COBIT

Control Objectives for Information and

related Technology
Introducción
Objetivos de Control para Información y Tecnologías Relacionadas (COBIT,
en inglés: Control Objectives for Information and related Technology) es
una guía de mejores prácticas presentada como framework, dirigida al
control y supervisión de tecnología de la información (TI). Mantenida
por ISACA (en inglés: Information Systems Audit and Control Association) y el
IT GI (en inglés: IT Governance Institute), tiene una serie de recursos que
pueden servir de modelo de referencia para la gestión de TI, incluyendo un
resumen ejecutivo, un framework, objetivos de control, mapas de auditoría,
herramientas para su implementación y principalmente, una guía de técnicas
de gestión.

2
Misión
La misión de COBIT es "investigar, desarrollar, publicar y promocionar un
conjunto de objetivos de control generalmente aceptados para las
tecnologías de la información que sean autorizados (dados por alguien con
autoridad), actualizados, e internacionales para el uso del día a día de los
gestores de negocios (también directivos) y auditores". Gestores, auditores, y
usuarios se benefician del desarrollo de COBIT porque les ayuda a entender
sus Sistemas de Información (o tecnologías de la información) y decidir el
nivel de seguridad y control que es necesario para proteger los activos de sus
compañías mediante el desarrollo de un modelo de administración de las
tecnologías de la información.

3
 Ediciones

La primera edición fue publicada en 1996; la segunda edición en 1998; la tercera edición
en 2000 (la edición on-line estuvo disponible en 2003); la cuarta edición en diciembre
de 2005, y la versión 4.1 está disponible desde mayo de 2007.

COBIT 4.1
En su cuarta edición, COBIT tiene 34 procesos que cubren 210 objetivos de control
(específicos o detallados) clasificados en cuatro dominios:
Planificación y Organización (Plan and Organize))
Adquisición e Implantación (Acquire and Implement)
Entrega y Soporte (Deliver and Support)
Supervisión y Evaluación (Monitor and Evaluate)

4
 COBIT 5

ISACA lanzó el 10 de abril de 2012 la nueva edición de este marco de

referencia. COBIT 5 es la última edición del framework mundialmente
aceptado, el cual proporciona una visión empresarial del Gobierno de TI que
tiene a la tecnología y a la información como protagonistas en la creación de
valor para las empresas.
COBIT 5 se basa en COBIT 4.1, y a su vez lo amplía mediante la integración de
otros importantes marcos y normas como Val IT y Risk IT, Information
Technology Infrastructure Library (ITIL ®) y las normas ISO relacionadas en esta
norma.

5
Los Principios de COBIT 5
1. Satisfacer
las
necesidades
de las partes
interesadas

5. Separar el 2. Cubrir la
Gobierno de la Organización de
Administración forma integral

Principios
de COBIT 5

4. Habilitar 3. Aplicar un
un enfoque solo marco
holistico integrado

6
Habilitadores de COBIT 5

2. Procesos 3. Estructuras 4. Cultura, Ética

Organizacionales y Comportamiento

1. Principios, Políticas y Marcos

6. Servicios, 7. Personas,
5. Información Infraestructura Habilidades y
y Aplicaciones Competencias

RECURSOS

7
Resumiendo…

COBIT 5 une los cinco principios que permiten a

la Organización construir un marco efectivo de
Gobierno y Administración basado en una serie
holística de siete habilitadores, que optimizan la
inversión en tecnología e información así como su
uso en beneficio de las partes interesadas.

8
COBIT 5: Ahora un único Marco
Empresarial Completofor
Alcance
Evolución del

Gobierno de TI

Val IT 2.0
Administración (2008)

Control
Risk IT
(2009)
Auditoría

COBIT1 COBIT2 COBIT3 COBIT4.0/4.1

1996 1998 2000 2005/7 2012

9
La Familia de Productos de COBIT 5
COBIT ® 5

Guías de Habilitadores de COBIT® 5

® ®
COBIT 5: COBIT 5: Otras Guías
Procesos Habilitadores Información Habilitadora Habilitadoras

Guias Profesionales de Orientación de COBIT® 5

®
COBIT 5 COBIT ® 5 ®
® COBIT 5 Otras Guías
COBIT 5 Implementación Para la Seguridad Para el Para Riesgos Profesionales
de la Información Aseguramiento

COBIT® 5 Ambiente Colaborativo En Línea

10
 Los 5 Principios de COBIT
Los 5 Principios de COBIT 5:

1. Satisfacer las necesidades de las Partes Interesadas

2. Cubrir la Compañía de Forma Integral
3. Aplicar un solo Marco Integrado
4. Habilitar un Enfoque Holístico
5. Separar el Gobierno de la Administración

11
 1. Satisfacer las Necesidades de las Partes Interesadas

Principio 1: Satisfacer las Necesidades de las Partes Interesadas

⚫ Las Compañías existen para crear valor para sus partes interesadas.
Necesidades
de las partes
interesadas

Impulsan
Objectivos del Gobierno: Creación de
Valor

Realización Optimización Optimización

de Beneficios de Riesgos de Recursos

12
1. Satisfacer las Necesidades de las Partes Interesadas(cont.)
Impulsadores de las Partes Interesadas
Principio 1: Satisfacer las Necesidades de las (Medio Ambiente, Evolución Tecnológica, …)

Partes Interesadas: Influencian

⚫Las necesidades de las Partes Interesadas

Necesidades de las Partes Interesadas
deben ser transformadas en una estrategia
Realización Optimización Optimización
accionable para la Organización. de Beneficios de Riesgos de Recursos

⚫Las metas en cascada de COBIT 5 traducen las

necesidades de las Partes Interesadas en metas
específicas, accionables y personalizadas Metas de la Organización
dentro del contexto de la Organización, de las
metas relacionadas con la TI y de las metas Pasan a

habilitadoras.
Metas Relacionadas con TI

Pasan a

Metas Habilitadoras

13
 2. Cubrir la Compañía de Forma Integral

Principio 2: Cubrir la Compañía de Forma Integral:

⚫ COBIT 5 se concentra en el gobierno y la administración de la tecnología de la

información y relacionadas desde una perspectiva integral a nivel de toda la
Organización.
⚫ Esto significa que COBIT 5:
⚫ Integra el gobierno de la TI corporativa en el gobierno corporativo, o sea, el
sistema de gobierno para la TI corporativa propuesto por COBIT 5 se integra, de
una manera fluida, en cualquier sistema de gobierno, toda vez que COBIT 5 está
alineado a los últimos desarrollos en gobierno corporativo.
⚫ Cubre todas las funciones y los procesos dentro de la Organización; COBIT 5 no
solamente se concentra en la “Función de la TI”, sino trata la tecnología de la
información y relacionadas como activos que necesitan ser manejados como
cualquier otro activo, por todos en la Organización.

14
2. Cubrir la Compañía de Forma Integral
Principio 2: Cubrir la Compañía de Forma Integral
Objectivo del Gobierno: Creación de
Valor
Realización Optimización Optimización
de Beneficios de Riesgos de Recursos

Los Componentes Habilitadores Alcance del

de Gobierno Gobierno
Claves de un
Sistema de
Gobierno
Roles, Actividades y Relaciones

Fuente COBIT® 5, Figura 8. © 2012 ISACA® Todos los derechos reservados.

Roles, Actividades y Relaciones

Instruir y
Delegan Fijar
Dueños y Ente Alinear Operaciones
Directivas Administración
Partes Regulador y
Interesadas Rendición de Monitorear Ejecución
Informar
Cuentas

15
 3. Aplicar un único Marco Integrado

Principio 3. Aplicar un único Marco Integrado :

⚫ COBIT 5 está alineado con los últimos marcos y normas relevantes usados por las
organizaciones:
⚫ Corporativo: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000
⚫ Relacionado con TI: ISO/IEC 38500, ITIL, la serie ISO/IEC 27000, TOGAF,
PMBOK/PRINCE2, CMMI
⚫ Etc.
⚫ Así se permite a la Organización utilizar COBIT 5 como integrador macro en el marco
de gobierno y administración.
⚫ ISACA está desarrollando el modelo de capacidad de los procesos para facilitar al
usuario de COBIT el mapeo de las prácticas y actividades contra los marcos y normas
de terceros.

16
 4. Habilitar un Enfoque Holístico

Principio 4. Habilitar un Enfoque Holístico

Los Habilitadores de COBIT 5 son:
Factores que, individual y colectivamente, influyen sobre si algo funcionará –
en el caso de COBIT, Gobierno y Administración sobre la TI corporativa.
Impulsados por las metas en cascada, o sea: las metas de alto nivel
relacionadas con la TI definen qué deberían lograr los diferentes
habilitadores.
Descritos por el marco de COBIT 5 en siete categorías.

17
4. Habilitar un Enfoque Holístico (cont.)
Principio 4. Habilitar un Enfoque Holístico

2. Procesos 3. Estructuras 4. Cultura, Ética

Organizacionales y Comportamiento

1. Principios, Políticas y Marcos

6. Servicios, 7. Personas,
5. Información Infraestructura Habilidades
y Aplicaciones y Competencias

RECURSOS

18
 5. Separar el Gobierno de la Administración

Principio 5. Separar el Gobierno de la Administración:

⚫ El marco de COBIT 5 plasma una distinción muy clara entre el Gobierno y la
Administración.
⚫ Dichas dos disciplinas:
⚫ Comprenden diferentes tipos de actividades
⚫ Requieren diferentes estructuras organizacionales
⚫ Cumplen diferentes propósitos
⚫ Gobierno— En la mayoría de las organizaciones el Gobierno es responsabilidad de la
Junta Directiva bajo el liderazgo de su Presidente.
⚫ Administración— En la mayoría de las organizaciones, la Administración es
responsabilidad de la Gerencia Ejecutiva, bajo el liderazgo del Gerente General
(CEO).

19
5. Separar el Gobierno de la Administración (cont.)
Principio 5. Separar el Gobierno de la Administración:

COBIT 5 no es obligatorio, pero propone que las organizaciones implementen los procesos de gobierno y
administración de tal manera que las áreas claves queden cubiertas, tal como se muestra a continuación:

Necesidades del Negocio

Gobierno

Evaluar

Dirijir Monitorear
Retroalimentación Gerencial

Administración

Planificar Construir Operar Monitorear

(APO) (BAI) (DSS) (MEA)

20
21
 Cubo Cobit
COBIT contempla un principio básico, el cual se resume en el cubo, este explica que los recursos de TI
son manejados por procesos de TI para lograr metas de TI que respondan a los requerimientos del negocio, de esta
forma además de cumplir los requerimientos también brinda condiciones de seguridad y calidad de la
información.

Como se observa el CUBO está compuesto por 3 partes: los Requerimientos de Negocio, los Recursos de TI y los
procesos de TI.

Requerimientos de Negocio:

- Efectividad: Información relevante, pertinente para los procesos del negocio. Proporcionada oportunamente,
correcta, consistente y utilizable.
- Eficiencia: proveer Información con el empleo óptimo de los recursos (la forma más productiva y económica).
- Confiabilidad: proveer Información apropiada para que la administración tome las decisiones adecuadas para
manejar la empresa y cumplir con sus responsabilidades.
- Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales está comprometida la
empresa.
- Confidencialidad: Protección de la Información contra divulgación no autorizada
- Integridad: lo exacto y completo de la información así como a su validez de acuerdo con las expectativas de la
empresa.
- Disponibilidad: (oportunidad) accesibilidad a la información cuando sea requerida por los procesos del
negocio y la salvaguarda de los recursos y capacidades asociadas a la misma.

Recursos de TI

. Aplicaciones, Información, Personas, Infraestructura

22
 Procesos TI
1. Planear y organizar:

Abarca las estrategias y las tácticas. Identifica la manera en que TI puede mejorar el logro de los objetivos del
negocio. Desarrolla la visión estratégica que requiere ser planeada, comunicada y administrada en diferentes contextos
y puntos de vista.
Finalmente, se debe implementar una estructura organizacional y una estructura tecnológica apropiada.

2. Adquirir e implementar:

Para llevar a cabo esa estrategia de la TI, se requiere que se identifique, desarrolle, adquiera, pero sobre todo que se
implemente e integre en el proceso de negocio.
También se refiere a que exista un cambio y el mantenimiento de los sistemas existentes para garantizar que las
soluciones estratégicas sigan satisfaciendo los objetivos del negocio.

3. Entregar y dar soporte:

Abarca la entrega de los servicios requeridos, es decir, la prestación del servicio, la administración de la seguridad y
continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operativos

4. Monitorear y evaluar:

Todo proceso de TI debe evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los
requerimientos de control. Consiste en la administración del desempeño, el monitoreo del control interno, el
cumplimiento regulatorio y la aplicación del gobierno

23