COBIT

Definición y herramientas .

21 de octubre de 2011
Sergio Vasco Hernández
Auditoria y Certificación de Sistemas Informáticos
Máster en Ingeniería Informática
Universidad de Extremadura
 Contenido
1-INTRODUCCIÓN. ........................................................................................................... 2
2.-DEFINICIÓN. ............................................................................................................... 2
3.-HERRAMIENTAS. ........................................................................................................... 2
3.1.-CLASIFICACIÓN. ..................................................................................................... 2
3.1.1.-PUBLICACIONES. ............................................................................................... 2
COBIT | 21 de octubre de 2011

1
1-Introducción.
En el presente documento se van a estudiar la definición de CobiT y las herramientas
existentes que se pueden utilizar para CobiT.

2.-Definición.
CobiT es un marco de gobernanza de TI y herramientas de apoyo que permite a los
administradores cerrar la brecha entre las necesidades de control, cuestiones técnicas y de riesgos
del negocio. CobiT permite el desarrollo de políticas claras y buenas prácticas para el control de toda
la organización. CobiT enfatiza el cumplimiento normativo, ayuda a las organizaciones a aumentar el
valor logrado de TI, permite la alineación y simplifica la implementación del marco CobiT.

3.-Herramientas.
En este punto se van a incluir productos relacionados que ayudan a los profesionales alcanzar
el valor de los sistemas de información. COBIT posee una creciente familia de publicaciones de los
productos diseñados para ayudar en la implementación eficaz de gobierno de TI en toda la empresa.

3.1.-Clasificación.
3.1.1.-Publicaciones.
Algunas de las publicaciones que nos podemos encontrar son:

 Board Briefing on IT Governance, 2nd Edition. Describe los conceptos de las cinco áreas de
TI de gobierno de ISACA, y proporciona orientación sobre las funciones y responsabilidades
para el gobierno de TI, y cómo configurar un comité efectivo de estrategia de TI. Posee listas
de control y herramientas para ayudar a iniciar y mantener un sistema de gestión eficaz.
 Information Security Governance: Guidance for Boards of Directors and Executive
Management, 2nd Edition. Explica la seguridad de la información en términos de
negocio, ayudando a los ejecutivos y gerentes a comprender los problemas de seguridad de
la información y a tener confianza en cómo las organizaciones están administrando los
riesgos relacionados con la seguridad.
 CobiT Control Practices: Guidance to Achieve Control Objectives for Successful IT
Governance, 2nd Edition. Proporciona una guía sobre qué controles son necesarios y cuáles
son las mejores prácticas para cumplir con los objetivos de control específicos.
 CobiT Security Baseline, 2nd Edition. Presenta información a empresas que tienen que
adoptar un marco de gobernanza de TI de una manera fácil de seguir. Se centra en el tema
específico de la seguridad informática. Se ofrece una introducción a la seguridad de la
información, una explicación de por qué la seguridad es importante, y la línea de base de
seguridad basada en COBIT y los controles clave. Las referencias a la norma ISO / IEC 27002.

COBIT | 21 de octubre de 2011

Unlocking Value: An Executive Primer on the Critical Role of IT Governance. ayuda a los
ejecutivos a entender la manera de desbloquear el valor de sus inversiones en TI y ofrecer
soluciones fiables. Se proporciona a los ejecutivos con una comprensión de la forma de
aplicar buenas prácticas de gestión, así como la forma de crear un llamado a las empresas de
la necesidad de adoptar los conceptos de gobierno de TI.
 IT Control Objectives for Sarbanes-Oxley, 2nd Edition. fue diseñado para ser una referencia
para la gestión ejecutiva y de control de los profesionales en la evaluación de una
organización de TI con los controles requeridos por la ley Sarbanes-Oxley. Esta publicación
proporciona una guía sobre cómo asegurar el cumplimiento por el medio ambiente de TI
basada en los objetivos de control COBIT relacionados con la información financiera.

2
  IT Control Objectives for Basel II. Proporciona un marco para la gestión de riesgos operativos
y de información en el contexto de Basilea II. Se presenta un esquema de riesgo de Basilea II,
los vínculos entre los riesgos operativos y riesgos de TI y un enfoque para la gestión de
riesgos de la información.
 Aligning CobiT 4.1, ITIL v3 and ISO/IEC 27002 for Business Benefit. es el resultado de un
estudio conjunto con la Oficina Británica de Comercio Gubernamental (OGC), en
reconocimiento de la importancia creciente de las mejores prácticas para la industria de TI.
Se destaca el valor de las mejores prácticas y cómo la armonización, implementación e
integración de las mejores prácticas (COBIT, ITIL e ISO / IEC 27002) puede ser más fácil.
 CobiT User Guide for Service Managers. es una introducción a los retos del negocio y la
gobernabilidad que enfrentan los administradores de servicios y la forma en que COBIT
puede ayudar. Se explica el papel del gerente de servicio y por qué es importante para la
gestión efectiva de las TI, las tareas clave de la gobernanza para el papel alineado con los
procesos de ITIL v3 y COBIT 4.1 objetivos de control, ejemplos de casos, un modelo de
madurez de alto nivel para el área de papel y enlaces a otras referencias.
 CobiT and Application Controls: A Management Guide. Proporciona orientación sobre los
controles de aplicación, incluida la definición y la naturaleza, y el diseño y operación de ellos,
las relaciones y dependencias que tienen con otros controles (por ejemplo, controles
generales de TI), y las responsabilidades relativas de los negocios y de gestión de TI.
 COBIT Mapping Series (detail). Un documento de información general de mapeo y las
asignaciones de varias de COBIT con otros internacionales, nacionales y estándares de la
industria y los marcos se han publicado por ITGI. Asignaciones específicas disponibles
incluyen COBIT a la norma ISO / IEC 27002, NIST SP 800-53, ITIL, TOGAF, CMMI, PMBOK y
PRINCE2.
 Building the Business Case for CobiT and Val IT: Executive Briefing. Demuestra el valor de
negocio de COBIT y Val IT. El conjunto de datos enorme que resulta de la investigación ofrece
muchas oportunidades de análisis y, además de clarificar la relación entre el gobierno de la
empresa de TI y el rendimiento del negocio, también es un buen indicador del estado de
ejecución actual del COBIT y Val IT para empresas de diferente tamaño, segmento de la
industria y la ubicación geográfica.
 ITGI Enables ISO/IEC 38500:2008 Adoption. Este Libro Blanco reconoce la publicación de la
norma ISO38500 y la necesidad de orientación y apoyo efectivo en la forma de abordar los
principios y conceptos. El documento describe cómo la familia de productos de ISACA y cómo
pueden proporcionar orientación y apoyo de una manera que se pueden adaptar a las
empresas de todos los tamaños.
 The Risk IT Framework. complementa COBIT e incluye los procesos clave de gestión,
prácticas y modelos de madurez para tres ámbitos: gestión del riesgo, evaluación del riesgo y
respuesta al riesgo.
 The Risk IT Practitioner Guide. es una publicación de apoyo que ofrece ejemplos de las
técnicas clave que se pueden utilizar para abordar cuestiones relacionadas con los riesgos de
TI , y una orientación más detallada sobre la forma de abordar los conceptos tratados en el
COBIT | 21 de octubre de 2011

modelo de proceso. Esta guía también aborda la mitigación de los riesgos de TI utilizando
COBIT y Val IT y comparaciones de los riesgos de TI contra ISO31000, ISO27005 y ERM del
COSO
 The Business Case Guide: Using Val IT 2.0. Este guía basada en la Val IT Framework 2.0
ofrece a ejecutivos de TI y a líderes de organizaciones los consejos de directores de
programas, ejemplos de modelos de madurez y la información de referencia. La información
ayuda a los profesionales obtener de "por qué" al "qué" y "cómo" en la creación,
mantenimiento utilización del caso de negocio como una herramienta operativa.

3
3.1.2.-Herramientas web.
 CobiT Online. COBIT Online ® es un sistema interactivo basado en web, que provee acceso
rápido y fácil a todos los recursos COBIT. Con COBIT Online, se puede navegar y buscar las
mejores prácticas, realizar la evaluación comparativa, y acceder a la versión más actualizada
de los textos de orientación. También se pueden compartir experiencias y aprender de otros
usuarios en la sección de la comunidad y área de discusión. Además, se puede construir y
descargar su propia versión personalizada de COBIT con MyCobiT.

3.1.3.-Programas de educación y entrenamie nto.

 COBIT Awareness Course. El curso de sensibilización COBIT es una sesión de 2 horas de formación
inicial que aborda la importancia de la gobernanza de TI y la necesidad de un marco de control de TI.
Este curso introduce a COBIT como un marco general que sirve de puente entre los riesgos del
negocio, las necesidades de control, y las cuestiones técnicas. Los usuarios aprenden cómo COBIT
ofrece buenas prácticas a través de un marco de dominio y un proceso que presenta actividades en
una estructura manejable y lógica. Además, el curso ofrece información sobre la forma en que COBIT
se relaciona con otros ámbitos, tales como ITIL, ISO / IEC 17799, y COSO.
 COBIT Foundation Course (and certificate). Este curso de tres días proporciona un nivel de
comprensión de la base de COBIT y del marco de Gobierno de TI. Cubre la necesidad de un marco de
control de TI y cómo se trata en COBIT.
 COBIT for Sarbanes-Oxley Compliance Course. Este curso es ideal para profesionales de TI, los
profesionales de auditoría y cumplimiento de los especialistas que están trabajando hacia el
cumplimiento de Sarbanes Oxley en un organización.

COBIT | 21 de octubre de 2011

4
 3.1.4.-Clasificación de las herramientas anteriores.
COBIT | 21 de octubre de 2011

5
3.1.5.-Otras herramientas.
 Meycor CobiT Suite. Meycor CobiT Suite es una completa herramienta integral e intuitiva
para la implementación del marco CobiT, para la Gobernanza, la Gestión de riesgos
tecnológicos, la Seguridad, el Control Interno, y el Aseguramiento de la TI. Las
funcionalidades que ofrece son:
o Obtener la información centralizada de auto evaluaciones tecnológicas en base a
CobiT.
o Automatizar la evaluación de riesgos tecnológicos mediante una metodología clara y
sencilla.
o Contar con la base de procesos, objetivos, riesgos e indicadores definidos por CobiT
cargados en el software para su utilización.
o Priorizar las inversiones en tecnología.
o Alinear rápidamente las metas de la organización con las metas de TI.
o Contar con un sistema automático de tablero de control para un adecuado
seguimiento de los indicadores implementados.
o Reducir los riesgos en tecnología.
o Priorizar los proyectos en tecnología mediante el impacto y la relación costo / riesgo.
o Automatizar mapas, gráficos e informes en distintos formatos.
o Contar con un diagnóstico claro de la madurez de los distintos procesos de
tecnología, al igual que la generación de recomendaciones de mejora por parte del
software.

 SoftExpert Excellence Suite. Asegura la conformidad con muchas reglamentaciones, incluso

la COBIT. SE Suite le permite aumentar la eficiencia de sus procesos de calidad, minimizar los
altos costos de conformidad y lanzar nuevos productos al mercado con rapidez. Cada
solución del SoftExpert Excellence Suite atiende un requisito llave, como se muestra a
continuación:
o SE Performance.
 Asocia las metas de TI a las metas corporativas.
 Informa la identificación de situaciones críticas y también del desempeño actual de
la empresa.
 Automatiza el establecimiento, gestión y la comunicación del plan estratégico de TI y
corporativo.
 Capacita la empresa a monitorear el desempeño actual relacionado con las metas
previamente definidas y relata este desempeño a los auditores y participantes
internos, en tiempo real.
 Fornece el establecimiento de indicadores claves relacionados a los procesos
empresariales o elementos de infraestructura de TI.
 Garantiza la conformidad total con la metodología de BSC (Balanced ScoreCard) con
la práctica de la administración por objetivos y en el Gestión de indicadores de
desempeño.
o SE Risk.
 Gestión de los riesgos corporativos y de TI.
COBIT | 21 de octubre de 2011

 Riesgos, controles y pruebas son asociados para garantizar el rastreo.

 El modelo de riesgos puede fácilmente ser configurado para diferentes estructuras o
metodologías organizacionales, tornando posible que las organizaciones adapten la
solución a sus propios sistemas y procesos.
 Automatiza el rastreo de los riesgos.
 Identifica y evalúa los riesgos basados en la significancia y probabilidad.
 Fornece un modelo que establece las metas de Gestión de riesgos y prioridades,
identifica los planes de acción y las responsabilidades y monitora los resultados.
 Sistema ofrece recursos para generar reportes, tales como peinéis, mapas de
indicadores de riesgos, facilitando el monitoreo por los ejecutivos de los riesgos
críticos.

6
 o SE Project.
 Fornece estructuras para la gestión y modelos para inversiones en TI.
 Provee una Gestión de proyectos y procesos, alineado con la norma PMBOK.
 Soporta la configuración y la manutención del monitoreo de los proyectos,
mediciones y gestión del sistema.
 Automatiza la creación y la Gestión de los proyectos, planificación, planes de calidad,
presupuestos, comunicación y planes de riesgo.
 Herramienta nativa "Team Workflow" que garantiza que todos participen y estén
comprometidos con el proyecto.
 Automatiza la asignación de tareas, la ruta, revisión y aprobación, aumentando de
forma significante la eficiencia de todo el equipo.
 Ofrece una función que permite personalizar, organizar los procesos y generar
reportes.
 Ofrece la posibilidad de clasificar los proyectos.
 Deja disponible modelos de checklist para garantizar la calidad de las actividades.
 Gestiona el proceso de desarrollo de proyectos y productos.
 Gestiona y evalúa todas las fases de un proyecto, y deja disponible criterios de BSC
(Balanced Scored Card) para la toma de decisión.
o SE Workflow.
 Deja disponible una herramienta de Workflow, fácilmente personalizada y
customizada para estructurar los procesos relacionados a los servicios.
 Monitorea y relata el desempeño del nivel de servicio.
 Automatiza la gestión y la evaluación del servicio de terceros y proveedores.
 Automatiza el proceso de registro, evaluación y prioridad de cambios.
 Garantiza que cualquier cambio, mismo que sea crítico y de emergencia siga el
proceso aprobado.
 Gestiona y disemina las informaciones relevantes en relación a las modificaciones.
 Mantiene el historial de cambios realizados de fácil acceso.
 Ofrece un abordaje con evaluaciones de las fases para los proyectos, incluso los
criterios de BSC y criterios de decisión.
o SE Document.
 Gestiona cualquier documento relacionado con COBIT, como procesos o proyectos,
en un sistema centralizado y seguro que puede ser accedido por usuarios y auditores
en cualquier lugar.
 Automatiza la asignación, encaminamiento, revisión y aprobación de un documento,
aumentando de esta forma la eficacia de todo el equipo o la empresa.
 Cualquier modificación hecha en un documento es automáticamente rastreada y el
camino de aprobación es simplificado.
 Ofrece para los usuarios, auditores o ejecutivos una fácil herramienta de búsqueda y
recuperación de documentos, resultando en la economía de tiempo.
 Mantienen los documentos retenidos de acuerdo con la política de la empresa y por
tiempo determinado por la misma.
 Documenta todo el sistema de Gestión de calidad.
 Garantiza que apenas la última versión del documento sea utilizada, evitando el uso
de documentos obsoletos.
o SE Process.
COBIT | 21 de octubre de 2011

 Garantiza que todos los procesos sean definidos, planificados y documentados.

 Garantiza que los procesos sean monitoreados y controlados de forma eficaz y
eficiente.
 Soporta la creación de ciclos de aprobación para garantizar una mejor visualización y
responsabilidades.
 Rastrea los datos y genera reportes completos.
 Garantiza la visualización en tiempo real del ambiente de COBIT, permitiendo un
monitoreo continúo de los procesos, aumentando la confianza entre los ejecutivos,
responsables de los procesos y auditores.

7
  Los procesos pueden ser realizados bajo condiciones controladas: instrucciones
documentadas, procesos controlados y aprobación de los procesos y controles.
o SE Audit.
 Los resultados de las auditorias son comunicados a la gerencia automáticamente, en
tiempo real.
 Todos los datos levantados en la auditoria son registrados.
 Gestiona cualquier acción correctiva requerida.
 Garantiza que las auditorias y las acciones correctivas sean realizadas dentro de los
plazos a través de un cronograma previamente definido.
o SE Action.
 Identifica los incidentes y problemas reportados.
 Automatiza el ciclo de mejora continua, gestionando la ocurrencia desde la
identificación, resolución y estandarización.
 Ofrece la clasificación (severidad e impacto) y el procedimiento de escalonamiento
(funcional y jerárquico).
 Las causas de los problemas en procesos o controles son identificadas y registradas.
 La eficacia de las acciones correctivas pueden ser evaluadas.
 Garantiza que la acción correctiva apropiada sea decidida e implementada.
 Garantiza que la responsabilidad para la acción correctiva sea claramente definida.
 Corrige cualquier deficiencia antes que ellas puedan causar defectos en los
productos o procesos.
 Mantienen el registro de los defectos, de la investigación, su causa y las acciones
correctivas.
 Informa los usuarios en tiempo real sobre sus pendencias o acciones.
o SE Competence.
 Organiza las descripciones de cargos y funciones dentro del área de TI e identifica las
responsabilidades específicas requeridas, autoridades y capacidades.
 Marca en agenda las capacitaciones en calendarios configurables con visualización
automática de las necesidades de capacitación que están pendientes en un cierto
período de tiempo.
 Deja disponible la visualización de resultados a través de diversos tipos de gráficos,
como por ejemplo el gráfico de Gantt. Los resultados pueden ser basados en un área
específica de TI o en toda la empresa.
 Ofrece herramientas para la realización de diversos tipos de evaluación de
competencias.
 Evalúa las competencias y las habilidades de los colaboradores.
 Gestiona los niveles de calificación de los funcionarios.

4-Bibliografía.
http://www.isaca.org/Knowledge-Center/cobit/Documents/CobiT-Products.pdf

http://www.isaca.org/Knowledge-Center/cobit/Pages/Overview.aspx
COBIT | 21 de octubre de 2011

http://www.datasec-soft.com/sp/content/view/123/74/