Tema 8

COBIT
 IT GOVERNANCE
Fuente: www.isaca.org

Information Systems Audit and Control Association

Fundada en 1969, ISACA patrocina conferencias internacionales, publica
la revista “ISACA Journal” y desarrolla estándares internacionales en
control y auditoria de sistemas de información. También administra la
certificación a nivel mundial como Auditor de Sistemas de Información.
“La productividad de cualquier organización depende del funcionamiento ininterrumpido de los sistemas
TIC, transformando a todo el entorno en un proceso crítico adicional” (Rodríguez, 2006:3).
 NEGOCIO
Requerimientos Información

TIC´S Vs. PROCESOS

Controlados
por
Medidos
Objetivos de
por
Control COBIT®
Auditados Objetivos de
a través Control
de
Ejecutados a
través de

Indicadores
de Indicadores Metas de Directrices Prácticas de
Desempeño Meta Actividades de Control
Auditoría
Modelo de Madurez
Traducción Implementación
 Normas de Auditoría Informática Guía de auditoria del sistema de
gestión de seguridad de la
información para su protección.

• COSO (Committee of Sponsoring Organizations

of the Treadway Commission, EEUU 1992).
• ITIL (Information Technology Infrastructure
Library, Inglaterra 1990).
• ISO/IEC 17799:2000 (International
Organization for /International Electrotechnical
CommisStandardizationsion, Inglaterra 2000).
• COBIT (Control Objectives for Information and
Related Technology IT, EEUU 1998).

Modelo de evaluación del Marco referencial que evalúa

control interno en los el proceso de gestión de los
sistemas, funciones, Servicios de tecnología de
procesos o actividades en información y de la
forma íntegra. infraestructura tecnología.
Cobit EVOLUCIÓN DE COBIT
Governance of Enterprise IT
Evolution of scope

IT Governance
Val IT 2.0
(2008)

Management

Control Risk IT
(2009)

Audit

COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT 5

1996 1998 2000 2005/7 2012

COBIT – el marco de ISACA
Control Objectives for Information and Related Technology

⁻ COBIT es un marco de gobierno de las tecnologías de

información que proporciona una serie de herramientas para
que la gerencia pueda conectar los requerimientos de control
con los aspectos técnicos y los riesgos del negocio
⁻ COBIT permite el desarrollo de las políticas y buenas prácticas
para el control de las tecnologías en toda la organización
⁻ COBIT, consta de 34 procesos y 210 objetivos de Control,
compatible con ISO 17799, COSO I y II, y con otros estándares de
menor nivel de abstracción.
www.isaca.org/cobit
Metodologías de gestión
• Las organización que adoptaron alguna metodología, estándar o marco de buenas prácticas de Gestión de TI encontrarán
en COBIT una aproximación rápida y simplificada de Gobierno de TI.

Gobierno

TI

•ISO / IEC 38500: 2015: cubre los aspectos de gobierno de TI en detalle

•ISO / IEC 20000: 2011: cubre los aspectos de gestión del servicio en detalle
•ISO / IEC 27001: 2013: cubre los aspectos de seguridad de la información en detalle
COBIT 5 Familia de Productos – Guía de Procesos
Entradas de proceso
lo que el dueño del proceso necesita de otros
lo que el dueño del proceso
necesita de otros
las entradas provienen también de otras
fuentes

Salidas de proceso
qué debe entregar el propietario del proceso

Carta RACI
qué debe delegarse y a quién

Objetivos y métricas
¿Cómo se debe medir el proceso?
Modelo de Referencia COBIT
COBIT establece la diferencia entre Gobierno y Gestión (Administración)
Gobierno—El ejercicio de la autoridad,
control, gobierno, acuerdo.

Riesgo (Administración)—Peligro, riesgo de

GRC: pérdida, daño o destrucción (el acto o arte
Gobierno, de la gestión, la manera de tratar, dirigir,
seguir adelante, o utilizar, con un propósito)
administración
del riesgo y
cumplimiento. Cumplimiento— Un
rendimiento, en cuanto a su
deseo, demanda o propuesta

• El Gobierno asegura el logro de los objetivos de la Organización, fijando directivas al establecer prioridades y
tomar decisiones; así como monitorear el desempeño, cumplimiento y progreso, comparándolos contra las
directivas y objetivos acordados (EDM).
• La Administración planifica, construye, ejecuta y monitorea las actividades conforme a las directivas fijadas
por el ente de Gobierno para lograr los objetivos de la Organización (PBRM por su sigla en inglés – PCEM)
Los Principios
1. Satisfacer
las
necesidades
de las partes
interesadas Habilitadores
5. Separar el 2. Cubrir la
Gobierno de la Organización de
Administración forma integral 2. Procesos 3. Estructuras 4. Cultura, Ética
Organizacional y Comportamiento
es
Principios
de COBIT 5
1. Principios, Políticas y Marcos

6. Servicios, 7. Personas,
4. Habilitar 5.
3. Aplicar un Infraestructura Habilidades y
un enfoque Información
solo marco y Aplicaciones Competencias
holistico integrado
RECURSOS

Fuente: COBIT® 5,

Une los cinco principios que permiten a la Organización construir un marco efectivo de Gobierno y
Administración basado en una serie holística de siete habilitadores, que optimizan la inversión en tecnología
e información así como su uso en beneficio de las partes interesadas.
Dimensiones comunes del catalizadores
Partes interesadas internas

Partes interesadas externas

Modelo de referencia del
proceso COBIT
Componentes del proceso COBIT 5 Riesgo
Identificación del proceso
Etiqueta / número de proceso Objetivo de Gobierno
EDM –APO – BAI DSS- MEA
Nombre del proceso
Área de proceso

Gobierno vs. Gerencia

Nombre de dominio del proceso
EDM- APO-BAI- DSS- MEA

Descripción del proceso

Párrafo breve que contiene información
general de alto nivel

Objetivos / métricas empresariales

Objetivos de TI / Métricas
Objetivo
Objetivos / métricas del proceso
Carta RACI de
Gestión
Consultado (entrada)
Informado (salida)
Procesar prácticas y actividades
Referencia cruzada con un SIPOC
Quien lo usa
administración Cumplimiento
proveedores de servicio
usuarios finales

Profesionales de TI
Entradas y salidas
Entradas / salidas reales
Orientación relacionada
Referencias cruzadas
El dominio GOBIERNO contiene cinco procesos de gobierno, dentro de cada proceso, evaluar, dirigir y supervisar (EDM)
Las prácticas se definen.
01 Asegurar el marco de gobierno y el mantenimiento de su configuración.
02 Asegurar la entrega beneficios.
03 Garantizar la optimización de riesgos.
04 Garantizar la optimización de recursos.
05 Garantizar la transparencia de los terceros interesados.
Los cuatro dominios de gestión están en línea con las áreas de responsabilidad de planear, construir, ejecutar y
monitorear (PBRM).
 Gestión
ALINEAR, PLANEAR Y ORGANIZAR (APO)
Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI puede contribuir
de la mejor manera al logro de los objetivos del negocio. Finalmente, se debe implementar una estructura
organizacional y una estructura tecnológica apropiada. Este dominio cubre los siguientes cuestionamientos típicos de
la gerencia:
• ¿Están alineadas las estrategias de TI y del negocio?
• ¿La empresa está alcanzando un uso óptimo de sus recursos?
• ¿Entienden todas las personas dentro de la organización los objetivos de TI?
• ¿Se entienden y administran los riesgos de TI?
• ¿Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?

CONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI)

Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas,
desarrolladas o adquiridas así como implementadas e integradas en los procesos del
negocio. Cubre los siguientes cuestionamientos de la gerencia:
• ¿Es probable que los nuevos proyectos generan soluciones que satisfagan las
necesidades del negocio?
• ¿Es probable que los nuevos proyectos sean entregados a tiempo y dentro del
presupuesto?
• ¿Trabajarán adecuadamente los nuevos sistemas una vez sean implementados?
• ¿Los cambios no afectarán a las operaciones actuales del negocio?
 Gestión
ENTREGAR Y DAR SERVICIO Y SOPORTE (DSS)
Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación del servicio, la
administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los
datos y de las instalaciones operativos. Por lo general cubre las siguientes preguntas de la gerencia:
• ¿Se están entregando los servicios de TI de acuerdo con las prioridades del negocio?
• ¿Están optimizados los costos de TI?
• ¿Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura?
• ¿Están implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad?

SUPERVISAR (MONITOREAR), EVALUAR Y VALORAR(MEA)

Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de
los requerimientos de control. Este dominio abarca la administración del desempeño, el monitoreo del control
interno, el cumplimiento regulatorio y la aplicación del gobierno. Por lo general abarca las siguientes preguntas de
la gerencia:
• ¿Se mide el desempeño de TI para detectar los problemas antes de que sea demasiado tarde?
• ¿La Gerencia garantiza que los controles internos son efectivos y eficientes?
• ¿Puede vincularse el desempeño de lo que TI ha realizado con las metas del negocio?
• ¿Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño?
Dominio de procesos Gobierno de TI
El dominio de procesos de Gobierno de TI – Evaluate, Direct and Monitor
(evaluar, orientar y supervisar) asegura que los objetivos corporativos son
alcanzados mediante la evaluación de necesidades de los interesados,
orientación a través de priorización y toma de decisiones y la supervisión
del progreso, cumplimiento y rendimiento.
Proceso de gestión de TI

• Establecer y mantener un ISMS (Information Security

Management System)
• Diseñar y gestionar un plan de aseguramiento de
riesgos de Seguridad de información
• Monitorear y revisar el ISMS
• Definir el portafolio de acciones de Gestión de Riesgos
• Responder a los riesgos
Proceso de gestión TI El dominio de procesos de Gestión de TI – Build, Accquire and
Implement (Construir, adquirir e implementar), identifica
requerimiento de TI, la adquisición de tecnología y su
implementación dentro de los procesos de negocio de la
organización

Establecer y mantener un Modelo de configuración

Establecer y mantener un repositorio y Baseline de
Configuración
Mantener y controlar ítems de configuración
Producir reportes de estado y configuración
Verificar y revisar la integridad del repositorio de
configuración
Proceso de gestión TI
El dominio de proceso de Gestión de TI – Deliver, Service and Support (Entregar, dar servicio y soporte) se enfocar en
aspectos de la entrega de TI. Cubre áreas como la ejecución de aplicación dentro de los sistemas TI y sus resultados, así
como procesos de soporte que habilitan para una ejecución efectiva y eficiente de estos sistemas.

Alinear las actividades de control dentro

de los procesos de negocio
Controlar el procesamiento del a
información
Gestionar roles, responsabilidades,
privilegios de acceso y niveles de
autoridad
Gestionar errores y excepciones
Asegurar la trazabilidad de la
información y sus responsables
Asegurar activos de información
Proceso de gestión TI
El dominio de Gestión de TI – Monitor, Evaluate and Assess (Supervisar, evaluar y valorar) cubre la
estrategia de la organización en evaluar sus necesidades y lo sistemas(servicios de TI si siguen cumpliendo
los objetos para las cuales fueron diseñados y los controles necesarios con respecto a los requerimientos
regulatorios.

Monitorear controles internos

Revisar la efectividad de los controles en los
procesos de negocio
Realizar auto-evaluación de los controles
Planificar iniciativas de aseguramiento
Ejecutar iniciativas de aseguramiento
Ejemplo
Administración de Riesgos en COBIT 5 ERM
El dominio de Gobierno se enfoca en el riesgo relacionado con los objetivos de los terceros
interesados: EDM03 Asegurar la optimización de riesgos.
Descripción de procesos
Asegurar que el riesgo de la empresa y la tolerancia se entiende, articulado y comunicado, y que el
riesgo de valor de la empresa en relación con el uso de las TI es identificado y gestionado.
Proceso de declaración de propósito
Asegurar que riesgos relacionados con TI de la empresa no supere la tolerancia al riesgo y el apetito
de riesgo, el impacto de los riesgos de TI de valor de la empresa es identificado y manejado, y la
posibilidad de fallas de cumplimiento es mínimo.

El dominio de Gestión Alinear, Planear y

Organizar contiene un proceso de riesgos
relacionados: APO12 Gestionar el riesgo.
Descripción del proceso
Continuamente identificar, evaluar y reducir
los riesgos relacionados con TI dentro de los
niveles de tolerancia establecidos por la
dirección ejecutiva de la empresa.
Proceso de Declaración de Propósito
Integrar la gestión de riesgos empresariales
relacionados con la TI con el ERM en
general, y equilibrar los costos y beneficios
de la gestión de riesgos relacionados con TI
de la empresa
 Administración de Riesgos en COBIT 5 (cont.)
Todas las actividades de la empresa tienen una exposición de riesgos asociados derivados de las amenazas
ambientales que aprovechan las vulnerabilidades habilitador
EDM03 Asegurar optimización del riesgo asegura que el enfoque de riesgo de los terceros interesado este enfocado a
como serán tratados los riesgos que enfrenta la empresa.
APO12 Gestión de Riesgo proporciona a las empresas la gestión de riesgos (ERM)-Todos los demás procesos incluye
prácticas y actividades que son diseñadas para tratar el riesgo relacionado (evitar, reducir / mitigar / controlar/
compartir / transferir / aceptar).

director de riesgos

Jefe
Comite
COBIT 5 sugiere las
responsabilidades, funciones y
responsabilidades de las empresas
y el gobierno / administración
estructuras (tablas RACI) para cada
proceso. Estos incluyen roles para
riesgos relacionados.

R- responsable
A – aprobador
C – consultado
I - informado
Cumplimiento en COBIT
El dominio de la gestión Monitorear, Evaluar y valorar contiene un proceso de cumplimiento enfocado: MEA03
supervisar, evaluar y evaluar el cumplimiento de los requisitos externos.
Descripción del proceso
Evaluar que los procesos de TI y procesos de negocios apoyados por TI cumplen con las leyes, regulaciones y
requerimientos contractuales.
Proceso de propósito de declaración
Asegúrese de que la empresa cumple con todos los requerimientos externos aplicables.
Cumplimiento en COBIT

COBIT sugiere las responsabilidades,

funciones y responsabilidades de las
empresas y el gobierno / administración
estructuras (tablas RACI) para cada
proceso. Estos incluyen una función
relacionada con el cumplimiento.

R- responsable
A – aprobador
C – consultado
I - informado
Respuesta A un problema identificado
 Example: Manage Assets
Gestión de Activos

Métricas relacionadas
Manejo de Activos

Detalles: BAI09
 Administración
de activos

Mapeo de preocupaciones
de COBIT
Gestionar
manejo de
licencias
Administración
de activos

Mapeo de
preocupaciones
de COBIT