y procesar la información para sugerir los nuevos o modificados

objetivos del control aplicables a los procesos. La consolidación de los

resultados fue realizada por el comité de dirección de COBIT.

4

El proyecto de la edición de COBIT consistió en el desarrollar de las

pautas de la gerencia y el poner al día de la edición de COBIT basada en

nuevas y revisadas referencias internacionales.

El marco de COBIT fue revisado y realizado para apoyar al control de la

gerencia. Proveer a la gerencia un marco para determinar y hacer las opciones

para la puesta en práctica y las mejoras del control sobre su información y

tecnología relacionada, así como funcionamiento de la medida, las pautas de la

gerencia incluyen modelos de la madurez, factores críticos del éxito, los

indicadores dominantes de la meta y los indicadores dominantes del

funcionamiento relacionados con los objetivos del control.

Misión

La misión de COBIT es "investigar, desarrollar, publicar y promocionar un

conjunto de objetivos de control generalmente aceptados para las

tecnologías de la información que sean autorizados (dados por alguien con

autoridad), actualizados, e internacionales para el uso del día a día de los

gestores de negocios (también directivos) y auditores". Gestores, auditores, y

usuarios se benefician del desarrollo de COBIT porque les ayuda a entender

sus Sistemas de Información (o tecnologías de la información) y decidir el

nivel de seguridad y control que es necesario para proteger los activos de

sus compañías mediante el desarrollo de un modelo de administración de las

tecnologías de la información.

PARA QUÉ SIRVE

Independientemente de la realidad tecnológica de cada caso concreto,

COBIT determina, con el respaldo de las principales normas técnicas

internacionales, un conjunto de mejores prácticas para la seguridad, la

5

calidad, la eficacia y la eficiencia en TI que son necesarias para alinear TI

con el negocio, identificar riesgos, entregar valor al negocio, gestionar

recursos y medir el desempeño, el cumplimiento de metas y el nivel de

madurez de los procesos de la organización.

Proporciona a gerentes, interventores, y usuarios TI con un juego de

medidas generalmente aceptadas, indicadores, procesos y las mejores

prácticas para ayudar a ellos en el maximizar las ventajas sacadas por el

empleo de tecnología de información y desarrollo de la gobernación

apropiada TI y el control en una empresa.

Proporciona ventajas a gerentes, TI usuarios, e interventores. La toma de

decisiones es más eficaz porque COBIT ayuda la dirección en la definición

de un plan de TI estratégico, la definición de la arquitectura de la información,

la adquisición del hardware necesario TI y el software para ejecutar una

estrategia TI, la aseguración del servicio continuo, y la supervisión del

funcionamiento del sistema TI. Los usuarios de TI se benefician de COBIT

debido al aseguramiento proporcionado. COBIT beneficia a interventores

porque esto les ayuda a identificar cuestiones de control de TI dentro de la

infraestructura TI de una empresa. Esto también les ayuda a corroborar sus

conclusiones de auditoria.

La misión COBIT es "para investigar, desarrollar, hacer público y

promover un juego autoritario, actualizado, internacional de objetivos de

control de tecnología de información generalmente aceptados para el empleo

cotidiano por directores comerciales e interventores”. Los gerentes,

interventores, y usuarios se benefician del desarrollo de COBIT porque esto

les ayuda a entender sus sistemas TI y decidir el nivel de seguridad (valor) y

control que es necesario para proteger el activo de sus empresas por el

desarrollo de un modelo de gobernación TI.

6

COBIT FAMILIA DE PRODUCTO

El paquete de programas de COBIT completo es un juego que consiste

en seis publicaciones:

1. Resumen(Sumario) Ejecutivo

2. Marco

3. Objetivos de Control

4. Directrices de auditoria

5. Instrumento de puesta en práctica

a) Resumen Ejecutivo el cual, adicionalmente a esta sección de

antecedentes, consiste en una Síntesis Ejecutiva (que proporciona a

la alta gerencia entendimiento y conciencia sobre los conceptos clave

y principios de COBIT) y el Marco Referencial (el cual proporciona a la

alta gerencia un entendimiento más detallado de los conceptos clave y

principios de COBIT e identifica los cuatro dominios de COBIT y los

correspondientes 34 procesos de TI).

b) Marco Referencial que describe en detalle los 34 objetivos de control

de alto nivel e identifica los requerimientos de negocio para la

información y los recursos de TI que son impactados en forma

primaria por cada objetivo de control.

c) Objetivos de Control, los cuales contienen declaraciones de los

resultados deseados o propósitos a ser alcanzados mediante la

implementación de 302 objetivos de control detallados y específicos a

través de los 34 procesos de TI.

d) Directrices de Auditoría, las cuales contienen los pasos de auditoría

correspondientes a cada uno de los 34 objetivos de control de TI de

7

alto nivel para proporcionar asistencia a los auditores de sistemas en

la revisión de los procesos de TI con respecto a los 302 objetivos

detallados de control recomendados para proporcionar a la gerencia

certeza o una recomendaciones de mejoramiento.

e) Conjunto de Herramientas de Implementación, el cual proporciona

lecciones aprendidas por organizaciones que han aplicado COBIT

rápida y exitosamente en sus ambientes de trabajo.

Figura N° 1 pirámide de productos COBIT extraída de la fuente: http://asin0212.blogspot.com/

8

COBIT y OTRAS NORMAS

Las dos normas internacionales usadas hoy son COBIT Y ISO/IEC

17799:2005. COBIT (Objetivos de Control para la Información y la

Tecnología relacionada) fue liberado y usado principalmente por la

comunidad TI. En 1998, las Directrices de Dirección fueron añadidas, y

COBIT se hizo el marco internacionalmente aceptado para la gobernación TI

y el control. ISO/IEC 17799:2005 (el Código de práctica para la Seguridad de

Información la Dirección) es también un estándar internacional y es la mejor

práctica para poner en práctica la dirección de seguridad. Las dos normas no

compiten el uno con el otro y en realidad complementan el uno al otro.

COBIT típicamente cubre una más amplia área mientras ISO/IEC 17799

profundamente es enfocado (concentrado) en el área de seguridad.

Figura N° 2 Describe la interrelación de las dos normas así como ISO/IEC 17799 puede ser

integrado con COBIT. Extraído de la fuente: http://www.monografias.com/trabajos38/cobit/cobit2.shtml

Otras publicaciones de ISACA basado en el marco de COBIT son:

Junta informativa para TI gobernanzas, 2 ª Edición

COBIT y controles de aplicación

Prácticas de Control de COBIT, 2da Edición

Guía de Aseguramiento de TI: Uso de COBIT

Implementación y continuamente mejorar la gobernanza

COBIT inicio rápido, 2 ª Edición

9

COBIT Baseline Security, 2 ª Edición

Los objetivos de control de la ley Sarbanes-Oxley, 2 ª Edición

Los objetivos de control para Basilea II

COBIT Guía del usuario para directores de servicios

COBIT (Asignaciones de la norma ISO / IEC 27002 , CMMI , ITIL , TOGAF ,

PMBOK , etc)

COBIT Online

Ediciones

La primera edición fue publicada en 1996; la segunda edición en 1998; la

tercera edición en 2000 (la edición on-line estuvo disponible en 2003); y la

cuarta edición en diciembre de 2005, y la versión está disponible desde

mayo de 2007.

COBIT 4.1

En su cuarta edición, COBIT tiene 34 objetivos de alto nivel que cubren

210 objetivos de control (específicos o detallados) clasificados en cuatro

dominios: Planificación y Organización, Adquisición e Implementación,

Entrega y Soporte, y, Supervisión y Evaluación. En inglés: Plan and

Organize, Acquire and Implement, Deliver and Support, and Monitor and

Evaluate.

COBIT 5

Isaca lanzó el 10 de abril del 2012 la nueva edición de este marco de

referencia. COBIT 5 es la última edición del framework mundialmente

aceptado, el cual proporciona una visión empresarial del Gobierno de TI que

tiene a la tecnología y a la información como protagonistas en la creación de

valor para las empresas.

10

COBIT 5 se basa en COBIT 4.1, y a su vez lo amplía mediante la

integración de otros importantes marcos y normas como Val IT y Risk IT,

Information Technology Infrastructure Library (ITIL) y las normas ISO

relacionadas.

Beneficios

COBIT 5 ayuda a empresas de todos los tamaños a:

Mantener información de alta calidad para apoyar las

decisiones de negocios

Alcanzar los objetivos estratégicos y obtener los beneficios de

negocio a través del uso efectivo e innovador de las TI

Lograr la excelencia operativa a través de una aplicación fiable

y eficiente de la tecnología

Mantener los riesgos relacionados a TI bajo un nivel aceptable

Optimizar los servicios el coste de las TI y la tecnología

Apoyar el cumplimiento de las leyes, reglamentos, acuerdos

contractuales y las políticas

COBIT para la seguridad de la información

En el mes de junio del 2012, ISACA lanzó "COBIT 5 para la seguridad de

la información", actualizando la última versión de su marco a fin de

proporcionar una guía práctica en la seguridad de la empresa, en todos sus

niveles.

“COBIT 5 para seguridad de la información puede ayudar a las empresas

a reducir sus perfiles de riesgo a través de la adecuada administración de la

seguridad. La información específica y las tecnologías relacionadas son cada

11

vez más esenciales para las organizaciones, pero la seguridad de la

información es esencial para la confianza de los accionistas”

Val IT

Recientemente, ISACA ha publicado Val IT, que relaciona los procesos

de COBIT con los procesos de la gerencia mayor requeridos para conseguir

un buen valor de las inversiones en tecnologías de la información.

COBIT 5 una nueva versión del ya conocido estándar para el

cumplimiento de objetivos de control para el CIO y su área. Esta versión,

profundamente revisada y mejorada, provee un marco de referencia integral

que contribuye en la organización al logro de los objetivos y entrega de valor

a través de un efectivo gobierno y gestión de la TI empresarial. A partir de su

participación en la crítica objetiva en los borradores preliminares del modelo,

en este artículo, Sergio Sperat, socio de Estratega y profesional certificado

en el gobierno de TI empresarial (CGEIT), responde las preguntas que el CIO

se hace al acercarse a este nuevo estándar para ayudarle a descubrir cómo

le puede ayudar a mejorar su gestión.

¿Cuál es el propósito de COBIT?

COBIT fue creado para ayudar a las organizaciones a obtener el valor

óptimo de TI manteniendo un balance entre la realización de beneficios, la

utilización de recursos y los niveles de riesgo asumidos. COBIT 5 posibilita

que TI sea gobernada y gestionada en forma holística para toda la

organización, tomando en consideración el negocio y áreas funcionales de

punta a punta así como los interesados internos y externos. COBIT 5 se

puede aplicar a organizaciones de todos los tamaños, tanto en el sector

privado, público o entidades sin fines de lucro.

12

¿Quién utiliza COBIT?

COBIT es empleado en todo el mundo por quienes tienen como

responsabilidad primaria los procesos de negocio y la tecnología, aquellos de

quien depende la tecnología y la información confiable, y los que proveen

calidad, confiabilidad y control de TI.

¿Qué ocurrió con los objetivos de control en COBIT 5?

Al basarse en 5 principios y 7 habilitadores, COBIT 5 utiliza prácticas de

gobierno y gestión para describir las acciones que son ejemplo de mejores

prácticas de su aplicación. COBIT 5 ha cambiado su enfoque de objetivos de

control a una visión por proceso, descripta en detalle por uno de los

principales redactores del nuevo estándar, Erik Guidentops, en su artículo

“Where Have All The Control Objectives Gone?”

¿Cuáles son los 5 principios de COBIT 5?

1. Satisfacer las necesidades del accionista

2. Considerar la empresa de punta a punta

3. Aplicar un único modelo de referencia integrado

4. Posibilitar un enfoque holístico

5. Separar gobierno de la gestión.

¿Cuáles son los 7 habilitadores de COBIT 5?

1. Principios, políticas y modelos de referencia

2. Procesos

3. Estructuras organizacionales

4. Cultura, ética y comportamiento

5. Información

13

6. Servicios, infraestructura y aplicaciones

7. Gente, habilidades y competencias.

¿Qué hay de la separación entre Gobierno y Gestión?

El gobierno asegura que los objetivos empresariales se logran evaluando

las necesidades de los accionistas, las condiciones y opciones; establecer la

dirección a través de la priorización y la toma de decisiones; y monitorear el

desempeño, el cumplimiento y el progreso versus la dirección y objetivos

acordados (EDM, por Evaluar, Dirigir, Monitorear).

Por su parte la gestión se ocupa de planificar, construir, ejecutar y

monitorear las actividades alineadas con la dirección establecida por el

organismo de gobierno para el logro de los objetivos empresariales (PBRM ó

Planificar, Construir, Ejecutar y Monitorear, por su sigla en inglés).

La siguiente imagen sintetiza muy bien estos dos conceptos, muchas

veces confundidos:

14

Figura N° 3 Necesidades del negocio, extraida de la fuente:

http://francoitgrc.wordpress.com/2012/06/07/it-grc-segun-cobit-5-parte-1-it-governance/

¿Es COBIT 5 un modelo superior a otros modelos de control

aceptados?

La mayoría de los ejecutivos conocen la importancia de los marcos

generales de control en relación con la responsabilidad fiduciaria, tales como

COSO, Cadbury, CoCo, Sarbanes-Oxley. Sin embargo, no necesariamente

son conscientes del nivel de detalle de cada uno. Por otro lado, los

ejecutivos cada vez más conocen la importancia de guías técnicas como ITIL

(para la gestión de servicios de TI) e ISO 27001 (para seguridad de

información).

Si bien estos estándares y modelos enfatizan el control del negocio y la

seguridad y servicio de TI, COBIT es el único que se ocupa de los controles

específicos de TI desde la perspectiva del negocio. De hecho, COBIT 5 se

15

basa en ISO/IEC 15504 e ITIL. No se pretende que COBIT reemplace estos

modelos de control, sino lo que se destacan son los elementos de gobierno y

gestión y las prácticas necesarias para crear valor para la compañía.

¿Cuál es la forma más rápida y efectiva de presentar COBIT a los

ejecutivos?

La cultura empresarial es de vital importancia. Una cultura proactiva será

más receptiva que una que no lo es. Sin embargo, hay que considerar el

énfasis que COBIT hace en la creación de valor para el accionista por estar

guiado por los objetivos del negocio, la alineación con estándares

internacionales reconocidos y su simplicidad. Las áreas de gobierno y

gestión emanan de tan sólo 5 principios y 7 habilitadores.

Al establecer la lista de requerimientos, COBIT combina los principios

contenidos en los modelos referenciales existentes y conocidos:

a) Requerimientos de Calidad: Calidad, Costo y Entrega (de

servicio).

b) Requerimientos fudiciarios Coso: Efectividad & eficiencia de

operaciones, Confiabilidad de la información y Cumplimiento de

las leyes & regulaciones.

c) Requerimientos de Seguridad: Confidencialidad, Integridad,

Disponibilidad

La Calidad ha sido considerada principalmente por su aspecto

„negativo‟ (no fallas, confiable, etc.), lo cual también se encuentra contenido

en gran medida en los criterios de Integridad. Los aspectos positivos pero

menos tangibles de la calidad (estilo, atractivo, “ver y sentir14”, desempeño

más allá de las expectativas, etc.) no fueron, por un tiempo, considerados

16

desde un punto de vista de Objetivos de Control de TI. A continuación se

muestran las definiciones de trabajo de COBIT:

a) Efectividad: Se refiere a que la información relevante sea pertinente

para el proceso del negocio, así como a que su entrega sea oportuna,

correcta, consistente y de manera utilizable.

b) Eficiencia: Se refiere a la provisión de información a través de la

utilización óptima (más productiva y económica) de recursos.

c) Confidencialidad: Se refiere a la protección de información sensible

contra divulgación no autorizada.

d) Integridad: Se refiere a la precisión y suficiencia de la información, así

como a su validez de acuerdo con los valores y expectativas del

negocio.

e) Disponibilidad: Se refiere a la disponibilidad de la información

cuando ésta es requerida por el proceso de negocio ahora y en el

futuro. También se refiere a la salvaguarda de los recursos necesarios

y capacidades asociadas.

f) Cumplimiento: Se refiere al cumplimiento de aquellas leyes,

regulaciones y acuerdos contractuales a los que el proceso de

negocios está sujeto, por ejemplo, criterios de negocio impuestos

externamente.

g) Confiabilidad de la Información: Se refiere a la provisión de

información apropiada para la administración con el fin de operar la

entidad y para ejercer sus responsabilidades de reportes financieros y

de cumplimiento.

Los recursos de TI identificados en COBIT pueden explicarse/definirse

como se muestra a continuación:

17

a) Datos: Los elementos de datos en su más amplio sentido, (por

ejemplo, externos e internos), estructurados y no estructurados,

gráficos, sonido, etc.

b) Aplicaciones: Se entiende como sistemas de aplicación la suma de

procedimientos manuales y programados.

c) Tecnología: La tecnología cubre hardware, software, sistemas

operativos, sistemas de administración de bases de datos, redes,

multimedia, etc.

d) Instalaciones: Recursos para alojar y dar soporte a los sistemas de

información.

e) Personal: Habilidades del personal, conocimiento, conciencia y

productividad para planear, organizar, adquirir, entregar, soportar y

monitorear servicios y sistemas de información

Dominios de Cobit

Las definiciones para los dominios mencionados son las siguientes:

a) Planeación y Organización: Este dominio cubre la estrategia y las

tácticas y se refiere a la identificación de la forma en que la tecnología

de información puede contribuir de la mejor manera al logro de los

objetivos del negocio. Además, la consecución de la visión estratégica

necesita ser planeada, comunicada y administrada desde diferentes

perspectivas. Finalmente, deberán establecerse una organización y

una infraestructura tecnológica apropiadas.

b) Adquisición e Implementación: Para llevar a cabo la estrategia de

TI, las soluciones de TI deben ser identificadas, desarrolladas o

adquiridas, así como implementadas e integradas dentro del proceso

18

del negocio. Además, este dominio cubre los cambios y el

mantenimiento realizados a sistemas existentes.

c) Entrega y Soporte: En este dominio se hace referencia a la entrega

de los servicios requeridos, que abarca desde las operaciones

tradicionales hasta el entrenamiento, pasando por seguridad y

aspectos de continuidad. Con el fin de proveer servicios, deberán

establecerse los procesos de soporte necesarios. Este dominio incluye

el procesamiento de los datos por sistemas de aplicación,

frecuentemente clasificados como controles de aplicación.

d) Monitoreo: Todos los procesos necesitan ser evaluados regularmente

a través del tiempo para verificar su calidad y suficiencia en cuanto a

los requerimientos de control. En resumen, los Recursos de TI

necesitan ser administrados por un conjunto de procesos agrupados

en forma natural, con el fin de proporcionar la información que la

empresa necesita para alcanzar sus objetivos.

En la figura No. 4 se muestra la interacción de estos ítems.

Acerca del autor de este artículo

Sergio Sperat es socio de Estratega y tiene una trayectoria de más de 20

años como consultor en estrategia de áreas de TI y negocios, desarrollada

en una amplia variedad de industrias en Argentina, Chile, México y Estados

Unidos. Es Licenciado en Análisis de Sistemas de la Facultad de Ingeniería

de la Universidad de Buenos Aires, hizo su Programa de Dirección de

Empresas en el IAE Business School en 1995, completó su Maestría en

Administración de Empresas en IDEA y London Business School, en

19

Inglaterra en 2001. Fue profesor adjunto del postgrado del Master en

Administración de Empresas de IDEA.

Sergio está certificado en COBIT y CGEIT (ISACA) y se desempeña

como responsable de Aseguramiento de Calidad y Dirección de Proyectos de

Estratega. Sergio está certificado como consultor Blue Ocean Strategy

Practitioner por el Blue Ocean Strategy Institute (Reino Unido).

20

Figura No. 4: Procesos de It de Cobit definidos dentro de los cuatro dominios

21

CONCLUSION

El propósito de COBIT es Investigar, desarrollar, publicar y promover un

conjunto de objetivos de control en tecnología de información con autoridad,

actualizados, de carácter internacional y aceptados generalmente para el uso

cotidiano de gerentes de empresas y auditores.

Mientras COBIT, brinda buenas prácticas a través de un marco de

trabajo de dominios y procesos, y presenta las actividades en una estructura

manejable y lógica. Las buenas prácticas de COBIT representan el consenso

de los expertos. Están enfocadas fuertemente en el control y menos en la

ejecución. Están enfocadas fuertemente en el control y menos en la

ejecución. Estas prácticas ayudan a optimizar las inversiones facilitadas por

la TI, aseguran la entrega del servicio y brindan una medida contra la cual

juzgar cuando las cosas no vayan bien.

22

REFERENCIAS BIBLIOGRAFICAS

http://www.buenastareas.com/ensayos/El-Cobit/129027.html.

http://msaffirio.wordpress.com/2007/03/03/la-cobit-y-la-

organizacion-del-area-informatica/.

http://es.wikipedia.org/wiki/Objetivos_de_control_para_la_inform

aci%C3%B3n_y_tecnolog%C3%ADas_relacionadas.

Comité Directivo de Cobit: COBIT Directrices de Auditoria; abril

1998, 2da edición.