DOCENTE:

Valdivia Vargas, Liz.

CURSO:
Auditoria de Sistemas.

CICLO:
IX

INTEGRANTES:
Aguilar Gallardo, Carlos.
Correa Tucumango, Jean.
Sangay Huaccha, Willam.

COBIT
CAJAMARCA ABRIL, 2018
Introducción............................................................................................................................... 2
¿Quién utiliza COBIT? ........................................................................................................... 3
Principios de COBIT 5 ............................................................................................................ 3
Habilitadores de COBIT 5................................................................................................... 3-4
Evaluar, Orientar y Supervisar (EDM) ........................................................................... 5-6

Riesgos en COBIT 5...................................................................................................... 6-11

1
 INTRODUCCIÓN

COBIT (Control Objectives Control Objectives for Information and related Technology)
es el marco aceptado internacionalmente como una buena práctica para el control de la
información, TI y los riesgos que con llevan. COBIT se utiliza para implementar el
gobierno de IT y mejorar los controles de IT. Contiene objetivos de control, directivas de
aseguramiento, medidas de desempeño y resultados, factores críticos de éxito y modelos
de madurez.
COBIT fue creado para ayudar a las organizaciones a obtener el valor óptimo de TI
manteniendo un balance entre la realización de beneficios, la utilización de recursos y los
niveles de riesgo asumidos. COBIT 5 posibilita que TI sea gobernada y gestionada en
forma holística (considera a algo como un todo) para todas las organizaciones, tomando
en consideración el negocio y áreas funcionales de punta a punta, así como los interesados
internos y externos. COBIT 5 se puede aplicar a organizaciones de todos los tamaños,
tanto en el sector privado, público o entidades sin fines de lucro.

2
¿Quién utiliza COBIT?
COBIT es empleado en todo el mundo por quienes tienen como responsabilidad primaria
los procesos de negocio y la tecnología, aquellos de quien depende la tecnología y la
información confiable y los que proveen calidad, confiablidad y control de TI.
COBIT 5 establece principios y facilitadores genéricos que son útiles para empresas de
todos los tamaños.
Principios de COBIT 5
Satisfacer las Necesidades de las Partes Interesadas (Accionistas). Se alinean
las necesidades de los accionistas con los objetivos empresariales específicos,
objetivos de TI y objetivos habilitadores. Se optimiza el uso de recursos cuando
se obtienen beneficios con un nivel aceptable de riesgos.

Cubrir la Empresa de Extremo a Extremo o de Forma Integral. El gobierno

de TI y la gestión de TI son asumidos desde la perspectiva global, de tal modo que
se cubren todas las necesidades corporativas de TI. Esto se aplica desde una
perspectiva de extremo a extremo basada en los 7 habilitadores de COBIT.

Aplicar un Único Modelo de Referencia Integrado.

Posibilitar un Enfoque Holístico. Los habilitadores de COBIT 5 están

identificados en siete categorías que abarcan la empresa de extremo a extremo.
Individual y colectivamente, estos factores influyen para que el gobierno de TI y
la gestión de TI operen en función de las necesidades del negocio.

Separara el Gobierno de la Gestión. COBIT 5 distingue con claridad los

ámbitos del gobierno de TI y la gestión de TI. Se entiende por gobierno de TI las
funciones relacionadas con la evaluación, la dirección y el monitoreo de las TI. El
gobierno busca asegurar el logro de los objetivos empresariales y también evalúa
las necesidades de los accionistas, así como las condiciones y las opciones
existentes. La dirección se concreta mediante la priorización y la toma efectiva de
decisiones. Y el monitoreo abarca el desempeño, el cumplimiento y el progreso
en función con los objetivos acordados. La gestión está más relacionada con la
planificación, la construcción, la ejecución y el monitoreo de las actividades
alineadas con la dirección establecida por el organismo de gobierno para el logro
de los objetivos empresariales.
Habilitadores de COBIT 5
Los habilitadores esos elementos tangibles e intangibles que hacen exista la
Gobernabilidad y la Gestión de TI. Dentro de COBIT 5 los habilitadores se establecen
para responder a las metas definidas en cascada las cuales se mencionaron anteriormente;
éstos requieren de las salidas de otros habilitadores como entradas y tienen salidas que
pueden ayudar a otros a realizar su función.
COBIT 5 define 7 categorías de habilitadores:

3
 Principios, políticas y modelos de referencia. Son el vehículo para trasladar el
comportamiento deseado en guías prácticas para la gestión diaria.

Procesos. Describen un conjunto de prácticas y actividades organizadas para

cumplir con ciertos objetivos y producir un conjunto de salidas para alcanzar los
objetivos generales relacionados con TI.

Estructuras Organizacionales. Son las entidades claves en la toma de decisiones

de la empresa.

Cultura, ética y comportamiento. La cultura, ética y comportamiento de los

individuos y de la empresa muchas veces son sobrestimados como un factor de
éxito en las actividades de gobierno y gestión.

Información. Requerida para mantener la empresa en ejecución y bien

gobernada. En el nivel operacional, la información es un producto clave de la
empresa.

Servicios, infraestructura y aplicaciones. Incluye la infraestructura, la

tecnología y las aplicaciones para proveer a la empresa los servicios y
procesamiento de Tecnología de la Información.

Personas, habilidades y competencias. Requeridas para completar con éxito las

actividades y para tomar las decisiones correctas y acciones correctivas.
COBIT 5 al basarse en 5 principios y 7 facilitadores, utiliza prácticas de gobierno y
gestión para describir las acciones que son ejemplo de mejores prácticas de su aplicación.

4
Evaluar, Orientar y Supervisar (EDM)
01 Asegurar el establecimiento y mantenimiento del marco de referencia de gobierno.
02 Asegurar la entrega de beneficios.
03 Asegurar la optimización del riesgo.
04 Asegurar la optimización de recursos.
05 Asegurar la transparencia hacia las partes interesadas.

EDM01. Asegurar el establecimiento y mantenimiento del marco de referencia de

gobierno. Analizar y articular los requerimientos para el gobierno de las TI de la empresa
y pone en marcha y mantiene efectivas las estructuras, procesos y prácticas facilitadoras,
con claridad de las responsabilidades y la autoridad para alcanzar la misión, las metas y
objetivos de la empresa.

EDM02. Asegurar la entrega de beneficios. Optimizar la contribución al valor del

negocio desde los procesos de negocio, de los servicios TI y activos de las TI resultado
de la inversión hecha por TI a unos costos aceptables

5
EDM03. Asegurar la optimización del riesgo. Asegurar que el apetito y la tolerancia al
riesgo de la empresa son entendidos, articulados y comunicados y que el riesgo para el
valor de la empresa relacionado con el uso de las TI es identificado y gestionado.

EDM04. Asegurar la optimización de recursos. Asegurar que las adecuadas y suficientes

capacidades relacionadas con las TI (personas, procesos y tecnologías) están disponibles
para soportar eficazmente los objetivos de la empresa a un coste óptimo.

EDM05. Asegurar la transparencia hacia las partes interesadas. Asegurar que la medición
y la elaboración de informes en cuanto a conformidad y desempeño de las TI de la
empresa son transparentes, con aprobación por las partes interesadas de las metas, las
métricas y las acciones correctivas necesarias.

Riesgos en COBIT 5
Desarrollado por la ISACA, COBIT 5 For Risk está disponible para guiar el gobierno y la
gestión de los riesgos en entornos de TI empresariales de frente a las amenazas
cibernéticas.
Riesgos:
“Riesgo proviene del italiano risico o rischio que, a su vez, tiene origen en el árabe
clásico rizq (“lo que depara la providencia”). El término hace referencia a la proximidad
o contingencia de un posible daño.” (Diccionario de la Real Academia Española)
En términos del Riesgo Tecnológico, existe consenso generalizado en definirlo como: la
posibilidad de pérdidas derivadas de un evento relacionado con el acceso o uso de la
tecnología, que afecta el desarrollo de los procesos del negocio y la gestión de riesgos de
la organización, al comprometer o degradar las dimensiones críticas de la información
(Ej. confidencialidad, integridad, disponibilidad).
Concepto:
En ese sentido, COBIT 5 para Riesgos define el Riesgo de TI como un riesgo para el
negocio, específicamente el riesgo para el negocio asociado con el uso, propiedad,
operación, involucramiento, influencia y adopción de TI dentro de una empresa.
Presenta dos perspectivas en el uso de COBIT en un contexto de riesgos:

La función de Riesgos: La perspectiva de la función de riesgo se centra en lo que se

necesita para construir y mantener la función de riesgo en la empresa.

La gestión de Riesgos: las organizaciones deben integrar la gestión del riesgo

tecnológico en una forma mucho más efectiva y concreta dentro de la gestión del riesgo
empresarial (ERM), si quieren reducir sus futuras pérdidas y mejorar la performance del
negocio.

6
Una inadecuada gestión de los riesgos de TI puede reducir el valor del negocio, creando
pérdidas financieras, dañando la reputación corporativa y desperdiciando nuevas
oportunidades.

Según lo expresado por Steven Babb, jefe de la Task Force de COBIT 5 for Risk, ya no
alcanza con identificar un riesgo y agregarlo al registro de riesgos, es fundamental poder
vincularlo directamente con el resultado de los objetivos estratégicos para el Negocio.

Algunas Perspectivas sobre Riesgos:

Fase Perspectiva dela Función de Perspectiva de la Función

Riesgo
Establecimiento del La empresa define estructuras
Proceso de Gestión organizativas, entre otras, la
Riesgos función de riesgos y asigna
responsabilidades
relacionadas al riesgo o a
algunos roles existentes.
Establecimiento del Elaboración de Políticas de
Proceso de Gestión Riesgos, No siendo más que la
de Riesgos Implementación del Proceso
AP012 de COBIT 5. Y el
proceso EDM 03.
Gestión de Riesgos
en Operaciones
Gestión de Riesgo
La empresa ejecuta los
procesos de la función.
La empresa define si la
calidad del hardware y
software son eficaces.
Responde al riesgo siendo
estas ya aceptadas.
Con respecto a los aspectos
de calidad COBIT-5
implementa los procesos:
APO09 Y APO10 para
gestionar proveedores.
APO11 para la calidad.
Todos los procesos BAI.
Procesos DSS01 Y DSS04.
APO13 la seguridad.
DSS05 servicios de
seguridad.
Se reportan los otros
catalizadores relacionados.

Principios para la Gestión de Riesgos:

 Conexión con los objetivos Corporativos.

 Alinear con ERM.
 Balance de Coste/Beneficio del Riesgo de TI.
 Promover comunicación Justa y Abierta.
 Establecer enfoque directo y responsabilidades.
 Funcionan como parte de las actividades diarias
 Enfoque consistente.

7
 Política Descripción
Política Principal de como se requiere gestionar el riesgo en la empresa ya sea a
Gestión de Riesgos través de elaboraciones de gestiones de riesgos.
Política de seguridad Establecer pautas para proteger la información. Cuyo fin es
de la información: mantener en sintonía las políticas de seguridad junto con las
de riesgo.
Política de gestión de Estableciendo directrices de cómo actuar ante las situaciones
crisis: Políticas de nivel de crisis.
operativo.
Política de gestión de la Se encarga de la gestión de riegos relacionándola con la
entrega de servicios de prestación de servicios.
TI por terceros:
Política de continuidadPosee el compromiso de la gerencia en análisis de impactos,
de Negocios: entrenamiento y pruebas, etc.
Política de gestión de Ve la gestión en programas y que estos cumplan los objetivos
programas: con los cuales fueron planteados.
Política de Recursos Todo en referencia a los empleados tanto lo que la compañía
Humanos: espera de ellos como ellos de la compañía.
Política de Riesgo de Se encarga de ver que no existan daños en cuanto a la imagen
Fraude: y marca de la compañía.
Política Se encarga de ver que los procesos y roles cumplan con lo
de
Cumplimiento: establecido.
Política de Ética: Se encarga de ver la interacción de las personas de la
organización como de cualquier consumidor o cliente.
Política de Gestión de Detalla la visión de la gerencia en cuanto a la calidad sea
calidad: aceptable y aseguren calidad.

Política de Gestión del Gestiona la implementación efectiva en todos los servicios de

Servicio Tecnología, relaciona los riesgos con los servicios.
Política de Gestión de Comunica la intención de la gerencia de todos los cambios en
Cambios la tecnología para que estos al implementarse minimice riesgo
Política de Delegación Principios generales de la de delegación de la autoridad, la
de Autoridad autoridad que el consejo directivo conserva.
Política de Denuncias Anima a los empleados a plantear inquietudes o dudas y que
estas sean respondidas.
Política de Control Comunicar los objetivos del control interno de la gerencia
Interno
Política de Propiedad Que todos los riesgos de un producto estén relacionados con
Intelectual las TI
Política de la El documento en el cual se almacena y se guarda los datos
Privacidad de Datos personales de un cliente y de la compañía en los que solo el
dueño de la información tiene acceso todo lo demás es
confidencial.

8
Administración de Riesgos en Cobit-5

El dominio de Gobierno contiene cinco procesos de gobierno, uno de los cuales se enfoca
en el riesgo relacionado con los objetivos de los terceros interesados: EDM03 Asegurar
la optimización de riesgos.

Descripción de procesos: Asegurar que el apetito de riesgo de la empresa y la tolerancia

se entiende, articulado y comunicado, y que el riesgo de valor de la empresa en relación
con el uso de las TI es identificado y gestionado.

Proceso de declaración de propósito: Asegurar que riesgos relacionados con TI de la

empresa no supere la tolerancia al riesgo y el apetito de riesgo, el impacto de los riesgos
de TI de valor de la empresa es identificado y manejado, y la posibilidad de fallas de
cumplimiento es mínimo.

El dominio de Gestión Alinear, Planear y Organizar contiene un proceso de riesgos

relacionados: APO12 Gestionar el riesgo.

Descripción del proceso: Continuamente identificar, evaluar y reducir los riesgos

relacionados con TI dentro de los niveles de tolerancia establecidos por la dirección
ejecutiva de la empresa.

Proceso de Declaración de Propósito: Integrar la gestión de riesgos empresariales

relacionados con la TI con el ERM en general, y equilibrar los costos y beneficios de la
gestión de riesgos relacionados con TI de la empresa.

Todas las actividades de la empresa tienen una exposición de riesgos asociados derivados
de las amenazas ambientales que aprovechan las vulnerabilidades habilitador

EDM03 Asegurar optimización Del riesgo: asegura que el enfoque de riesgo de los
terceros interesado Este enfocado a cómo serán tratados los riesgos que enfrenta la
empresa.

APO12 Gestión de Riesgo: proporciona a las empresas la gestión de riesgos (ERM) las
disposiciones que aseguren que la dirección dada por los terceros interesados es seguida
por la empresa.

Todos los demás procesos: incluye prácticas y actividades que son diseñadas para tratar
el riesgo relacionado (evitar, reducir / mitigar / controlar/ compartir / transferir / aceptar).

9
Escenarios de riesgo:

 Un escenario de riesgos es la descripción de un posible evento que, cuando ocurre,

tendrá un impacto incierto en el logro de los objetivos de la empresa.
 El proceso “core” de administración de riesgos requiere que los riesgos sean
identificados y analizados.
 Los escenarios de riesgos pueden ser obtenidos por medio de dos diferentes
mecanismos:

 Un enfoque “top-down”, donde uno empieza desde los objetivos generales de

la empresa
 Un enfoque “bottom-up” es donde se utiliza una lista de escenarios genéricos
de riesgos.

 Los enfoques son complementarios y deberían ser usados simultáneamente. De

hecho, los escenarios de riesgos deben ser relevantes y ligados a los riesgos de
negocio reales.

 Es importante considerar riesgos específicos para cada empresa y sus

requerimientos de negocio críticos en los escenarios de riesgo definidos

Escenarios de riesgo – Workflow:

1. Use la lista de escenarios de riesgos genéricos de base.

2. El negocio podría empezar considerando escenarios de ocurrencia común en su

industria o área de producto, escenarios que representan fuentes de amenaza que
están incrementando en el número o severidad, y escenarios que involucran
requerimientos legales y regulatorios.

3. Otro enfoque podría ser identificar las unidades de negocio de alto riesgo y evaluar
uno o dos procesos operativos de alto riesgo dentro de cada una de ellas,
incluyendo los componentes de TI que habilitan dichos procesos.

4. Hay que desarrollar una validación contra los objetivos del negocio. ¿Los
escenarios de riesgo seleccionados se refieren a impactos potenciales en el logro
de los objetivos de la entidad?

5. Reducir el número de escenarios a un conjunto manejable. No hay un número

específico, pero deberían estar en línea con la importancia general y la criticidad
de la unidad.

1
0
 Factores de Riesgo
Contexto Externo
Contexto Interno
Capacidades de Gestión de Riesgos
Capacidades Relacionadas con TI
Factores económicos de mercado, tasas de
cambio, industrias y competencias,
ambiente regulatorio, panorama de
amenazas.
Metas y objetivos de la empresa,
complejidad en TI, Modelo operativo,
Prioridad Estratégicas, Cultura de la
empresa, Capacidad financiera, etc.
Gobierno del Riesgo, Gestión de Riesgo.
EDM (evaluar, dirigir y supervisar).
APO (Alinear, planificar y Organizar).
BAI (Construir, adquirir e implementar).
DESS (Entregar, dar servicio y Soporte).
MEA (Supervisar, Evaluar y Valorar).

Escenarios de Riesgo
Actor Interno= Contratista.
Externo= Competidor, socios, regulador
Tiempo de Amenaza Malicioso, Accidental, Fracaso y
Naturales.
Acción Divulgación, Interrupción, Modificación,
Robo, Destrucción, Diseño Ineficaz,
Ejecución Ineficaz, Regulación, Uso
inadecuado.
Acción y Recursos Personas y Organización, Procesos,
Infraestructura de TI, Arquitectura de
Componentes de la Organización.
Tiempo Duración, Calendario de incidentes,
Momento de Defecto.

1
1