El documento describe COBIT (Control Objectives for Information and Related Technology), un marco de gobierno y gestión de tecnologías de la información. COBIT proporciona objetivos de control, procesos, criterios de evaluación y mejores prácticas para crear valor a través de una gestión eficaz de los riesgos, recursos y procesos de TI. El marco ha evolucionado para cubrir gobierno, gestión, seguridad y creación de valor a través de las tecnologías de la información.
3. COBIT = Objetivos de Control para Tecnología de
Información y Tecnologías relacionadas (Control Objetives
for Información Systems and relatedTechnology).
El modelo es el resultado de una investigación con
expertos de varios países, desarrollado por ISACA
(Información Systems audit. and Control Association).
4. Es un modelo para la auditoria y control de
sistemas de información.
La evaluación de los requerimientos del negocio,
los recursos y procesos, son puntos bastante
importantes para el buen funcionamiento de una
compañía y para el aseguramiento de su
supervivencia en el mercado.
5. El COBIT es un modelo para auditar la gestión y control de
los sistemas de información y tecnología, orientado a
todos los sectores de una organización, es decir,
administradores IT, usuarios y por supuesto, los auditores
involucrados en el proceso.
6. ⁻ COBIT es un marco de gobierno de las tecnologías de información
que proporciona una serie de herramientas para que la gerencia
pueda conectar los requerimientos de control con los aspectos
técnicos y los riesgos del negocio.
⁻ Permite el desarrollo de las políticas y buenas prácticas para el
control de las tecnologías en toda la organización.
⁻ Enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a
incrementar su valor a través de las tecnologías, y permite su
alineamiento con los objetivos del negocio
⁻ Información disponible en: www.isaca.org/cobit
COBIT – el Marco de ISACA
7. Governance of Enterprise IT
COBIT 5
IT Governance
COBIT4.0/4.1
Management
COBIT3
Control
COBIT2
Audit
COBIT1
2005/720001998
Evolutionofscope
1996 2014
Val IT 2.0
(2008)
Risk IT
(2009)
EVOLUCIÓN DE COBIT
De una herramienta de auditoría a un marco de gobierno de lasTI
8. - Compendio de mejores prácticas aceptadas internacionalmente
- Orientado al gerenciamiento de las tecnologías
- Complementado con herramientas y capacitación
- Gratuito
- Respaldado por una comunidad de expertos
- En evolución permanente
- Mantenido por una organización sin fines de lucro, con
reconocimiento internacional
- Mapeado con otros estándares
- Orientado a Procesos, sobre la base de Dominios de
Responsabilidad
COBIT HOY
9. El COBIT es un modelo de evaluación y monitoreo
que enfatiza en el control de negocios y la
seguridad IT y que abarca controles específicos de
IT desde una perspectiva de negocios.
La estructura del modelo COBIT propone un
marco de acción donde se evalúan los criterios de
información, por ejemplo la seguridad y calidad,
se auditan los recursos que comprenden la
tecnología de información (recurso humano,
instalaciones, sistemas, entre otros), y finalmente
se realiza una evaluación sobre los procesos
involucrados en la organización.
10. COBIT es una herramienta de gobierno de TI que
ha cambiado la forma en que trabajan los
profesionales de tecnología.
Vincula tecnología informática y prácticas de
control
El modelo COBIT consolida y armoniza
estándares de fuentes globales prominentes en
un recurso crítico para la gerencia, los
profesionales de control y los auditores.
11. COBIT se aplica a los sistemas de información
de toda la empresa, incluyendo los
computadores personales y las redes.
Está basado en la filosofía de que los recursos
TI necesitan ser administrados por un
conjunto de procesos naturalmente
agrupados para proveer la información
pertinente y confiable que requiere una
organización para lograr sus objetivos.
12. Con COBIT se define un marco de referencia que
clasifica los procesos de las unidades de
tecnología de información de las organizaciones
en cuatro “dominios” principales, a saber:
Planeación y organización
Adquisición e implantación
Soporte y servicios
Monitoreo
13. Estos dominios agrupan objetivos de control
de alto nivel, que cubren tanto los aspectos
de información, como de la tecnología que la
respalda.
Estos dominios y objetivos de control facilitan
que la generación y procesamiento de la
información cumplan con las características
de efectividad, eficiencia, confidencialidad,
integridad, disponibilidad, cumplimiento y
confiabilidad.
14. Se deben tomar en cuenta los recursos que
proporciona la tecnología de información,
tales como:
Datos
Aplicaciones
Plataformas tecnológicas
Instalaciones
Recurso humano.
15.
16.
17.
18. La publicación inicial, define y describe los componentes
que forman el Marco COBIT
Principios
Arquitectura
Facilitadores
Guía de implementación
Otras publicaciones futuras de interés
COBIT 5 – El marco
19. COBIT 5 – Sus principios
Marco Integrador
Conductores de
valor para los
Interesados
Enfoque al Negocio
y su Contexto para
toda la organización
Fundamentado en
facilitadores
Estructurado de
manera separada
para el Gobierno y la
Gestión
20. Los Principios de COBIT 5
Principios
de COBIT 5
1. Satisfacer
las
necesidades
de las partes
interesadas
2. Cubrir la
Organización de
forma integral
3. Aplicar un
solo marco
integrado
4. Habilitar
un enfoque
holistico
5. Separar el
Gobierno de la
Administración
21. Habilitadores de COBIT 5
1. Principios, Políticas y Marcos
2. Procesos 3. Estructuras
Organizacionales
4. Cultura, Ética
y Comportamiento
5. Información
6. Servicios,
Infraestructura
y Aplicaciones
7. Personas,
Habilidades y
Competencias
RECURSOS
22. Fundamentación de Facilitadores
Cultura, Ética y Comportamiento
Estructura Organizacional
Información
Principios Políticas
Habilidades y Competencias
Capacidad de brindar Servicios
Procesos
23. Procesos de Gobierno y Gerenciamiento
Procesos de Gobierno
Permite que las múltiples partes interesadas tengan una
lectura organizada del análisis de opciones, identificación
del norte a seguir y la supervisión del cumplimiento y
avance de los planes establecidos
Procesos de Gestión
Utilización prudente de medios (recursos, personas,
procesos, practicas) para lograr un fin específico
24. COBIT 5 Guía de
Implementación
La Guía de Implementación COBIT 5 cubre los siguientes temas:
Posicionar al Gobierno de IT dentro de la organización
Tomar los primeros pasos hacia un Gobierno de IT
superador
Desafíos de implementación y factores de éxitos
Facilitar la gestión del cambio
Implementar la mejora continua
La utilización del COBIT 5 y sus componentes
25. Incremento de la creación de valor a través un
gobierno y gestión efectiva de la información y de los
activos tecnológicos. La función de TI se vuelve mas
enfocada al negocio.
Incremento de la satisfacción del usuario con el
compromiso de TI y sus servicios prestados – TI es
visto como facilitador clave.
Incremento del nivel de cumplimiento con las leyes
regulaciones y políticas relevantes.
Las personas que participan son mas proactivas en la
creación de valor a partir de la gestión deTI.
Beneficios al utilizar COBIT 5
26. - Se proyecta como una guía específica para los profesionales de la Seguridad de la
Información y otros interesados.
- Se construye sobre el marco del COBIT 5, un enfoque robusto para el gobierno y
la gestión de la seguridad de la información, sobre la base de los procesos de
negocios de la organización
- Presentará una visión extendida del COBIT 5 , que explica cada uno de sus
componentes desde la perspectiva de la seguridad.
- Creará valor para todos los interesados a través de explicaciones, actividades,
procesos y recomendaciones.
- Propondrá una visión del gobierno y la gestión de la seguridad de la información
mediante una guía detallada para establecerla, implementarla y mantenerla,
como parte de las políticas, procesos y estructuras de la organización.
COBIT 5 for (Information) Security
27. Principales contenidos:
Directrices sobre los principales drivers y beneficios de
la seguridad de la información para la organización
Aplicación de los principios de COBIT 5 por parte de
los profesionales de la seguridad de la información
Mecanismos e instrumentos para respaldar el
gobierno y la gestión de la seguridad de la información
en la organización
Alineamiento con otros estándares de seguridad de la
información
COBIT 5 for (Information) Security
28.
29. Tipos de Gobierno
Existen diferentes tipos de gobierno:
Gobierno Corporativo
Gobierno de Proyectos
Gobierno deTecnologías de Información
Gobierno Ambiental
Gobierno Económico y Financiero
Cada tipo tiene una o más fuentes de
orientación, cada uno con objetivos
similares pero con frecuencia varían
términos y las técnicas para su realización.
30. Gobierno (y administración) en COBIT 5
Gobierno asegura que los objetivos de la empresa se logren
mediante la evaluación de las necesidades de las partes
interesadas, las condiciones y opciones, estableciendo la dirección
a través de la priorización y decisión, y monitoreando el
desempeño, el cumplimiento y el progreso contra acordaron
dirección y objetivos.
Administración planea, construye, ejecuta y monitorea
actividades alineadas con la dirección establecida por el órgano de
gobierno para alcanzar los objetivos de la empresa.
El ejercicio de gobierno y la gestión eficaz en la práctica requiere el
uso adecuado de todos los facilitadores. El proceso COBIT como
modelo de referencia nos permite enfocar fácilmente sobre las
actividades empresariales relevantes.
31. Gobierno en COBIT 5
• El modelo de referencia COBIT 5 subdivide proceso de las
prácticas relacionadas con la TI y las actividades de la empresa
en dos grandes áreas: la gobernanza y la gestión con la
administración dividida en dominios de los procesos
• El dominio GOBIERNO contiene cinco procesos de gobierno,
dentro de cada proceso, evaluar, dirigir y supervisar (EDM) Las
prácticas se definen.
•01 Asegurar el marco de gobierno y el mantenimiento de su configuración.
•02 Asegurar la entrega beneficios.
•03 Garantizar la optimización de riesgos.
•04 Garantizar la optimización de recursos.
•05 Garantizar la transparencia de los terceros interesados.
• Los cuatro dominios de gestión están en línea con las áreas de
responsabilidad de planear, construir, ejecutar y monitorear
(PBRM).
32. Administración de Riesgos en COBIT 5
• El dominio de Gobierno cotiene cinco procesos de gobierno,
uno de los cuales se enfoca en el riesgo relacionado con los
objetivos de los terceros interesados: EDM03 Asegurar la
optimización de riesgos.
• Descripción de procesos
• Asegurar que el apetito de riesgo de la empresa y la tolerancia se
entiende, articulado y comunicado, y que el riesgo de valor de la
empresa en relación con el uso de las TI es identificado y
gestionado.
• Proceso de declaración de propósito
• Asegurar que riesgos relacionados con TI de la empresa no supere la
tolerancia al riesgo y el apetito de riesgo, el impacto de los riesgos de
TI de valor de la empresa es identificado y manejado, y la
posibilidad de fallas de cumplimiento es mínimo.
33. Administración de Riesgos en COBIT 5
• El dominio de Gestión Alinear, Planear y Organizar
contiene un proceso de riesgos relacionados: APO12
Gestionar el riesgo.
• Descripción del proceso
• Continuamente identificar, evaluar y reducir los riesgos
relacionados con TI dentro de los niveles de tolerancia
establecidos por la dirección ejecutiva de la empresa.
• Proceso de Declaración de Propósito
• Integrar la gestión de riesgos empresariales
relacionados con la TI con el ERM en general, y
equilibrar los costos y beneficios de la gestión de riesgos
relacionados con TI de la empresa.
34. Administración de Riesgos en COBIT 5
• Todas las actividades de la empresa tienen una exposición de
riesgos asociados derivados de las amenazas ambientales
que aprovechan las vulnerabilidades habilitador.
• EDM03 Asegurar optimización del riesgo asegura que el
enfoque de riesgo de los terceros interesado este enfocado a
como serán tratados los riesgos que enfrenta la empresa.
• APO12 Gestión de Riesgo proporciona a las empresas la
gestión de riesgos (ERM) las diposiciones que aseguren que la
dirección dada por los terceros interesados es seguida por la
empresa.
• Todos los demás procesos incluye prácticas y actividades
que son diseñadas para tratar el riesgo relacionado (evitar,
reducir / mitigar / controlar/ compartir / transferir / aceptar).
35.
36. Cualquier tipo de empresa puede adoptar la metodología
COBIT, como parte de un proceso de reingeniería en aras
de reducir los índices de incertidumbre sobre
vulnerabilidades y riesgos de los recursos IT y
consecuentemente, sobre la posibilidad de evaluar el
logro de los objetivos del negocio apalancado en
procesos tecnológicos.
La adecuada implementación de un modelo COBIT
permite evaluar de manera ágil y consistente el
cumplimiento de los objetivos de control y controles
detallados, que aseguran que los procesos y recursos de
información y tecnología contribuyen al logro de los
objetivos del negocio en un mercado cada vez más
exigente, complejo y diversificado.
38. Es un conjunto de mejores practicas para la dirección y
gestión de servicios de tecnologías de la información en lo
referente a Personas, Procesos y Tecnología,
desarrollado por la OGC (Office of Government
Commerce) del Reino Unido, que cumple y desarrolla la
norma BS15000 de la BSI (British Standards Institución).
ITIL es un conjunto de libros que permiten mejorar la
calidad de los servicios de tecnologías de la información y
que presta una organización a sus clientes o un
departamento a su organización.
39.
40. Con ITIL se hace posible para departamentos
y organizaciones reducir costos, mejorar la
calidad del servicio tanto a clientes externos
como internos y aprovechar al máximo las
habilidades y experiencia del personal,
mejorando su productividad.
41.
42.
43.
44.
45.
46.
47. Foundation Certificate (Certificado Básico):
Acredita un conocimiento básico de ITIL en
gestión de servicios de tecnologías de la
información y la comprensión de la
terminología propia de ITIL.
Está destinado a aquellas personas que deseen
conocer las buenas prácticas especificadas en
ITIL.
Existen tres niveles de certificación ITIL para
profesionales:
48. Practitioner's Certificate (Certificado de
Responsable):
• Destinado a quienes tienen responsabilidad
en el diseño de procesos de administración de
departamentos de tecnologías de la
información y en la planificación de las
actividades asociadas a los procesos.
Este examen sólo se puede hacer en inglés.
49. Manager's Certificate (Certificado de
Director):
Garantiza que quien lo posee dispone de
profundos conocimientos en todas las
materias relacionadas con la administración
de departamentos de tecnologías de la
información, y lo habilita para dirigir la
implantación de soluciones basadas en ITIL.
Este examen se puede hacer en inglés,
alemán y ruso.
50. Actualmente no existe certificación ITIL para
empresas, sólo para personas. Esto es
importante saberlo, ya que hay empresas que
aseguran estar en posesión de tal certificado. A
partir de 2006, se homologó la ISO20000, basada
en ITIL que permite a las empresas obtener la
certificación de calidad por los servicios de IT que
ofrecen.
Grupo de usuarios ITIL itSMF es el único foro
independiente reconocido internacionalmente
dedicado a la administración de servicios de
tecnologías de la información, y además de
permitir intercambio de ideas y experiencias, se
ha convertido en un grupo influyente en
desarrollos comerciales.