INGENIERIA EN SISTEMAS COMPUTACIONALES

ESPINOSA NUÑEZ ANGEL EMMANUEL

DESARROLLO DE SOFTWARE SEGURO

ANDRADE ALVAREZ ALEJANDRO

COBIT

I-701

15-10-2020
¿Qué es COBIT?
COBIT es un marco de gestión de TI desarrollado por ISACA para ayudar a las
empresas a desarrollar, organizar e implementar estrategias en torno a la gestión
de la información y la gobernanza.
Lanzado por primera vez en 1996, COBIT (Objetivos de control para la información
y tecnologías relacionadas) se diseñó inicialmente como un conjunto de objetivos
de control de TI para ayudar a la comunidad de auditoría financiera a navegar mejor
en el crecimiento de los entornos de TI. En 1998, ISACA lanzó la versión 2, que
amplió el marco para aplicar fuera de la comunidad de auditoría. Más tarde, en la
década de 2000, ISACA desarrolló la versión 3, que trajo las técnicas de
administración de TI y gobernanza de la información que se encuentran en el marco
actual.
COBIT nace con la misión de investigar, desarrollar, publicar y promover un
conjunto de objetivos de control de tecnología de información, guías, actualizados,
internacionales y aceptados para ser utilizados diariamente por gerentes de negocio
y auditores.
Su misión es consolidarse como líder mundialmente reconocido en materia
de gobierno, control y aseguramiento de la gestión de TI.
En 1992 comenzó la actualización de los objetivos de control de ISACA y, en 1996,
ISACA proporcionó a los profesionales de TI un marco de prácticas control de la TI
generalmente aplicables y aceptadas.
LA EVOLUCIÓN DE COBIT:
COBIT1 (1996): Audit
COBIT2 (1998): Control
COBIT3 (2000): Management
COBIT4 (2005/2007): IT Governance
Val IT 2.0
Risk IT
COBIT5 (2012): Governance of Enterprise IT
En respuesta a las necesidades actuales, COBIT ha evolucionado desde una
herramienta para auditoría a un marco de buen gobierno de TIC, con la publicación
de COBIT 4, en el año 2005, y COBIT 5, en 2012.
COBIT 4
Partiendo de la premisa de que IT necesita entregar la información que la
organización necesita para alcanzar sus objetivos, COBIT promueve el enfoque de
procesos y propiedad/responsabilidad de procesos. Divide IT en 34 procesos, que
se incluyen en 4 dominios, que proporcionan objetivos de control de alto nivel.
COBIT ayuda a cubrir las necesidades fiduciarias, de calidad y seguridad de las
organizaciones, proporcionando siete criterios de información que se pueden utilizar
para definir genéricamente lo que la empresa requiere de TI.
Finalmente, para cumplir sus objetivos, se apoya en un conjunto de más de 300
objetivos de control detallados.
La gerencia de negocio requiere cumplir con los objetivos marcados, y para ello,
necesita que las IT garanticen unos niveles óptimos de la información, al menos en
los siguientes requisitos:
PARA ELLO, LAS IT CUENTAN CON UN CONJUNTO DE RECURSOS,
CLASIFICADOS EN:
Aplicaciones: entendido como la suma de las funciones de procedimientos
manuales y programados que procesan la información.
Información: datos en todas sus formas (insumos, procesados, salidas de los
sistemas de información) que sean utilizados por el negocio.
Infraestructura: tecnología y entorno (hardware, sistemas operativos, bases de
datos, redes, multimedia, etc.) que posibilitan el funcionamiento de las aplicaciones.
Personas: habilidades, conocimientos y productividad del personal, tanto para
personal interno como para el contratado.
FINALMENTE, ES NECESARIO NORMALIZAR LA ACTIVIDAD DE IT A TRAVÉS
DE PROCESOS PROPUESTOS POR COBIT, AGRUPADOS EN LOS
SIGUIENTES DOMINIOS:
Planificar y organizar (PO).
Adquirir e implementar (AI).
Entregar y dar soporte (ES).
Evaluar y monitorear (M).
COBIT 4 se estructura en 4 dominios, éstos incluyen los 34 procesos necesarios
para gobernar las IT, y para cada proceso se describen las actividades o tareas
detalladas que permiten cumplir con los objetivos y la finalidad de cada proceso.
ORIENTACIÓN A PROCESOS
Cada proceso, en el ámbito de las IT, debe ser definido formalmente, indicando y
describiendo las actividades principales y sub-actividades, la información de entrada
necesaria y el resultado esperado del proceso.
PARA UN CORRECTO CONTROL DE CADA PROCESO, SE DEBEN DEFINIR
LOS SIGUIENTES ELEMENTOS:
Responsable del proceso: quien responde por el proceso a la gerencia.
Metas del proceso: son los KGI definidos.
Objetivos de control e indicadores clave de desempeño: son los KPI definidos para
cada proceso.
PLANIFICACIÓN Y ORGANIZACIÓN (PO)
Este dominio abarca la estrategia y la táctica, y se vincula con la identificación de la
forma en que la tecnología de información puede contribuir más adecuadamente
con el logro de los objetivos de negocio. Además, es preciso planificar, comunicar y
administrar la realización de la visión estratégica desde distintas perspectivas. Por
último, debe existir una correcta organización e infraestructura tecnológica.
ESTE DOMINO RESPONDE A LAS SIGUIENTES PREGUNTAS:
¿IT y la estrategia de negocio están alineadas?
¿La organización está alcanzando un uso óptimo de sus recursos?
¿Todos los miembros de la organización comprenden los objetivos de IT?
¿Los riesgos de IT son comprendidos y administrados?
¿La calidad de los sistemas de IT es apropiada para las necesidades del negocio?
LOS PROCESOS DEFINIDOS PARA ESTE DOMINIO SON LOS SIGUIENTES:
PO1. Definición de un plan estratégico de TI.
PO2. Definición de la arquitectura de información.
PO3. Determinación de la dirección tecnológica.
PO4. Definición de la organización y relaciones de TI.
PO5. Administrar las inversiones de TI.
PO6. Comunicación de los objetivos y expectativas de la gerencia.
PO7. Administración de los recursos humanos.
PO8. Garantía del cumplimiento de requisitos externos.
PO9. Evaluación de riesgos.
PO10. Administración de proyectos.
PO11. Administración de la calidad.
ADQUIRIR E IMPLEMENTAR (AI)
Para realizar la estrategia de TI, deben identificarse, desarrollarse o
adquirirse soluciones de TI y luego implementarse e integrarse en el proceso de
negocio. Además, este dominio abarca los cambios y el mantenimiento de los
sistemas existentes para garantizar que el ciclo de vida perdure para estos
sistemas.
ESTE DOMINO RESPONDE A LAS SIGUIENTES PREGUNTAS:
¿Los nuevos proyectos son capaces de entregar soluciones que cumplan con las
necesidades del negocio?
¿Los nuevos proyectos son capaces de desarrollarse de acuerdo con los
cronogramas y presupuestos establecidos?
¿Los nuevos sistemas operan adecuadamente una vez que se implementan?
¿Se realizan cambios sin considerar el impacto y configuración actual de las
operaciones del negocio?
¿La calidad de los sistemas de IT es apropiada para las necesidades del negocio?
LOS PROCESOS DEFINIDOS PARA ESTE DOMINIO SON LOS SIGUIENTES:
AI1. Identificación de soluciones.
AI2. Adquisición y mantenimiento de software de aplicación.
AI3. Adquisición y mantenimiento de la arquitectura tecnológica.
AI4. Desarrollo y mantenimiento de TI.
AI5. Instalación y acreditación de sistemas.
AI6. Administración de cambios.
ENTREGAR Y DAR SOPORTE (ES)
Este dominio se ocupa de la entrega o prestación eficaz de los servicios requeridos,
que comprenden desde las operaciones tradicionales sobre aspectos de seguridad
y continuidad, hasta la capacitación. Para prestar los servicios, deben establecerse
los procesos de soporte necesarios. Este dominio incluye el procesamiento real de
los datos por los sistemas de aplicación, a menudo clasificados como controles de
aplicaciones.
Este domino responde a las siguientes preguntas:
¿Los servicios de TI están siendo entregados en línea con las prioridades del
negocio?
¿Los costos de TI son optimizados?
¿Los sistemas de TI son utilizados en forma productiva y segura por parte de los
miembros de la organización?
¿Se cuenta con una adecuada confidencialidad, integridad y disponibilidad a nivel
de las tecnologías de información?
LOS PROCESOS DEFINIDOS PARA ESTE DOMINIO SON LOS SIGUIENTES:
ES1. Definición de niveles de servicio.
ES2. Administrar servicios prestados por terceros.
ES3. Administración de capacidad y desempeño.
ES4. Garantía de servicio continuo.
ES5. Garantía de seguridad de los sistemas.
ES6. Identificación y asignación de costos.
ES7. Educación y entrenamiento de usuarios.
ES8. Apoyo y asistencia a los clientes de TI.
ES9. Administración de la configuración.
ES10. Administración de problemas e incidentes.
ES11. Administración de datos.
ES12. Administración de las instalaciones.
ES13. Administración de las operaciones.
EVALUAR Y MONITORIZAR (M)
Es preciso evaluar regularmente todos los procesos de TI, a medida que transcurre
el tiempo, para determinar su calidad y el cumplimiento de los requerimientos de
control. De este modo, este dominio corresponde a la vigilancia de la función
gerencial sobre los procesos de control de la organización y la garantía
independiente provista por la auditoría interna y externa, u obtenida de fuentes
alternativas.
ESTE DOMINO RESPONDE A LAS SIGUIENTES PREGUNTAS:
¿Se mide el desempeño de TI para detectar problemas antes de que sea demasiado
tarde?
¿La administración se asegura que los controles internos sean efectivos y
eficientes?
¿Es posible establecer la relación entre el desempeño de TI y las metas del
negocio?
¿Existen mecanismos para medir y reportar los riesgos, el control, cumplimiento y
desempeño de TI?
LOS PROCESOS DEFINIDOS PARA ESTE DOMINIO SON LOS SIGUIENTES:
M1. Monitoreo de procesos.
M2. Evaluación del control interno.
M3. Obtención de certificación independiente.
M4. Provisión de auditoría independiente.
Una necesidad básica de toda empresa es entender el estado de sus propios
sistemas de IT y decidir qué nivel de administración y control debe proporcionar.
Para decidir el nivel correcto, la gerencia debe preguntarse: ¿hasta dónde debemos
ir? ¿Está el costo justificado por el beneficio?
Las empresas deben medir dónde se encuentran y dónde se requieren mejoras e
implementar un juego de herramientas gerenciales para monitorear esta mejora.
COBIT ATIENDE ESTOS TEMAS A TRAVÉS DE:
Modelos de madurez que facilitan la evaluación por medio de benchmarking y la
identificación de las mejoras necesarias en la capacidad.
Metas y mediciones de desempeño para los procesos de IT, que demuestran cómo
los procesos satisfacen las necesidades del negocio y de TI, y cómo se usan para
medir el desempeño de los procesos internos basados en BSC.
Metas de actividades para facilitar el desempeño efectivo de los procesos.
El modelo de madurez para la administración y el control de los procesos de TI se
basa en un método de evaluación de la organización de tal forma que se pueda
evaluar a sí misma, desde un nivel de no-existente (0) hasta un nivel de optimizado
(5). Este enfoque se deriva del modelo de madurez que el Software Engineering
Institute definió para la madurez de la capacidad del desarrollo de software.
Cualquiera que sea el modelo, las escalas no deben ser demasiado granulares, ya
que eso haría que el sistema fuera difícil de usar y sugeriría una precisión que no
es justificable debido a que, en general, el fin es identificar dónde se encuentran los
problemas y cómo fijar prioridades para las mejoras.
Los niveles de madurez están diseñados como perfiles de procesos de TI que una
empresa reconocería como descripciones de estados posibles actuales y futuros.
No están diseñados para ser usados como un modelo limitante, donde no se puede
pasar al siguiente nivel superior sin haber cumplido todas las condiciones del nivel
inferior.
Con los modelos de madurez de COBIT, a diferencia de la aproximación del CMM
original de SEI, no hay intención de medir los niveles de forma precisa o probar a
certificar que un nivel se ha conseguido con exactitud. Una evaluación de la
madurez de COBIT resultara en un perfil donde las condiciones relevantes a
diferentes niveles de madurez se han conseguido.
Esto se debe a que cuando se emplea la evaluación de la madurez con los modelos
de COBIT, a menudo algunas implementaciones estarán en diferentes niveles,
aunque no esté completa o suficiente.
UTILIZANDO LOS MODELOS DE MADUREZ DESARROLLADOS PARA CADA
UNO DE LOS 34 PROCESOS IT DE COBIT, LA GERENCIA PODRÁ
IDENTIFICAR:
El desempeño real de la empresa. Dónde se encuentra la empresa hoy.
El estatus actual de la industria. La comparación.
El objetivo de mejora de la empresa. Dónde desea estar la empresa.

Bibliografías:
https://www.ceupe.com/blog/que-es-cobit.html
https://www.welivesecurity.com/la-es/2015/08/04/practicas-cobit-seguridad-
organizaciones/
https://www.networkworld.es/archive/que-es-cobit-un-marco-para-la-alineacion-y-
la-gobernanza