COBIT® 2019. Marco paraguas para el gobierno y gestión de los servicios de la Información y la Tecnología relacionada (I&T)
COBIT® 2019
Creada por la asociación norteamericana sin ánimo de lucro Information Systems Audit and Control
Association (ISACA), COBIT® es el acrónimo en inglés de Objetivos
de Control para la Información y la Tecnología relacionada.
En la siguiente figura se observa como desde su creación en 1996,
COBIT® ha evolucionado hasta llegar a ser un marco de referencia no
solo para el gobierno y gestión de las TI sino que desde su versión COBIT®
5 en 2012 también para el gobierno corporativo.
Evolución del enfoque COBIT® (Fuente: COBIT® 2019 © 2018 ISACA®) |
COBIT® 2019 proporciona un marco de trabajo
integral para el gobierno y la gestión de las TI en la organización. Está basado
en las mejores prácticas y orientadas a procesos para vincular, alinear y
controlar los objetivos de gobierno corporativo con el gobierno CIS/TIC, crear
valor en la organización al mantener un equilibrio entre la generación de
beneficios, la optimización del riesgo y el uso de recursos. Ampliamente
reconocido internacionalmente, ISACA lo define como un “marco paraguas” que permite la alineación, mapeo e integración con
múltiples estándares, marcos de referencia y regulaciones relevantes relacionados
con los medios y servicios CIS/TIC [1].
Esta característica de “marco paraguas” de COBIT® 2019, facilita el gobierno y la gestión de los servicios de la información y de la tecnología en cualquier organización. La siguiente figura muestra esta cobertura holística, alineada e integradora que sirve como arquitectura simple y lenguaje común entre negocio y TI.
Por ello, se recomienda tomar como marco de
referencia COBIT® 2019 para el gobierno y gestión de los servicios
A continuación se muestran los nueve principios de COBIT®
2019, seis de ellos para describir los requisitos fundamentales de un sistema
de gobierno para la información y la tecnología de la organización (I&T) y
tres para el marco de gobierno que permite crear este sistema de gobierno corporativo.
Principios de COBIT® 2019 (Fuente: [1])
Principio 1 del sistema
de gobierno: Proporcionar valor a las partes interesadas.
En la versión anterior [2],
se define parte interesada como “Cualquiera
que tiene una responsabilidad, expectativa o cualquier otro interés en la
empresa –por ejemplo, accionistas, usuarios, el gobierno, proveedores, clientes
y el público en general”.
En COBIT® 2019 se especifican las partes
interesadas en el gobierno corporativo de tecnologías de información como parte
del gobierno corporativo de la organización en su conjunto. La siguiente figura muestra estas partes interesadas y los beneficios que pueden obtener de la
implantación de COBIT®.
Partes interesadas de COBIT® 2019 (Fuente: [1])
La organización debe crear valor para satisfacer las
necesidades de las partes interesadas, pero este valor es distinto según la
parte interesada a la que se dirija.
Como refleja la siguiente figura, las necesidades de las partes
interesadas es el punto de partida del gobierno de TI y conlleva satisfacerlas a
través de la toma de decisiones para buscar el equilibrio entre la generación
de beneficios, la optimización del riesgo y la optimización de recursos.
Objetivo de gobierno: Creación de valor según COBIT® (Fuente: [2]) |
El método de la cascada de metas de COBIT® 2019 sirve
para transformar las necesidades de las partes
interesadas en una estrategia corporativa realizable. Estas necesidades tienen
un efecto en cascada sobre las metas empresariales o corporativas (en adelante
EG# por sus siglas en inglés); las cuales tienen un efecto en cascada sobre las
metas de alineamiento o metas relacionadas con las TI (en adelante AG#, por sus
siglas en inglés); que a su vez tienen un efecto en cascada sobre los
objetivos de gobierno y de gestión a implementar a nivel corporativo.
Tal como muestra la siguiente figura, este mapeo facilita alinear las necesidades de la organización con las soluciones y servicios de TI para identificar al final de la cascada los procesos (1) a implantar para alcanzar los objetivos de gobierno y gestión.
Visión general de la cascada de metas de COBIT® 2019 (Fuente: [1]) |
COBIT® 2019 identifica trece metas corporativas,
trece metas de alineamiento y cuarenta objetivos de gobierno y gestión que se
descomponen en procesos y prácticas de gestión (subprocesos) entre otros
componentes como los flujos de información.
A continuación, la figura relaciona las metas de alineamiento con las
metas corporativas a través de dos tipos de relaciones. “P” indica una relación
primaria fuerte y “S” una relación secundaria más débil.
Relación entre metas corporativas y metas de alineamiento de COBIT® 2019 (Fuente: [1]) |
La siguiente figura relaciona los cuarenta objetivos de gobierno
y gestión con las metas de alineamiento a través de los mismos dos tipos de
relaciones. “P” indica una relación primaria fuerte y “S” una relación
secundaria más débil.
Relación entre los objetivos de gobierno y gestión con las
metas de alineamiento de COBIT® 2019 (Fuente: [1]) |
Por último, al final de la cascada de metas se encuentran
los objetivos de gobierno y gestión a alcanzar. Según COBIT® 2019
[1]:
“Un objetivo de gobierno o de
gestión siempre está relacionado con un
proceso (con un nombre idéntico o similar) y una serie de componentes
relacionados de otros tipos para contribuir a lograr el objetivo”.
La siguiente figura muestra sobre fondo azul oscuro los procesos
u objetivos de gobierno y sobre fondo azul claro los procesos u objetivos de
gestión.
Modelo principal de COBIT® 2019. Procesos u objetivos
de gobierno y gestión (Fuente: [1]) |
Estos cuarenta objetivos o procesos se agrupan en cinco
dominios, uno de ellos para los cinco objetivos de gobierno y otros cuatro para
los treinta y cinco de gestión.
Dominio de gobierno:
- Evaluar, Dirigir y Monitorizar (EDM): Compuesto por 5 objetivos o procesos para evaluar las opciones estratégicas, generar directrices a los responsables de la gestión para su ejecución y monitorizar su consecución.
Dominios de gestión:
- Alinear, Planificar y Organizar (APO): Compuesto por 14 objetivos o procesos para una organización general, estrategia y actividades de apoyo para la información y tecnología (I&T).
- Construir, Adquirir e Implementar (BAI): Compuesto por 11 objetivos o procesos para la definición, adquisición e implementación de soluciones para su integración en procesos de negocio.
- Entregar, Dar servicio y Soporte (DSS): Compuesto por 6 objetivos o procesos para la entrega operativa y el soporte de los servicios de información y tecnología (I&T) de calidad y seguros.
- Monitorizar, Evaluar y Valorar (MEA). Compuesto por 4 objetivos o procesos para la monitorización del rendimiento y la conformidad de la información y la tecnología (I&T) con respecto a los objetivos planteados.
Principio 2 del
sistema de gobierno: Enfoque holístico.
Para crear el sistema de gobierno para la información y la tecnología (I&T) de la organización COBIT® 2019 establece siete componentes de distintos tipos que deben ser personalizados para dirigir las acciones necesarias para alcanzar los objetivos de la organización. Componentes que interactúan entre sí de forma individual y colectiva para el buen funcionamiento del sistema holístico de gobierno.
Estos siete componentes son los siguientes [1]:
“Los procesos describen una serie de prácticas y actividades
organizadas para lograr determinados objetivos y producir una serie de
resultados que contribuyan a la consecución de la totalidad de los objetivos
relacionados con las TI.
Las estructuras organizativas son las entidades clave de toma de
decisiones en una empresa.
Los principios, las políticas y los marcos convierten el
comportamiento deseado en orientación práctica para la gestión del día a día.
La información es generalizada a lo largo de cualquier organización
e incluye toda la información producida y utilizada por la empresa. COBIT se
centra en la información requerida para el funcionamiento eficaz del sistema de
gobierno de la empresa.
La cultura, la ética y el comportamiento de los individuos y de la
empresa son, a menudo, subestimados como un factor de éxito de las actividades
de gobierno y gestión.
Las personas, las habilidades y las competencias son necesarias
para tomar buenas decisiones, ejecutar acciones correctivas y completar
satisfactoriamente todas las actividades.
Los servicios, la infraestructura y las aplicaciones incluyen la infraestructura, la tecnología y las aplicaciones que brindan a la empresa un sistema de gobierno para el procesamiento de I&T.”
El alcance de COBIT® 2019 es toda la
organización, con una visión integral y sistémica que no se enfoca sólo en la
tecnología, sino que trata la información y las tecnologías relacionadas como
activos de la organización que deben ser gestionados como cualquier otro. Cubre
todas las funciones y procesos dentro de la organización para gobernar y
gestionar la información corporativa, incluyendo tanto las responsabilidades de
las funciones de TI como las de negocio.
Como refleja la siguiente figura, esta visión holística encaja
perfectamente con el modelo METRO, herramienta guía muy utilizada en el presente blog.
Componentes COBIT® 2019 de un sistema de gobierno (Fuente: [1]) y su impacto en el modelo METRO (elaboración propia) |
Según COBIT® 2019 los componentes de cualquier
tipo pueden ser genéricos y por tanto “suelen
requerir una adaptación antes de que se puedan implementar en la práctica”
o variantes de los genéricos que “se
adaptan para un propósito o contexto específico dentro de un área prioritaria (2) (p. ej.: para seguridad de la información,
DevOps (3), una regulación específica).”.
Principio 3 del
sistema de gobierno: Sistema de gobierno dinámico.
Según COBIT® 2019 la idea es “que cada vez que se cambian uno o más
factores del diseño (p. ej. Un cambio de estrategia o tecnología), debe
considerarse el impacto de estos cambios en el sistema.”.
Principio relacionado con la dimensión VI Tiempo del modelo METRO.
Principio 4 del
sistema de gobierno: Separar el gobierno de la gestión.
Principio fundamental en el marco de trabajo de COBIT®
similar al modelo de la ISO 38500 donde se distinguen dos dominios: el gobierno
y la gestión.
Similitud entre ISO 38500 y COBIT® sobre
separación entre gobierno y gestión (Fuentes: [4] y [2]) |
Roles, actividades y relaciones clave (Fuente: [2]) |
Los procesos de gobierno se centran en evaluar las necesidades de las partes interesadas; dirigir para definir objetivos
corporativos, establecer directivas, prioridades y tomar decisiones; y controlar o monitorizar el desempeño,
cumplimiento y progreso de los objetivos y directivas anteriores.
Los procesos de gestión se centran en planificar, construir, ejecutar y supervisar (PBRM, por sus siglas en inglés) similar al ciclo de
Deming de mejora continua: planificar, hacer, verificar y actuar (PHVA o PDCA
por sus siglas en inglés).
Para continuar con un único punto de vista que sirva de guía, la siguiente figura proyecta esta visión de COBIT® 5
sobre el modelo METRO.
Objetivos
de gobierno y de gestión de COBIT® sobre el modelo METRO |
Principio 5 del
sistema de gobierno: Adaptarse a las necesidades de la organización.
COBIT® 2019 considera que “Un sistema de gobierno debería personalizarse de acuerdo con las
necesidades de la empresa, utilizando una serie de factores de diseño como
parámetros para personalizar y priorizar los componentes del sistema de
gobierno.”.
Estos factores de diseño se representan en la siguiente figura:
Estrategia empresarial o corporativa. COBIT® 2019 distingue entre los siguientes arquetipos de estrategia para la organización:
Factor de diseño de estrategia de la empresa en COBIT® 2019 (Fuente: [1]) |
Metas empresariales o
corporativas (EG) que soporten la estrategia empresarial o corporativa. “La
estrategia empresarial se logra mediante la consecución de (una serie de) metas
empresariales. Estos objetivos se definen en el marco de referencia COBIT, se
estructuran en torno a las dimensiones del cuadro de mando integral (balanced
scorecard)”. La siguiente tabla muestra las trece metas corporativas (EG):
El perfil de riesgo de
la organización y los problemas actuales relacionados con la información y la
tecnología (I&T). “El perfil de
riesgo identifica los tipos de riesgos relacionados con I&T a los que está
expuesta la empresa en la actualidad e indica qué áreas de riesgo exceden el
apetito al riesgo.”. Las diecinueve categorías de riesgo según COBIT®
2019 son:
Categorías de riesgos de TI en COBIT® 2019 (Fuente: [1]) |
Problemas
relacionados con la información y la tecnología (I&T). Según COBIT®
2019: “Un método asociado para una
valoración de riesgos de I&T de la empresa consiste en considerar a qué
problemas relacionados con I&T se enfrenta o, dicho de otro modo, qué
riesgo relacionado con I&T se ha materializado.”. Los veinte problemas más comunes según COBIT®
2019 son:
Factor de diseño de problemas relacionados con I&T en COBIT® 2019 (Fuente: [1]) |
Estos problemas relacionados con la información y la
tecnología se manifiestan a menudo en la organización, por lo que se deben
tener en cuenta a la hora de gestionar los riesgos.
Panorama de amenazas.
Según COBIT® 2019 las amenazas de una organización se clasifican en:
Factor de diseño del panorama de amenazas en COBIT® 2019 (Fuente: [1]) |
Requerimientos de
cumplimiento. Según COBIT® 2019 los requerimientos de
cumplimiento a los que una organización se enfrenta se clasifican en:
Factor de diseño de los requerimientos de cumplimiento en COBIT® 2019 (Fuente: [1]) |
Rol de TI. Según
COBIT® 2019 los roles de TI se clasifican en:
Factor de diseño del rol de TI en COBIT® 2019 (Fuente: [1]) |
Modelo de abastecimiento
para TI. Según COBIT® 2019 los modelos de abastecimiento se
clasifican en:
Factor de diseño del modelo de abastecimiento para TI en COBIT® 2019 (Fuente: [1]) |
Métodos de
implementación de TI. Según COBIT® 2019 los métodos de
implementación de TI en la organización se clasifican en:
Factor de diseño de los métodos de implementación de TI en COBIT® 2019 (Fuente: [1]) |
Estrategia de
adopción de tecnología. Según COBIT® 2019 la estrategia de la
organización para adoptar tecnología se puede clasificar en:
Factor de diseño de la estrategia de adopción de tecnología de COBIT® 2019 (Fuente: [1]) |
Tamaño de la
organización. COBIT® 2019 identifica dos categorías:
Factor de diseño del tamaño de la organización en COBIT® 2019 (Fuente: [1]) |
Principio 6 del
sistema de gobierno: Sistema de gobierno íntegro.
COBIT® 2019 considera que: “Un sistema de gobierno debería cubrir la empresa de principio a fin,
centrándose no solo en la función de TI, sino en todo el procesamiento de
tecnología e información que la empresa pone en funcionamiento para lograr sus
objetivos, independientemente de dónde se realice el procesamiento en la
empresa.”.
En la siguiente figura se representa el ciclo de la información
de COBIT® que alineado con lo hasta ahora mencionado: los procesos
generan y procesan datos, estos se transforman en información y conocimiento
que crea valor a la organización. Es fundamental, automatizar e implementar los
metadatos en la gestión documental y de contenidos desde una visión holística
que integre el ciclo de vida del dato, de la información y del conocimiento en
el ciclo de vida del desarrollo de aplicaciones basadas en procesos como
servicio (BPMaaS).
Metadatos de COBIT® 5 - Ciclo de la información (Fuente: [2]) |
Por último, a los anteriores seis principios del sistema de
gobierno, COBIT® 2019 añade los siguientes tres principios para un
marco de gobierno.
Principios del marco de gobierno de COBIT® 2019 (Fuente: [1])
Principio 1 del marco
de gobierno: Basado en el modelo conceptual.
“Un marco de gobierno se debería
basar en un modelo conceptual que identifique los componentes principales y las
relaciones entre componentes para maximizar la uniformidad y permitir la
automatización.” [1].
Principio 2 del marco
de gobierno: Abierto y flexible.
“Un marco de gobierno debería ser abierto y flexible. Debería permitir la incorporación de nuevo contenido y la capacidad para abordar nuevos asuntos de la forma más flexible, mientras mantiene la integridad y uniformidad.” [1].
Principio 3 del marco
de gobierno: Alineado con las principales normativas.
“Un marco de gobierno debería alinearse con los principales estándares, marcos y regulaciones relacionados.” [1].
COBIT® 2019 permite conceptualizar un modelo abierto, flexible y alineado con
la normativa de aplicación en el proceso de transformación digital de cualquier organización.
A modo de conclusión, una organización debería tener en cuenta las siguientes buenas prácticas de gobierno y gestión de servicios para la información y tecnología relacionada en su proceso de transformación digital:
- Utilizar los cinco dominios de COBIT®, uno de gobierno y cuatro para la gestión.
- Utilizar el término “información y tecnología (I&T) para aclarar que es un gobierno y gestión en el ámbito corporativo e integral para toda la organización, no solo CIS/TIC.
- Utilizar un portafolio de servicios corporativo.
- Gestionar los riesgos según el perfil de riesgo de la organización y los problemas actuales relacionados con la información y la tecnología (I&T). Utilizar categorías de riesgos y tabla de problemas propuestos por COBIT® 2019.
- Cumplir con las leyes y regulaciones externas y políticas internas.
- Gestionar los productos de información de forma segura y de calidad.
- Gestionar la continuidad y disponibilidad del servicio.
- Utilizar métodos de desarrollo de trabajo ágil para este nuevo paradigma de desarrollo de aplicaciones BPMaaS y de trabajo DevOps para la creación, despliegue y operación.
- Motivar y formar al personal.
- Impulsar un cambio de estrategia para adoptar tecnología de forma más rápida. Gestionar programas y proyectos de transformación digital.
- Impulsar la innovación de procesos y servicios de valor para el negocio.
- Crear una estructura o jerarquía de procesos global y de productos de información asociados sobre COBIT® 2019, como marco de gobierno abierto y flexible que permita incorporar nuevo contenido para abarcar todas las funciones y procesos de la organización.
- Implementar los metadatos en los procesos y productos de información para una eficaz gestión documental, integrando los ciclos de vida de las dimensiones del modelo METRO.
- Identificar componentes y sus relaciones para que una metodología ágil y uniforme permita una futura automatización de los procesos.
(1) En COBIT® 2019 un objetivo de gobierno o de gestión siempre está relacionado con un proceso y el término práctica de gestión equivale a subprocesos.
(2) “Un área prioritaria describe un tópico, dominio o asunto de gobierno que puede abordarse por una serie de objetivos de gobierno y gestión y sus componentes.” [1].
(3) “Práctica de ingeniería de software que tiene como objetivo unificar el desarrollo de software (Dev) y la operación del software (Ops).”[3].
Bibliografía:
[1] ISACA, Marco
de referencia COBIT® 2019: Introducción y metodología. 2018.
[2] G. Ti et
al., COBIT 5 Un Marco de Negocio para el Gobierno y la Gestión de las TI
de la Empresa, 2012.
[3] “DevOps -
Wikipedia, la enciclopedia libre.” https://es.wikipedia.org/wiki/DevOps
(accessed Dec. 08, 2020).
[4] Centro Universitario de la Defensa en la Escuela Naval Militar de Marín, “Máster Universitario en Dirección TIC para la Defensa (Máster DIRETIC) 2019-2020”, 2019. https://cud.uvigo.es/index.php?option=com_content&view=article&id=2613&Itemid=322 (accessed Aug. 16, 2020). “COM1: Gobierno, dirección y gestión de TIC”. Bibliografía básica sobre materiales proporcionados por el personal docente.
Anexo [1]:
“Entre los estándares y directrices utilizadas durante el desarrollo de la actualización de COBIT® 2019 se encuentran:
- CIS® Center for Internet Security® , The CIS Critical Security Controls for Effective Cyber Defense, Versión 6.1, agosto 2016
- Cloud standards and good practices:
- Amazon Web Services (AWS®)
- Security Considerations for Cloud Computing, ISACA
- Controls and Assurance in the Cloud: Using COBIT® 5, ISACA
- CMMI® Cybermaturity Platform, 2018
- CMMI® Data Management Maturity (DMM)SM model, 2014
- CMMI® Development V2.0, CMMI Institute, USA, 2018
- Comité de Organizaciones Patrocinadoras (COSO) Enterprise Risk Management (ERM) Framework, junio 2017
- Comité europeo de normalización (CEN), e-Competence Framework (e-CF) - A common European Framework for ICT Professionals in all industry sectors - Part 1: Framework, EN 16234-1:2016
- HITRUST® Common Security Framework, version 9, September 2017
- Information Security Forum (ISF), The Standard of Good Practice for Information Security 2016
- Normativa de la Organización Internacional de Normalización / Comisión Electrotécnica Internacional (ISO/CEI)
- ISO/CIE 20000-1:2011(E)
- ISO/CIE 27001:2013/Cor.2:2015(E)
- ISO/CIE 27002:2013/Cor.2:2015(E)
- ISO/CIE 27004:2016(E)
- ISO/CIE 27005:2011(E)
- ISO/CIE 38500:2015(E)
- ISO/CIE 38502:2017(E)
- Information Technology Infrastructure Library (ITIL®) v3, 2011
- Institute of Internal Auditors® (IIA®), “Core Principles for the Professional Practice of Internal Auditing”
- King IV Report on Corporate Governance™, 2016
- Normativa del Instituto de Estándares y Tecnología de Estados Unidos (NIST):
- Framework for Improving Critical Infrastructure Cybersecurity V1.1, abril 2018
- Special Publication 800-37, Revisión 2 (Borrador), mayo 2018
- Special Publication 800-53, Revisión 5 (Borrador), agosto 2017
- “Options for Transforming the IT Function Using Bimodal IT,” MIS Quarterly Executive (documentación técnica)
- A Guide to the Project Management Book of Knowledge: PMBOK® Guide, 6.ª Edición, 2017
- PROSCI® 3-Phase Change Management Process
- Scaled Agile Framework for Lean Enterprises (SAFe®)
- Skills Framework for the Information Age (SFIA®) V6, 2015
- The Open Group IT4IT™ Reference Architecture, versión 2.0
- The Open Group Standard TOGAF® versión 9.2, 2018
- The TBM Taxonomy, The TBM Council“ [1].
Comentarios
Publicar un comentario