MS. ING. JAIRO E. MÁRQUEZ D.

COBIT = Objetivos de Control para Tecnología deInformación y Tecnologías relacionadas (Control Objetivesfor Información Systems and related Technology).

El modelo es el resultado de una investigación conexpertos de varios países, desarrollado por ISACA(Información Systems audit. and Control Association).

Es un modelo para la auditoria y control desistemas de información.

La evaluación de los requerimientos del negocio,los recursos y procesos, son puntos bastanteimportantes para el buen funcionamiento de unacompañía y para el aseguramiento de susupervivencia en el mercado.

El COBIT es un modelo para auditar la gestión y control delos sistemas de información y tecnología, orientado atodos los sectores de una organización, es decir,administradores IT, usuarios y por supuesto, los auditoresinvolucrados en el proceso.

⁻ COBIT es un marco de gobierno de las tecnologías de informaciónque proporciona una serie de herramientas para que la gerenciapueda conectar los requerimientos de control con los aspectostécnicos y los riesgos del negocio.

⁻ Permite el desarrollo de las políticas y buenas prácticas para elcontrol de las tecnologías en toda la organización.

⁻ Enfatiza el cumplimiento regulatorio, ayuda a las organizaciones aincrementar su valor a través de las tecnologías, y permite sualineamiento con los objetivos del negocio

⁻ Información disponible en: www.isaca.org/cobit

COBIT – el Marco de ISACA

Governance of Enterprise IT

COBIT 5

IT Governance

COBIT4.0/4.1

Management

COBIT3

Control

COBIT2

Audit

COBIT1

2005/720001998

Evol

utio

n of

sco

pe

1996 2014

Val IT 2.0(2008)

Risk IT(2009)

EVOLUCIÓN DE COBIT

De una herramienta de auditoría a un marco de gobierno de las TI

- Compendio de mejores prácticas aceptadas internacionalmente- Orientado al gerenciamiento de las tecnologías- Complementado con herramientas y capacitación- Gratuito- Respaldado por una comunidad de expertos- En evolución permanente- Mantenido por una organización sin fines de lucro, con

reconocimiento internacional- Mapeado con otros estándares- Orientado a Procesos, sobre la base de Dominios de

Responsabilidad

COBIT HOY

El COBIT es un modelo de evaluación y monitoreoque enfatiza en el control de negocios y laseguridad IT y que abarca controles específicos deIT desde una perspectiva de negocios.

La estructura del modelo COBIT propone unmarco de acción donde se evalúan los criterios deinformación, por ejemplo la seguridad y calidad,se auditan los recursos que comprenden latecnología de información (recurso humano,instalaciones, sistemas, entre otros), y finalmentese realiza una evaluación sobre los procesosinvolucrados en la organización.

COBIT es una herramienta de gobierno de TI queha cambiado la forma en que trabajan losprofesionales de tecnología.

Vincula tecnología informática y prácticas decontrol

El modelo COBIT consolida y armonizaestándares de fuentes globales prominentes enun recurso crítico para la gerencia, losprofesionales de control y los auditores.

COBIT se aplica a los sistemas de informaciónde toda la empresa, incluyendo loscomputadores personales y las redes.

Está basado en la filosofía de que los recursosTI necesitan ser administrados por unconjunto de procesos naturalmenteagrupados para proveer la informaciónpertinente y confiable que requiere unaorganización para lograr sus objetivos.

Con COBIT se define un marco de referencia queclasifica los procesos de las unidades detecnología de información de las organizacionesen cuatro “dominios” principales, a saber:

Planeación y organización Adquisición e implantación Soporte y servicios Monitoreo

Estos dominios agrupan objetivos de controlde alto nivel, que cubren tanto los aspectosde información, como de la tecnología que larespalda.

Estos dominios y objetivos de control facilitanque la generación y procesamiento de lainformación cumplan con las característicasde efectividad, eficiencia, confidencialidad,integridad, disponibilidad, cumplimiento y

confiabilidad.

Se deben tomar en cuenta los recursos queproporciona la tecnología de información,tales como: Datos Aplicaciones Plataformas tecnológicas Instalaciones Recurso humano.

La publicación inicial, define y describe los componentesque forman el Marco COBIT

Principios Arquitectura Facilitadores Guía de implementación Otras publicaciones futuras de interés

COBIT 5 – El marco

COBIT 5 – Sus principiosMarco IntegradorConductores devalor para losInteresadosEnfoque al Negocioy su Contexto paratoda la organizaciónFundamentado enfacilitadoresEstructurado demanera separadapara el Gobierno y laGestión

Los Principios de COBIT 5

Principiosde COBIT 5

1. Satisfacerlas

necesidadesde las partesinteresadas

2. Cubrir laOrganización de

forma integral

3. Aplicar unsolo marcointegrado

4. Habilitarun enfoque

holistico

5. Separar elGobierno de laAdministración

Habilitadores de COBIT 5

1. Principios, Políticas y Marcos

2. Procesos 3. EstructurasOrganizacionales

4. Cultura, Éticay Comportamiento

5. Información6. Servicios,

Infraestructuray Aplicaciones

7. Personas,Habilidades yCompetencias

RECURSOS

Fundamentación de Facilitadores

Cultura, Ética y ComportamientoEstructura OrganizacionalInformaciónPrincipios PolíticasHabilidades y CompetenciasCapacidad de brindar ServiciosProcesos

Procesos de Gobierno y Gerenciamiento

Procesos de Gobierno

Permite que las múltiples partes interesadas tengan unalectura organizada del análisis de opciones, identificacióndel norte a seguir y la supervisión del cumplimiento yavance de los planes establecidos

Procesos de Gestión

Utilización prudente de medios (recursos, personas,procesos, practicas) para lograr un fin específico

COBIT 5 Guía deImplementación

La Guía de Implementación COBIT 5 cubre los siguientes temas:

Posicionar al Gobierno de IT dentro de la organizaciónTomar los primeros pasos hacia un Gobierno de ITsuperadorDesafíos de implementación y factores de éxitosFacilitar la gestión del cambioImplementar la mejora continuaLa utilización del COBIT 5 y sus componentes

Incremento de la creación de valor a través ungobierno y gestión efectiva de la información y de losactivos tecnológicos. La función de TI se vuelve masenfocada al negocio.

Incremento de la satisfacción del usuario con elcompromiso de TI y sus servicios prestados – TI esvisto como facilitador clave.

Incremento del nivel de cumplimiento con las leyesregulaciones y políticas relevantes.

Las personas que participan son mas proactivas en lacreación de valor a partir de la gestión de TI.

Beneficios al utilizar COBIT 5

- Se proyecta como una guía específica para los profesionales de la Seguridad de laInformación y otros interesados.

- Se construye sobre el marco del COBIT 5, un enfoque robusto para el gobierno yla gestión de la seguridad de la información, sobre la base de los procesos denegocios de la organización

- Presentará una visión extendida del COBIT 5 , que explica cada uno de suscomponentes desde la perspectiva de la seguridad.

- Creará valor para todos los interesados a través de explicaciones, actividades,procesos y recomendaciones.

- Propondrá una visión del gobierno y la gestión de la seguridad de la informaciónmediante una guía detallada para establecerla, implementarla y mantenerla,como parte de las políticas, procesos y estructuras de la organización.

COBIT 5 for (Information) Security

Principales contenidos: Directrices sobre los principales drivers y beneficios de

la seguridad de la información para la organización Aplicación de los principios de COBIT 5 por parte de

los profesionales de la seguridad de la información Mecanismos e instrumentos para respaldar el

gobierno y la gestión de la seguridad de la informaciónen la organización

Alineamiento con otros estándares de seguridad de lainformación

COBIT 5 for (Information) Security

Tipos de Gobierno

Existen diferentes tipos de gobierno: Gobierno Corporativo Gobierno de Proyectos Gobierno de Tecnologías de Información Gobierno Ambiental Gobierno Económico y Financiero

Cada tipo tiene una o más fuentes deorientación, cada uno con objetivossimilares pero con frecuencia varíantérminos y las técnicas para su realización.

Gobierno (y administración) en COBIT 5 Gobierno asegura que los objetivos de la empresa se logren

mediante la evaluación de las necesidades de las partesinteresadas, las condiciones y opciones, estableciendo la direccióna través de la priorización y decisión, y monitoreando eldesempeño, el cumplimiento y el progreso contra acordarondirección y objetivos.

Administración planea, construye, ejecuta y monitoreaactividades alineadas con la dirección establecida por el órgano degobierno para alcanzar los objetivos de la empresa.

El ejercicio de gobierno y la gestión eficaz en la práctica requiere eluso adecuado de todos los facilitadores. El proceso COBIT comomodelo de referencia nos permite enfocar fácilmente sobre lasactividades empresariales relevantes.

Gobierno en COBIT 5

• El modelo de referencia COBIT 5 subdivide proceso de lasprácticas relacionadas con la TI y las actividades de la empresaen dos grandes áreas: la gobernanza y la gestión con laadministración dividida en dominios de los procesos

• El dominio GOBIERNO contiene cinco procesos de gobierno,dentro de cada proceso, evaluar, dirigir y supervisar (EDM) Lasprácticas se definen.•01 Asegurar el marco de gobierno y el mantenimiento de su configuración.•02 Asegurar la entrega beneficios.•03 Garantizar la optimización de riesgos.•04 Garantizar la optimización de recursos.•05 Garantizar la transparencia de los terceros interesados.

• Los cuatro dominios de gestión están en línea con las áreas deresponsabilidad de planear, construir, ejecutar y monitorear(PBRM).

Administración de Riesgos en COBIT 5• El dominio de Gobierno cotiene cinco procesos de gobierno,

uno de los cuales se enfoca en el riesgo relacionado con losobjetivos de los terceros interesados: EDM03 Asegurar laoptimización de riesgos.• Descripción de procesos• Asegurar que el apetito de riesgo de la empresa y la tolerancia se

entiende, articulado y comunicado, y que el riesgo de valor de laempresa en relación con el uso de las TI es identificado ygestionado.

• Proceso de declaración de propósito• Asegurar que riesgos relacionados con TI de la empresa no supere la

tolerancia al riesgo y el apetito de riesgo, el impacto de los riesgos deTI de valor de la empresa es identificado y manejado, y laposibilidad de fallas de cumplimiento es mínimo.

Administración de Riesgos en COBIT 5

• El dominio de Gestión Alinear, Planear y Organizarcontiene un proceso de riesgos relacionados: APO12Gestionar el riesgo.• Descripción del proceso• Continuamente identificar, evaluar y reducir los riesgos

relacionados con TI dentro de los niveles de toleranciaestablecidos por la dirección ejecutiva de la empresa.

• Proceso de Declaración de Propósito• Integrar la gestión de riesgos empresariales

relacionados con la TI con el ERM en general, yequilibrar los costos y beneficios de la gestión de riesgosrelacionados con TI de la empresa.

Administración de Riesgos en COBIT 5

• Todas las actividades de la empresa tienen una exposición deriesgos asociados derivados de las amenazas ambientalesque aprovechan las vulnerabilidades habilitador.

• EDM03 Asegurar optimización del riesgo asegura que elenfoque de riesgo de los terceros interesado este enfocado acomo serán tratados los riesgos que enfrenta la empresa.

• APO12 Gestión de Riesgo proporciona a las empresas lagestión de riesgos (ERM) las diposiciones que aseguren que ladirección dada por los terceros interesados es seguida por laempresa.

• Todos los demás procesos incluye prácticas y actividadesque son diseñadas para tratar el riesgo relacionado (evitar,reducir / mitigar / controlar/ compartir / transferir / aceptar).

Cualquier tipo de empresa puede adoptar la metodologíaCOBIT, como parte de un proceso de reingeniería en arasde reducir los índices de incertidumbre sobrevulnerabilidades y riesgos de los recursos IT yconsecuentemente, sobre la posibilidad de evaluar ellogro de los objetivos del negocio apalancado enprocesos tecnológicos.

La adecuada implementación de un modelo COBITpermite evaluar de manera ágil y consistente elcumplimiento de los objetivos de control y controlesdetallados, que aseguran que los procesos y recursos deinformación y tecnología contribuyen al logro de losobjetivos del negocio en un mercado cada vez másexigente, complejo y diversificado.

ITIL (Información Technologies InfrastructureLibrary );

Es un conjunto de mejores practicas para la dirección ygestión de servicios de tecnologías de la información en loreferente a Personas, Procesos y Tecnología,desarrollado por la OGC (Office of GovernmentCommerce) del Reino Unido, que cumple y desarrolla lanorma BS15000 de la BSI (British Standards Institución).

ITIL es un conjunto de libros que permiten mejorar lacalidad de los servicios de tecnologías de la información yque presta una organización a sus clientes o undepartamento a su organización.

Con ITIL se hace posible para departamentosy organizaciones reducir costos, mejorar lacalidad del servicio tanto a clientes externoscomo internos y aprovechar al máximo lashabilidades y experiencia del personal,mejorando su productividad.

Foundation Certificate (Certificado Básico):Acredita un conocimiento básico de ITIL engestión de servicios de tecnologías de lainformación y la comprensión de laterminología propia de ITIL.

Está destinado a aquellas personas que deseenconocer las buenas prácticas especificadas enITIL.

Existen tres niveles de certificación ITIL paraprofesionales:

Practitioner's Certificate (Certificado deResponsable):

• Destinado a quienes tienen responsabilidaden el diseño de procesos de administración dedepartamentos de tecnologías de lainformación y en la planificación de lasactividades asociadas a los procesos.

Este examen sólo se puede hacer en inglés.

Manager's Certificate (Certificado deDirector):

Garantiza que quien lo posee dispone deprofundos conocimientos en todas lasmaterias relacionadas con la administraciónde departamentos de tecnologías de lainformación, y lo habilita para dirigir laimplantación de soluciones basadas en ITIL.

Este examen se puede hacer en inglés,alemán y ruso.

Actualmente no existe certificación ITIL paraempresas, sólo para personas. Esto esimportante saberlo, ya que hay empresas queaseguran estar en posesión de tal certificado. Apartir de 2006, se homologó la ISO20000, basadaen ITIL que permite a las empresas obtener lacertificación de calidad por los servicios de IT queofrecen.

Grupo de usuarios ITIL itSMF es el único foroindependiente reconocido internacionalmentededicado a la administración de servicios detecnologías de la información, y además depermitir intercambio de ideas y experiencias, seha convertido en un grupo influyente endesarrollos comerciales.