Uso de FrameWorkCobit PDF

Facultad de Ciencias
Gobierno de las Tecnologías de la Información

Máster Universitario en Ingeniería Informática
Curso Académico 2015-2016

PROGRAMACIÓN
• 6 Horas de teoría.
• 1 Hora de prácticas en aula.
• 2 Horas de trabajo en grupo.
• 2 horas de trabajo autónomo.
Bibliografía
CONTENIDOS
• La necesidad de normas y estándares.
• ISO 20000
• ITIL
• ISO 38500
• COBIT
LA NECESIDAD DE NORMAS Y ESTÁNDARES
ISO Y LAS NORMAS ISO
ISO es una organización internacional (International Standard Organization) dedicada
a la elaboración de normas en todos los sectores (excepto el electrónico y el
electrotécnico).
Las normas desarrolladas por ISO son voluntarias, comprendiendo que ISO es un
organismo no gubernamental y no depende de ningún otro organismo internacional,
por lo tanto, no tiene autoridad para imponer sus normas a ningún país.
El contenido de los estándares está protegido por derechos de copyright y para
acceder a ellos el público corriente debe comprar cada documento.
Fuente: https://www.youtube.com/watch?v=NynSQGS16tU
• Las Normas y los estándares aportan a las empresas modelos y procedimientos
que les ayudan a garantizar el buen funcionamiento de todos los departamentos
de la organización.
• La aplicación de normas y estándares ayudan a garantizar la comunicación entre

todos los implicados y abre las puertas para la comunicación exterior.
• El uso de normas y estándares en una organización incrementa la confianza de

los interesados en los resultados de la actividad de la organización.
• Ayudan a analizar el funcionamiento y los resultados de una organización y a

implantar procesos de mejora continua.
¿ CUÁLES UTILIZAR ?
Fuente: https://www.youtube.com/watch?v=AmnSy47qbvE
ISO 20000
¿QUE ES ISO/IEC 20000?
• ISO 20000 es el estándar

reconocido internacionalmente
en gestión de servicios de TI
(Tecnologías de la Información).
• Es un estándar estrechamente
vinculado a ITIL ()
FUENTE: https://www.youtube.com/watch?v=4OguP5_yk0U
ITIL V2
ITIL V2
La Biblioteca de Infraestructura de Tecnologías de Información,
frecuentemente abreviada ITIL (del inglés Information Technology
Infrastructure Library), es:
Un conjunto de conceptos y buenas prácticas para:

• La gestión de servicios de tecnologías de la información,
• El desarrollo de tecnologías de la información y las operaciones
relacionadas con la misma en general.
Que ofrece ITIL:

• Descripciones detalladas de un extenso conjunto de
procedimientos de gestión ideados para ayudar a las
organizaciones a lograr calidad y eficiencia en las operaciones de
TI.
• Estos procedimientos son independientes del proveedor y han
sido desarrollados para servir como guía que abarque toda
infraestructura, desarrollo y operaciones de TI.
ITIL V2
LOS OCHO LIBROS DE ITIL
Gestión de Servicios de TI,

• Mejores prácticas para la Provisión de Servicio
• Mejores prácticas para el Soporte de Servicio
Otras guías operativas

• Gestión de la infraestructura de TI
• Gestión de la seguridad
• Perspectiva de negocio
• Gestión de aplicaciones
• Gestión de activos de software
Para asistir en la implementación de prácticas ITIL, se publicó un libro adicional con

guías de implementación (principalmente de la Gestión de Servicios):
• Planeando implementar la Gestión de Servicios
ITIL V2
SOPORTE AL SERVICIO
El soporte al servicio se
preocupa de de todos
los aspectos que
garanticen:
• La continuidad.
• La disponibilidad.
• La calidad del
servicio prestado al
usuario.
Fuente:
http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/fundamentos_de_la_gestion_TI/vision_general_gestion_servicios_TI/vision_general_gestion_servicios_TI.php
ITIL V2
PROVISION DEL SERVICIO
La provisión del servicio

se ocupa de los servicios
ofrecidos en si mismos:
• Los niveles de servicio.
• La disponibilidad.
• Continuidad
• Su viabilidad
financiera.
• La capacidad
necesaria de la
infraestructura TI.
• Los niveles de
seguridad requeridos
Fuente:
ITIL V2
GESTIÓN DE INCIDENCIAS
La gestión de Incidencias
tiene como objetivo
resolver cualquier incidente
que cause una interrupción
en el servicio de la manera
más rápida y eficaz posible.
Fuente:
ITIL V2
GESTIÓN DE PROBLEMAS
Las funciones principales de la Gestión de

Problemas son:
• Investigar las causas subyacentes a
toda alteración, real o potencial, del
servicio TI.
• Determinar posibles soluciones a las
mismas.
• Proponer las peticiones de cambio
(RFC) necesarias para restablecer la
calidad del servicio.
• Realizar Revisiones Post
Implementación (PIR) para asegurar
que los cambios han surtido los
efectos buscados sin crear problemas
de carácter secundario.
La Gestión de Problemas puede ser:

• Reactiva: Analiza los incidentes
ocurridos para descubrir su causa y
propone soluciones a los mismos.
• Proactiva: Monitoriza la calidad de la
infraestructura TI y analiza su
configuración con el objetivo de
prevenir incidentes incluso antes de
que estos ocurran.
Fuente:
ITIL V2
GESTIÓN DE CONFIGURACIONES
Las cuatro principales funciones de la

Gestión de Configuraciones pueden
resumirse en:
• Llevar el control de todos los
elementos de configuración de la
infraestructura TI con el adecuado
nivel de detalle y gestionar dicha
información a través de la Base de
Datos de Configuración (CMDB).
• Proporcionar información precisa
sobre la configuración TI a todos los
diferentes procesos de gestión.
• Interactuar con las Gestiones de
Incidentes, Problemas , Cambios y
Versiones de manera que estas
puedan resolver más eficientemente
las incidencias, encontrar rápidamente
la causa de los problemas, realizar los
cambios necesarios para su resolución
y mantener actualizada en todo
momento la CMDB.
• Monitorizar periódicamente la
configuración de los sistemas en el
entorno de producción y contrastarla
con la almacenada en la CMDB para
subsanar discrepancias.
Fuente:
ITIL V2
GESTIÓN DE CAMBIOS
Vivimos en una época de continuos cambios.

Tendemos a asociar la idea de cambio con la de
progreso, y aunque esto no sea necesariamente
así, es evidente que toda "evolución a mejor"
requiere necesariamente de un cambio.
Sin embargo, es moneda frecuente encontrarse
con gestores de servicios TI que aún se rigen por
el lema: "si algo funciona, no lo toques". Y
aunque bien es cierto que el cambio puede ser
fuente de nuevos problemas, y nunca debe
hacerse gratuitamente sin evaluar bien sus
consecuencias, puede resultar mucho más
peligroso el estancamiento en servicios y
tecnologías desactualizados.
Las principales razones para la realización de
cambios en la infraestructura TI son:
• Solución de errores conocidos.
• Desarrollo de nuevos servicios.
• Mejora de los servicios existentes.
• Imperativo legal.
El principal objetivo de la Gestión de Cambios es
la evaluación y planificación del proceso de
cambio para asegurar que, si éste se lleva a
cabo, se haga de la forma más eficiente,
siguiendo los procedimientos establecidos y
asegurando en todo momento la calidad y
continuidad del servicio TI.
Fuente:
ITIL V2
GESTIÓN DE VERSIONES
La Gestión de Versiones es la
encargada de la implementación y
control de calidad de todo el software y
hardware instalado en el entorno de
producción.
La Gestión de Versiones debe colaborar
estrechamente con la Gestión de
Cambios y de Configuraciones para
asegurar que toda la información
relativa a las nuevas versiones se
integra adecuadamente en la CMDB de
forma que ésta se halle correctamente
actualizada y ofrezca una imagen real
de la configuración de la infraestructura
TI.
La Gestión de Versiones también debe
mantener actualizada la Biblioteca de
Software Definitivo (DSL), donde se
guardan copias de todo el software en
producción, y el Depósito de Hardware
Definitivo (DHS), donde se almacenan
piezas de repuesto y documentación
para la rápida reparación de problemas
de hardware en el entorno de
producción.
Fuente:
ITIL V2
GESTIÓN DE NIVELES DE SERVICIO
El objetivo último de la Gestión de

Niveles de Servicio es poner la
tecnología al servicio del cliente.
La tecnología, al menos en lo que
respecta a la gestión de servicios TI, no
es un fin en sí misma sino un medio
para aportar valor a los usuarios y
clientes.
La Gestión de Niveles de Servicio debe
velar por la calidad de los servicios TI
alineando tecnología con procesos de
negocio y todo ello a unos costes
razonables.
Para cumplir sus objetivos es
imprescindible que la Gestión de
Niveles de Servicio:
• Conozca las necesidades de sus
clientes.
• Defina correctamente los servicios
ofrecidos.
• Monitorice la calidad del servicio
respecto a los objetivos
establecidos en los SLAs.
Fuente:
ITIL V2
GESTIÓN FINANCIERA
Aunque casi todas las empresas y

organizaciones utilizan las tecnologías de la
información en prácticamente todos sus
procesos de negocio es moneda corriente
que no exista una conciencia real de los
costes que esta tecnología supone.
Esto conlleva serias desventajas:
• Se desperdician recursos tecnológicos.
• No se presupuestan correctamente los
gastos asociados.
• Es prácticamente imposible establecer
una política consistente de precios.
El principal objetivo de la Gestión Financiera
es el de evaluar y controlar los costes
asociados a los servicios TI de forma que se
ofrezca un servicio de calidad a los clientes
con un uso eficiente de los recursos TI
necesarios.
Si la organización TI y/o sus clientes no son
conscientes de los costes asociados a los
servicios no podrán evaluar el retorno a la
inversión ni podrán establecer planes
consistentes de inversión tecnológica.
Fuente:
ITIL V2
GESTIÓN DE LA CAPACIDAD
La Gestión de la Capacidad es la encargada

de que todos los servicios TI se vean
respaldados por una capacidad de proceso
y almacenamiento suficiente y
correctamente dimensionada.
Sin una correcta Gestión de la Capacidad
los recursos no se aprovechan
adecuadamente y se realizan inversiones
innecesarias que acarrean gastos
adicionales de mantenimiento y
administración. O aún peor, los recursos son
insuficientes con la consecuente
degradación de la calidad del servicio.
Entre las responsabilidades de la Gestión
de la Capacidad se encuentran:
Asegurar que se cubren las necesidades de
capacidad TI tanto presentes como futuras.
Controlar el rendimiento de la
infraestructura TI.
Desarrollar planes de capacidad asociados
a los niveles de servicio acordados.
Gestionar y racionalizar la demanda de
servicios TI.
Fuente:
ITIL V2
GESTIÓN DE LA CONTINUIDAD
La Gestión de la Continuidad del Servicio se

preocupa de impedir que una imprevista y
grave interrupción de los servicios TI, debido
a desastres naturales u otras fuerzas de
causa mayor, tenga consecuencias
catastróficas para el negocio.
La estrategia de la Gestión de la
Continuidad del Servicio (ITSCM) debe
combinar equilibradamente procedimientos:
Proactivos: que buscan impedir o minimizar
las consecuencias de una grave
interrupción del servicio.
Reactivos: cuyo propósito es reanudar el
servicio tan pronto como sea posible (y
recomendable) tras el desastre.
La ITSCM requiere una implicación especial
de los agentes involucrados pues sus
beneficios sólo se perciben a largo plazo, es
costosa y carece de rentabilidad directa.
Implementar la ITSCM es como contratar un
seguro médico: cuesta dinero, parece inútil
mientras uno está sano y desearíamos
nunca tener que utilizarlo, pero tarde o
temprano nos alegramos de haber sido
previsores.
Fuente:
ITIL V2
GESTIÓN DE LA DISPONIBILIDAD
Nuestras vidas, tanto personales como

profesionales, dependen cada vez más de
la tecnología. Ésta nos permite acceder a la
información y a los servicios a una velocidad
que ni siquiera podríamos haber soñado
hace unos pocos años.
Nuestro ritmo de vida se acelera y exigimos
como clientes una disponibilidad absoluta
de nuestros proveedores tecnológicos. Con
frecuencia una oferta diferente sólo se
encuentra a un par de clics de distancia.
Por otro lado, el rápido desarrollo
tecnológico implica una constante
renovación de equipos y servicios. Como
proveedores nos enfrentamos al reto de
evolucionar sin apenas margen para el error
pues nuestros sistemas han de encontrarse
a disposición del cliente prácticamente
24/7.
La Gestión de la Disponibilidad es
responsable de optimizar y monitorizar los
servicios TI para que estos funcionen
ininterrumpidamente y de manera fiable,
cumpliendo los SLAs y todo ello a un coste
razonable. La satisfacción del cliente y la
rentabilidad de los servicios TI dependen en
gran medida de su éxito.
Fuente:
ITIL V2
GESTIÓN DE LA SEGURIDAD
La Gestión de la Seguridad de la Información se

remonta al albor de los tiempos. La criptología o la
ciencia de la confidencialidad de la información se
remonta al inicio de nuestra civilización y ha ocupado
algunas de las mentes matemáticas más brillantes de
la historia, especialmente (y desafortunadamente) en
tiempos de guerra.
Sin embargo, desde el advenimiento de la ubicuas
redes de comunicación y en especial Internet los
problemas asociados a la seguridad de la información
se han agravado considerablemente y nos afectan
prácticamente a todos. Que levante la mano el que no
haya sido victima de algún virus informático en su
ordenador, del spam (ya sea por correo electrónico o
teléfono) por una deficiente protección de sus datos
personales o, aún peor, del robo del número de su
tarjeta de crédito.
La información es consustancial al negocio y su
correcta gestión debe apoyarse en tres pilares
fundamentales:
• Confidencialidad: la información debe ser sólo
accesible a sus destinatarios predeterminados.
• Integridad: la información debe ser correcta y
completa.
• Disponibilidad: debemos de tener acceso a la
información cuando la necesitamos.
La Gestión de la Seguridad debe, por tanto, velar por
que la información sea correcta y completa, esté
siempre a disposición del negocio y sea utilizada sólo
por aquellos que tienen autorización para hacerlo.
Fuente:
EJERCICIOS EN AULA
Buscar en internet información sobre herramientas para realizar la gestión de

un centro de atención a usuarios de una empresa de aproximadamente 500
empleados utilizando un ERP y ofimática en entorno Windows.
¿Qué herramienta usarías para gestionar el proceso de ‘gestión de la

disponibilidad?
ISO 38500
Es un documento de una extensión de 15 páginas en el que se expone de
forma resumida 3 apartados:
 Ámbito, aplicación y objetivos.

 Un framework para la gobernanza de TI.
 Orientación para el gobierno corporativo de TI.
ISO 38500
ÁMBITO, APLICACIÓN Y OBJETIVOS.
 Proporciona unos principios y una guía par el uso eficaz y eficiente

de la TI en las organizaciones.
 La norma es aplicable a todas las organizaciones

independientemente de su tamaño.
 El objetivo de la norma es promover la eficacia, eficiencia y uso

aceptable de TI en cualquier organización por medio de:
1.Asegurando a todos los implicados que si se sigue la norma,

pueden confiar en el gobierno de TI.
2.Informando y guiando a los directivos que controlan el uso de
las TI en la organización.
3.Proporcionar una base para la evaluación objetiva de la
gobernanza de TI.
ISO 38500
EL FRAMEWORK
 6 Principios.
 Modelo.
6 Principios:
 Responsabilidad.
 Estrategia.
 Adquisición.
 Desempeño.
 Conformidad.
 Comportamiento humano.
ISO 38500
LAS TAREAS
 EVALUAR: El uso actual y futuro de las TI.
 DIRIGIR: La preparación de planes y políticas para garantizar

que el uso de la TI cumple con los objetivos empresariales.
 MONITORIZAR: La conformidad con las políticas y los

resultados de los planes.
ISO 38500
LA GUIA PARA EL GOBIERNO CORPORATIVO DE TI
 Proporciona una guía de prácticas para implementar en cada

uno de los principios de la norma.
 Las prácticas no son exhaustivas, sino mas bien un punto de

comienzo en las responsabilidades de los responsables del
gobierno de TI.
 Cada organización las debe adecuar a sus particularidades.

ISO 38500
PRINCIPIO DE RESPONSABILIDAD
EVALUAR:
 La asignación de la responsabilidad con respecto a la organización actual y el
futuro uso de la TI.
 Asegurar un eficiente y aceptable uso y reparto de la TI. Competencias de las
personas que toman las decisiones con respecto a la TI.
DIRIGIR:
 Los planes de acuerdo a las responsabilidades asignadas. Entrega de
información a las personas de acuerdo a lo que se requiere en sus
responsabilidades.
MONITORIZAR:
 Mecanismos de gobierno de TI sean apropiados.
 Las responsabilidades asignadas sean reconocidas y entendidas.
 El rendimiento de las responsabilidades en el gobierno de TI.
ISO 38500
PRINCIPIO DE ESTRATEGIA
EVALUAR:
 La estrategia de desarrollos en TI y procesos de negocio para asegurarse que TI
proporciona el soporte que requiere el negocio.
 Asegurarse de que los planes y las políticas están alineadas con los objetivos
de la empresa.
 Asegurarse que se controlan los riesgos en TI.
DIRIGIR:
 La preparación y uso de los planes y políticas de TI que aseguren la
organización y se benefician de los avances TI.
 Animar a que se realicen propuestas de uso de la TI que permitan a la
organización responder a nuevas oportunidades, desafíos o mejorar procesos.
MONITORIZAR:
 Controlar el nivel de aprobación de las propuestas de TI.
 Asegurar que los objetivos sean alcanzables con el presupuesto asignado.
 Controlar el uso de TI para asegurar que sean alcanzados los beneficios
propuestos.
ISO 38500
PRINCIPIO DE ADQUISICIÓN
EVALUAR:
 Las opciones para el aprovisionamiento, sopesando riesgos y costes de las
inversiones.
DIRIGIR:
 Que los activos de TI sean adquiridos de forma adecuada.
 Dirigir los procesos de adquisición para que den soporte a las necesidades de
la organización.
MONITORIZAR:
 Que las inversiones de TI cumplan con las capacidades requeridas.
 Que los proveedores entiendan las necesidades de la organización en
cualquier adquisición de TI.
ISO 38500
PRINCIPIO DE DESEMPEÑO
EVALUAR:
 Los medios propuestos por los gerentes para asegurar que TI soportara los
procesos de negocio con la capacidad requerida. Evaluar los riesgos para la
continuidad y los derivados del uso de TI, del uso de la información y su
protección, y las opciones para asegurar la eficiencia y la toma de decisiones
oportunas acerca del uso de la TI como apoyo a los objetivos de negocio.
DIRIGIR:
 La asignación de los recursos necesarios para que TI cumpla con los objetivos
de la organización de acuerdo con las prioridades y presupuesto.
 Deben dirigir a los responsables de asegurar que TI de soporte al negocio
cuando sea requerido.
MONITORIZAR:
 Como Ti da soporte al negocio.
 Como se priorizan recursos y fondos acorde con los objetivos del negocio.
 El cumplimento de políticas y planes.
ISO 38500
PRINCIPIO DE CONFORMIDAD
EVALUAR:
 El grado de cumplimiento de las normativas regulatorias, políticas internas,
normas y guías. El cumplimento del propio sistema de gobernanza.
DIRIGIR:
 A los responsables de establecer los mecanismos que aseguren que el uso de
la TI cumple con las normativas, estándares y guías.
 Los directores deben dirigir las políticas establecidas para que se cumplan en
la organización, que el Staff IT sigue las líneas maestras para el desarrollo y
comportamiento profesional y el comportamiento en TI.
 Que todos los actos relativos a la TI sean éticos.
MONITORIZAR:
 La conformidad de TI a través de los informes y auditorias
 La actividad de TI incluyendo el uso de los datos, el uso del entorno,
privacidad y otras obligaciones relevantes.
ISO 38500
PRINCIPIO DE COMPORTAMIENTO HUMANO
EVALUAR:
 Se debe evaluar las actividades de TI para asegurar que el comportamiento
humano se identifican y consideran.
DIRIGIR:
 Que las actividades son coherentes con el comportamiento humano.
 Que los riesgos, oportunidades y preocupaciones son identificadas y
reportadas por cualquiera y en cualquier momento.
MONITORIZAR:
 Las actividades de TI para asegurarse de que se presta atención al
comportamiento humano.
 Las prácticas de trabajo, para asegurarse que son consistentes con el uso de
TI.
COBIT
CONTRUYENDO GOBIERNO DE TI
 ISO 38500 es el envoltorio como la fachada y el tejado lo

es en una casa.
 COBIT sería como las pareces , columnas y vigas.
 ITIL y los proyectos en ambientes controlados son los

cimientos de la casa.
 Usando la analogía de la casa, si un consejo intenta

poner en práctica una ISO 38500, sin la base o los
soportes que la sostienen el tejado se vendría abajo.
 Pero, sin el techo, las empresas estarían expuestos a las

inclemencias del tiempo.
 ISO 38500 no reemplaza a COBIT, ITIIL y otras, sino que

mas bien los complementa y proporcionando un punto de
vista.
COBIT
ISO 38500-COBIT
 ISO 38500 se centra en que se debería de

hacer.
 COBIT se centra en como se debería de hacer.
 COBIT complementa a ISO 38500.
 COBIT NO ES UNA ALTERNATIVA A ISO 38500.

COBIT
COBIT
 Es el acrónimo de: Objetivos de Control para Información y Tecnologías Relacionadas

(COBIT, en inglés: Control Objectives for Information and related Technology)
 Es una guía de mejores prácticas presentado como framework, dirigida al control y

supervisión de tecnología de la información (TI).
 Mantenido por ISACA (en inglés: Information Systems Audit and Control Association) y el
IT GI (en inglés: IT Governance Institute).
 Tiene una serie de recursos que pueden servir de modelo de referencia para la gestión
de TI, incluyendo un resumen ejecutivo, un framework, objetivos de control, mapas de
auditoría, herramientas para su implementación y principalmente, una guía de técnicas
de gestión.
COBIT
VERSIONES DE COBIT
Gobernanza empresarial de TI
Evolución /covertura
Gobierno de TI
Gestión
Control
Auditoria
COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT 5
1996 1998 2000 2005/7 2012
An business framework from ISACA, at www.isaca.org/cobit

¿QUÉ ES COBIT?
ES UN MODELO PARA EL GOBIERNO DE TI:
 Centrado en el negocio.
 Orientado a procesos.
 Basado en controles.
 Dirigido por métricas.
¿QUÉ ES COBIT?
COBIT CENTRADO EN EL NEGOCIO:
COBIT enfoca la orientación al negocio

alineando las metas del negocio con las
metas de TI (Ver Apéndice I), brindando
métricas y modelos de madurez para
medir sus logros, e identificando las
responsabilidades asociadas de los
dueños de los procesos de negocio y de
TI.
¿QUÉ ES COBIT?
COBIT CENTRADO EN EL NEGOCIO:
Para satisfacer los objetivos de negocio la información debe adaptarse a ciertos criterios de control:
 La efectividad: tiene que ver con que la información sea relevante y pertinente a los procesos del negocio, y
se proporcione de una manera oportuna, correcta, consistente y utilizable.
 La eficiencia: consiste en que la información sea generada con el óptimo (más productivo y económico) uso
de los recursos.
 La confidencialidad: se refiere a la protección de información sensitiva contra revelación no autorizada
 La integridad: está relacionada con la precisión y completitud de la información, así como con su validez de
acuerdo a los valores y expectativas del negocio.
 La disponibilidad: se refiere a que la información esté disponible cuando sea requerida por los procesos del
negocio en cualquier momento. También concierne a la protección de los recursos y las capacidades
necesarias asociadas.
 El cumplimiento: tiene que ver con acatar aquellas leyes, reglamentos y acuerdos contractuales a los
cuales está sujeto el proceso de negocios, es decir, criterios de negocios impuestos externamente, así
como políticas internas.
 La confiabilidad: se refiere a proporcionar la información apropiada para que la gerencia administre la

entidad y ejerza sus responsabilidades fiduciarias y de gobierno.
¿QUÉ ES COBIT?
COBIT CENTRADO EN EL NEGOCIO: Metas de negocio y de TI
Si se pretende que TI proporcione servicios de forma exitosa para dar soporte a la
estrategia de la empresa, debe existir una propiedad y una dirección clara de los
requerimientos por parte del negocio (el cliente) y un claro entendimiento para TI, de
cómo y qué debe entregar (el proveedor).
La estrategia de la empresa se debe traducir por parte del negocio en objetivos
relacionados con iniciativas habilitadas por TI (Las metas de negocio para TI). Estos
objetivos a su vez, deben conducir a una clara definición de los propios objetivos de
TI (las metas de TI), y luego éstas a su vez definir los recursos y capacidades de TI (la
arquitectura empresarial para TI) requeridos para ejecutar, de forma exitosa la parte
que le corresponde a TI de la estrategia empresarial
¿QUÉ ES COBIT?
COBIT CENTRADO EN EL NEGOCIO: Los recursos de TI
Los recursos de TI identificados en COBIT que sirven a los objetivos de negocio se

pueden definir como sigue:
 Las aplicaciones incluyen tanto sistemas de usuario automatizados como

procedimientos manuales que procesan información.
 La información son los datos en todas sus formas, de entrada, procesados y

generados por los sistemas de información, en cualquier forma en que sean
utilizados por el negocio.
 La infraestructura es la tecnología y las instalaciones (hardware, sistemas

operativos, sistemas de administración de base de datos, redes, multimedia, etc.,
así como el sitio donde se encuentran y el ambiente que los soporta) que permiten
el procesamiento de las aplicaciones.
 Las personas son el personal requerido para planear, organizar, adquirir,

implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios
de información. Estas pueden ser internas, por outsourcing o contratadas, de
acuerdo a como se requieran.
¿QUÉ ES COBIT?
COBIT ORIENTADO A PROCESOS
COBIT define las actividades de TI en un modelo genérico de procesos organizado en

cuatro dominios. Estos dominios son Planear y Organizar, Adquirir e Implementar,
Entregar y Dar Soporte y Monitorear y Evaluar. Los dominios se equiparan a las áreas
tradicionales de TI de planear, construir, ejecutar y monitorear.
 Planear y Organizar (PO) – Proporciona dirección para la entrega de soluciones (AI)

y la entrega de servicio (DS).
 Adquirir e Implementar (AI) – Proporciona las soluciones y las pasa para
convertirlas en servicios.
 Entregar y Dar Soporte (DS) – Recibe las soluciones y las hace utilizables por los
usuarios finales.
 Monitorear y Evaluar (ME) - Monitorear todos los procesos para asegurar que se
sigue la dirección provista.
¿QUÉ ES COBIT?
COBIT BASADO EN CONTROLES
COBIT define objetivos de control para los 34 procesos, así

como para el proceso general y los controles de aplicación.
LOS PROCESOS REQUIEREN CONTROLES

Control se define como las políticas, procedimientos, prácticas y estructuras
organizacionales diseñadas para brindar una seguridad razonable que los objetivos
de negocio se alcanzarán, y los eventos no deseados serán prevenidos o detectados
y corregidos.
Además de evaluar qué controles son requeridos, los dueños de procesos deben
entender qué entradas requieren de otros procesos y qué requieren otros de sus
procesos. COBIT brinda ejemplos genéricos de las entradas y salidas clave para cada
proceso incluyendo los requerimientos externos de TI.
El entendimiento de los roles y responsabilidades para cada proceso es clave para un
gobierno efectivo. COBIT proporciona una matriz RACI (quién es responsable, quién
rinde cuentas, quién es consultado y quien informado) para cada proceso.
¿QUÉ ES COBIT?
COBIT IMPULSADO POR LA MEDICIÓN
Una necesidad básica de toda empresa es entender el estado de sus propios
sistemas de TI y decidir qué nivel de administración y control debe proporcionar.
La obtención de una visión objetiva del nivel de desempeño propio de una empresa
no es sencilla. Las empresas deben medir dónde se encuentran y dónde se requieren
mejoras, e implementar un juego de herramientas gerenciales para monitorear esta
mejora. COBIT atiende estos temas a través de:
 Modelos de madurez que facilitan la evaluación por medio de benchmarking y la

identificación de las mejoras necesarias en la capacidad
 Metas y mediciones de desempeño para los procesos de TI, que demuestran cómo
los procesos satisfacen las necesidades del negocio y de TI, y cómo se usan para
medir el desempeño de los procesos internos basados en los principios de un
marcador de puntuación balanceado (balanced scorecard)
 Metas de actividades para facilitar el desempeño efectivo de los procesos

¿QUÉ ES COBIT?
COBIT IMPULSADO POR LA MEDICIÓN (MODELOS DE MADUREZ)
El modelo de madurez para la administración y el control de los procesos de TI se

basa en un método de evaluación de la organización, de tal forma que se pueda
evaluar a sí misma desde un nivel de no-existente (0) hasta un nivel de optimizado
(5).
Este enfoque se deriva del modelo de madurez que el Software Engineering Institute
definió para la madurez de la capacidad del desarrollo de software.
¿QUÉ ES COBIT?
COBIT IMPULSADO POR LA MEDICIÓN (MEDICIÓN DEL DESEMPEÑO)
Las métricas y las metas se definen en COBIT a tres niveles:
 Las metas y métricas de TI que definen lo que el negocio espera de TI (lo que el
negocio usaría para medir a TI)
 Metas y métricas de procesos que definen lo que el proceso de TI debe generar
para dar soporte a los objetivos de TI (cómo sería medido el dueño del proceso de
TI).
 Métricas de desempeño de los procesos (miden qué tan bien se desempeña el
proceso para indicar si es probable alcanzar las metas).
¿QUÉ ES COBIT?
Dos tipos de métricas:

Medidas de Resultado, anteriormente indicador clave de meta (KGIs), indican cuando
las metas se han conseguido. Estas pueden medirse sólo después el hecho y, por
eso, se llaman ‘indicadores pasados’.
• Los Indicadores de Desempeño, anteriormente indicadores clave de desempeño
(KPIs), indican si es probable conseguir la meta. Se pueden medir antes de que
el resultado sea claro y, por eso, se llaman ‘indicadores futuros’.
¿QUÉ ES COBIT?
Las medidas de resultado de el nivel mas bajo se convierten en indicadores de

desempeño para las de nivel mas alto.
Ejemplo: una medida de resultado indica que la detección y resolución de accesos
no autorizados tienen como objetivo indicar que los servicios de TI pueden resistir y
recuperarse de los ataques. Por lo tanto, la medida de resultados se ha convertido en
indicador de desempeño para la meta de mayor nivel.
¿QUÉ ES COBIT?
La siguiente figura ilustra la relación entre las metas de negocio, de TI, de proceso y
de las actividades, y las diferentes métricas. La cascada de metas es ilustrada desde
arriba a la izquierda hasta arriba a la derecha. Debajo de la meta está su medida de
resultado. La flecha indica que la misma métrica es un indicador de desempeño para
la meta de más alto nivel.
¿QUÉ ES COBIT?
EL MODELO DEL MARCO DE TRABAJO DE
COBIT
El marco de trabajo COBIT:
 Relaciona los requerimientos de

información y de gobierno a los objetivos de
la función de servicios de TI.
 El modelo de procesos COBIT permite que

las actividades de TI y los recursos que los
soportan sean administrados y controlados
basados en los objetivos de control de
COBIT, y alineados y monitoreados usando
las metas y métricas de COBIT.
¿QUÉ ES COBIT?
EL MODELO DEL MARCO DE TRABAJO DE
COBIT
El marco de trabajo COBIT:

Los recursos de TI son manejados por
procesos de TI para lograr metas de TI que
respondan a los requerimientos del negocio.
Este es el principio básico del marco de
trabajo COBIT, como se ilustra en el cubo
COBIT .
¿QUÉ ES COBIT?
EL MODELO DEL MARCO DE TRABAJO
DE COBIT
La siguiente figura resume cómo los

distintos elementos del marco de
trabajo COBIT se relacionan con las
áreas de enfoque del gobierno de TI.
RELACIÓN DE COBIT CON OTRAS NORMAS
Todos los usuarios potenciales se
pueden beneficiar del uso del
contenido de COBIT como una
aproximación completa a la
gestión y gobierno de TI, junto con
otros modelos de estándares
detallados como:
 ITIL para la entrega de servicio.

 CMM para la entrega de
soluciones.
 ISO 17799 para seguridad de la
información.
 PMBOK o PRINCE2 para la
administración de proyectos .
RELACIÓN CON ISO 38500
•Definir los
PRINCIPIO DE P04 procesos de TI, la

organización y
sus relaciones.
RESPONSABILIDAD
•Comunicar la
P06 dirección y
objetivos de la
gerencia.
•Administrar los
P07 recursos
humanos de TI.
•Administrar
DS2 servicios de
terceros.
•Monitorear y
ME1 evaluar el
desempeño de TI.
ME4 •Proveer Gobierno

de TI
COBIT 4.1
USO DE COBIT
USO DEL FRAMEWORK
1. Lo habitual es partir de los Objetivos Estratégicos de la Organización.

2. Una vez determinados, se identifican los objetivos con los indicados en los apéndices 1 y 2
de la guía.
3. Cobit tiene determinados (17) de Objetivos del Negocio, es decir, la forma en que COBIT ve
los objetivos de la organización.
4. Hay que determinar cuales de los objetivos de la organización concuerdan con los
determinados por COBIT.
5. Cada uno de los Objetivos de Negocio, tiene asociados un conjunto de uno o más Objetivos
de Negocio de TI. En total son 28, pero sólo algunos se aplicarán a cada uno de los objetivos
de negocio seleccionados de la guía.
6. Cada uno de estos Objetivos de Negocio de TI, tienen asociado, un conjunto de Procesos de
TI, (los 34 procesos de Cobit), de esa forma se obtienen los procesos de Cobit en los que hay
que enfocarse, para hacer un estudio de Madurez, Controles, etc.
USO DE COBIT
USO DEL FRAMEWORK
Ejemplo:
• Supongamos que una organización desea mejorar la formación y motivación del
personal. ¿Qué medidas hay que poner en marcha y como controlarlas?
USO DE COBIT
USO DEL FRAMEWORK Solución al problema:
1- Ir al apéndice I e identificar un objetivo de negocio que se identifique con este

objetivo de la organización.
USO DE COBIT
2- Ir al apéndice I (segunda tabla) e identificar el objetivo de TI número 9. El objetivo
de TI 9 identifica como procesos en los que centrar el foco el P07 y proceso AI5.
USO DE COBIT
El P07: Administrar los recursos humanos de TI

Adquirir, mantener y motivar una fuerza de trabajo para la creación y entrega de servicios de TI para el negocio.
Esto se logra siguiendo prácticas definidas y aprobadas que apoyan el reclutamiento, entrenamiento, la
evaluación del desempeño, la promoción y la terminación. Este proceso es crítico, ya que las personas son activos
importantes, y el ambiente de gobierno y de control interno depende fuertemente de la motivación y competencia
del personal.
El proceso AI5: Adquirir recursos de TI.

USO DE COBIT
El P07: Administrar los recursos humanos de TI: Adquirir, mantener y motivar una fuerza de trabajo para la creación y entrega de
servicios de TI para el negocio. Esto se logra siguiendo prácticas definidas y aprobadas que apoyan el reclutamiento,
entrenamiento, la evaluación del desempeño, la promoción y la terminación. Este proceso es crítico, ya que las personas son
activos importantes, y el ambiente de gobierno y de control interno depende fuertemente de la motivación y competencia del
personal.
P07. Administrar los Recursos Humanos de TI.
PO7.1 Reclutamiento y Retención del Personal: Asegurarse que los procesos de reclutamiento del personal de TI estén de acuerdo a las
políticas y procedimientos generales de personal de la organización (Ej. contratación, un ambiente positivo de trabajo y
orientación). La gerencia implementa procesos para garantizar que la organización cuente con una fuerza de trabajo posicionada
de forma apropiada, que tenga las habilidades necesarias para alcanzar las metas organizacionales.
PO7.2 Competencias del Personal : Verificar de forma periódica que el personal tenga las habilidades para cumplir sus roles con base en
su educación, entrenamiento y/o experiencia. Definir los requerimientos esenciales de habilidades para TI y verificar que se les dé
mantenimiento, usando programas de calificación y certificación según sea el caso.
PO7.3 Asignación de Roles : Definir, monitorear y supervisar los marcos de trabajo para los roles, responsabilidades y compensación del
personal, incluyendo el requerimiento de adherirse a las políticas y procedimientos administrativos, así como al código de ética y
prácticas profesionales. El nivel de supervisión debe estar de acuerdo con la sensibilidad del puesto y el grado de
responsabilidades asignadas.
PO7.4 Entrenamiento del Personal de TI: Proporcionar a los empleados de TI la orientación necesaria al momento de la contratación y
entrenamiento continuo para conservar su conocimiento, aptitudes, habilidades, controles internos y conciencia sobre la
seguridad, al nivel requerido para alcanzar las metas organizacionales.
PO7.5 Dependencia Sobre los Individuos: Minimizar la exposición a dependencias críticas sobre individuos clave por medio de la captura
del conocimiento (documentación), compartir el conocimiento, planeación de la sucesión y respaldos de personal.
PO7.6 Procedimientos de Investigación del Personal: Incluir verificaciones de antecedentes en el proceso de reclutamiento de TI. El
grado y la frecuencia de estas verificaciones dependen de que tan delicada ó crítica sea la función y se deben aplicar a los
empleados, contratistas y proveedores.
PO7.7 Evaluación del Desempeño del Empleado: Es necesario que las evaluaciones de desempeño se realicen periódicamente,
comparando contra los objetivos individuales derivados de las metas organizacionales, estándares establecidos y
responsabilidades específicas del puesto. Los empleados deben recibir adiestramiento sobre su desempeño y conducta, según
sea necesario.
PO7.8 Cambios y Terminación de Trabajo: Tomar medidas expeditas respecto a los cambios en los puestos, en especial las
terminaciones. Se debe realizar la transferencia del conocimiento, reasignar responsabilidades y se deben eliminar los privilegios
de acceso, de tal modo que los riesgos se minimicen y se garantice la continuidad de la función.
USO DE COBIT
USO DEL FRAMEWORK Solución al
problema:
USO DE COBIT
USO DEL FRAMEWORK Solución al
problema:

Uso de FrameWorkCobit PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Uso de FrameWorkCobit PDF

Cargado por

Copyright:

Formatos disponibles

Facultad de Ciencias

Gobierno de las Tecnologías de la Información

Curso Académico 2015-2016

• La aplicación de normas y estándares ayudan a garantizar la comunicación entre

• El uso de normas y estándares en una organización incrementa la confianza de

• Ayudan a analizar el funcionamiento y los resultados de una organización y a

• ISO 20000 es el estándar

Un conjunto de conceptos y buenas prácticas para:

Que ofrece ITIL:

Gestión de Servicios de TI,

Otras guías operativas

Para asistir en la implementación de prácticas ITIL, se publicó un libro adicional con

La provisión del servicio

Las funciones principales de la Gestión de

La Gestión de Problemas puede ser:

Las cuatro principales funciones de la

Vivimos en una época de continuos cambios.

El objetivo último de la Gestión de

Aunque casi todas las empresas y

La Gestión de la Capacidad es la encargada

La Gestión de la Continuidad del Servicio se

Nuestras vidas, tanto personales como

La Gestión de la Seguridad de la Información se

Buscar en internet información sobre herramientas para realizar la gestión de

¿Qué herramienta usarías para gestionar el proceso de ‘gestión de la

 Ámbito, aplicación y objetivos.

 Proporciona unos principios y una guía par el uso eficaz y eficiente

 La norma es aplicable a todas las organizaciones

 El objetivo de la norma es promover la eficacia, eficiencia y uso

1.Asegurando a todos los implicados que si se sigue la norma,

 EVALUAR: El uso actual y futuro de las TI.

 DIRIGIR: La preparación de planes y políticas para garantizar

 MONITORIZAR: La conformidad con las políticas y los

 Proporciona una guía de prácticas para implementar en cada

 Las prácticas no son exhaustivas, sino mas bien un punto de

 Cada organización las debe adecuar a sus particularidades.

 ISO 38500 es el envoltorio como la fachada y el tejado lo

 COBIT sería como las pareces , columnas y vigas.

 ITIL y los proyectos en ambientes controlados son los

 Usando la analogía de la casa, si un consejo intenta

 Pero, sin el techo, las empresas estarían expuestos a las

 ISO 38500 no reemplaza a COBIT, ITIIL y otras, sino que

 ISO 38500 se centra en que se debería de

 COBIT se centra en como se debería de hacer.

 COBIT complementa a ISO 38500.

 COBIT NO ES UNA ALTERNATIVA A ISO 38500.

 Es el acrónimo de: Objetivos de Control para Información y Tecnologías Relacionadas

 Es una guía de mejores prácticas presentado como framework, dirigida al control y

COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT 5

1996 1998 2000 2005/7 2012

An business framework from ISACA, at www.isaca.org/cobit

COBIT enfoca la orientación al negocio

 La confidencialidad: se refiere a la protección de información sensitiva contra revelación no autorizada

 La confiabilidad: se refiere a proporcionar la información apropiada para que la gerencia administre la

Los recursos de TI identificados en COBIT que sirven a los objetivos de negocio se

 Las aplicaciones incluyen tanto sistemas de usuario automatizados como

 La información son los datos en todas sus formas, de entrada, procesados y

 La infraestructura es la tecnología y las instalaciones (hardware, sistemas

 Las personas son el personal requerido para planear, organizar, adquirir,

COBIT define las actividades de TI en un modelo genérico de procesos organizado en

 Planear y Organizar (PO) – Proporciona dirección para la entrega de soluciones (AI)

COBIT define objetivos de control para los 34 procesos, así

LOS PROCESOS REQUIEREN CONTROLES