“Año de la lucha contra la corrupción y la impunidad”

FACULTAD DE INGENIERIA

ESCUELA PROFESIONAL DE INGENIERÍA INFORMÁTICA Y DE

SISTEMAS

“PLANEAMIENTO ESTRATÉGICO DE TECNOLOGÍAS DE

LA INFORMACIÓN”

INTEGRANTES:

CRUZ ACUÑA, Robin Einsten

ESPINOZA BAILON, Yuri Natali
FLORES PINEDA, Noel
ESPINOZA MIRANDA, Jose
PAREDES RAMIREZ, Frinder.

DOCENTE:

Ms. Lilian Rosales Maguiña

HUARAZ - PERÚ
2019
 COBIT (OBJETIVOS DE CONTROL PARA LA INFORMACIÓN Y
TECNOLOGÍAS RELACIONADAS)

DEFINICION DE COBIT
El COBIT es precisamente un modelo para auditar la gestión y control de los sistemas de
información y tecnología, orientado a todos los sectores de una organización, es decir,
administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso. El
COBIT es un modelo de evaluación y monitoreo que enfatiza en el control de negocios y
la seguridad IT y que abarca controles específicos de IT desde una perspectiva de negocios.
Las siglas COBIT significan Objetivos de Control para Tecnología de Información y
Tecnologías relacionadas (Control Objectives for Information Systems and related
Technology). El modelo es el resultado de una investigación con expertos de varios países,
desarrollado por ISACA (Information Systems Audit and Control Association).
COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma
en que trabajan los profesionales de tecnología. Vinculando tecnología informática y
prácticas de control, el modelo COBIT consolida y armoniza estándares de fuentes globales
prominentes en un recurso crítico para la gerencia, los profesionales de control y los
auditores.
COBIT se aplica a los sistemas de información de toda la empresa, incluyendo los
computadores personales y las redes. Está basado en la filosofía de que los recursos TI
necesitan ser administrados por un conjunto de procesos naturalmente agrupados para
proveer la información pertinente y confiable que requiere una organización para lograr
sus objetivos.
COBIT fue creado para ayudar a las organizaciones a obtener el valor óptimo de TI
manteniendo un balance entre la realización de beneficios, la utilización de recursos y los
niveles de riesgo asumidos.
¿QUIÉN UTILIZA COBIT?
COBIT es empleado en todo el mundo por quienes tienen como responsabilidad primaria
los procesos de negocio y la tecnología, aquellos de quien depende la tecnología y la
información confiable, y los que proveen calidad, confiabilidad y control de TI.

PRINCIPIOS DE COBIT
 Satisfacer las necesidades del accionista
 Considerar la empresa de punta a punta
 Aplicar un único modelo de referencia integrado
 Posibilitar un enfoque holístico
 Separar gobierno de la gestión.
CRITERIOS DE INFORMACION DEL COBIT
El enfoque del control en TI se lleva a cabo visualizando la información necesaria para dar
soporte a los procesos de negocio y considerando a la información como el resultado de la
aplicación combinada de recursos relacionados con las TI que deben ser administrados por
procesos de TI.
Para alcanzar los requerimientos de negocio, la información necesita satisfacer ciertos
criterios:
 Requerimientos de Calidad: Calidad, Costo y Entrega.
 Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de
los reportes financieros y Cumplimiento le leyes y regulaciones.
 Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad.

En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos de
negocio:

¿Cuáles son los 7 habilitadores de COBIT 5?

 Principios, políticas y modelos de referencia
 Procesos
 Estructuras organizacionales
 Cultura, ética y comportamiento
 Información
 Servicios, infraestructura y aplicaciones
  Gente, habilidades y competencias.
COMPONENTES COBIT
 Resumen Ejecutivo: Es un documento dirigido a la alta gerencia presentando los
antecedentes y la estructura básica de COBIT Además, describe de manera general los
procesos, los recursos y los criterios de información, los cuales conforman la "Columna
Vertebral" de COBIT.
 Marco de Referencia (Framework): Incluye la introducción contenida en el resumen
ejecutivo y presenta las guías de navegación para que los lectores se orienten en la
exploración del material de COBIT haciendo una presentación detallada de los 34 procesos
contenidos en los cuatro dominios.
 Objetivos de Control: Integran en su contenido lo expuesto tanto en el resumen ejecutivo
como en el marco de referencia y presenta los objetivos de control detallados para cada
uno de los 34 procesos.
NIVELES COBIT
Se divide en 3 niveles, los cuales son los siguientes:
 Dominios: Agrupación natural de procesos, normalmente corresponden a un dominio o
una responsabilidad organizacional.
 Procesos: Conjuntos o series de actividades unidas con delimitación o cortes de control.
 Actividades: Acciones requeridas para lograr un resultado medible.
BENEFICIOS COBIT
 Mejor alineación basado en una focalización sobre el negocio.
 Visión comprensible de TI para su administración.
 Clara definición de propiedad y responsabilidades.
 Aceptabilidad general con terceros y entes reguladores.
 Entendimiento compartido entre todos los interesados basados en un lenguaje común.
 Cumplimiento global de los requerimientos de TI planteados en el Marco de Control
Interno de Negocio COSO.
CARACTERÍSTICAS
 Orientado al negocio.
 Alineado con estándares y regulaciones "de facto".
 Basado en una revisión crítica y analítica de las tareas y actividades en TI.
 Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA

ESTRUCTURA
La estructura del modelo COBIT propone un marco de acción donde se evalúan los criterios de
información, como por ejemplo la seguridad y calidad, se auditan los recursos que comprenden la
tecnología de información, como por ejemplo el recurso humano, instalaciones, sistemas, entre
otros, y finalmente se realiza una evaluación sobre los procesos involucrados en la organización.
"La adecuada implementación de un modelo COBIT en una organización, provee una herramienta
automatizada, para evaluar de manera ágil y consistente el cumplimiento de los objetivos de
control y controles detallados, que aseguran que los procesos y recursos de información y
tecnología contribuyen al logro de los objetivos del negocio en un mercado cada vez más exigente,
complejo y diversificado.
DOMINIOS COBIT
El conjunto de lineamientos y estándares internacionales conocidos como COBIT, define un marco
de referencia que clasifica los procesos de las unidades de tecnología de información de las
organizaciones en cuatro "dominios" principales, a saber:
 PLANIFICACION Y ORGANIZACION: Este dominio cubre la estrategia y las tácticas
y se refiere a la identificación de la forma en que la tecnología de información puede
contribuir de la mejor manera al logro de los objetivos del negocio. Además, la consecución
de la visión estratégica necesita ser planeada, comunicada y administrada desde diferentes
perspectivas. Finalmente, deberán establecerse una organización y una infraestructura
tecnológica apropiadas.
 ADQUISION E IMPLANTACION: Para llevar a cabo la estrategia de TI, las soluciones
de TI deben ser identificadas, desarrolladas o adquiridas, así como implementadas e
integradas dentro del proceso del negocio. Además, este dominio cubre los cambios y el
mantenimiento realizados a sistemas existentes.
 SOPORTE Y SERVICIOS: En este dominio se hace referencia a la entrega de los
servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento,
pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán
establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de
los datos por sistemas de aplicación, frecuentemente clasificados como controles de
aplicación.
 MONITOREO: Todos los procesos necesitan ser evaluados regularmente a través del
tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control.
Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los aspectos de
información, como de la tecnología que la respalda. Estos dominios y objetivos de control
facilitan que la generación y procesamiento de la información cumplan con las
características de efectividad, eficiencia, confidencialidad, integridad, disponibilidad,
cumplimiento y confiabilidad.
USUARIOS
1. La Gerencia: Para apoyar sus decisiones de inversión en TI y control sobre el rendimiento
de las mismas, analizar el costo beneficio del control.
2. Los Usuarios Finales: Quienes obtienen una garantía sobre la seguridad y el control de
los productos que adquieren interna y externamente.
3. Los Auditores: Para soportar sus opiniones sobre los controles de los proyectos de TI, su
impacto en la organización y determinar el control mínimo requerido.
4. Los responsables de TI: Para identificar los controles que requieren en sus áreas.
También puede ser utilizado dentro de las empresas por el responsable de un proceso de negocio
en su responsabilidad de controlar los aspectos de información del proceso, y por todos aquellos
con responsabilidades en el campo de la TI en las empresas.
¿QUÉ HAY DE LA SEPARACIÓN ENTRE GOBIERNO Y GESTIÓN?
El gobierno asegura que los objetivos empresariales se logran evaluando las necesidades de los
accionistas, las condiciones y opciones; establecer la dirección a través de la priorización y la toma
de decisiones; y monitorear el desempeño, el cumplimiento y el progreso versus la dirección y
objetivos acordados (EDM, por Evaluar, Dirigir, Monitorear).
Por su parte la gestión se ocupa de planificar, construir, ejecutar y monitorear las actividades
alineadas con la dirección establecida por el organismo de gobierno para el logro de los objetivos
empresariales (PBRM ó Planificar, Construir, Ejecutar y Monitorear, por su sigla en inglés).
¿ES COBIT 5 UN MODELO SUPERIOR A OTROS MODELOS DE CONTROL
ACEPTADOS?
La mayoría de los ejecutivos conocen la importancia de los marcos generales de control en relación
con la responsabilidad fiduciaria, tales como COSO, Cadbury, CoCo, Sarbanes-Oxley. Sin
embargo, no necesariamente son conscientes del nivel de detalle de cada uno. Por otro lado, los
ejecutivos cada vez más conocen la importancia de guías técnicas como ITIL (para la gestión de
servicios de TI) e ISO 27001 (para seguridad de información).
Si bien estos estándares y modelos enfatizan el control del negocio y la seguridad y servicio de TI,
COBIT es el único que se ocupa de los controles específicos de TI desde la perspectiva del
negocio. De hecho, COBIT 5 se basa en ISO/IEC 15504 e ITIL. No se pretende que COBIT
reemplace estos modelos de control, sino lo que se destacan son los elementos de gobierno y
gestión y las prácticas necesarias para crear valor para la compañía.
 PETI (PLAN ESTRATÉGICO DE TECNOLOGÍAS DE INFORMACIÓN)
La aplicación de TI en cualquier organización, si no se hace de manera planificada y siguiendo
pautas acordes a los objetivos estratégicos de la misma, puede conducir a la creación de
“desordenes automatizados”, “islas” de gestión de información, y otras situaciones
contraproducentes.

Es muy común que, de manera errónea, el desarrollo de TI sea visto por los expertos en el área
como un conjunto de procesos de diseño individuales. Las aplicaciones suelen ser construidas para
satisfacer metas a corto plazo o problemas inmediatos. Cuando esto ocurre es porque no se
establece claramente una estrategia de TI, un plan o curso, y tampoco se considera la visión global
de los recursos con que cuenta la organización.

Al desarrollarse la TI de manera reactiva en respuesta a las necesidades urgentes del negocio se

producen vacíos en la utilización de TI a lo largo y ancho de todas las áreas funcionales, que no
crecen coherentemente hacia una arquitectura integrada de sistemas, tecnología e información.

El desarrollo de un PETI contribuye a establecer una clara relación entre la planeación estratégica
de negocios, el modelado de la organización y la TI. Su construcción está sustentada en un modelo
conceptual que propone una alternativa que se basa en la transformación de la estrategia de
negocios en componentes operativos y de TI.

La metodología PETI consta de cuatro fases:

FASE1: ESTUDIO DE LA SITUACIÓN ACTUAL. Esta fase involucra un examen y estudio
del estado actual de la empresa. Produce como resultado el modelo funcional en el que opera la
organización. Su propósito es entender apropiadamente la posición de la empresa, sus problemas
y madurez tecnológica. Esta fase se divide en dos pasos:

 El primer paso trata sobre la identificación del alcance competitivo de la organización.

 El segundo paso está relacionado con una evaluación de las condiciones actuales de la
empresa. Dicha revisión debe incluir la evaluación de tres aspectos fundamentales:
estrategias de negocios, modelo operativo y TI.

FASE2: FORMULACIÓN DE UN MODELO DE NEGOCIOS/ORGANIZACIÓN. Esta fase

se concentra en el entendimiento del entorno y el establecimiento de la estrategia de negocios que
determina la construcción del modelo operativo, la estructura de la organización y la arquitectura
de información. La misma se divide en: estrategia organizacional, competencias fundamentales y
estrategia competitiva.

 La estrategia de negocios es un proceso que tiene que ver con la identificación de la visión,
misión, objetivos, metas, estrategias y factores críticos de éxito. Su definición se establece
a través de una interrelación, una referencia cruzada simétrica y bidireccional entre los
elementos que unos con otros componen las estrategias, las entidades externas y el entorno
de la organización.
 Las competencias fundamentales están relacionadas con las fortalezas de una organización
 La estrategia competitiva establece que el éxito de una empresa radica en satisfacer las
necesidades de un cliente, ofreciéndole un valor agregado. Involucra cualidades de
servicio, precio, confianza, imagen, etcétera, que hacen que un producto sea identificado
como único y diferente. En este paso la influencia de la TI es determinante. Puede dar un
valor agregado a servicios, productos y competencia, cambiando la manera como los
negocios son llevados a cabo. Algunas de las estrategias competitivas más comunes se
basan en el establecimiento de una diferenciación, bajos costos, enfoque específico e
innovación.
FASE 3: FORMULACIÓN DE UN MODELO DE TI. Esta fase está relacionada con la creación
de un modelo de TI. Su propósito es identificar soluciones de TI para establecer una estrategia de
TI.

 La estrategia de TI está relacionada con los esfuerzos de diseño e implantación de TI, para
soportar las estrategias de negocio de una empresa. Determina los lineamientos
informáticos que deberán cumplir software, hardware y comunicaciones, para formar parte
de la arquitectura informática. Explícitamente, es un conjunto de lineamientos estratégicos,
establecidos para relacionar el desarrollo del modelo de TI con la dirección estratégica del
negocio y el comportamiento de la organización, permitiendo a la empresa alcanzar una
ventaja estratégica y competitiva. El proceso de transformación requiere la interacción de
ejecutivos de negocios con expertos en TI. Esto permite a los ejecutivos revisar si los
planteamientos estratégicos de TI son afines con la estrategia de negocios, y determinar su
capacidad en la producción de los resultados esperados.

FASE 4: FORMULACIÓN DE UN MODELO DE PLANEACIÓN. La cuarta y última fase se

vincula con la creación de un modelo de planeación, relacionado con la identificación de proyectos
que muestren cómo los recursos van a ser incorporados en la organización. Se divide en el
establecimiento de prioridades, la creación de un plan, un estudio del retorno de la inversión y un
análisis del riesgo.

 El establecimiento de las prioridades es un método que permite colocar, en el orden debido

de implantación, los procesos automatizables del modelo operativo traducidos en sistemas
de información; esto en términos del potencial de ganancia y la probabilidad de éxito
 El plan de implantación determina la secuencia de proyectos que contribuyen a la creación
de la PETI, dando una estimación del tiempo de duración. Cada proyecto especifica los
pasos intermedios y la sincronización de todas las actividades para alcanzar los objetivos.
La secuencia de implantación está determinada por el orden establecido en el paso anterior.
 El retorno de la inversión es un estudio de viabilidad de la PETI, basado en un análisis
costo/beneficio
 La administración del riesgo se encarga de reconocer la existencia de amenazas,
determinando sus orígenes y consecuencias. Además, trata de aplicar factores de
modificación para contrarrestar situaciones adversas.