Metodologias ITIL y

COBIT
Estándar de Controles y Auditoría
de Tecnología Informática

1
 ¿Qué es ITIL?

“Information Technology Infrastructure Library”

Es una metodología de buenas prácticas para la

gestión de servicios informáticos, es un extenso
conjunto de procedimientos de gestión de TI y
así ayuda a las organizaciones a lograr calidad y
eficiencia en operaciones de TI.
 ¿Qué es ITIL

 Desarrollado en la década de los ’80 por la OGC del

Gobierno del Reino Unido

 ITIL fue publicado como un conjunto de libros para la

Gestión de TI

 El concepto de ITIL no es lo mismo que gestión de

servicios TI

 La gestión de servicios de TI está integrado en el ISO

20000
¿Qué es ITIL?
 Gestión de Servicios TI

Se basa en dos componentes importantes

Provisión
del Servicio

Soporte al
Servicio
Soporte al servicio

Centro de Servicios
 Centro de Servicios

 Registrando y monitorizando incidentes.

 Aplicando soluciones temporales a errores conocidos en
colaboración con la Gestión de Problemas.
 Colaborando con la Gestión de Configuraciones para
asegurar la actualización de las bases de datos
correspondientes.
 Gestionando cambios solicitados por los clientes
mediante peticiones de servicio en colaboración con la
Gestión de Cambios y Versiones
 Gestión de Incidentes

La Gestión de Incidentes tiene como objetivo resolver

cualquier incidente que cause una interrupción en el
servicio de la manera más rápida y eficaz posible.

La Gestión de Incidentes no debe confundirse con la

Gestión de Problemas, pues a diferencia de esta última,
no se preocupa de encontrar y analizar las causas
subyacentes a un determinado incidente sino
exclusivamente a restaurar el servicio. Sin embargo, es
obvio, que existe una fuerte interrelación entre ambas.
 Gestión de Problemas

 Investigar las causas subyacentes a toda alteración,

real o potencial, del servicio TI.

 Determinar posibles soluciones a las mismas.

 Proponer las peticiones de cambio (RFC) necesarias

para restablecer la calidad del servicio.

 Realizar Revisiones Post Implementación (PIR) para

asegurar que los cambios han surtido los efectos
buscados sin crear problemas de carácter secundario.
Provisión del servicio
 Certificaciones

Existen tres niveles de certificación ITIL para profesionales:

1.Foundation Certificate (Certificado Básico): acredita un

conocimiento básico de ITIL en gestión de servicios de tecnologías de
la información y la comprensión de la terminología propia de ITIL. Está
destinado a aquellas personas que deseen conocer las buenas prácticas
especificadas en ITIL.

2.Practitioner's Certificate (Certificado de Responsable):

destinado a quienes tienen responsabilidad en el diseño de procesos de
administración de departamentos de tecnologías de la información y en
la planificación de las actividades asociadas a los procesos.

3.Manager's Certificate (Certificado de Director): garantiza que

quien lo posee dispone de profundos conocimientos en todas las
materias relacionadas con la administración de departamentos de
tecnologías de la información, y lo habilita para dirigir la implantación
de soluciones basadas en ITIL.
COBIT

12
Misión: Soportar los objetivos empresariales mediante
el desarrollo, promoción y entrega de investigaciones,
estándares, competencias y prácticas para un efectivo
gobierno, control y evaluación de los sistemas de
información y la tecnología relacionada

Information Information
Systems Audit and Systems Audit and
Control Control Foundation
Association (ISACFTM)
(ISACATM)
 Que es COBIT?
Es el resultado de uno de los mayores
proyectos de investigacion completado y
publicado por la Organización Mundial de
Auditores de Sistemas de Informacion
(ISACF).

Es aplicable a un amplio rango de SI que

van desde el nivel de PC, Mainframes e
instalaciones Cliente-Servidor.

14
 Que es COBIT?
COBIT Integra y concilia normas y reglamentaciones
existentes como:
 ISO (9000-3)
 Códigos de Conducta del Consejo Europeo
 COSO, IFAC, IIA, ISACA, AICPA y Otras
Incluye el contenido de los Objetivos de Control
emitidos por ISACA (EDPAA)
Se publica Cobit 1 en Septiembre de 1996
Se publica Cobit 2 en Abril de 1998
Se publicó Cobit 3 en Marzo de 2000
Se publicó Cobit 4 en Diciembre de 2005
Se publicó Cobit 4.1 en Mayo de 2007
 ¿Que es COBIT?

Control
OBjectives
for Information
and Related Technology
(Objetivos de Control para Tecnología de Información
y Tecnologías relacionadas)
 Objetivos
Es una guía para la gerencia en la toma de decisiones sobre
riesgos y controles.
Ayuda al usuario de tecnología a obtener seguridad y control
sobre los productos y servicios que adquiere.
Provee a la A.S.I., una herramienta fundamental para evaluar
controles internos y gerenciales, y los mínimos requerimientos
de control compatibles con el necesario balance Costo-Beneficio
de la organización.

17
 ¿Que es COBIT?
Modelo para implantar Gobierno de TI
Es un estándar abierto y de amplia difusión.
Consta de 34 procesos y 220 objetivos de Control.
Cobit fija el Qué y los estánderes de apoyo el Cómo
en materia de implantación de Gobierno de TI.

18
 ¿Que es COBIT?

La necesidad del aseguramiento del valor de TI, la

administración de los riesgos asociados a TI, así como el
incremento de requerimientos para controlar la
información, se entienden ahora como elementos clave
del gobierno de la empresa. El valor, el riesgo y el control
constituyen la esencia del gobierno de TI.

19
 ¿Que es COBIT?
El gobierno de TI es responsabilidad de los
ejecutivos, del consejo de directores y consta
de liderazgo, estructuras y procesos
organizacionales que garantizan que la TI de la
empresa sostiene y extiende las estrategias y
objetivos organizacionales.

20
 ¿Que es COBIT?
Cobit, brinda buenas práctica a través de
un marco de trabajo de dominios y
procesos, y presenta las actividades en una
estructura manejable y lógica.
Las buenas prácticas de Cobit representan
el consenso de los expertos. Están
enfocados fuertemente en el control y
menos en la ejecución

21
Preguntas frecuentes

22
 Gobierno de TI

IT Governance. Es un término que

representa el sistema que establece la
alta gerencia para asegurar el logro de
los objetivos de una organización.

23
 Cobit como soporte

TI está alineado con el negocio

TI capacita el negocio y maximiza
los beneficios
Los recursos de TI se usen de
manera responsable
Los riesgos de TI se administren
apropiadamente
24
 Áreas de enfoque del Gobierno de TI
 Alineamiento estratégico: Su
enfoque está dirigido a la relación
entre el Negocio y el Plan de TI; a la
propuesta de valor que debe entregar
su definición, a la mantención y
to
i en o Ag Valo
re r
validación.
m c
ea gi ga
lin raté
A st
E
do
 Valor Agregado: Es el ciclo que
Gobierno permite asegurar la entrega del valor
sg o n
ió
Me sulta

de TI
del istrac
Re

propuesto, asegurando que la TI

d i c do

Rie
ión s

in

proporcionará los beneficios

Adm
de

prometidos en la estrategia
Administración
de Recursos

 Administración de Recursos: Se
trata de invertir en forma óptima y
apropiada, la administración de los
recursos críticos en TI: Aplicaciones,
Información, Infraestructura y las
Personas.
 Áreas de enfoque del Gobierno de TI
 Administración del Riesgo: El
administrador debe tener
consciencia del riesgo empresarial,
un claro entendimiento del apetito
de la empresa por el riesgo,
to
i en o
m c
Ag Valo
re r transparencia sobre el significado
ea gi ga
in raté
de los riesgos empresariales, y que
l do
A st
E
Gobierno
debe incorporar la responsabilidad
sg o n
ió
Me sulta

de TI
del istrac
Re
d i c do

de los riesgos empresariales en la

Rie
ión s

in
Adm
de

Administración administración de la organización.

de Recursos
 Medición de Resultados: rastrea
y monitorea la estrategia de
implementación, la terminación del
proyecto, el uso de los recursos.
 Productos
Los productos se han organizado en tres
niveles (figura 3) diseñados para dar soporte a:
• Administración y consejos ejecutivos
• Administración del negocio y de TI
• Profesionales en gobierno, aseguramiento,
control y seguridad

28
 Marco de trabajo
Se basa en el principio de proporcionar la
información que la empresa requiere para
lograr sus objetivos, la empresa necesita
administrar y controlar los recursos de TI,
usando un conjunto estructurado de procesos
que ofrezcan los servicios requeridos de
información.

31
 Marco Cobit

REQUERIMIENTOS
DE NEGOCIO

CRITERIOS DE
INFORMACIÓN
PROCESOS DE TI
•efectividad
•eficiencia
•confidencialidad
•integridad
•disponibilidad
RECURSOS DE TI •cumplimiento
•aplicaciones •confiabilidad
•información
•infraestructura
•personal 32
 Controles

Los procesos requieren controles.

Control se define como las políticas, procedimientos,
prácticas y estructuras organizacionales diseñadas para
brindar una seguridad razonable que los objetivos del
negocio se alcanzarán, y los eventos no deseados serán
prevenidos o detectados y corregidos.

35
 Objetivo de Control

Es una declaración del resultado o fin que se

desea lograr al implantar procedimientos de
control en una actividad de TI en particular.
Los objetivos de control de Cobit son los
requerimientos mínimos para un control
efectivo de cada proceso de TI.
36
 IMCM

Una necesidad básica de toda empresa es

entender el estado de sus propios sistemas
de TI y decidir qué nivel de administración y
control debe proporcionar la empresa.
Qué se debe medir y cómo?

38
Una organización debe crear un modelo
de proceso que se ajuste a las
directrices establecidas por la
integración del modelo de capacidad de
madurez (IMCM)

39
 Marco de Trabajo

Las metas se definen de arriba hacia abajo

con base en las metas de negocio que
determinarán el número de metas que
soportará TI, las metas de TI decidirán las
diferentes necesidades de las metas de
proceso, y cada meta, establecerá las metas
de las actividades.
44
 Procesos de TIC Los Tres Niveles

Agrupación Natural de procesos,

Dominios normalmente corresponden a un
dominio o una responsabilidad
organizacional
Procesos
Conjuntos o series de actividades
unidas con delimitación o cortes de
control.

Actividades Acciones requeridas para lograr un

o tareas resultado medible. Las Actividades
Tienen un ciclo de vida mientras
que las tareas son discretas.

45
 Procesos de TIC Los Tres Niveles

El marco de trabajo se creó para satisfacer

las necesidades de gobernabilidad de TI.
Está orientado a:
 Negocios
 Procesos
 Basado en controles
 Impulsado por mediciones 46
 Orientado al negocio

Está diseñado para ser utilizado no solo por

proveedores de servicios, usuarios y
auditores de TI, sino también y
principalmente, como guía integral para la
gerencia y para los propietarios de los
procesos de negocio.
47
 Procesos orientados

Cobit define las actividades de TI en un modelo

genérico de procesos en 4 dominios:
 Planear y Organizar
 Adquirir e Implementar
 Entregar y dar Soporte
 Monitorear y Evaluar

48
 Planear y Organizar (PO)

Cubre las estrategias y las tácticas, y tiene

que ver con identificar la manera en que TI
pueda contribuir de la mejor manera al
logro de los objetivos del negocio.
¿Están alineadas las estrategias de TI y
del negocio?
49
 ¿La empresa está alcanzando un uso
óptimo de los recursos?
¿Entienden todas las personas, los
objetivos de TI?
¿Se entienden y administran los riesgos de
TI?
¿Es apropiada la calidad de los sistemas de
TI para las necesidades del negocio?
50
 Adquirir e Implementar (AI)

Las soluciones de TI necesitan ser

identificadas, desarrolladas o adquiridas así
como la implementación e integración en
los procesos.
¿Los nuevos proyectos generan
soluciones que satisfagan las
necesidades del negocio?
51
¿Los nuevos proyectos son entregados a
tiempo y dentro del presupuesto?
¿Trabajarán adecuadamente los nuevos
sistemas una vez sean implementados?
¿Los cambios afectarán las operaciones
actuales del negocio?

52
 Entregar y dar Soporte (DS)

Cubre la entrega en sí de los servicios

requeridos, lo que incluye la prestación del
servicio, la administración de la seguridad y
de la continuidad, el soporte del servicio a
los usuarios, la administración de los datos.
¿Se están entregando los servicios de
TI de acuerdo a prioridades?
53
¿Están optimizados los costos de TI?
¿Es capaz la fuerza de trabajo de utilizar
los sistemas de TI de manera productiva
y segura?
¿Están implantadas de forma adecuada la
confidencialidad, la integridad y la
disponibilidad?

54
 Monitorear y Evaluar (ME)
Todos los procesos de TI deben evaluarse de forma
regular en el tiempo en cuanto a su calidad y
cumplimiento de los requerimientos de control. Abarca
la administración del desempeño, el monitoreo del
control interno, cumplimiento regulatorio.
¿Se mide el desempeño de TI para detectar
los problemas antes de que sea
demasiado tarde?
55
¿La gerencia garantiza que los controles
internos son efectivos y eficientes?
¿Puede vincularse el desempeño de lo que
TI ha realizado con las metas del negocio?
¿Se miden y reportan los riesgos, el control,
el cumplimiento y el desempeño?

56
 Modelo de Marco de Trabajo

Relaciona los requerimientos de

información y de gobierno a los objetivos de
la función de servicio de TI. El modelo de
procesos Cobit permite que las actividades
de TI y los recursos que los soportan sean
administrados y controlados basados en los
objetivos de control.
57
58
 Modelo de Marco de Trabajo

Los recursos de TI son manejados por

procesos de TI para lograr las metas de TI
que respondan a los requerimientos del
negocio.
Este es el principio básico del marco de
trabajo Cobit
59
 Figura 15 – El Cubo Cobit

REQUERIMIENTOS DE
NEGOCIO

INFRAESTRUCTURA

PERSONAS
INFORMACION
DOMINIOS
PROCESOS DE TI

APLICACIONES
PROCESOS

ACTIVIDADES

60
 Modelo de Marco de Trabajo

En detalle, el marco de trabajo general Cobit se

muestra en el siguiente gráfico, con el modelo de
procesos de Cobit compuesto de 4 dominios que
contienen 34 procesos genéricos, administrando los
recursos de TI para proporcionar información al
negocio de acuerdo con los requerimientos del
negocio y del gobierno.

61
 Objetivos del PO1 Definir un plan estratégico de TI
PO2 Definir la arquitectura de información
Negocio PO3 Determinar la dirección tecnológica
PO4 Definir procesos, organización y relac.
Objetivos del gobierno PO5 Administrar la inversión en TI
ME1 Monitorear y evaluar el desempeño
PO6 Comunicar aspiraciones y la direc.ger.
ME2 Monitorear y evaluar el control Interno
PO7 Administración del Recurso Humano
ME3 Garantizar cumplimiimiento regulatorio
ME4 Proporcionar gobierno de TI CobiT PO8 Administrar calidad
PO9 Evaluar y administrar Riesgos
PO10 Administración de Proyectos

Req. Información
Efectividad, Eficiencia,
Monitorear Confidencialidad, Integridad,
Disponibilidad, Planear y
Y evaluar Cumplimiento, Confiabilidad Organizar

Recursos de TI
Aplicaciones
DS1 Definir y administrar niveles de servicio Información, Adquirir e
DS2 Administrar servicios de terceros Infraestructura,Personas Implantar
DS3 Adm. Desempeño y capacidad
DS4 Garantizar la continuidad del servicio
DS5 Garantizar la seguridad de los sistemas
DS6 Identificar y asignar costos
DS7 Educar y entrenar a los usuarios
DS8 Administrar la mesa de serv. e incidentes AI1 Identificar soluciones automatizadas
DS9 Administrar la configuración Servicios y AI2 Adquirir y mantener el Sw aplicativo
DS10 Administrar los problemas
DS11 Administración de datos
Soporte AI3 Adquirir y mantener la infraestructura tecnológica
AI4 Facilitar la operación y el uso
DS12 Administrar el ambiente físico AI5 Adquirir recursos de TI
DS13 Administrar las Operaciones AI6 Administrar cambios 62
AI7 Instalar y acreditar soluciones y cambios
 Requerimientos de
Información del Negocio

• Efectividad:
Efectividad La información debe ser relevante y pertinente
para los procesos del negocio y debe ser proporcionada en
forma oportuna, correcta, consistente y utilizable
• Eficiencia:
Eficiencia Se debe proveer información mediante el empleo
óptimo de los recursos (la forma más productiva y
económica)
• Confidencialidad:
Confidencialidad Protección de la información sensitiva
contra divulgación no autorizada
• Integridad:
Integridad Refiere a lo exacto y completo de la información
así como a su validez de acuerdo con las expectativas de la
empresa. 63
 Requerimientos de
Información del Negocio

• Disponibilidad:
Disponibilidad accesibilidad a la información cuando sea
requerida por los procesos del negocio y la salvaguarda de
los recursos y capacidades asociadas a los mismos.
• Cumplimiento:
Cumplimiento de las leyes, regulaciones y compromisos
contractuales con los cuales está comprometida la
empresa.
• Confiabilidad:
Confiabilidad proveer la información apropiada para que
la administración tome las decisiones adecuadas para
manejar la empresa y cumplir con las responsabilidades de
los reportes financieros y de cumplimiento normativo.

64
 Recursos de TIC
 Aplicaciones:
Aplicaciones entendido como los sistemas de información, que
integran procedimientos manuales y sistematizados.
 Información:
Información Todos los objetos de información. Considera
información interna y externa, estructurada o nó, gráficas,
sonidos, etc.
 Infraestructura:Incluye
Infraestructura los recursos necesarios para alojar y dar
soporte a los sistemas de información. incluye hardware y
software básico, sistemas operativos, sistemas de administración
de bases de datos, de redes, telecomunicaciones, multimedia,
etc.
 Personas:
Personas Por la habilidad, conciencia y productividad del
personal para planear, adquirir, prestar servicios, dar soporte y
monitorear los sistemas de Información.
65
 Procesos de TIC - Procesos

Planear y PO1 Definir un plan estratégico de TI

Organizar PO2 Definir la arquitectura de información
PO3 Determinar la dirección tecnológica
PO4 Definir procesos, organización y relac.
PO5 Administrar la inversión en TI
PO6 Comunicar aspiraciones y la direc.ger.
PO7 Administración del Recurso Humano
PO8 Administrar calidad
PO9 Evaluar y administrar Riesgos
PO10 Administración de Proyectos

Adquirir e AI1 Identificar soluciones automatizadas

Implantar AI2 Adquirir y mantener el Sw aplicativo
AI3 Adquirir y mantener la infraestructura tecnológica
AI4 Facilitar la operación y el uso
AI5 Adquirir recursos de TI
AI6 Administrar cambios
AI7 Instalar y acreditar soluciones y cambios 66
 Procesos de TIC
- Procesos
Servicios y DS1 Definir y administrar niveles de servicio
Soporte DS2 Administrar servicios de terceros
DS3 Adm. Desempeño y capacidad
DS4 Garantizar la continuidad del servicio
DS5 Garantizar la seguridad de los sistemas
DS6 Identificar y asignar costos
DS7 Educar y entrenar a los usuarios
DS8 Administrar la mesa de serv. e incidentes
DS9 Administrar la configuración
DS10 Administrar los problemas
DS11 Administración de datos
DS12 Administrar el ambiente físico
Monitorear DS13 Administrar las Operaciones
y Evaluar
ME1 Monitorear y evaluar el desempeño
ME2 Monitorear y evaluar el control Interno
ME3 Garantizar cumplimimiento regulatorio
ME4 Proporcionar gobierno de TI
67
 Nivel de aceptabilidad

Cobit se basa en el análisis y

armonización de estándares y
mejores práctica de TI existentes y
se adapta a principios de gobierno
generalmente aceptados.

68
 Nivel de aceptabilidad

Está posicionado a un nivel alto,

impulsado por los requerimientos del
negocio, cubre el rango completo de
actividades de TI, y se concentra en lo
que se debe lograr en lugar de cómo
lograr un gobierno, administración y
control efectivos.
69
 Nivel de aceptabilidad

Funciona como un integrador de prácticas

de gobierno de TI y es de interés para la
dirección ejecutiva; para la gerencia del
negocio; para la gerencia y gobierno de TI;
para los profesionales de aseguramiento y
seguridad; así como para los profesionales
de auditoria y control de TI.
70
 Navegar: marco de trabajo

Para cada uno de los procesos de TI

de Cobit, se proporciona un
objetivo de control de alto nivel,
junto con las metas y métricas
clave en forma de cascada.

71
 Planificación

Di rida ad

gu idad
or ad
y Organización

lid

id

ad
d
In ncia

Co ibil
m
cia

rid
Ef cia

on
en

e
Modelo de Navegación CobiT
g

nf
id
te
ica

sp
ici

Se
nf
Ef

Co

Adquisición e
Implementación

Entrega y
Control sobre el Proceso de TI Soporte
Nombre del Proceso

Evaluación y
Que satisface el requerimiento de negocios de TI para Monitoreo
Resumen de las metas de negocio más importantes

Focalizándose en
Resumen de las metas de TI más importantes

Es conseguido por
ien
to Ag Valo Control claves
am gico re r
ga
e té do
in
Al stra
E
Gobierno Y medido por
sgo n
ió
Me sulta

de TI
del istrac
Re

s
d ic d o

n
es

ra
Indicadores claves (Métrica)

na
ció
Rie
i ón s

ctu
ion
in

rso
Adm
de

ma

tru
ac

Pe
or
lic

es
Administración

Inf
Ap

ra
de Recursos

Inf
72
P=Primario; S=Secundario