COBIT

Nicole Fitzgerald 8-805-2443

Eduardo Ortega 8-818-255
Eding Palis
Investigacion 2
16 de marzo de 2009

Qu es Cobit?
Cobit significa Control Objectives for Information and related
Technology.
Este fue lanzado en el ao 1996.
COBIT consolida y armoniza estndares de fuentes globales
prominentes en un recurso crtico para la gerencia, los
profesionales de control y los auditores.
Se aplica a los sistemas de informacion de toda la empresa,
incluyendo computadoras personales, mini computadoras y
ambientes distribuidos.
Su mision es investigar, desarrollar, publicar y promover un
conjunto internacional y actualizado de objetivos de control para
tecnologa de informacin que sea de uso cotidiano para gerentes y
auditores.

Historia
Cobit ha tenido varias ediciones, siendo
publicada la primera en 1996; la segunda edicin
en 1998; la tercera edicin en 2000 (la edicin
on-line estuvo disponible en 2003); y la cuarta
edicin en Diciembre de 2005, y la versin 4.1
est disponible desde Mayo de 2007.

Quines utilizan Cobit?

La Gerencia: para apoyar sus decisiones de inversin en TI y control
sobre el rendimiento de las mismas, analizar el costo beneficio del
control.
Los Usuarios Finales: quienes obtienen una garanta sobre la seguridad
y el control de los productos que adquieren interna y externamente.
Los Auditores: para soportar sus opiniones sobre los controles de los
proyectos de TI, su impacto en la organizacin y determinar el control
mnimo requerido.
Los Responsables de TI: para identificar los controles que requieren en
sus reas.
Tambin puede ser utilizado dentro de las empresas por el responsable
de un proceso de negocio en su responsabilidad de controlar los
aspectos de informacin del proceso, y por todos aquellos con
responsabilidades en el campo de la TI en las empresas.

Cobit

Principales Caracteristicas:
Orientado al negocio
Alineado con estndares y regulaciones "de facto"
Basado en una revisin crtica y analtica de las tareas y actividades en TI
Alineado con estndares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)

Cobit se divide en 3 niveles:

Dominio: Agrupacin natural de procesos, normalmente corresponden a un dominio o
una responsabilidad organizacional.
Procesos: Conjuntos o series de actividades unidas con delimitacin o cortes de control.
Actividades: Acciones requeridas para lograr un resultado medible.

Existen 4 dominios:
Planificacion y Organizacin
Adquisicion y Implementacion
Prestacion y Soporte
Monitoreo

Cobit
Cobit es, por lo tanto, la herramienta innovadora para el gobierno de TI
que ayuda a la gerencia a comprender y administrar los riesgos asociados
con TI.
Por lo tanto, el objetivo principal del proyecto Cobit es el desarrollo de
polticas claras y buenas prcticas para la seguridad y el control de
Tecnologa de Informacin, con el fin de obtener la aprobacin y el apoyo
de las entidades comerciales, gubernamentales y profesionales en todo el
mundo. La meta del proyecto es el desarrollar estos objetivos de control
principalmente a partir de la perspectiva de los objetivos y necesidades de
la empresa. Esto concuerda con la perspectiva COSO, que constituye el
primer y mejor marco referencial para la administracin en cuanto a
controles internos. Posteriormente, los objetivos de control fueron
desarrollados a partir de la perspectiva de los objetivos de auditora
(certificacin de informacin financiera, certificacin de medidas de
control interno, eficiencia y efectividad, etc.)

Cobit como Producto

Consiste en:
un Resumen Ejecutivo el cual, adicionalmente a esta seccin de antecedentes, consiste en un
Sntesis Ejecutiva (que proporciona a la alta gerencia entendimiento y conciencia sobre los
conceptos clave y principios de CObIT) y el Marco Referencial (el cual proporciona a la alta
gerencia un entendimiento ms detallado de los conceptos clave y principios de CObIT e
identifica los cuatro dominios de CObIT y los correspondientes 34 procesos de TI);
el Marco Referencial que describe en detalle los 34 objetivos de control de alto nivel e
identifica los requerimientos de negocio para la informacin y los recursos de TI que son
impactados en forma primaria por cada objetivo de control;
Objetivos de Control, los cuales contienen declaraciones de los resultados deseados o
propsitos a ser alcanzados mediante la implementacin de 302 objetivos de control detallados y
especficos a travs de los 34 procesos de TI;
Guas de Auditora, las cuales contienen los pasos de auditora correspondientes a cada uno
de los 34 objetivos de control de TI de alto nivel para proporcionar asistencia a los auditores de
sistemas en la revisin de los procesos de TI con respecto a los 302 objetivos detallados de control
recomendados para proporcionar a la gerencia certeza o una recomendaciones de mejoramiento;
un Conjunto de Herramientas de Implementacin, el cual proporciona lecciones
aprendidas por organizaciones que han aplicado CObIT rpida y exitosamente en sus ambientes
de trabajo.

La Necesidad de un Control
En aos recientes, ha sido cada vez ms evidente para los legisladores, usuarios y
proveedores de servicios la necesidad de un Marco Referencial para la seguridad y
el control de tecnologa de informacin (TI). Un elemento crtico para el xito y la
supervivencia de las organizaciones, es la administracin efectiva de la
informacin y de la Tecnologa de Informacin (TI) relacionada. En esta sociedad
global (donde la informacin viaja a travs del "ciberespacio" sin las restricciones
de tiempo, distancia y velocidad) esta criticalidad emerge de:
la creciente dependencia en informacin y en los sistemas que proporcionan dicha
informacin
la creciente vulnerabilidad y un amplio espectro de amenazas, tales como las "ciber
amenazas" y la guerra de informacin (Information warfare)
la escala y el costo de las inversiones actuales y futuras en informacin y en
tecnologa de informacin; y
el potencial que tienen las tecnologas para cambiar radicalmente las
organizaciones y las prcticas de negocio, crear nuevas oportunidades y reducir
costos

La Necesidad de un Control
Muchas organizaciones reconocen los beneficios potenciales que la
tecnologa puede proporcionar. Las organizaciones exitosas, sin embargo,
tambin comprenden y administran los riesgos asociados con la
implementacin de nueva tecnologa.
Por lo tanto, la administracin debe decidir la inversin razonable en
seguridad y control en TI y cmo lograr un balance entre riesgos e
inversiones en control en un ambiente de TI frecuentemente impredecible.
La administracin necesita un Marco Referencial de prcticas de seguridad
y control de TI generalmente aceptadas para medir comparativamente su
ambiente de TI, tanto el existente como el planeado.
Existe una creciente necesidad entre los USUARIOS en cuanto a la
seguridad en los servicios TI, a travs de la acreditacin y la auditora de
servicios de TI proporcionados internamente o por terceras partes, que
aseguren la existencia de controles adecuados.

La Necesidad de un Control
En el mbito de los Auditores, ellos actualmente han tomado el
liderazgo en estos esfuerzos internacionales de
estandarizacin, debido a que ellos enfrentan continuamente la
necesidad de sustentar y apoyar frente a la Gerencia su opinin
acerca de los controles internos. Sin contar con un marco
referencial, sta se convierte en una tarea demasiado
complicada. Esto ha sido mostrado en varios estudios recientes
acerca de la manera en la que los auditores evalan situaciones
complejas de seguridad y control en TI, estudios que fueron
dados a conocer casi simultneamente en diferentes partes del
mundo. Incluso, la administracin consulta cada vez ms a los
auditores para que la asesoren en forma proactiva en lo
referente a asuntos de seguridad y control de TI.

Principios
Existen dos clases distintas de modelos de control disponibles actualmente,
aqullos de la clase del "modelo de control de negocios" (por ejemplo COSO)
y los "modelos ms enfocados a TI" (por ejemplo, DTI). Cobit intenta cubrir
la brecha que existe entre los dos. Debido a esto, Cobit se posiciona como una
herramienta ms completa para la Administracin y para operar a un nivel
superior que los estndares de tecnologa para la administracin de sistemas
de informacin. Por lo tanto, Cobit es el modelo para el gobierno de TI.
El concepto fundamental del marco referencial Cobit se refiere a que el
enfoque del control en TI se lleva a cabo visualizando la informacin
necesaria para dar soporte a los procesos de negocio y considerando a la
informacin como el resultado de la aplicacin combinada de recursos
relacionados con la Tecnologa de Informacin que deben ser administrados
por procesos de TI.

Requerimientos
Para satisfacer los objetivos del negocio, la informacin necesita
concordar con ciertos criterios a los que Cobit hace referencia
como requerimientos de negocio para la informacin. Al establecer
la lista de requerimientos, Cobit combina los principios contenidos
en los modelos referenciales existentes y conocidos:
Requerimientos de calidad
Calidad
Costo
Entrega (de servicio)
Requerimientos Fiduciarios (COSO)
Efectividad & eficiencia de operaciones
Confiabilidad de la informacin
Cumplimiento de las leyes & regulaciones
Requerimientos de Seguridad
Confidencialidad
Integridad
Disponibilidad

Recursos de TI
En Cobit se establecen los siguientes recursos en TI necesarios para alcanzar
los objetivos de negocio:
Datos: Todos los objetos de informacin. Considera informacin interna y
externa, estructurada o no, grficas, sonidos, etc.
Aplicaciones: entendido como los sistemas de informacin, que integran
procedimientos manuales y sistematizados.
Tecnologa: incluye hardware y software bsico, sistemas operativos, sistemas
de administracin de bases de datos, de redes, telecomunicaciones,
multimedia, etc.
Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los
sistemas de informacin.
Recurso Humano: Por la habilidad, conciencia y productividad del personal
para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas
de Informacin.

Planificacion y Organizacion
Este dominio cubre la estrategia y las tcticas y se refiere a la identificacin de la forma en
que la tecnologa de informacin puede contribuir de la mejor manera al logro de los
objetivos de negocio. Adems, la consecucin de la visin estratgica necesita ser planeada,
comunicada y administrada desde diferentes perspectivas. Finalmente, debern
establecerse una organizacin y una infraestructura tecnolgica apropiadas.

Procesos:
PO1 Definicin de un plan Estratgico
PO2 Definicin de la Arquitectura de Informacin
PO3 Determinacin de la direccin tecnolgica
PO4 Definicin de la organizacin y de las relaciones de TI
PO5 Manejo de la inversin
PO6 Comunicacin de la direccin y aspiraciones de la gerencia
PO7 Administracin de recursos humanos
PO8 Asegurar el cumplimiento con los requerimientos Externos
PO9 Evaluacin de riesgos
PO10 Administracin de proyectos
PO11 Administracin de calidad

Adquisicion e Implementacion
Para llevar a cabo la estrategia de TI, las soluciones de Ti deben ser
identificadas, desarrolladas o adquiridas, asi como implementadas e
integradas dentro del proceso del negocio. Adems, este dominio
cubre los cambios y el mantenimiento realizados a sistemas
existentes.

Procesos:
AI1 Identificacin de Soluciones Automatizadas
AI2 Adquisicin y mantenimiento del software aplicativo
AI3 Adquisicin y mantenimiento de la infraestructura tecnolgica
AI4 Desarrollo y mantenimiento de procedimientos
AI5 Instalacin y aceptacin de los sistemas
AI6 Administracin de los cambios

Prestacin y Soporte

En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las
operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con
el fin de proveer servicios, debern establecerse los procesos de soporte necesarios. Este dominio incluye
el procesamiento de los datos por sistemas de aplicacin, frecuentemente clasificados como controles de
aplicacin.

Procesos:
Ds1 Definicin de niveles de servicio
Ds2 Administracin de servicios prestados por terceros
Ds3 Administracin de desempeo y capacidad
Ds4 Asegurar el Servicio Continuo
Ds5 Garantizar la seguridad de sistemas
Ds6 Educacin y entrenamiento de usuarios
Ds7 Identificacin y asignacin de costos
Ds8 Apoyo y asistencia a los clientes de TI
Ds9 Administracin de la configuracin
Ds10 Administracin de Problemas
Ds11 Administracin de Datos
Ds12 Administracin de las instalaciones
Ds13 Administracin de la operacin

Monitoreo
Todos los procesos de una organizacin necesitan ser
evaluados regularmente a travs del tiempo para
verificar su calidad y suficiencia en cuanto a los
requerimientos de control, integridad y confidencialidad.
Este es, precisamente, el mbito de este dominio.

Procesos:
M1 Monitoreo del Proceso
M2 Evaluar lo adecuado del Control Interno
M3 Obtencin de Aseguramiento Independiente
M4 Proveer Auditoria Independiente

Las tres dimensiones condeptuales de COBIT

Bibliografia
http://www.seis.es/seis/inforsalud2001/cientificas4/images/Image1
98.jpg
Cobit 4.0 en Espaol (PDF)
http://www.monografias.com/trabajos14/auditoriasistemas/auditori
asistemas.shtml#cobi
http://www.monografias.com/trabajos38/cobit/cobit.shtml
http://www.es.wikipedia.org/wiki/COBIT
http://www.comip.mendoza.gov.ar/cobit.do

GRACIAS