COBIT 4.1COBIT 4.1Jorge MendozaJorge Mendoza

Euclides RodríguezEuclides Rodríguez

Que es COBITQue es COBIT

COBIT COBIT es un marco de trabajo y un es un marco de trabajo y un conjunto de herramientas de Gobierno conjunto de herramientas de Gobierno de Tecnología de Información (TI) que de Tecnología de Información (TI) que permite a la Gerencia cerrar la brecha permite a la Gerencia cerrar la brecha entre los requerimientos de control, entre los requerimientos de control, aspectos técnicos y riesgos de aspectos técnicos y riesgos de negocios. COBIT habilita el desarrollo negocios. COBIT habilita el desarrollo de políticas claras y buenas prácticas de políticas claras y buenas prácticas para el control de TI a lo largo de las para el control de TI a lo largo de las organizaciones. organizaciones.

COBITCOBIT COBIT COBIT fue publicado por primera vez por ITGI fue publicado por primera vez por ITGI

en abril de 1996. Su última actualización – en abril de 1996. Su última actualización – COBIT® 4.1 COBIT® 4.1 hace énfasis en el cumplimiento hace énfasis en el cumplimiento reglamentario, ayudando a la organizaciones a reglamentario, ayudando a la organizaciones a incrementar el valor de TI, destacando los incrementar el valor de TI, destacando los vínculos entre los objetivos del negocio y TI, y vínculos entre los objetivos del negocio y TI, y simplificando la implementación del marco de simplificando la implementación del marco de trabajo trabajo COBITCOBIT. Este marco de trabajo es la . Este marco de trabajo es la base para diferentes entes reguladores a nivel base para diferentes entes reguladores a nivel mundial, con la finalidad de lograr que las mundial, con la finalidad de lograr que las entidades reguladas optimicen sus inversiones entidades reguladas optimicen sus inversiones de TI y administren adecuadamente sus riesgos de TI y administren adecuadamente sus riesgos tecnológicos. tecnológicos.

Focalizarse en el negocio Focalizarse en el negocio

COBIT ayuda a alinear IT con el COBIT ayuda a alinear IT con el negocionegocio

Al medir el desempeño de IT se Al medir el desempeño de IT se soporta mejor la estrategia del soporta mejor la estrategia del negocionegocio

Al soportar COBIT unas métricas Al soportar COBIT unas métricas enfocadas al negocio se asegura así enfocadas al negocio se asegura así una mejor entrega de valor una mejor entrega de valor

Orientación a los Orientación a los procesos procesos

Cuando una organización implementa Cuando una organización implementa COBIT se orienta hacia procesos.COBIT se orienta hacia procesos.

Incidentes y problemas no interfieren el Incidentes y problemas no interfieren el transcurrir de los procesos.transcurrir de los procesos.

Las excepciones pueden ser claramente Las excepciones pueden ser claramente definidas como parte de los procesos.definidas como parte de los procesos.

Cuando los procesos tienes sus propios Cuando los procesos tienes sus propios dueños se mejora la confiabilidad de la dueños se mejora la confiabilidad de la organización ante cambios o crisis organización ante cambios o crisis organizacionales.organizacionales.

Aceptabilidad GeneralAceptabilidad General

COBIT es un probado y globalmente COBIT es un probado y globalmente aceptado estándar para aumentar la aceptado estándar para aumentar la contribución de IT al éxito contribución de IT al éxito organizacional.organizacional.

El Framework continua mejorándose El Framework continua mejorándose con relación a las mejores prácticas. con relación a las mejores prácticas.

Los profesionales de TI contribuyen Los profesionales de TI contribuyen a su desarrollo.a su desarrollo.

Características de COBIT Características de COBIT

Orientado el negocioOrientado el negocio Orientado a los procesosOrientado a los procesos Basado en controlesBasado en controles Dirigido por las medicionesDirigido por las mediciones Control de objetivos para Control de objetivos para

información y la tecnología información y la tecnología relacionada.relacionada.

COBIT y el riesgo del COBIT y el riesgo del negocio,negocio,

controles y la tecnología controles y la tecnología Empieza en los requerimientos del Empieza en los requerimientos del

negocio.negocio. Es orientado a los procesos.Es orientado a los procesos. Identifica recursos críticos de IT.Identifica recursos críticos de IT. Define los objetivos de control de la Define los objetivos de control de la

gestión para ser considerados.gestión para ser considerados. Reúne estándares internacionales.Reúne estándares internacionales. Reúne estándares internacionales Reúne estándares internacionales

Esquema COBITEsquema COBIT

Dominios de COBIT Dominios de COBIT

El Cubo de COBITEl Cubo de COBIT

AplicacionesAplicaciones COBIT se aplica a los sistemas de información COBIT se aplica a los sistemas de información

de toda la empresa, incluyendo las de toda la empresa, incluyendo las computadoras personales, mini computadoras computadoras personales, mini computadoras y ambientes distribuidos. Esta basado en la y ambientes distribuidos. Esta basado en la filosofía de que los recursos de TI necesitan ser filosofía de que los recursos de TI necesitan ser administrados por un conjunto de procesos administrados por un conjunto de procesos naturalmente agrupados para proveer la naturalmente agrupados para proveer la información pertinente y confiable que información pertinente y confiable que requiere una organización para lograr sus requiere una organización para lograr sus objetivos.objetivos.Misión: Investigar, desarrollar, publicar y Misión: Investigar, desarrollar, publicar y promover un conjunto internacional y promover un conjunto internacional y actualizado de objetivos de control para actualizado de objetivos de control para tecnología de información que sea de uso tecnología de información que sea de uso cotidiano para gerentes y auditores.cotidiano para gerentes y auditores.

UsuariosUsuarios La Gerencia: para apoyar sus decisiones de La Gerencia: para apoyar sus decisiones de

inversión en TI y control sobre el rendimiento inversión en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del de las mismas, analizar el costo beneficio del control.control.

Los Usuarios Finales: quienes obtienen una Los Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el control de los garantía sobre la seguridad y el control de los productos que adquieren interna y productos que adquieren interna y externamente.externamente.

Los Auditores: para soportar sus opiniones Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su sobre los controles de los proyectos de TI, su impacto en la organización y determinar el impacto en la organización y determinar el control mínimo requerido.control mínimo requerido.

Los Responsables de TI: para identificar los Los Responsables de TI: para identificar los controles que requieren en sus áreas.controles que requieren en sus áreas.

Recursos TIRecursos TI En COBIT se establecen los siguientes recursos en TI En COBIT se establecen los siguientes recursos en TI

necesarios para alcanzar los objetivos de negocio:necesarios para alcanzar los objetivos de negocio: Datos: Todos los objetos de información. Considera Datos: Todos los objetos de información. Considera

información interna y externa, estructurada o no, gráficas, información interna y externa, estructurada o no, gráficas, sonidos, etc.sonidos, etc.

Aplicaciones: entendido como los sistemas de información, Aplicaciones: entendido como los sistemas de información, que integran procedimientos manuales y sistematizados.que integran procedimientos manuales y sistematizados.

Tecnología: incluye hardware y software básico, sistemas Tecnología: incluye hardware y software básico, sistemas operativos, sistemas de administración de bases de datos, operativos, sistemas de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc.de redes, telecomunicaciones, multimedia, etc.

Instalaciones: Incluye los recursos necesarios para alojar y Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información.dar soporte a los sistemas de información.

Recurso Humano: Por la habilidad, conciencia y Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de servicios, dar soporte y monitorear los sistemas de Información.Información.

Estructura COBITEstructura COBIT La estructura de COBIT se define a partir de una premisa La estructura de COBIT se define a partir de una premisa

simple y pragmática: "Los recursos de las Tecnologías de simple y pragmática: "Los recursos de las Tecnologías de la Información (TI) se han de gestionar mediante un la Información (TI) se han de gestionar mediante un conjunto de procesos agrupados de forma natural para que conjunto de procesos agrupados de forma natural para que proporcionen la información que la empresa necesita para proporcionen la información que la empresa necesita para alcanzar sus objetivos".alcanzar sus objetivos".

COBIT se divide en tres niveles:COBIT se divide en tres niveles:DominiosDominiosProcesosProcesosActividadesActividades

Dominios: Agrupación natural de procesos, normalmente Dominios: Agrupación natural de procesos, normalmente corresponden a un dominio o una responsabilidad corresponden a un dominio o una responsabilidad organizacional.organizacional.Procesos: Conjuntos o series de actividades unidas con Procesos: Conjuntos o series de actividades unidas con delimitación o cortes de control.delimitación o cortes de control.

Actividades: Acciones requeridas para lograr un resultado Actividades: Acciones requeridas para lograr un resultado medible.medible.

Producto COBITProducto COBIT COBIT como Producto, incluye:COBIT como Producto, incluye: Resumen Ejecutivo: es un documento dirigido a la alta Resumen Ejecutivo: es un documento dirigido a la alta

gerencia presentando los antecedentes y la estructura gerencia presentando los antecedentes y la estructura básica de COBIT Además, describe de manera general los básica de COBIT Además, describe de manera general los procesos, los recursos y los criterios de información, los procesos, los recursos y los criterios de información, los cuales conforman la "Columna Vertebral" de COBIT.cuales conforman la "Columna Vertebral" de COBIT.

Marco de Referencia (Framework): Incluye la introducción Marco de Referencia (Framework): Incluye la introducción contenida en el resumen ejecutivo y presenta las guías de contenida en el resumen ejecutivo y presenta las guías de navegación para que los lectores se orienten en la navegación para que los lectores se orienten en la exploración del material de COBIT haciendo una exploración del material de COBIT haciendo una presentación detallada de los 34 procesos contenidos en presentación detallada de los 34 procesos contenidos en los cuatro dominios.los cuatro dominios.

Objetivos de Control: Integran en su contenido lo expuesto Objetivos de Control: Integran en su contenido lo expuesto tanto en el resumen ejecutivo como en el marco de tanto en el resumen ejecutivo como en el marco de referencia y presenta los objetivos de control detallados referencia y presenta los objetivos de control detallados para cada uno de los 34 procesos.para cada uno de los 34 procesos.

Controles COBITControles COBIT En total se describen 302 objetivos de control En total se describen 302 objetivos de control

detallados (de 3 a 30 objetivos por cada uno de los detallados (de 3 a 30 objetivos por cada uno de los procesos)procesos)

Guías de Auditoria: Se hace una presentación del Guías de Auditoria: Se hace una presentación del proceso de auditoria generalmente aceptado proceso de auditoria generalmente aceptado (relevamiento de información, evaluación de control, (relevamiento de información, evaluación de control, evaluación de cumplimiento y evidenciación de los evaluación de cumplimiento y evidenciación de los riesgos).riesgos).

Este documento incluye guías detalladas para Este documento incluye guías detalladas para auditar cada uno de los 34 procesos teniendo en auditar cada uno de los 34 procesos teniendo en cuenta los 302 objetivos de control detallados.cuenta los 302 objetivos de control detallados.

Guías de Administración: Se enfoca de manera Guías de Administración: Se enfoca de manera similar a los otros productos e integra los principios similar a los otros productos e integra los principios del Balance Business Scorecard.del Balance Business Scorecard.

Niveles de SeguridadNiveles de Seguridad Para ayudar a determinar cuales son los adecuados niveles Para ayudar a determinar cuales son los adecuados niveles

de seguridad y control integra los conceptos de:de seguridad y control integra los conceptos de:Modelo de madurez CMM (prácticas de Control)Modelo de madurez CMM (prácticas de Control)Indicadores claves de Desempeño de los procesos de TIIndicadores claves de Desempeño de los procesos de TIFactores Críticos de Éxito a tener en cuenta para Factores Críticos de Éxito a tener en cuenta para mantener bajo control los procesos de TI.mantener bajo control los procesos de TI.

Guías Gerenciales: Incluidas en la Tercera Edición, las Guías Gerenciales: Incluidas en la Tercera Edición, las mismas proveen modelos de madurez, factores críticos de mismas proveen modelos de madurez, factores críticos de éxito, indicadores claves de objetivos e indicadores claves éxito, indicadores claves de objetivos e indicadores claves de desempeño para los 34 procesos de TI de COBIT. Estas de desempeño para los 34 procesos de TI de COBIT. Estas guías proveen a la gerencia herramientas que permiten la guías proveen a la gerencia herramientas que permiten la auto evaluación y poder seleccionar opciones para auto evaluación y poder seleccionar opciones para implementación de controles y mejoras sobre la implementación de controles y mejoras sobre la información y la tecnología relacionada. Las guías fueron información y la tecnología relacionada. Las guías fueron desarrolladas por un panel de 40 expertos en seguridad y desarrolladas por un panel de 40 expertos en seguridad y control, profesionales de administración de TI y de control, profesionales de administración de TI y de administración de desempeño, analistas de la industria y administración de desempeño, analistas de la industria y académicos de todo el mundo.académicos de todo el mundo.

Herramientas de Herramientas de ImplementaciónImplementación

Herramientas de implementación: Muestra Herramientas de implementación: Muestra algunas de las lecciones aprendidas por aquellas algunas de las lecciones aprendidas por aquellas organizaciones que han aplicado COBIT e organizaciones que han aplicado COBIT e incluye una guía de implementación con dos incluye una guía de implementación con dos herramientas: Diagnóstico de conciencia herramientas: Diagnóstico de conciencia Administrativa y Diagnóstico de Control en TIAdministrativa y Diagnóstico de Control en TI

Como con cualquier investigación amplia e Como con cualquier investigación amplia e innovadora, COBIT será actualizado cada tres innovadora, COBIT será actualizado cada tres años. Esto asegurara que el modelo y la años. Esto asegurara que el modelo y la estructura permanezcan vigentes. La validación estructura permanezcan vigentes. La validación también permite asegurar que los 41 materiales también permite asegurar que los 41 materiales de referencia primarios no hayan cambiado, y, si de referencia primarios no hayan cambiado, y, si hubieran cambiado, reflejas eso en el hubieran cambiado, reflejas eso en el documento.documento.