Proceso de la administracin basada en ITIL / CobIT

Tal vez encuentre su entorno de la tecnologa de la informacin (TI) difcil de controlar y costoso de administrar. La
infraestructura Bsica de TI se caracteriza por procesos manuales y localizados; un mnimo control central; y polticas y
estndares de TI inexistentes o no aplicados respecto a la seguridad, el respaldo, la administracin e implementacin de
imgenes, el cumplimiento y otras prcticas de TI comunes.
Al cambiar de una infraestructura Estandarizada de TI, su organizacin se puede beneficiar al contar con personal de TI
capacitado sobre las mejores prcticas tales como Microsoft Operations Framework (MOF), la Biblioteca de
infraestructura de TI (ITIL), la administracin y configuracin centrales de seguridad, la definicin de imgenes estndar
de escritorio, as como diversos directorios para una fcil autenticacin.
El siguiente grfico describe parar usted el entorno del cliente y qu beneficios y acciones realizar al ayudar al cliente a
cambiar de un estado de madurez al siguiente incluyendo la siguiente informacin:

Descripcin del entorno del cliente

Problemas/Desafos
Problemas
Beneficios de pasar al siguiente nivel
Proyectos posibles con un cliente (plan de accin)

Mapeando ITIL v.3 y Cobit 4.1

ISACA ha publicado el documento de mapeo entreITIL V3 y Cobit 4.1; es el resultado de un trabajo que era bastante
complicado de hacer, ya que como en los dems documentos de mapeo, se intenta realizar un anlisis de cmo se
referencia cada uno de los objetivos de control detallados de Cobit en ITIL V3 y para poder hacer esto el equipo de
trabajo debe tener grandes conocimientos de ambos extremos de la comparacin.
En este estudio ha habido varias cosas que me han llamado la atencin: lo primero es la evolucin que ha habido en la
metodologa de realizacin de estos estudios: si miramos el documento de mapeo de ITIL V2 con Cobit 4.0 (fechado en
Enero de 2007) veremos que el nivel de detalle al que se ha llegado en este nuevo anlisis es mucho mayor y que ya no es
tan absoluto como antes (en el de V2 se analizaba si un objetivo de control se cubre o no, booleano, blanco o negro); sin
embargo, ahora hay una escala en la que se habla de cubrir mucho, poco o nada un objetivo de control.
Otro de los detalles que me ha parecido interesante es ver de forma grfica la evolucin de ITIL en cuanto al nivel de
cobertura a las necesidades de un departamento IT. Si miramos los mapas de cobertura veremos que ITIL V2 cubra una
pequea parte de Cobit (sobre todo en la parte de Deliver and Support, como era de esperar) mientras que la cobertura de
V3 es mucho ms amplia.
Por ltimo, me llam la atencin ese agujero que quedaba en DS qu pasaba con DS7, que no estaba cubierto?; as
que me fui al manual de Cobit a buscar qu era el DS7 y me encontr con una gran sorpresa:
DS7 Educate and Train Users
Impresionante! Segn este anlisis, ITIL V3 no cubre en ningn aspecto la formacin del usuario final. Y al menos por lo
que yo he ledo, es prcticamente cierto, salvo porque en alguna parte del Service Transition se habla de formar a los
usuarios y en V2, en alguna parte de la Gestin de Versiones tambin se habla de la formacin de usuarios. Pero desde
luego no es algo a lo que se le preste una atencin especial sino que se menciona de pasada.
Qu gran carencia!! Visin de servicio? Tratar al usuario como a un cliente? Hacemos de todo para asegurar unos
servicios de calidad y no nos acordamos de formar a los usuarios en el uso de los servicios?
Aqu me viene a la cabeza la definicin de Mark Toomey sobre el Gobierno de TI y la nueva norma ISO 38500:
Las TIC son una herramienta del negocio. Es responsabilidad del Negocio determinar cmo, cundo, dnde y porqu
utilizar la herramienta y es responsabilidad de IT proporcionar la herramienta que satisfaga estas necesidades.
Pero no slo estamos hablando de entregar una herramienta que satisfaga las necesidades, sino que tambin hemos de
garantizar que quien ha de usar la herramienta sabr sacar el mximo partido de ella; y no ya slo por una visin egosta
del tema, en cuanto a que a medida que los usuarios estn ms y mejor formados, menos problemas tendremos en IT (en
soporte funcional, tcnico o en peticiones, por ejemplo) sino que cuanto ms y mejor estn formados los usuarios ms

partido podrn sacar de las herramientas que les proporcionemos y podrn aportar mayores eficiencias gracias al uso
adecuado de las TIC.
Formar a los usuarios es una gran inversin, pero ITIL V3 se olvid de ello.
Fuente:
www.gobiernotic.es/2008/08/mapping-itil-v3-with-cobit-41.html
http://seguridad-informacion.blogspot.com/2008/08/mapping-itil-v3-with-cobit-41.html
https://www.isaca.org/Template.cfm?
Section=home&Template=/ContentManagement/ContentDisplay.cfm&ContentID=43999
El Marco de Trabajo de COBIT
En mayo 2007, se pblico la versin 4.1 de COBIT*1, Objetivos de Control para Tecnologas de la Informacin y
Relacionadas, que es un conjunto de mejores prcticas para en la seguridad de la Informacin creado por la Asociacin
para la Auditora y Control de Sistemas de Informacin. ISACA*2, y el Instituto de Administracin de las Tecnologas de
la Informacin, ITGI*3. Proporciona un estndar internacional de prcticas aprobadas mundialmente que ayudan a la alta
direccin, ejecutivos y administradores a incrementar el valor de las Tecnologas de la Informacin, TI, y a reducir los
riesgos del negocio. Facilita un conjunto de buenas prcticas a travs de un marco de trabajo de dominios y procesos, y
presenta las actividades en una estructura manejable y lgica.
COBIT 4.1 es una actualizacin significativa del marco que asegura que las TI estn alineadas con los objetivos de
negocio, sus recursos sean usados responsablemente y sus riesgos administrados de forma apropiada. COBIT 4.1
representa una mejora indiscutible de la versin COBIT 4.0 del estndar.
La nueva versin incluye la medicin del desempeo, mejores objetivos de control y mejor alineacin con las metas de
negocios y TI.
Muchas son las razones para la adopcin de de un marco de trabajo para el control del Gobierno de las TI en las
organizaciones, independientemente de su actividad y el tamao.
Cada vez ms, la alta direccin se est dando cuenta del impacto significativo que la informacin puede tener en el xito
de una empresa. La direccin espera de las TI contribuyan al xito del negocio y se pueda obtener una ventaja competitiva
de su buen uso. Las Organizaciones necesitan saber si con la informacin administrada es posible garantizar:

El logro de sus objetivos

La flexibilidad suficiente para aprender y adaptarse
El manejo juicioso de los riesgos a enfrenta la Organizacin
El anlisis de las oportunidades de negocio y actuar de acuerdo a ellas

El xito de la Organizacin depende en gran medida de que se entienden los riesgos y se aprovechan los beneficios de las
TI, para ello, se necesita:

Alinear la estrategia de las TI con la estrategia del negocio

Lograr que toda la estrategia de las TI, as como las metas fluyan de forma gradual a toda la empresa
Proporcionar estructuras organizativas que faciliten la implementacin de las metas del negocio
Crear las comunicaciones efectivas entre el negocio y las TI, y con los socios externos
Medir el desempeo de las TI.

Las empresas no pueden responder de forma efectiva a estos requerimientos de negocio y de gobierno sin adoptar e
implementar un marco de Referencia de gobierno y de control para las TI, de manera que:

Se alinee con los requerimientos del negocio

El desempeo real con respecto a los requerimientos sea transparente y gil
Organice todas sus actividades en un modelo de procesos generalmente aceptados
Identifique los principales recursos que son necesarios
Se definan los objetivos de control que son necesarios

El gobierno y los marcos de trabajo de control son parte de las mejores prcticas de la administracin de las TI y facilitan
su Gobierno, adems de la necesidad de cumplir con el constante incremento de requerimientos regulatorios. Las mejores
prcticas de las TI se han vuelto significativas debido a un nmero de factores:

Directores de negocio y consejos directivos que demandan un mayor retorno de la inversin en las TI
Preocupacin por el creciente nivel de gasto en las TI
La necesidad de cumplir con requerimientos regulatorios para controles de las TI en reas como la privacidad o
los informes financieros: Sarbanes-Oxley Act, Basel II o regulaciones locales: LOPD, LSSI-CE, etc, y en sectores
especficos como el financiero, salud, telecomunicaciones e Internet, seguros, farmacutico, etc
La seleccin de proveedores de servicio y el manejo del Outsourcing y de la Adquisicin de servicios
Riesgos cada vez ms complejos de las TI
La conectividad entre las redes y su seguridad
Iniciativas de gobierno de TI que incluyen la adopcin de marcos de referencia de control y de mejores prcticas
para ayudar a monitorear y mejorar las actividades crticas de las TI, aumentar el valor del negocio y reducir sus
riesgos
La necesidad de optimizar y minimizar los costes siguiendo un enfoque estandarizado en lugar de enfoques
individualizados
La madurez y concienciacin creciente y la aceptacin de marcos de trabajo respetados tales como: COBIT, ITIL,
ISO 17799, ISO 9001, CMM y PRINCE2, etc.
La necesidad de las empresas de valorar su desempeo en comparacin con estndares generalmente aceptados y
con respecto a su competencia

COBIT define las actividades de TI de una organizacin, en un modelo genrico de procesos en cuatro dominios. Los
dominios son Planear y Organizar, Adquirir e Implementar, Entregar y Dar Soporte y Monitorear y Evaluar. El marco de
trabajo de COBIT proporciona un modelo de procesos de referencia y un lenguaje comn para todos los implicados en los
trabajos de la organizacin, con el fin de que visualicen y administren las actividades de TI. La incorporacin de un
modelo y un lenguaje comn para todas las partes de un negocio involucradas en TI es uno de los pasos iniciales ms
importantes hacia un buen gobierno. Brinda un marco de trabajo para la medicin y monitoreo del desempeo de las
Tecnologas de Informacin, e integra las mejores prcticas administrativas. Fomenta la propiedad de los procesos,
permitiendo que se definan las responsabilidades. Determina las actividades y los riesgos que requieren ser administrados.
El alcance de los cuatro dominios es:
PLANEAR Y ORGANIZAR. Cubre las estrategias y de la organizacin, identificando la manera en que las TI pueda
contribuir al logro de los objetivos del negocio. La visin estratgica requiere ser planeada, comunicada y administrada
desde diferentes perspectivas. Finalmente, se debe implementar una estructura organizacional y una estructura tecnolgica
apropiada. Este dominio y sus controles cubren los siguientes requerimientos del negocio:

Estn alineadas las estrategias de las TI y del negocio?

La empresa est alcanzando un uso ptimo de sus recursos?
Entienden todas las personas dentro de la organizacin los objetivos de las TI?
Se entienden y administran los riesgos de las TI?
Es apropiada la calidad de los sistemas de las TI para las necesidades del negocio?

ADQUIRIR E IMPLEMENTAR. Las soluciones de las TI necesitan ser identificadas, desarrolladas o adquiridas as como
la implementacin e integracin en los procesos del negocio. Adems, el cambio y el mantenimiento de los sistemas
existentes son necesarios para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio. Este dominio
contesta a las siguientes cuestiones:

Los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio?
Los nuevos proyectos son entregados a tiempo y dentro del presupuesto?
Trabajarn adecuadamente los nuevos sistemas una vez sean implementados?
Los cambios afectarn las operaciones actuales del negocio?

ENTREGAR Y DAR SOPORTE. Se preocupa de la entrega de los servicios requeridos, la prestacin del servicio, la
administracin de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administracin de los datos y
de las instalaciones operacionales. Este dominio trata de garantizar:

Se estn entregando los servicios de las TI de acuerdo con las prioridades del negocio?
Estn optimizados los costos de las TI?

Es capaz la fuerza de trabajo de utilizar los sistemas de las TI de manera productiva y segura?
Estn implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad?

MONITOREAR Y EVALUAR. Este dominio abarca la administracin del desempeo, el monitoreo del control interno, el
cumplimiento regulatorio y la aplicacin del Gobierno. Contesta a las siguientes preguntas:

Se mide el desempeo de las TI para detectar los problemas antes de que sea demasiado tarde?
La Alta Direccin garantiza que los controles internos son efectivos y eficientes?
Puede vincularse el desempeo de lo que las TI ha realizado con las metas del negocio?
Se miden y reportan los riesgos, el control, el cumplimiento y el desempeo?

*1. COBIT, Control Objectives for Information and related Technology

*2. ISACA, Information Systems Audit and Control Association.
*3. ITGI, IT Governance Institute.
Control Interno (COBIT vs COSO)
El control interno es uno de los elementos de gestin empresarial que ms cambios ha sufrido en los ltimos aos. En sus
comienzos fue un concepto prcticamente exclusivo de las reas financieras de las grandes corporaciones. Ms adelante
se fue extendiendo gracias a que los auditores internos lo heredaron y desarrollaron, aunque en gran medida sigui
bastante ligado a los entornos econmicos. Y en los ltimos aos el concepto se ampli y extendi a otros mbitos, siendo
poco a poco utilizado por responsables de calidad, seguridad o tecnologa informtica.
En la actualidad existen una gran cantidad de modelos de control interno, pero en muchas ocasiones es difcil distinguir
entre unos y otros y apreciar claramente sus diferencias y similitudes. Y ms si tenemos en cuenta que entre unos y otros
existen muchas influencias y puntos comunes. Por eso, creo que este documento puede ser bastante til para todo aqul
que quiera adentrarse en estos temas.
En el documento se comparan tres modelos de control interno: Cobit, SAC y COSO. Inicialmente se lleva a cabo una
presentacin de cada uno de los tres modelos, y posteriormente se comparan distintos atributos de cada uno de ellos,
analizando a quin va dirigido, la forma de ver el control interno de cada modelo, los objetivos organizacionales que
persiguen, los componentes del modelo, el mbito de aplicacin y el alcance, entre otros.
Sin pararme a resumir el contenido del documento completo, s que quiero destacar algunas diferencias que me parecen
significativas, sobre todo entre COSO y COBIT, que son los dos modelos ms difundidos en la actualidad. La primera
gran diferencia es que COSO est enfocado a toda la organizacin, mientras que COBIT se centra en el entorno IT. La
segunda es que COBIT contempla de forma especfica la seguridad de la informacin como uno de sus objetivos, cosa
que COSO no hace. Y la tercera, que el modelo de control interno que presenta COBIT es ms completo, dentro de su
mbito, que el de COSO, ya que contempla polticas, procedimientos y estructuras organizativas adems de procesos para
definir el modelo de control interno.
Como nica pega que se le puede poner al documento, y a falta de una referencia clara sobre su fecha de realizacin, es
que tengo la sensacin de que el artculo no es demasiado actual, y no utiliza ni la referencia de COBIT v4 para analizar
este modelo ni las aportaciones del informe COSO II para completar este otro. De todos modos, creo que la referencia es
bastante til para adentrarse en el mundillo del control interno.
Fuente: http://secugest.blogspot.com/2007/04/control-interno.html