Este documento presenta una introducción a COBIT (Control Objectives for Information and Related Technology), un marco de control para tecnologías de información. Explica que COBIT se ha caracterizado por estar orientado al negocio, enlazando las metas del negocio con las metas de TI. Luego describe los 10 procesos que componen el dominio de "Planificar y Organizar" en COBIT, incluyendo definir un plan estratégico de TI, determinar la arquitectura de información, y administrar recursos humanos de TI. Finalmente, concluye que
1. UNIVERSIDAD TÉCNICA PARTICULAR DE LOJA
LaUniversidad Católicade Loja
SISTEMAS INFORMÁTICOS Y COMPUTACIÓN
Auditoría Informática
COBIT: Planear y Organizar
LOJA – ECUADOR
Abril – Agosto
2015
2. Introduccion
En la actualidad en las organizaciones ya sean públicas o privadas existe una progresiva
preocupación y falta de dirección acerca de las actividades de la función TI. Así como el
personal las TIC’s juegan un importante papel dentro de las organizaciones, no solo para
mantenerlacompetitividad,sinoparagarantizara la organizaciónsusistematizacionesdiarias.
El sector privado y público son conscientes de que las TI son un factor necesario para prestar
un serviciode calidad,asítambiénsonconscientes de que unafallaen el sistema significa una
pérdida inmediata de los ingresos de la compañía, dañando la imagen de la organización. La
utilización y adquisición de las TIC’s son una inversión necesaria para minimizar los riesgos
dentro de un entorno que está sujeto a amenazas internas o externas.
Estos factoreshan dado hincapié la creación de modelos, metodologías y prácticas dirigidas a
garantizarrendimiento más óptimo de las TIC’s en las organizaciones. Entre las prácticas más
aceptadas podemos situar a COBIT.
COBIT se ha caracterizadopor estar orientadoal negocio, enlazando lasmetas,alcance,calidad
del negocio con las metas de TI, su éxito se debe a la dualidad entre el Negocio y hacía las
TIC’s, facilitando la implantación de políticas, procedimientos, prácticas y estructuras
organizativas, para garantizar los objetivos perseguidos y prevenir eventos no deseados.
3. COBIT: Planificar y Organizar
Este dominio (planificar y organizar) es la base para el desarrollo de los tres dominios
siguientes. Este dominio consta de 10 procesos los cuales son:
1. Definir un Plan Estratégico de TI.
2. Definir la Arquitectura de la Información.
3. Determinar la Dirección Tecnológica.
4. Definir los Procesos, Organización y Relaciones de TI.
5. Administrar la Inversión en TI.
6. Comunicar las Aspiraciones y la Dirección de la Gerencia.
El procesopara comunicarlasaspiracionesyla direccióngerencial,eselaborar, definir
y comunicar las políticas de un marco de trabajo de control empresarial para TI. La
comunicación apoya el logro de los objetivos de TI y asegura la concienciación y el
entendimiento de los riesgos de negocio y de TI. El proceso debe garantizar el
cumplimientode las leyesyreglamentosrelevantes.[4]Se debe implantarun programa
de comunicacióncontinuapara unir la misión, los objetivos de servicio, las políticas y
procedimientos, aprobados y apoyados por la dirección.
Objetivos de control detallados del proceso
6.1.Ambiente de políticas y de control. Definir los elementos de un ambiente de
control para TI, alineadosconla filosofía administrativa y el estilo operativo de la
empresa.Estoselementosincluyenlasexpectativasyrequerimientosrespecto a la
entrega de valor proveniente de las inversiones en TI, la integridad, los valores
éticos,lacompetenciadel personal,larendiciónde cuentasylaresponsabilidad.El
ambiente de control se basa en una cultura que apoya la entrega de valor,
mientras que al mismo tiempo administra riesgos significativos, fomenta la
4. colaboracióninter-divisional yel trabajoenequipo,promueveel cumplimientoyla
mejora continua de procesos.
6.2.Riesgo Corporativo y Marco de Referencia de Control Interno de TI. Elaborar y
dar mantenimientoaunmarco de trabajo que establezca el enfoque empresarial
general hacialosriesgos y hacia el control interno para entregar valor mientras al
mismotiempose protegenlosrecursosysistemasde TI. El marco de trabajo debe
estar integrado por el marco de procesos de TI y el sistema de administración de
calidad, y debe cumplir los objetivos generales de la empresa. Debe tener como
metamaximizarel éxitode laentregade valor mientras minimiza los riesgos para
los activos de información por medio de medidas preventivas, la identificación
oportunade irregularidades,lalimitación de pérdidas y la oportuna recuperación
de activos del negocio.
6.3.Administración de políticas para TI. Elaborar y dar mantenimiento a un conjunto
de políticasque apoyenlaestrategiade TI.Estas políticasdebenincluirlaintención
de losrolesy responsabilidades,procesosde excepción,enfoquede cumplimiento
y referenciasaprocedimientos,estándaresydirectrices.Laspolíticasdebenincluir
tópicos clave como calidad, seguridad, confidencialidad, controles internos y
propiedadintelectual.Surelevanciase debe confirmaryaprobarde formaregular.
6.4.Implantación de políticas de TI. Asegurarse de que las políticas de TI se implantan
y se comunican a todo el personal relevante, y se refuerzan, de tal forma que
estén incluidas y sean parte integral de las operaciones empresariales. Los
métodosde implantacióndebenresolvernecesidadese implicaciones de recursos
y concientización.
6.5.Comunicación de los objetivos y la dirección de TI. Asegurarse de que la
concienciayel entendimientode losobjetivosyladirección del negocio y de TI se
comunican a toda la organización. La información comunicada debe abarcar una
misiónclaramente articulada,losobjetivosde servicio, la seguridad, los controles
internos,lacalidad,el códigode ética y conducta, políticas y procedimientos, etc.
La dirección debe dar especial atención a comunicar la conciencia sobre la
seguridadde TIy el mensaje de que laseguridadde TIes responsabilidadde todos.
7. Administrar Recursos Humanos de TI.
Este proceso se centra en adquirir, mantener y motivar una fuerza de trabajo para la
creación y entrega de servicios de TI para el negocio. [4] Esto se logra siguiendo
prácticas definidas y aprobadas que apoyan el entrenamiento, la evaluación del
desempeño, la promoción y la terminación. Este proceso es crítico, ya que las
personas son activos importantes, y el ambiente de gobierno y de control interno
depende fuertementede lamotivaciónycompetenciadel personal. [6] Se enfoca en la
contratación y entrenamiento del personal, la motivación por medio de planes de
carrera claros, la asignación de roles que corresponden a las habilidades, el
establecimiento de procesos de revisión definidos, la creación de descripción de
puestos y el aseguramiento de la conciencia de la dependencia sobre los individuos.
Objetivos de control detallados del proceso
5. 7.1.Reclutamiento y Retención del Personal. La gerencia implementa procesos para
garantizar que la organización cuente con una fuerza de trabajo posicionada de
forma apropiada, que tenga las habilidades necesarias para alcanzar las metas
organizacionales.
7.2.Competenciasdel personal. Verificarde formaperiódicaque el personal tenga las
habilidades para cumplir sus roles con base en su educación, entrenamiento y/o
experiencia.Definirlosrequerimientosesencialesde habilidadesparaTI y verificar
que se les dé mantenimiento, usando programas de calificación y certificación
según sea el caso.
7.3.Asignación de roles. Definir, monitorear y supervisar los marcos de trabajo para
losroles,responsabilidadesycompensacióndel personal, incluyendo el requisito
de adherirse alas políticasy procedimientosadministrativos,asícomoal códigode
ética y prácticas profesionales. Los términos y condiciones de empleo deben
enfatizar la responsabilidad del empleado respecto a la seguridad de la
información, al control interno y al cumplimiento regulatorio.
7.4.Entrenamiento del personal. Proporcionar a los empleados el entrenamiento
continuo para conservar su conocimiento, aptitudes, habilidades, controles
internosyconcienciasobre laseguridad,al nivel requeridoparaalcanzar las metas
organizacionales.
7.5.Dependenciasobre losindividuos. Minimizarlaexposiciónadependenciascríticas
sobre individuosclave pormediode lacapturadel conocimiento(documentación),
compartir el conocimiento, planeación de la sucesión y respaldos de personal.
7.6.Procedimientos de Investigación del personal. Incluir verificaciones de
antecedentes en el proceso de reclutamiento de TI. El grado y la frecuencia de
estas verificaciones dependen de que tan delicada ó crítica sea la función y se
deben aplicar a los empleados, contratistas y proveedores.
7.7.Evaluación del desempeño del empleado. Es necesario que las evaluaciones de
desempeño se realicen periódicamente, comparando contra los objetivos
individuales derivados de las metas organizacionales, estándares establecidos y
responsabilidades específicas del puesto. Los empleados deben recibir
adiestramiento sobre su desempeño y conducta, según sea necesario.
7.8.Cambios y terminación de trabajo. Tomar medidas expeditas respecto a los
cambios en los puestos, en especial las terminaciones. Se debe realizar la
transferenciadel conocimiento, reasignar responsabilidades y se deben eliminar
losprivilegiosde acceso,de tal modoque losriesgosse minimicenyse garantice la
continuidad de la función.
8. Administrar la Calidad.
Elaborar y mantenerunsistemade administración de calidad, que mejore de manera
continua y medible la calidad de los servicios prestados por TI. Esto se facilita por
mediode laplaneación,implantaciónymantenimientodel sistema de administración
6. de calidad, proporcionando requerimientos, procedimientos y políticas claras de
calidad. [1] La administración de calidad consta de varios puntos a tomar para su
ejecución correcta.
8.1.Sistema de administración de calidad: Se deberá establecer un sistema el cual
proporcione un enfoque estándar, formal y continuo, con respecto a la
administración de la calidad, este a su vez debe estar alineado con los
requerimientos del negocio.
8.2.Estándares y prácticas de calidad: Se debe implementar estándares para el
mejoramiento y adaptación de las prácticas de calidad de la organización.
8.3.Estándares de desarrolloy de adquisición:La organización entodoel ciclo de vida
debe adoptar estándares, hasta el último entregable en el cual se debe incluir la
aprobaciónen lospuntosclavesal igual que deben existir criterios de aprobación.
8.4.Enfoque en el cliente: La gestión de calidad se debe enfocar en los clientes y sus
requerimientosque debenestar alinearloscon los estándares y prácticas de TI. En
este apartadose definenlosrolesyresponsabilidades respecto a la resolución de
conflictos entre el usuario – cliente y la organización de TI.
8.5.Mejora continua: Se elabora y comunica un plan global de calidad que promueva
la mejora continua, de forma periódica.
9. Evaluar y Administrar los Riesgos de TI.
Se debe analizar y comunicar los riesgos de TI y su impacto potencial sobre los
procesos y metas de negocio, estas estrategias de mitigación de riesgos deben
minimizar los riesgos residuales a un nivel aceptable.
Se enfoca en la elaboración de un marco de trabajo de administración de
riesgosel cual estáintegradoenlosmarcos gerencialesde riesgo operacional,
evaluación de riesgos, mitigación del riesgo y comunicación de riesgos
residuales. [1] Para la evaluación y administración de se deberá tomar en
cuenta los siguientes puntos.
9.1.Alineación de la administración de riesgos de TI y del negocio: Para una buena
administración de riesgos se debe integrar el gobierno, la administración de
riesgos y el marco de control de TI, al marco de trabajo de administración de
riesgos de la organización.
9.2.Establecimientodel contextodel riesgo. Establecerel contextoenel cual el marco
de trabajo de evaluación de riesgos se aplica para garantizar resultados
apropiados.
9.3.Identificaciónde eventos. Se debe identificartodosaquel eventoyaseaamenazas
y vulnerabilidades, conunimpactopotencial sobre las metas o las operaciones de
la empresa,aspectosde negocio,regulatorios, legales, tecnológicos, de sociedad
comercial, de recursos humanos y operativos.
9.4.Evaluación de riesgos.Mediante métodoscuantitativosy cualitativos, se evaluará
de forma periódica la posibilidad e impacto de todos los riesgos identificados.
7. 9.5.Respuestaa losriesgos. Para obtenerunarespuestaa losriesgosque seaeficiente
se debe tomar encuentaloscostos y beneficios;estas respuestasdebenidentificar
estrategias de riesgo tales como evitar, reducir, compartir o aceptar.
10. Administrar Proyectos
La administraciónde proyectossebe estarbiendefinidos,que se puedaaplicar a todos
losproyectosde TI, locual facilite laparticipaciónde losinteresadosyel monitoreode
los riesgos y los avances de los proyectos.
10.1. Plan de calidad del proyecto:Se debe desarrollarunplan de administraciónde
la calidad el cual este describirá el sistema de calidad del proyecto y cómo será
implantado.
10.2. Control de cambios del proyecto: Se podrá implementar un sistema de
control de cambios para cada proyecto, de esta forma todos los cambios que se
realicendentrodel proyectoyasean porcostos, cronograma, alcance y calidad, se
revisen, aprueben e incorporen de manera apropiada.
10.3. Planeacióndel proyecto y métodosde aseguramiento: Identificar las tares de
aseguramiento requeridas, satisfaciendo los requerimientos definidos.
10.4. Medición del desempeño, reportes y monitoreo del proyecto: Medir el
desempeño del proyecto frente a los criterios clave del proyecto: alcance,
cronograma, calidad, costos y riesgos
10.5. Cierre del proyecto: Al finalizarcadaproyecto,losinteresados del proyecto se
aseguren que el proyecto haya proporcionado los resultados y los beneficios
esperados.
8. Conclusion
COBIT cuenta con una flexibilidad y versatilidad, brindándonos varias facetas de
administraciónde recursoshumanos, administraciónde calidad,proyectos y dirección
de recursosde tecnologías;lascualesdeberánestarrelacionadas con los estándares y
normas de la organización.
Los procesosde COBIT,permitenrealizar una comunicación precisa de la información
sobre los servicios de TI, los riesgos asociados y las responsabilidades, que se
encuentre dentro del marco de trabajo de control de TI, y además administrar los
recursos humanos de TI para formar personas competentes, y motivadas para crear y
entregarserviciosde TIenfocándose enlacontrataciónyentrenamientodel personal.
9. Bibliografía
1) LOOR, Roberto. (11 de Mayo 2009). Planear y Organizar. Obtenido en:
http://es.slideshare.net/Yuyro08/planear-y-organizar
2) Castro, Paola. (7 de Marzo 2011). Planear y Organizar. Obtenido en:
http://cobitv41.blogspot.com/2011/03/planear-y-organizar.html
3) CORRALES,Carla.VALLEJO,Diana.(Septiembre2008).Evaluacióndel nivel de madurez
de la gestiónde lasTIC’sen laempresa“ASTAP”.(Obtencióndel títulode Ingeniero en
Sistemas Informáticos y de Computación). Escuela Politécnica Nacional. Quito.
Obtenidoen:http://bibdigital.epn.edu.ec/bitstream/15000/806/1/CD-1704%282008-
10-07-11-50-04%29.pdf
4) Governance Institute. (2007). COBIT 4.1. Obtenido en:
http://cs.uns.edu.ar/~ece/auditoria/cobiT4.1spanish.pdf
5) Seguridad para TI basado en COBIT. (2009). Planear y Organizar. Obtenido en:
http://redyseguridad.fi-
p.unam.mx/proyectos/cobit/seccion_informativa/1_planear_organizar/seccion_infor
mativa_po.html
6) Torre Morales,Martha. (Septiembre 2012). Diagnóstico para la implantación de COBIT
en una empresa en producción. (Tesis). Universidad Politécnica Salesiana. Guayaquil.
Obtenido en: http://dspace.ups.edu.ec/bitstream/123456789/2695/13/UPS-
GT000307.pdf