La Metodología

COBIT
 SIGLAS DEL COBIT

C Control
OB OBjectives
I for Information
T and Related Technology

Objetivos de Control para la Información y

Tecnologías Relacionadas
 ¿Qué es COBIT?

COBIT (Objetivos de Control para la Información y Tecnologías

Relacionadas)

Es el marco aceptado internacionalmente como una buena

práctica para el control de la información, TI y los riesgos que
conllevan.

COBIT se utiliza para implementar el gobierno de IT y mejorar

los controles de IT. Contiene objetivos de control, directivas de
aseguramiento, medidas de desempeño y resultados, factores críticos
de éxito y modelos de madurez.
MISIÓN COBIT
Investigar, desarrollar, publicar y promover un
conjunto de objetivos de control para tecnología de
información, que sea internacional y este actualizado para
uso cotidiano de gerentes, auditores y usuarios.

VISIÓN COBIT
Ser el modelo de control para la TI.
 REGLA DE ORO DE COBIT

Para proveer la información que requiere la

organización para lograr sus objetivos, los recursos de TI
deben ser administrados por un conjunto de procesos ,
agrupados de forma adecuada y ejecutados acorde a
prácticas normalmente aceptadas.
Marco COBIT
MARCOS DE TRABAJO
Resumen
PRINCIPIOS DEL
COBIT 5
Los Principios de COBIT 5
1. Satisfacer las
necesidades de
las partes
interesadas

5. Separar el 2. Cubrir la
Gobierno de la Organización de
Administración forma integral

Principios de
COBIT 5

4. Habilitar un 3. Aplicar un solo

enfoque holistico marco integrado

10
Principio 1 Satisfacer las Necesidades de las
Partes Interesadas
Principio 1: Satisfacer las Necesidades de las Partes Interesadas:
• Las Organizaciones tienen muchas partes interesadas y “crear valor” significa cosas diferentes –
a veces conflictivas – para cada una de ellas.
• En el Gobierno se trata de negociar y decidir entre los diversos intereses de beneficio de las
diferentes partes interesadas.
• El sistema de Gobierno deberá considerar a todas las partes interesadas al tomar decisiones con
respecto a la evaluación de riesgos, los beneficios y el manejo de recursos.
• Para cada decisión se puede, y se debe, hacer las siguientes preguntas:
- ¿Quién recibe los beneficios?
- ¿Quién asume el riesgo?
- ¿Qué recursos se necesitan?

11
 Principio 2 Cubrir la Compañía de Forma Integral
• COBIT 5 se concentra en el gobierno y la administración de la tecnología de la
información y relacionadas desde una perspectiva integral a nivel de toda la
Organización.
• Esto significa que COBIT 5:
• Integra el gobierno de la TI corporativa en el gobierno corporativo, o sea, el
sistema de gobierno para la TI corporativa propuesto por COBIT 5 se
integra, de una manera fluida, en cualquier sistema de gobierno, toda vez
que COBIT 5 está alineado a los últimos desarrollos en gobierno
corporativo.
• Cubre todas las funciones y los procesos dentro de la Organización; COBIT
5 no solamente se concentra en la “Función de la TI”, sino trata la
tecnología de la información y relacionadas como activos que necesitan ser
manejados como cualquier otro activo, por todos en la Organización.
3. Aplicar un único Marco Integrado
Principio 3. Aplicar un único Marco Integrado :

• COBIT 5 está alineado con los últimos marcos y normas relevantes usados por las
organizaciones:
• Corporativo: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000
• Relacionado con TI: ISO/IEC 38500, ITIL, la serie ISO/IEC 27000, TOGAF,
PMBOK/PRINCE2, CMMI
• Así se permite a la Organización utilizar COBIT 5 como integrador macro en el
marco de gobierno y administración.
• ISACA está desarrollando el modelo de capacidad de los procesos para facilitar al
usuario de COBIT el mapeo de las prácticas y actividades contra los marcos y
normas de terceros.
 14

4. Habilitar un Enfoque Holístico

Principio 4. Habilitar un Enfoque Holístico
Los Habilitadores de COBIT 5 son:
• Factores que, individual y colectivamente, influyen sobre si algo funcionará –
en el caso de COBIT, Gobierno y Administración sobre la TI corporativa.
• Impulsados por las metas en cascada, o sea: las metas de alto nivel
relacionadas con la TI definen qué deberían lograr los diferentes habilitadores.
• Descritos por el marco de COBIT 5 en siete categorías.
4. Habilitar un Enfoque Holístico (cont.)
Principio 4. Habilitar un Enfoque Holístico:
1. Procesos – Describen una serie organizada de prácticas y actividades para lograr determinados objetivos y
producir una serie de resultados como apoyo al logro de las metas globales relacionadas con la TI.
2. Estructuras Organizacionales – Constituyen las entidades claves para la toma de decisiones en una
organización.
3. Cultura, Ética y Comportamiento – De los individuos así como de la organización; se subestima
frecuentemente como factor de éxito en las actividades de gobierno y administración.
4. Principios, Políticas y Marcos – Son los vehículos para traducir el comportamiento deseado en una
orientación práctica para la administración diaria.
5. Información – Se encuentra presente en todo el ambiente de cualquier organización; o sea se trata de toda
la información producida y usada por la Organización. La información es requerida para mantener la
organización andando y bien gobernada, pero a nivel operativo, la información frecuentemente es el
producto clave de la organización en si.
6. Servicios, Infraestructura y Aplicaciones – Incluyen la infraestructura, la tecnología y las aplicaciones
que proporcionan servicios y procesamiento de tecnología de la información a la organización.
7. Personas, Habilidades y Competencias – Están vinculadas con las personas y son requeridas 15 para
completar exitosamente todas las actividades y para tomar las decisiones correctas, así como para llevar a
cabo las acciones correctivas.
 5. Separar el Gobierno de la Administración

Principio 5. Separar el Gobierno de la Administración:

El marco de COBIT 5 plasma una distinción muy clara entre el Gobierno y la Administración.
Dichas dos disciplinas:
• Comprenden diferentes tipos de actividades
• Requieren diferentes estructuras organizacionales
• Cumplen diferentes propósitos
• Gobierno— En la mayoría de las organizaciones el Gobierno es responsabilidad de la Junta Directiva bajo
el liderazgo de su Presidente.
• Administración— En la mayoría de las organizaciones, la Administración es responsabilidad de la
Gerencia Ejecutiva, bajo el liderazgo del Gerente General (CEO).

16
 17

5. Separar el Gobierno de la Administración

Principio 5. Separar el Gobierno de la Administración:

• El Gobierno asegura que se evalúen las necesidades de las partes interesadas, así como las condiciones y
opciones, para determinar los objetivos corporativos balanceados acordados a lograr; fijando directivas
al establecer prioridades y tomar decisiones; así como monitorear el desempeño, cumplimiento y
progreso comparándolos contra las directivas y objetivos fijados (EDM).
• La Administración planifica, construye, ejecuta y monitorea las actividades conforme a las
directivas fijadas por el ente de Gobierno para lograr los objetivos de la Compañía (PBRM por su sigla en
inglés – PCEM).
 COBIT 5:
Procesos Habilitadores
COBIT 5: Procesos Habilitadores (Cont.)
COBIT 5: Procesos Habilitadores:
• El Modelo de Referencia de Procesos de COBIT 5 subdivide las actividades y
prácticas de la Organización relacionadas con la TI en dos áreas principales –
Gobierno y Administración – con la Administración a su vez dividida en
dominios de procesos:
• El Dominio de GOBIERNO contiene cinco procesos de gobierno; dentro de
cada proceso se definen las prácticas para Evaluar, Dirigir y Monitorear
(EDM).
• Los cuatro dominios de la ADMINISTRACIÓN están alineados con las áreas
de responsabilidad de Planificar, Construir, Operar y Monitorear (PBRM
por su sigla en inglés).

19
 COBIT 5
Implementación
COBIT 5 Implementación
• La mejora del Gobierno Corporativo de la Tecnología de la Información
(GEIT por su sigla en inglés) ha sido ampliamente reconocida por altos
directivos como una parte esencial del gobierno corporativo.
• La información y la presencia general de la tecnología de información
ocupan cada día una parte más importante de todo aspecto de la vida
comercial y pública.
• La necesidad de generar más valor de las inversiones en la Tecnología y de
administrar una gama creciente de riesgos relacionados con la Tecnología
nunca ha sido mayor que ahora.

21
COBIT 5 Implementación (cont.)
• Una regulación y legislación cada vez más estricta sobre el uso comercial de la
información también impulsa una mayor concientización de la importancia de
un ambiente de TI bien gobernado y administrado.
• ISACA ha desarrollado el marco de COBIT 5 para ayudar a las compañías a
implementar unos habilitadores de gobierno sanos. De hecho, la
implementación de un buen GEIT es casi imposible sin la activación de un
marco efectivo de gobierno.
• COBIT 5: Implementación les proporciona una guía de orientación acerca
de cómo hacerlo.

22
 COBIT 5
Productos Futuros de Apoyo
 COBIT 5 Productos Futuros de Apoyo
Productos Futuros de Apoyo:
• Guías Profesionales de Orientación:
 COBIT 5 para la Seguridad de Información
 COBIT 5 para el Aseguramiento
 COBIT 5 para Riesgos
• Guías de Orientación de los Habilitadores:
 COBIT 5: Información Habilitadora
• COBIT En Línea Reemplazo
• COBIT Programa de Evaluación:
 Modelo de Evaluación de Procesos: Usando COBIT 5
 Guía para Asesores: Usando COBIT 5
 Guía de Auto-Evaluación: Usando COBIT 5

© ISACA 2012. El presente trabajo así como cualesquier derivados del mismo no podrá ser ofrecido para la venta, ni solo ni como parte de ninguna otra publicación o producto. 24
TENDENCIAS DEL COBIT
 BSC (Balanced Scorecard)
BSC en un ambiente de TI, para definir e implantar el Plan Estratégico de

Tecnologías de Información de la empresa, cumpliendo con ello con los Objetivos

de Control de COBIT relacionados con la estrategia, como por ejemplo “PO1

Definir un Plan Estratégico de TI”.

BSC es empleado para planear y controlar los proyectos relacionados con el

establecimiento de los controles necesarios.

ITIL (Information Technology
Infrastructure Library)

Proporciona un conjunto de mejores prácticas en materia de administración de TI extraídas

de organismos del sector público y privado que están a la vanguardia tecnológica a nivel
internacional.

Se relaciona con la gobernanza de tecnologías de la

información mediante COBIT.
ITIL (Information Technology Infrastructure
Library)
• PO3 Determinación de la Dirección Tecnológica

• PO4 Definición de los procesos, la Organización y las Relaciones de TI

• PO5 Manejo de la Inversión en Tecnología de Información

• AI2 Adquirir y mantener las aplicaciones de software

• AI3 Adquirir y mantener la infraestructura tecnológica

• AI6 Administración de Cambios

• AI7 Instalar y Acreditar las Soluciones y los Cambios

PMI / PMBOK (Project Management Body of
Knowledge)
Constituye la suma de conocimientos de los profesionistas dedicados a la
administración de proyectos. Concentra tanto prácticas profesionales
comprobadas y ampliamente aceptadas, como prácticas innovadoras.

Administrar las Inversiones de TI Administrar la Calidad

Aprovisionamiento de los Evaluar y Administrar los Riesgos

Recursos de TI de TI
IT Governance

• Conjunto de mecanismos utilizados por la administración de una

organización para dirigir y controlar su desarrollo tecnológico, asegurando
que las metas del negocio sean alcanzadas de forma efectiva mediante la
detección y control de los riesgos asociados.

• Toma como referencia los Objetivos de Control definidos en COBIT para

establecer el sistema de control interno de TI requerido.
 CMMi (Capability Maturity Model
Integration)
• Es un modelo de mejora de procesos de construcción de software que provee a la

organización los elementos esenciales para determinar su efectividad.

• La escala de madurez propuesta por CMMI es utilizado como guía por COBIT,

facilitando la definición de actividades, prioridades y metas para garantizar la

mejora continua tomando como referencia la madurez de otras empresas del

mercado y los objetivos de la propia organización.

Aplicaciones
COBIT se aplica a los sistemas de información, incluyendo los

computadores personales y las redes. Está basado en la filosofía de

que los recursos TI necesitan ser administrados por un conjunto de

procesos naturalmente agrupados para proveer la información

pertinente y confiable.

Ejm: Organizaciones que cotizan en la Bolsa, Organizaciones

Grandes que tiene Auditorias externas.

 Aplicaciones
• Se tiene problemas centrales para la gestión y el gobierno de la una

Universidad. Se plantea una estructura conceptual tendiente a gestionar las

Tecnologías de la Información y Comunicaciones en la Universidad.

• El modelo centra su accionar en los controles, auditorías y test. Conociendo

lo que se va a testear, se gestiona, realiza, planifica, diseña y especifica. El

hecho que finalmente seremos auditados usando esta herramienta no es un

dato menor a la hora de elegirla como herramienta interna.