COBIT (Objetivos de Control para la Información y Tecnologías Relacionadas)

COBIT son las siglas para definir Control Objectives for Information and Related Technology (Objetivos
de Control para la Información y Tecnología Relacionada), el cual es un marco de referencia creado por
ISACA (Information Systems Audit and Control Association - Asociación de Control y Auditoria de
Sistemas de Información) para la gestión de TI y el Gobierno de TI. Es un conjunto de herramientas de
soporte que permite a la gerencia de las organizaciones el cerrar la brecha entre los requerimientos de
control, problemas técnicos y los riesgos del negocio.

COBIT son las siglas para definir Control Objectives for Information and Related Technology (Objetivos
de Control para la Información y Tecnología Relacionada), el cual es un marco de referencia creado por
ISACA (Information Systems Audit and Control Association - Asociación de Control y Auditoria de
Sistemas de Información) para la gestión de TI y el Gobierno de TI. Es un conjunto de herramientas de
soporte que permite a la gerencia de las organizaciones el cerrar la brecha entre los requerimientos de
control, problemas técnicos y los riesgos del negocio.

Este marco provee buenas prácticas y presenta actividades para el Gobierno de TI en una estructura
manejable y lógica. Las buenas prácticas de COBIT reúnen el consenso de expertos, quienes ayudarán a
optimizar la inversión en TI y proporcionarán un mecanismo de medición que permitirá juzgar cuando
las actividades van por el camino equivocado.

La misión de COBIT es el investigar, desarrollar, publicar y promover un conjunto de objetivos de control

generalmente aceptados, autorizados, actualizados por ISACA para ser utilizadas en el día a día por la
gerencia del negocio, los profesionales de TI y de la seguridad. En la figura siguiente podemos ver que se
definen también procesos, metas y métricas para el control.

Sin embargo, con el paso del tiempo, añadiendo las nuevas tendencias en tecnología surgidas en países
desarrollados, han incrementado de manera muy importante el papel y la influencia de las TI,
provocando que éstas, formen parte fundamental en la operación y desarrollo de las organizaciones.

Este cambio en la percepción de las TI se debe al surgimiento de marcos de referencia que en la

actualidad se consideran herramientas clave para poder llevar a cabo este renacimiento de la figura de
las TI.

Todos estos marcos de referencia son independientes al rubro o tamaño de la organización. Estos tienen
como objetivo proporcionar metodologías para tener los recursos de TI de manera estructurada y
organizada, apoyando a la organización para alcanzar sus objetivos estratégicos.

En la actualidad, la mayor parte de la inversión en infraestructura y nuevas aplicaciones de TI buscan

apoyar funciones específicas de la organización. Algunas organizaciones incluyen en sus procesos
interno a socios o clientes, mejor conocidos como stakeholders. Este tipo de tendencias provoca que los
CEO's (directores ejecutivos) y CIO's (directores de TI) se vean comprometidos con la necesidad de
reducir lo más posible la brecha que existe en las relaciones entre TI y el negocio.

Debido a esto la administración efectiva de la información y de las tecnologías relacionadas, se han

vuelto un factor crítico para la supervivencia y éxito de las organizaciones. Esta criticidad emerge de:

La creciente dependencia de información y de los sistemas que la proporcionan que se ha generado en

las organizaciones.

El incremento de la vulnerabilidad y riesgos, como lo son las "ciber-amenazas" y la guerra de la

información.

El importante aumento en el costo de las inversiones actuales y futuras en TI.

El inmenso potencial que tienen las TI para provocar un cambio radical en las organizaciones y en las
prácticas de negocio, esto con el fin de obtener nuevas oportunidades y reducción de costos.

Tomando en cuenta todos estos factores

EFECTIVIDAD. Se refiere a que la información relevante sea pertinente para el proceso del negocio, así
como a que su entrega sea oportuna, correcta, consistente y de manera utilizable.

EFICIENCIA. Se refiere a la provisión de información a través de la utilización óptima (más productiva y

económica) de recursos.

CONFIDENCIALIDAD. Se refiere a la protección de información sensible contra divulgación no autorizada.

INTEGRIDAD. Se refiere a la precisión y suficiencia de la información, así como a su validez de acuerdo

con los valores y expectativas del negocio.

DISPONIBILIDAD. Se refiere a la disponibilidad de la información cuando ésta es requerida por el proceso

de negocio ahora y en el futuro. También se refiere a la salvaguarda de los recursos necesarios y
capacidades asociadas.

CUMPLIMIENTO. Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a

los que el proceso de negocios está sujeto, por ejemplo, criterios de negocio impuestos externamente.
CONFIABILIDAD DE LA INFORMACIÓN. Se refiere a la provisión de información apropiada para la
administración con el fin de operar la entidad y para ejercer sus responsabilidades de reportes
financieros y de cumplimiento.

DATOS. Los elementos de datos en su más amplio sentido (por ejemplo, externos e internos),
estructurados y no estructurados, gráficos, sonido, etc.

APLICACIONES. Se entiende como sistemas de aplicación la suma de procedimientos manuales y

programados.

TECNOLOGÍA. La tecnología cubre hardware, software, sistemas operativos, sistemas de administración

de bases de datos, redes, multimedia, etc.

INSTALACIONES. Recursos para alojar y dar soporte a los sistemas de información.

PERSONAL. Habilidades del personal, conocimiento, conciencia y productividad para planear, organizar,
adquirir, entregar, soportar y monitorear servicios y sistemas de información.

Existe un estándar internacional conocido como Control Objetives for Information and Related
Technology (COBIT), que sirve como guía para la buena práctica de la auditoria de las TI,
emitido por la ISACA. Éste contempla los procesos típico de la función de TI, agrupados en
cuatro dominios:

 Planificación y organización: Identificación de la forma en que las TI pueden contribuir

de la mejor manera al logro de los objetivos institucional, y al establecimiento de una
organización e infraestructura tecnológica apropiada.

 Adquisición e implementación: Para llevar a cabo la estrategia de TI es necesario

identificar, desarrollar o adquirir soluciones de TI adecuadas, así como implementarlas e
integrarlas dentro del proceso del negocio. Además, cubre los cambios y el
mantenimiento realizados a sistemas existentes.

 Distribución y soporte: Corresponde a la entrega de los servicios requeridos, desde las

tradicionales operaciones sobre seguridad y continuidad, hasta la capacitación, así como
los procesos de soporte necesarios.

 Monitoreo: Todos los procesos necesitan ser evaluados de forma regular a través del
tiempo, para verificar su calidad y suficiencia en cuanto a los requerimientos de control.
Distribución de los dominios y procesos de COBIT
La estructura del estándar COBIT se divide en dominios que son agrupaciones de procesos que
corresponden a una responsabilidad personal, procesos que son una serie de actividades unidas
con delimitación o cortes de control y objetivos de control o actividades requeridas para lograr
un resultado medible.
Se definen 34 objetivos de control generales, uno para cada uno de los procesos de las TI. Estos
procesos están agrupados en cuatro grandes dominios que se describen a continuación junto
con sus procesos y una descripción general de las actividades de cada uno.

DOMINIOS PROCESOS

PLANEACIÓN Y ORGANIZACIÓN (PO): PO1 Definir un Plan Estratégico de TI: El objetivo es lograr un
balance óptimo entre las oportunidades de tecnología de
Cubre la estrategia y las tácticas, se refiere a información y los requerimientos de TI de negocio, para asegurar
la identificación de la forma en que la sus logros futuros.
tecnología de la información puede
contribuir de la mejor manera al logro de los PO2 Definir la Arquitectura de la Información: El objetivo es
objetivos de la organización. La consecución satisfacer los requerimientos de la organización, en cuanto al
de la visión estratégica debe ser planeada, manejo y gestión de los sistemas de información, a través de la
comunicada y administrada desde diferentes creación y mantenimiento de un modelo de información de la
perspectivas y debe establecerse una organización.
organización y una infraestructura
tecnológicas apropiadas. PO3 Determinar la dirección tecnológica: El objetivo es
aprovechar al máximo la tecnología disponible o tecnología
emergente, satisfaciendo los requerimientos de la organización, a
través de la creación y mantenimiento de un plan de
infraestructura tecnológica.

PO4 Definir la Organización y Relaciones de TI: El objetivo es la

prestación de servicios de TI, por medio de una organización
conveniente en número y habilidades, con tareas y
responsabilidades definidas y comunicadas.

PO5 Manejar la Inversión en TI: El objetivo es la satisfacción de

los requerimientos de la organización, asegurando el
financiamiento y el control de desembolsos de recursos
financieros.

PO6 Comunicar las directrices y aspiraciones gerenciales: El

objetivo es asegurar el conocimiento y comprensión de los
usuarios sobre las aspiraciones de la gerencia, a través de políticas
establecidas y transmitidas a la comunidad de usuarios,
necesitándose para esto estándares para traducir las opciones
estratégicas en reglas de usuario prácticas y utilizables.

PO7 Administrar Recursos Humanos: El objetivo es maximizar las

contribuciones del personal a los procesos de TI, satisfaciendo así
los requerimientos de negocio, a través de técnicas sólidas para
administración de personal.

PO8 Asegurar el cumplir Requerimientos Externos: El objetivo es

 cumplir con obligaciones legales, regulatorias y contractuales,
para ello se realiza una identificación y análisis de los
requerimientos externos en cuanto a su impacto en TI, llevando a
cabo las medidas apropiadas para cumplir con ellos.

PO9 Evaluar Riesgos: El objetivo es asegurar el logro de los

objetivos de TI y responder a las amenazas hacia la provisión de
servicios de TI, mediante la participación de la propia organización
en la identificación de riesgos de TI y en el análisis de impacto,
tomando medidas económicas para mitigar los riesgos.

PO10 Administrar proyectos: El objetivo es establecer prioridades

y entregar servicios oportunamente y de acuerdo al presupuesto
de inversión, para ello se realiza una identificación y priorización
de los proyectos en línea con el plan operacional por parte de la
misma organización. Además, la organización deberá adoptar y
aplicar sólidas técnicas de administración de proyectos para cada
proyecto emprendido.

PO11 Administrar Calidad: El objetivo es satisfacer los

requerimientos del cliente., mediante una planeación,
implementación y mantenimiento de estándares y sistemas de
administración de calidad por parte de la organización.
ADQUISICIÓN E IMPLEMENTACIÓN (AI) AI1 Identificar Soluciones: El objetivo es asegurar el mejor
enfoque para cumplir con los requerimientos del usuario,
Para llevar a cabo la estrategia de TI, las mediante un análisis claro de las oportunidades alternativas
soluciones de TI deben ser identificadas, comparadas contra los requerimientos de los usuarios.
desarrolladas o adquiridas, así como
implementadas e integradas dentro del AI2 Adquirir y Mantener Software de Aplicación: El objetivo es
proceso del negocio. Además, este dominio proporcionar funciones automatizadas que soporten
cubre los cambios y el mantenimiento efectivamente la organización mediante declaraciones específicas
realizados a sistemas existentes. sobre requerimientos funcionales y operacionales, y una
implementación estructurada con entregables claros.

AI3 Adquirir y Mantener Arquitectura de TI: El objetivo es

proporcionar las plataformas apropiadas para soportar
aplicaciones de negocios mediante la realización de una
evaluación del desempeño del hardware y software, la provisión
de mantenimiento preventivo de hardware y la instalación,
seguridad y control del software del sistema.

AI4 Desarrollar y Mantener Procedimientos relacionados con TI: El

objetivo es asegurar el uso apropiado de las aplicaciones y de las
soluciones tecnológicas establecidas, mediante la realización de
un enfoque estructurado del desarrollo de manuales de
procedimientos de operaciones para usuarios, requerimientos de
servicio y material de entrenamiento.

AI5 Instalar y Acreditar Sistemas: El objetivo es verificar y

confirmar que la solución sea adecuada para el propósito deseado
mediante la realización de una migración de instalación,
conversión y plan de aceptaciones adecuadamente formalizadas.

AI6 Administrar Cambios: El objetivo es minimizar la probabilidad

 de interrupciones, alteraciones no autorizadas y errores,
mediante un sistema de administración que permita el análisis,
implementación y seguimiento de todos los cambios requeridos y
llevados a cabo a la infraestructura de TI actual.
SERVICIOS Y SOPORTE (DS) DS1 Definir niveles de servicio: El objetivo es establecer una
comprensión común del nivel de servicio requerido, mediante el
En este dominio se hace referencia a la establecimiento de convenios de niveles de servicio que
entrega de los servicios requeridos, que formalicen los criterios de desempeño contra los cuales se medirá
abarca desde las operaciones tradicionales la cantidad y la calidad del servicio.
hasta el entrenamiento, pasando por
seguridad y aspectos de continuidad. Con el DS2 Administrar Servicios de Terceros: El objetivo es asegurar
fin de proveer servicios, deberán que las tareas y responsabilidades de las terceras partes estén
establecerse los procesos de soporte claramente definidas, que cumplan y continúen satisfaciendo los
necesarios. Este dominio incluye el requerimientos, mediante el establecimiento de medidas de
procesamiento de los datos por sistemas de control dirigidas a la revisión y monitoreo de contratos y
aplicación, frecuentemente clasificados procedimientos existentes, en cuanto a su efectividad y
como controles de aplicación. suficiencia, con respecto a las políticas de la organización.

DS3 Administrar Desempeño y Calidad: El objetivo es asegurar

que la capacidad adecuada está disponible y que se esté haciendo
el mejor uso de ella para alcanzar el desempeño deseado,
realizando controles de manejo de capacidad y desempeño que
recopilen datos y reporten acerca del manejo de cargas de
trabajo, tamaño de aplicaciones, manejo y demanda de recursos.

DS4 Asegurar Servicio Continuo: El objetivo es mantener el

servicio disponible de acuerdo con los requerimientos y continuar
su provisión en caso de interrupciones, mediante un plan de
continuidad probado y funcional, que esté alineado con el plan de
continuidad del negocio y relacionado con los requerimientos de
negocio.

DS5 Garantizar la Seguridad de Sistemas: El objetivo es

salvaguardar la información contra usos no autorizados,
divulgación, modificación, daño o pérdida, realizando controles de
acceso lógico que aseguren que el acceso a sistemas, datos y
programas está restringido a usuarios autorizados.

DS6 Identificar y Asignar Costos: El objetivo es asegurar un

conocimiento correcto atribuido a los servicios de TI realizando un
sistema de contabilidad de costos que asegure que éstos sean
registrados, calculados y asignados a los niveles de detalle
requeridos.

DS7 Capacitar Usuarios: El objetivo es asegurar que los usuarios

estén haciendo un uso efectivo de la tecnología y estén
conscientes de los riesgos y responsabilidades involucrados
realizando un plan completo de entrenamiento y desarrollo.

DS8 Asistir a los Clientes de TI: El objetivo es asegurar que

cualquier problema experimentado por los usuarios sea atendido
apropiadamente realizando una mesa de ayuda que proporcione
soporte y asesoría de primera línea.
 DS9 Administrar la Configuración: El objetivo es dar cuenta de
todos los componentes de TI, prevenir alteraciones no
autorizadas, verificar la existencia física y proporcionar una base
para el sano manejo de cambios realizando controles que
identifiquen y registren todos los activos de TI así como su
localización física y un programa regular de verificación que
confirme su existencia.

DS10 Administrar Problemas e Incidentes: El objetivo es asegurar

que los problemas e incidentes sean resueltos y que sus causas
sean investigadas para prevenir que vuelvan a suceder
implementando un sistema de manejo de problemas que registre
y haga seguimiento a todos los incidentes.

DS11 Administrar Datos: El objetivo es asegurar que los datos

permanezcan completos, precisos y válidos durante su entrada,
actualización, salida y almacenamiento, a través de una
combinación efectiva de controles generales y de aplicación sobre
las operaciones de TI.

DS12 Administrar Instalaciones: El objetivo es proporcionar un

ambiente físico conveniente que proteja el equipo y al personal
de TI contra peligros naturales (fuego, polvo, calor excesivos) o
fallas humanas lo cual se hace posible con la instalación de
controles físicos y ambientales adecuados que sean revisados
regularmente para su funcionamiento apropiado definiendo
procedimientos que provean control de acceso del personal a las
instalaciones y contemplen su seguridad física.

DS13 Administrar Operaciones: El objetivo es asegurar que las

funciones importantes de soporte de TI estén siendo llevadas a
cabo regularmente y de una manera ordenada a través de una
calendarización de actividades de soporte que sea registrada y
completada en cuanto al logro de todas las actividades.
MONITOREO (M) M1 Monitorear los procesos: El objetivo es asegurar el logro de
los objetivos establecidos para los procesos de TI, lo cual se logra
Todos los procesos de una organización definiendo por parte de la gerencia reportes e indicadores de
necesitan ser evaluados regularmente a desempeño gerenciales y la implementación de sistemas de
través del tiempo para verificar su calidad y soporte, así como la atención regular a los reportes emitidos.
suficiencia en cuanto a los requerimientos de
control, integridad y confidencialidad. M2 Evaluar lo adecuado del control interno.: El objetivo es
asegurar el logro de los objetivos de control interno establecidos
para los procesos de TI.

M3 Obtener aseguramiento independiente: El objetivo es

incrementar los niveles de confianza entre la organización,
clientes y proveedores externos. Este proceso se lleva a cabo a
intervalos regulares de tiempo.

M4 Proveer auditoria independiente: El objetivo es incrementar

los niveles de confianza y beneficiarse de recomendaciones
basadas en mejores prácticas de su implementación, lo que se
logra con el uso de auditorias independientes desarrolladas a
intervalos regulares de tiempo.
Principios y beneficios de COBIT
Los 5 principios clave de COBIT 5, según el ISACA:

1. Cumplir con las necesidades clave de los interesados

2. Cubrir la empresa de extremo a extremo
3. Integrar múltiples marcos bajo un paraguas
4. Fomentar un enfoque holístico para los negocios
5. Alejar el gobierno de la administración

Según el ISACA, el COBIT 5 se adapta mejor a los clientes que usan marcos múltiples, como ITIL,
ISO/IEC 2000 y CMI, con ciertos silos dentro de TI que utilizan su propio marco o estándar.
También se adapta bien a las organizaciones que deben seguir las directrices reglamentarias
específicas del gobierno y las autoridades locales.

El marco COBIT 5 ayuda a las empresas a alinear los marcos existentes en la organización y
comprender cómo cada marco se ajustará a la estrategia general. También puede ayudar a las
empresas a monitorear el desempeño de estos otros marcos, especialmente en términos de
cumplimiento de seguridad, seguridad de la información y gestión de riesgos.

También está diseñado para brindar a la alta dirección más información sobre cómo la
tecnología se puede alinear con los objetivos de la organización. El marco brinda a los CIO y
otros ejecutivos de TI una forma de demostrar el ROI en un proyecto de TI y cómo esto ayudará
a alcanzar los objetivos comerciales clave.

Usuarios COBIT
COBIT está diseñado para ser utilizado por tres audiencias distintas:
Gerentes

Auditores

Usuarios Finales
 LA EVOLUCIÓN DE COBIT:

1. COBIT1 (1996): Auditoria

2. COBIT2 (1998): Control
3. COBIT3 (2000): Administración - Gestión
4. COBIT4 (2005/2007): TI - Gobierno
5. COBIT5 (2012): Gobierno e Integración TI.

PARA ELLO, LAS IT CUENTAN CON UN CONJUNTO DE RECURSOS, CLASIFICADOS EN:

1. Aplicaciones: entendido como la suma de las funciones de procedimientos manuales y

programados que procesan la información.
2. Información: datos en todas sus formas (insumos, procesados, salidas de los sistemas de
información) que sean utilizados por el negocio.
3. Infraestructura: tecnología y entorno (hardware, sistemas operativos, bases de datos,
redes, multimedia, etc.) que posibilitan el funcionamiento de las aplicaciones.
4. Personas: habilidades, conocimientos y productividad del personal, tanto para personal
interno como para el contratado.
ES NECESARIO NORMALIZAR LA ACTIVIDAD DE IT A TRAVÉS DE PROCESOS
PROPUESTOS POR COBIT, AGRUPADOS EN LOS SIGUIENTES DOMINIOS:

1. Planificar y organizar (PO).

2. Adquirir e implementar (AI).
3. Entregar y dar soporte (ES).
4. Evaluar y monitorear (M).