GOBIERNO Y GESTION DE TI

Escuela de Formación Profesional:

Ingeniería de Sistemas

1
Agenda

1. Conceptos Generales

2. Introducción a COBIT 4.1, VAL IT, RISK IT, BMIS, ITAF

2
1. Conceptos Generales

3
Estándares

4
COBIT (Objetivos de Control para Información y Tecnologías Relacionadas (COBIT, en
inglés: Control Objectives for Information and related Technology))

es una guía de mejores prácticas presentado como

framework, dirigida al control y supervisión de
tecnología de la información (TI).
Mantenido por IT Governance Institute e ISACA,
tiene una serie de recursos que pueden servir de
modelo de referencia para la gestión de TI, incluyendo:
 un resumen ejecutivo,
 un framework,
 objetivos de control,
 mapas de auditoría,
 herramientas para su implementación y
 principalmente, una guía de técnicas de gestión.
IT Governance Institute
(Instituto de Gobierno de TI – ITGI)

El IT Governance Institute (ITGITM, por Datos previos

sus siglas en Inglés) se estableció en
1998 para evolucionar el IT Governance Institute
pensamiento y los estándares 3701 Algonquin Road, Suite
internacionales respecto a la 1010
dirección y control de la tecnología Rolling Meadows, IL 60008
de información de una empresa. [Link].
Teléfono: +1.847.590.7491
Fax: +1.847.253.1443
Un gobierno de TI efectivo, ayuda a: Correo electrónico:
info@[Link]
 garantizar que TI soporte las metas Sitio Web: [Link]
del negocio,
 optimice la inversión del negocio en
TI,
 y administre de forma adecuada los
riesgos y oportunidades asociados a la
TI.

6
ISACA (Asociación de Auditoría y Control e Sistemas de Información
o Information Systems Audit and Control Association)

Comenzó en 1967, cuando un

pequeño grupo de personas con
trabajos similares se sentaron a
discutir la necesidad de tener
una fuente centralizada de
información y guía en dicho
campo.

En 1976 la asociación formó

una fundación de educación
para llevar a cabo proyectos de
investigación de gran escala para
expandir los conocimientos y el
valor del campo de la
gobernabilidad y el control de TI.

Actualmente ISACA cuenta

con más de 86,000 miembros
en más de 160 países.

7
ISACA® desarrolló y actualiza continuamente el
COBIT®, Val IT™ y los marcos de riesgos de TI,
los cuales ayudan a los profesionales y líderes
empresariales a llevar a cabo sus responsabilidades de
gobernabilidad de TI, así como a entregar valor al
negocio.

ISACA® cuenta con una red de capítulos. ISACA®

tiene más de 170 capítulos en todo el mundo, y
dichos capítulos brindan a los miembros educación,
recursos compartidos, promoción, contactos
profesionales y una amplia gama de beneficios
adicionales a nivel local.

En el Perú, el Capitulo 146, corresponde a Lima,

Perú, siendo su dirección Av. Paul Linder Nº 100, oficina
402, distrito San Borja, Lima, Teléfonos 476-1757 o 225-
9342,

Página oficial del Capítulo 146, Lima, Perú:

[Link]

8
ISACA: Certificaciones internacionales

ISACA también emite

Certificaciones entre otras
cosas. Dentro de las
Certificaciones Mundialmente
respetadas tenemos:

9
Necesidad de Gobierno de TI
En el pasado
En el pasado, se consideraba la función de TI de
una organización como una función meramente
de soporte, es decir una función separada y Auditoria Directorio
diferenciada del resto del negocio, era una
práctica común.
Gerencia
Algunas organizaciones incluso llegan a integrar General
a socios y clientes en sus procesos internos. Por
consiguiente los CEO’s (directores ejecutivos) y los
CIO’s (directores de TI) cada vez más sienten la
necesidad de aumentar las relaciones entre TI y el
negocio. RRHH Finanzas Logística TIC Mercadeo

Otro elemento a considerar en el pasado era la

administración de la información y de las
Tecnologías de la Información (TI) no eran
“relacionadas”.

Por ende, las inversiones en tecnología e

infraestructura de tecnología, no permitían
extraer un máximo rendimiento.

10
Necesidad de Gobierno de TI

La investigación de las
prácticas de gestión de TI en
cientos de compañías en todo
el mundo ha revelado que la
mayoría de las organizaciones
no están optimizando su
inversión en TI.

El factor diferenciador entre

los que lo consiguen y los que
no, radican en la participación
de la Gerencia en las
decisiones claves de TI.

Se debe diferenciar entre:

 decisiones estratégicas y
 decisiones operacionales,

y dichas decisiones deben

estar alineadas con los planes
estratégicos y operacionales
del negocio.

11
Necesidad de Gobierno de TI

Luftman: ”El gobierno de las TI es la selección y utilización de relaciones, tales GOBIERNO DE TI

como alianzas estratégicas, para alcanzar las principales competencias en TI”, Una estructura de
(1996). relaciones y procesos
para dirigir y
Weill y Ross: “El gobierno de las TI especifica los procedimientos de toma de controlar la empresa
decisiones y los esquemas de responsabilidad para alcanzar el comportamiento con el objeto de
deseado en el uso de las TI”, (2002). alcanzar los objetivos
de la empresa y añadir
Van Grembergen, De Haes y Guldentops establecen que “el gobierno de las TI se valor mientras se
define como las estructuras de dirección y de organización, procesos y equilibran los riesgos
mecanismos de relación que aseguran que las TI den soporte y extiendan las y el retorno sobre TI y
estrategias y objetivos de la organización”, (2004). sus procesos.

Doughty y Grieco: “El principal objetivo del gobierno de las TI es facilitar y Fuente: ITGI
aumentar la habilidad de la organización para atender y cumplir con sus objetivos
institucionales y para ofrecer la mejor información para la toma de decisiones
relacionadas con la incorporación de TI a sus operaciones, programas y servicios a
corto y largo plazo”, (2005).

Webb: “El gobierno de las TI consiste en la alineación estratégica de las TI con el

negocio de tal manera que se alcanza el máximo beneficio (valor) para el negocio
a través del desarrollo y mantenimiento del control efectivo y la responsabilidad,
gestión del rendimiento y gestión de los riesgos de las TI”, (2006).

12
Necesidad de Gobierno de TI

Cada implementación de
gobierno de TI se lleva a cabo en
diferentes condiciones y
circunstancias (entorno de
Gobierno de TI) determinados
por factores tales como:

Ética y cultura de la organización

y de la industria.
 Leyes, regulaciones y guías
vigentes, tanto internas como
externas.
Misión, visión y valores de la
organización.
La organización de sus roles y
responsabilidades.
 Intenciones estratégicas y
tácticas de la organización.

13
COBIT y Gobierno de TI
Las organizaciones deben cumplir con
requerimientos de calidad, confianza y de
seguridad, tanto para su información,
como para sus activos.

La gerencia deberá además optimizar el

empleo de sus recursos disponibles
(personal, instalaciones, tecnología,
sistemas de aplicación y datos).

Los Objetivos de Control para la

Información y las Tecnologías
Relacionadas (COBIT), ayudan a
satisfacer las múltiples necesidades de la
administración estableciendo un puente
entre los riesgos del negocio, los
controles necesarios y los aspectos
técnicos. Provee buenas prácticas y
presenta actividades en una estructura
manejable y lógica.

Actualmente, la mayor parte de la

inversión en infraestructura y nuevas
aplicaciones de TI, abarcan líneas y
14/37
14
funciones del negocio.
Gobierno de TI vs Administración TI
Gobierno de TI
 Alinear estratégica y tácticamente las TI y el negocio
 Orientar y dirigir las TI
 Establecer un marco de referencia para la toma de decisiones
 Definir valores y principios para las TI
 Promover ciclos de procesos que incluyan la gestión del
cambio
 Responder a las exigencias de los agentes de la empresa y a
la sociedad
 Mirar el futuro y visualizar oportunidades de negocio
generadas por la TI

Administración de TI
 Rendir cuentas
 Usar Adecuadamente los recursos
 Cumplir normas y establecer procedimientos
 Mantener el ciclo de los procesos
 Gestionar la cartera de proyectos
 Responder a la exigencia de la Dirección
 Responder a la exigencia de los usuarios
 Implementar buenas prácticas reconocidas
internacionalmente

15
 Proceso de Implantación de Gobierno TI

Comprensión Analizar Analizar Seleccionar RETROALIMENTACION

del entorno objetivos del Riesgos Procesos
negocio Revisión Post-
Implementación

IDENTIFICAR
NECESIDADES Definir Definir Analizar
¿Donde ¿Dónde Brechas
estas? quieres estar?

ANALISIS DE LA
SOLUCION Definir Desarrollar e
Proyectos Implementar un
Plan de Cambios

PLANIFICAR LA
SOLUCION Integrar en el Integrar las
Día a Día las Medidas
Prácticas Tecnológicas

IMPLEMENTAR LA
SOLUCION
Fuente: Implantación de Gobierno de TI
Network Sec your IT Governance Partner

16
Evolución de COBIT

Bmis
(2010)

 COBIT 5 proporciona la guía de nueva

generación de ISACA para el gobierno
y la gestión de las TI en la empresa.
Se construye sobre más de 15 años
de uso práctico y aplicación de COBIT
por parte de muchas empresas y
usuarios de las comunidades de
negocio, TI, riesgo, seguridad y
aseguramiento.

Figura: Evolución de COBIT: COBIT 1.0 (1996), COBIT 2.0 (1998), COBIT 3.0 (2001), COBIT
4.0 (2005), COBIT 4.1 (2007) y COBIT 5.0 (Abril.2012).
2. Introducción a COBIT 4.1, VAL IT,
RISK IT, BMIS, ITAF

18
COBIT 4.1

En su cuarta edición, COBIT tiene 34

procesos que cubren 210 objetivos de
control (específicos o detallados)
clasificados en cuatro (4) Dominios:
 Planificación y Organización (Plan
and Organize))
 Adquisición e Implementación
(Acquire and Implement)
 Entrega y Soporte (Deliver and
Support)
 Supervisión y Evaluación (Monitor
and Evaluate)
.
COBIT 4.1
Dominio 1: Planear y Organizar (PO)

Este dominio cubre las estrategias y las tácticas, y tiene Procesos

que ver con identificar la manera en que TI puede
contribuir de la mejor manera al logro de los objetivos PO1 Definir un Plan Estratégico de TI
del negocio. PO2 Definir la Arquitectura de la Información
PO3 Determinar la Dirección Tecnológica
Además, la realización de la visión estratégica requiere ser PO4 Definir los Procesos, Organización y
planeada, comunicada y administrada desde diferentes Relaciones de TI
perspectivas. PO5 Administrar la Inversión en TI
PO6 Comunicar las Aspiraciones y la
Finalmente, se debe implementar una estructura Dirección de la Gerencia
organizacional y una estructura tecnológica apropiada. PO7 Administrar Recursos Humanos de TI
PO8 Administrar la Calidad
Este dominio cubre los siguientes cuestionamientos PO9 Evaluar y Administrar los Riesgos de TI
típicos de la gerencia: PO10 Administrar Proyectos
 ¿Están alineadas las estrategias de TI y del negocio?
 ¿La empresa está alcanzando un uso óptimo de sus
recursos?
 ¿Entienden todas las personas dentro de la
organización los objetivos de TI?
 ¿Se entienden y administran los riesgos de TI?
 ¿Es apropiada la calidad de los sistemas de TI para las
necesidades del negocio? 21
Dominio 2: Adquirir e Implementar (AI)

Para llevar a cabo la estrategia de TI, las soluciones de TI Procesos

necesitan ser identificadas, desarrolladas o adquiridas
así como implementadas e integradas en los procesos del AI1 Identificar soluciones automatizadas
negocio. AI2 Adquirir y mantener el software aplicativo
AI3 Adquirir y mantener la infraestructura
Además, el cambio y el mantenimiento de los sistemas tecnológica
existentes está cubierto por este dominio para garantizar AI4 Facilitar la operación y el uso
que las soluciones sigan satisfaciendo los objetivos del AI5 Adquirir recursos de TI
negocio. AI6 Administrar cambios
AI7 Instalar y acreditar soluciones y cambios
Este dominio, por lo general, cubre los siguientes
cuestionamientos de la gerencia:
 ¿Es probable que los nuevos proyectos generan
soluciones que satisfagan las necesidades del
negocio?
 ¿Es probable que los nuevos proyectos sean
entregados a tiempo y dentro del presupuesto?
 ¿Trabajarán adecuadamente los nuevos sistemas
una vez sean implementados?
 ¿Los cambios no afectarán a las operaciones
actuales del negocio?
22
Dominio 3: Entregar y Dar Soporte (DS)

Este dominio cubre la entrega en sí de los servicios Procesos

requeridos, lo que incluye:
DS1 Definir y administrar los niveles de
 Prestación del servicio, servicio
 Administración de la seguridad y de la continuidad, DS2 Administrar los servicios de terceros
 Soporte del servicio a los usuarios, DS3 Administrar el desempeño y la capacidad
 Administración de los datos y DS4 Garantizar la continuidad del servicio
 Instalaciones operativos. DS5 Garantizar la seguridad de los sistemas
DS6 Identificar y asignar costos
DS7 Educar y entrenar a los usuarios
Por lo general cubre las siguientes preguntas de la DS8 Administrar la mesa de servicio y los
gerencia: incidentes
 ¿Se están entregando los servicios de TI de acuerdo con DS9 Administrar la configuración
las prioridades del negocio? DS10 Administrar los problemas
 ¿Están optimizados los costos de TI? DS11 Administrar los datos
 ¿Es capaz la fuerza de trabajo de utilizar los sistemas de DS12 Administrar el ambiente físico
TI de manera productiva y segura? DS13 Administrar las operaciones
 ¿Están implantadas de forma adecuada la
confidencialidad, la integridad y la disponibilidad?

23
Dominio 4: Monitorear y Evaluar (ME)
Todos los procesos de TI deben evaluarse de forma
regular en el tiempo en cuanto a su calidad y
Procesos
cumplimiento de los requerimientos de control. ME1 Monitorear y Evaluar el Desempeño de TI
ME2 Monitorear y Evaluar el Control Interno
Este dominio abarca: ME3 Garantizar el Cumplimiento Regulatorio
Administración del desempeño, ME4 Proporcionar Gobierno de TI
Monitoreo del control interno,
Cumplimiento regulatorio y
Aplicación del gobierno.

Por lo general abarca las siguientes preguntas de la

gerencia:
 ¿Se mide el desempeño de TI para detectar los
problemas antes de que sea demasiado tarde?
 ¿La Gerencia garantiza que los controles internos son
efectivos y eficientes?
 ¿Puede vincularse el desempeño de lo que TI ha
realizado con las metas del negocio?
 ¿Se miden y reportan los riesgos, el control, el
cumplimiento y el desempeño?

24
Introducción a los Componentes esenciales de COBIT

Cada proceso está cubierto en cuatro secciones, y cada sección

constituye aproximadamente una página, de la manera siguiente:

La Sección 1, contiene una Descripción del Proceso que

resume los objetivos del proceso, con el objetivo de control de
alto nivel representado en formada de cascada.

Esta página también muestra el mapeo de este proceso con los

criterios de información, con los recursos de TI y con las áreas de
enfoque de gobierno de TI, indicando con una P la relación
primaria y con una S la secundaria.

25
 Dominio

Proceso
(sub dominio)

Requerimientos
de Negocio
Indicadores
(Indicadores)
de Dominio
(Criterios de
de TI
Información)

Objetivos de TI

Objetivos del
proceso
 Actividades
claves

Métricas clave

Indicadores
de Dominios
de IT Recursos de TI
Governance (Indicadores)

Primario es el grado al cual el objetivo de control definido impacta directamente el requerimiento de información de interés.
Secundario es el grado al cual el objetivo de control definido satisface únicamente de forma indirecta o en menor medida el
requerimiento de información de interés.
La Sección 2,
contiene los Objetivos
de Control
Detallados para este
proceso.
La Sección 3, contiene las Entradas y Salidas del proceso / la Matriz RACI / las
Metas y las Métricas.
La Sección 3, contiene las Entradas y Salidas del proceso / la Matriz RACI / las
Metas y las Métricas.
La Sección 4,
contiene el Modelo de
Madurez para el
proceso.
VAL IT

Las organizaciones siguen haciendo

importantes inversiones en negocios
posibilitados por TI.

Muchas organizaciones han creado

valor mediante la selección de las
inversiones oportunas y la gestión
efectiva de las mismas desde la
concepción, pasando por la
implementación, hasta la realización
del valor esperado.

Sin embargo, sin un gobierno efectivo

y una buena gestión, estas inversiones
generan una oportunidad igualmente
significativa para erosionar o destruir
valor.
VAL IT: Las 4 preguntas

Val IT Framework presenta una

estructura con un contenido similar al
Estrategia Valor
Framework de CobiT

Incluye para cada proceso: ¿Hacemos las ¿Obtenemos los

 Entradas y salidas cosas correctas? beneficios?
 Roles (con definiciones) y
responsabilidades
 Metas y Métricas
 Modelos de Madurez ¿Las hacemos ¿Logramos
 Gobierno del Valor en La forma hacerlas “bien
 Administración del Portafolio
 Administración de las
adecuada? hechas”?
Inversiones
Arquitectura Entrega
 VAL IT: Procesos

Su objetivo es optimizar el valor de las

inversiones de negocio habilitadas por
tecnología de una organización.

GOBIERNO
DEL VALOR
Su objetivo es
(VG) asegurar que el
Su objetivo es portafolio general de
asegurar que los inversiones
programas
ADMINISTRACION ADMINISTRACION habilitadas por TI, se
individuales de DE INVERSIONES DEL PORTAFOLIO encuentre alineado
inversión habilitada (IM) (PM) con los objetivos
por TI, generan un estratégicos de la
valor óptimo a un organización y
costo accesible con un contribuye con un
nivel de riesgo valor óptimo al logro
conocido y aceptable. de los mismos.
 Val TI cuenta con:
 3 Procesos,
 39 Practicas
claves de gestión

Ver pagina 26
RISK IT

RISK IT es el riesgo comercial, es decir, el riesgo de los negocios asociados

con el uso, propiedad, operación, participación, influencia y adopción de
las TI dentro de una organización.
Se compone de eventos relacionados con IT que podrían afectar a la
organización. Esto incluye tanto la frecuencia y la magnitud incierta, la
creación de problemas en el cumplimiento de metas y objetivos
estratégicos, así como la incertidumbre en la búsqueda de oportunidades.

RISK IT: Clasificación

Los riesgos pueden clasificarse de varias formas:
 El valor de los riesgos de TI permitidos: Asociado con las
oportunidades no aprovechadas para mejorar la eficiencia o
efectividad de los procesos de negocio, o la capacidad de soportar
nuevas iniciativas, a través del uso de la tecnología.
 Programas de TI y riesgos en las entregas de proyectos: Asociada a
la contribución de IT sobre nuevas soluciones de negocio,
generalmente en forma de proyectos y programas.
 Operaciones de TI y riesgos en las entregas de servicios: Asociadas
con todos los aspectos relacionados con los servicios y sistemas de TI,
los cuales puede producir pérdidas o reducción del valor a la
organización.
Visión General
Objetivo del Dominio: Garantizar que las
Dominio tecnologías de gestión de los riesgos de
las practicas están arraigadas en la
RG2 empresa, lo que le permite garantizar una
optima rentabilidad ajustada al riesgo.
Risk TI cuenta con:
 3 Dominios,
 9 Procesos y Procesos
 43 Actividades claves
RG1 RG3

RR2 RE2

RR1 RR3 RE1 RE3

Objetivo del Dominio: Asegurar que TI relacionadas Objetivo del Dominio: Asegúrese de que los
con asuntos de riesgos, oportunidades y los eventos riesgos relacionados con TI y las
se tratan en una manera rentable y en línea con las oportunidades son identificados, analizados
prioridades del negocio. y presentados en términos de negocio.
 Dominio: Gobierno del Riesgo (RG)
Proceso
RG1 Establece y Mantiene una Visión de Riesgo Común
Asegurar que las actividades de gestión de riesgos se alinean con la capacidad objetiva de la empresa de TI relacionados
con la pérdida de liderazgo y la tolerancia subjetiva de ella.
RG1.1 Desarrolla en una empresa el marco especifico de gestión de riesgos de TI
RG1.2 Proponer los umbrales de tolerancia de riesgo de TI
RG1.3 Aprobar la tolerancia al riesgo
RG1.4 Alinear la política de riesgos de TI Actividades claves
RG1.5 Promover los riesgos de TI – cultura consciente
RG1.6 Promover una comunicación efectiva de los riesgos de TI

RG2 Integrar con ERM ERM: gestión de los riesgos organizacionales

Integrar la estrategia de riesgos de TI y las operaciones con el negocio de las decisiones estratégicas del
riesgo que se han hecho a nivel de empresa.
RG2.1 Establecer la rendición de cuentas de la gestión de los riesgos de TI en toda la empresa
RG2.2 Coordinar la estrategia de riesgos de TI y la estrategia de riesgo empresarial.
RG2.3 Adaptar las prácticas de riesgos de TI a las prácticas de riesgo de la empresa.
RG2.4 Proporcionar recursos adecuados para la gestión de riesgos.
RG2.5 Garantizar el aseguramiento independiente sobre la gestión de riesgos

RG3 Toma de decisiones consciente del riesgo de negocio

Asegurar que las decisiones de la organización cuentan con una amplia gama de oportunidades y las consecuencias de
la dependencia de la TI para el éxito.
RG3.1 Ganancia de la gestión de compra - para el enfoque de análisis de riesgos.
RG3.2 Aprobar el análisis de riesgos de TI
RG3.3 Incorporar la consideración de los riesgos de TI en la toma de decisiones estratégicas de negocio.
RG3.4 Aceptar los riesgos de TI.
RG3.5 Priorizar actividades de respuesta de riesgos de TI.
 Dominio: Evaluación del Riesgo (RE)
[Link] datos
Identificar los datos pertinentes para hacer viable la identificación de riesgos de TI relacionados, el análisis y
presentación de informes.
RE1.1 Establecer y mantener un modelo para la recolección de datos.
RE1.2 Recopilar datos sobre el entorno externo
RE1.3 Recopilar datos sobre eventos de riesgo.
RE1.4 Identificar factores de riesgo

RE 2. Análisis de riesgos
Desarrollar una información útil para apoyar las decisiones de riesgo que tenga en cuenta la importancia
de factores de riesgo de negocios.
RE2.1 Definir Alcance del Análisis de Riesgos
RE2.2 Estimación de riesgos de TI
RE2.3 Identificar las opciones de respuesta de riesgo.
RE2.4 Realizar una revisión por pares de los resultados de análisis de riesgos de TI.

RE3. Mantener el perfil de riesgos

Mantener actualizado el inventario completo de los riesgos conocidos y los atributos (por ejemplo, que se espera, la
frecuencia de impacto potencial, disposición), los recursos, las capacidades y los controles como se entiende en el
contexto de los productos empresariales, servicios y procesos.
RE3.1. Mapa de recursos de TI para procesos de negocio
RE3.2 Determinar la criticidad de negocios de los recursos de TI.
RE3.3 Entender las capacidades de TI
RE3.4 Actualización de los componentes des escenario de riesgos de TI
RE3.5 Mantener los riesgos de TI y mapa de registro de riesgos de TI.
RE3.6 Diseñar y comunicar los indicadores de riesgo de TI.
 Dominio: Respuesta al Riesgo (RR)
RR1 Articular riesgos
Asegurar que la información sobre el verdadero estado de TI relacionados con la exposición y las oportunidades se
disponga de manera oportuna y sea accesible a las personas adecuadas para dar respuestas apropiadas.
RR1.1 Informe de los resultados de análisis de riesgos de TI.
RR1.2 Informe de actividades de gestión de riesgos de TI y el estado de cumplimiento.
RR1.3 Interpretar resultados de la evaluación independiente de TI.
RR1.4 Identificar TI – Oportunidades relacionadas.

RR2 Gestión de los riesgos de TI

Garantizar que las medidas para aprovechar las oportunidades estratégicas y la reducción del riesgo a un nivel
aceptable se gestionan como una cartera. RR2.1 Controles del inventario
RR2.2 Supervisar la alineación operacional de los umbrales de tolerancia al riesgo.
RR2.3Responder a la exposición al riesgo descubierto y la oportunidad.
RR2.4 Implementar los controles
RR2.5 Informe del progreso del plan de acción de riesgos de TI

[Link]ón a los acontecimientos

Asegurar que las medidas para aprovechar las oportunidades inmediatas o limitar la magnitud de la pérdida de los
acontecimientos relacionados con la TI se activan en forma oportuna y eficaz.
RR3.1 Mantener los planes de respuesta a incidentes.
RR3.2 Supervisión de riesgos de TI
RR3.3 Iniciar planes de respuesta a incidentes.
RR3.4 Comunicar las lecciones aprendidas de eventos de riesgo.

Ver pagina 46
BMIS

El Modelo de Negocios para la

Seguridad de la Información (BMIS) es
un modelo que apoya al negocio en
materia de seguridad de la
información a las empresas.

El modelo propone ver a la empresa como

un conjunto que tiene:

 Cuatro (4) elementos:

o Organización
o Personas
o Tecnología
o Procesos

 Seis (6) interconexiones dinámicas:

o Gobierno
o Cultura
o Arquitectura
o Habilitación y Soporte
o Factores Humanos
o Emergentes

43
ITAF

ITAF™ Marco para la Práctica

Profesional de Aseguramiento de
TI (ITAF: A Professional Practices
Framework for IT Assurance); es un
manual de consulta realizado por
la red global de ISACA de
Gobierno de IT, Control,
Seguridad, y Consultoría de IT.

La ventaja del manual es que

integra la mayoría de temas que
uno pueda necesitar:

 directrices,
 estándares,
 definiciones,
 políticas
 procedimientos,
 programas de trabajo,
 desarrollo de proyectos e
 informes.

44
INTRODUCCION COBIT 5

45
Agenda

1. Introducción a COBIT 5: principales características

2. Principios: (1)

46
1. Introducción a COBIT 5: Principales
características

47
Isaca lanzó el 10 de abril del 2012
la nueva edición de este marco de
referencia. COBIT 5 es la última
edición del framework
mundialmente aceptado, el cual
proporciona una visión empresarial
del Gobierno de TI que tiene a la
tecnología y a la información como
protagonistas en la creación de
valor para las empresas.
Familia de Productos de COBIT 5
El marco de
referencia
COBIT 5
proporciona a
sus grupos de
interés la guía
más completa y
actualizada (ver
figura 11)

Ver link [Link]

Familia de Productos de COBIT 5
 COBIT 5: Integra con los marcos de ISACA

Es el marco aceptado internacionalmente como

una buena práctica para el control de la
información, TI y los riesgos que conllevan.

RISK IT es un marco basado en un conjunto de

principios y guías, procesos de negocio y directrices
de gestión que se ajustan a estos principios.

Val IT se centra en la decisión de invertir (¿estamos

haciendo lo correcto?) y la realización de beneficios
(¿estamos obteniendo beneficios?)

El Modelo de Negocios para la Seguridad de la

Información (BMIS) es un modelo que apoya al
negocio en materia de seguridad de la información
a las empresas. BMIS
ITAF™ Marco para la Práctica Profesional de
Aseguramiento de TI (ITAF: A Professional Practices
Framework for IT Assurance); es un manual de
consulta realizado por la red global de ISACA de
Gobierno de IT, Control, Seguridad, y Consultoría de
ITAF
IT.
COBIT 5: Se integra con otros marcos
COBIT 5 es un marco
de referencia único e
integrado porque:

• Se alinea con otros

estándares y marcos
de referencia
relevantes y, por
tanto, permite a la
empresa usar COBIT
5 como el marco
integrador general de
gestión y gobierno.

Ver video
52
Visión General: ¿Qué impulsa COBIT 5?
 Proporcionar orientación en:
 Arquitectura empresarial
 Gestión de activos y servicios
 Modelos organizacionales y de sourcing
emergentes
 Innovación y nuevas tecnologías

 Responsabilidades del
Negocio y de TI
 Controles para
soluciones de TI

 Necesidades empresariales
 Incrementar la creacion de valor
 Obtener la satisfaccion de los usuarios
 Lograr el cumplimiento de las leyes,
reglamentos y políticas
 Mejorar la relación entre el negocio y TI
 Aumentar el retorno de la gobernabilidad de TI
 Conectar y alinearse con los principales
frameworks y estándares
Visión General: Alcance de COBIT 5

No solo para TI, no solo para las

grandes empresas
 COBIT 5 se trata de Gobierno y Gestión de
la Información
 Cualquiera que sea el medio que se utilice
 De extremo a extremo en toda la empresa

 La información es igualmente importante:

 Para empresas globales, multinacionales
 Para gobiernos nacionales y locales
 No solo para empresas lucrativas, también
para organizaciones de caridad
 Para empresas pequeñas y medianas
 Para clubes y asociaciones
 Visión General: Beneficios

 La información es la moneda comercial del siglo

XXI
 La información tiene un ciclo vital: es creada, usada,
conservada, revelada y destruida
 La tecnología desempeña un rol clave en estas
acciones
 La tecnología penetra todos los aspectos del negocio
y de la vida personal
 Cualquier tipo de empresa necesita ser capaz de
confiar en información de calidad para apoyar las
decisiones ejecutivas de calidad
Visión General: Valor de los Stakeholders

 La entrega de valor a los Stakeholders de la empresa requiere de un buen Gobierno y Gestión de la información y
de los activos tecnológicos (TI)
 Los Comités Directivos, los ejecutivos y la Gerencia tienen que apoyar a TI como a cualquier otra parte importante
del negocio.
 Los requerimientos externos de cumplimiento con normas legales, reglamentarias y contractuales relacionados
con el uso de la información y la tecnología están aumentando, amenazando la generación valor si estas son
incumplidas.

COBIT 5 proporciona un marco de referencia amplio, que ayuda a las empresas a alcanzar sus metas y
entregar valor, a través de un efectivo Gobierno y Gestión de las TI de la empresa.
 Cambios en esta
nueva versión

Dado que la nueva versión de COBIT 5 ha sido oficialmente publicada por ISACA
el [Link].2012, posee algunos cambios respecto a la versión anterior 4.1:
Cambios en esta nueva versión COBIT 5

58
1. Nuevos principios de Gobierno de TI
1. Nuevos principios de Gobierno de TI

Fuente: [Link]
2. Mayor atención en los Habilitadores (Catalizadores)

Ya existían (implícita o explícitamente) los Facilitadores en la versión de COBIT 4.1,

aunque no se le llamaban así.
3. Nuevo Modelo de Referencia de Procesos
COBIT 4.1

En detalle,
compuesto de 4
dominios que
contienen 34
procesos genéricos.
Detalle de Procesos COBIT 4.1

Cada proceso está cubierto en cuatro secciones, y cada sección

constituye aproximadamente una página, de la manera siguiente:

La Sección 1, contiene una Descripción del Proceso que

resume los objetivos del proceso, con el objetivo de control de
alto nivel representado en formada de cascada.

Esta página también muestra el mapeo de este proceso con los

criterios de información, con los recursos de TI y con las áreas de
enfoque de gobierno de TI, indicando con una P la relación
primaria y con una S la secundaria.

64
 Dominio

Proceso
(sub dominio)

Requerimientos
de Negocio
Indicadores
(Indicadores)
de Dominio
(Criterios de
de TI
Información)

Objetivos de TI

Objetivos del
proceso
 Actividades
claves

Métricas clave

Indicadores
de Dominios
de IT Recursos de TI
Governance (Indicadores)

Primario es el grado al cual el objetivo de control definido impacta directamente el requerimiento de información de interés.
Secundario es el grado al cual el objetivo de control definido satisface únicamente de forma indirecta o en menor medida el
requerimiento de información de interés.
La Sección 2,
contiene los Objetivos
de Control
Detallados para este
proceso.
La Sección 3, contiene las Entradas y Salidas del proceso / la Matriz RACI / las
Metas y las Métricas.
La Sección 3, contiene las Entradas y Salidas del proceso / la Matriz RACI / las
Metas y las Métricas.
La Sección 4,
contiene el Modelo de
Madurez para el
proceso.
Cambios en el Pentágono de COBIT 4.1
para el Gobierno de TI
El cambio es haber transformado (desaparece) el famoso “Pentágono” del Gobierno de TI de COBIT
4.1 prácticamente en el nuevo dominio denominado “Evaluar, Dirigir y Supervisar (EDM)”.

Pentágono de COBIT 4.1 Cobertura en COBIT 5

Proceso EDM01
Alineación Estratégica Definir y Mantener el Marco
de Trabajo
Proceso EDM02
Entrega de Valor Asegurar Entrega de
Beneficios
Proceso EDM03
Gestión de Riesgos Asegurar Optimización de
Riesgo
Proceso EDM04
Gestión de Recursos Asegurar Optimización de
Recursos
Proceso EDM05
Medición del Asegurar Transparencia para los
Desempeño Interesados y Practica de
Monitoreo
COBIT 5: Nuevos Dominios

COBIT 5

Alinear, Planear y Organizar

(APO)
Construir, Adquirir e Implantar
(BAI)
Procesos Gestión de TI Entregar, Servir y Soportar
(DSS)
Supervisar, Evaluar y Valorar
(MEA)
Evaluar, Dirigir y Supervisar
Procesos Gobierno de TI (EDM)
COBIT 5: Nuevos Dominios
A nivel de la estructura de Dominios y Procesos esto es lo más relevante del
comparativo entre ambas versiones:

COBIT 4.1 COBIT 5

Alinear, Planear y Organizar

Planear y Organizar (PO)
(APO)
Construir, Adquirir e Implantar
Adquirir e Implementar (AI)
(BAI)
Entregar, Servir y Soportar
Entregar y Dar Soporte (DS)
(DSS)
Supervisar, Evaluar y Valorar
Monitorear y Evaluar (ME)
(MEA)
Evaluar, Dirigir y Supervisar
(EDM)

Fuente: Cobit 4.1y Cobit 5

COBIT 5: Nuevos Dominios y procesos

COBIT 4.1 COBIT 5

Alinear, Planear y Organizar
Planear y Organizar (PO)
(APO)

PO1 Definir un Plan Estratégico de TI APO01 Garantizar el Marco de Gestión de TI

PO2 Definir la Arquitectura de la Información APO02 Gestionar la Estrategia
PO3 Determinar la Dirección Tecnológica APO03 Gestionar la Arquitectura Empresarial
PO4 Definir los Procesos, Organización y APO04 Gestionar la Innovación
Relaciones de TI APO05 Gestionar Cartera
PO5 Administrar la Inversión en TI APO06 Gestionar Presupuesto Y Costos
PO6 Comunicar las Aspiraciones y la Dirección de APO07 Gestionar Recursos Humanos
la Gerencia APO08 Gestionar Relaciones
PO7 Administrar Recursos Humanos de TI APO09 Gestionar Acuerdos de Servicio
PO8 Administrar la Calidad APO10 Gestionar Proveedores
PO9 Evaluar y Administrar los Riesgos de TI APO11 Gestionar Calidad
PO10 Administrar Proyectos APO12 Gestionar Riesgo
APO13 Gestionar Seguridad
COBIT 5: Nuevos Dominios y procesos

COBIT 4.1 COBIT 5

Construir, Adquirir e Implantar
Adquirir e Implementar (AI)
(BAI)

AI1 Identificar soluciones automatizadas BAI01 Gestionar Programas y Proyectos

AI2 Adquirir y mantener el software aplicativo BAI02 Gestionar Definición de Requerimientos
AI3 Adquirir y mantener la infraestructura BAI03 Gestionar Identificación de Soluciones y
tecnológica Construir
AI4 Facilitar la operación y el uso BAI04 Gestionar Disponibilidad y Capacidad
AI5 Adquirir recursos de TI BAI05 Gestionar Facilitación del Cambio
AI6 Administrar cambios Organizacional
AI7 Instalar y acreditar soluciones y cambios BAI06 Gestionar Cambios
BAI07 Gestionar Aceptación del Cambio y
Transición
BAI08 Gestionar Conocimiento
BAI09 Gestionar Activos
BAI010 Gestionar Configuración
COBIT 5: Nuevos Dominios y procesos

COBIT 4.1 COBIT 5

Entregar, Servir y Soportar
Entregar y Dar Soporte (DS)
(DSS)

DS1 Definir y administrar los niveles de servicio DSS01 Gestionar Operaciones

DS2 Administrar los servicios de terceros DSS02 Gestionar Requerimientos de Servicio e
DS3 Administrar el desempeño y la capacidad Incidentes
DS4 Garantizar la continuidad del servicio DSS03 Gestionar Problemas
DS5 Garantizar la seguridad de los sistemas DSS04 Gestionar Continuidad
DS6 Identificar y asignar costos DSS05 Gestionar Servicios de Seguridad
DS7 Educar y entrenar a los usuarios DSS06 Gestionar Control de Procesos de
DS8 Administrar la mesa de servicio y los Negocio
incidentes
DS9 Administrar la configuración
DS10 Administrar los problemas
DS11 Administrar los datos
DS12 Administrar el ambiente físico
DS13 Administrar las operaciones
COBIT 5: Nuevos Dominios y procesos

COBIT 4.1 COBIT 5

Supervisar, Evaluar y Valorar
Monitorear y Evaluar (ME)
(MEA)

ME1 Monitorear y Evaluar el Desempeño de TI MEA01 Desempeño y Conformidad

ME2 Monitorear y Evaluar el Control Interno MEA02 Sistema de Control Interno
ME3 Garantizar el Cumplimiento Regulatorio MEA03 Cumplimiento de Requerimientos
ME4 Proporcionar Gobierno de TI Externos

COBIT 5
Evaluar, Dirigir y Supervisar
(EDM)

EDM01 Definir y Mantener el Marco de

Gobierno
EDM02 Asegurar Entrega de Beneficios
EDM03 Asegurar Optimización de Riesgo
EDM04 Asegurar Optimización de Recursos
EDM05 Asegurar Transparencia para los
Interesados
 Estructura del Modelo de Procesos COBIT 5

Descripción del Proceso

Propósito del Proceso
Metas de TI Métricas Relacionadas
Metas del Proceso Métricas Relacionadas
RACI*: Matriz de Roles y Responsabilidades
Practicas de Gobierno/Gestión Entradas Salidas
Actividades
Guía Relacionada

(*)RACI: (R) Responsable, (A) Aprobador, (C) Consultado, (I) Informado

Descripción del Proceso

Propósito del Proceso

Métricas
Relacionadas
Metas de TI

Métricas
Relacionadas
Metas del Proceso
RACI*: Matriz de Roles y
Responsabilidades

(*)RACI:
(R) Responsable,
(A) Aprobador,
(C) Consultado,
(I) Informado

Practicas de
Entradas Salidas
Gobierno/Gestión

Actividades
Guía Relacionada
4. Procesos nuevos y modificados

 Cubre de extremo a extremo las

actividades del Negocio y de TI  Logra que la participación, responsabilidad
y rendición de cuentas de las personas
interesadas del negocio (stakeholders) sea
mas explicita y transparente, en el uso de
 Proporcionar un TI
enfoque mas
holístico y una
cobertura completa  Hay varios procesos nuevos y modificados que reflejan
de las practicas el pensamiento actual, en particular:
APO03 Gestionar la Arquitectura Empresarial
APO04 Gestionar la Innovación
APO05 Gestionar Cartera
APO06 Gestionar Presupuesto Y Costos
APO08 Gestionar Relaciones
APO13 Gestionar Seguridad
BAI05 Gestionar Facilitación del Cambio Organizacional
BAI08 Gestionar Conocimiento
BAI09 Gestionar Activos
DSS05 Gestionar Servicios de Seguridad
DSS06 Gestionar Control de Procesos de Negocio
5. Practicas y Actividades
Visión General
Dominio
Objetivo del Dominio: Garantizar que las
tecnologías de gestión de los riesgos de
Risk TI cuenta con: RG2 las practicas están arraigadas en la
 3 Dominios, empresa, lo que le permite garantizar una
 9 Procesos y optima rentabilidad ajustada al riesgo.
 43 Actividades claves
Procesos
RG1 RG3

RR2 RE2

RR1 RR3 RE1 RE3

Objetivo del Dominio: Asegurar que TI relacionadas Objetivo del Dominio: Asegúrese de que los
con asuntos de riesgos, oportunidades y los eventos riesgos relacionados con TI y las
se tratan en una manera rentable y en línea con las oportunidades son identificados, analizados
prioridades del negocio. y presentados en términos de negocio.
 Dominio: Gobierno del Riesgo (RG)
Proceso
RG1 Establece y Mantiene una Visión de Riesgo Común
Asegurar que las actividades de gestión de riesgos se alinean con la capacidad objetiva de la empresa de TI relacionados
con la pérdida de liderazgo y la tolerancia subjetiva de ella.
RG1.1 Desarrolla en una empresa el marco especifico de gestión de riesgos de TI
RG1.2 Proponer los umbrales de tolerancia de riesgo de TI
RG1.3 Aprobar la tolerancia al riesgo
RG1.4 Alinear la política de riesgos de TI Actividades claves
RG1.5 Promover los riesgos de TI – cultura consciente
RG1.6 Promover una comunicación efectiva de los riesgos de TI

RG2 Integrar con ERM ERM: gestión de los riesgos organizacionales

Integrar la estrategia de riesgos de TI y las operaciones con el negocio de las decisiones estratégicas del
riesgo que se han hecho a nivel de empresa.
RG2.1 Establecer la rendición de cuentas de la gestión de los riesgos de TI en toda la empresa
RG2.2 Coordinar la estrategia de riesgos de TI y la estrategia de riesgo empresarial.
RG2.3 Adaptar las prácticas de riesgos de TI a las prácticas de riesgo de la empresa.
RG2.4 Proporcionar recursos adecuados para la gestión de riesgos.
RG2.5 Garantizar el aseguramiento independiente sobre la gestión de riesgos

RG3 Toma de decisiones consciente del riesgo de negocio

Asegurar que las decisiones de la organización cuentan con una amplia gama de oportunidades y las consecuencias de
la dependencia de la TI para el éxito.
RG3.1 Ganancia de la gestión de compra - para el enfoque de análisis de riesgos.
RG3.2 Aprobar el análisis de riesgos de TI
RG3.3 Incorporar la consideración de los riesgos de TI en la toma de decisiones estratégicas de negocio.
RG3.4 Aceptar los riesgos de TI.
RG3.5 Priorizar actividades de respuesta de riesgos de TI.
 Dominio: Evaluación del Riesgo (RE)
[Link] datos
Identificar los datos pertinentes para hacer viable la identificación de riesgos de TI relacionados, el análisis y
presentación de informes.
RE1.1 Establecer y mantener un modelo para la recolección de datos.
RE1.2 Recopilar datos sobre el entorno externo
RE1.3 Recopilar datos sobre eventos de riesgo.
RE1.4 Identificar factores de riesgo

RE 2. Análisis de riesgos
Desarrollar una información útil para apoyar las decisiones de riesgo que tenga en cuenta la importancia
de factores de riesgo de negocios.
RE2.1 Definir Alcance del Análisis de Riesgos
RE2.2 Estimación de riesgos de TI
RE2.3 Identificar las opciones de respuesta de riesgo.
RE2.4 Realizar una revisión por pares de los resultados de análisis de riesgos de TI.

RE3. Mantener el perfil de riesgos

Mantener actualizado el inventario completo de los riesgos conocidos y los atributos (por ejemplo, que se espera, la
frecuencia de impacto potencial, disposición), los recursos, las capacidades y los controles como se entiende en el
contexto de los productos empresariales, servicios y procesos.
RE3.1. Mapa de recursos de TI para procesos de negocio
RE3.2 Determinar la criticidad de negocios de los recursos de TI.
RE3.3 Entender las capacidades de TI
RE3.4 Actualización de los componentes des escenario de riesgos de TI
RE3.5 Mantener los riesgos de TI y mapa de registro de riesgos de TI.
RE3.6 Diseñar y comunicar los indicadores de riesgo de TI.
 VAL IT: Procesos

Su objetivo es optimizar el valor de las

inversiones de negocio habilitadas por
tecnología de una organización.

GOBIERNO
DEL VALOR
Su objetivo es
(VG) asegurar que el
Su objetivo es portafolio general de
asegurar que los inversiones
programas
ADMINISTRACION ADMINISTRACION habilitadas por TI, se
individuales de DE INVERSIONES DEL PORTAFOLIO encuentre alineado
inversión habilitada (IM) (PM) con los objetivos
por TI, generan un estratégicos de la
valor óptimo a un organización y
costo accesible con un contribuye con un
nivel de riesgo valor óptimo al logro
conocido y aceptable. de los mismos.
 Val TI cuenta con:
 3 Procesos,
 39 Practicas
claves de gestión

Ver pagina 26
6. Metas y Métricas revisadas y ampliadas
Metas de Negocios y de TI de COBIT 4.1
Cascada de Metas de COBIT 5

Paso 1

Paso 2

Pag.55

Paso 3 Pag.49

Pag.51
Paso 4
7. Entradas y Salidas revisadas y mejoradas

COBIT 5 COBIT 4.1

 Provee entradas y
salidas para cada
una de las
practicas de
gestión (objetivos
de control)
 En COBIT 4.1
únicamente a
nivel de
procesos

 Proporciona una COBIT 5

guía detallada
adicional para el
diseño de procesos
incluyendo
productos de
trabajo esenciales y
para asistir con la
integración de
procesos.
8. Tablas RACI mas detalladas
COBIT 4.1
COBIT 5
 Provee tablas RACI
(Responsible,
Accountable,
Consulted,
Informed)
describiendo roles y
responsabilidades

 Proporciona una
visión mas COBIT 5
completa, detallada
y un rango mas
amplio de
posiciones
genéricas del
negocio

Nota:
(R) Responsable,
(A) Aprobador,
(C) Consultado,
(I) Informado
9. Modelo de Evaluación de Capacidad de Procesos
Modelo de Madurez COBIT 4.1

Predecible
9. Modelo de Evaluación de Capacidad de Procesos

ISO 15504

ISO/IEC 15504, Software Process Improvement Capability Determination,

«Determinación de la Capacidad de Mejora del Proceso de Software»
9. Modelo de Evaluación de Capacidad de Procesos
9. Modelo de Evaluación de Capacidad de Procesos

5
Modelo de Evaluación del Proceso (PAM)

5
Guia del Asesor

5
Guia de Autoevaluación
9. Modelo de Evaluación de Capacidad de Procesos

Ver [Link]
Además, cambios en el Cubo de COBIT 4.1 para
los criterios de Información
El cambio es el novedoso Modelo de la Información que viene a reemplazar a los 7 Criterios que
durante toda la vigencia de COBIT 4.1 dieron forma al célebre “cubo”:

COBIT 4.1:
COBIT 5
Requerimientos del Negocio (Criterios de Información)
Efectividad Utilidad

Eficiencia Usabilidad

Integridad Libre de error

Confiabilidad Credibilidad

Disponibilidad Accesibilidad

Confidencialidad Seguridad

Cumplimiento Conformidad
2. Principios: (1)

105
Visión General: Principios de COBIT 5

COBIT 5 reúne cinco (5)

principios que permiten a
la empresa elaborar una
gobernabilidad efectiva .
COBIT 5 Framework (libro)
Visión General: Principios de COBIT 5
Las empresas existen para crear valor para sus
partes interesadas manteniendo el equilibrio entre:
 realización de beneficios
 optimización de los riesgos y
 uso de recursos.

El marco de trabajo
COBIT 5 establece COBIT 5 integra el gobierno y
una clara distinción la gestión de TI en el gobierno
entre corporativo
gobierno y gestión.

COBIT 5 se alinea a alto nivel con otros

COBIT 5 define un conjunto estándares y marcos de trabajo relevantes.
de catalizadores (enablers)  Principios, Políticas y Marcos de Trabajo
para apoyar la implementación  Procesos
de un sistema de gobierno y  Estructuras Organizativas
gestión global para las TI de la  Cultura, Ética y Comportamiento
empresa.  Información
 Servicios, Infraestructuras y Aplicaciones
Fuente: [Link]  Personas, Habilidades y Competencias
 Principio 1
Satisfacer las
Necesidades de
las Partes
Interesadas
109
Introducción
Stakeholder

Accionista
Las empresas existen para
crear valor.
Auditoria Directorio Directores
En consecuencia, cualquier
empresa, comercial o no,
tendrá la creación de valor Gerencia
General
como un objetivo de
Gobierno.

Empleados:
RRHH Finanzas Logística TIC Mercadeo
 Gerente
 Jefes
 Trabajadores

110
Introducción

111
Introducción
Las empresas tienen muchas partes interesadas, y
‘crear valor’ significa cosas diferentes — y a veces
contradictorias — para cada uno de ellos.

Stakeholder es un
término ingles
utilizado por primera
vez por R.E Freeman
en su obra: “Strategic
Management: A
Stakeholder
Approach” (Pitman,
1984), para referirse
a «quienes pueden
afectar o son
afectados por las
actividades de una
empresa».

112
Introducción

Creación de valor
significa conseguir
beneficios a un
coste óptimo
de los recursos
mientras se
optimiza el riesgo.
(Ver figura 3.)

113
Introducción
En consecuencia, el Sistema de Gobierno debe
considerar a todas las partes interesadas al
tomar decisiones sobre beneficios, evaluación de
riesgos y recursos. Para cada decisión, las
siguientes preguntas pueden y
deben hacerse:

¿Para quién son los beneficios?

¿Quién asume el riesgo?
¿Qué recursos se requieren?

Cada empresa opera en un contexto diferente;

este contexto está determinado por:
 Factores externos (el mercado, la industria,
geopolítica, etc.) y
 Factores internos (la cultura, organización,
umbral de riesgo, etc.)
y requiere un sistema de gobierno y gestión
personalizado.

Las necesidades de las partes interesadas

deben “transformarse” en una estrategia
corporativa factible.
Cascada de Metas de COBIT 5

Paso 1

Paso 2

Pag.55

Paso 3 Pag.49

Pag.51
Paso 4
Paso 1. Los Motivos de las Partes Interesadas Influyen
en las Necesidades de las Partes Interesadas.
Paso 2. Las Necesidades de las Partes Interesadas
Desencadenan Metas Empresariales
Las necesidades de las partes interesadas pueden estar relacionadas con un conjunto de
metas empresariales genéricas.
Estas metas corporativas han sido desarrolladas utilizando las dimensiones del cuadro de mando
integral (CMI. En inglés: Balanced Scorecard, BSC) y representan una lista de objetivos comúnmente
usados que una empresa puede definir por sí misma.

Según sus creadores, Kaplan y

Norton (2000), el Cuadro de
Mando Integral (CMI) pretende
unir el control operativo a
corto plazo y la estrategia a
largo plazo de la empresa.

[Link]
Dato: Cuadro de Mando Integral

Es decir, la empresa se ve
obligada a controlar y vigilar
las operaciones de hoy,
porque afectan al desarrollo
de mañana.

Por tanto, se basa en tres

Dimensiones:
ayer,
hoy y
mañana.

Y a través de 4 Perspectivas:
 finanzas,
 clientes,
 interna (procesos) y
 potenciales (Aprendizaje y
crecimiento)
Paso 2. Las Necesidades de las Partes Interesadas
Desencadenan Metas Empresariales
COBIT 5 define 17 objetivos genéricos, como se muestra en la figura 5:

P: Primario, S: Secundario
Métricas de
Metas
Corporativas
Métricas de
Metas
Corporativas
Paso 3. Cascada de Metas de Empresa a Metas
Relacionadas con las TI
El logro de metas empresariales requiere un número de resultados relacionados con las TI, que están
representados por las metas relacionadas con la TI. Se entiende como relacionados con las TI a la información y
tecnologías relacionadas, y las metas relacionadas con las TI se estructuran en dimensiones del CMI.
Métricas de
Metas TI
Métricas de
Metas TI
Paso 3. Cascada de Metas de Empresa a Metas
Relacionadas con las TI
La tabla que mapea entre las metas relacionadas con TI y los empresariales está incluida en el apéndice B y
muestra cómo cada meta corporativa es soportada por varias metas relacionadas con TI.

Ver Completo , pagina 49, Apéndice B, Libro COBIT 5 Framework

Paso 4. Cascada de Metas Relacionadas con las TI
Hacia Metas Catalizadoras

Ver Completo , pagina 51, Apéndice C, Libro COBIT 5 Framework

1. Principios: (2,3,4,5)

127
Visión General: Principios de COBIT 5
Las empresas existen para crear valor para sus
partes interesadas manteniendo el equilibrio entre:
 realización de beneficios
 optimización de los riesgos y
 uso de recursos.

El marco de trabajo
COBIT 5 establece COBIT 5 integra el gobierno y
una clara distinción la gestión de TI en el gobierno
entre corporativo
gobierno y gestión.

COBIT 5 se alinea a alto nivel con otros

COBIT 5 define un conjunto estándares y marcos de trabajo relevantes.
de catalizadores (enablers)  Principios, Políticas y Marcos de Trabajo
para apoyar la implementación  Procesos
de un sistema de gobierno y  Estructuras Organizativas
gestión global para las TI de la  Cultura, Ética y Comportamiento
empresa.  Información
 Servicios, Infraestructuras y Aplicaciones
Fuente: [Link]  Personas, Habilidades y Competencias
 Principio 2
Cubrir la empresa de
extremo a extremo

129
 Cubrir la empresa de extremo a extremo
Esto significa que COBIT 5:

 Integra el gobierno y la gestión de

TI en el Gobierno Corporativo. Accionista

Gobierno corporativo, es el conjunto de

Auditoria Directorio Directores
principios y normas que regulan el diseño,
integración y funcionamiento de los órganos de
gobierno de la empresa, como son los tres Gerencia
poderes dentro de una sociedad: General
o Accionistas, Alta
o Directorio y Administra
o Alta Administración. ción

RRHH Finanzas Logística TIC Mercadeo

Gobierno TI empresarial, es un enfoque de
gobierno que garantiza que las tecnologías
de información y las relacionadas soportan
y habilitan la estrategia de la empresa y la
consecución de las metas corporativas.

También incluye el gobierno funcional de TI, por

ejemplo, garantizando que las capacidades de
TI son provistas de forma eficiente y efectiva.
Cubrir la empresa de extremo a extremo
• Cubre todas las funciones y
procesos necesarios para
gobernar y gestionar la
información corporativa y las
tecnologías relacionadas donde
quiera que esa información pueda
ser procesada.

Dado este alcance corporativo

amplio, COBIT 5 contempla:
o todos los servicios TI internos y
externos relevantes, así como
o los procesos de negocio internos
y externos.

Ver archivo relación de servicios TI (“Portafolio de proyectos y servicios”).

Cubrir la empresa de extremo a extremo
Catalizadores de Gobierno Alcance del Gobierno
Los catalizadores de gobierno son los recursos El gobierno puede ser aplicado a toda la empresa, a
organizativos para el gobierno, tales como: una entidad, a un activo tangible o intangible, etc.
 marcos de referencia, Es decir, es posible definir diferentes vistas de la
 principios, empresa a la que se aplica el gobierno, y es esencial
 estructuras, definir bien este alcance del sistema de gobierno.
 procesos y
 prácticas, El alcance de COBIT 5 es la empresa
a través de los que o hacia los que las acciones son
dirigidas y los objetivos pueden ser alcanzados

Roles, Actividades y Relaciones

Un último elemento son los roles, actividades y relaciones de gobierno.
Definen ¿quién está involucrado en el gobierno?, ¿como se involucran?, ¿que hacen? y ¿cómo interactúan?, dentro del
alcance de cualquier sistema de gobierno.
 Principio 3
Aplicar un Marco
de Referencia
Único Integrado

133
Marco Integrador COBIT 5

COBIT 5 es un Marco de referencia único e

integrado porque:

• Se alinea con otros estándares y marcos

de referencia relevantes y, por tanto,
permite a la empresa usar COBIT 5 como
el marco integrador general de
gestión y gobierno.

134
Marco Integrador COBIT 5
Principales otros
estándares y marcos
de referencia
relevantes con los
cuales se alinea
COBIT 5.

Ver Archivo Excel: “Procesos _ Estándar relacionado”

COBIT 5 y la integración con otros estándares

La norma ISO/IEC
ISO 38500 38500:2008 se publicó en
junio de 2008, basándose en
la norma australiana
AS8015:2005.

Es la primera de una serie

sobre el Gobierno de TI.

Su objetivo es proporcionar
un marco de principios
para que la dirección de las
organizaciones los utilicen al
evaluar, dirigir y monitorear el
uso de las tecnologías de la
información (TI's).
Figura: Modelo de gobierno de las TI
propuesto por la norma ISO 385000
Adaptado de ISO 38500 (2008)

136
Relación ISO 38500 vs COBIT 4.1
4.1

34
procesos

Fuente: IT Governance Network 137

COBIT 5 y la integración con otros estándares

Es una serie de publicaciones exhaustivas y

consistentes que se utilizan para describir y
optimizar un marco de trabajo para la Gestión
de calidad de Servicio Tl dentro de una
organización, alineado con el Standard
internacional, ISO/IEC 20000.

ITIL fue desarrollado en 1989 por la CCTA hoy

OGC (Office of Government Commerce)
agencia gubernamental británica.
Originalmente, ITIL v1 estaba comprendido
por 40 libros; luego en la v2 publicada en el
año 2,000 se redujeron a 8 libros.

La última versión de ITIL v3 (2007),

comprendió 5 publicaciones que están
relacionados con las cinco (5) fases del Ciclo
de Vida del Servicio, las cuales son:
 Estrategia de Servicio,
 Diseño del Servicio,
 Transición del Servicio,
 Operación del Servicio
 Mejora Continua del Servicio

Ver Video y Ver archivo “Procesos Estándar relacionados”. 138

Historia de ITIL
 ITIL: Ciclo de Vida del Servicio
Itil v3 consiste en 5 fases que son:

1. Estrategia de Servicio (Service 3. Transición del Servicio (Service

Strategy) Transition)
Busca conseguir el alineamiento Después de definida la Estrategia de
entre el negocio y TI. servicios y el Diseñado, se deben
poner en producción y se centra en la
gestión de cambios de nuevos y
modificados servicios.
2. Diseño del Servicio (Service
Design) 4. Operación del Servicio (Service
Una guía en la producción y Operation)
mantenimiento del diseño de Enfatiza en la mejora efectiva y
arquitecturas y políticas de TI sobre eficiente para entregar y soportar
el desarrollo de servicios los servicios en orden a asegurar
incluyendo insourcing y valor a los Clientes y Proveedores
outsourcing y asegurando los de Servicios.
requerimientos actuales y futuros
de la empresa. 5. Mejora Continua del Servicio
(Continual Services Improvement)
Se enfoca en las entradas y salidas
necesarias para el adecuado ciclo de
mejora continua sobre los servicios
existentes para mantener o mejorar su
valor.
¿Como integro COBIT con ITIL?

141
COBIT 5 y la integración con otros estándares

The Open Group Architecture

TOGAF Framework (TOGAF)
(o Esquema de Arquitectura de
Open Group, en español) es un
esquema (o marco de trabajo)
de Arquitectura Empresarial que
proporciona un enfoque para el
diseño, planificación,
implementación y gobierno de
una arquitectura empresarial de
información.

Esta arquitectura está modelada,

por lo general, en cuatro niveles o
dimensiones:
 Negocios,
 Tecnología (TI),
 Datos y
 Aplicaciones.

142
COBIT 5 y la integración con otros estándares

TOGAF Línea Temporal Evolutiva.

• 1995: TOGAF V1.0: Prueba de concepto
• 1996: TOGAF V2.0: Prueba de aplicación
• 1997:TOGAF V3.0: Relevancia a la arquitectura practica (Bloques de construcción)
• 1998: TOGAF V4.0: Continuum Empresarial (TOGAF en contexto)
• 1998: The Open Group se encarga de TAFIM
• 1999: TOGAF V5.0: Escenarios de Negocio (Requerimientos de arquitectura)
• 2000: TOGAF V 6.0: Vistas de arquitectura (IEEE Std. 1471)
• 2001: TOGAF V7.0 Technical Edition: Principios de Arquitectura, Análisis de
Cumplimiento (Compliance Review)
• 2003: TOGAF 8.0 Enterprise Edition: Extensión a la arquitectura empresarial.
• 2003: TOGAF 8.1: Administración de requerimientos; Gobernanza, Modelos
de Madurez, Framework de Habilidades.
• 2005: Programa de certificación TOGAF iniciado
• 2006: TOGAF 8.1.1: Se aplico la corrección técnica 1 (Technical Corrigendum 1)
• 2009: TOGAF 9.0: Reestructuración evolutiva; Framework de contenidos de la
arquitectura.

143
COBIT y la integración con otros estándares

ISO/IEC 27000 La serie de normas ISO/IEC

27000 son estándares de
seguridad publicados por la
Organización Internacional para
la Estandarización (ISO) y la
Comisión Electrotécnica
Internacional (IEC).

La serie contiene las mejores

prácticas recomendadas en
Seguridad de la información
para:
 desarrollar,
 implementar y
 mantener Especificaciones
para los Sistemas de Gestión de
la Seguridad de la Información
(SGSI).

144
COBIT y la integración con otros estándares

La Gestión de Riesgos (traducción

ISO/IEC 31000 del ingles Risk management) es un
enfoque estructurado para manejar
la incertidumbre relativa a una
amenaza, a través de una secuencia
de actividades humanas que
incluyen evaluacion de riesgo,
estrategias de desarrollo para
manejarlo y mitigación del riesgo
utilizando recursos gerenciales.

Las estrategias incluyen:

 transferir el riesgo a otra parte,
 evadir el riesgo,
 reducir los efectos negativos del
riesgo y
 aceptar algunas o todas las Figura: Proceso de Gestión del
consecuencias de un riesgo Riesgo
particular.

145
COBIT y la integración con otros estándares

(Integración de Modelos de
Madurez de Capacidades o
Capability Maturity Model
Integration).

Propietario el Instituto de
Ingeniería de Software (SEI®).

El CMMI (Integración de Modelos

de Madurez de Capacidades o
Capability Maturity Model
Integration) es un modelo para
la mejora y evaluación de
procesos para el desarrollo,
mantenimiento y operación de
sistemas de software.

146
COBIT y la integración con otros estándares
El Project Management Institute (PMI®) es una
organización internacional sin fines de lucro que
asocia a profesionales relacionados con la
Gestión de Proyectos.
PMBOK A principios de 2011, es la más grande del
mundo en su rubro, dado que se encuentra
integrada por más de 260.000 miembros en
cerca de 170 países.

La oficina central se encuentra en la localidad

de Newtown Square, en la periferia de la ciudad
de Filadelfia, en Pennsylvania (EEUU).

La Guía del PMBOK®, desarrollada por el

Project Management Institute, contiene una
descripción general de los fundamentos de la
Gestión de Proyectos reconocidos como buenas
prácticas.

Actualmente en su quinta edición, es el único

estándar ANSI para la gestión de proyectos.

147
PMI: Certificaciones
SIGLAS Certificación Dirigida a

Project Management Profesional Profesionales en dirección de proyectos complejos

PMP
(Profesional en Gestión de Proyectos) con varios años de experiencia.

Certified Associate Professional

Profesionales y estudiantes que se inician en la
CAPM (Asociado en Gestión de Proyectos
dirección de proyectos.
Certificado)

Program Management Professional Profesionales con experiencia en dirección de

PgMP
(Profesional en Gestión de Programas) programas.

PMI Risk Management Professional

Profesionales especializados en identificación y
PMI-RMP (PMI® Profesional en Gestión de
administración de riesgos.
Riesgos)

PMI Schedule Management Professional Profesionales especializados en elaboración y

PMI- SP
(PMI® Profesional en Programación) gestión de cronogramas.

PMI Agile Certified Practitioner (PMI® Profesionales que aplican en sus proyectos
PMI-ACP
Practicante certificado de Agile) métodos ágiles
148
Estadísticas: noviembre 2012

149
COBIT 5 y la integración con otros estándares

COSO Comité de Organizaciones

Patrocinadoras de la Comisión
Treadway (COSO, Committee of
Sponsoring Organisations of the
Treadway Commisssion Internal
Control) es una organización
voluntaria del sector privado,
establecido en EEUU, dedicada a
proporcionar liderazgo de ideas a la
dirección ejecutiva y las entidades de
gobierno en los aspectos críticos,
como:

 gobernanza de la organización,
 la ética empresarial,
 el control interno,
 la empresa de gestión de riesgos,
 el fraude y
 los informes financieros.

Ver Video Meycor COSO. 150

Dato: En el Mundo
La Organización Internacional de Entidades
Fiscalizadoras Superiores (INTOSAI),
fundada en el año 1953.

INTOSAI ha proporcionado un marco

institucional para la transferencia y el
aumento de conocimientos para mejorar a
nivel mundial la fiscalización pública
exterior

Tiene entre sus miembros a más de ciento

setenta (170) Entidades Fiscalizadoras
Superiores (EFS), entre ellas la Contraloría
General de la República de Perú (CGR),
aprobó en el año 1992 las “Directrices
para las normas de control interno”.
I NTOSAI en ingles The International Organisation of Supreme Audit Institutions
Filosofía: 'Experientia mutua omnibus prodest“ = el intercambio de experiencias entre los miembros de la INTOSAI
P agina W eb: [Link]

151
Dato: En el Mundo

Asimismo, dos años antes, en 1990 se había

publicado el documento “Control Interno – Marco
Integrado” (Internal Control – Integrated
Framework) elaborado por la Comisión Nacional
sobre Información Financiera Fraudulenta -conocida
como la Comisión Treadway.

Los miembros de dicho grupo fueron:

 Instituto Americano de Contadores Públicos
Certificados,
 Asociación Americana de Profesores de
Contabilidad,
 Instituto de Ejecutivos de Finanzas,
 Instituto de Auditores Internos, y
 Instituto de Contadores Gerenciales.

A su conjunto se les denominó con el nombre

de Comité de Organismos Patrocinadores
(COSO, Committee of Sponsoring Organizations).

152
COSO Marco Integrado (2013)
COSO es una iniciativa del sector privado, patrocinado y financiado conjuntamente por:
 American Accounting Association (AAA)
 American Institute of Certified Public Accountants (AICPA)
 Financial Executives International (FEI)
 Institute of Management Accountants (IMA)
 The Institute of Internal Auditors (IIA)

Los miembros del Consejo son:

153
COSO Marco Integrado (2013)
COSO considera que este Marco permitirá a las
organizaciones desarrollar y mantener, de una manera
eficiente y efectiva, sistemas de control interno que puedan
aumentar la probabilidad de cumplimiento de los objetivos de
la entidad y adaptarse a los cambios de su entorno operativo
y de negocio.

El Marco ha sido mejorado ya que refleja los cambios

en el entorno empresarial y operativo de las últimas
décadas, entre los que se incluyen:
 Las expectativas de supervisión del Gobierno
Corporativo
 La Globalización de los mercados y las operaciones
 Los cambios y el aumento de la complejidad de las
actividades empresariales
 Demandas y complejidades de las leyes, reglas,
regulaciones y normas
 Expectativas de las competencias y responsabilidades
 Uso y dependencia de tecnologías en evolución
 Expectativas relacionadas con la prevención y detección
del fraude 154
Dato: En el Perú
En 1998, la CGR emitió las Normas Técnicas de Control Interno
para el Sector Público, aprobadas mediante R.C. N° 072-98-CG
([Link].1998).

En el 2002, se emite la Ley Nº 27785, Ley Orgánica del Sistema

Nacional de Control y de la Contraloría General de la República,
vigente a partir del [Link].2002, que establece las normas que
regulan el ámbito, organización y atribuciones del Sistema Nacional
de Control (SNC) y de la CGR.

En el 2006, se emite la Ley Nº 28716, Ley de Control Interno de las

Contralor de la Republica del Perú entidades del Estado, aprobada por el Congreso de la República y
Fuad Khoury Zarzar publicada el [Link].2006;

En el 2006, la CGR emite la Resolución de Contraloría General N°

320-2006-CG aprueban las “Normas de Control Interno” publicadas
el [Link].2006 en el diario oficial “El Peruano”.

Finalmente, en el 2008, la CGR emite la Resolución de Contraloría

General N° 458-2008-CG aprueban “Guía para la Implementación
del Sistema de Control Interno de las entidades del Estado”
publicadas el [Link].2008 en el diario oficial “El Peruano”.

155
 COBIT y la integración con otros estándares

De acuerdo a las
“Guías
Relacionadas” que
esta expuesto en
los 37 procesos de
COBIT 5, se aprecia
la siguiente relación
con otros
estándares:

156
 COBIT 5: Integra los marcos de ISACA

Es el marco aceptado internacionalmente como

una buena práctica para el control de la
información, TI y los riesgos que conllevan.

RISK IT es un marco basado en un conjunto de

principios y guías, procesos de negocio y directrices
de gestión que se ajustan a estos principios.

Val IT se centra en la decisión de invertir (¿estamos

haciendo lo correcto?) y la realización de beneficios
(¿estamos obteniendo beneficios?)

El Modelo de Negocios para la Seguridad de la

Información (BMIS) es un modelo que apoya al
negocio en materia de seguridad de la información
a las empresas. BMIS
ITAF™ Marco para la Práctica Profesional de
Aseguramiento de TI (ITAF: A Professional Practices
Framework for IT Assurance); es un manual de
consulta realizado por la red global de ISACA de
Gobierno de IT, Control, Seguridad, y Consultoría de
ITAF
IT.
 Principio 4
Hacer posible un
enfoque Holístico

158
Catalizadores COBIT 5
Los catalizadores son factores que, individual y colectivamente, influyen sobre si algo funcionará.
En este caso:
 el Gobierno y
 la Gestión de la empresa TI).
El marco de referencia COBIT 5
describe 7 categorías de
catalizadores (figura 12):
Dimensiones de los Catalizadores de COBIT 5
Todos los catalizadores tienen un conjunto de Dimensiones comunes. Este conjunto de dimensiones comunes (figura 13):
• Proporciona una manera común, simple y estructurada de tratar con los catalizadores
• Permite a una entidad manejar sus complejas interacciones
• Facilita resultados exitosos de los catalizadores
 Principio 5
Separar el Gobierno de
la Gestión
161
Separar el Gobierno de la Gestión
GOBIERNO
El Gobierno asegura que se evalúan las necesidades,
condiciones y opciones de las partes interesadas
para determinar que se alcanzan las metas
corporativas equilibradas y acordadas; estableciendo:
 la dirección a través de la priorización y la toma de
decisiones; y
 midiendo el rendimiento y el cumplimiento respecto
a la dirección y metas acordadas.

GESTION
La gestión:
 planifica,
 construye,
 ejecuta y
 controla
actividades alineadas con la dirección establecida por
el cuerpo de gobierno para alcanzar las metas
empresariales.
 Modelo de referencia de procesos de COBIT 5

COBIT 5 no es
prescriptivo, pero
sí defiende que las
empresas
implementen
procesos de
gobierno y de
gestión de manera
que las áreas
fundamentales estén
cubiertas, tal y como
se muestra en la
figura 15.

Prescriptivo: Se refiere a regular, establecer o formular alguna cosa. En tal sentido, es aquel que se utiliza para indicarle
que es lo que debe hacer.