COBIT® 2019. Marco paraguas para el gobierno y gestión de los servicios de la Información y la Tecnología relacionada (I&T)

COBIT® 2019

Creada por la asociación norteamericana sin ánimo de lucro Information Systems Audit and Control Association (ISACA), COBIT® es el acrónimo en inglés de Objetivos de Control para la Información y la Tecnología relacionada.

En la siguiente figura se observa como desde su creación en 1996, COBIT® ha evolucionado hasta llegar a ser un marco de referencia no solo para el gobierno y gestión de las TI sino que desde su versión COBIT® 5 en 2012 también para el gobierno corporativo.

Evolución del enfoque COBIT® (Fuente: COBIT® 2019 © 2018 ISACA®)

COBIT® 2019 proporciona un marco de trabajo integral para el gobierno y la gestión de las TI en la organización. Está basado en las mejores prácticas y orientadas a procesos para vincular, alinear y controlar los objetivos de gobierno corporativo con el gobierno CIS/TIC, crear valor en la organización al mantener un equilibrio entre la generación de beneficios, la optimización del riesgo y el uso de recursos. Ampliamente reconocido internacionalmente, ISACA lo define como un “marco paraguas” que permite la alineación, mapeo e integración con múltiples estándares, marcos de referencia y regulaciones relevantes relacionados con los medios y servicios CIS/TIC [1].


Esta característica de marco paraguas de COBIT® 2019, facilita el gobierno y la gestión de los servicios de la información y de la tecnología en cualquier organización. La siguiente figura muestra esta cobertura holística, alineada e integradora que sirve como arquitectura simple y lenguaje común entre negocio y TI.

Cobertura de COBIT® con otros estándares y marcos de trabajo (Fuente: [2])

Por ello, se recomienda tomar como marco de referencia COBIT® 2019 para el gobierno y gestión de los servicios de la información y la tecnología de la organización (I&T) en cualquier tipo de organización.

A continuación se muestran los nueve principios de COBIT® 2019, seis de ellos para describir los requisitos fundamentales de un sistema de gobierno para la información y la tecnología de la organización (I&T) y tres para el marco de gobierno que permite crear este sistema de gobierno corporativo.

Principios de COBIT® 2019 (Fuente: [1])

Principio 1 del sistema de gobierno: Proporcionar valor a las partes interesadas.

En la versión anterior [2], se define parte interesada como “Cualquiera que tiene una responsabilidad, expectativa o cualquier otro interés en la empresa –por ejemplo, accionistas, usuarios, el gobierno, proveedores, clientes y el público en general”.

En COBIT® 2019 se especifican las partes interesadas en el gobierno corporativo de tecnologías de información como parte del gobierno corporativo de la organización en su conjunto. La siguiente figura muestra estas partes interesadas y los beneficios que pueden obtener de la implantación de COBIT®.

Partes interesadas de COBIT® 2019 (Fuente: [1])

La organización debe crear valor para satisfacer las necesidades de las partes interesadas, pero este valor es distinto según la parte interesada a la que se dirija.

Como refleja la siguiente figura, las necesidades de las partes interesadas es el punto de partida del gobierno de TI y conlleva satisfacerlas a través de la toma de decisiones para buscar el equilibrio entre la generación de beneficios, la optimización del riesgo y la optimización de recursos.

Objetivo de gobierno: Creación de valor según COBIT® (Fuente: [2])

El método de la cascada de metas de COBIT® 2019 sirve para transformar las necesidades de las partes interesadas en una estrategia corporativa realizable. Estas necesidades tienen un efecto en cascada sobre las metas empresariales o corporativas (en adelante EG# por sus siglas en inglés); las cuales tienen un efecto en cascada sobre las metas de alineamiento o metas relacionadas con las TI (en adelante AG#, por sus siglas en inglés); que a su vez tienen un efecto en cascada sobre los objetivos de gobierno y de gestión a implementar a nivel corporativo.

Tal como muestra la siguiente figura, este mapeo facilita alinear las necesidades de la organización con las soluciones y servicios de TI para identificar al final de la cascada los procesos (1) a implantar para alcanzar los objetivos de gobierno y gestión.

Visión general de la cascada de metas de COBIT® 2019 (Fuente: [1])

COBIT® 2019 identifica trece metas corporativas, trece metas de alineamiento y cuarenta objetivos de gobierno y gestión que se descomponen en procesos y prácticas de gestión (subprocesos) entre otros componentes como los flujos de información.

A continuación, la figura relaciona las metas de alineamiento con las metas corporativas a través de dos tipos de relaciones. “P” indica una relación primaria fuerte y “S” una relación secundaria más débil.

Relación entre metas corporativas y metas de alineamiento de COBIT® 2019 (Fuente: [1])

La siguiente figura relaciona los cuarenta objetivos de gobierno y gestión con las metas de alineamiento a través de los mismos dos tipos de relaciones. “P” indica una relación primaria fuerte y “S” una relación secundaria más débil.

Relación entre los objetivos de gobierno y gestión con las metas de alineamiento de COBIT® 2019 (Fuente: [1])


Por último, al final de la cascada de metas se encuentran los objetivos de gobierno y gestión a alcanzar. Según COBIT® 2019 [1]:

“Un objetivo de gobierno o de gestión siempre está relacionado con un proceso (con un nombre idéntico o similar) y una serie de componentes relacionados de otros tipos para contribuir a lograr el objetivo”.

La siguiente figura muestra sobre fondo azul oscuro los procesos u objetivos de gobierno y sobre fondo azul claro los procesos u objetivos de gestión.

Modelo principal de COBIT® 2019. Procesos u objetivos de gobierno y gestión (Fuente: [1])


Estos cuarenta objetivos o procesos se agrupan en cinco dominios, uno de ellos para los cinco objetivos de gobierno y otros cuatro para los treinta y cinco de gestión.

Dominio de gobierno:

  • Evaluar, Dirigir y Monitorizar (EDM): Compuesto por 5 objetivos o procesos para evaluar las opciones estratégicas, generar directrices a los responsables de la gestión para su ejecución y monitorizar su consecución.

Dominios de gestión:

  • Alinear, Planificar y Organizar (APO): Compuesto por 14 objetivos o procesos para una organización general, estrategia y actividades de apoyo para la información y tecnología (I&T).
  • Construir, Adquirir e Implementar (BAI): Compuesto por 11 objetivos o procesos para la definición, adquisición e implementación de soluciones para su integración en procesos de negocio.
  • Entregar, Dar servicio y Soporte (DSS): Compuesto por 6 objetivos o procesos para la entrega operativa y el soporte de los servicios de información y tecnología (I&T) de calidad y seguros.
  • Monitorizar, Evaluar y Valorar (MEA). Compuesto por 4 objetivos o procesos para la monitorización del rendimiento y la conformidad de la información y la tecnología (I&T) con respecto a los objetivos planteados.

Principio 2 del sistema de gobierno: Enfoque holístico.

Para crear el sistema de gobierno para la información y la tecnología (I&T) de la organización COBIT® 2019 establece siete componentes de distintos tipos que deben ser personalizados para dirigir las acciones necesarias para alcanzar los objetivos de la organización. Componentes que interactúan entre sí de forma individual y colectiva para el buen funcionamiento del sistema holístico de gobierno.

Estos siete componentes son los siguientes [1]:

Los procesos describen una serie de prácticas y actividades organizadas para lograr determinados objetivos y producir una serie de resultados que contribuyan a la consecución de la totalidad de los objetivos relacionados con las TI.

Las estructuras organizativas son las entidades clave de toma de decisiones en una empresa.

Los principios, las políticas y los marcos convierten el comportamiento deseado en orientación práctica para la gestión del día a día.

La información es generalizada a lo largo de cualquier organización e incluye toda la información producida y utilizada por la empresa. COBIT se centra en la información requerida para el funcionamiento eficaz del sistema de gobierno de la empresa.

La cultura, la ética y el comportamiento de los individuos y de la empresa son, a menudo, subestimados como un factor de éxito de las actividades de gobierno y gestión.

Las personas, las habilidades y las competencias son necesarias para tomar buenas decisiones, ejecutar acciones correctivas y completar satisfactoriamente todas las actividades.

Los servicios, la infraestructura y las aplicaciones incluyen la infraestructura, la tecnología y las aplicaciones que brindan a la empresa un sistema de gobierno para el procesamiento de I&T.”

El alcance de COBIT® 2019 es toda la organización, con una visión integral y sistémica que no se enfoca sólo en la tecnología, sino que trata la información y las tecnologías relacionadas como activos de la organización que deben ser gestionados como cualquier otro. Cubre todas las funciones y procesos dentro de la organización para gobernar y gestionar la información corporativa, incluyendo tanto las responsabilidades de las funciones de TI como las de negocio.

Como refleja la siguiente figura, esta visión holística encaja perfectamente con el modelo METRO, herramienta guía muy utilizada en el presente blog.

Componentes COBIT® 2019 de un sistema de gobierno (Fuente: [1]) y su impacto en el modelo METRO (elaboración propia)

Según COBIT® 2019 los componentes de cualquier tipo pueden ser genéricos y por tanto “suelen requerir una adaptación antes de que se puedan implementar en la práctica” o variantes de los genéricos que “se adaptan para un propósito o contexto específico dentro de un área prioritaria (2) (p. ej.: para seguridad de la información, DevOps (3), una regulación específica).”.

Principio 3 del sistema de gobierno: Sistema de gobierno dinámico.

Según COBIT® 2019 la idea es “que cada vez que se cambian uno o más factores del diseño (p. ej. Un cambio de estrategia o tecnología), debe considerarse el impacto de estos cambios en el sistema.”.

Principio relacionado con la dimensión VI Tiempo del modelo METRO.

Principio 4 del sistema de gobierno: Separar el gobierno de la gestión.

Principio fundamental en el marco de trabajo de COBIT® similar al modelo de la ISO 38500 donde se distinguen dos dominios: el gobierno y la gestión.

Similitud entre ISO 38500 y COBIT® sobre separación entre gobierno y gestión (Fuentes: [4] y [2])


Así pues, como refleja la siguiente figura, los objetivos de gobierno y gestión con sus roles, actividades y relaciones responden a las siguientes preguntas: ¿Quién participa en el gobierno y quién en la gestión?, ¿Cómo colaboran y se coordinan? y ¿Qué hacen?

Roles, actividades y relaciones clave (Fuente: [2])

Los procesos de gobierno se centran en evaluar las necesidades de las partes interesadas; dirigir para definir objetivos corporativos, establecer directivas, prioridades y tomar decisiones; y controlar o monitorizar el desempeño, cumplimiento y progreso de los objetivos y directivas anteriores.

Los procesos de gestión se centran en planificar, construir, ejecutar y supervisar (PBRM, por sus siglas en inglés) similar al ciclo de Deming de mejora continua: planificar, hacer, verificar y actuar (PHVA o PDCA por sus siglas en inglés).

Para continuar con un único punto de vista que sirva de guía, la siguiente figura proyecta esta visión de COBIT® 5 sobre el modelo METRO.

Objetivos de gobierno y de gestión de COBIT® sobre el modelo METRO

Principio 5 del sistema de gobierno: Adaptarse a las necesidades de la organización.

COBIT® 2019 considera que “Un sistema de gobierno debería personalizarse de acuerdo con las necesidades de la empresa, utilizando una serie de factores de diseño como parámetros para personalizar y priorizar los componentes del sistema de gobierno.”.

Estos factores de diseño se representan en la siguiente figura:

Factores de diseño de COBIT® 2019 (Fuente: [1])

Estrategia empresarial o corporativa. COBIT® 2019 distingue entre los siguientes arquetipos de estrategia para la organización:

Factor de diseño de estrategia de la empresa en COBIT® 2019 (Fuente: [1])

Metas empresariales o corporativas (EG) que soporten la estrategia empresarial o corporativa. “La estrategia empresarial se logra mediante la consecución de (una serie de) metas empresariales. Estos objetivos se definen en el marco de referencia COBIT, se estructuran en torno a las dimensiones del cuadro de mando integral (balanced scorecard)”. La siguiente tabla muestra las trece metas corporativas (EG):

Factor de diseño de metas corporativas en COBIT® 2019 (Fuente: [1])

El perfil de riesgo de la organización y los problemas actuales relacionados con la información y la tecnología (I&T). “El perfil de riesgo identifica los tipos de riesgos relacionados con I&T a los que está expuesta la empresa en la actualidad e indica qué áreas de riesgo exceden el apetito al riesgo.”. Las diecinueve categorías de riesgo según COBIT® 2019 son:

Categorías de riesgos de TI en COBIT® 2019 (Fuente: [1])

Problemas relacionados con la información y la tecnología (I&T). Según COBIT® 2019: “Un método asociado para una valoración de riesgos de I&T de la empresa consiste en considerar a qué problemas relacionados con I&T se enfrenta o, dicho de otro modo, qué riesgo relacionado con I&T se ha materializado.”.  Los veinte problemas más comunes según COBIT® 2019 son:

Factor de diseño de problemas relacionados con I&T en COBIT® 2019 (Fuente: [1])

Estos problemas relacionados con la información y la tecnología se manifiestan a menudo en la organización, por lo que se deben tener en cuenta a la hora de gestionar los riesgos.

Panorama de amenazas. Según COBIT® 2019 las amenazas de una organización se clasifican en:

Factor de diseño del panorama de amenazas en COBIT® 2019 (Fuente: [1])

Requerimientos de cumplimiento. Según COBIT® 2019 los requerimientos de cumplimiento a los que una organización se enfrenta se clasifican en:

Factor de diseño de los requerimientos de cumplimiento en COBIT® 2019 (Fuente: [1])

Rol de TI. Según COBIT® 2019 los roles de TI se clasifican en:

Factor de diseño del rol de TI en COBIT® 2019 (Fuente: [1])

Modelo de abastecimiento para TI. Según COBIT® 2019 los modelos de abastecimiento se clasifican en:

Factor de diseño del modelo de abastecimiento para TI en COBIT® 2019 (Fuente: [1])

Métodos de implementación de TI. Según COBIT® 2019 los métodos de implementación de TI en la organización se clasifican en:

Factor de diseño de los métodos de implementación de TI en COBIT® 2019 (Fuente: [1])

Estrategia de adopción de tecnología. Según COBIT® 2019 la estrategia de la organización para adoptar tecnología se puede clasificar en:

Factor de diseño de la estrategia de adopción de tecnología de COBIT® 2019 (Fuente: [1])

Tamaño de la organización. COBIT® 2019 identifica dos categorías:

Factor de diseño del tamaño de la organización en COBIT® 2019 (Fuente: [1])

Principio 6 del sistema de gobierno: Sistema de gobierno íntegro.

COBIT® 2019 considera que: “Un sistema de gobierno debería cubrir la empresa de principio a fin, centrándose no solo en la función de TI, sino en todo el procesamiento de tecnología e información que la empresa pone en funcionamiento para lograr sus objetivos, independientemente de dónde se realice el procesamiento en la empresa.”.

En la siguiente figura  se representa el ciclo de la información de COBIT® que alineado con lo hasta ahora mencionado: los procesos generan y procesan datos, estos se transforman en información y conocimiento que crea valor a la organización. Es fundamental, automatizar e implementar los metadatos en la gestión documental y de contenidos desde una visión holística que integre el ciclo de vida del dato, de la información y del conocimiento en el ciclo de vida del desarrollo de aplicaciones basadas en procesos como servicio (BPMaaS).

Metadatos de COBIT® 5 - Ciclo de la información (Fuente: [2])

Por último, a los anteriores seis principios del sistema de gobierno, COBIT® 2019 añade los siguientes tres principios para un marco de gobierno.

Principios del marco de gobierno de COBIT® 2019 (Fuente: [1])

Principio 1 del marco de gobierno: Basado en el modelo conceptual.

“Un marco de gobierno se debería basar en un modelo conceptual que identifique los componentes principales y las relaciones entre componentes para maximizar la uniformidad y permitir la automatización.” [1].

Principio 2 del marco de gobierno: Abierto y flexible.

“Un marco de gobierno debería ser abierto y flexible. Debería permitir la incorporación de nuevo contenido y la capacidad para abordar nuevos asuntos de la forma más flexible, mientras mantiene la integridad y uniformidad.” [1].

Principio 3 del marco de gobierno: Alineado con las principales normativas.

“Un marco de gobierno debería alinearse con los principales estándares, marcos y regulaciones relacionados.” [1].

COBIT® 2019 permite conceptualizar un modelo abierto, flexible y alineado con la normativa de aplicación en el proceso de transformación digital de cualquier organización.

A modo de conclusión, una organización debería tener en cuenta las siguientes buenas prácticas de gobierno y gestión de servicios para la información y tecnología relacionada en su proceso de transformación digital:

  • Utilizar los cinco dominios de COBIT®, uno de gobierno y cuatro para la gestión.
  • Utilizar el término “información y tecnología (I&T) para aclarar que es un gobierno y gestión en el ámbito corporativo e integral para toda la organización, no solo CIS/TIC.
  • Utilizar un portafolio de servicios corporativo.
  • Gestionar los riesgos según el perfil de riesgo de la organización y los problemas actuales relacionados con la información y la tecnología (I&T). Utilizar categorías de riesgos  y tabla de problemas propuestos por COBIT® 2019.
  • Cumplir con las leyes y regulaciones externas y políticas internas.
  • Gestionar los productos de información de forma segura y de calidad.
  • Gestionar la continuidad y disponibilidad del servicio.
  • Utilizar métodos de desarrollo de trabajo ágil para este nuevo paradigma de desarrollo de aplicaciones BPMaaS y de trabajo DevOps para la creación, despliegue y operación.
  • Motivar y formar al personal.
  • Impulsar un cambio de estrategia para adoptar tecnología de forma más rápida. Gestionar programas y proyectos de transformación digital.
  • Impulsar la innovación de procesos y servicios de valor para el negocio.
  • Crear una estructura o jerarquía de procesos global y de productos de información asociados sobre COBIT® 2019, como marco de gobierno abierto y flexible que permita incorporar nuevo contenido para abarcar todas las funciones y procesos de la organización.
  • Implementar los metadatos en los procesos y productos de información para una eficaz gestión documental, integrando los ciclos de vida de las dimensiones del  modelo METRO.
  • Identificar componentes y sus relaciones para que una metodología ágil y uniforme permita una futura automatización de los procesos.




(1) En COBIT® 2019 un objetivo de gobierno o de gestión siempre está relacionado con un proceso y el término práctica de gestión equivale a subprocesos.

(2) “Un área prioritaria describe un tópico, dominio o asunto de gobierno que puede abordarse por una serie de objetivos de gobierno y gestión y sus componentes.” [1].

(3) “Práctica de ingeniería de software que tiene como objetivo unificar el desarrollo de software (Dev) y la operación del software (Ops).”[3].



Bibliografía:


[1]    ISACA, Marco de referencia COBIT® 2019: Introducción y metodología. 2018.

[2]    G. Ti et al., COBIT 5 Un Marco de Negocio para el Gobierno y la Gestión de las TI de la Empresa, 2012.

[3]    “DevOps - Wikipedia, la enciclopedia libre.” https://es.wikipedia.org/wiki/DevOps (accessed Dec. 08, 2020).

[4]      Centro Universitario de la Defensa en la Escuela Naval Militar de Marín, “Máster Universitario en Dirección TIC para la Defensa (Máster DIRETIC) 2019-2020”, 2019. https://cud.uvigo.es/index.php?option=com_content&view=article&id=2613&Itemid=322 (accessed Aug. 16, 2020). “COM1: Gobierno, dirección y gestión de TIC”. Bibliografía básica sobre materiales proporcionados por el personal docente.



Anexo [1]:

“Entre los estándares y directrices utilizadas durante el desarrollo de la actualización de COBIT® 2019 se encuentran:

  • CIS® Center for Internet Security® , The CIS Critical Security Controls for Effective Cyber Defense, Versión 6.1, agosto 2016
  • Cloud standards and good practices:
    • Amazon Web Services (AWS®)
    • Security Considerations for Cloud Computing, ISACA
    • Controls and Assurance in the Cloud: Using COBIT® 5, ISACA
  • CMMI® Cybermaturity Platform, 2018
  • CMMI® Data Management Maturity (DMM)SM model, 2014
  • CMMI® Development V2.0, CMMI Institute, USA, 2018
  • Comité de Organizaciones Patrocinadoras (COSO) Enterprise Risk Management (ERM) Framework, junio 2017
  • Comité europeo de normalización (CEN), e-Competence Framework (e-CF) - A common European Framework for ICT Professionals in all industry sectors - Part 1: Framework, EN 16234-1:2016
  • HITRUST® Common Security Framework, version 9, September 2017
  • Information Security Forum (ISF), The Standard of Good Practice for Information Security 2016
  • Normativa de la Organización Internacional de Normalización / Comisión Electrotécnica Internacional (ISO/CEI)
    • ISO/CIE 20000-1:2011(E)
    • ISO/CIE 27001:2013/Cor.2:2015(E)
    • ISO/CIE 27002:2013/Cor.2:2015(E)
    • ISO/CIE 27004:2016(E)
    • ISO/CIE 27005:2011(E)
    • ISO/CIE 38500:2015(E)
    • ISO/CIE 38502:2017(E)
  • Information Technology Infrastructure Library (ITIL®) v3, 2011
  • Institute of Internal Auditors® (IIA®), “Core Principles for the Professional Practice of Internal Auditing”
  • King IV Report on Corporate Governance™, 2016
  • Normativa del Instituto de Estándares y Tecnología de Estados Unidos (NIST):
    • Framework for Improving Critical Infrastructure Cybersecurity V1.1, abril 2018
    • Special Publication 800-37, Revisión 2 (Borrador), mayo 2018
    • Special Publication 800-53, Revisión 5 (Borrador), agosto 2017
  • “Options for Transforming the IT Function Using Bimodal IT,” MIS Quarterly Executive (documentación técnica)
  • A Guide to the Project Management Book of Knowledge: PMBOK® Guide, 6.ª Edición, 2017
  • PROSCI® 3-Phase Change Management Process
  • Scaled Agile Framework for Lean Enterprises (SAFe®)
  • Skills Framework for the Information Age (SFIA®) V6, 2015
  • The Open Group IT4IT™ Reference Architecture, versión 2.0
  • The Open Group Standard TOGAF® versión 9.2, 2018
  • The TBM Taxonomy, The TBM Council“ [1].


Comentarios

Entradas populares de este blog

TOGAF. Marco de trabajo para desarrollar una Arquitectura Empresarial

Arquitectura orientada a servicios (SOA)

Gestión por procesos

Inteligencia Artificial (IA) y Web Semántica en el proceso de transformación digital de las organizaciones

Ciberexcelencia

Modelo Multidimensional en Estrella para la TRansformación Digital de la Organización (modelo METRO)

Metodología de gobierno, dirección y gestión TIC para la transformación digital en el Ministerio de Defensa de España: Guía práctica para el desarrollo ágil de aplicaciones basadas en procesos como servicio (BPMaaS)

Metodologías ágiles para el desarrollo de aplicaciones basadas en procesos de negocio como servicio (BPMaaS): (III) Playbacks de IBM BPM

Ciberespacio