REPBLICA BOLIVARIANA DE VENEZUELA MINISTERIO DEL PODER POPULAR PARA LA EDUCACIN UNIVERSITARIA UNIVERSIDAD POLITECNICA DEL OESTE MARISCAL

SUCRE PNF INFORMATICA

COBIT

Autores: Castellano Carlos CI. 13797343 Correa Ludwig C.I. 16.952.726 Correa Joharry C.I. 15.396.627 Gonzlez Amiderli C.I.14.299.483

Caracas, Noviembre de 2012

INTRODUCCIN

A travs del contenido de este trabajo se estudiar el concepto amplio y de gran importancia de COBIT, en sus versiones mejoradas con la finalidad de establecer parmetros para una organizacin, aportndonos gran conocimiento ya que nos sirve para llevar las directrices de un ente. El desarrollo de COBIT nos ayudar en gran parte a conocer o entender los problemas de las TI (Tecnologas de la informacin), a dems conoceremos la relacin de COBIT con otras normas,

RESEA HISTRICA

La necesidad de uso de estndares internacionales, pautas y la investigacin en las mejores prcticas (marco de referencia o framework) condujeron al desarrollo de los objetivos del control; los cuales son abordados a travs de COBIT, el cual significa Control Objectives for Information and related Technology o Objetivos de Control para tecnologa de la informacin y relacionada. El mismo brinda a managers, auditores, y usuarios IT, un set de medidas, indicadores, procesos y mejores prcticas de consenso general para asistirlos en maximizar los beneficios derivados del uso de las tecnologas de informacin y para obtener un control y gerenciamiento apropiado de IT en la organizacin

La investigacin para las primeras y segundas ediciones de COBIT, incluyen la coleccin y el anlisis de fuentes internacionales identificadas y realizada por los equipos en Europa (universidad libre de Amsterdam), los E.E.U.U. (universidad politcnica de California) y Australia (universidad de Nuevo Gales del Sur). Contienen una compilacin, revisin e incorporacin apropiada de los estndares tcnicos internacionales, cdigos de la conducta, estndares de calidad, estndares profesionales en la revisin, y las prcticas y los requisitos de la industria, como se relacionan con el marco y con los objetivos del control individual. Se converso con diversos investigadores para examinar cada dominio y procesar la informacin para sugerir los nuevos o modificados objetivos del control aplicables a los procesos. La consolidacin de los

resultados fue realizada por el comit de direccin de COBIT.

El proyecto de la edicin de COBIT consisti en el desarrollar de las pautas de la gerencia y el poner al da de la edicin de COBIT basada en nuevas y revisadas referencias internacionales.

El marco de COBIT fue revisado y realizado para apoyar al control de la gerencia. Proveer a la gerencia un marco para determinar y hacer las opciones para la puesta en prctica y las mejoras del control sobre su informacin y tecnologa relacionada, as como funcionamiento de la medida, las pautas de la gerencia incluyen modelos de la madurez, factores crticos del xito, los indicadores dominantes de la meta y los indicadores dominantes del funcionamiento relacionados con los objetivos del control. Misin La misin de COBIT es "investigar, desarrollar, publicar y promocionar un conjunto de objetivos de control generalmente aceptados para las tecnologas de la informacin que sean autorizados (dados por alguien con autoridad), actualizados, e internacionales para el uso del da a da de los gestores de negocios (tambin directivos) y auditores". Gestores, auditores, y usuarios se benefician del desarrollo de COBIT porque les ayuda a entender sus Sistemas de Informacin (o tecnologas de la informacin) y decidir el nivel de seguridad y control que es necesario para proteger los activos de sus compaas mediante el desarrollo de un modelo de administracin de las tecnologas de la informacin. PARA QU SIRVE Independientemente de la realidad tecnolgica de cada caso concreto, COBIT determina, con el respaldo de las principales normas tcnicas internacionales, un conjunto de mejores prcticas para la seguridad, la

calidad, la eficacia y la eficiencia en TI que son necesarias para alinear TI con el negocio, identificar riesgos, entregar valor al negocio, gestionar recursos y medir el desempeo, el cumplimiento de metas y el nivel de madurez de los procesos de la organizacin. Proporciona a gerentes, interventores, y usuarios TI con un juego de medidas generalmente aceptadas, indicadores, procesos y las mejores prcticas para ayudar a ellos en el maximizar las ventajas sacadas por el empleo de tecnologa de informacin y desarrollo de la gobernacin apropiada TI y el control en una empresa. Proporciona ventajas a gerentes, TI usuarios, e interventores. La toma de decisiones es ms eficaz porque COBIT ayuda la direccin en la definicin de un plan de TI estratgico, la definicin de la arquitectura de la informacin, la adquisicin del hardware necesario TI y el software para ejecutar una estrategia TI, la aseguracin del servicio continuo, y la supervisin del funcionamiento del sistema TI. Los usuarios de TI se benefician de COBIT debido al aseguramiento proporcionado. COBIT beneficia a interventores porque esto les ayuda a identificar cuestiones de control de TI dentro de la infraestructura TI de una empresa. Esto tambin les ayuda a corroborar sus conclusiones de auditoria. La misin COBIT es "para investigar, desarrollar, hacer pblico y promover un juego autoritario, actualizado, internacional de objetivos de control de tecnologa de informacin generalmente aceptados para el empleo cotidiano por directores comerciales e interventores. Los gerentes, interventores, y usuarios se benefician del desarrollo de COBIT porque esto les ayuda a entender sus sistemas TI y decidir el nivel de seguridad (valor) y control que es necesario para proteger el activo de sus empresas por el desarrollo de un modelo de gobernacin TI.

COBIT FAMILIA DE PRODUCTO

El paquete de programas de COBIT completo es un juego que consiste en seis publicaciones: 1. Resumen(Sumario) Ejecutivo 2. Marco 3. Objetivos de Control 4. Directrices de auditoria 5. Instrumento de puesta en prctica

a) Resumen Ejecutivo el cual, adicionalmente a esta seccin de antecedentes, consiste en una Sntesis Ejecutiva (que proporciona a la alta gerencia entendimiento y conciencia sobre los conceptos clave y principios de COBIT) y el Marco Referencial (el cual proporciona a la alta gerencia un entendimiento ms detallado de los conceptos clave y principios de COBIT e identifica los cuatro dominios de COBIT y los correspondientes 34 procesos de TI). b) Marco Referencial que describe en detalle los 34 objetivos de control de alto nivel e identifica los requerimientos de negocio para la informacin y los recursos de TI que son impactados en forma primaria por cada objetivo de control. c) Objetivos de Control, los cuales contienen declaraciones de los resultados deseados o propsitos a ser alcanzados mediante la implementacin de 302 objetivos de control detallados y especficos a travs de los 34 procesos de TI. d) Directrices de Auditora, las cuales contienen los pasos de auditora correspondientes a cada uno de los 34 objetivos de control de TI de

alto nivel para proporcionar asistencia a los auditores de sistemas en la revisin de los procesos de TI con respecto a los 302 objetivos detallados de control recomendados para proporcionar a la gerencia certeza o una recomendaciones de mejoramiento. e) Conjunto de Herramientas de Implementacin, el cual proporciona lecciones aprendidas por organizaciones que han aplicado COBIT rpida y exitosamente en sus ambientes de trabajo.

Figura N 1 pirmide de productos COBIT extrada de la fuente: http://asin0212.blogspot.com/

COBIT y OTRAS NORMAS Las dos normas internacionales usadas hoy son COBIT Y ISO/IEC 17799:2005. COBIT (Objetivos de Control para la Informacin y la Tecnologa relacionada) fue liberado y usado principalmente por la comunidad TI. En 1998, las Directrices de Direccin fueron aadidas, y COBIT se hizo el marco internacionalmente aceptado para la gobernacin TI y el control. ISO/IEC 17799:2005 (el Cdigo de prctica para la Seguridad de Informacin la Direccin) es tambin un estndar internacional y es la mejor prctica para poner en prctica la direccin de seguridad. Las dos normas no compiten el uno con el otro y en realidad complementan el uno al otro. COBIT tpicamente cubre una ms amplia rea mientras ISO/IEC 17799 profundamente es enfocado (concentrado) en el rea de seguridad.

Figura N 2 Describe la interrelacin de las dos normas as como ISO/IEC 17799 puede ser integrado con COBIT. Extrado de la fuente: http://www.monografias.com/trabajos38/cobit/cobit2.shtml

Otras publicaciones de ISACA basado en el marco de COBIT son:

Junta informativa para TI gobernanzas, 2 Edicin COBIT y controles de aplicacin Prcticas de Control de COBIT, 2da Edicin Gua de Aseguramiento de TI: Uso de COBIT Implementacin y continuamente mejorar la gobernanza COBIT inicio rpido, 2 Edicin

COBIT Baseline Security, 2 Edicin Los objetivos de control de la ley Sarbanes-Oxley, 2 Edicin Los objetivos de control para Basilea II COBIT Gua del usuario para directores de servicios COBIT (Asignaciones de la norma ISO / IEC 27002 , CMMI , ITIL , TOGAF ,

PMBOK , etc) COBIT Online

Ediciones La primera edicin fue publicada en 1996; la segunda edicin en 1998; la tercera edicin en 2000 (la edicin on-line estuvo disponible en 2003); y la cuarta edicin en diciembre de 2005, y la versin est disponible desde mayo de 2007. COBIT 4.1 En su cuarta edicin, COBIT tiene 34 objetivos de alto nivel que cubren 210 objetivos de control (especficos o detallados) clasificados en cuatro dominios: Planificacin y Organizacin, Adquisicin e Implementacin, Entrega y Soporte, y, Supervisin y Evaluacin. En ingls: Plan and Organize, Acquire and Implement, Deliver and Support, and Monitor and Evaluate. COBIT 5 Isaca lanz el 10 de abril del 2012 la nueva edicin de este marco de referencia. COBIT 5 es la ltima edicin del framework mundialmente aceptado, el cual proporciona una visin empresarial del Gobierno de TI que tiene a la tecnologa y a la informacin como protagonistas en la creacin de valor para las empresas.

COBIT 5 se basa en COBIT 4.1, y a su vez lo ampla mediante la integracin de otros importantes marcos y normas como Val IT y Risk IT, Information Technology Infrastructure Library (ITIL) y las normas ISO relacionadas. Beneficios COBIT 5 ayuda a empresas de todos los tamaos a:

Mantener informacin de alta calidad para apoyar las

decisiones de negocios

Alcanzar los objetivos estratgicos y obtener los beneficios de

negocio a travs del uso efectivo e innovador de las TI

Lograr la excelencia operativa a travs de una aplicacin fiable

y eficiente de la tecnologa

Mantener los riesgos relacionados a TI bajo un nivel aceptable Optimizar los servicios el coste de las TI y la tecnologa Apoyar el cumplimiento de las leyes, reglamentos, acuerdos

contractuales y las polticas COBIT para la seguridad de la informacin En el mes de junio del 2012, ISACA lanz "COBIT 5 para la seguridad de la informacin", actualizando la ltima versin de su marco a fin de proporcionar una gua prctica en la seguridad de la empresa, en todos sus niveles. COBIT 5 para seguridad de la informacin puede ayudar a las empresas a reducir sus perfiles de riesgo a travs de la adecuada administracin de la seguridad. La informacin especfica y las tecnologas relacionadas son cada

10

vez ms esenciales para las organizaciones, pero la seguridad de la informacin es esencial para la confianza de los accionistas Val IT Recientemente, ISACA ha publicado Val IT, que relaciona los procesos de COBIT con los procesos de la gerencia mayor requeridos para conseguir un buen valor de las inversiones en tecnologas de la informacin. COBIT 5 una nueva versin del ya conocido estndar para el cumplimiento de objetivos de control para el CIO y su rea. Esta versin, profundamente revisada y mejorada, provee un marco de referencia integral que contribuye en la organizacin al logro de los objetivos y entrega de valor a travs de un efectivo gobierno y gestin de la TI empresarial. A partir de su participacin en la crtica objetiva en los borradores preliminares del modelo, en este artculo, Sergio Sperat, socio de Estratega y profesional certificado en el gobierno de TI empresarial (CGEIT), responde las preguntas que el CIO se hace al acercarse a este nuevo estndar para ayudarle a descubrir cmo le puede ayudar a mejorar su gestin. Cul es el propsito de COBIT? COBIT fue creado para ayudar a las organizaciones a obtener el valor ptimo de TI manteniendo un balance entre la realizacin de beneficios, la utilizacin de recursos y los niveles de riesgo asumidos. COBIT 5 posibilita que TI sea gobernada y gestionada en forma holstica para toda la organizacin, tomando en consideracin el negocio y reas funcionales de punta a punta as como los interesados internos y externos. COBIT 5 se puede aplicar a organizaciones de todos los tamaos, tanto en el sector privado, pblico o entidades sin fines de lucro.

11

Quin utiliza COBIT? COBIT es empleado en todo el mundo por quienes tienen como responsabilidad primaria los procesos de negocio y la tecnologa, aquellos de quien depende la tecnologa y la informacin confiable, y los que proveen calidad, confiabilidad y control de TI. Qu ocurri con los objetivos de control en COBIT 5? Al basarse en 5 principios y 7 habilitadores, COBIT 5 utiliza prcticas de gobierno y gestin para describir las acciones que son ejemplo de mejores prcticas de su aplicacin. COBIT 5 ha cambiado su enfoque de objetivos de control a una visin por proceso, descripta en detalle por uno de los principales redactores del nuevo estndar, Erik Guidentops, en su artculo Where Have All The Control Objectives Gone? Cules son los 5 principios de COBIT 5? 1. Satisfacer las necesidades del accionista 2. Considerar la empresa de punta a punta 3. Aplicar un nico modelo de referencia integrado 4. Posibilitar un enfoque holstico 5. Separar gobierno de la gestin. Cules son los 7 habilitadores de COBIT 5? 1. Principios, polticas y modelos de referencia 2. Procesos 3. Estructuras organizacionales 4. Cultura, tica y comportamiento 5. Informacin

12

6. Servicios, infraestructura y aplicaciones 7. Gente, habilidades y competencias. Qu hay de la separacin entre Gobierno y Gestin? El gobierno asegura que los objetivos empresariales se logran evaluando las necesidades de los accionistas, las condiciones y opciones; establecer la direccin a travs de la priorizacin y la toma de decisiones; y monitorear el desempeo, el cumplimiento y el progreso versus la direccin y objetivos acordados (EDM, por Evaluar, Dirigir, Monitorear). Por su parte la gestin se ocupa de planificar, construir, ejecutar y monitorear las actividades alineadas con la direccin establecida por el organismo de gobierno para el logro de los objetivos empresariales (PBRM Planificar, Construir, Ejecutar y Monitorear, por su sigla en ingls). La siguiente imagen sintetiza muy bien estos dos conceptos, muchas veces confundidos:

13

Figura

Necesidades

del

negocio,

extraida

de

la

fuente:

http://francoitgrc.wordpress.com/2012/06/07/it-grc-segun-cobit-5-parte-1-it-governance/

Es COBIT 5 un modelo superior a otros modelos de control aceptados? La mayora de los ejecutivos conocen la importancia de los marcos generales de control en relacin con la responsabilidad fiduciaria, tales como COSO, Cadbury, CoCo, Sarbanes-Oxley. Sin embargo, no necesariamente son conscientes del nivel de detalle de cada uno. Por otro lado, los ejecutivos cada vez ms conocen la importancia de guas tcnicas como ITIL (para la gestin de servicios de TI) e ISO 27001 (para seguridad de informacin). Si bien estos estndares y modelos enfatizan el control del negocio y la seguridad y servicio de TI, COBIT es el nico que se ocupa de los controles especficos de TI desde la perspectiva del negocio. De hecho, COBIT 5 se
14

basa en ISO/IEC 15504 e ITIL. No se pretende que COBIT reemplace estos modelos de control, sino lo que se destacan son los elementos de gobierno y gestin y las prcticas necesarias para crear valor para la compaa. Cul es la forma ms rpida y efectiva de presentar COBIT a los ejecutivos? La cultura empresarial es de vital importancia. Una cultura proactiva ser ms receptiva que una que no lo es. Sin embargo, hay que considerar el nfasis que COBIT hace en la creacin de valor para el accionista por estar guiado por los objetivos del negocio, la alineacin con estndares internacionales reconocidos y su simplicidad. Las reas de gobierno y gestin emanan de tan slo 5 principios y 7 habilitadores. Al establecer la lista de requerimientos, COBIT combina los principios contenidos en los modelos referenciales existentes y conocidos:

a) Requerimientos de Calidad: Calidad, Costo y Entrega (de servicio). b) Requerimientos fudiciarios Coso: Efectividad & eficiencia de operaciones, Confiabilidad de la informacin y Cumplimiento de las leyes & regulaciones. c) Requerimientos de Seguridad: Confidencialidad, Integridad, Disponibilidad La Calidad ha sido considerada principalmente por su aspecto negativo (no fallas, confiable, etc.), lo cual tambin se encuentra contenido en gran medida en los criterios de Integridad. Los aspectos positivos pero menos tangibles de la calidad (estilo, atractivo, ver y sentir14, desempeo ms all de las expectativas, etc.) no fueron, por un tiempo, considerados

15

desde un punto de vista de Objetivos de Control de TI. A continuacin se muestran las definiciones de trabajo de COBIT: a) Efectividad: Se refiere a que la informacin relevante sea pertinente para el proceso del negocio, as como a que su entrega sea oportuna, correcta, consistente y de manera utilizable. b) Eficiencia: Se refiere a la provisin de informacin a travs de la utilizacin ptima (ms productiva y econmica) de recursos. c) Confidencialidad: Se refiere a la proteccin de informacin sensible contra divulgacin no autorizada. d) Integridad: Se refiere a la precisin y suficiencia de la informacin, as como a su validez de acuerdo con los valores y expectativas del negocio. e) Disponibilidad: Se refiere a la disponibilidad de la informacin cuando sta es requerida por el proceso de negocio ahora y en el futuro. Tambin se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas. f) Cumplimiento: Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a los que el proceso de negocios est sujeto, por ejemplo, criterios de negocio impuestos externamente. g) Confiabilidad de la Informacin: Se refiere a la provisin de informacin apropiada para la administracin con el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros y de cumplimiento. Los recursos de TI identificados en COBIT pueden explicarse/definirse como se muestra a continuacin:

16

a) Datos: Los elementos de datos en su ms amplio sentido, (por ejemplo, externos e internos), estructurados y no estructurados, grficos, sonido, etc. b) Aplicaciones: Se entiende como sistemas de aplicacin la suma de procedimientos manuales y programados. c) Tecnologa: La tecnologa cubre hardware, software, sistemas operativos, sistemas de administracin de bases de datos, redes, multimedia, etc. d) Instalaciones: Recursos para alojar y dar soporte a los sistemas de informacin. e) Personal: Habilidades del personal, conocimiento, conciencia y productividad para planear, organizar, adquirir, entregar, soportar y monitorear servicios y sistemas de informacin

Dominios de Cobit

Las definiciones para los dominios mencionados son las siguientes:

a) Planeacin y Organizacin: Este dominio cubre la estrategia y las tcticas y se refiere a la identificacin de la forma en que la tecnologa de informacin puede contribuir de la mejor manera al logro de los objetivos del negocio. Adems, la consecucin de la visin estratgica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, debern establecerse una organizacin y una infraestructura tecnolgica apropiadas. b) Adquisicin e Implementacin: Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, as como implementadas e integradas dentro del proceso

17

del negocio. Adems, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes. c) Entrega y Soporte: En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, debern establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicacin,

frecuentemente clasificados como controles de aplicacin. d) Monitoreo: Todos los procesos necesitan ser evaluados regularmente a travs del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control. En resumen, los Recursos de TI necesitan ser administrados por un conjunto de procesos agrupados en forma natural, con el fin de proporcionar la informacin que la empresa necesita para alcanzar sus objetivos.

En la figura No. 4 se muestra la interaccin de estos tems.

Acerca del autor de este artculo Sergio Sperat es socio de Estratega y tiene una trayectoria de ms de 20 aos como consultor en estrategia de reas de TI y negocios, desarrollada en una amplia variedad de industrias en Argentina, Chile, Mxico y Estados Unidos. Es Licenciado en Anlisis de Sistemas de la Facultad de Ingeniera de la Universidad de Buenos Aires, hizo su Programa de Direccin de Empresas en el IAE Business School en 1995, complet su Maestra en Administracin de Empresas en IDEA y London Business School, en

18

Inglaterra en 2001. Fue profesor adjunto del postgrado del Master en Administracin de Empresas de IDEA. Sergio est certificado en COBIT y CGEIT (ISACA) y se desempea como responsable de Aseguramiento de Calidad y Direccin de Proyectos de Estratega. Sergio est certificado como consultor Blue Ocean Strategy

Practitioner por el Blue Ocean Strategy Institute (Reino Unido).

19

Figura No. 4: Procesos de It de Cobit definidos dentro de los cuatro dominios

20

CONCLUSION

El propsito de COBIT es Investigar, desarrollar, publicar y promover un conjunto de objetivos de control en tecnologa de informacin con autoridad, actualizados, de carcter internacional y aceptados generalmente para el uso cotidiano de gerentes de empresas y auditores.

Mientras COBIT, brinda buenas prcticas a travs de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lgica. Las buenas prcticas de COBIT representan el consenso de los expertos. Estn enfocadas fuertemente en el control y menos en la ejecucin. Estn enfocadas fuertemente en el control y menos en la ejecucin. Estas prcticas ayudan a optimizar las inversiones facilitadas por la TI, aseguran la entrega del servicio y brindan una medida contra la cual juzgar cuando las cosas no vayan bien.

21

REFERENCIAS BIBLIOGRAFICAS

http://www.buenastareas.com/ensayos/El-Cobit/129027.html. http://msaffirio.wordpress.com/2007/03/03/la-cobit-y-laorganizacion-del-area-informatica/. http://es.wikipedia.org/wiki/Objetivos_de_control_para_la_inform aci%C3%B3n_y_tecnolog%C3%ADas_relacionadas. Comit Directivo de Cobit: COBIT Directrices de Auditoria; abril 1998, 2da edicin.

22