INTRODUCCIÓN

Un elemento crítico para el éxito y la supervivencia de las organizaciones, es

la administración efectiva de la información y de la Tecnología de
Información (TI) relacionada. En esta sociedad global (donde la información
viaja a través del “ciberespacio” sin las restricciones de tiempo, distancia y
velocidad) esta criticalidad
emerge de:

 La creciente dependencia en información y en los sistemas que

proporcionan dicha información
 La creciente vulnerabilidad y un amplio espectro de amenazas, tales
como las “ciber amenazas” y la guerra de información
 La escala y el costo de las inversiones actuales y futuras en información
y en tecnología de información; y
 El potencial que tienen las tecnologías para cambiar radicalmente las
organizaciones y las prácticas de negocio, crear nuevas oportunidades
y reducir costos.

Para muchas organizaciones, la información y la tecnología que la soporta,

representan los activos mas valiosos de la empresa y por lo tanto es de vital
importancia que se sigan normas y procedimientos cuya calidad garanticen la
seguridad e integridad de la información de las empresas.

Es con esta necesidad en mente que se ha desarrollado el COBIT, un conjunto

de estándares de aceptación mundial que permitan a las empresas que tienen
sistemas de información seguirlas para garantizar el mejor uso y seguridad
en la información electrónica que manipulan.

La presente investigación se enfoca en desarrollar los aspectos principales de

este manual desde sus principios hasta procesos para implementarlo en las
empresas.
 COBIT: ESTÁNDARES INTERNACIONALES PARA EL MANEJO DE
TECNOLOGÍAS DE INFORMACIÓN
1. ¿QUÉ ES COBIT?

Es un conjunto de mejores prácticas para el manejo de información creado por la Asociación

para la Auditoría y Control de Sistemas de Información,(ISACA, en inglés: Information Systems
Audit and Control Association), y el Instituto de Administración de las Tecnologías de la
Información (ITGI, en inglés: IT Governance Institute) en 1992.

COBIT consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico

para la gerencia, los profesionales de control y los auditores.

COBIT se aplica a los sistemas de información de toda la empresa, incluyendo las

computadoras personales, mini computadoras y ambientes distribuidos. Está basado en la
filosofía de que los recursos de TI necesitan ser administrados por un conjunto de procesos
naturalmente agrupados para proveer la información pertinente y confiable que requiere una
organización para lograr sus objetivos.

1.1 Usuarios:
 La Gerencia: para apoyar sus decisiones de inversión en TI y control sobre el rendimiento
de las mismas, analizar el costo beneficio del control.
 Los Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el control de los
productos que adquieren interna y externamente.
 Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su
impacto en la organización y determinar el control mínimo requerido.
 Los Responsables de TI: para identificar los controles que requieren en sus áreas.

1.2 Características

 Orientado al negocio
 Alineado con estándares y regulaciones "de facto"
 Basado en una revisión crítica y analítica de las tareas y actividades en TI
 Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)
2. PRINCIPIOS DE COBIT

Requisitos
Que cumple del negocio Dirigir las
con inversiones a

Información
a la
empresa
COBIT Recursos de
TI

Para poder Para que sean

brindar empleadas en
Procesos TI

2.1 Requerimientos de la información del negocio

2.2 Requerimientos de Calidad:

 Calidad
 Costo
 Entrega.

2.3 Requerimientos fiduciarios

 Efectividad: La información debe ser relevante y pertinente para los procesos del
negocio y debe ser proporcionada en forma oportuna, correcta, consistente y
utilizable.
 Eficiencia: Se debe proveer información mediante el empleo óptimo de los recursos (la
forma más productiva y económica).
 Confiabilidad: proveer la información apropiada para que la administración tome las
decisiones adecuadas para manejar la empresa y cumplir con sus responsabilidades.
  Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales
está comprometida la empresa.

2.4 Requerimientos de Seguridad

 Confidencialidad: Protección de la información sensible contra divulgación no

autorizada
 Integridad: Refiere a lo exacto y completo de la información así como a su validez de
acuerdo con las expectativas de la empresa.
 Disponibilidad: accesibilidad a la información cuando sea requerida por los procesos
del negocio y la salvaguarda de los recursos y capacidades asociadas a la misma.
 Recursos de TI

3. COMPONENTES DE COBIT

4
DOMINIOS

34
PROCESOS

220
OBJETIVOS DE
CONTROL

Tiene 34 objetivos nivel altos que cubren 220 objetivos de control clasificados en cuatro
dominios: El plan y Organiza, Adquiere y Pone en práctica, Entrega y Apoya, y Supervisa y
Evalúa.
4. DOMINIOS DE COBIT

Planea y Organiza

Adquirir y poner en práctica

Soporte y Entrega

Monitoreo y Evaluación
 4.1 Planea y Organiza (PO)

Este dominio cubre la estrategia y las tácticas y se refiere a la identificación de la forma en que
la tecnología de información puede contribuir de la mejor manera al logro de los objetivos de
negocio. Además, la consecución de la visión estratégica necesita ser planeada, comunicada y
administrada desde diferentes perspectivas. Finalmente, deberán establecerse una
organización y una infraestructura tecnológica apropiadas.

4.1.1 Objetivos:
 Formular estrategias y tácticas
 Identificar como IT contribuye al negocio
 Planear, comunicar y gestionar la realización de la visión estratégica

4.1.2 Alcance:
 Esta IT alineado estratégicamente
 Se hace uso óptimo de los recursos
 Entienden todos los objetivos de los recursos
 Se comprenden los riesgos de IT
 Es la calidad de IT apropiada a las necesidades de los negocios

4.1.3 Procesos:

 PO1 Definición de un plan Estratégico

Objetivo: Lograr un balance óptimo entre las oportunidades de tecnología de información y los
requerimientos de TI de negocio, para asegurar sus logros futuros.

 PO2 Definición de la Arquitectura de Información

Objetivo: Satisfacer los requerimientos de negocio, organizando de la mejor manera posible

los sistemas de información, a través de la creación y mantenimiento de un modelo de
información de negocio, asegurándose que se definan los sistemas apropiados para optimizar
la utilización de esta información.

 PO3 Determinación de la dirección tecnológica

Objetivo: Aprovechar al máximo de la tecnología disponible o tecnología emergente,

satisfaciendo los requerimientos de negocio, a través de la creación y mantenimiento de un
plan de infraestructura tecnológica.

 PO4 Definición de la organización y de las relaciones de TI

Objetivo: Prestación de servicios de TI
Esto se realiza por medio de una organización conveniente en número y habilidades, con
tareas y responsabilidades definidas y comunicadas.

 PO5 Manejo de la inversión

Objetivo: tiene como finalidad la satisfacción de los requerimientos de negocio, asegurando el

financiamiento y el control de desembolsos de recursos financieros.

 PO6 Comunicación de la dirección y aspiraciones de la gerencia

Objetivo: Asegura el conocimiento y comprensión de los usuarios sobre las aspiraciones del
alto nivel (gerencia), se concreta a través de políticas establecidas y transmitidas a
la comunidad de usuarios, necesitándose para esto estándares para traducir las opciones
estratégicas en reglas de usuario prácticas y utilizables.

 PO7 Administración de recursos humanos

Objetivo: Maximizar las contribuciones del personal a los procesos de TI, satisfaciendo así los
requerimientos de negocio, a través de técnicas sólidas para administración de personal.

 PO8 Asegurar el cumplimiento con los requerimientos Externos

Objetivo: Cumplir con obligaciones legales, regulatorias y contractuales.

 PO9 Evaluación de riesgos

Objetivo: Asegurar el logro de los objetivos de TI y responder a las amenazas hacia la provisión
de servicios de TI.

 PO10 Administración de proyectos

Objetivo: Establecer prioridades y entregar servicios oportunamente y de acuerdo

al presupuesto de inversión.

 PO11 Administración de calidad

Objetivo: Satisfacer los requerimientos del cliente

 4.2 Adquirir e Implementar (AI)

Para llevar a cabo la estrategia de TI, las soluciones de Ti deben ser identificadas, desarrolladas
o adquiridas, asi como implementadas e integradas dentro del proceso del negocio. Además,
este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.

4.2.1 Objetivos
 Identificar, desarrollar, adquirir, implementar e integrar soluciones de IT
 Cambios y mantenimiento de sistemas existentes.

4.2.2 Alcance
 Son los nuevos productos capaces de entregar soluciones adecuadas al negocio.
 Se realizan los proyectos a tiempo.
 Trabajarán los sistemas apropiadamente cuando sean implementados.
 Los cambios afectarán las operaciones diarias.

4.2.3 Procesos

 AI1 Identificación de Soluciones Automatizadas

Objetivo: Asegurar el mejor enfoque para cumplir con los requerimientos del usuario

 AI2 Adquisición y mantenimiento del software aplicativo

Objetivo: Proporciona funciones automatizadas que soporten efectivamente al negocio.

 AI3 Adquisición y mantenimiento de la infraestructura tecnológica

Objetivo: Proporcionar las plataformas apropiadas para soportar aplicaciones de negocios

 AI4 Desarrollo y mantenimiento de procedimientos

Objetivo: Asegurar el uso apropiado de las aplicaciones y de las soluciones tecnológicas

establecidas.

 AI5 Instalación y aceptación de los sistemas

Objetivo: Verificar y confirmar que la solución sea adecuada para el propósito deseado.

 AI6 Administración de los cambios

Objetivo: Minimizar la probabilidad de interrupciones, alteraciones no autorizadas y errores.

4.3 Soporte y Entrega (DS)

En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde
las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de
continuidad. Con el fin de proveer servicios, deberán establecerse los procesos de soporte
necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicación,
frecuentemente clasificados como controles de aplicación.
4.3.1 Objetivos
 La real entrega de los servicios requeridos.
 La gestión de la seguridad, continuidad, datos y facilidades operacionales.

4.3.2 Alcance
 Son los servicios de IT entregados de acuerdo a las prioridades del negocio.
 Se optimizan los costos de IT
 Se utiliza IT de manera productiva y segura.
 Se mantiene la confidencialidad, integridad y disponibilidad.

4.3.3 Procesos
 Ds1 Definición de niveles de servicio

Objetivo: Establecer una comprensión común del nivel de servicio requerido.

 Ds2 Administración de servicios prestados por terceros

Objetivo: Asegurar que las tareas y responsabilidades de las terceras partes estén claramente
definidas, que cumplan y continúen satisfaciendo los requerimientos

 Ds3 Administración de desempeño y capacidad

Objetivo: Asegurar que la capacidad adecuada está disponible y que se esté haciendo el mejor
uso de ella para alcanzar el desempeño deseado.

 Ds4 Asegurar el Servicio Continuo

Objetivo: mantener el servicio disponible de acuerdo con los requerimientos y continuar su

provisión en caso de interrupciones. Para ello se tiene un plan de continuidad probado y
funcional, que esté alineado con el plan de continuidad del negocio y relacionado con los
requerimientos de negocio.
 Ds5 Garantizar la seguridad de sistemas

Objetivo: salvaguardar la información contra uso no autorizados, divulgación, modificación,

daño o pérdida.

 Ds6 Educación y entrenamiento de usuarios

Objetivo: Asegurar que los usuarios estén haciendo un uso efectivo de la tecnología y estén
conscientes de los riesgos y responsabilidades involucrados. Para ello se realiza un plan
completo de entrenamiento y desarrollo.

 Ds7 Identificación y asignación de costos

Objetivo: Asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI

Para ello se realiza un sistema de contabilidad de costos que asegure que éstos sean
registrados, calculados y asignados a los niveles de detalle requeridos

 Ds8 Apoyo y asistencia a los clientes de TI

Objetivo: asegurar que cualquier problema experimentado por los usuarios sea atendido
apropiadamente
Para ello se realiza un Buró de ayuda que proporcione soporte y asesoría de primera línea.

 Ds9 Administración de la configuración

Objetivo: Dar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas,
verificar la existencia física y proporcionar una base para el sano manejo de cambios

 Ds10 Administración de Problemas

Objetivo: Asegurar que los problemas e incidentes sean resueltos y que sus causas sean
investigadas para prevenir que vuelvan a suceder.

 Ds11 Administración de Datos

Objetivo: Asegurar que los datos permanezcan completos, precisos y válidos durante su
entrada, actualización, salida y almacenamiento.
Lo cual se logra a través de una combinación efectiva de controles generales y de aplicación
sobre las operaciones de TI. Para tal fin, la gerencia deberá diseñar formatos de entrada de
datos para los usuarios de manera que se minimicen lo errores y las omisiones durante la
creación de los datos.

 Ds12 Administración de las instalaciones

Objetivo: Proporcionar un ambiente físico conveniente que proteja al equipo y al personal de

TI contra peligros naturales (fuego, polvo, calor excesivos) o fallas humanas lo cual se hace
posible con la instalación de controles físicos y ambientales adecuados que sean revisados
regularmente para su funcionamiento apropiado definiendo procedimientos que provean
control de acceso del personal a las instalaciones y contemplen su seguridad física.

 Ds13 Administración de la operación

Objetivo: Asegurar que las funciones importantes de soporte de TI estén siendo llevadas a
cabo regularmente y de una manera ordenada
Esto se logra a través de una calendarización de actividades de soporte que sea registrada y
completada en cuanto al logro de todas las actividades. Para ello, la gerencia deberá
establecer y documentar procedimientos para las operaciones de tecnología de información
(incluyendo operaciones de red), los cuales deberán ser revisados periódicamente para
garantizar su eficiencia y cumplimiento.

4.4 Monitoreo y Evaluación

Todos los procesos de una organización necesitan ser evaluados regularmente a través del
tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control,
integridad y confidencialidad. Este es, precisamente, el ámbito de este dominio.

4.4.1 Objetivos:
 Gestión del desempeño
 Monitoreo y control interno
 Cumplimiento de regulaciones
 Gobierno

4.4.2 Alcance
 Es el desempeño de IT medido con el fin de detectar problemas antes de que sea tarde
 Asegura la gestión que los controles internos son efectivos y eficientes.
 Puede el desempeño de IT relacionarse con los objetivos del negocio.
 Son los riesgos, controles el cumplimiento y el desempeño medidos y reportados.

4.4.3 Procesos

 M1 Monitoreo del Proceso

Objetivo: Asegurar el logro de los objetivos establecidos para los procesos de TI. Lo cual se
logra definiendo por parte de la gerencia reportes e indicadores de desempeño gerenciales y
la implementación de sistemas de soporte así como la atención regular a los reportes
emitidos.

 M2 Evaluar lo adecuado del Control Interno

Objetivo: Asegurar el logro de los objetivos de control interno establecidos para los procesos
de TI.
Para ello la gerencia es la encargada de monitorear la efectividad de los controles internos a
través de actividades administrativas y de supervisión, comparaciones, reconciliaciones y otras
acciones rutinarias., evaluar su efectividad y emitir reportes sobre ellos en forma regular. Estas
actividades de monitoreo continuo por parte de la Gerencia deberán revisar la existencia de
puntos vulnerables y problemas de seguridad.

 M3 Obtención de Aseguramiento Independiente

Objetivo: Incrementar los niveles de confianza entre la organización, clientes y proveedores

externos. Este proceso se lleva a cabo a intervalos regulares de tiempo.
Para ello la gerencia deberá obtener una certificación o acreditación independiente de
seguridad y control interno antes de implementar nuevos servicios de tecnología de
información que resulten críticos, como así también para trabajar con nuevos proveedores de
servicios de tecnología de información. Luego la gerencia deberá adoptar como trabajo
rutinario tanto hacer evaluaciones periódicas sobre la efectividad de los servicios de
tecnología de información y de los proveedores de estos servicios como así también
asegurarse el cumplimiento de los compromisos contractuales de los servicios de tecnología
de información y de los proveedores de estos servicios.
 M4 Proveer Auditoria Independiente

Objetivo: Incrementar los niveles de confianza y beneficiarse de recomendaciones basadas en

mejores prácticas de su implementación, lo que se logra con el uso de
auditorias independientes desarrolladas a intervalos regulares de tiempo. Para ello la gerencia
deberá establecer los estatutos para la función de auditoria, destacando en este documento la
responsabilidad, autoridad y obligaciones de la auditoria. El auditor deberá ser independiente
del auditado, esto significa que los auditores no deberán estar relacionados con la sección o
departamento que esté siendo auditado y en lo posible deberá ser independiente de la propia
empresa. Esta auditoria deberá respetar la ética y los estándares profesionales, seleccionando
para ello auditores que sean técnicamente competentes, es decir que cuenten con habilidades
y conocimientos que aseguren tareas efectivas y eficientes de auditoria.

5. DIRECTRICES GERENCIALES

5.1 Focalizarse en el negocio

 COBIT ayuda a alinear IT con el negocio

 Al medir el desempeño de IT se soporta mejor la estrategia del negocio
 Al soportar COBIT unas métricas enfocadas al negocio se asegura así una mejor entrega de
valor y no el logro de la excelencia tecnológica.

5.2 Orientación a los procesos

 Cuando una organización implementa COBIT se orienta hacia procesos
 Incidentes y problemas no interfieren el transcurrir de los procesos
 Las excepciones pueden ser claramente definidas como parte de los procesos
 Cuando los procesos tienes sus propios dueños se mejora la confiabilidad de la
organización ante cambios o crisis organizacionales

5.3 El riesgo del negocio, controles y la tecnología

 Empieza en los requerimientos del negocio

 Es orientado a los procesos
 Identifica recursos críticos de IT
 Define los objetivos de control de la gestión para ser considerados
 Reúne estándares internacionales
 Es el estándar de facto para el control sobre IT
6. PROCESO DE IMPLANTACIÓN DE COBIT EN LAS EMPRESAS
 Comenzando el análisis a partir de los requerimientos de Calidad, Fiduciarios y de
Seguridad más amplios, se extrajeron siete categorías distintas, ciertamente superpuestas.
A continuación se muestran las definiciones utilizadas por COBIT:

 Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad.

En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos de negocio:
El dinero o capital no se tuvo en cuenta como un recurso para la clasificación de objetivos
de control para TI debido a que puede considerarse como la inversión en cualquiera de los
recursos mencionados anteriormente. Es importante hacer notar también que el Marco
Referencial no menciona, en forma específica para todos los casos, la documentación de
todos los aspectos “materiales” importantes relacionados con un proceso de TI particular.
Como parte de las buenas prácticas, la documentación es considerada esencial para un buen
control y, por lo tanto, la falta de documentación podría ser la causa de revisiones y análisis
futuros de controles de compensación en cualquier área específica en revisión.

Con el fin de asegurar que los requerimientos de negocio para la información son
satisfechos, deben definirse, implementarse y monitorearse medidas de control
adecuadas para estos recursos.

¿Cómo pueden entonces las empresas estar satisfechas respecto a que la información
obtenida presente las características que necesitan? Es aquí donde se requiere de un sano
marco referencial de Objetivos de Control para TI. El diagrama mostrado a continuación
ilustra este concepto.
El Marco de Referencia de COBIT consta de Objetivos
de Control de TI de alto nivel y de una estructura
general para su clasificación y presentación. La teoría
subyacente para la clasificación seleccionada se refiere a
que existen, en esencia, tres niveles de actividades de TI
al considerar la administración de sus recursos.
Comenzando por la base, encontramos las actividades
y tareas necesarias para alcanzar un resultado
medible.
Las actividades cuentan con un concepto de ciclo de
vida, mientras que las tareas son consideradas más
discretas. Los procesos se definen entonces en un
nivel superior como una serie de actividades o tareas
conjuntas con “cortes” naturales (de control). En el
nivel más alto, los procesos son agrupados de manera
natural en dominios. Su agrupamiento natural es
denominado frecuentemente como dominios de
responsabilidad en una estructura organizacional, y
está en línea con el ciclo administrativo o ciclo de vida
aplicable a los procesos de TI.
LA NECESIDAD DE CONTROL EN TECNOLOGIA DE
INFORMACION

En los últimos años , ha sido cada vez más evidente la necesidad de un Marco Referencial
para la seguridad y el control de tecnología de información (TI). Las organizaciones
exitosas requieren una apreciación y un entendimiento básico de los riesgos y limitaciones
de TI a todos los niveles dentro de la empresa con el fin de obtener un efectiva dirección y
controles adecuados.

LA ADMINISTRACION (MANAGEMENT) debe decidir cual es la inversión

razonable en seguridad y en control en TI y cómo lograr un balance entre riesgos e
inversiones en control en un ambiente de TI frecuentemente impredecible. Mientras
la seguridad y los controles en los sistemas de información ayudan a administrar los
riesgos, no los eliminan. Adicionalmente, el exacto nivel de riesgo nunca puede ser
conocido ya que siempre existe un grado de incertidumbre.

Finalmente, la Administración debe decidir el nivel de riesgo que está dispuesta a

aceptar. Juzgar cual puede ser el nivel tolerable, particularmente cuando se tiene en
cuenta contra el costo, puede ser una decisión difícil para la Administración. Por
esta razón, la Administración necesita un marco de referencia de las prácticas
generalmente aceptadas de control y seguridad de TI para compararlos contra el
ambiente de TI existente y planeado.

Existe una creciente necesidad entre los USUARIOS de los servicios de TI, de estar
protegidos a través de la acreditación y la auditoría de servicios de TI
proporcionados internamente o por terceras partes, que aseguren la existencia de
controles y seguridades adecuadas. Actualmente, sin embargo, es confusa la
implementación de buenos controles de TI en sistemas de negocios por parte de
entidades comerciales, entidades sin fines de lucro o entidades gubernamentales.
Esta confusión proviene de los diferentes métodos de evaluación, tales como
ITSEC, TCSEC, evaluaciones ISO9000, nuevas evaluaciones de control interno
COSO, etc. Como resultado, los usuarios necesitan que se establezca una base
general como un primer paso.

Frecuentemente, los AUDITORES han tomado el liderazgo en estos esfuerzos

internacionales de estandarización, debido a que ellos enfrentan continuamente la
necesidad de sustentar y apoyar su

opinión acerca de los controles internos frente a la Gerencia. Sin contar con un
marco referencial, ésta se convierte en una tarea demasiado complicada. Incluso, la
administración consulta cada vez más a los auditores para que la asesoren en forma
proactiva en lo referente a asuntos de seguridad y control de TI.

EL AMBIENTE DE NEGOCIOS: COMPETENCIA, CAMBIO Y COSTOS

La competencia global es ya un hecho. Las organizaciones se reestructuran con el
fin de perfeccionar sus operaciones y al mismo tiempo aprovechar los avances en TI
para mejorar su posición competitiva. La reingeniería en los negocios, las
reestructuraciones o right-sizing, el outsourcing, el empoderamiento, las
organizaciones horizontales y el procesamiento distribuido son cambios que
impactan la manera en la que operan tanto los negocios como las entidades
gubernamentales. Estos cambios han tenido y continuarán teniendo, profundas
implicaciones para la administración y las estructuras de control operacional dentro
de las organizaciones en todo el mundo.
La especial atención prestada a la obtención de ventajas competitivas y a la
eficiencia en costos implica una dependencia creciente en la tecnología como el
componente más importante en la estrategia de la mayoría de las organizaciones. La
automatización de las funciones organizacionales, por su naturaleza, dicta la
incorporación de mecanismos de control más poderosos en las computadoras y en
las redes, tanto para las basadas en hardware como las basadas en software. Además,
las características estructurales fundamentales de estos controles están
evolucionando al mismo paso que las tecnologías de computación y las redes.

Dentro del marco referencial de cambios acelerados, si los administradores, los

especialistas en sistemas de información y los auditores desean en realidad ser
capaces de cumplir con sus tareas en forma efectiva , deberán aumentar y mejorar
sus habilidades tan rápidamente como lo demandan la tecnología y el ambiente.
Debemos comprender la tecnología de controles involucrada y su naturaleza
cambiante si deseamos emitir y ejercer juicios razonables y prudentes al evaluar las
prácticas de control que se encuentran en los negocios típicos o en las
organizaciones gubernamentales.
APARICION DEL GOBIERNO DE LA EMPRESA Y DEL GOBIERNO DE TI
Para lograr el éxito en esta economía de información, el Gobierno de la empresa y el
Gobierno de TI no pueden ser consideradas separadamente y en distintas disciplinas. El
gobierno efectivo de la empresa enfoca el conocimiento y la experiencia en forma
individual y grupal, donde puede ser mas productivo, monitoreado y medido el desempeño
así como provisto el aseguramiento para aspectos críticos. TI, por mucho tiempo
considerada aislada dentro del logro de los objetivos de la empresa debe ahora ser
considerada como una parte integral de la estrategia.
El Gobierno de TI provee la estructura que une los procesos de TI, los recursos de TI y las
estrategias y objetivos de la empresa. El Gobierno de TI integra e institucionaliza de una
manera óptima la planeación y organización, la adquisición e implementación, la entrega de
servicios y soporte y el monitoreo del desempeño de TI. El Gobierno de TI es integral para
el éxito del Gobierno de la Empresa asegurando una eficiente y efectiva medición para
mejorar los procesos de la empresa. El Gobierno de TI le permite a la empresa tomar
ventaja total de su información, al maximizar sus beneficios, capitalizar sus oportunidades
y ganar ventaja competitiva.
Observando en el contexto a la empresa y los procesos del Gobierno de TI con mayor
detalle, el gobierno de la empresa, el sistema por el cual las entidades son dirigidas y
controladas direcciona y analiza el Gobierno de TI. Al mismo tiempo, TI debería proveer
insumos críticos y constituirse en un componente importante de los planes estratégicos. De
hecho TI puede influenciar las oportunidades estratégicas de la empresa.

Las actividades de la empresa requieren información de las actividades de TI con el fin de

satisfacer los objetivos del negocio. Organizaciones exitosas aseguran la interdependencia
entre su plan estratégico y sus actividades de TI. TI debe estar alineado y debe permitir a la
empresa tomar ventaja total de su información para maximizar sus beneficios, capitalizar
oportunidades y ganar ventaja competitiva
Las empresas son gobernadas por buenas (o mejores) prácticas generalmente aceptadas
para asegurar que la empresa cumpla sus metas asegurando que lo anterior esté garantizado
por ciertos controles. Desde estos objetivos fluye la dirección de la organización, la cual
dicta ciertas actividades a la empresa usando sus propios recursos. Los resultados de las
actividades de la empresa son medidos y reportados proporcionando insumos para el
mantenimiento y revisión constante de los controles, comenzando el ciclo de nuevo.

También TI es gobernado por buenas (o mejores) prácticas para asegurar que la

información de la empresa y sus tecnologías relacionadas apoyan sus objetivos del negocio,
estos recursos son utilizados responsablemente y sus riesgos son manejados
ORIENTACIÓN A OBJETIVOS DE NEGOCIO

El COBIT está alineado con los Objetivos del Negocio. Los Objetivos de Control muestran
una relación clara y distintiva con los objetivos del negocio con el fin de apoyar su uso en
forma significativa fuera de las fronteras de la comunidad de auditoría. Los Objetivos de
Control están definidos con una orientación a los procesos, siguiendo el principio de
reingeniería de negocios. En dominios y procesos identificados, se identifica también un
objetivo de control de alto nivel para documentar el enlace con los objetivos del negocio.
Adicionalmente, se establecen consideraciones y guías para definir e implementar el
Objetivo de Control de TI.

La clasificación de los dominios a los que se aplican los objetivos de control de alto nivel
(dominios y procesos); una indicación de los requerimientos de negocio para la información
en ese dominio, así como los recursos de TI que reciben un impacto primario por parte del
objetivo del control, forman conjuntamente el Marco de Referencia de COBIT. El Marco
de Referencia toma como base las actividades de investigación que han identificado 34
objetivos de alto nivel y 318 objetivos de control detallados. El Marco de Referencia fue
presentado a la industria de TI y a los profesionales dedicados a la auditoría para abrir la
posibilidad a revisiones, cambios y comentarios. Las ideas obtenidas fueron incorporadas
en forma apropiada.

Existen dos clases distintas de modelos de control actualmente disponibles, aquéllos de la

clase del “modelo de control de negocios” (por ejemplo COSO) y los “modelos más
enfocados a TI” (por ejemplo, DTI). COBIT intenta cubrir la brecha que existe entre los
dos. Debido a esto, COBIT se posiciona como una herramienta más completa para la
Administración y para operar a un nivel superior a los estándares de tecnología para la
administración de sistemas de información.. Por lo tanto, COBIT es el modelo para
el gobierno de TI!
El concepto fundamental del Marco Referencial de COBIT se refiere a que el enfoque del
control en TI se lleva a cabo visualizando la información necesaria para dar soporte a los
procesos de negocio y considerando a la información como el resultado de la aplicación
combinada de recursos relacionados con la Tecnología de Información que deben ser
administrados por procesos de TI.
Para satisfacer los objetivos del negocio, la información necesita concordar con ciertos
criterios a los que COBIT hace referencia como requerimientos de negocio para la
información. Al establecer la lista de requerimientos, COBIT combina los principios
contenidos en los modelos referenciales existentes y conocidos:

La Calidad ha sido considerada principalmente por su aspecto ‘negativo’ (ausencia de

fallas, confiabilidad, etc.), lo cual también se encuentra contenido en gran medida en los
criterios de Integridad. Los aspectos positivos, pero menos tangibles, de la calidad (estilo,
atractivo, “ver y sentir”, desempeño más allá de las expectativas, etc.) no fueron, por un
tiempo, considerados desde un punto de vista de Objetivos de Control de TI. La premisa se
refiere a que la primera prioridad deberá estar dirigida al manejo apropiado de los riesgos al
compararlos contra las oportunidades. El aspecto utilizable de la Calidad está cubierto por
los criterios de efectividad. Se consideró que el aspecto de entrega o distribución del
servicio, de la Calidad se traslapa con el aspecto de disponibilidad correspondiente a los
requerimientos de seguridad y también en alguna medida, con la efectividad y la eficiencia.
Finalmente, el Costo también es considerado, siendo cubierto por la Eficiencia.
Para los requerimientos fiduciarios, COBIT no intentó reinventar la rueda – se utilizaron las definiciones de COSO
para la efectividad y eficiencia de las operaciones, confiabilidad de información y cumplimiento con leyes y
regulaciones. Sin embargo, confiabilidad de información fue ampliada para incluir toda la información – no sólo
información financiera.

Con respecto a los aspectos de seguridad, COBIT identificó la confidencialidad, integridad y disponibilidad como
los elementos clave— se encontró que estos mismos tres elementos son utilizados a nivel mundial para describir
los requerimientos de seguridad.

COBIT y OTRAS NORMAS

COBIT y ISO/IEC 17799:2005
Las dos normas internacionales usadas hoy son COBIT Y ISO/IEC 17799:2005. COBIT
(Objetivos de Control para la Información y la Tecnología relacionada) fue liberado y
usado principalmente por la comunidad TI. En 1998, las Directrices de Dirección fueron
añadidas, y COBIT se hizo el marco internacionalmente aceptado para la gobernación TI y
el control. ISO/IEC 17799:2005 (el Código de práctica para la Seguridad de Información la
Dirección) es también un estándar internacional y es la mejor práctica para poner en
práctica la dirección de seguridad. Las dos normas no compiten el uno con el otro y en
realidad complementan el uno al otro. COBIT típicamente cubre una más amplia área
mientras ISO/IEC 17799 profundamente es enfocado (concentrado) en el área de
seguridad.
Abajo se describe la interrelación de las dos normas así como ISO/IEC 17799 puede ser
integrado con COBIT.

(+) El marcar bueno (más de dos ISO/IEC 17799:2005 los objetivos fueron trazados un
mapa de a un proceso de COBIT)
(0) En parte el marcar (un o dos ISO/IEC 17799:2005 objetivos fue trazado un mapa de a
un proceso de COBIT)
(-) No o el marcar menor (ningún ISO/IEC 17799:2005 el objetivo fue trazado un mapa de a
un proceso de COBIT)
(.) No existe
COBIT y Sarbanes Oxley
Requieren las empresas públicas que son sujetos a EE UU Sarbanes Oxley el Acto de 2002
para adoptar los marcos de control siguientes: el Comité de Patrocinar las Organizaciones
de la Comisión de Treadway (COSO) el Control Interno Integró el Marco y los Objetivos de
Control del Instituto de Gobernación TI para la Información y la Tecnología Relacionada
(COBIT). En el escogimiento cuál de los marcos de control para poner en práctica para
cumplir con Sarbanes-Oxley, las Seguridades estadounidenses y la Comisión
De cambio sugieren que las empresas sigan el marco COSO.
COSO el Control Interno Se integró el Marco declara que el control interno es un proceso -
establecido por la junta directivo de una entidad, la dirección, y otro personal - diseñado
para proporcionar el aseguramiento razonable en cuanto al logro de objetivos indicados.
COBIT se acerca al control de TI por mirar la información - no la información solamente
(justo) financiera - que es necesario para apoyar exigencias de negocio y los recursos
asociados TI y procesos. COSO objetivos de control enfocan la eficacia, la eficacia
de operaciones, el reportaje confiable financiero, y el cumplimiento con leyes y
regulaciones. COBIT es ampliado para cubrir la calidad y exigencias de seguridad en siete
categorías de traslapo, que incluyen la eficacia, la eficacia, la confidencialidad, la
integridad, la disponibilidad, el cumplimiento, y la fiabilidad de información.
Estas categorías forman la fundación para los objetivos de control del COBIT. Los dos
marcos también tienen el público diferente. COSO es útil para la dirección en general,
mientras COBIT es útil para la dirección, usuarios, e interventores. COBIT expresamente es
enfocado (concentrado) en mandos de TI. A causa de estas diferencias, interventores no
deberían esperar una relación de uno a uno entre los cinco componentes de control de
COSO y los cuatro dominios COBIT objetivos.

HISTORIA Y ANTECEDENTES DE COBIT

EVOLUCIÓN DEL PRODUCTO COBIT

COBIT evolucionará a través de los años y será el fundamento de investigaciones futuras. Por lo tanto, se generará
una familia de productos COBIT y al ocurrir esto, las tareas y actividades que sirven como estructura para organizar
los Objetivos de Control de TI, serán refinadas posteriormente. También será revisado el balance entre los dominios
y los procesos a la luz de los cambios en la industria.

La investigación y las publicaciones han sido posibles gracias al fundamental apoyo de PricewaterhouseCoopers y
las donaciones de los capítulos de ISACA y de miembros de todo el mundo. La European Security Forum (ESF)
amablemente llevó a cabo la recolección de material disponible para el proyecto. La Gartner Group además
participó en el desarrollo y realizó la revisión de aseguramiento de calidad de las Directrices Gerenciales
 OBJETIVOS DE CONTROL
TABLA RESUMEN
La siguiente tabla proporciona una indicación, por proceso y dominio de TI, de
cuáles criterios de información son impactados por los objetivos de alto nivel,
así como una indicación de cuáles recursos de TI son aplicables.
COBIT, tal como aparece en esta última versión de los Objetivos de Control refleja los compromisos
de ISACA para engrandecer y mantener el cuerpo común del conocimiento requerido para soportar
la profesión de auditoría y control de los sistemas de información

El Marco de Referencia de COBIT ha sido limitado a objetivos de control de alto nivel

en forma de necesidades de negocio dentro de un proceso de TI particular, cuyo logro
es posible a través del establecimiento de controles, para el cual deben considerarse
controles potenciales aplicables.

Los Objetivos de Control de TI han sido organizados por proceso/actividad y

también se han proporcionados ayudas de navegación no solamente para facilitar la
entrada a partir de cualquier punto de vista estratégico como se explicó
anteriormente, sino también para facilitar enfoques combinados o globales, tales
como instalación/implementación de un proceso, responsabilidades gerenciales
globales para un proceso y utilización de recursos de TI por un proceso.

También deberá tomarse en cuenta que los Objetivos de Control de COBIT han sido
definidos de una manera genérica, por ejemplo, sin depender de la plataforma
técnica, aceptando el hecho de que algunos ambientes de tecnología especiales
pueden requerir una cobertura separada para objetivos de control.
Mientras que el Marco de Referencia de COBIT enfoca controles a alto nivel para cada
proceso, los Objetivos de Control se enfocan sobre objetivos de control detallados y
específicos asociados a cada proceso de TI. Por cada uno de los 34 procesos de TI del
marco referencial, hay desde tres hasta 30 objetivos de control detallados, para un total de
318.
Los Objetivos de Control se alinean para cubrir todo el Marco referencial con objetivos de
control detallados con base en 41 fuentes primarias que comprenden estándares y
regulaciones internacionales de TI, de facto y de jure. Contiene sentencias de los resultados
deseados o propósitos a ser alcanzados mediante la implementación de procedimientos de
control específicos en una actividad de TI, de esta manera provee políticas claras y buenas
prácticas para los controles de TI a través de la industria, alrededor del mundo.
Los Objetivos de Control están dirigidos a la Administración y al staff de TI, a las
funciones de control y auditoría — y lo mas importante, a los propietarios de los procesos
del negocio. Los Objetivos de Control proporcionan un trabajo, que es un documento de
escritorio para esos individuos. Se identifican definiciones precisas y claras para un
mínimo conjunto de controles con el fin de asegurar la efectividad, eficiencia y economía
de la utilización de los recursos. Objetivos de control detallados son identificados para cada
proceso, como los controles mínimos necesarios . Esos controles serán analizados por los
profesionales de control para verificar su suficiencia.