COBIT 2019, lo que usted tiene que saber

En el sector de la información y la tecnología hay muchos marcos, normas y orientaciones sobre mejores prácticas con un importante valor potencial. Cada marco tiene una propuesta de valor única, pero ninguno puede hacer todo lo que una organización necesita.

Sin embargo, solo hay un marco conocido en todo el mundo que se centra en GEIT (control de la información y la tecnología empresariales) y es COBIT. Aunque no es el único marco que debe utilizar, sin duda es uno de los que debe tener en cuenta en su inventario de marcos.

Una cita que se oye a menudo sobre COBIT es que ofrece orientación sobre "Lo que debe hacer", mientras que otros marcos le dicen "Cómo debe hacerlo". Aunque han surgido muchos marcos en el ámbito del control, COBIT sigue siendo el más utilizado para cuestiones relacionadas con el control de TI. Un aspecto único de COBIT es que ofrece orientación a un nivel que permite a otros marcos ir a un nivel más profundo y sugiere cuál utilizar y dónde. Una adopción efectiva de COBIT REQUIERE otros marcos, y COBIT le indica cuáles son y cuándo debe utilizarlos.

Aunque COBIT está universalmente aceptado como marco para el control y la gestión de la información y la tecnología, muchos países de todo el mundo lo han adoptado como norma de cumplimiento en sus sistemas bancarios y otros ámbitos. Sin embargo, para la mayoría de las organizaciones, COBIT está siendo aprovechado como un "marco para gestionar marcos". Como se ilustra en la Figura 1, COBIT actúa como "middleware" entre las herramientas de control empresarial y las mejores prácticas utilizadas habitualmente por los proveedores de servicios de TI. Es una herramienta adecuada para ayudar a alinear marcos, objetivos, prioridades y actividades entre la empresa y las TI.

Breve historia de COBIT

En 1996, la Asociación de Auditores de EDP, más tarde conocida como ISACA, vio la necesidad de proporcionar a los auditores financieros orientación sobre controles de auditoría relacionados con los crecientes riesgos y requisitos de cumplimiento en el campo de la información y la tecnología. Este esfuerzo fue el resultado de una publicación que identificaba objetivos de control para la información y la tecnología, denominada COBIT. Aunque originalmente COBIT significaba Objetivos de Control para la Información y Tecnologías Relacionadas, hoy en día se conoce simplemente como COBIT.

COBIT ha sufrido varias iteraciones desde 1996 y hoy se ha convertido en un marco de control y gestión de la información y la tecnología que es reconocido en todo el mundo. Como se ilustra en la Figura 2, COBIT se ha actualizado periódicamente y ha adaptado sus orientaciones a los temas más apremiantes del sector. En la actualidad, combina los demás objetivos de control de la auditoría con una visión moderna de todos los ingredientes necesarios para un sistema de control sostenible y adaptable.

Descripción de COBIT

Muchos aspectos de COBIT pueden ser valiosos para cualquier empresa que dependa de servicios relacionados con las TI para llevar a cabo su actividad. En COBIT hay algo para todos; solo hay que saber cómo y dónde encontrarlo. El lanzamiento inicial del marco COBIT (versión 2019) incluyó varias publicaciones:

Publicación	Publicación
Introducción y metodología	Explica la estructura general y las partes del marco. Refresca términos, conceptos y principios clave del control. Presenta el sistema de control, sus componentes y los objetivos de control/gestión.
Objetivos de gestión y control	Incluye 40 objetivos de control y gestión organizados en cinco ámbitos (Control/Gestión). Cada objetivo está relacionado con un proceso. Para cada objetivo, proporciona orientación relacionada con cada uno de los componentes del control.
Diseño de una solución de control de la información y la tecnología	Introduce las áreas de interés y los factores de diseño Incluye un flujo de trabajo de diseño que facilita la creación de un sistema de control hecho a la medida. Se utiliza junto con la Guía de Implementación.
Implementación y optimización de una solución de control de la información y la tecnología	Actualizado a partir de la Guía de Implementación de COBIT5. Se utiliza junto con la Guía de Diseño. Proporciona un enfoque de ciclo de vida de mejora continua. ncluye siete fases con tres perspectivas.
Guías de las áreas de interés	Describe un tema, dominio o problema de control que puede abordarse mediante una recopilación de objetivos de control y gestión y sus componentes. En el momento de la publicación de este artículo, existen cuatro guías de áreas de interés: Pequeñas y medianas empresas, DevOps, Riesgos de la información y la tecnología, y Seguridad de la información.

Muchas otras publicaciones complementarias están diseñadas para ayudar a las empresas a admitir y adaptar las orientaciones. Puede consultar una lista completa de todos estos documentos en www.isaca.org/cobit.

Considere COBIT como una guía de alto nivel para ayudarle a determinar las cosas correctas que hay que hacer, pero no le da detalles sobre cómo adoptarlas. En esencia, COBIT describe el sistema general de control de la información y la tecnología en los siguientes aspectos:

• Principios
• Objetivos de gestión y control
• Componentes de control
• Cascada de objetivos
• Factores de diseño
• Implementación
• Áreas de interés

Principios

Como cualquier corpus robusto de conocimientos, los principios deben ser las guías clave. COBIT tiene dos categorías de principios: los principios de control y los principios marco. Son importantes porque sientan las bases para que las organizaciones admitan y adapten marcos acordes con ellas.

Objetivos de gestión y control

Uno de los aspectos más potentes de COBIT son los objetivos de gestión y control. Cuarenta de estos objetivos se organizan en objetivos de control (5) y objetivos de gestión (35). COBIT establece una distinción entre control y gestión, como se ilustra en los objetivos.

Los cinco objetivos de control están organizados en el dominio EDM, mientras que los objetivos de gestión se encuentran en los dominios APO, BAI, DSS y MEA. Esto es importante porque cualquier órgano de control de una organización debe tener en cuenta las orientaciones de EDM, mientras que la gestión es responsable del resto de ámbitos. Cada uno de los objetivos identificados en COBIT se explica con más detalle en la publicación Objetivos de Control y Gestión de COBIT 2019 mediante lo siguiente:

Aquí es donde puede resultar un poco confuso. COBIT establece que cada uno de estos 40 objetivos es también un proceso. ¿Cómo es eso? Lea a continuación los componentes de control para saber por qué.

Componentes de control

COBIT esboza siete componentes de control, esencialmente los ingredientes de un sistema de control. Cada objetivo de control y gestión se explica utilizando estos siete componentes y es necesario para alcanzar los objetivos de control y gestión. Son factores que, individual y colectivamente, contribuyen al buen funcionamiento del sistema de control de la empresa en materia de T&I. Interactúan entre sí, dando lugar a un sistema holístico de control de la T&I. El tipo de componente más conocido son los procesos.

Cascada de objetivos

La cascada de objetivos es uno de los temas de control más fáciles de entender, pero también una de las herramientas más difíciles y mal aplicadas. COBIT fue el primer marco que introdujo un modelo en el que las organizaciones pueden vincular las necesidades específicas de las partes interesadas con tablas que vinculan los objetivos de alto nivel de la empresa con los objetivos (y procesos) de control y gestión.

Se trata de una herramienta importante para ayudar a las organizaciones a determinar qué procesos son los más valiosos y relevantes en función de la consecución de los objetivos empresariales. La información sobre la cascada de objetivos puede encontrarse en las publicaciones Introducción y Objetivos de Control y Gestión de COBIT. Puede encontrar información detallada sobre cómo aplicar la cascada de objetivos en la publicación Objetivos de Control y Gestión de COBIT 2019..

Factores de diseño

Reconociendo la necesidad de una herramienta que ayude a las empresas a crear un sistema de control a la medida, COBIT creó un conjunto de factores de diseño que pueden utilizarse para determinar qué partes de COBIT son más relevantes que otras en función de varios criterios.

Considere estos factores de diseño como entradas o variables de un sistema de control. El entorno interno y externo cambia constantemente, y para disponer de un sistema de control verdaderamente adaptable y flexible, las organizaciones modifican continuamente su enfoque de control en función de estos cambios. COBIT proporciona una metodología (herramienta descargable) que toma datos basados en la situación específica de una empresa y ofrece orientación sobre qué objetivos de control y gestión son los más adecuados para que la empresa alcance sus metas y respalde la estrategia empresarial. Esta información puede encontrarse en la publicación Diseño de una solución de control de la información y la tecnología, también conocida como "Guía de diseño".

Áreas de interés

¿Es demasiada información que digerir sobre COBIT? Hay una solución para usted. Varias publicaciones de orientación complementaria ayudan a diseccionar COBIT en las partes relevantes para un área o enfoque específico. ¿Es usted una organización centrada exclusivamente en DevOps? COBIT cuenta con una guía de áreas de interés para ello. En el momento de la publicación de este documento, existen cuatro de estas guías: DevOps, Pequeñas y medianas empresas, Riesgos de la información y la tecnología, y Seguridad de la información. Aparte de estas guías de áreas de interés, existen otras publicaciones informativas que vinculan temas de actualidad con COBIT, como diversos programas de auditoría, la implementación del marco de ciberseguridad del NIST y muchos más.

Implementación

La orientación en esta publicación está destinada a ayudar a las empresas con la implementación utilizando las metodologías de ISACA, especialmente las desarrolladas en COBIT. La guía incluye procesos, plantillas de ejemplo y orientaciones estratégicas y tácticas diseñadas para maximizar los beneficios del CSF y ayudar a los profesionales a identificar y alcanzar los objetivos empresariales para el control y la gestión de la T&I.

Gestión del rendimiento

La gestión del rendimiento COBIT se refiere a lo bien que funciona el sistema de control y gestión, así como todos los componentes de una empresa, y cómo pueden mejorarse hasta alcanzar el nivel requerido. Incluye métodos y conceptos como los niveles de capacidad y los niveles de madurez. COBIT 2019 se basa en los siguientes principios:

• Fácil de entender y utilizar.
• Consistencia con el modelo conceptual de COBIT y apoyo al mismo.
• Proporcionar resultados fiables, repetibles y pertinentes.
• Debe ser flexible.
• Debe ser compatible con distintos tipos de evaluaciones.

ISACA es propietaria del modelo CMMI, por lo que no es de extrañar que la gestión del rendimiento se alinee en gran medida con los conceptos CMMI y los amplíe, es decir, la escala 0-5 que se utiliza habitualmente durante las evaluaciones.

Utilización de COBIT

Como la mayoría de los marcos, es difícil leer el material introductorio y decir: "Ajá, ya lo entendí". COBIT aprendió de las versiones anteriores que a veces lo perfecto puede arruinar lo bueno. La versión anterior, COBIT5, contenía enormes cantidades de información práctica, pero muchos usuarios no sabían cómo o dónde entrar en el modelo para encontrarla. Con COBIT2019, esta experiencia se ha reorientado en gran medida hacia la experiencia del usuario.

Los siguientes casos de uso representan escenarios típicos a la hora de adoptar COBIT en una organización.

En COBIT hay algo para todos, pero hay que saber dónde buscarlo. Se trata de una poderosa herramienta que puede ayudar a los miembros de la junta directiva, la alta dirección, la dirección de TI, los propietarios de procesos, los auditores, los gestores de servicios y muchos más a comprender las prácticas y actividades esenciales relacionadas con cada rol. El truco para que este marco aporte valor a su organización es integrarlo con otros marcos, normas y mejores prácticas de su organización. Para más información sobre COBIT, visite el sitio web de ISACA.