Академический Документы
Профессиональный Документы
Культура Документы
COBIT
Auditoria de Sistemas - 2015
INDICE
Indice......................................................................................................................................................................2
Introduccion COBIT ..............................................................................................................................................3
Gobierno de TI.......................................................................................................................................................4
Por Qu Gobierno de TI? ...................................................................................................................................6
Implementacin del Bobierno de TI ....................................................................................................................7
Enfoque del Gobierno de TI................................................................................................................................7
Mapa de Implementacn de Gobierno de TI ....................................................................................................10
Marco COBIT .......................................................................................................................................................11
Evolucin de COBIT .........................................................................................................................................13
Arquitectura COBIT ............................................................................................................................................14
COBIT 4.1.........................................................................................................................................................14
Dominios COBIT 4.1 ....................................................................................................................................14
Procesos COBIT 4.1 ....................................................................................................................................16
COBIT 4.1 y sus Objetivos de Control .........................................................................................................17
Modelo de Madurez COBIT 4.1....................................................................................................................18
COBIT 5............................................................................................................................................................19
Procesos COBIT 5 .......................................................................................................................................21
Modelo de Capacidad de Procesos COBIT 5...............................................................................................22
Implementacin COBIT 5 ...................................................................................................................................24
Comparacin COBIT 4.1 vs COBIT 5 .................................................................................................................26
Nuevo Modelo de Madurez...............................................................................................................................26
Certificaciones COBIT 5 .....................................................................................................................................31
Bibliografa ..........................................................................................................................................................33
COBIT
Auditoria de Sistemas - 2015
INTRODUCCION COBIT
La prctica comn de las empresas en el mundo es no considerar importante a las reas de tecnologas de la
informacin (TI), provocando que stas tengan poco personal, presupuesto reducido y la identifiquen como el rea
de soporte para el equipo del usuario final nicamente.
Sin embargo, con el paso del tiempo, aadiendo las nuevas tendencias en tecnologa surgidas en
pases desarrollados, han incrementado de manera muy importante el papel y la influencia de las TI ,
provocando que stas, formen parte fundamental en la operacin y desarrollo de las organizaciones. Este cambio
en la percepcin de las TI se debe al surgimiento de marcos de referencia, que en la actualidad se
consideran herramientas clave para poder llevar a cabo este renacimiento de la figura de las TI.
En la actualidad la mayor parte de la inversin en infraestructura y nuevas aplicaciones de TI buscan
apoyar funciones especficas de la organizacin. Algunas organizaciones incluyen en sus procesos internos
a socios o clientes, mejor conocidos como stakeholders. Este tipo de tendencias provoca que los CEOs
(directores ejecutivos) y CIOs (directores de TI) se vean comprometidos con la necesidad de reducir lo ms
posible la brecha que existe en las relaciones entre TI y el negocio.
Debido a esto la administracin efectiva de la informacin y de las tecnologas relacionadas, se han
vuelto un factor crtico para la supervivencia y xito de las organizaciones.
Esta criticidad emerge de:
El incremento de la vulnerabilidad y riesgos, como los son las ciber- amenazas y la guerra de la
informacin.
El inmenso potencial que tienen las TI para provocar un cambio radical en las organizaciones
y en las prcticas de negocio, esto con el fin de obtener nuevas oportunidades y reduccin de
costos.
3
COBIT
Auditoria de Sistemas - 2015
Tomando en cuenta todos estos factores, podemos decir que es necesario un cambio en el rol en las
reas de TI para lograr obtener el mximo rendimiento a una inversin en tecnologa adems de utilizarla
como un arma competitiva en el mercado. De esta manera conseguimos que la actitud de TI frente al negocio sufra
una metamorfosis y deje de ser meramente reactiva tornndose proactiva, logrando anticiparse a las
necesidades de la organizacin.
GOBIERNO DE TI
A fin de poder definir al Gobierno de TI, debemos iniciar por definir al Gobierno Corporativo, el cual se
puede describir como, el conjunto de responsabilidades y prcticas ejecutadas por la junta directiva y la
administracin con el fin de proveer direccin estratgica. Pero, de qu manera se provee una correcta
direccin estratgica para la organizacin?
Como se puede observar, se toman en cuenta tres aspectos importantes que influyen en el desempeo,
como son los objetivos, los cuales constituyen el fin principal de la organizacin. Por otro lado la administracin
de riesgos, que son todos aquellos factores que la organizacin debe de tomar en cuenta como posibles
amenazas, las cuales debe de mitigar con anlisis y planes de continuidad; y por ltimo los recursos, el elemento
clave para la operacin de la organizacin, sea financiero, humano o de infraestructura.
Con la descripcin dada, es claro que con lo que pretende el Gobierno corporativo, podemos explicar que el
Gobierno de TI es una parte integral del Gobierno corporativo y consta del liderazgo, estructuras organizacionales y
procesos que garanticen que las TI de la empresa sustenten y extiendan las estrategias y objetivos
organizacionales. Por ello, el Gobierno de TI es una responsabilidad compartida de la junta directa y la
administracin ejecutiva de la organizacin.
Para muchas empresas, la informacin y la tecnologa que las soportan representan sus ms valiosos activos,
aunque con frecuencia son poco entendidos. Las empresas exitosas reconocen los beneficios de la tecnologa de
4
COBIT
Auditoria de Sistemas - 2015
informacin y la utilizan para impulsar el valor de sus interesados (stakeholders). Estas empresas tambin entienden
y administran los riesgos asociados, tales como el aumento en requerimientos regulatorios, as como la dependencia
crtica de muchos procesos de negocio en TI.
La necesidad del aseguramiento del valor de TI, la administracin de los riesgos asociados a TI, as como el
incremento de requerimientos para controlar la informacin, se entienden ahora como elementos clave del Gobierno
Corporativo. El valor, el riesgo y el control constituyen la esencia del gobierno de TI.
El gobierno de TI es responsabilidad de los ejecutivos, del consejo de directores y consta de liderazgo,
estructuras y procesos organizacionales que garantizan que TI en la empresa sostiene y extiende las estrategias y
objetivos organizacionales. Ms an, el gobierno de TI integra e institucionaliza las buenas prcticas para garantizar
que TI en la empresa soporta los objetivos del negocio. De esta manera, el gobierno de TI facilita que la empresa
aproveche al mximo su informacin, maximizando as los beneficios, capitalizando las oportunidades y ganando
ventajas competitivas. Estos resultados requieren un marco de referencia para controlar la TI, que se ajuste y sirva
como soporte a COSO (Committee Of Sponsoring Organisations Of The Treadway Commission) Marco de
Referencia Integrado Control Interno, el marco de referencia de control ampliamente aceptado para gobierno
corporativo y para la administracin de riesgos, as como a marcos compatibles similares.
Las organizaciones deben satisfacer la calidad, los requerimientos fiduciarios y de seguridad de su informacin,
as como de todos sus activos. La direccin tambin debe optimizar el uso de los recursos disponibles de TI,
incluyendo aplicaciones, informacin, infraestructura y personas. Para descargar estas responsabilidades, as como
para lograr sus objetivos, la direccin debe entender el estatus de su arquitectura empresarial para TI y decidir qu
tipo de gobierno y de control debe aplicar.
Los Objetivos de Control para la Informacin y la Tecnologa relacionada (COBIT) brindan buenas prcticas a
travs de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y
lgica. Las buenas prcticas de COBIT representan el consenso de los expertos. Estn enfocadas fuertemente en el
control y menos en la ejecucin. Estas prcticas ayudarn a optimizar las inversiones habilitadas por TI, asegurarn
la entrega del servicio y brindarn una medida contra la cual juzgar cuando las cosas no vayan bien.
COBIT
Auditoria de Sistemas - 2015
Para que TI tenga xito en satisfacer los requerimientos del negocio, la direccin debe implementar un sistema
de control interno o un marco de trabajo. El marco de trabajo de control COBIT contribuye a estas necesidades de la
siguiente manera:
COBIT
Auditoria de Sistemas - 2015
IMPLEMENTACIN DEL BOBIERNO DE TI
La implementacin de un marco de Gobierno de TI se lleva acabo tomando en cuenta las diferentes
condiciones y circunstancias existentes en una organizacin, estas principalmente determinadas por factores
como los son:
Lograr una interaccin del gobierno de TI con la tica y cultura de la organizacin, siendo este el
elemento subjetivo, es vital el entender el ambiente laborar y hbitos en la organizacin, parte
trascendental es la comunicacin que se tenga hacia el personal.
Apegarse a leyes y regulaciones vigentes (sean internas o externas), para el cumplimiento del
marco de gobierno, debido a que es indispensable no dejar de lado todos aquellos reglamentos
internos establecidos en la organizacin, ni tampoco las leyes regulatorias de la regin, pas o
estado donde se radique.
COBIT
Auditoria de Sistemas - 2015
Otro punto es el alinear el Gobierno de TI con un amplio Gobierno Corporativo, incluyendo a la junta
y administracin ejecutiva, a fin de proporcionar liderazgo y estructuras organizacionales necesarias recalcando
la buena administracin y control de los procesos. En la figura, podemos observar las reas de enfoque del
Gobierno de TI:
Alineacin Estratgica: Se enfoca en garantizar la alineacin estratgica entre los planes de negocio y
de TI y en alinear las operaciones de TI con las operaciones de la empresa.
Como ya se estableci, la estrategia de TI debe responder a las estrategias de la organizacin de
donde se concluye que las aplicaciones deben atender las necesidades funcionales y de
informacin de los procesos, los cuales a su vez,soportan el cumplimiento de los objetivos
estratgicos. De esta manera el ciclo se completa:
Entrega de Valor: Se refiere a ejecutar las propuestas de valor a todo lo largo del ciclo de entrega,
asegurando siempre que TI genere los beneficios prometidos en la estrategia, haciendo nfasis en
optimizar los costos y en brindar el valor intrnseco de TI.
COBIT
Auditoria de Sistemas - 2015
La funcin de TI se debe gestionar para cumplir con los requerimientos de soporte a las decisiones y a
los procesos de la organizacin (estratgicos, misionales y de soporte).
Administracin de Riesgos. Requiere conciencia de los riesgos por parte de los altos ejecutivos
de la empresa, un claro entendimiento del apetito de riesgo, que tiene la empresa, comprender los
requerimientos de cumplimiento, transparencia de los riesgos significativos para las empresas y
la inclusin de las responsabilidades de administracin de riesgos dentro de la organizacin.
El Gobierno de TI debe velar porque ningn evento impida la entrega de los productos y la
continuidad del servicio de TI. Para esto se debe hacer una adecuada administracin de los
riesgos de la funcin TI y de los procesos soportados por TI, por parte del funcionario de la
organizacin a quien se haya asignado esta responsabilidad.
COBIT
Auditoria de Sistemas - 2015
Monitoreo y Evaluacin (ME). Estos procesos deben ser medidos para establecer el aporte que hacen
o dejan de hacer en el logro de la estrategia de TI, mediante indicadores que evidencien los resultados
de la gestin de dichos procesos.
Al implantar la solucin, mientras el plan de mejora se lleva a cabo, gobernado por proyectos
establecidos y metodologas de administracin del cambio, la obtencin exitosa de los resultados de
negocio deseados de asegura mediante: la retroalimentacin y lecciones aprendidas postimplementacin. El monitoreo de las mejoras sobre el desempeo de la corporacin y Balance
Scorecard de TI.
COBIT
Auditoria de Sistemas - 2015
empresa, con estructuras organizacionales apropiadas, determinar claramente polticas y controles,
cambio cultural impulsado desde la alta direccin, mejora continua en procesos, y con monitores e
informes ptimos.
MARCO COBIT
COBIT son las siglas para definir Control Objectives for Information and related Technology (Objetivos de
Control para la informacin y tecnologa relacionada), el cual es un marco de referencia creado por ISACA
(Information Systems Audit and Control Association (Asociacin de Control y Auditoria de Sistemas de
Informacin) para la gestin de la TI y el Gobierno de TI. Es un conjunto de herramientas de soporte que
permite a la gerencia de las organizaciones el cerrar la brecha entre los requerimientos de control, problemas
tcnicos y los riesgos del negocio.
Este marco provee buenas prcticas y presenta actividades para el Gobierno de TI en una estructura manejable
y lgica. Las buenas prcticas de COBIT renen el consenso de expertos, quienes ayudarn a optimizar la
11
COBIT
Auditoria de Sistemas - 2015
inversin en TI y proporcionarn un mecanismo de medicin que permitir juzgar cuando las actividades van
por el camino equivocado.
La misin de COBIT es el investigar, desarrollar, publicar y promover un conjunto de objetivos de control
generalmente aceptados, autorizados, actualizados por ISACA para ser utilizadas en el da a da por la gerencia
del negocio, los profesionales de IT y de la seguridad. En la figura vemos que define tambin procesos, metas y
mtricas para el control.
El principio bsico del marco de referencia de COBIT est representado en el esquema de la figura
siguiente. Los recursos de TI son manejados procesos para alcanzar las metas de TI que responden a los
requerimientos del negocio.
12
COBIT
Auditoria de Sistemas - 2015
EVOLUCIN DE COBIT
A la fecha, COBIT tiene cinco versiones mayores publicadas:
En 1996, la primera edicin de COBIT fue publicada. Esta inclua la coleccin y anlisis de fuentes
internacionales reconocidas y fue realizada por equipos en Europa, Estados Unidos y Australia.
En 1998, fue publicada la segunda edicin; su cambio principal fue la adicin de las guas de gestin.
En diciembre de 2005, la cuarta edicin fue publicada y en Mayo de 2007, se liber la versin 4.1
La versin nmero 5 de COBIT fue lanzada en Junio de 2012, esta edicin consolida e integra los
marcos de referencia de COBIT 4.1, Val IT 2.0 y Risk IT. Este nuevo marco de referencia viene
integrado principalmente del Modelo de Negocios para la Seguridad de la Informacin (BMIS,
Business Model for Information Security) y el Marco de Referencia para el Aseguramiento de la
Tecnologa de la Informacin (ITAF, Information Technology Assurance Framework). Se alinea con
13
COBIT
Auditoria de Sistemas - 2015
los marcos y estndares tales como tecnologa de la informacin Infraestructura Library (ITIL),
Organizacin Internacional de Normalizacin (ISO), Proyecto Organismo de Gestin del Conocimiento
(PMBOK), PRINCE2 y El Open Group Architecture Framework (TOGAF).
o
En junio de 2013, un segundo documento complemento fue puesto en libertad, COBIT 5 para
la garanta.
ARQUITECTURA COBIT
COBIT 4.1
El Marco de Referencia de COBIT 4.1, est conformado por 34 Objetivos de Control de alto nivel, todos
diseados para cada uno de los Procesos de TI, los cuales estn agrupados en cuatro grandes secciones
mejor conocidos como dominios, estos se equiparn a las reas tradicionales de TI de planear, construir, ejecutar
y monitorear.
Entrega de servicios, recibe soluciones y las hace utilizables para los usuarios finales.
Soporte y Monitorizacin, monitorea todos los procesos para el asegurar que se sigue con la direccin
establecida.
Dominio Planear y Organizar (PO) - Este dominio cubre las estrategias y las tcticas, y tiene
que ver con identificar la manera en que TI puede contribuir mejor con los objetivos del negocio. Es
14
COBIT
Auditoria de Sistemas - 2015
importante mencionar que la realizacin de la visin estratgica requiere ser planeada, comunicada
y administrada desde diferentes perspectivas; y finalmente, la implementacin de una estructura
organizacional y tecnolgica apropiada.
La gerencia espera cubrir la alineacin de la estrategia de TI con el negocio, optimizar el uso
de recursos, el entendimiento de los objetivos de TI por parte de la organizacin, la
administracin de riesgos y calidad en los sistemas de TI para las necesidades del negocio.
Dominio Adquirir e Implementar (AI) - Con el fin de cumplir una estrategia de TI, las soluciones de TI
necesitan ser identificadas, desarrolladas o adquiridas, como tambin implementadas e
integradas en los proceso del negocio. Adems, el cambio y el mantenimiento de los sistemas
existentes sern cubiertos para garantizar que las soluciones sigan satisfaciendo los objetivos del
negocio.
La gerencia con este dominio pretende cubrir, que los nuevos proyectos generen soluciones que
satisfagan las necesidades del negocio, que sean entregados en tiempo y dentro del presupuesto,
que los nuevos sistemas una vez implementados trabajen adecuadamente y que los cambios no
afecten las operaciones actuales del negocio.
Dominio Entregar y Dar Soporte (DS) - Involucra la entrega en s de los servicios requeridos,
incluyendo la prestacin del servicio, la administracin de la seguridad y de la continuidad, el soporte a
los usuarios del servicio, la administracin de los datos y de las instalaciones operativas.
El objetivo es lograr que los servicios de TI se entreguen de acuerdo con las prioridades del
negocio, la optimizacin de costos, asegurar que la fuerza de trabajo utilice los sistemas de
modo productivo y seguro, implantar de forma correcta la confidencialidad, la integridad y la
disponibilidad.
Dominio Monitorear y Evaluar (ME) - La totalidad de los proceso de TI deben de ser evaluados
regularmente en el tiempo, para conocer su calidad y cumplimiento de los requerimientos de
15
COBIT
Auditoria de Sistemas - 2015
control. Este dominio incluye la administracin del desempeo, el monitoreo del control interno, el
cumplimiento regulatorio y la aplicacin del gobierno.
Con esto se obtendr de manera oportuna la deteccin de problemas por medio de la medicin del
desempeo, se garantiza que los controles internos sea n efectivos y eficientes, la vinculacin
del desempeo de TI con las metas del negocio as como la medicin y reporte de riesgos,
adems del control, cumplimiento y desempeo.
Procesos COBIT 4.1
En la tabla siguiente se enlistan los nombres y claves de los 34 procesos que conforman COBIT y su
clasificacin dentro de cada uno de los cuatro dominios:
PO
P01
P02
P03
P04
P05
P06
P07
P08
P09
P10
PLANEAR Y ORGANIZAR
Procesos
Definir un plan estratgico de TI
Definir la arquitectura de la informacin
Determinar la direccin tecnolgica
Definir los procesos, organizacin y relaciones de TI
Administrar la inversin de TI
Comunicar las aspiraciones y la direccin de la gerencia
Administrar recursos humanos de TI
Administrar la calidad
Evaluar y administrar los riesgos de TI
Administrar proyecto
AI1
AI2
AI3
AI4
AI5
AI6
AI7
ADQUIRIR E IMPLAMENTAR
Procesos
Identificar soluciones automatizadas
Adquirir y mantener software aplicativo
Adquirir y mantener infraestructura tecnolgica
Facilitar la operacin y el uso
Adquirir recursos de TI
Administrar cambios
Instalar y acreditar soluciones y cambios
DS1
DS2
DS3
DS4
AI
DS
16
COBIT
Auditoria de Sistemas - 2015
DS5
DS6
DS7
DS8
DS9
DS10
DS11
DS12
DS13
ME
ME1
ME2
ME3
ME4
MONITOREAR Y EVALUAR
Procesos
Monitorear y evaluar el desempeo de TI
Monitorear y evaluar el control interno
Garantizar el cumplimiento regulatorio
Proporciona gobierno de TI
prcticas
estructuras
organizacionales,
las
cuales
proporcionan
un
17
COBIT
Auditoria de Sistemas - 2015
Modelo de Madurez COBIT 4.1
Otro concepto clave de COBIT, es la determinacin y la mejora sistemtica de la madurez del proceso, el cual
tiene 6 niveles (0 al 5) para medir el nivel de madurez de los procesos de TI:
1 Inicial / ad hoc En el proceso existen tareas indefinidas, pero hay confianza en la iniciativa
2 Repetible pero intuitivo El proceso cuenta con personal de calidad y tareas definidas
18
COBIT
Auditoria de Sistemas - 2015
COBIT 5
COBIT 5 provee de un marco de trabajo integral que ayuda a las empresas a alcanzar sus objetivos para el
gobierno y la gestin de las TI corporativas. Dicho de una manera sencilla, ayuda a las empresas a crear el valor
ptimo desde IT manteniendo el equilibrio entre la generacin de beneficios y la optimizacin de los niveles de
riesgo y el uso de recursos. COBIT 5 permite a las TI ser gobernadas y gestionadas de un modo holstico para toda
la empresa, abarcando al negocio completo de principio a fin y las reas funcionales de responsabilidad de TI,
considerando los intereses relacionados con TI de las partes interesadas internas y externas. COBIT 5 es genrico y
til para empresas de todos los tamaos, tanto comerciales, como sin nimo de lucro o del sector pblico.
COBIT 5 se basa en cinco principios para el gobierno y la gestin de las TI empresariales:
Principio 1. Satisfacer las Necesidades de las Partes InteresadasLas empresas existen para crear
valor para sus partes interesadas manteniendo el equilibrio entre la realizacin de beneficios y la
optimizacin de los riesgos y el uso de recursos.
COBIT 5 provee todos los procesos necesarios y otros catalizadores para permitir la creacin de valor
del negocio mediante el uso de TI. Dado que toda empresa tiene objetivos diferentes, una empresa
puede personalizar COBIT 5 para adaptarlo a su propio contexto mediante la cascada de metas,
traduciendo metas corporativas de alto nivel en otras metas ms manejables, especficas, relacionadas
con TI y mapendolas con procesos y prcticas especficos.
Cubre todas las funciones y procesos dentro de la empresa; COBIT 5 no se enfoca slo en la
funcin de TI, sino que trata la informacin y las tecnologas relacionadas como activos que
deben ser tratados como cualquier otro activo por todos en la empresa.
Considera que los catalizadores relacionados con TI para el gobierno y la gestin deben ser a
nivel de toda la empresa y de principio a fin, es decir, incluyendo a todo y todos internos y
19
COBIT
Auditoria de Sistemas - 2015
externos los que sean relevantes para el gobierno y la gestin de la informacin de la
empresa y TI relacionadas.
Procesos
Estructuras Organizativas
Informacin
Principio 5: Separar el Gobierno de la Gestin El marco de trabajo COBIT 5 establece una clara
distincin entre gobierno y gestin. Estas dos disciplinas engloban diferentes tipos de actividades,
requieren diferentes estructuras organizativas y sirven a diferentes propsitos. La visin de COBIT 5 en
esta distincin clave entre gobierno y gestin es:
Gobierno: asegura que se evalan las necesidades, condiciones y opciones de las partes
interesadas para determinar que se alcanzan las metas corporativas equilibradas y
20
COBIT
Auditoria de Sistemas - 2015
acordadas; estableciendo la direccin a travs de la priorizacin y la toma de decisiones; y
midiendo el rendimiento y el cumplimiento respecto a la direccin y metas acordadas.
En muchas corporaciones, el gobierno global es responsabilidad del comit de direccin bajo
el liderazgo del presidente. Algunas responsabilidades de gobierno especficas se pueden
delegar en estructuras organizativas especiales al nivel apropiado, particularmente en las
corporaciones ms grandes y complejas.
Juntos, estos cinco principios habilitan a la empresa a construir un marco de gestin de gobierno y gestin
efectivo que optimiza la inversin y el uso de informacin y tecnologa para el beneficio de las partes interesadas.
Procesos COBIT 5
La orientacin de COBIT 5 es en procesos y existen 36 procesos que estn separados como reas de Gobierno
y Administracin.
rea: Gobierno Corporativo de TI
COBIT
Auditoria de Sistemas - 2015
La mesa de servicio ha sido removida como parte del nombre de un proceso, ahora el proceso que la incluye
es:
Volumen 2: Gua de referencia de Procesos ~ 200pp Gua detallada de referencia de los procesos
0 Proceso incompletoEl proceso no est implementado o no alcanza su propsito. A este nivel, hay
muy poca o ninguna evidencia de ningn logro sistemtico del propsito del proceso.
3 Proceso establecido (dos atributos) El proceso gestionado descrito anteriormente est ahora
implementado usando un proceso definido que es capaz de alcanzar sus resultados de proceso.
4 Proceso predecible (dos atributos) El proceso establecido descrito anteriormente ahora se ejecuta
dentro de lmites definidos para alcanzar sus resultados de proceso.
22
COBIT
Auditoria de Sistemas - 2015
Cada nivel de capacidad puede ser alcanzado slo cuando el nivel inferior se ha alcanzado por completo. Por
ejemplo, un nivel 3 de capacidad de proceso (establecido) requiere que los atributos de definicin y despliegue del
proceso se hayan alcanzado ampliamente, sobre la consecucin completa de los atributos del nivel 2 de madurez de
procesos (proceso gestionado).
Existe una diferencia significativa entre el nivel 1 de capacidad de procesos y los niveles superiores. Alcanzar el
nivel 1 requiere que el atributo de rendimiento sea alcanzado ampliamente, lo que significa que el proceso se
ejecuta con xito y la organizacin obtiene los resultados esperados. Es entonces cuando los niveles de capacidad
superiores aaden diferentes atributos al proceso. En este esquema de evaluacin, alcanzar un nivel 1 de
capacidad, incluso en una escala de 5, es ya un logro importante para la organizacin. Ha de tenerse en cuenta que
(basndose en motivos de viabilidad y coste-beneficio) cada empresa de forma individual deber elegir su objetivo o
nivel deseado, que raramente ser uno de los ms altos.
23
COBIT
Auditoria de Sistemas - 2015
IMPLEMENTACIN COBIT 5
ISACA proporciona amplias y prcticas guas de implementacin en su publicacin COBIT 5 Implementacin,
que est basada en un ciclo de vida de mejora continua. No est pensada con un enfoque prescriptivo ni como una
solucin completa, sino ms bien como una gua para evitar los obstculos ms comunes, aprovechar las mejores
prcticas y ayudar en la creacin de resultados satisfactorios. La gua se complementa con una herramienta de
implementacin que contiene varios recursos que sern mejorados continuamente. Sus contenidos incluyen:
La implementacin del ciclo de vida proporciona a las empresas una manera de usar COBIT para solucionar la
complejidad y los desafos que normalmente aparecen durante las implementaciones. Los tres componentes
interrelacionados del ciclo de vida son:
1. Ciclo de vida de Mejora continua Este no es un proyecto nico
2. Habilitacin del cambio Abordar los aspectos culturales y de comportamiento
3. Gestin del programa
Como se ha comentado anteriormente, se debe crear un entorno apropiado para asegurar el xito de la
implementacin o de la iniciativa de mejora. El ciclo de vida y sus siete fases son:
COBIT
Auditoria de Sistemas - 2015
los problemas y deficiencias mediante la ejecucin de un proceso de revisin de capacidad. Se
deberan estructurar iniciativas de gran escala como mltiples iteraciones del ciclo de vida para cada
iniciativa de implementacin que exceda de seis meses, existe un riesgo de perder el impulso, el foco y
la involucracin de las partes interesadas.
La fase 4planifica soluciones prcticas mediante la definicin de proyectos apoyados por casos de
negocios justificados. Adems, se desarrolla un plan de cambios para la implementacin. Un caso de
negocio bien desarrollado ayuda a asegurar que se identifican y supervisan los beneficios del proyecto.
Durante la fase 7, se revisa el xito global de la iniciativa, se identifican requisitos adicionales para el
gobierno o la gestin de la TI empresarial y se refuerza la necesidad de mejora continua.
25
COBIT
Auditoria de Sistemas - 2015
A lo largo del tiempo, el ciclo de vida debera seguirse de modo iterativo, al tiempo que se construye un modelo
sostenible de gobierno y gestin de TI corporativa.
26
COBIT
Auditoria de Sistemas - 2015
Primero, era necesario hacer un anlisis para comprobar si los objetivos de control de los procesos se
cumplan.
Despus, el modelo de madurez incluido en la gua de gestin para cada proceso poda ser utilizada
para obtener un perfil de madurez del proceso.
Adems, el modelo de madurez genrico de COBIT 4.1 proporcionaba seis atributos diferentes que
eran de aplicacin a cada proceso y ayudaban en la obtencin de una perspectiva ms detallada del
nivel de madurez del proceso.
Los controles de proceso son objetivos de control genricos tambin necesitaban ser revisados
cuando se llevaba a cabo un anlisis de proceso. Los controles de procesos se solapan parcialmente
con los atributos genricos del modelo de madurez.
Las diferencias ms importantes entre un anlisis de capacidad de procesos basado en la norma ISO/IEC
15504 y el modelo de madurez actual de COBIT 4.1 (y los modelos similares de ValIT y RiskIT basados en
dominios) se pueden resumir como sigue:
La nomenclatura y significado de los niveles definidos en la ISO/IEC 15504 son muy diferentes de
aquellos de COBIT 4.1.
En la norma ISO/IEC 15504 los niveles de capacidad se definen por un conjunto de nueve atributos de
proceso. Estos atributos cubren algo del terreno cubierto por los atributos de madurez COBIT 4.1 y/o
los controles de proceso, pero solo en cierta medida y de forma distinta. Este
cambio asegura el
cumplimiento con el estndar mientras que da un mejor enfoque en cuan bien los procesos
estn siendo ejecutados y si estn logrando su propsito.
Las escalas de capacidad de COBIT 4.1 y COBIT 5 se pueden considerar mapeadas como se muestra en la
siguiente figura.
27
COBIT
Auditoria de Sistemas - 2015
Prcticas base, que son las equivalentes a prcticas de gestin o de gobierno en COBIT 5.
Productos de trabajo, que son el equivalente a las entradas y salidas en trminos de COBIT 5.
COBIT
Auditoria de Sistemas - 2015
especficas que necesitaban mejoras. Este enfoque era usado por las empresas cuando haba un
enfoque hacia la mejora ms que para obtener un nmero de madurez para incluirlo en un informe. En
COBIT 5 el modelo de evaluacin proporciona una escala de medida para cada atributo de capacidad
y gua sobre cmo aplicarlo, por lo que por cada proceso se puede hacer un anlisis para cada uno de
los nueve atributos de capacidad.
Los atributos de madurez de COBIT 4.1 y los atributos de capacidad de los procesos de COBIT 5 no
son idnticos. Estos se solapan/mapean hasta cierto punto. Las empresas que hayan utilizado el
enfoque de atributos del modelo de madurez de COBIT 4.1 pueden reutilizar los datos de sus
evaluaciones existentes y reclasificarlos segn las evaluaciones de atributos de COBIT 5 basado en la
siguiente figura.
Tras los cambios, se dispone de un total de 36 procesos (34 en la versin 4.1). Al dar un primer vistazo
comprobamos que muchos de los procesos ya estn adoptados en la organizacin: Gestin de proveedores, gestin
de cambios, gestin de la configuracin, gestin de incidencias, gestin de problemas. COBIT 5 propone
tres procesos para la monitorizacin y evaluacin. Seguramente en muchas organizaciones estos tres
procesos estn agrupados e implementados como un nico proceso.
Una de las muchas caractersticas anticipadas de COBIT 5 es el incremento en la atencin de la integracin
del negocio y TI. Esta orientacin mejorar la comunicacin, clarificar los roles y responsabilidades y
reducir los incidentes relacionados con la informacin y la tecnologa que pudieran daar a la organizacin.
29
COBIT
Auditoria de Sistemas - 2015
COBIT 5 integra todas las mejores prcticas dispersas en los distintos marcos de referencia de ISACA
COBIT, VAL IT, Risk IT, BMIS (Modelo de negocios para la seguridad de la informacin) e ITAF (Marco de
referencia para el aseguramiento de TI) en una sola base de conocimiento que permita tener un
acercamiento consistente del valor, riesgo y seguridad en la organizacin. La arquitectura de COBIT 5 junta
a los stakeholders, sus preocupaciones, intereses y necesidades as como la base de conocimiento de
ISACA.
COBIT 5 tiene cinco principios:
1. Como integrador: Un marco de referencia de gobierno y gestin para la informacin y tecnologa
relacionada que inicia por evaluar las necesidades de tecnologa de los stakeholders.
2. Motivado por el valor a los stakeholders
3. Enfocado en el negocio y su contexto
4. Basado en habilitadores, definidos en el marco de referencia como aquellos recursos que
permiten el xito de TI
5. Estructurado en el gobierno y gestin
En esencia, COBIT 5 cubre de manera completa la organizacin y provee una base de integracin de otros
marcos de referencia, estndares y mejores prcticas que algunas organizaciones pueden ya estar usando. En la
siguiente tabla vemos las principales diferencias entre versiones:
CARACTERISTICAS
reas de Conocimiento
VERSION 4.1
nica
Dominios
Procesos
Procesos por Dominio
Niveles de Madurez
6, modelo propio
VERSION 5
Gobierno Corporativo de TI y
Administracin de TI Corporativas
5 (EDM, PO,BAI, DSS, MEI)
36
EDM 5 procesos
PO 12 procesos
BAI 8 procesos
DSS 8 procesos
MEI 3 procesos
6, basado en ISO 15504,
niveles de capacidad
30
COBIT
Auditoria de Sistemas - 2015
CERTIFICACIONES COBIT 5
ISACA Madrid ofrece actualmente 3 cursos de formacin en COBIT 5. Despus de una breve introduccin
general, se presentan sus detalles a continuacin
Por un lado, aportar al participante la base para que sepa evaluar las capacidades de los procesos de
una organizacin segn el Modelo PAM (COBIT Process Assessment Model). PAM est basado en
evidencias, para posibilitar una forma fiable, consistente y repetible de evaluar las capacidades de los
procesos TI.
31
COBIT
Auditoria de Sistemas - 2015
Evaluacin que puede usarse para mejoras del proceso, para entregar valor al negocio, para medir el
logro de los objetivos de negocio actuales o en proyecto, para hacer estudios comparativos
(benchmarking), para informar consistentemente y para el cumplimiento de la organizacin. Ayuda a
los lderes TI a obtener, de la alta direccin y el consejo de administracin, la aprobacin a las
iniciativas de cambio y mejora. Por otro, preparar al participante para el Examen de Certificacin en
Evaluador Assessor. El Certificado demuestra que se sabe aplicar y analizar los resultados,
conforme al estndar de ISACA.
El Examen se ofrece en el 3er da del curso. Los participantes que no deseen examinarse en esa
ocasin terminan el curso al final del 2o da, y si lo desean pueden examinarse posteriormente
Para perseguir una mayor calidad y uniformidad internacionales a las anteriores certificaciones profesionales,
ISACA ha encomendado su total gestin a APMG International, una multinacional britnica especializada en
exmenes, certificaciones y acreditaciones profesionales (http://www.apmg-international.com).
APMG establece los temarios (syllabi) de los cursos, prepara el material pedaggico bsico, acredita a las
organizaciones docentes (ATOs, por sus siglas en ingls) y al profesorado, administra los exmenes y gestiona las
certificaciones.
32
COBIT
Auditoria de Sistemas - 2015
BIBLIOGRAFA
-
http://www.isaca.org/cobit/pages/default.aspx
https://en.wikipedia.org/wiki/COBIT
33