REPÚBLICA BOLIVARIANA DE VENEZUELA

MINISTERIO DEL PODER POPULAR PARA LA EDUCACIÓN

UNIVERSITARIA

UNIVERSIDAD POLITECNICA DEL OESTE “MARISCAL SUCRE”

PNF INFORMATICA

COBIT

Autores: Castellano Carlos CI. 13797343

Correa Ludwig C.I. 16.952.726

Correa Joharry C.I. 15.396.627

González Amiderli C.I.14.299.483

Caracas, Noviembre de 2012

1
 INTRODUCCIÓN

A través del contenido de este trabajo se estudiará el concepto amplio

y de gran importancia de COBIT, en sus versiones mejoradas con la finalidad
de establecer parámetros para una organización, aportándonos gran
conocimiento ya que nos sirve para llevar las directrices de un ente. El
desarrollo de COBIT nos ayudará en gran parte a conocer o entender los
problemas de las TI (Tecnologías de la información), a demás conoceremos la
relación de COBIT con otras normas,

2
 RESEÑA HISTÓRICA

La necesidad de uso de estándares internacionales, pautas y la

investigación en las mejores prácticas (marco de referencia o framework)
condujeron al desarrollo de los objetivos del control; los cuales son abordados a
través de COBIT, el cual significa Control Objectives for Information and related
Technology o Objetivos de Control para tecnología de la información y
relacionada. El mismo brinda a managers, auditores, y usuarios IT, un set de
medidas, indicadores, procesos y mejores prácticas de consenso general para
asistirlos en maximizar los beneficios derivados del uso de las tecnologías de
información y para obtener un control y gerenciamiento apropiado de IT en la
organización

La investigación para las primeras y segundas ediciones de COBIT,

incluyen la colección y el análisis de fuentes internacionales identificadas y
realizada por los equipos en Europa (universidad libre de Amsterdam), los
E.E.U.U. (universidad politécnica de California) y Australia (universidad de Nuevo
Gales del Sur). Contienen una compilación, revisión e incorporación apropiada de
los estándares técnicos internacionales, códigos de la conducta, estándares de
calidad, estándares profesionales en la revisión, y las prácticas y los requisitos de
la industria, como se relacionan con el marco y con los objetivos del control
individual. Se converso con diversos investigadores para examinar cada dominio
y procesar la información para sugerir los nuevos o modificados objetivos del
control aplicables a los procesos. La consolidación de los resultados fue realizada
por el comité de dirección de COBIT.

3
 El proyecto de la edición de COBIT consistió en el desarrollar de las pautas
de la gerencia y el poner al día de la edición de COBIT basada en nuevas y
revisadas referencias internacionales.

El marco de COBIT fue revisado y realizado para apoyar al control de la

gerencia. Proveer a la gerencia un marco para determinar y hacer las opciones
para la puesta en práctica y las mejoras del control sobre su información y
tecnología relacionada, así como funcionamiento de la medida, las pautas de la
gerencia incluyen modelos de la madurez, factores críticos del éxito, los
indicadores dominantes de la meta y los indicadores dominantes del
funcionamiento relacionados con los objetivos del control.

Misión

La misión de COBIT es "investigar, desarrollar, publicar y promocionar un

conjunto de objetivos de control generalmente aceptados para las tecnologías
de la información que sean autorizados (dados por alguien con autoridad),
actualizados, e internacionales para el uso del día a día de los gestores de
negocios (también directivos) y auditores". Gestores, auditores, y usuarios se
benefician del desarrollo de COBIT porque les ayuda a entender sus Sistemas
de Información (o tecnologías de la información) y decidir el nivel de seguridad
y control que es necesario para proteger los activos de sus compañías
mediante el desarrollo de un modelo de administración de las tecnologías de
la información.

PARA QUÉ SIRVE

Independientemente de la realidad tecnológica de cada caso concreto,
COBIT determina, con el respaldo de las principales normas técnicas
internacionales, un conjunto de mejores prácticas para la seguridad, la calidad,

4
la eficacia y la eficiencia en TI que son necesarias para alinear TI con el
negocio, identificar riesgos, entregar valor al negocio, gestionar recursos y
medir el desempeño, el cumplimiento de metas y el nivel de madurez de los
procesos de la organización.

Proporciona a gerentes, interventores, y usuarios TI con un juego de

medidas generalmente aceptadas, indicadores, procesos y las mejores
prácticas para ayudar a ellos en el maximizar las ventajas sacadas por el
empleo de tecnología de información y desarrollo de la gobernación apropiada
TI y el control en una empresa.

Proporciona ventajas a gerentes, TI usuarios, e interventores. La toma de

decisiones es más eficaz porque COBIT ayuda la dirección en la definición de
un plan de TI estratégico, la definición de la arquitectura de la información, la
adquisición del hardware necesario TI y el software para ejecutar una
estrategia TI, la aseguración del servicio continuo, y la supervisión del
funcionamiento del sistema TI. Los usuarios de TI se benefician de COBIT
debido al aseguramiento proporcionado. COBIT beneficia a interventores
porque esto les ayuda a identificar cuestiones de control de TI dentro de la
infraestructura TI de una empresa. Esto también les ayuda a corroborar sus
conclusiones de auditoria.

La misión COBIT es "para investigar, desarrollar, hacer público y promover

un juego autoritario, actualizado, internacional de objetivos de control de
tecnología de información generalmente aceptados para el empleo cotidiano
por directores comerciales e interventores”. Los gerentes, interventores, y
usuarios se benefician del desarrollo de COBIT porque esto les ayuda a
entender sus sistemas TI y decidir el nivel de seguridad (valor) y control que
es necesario para proteger el activo de sus empresas por el desarrollo de un
modelo de gobernación TI.

5
 COBIT FAMILIA DE PRODUCTO

El paquete de programas de COBIT completo es un juego que consiste en

seis publicaciones:

1. Resumen(Sumario) Ejecutivo
2. Marco
3. Objetivos de Control
4. Directrices de auditoria
5. Instrumento de puesta en práctica

a) Resumen Ejecutivo el cual, adicionalmente a esta sección de

antecedentes, consiste en una Síntesis Ejecutiva (que proporciona a la
alta gerencia entendimiento y conciencia sobre los conceptos clave y
principios de COBIT) y el Marco Referencial (el cual proporciona a la
alta gerencia un entendimiento más detallado de los conceptos clave y
principios de COBIT e identifica los cuatro dominios de COBIT y los
correspondientes 34 procesos de TI).
b) Marco Referencial que describe en detalle los 34 objetivos de control
de alto nivel e identifica los requerimientos de negocio para la
información y los recursos de TI que son impactados en forma primaria
por cada objetivo de control.
c) Objetivos de Control, los cuales contienen declaraciones de los
resultados deseados o propósitos a ser alcanzados mediante la
implementación de 302 objetivos de control detallados y específicos a
través de los 34 procesos de TI.
d) Directrices de Auditoría, las cuales contienen los pasos de auditoría
correspondientes a cada uno de los 34 objetivos de control de TI de alto

6
 nivel para proporcionar asistencia a los auditores de sistemas en la
revisión de los procesos de TI con respecto a los 302 objetivos
detallados de control recomendados para proporcionar a la gerencia
certeza o una recomendaciones de mejoramiento.
e) Conjunto de Herramientas de Implementación, el cual proporciona
lecciones aprendidas por organizaciones que han aplicado COBIT
rápida y exitosamente en sus ambientes de trabajo.

Figura N° 1 pirámide de productos COBIT extraída de la fuente: http://asin0212.blogspot.com/

7
 COBIT y OTRAS NORMAS
Las dos normas internacionales usadas hoy son COBIT Y ISO/IEC
17799:2005. COBIT (Objetivos de Control para la Información y la Tecnología
relacionada) fue liberado y usado principalmente por la comunidad TI. En
1998, las Directrices de Dirección fueron añadidas, y COBIT se hizo el marco
internacionalmente aceptado para la gobernación TI y el control. ISO/IEC
17799:2005 (el Código de práctica para la Seguridad de Información la
Dirección) es también un estándar internacional y es la mejor práctica para
poner en práctica la dirección de seguridad. Las dos normas no compiten el
uno con el otro y en realidad complementan el uno al otro. COBIT típicamente
cubre una más amplia área mientras ISO/IEC 17799 profundamente es
enfocado (concentrado) en el área de seguridad.

Figura N° 2 Describe la interrelación de las dos normas así como ISO/IEC 17799 puede ser
integrado con COBIT. Extraído de la fuente: http://www.monografias.com/trabajos38/cobit/cobit2.shtml

Otras publicaciones de ISACA basado en el marco de COBIT son:

 Junta informativa para TI gobernanzas, 2 ª Edición

 COBIT y controles de aplicación
 Prácticas de Control de COBIT, 2da Edición
 Guía de Aseguramiento de TI: Uso de COBIT
 Implementación y continuamente mejorar la gobernanza
 COBIT inicio rápido, 2 ª Edición

8
  COBIT Baseline Security, 2 ª Edición
 Los objetivos de control de la ley Sarbanes-Oxley, 2 ª Edición
 Los objetivos de control para Basilea II
 COBIT Guía del usuario para directores de servicios
 COBIT (Asignaciones de la norma ISO / IEC 27002 , CMMI , ITIL , TOGAF ,
PMBOK , etc)
COBIT Online

Ediciones

La primera edición fue publicada en 1996; la segunda edición en 1998; la

tercera edición en 2000 (la edición on-line estuvo disponible en 2003); y la
cuarta edición en diciembre de 2005, y la versión está disponible desde mayo
de 2007.

COBIT 4.1

En su cuarta edición, COBIT tiene 34 objetivos de alto nivel que cubren

210 objetivos de control (específicos o detallados) clasificados en cuatro
dominios: Planificación y Organización, Adquisición e Implementación,
Entrega y Soporte, y, Supervisión y Evaluación. En inglés: Plan and Organize,
Acquire and Implement, Deliver and Support, and Monitor and Evaluate.

COBIT 5

Isaca lanzó el 10 de abril del 2012 la nueva edición de este marco de

referencia. COBIT 5 es la última edición del framework mundialmente
aceptado, el cual proporciona una visión empresarial del Gobierno de TI que
tiene a la tecnología y a la información como protagonistas en la creación de
valor para las empresas.

9
 COBIT 5 se basa en COBIT 4.1, y a su vez lo amplía mediante la
integración de otros importantes marcos y normas como Val IT y Risk IT,
Information Technology Infrastructure Library (ITIL) y las normas ISO
relacionadas.

Beneficios

COBIT 5 ayuda a empresas de todos los tamaños a:

 Mantener información de alta calidad para apoyar las decisiones

de negocios
 Alcanzar los objetivos estratégicos y obtener los beneficios de
negocio a través del uso efectivo e innovador de las TI
 Lograr la excelencia operativa a través de una aplicación fiable y
eficiente de la tecnología
 Mantener los riesgos relacionados a TI bajo un nivel aceptable
 Optimizar los servicios el coste de las TI y la tecnología
 Apoyar el cumplimiento de las leyes, reglamentos, acuerdos
contractuales y las políticas

COBIT para la seguridad de la información

En el mes de junio del 2012, ISACA lanzó "COBIT 5 para la seguridad de

la información", actualizando la última versión de su marco a fin de
proporcionar una guía práctica en la seguridad de la empresa, en todos sus
niveles.

“COBIT 5 para seguridad de la información puede ayudar a las empresas

a reducir sus perfiles de riesgo a través de la adecuada administración de la
seguridad. La información específica y las tecnologías relacionadas son cada

10
vez más esenciales para las organizaciones, pero la seguridad de la
información es esencial para la confianza de los accionistas”

Val IT

Recientemente, ISACA ha publicado Val IT, que relaciona los procesos de

COBIT con los procesos de la gerencia mayor requeridos para conseguir un
buen valor de las inversiones en tecnologías de la información.

COBIT 5 una nueva versión del ya conocido estándar para el cumplimiento

de objetivos de control para el CIO y su área. Esta versión, profundamente
revisada y mejorada, provee un marco de referencia integral que contribuye
en la organización al logro de los objetivos y entrega de valor a través de un
efectivo gobierno y gestión de la TI empresarial. A partir de su participación en
la crítica objetiva en los borradores preliminares del modelo, en este artículo,
Sergio Sperat, socio de Estratega y profesional certificado en el gobierno de
TI empresarial (CGEIT), responde las preguntas que el CIO se hace al
acercarse a este nuevo estándar para ayudarle a descubrir cómo le puede
ayudar a mejorar su gestión.

¿Cuál es el propósito de COBIT?

COBIT fue creado para ayudar a las organizaciones a obtener el valor

óptimo de TI manteniendo un balance entre la realización de beneficios, la
utilización de recursos y los niveles de riesgo asumidos. COBIT 5 posibilita
que TI sea gobernada y gestionada en forma holística para toda la
organización, tomando en consideración el negocio y áreas funcionales de
punta a punta así como los interesados internos y externos. COBIT 5 se puede
aplicar a organizaciones de todos los tamaños, tanto en el sector privado,
público o entidades sin fines de lucro.

11
 ¿Quién utiliza COBIT?

COBIT es empleado en todo el mundo por quienes tienen como

responsabilidad primaria los procesos de negocio y la tecnología, aquellos de
quien depende la tecnología y la información confiable, y los que proveen
calidad, confiabilidad y control de TI.

¿Qué ocurrió con los objetivos de control en COBIT 5?

Al basarse en 5 principios y 7 habilitadores, COBIT 5 utiliza prácticas de

gobierno y gestión para describir las acciones que son ejemplo de mejores
prácticas de su aplicación. COBIT 5 ha cambiado su enfoque de objetivos de
control a una visión por proceso, descripta en detalle por uno de los principales
redactores del nuevo estándar, Erik Guidentops, en su artículo “Where Have
All The Control Objectives Gone?”

¿Cuáles son los 5 principios de COBIT 5?

1. Satisfacer las necesidades del accionista

2. Considerar la empresa de punta a punta
3. Aplicar un único modelo de referencia integrado
4. Posibilitar un enfoque holístico
5. Separar gobierno de la gestión.

¿Cuáles son los 7 habilitadores de COBIT 5?

1. Principios, políticas y modelos de referencia

2. Procesos
3. Estructuras organizacionales
4. Cultura, ética y comportamiento
5. Información

12
 6. Servicios, infraestructura y aplicaciones
7. Gente, habilidades y competencias.

¿Qué hay de la separación entre Gobierno y Gestión?

El gobierno asegura que los objetivos empresariales se logran evaluando

las necesidades de los accionistas, las condiciones y opciones; establecer la
dirección a través de la priorización y la toma de decisiones; y monitorear el
desempeño, el cumplimiento y el progreso versus la dirección y objetivos
acordados (EDM, por Evaluar, Dirigir, Monitorear).

Por su parte la gestión se ocupa de planificar, construir, ejecutar y

monitorear las actividades alineadas con la dirección establecida por el
organismo de gobierno para el logro de los objetivos empresariales (PBRM ó
Planificar, Construir, Ejecutar y Monitorear, por su sigla en inglés).

La siguiente imagen sintetiza muy bien estos dos conceptos, muchas

veces confundidos:

13
 Figura N° 3 Necesidades del negocio, extraida de la fuente:
http://francoitgrc.wordpress.com/2012/06/07/it-grc-segun-cobit-5-parte-1-it-governance/

¿Es COBIT 5 un modelo superior a otros modelos de control

aceptados?

La mayoría de los ejecutivos conocen la importancia de los marcos

generales de control en relación con la responsabilidad fiduciaria, tales como
COSO, Cadbury, CoCo, Sarbanes-Oxley. Sin embargo, no necesariamente
son conscientes del nivel de detalle de cada uno. Por otro lado, los ejecutivos
cada vez más conocen la importancia de guías técnicas como ITIL (para la
gestión de servicios de TI) e ISO 27001 (para seguridad de información).

Si bien estos estándares y modelos enfatizan el control del negocio y la

seguridad y servicio de TI, COBIT es el único que se ocupa de los controles
específicos de TI desde la perspectiva del negocio. De hecho, COBIT 5 se
basa en ISO/IEC 15504 e ITIL. No se pretende que COBIT reemplace estos

14
modelos de control, sino lo que se destacan son los elementos de gobierno y
gestión y las prácticas necesarias para crear valor para la compañía.

¿Cuál es la forma más rápida y efectiva de presentar COBIT a los

ejecutivos?

La cultura empresarial es de vital importancia. Una cultura proactiva será

más receptiva que una que no lo es. Sin embargo, hay que considerar el
énfasis que COBIT hace en la creación de valor para el accionista por estar
guiado por los objetivos del negocio, la alineación con estándares
internacionales reconocidos y su simplicidad. Las áreas de gobierno y gestión
emanan de tan sólo 5 principios y 7 habilitadores.

Al establecer la lista de requerimientos, COBIT combina los principios

contenidos en los modelos referenciales existentes y conocidos:

a) Requerimientos de Calidad: Calidad, Costo y Entrega (de

servicio).
b) Requerimientos fudiciarios Coso: Efectividad & eficiencia de
operaciones, Confiabilidad de la información y Cumplimiento de
las leyes & regulaciones.
c) Requerimientos de Seguridad: Confidencialidad, Integridad,
Disponibilidad

La Calidad ha sido considerada principalmente por su aspecto ‘negativo’

(no fallas, confiable, etc.), lo cual también se encuentra contenido en gran
medida en los criterios de Integridad. Los aspectos positivos pero menos
tangibles de la calidad (estilo, atractivo, “ver y sentir14”, desempeño más allá
de las expectativas, etc.) no fueron, por un tiempo, considerados desde un

15
punto de vista de Objetivos de Control de TI. A continuación se muestran las
definiciones de trabajo de COBIT:
a) Efectividad: Se refiere a que la información relevante sea pertinente
para el proceso del negocio, así como a que su entrega sea oportuna,
correcta, consistente y de manera utilizable.
b) Eficiencia: Se refiere a la provisión de información a través de la
utilización óptima (más productiva y económica) de recursos.
c) Confidencialidad: Se refiere a la protección de información sensible
contra divulgación no autorizada.
d) Integridad: Se refiere a la precisión y suficiencia de la información, así
como a su validez de acuerdo con los valores y expectativas del
negocio.
e) Disponibilidad: Se refiere a la disponibilidad de la información cuando
ésta es requerida por el proceso de negocio ahora y en el futuro.
También se refiere a la salvaguarda de los recursos necesarios y
capacidades asociadas.
f) Cumplimiento: Se refiere al cumplimiento de aquellas leyes,
regulaciones y acuerdos contractuales a los que el proceso de negocios
está sujeto, por ejemplo, criterios de negocio impuestos externamente.
g) Confiabilidad de la Información: Se refiere a la provisión de
información apropiada para la administración con el fin de operar la
entidad y para ejercer sus responsabilidades de reportes financieros y
de cumplimiento.

Los recursos de TI identificados en COBIT pueden explicarse/definirse

como se muestra a continuación:

16
a) Datos: Los elementos de datos en su más amplio sentido, (por ejemplo,
externos e internos), estructurados y no estructurados, gráficos, sonido,
etc.
b) Aplicaciones: Se entiende como sistemas de aplicación la suma de
procedimientos manuales y programados.
c) Tecnología: La tecnología cubre hardware, software, sistemas
operativos, sistemas de administración de bases de datos, redes,
multimedia, etc.
d) Instalaciones: Recursos para alojar y dar soporte a los sistemas de
información.
e) Personal: Habilidades del personal, conocimiento, conciencia y
productividad para planear, organizar, adquirir, entregar, soportar y
monitorear servicios y sistemas de información

Dominios de Cobit

Las definiciones para los dominios mencionados son las siguientes:

a) Planeación y Organización: Este dominio cubre la estrategia y las

tácticas y se refiere a la identificación de la forma en que la tecnología
de información puede contribuir de la mejor manera al logro de los
objetivos del negocio. Además, la consecución de la visión estratégica
necesita ser planeada, comunicada y administrada desde diferentes
perspectivas. Finalmente, deberán establecerse una organización y una
infraestructura tecnológica apropiadas.
b) Adquisición e Implementación: Para llevar a cabo la estrategia de TI,
las soluciones de TI deben ser identificadas, desarrolladas o adquiridas,
así como implementadas e integradas dentro del proceso del negocio.

17
 Además, este dominio cubre los cambios y el mantenimiento realizados
a sistemas existentes.
c) Entrega y Soporte: En este dominio se hace referencia a la entrega de
los servicios requeridos, que abarca desde las operaciones
tradicionales hasta el entrenamiento, pasando por seguridad y aspectos
de continuidad. Con el fin de proveer servicios, deberán establecerse
los procesos de soporte necesarios. Este dominio incluye el
procesamiento de los datos por sistemas de aplicación, frecuentemente
clasificados como controles de aplicación.
d) Monitoreo: Todos los procesos necesitan ser evaluados regularmente
a través del tiempo para verificar su calidad y suficiencia en cuanto a
los requerimientos de control. En resumen, los Recursos de TI
necesitan ser administrados por un conjunto de procesos agrupados en
forma natural, con el fin de proporcionar la información que la empresa
necesita para alcanzar sus objetivos.

En la figura No. 4 se muestra la interacción de estos ítems.

Acerca del autor de este artículo

Sergio Sperat es socio de Estratega y tiene una trayectoria de más de 20

años como consultor en estrategia de áreas de TI y negocios, desarrollada en
una amplia variedad de industrias en Argentina, Chile, México y Estados
Unidos. Es Licenciado en Análisis de Sistemas de la Facultad de Ingeniería
de la Universidad de Buenos Aires, hizo su Programa de Dirección de
Empresas en el IAE Business School en 1995, completó su Maestría en
Administración de Empresas en IDEA y London Business School, en Inglaterra

18
en 2001. Fue profesor adjunto del postgrado del Master en Administración de
Empresas de IDEA.

Sergio está certificado en COBIT y CGEIT (ISACA) y se desempeña como

responsable de Aseguramiento de Calidad y Dirección de Proyectos de
Estratega. Sergio está certificado como consultor Blue Ocean Strategy
Practitioner por el Blue Ocean Strategy Institute (Reino Unido).

19
Figura No. 4: Procesos de It de Cobit definidos dentro de los cuatro dominios

20
 CONCLUSION

El propósito de COBIT es Investigar, desarrollar, publicar y promover un

conjunto de objetivos de control en tecnología de información con autoridad,
actualizados, de carácter internacional y aceptados generalmente para el uso
cotidiano de gerentes de empresas y auditores.

Mientras COBIT, brinda buenas prácticas a través de un marco de

trabajo de dominios y procesos, y presenta las actividades en una estructura
manejable y lógica. Las buenas prácticas de COBIT representan el consenso
de los expertos. Están enfocadas fuertemente en el control y menos en la
ejecución. Están enfocadas fuertemente en el control y menos en la ejecución.
Estas prácticas ayudan a optimizar las inversiones facilitadas por la TI,
aseguran la entrega del servicio y brindan una medida contra la cual juzgar
cuando las cosas no vayan bien.

21
 REFERENCIAS BIBLIOGRAFICAS

 http://www.buenastareas.com/ensayos/El-Cobit/129027.html.

 http://msaffirio.wordpress.com/2007/03/03/la-cobit-y-la-
organizacion-del-area-informatica/.

 http://es.wikipedia.org/wiki/Objetivos_de_control_para_la_inform
aci%C3%B3n_y_tecnolog%C3%ADas_relacionadas.

 Comité Directivo de Cobit: COBIT Directrices de Auditoria; abril

1998, 2da edición.

22