COMANDO GENERAL DEL EJRCITO

ESCUELA MILITAR DE INGENIERIA

Mcal. ANTONIO JOS DE SUCRE
SANTA CRUZ BOLIVIA

ESTUDIANTES : NIELSY RAQUEL

DAMARIS LIZ CHAMBI TONCONI
APARICIO QUIROGA

CARRERA : INGENIERIA EN

SISTEMAS ELECTRNCOS

CODIGO : S 3146 1 ; S 3245-

SEMESTRE : DECIMO

TEMA : COBIT

DOCENTE : ING. TANIA PEREZ

 FECHA : 16 / 08 / 2016

SANTA CRUZ - BOLIVIA

COBIT, Estndar Para El Buen Gobierno De Los Sistemas

De Informacin

El estndar Cobit (Control Objectives for Information and related Technology) ofrece
un conjunto de mejores prcticas para la gestin de los Sistemas de Informacin
de las organizaciones.

El objetivo principal de Cobit consiste en proporcionar una gua a alto nivel sobre
puntos en los que establecer controles internos con tal de:

Asegurar el buen gobierno, protegiendo los intereses de los stakeholders

(clientes, accionistas, empleados, etc.)

Garantizar el cumplimiento normativo del sector al que pertenezca la

organizacin

Mejorar la eficacia i eficiencia de los procesos y actividades de la

organizacin

Garantizar la confidencialidad, integridad y disponibilidad de la informacin

El estndard define el trmino control como: Polticas, procedimientos, prcticas y

estructuras organizacionales diseadas para proveer aseguramiento razonable de
que se lograrn los objetivos del negocio y se prevendrn, detectarn y corregirn
los eventos no deseables

Por tanto, la definicin abarca desde aspectos organizativos (p.ej. flujo para pedir
autorizacin a determinada informacin, procedimiento para reportar incidencias,
seleccin de proveedores, etc.) hasta aspectos ms tecnolgicos y automticos
(p.ej. control de acceso a los sistemas, monitorizacin de los sistemas mediante
herramientas automatizadas, etc.).

Por otra parte, todo control tiene por naturaleza un objetivo. Es decir, un objetivo de
control es un propsito o resultado deseable como por ejemplo: garantizar la
continuidad de las operaciones ante situaciones de contingencias.

En consecuencia, para cada objetivo de control de nuestra organizacin podremos

implementar uno o varios controles (p.ej. ejecucin de copias de seguridad
peridicas, traslado de copias de seguridad a otras instalaciones, etc.) que nos
garanticen la obtencin del resultado deseable (p.ej. continuidad de las operaciones
en caso de contingencias).

Obviamente, los ejemplos expuestos son muy generalistas y poco detallados, pero
creo que muestran de forma prctica las diferentes definiciones.

Cobit clasifica los procesos de negocio relacionados con las Tecnologas de la

Informacin en 4 dominios:

Planificacin y Organizacin

Adquisicin e Implementacin

Entrega y Soporte

Supervisin y Evaluacin

En definitiva, cada dominio contiene procesos de negocio (desglosables en

actividades) para los cuales se pueden establecer objetivos de control e implementar
controles organizativos o automatizados:
Por otra parte, la organizacin dispone de recursos (aplicaciones, informacin,
infraestructura y personas) que son utilizados por los procesos para cubrir los
requisitos del negocio:

Efectividad (cumplimiento de objetivos)

Eficiencia (consecucin de los objetivos con el mximo aprovechamiento de

los recursos)

Confidencialidad

Integridad

Disponibilidad

Cumplimiento regulatorio

Fiabilidad
Cabe destacar que, Cobit tambin ofrece mecanismos para la medicin de las
capacidades de los procesos con objeto de conseguir una mejora continua. Para
ello, proporciona indicaciones para valorar la madurez en funcin de la misma
clasificacin utilizada por estndares como ISO 15504:

Nivel 0 Proceso incompleto: El proceso no existe o no cumple con los

objetivos

Nivel 1 Proceso ejecutado

Nivel 2 Proceso gestionado: el proceso no solo se encuentra en

funcionamiento, sino que es planificado, monitorizado y ajustado.

Nivel 3 Proceso definido: el proceso, los recursos, los roles y

responsabilidades se encuentran documentados y formalizado.

Nivel 4 Proceso predecible: se han definido tcnicas de medicin de

resultados y controles.

Nivel 5 Proceso optimizado: todos los cambios son verificados para

determinar el impacto, se han definido mecanismos para la mejora continua,
etc.

En general, gran parte de los puntos que se exponen a continuacin pueden ser
mapeados a los controles definidos en el estndar ISO 27002.

Planificacin y Organizacin
La direccin de la organizacin debe implicarse en la definicin de la estrategia a
seguir en el mbito de los sistemas de informacin, de forma que sea posible
proporcionar los servicios que requieran las diferentes reas de negocio. Para
ello, Cobit presenta 10 procesos:

PO1 Definicin de un plan estratgico: gestin del valor, alineacin con las
necesidades del negocio, planes estratgicos y tcticos.

P02 Definicin de la arquitectura de informacin: modelo de arquitectura,

diccionario de datos, clasificacin de la informacin, gestin de la integridad.

P03 Determinar las directrices tecnolgicas: anlisis de tecnologas

emergentes, monitorizar tendencias y regulaciones.

P04 Definicin de procesos IT, organizacin y relaciones: anlisis de los

procesos, comits, estructura organizativa, responsabilidades, propietarios de
la informacin, supervisin, segregacin de funciones, polticas de
contratacin.

P05 Gestin de la inversin en tecnologa: gestin financiera, priorizacin

de proyectos, presupuestos, gestin de los costes y beneficios.

P06 Gestin de la comunicacin: polticas y procedimientos, concienciacin

de usuarios.

P07 Gestin de los recursos humanos de las tecnologas de la informacin:

contratacin, competencias del personal, roles, planes de formacin,
evaluacin del desempeo de los empleados.

P08 Gestin de la calidad: mejora continua, orientacin al cliente, sistemas

de medicin y monitorizacin de la calidad, estndares de desarrollo y
adquisicin.

P09 Validacin y gestin del riesgo de las tecnologas de la informacin

P10 Gestin de proyectos: planificacin, definicin de alcance, asignacin

de recursos, etc.
Podemos encontrar puntos de conexin con otros estndares y marcos de trabajo
que nos pueden servir de soporte:

COBIT RELACIONADO
P04 Definicin de procesos IT, organizacin
Procesos segn ISO
y relaciones
Val IT y VMM (Value Measuring
P05 Gestin de la inversin en tecnologa
Methodology)
P08 Gestin de la calidad ISO 9000
P09 Validacin y gestin del riesgo de las BS 7799-3 (Guidelines for information
tecnologas de la informacin security risk management)
P10 Gestin de proyectos PMBok y PRINCE2

Adquisicin e Implementacin

Con el objeto de garantizar que las adquisiciones de aplicaciones comerciales, el

desarrollo de herramientas a medida y su posterior mantenimiento se encuentre
alineado con las necesidades del negocio, el estndar Cobit define los siguientes 7
procesos:

AI1 Identificacin de soluciones: anlisis funcional y tcnico, anlisis del

riesgo, estudio de la viabilidad.

AI2 Adquisicin y mantenimiento de aplicaciones: Diseo, controles sobre la

seguridad, desarrollo, configuracin, verificacin de la calidad, mantenimiento.

AI3 Adquisicin y mantenimiento de la infraestructura tecnolgica: Plan de

infraestructuras, controles de proteccin y disponibilidad, mantenimiento.

AI4 Facilidad de uso: Formacin a gerencia, usuarios, operadores y

personal de soporte.

AI5 Obtencin de recursos tecnolgicos: control y asignacin los recursos

disponibles, gestin de contratos con proveedores, procedimientos de
seleccin de proveedores.
 AI6 Gestin de cambios: Procedimientos de solicitud/autorizacin de
cambios, verificacin del impacto y priorizacin, cambios de emergencia,
seguimiento de los cambios, actualizacin de documentos.

AI7 Instalacin y acreditacin de soluciones y cambios: Formacin, pruebas

tcnicas y de usuario, conversiones de datos, test de aceptacin por el
cliente, traspaso a produccin.

Es posible identificar relaciones entre los procesos de este apartado con los
presentados por el estndar ISO 12207:

COBIT ISO 12207

AI1 Identificacin de soluciones
AI2 Adquisicin y mantenimiento
de aplicaciones
AI3 Adquisicin y mantenimiento
de la infraestructura tecnolgica
AI4 Facilidad de uso
AI5 Obtencin de recursos
tecnolgicos
AI6 Gestin de cambios
AI7 Instalacin y acreditacin de
soluciones y cambios
5.1 Adquisicin
5.1 Adquisicin, 5.2 Suministro, 5.3 Desarrollo, 5.5
Mantenimiento, 6.2 Gestin de configuraciones
5.1 Adquisicin, 5.2 Suministro, 5.5
Mantenimiento, 7.2 Infraestructura
6.1 Documentacin, 6.8 Resolucin de problemas,
7.1 Gerencia, 7.4 Formacin
7.2 Infraestructuras
5.2 Suministro, 5.5 Mantenimiento, 7.3 Mejoras
6.3 Verificacin de la calidad, 6.4 Verificacin, 6.5
Validacin, 6.6 Integracin, 6.7 Auditora

Como soporte a los procesos de este apartado es posible utilizar metodologas de

desarrollo y modelos de capacidad como ISO 15504 y CMMI.

Entrega y Soporte

La entrega y soporte de servicios se encuentran constituidos por diversos procesos

orientados a asegurar la eficacia y eficiencia de los sistemas de informacin.

El estndar Cobit ha definido 13 procesos diferentes:

DS1 Definicin y gestin de los niveles de servicio: SLA con

usuarios/clientes
 DS2 Gestin de servicios de terceros: gestin de las relaciones con
proveedores, valoracin del riesgo (non-disclousure agreements NDA),
monitorizacin del servicio.

DS3 Gestin del rendimiento y la capacidad: planes de capacidad,

monitorizacin del rendimiento, disponibilidad de recursos.

DS4 Asegurar la continuidad del servicio: plan de continuidad, recursos

crticos, recuperacin de servicios, copias de seguridad.

DS5 Garantizar la seguridad de los sistemas: gestin de identidades,

gestin de usuarios, monitorizacin y tests de seguridad, protecciones de
seguridad, prevencin y correccin de software malicioso, seguridad de la
red, intercambio de datos sensibles.

DS6 Identificar y asignar costes

DS7 Formacin a usuarios: identificar necesidades, planes de formacin.

DS8 Gestin de incidentes y Help Desk: registro y escalado de incidencias,

anlisis de tendencias.

DS9 Gestin de configuraciones: definicin de configuraciones base,

anlisis de integridad de configuraciones.

DS10 Gestin de problemas: identificacin y clasificacin, seguimiento,

integracin con la gestin de incidentes y configuraciones.

DS11 Gestin de los datos: acuerdos para la retencin y almacenaje de los

datos, copias de seguridad, pruebas de recuperacin.

DS12 Gestin del entorno fsico: acceso fsico, medidas de seguridad,

medidas de proteccin medioambientales.

DS13 Gestin de las operaciones: planificacin de tareas, mantenimiento

preventivo.
En general, gran parte de los aspectos descritos se encuentran relacionados con las
guas proporcionadas por ITIL (Information Technology Infraestructure Library) y el
estndar ISO 20000.

Por otra parte, existen procesos determinados que pueden ser vinculados a otros
estndares:

COBIT RELACIONADO
DS2 Gestin de eSCM-CL Client Organization y eSCM-SP Service Provider
servicios de terceros
DS4 Asegurar la BS 25999-1 (Business Continuity Management) y
continuidad del servicio guas BCI (Business Continuity Institute)
DS5 Garantizar la Open Source Security Tests methodology
seguridad de los (OSSTMM) y Information System Security Assessment
sistemas Framework
DS6 Identificar y Activity-Based Costing (ABC)
asignar costes

Supervisin y Evaluacin

El ltimo dominio se centra en la supervisin de los sistemas con tal de:

Garantizar la alineacin con la estratgica del negocio

Verificar las desviaciones en base a los acuerdos del nivel de servicio

Validar el cumplimiento regulatorio

Esta supervisin implica paralelamente la verificacin de los controles por parte de

auditores (internos o externos), ofreciendo una visin objetiva de la situacin y con
independencia del responsable del proceso.

El estndar Cobit define los siguientes 4 procesos:

ME1 Monitorizacin y evaluacin del rendimiento

ME2 Monitorizacin y evaluacin del control interno

ME3 Asegurar el cumplimiento con requerimientos externos

 ME4 Buen gobierno

Conclusin

El estndar Cobit nos ofrece una completa gua de alto nivel para la definicin y
evaluacin de los procesos de negocios relacionados con los Sistemas de
Informacin. Por otra parte, permite el uso de otros marcos de trabajo ms
especficos (p.ej. CMMI, ITIL, etc.) sin perder la compatibilidad gracias a al carcter
generalista de Cobit.