COBIT es una metodología aceptada mundialmente para el control de proyectos de tecnología de la información. Proporciona una guía de alto nivel para definir y evaluar los procesos relacionados con los sistemas de información de una organización. COBIT cubre cuatro dominios principales: planificación y organización, adquisición e implementación, soporte y servicios, y monitoreo.

1. UNIVERSIDAD TECNOLÓGICA DEL VALLE DE TOLUCA
POR:
Calixto Esquivel Omar
Guadarrama Navarrete María Isabel
Hernández Alejandro Yuruani
Romero Campos Francisco
Silva Santana Antolin
Abril de 2013
1

2. Contenido
• Resumen • Componentes
• Objetivos • Ventajas
• Objetivo • Características
principal de Principales
COBIT • Tabla de
• ¿Qué es Diferencias
COBIT? • Ejemplo
• ¿Quién lo creo? • Conclusiones
• Historia • Referencias
• Certificaciones Bibliográficas
• Versiones
• Cubo COBIT
2

3. Resumen
 Es una metodología aceptada mundialmente para el adecuado control de
proyectos de tecnología.
 Es una metodología para el adecuado control de los flujos de información y los
riesgos que éstas implican.
 Es la principal propuesta metodológica realizada a nivel internacional para
abordar la Auditoria de Sistemas de Información.
 La tecnología cobit se utiliza para planear, implementar, controlar y evaluar el
gobierno sobre TIC.
 Incorpora objetivos de control, directivas de auditoría, medidas de
rendimientos y resultados, factores críticos de éxito y modelos de madurez.
3

4. Objetivos
• Conocer como y porque surge el modelo COBIT
• Conocer el modelo COBIT e identificar el
panorama conceptual de su estructura.
4

5. Objetivo Principal de COBIT
• El objetivo principal de Cobit consiste en proporcionar una guía a alto nivel sobre
puntos en los que establecer controles internos con tal de:
• Asegurar el buen gobierno, protegiendo los intereses de los stakeholders (clientes,
accionistas, empleados, etc.)
• Garantizar el cumplimiento normativo del sector al que pertenezca la organización
• Mejorar la eficacia i eficiencia de los procesos y actividades de la organización
• Garantizar la confidencialidad, integridad y disponibilidad de la información
5

6. ¿Qué es ?
• Las siglas COBIT significan Objetivos de Control para
Tecnología de Información y Tecnologías relacionadas
(Control Objectives for Information Systems and related
Technology).
• Es un modelo para auditar la gestión y control de los
sistemas de información y tecnología, orientado a todos
los sectores de una organización, es decir,
administradores TI, usuarios y los auditores
involucrados en el proceso.
6

7. ¿Quién la creo?
• La ISACF, organización creadora de esta norma COBIT
(Information Systems Audit and Control Foundation) así
como sus patrocinadores, han diseñado este producto
principalmente como una fuente de instrucción para los
profesionales dedicados a las actividades de control.
7

8. Historia
• El proyecto COBIT se emprendió por primera vez en el año 1995, con el fin de crear
un mayor producto global que pudiese tener un impacto duradero sobre el campo de
visión de los negocios, así como sobre los controles de los sistemas de información
implantados.
• La primera edición del COBIT, fue publicada en 1996 y fue vendida en 98 países de
todo el mundo. La segunda edición (tema de estudio en este informe) publicada en
Abril de 1998, desarrolla y mejora lo que poseía la anterior mediante la incorporación
de un mayor número de documentos de referencia fundamentales, nuevos y
revisados (de forma detallada) objetivos de control de alto nivel, intensificando las
líneas maestras de auditoría, introduciendo un conjunto de herramientas de
implementación.
8

9. Certificaciones
• CobiT NO es certificable. En ningún caso el modelo constituye o dispone
de un esquema de certificación que posibilite a sus implantaciones ser
certificadas por organismos acreditados.
9

10. • Entrega y Soporte
Cobit Relacionado
eSCM-CL Client Organization y eSCM-SP Service
DS2 – Gestión de servicios de terceros
Provider
BS 25999-1 (Business Continuity Management) y
DS4 – Asegurar la continuidad del servicio
guías BCI (Business Continuity Institute)
Open Source Security Tests methodology
DS5 – Garantizar la seguridad de los sistemas (OSSTMM) y Information System Security
Assessment Framework
DS6 – Identificar y asignar costes Activity-Based Costing (ABC)
Como soporte a los procesos de este apartado es posible utilizar metodologías de desarrollo y modelos de
capacidad como ISO 15504 y CMMI
10

11. Versiones
Las principales versiones son:
 En 1996, la primera edición fue puesta en libertad.
 En 1998, la segunda edición añade “Directrices para la
gestión”.
 En 2000, la tercera edición fue puesta en libertad. En 2003,
una versión en línea se convirtió disponibles
 En 2005, la cuarta edición se publicó inicialmente.
 En 2007, la actual revisión de 4.1 fue lanzada.
11

12. Cubo COBIT
• la organización dispone de recursos (aplicaciones, información,
infraestructura y personas) que son utilizados por los procesos para cubrir
los requisitos del negocio:
• Efectividad (cumplimiento de objetivos)
• Eficiencia (consecución de los objetivos con el máximo aprovechamiento
de los recursos)
• Confidencialidad
• Integridad
• Disponibilidad
• Cumplimiento regulatorio
12
• Fiabilidad

13. Cobit también ofrece mecanismos para la medición de las capacidades de los
procesos con objeto de conseguir una mejora continua.
Nivel 0 – Proceso incompleto
Nivel 1 – Proceso ejecutado
Nivel 2 – Proceso gestionado
Nivel 3 – Proceso definido
Nivel 4 – Proceso predecible
Nivel 5 – Proceso optimizado
13

14. Componentes
El conjunto de lineamientos y estándares internacionales conocidos
como COBIT, define un marco de referencia que clasifica los procesos
de las unidades de tecnología de información de las organizaciones en
cuatro “dominios” principales, a saber:
• Planificación y organización
• Adquisición e implantación
• Soporte y servicios
• Monitoreo
14

15. • Planificación y organización:
Este dominio cubre la estrategia y las tácticas y se refiere a la identificación
de la forma en que la tecnología de información puede contribuir de la mejor
manera al logro de los objetivos del negocio.
15

16. Cobit presenta 10 procesos:
PO1 – Definición de un plan estratégico: gestión del valor, alineación con las necesidades del negocio, planes
estratégicos y tácticos.
P02 – Definición de la arquitectura de información: modelo de arquitectura, diccionario de datos, clasificación de la
información, gestión de la integridad.
P03 – Determinar las directrices tecnológicas: análisis de tecnologías emergentes, monitorizar tendencias y
regulaciones.
P04 – Definición de procesos IT, organización y relaciones: análisis de los procesos, comités, estructura organizativa,
responsabilidades, propietarios de la información, supervisión, segregación de funciones, políticas de contratación.
P05 – Gestión de la inversión en tecnología: gestión financiera, priorización de proyectos, presupuestos, gestión de
los costes y beneficios.
P06 – Gestión de la comunicación: políticas y procedimientos, concienciación de usuarios.
P07 – Gestión de los recursos humanos de las tecnologías de la información: contratación, competencias del
personal, roles, planes de formación, evaluación del desempeño de los empleados.
P08 – Gestión de la calidad: mejora continua, orientación al cliente, sistemas de medición y monitorización de la
calidad, estándares de desarrollo y adquisición.
P09 – Validación y gestión del riesgo de las tecnologías de la información
P10 – Gestión de proyectos: planificación, definición de alcance, asignación de recursos, etc.
16

17. • Adquisición e implantación:
Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser
identificadas, desarrolladas o adquiridas, así como implementadas e
integradas dentro del proceso del negocio
17

18. Cobit define los siguientes 7 procesos:
AI1 – Identificación de soluciones: análisis funcional y técnico, análisis del riesgo, estudio de la
viabilidad.
AI2 – Adquisición y mantenimiento de aplicaciones: Diseño, controles sobre la seguridad, desarrollo,
configuración, verificación de la calidad, mantenimiento.
AI3 – Adquisición y mantenimiento de la infraestructura tecnológica: Plan de infraestructuras,
controles de protección y disponibilidad, mantenimiento.
AI4 – Facilidad de uso: Formación a gerencia, usuarios, operadores y personal de soporte.
AI5 – Obtención de recursos tecnológicos: control y asignación los recursos disponibles, gestión de
contratos con proveedores, procedimientos de selección de proveedores.
AI6 – Gestión de cambios: Procedimientos de solicitud/autorización de cambios, verificación del
impacto y priorización, cambios de emergencia, seguimiento de los cambios, actualización de
documentos.
AI7 – Instalación y acreditación de soluciones y cambios: Formación, pruebas técnicas y de usuario,
conversiones de datos, test de aceptación por el cliente, traspaso a producción.
18

19. • Soporte y servicios:
En este dominio se hace referencia a la entrega de los servicios requeridos,
que abarca desde las operaciones tradicionales hasta el entrenamiento,
pasando por seguridad y aspectos de continuidad.
19

20. El estándar Cobit ha definido 13 procesos diferentes:
DS1 – Definición y gestión de los niveles de servicio: SLA con usuarios/clientes
DS2 – Gestión de servicios de terceros: gestión de las relaciones con proveedores, valoración del riesgo (non-disclousure
agreements NDA), monitorización del servicio.
DS3 – Gestión del rendimiento y la capacidad: planes de capacidad, monitorización del rendimiento, disponibilidad de
recursos.
DS4 – Asegurar la continuidad del servicio: plan de continuidad, recursos críticos, recuperación de servicios, copias de
seguridad.
DS5 – Garantizar la seguridad de los sistemas: gestión de identidades, gestión de usuarios, monitorización y tests de
seguridad, protecciones de seguridad, prevención y corrección de software malicioso, seguridad de la red, intercambio de
datos sensibles.
DS6 – Identificar y asignar costes
DS7 – Formación a usuarios: identificar necesidades, planes de formación.
DS8 – Gestión de incidentes y Help Desk: registro y escalado de incidencias, análisis de tendencias.
DS9 – Gestión de configuraciones: definición de configuraciones base, análisis de integridad de configuraciones.
DS10 – Gestión de problemas: identificación y clasificación, seguimiento, integración con la gestión de incidentes y
configuraciones.
DS11 – Gestión de los datos: acuerdos para la retención y almacenaje de los datos, copias de seguridad, pruebas de
recuperación.
DS12 – Gestión del entorno físico: 20
DS13 – Gestión de las operaciones:

21. • Monitoreo:
Todos los procesos necesitan ser evaluados regularmente a través del
tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos
de control.
21

22. El último dominio se centra en la supervisión de los sistemas con tal de:
• Garantizar la alineación con la estratégica del negocio
• Verificar las desviaciones en base a los acuerdos del nivel de servicio
• Validar el cumplimiento regulatorio
El estándar Cobit define los siguientes 4 procesos:
ME1 – Monitorización y evaluación del rendimiento
ME2 – Monitorización y evaluación del control interno
ME3 – Asegurar el cumplimiento con requerimientos externos
ME4 – Buen gobierno
22

23. Ventajas
• Con el uso apropiado de cobit se logra que la información relevante
sea pertinente para el proceso de negocio.
• El uso de cobit ayuda a lograr un balance entre los riesgos y las
inversiones que requieren en controles.
• Para los usuarios, cobit permite obtener una garantía en cuanto a la
seguridad y controles de los servicios de tecnología de la
información.
• Logra confidencialidad de tu información.
23

24. Características Principales
• Ha sido diseñado como un estándar habitualmente aceptado y ajustable a
las buenas prácticas de seguridad y control en TIC.
• Suministra herramientas al responsable de los procesos que facilitan el
cumplimiento de esta tarea.
• Tiene una premisa práctica y simple: con el fin de facilitar la información
que la organización requiere para alcanzar sus objetivos, señala que los
recursos de TIC deben ser administrados por un conjunto de procesos de
TIC agrupados en forma natural.
• Es la herramienta innovadora para el manejo de TIC que ayuda a la
gerencia a comprender y administrar los riesgos asociados con TIC.
• Ayuda a proteger las brechas existentes entre necesidades de control,
riesgos de negocio y aspectos técnicos.
24

25. Tabla
Comparativa
25
Link PDF

26. Ejemplo
• En el 2012, fue lanzado la quinta edición, donde
consolida e integra el Cobit 4.1
Link_PDF
• A continuación se mostrara un ejemplo de
COBIT.
Link_PDF
26

27. Conclusiones
El estándar Cobit nos ofrece una completa guía de alto nivel para la definición
y evaluación de los procesos de negocios relacionados con los Sistemas de
Información. Por otra parte, permite el uso de otros marcos de trabajo más
específicos (p.ej. CMMI, ITIL, etc.) sin perder la compatibilidad gracias a al
carácter generalista de Cobit.
Claramente la COBIT es un marco de referencia para profesionalizar el
área informática de un compañía, que cuenta con capacidades propias
o tercerizadas para la implementación de proyectos.
27

28. Referencias
• http://www.hacienda.go.cr/cifh/sidovih/spaw2/uploads/images/file/COBIT%2
0audit%20y%20ctrol%20sists%20inf.pdf
• http://prezi.com/8pjgauekh0xi/metodologia-cobit
• http://es.scribd.com/doc/31006796/Cuadro-Comparativo-Cobit-Mof-Itil
• http://www.netconsul.com/riesgos/cci.pdf
• http://www.slideshare.net/nikifitz/cobit-1154456
28