Todo sobre COBIT

El marco COBIT fue introducido por primera vez por ISACA (Asociación de Auditoría y Control de Sistemas de Información) en 1996 y se conocía por un nombre más largo: Objetivos de Control para la Información y Tecnologías Relacionadas. Es un marco para gestionar y controlar los entornos de TI de las empresas y se define como "...un marco para el control y la gestión de la información y la tecnología (T&I) de la empresa, dirigido a toda la organización". COBIT ofrece una gran cantidad de orientaciones, como guías de mejores prácticas, herramientas analíticas y modelos diseñados para ayudar a las organizaciones a garantizar que sus sistemas de TI sean efectivos, seguros y estén alineados con los objetivos empresariales.

¿Qué es COBIT?

La afirmación de que "COBIT es un marco para gestionar y controlar los entornos de TI de las empresas" probablemente significará cosas diferentes para cada persona. Por lo tanto, es importante entender mejor lo que esto significa, empezando por la diferencia entre control y gestión.

COBIT ofrece las siguientes definiciones como ayuda:

• "La gestión planifica, construye, ejecuta y monitorea las actividades, en alineación con la dirección establecida por el órgano de control, para alcanzar los objetivos de la empresa".
• "El control garantiza que se evalúen las necesidades, condiciones y opciones de las partes interesadas para determinar unos objetivos empresariales equilibrados y acordados. La dirección se establece mediante el establecimiento de prioridades y la toma de decisiones. El rendimiento y el cumplimiento se monitorean en función de la dirección y los objetivos acordados".

Fuente: ISACA (2018)

COBIT también ha evolucionado desde sus orígenes en 1996, con continuos cambios en sus raíces basadas en la auditoría a través de las siguientes versiones de COBIT:

• 1998 - Versión 2
• 2000 - Versión 3
• 2005 - Versión 4
• 2007 - Versión 4.1
• 2012 - COBIT 5
• 2018 - COBIT 2019

La actualización de COBIT 2019 en 2018 abordó las tendencias recientes en TI, incluida la nube, DevOps y Agile, la Internet de las cosas (IoT) y la integración y gestión de servicios (SIAM). También describió lo que COBIT no es, que COBIT:

• "No es una descripción completa de todo el entorno de T&I de una organización
• No es un marco para organizar los procesos empresariales
• No es un marco técnico (TI) para gestionar toda la tecnología
• No toma ni prescribe ninguna decisión relacionada con las TI".

Esta última versión de COBIT abarca varias áreas clave de la gestión de TI:

• Garantizar el funcionamiento de las TI
• Gestión efectiva de los costos y optimización del valor
• Alinear mejor las TI con el negocio
• Cumplimiento
• Evaluación comparativa.

El marco COBIT

COBIT 2019 organiza los objetivos y prácticas de control y gestión de TI en torno a un marco estructurado que incluye:

• Principios - COBIT ofrece un sistema de control y principios del marco, que proporcionan la base para las organizaciones que lo adopten. El sistema de control y los principios del marco se exponen más adelante.
• Objetivos de control y gestión - COBIT establece cinco objetivos de control y 35 objetivos de gestión. Sus agrupaciones y ejemplos se comparten más adelante.
• Componentes - COBIT ofrece siete componentes de control que describen cada objetivo de control y gestión. Estos componentes también se tratan más adelante.
• Cascada de objetivos - teste modelo vincula los objetivos empresariales de más alto nivel a los objetivos de control y gestión. A continuación se explica cómo hacerlo.
  
• Factores de diseño: COBIT proporciona un conjunto de factores de diseño para ayudar a las organizaciones a determinar qué elementos de COBIT son más relevantes. Estos factores de diseño se tratan en profundidad más adelante.
• Áreas de interés: existen publicaciones de orientación complementarias que ayudan a que COBIT sea relevante para áreas de interés específicas. Por ejemplo, Pequeñas y Medianas Empresas, DevOps, Seguridad de la Información y Riesgos de la Información y la Tecnología.
• Implementación: las metodologías de ISACA para COBIT incluyen procesos, plantillas e instrucciones para ayudar a las organizaciones a alcanzar sus objetivos de control y gestión.
• Gestión del rendimiento: hasta qué punto funciona bien el sistema de control y gestión y puede ser mejorado en caso necesario.

Las ventajas de utilizar COBIT

ISACA afirma que COBIT 2019 "...define los componentes para construir y mantener un sistema de control: procesos, políticas y procedimientos, estructuras organizativas, flujos de información, habilidades, infraestructura, cultura y comportamientos". Es un gran discurso de venta rápido, pero ¿cómo ayudará COBIT a su organización más allá de la mejora del control?

Los beneficios adicionales de la adopción de COBIT incluyen:

• Mejor alineación de las TI con los objetivos empresariales: cuando los procesos y proyectos de TI están alineados con los objetivos estratégicos de la organización, se obtienen mejores resultados empresariales y se toman mejores decisiones.
• Mayor entrega de valor: gracias a la mejora de la alineación empresarial, las organizaciones están mejor situadas para optimizar el valor derivado de las TI.
• Mayor confianza de las partes interesadas: con COBIT, las organizaciones de TI pueden demostrar mejor a las partes interesadas su compromiso con un control efectivo de las TI, aumentando así la confianza de las partes interesadas.
• Mayor eficiencia y efectividad: la estandarización y agilización de los procesos de TI mediante las mejores prácticas de COBIT ayuda a las organizaciones a mejorar sus operaciones de TI, lo que supone un ahorro de costos y una mejor utilización de los recursos.
• Mejora de la gestión de riesgos: COBIT ayuda a las organizaciones a minimizar los riesgos en la seguridad de la información, el cumplimiento y los procesos operativos mediante orientaciones sobre la identificación, evaluación y gestión de los riesgos relacionados con las TI.
• Mayor cumplimiento: COBIT ayuda a las organizaciones a cumplir las leyes, normativas y acuerdos contractuales pertinentes, reduciendo el riesgo de sanciones, problemas legales y daños a la reputación.
• Mejor seguridad de la información (InfoSec): COBIT proporciona controles y prácticas de InfoSec para mejorar la confidencialidad, integridad y disponibilidad de la información.

Así que ahí lo tiene, todo lo que necesita saber sobre el ciclo de vida de DevOps y canalización de DevOps.

Sistema de control de COBIT y principios del marco

Existen seis principios del sistema de gestión COBIT:

• Proporcionar valor a las partes interesadas: este principio hace hincapié en que las empresas existen para crear valor para sus partes interesadas, y el marco COBIT ayuda a garantizar que el control y la gestión de las TI empresariales contribuyan al valor general de las partes interesadas.
• Enfoque holístico: COBIT aboga por un enfoque integral del control y la gestión de las TI. Reconoce que varios componentes interrelacionados deben trabajar juntos de forma efectiva para lograr el éxito.
• Sistema de control dinámico: este principio reconoce la constante evolución de los entornos empresarial y de TI, lo que destaca la necesidad de un sistema de control flexible y adaptable.
• Control distinto de la gestión: COBIT separa el control de las actividades de gestión, definiendo el control como la responsabilidad de la junta directiva y de la dirección ejecutiva.
• Adaptado a las necesidades de la empresa: COBIT está diseñado para ser flexible y personalizable, lo que permite a las organizaciones adaptarlo a su contexto específico, incluidos su sector industrial, su apetito de riesgo y sus requisitos normativos.
• Sistema de control de extremo a extremo: este principio destaca la importancia de un sistema de control y gestión de extremo a extremo. Subraya la necesidad de que las TI se integren con los objetivos y procesos empresariales, garantizando que los servicios y soluciones de TI apoyen efectivamente las operaciones empresariales y contribuyan al éxito del negocio.

Estos principios de COBIT 2019 mejoran los cinco principios incluidos anteriormente en COBIT 5:

• Satisfacer las necesidades de las partes interesadas
• Cubrir la empresa de extremo a extremo
• Aplicar un único marco integrado
• Habilitar un enfoque holístico
• Separar el control de la gestión

También existen tres principios del marco de control COBIT:

• Basado en un modelo conceptual
• Abierto y flexible
• Alineado con las principales normas

Objetivos de control y gestión de COBIT

Como ya se ha mencionado, existen 40 objetivos de gestión COBIT. Estos objetivos abarcan los cinco ámbitos siguientes:

• Evaluar, dirigir y monitorear (EDM): se centra en el aspecto de control de la TI y hace hincapié en la evaluación del rendimiento de la TI, la alineación con los objetivos empresariales y el monitoreo de los procesos de TI para garantizar que aportan el valor esperado.
• Alinear, planificar y organizar (APO): cubre la alineación de las TI con la estrategia empresarial y garantiza que las funciones de TI se planifiquen y organicen para apoyar mejor los objetivos empresariales.
• Construir, adquirir e implementar (BAI): se ocupa de adquirir, desarrollar e implementar soluciones y servicios de TI.
• Entregar, dar servicio y asistencia (DSS): se centra en la entrega y la asistencia para servicios de TI y garantiza que se presten de forma que apoyen las operaciones empresariales y satisfagan las necesidades de los usuarios finales.
• Monitorear, evaluar y valorar (MEA): se centra en monitorear, evaluar y valorar el rendimiento y la conformidad de las TI. Esto incluye garantizar el cumplimiento de los requisitos internos y externos, evaluar el rendimiento de los procesos de TI y realizar auditorías y evaluaciones para identificar oportunidades de mejora

Algunos ejemplos de objetivos de gestión de cada una de estas áreas son:

• EDM01: Establecimiento y mantenimiento de un marco de control. El objetivo de EDM01 es garantizar que el marco de control de una organización se diseñe y mantenga efectivamente. Implica establecer y mejorar continuamente las estructuras, procesos y prácticas necesarios para un control efectivo de las TI, garantizando que se ajusten a los objetivos de la organización y a los requisitos de cumplimiento.
• APO01: Marco de gestión de la T&I gestionada. El propósito de APO01 es garantizar que una organización tenga un enfoque estructurado para gestionar sus actividades relacionadas con T&I. Esto implica el desarrollo de un marco de gestión que guíe la planificación, organización y control de los procesos de T&I. La atención se centra en la creación de un marco global alineado con las necesidades de la empresa y adaptable al cambio.
• BAI06: Cambios de TI gestionados. El propósito del BAI06 es establecer un enfoque estructurado para gestionar los cambios en el entorno de TI, garantizando que todos los cambios sean evaluados, aprobados, implementados y revisados para apoyar los objetivos estratégicos de la organización. Esto implica la planificación del cambio y la evaluación del impacto, la aprobación y la aplicación del cambio y las actividades de revisión posteriores a la implementación.
• DSS02: Gestión de solicitudes de servicio e incidentes. El objetivo de DSS02 es establecer y mantener un enfoque sistemático para gestionar y resolver las solicitudes de servicio y los incidentes. Esto implica la identificación de incidentes y la recepción de solicitudes de servicio, su clasificación, priorización, resolución, cumplimiento, su monitoreo y control.
• MEA03: Cumplimiento gestionado de los requisitos externos. El objetivo de MEA03 es establecer un enfoque global de la gestión del cumplimiento que abarque la identificación, evaluación y garantía del cumplimiento de los requisitos externos. Esto implica identificar los requisitos aplicables, evaluar el cumplimiento y abordar el incumplimiento.

Los siete componentes de COBIT

COBIT, al igual que ITIL 4, va más allá de los procesos. Ofrece otros seis "componentes", además de los procesos, para un control efectivo:

• Principios, políticas y marcos: ayudan a traducir los comportamientos deseados en orientaciones prácticas de gestión diaria, incluidos los principios generales de control y las políticas y prácticas que guían las operaciones de TI.
• Estructuras organizativas: definen los roles, responsabilidades y autoridad de toma de decisiones de los equipos de proyecto y los departamentos de servicios, pasando por los comités hasta la dirección ejecutiva, en el contexto del control y la gestión de las TI.
• Cultura, ética y comportamientos: estos elementos humanos son cruciales para un control y una gestión efectivas, e influyen en la forma de aplicar las políticas y los procesos.
• Información: el reconocimiento de que la información es un recurso clave para todas las organizaciones.
• Servicios, infraestructura y aplicaciones: los sistemas, la tecnología y las aplicaciones que proporcionan a una organización el procesamiento y los servicios de TI.
• Personas, habilidades y competencias: que los conocimientos, habilidades y competencias de las personas son esenciales para llevar a cabo procesos y actividades.

Factores de diseño de COBIT

COBIT 2019 introdujo los "factores de diseño" como parte de su sistema de control. Este cambio reconoce que no existe un enfoque único para la aplicación de marcos de control y gestión.

Los factores de diseño permiten a su organización adaptar el uso de COBIT a su contexto, necesidades y prioridades específicos. Esta capacidad hace que COBIT sea más flexible y efectivo.

En COBIT 2019 se comparten once factores de diseño. Cada uno de ellos aborda diferentes aspectos que influyen en cómo se estructura un sistema de control:

• Estrategia empresarial: la dirección y los objetivos generales de una organización, que influyen en la priorización y aplicación de las actividades de control y gestión de TI.
• Objetivos de la empresa: los objetivos mensurables que pretende alcanzar una organización (que ayudan a alinear las iniciativas de TI con los objetivos del negocio).
• Perfil de riesgo: los tipos y niveles de riesgo que una organización está dispuesta a aceptar para perseguir sus objetivos, lo que influye en las prácticas de control y gestión que mitigan los riesgos.
• Cuestiones relacionadas con la T&I: los retos y problemas actuales del entorno de TI de una organización que deben abordarse.
• Panorama de amenazas: las amenazas externas e internas a los activos de T&I de una organización, que requieren respuestas específicas de control y gestión.
• Requisitos de cumplimiento: las obligaciones legales, reglamentarias y contractuales que debe cumplir una organización, y que determinan las prácticas de control necesarias para garantizar el cumplimiento.
• Rol de las TI: el rol que desempeñan las TI dentro de una organización, ya sea como proveedor de servicios, facilitador del negocio o socio estratégico. Esta perspectiva afecta a la estructura y los objetivos del control de las TI.
• Modelo de contratación de TI: cómo se prestan los servicios de TI, ya sea internamente, externalizados o mediante un modelo híbrido. Esto también influye en las estructuras y procesos de control.
• Métodos de implementación de TI: cómo aborda una organización la implementación de soluciones y cambios de TI en su entorno. Abarca las metodologías, prácticas y procesos utilizados para gestionar proyectos de TI, desde la adopción de nuevas tecnologías hasta la mejora o sustitución de sistemas existentes.
• Estrategia de adopción de tecnología: enfoque de una organización para adoptar nuevas tecnologías, influyendo en las prácticas de control para apoyar la innovación al tiempo que se gestionan los riesgos.
• Tamaño de la empresa: el tamaño de una organización, que influye en la complejidad y la escalabilidad del sistema de control que debe implementarse.

Es importante destacar que los factores de diseño pueden hacer que algunos objetivos de control y gestión de COBIT sean más críticos que otros o requieran variantes específicas.

COBIT no es el único enfoque de control de TI

Además de COBIT, hay otros organismos de buenas prácticas a tener en cuenta, por ejemplo:

• ITIL (antes conocida como Biblioteca de Infraestructura de Tecnologías de la Información): ITIL es un enfoque popular de la gestión de servicios y la gestión de servicios de TI (ITSM), que proporciona un conjunto de mejores prácticas para la prestación de servicios y asistencia
• ISO/IEC 38500: ISO/IEC 38500 es la norma internacional para el control corporativo de las TI. Proporciona un marco para el uso efectivo, eficiente y aceptable de las TI en las organizaciones.
• TOGAF (marco de arquitectura de Open Group): TOGAF es un marco de arquitectura empresarial que proporciona un enfoque para el diseño, la planificación, la implementación y el control de una arquitectura de tecnología de la información empresarial. No es estrictamente un marco de control de TI. Sin embargo, respalda el control de TI garantizando que la estrategia de TI esté estrechamente alineada con las metas y objetivos empresariales.

COBIT frente a ITIL

No se trata de elegir COBIT o elegir ITIL, o abandonar ITIL para adoptar COBIT. Por tanto, no es una situación de "COBIT contra ITIL". En cambio, COBIT se integra con otros marcos y normas de gestión de TI del sector, como ITIL, la familia de normas ISO y TOGAF (según el tercer principio del marco de control de COBIT).

Por tanto, adoptar COBIT no consiste en sustituir lo que su organización tiene actualmente. En cambio, puede utilizarse conjuntamente para mejorar las operaciones y los resultados del negocio. COBIT e ITIL siempre se han complementado, y las actualizaciones más recientes de ambos marcos lo refuerzan. Hay algunas similitudes de alto nivel. Por ejemplo, ambos marcos se centran en transformar las necesidades de las partes interesadas en el valor, y están diseñados para adaptarse a las necesidades de la organización.

También hay similitudes a menor nivel. Al fin y al cabo, ambos están diseñados para ayudar en la gestión de TI. Si ya está familiarizado con ITIL, entonces estos dos objetivos de gestión de COBIT serán reconocibles en términos de prácticas similares de ITIL 4:

• DSS02: Gestión de solicitudes de servicio e incidentes: ayuda para garantizar que los incidentes de TI y las solicitudes de servicio se resuelvan a tiempo.
• BAI06: Cambios de TI gestionados: ayuda a que los cambios de TI lleguen a la empresa de forma eficiente y efectiva.

Tres cambios adicionales de COBIT 2019

Es importante comprender el paso de COBIT 5 a COBIT 2019, sobre todo porque cualquier búsqueda en Google relacionada con COBIT puede seguir devolviendo contenido de COBIT 5. Muchos de los cambios de versión se incluyen en esta entrada del blog, aunque puede que no haya una comparación "antes y ahora":

• Los seis principios del sistema de control de COBIT 2019 mejoraron los cinco principios incluidos en COBIT 5.
• COBIT 2019 tiene los mismos cinco objetivos de control y gestión de alto nivel que COBIT 5, pero ahora hay 40 objetivos detallados en lugar de 37. Los Datos Gestionados son nuevos, y dos procesos de los objetivos de COBIT 5 se han dividido en dos: Gestionar Programas y Proyectos en "Programas Gestionados" y "Proyectos Gestionados" y Monitorear, Evaluar y Valorar el Sistema de Control Interno en "Sistema Gestionado de Control Interno" y "Aseguramiento Gestionado".
• Los once factores de diseño son nuevos en COBIT 2019.
• Los siete "componentes" de COBIT se denominaron "habilitadores" en COBIT 5.

También hay tres cambios clave adicionales entre COBIT 5 y COBIT 2019:

• El portafolio de COBIT 2019 incluye una nueva Guía de Diseño y una Guía de Implementación actualizada para ayudar con la adopción de COBIT
• COBIT 2019 introdujo el modelo COBIT Gestión de Rendimiento (CPM) basado en CMMI. Utilizando la CPM, una organización puede puntuar sus procesos de control y gestión de 0 a 5. El nuevo mecanismo de puntuación difiere de la puntuación de COBIT 5: el nivel 2 es ahora el nivel básico, y los niveles 3 y superiores son más avanzados.
• ISACA introdujo un modelo de "código abierto" para COBIT. Esto significa que los usuarios de COBIT pueden aportar comentarios y proponer mejoras para futuras versiones.