COBIT

INTRODUCCIÓN

Existe una creciente preocupación en la alta dirección de todas las organizaciones,

públicas o privadas, acerca de las actividades de la función IT.  Hoy en día, el papel que
juegan las TICs en las organizaciones es cada vez más vital, no solo para mantener la
competitividad, sino para garantizar las operaciones diarias.

En el sector privado, los consejos de administración de las empresas son conscientes de

que una parada en sus sistemas significa una pérdida inmediata de los ingresos de la
compañía. En el sector público se reconocen las TI como factor necesario para prestar
un servicio público de calidad. En ambos casos, existe una marcada sensibilidad a
la relación entre el correcto funcionamiento de los servicios TI y la imagen pública de
la organización.

Asimismo, la dirección se ve en la necesidad de justificar el valor de las importantes

inversiones en las TICs, asegurar el cumplimiento normativo a la vez que se minimizan
los riesgos en un entorno sujeto a amenazas internas y externas.

Todos estos factores han propiciado la aparición de modelos, metodologías y prácticas

dirigidas a garantizar un mejor gobierno o un rendimiento más óptimo de las TIC en las
organizaciones. Algunas de estas prácticas han sido desarrolladas por la propia
dirección de las áreas IT mientras que otras externas tienen como propósito el control
externo de las propias unidades TIC. Entre las prácticas más aceptadas podemos situar a
COBIT.

DEFINICIÓN

El COBIT es precisamente un modelo para auditar la gestión y control de los sistemas

de información y tecnología, orientado a todos los sectores de una organización, es
decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el
proceso. El COBIT es un modelo de evaluación y monitoreo que enfatiza en el control
de negocios y la seguridad IT y que abarca controles específicos de IT desde una
perspectiva de negocios.
Las siglas COBIT significan Objetivos de Control para Tecnología de Información y
Tecnologías relacionadas (Control Objectives for Information Systems and related
Technology). El modelo es el resultado de una investigación con expertos de varios
países, desarrollado por ISACA (Information Systems Audit and Control Association).
COBIT se aplica a los sistemas de información de toda la empresa, incluyendo los
computadores personales y las redes. Está basado en la filosofía de que los recursos TI
necesitan ser administrados por un conjunto de procesos naturalmente agrupados para
proveer la información pertinente y confiable que requiere una organización para lograr
sus objetivos.

HISTORIA

En 1996, la primera edición de COBIT fue publicada. Esta incluía la colección y

análisis de fuentes internacionales reconocidas y fue realizada por equipos en Europa,
Estados Unidos y Australia.
En 1998, fue publicada la segunda edición; su cambio principal fue la adición de las
guías de gestión. Para el año 2000, la tercera edición fue publicada y en el 2003, la
versión en línea ya se encontraba disponible en el sitio de ISACA.
Fue posterior al 2003 que el marco de referencia de COBIT fue revisado y mejorado
para soportar el incremento del control gerencial, introducir el manejo del desempeño y
mayor desarrollo del Gobierno de TI.
En diciembre de 2005, la cuarta edición fue publicada y en mayo de 2007, se liberó la
versión 4.1.
La versión número 5 de COBIT fue liberada en el año 2012. En esta edición se
consolida e integran los marcos de referencia de COBIT 4.1, Val IT 2.0 y Risk IT. Este
nuevo marco de referencia viene integrado principalmente del Modelo de Negocios para
la Seguridad de la Información (BMIS, Business Model for Information Security) y el
Marco de Referencia para el Aseguramiento de la Tecnología de la Información (ITAF,
Information Technology Assurance Framework).

LA EVOLUCIÓN

COBIT nace con la misión de investigar, desarrollar, publicar y promover un conjunto

de objetivos de control de tecnología de información, guías, actualizados,
internacionales y aceptados para ser utilizados diariamente por gerentes de negocio y
auditores.
Su misión es consolidarse como líder mundialmente reconocido en materia de gobierno,
control y aseguramiento de la gestión de TI.
En 1992 comenzó la actualización de los objetivos de control de ISACA y, en 1996,
ISACA proporcionó a los profesionales de TI un marco de prácticas control de la TI
generalmente aplicables y aceptadas.

 COBIT1 (1996): Audit
 COBIT2 (1998): Control
 COBIT3 (2000): Management
 COBIT4 (2005/2007):
IT Governance
Val IT 2.0
Risk IT
 COBIT5 (2012): Governance of Enterprise IT

PRINCIPIOS DE COBIT 5

1. Satisfacer las necesidades de las partes interesadas.

2. Cubrir la Organización de forma integral.
3. Aplicar un solo marco integrado.
4. Habilitar un enfoque holístico.
5. Separar el Gobierno de la Administración.
MISIÓN DEL COBIT

Buscar, desarrollar, publicar y promover un autoritario y actualizado conjunto

internacional de objetivos de control de tecnologías de la información, generalmente
aceptadas, para el uso diario por parte de gestores de negocio y auditores.

BENEFICIOS COBIT

 Mejor alineación basado en una focalización sobre el negocio.

 Visión comprensible de TI para su administración.
 Clara definición de propiedad y responsabilidades.
 Aceptabilidad general con terceros y entes reguladores.
 Entendimiento compartido entre todos los interesados basados en un lenguaje
común.
 Cumplimiento global de los requerimientos de TI planteados en el Marco de
Control Interno de Negocio COSO.

ESTRUCTURA
La estructura del modelo COBIT propone un marco de acción donde se evalúan los
criterios de información, como por ejemplo la seguridad y calidad, se auditan los
recursos que comprenden la tecnología de información, como por ejemplo el recurso
humano, instalaciones, sistemas, entre otros, y finalmente se realiza una evaluación
sobre los procesos involucrados en la organización.
“La adecuada implementación de un modelo COBIT en una organización, provee una
herramienta automatizada, para evaluar de manera ágil y consistente el cumplimiento de
los objetivos de control y controles detallados, que aseguran que los procesos y recursos
de información y tecnología contribuyen al logro de los objetivos del negocio en un
mercado cada vez más exigente, complejo y diversificado.

DOMINIOS COBIT

SOn 4
dominios

Procesar planificación y organización de

las TI (11p) (Dominio 1)

<<include>>

Procesar la adquision e implementacion

de la TI (6p) (Dominio 2)

<<include>>
Auditores de TI
Area de Ventas en Computer House
SAC

Procesar prestaciones y sorporte de TI

(13p) (Dominio 3)

<<i nclude>>

Procesar monitoreo y control de TI (4p)

(Dominio 4)

El conjunto de lineamientos y estándares internacionales conocidos como COBIT,

define un marco de referencia que clasifica los procesos de las unidades de tecnología
de información de las organizaciones en cuatro “dominios” principales, a saber:
 PLANIFICACION Y ORGANIZACION: Este dominio cubre la estrategia y
las tácticas y se refiere a la identificación de la forma en que la tecnología de
información puede contribuir de la mejor manera al logro de los objetivos del
negocio. Además, la consecución de la visión estratégica necesita ser planeada,
comunicada y administrada desde diferentes perspectivas. Finalmente, deberán
establecerse una organización y una infraestructura tecnológica apropiadas.
  ADQUISION E IMPLANTACION: Para llevar a cabo la estrategia de TI, las
soluciones de TI deben ser identificadas, desarrolladas o adquiridas, así como
implementadas e integradas dentro del proceso del negocio. Además, este
dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.
 SOPORTE Y SERVICIOS: En este dominio se hace referencia a la entrega de
los servicios requeridos, que abarca desde las operaciones tradicionales hasta el
entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de
proveer servicios, deberán establecerse los procesos de soporte necesarios. Este
dominio incluye el procesamiento de los datos por sistemas de aplicación,
frecuentemente clasificados como controles de aplicación.
 MONITOREO: Todos los procesos necesitan ser evaluados regularmente a
través del tiempo para verificar su calidad y suficiencia en cuanto a los
requerimientos de control.
Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los aspectos
de información, como de la tecnología que la respalda. Estos dominios y objetivos de
control facilitan que la generación y procesamiento de la información cumplan con las
características de efectividad, eficiencia, confidencialidad, integridad, disponibilidad,
cumplimiento y confiabilidad.

USUARIOS

 La Gerencia: Para apoyar sus decisiones de inversión en TI y control sobre el

rendimiento de las mismas, analizar el costo beneficio del control.
 Los Usuarios Finales: Quienes obtienen una garantía sobre la seguridad y el
control de los productos que adquieren interna y externamente.
 Los Auditores: Para soportar sus opiniones sobre los controles de los proyectos
de TI, su impacto en la organización y determinar el control mínimo requerido.
 Los responsables de TI: Para identificar los controles que requieren en sus
áreas.
También puede ser utilizado dentro de las empresas por el responsable de un
proceso de negocio en su responsabilidad de controlar los aspectos de información
del proceso, y por todos aquellos con responsabilidades en el campo de la TI en las
empresas.
CARACTERÍSTICAS

Queremos hablarles de las características de cobit en esta ocasión que llegan a ser
grandes ventajas. COBIT se aplica a los sistemas de información de toda la empresa,
incluyendo las mini computadoras, computadoras personales y ambientes distribuidos.
Está basado en la filosofía de que los recursos de TI necesitan ser administrados por un
conjunto de procesos naturalmente agrupados para proveer la información pertinente y
confiable que requiere una organización para lograr sus objetivos.

 Ha sido diseñado como un estándar habitualmente aceptado y ajustable a las

buenas prácticas de seguridad y control en TIC.
 Suministra herramientas al responsable de los procesos que facilitan el
cumplimiento de esta tarea.
 Tiene una premisa práctica y simple: con el fin de facilitar la información que la
organización requiere para alcanzar sus objetivos, señala que los recursos de TIC
deben ser administrados por un conjunto de procesos de TIC agrupados en
forma natural.
 Es la herramienta innovadora para el manejo de TIC que ayuda a la gerencia a
comprender y administrar los riesgos asociados con TIC
 Ayuda a proteger las brechas existentes entre necesidades de control, riesgos de
negocio y aspectos técnicos. Proporciona “prácticas sanas” por medio de un
Marco Referencial de dominios y procesos; presenta actividades en una
estructura manejable y lógica.
 Las prácticas sanas de COBIT representan el consenso de los expertos.
 Está desarrollado no solo para ser utilizado por usuarios y auditores, sino que, en
forma más importante, está diseñado para ser utilizado como un Check List
detallado para los responsables de cada proceso.

VENTAJAS
 Suministra un lenguaje común que le permite a los ejecutivos de negocios
comunicar sus metas, objetivos y resultados con Auditores, IT y otros
profesionales.
  Proporciona las mejores prácticas y herramientas para monitorear y gestionar las
actividades de IT.
 Protege la información, es decir lograr la confidencialidad de la información.
 Disponibilidad de la información cuando ésta se requiere por el proceso de
negocio en todo momento.
 COBIT proporciona las directrices para tomar las decisiones en la realización de
servicios. 
 Este marco de referencia proporciona roles y responsabilidades. 
 Proporciona la optimización de los costos de las TI. 
 Este marco no obliga a adoptar todos los procesos. 
 COBIT integra auditorias, analiza todo su proceso atreves de las auditorias. 

DESVENTAJAS 

 COBIT resulta un modelo ambicioso que requiere de profundidad en el estudio.

 Se requiere de un esfuerzo de la organización, para adoptar los estándares.
 No existe en la bibliografía resultados de la experiencia práctica de los países en
la implementación de este modelo que lo hagan medible.
 Se requiere un cambio de cultura en las personas que hacen el servicio (cambiar
las formas de pensar de las personas). 
 Lleva tiempo ver las reducciones de costos y la mejora en la entrega de los
servicios. 
 Una implementación exitosa implica compromiso del personal a todos los
niveles de la organización.

TENDENCIAS 

 Una vez implementado COBIT los ejecutivos pueden asegurarse de que la

tecnología de la información se encuentre alineados con los objetivos
corporativos de manera eficaz y de que el uso de TI esta correctamente orientado
hacia la obtención de ventajas competitivas.     
 COBIT se dirige a crear servicios para dar valor a las organizaciones. 
 Aplica criterios para la evaluación de sus procesos. 
  Se apoya en el gobierno corporativo.  

NIVELES

Se divide en 3 niveles, los cuales son los siguientes:

 Dominios: Agrupación natural de procesos, normalmente corresponden a un

dominio o una responsabilidad organizacional.
 Procesos: Conjuntos o series de actividades unidas con delimitación o cortes de
control.
 Actividades: Acciones requeridas para lograr un resultado medible.

COMPONENTES COBIT

 Resumen Ejecutivo: Es un documento dirigido a la alta gerencia presentando los

antecedentes y la estructura básica de COBIT Además, describe de manera
general los procesos, los recursos y los criterios de información, los cuales
conforman la "Columna Vertebral" de COBIT.
 Marco de Referencia (Framework): Incluye la introducción contenida en el
resumen ejecutivo y presenta las guías de navegación para que los lectores se
orienten en la exploración del material de COBIT haciendo una presentación
detallada de los 34 procesos contenidos en los cuatro dominios.
 Objetivos de Control: Integran en su contenido lo expuesto tanto en el resumen
ejecutivo como en el marco de referencia y presenta los objetivos de control
detallados para cada uno de los 34 procesos.

PLANEAR Y ORGANIZAR

PO1 Definir el plan estratégico de TI.

PO2 Definir la arquitectura de la información
PO3 Determinar la dirección tecnológica.
PO4 Definir procesos, organización y relaciones de TI.
PO5 Administrar la inversión en TI.
 PO6 Comunicar las aspiraciones y la dirección de la gerencia.
PO7 Administrar recursos humanos de TI.
PO8 Administrar calidad.
PO9 Evaluar y administrar riesgos de TI
PO10 Administrar proyectos.
PO11Administración de Calidad

ADQUIRIR E IMPLANTAR

AI1 Identificar soluciones automatizadas.

AI2 Adquirir y mantener el software aplicativo.
AI3 Adquirir y mantener la infraestructura tecnológica
AI4 Facilitar la operación y el uso.
AI5 Adquirir recursos de TI.
AI6 Administrar cambios.

MONITOREAR Y EVALUAR

ME1 Monitorear y evaluar el desempeño de TI.

ME2 Monitorear y evaluar el control interno
ME3 Garantizar cumplimiento regulatorio.
ME4 Proporcionar gobierno de TI.

PRESTACIÓN Y SOPORTE

DS1 Definir y administrar niveles de servicio.

DS2 Administrar servicios de terceros.
DS3 Administrar desempeño y capacidad.
DS4 Garantizar la continuidad del servicio.
DS5 Garantizar la seguridad de los sistemas.
DS6 Identificar y asignar costos.
DS7 Educar y entrenar a los usuarios.
DS8 Administrar la mesa de servicio y los incidentes.
DS9 Administrar la configuración.
 DS10 Administrar los problemas.
DS11 Administrar los datos.
DS12 Administrar el ambiente físico.
DS13 Administrar las operaciones.

¿POR QUÉ ADOPTAR COBIT Y NO OTROS MARCOS?

 COBIT se enfoca en normas y otros marcos, por ejemplo, la base de COBIT es
ITIL. 
 COBIT abarca los procesos de gobierno y de la organización. 
 Se puede adoptar COBIT en organizaciones que no tiene fines de lucros. 
 COBIT tiene la gestión de riesgos y otros no los tiene. 
 Al ser COBIT reconocida y aceptada internacionalmente como una herramienta
de gestión, su implementación es indicativo de seriedad de una organización. 
 Es más completo y sistemático.
 COBIT ayuda a las organizaciones a crear un valor optimo a partir de la TI, al
mantener un equilibrio entre la realización de beneficios y la optimización de los
niveles de riesgos y utilización de los recursos. 

¿CUÁNDO DEBEMOS ADOPTAR COBIT?

  Se debe adoptar COBIT cuando en una organización sus procesos de TI no se

están llevando adecuadamente, que aún no poseen ningún marco de referencia
para sus procesos. 
 COBIT5 proporciona un marco integral que ayuda a las Organizaciones a lograr
sus metas y entregar valor mediante un gobierno y una administración efectivos
de la TI de la Organización. 

CONCLUSIONES

Si bien COBIT es un marco general, su flexibilidad y versatilidad nos permite adaptarlo

a cualquier tipo y tamaño de empresa, realizando una implementación gradual y
progresiva acorde a los recursos disponibles y acompasando la estrategia empresarial.
Si bien aún no es requerido formalmente en forma regulatoria, es un estándar de facto
en toda Latinoamérica y es una fuerte recomendación en los ámbitos financieros.
Es parte de la misión de ISACA, la divulgación de COBIT y apoyo en la
implementación como forma de promover la eficiencia y buena gestión de los procesos
de tecnología que nos permita compararnos y mejorar día a día en pos de la concreción
de los Objetivos de Negocio.

En el futuro, continuaremos viendo el crecimiento de COBIT en sus facetas de

administración y dirección de los recursos de tecnología. Aparecerán nuevas
herramientas de la familia de productos COBIT y nuevos recursos con los cuales
mejorar la administración. Se continuará refinando el producto en sí, mejorando la
calidad de sus referencias cruzadas, su relacionamiento con otros modelos, estándares y
normas. Se procurará institucionalizar y mejorar la calidad de las versiones en otras
lenguas y, sin duda, continuará el esfuerzo fundamental del ITGI en la difusión del uso
de esta importante base de dirección.