MODELOS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA

UNIDAD 2: TAREA 2 - IDENTIFICACIÓN DE ESTÁNDARES DE SEGURIDAD

INFORMÁTICA

DIEGO FARID GRIJALBA ANDRADE

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

PROGRAMA SEGURIDAD INFORMÁTICA
NEIVA
2020
Desarrollo de la actividad
Cobit
1. HISTORIA Y ASOCIACIÓN QUE LA APOYA O PATROCINA

Fuente: https://chaui201511701014974.wordpress.com/2015/05/17/historia-cobit/

En 1996, la primera edición de COBIT fue publicada. Esta incluía la colección y

análisis de fuentes internacionales reconocidas y fue realizada por equipos en
Europa, Estados Unidos y Australia.
En 1998, fue publicada la segunda edición; su cambio principal fue la adición de las
guías de gestión. Para el año 2000, la tercera edición fue publicada y en el 2003, la
versión en línea ya se encontraba disponible en el sitio de ISACA.
Fue posterior al 2003 que el marco de referencia de COBIT fue revisado y mejorado
para soportar el incremento del control gerencial, introducir el manejo del
desempeño y mayor desarrollo del Gobierno de TI.
En diciembre de 2005, la cuarta edición fue publicada y en mayo de 2007, se liberó
la versión 4.1.
La versión número 5 de COBIT fue liberada en el año 2012. En esta edición se
consolida e integran los marcos de referencia de COBIT 4.1, Val IT 2.0 y Risk IT. Este
nuevo marco de referencia viene integrado principalmente del Modelo de Negocios
para la Seguridad de la Información (BMIS, Business Model for Information Security)
y el Marco de Referencia para el Aseguramiento de la Tecnología de la Información
(ITAF, Information Technology Assurance Framework).
El Marco de Referencia de COBIT 4.1, está conformado por 34 Objetivos de Control
de alto nivel, todos diseñados para cada uno de los Procesos de TI, los cuales están
agrupados en cuatro grandes secciones mejor conocidos como dominios, estos se
equiparán a las áreas tradicionales de TI de planear, construir, ejecutar y
monitorear.
Planificación y Organización, proporciona la dirección para la entrega de soluciones y
la entrega de servicios.
Adquisición e Implementación, proporciona soluciones y las desarrolla para
convertirlas en servicios.
Entrega de servicios, recibe soluciones y las hace utilizables para los usuarios finales.
Soporte y Monitorización, monitorea todos los procesos para asegurar que se sigue
con la dirección establecida.

2. ESTRUCTURA
Su estructura cuenta con los siguientes dominios y controles:

Dominio Planear y Organizar (PO): Este dominio cubre las estrategias y las tácticas,
y tiene que ver con identificar la manera en que TI puede contribuir mejor con los
objetivos del negocio. Es importante mencionar que la realización de la visión
estratégica requiere ser planeada, comunicada y administrada desde diferentes
perspectivas; y finalmente, la implementación de una estructura organizacional y
tecnológica apropiada.
La gerencia espera cubrir la alineación de la estrategia de TI con el negocio,
optimizar el uso de recursos, el entendimiento de los objetivos de TI por parte de la
organización, la administración de riesgos y calidad en los sistemas de TI para las
necesidades del negocio.
Procesos del PO

PO1   Definir un Plan Estratégico de TI: El objetivo es lograr un balance óptimo entre
las oportunidades de tecnología de información y los requerimientos de TI de
negocio, para asegurar sus logros futuros.

PO2   Definir la Arquitectura de la Información: El objetivo es satisfacer los

requerimientos de la organización, en cuanto al manejo y gestión de los sistemas de
información, a través de la creación y mantenimiento de un modelo de información
de la organización.

PO3   Determinar la dirección tecnológica: El objetivo es aprovechar al máximo la

tecnología disponible o tecnología emergente, satisfaciendo los requerimientos de la
organización, a través de la creación y mantenimiento de un plan de infraestructura
tecnológica.

PO4   Definir la Organización y Relaciones de TI: El objetivo es la prestación de

servicios de TI, por medio de una organización conveniente en número y
habilidades, con tareas y responsabilidades definidas y comunicadas.

PO5   Manejar la Inversión en TI: El objetivo es la satisfacción de los requerimientos

de la organización, asegurando el financiamiento y el control de desembolsos de
recursos financieros.

PO6   Comunicar las directrices y aspiraciones gerenciales: El objetivo es asegurar el

conocimiento y comprensión de los usuarios sobre las aspiraciones de la gerencia, a
través de políticas establecidas y transmitidas a la comunidad de usuarios,
necesitándose para esto estándares para traducir las opciones estratégicas en reglas
de usuario prácticas y utilizables.

PO7   Administrar Recursos Humanos: El objetivo es maximizar las contribuciones

del personal a los procesos de TI, satisfaciendo así los requerimientos de negocio, a
través de técnicas sólidas para administración de personal.

PO8   Asegurar el cumplir Requerimientos Externos: El objetivo es cumplir con

obligaciones legales, regulatorias y contractuales, para ello se realiza una
identificación y análisis de los requerimientos externos en cuanto a su impacto en TI,
llevando a cabo las medidas apropiadas para cumplir con ellos.

PO9   Evaluar Riesgos: El objetivo es asegurar el logro de los objetivos de TI y

responder a las amenazas hacia la provisión de servicios de TI, mediante la
participación de la propia organización en la identificación de riesgos de TI y en el
análisis de impacto, tomando medidas económicas para mitigar los riesgos.

PO10 Administrar proyectos: El objetivo es establecer prioridades y entregar

servicios oportunamente y de acuerdo al presupuesto de inversión, para ello se
realiza una identificación y priorización de los proyectos en línea con el plan
operacional por parte de la misma organización. Además, la organización deberá
adoptar y aplicar sólidas técnicas de administración de proyectos para cada proyecto
emprendido.
PO11 Administrar Calidad: El objetivo es satisfacer los requerimientos del cliente.,
mediante una planeación, implementación y mantenimiento de estándares y
sistemas de administración de calidad por parte de la organización.

Dominio Adquirir e Implementar (AI): Con el fin de cumplir una estrategia de TI, las
soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas, como
también implementadas e integradas en los procesos del negocio. Además, el
cambio y el mantenimiento de los sistemas existentes serán cubiertos para
garantizar que las soluciones sigan satisfaciendo los objetivos del negocio.
La gerencia con este dominio pretende cubrir, que los nuevos proyectos generen
soluciones que satisfagan las necesidades del negocio, que sean entregados en
tiempo y dentro del presupuesto, que los nuevos sistemas una vez implementados
trabajen adecuadamente y que los cambios no afecten las operaciones actuales del
negocio.
Procesos del AI

AI1 Identificar Soluciones: El objetivo es asegurar el mejor enfoque para cumplir con

los requerimientos del usuario, mediante un análisis claro de las oportunidades
alternativas comparadas contra los requerimientos de los usuarios.

AI2 Adquirir y Mantener Software de Aplicación: El objetivo es proporcionar

funciones automatizadas que soporten efectivamente la organización mediante
declaraciones específicas sobre requerimientos funcionales y operacionales, y una
implementación estructurada con entregables claros.

AI3 Adquirir y Mantener Arquitectura de TI: El objetivo es proporcionar las

plataformas apropiadas para soportar aplicaciones de negocios mediante la
realización de una evaluación del desempeño del hardware y software, la provisión
de mantenimiento preventivo de hardware y la instalación, seguridad y control del
software del sistema.

AI4 Desarrollar y Mantener Procedimientos relacionados con TI: El objetivo es

asegurar el uso apropiado de las aplicaciones y de las soluciones tecnológicas
establecidas, mediante la realización de un enfoque estructurado del desarrollo de
manuales de procedimientos de operaciones para usuarios, requerimientos de
servicio y material de entrenamiento.

AI5 Instalar y Acreditar Sistemas: El objetivo es verificar y confirmar que la solución

sea adecuada para el propósito deseado mediante la realización de una migración
de instalación, conversión y plan de aceptaciones adecuadamente formalizadas.
AI6 Administrar Cambios: El objetivo es minimizar la probabilidad de interrupciones,
alteraciones no autorizadas y errores, mediante un sistema de administración que
permita el análisis, implementación y seguimiento de todos los cambios requeridos y
llevados a cabo a la infraestructura de TI actual.

Dominio Entregar y Dar Soporte (DS): Involucra la entrega en sí de los servicios

requeridos, incluyendo la prestación del servicio, la administración de la seguridad y
de la continuidad, el soporte a los usuarios del servicio, la administración de los
datos y de las instalaciones operativas.
El objetivo es lograr que los servicios de TI se entreguen de acuerdo con las
prioridades del negocio, la optimización de costos, asegurar que la fuerza de trabajo
utilice los sistemas de modo productivo y seguro, implantar de forma correcta la
confidencialidad, la integridad y la disponibilidad.
Procesos del DS

DS1 Definir niveles de servicio: El objetivo es establecer una comprensión común del

nivel de servicio requerido, mediante el establecimiento de convenios de niveles de
servicio que formalicen los criterios de desempeño contra los cuales se medirá la
cantidad y la calidad del servicio.

DS2 Administrar Servicios de Terceros: El objetivo es asegurar que las tareas y

responsabilidades de las terceras partes estén claramente definidas, que cumplan y
continúen satisfaciendo los requerimientos, mediante el establecimiento de
medidas de control dirigidas a la revisión y monitoreo de contratos y procedimientos
existentes, en cuanto a su efectividad y suficiencia, con respecto a las políticas de la
organización.

DS3 Administrar Desempeño y Calidad: El objetivo es asegurar que la capacidad

adecuada está disponible y que se esté haciendo el mejor uso de ella para alcanzar
el desempeño deseado, realizando controles de manejo de capacidad y desempeño
que recopilen datos y reporten acerca del manejo de cargas de trabajo, tamaño de
aplicaciones, manejo y demanda de recursos.

DS4 Asegurar Servicio Continuo: El objetivo es mantener el servicio disponible de

acuerdo con los requerimientos y continuar su provisión en caso de interrupciones,
mediante un plan de continuidad probado y funcional, que esté alineado con el plan
de continuidad del negocio y relacionado con los requerimientos de negocio.
DS5 Garantizar la Seguridad de Sistemas: El objetivo es salvaguardar la información
contra usos no autorizados, divulgación, modificación, daño o pérdida, realizando
controles de acceso lógico que aseguren que el acceso a sistemas, datos y
programas está restringido a usuarios autorizados.

DS6 Identificar y Asignar Costos: El objetivo es asegurar un conocimiento correcto

atribuido a los servicios de TI realizando un sistema de contabilidad de costos que
asegure que éstos sean registrados, calculados y asignados a los niveles de detalle
requeridos.

DS7 Capacitar Usuarios: El objetivo es asegurar que los usuarios estén haciendo un

uso efectivo de la tecnología y estén conscientes de los riesgos y responsabilidades
involucrados realizando un plan completo de entrenamiento y desarrollo.

DS8 Asistir a los Clientes de TI: El objetivo es asegurar que cualquier problema

experimentado por los usuarios sea atendido apropiadamente realizando una mesa
de ayuda que proporcione soporte y asesoría de primera línea.

DS9 Administrar la Configuración: El objetivo es dar cuenta de todos los

componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia física
y proporcionar una base para el sano manejo de cambios realizando controles que
identifiquen y registren todos los activos de TI así como su localización física y un
programa regular de verificación que confirme su existencia.

DS10 Administrar Problemas e Incidentes: El objetivo es asegurar que los problemas

e incidentes sean resueltos y que sus causas sean investigadas para prevenir que
vuelvan a suceder implementando un sistema de manejo de problemas que registre
y haga seguimiento a todos los incidentes.

DS11 Administrar Datos: El objetivo es asegurar que los datos permanezcan

completos, precisos y válidos durante su entrada, actualización, salida y
almacenamiento, a través de una combinación efectiva de controles generales y de
aplicación sobre las operaciones de TI.

DS12 Administrar Instalaciones: El objetivo es proporcionar un ambiente físico

conveniente que proteja el equipo y al personal de TI contra peligros naturales
(fuego, polvo, calor excesivo) o fallas humanas lo cual se hace posible con la
instalación de controles físicos y ambientales adecuados que sean revisados
regularmente para su funcionamiento apropiado definiendo procedimientos que
provean control de acceso del personal a las instalaciones y contemplen su
seguridad física.
DS13 Administrar Operaciones: El objetivo es asegurar que las funciones
importantes de soporte de TI estén siendo llevadas a cabo regularmente y de una
manera ordenada a través de una calendarización de actividades de soporte que sea
registrada y completada en cuanto al logro de todas las actividades.

Dominio Monitorear y Evaluar (ME): La totalidad de los procesos de TI deben de ser

evaluados regularmente en el tiempo, para conocer su calidad y cumplimiento de los
requerimientos de control. Este dominio incluye la administración del desempeño, el
monitoreo del control interno, el cumplimiento regulatorio y la aplicación del
gobierno.
Con esto se obtendrá de manera oportuna la detección de problemas por medio de
la medición del desempeño, se garantiza que los controles internos sean efectivos y
eficientes, la vinculación del desempeño de TI con las metas del negocio, así como la
medición y reporte de riesgos, además del control, cumplimiento y desempeño.
Otro concepto calve de COBIT, es la determinación y la mejora sistemática de la
madurez del proceso, el cual tiene 7 niveles (0 al 5) para medir el nivel de madurez
de los procesos de TI:
0. Inexistente: No existe información alguna, no conocimiento sobre el gobierno de
TI.
1. Inicial / ad hoc: En el proceso existen tareas indefinidas, pero hay confianza en la
iniciativa.
2. Repetible pero intuitivo: El proceso cuenta con personal de calidad y tareas
definidas.
3. Definido: Proceso definido e institucionalizado, cuenta con política, estándares y
procedimiento establecidos.
4. Gestionable y medible: El proceso tiene estructuras de control completas y
análisis del desempeño.
5. Optimizado: Los procesos se han refinado hasta un nivel de mejor práctica, se
basan en los resultados de mejoras continuas y en un modelo de madurez con otras
empresas.
Procesos del M

M1 Monitorear los procesos: El objetivo es asegurar el logro de los objetivos

establecidos para los procesos de TI, lo cual se logra definiendo por parte de la
gerencia reportes e indicadores de desempeño gerenciales y la implementación de
sistemas de soporte, así como la atención regular a los reportes emitidos.

M2 Evaluar lo adecuado del control interno.: El objetivo es asegurar el logro de los

objetivos de control interno establecidos para los procesos de TI.

M3 Obtener aseguramiento independiente: El objetivo es incrementar los niveles de

confianza entre la organización, clientes y proveedores externos. Este proceso se
lleva a cabo a intervalos regulares de tiempo.

M4 Proveer auditoría independiente: El objetivo es incrementar los niveles de

confianza y beneficiarse de recomendaciones basadas en mejores prácticas de su
implementación, lo que se logra con el uso de auditorías independientes
desarrolladas a intervalos regulares de tiempo.

3. REQUERIMIENTOS DE CERTIFICACIÓN

 Gobernabilidad

 Gestión o mejora de procesos o gestión de servicios

 Experiencia en áreas de TI.

 Conocimientos básicos en inglés sobre todo en lectura

4. VALORES DE CERTIFICACIÓN E IMPLEMENTACIÓN EN COLOMBIA

Precio Presencial: $ 2.034.900

Precio Modalidad Online: $ 1.424.430

 5. ESTADÍSTICAS DE IMPLEMENTACIÓN EN A NIVEL INTERNACIONAL Y
COLOMBIA

Red Europea de Operadores de Sistemas de Transmisión de Electricidad (ENTSO-E)

11 de abril de 2016

El director de TI de la Red Europea de Operadores de Sistemas de Transmisión de

Electricidad (ENTSO-E) emprendió un enfoque pragmático hacia la implementación
de COBIT 5 en la organización a partir de 2014. Adoptando un enfoque práctico
hacia la implementación de un programa de gobierno de TI empresarial (GEIT) en
COBIT 5, ENTSO-E se enfocó en priorizar los procesos, el desarrollo de estos
procesos y, lo más importante, los problemas prácticos a superar durante la
implementación de una nueva forma de trabajo.

Ministerio de Recursos Humanos Sultanato de Omán

22 de febrero de 2016

Como parte de un mandato para implementar un proyecto nacional de

infraestructura de TI y supervisar todos los proyectos relacionados con la
implementación de la Estrategia Digital Omán, al tiempo que proporciona liderazgo
profesional a varias otras iniciativas de gobierno electrónico del Sultanato de Omán,
el departamento de seguridad de la red y la información del Ministerio de Recursos
Humanos y el departamento de desarrollo de sistemas y aplicaciones se propuso
implementar un sistema de gestión de seguridad de la información en todo el
Ministerio. Se revisaron categórica y sistemáticamente varias opciones para
implementar el gobierno de TI y los marcos disponibles y, finalmente, el grupo de
ingeniería de procesos (PEG) recomendó COBIT 5, específicamente sus 5 principios,
como la solución para la implementación de GEIT.

Aduanas de Dubai

18 enero 2016

La Aduana de Dubai es responsable de facilitar el comercio y ayuda a asegurar la

integridad de las fronteras de Dubai contra los intentos de contrabando. Para apoyar
los objetivos comerciales de manera efectiva, se alienta a los departamentos
individuales dentro de la Aduana de Dubai a buscar, prepararse e implementar las
mejores prácticas globales que son relevantes para esa división específica por sí
mismos. A lo largo de los años, la Aduana de Dubai ha utilizado una serie de marcos
y cada uno es administrado por departamentos individuales dentro de la
organización. La administración de Aduanas de Dubai determinó que sería mejor
tener un marco y un sistema de gobernanza integrados que funcionen en toda la
organización y que puedan conectar todas las mejores prácticas implementadas en
la organización y entregar valor a toda la organización. COBIT 5 fue acordado como
el marco preferido.

Grupo Generali – Estados Unidos

2 de noviembre de 2015

En una empresa global, además de las diferentes percepciones de las unidades de

negocio, también hay un problema adicional que debe abordarse: el idioma. Cuando
se define una metodología de auditoría, debe tenerse en cuenta la diversidad de
partes interesadas. Uno de los aspectos más importantes del trabajo de un auditor
es tratar de definir un marco común y un lenguaje común para todos los auditores
de TI. Ese era el objetivo principal de la metodología de auditoría de TI desarrollada
en el caso del Grupo Generali.

Al Rahji Bank Riad, Arabia Saudita

10 agosto 2015

Fundado en 1957, Al Rajhi Bank es uno de los bancos islámicos más grandes del
mundo con activos totales de SR 288 mil millones (US $ 76.8 mil millones), un capital
desembolsado de US $ 4.3 mil millones y una base de empleados de más de 8,400
asociados. Con una base establecida en Riad, Arabia Saudita, Al Rajhi Bank tiene una
vasta red de más de 500 sucursales, más de 100 sucursales dedicadas para damas,
más de 4,030 cajeros automáticos (ATM), 36,000 terminales de punto de venta
(POS) instalado con comerciantes y la mayor base de clientes de cualquier banco en
el reino, además de 130 centros de remesas en todo el reino.

Municipio de Arabia Saudita

25 de mayo de 2015

El Municipio de la Región Oriental (MER) con sede en Dammam, Arabia Saudita, es

una institución gubernamental que existe desde hace 50 años. Su objetivo principal
es servir a los ciudadanos dentro del alcance de su región. Algunos de los servicios
más destacados prestados a los ciudadanos son atención médica, saneamiento,
agua, electricidad, carreteras y escuelas, entre otros. Estos servicios se brindan a 7
millones de residentes. Toda la información relacionada con estos 7 millones de
ciudadanos es administrada por el departamento de TI del municipio.

Autoridad de Administración Electrónica del Reino de Bahrein

18 de mayo de 2015

La Autoridad de Administración Electrónica del Reino de Bahrein se centra en

garantizar la prestación efectiva de servicios gubernamentales a ciudadanos,
residentes, empresas y visitantes (colectivamente, los clientes). El objetivo es
mejorar la vida de los ciudadanos de una nación haciendo mucho más que
simplemente implementar tecnología.

Grupo de sistemas de información Australia

4 de mayo de 2015

Después de la revisión, se le preguntó a la consultora cómo abordaría estas brechas

y por qué hacerlo generaría beneficios para la empresa. ISO 27001 se refiere al
dominio de la seguridad, y aunque es importante, es solo una de las muchas áreas
de negocios modernas que deben abordarse. El cliente había identificado que
también quería dirigirse a la Biblioteca de Infraestructura de Tecnología de la
Información (ITIL), y tenía una iniciativa de control de acceso existente que tenía un
buen patrocinio. Por último, la división de auditoría interna del cliente usó COBIT y
fue un patrocinador importante para la implementación de ISO 27001. En
consecuencia, hubo un deseo de comprender cómo todas estas iniciativas
competitivas podrían funcionar juntas de manera práctica.

Anónimo: una organización que ofrece servicios de impresión gestionados y

soluciones de documentos - México

20 de abril de 2015

La idea inicial era elegir una forma alternativa de ejecutar el ejercicio; aprender de
los errores anteriores, revisar el enfoque y las estrategias originales, y combinar
diferentes técnicas y métodos, aplicados de manera integrada y simple, para
generar la planificación estratégica actualizada de la empresa. Pero esta vez, el
ejercicio agregaría una variante particular: conceptos de COBIT 5, específicamente, 2
de los 5 principios y los 7 habilitadores, para reforzar conceptos importantes entre el
grupo ejecutivo y otras áreas organizacionales.

Sitio web de comercio electrónico - Nigeria

16 de marzo de 2015

Una empresa con sede en Lagos, Nigeria, está en el negocio de ventas y distribución
de su marca de zapatos a través de puntos de venta físicos en el área de Lagos. En
un intento por expandir sus operaciones a áreas fuera de sus puntos de venta físicos
y también para tener una mejor presentación competitiva en el mercado nigeriano,
los tomadores de decisiones de la empresa decidieron usar Internet como la
plataforma elegida para satisfacer esta necesidad.

Para poder gestionar los desafíos (factores de riesgo) de manera efectiva al tiempo
que optimiza los costos y sigue creando valor para todos los interesados, la empresa,
con la asistencia de una consultoría, decidió buscar orientación en el marco de
COBIT 5. Las necesidades de la empresa giraron en torno a obtener beneficios de
administrar el sitio web de comercio electrónico utilizando recursos óptimos y
asegurarse de que se gestionen todos los riesgos asociados con el alojamiento del
sitio en Internet.

Agencia del gobierno del estado de Nueva York

19 enero 2015

Imagine estar en la planta baja de una nueva agencia gubernamental en los EE. UU.,
Concebida por primera vez en 1994 e implementada en 2012, con la responsabilidad
inicial de desarrollar un sistema de información que eventualmente procese más de
$ 1 mil millones en pagos mensuales, produzca informes en toda la empresa, e
implementarse como Software como Servicio (SaaS) para más de 85,000 usuarios en
72 agencias externas y por más de 100,000 proveedores. Además, imagine que su
responsabilidad incluía garantizar que la incipiente empresa cumpliera esta misión
mientras seguía sus procesos y procedimientos documentados.

Tokio Marine & Nichido Systems

24 de noviembre de 2014
Tokio Marine & Nichido Systems (TMN Systems) implementó recientemente un
sistema de gobierno, riesgo y cumplimiento (GRC) basado en COBIT 5, que permite a
la organización crear un valor significativo para sus partes interesadas, así como
optimizar el riesgo y los recursos para la creación de valor. La evolución de COBIT al
concepto de "gobernanza y gestión de TI empresarial (GEIT)" hizo que TMN Systems
se moviera hacia COBIT 5 en busca de orientación.

Ecopetrol SA - Colombia

Julio 2014

Como parte de una estrategia actualizada, Ecopetrol SA, una compañía energética
integrada verticalmente, comenzó una transformación corporativa con los objetivos
de crecimiento y fortalecimiento de su sistema de control interno. Sabía que
necesitaba un enfoque claro para la gobernanza y la gestión de los servicios de TI, así
como los mejores estándares de referencia globales y un marco, por lo que utilizó
los marcos del Comité de Organizaciones Patrocinadoras de la Comisión Treadway
(COSO) y COBIT, que ayudaron a consolidar una sólida gobernanza de TI prácticas
totalmente alineadas con las iniciativas corporativas de control interno.

Bancolombia – Colombia

Bancolombia utiliza CoBiT para abordar de manera proactiva las auditorías internas
y externas y el cumplimiento de operación de riesgo, ya que busco adoptar y aplicar
un sistema de control interno de gestión que ayudara a garantizar el cumplimiento
del mismo.

HDFC Bank - Mumbai

Enero 2014

Como uno de los primeros en adoptar COBIT 4.1, el viaje de gobierno de TI de HDFC
Bank comenzó hace casi seis años, cuando se acaba de presentar COBIT 4.1. Casi
todos los 34 procesos de TI definidos en COBIT 4.1 fueron adoptados por el banco.

Tras la introducción de COBIT 5 en abril de 2012, HDFC Bank se tomó un tiempo para
considerar una migración. Debido a que el banco ha implementado con éxito COBIT
4.1 con gran beneficio, no migrará inmediatamente a COBIT 5. Sin embargo, los siete
habilitadores introducidos por COBIT 5 fueron adoptados intuitivamente por HDFC
Bank incluso antes de que se popularizaran en COBIT 5.
 BIBLIOGRAFÍA

MARIOZAN, 17 mayo 2015 Historia Cobit, en:

(https://chaui201511701014974.wordpress.com/2015/05/17/historia-cobit/ )

COBIT (Objetivos de Control para la Información y Tecnologías Relacionadas) en:

(https://sites.google.com/site/auditoriaeninformaticacun/cobit/dominios-y-procesos )

Isaca, 27 septiembre 2016, ¿QUÉ ES COBIT Y PARA QUE SIRVE? En: (https://nextech.pe/que-
es-cobit-y-para-que-sirve/)

EUD, Gestión y Gobierno TI, en:

(https://www.egresadosudistrital.edu.co/index.php/capacitaciones/gestion-y-gobierno-
ti/c-)fundamentos-cobit#pre-requisitos