Historia COBIT

En 1996, la primera edición de COBIT fue publicada. Esta incluía la colección y análisis de fuentes
internacionales reconocidas y fue realizada por equipos en Europa, Estados Unidos y Australia.

En 1998, fue publicada la segunda edición; su cambio principal fue la adición de las guías de
gestión. Para el año 2000, la tercera edición fue publicada y en el 2003, la versión en línea ya se
encontraba disponible en el sitio de ISACA.

Fue posterior al 2003 que el marco de referencia de COBIT fue revisado y mejorado para
soportar el incremento del control gerencial, introducir el manejo del desempeño y mayor
desarrollo del Gobierno de TI.

En diciembre de 2005, la cuarta edición fue publicada y en Mayo de 2007, se liberó la versión
4.1.

La versión número 5 de COBIT fue liberada en el año 2012. En esta edición se consolida e
integran los marcos de referencia de COBIT 4.1, Val IT 2.0 y Risk IT. Este nuevo marco de
referencia viene integrado principalmente del Modelo de Negocios para la Seguridad de la
Información (BMIS, Business Model for Information Security) y el Marco de Referencia para el
Aseguramiento de la Tecnología de la Información (ITAF, Information Technology Assurance
Framework).
¿Qué es COBIT?
Su sigla en inglés se refiere a Control Objectives for Information and Related Technology y es un
conjunto de mejores prácticas para el manejo de información creado por la Asociación para la
Auditoría y Control de Sistemas de Información (ISACA), y el Instituto de Administración de las
Tecnologías de la Información (ITGI) en 1992.

Cobit es un marco de referencia para la dirección de IT, asi como también de herramientas de
soporte que permite a la alta dirección reducir la brecha entre las necesidades de control,
cuestiones técnicas y los riesgos del negocio. Cobitpermite el desarrollo de políticas claras y
buenas prácticas para el control de TI en las organizaciones. Cobit enfatiza el cumplimiento
normativo, ayuda a las organizaciones a aumentar el valor obtenido de TI, facilita su alineación
y simplifica la implementación del marco de referencia de Cobit.

El propósito de Cobit es brindar a la Alta Dirección de una compañía confianza en los sistemas
de información y en la información que estos produzcan. Cobitpermite entender como dirigir y
gestionar el uso de tales sistemas así como establecer un codigo de buenas prácticas a ser
utilizado por los proveedores de sistemas. Cobit suministra las herramientas para supervisar
todas las actividades relacionadas con IT.

¿Para qué sirve COBIT?

COBIT fue creado para ayudar a las organizaciones a obtener el valor óptimo de TI manteniendo un
balance entre la realización de beneficios, la utilización de recursos y los niveles de riesgo
asumidos. COBIT 5 posibilita que TI sea gobernada y gestionada en forma holística para toda la
organización, tomando en consideración el negocio y áreas funcionales de punta a punta así como los
interesados internos y externos. COBIT 5 se puede aplicar a organizaciones de todos los tamaños,
tanto en el sector privado, público o entidades sin fines de lucro.

¿Quién utiliza COBIT?

COBIT es empleado en todo el mundo por quienes tienen como responsabilidad primaria los procesos
de negocio y la tecnología, aquellos de quien depende la tecnología y la información confiable, y los
que proveen calidad, confiabilidad y control de TI.

Principales Características:
 Orientado al negocio

 Alineado con estándares y regulaciones "de facto"

 Basado en una revisión crítica y analítica de las tareas y actividades en TI

 Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)

 Se aplica a los sistemas de información de toda la empresa.

OBJETIVO COBIT
El objetivo principal del proyecto COBIT, es el desarrollo de políticas claras y buenas prácticas
para la seguridad y el control de tecnología de información, con el fin de obtener la aprobación
y el apoyo de las entidades comerciales, gubernamentales y profesionales en todo el mundo.
La meta del proyecto es el desarrollar estos objetivos y necesidades de la empresa. Esto
concuerda con la perspectiva COSO, que constituye el primer y mejor marco referencial para la
administración en cuanto a controles internos. Posteriormente, los objetivos de control fueron
desarrollados a partir de la perspectiva de los objetivos de auditoría (certificación de
información financiera, certificación de medidas de control interno, eficiencia y efectividad,
etc).

El objetivo es lograr que los servicios de TI se entreguen de acuerdo con las prioridades del
negocio, la optimización de costos, asegurar que la fuerza de trabajo utilice los sistemas de modo
productivo y seguro, implantar de forma correcta la confidencialidad, la integridad y la
disponibilidad.

VENTAJAS Y DESVENTAJAS DE COBIT

Ventajas
 Suministra un lenguaje común que le permite a los ejecutivos de negocios comunicar
sus metas, objetivos y resultados con Auditores, IT y otros profesionales.
 Proporciona las mejores prácticas y herramientas para monitorear y gestionar las
actividades de IT.
 Protege la información, es decir lograr la confidencialidad de la información.
 Disponibilidad de la información cuando ésta se requiere por el proceso de negocio
en todo momento.
 COBIT proporciona las directrices para tomar las decisiones en la realización de
servicios.
 Este marco de referencia proporciona roles y responsabilidades.
 Proporciona la optimización de los costos de las TI.
 Este marco no obliga a adoptar todos los procesos.
 COBIT integra auditorias, analiza todo su procesos atreves de las auditorias.

Desventajas
 COBIT resulta un modelo ambicioso que requiere de profundidad en el estudio.
 Se requiere de un esfuerzo de la organización, para adoptar los estándares.
 No existe en la bibliografía resultados de la experiencia práctica de los países en la
implementación de este modelo que lo hagan medible.
 Se requiere un cambio de cultura en las personas que hacen el servicio (cambiar las
formas de pensar de las personas).
 Lleva tiempo ver las reducciones de costos y la mejora en la entrega de los servicios.
 Una implementación exitosa implica compromiso del personal a todos los niveles de la
organización.
MISION Y VISION DE COBIT
MISION
La misión de COBIT es "investigar, desarrollar, publicar y promocionar un conjunto de
objetivos de control generalmente aceptados para las tecnologías de la información
que sean autorizados (dados por alguien con autoridad), actualizados, e
internacionales para el uso del día a día de los gestores de negocios (también
directivos) y auditores." Gestores, auditores, y usuarios se benefician del desarrollo de
COBIT porque les ayuda a entender sus Sistemas de Información (o tecnologías de la
información) y decidir el nivel de seguridad y control que es necesario para proteger
los activos de sus compañías mediante el desarrollo de un modelo de administración
de las tecnologías de la información.
VISION
Ser el modelo de control para la tecnología de la información.

REGLA DE ORO DE COBIT

Para proveer la información que requiere la organización para lograr sus objetivos, los
recursos de TI deben ser administrados por un conjunto de procesos, agrupados de forma
adecuada y ejecutados acorde a prácticas normalmente aceptadas.

USUARIOS COBIT
 La Gerencia: Para apoyar sus decisiones de inversión en TI y control sobre el
rendimiento de las mismas, analizar el costo beneficio del control.

 Los Usuarios Finales: Quienes obtienen una garantía sobre la seguridad y el control de
los productos que adquieren interna y externamente.

 Los Auditores: Para soportar sus opiniones sobre los controles de los proyectos de TI,
su impacto en la organización y determinar el control mínimo requerido.

 Los Responsables de TI: Para identificar los controles que requieren en sus áreas.
  También puede ser utilizado dentro de las empresas por el responsable de un proceso
de negocio en su responsabilidad de controlar los aspectos de información del
proceso, y por todos aquellos con responsabilidades en el campo de la TI en las
empresas.

¿De qué se encarga la TI?

La tecnología de la información se encarga de:
 Diseño.
 Desarrollo.
 Fomento (información).
 Mantenimiento.
 Administración.
Todos estos procesos son realizados por medio de sistemas informáticos.

PRINCIPIOS DE COBIT
Los principios de COBIT están basados en lo siguiente:
i. Procesos de TI.
ii. Requerimientos de información del negocio.
iii. Criterios de información.
iv. Recursos de TI.
 i. PROCESOS DE TI
PLANEAR Y ORGANIZAR
Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar
la manera en que TI puede contribuir de la mejor manera al logro de los objetivos
del negocio. Además, la realización de la visión estratégica requiere ser
planeada, comunicada y administrada desde diferentes perspectivas.
Finalmente, se debe implementar una estructura organización al y una estructura
tecnológica apropiada. Este dominio cubre los siguientes cuestionamientos
típicos de la gerencia:
1. Definir un plan estratégico de la TI.

Que satisface el requisito de negocio para: hallar un balance óptimo de oportunidades de

tecnología de la información y los requisitos de negocio así como también asegurar su
realización adicional.

Toma en consideración:

 Definición de los objetivos de negocio y necesidades para las TI.

 Inventario de soluciones tecnológicas e infraestructura actual.
 Cambios organizativos.
 Estudio de viabilidad oportuno.
 Existencia de evaluaciones de sistemas.

2. Definir la arquitectura de la información.

Que satisface el requisito de negocio para: una mejor organización de los sistemas de
información.

Toma en consideración:

 Documentación.
 Diccionario de datos.
 Reglas sintácticas de datos.
 Propiedad de datos y clasificación critica.

3. Determinar la dirección tecnológica.

Que satisface el requisito de negocio para: tomar ventaja de la tecnología disponible y

emergente.

Toma en consideración:

 Adecuación y evolución de la capacidad de la infraestructura actual.

 Monitorización de los desarrollos tecnológicos.
 Contingencias.
 Planes de adquisición.
 4. Definir los procesos, organización y relaciones de TI.

Que satisface el requisito de negocio para: entregar los servicios de la TI.

Toma en consideración:

 Comité de dirección.
 Consejo de nivel de responsabilidad.
 Propiedad, custodia.
 Supervisión.
 Segregación de obligaciones.
 Roles y responsabilidades.
 Descripción del trabajo.
 Provisión de niveles.
 Clave personal.

5. Administrar la inversión de TI.

Que satisface el requisito de negocio para: garantizar la consolidación y controlar el gasto de

recursos financieros.

Toma en consideración:

 Consolidación de alternativas.
 Control del gasto efectivo.
 Justificación de los costes.
 Justificación de los beneficios.

6. Comunicar las aspiraciones y la dirección de la gerencia.

Que satisface el requisito de negocio para: garantizar el conocimiento del usuario y

entendimiento de estos fines.

Toma en consideración:

 Código de conducta ética.

 Directrices de tecnologías.
 Conformidad.
 Comisión de calidad.
 Políticas de seguridad.
 Políticas de control interno.

7. Administrar recursos humanos de TI.

Que satisface el requisito de negocio para: maximizar las contribuciones del personal a los
procesos de TI.

Toma en consideración:

 Refuerzo y promoción.
 Requisitos de calidad.
 Entrenamiento.
 Construcción del conocimiento.
  Evaluación de la ejecución objetiva y medible.

8. Administrar la calidad.

Que satisface el requisito de negocio para: la mejora continua y medible de la calidad de los
servicios prestados por TI.

Toma en consideración:

 Plan de estructura de la calidad.

 Estándares y prácticas de calidad.
 Metodología del ciclo de vida del desarrollo del sistema.
 Estándares de desarrollo y de adquisición.
 Medición, monitoreo y revisión de la calidad.

9. Evaluar y administrar los riesgos de TI.

Que satisface el requisito de negocio para: de asegurar la realización de los objetivos de TI,
respondiendo a las amenazas para el suministro de los servicios de TI.

Toma en consideración:

 Diferentes tipos de riesgos de TI.

 Alcance: global o sistemas específico.
 Evaluación de riesgos hasta la fecha.
 Metodología de análisis de riesgos.
 Medidas de riesgos cuantitativas o cualitativas.
 Plan de acción de riesgos.

10. Administrar proyecto.

Que satisface el requisito de negocio para: la entrega de resultados de proyectos dentro de

marcos de tiempo, presupuesto y calidad acordados.

Toma en consideración:

 Marco de trabajo para la administración de programas de inversión en TI.

 Marco de trabajo para la administración de proyectos.
 Interrupción de tareas.
 Distribución de responsabilidades.
 Proyecto y fase de aprobación.
 Costes y presupuesto del personal.
 Planes de seguridad de la calidad y métodos.
 Recursos del proyecto.
ADQUIRIR E IMPLEMENTAR

Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser

identificadas, desarrolladas o adquiridas así como implementadas e integradas
en los procesos del negocio. Además, el cambio y el mantenimiento de los
sistemas existentes está cubierto por este dominio para garantizar que las
soluciones sigan satisfaciendo los objetivos del negocio. Este dominio, por lo
general, cubre los siguientes cuestionamientos de la gerencia:

1. Identificación de soluciones automatizadas.

Que satisface el requisito de negocio para: asegurar la mejor aproximación para satisfacer los
requisitos del usuario.

Toma en consideración:

 Definición de la información de requisitos.

 Estudios factibles.
 Requisitos de usuario.
 Arquitectura de la información.
 Seguridad del coste-efectivo.
 Contratación externa.

2. Adquisición y mantenimiento de SW aplicativo.

Que satisface el requisito de negocio para: suministrar funciones automáticas que soporten
de forma efectiva los procesos de negocio.

Toma en consideración:

 Requisitos de usuario.
 Diseño de alto nivel.
 Diseño detallado.
 Archivo, gasto, proceso y requisitos externos.
 Interfaz de la maquina usuario.
 Controles de aplicación y requisitos de seguridad.
 Documentación.

3. Adquisición y mantenimiento de arquitectura TI.

Que satisface el requisito de negocio para: adquirir y dar mantenimiento a una infraestructura
integrada y estándar de TI.

Toma en consideración:

 Asentamiento de la tecnología.
 Mantenimiento del hardware preventivo.
 Seguridad del sistema software, instalación, mantenimiento y cambio de controles.

4. Facilitar la operación y el uso.

Que satisface el requisito de negocio para: garantizar la satisfacción de los usuarios finales
mediante ofrecimientos de servicios, y de forma transparente de integrar las soluciones de
aplicación y tecnología dentro de los procesos de negocio.

Toma en consideración:

 Plan para soluciones de operación.

 Transferencia de conocimientos a la gerencia del negocio.
 Transferencia de conocimientos a los usuarios finales.
 Transferencia de conocimientos al personal de operaciones y soporte.

5. Adquirir recursos de TI.

Que satisface el requisito de negocio para: mejorar la rentabilidad de TI y su contribución a la

utilidad del negocio.

Toma en consideración:

 Control de adquisición.
 Administración de contratos de proveedores.
 Selección de proveedores.
 Adquisición de software.
 Adquisición de recursos de desarrollo.
 Adquisición de infraestructura, instalaciones y servicios relacionados.

6. Administrar cambios.

Que satisface el requisito de negocio para: responder a los requerimientos del negocio de
acuerdo con la estrategia de negocio.

Toma en consideración:

 Estándares y procedimientos para cambios.

 Evaluación de impacto, priorización y autorización.
 Cambios de emergencia.
 Seguimiento y reporte del estatus de cambio.
 Cierre y documentación del cambio.

7. Instalar y acreditar soluciones y cambios.

Que satisface el requisito de negocio para: contar con sistemas nuevos o modificados que
trabajen sin problema importantes después de la instalación.

Toma en consideración:

 Entrenamiento.
 Plan de prueba.
 Plan de implantación.
 Ambiente de prueba.
 Conversión de sistema y datos.
 Distribución del sistema.
 ENTREGAR Y DAR SOPORTE

Este dominio cubre la entrega en sí de los servicios requeridos, lo que

incluye la prestación del servicio, la administración de la seguridad y de
la continuidad, el soporte del servicio a los usuarios, la administración
de los datos y de las instalaciones operativos. Por lo general cubre las
siguientes preguntas de la gerencia:
1. Definición del nivel de servicio.

Que satisface el requisito de negocio para: asegurar la alineación de los servicios claves de TI
con la estrategia de negocio.

Toma en consideración:

 Definición de servicios.
 Definición de responsabilidades.
 Garantías de integridad.
 Monitoreo y reporte del cumplimiento de los niveles de servicio.
 Revisión de los acuerdos de niveles de servicio y de los contratos.

2. Administración del servicio de terceros.

Que satisface el requisito de negocio para: asegurar que las reglas y las responsabilidades de
terceras partes están definidas de forma clara, adherida y continua satisfaciendo los requisitos.

Toma en consideración:

 Identificación de las relaciones con todos los proveedores.

 Administración de las relaciones con los proveedores.
 Administración de los riesgos del proveedor.
 Monitoreo del desempeño del proveedor.

3. Administración de la capacidad y el desempeño.

Que satisface el requisito de negocio para: optimizar el desempeño de la infraestructura, los

recursos y las capacidades de TI en respuesta a las necesidades del negocio.

Toma en consideración:

 Disponibilidad y cumplimiento de los requisitos.

 Capacidad y desempeño actual.
 Capacidad y desempeño futuros.
 Disponibilidad de recursos TI.
 Monitoreo y reporte.

4. Asegurar el servicio continuo.

Que satisface el requisito de negocio para: hacer que los servicios de TI requeridos estén
disponibles y asegurar un impacto de negocio mínimo en caso de una ruptura mayor.
Toma en consideración:

 Clasificación critica.
 Plan de continuidad documentado.
 Recursos críticos de TI.
 Mantenimiento, pruebas, entrenamiento y distribución del plan de continuidad de TI.

5. Garantizar la seguridad del sistema.

Que satisface el requisito de negocio para: salvaguardar la información contra el uso no

autorizado, descubrimiento o modificación, daño y pérdida.

Toma en consideración:

 Autorización.
 Autenticidad.
 Acceso.
 Uso de protección e identificación.
 Gestión de clave criptográfica.
 Detección y prevención de virus.
 Cortafuegos.

6. Identificación y asignación de costos.

Que satisface el requisito de negocio para: asegurar un correcto conocimiento de los costes
atribuidos a los servicios de TI.

Toma en consideración:

 Recursos identificables y medibles.

 Modelación de costos y cargos.
 Imponer valores.

7. Capacitación de usuarios.

Que satisface el requisito de negocio para: asegurar que los usuarios son eficientes en el uso
de la tecnología y que son conscientes de los riesgos y responsabilidades en las que están
involucrados.

Toma en consideración:

 Plan de estudios de entrenamiento.

 Campañas de conocimiento.
 Técnicas de conocimiento.

8. Soporte a los clientes de TI.

Que satisface el requisito de negocio para: permitir el efectivo uso de los sistemas de TI
garantizando la resolución y el análisis de las consultas de los usuarios finales, incidentes y
preguntas.
Toma en consideración:

 Cuestiones del cliente y respuestas al problema.

 Monitorización de cuestiones y aclaraciones.
 Análisis de tendencias e información.

9. Administración de la configuración.

Que satisface el requisito de negocio para: considerar todos los componentes de TI, prevenir
alteraciones no autorizadas, verificar la existencia física y proveer de un fundamento para una
gestión de cambio firme.

Toma en consideración:

 Medios de registro.
 Gestión del cambio de configuración.
 Chequeo del software no autorizado.
 Controles de almacenamiento de software.

10. Administración de problemas e incidentes.

Que satisface el requisito de negocio para: asegurar que los problemas e incidentes serán
resueltos, e investigando la causa para prevenir una nueva aparición de estos.

Toma en consideración:

 Reglas suficientes de auditoria de problema y soluciones.

 Resolución oportuna de problemas anunciados.
 Informes de incidentes.

11. Administración de datos.

Que satisface el requisito de negocio para: asegurar que los datos permanecen completos,
correctos y validos durante su introducción, actualización y almacenamiento.

Toma en consideración:

 Diseño de modelo.
 Controles de entrada.
 Controles de proceso.
 Controles de salida.
 Almacenamiento multimedia y gestión de copias de seguridad.
 Autenticidad e integridad.

12. Administración de instalaciones.

Que satisface el requisito de negocio para: proveer de un medio físico apropiado que proteja
el equipamiento de las TI y a las personas contra riesgos naturales y riesgos provocados por el
hombre.
Toma en consideración:

 Identificación de la situación.
 Seguridad física.
 Salud y seguridad del personal.
 Protección de amenazas del entorno.

13. Administración de operaciones.

Que satisface el requisito de negocio para: asegurar que las funciones importantes soportadas
de las TI son realizadas regularmente de una forma ordenada.

Toma en consideración:

 Manual de procedimientos de operaciones.

 Documentación del proceso puesto en marcha.
 Gestión de servicios de la red.
 Planificación del trabajo y el personal.

MONITOREAR Y EVALUAR
Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad
y cumplimiento de los requerimientos de control. Este dominio abarca la administración del
desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del
gobierno. Por lo general abarca las siguientes preguntas de la gerencia:

1. Monitorear y evaluar el desempeño de TI.

Que satisface el requisito de negocio para: transparencia y entendimiento de los costos,

beneficios, estrategias, políticas y niveles de servicio de TI de acuerdo con los requisitos de
gobierno.

Toma en consideración:

 Método de monitoreo.
 Evaluación del desempeño.
 Reportes al consejo directivo y a ejecutivos.
 Acciones correctivas.

2. Monitorear y evaluar el control interno.

Que satisface el requisito de negocio para: proteger el logro de los objetivos de TI y cumplir
las leyes y reglamentos relacionados con TI.

Toma en consideración:

 Monitorear el marco de trabajo de control interno.

 Revisiones de auditoria.
 Auto-evaluación de control.
 Control interno para terceros.
 Acciones correctivas.
 3. Garantizar el cumplimiento regulatorio.

Que satisface el requisito de negocio para: cumplir las leyes y regulaciones.

Toma en consideración:

 Identificar las leyes y regulaciones con impacto potencial sobre TI.

 Optimizar la respuesta a requerimientos regulatorios.
 Evaluación del cumplimiento con requerimientos regulatorios.
 Aseguramiento positivo del cumplimiento.
 Reportes integrados.

4. Proporcionar gobierno de TI.

Que satisface el requisito de negocio para: la integración de un gobierno de TI con objetivos

de gobierno corporativo y el cumplimiento con las leyes y regulaciones.

Toma en consideración:

 Establecer un marco de trabajo de gobierno para TI.

 Alineamiento estratégico.
 Entrega de valor.
 Administración de recursos.
 Administración de riesgos.
 Medición del desempeño.

ii. REQUERIMIENTOS DE INFORMACION DEL NEGOCIO

Requerimientos de Calidad
 Calidad
 Costo
 Entrega
Requerimientos Financieros o Fiduciarios (COSO 1992 y 2004)
 Eficacia y eficiencia
 Confiabilidad
 Cumplimiento
Requerimientos de Seguridad (ISO 17799)

 Confidencialidad
 Integridad
 Disponibilidad
 iii. CRITERIOS DE INFORMACIÓN.

La efectividad: tiene que ver con que la información sea relevante y

pertinente a los procesos del negocio, y se proporcione de una manera
oportuna, correcta, consistente y utilizable.

La eficiencia: consiste en que la información sea generada con el óptimo

(más productivo y económico) uso de los recursos.

La confidencialidad: se refiere a la protección de información sensitiva

contra revelación no autorizada.

La integridad: está relacionada con la precisión y completitud de la

información, así como con su validez de acuerdo a los valores y
expectativas del negocio.

La disponibilidad: se refiere a que la información esté disponible cuando

sea requerida por los procesos del negocio en cualquier momento.
También concierne a la protección de los recursos y las capacidades
necesarias asociadas.

El cumplimiento: tiene que ver con acatar aquellas leyes, reglamentos y

acuerdos contractuales a los cuales está sujeto el proceso de negocios,
es decir, criterios de negocios impuestos externamente, así como políticas
internas.

La confiabilidad: se refiere a proporcionar la información apropiada para

que la gerencia administre la entidad y ejerza sus responsabilidades
fiduciarias y de gobierno.

iv. RECURSOS DE TI
Datos: Todos los objetos de datos en su sentido más amplio,
considerando información interna y externa, estructurada o no, graficas,
sonidos, etc.
Aplicaciones: Sistemas de información, que integran procedimientos
manuales y sistematizados.
Tecnología: hardware, software de bases, sistemas operativos y
elementos de comunicaciones que junto con las aplicaciones conforman
los servicios de TI.
Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a
los sistemas informáticos.
Recursos Humanos: habilidades, conocimientos y productividad del
personal para ejecutar los procesos de TI.
Bibliografía: (para tus diapo wey)
https://es.slideshare.net/cairiza/principios-de-cobit