UNIVERSIDAD TECNOLOGICA DE HONDURAS

Campus el progreso

Administración de Centros de
Computo

CATEDRATICA:
GLADYS NOEMA GAITAN AGUILERA

ALUMNO:
ALLAN JOSUE CUEVA MEJIA 201510040123

CARRERA:
INGENIERIA EN COMPUTACION

TRABAJO:
INVESTIGACION COBIT
 FECHA ENTREGA:
13/4/2018

INTRODUCCION
Las siglas COBIT significan Objetivos de Control para Tecnología de Información y
Tecnologías relacionadas (Control Objectives for Information Systems and related
Technology). El modelo es el resultado de una investigación con expertos de
varios países, desarrollado por ISACA (Information Systems Audit and Control
Association).

COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado

la forma en que trabajan los profesionales de tecnología. Vinculando tecnología
informática y prácticas de control, el modelo COBIT consolida y armoniza
estándares de fuentes globales prominentes en un recurso crítico para la gerencia,
los profesionales de control y los auditores.

COBIT se aplica a los sistemas de información de toda la empresa, incluyendo los

computadores personales y las redes. Está basado en la filosofía de que los
recursos TI necesitan ser administrados por un conjunto de procesos naturalmente
agrupados para proveer la información pertinente y confiable que requiere una
organización para lograr sus objetivos.
 OBJETIVOS
 Comprender cuál es el objetivo de la utilización del COBIT y con qué
finalidad fue desarrollado.

 Discernir cuál es la funcionalidad de su marco de trabajo para las buenas

prácticas de la gestión de las tecnologías de la información en las
empresas.

 Conocer y comprender de una manera concisa y completa cuáles son sus

principios en los que se basa para el cumplimiento de los trabajos y tareas
respectivas.

 Por medio del conocimiento adquirido acerca de esta metodología se

pretende llegar a tener un amplio entendimiento de cómo funciona y cuál es
el propósito y beneficios que nos ofrece, ayudando a identificar los recursos
esenciales para el éxito de los procesos, es decir, aplicaciones, información,
infraestructura y personas.
¿QUÉ ES EL COBIT?
El cobito es precisamente un modelo para auditar la gestión y control de los
sistemas de información y tecnología, orientado a todos los sectores de una
organización, es decir, administradores ir, usuarios y por supuesto, los auditores
involucrados en el proceso. El cobito es un modelo de evaluación y monitoreo que
enfatiza en el control de negocios y la seguridad ir y que abarca controles
específicos de ir desde una perspectiva de negocios.
Las siglas cobito significan objetivos de control para tecnología de información y
tecnologías relacionadas (control Objective For Information Systems and relate
technology). El modelo es el resultado de una investigación con expertos de varios
países, desarrollado por isoca (Information Systems audita and control
asociación).
Cobito, lanzado en 1996, es una herramienta de gobierno de ti que ha cambiado la
forma en que trabajan los profesionales de tecnología. Vinculando tecnología
informática y prácticas de control, el modelo cobito consolida y armoniza
estándares de fuentes globales prominentes en un recurso crítico para la gerencia,
los profesionales de control y los auditores.

PRINCIPALES IMPULSORES DEL COBIT-5

ISACA® ayuda a los profesionales globales a liderar, adaptar y asegurar la
confianza en un mundo digital en evolución ofreciendo conocimiento, estándares,
relaciones, acreditación y desarrollo de carrera innovadores y de primera clase.
Establecida en 1969, ISACA es una asociación global sin ánimo de lucro de 140
000 profesionales en 180 países. ISACA también ofrece Cybersecurity Nexus™
(CSX), un recurso integral y global en ciberseguridad, y COBIT ®, un marco de
negocio para gobernar la tecnología de la empresa. ISACA adicionalmente
promueve el avance y certificación de habilidades y conocimientos críticos para el
negocio, a través de las certificaciones globalmente respetadas: Certified
Information Systems Auditor® (CISA®), Certified Information Security
Manager®(CISM®), Certified in the Governance of Enterprise IT ® (CGEIT®) y
Certified in Risk and Information Systems Control™ (CRISC™). La asociación
tiene más de 200 capítulos en todo el mundo.

BENEFICIOS DE IMPLEMENTAR COBIT 5:

Cobito 5, tal como lo describe isoca, es un frameworks para alcanzar los objetivos
empresariales de gobernante y de malajemente de la información y de todos sus
recursos tecnológicos relacionados, con origen en las necesidades de los
stakeholders y cobertura de ti de punta a punta, pudiendo ser aplicado en
cualquier tipo de organización, inclusive en aquellas que no poseen fin de lucro y
en el sector público.

La aparición de cobito 5 es consecuencia de buscar la forma más adecuada desde

isoca de brindar oportunas respuestas a las siguientes necesidades;

 Consolidar lo mejor de los estándares de isoca (cobito, val ir, risa ir, bis, ata,
etc.), haciendo un material más fácil de navegar.

 Conectar y alinear, de forma clara y consistentes ante los stakeholders, este

frameworks con otros estándares internacionales relevantes tales como:

o Ital. ® (information technology infrastructure library).

o Pmbok (project management body of knowledge).

o Togaf (the open group architecture forum.

o Prince2 (projects in controlled environments 2).

o Distintas Norma iso (international organization of standards).

 Proveer lineamientos avanzados en áreas de alto interés, como la

arquitectura empresarial, gestión de activos y servicios y el gerenciamiento
de la innovación en ti.

 La necesidad de que, a nivel empresarial, se alcancen e incrementen los

siguientes beneficios:

o Mayor creación de valor para la empresa a través de ti

o Más satisfacción de los usuarios con los servicios de ti

o Compliance con leyes relevantes, regulaciones y políticas

ARQUITECTURA DEL COBIT-5
COBIT5-BENEFICIOS-NIVELES-COBIT-ISACA: Para poder capturar estos beneficios en todos los niveles, cobito 5
cuenta con este esquema de capacidades que posibilitan beneficios para conseguir un impacto positivo:
PROBLEMAS Y RETOS DE LA GESTIÓN DE LAS TI QUE AFECTAN A LAS
EMPRESAS

RIESGOS DE NEGOCIO RELACIONADOS CON LA INFORMATICA

Los principales riesgos informáticos de los negocios son los siguientes:
1. Riesgos de integridad: este tipo abarca todos los riesgos asociados con la
autorización, completitud y exactitud de la entrada, procesamiento y
reportes de las aplicaciones utilizadas en una organización. Estos riesgos
aplican en cada aspecto de un sistema de soporte de procesamiento de
negocio y están presentes en múltiples lugares, y en múltiples momentos
en todas las partes de las aplicaciones; no obstante, estos riesgos se
manifiestan en los siguientes componentes de un sistema:

2. Riesgos de responsabilidades: su peligro básico consiste en el perjuicio

de otras personas o daño de una propiedad por negligencia o descuido.

3. Riesgos físicos: se tienen en esta clase, por ejemplo: el exceso de ruido,

iluminación inadecuada, exposición a radiaciones, instalaciones eléctricas
inadecuadas.

4. Riesgos químicos: se tienen en esta clase, por ejemplo: exposición a

vapores de los solventes, humo de combustión y gases.

5. Riesgos biológicos: hongos y bacterias.

6. Riesgos psicosociales: ingresos económicos injustos, monotonía, falta de

incentivos y motivación.

7. Riesgos ergonómicos: puesto de trabajo incomodo, posición corporal

forzada,
8. Movimiento repetitivo al operar máquinas, hacinamiento.

9. Riesgo fundamental: envuelve las pérdidas que son impersonales en

origen y consecuencia. La mayor parte son causados por fenómenos
económicos, sociales. Ellos afectan parte de una organización.
 10. Riesgo particular: son perdidas que surgen de eventos individuales antes
que surjan de un grupo entero. Desempleo, guerra, inflación, terremotos
son todos riesgos fundamentales; el incendio de una casa y el robo de un
banco son riesgos particulares.

RIESGOS DE NEGOCIO RELACIONADOS CON LA INFORMÁTICA

Los principales riesgos informáticos de los negocios son los siguientes:
Riesgos de integridad: este tipo abarca todos los riesgos asociados con la
autorización, completitud y exactitud de la entrada, procesamiento y reportes de
las aplicaciones utilizadas en una organización. Estos riesgos aplican en cada
aspecto de un sistema de soporte de procesamiento de negocio y están presentes
en múltiples lugares, y en múltiples momentos en todas las partes de las
aplicaciones; no obstante, estos riesgos se manifiestan en los siguientes
componentes de un sistema:

 Interface del usuario: los riesgos en esta área generalmente se

relacionan con las restricciones, sobre las individualidades de una
organización y su autorización de ejecutar funciones negocio/sistema;
teniendo en cuenta sus necesidades de trabajo y una razonable
segregación de obligaciones. Otros riesgos en esta área se relacionan a
controles que aseguren la validez y completitud de la información
introducida dentro de un sistema.
 Procesamiento: los riesgos en esta área generalmente se relacionan con
el adecuado balance de los controles detectives y preventivos que
aseguran que el procesamiento de la información ha sido completado. Esta
área de riesgos también abarca los riesgos asociados con la exactitud e
integridad de los reportes usados para resumir resultados y tomar
decisiones de negocio.
 Procesamiento de errores: los riesgos en esta área generalmente se
relacionan con los métodos que aseguren que cualquier entrada/proceso de
información de errores (exceptos) sean capturados adecuadamente,
corregidos y reprocesados con exactitud completamente.
 Interface: los riesgos en esta área generalmente se relacionan con
controles preventivos y detectives que aseguran que la información ha sido
procesada y transmitida adecuadamente por las aplicaciones.
 Administración de cambios: los riesgos en esta área pueden ser
generalmente considerados como parte de la infraestructura de riesgos y el
impacto de los cambios en las aplicaciones. Estos riesgos están asociados
con la administración inadecuadas de procesos de cambios organizaciones
que incluyen: compromisos y entrenamiento de los usuarios a los cambios
de los procesos, y la forma de comunicarlos e implementarlos.
  Información: los riesgos en esta área pueden ser generalmente
considerados como parte de la infraestructura de las aplicaciones. Estos
riesgos están asociados con la administración inadecuada de controles,
incluyendo la integridad de la seguridad de la información procesada y la
administración efectiva de los sistemas de bases de datos y de estructuras
de datos. La integridad puede perderse por: errores de programación
(buena información es procesada por programas mal construidos),
procesamiento de errores (transacciones incorrectamente procesadas) o
administración y procesamiento de errores (administración pobre del
mantenimiento de sistemas).
 Interface del usuario: los riesgos en esta área generalmente se
relacionan con las restricciones, sobre las individualidades de una
organización y su autorización de ejecutar funciones negocio/sistema;
teniendo en cuenta sus necesidades de trabajo y una razonable
segregación de obligaciones. Otros riesgos en esta área se relacionan a
controles que aseguren la validez y completitud de la información
introducida dentro de un sistema.
 Procesamiento: los riesgos en esta área generalmente se relacionan con
el adecuado balance de los controles detectives y preventivos que
aseguran que el procesamiento de la información ha sido completado. Esta
área de riesgos también abarca los riesgos asociados con la exactitud e
integridad de los reportes usados para resumir resultados y tomar
decisiones de negocio.

Procesamiento de errores: los riesgos en esta área generalmente se relacionan

con los métodos que aseguren que cualquier entrada/proceso de información de
errores (exceptos) sean capturados adecuadamente, corregidos y reprocesados
con exactitud completamente.

 Interface: los riesgos en esta área generalmente se relacionan con

controles preventivos y detectives que aseguran que la información ha sido
procesada y transmitida adecuadamente por las aplicaciones.
 Administración de cambios: los riesgos en esta área pueden ser
generalmente considerados como parte de la infraestructura de riesgos y el
impacto de los cambios en las aplicaciones. Estos riesgos están asociados
con la administración inadecuadas de procesos de cambios organizaciones
que incluyen: compromisos y entrenamiento de los usuarios a los cambios
de los procesos, y la forma de comunicarlos e implementarlos.
 Información: los riesgos en esta área pueden ser generalmente
considerados como parte de la infraestructura de las aplicaciones. Estos
riesgos están asociados con la administración inadecuada de controles,
incluyendo la integridad de la seguridad de la información procesada y la
administración efectiva de los sistemas de bases de datos y de estructuras
de datos. La integridad puede perderse por: errores de programación
 (buena información es procesada por programas mal construidos),
procesamiento de errores (transacciones incorrectamente procesadas) o
administración y procesamiento de errores (administración pobre del
mantenimiento de sistemas).

Riesgos de relación: los riesgos de relación se refieren al uso oportuno de la

información creada por una aplicación. Estos riesgos se relacionan directamente
a la información de toma de decisiones (información y datos correctos de una
persona/proceso/sistema correcto en el tiempo preciso permiten tomar decisiones
correctas).

Riesgos de acceso: estos riesgos se enfocan al inapropiado acceso a sistemas,

datos e información. Abarcan: los riesgos de segregación inapropiada de trabajo,
los riesgos asociados con la integridad de la información de sistemas de bases de
datos y los riesgos asociados a la confidencialidad de la información. Los riesgos
de acceso pueden ocurrir en los siguientes niveles de la estructura de la seguridad
de la información:

 Procesos de negocio: las decisiones organizacionales deben separar

trabajo incompatible de la organización y proveer el nivel correcto de
ejecución de funciones.
 Aplicación: la aplicación interna de mecanismos de seguridad que provee
a los usuarios las funciones necesarias para ejecutar su trabajo.
 Administración de la información: el mecanismo provee a los usuarios
acceso a la información específica del entorno.
 Entorno de procesamiento: estos riesgos en esta área están manejados
por el acceso inapropiado al entorno de programas e información.
 Redes: en esta área se refiere al acceso inapropiado al entorno de red y su
procesamiento.
 Nivel físico: protección física de dispositivos y un apropiado acceso a ellos.

Riesgos de utilidad: estos riesgos se enfocan en tres diferentes niveles de

riesgo:
 Los riesgos pueden ser enfrentados por el direccionamiento de sistemas
antes de que los problemas ocurran.
 Técnicas de recuperación/restauración usadas para minimizar la ruptura de
los sistemas.
 Backus y planes de contingencia controlan desastres en el procesamiento
de la información.
Riesgos en la infraestructura: estos riesgos se refieren a que en las
organizaciones no existe una estructura información tecnológica efectiva
(hardware, software, redes, personas y procesos) para soportar adecuadamente
las necesidades futuras y presentes de los negocios con un costo eficiente. Estos
riesgos están asociados con los procesos de la información tecnológica que
definen, desarrollan, mantienen y operan un entorno de procesamiento de
información y las aplicaciones asociadas (servicio al cliente, pago de cuentas,
etc.).

Estos riesgos son generalmente se consideran en el contexto de los

siguientes procesos informáticos:

 Planeación organizacional: los proceso en esta área aseguran la

definición del impacto, definición y verificación de la tecnología informática
en el negocio. Además, verifica si existe una adecuada organización
(gente y procesos) asegura que el esfuerzo de la tecnología informática
será exitoso.
 Definición de las aplicaciones: los procesos en esta área aseguran que
las aplicaciones satisfagan las necesidades del usuario y soporten el
contexto de los procesos de negocio. Estos procesos abarcan: la
determinación de comprar una aplicación ya existente o desarrollar
soluciones a cliente. Estos procesos también aseguran que cualquier
cambio a las aplicaciones (compradas o desarrolladas) sigue un proceso
definido que confirma que los puntos críticos de proceso/control son
consistentes (todos los cambios son examinados por usuarios antes de la
implementación).
 Administración de seguridad: los procesos en esta área aseguran que la
organización está adecuadamente direccionada a establecer, mantener y
monitorizar un sistema interno de seguridad, que tenga políticas de
administración con respecto a la integridad y confidencialidad de la
información de la organización, y a la reducción de fraudes a niveles
aceptables.
 Operaciones de red y computacionales: los procesos en esta área
aseguran que los sistemas de información y entornos de red están
operados en un esquema seguro y protegido, y que las responsabilidades
de procesamiento de información son ejecutadas por personal operativo
definido, medido y monitoreado. También aseguran que los sistemas son
consistentes y están disponibles a los usuarios a un nivel de ejecución
satisfactorio.
 Administración de sistemas de bases de datos: los procesos en esta
área están diseñados para asegurar que las bases de datos usadas para
soportar aplicaciones críticas y reportes tengan consistencia de definición,
 correspondan con los requerimientos y reduzcan el potencial de
redundancia.

 Información / negocio: los proceso en esta área están diseñados para

asegurar que existe un plan adecuado para asegurar que la tecnología
informática estará disponible a los usuarios cuando ellos la necesitan.
 Riesgos de seguridad general: los estándar 1iec 950 proporcionan
los requisitos de
 Diseño para lograr una seguridad general y que disminuyen el
riesgo:
 Riesgos de choque de eléctrico: niveles altos de voltaje.
 Riesgos de incendio: inflamabilidad de materiales.
 Riesgos de niveles inadecuados de energía eléctrica.
 Riesgos de radiaciones: ondas de ruido, de láser y ultrasónicas.
 Riesgos mecánicos: inestabilidad de las piezas eléctricas

CINCO PRINCIPIOS DE COBIT 5 PARA LA GOBERNABILIDAD Y

ADMINISTRACIÓN DE LA TI EMPRESARIAL

Los principios compilados en la nueva guía son:

1. Satisfacer las necesidades de los colaboradores. Es crítico definir y

vincular los objetivos empresariales y los objetivos relacionados con ti.

2. Cubrir la empresa de extremo a extremo. Las compañías deben cambiar

de visión, con el objetivo de considerar el área de ti como un activo y no un
costo. Los directivos deben tomar la responsabilidad de gobernar y
gestionar los activos relacionados con ti dentro de sus propias funciones.

3. Aplicar un solo marco integrado. Usar un solo marco de gobierno

integrado puede ayudar a las organizaciones a brindar valor óptimo de sus
activos y recursos de ti.

4. Habilitar un enfoque holístico. El gobierno de ti empresarial (feet)

requiere de un enfoque holístico que tome en cuenta muchos componentes,
también conocidos como habilitadores. Los habilitadores influyen en si algo
va a funcionar o no. Cobito 5 incluye siete habilitadores para mejorar el feet,
como los principios, las políticas y marcos; los procesos; la cultura; la
información y la gente.

5. Separar al gobierno de la administración. Los procesos de gobierno

aseguran que los objetivos se alcancen mediante la evaluación de las
necesidades de los interesados, el establecimiento de la dirección a través
de la priorización y la toma de decisiones; y el monitoreo del desempeño, el
 cumplimiento y el progreso. De acuerdo con los resultados de las
actividades de gobierno, la administración de la empresa y de ti entonces
debe planear, crear, realizar y monitorear las actividades para asegurar el
alineamiento con la dirección que se estableció.

CÓMO COBITO 5 PERMITE A LA TI SER GOBERNADA Y ADMINISTRADA DE

UNA MANERA HOLÍSTICA PARA LA EMPRESA COMPLETA

Dicho en pocas palabras, cobito 5 ayuda a las organizaciones a crear un valor

óptimo a partir de la ti, al mantener un equilibrio entre la realización de beneficios y
la optimización de los niveles de riesgo y utilización de los recursos.
Cobito 5 permite que las tecnologías de la información y relacionadas se
gobiernen y administren de una manera holística a nivel de toda la organización,
incluyendo el alcance completo de todas las áreas de responsabilidad funcionales
y de negocios, considerando los intereses relacionados con la ti de las partes
interesadas internas y externas.
Cómo cobito 5 permite a la ti ser gobernada y administrada de una manera
holística para la empresa completa

• La mejora del gobierno corporativo de la tecnología de la información (feet

por su sigla en inglés) ha sido ampliamente reconocida por altos directivos
como una parte esencial del gobierno corporativo.
• La información y la presencia general de la tecnología de información
ocupan cada día una parte más importante de todo aspecto de la vida
comercial y pública.
• La necesidad de generar más valor de las inversiones en la tecnología y de
administrar una gama creciente de riesgos relacionados con la tecnología
nunca ha sido mayor que ahora.
• Una regulación y legislación cada vez más estricta sobre el uso comercial
de la información también impulsa una mayor concientización de la
importancia de un ambiente de ti bien gobernado y administrado.
• Isaac ha desarrollado el marco de cobito 5 para ayudar a las compañías a
implementar unos habilitadores de gobierno sanos. De hecho, la
implementación de un buen feet es casi imposible sin la activación de un
marco efectivo de gobierno. También están disponibles las mejores
prácticas y los estándares que soportan al cobito 5.
 • Los marcos, mejores prácticas y normas son útiles solamente si son
adoptados y adaptados de manera efectiva. Hay que superar muchos retos
y resolver varios asuntos para poder implementar feet de manera exitosa.

CONCEPTOS BÁSICOS PARA LA IMPLEMENTACIÓN DE COBIT 5

Cobito 5: implementación cubre los siguientes asuntos:

1. Posicionamiento de feet en la organización
2. Adopción de los primeros pasos para mejorar feet
3. Factores de éxito y retos para la implementación
4. Habilitación del cambio de comportamiento y organizacional relacionado
con el feet
5. Implementación de una mejora continua que incluye la habilitación del
cambio y la gestión del programa
6. Uso de cobito 5 y sus componentes.

ConstruirMejoras

Identificar los rolesclaves

Planificar el programa
4 ¿Qué se necesita hacer?

• Gestión del Programa(anillo

• Habilitación del Cambio
(anillo medio)
• Ciclo de Vida de Mejora Continua
(anillo interior)
exterior)
CONCLUSIONES
 La cultura empresarial es de vital importancia. Una cultura proactiva será
más receptiva que una que no lo es. Sin embargo, hay que considerar el
énfasis que COBIT hace en la creación de valor para el accionista por estar
guiado por los objetivos del negocio, la alineación con estándares
internacionales reconocidos y su simplicidad. Las áreas de gobierno y
gestión emanan de tan sólo 5 principios y 7 habilitadores.

 Si bien COBIT es un marco general, su flexibilidad y versatilidad nos

permite adaptarlo a cualquier tipo y tamaño de empresa, realizando una
implementación gradual y progresiva acorde a los recursos disponibles y
acompasando la estrategia empresarial.

 Si bien aún no es requerido formalmente en forma regulatoria, es un

estándar de facto en toda Latinoamérica y es una fuerte recomendación en
los ámbitos financieros. Es parte de la misión de ISACA, la divulgación de
COBIT y apoyo en la implementación como forma de promover la eficiencia
y buena gestión de los procesos de tecnología que nos permita
compararnos y mejorar día a día en pos de la concreción de los Objetivos
de Negocio. En el futuro, continuaremos viendo el crecimiento de COBIT en
sus facetas de administración y dirección de los recursos de tecnología.
Aparecerán nuevas herramientas de la familia de productos COBIT y
nuevos recursos con los cuales mejorar la administración. Se continuará
refinando el producto en sí, mejorando la calidad de sus referencias
cruzadas, su relacionamiento con otros modelos, estándares y normas. Se
procurará institucionalizar y mejorar la calidad de las versiones en otras
lenguas y, sin duda, continuará el esfuerzo fundamental del ITGI en la
difusión del uso de esta importante base de dirección.
BIBLOGRAFIA
https://nextech.pe/que-es-cobit-y-para-que-sirve/
https://es.wikipedia.org/wiki/Objetivos_de_control_para_la_información_y_te
cnologías_relacionadas
https://www.aec.es/web/guest/centro-conocimiento/cobit