Proceso de la administración basada en ITIL / 

CobIT

Tal vez encuentre su entorno de la tecnología de la información (TI) difícil de controlar y costoso de administrar. La
infraestructura Básica de TI se caracteriza por procesos manuales y localizados; un mínimo control central; y políticas y
estándares de TI inexistentes o no aplicados respecto a la seguridad, el respaldo, la administración e implementación de
imágenes, el cumplimiento y otras prácticas de TI comunes.

Al cambiar de una infraestructura Estandarizada de TI, su organización se puede beneficiar al contar con personal de TI
capacitado sobre las mejores prácticas tales como Microsoft Operations Framework (MOF), la Biblioteca de
infraestructura de TI (ITIL), la administración y configuración centrales de seguridad, la definición de imágenes estándar
de escritorio, así como diversos directorios para una fácil autenticación.
El siguiente gráfico describe parar usted el entorno del cliente y qué beneficios y acciones realizar al ayudar al cliente a
cambiar de un estado de madurez al siguiente incluyendo la siguiente información:

 Descripción del entorno del cliente

 Problemas/Desafíos
 Problemas
 Beneficios de pasar al siguiente nivel
 Proyectos posibles con un cliente (plan de acción)

Mapeando ITIL v.3 y Cobit 4.1

ISACA ha publicado el documento de mapeo entreITIL V3 y Cobit 4.1; es el resultado de un trabajo que era bastante
complicado de hacer, ya que como en los demás documentos de mapeo, se intenta realizar un análisis de cómo se
referencia cada uno de los objetivos de control detallados de Cobit en ITIL V3 y para poder hacer esto el equipo de
trabajo debe tener grandes conocimientos de ambos extremos de la comparación.

En este estudio ha habido varias cosas que me han llamado la atención: lo primero es la evolución que ha habido en la
metodología de realización de estos estudios: si miramos el documento de mapeo de ITIL V2 con Cobit 4.0 (fechado en
Enero de 2007) veremos que el nivel de detalle al que se ha llegado en este nuevo análisis es mucho mayor y que ya no es
tan absoluto como antes (en el de V2 se analizaba si un objetivo de control se cubre o no, booleano, blanco o negro); sin
embargo, ahora hay una escala en la que se habla de cubrir “mucho, poco o nada” un objetivo de control.

Otro de los detalles que me ha parecido interesante es ver de forma gráfica la evolución de ITIL en cuanto al nivel de
cobertura a las necesidades de un departamento IT. Si miramos los mapas de cobertura veremos que ITIL V2 cubría una
pequeña parte de Cobit (sobre todo en la parte de Deliver and Support, como era de esperar) mientras que la cobertura de
V3 es mucho más amplia.

Por último, me llamó la atención ese “agujero” que quedaba en DS… ¿qué pasaba con DS7, que no estaba cubierto?; así
que me fui al manual de Cobit a buscar qué era el DS7 y me encontré con una gran sorpresa:

DS7 Educate and Train Users

Impresionante! Según este análisis, ITIL V3 no cubre en ningún aspecto la formación del usuario final. Y al menos por lo
que yo he leído, es prácticamente cierto, salvo porque en alguna parte del Service Transition se habla de formar a los
usuarios y en V2, en alguna parte de la Gestión de Versiones también se habla de la formación de usuarios. Pero desde
luego no es algo a lo que se le preste una atención especial sino que se menciona “de pasada”.

¡¡Qué gran carencia!! Visión de servicio? Tratar al usuario como a un cliente? Hacemos de todo para asegurar unos
servicios de calidad y no nos acordamos de formar a los usuarios en el uso de los servicios?

Aquí me viene a la cabeza la definición de Mark Toomey sobre el Gobierno de TI y la nueva norma ISO 38500:

Las TIC son una herramienta del negocio. Es responsabilidad del Negocio determinar cómo, cuándo, dónde y porqué
utilizará la herramienta y es responsabilidad de IT proporcionar la herramienta que satisfaga estas necesidades.

Pero no sólo estamos hablando de entregar una herramienta que satisfaga las necesidades, sino que también hemos de
garantizar que quien ha de usar la herramienta sabrá sacar el máximo partido de ella; y no ya sólo por una visión egoísta
del tema, en cuanto a que a medida que los usuarios estén más y mejor formados, menos problemas tendremos en IT (en
soporte funcional, técnico o en peticiones, por ejemplo) sino que cuanto más y mejor estén formados los usuarios más
partido podrán sacar de las herramientas que les proporcionemos y podrán aportar mayores eficiencias gracias al uso
adecuado de las TIC.

Formar a los usuarios es una gran inversión, pero ITIL V3 se olvidó de ello.

Fuente:
www.gobiernotic.es/2008/08/mapping-itil-v3-with-cobit-41.html
http://seguridad-informacion.blogspot.com/2008/08/mapping-itil-v3-with-cobit-41.html
https://www.isaca.org/Template.cfm?
Section=home&Template=/ContentManagement/ContentDisplay.cfm&ContentID=43999

El Marco de Trabajo de COBIT

En mayo 2007, se público la versión 4.1 de COBIT*1, Objetivos de Control para Tecnologías de la Información y
Relacionadas, que es un conjunto de mejores prácticas para en la seguridad de la Información creado por la Asociación
para la Auditoría y Control de Sistemas de Información. ISACA*2, y el Instituto de Administración de las Tecnologías de
la Información, ITGI*3. Proporciona un estándar internacional de prácticas aprobadas mundialmente que ayudan a la alta
dirección, ejecutivos y administradores a incrementar el valor de las Tecnologías de la Información, TI, y a reducir los
riesgos del negocio. Facilita un conjunto de buenas prácticas a través de un marco de trabajo de dominios y procesos, y
presenta las actividades en una estructura manejable y lógica.

COBIT 4.1 es una actualización significativa del marco que asegura que las TI estén alineadas con los objetivos de
negocio, sus recursos sean usados responsablemente y sus riesgos administrados de forma apropiada. COBIT 4.1
representa una mejora indiscutible de la versión COBIT 4.0 del estándar.

La nueva versión incluye la medición del desempeño, mejores objetivos de control y mejor alineación con las metas de
negocios y TI.

Muchas son las razones para la adopción de de un marco de trabajo para el control del Gobierno de las TI en las
organizaciones, independientemente de su actividad y el tamaño.

Cada vez más, la alta dirección se está dando cuenta del impacto significativo que la información puede tener en el éxito
de una empresa. La dirección espera de las TI contribuyan al éxito del negocio y se pueda obtener una ventaja competitiva
de su buen uso. Las Organizaciones necesitan saber si con la información administrada es posible garantizar:

 El logro de sus objetivos

 La flexibilidad suficiente para aprender y adaptarse
 El manejo juicioso de los riesgos a enfrenta la Organización
 El análisis de las oportunidades de negocio y actuar de acuerdo a ellas

El éxito de la Organización depende en gran medida de que se entienden los riesgos y se aprovechan los beneficios de las
TI, para ello, se necesita:

 Alinear la estrategia de las TI con la estrategia del negocio

 Lograr que toda la estrategia de las TI, así como las metas fluyan de forma gradual a toda la empresa
 Proporcionar estructuras organizativas que faciliten la implementación de las metas del negocio
 Crear las comunicaciones efectivas entre el negocio y las TI, y con los socios externos
 Medir el desempeño de las TI.

Las empresas no pueden responder de forma efectiva a estos requerimientos de negocio y de gobierno sin adoptar e
implementar un marco de Referencia de gobierno y de control para las TI, de manera que:

 Se alinee con los requerimientos del negocio

 El desempeño real con respecto a los requerimientos sea transparente y ágil
 Organice todas sus actividades en un modelo de procesos generalmente aceptados
 Identifique los principales recursos que son necesarios
 Se definan los objetivos de control que son necesarios
El gobierno y los marcos de trabajo de control son parte de las mejores prácticas de la administración de las TI y facilitan
su Gobierno, además de la necesidad de cumplir con el constante incremento de requerimientos regulatorios. Las mejores
prácticas de las TI se han vuelto significativas debido a un número de factores:

 Directores de negocio y consejos directivos que demandan un mayor retorno de la inversión en las TI
 Preocupación por el creciente nivel de gasto en las TI
 La necesidad de cumplir con requerimientos regulatorios para controles de las TI en áreas como la privacidad o
los informes financieros: Sarbanes-Oxley Act, Basel II o regulaciones locales: LOPD, LSSI-CE, etc, y en sectores
específicos como el financiero, salud, telecomunicaciones e Internet, seguros, farmacéutico, etc
 La selección de proveedores de servicio y el manejo del Outsourcing y de la Adquisición de servicios
 Riesgos cada vez más complejos de las TI
 La conectividad entre las redes y su seguridad
 Iniciativas de gobierno de TI que incluyen la adopción de marcos de referencia de control y de mejores prácticas
para ayudar a monitorear y mejorar las actividades críticas de las TI, aumentar el valor del negocio y reducir sus
riesgos
 La necesidad de optimizar y minimizar los costes siguiendo un enfoque estandarizado en lugar de enfoques
individualizados
 La madurez y concienciación creciente y la aceptación de marcos de trabajo respetados tales como: COBIT, ITIL,
ISO 17799, ISO 9001, CMM y PRINCE2, etc.
 La necesidad de las empresas de valorar su desempeño en comparación con estándares generalmente aceptados y
con respecto a su competencia

COBIT define las actividades de TI de una organización, en un modelo genérico de procesos en cuatro dominios. Los
dominios son Planear y Organizar, Adquirir e Implementar, Entregar y Dar Soporte y Monitorear y Evaluar. El marco de
trabajo de COBIT proporciona un modelo de procesos de referencia y un lenguaje común para todos los implicados en los
trabajos de la organización, con el fin de que visualicen y administren las actividades de TI. La incorporación de un
modelo y un lenguaje común para todas las partes de un negocio involucradas en TI es uno de los pasos iniciales más
importantes hacia un buen gobierno. Brinda un marco de trabajo para la medición y monitoreo del desempeño de las
Tecnologías de Información, e integra las mejores prácticas administrativas. Fomenta la propiedad de los procesos,
permitiendo que se definan las responsabilidades. Determina las actividades y los riesgos que requieren ser administrados.

El alcance de los cuatro dominios es:

PLANEAR Y ORGANIZAR. Cubre las estrategias y de la organización, identificando la manera en que las TI pueda
contribuir al logro de los objetivos del negocio. La visión estratégica requiere ser planeada, comunicada y administrada
desde diferentes perspectivas. Finalmente, se debe implementar una estructura organizacional y una estructura
tecnológica apropiada. Este dominio y sus controles cubren los siguientes requerimientos del negocio:

 ¿Están alineadas las estrategias de las TI y del negocio?

 ¿La empresa está alcanzando un uso óptimo de sus recursos?
 ¿Entienden todas las personas dentro de la organización los objetivos de las TI?
 ¿Se entienden y administran los riesgos de las TI?
 ¿Es apropiada la calidad de los sistemas de las TI para las necesidades del negocio?

ADQUIRIR E IMPLEMENTAR. Las soluciones de las TI necesitan ser identificadas, desarrolladas o adquiridas así como
la implementación e integración en los procesos del negocio. Además, el cambio y el mantenimiento de los sistemas
existentes son necesarios para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio. Este dominio
contesta a las siguientes cuestiones:

 ¿Los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio?
 ¿Los nuevos proyectos son entregados a tiempo y dentro del presupuesto?
 ¿Trabajarán adecuadamente los nuevos sistemas una vez sean implementados?
 ¿Los cambios afectarán las operaciones actuales del negocio?

ENTREGAR Y DAR SOPORTE. Se preocupa de la entrega de los servicios requeridos, la prestación del servicio, la
administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y
de las instalaciones operacionales. Este dominio trata de garantizar:

 ¿Se están entregando los servicios de las TI de acuerdo con las prioridades del negocio?
 ¿Están optimizados los costos de las TI?
 ¿Es capaz la fuerza de trabajo de utilizar los sistemas de las TI de manera productiva y segura?
  ¿Están implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad?

MONITOREAR Y EVALUAR. Este dominio abarca la administración del desempeño, el monitoreo del control interno,
el cumplimiento regulatorio y la aplicación del Gobierno. Contesta a las siguientes preguntas:

 ¿Se mide el desempeño de las TI para detectar los problemas antes de que sea demasiado tarde?
 ¿La Alta Dirección garantiza que los controles internos son efectivos y eficientes?
 ¿Puede vincularse el desempeño de lo que las TI ha realizado con las metas del negocio?
 ¿Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño?

*1. COBIT, Control Objectives for Information and related Technology

*2. ISACA, Information Systems Audit and Control Association.
*3. ITGI, IT Governance Institute.

Control Interno (COBIT vs COSO)

El control interno es uno de los elementos de gestión empresarial que más cambios ha sufrido en los últimos años. En sus
comienzos fue un concepto prácticamente exclusivo de las áreas financieras de las grandes corporaciones. Más adelante
se fue extendiendo gracias a que los auditores internos lo heredaron y desarrollaron, aunque en gran medida siguió
bastante ligado a los entornos económicos. Y en los últimos años el concepto se amplió y extendió a otros ámbitos, siendo
poco a poco utilizado por responsables de calidad, seguridad o tecnología informática.

En la actualidad existen una gran cantidad de modelos de control interno, pero en muchas ocasiones es difícil distinguir
entre unos y otros y apreciar claramente sus diferencias y similitudes. Y más si tenemos en cuenta que entre unos y otros
existen muchas influencias y puntos comunes. Por eso, creo que este documento puede ser bastante útil para todo aquél
que quiera adentrarse en estos temas.

En el documento se comparan tres modelos de control interno: Cobit, SAC y COSO. Inicialmente se lleva a cabo una
presentación de cada uno de los tres modelos, y posteriormente se comparan distintos atributos de cada uno de ellos,
analizando a quién va dirigido, la forma de ver el control interno de cada modelo, los objetivos organizacionales que
persiguen, los componentes del modelo, el ámbito de aplicación y el alcance, entre otros.

Sin pararme a resumir el contenido del documento completo, sí que quiero destacar algunas diferencias que me parecen
significativas, sobre todo entre COSO y COBIT, que son los dos modelos más difundidos en la actualidad. La primera
gran diferencia es que COSO está enfocado a toda la organización, mientras que COBIT se centra en el entorno IT. La
segunda es que COBIT contempla de forma específica la seguridad de la información como uno de sus objetivos, cosa
que COSO no hace. Y la tercera, que el modelo de control interno que presenta COBIT es más completo, dentro de su
ámbito, que el de COSO, ya que contempla políticas, procedimientos y estructuras organizativas además de procesos para
definir el modelo de control interno.

Como única pega que se le puede poner al documento, y a falta de una referencia clara sobre su fecha de realización, es
que tengo la sensación de que el artículo no es demasiado actual, y no utiliza ni la referencia de COBIT v4 para analizar
este modelo ni las aportaciones del informe COSO II para completar este otro. De todos modos, creo que la referencia es
bastante útil para adentrarse en el mundillo del control interno.

Fuente: http://secugest.blogspot.com/2007/04/control-interno.html