Cobit 5 es un marco de referencia para el gobierno y gestión de las tecnologías de la información creado por ISACA e ITGI. El documento explica que Cobit 5 está basado en cinco principios como satisfacer las necesidades de los interesados y cubrir la empresa de extremo a extremo. Describe los cinco dominios del modelo de referencia de Cobit 5, incluyendo el nuevo dominio para el gobierno de TI llamado "Evaluar, dirigir y monitorear". También resume los cambios en el modelo de madurez de procesos de Cob
1. UNIVERSIDAD LAICA “ELOY ALFARO DE MANABÍ”
FACULTAD DE CIENCIAS INFORMÁTICAS
PERTENECE A:
VILLEGAS ZAMBRANO EDGAR JONATHAN
DOCENTE:
ING. BECQUER BRIONES
MATERIA:
EVALUACION Y AUDITORIA DE SISTEMAS
CURSO:
NOVENO NIVEL
FECHA
31 JULIO 2015
2. COBIT 5
Su sigla en inglés se refiere a Control Objectives for Information and Related
Technology y es un conjunto de mejores prácticas para el manejo de información
creado por la Asociación para la Auditoría y Control de Sistemas de Información
(ISACA), y el Instituto de Administración de las Tecnologías de la Información
(ITGI) en 1992.
Cobit es un marco de referencia para la dirección de IT, asi como también de
herramientas de soporte que permite a la alta dirección reducir la brecha entre
las necesidades de control, cuestiones técnicas y los riesgos del negocio. Cobit
permite el desarrollo de políticas claras y buenas prácticas para el control de TI
en las organizaciones. Cobit enfatiza el cumplimiento normativo, ayuda a las
organizaciones a aumentar el valor obtenido de TI, facilita su alineación y
simplifica la implementación del marco de referencia de Cobit.
Abril de 2012la InformationSystems Audit and ControlAsociation (ISACA) publicó
Cobit 5, que integra Val IT, Risk IT, BMIS (Business Model for Information Security)
e ITA (IT Assurance Framework), también desarrollados y publicados por ISACA,
además de considerar para sus procesos otros estándares internacionales,
mejores prácticas y marcos de referencia como COSO, ISO-9000, ISO-31000, ISO-
38500, ITIL, TOGAF y la familia ISO-27000, entre otros. En este artículo explicaré
en qué consisten las principales diferencias y su nuevo modelo de procesos.
Esta nueva versión de Cobit fue desarrollada para ayudar a organizaciones de
todos los tamaños y de cualquier sector a obtener el valor óptimo de las
tecnologías de información, tratando de satisfacer las necesidades de los
3. interesados internos y externos mediante la creación de valor para la empresa a
través de TI (tecnologías de información), con un enfoque de gestión holística de
extremo a extremo, cumpliendo de mejor manera con leyes, regulaciones,
políticas, y basándose en buenas prácticas internacionales.
Cobit 5 está enfocado en el gobierno empresarial de las tecnologías de
información, a diferencia de su antecesor, enfocado principalmente al gobierno
de TI. A continuación listo las áreas que presentan los cambios principales, para
posteriormente explicar en qué consiste cada uno:
1. Cinco principios.
2. Dominio “Evaluar, dirigir y monitorear”.
3. Modelo de referencia de procesos.
4. Modelo de madurez de procesos.
.
El propósito de Cobit es brindar a la Alta Dirección de una compañía confianza
en los sistemas de información y en la información que estos
produzcan. Cobitpermite entender como dirigir y gestionar el uso de tales
sistemas así como establecer un codigo de buenas practicas a ser utilizado por
los proveedores de sistemas. Cobit suministra las herramientas para supervisar
todas las actividades relacionadas con IT.
Veamos que ventajas ofrece Cobit:
Cobit es un marco de referencia aceptado mundialmente de gobierno IT
basado en estándares y mejores prácticas de la industria. Una vez implementado,
es posible asegurarse de que IT se encuentra efectivamente alineado con las
metas del negocio, y orientar su uso para obtener ventajas competitivas.
4. Suministra un lenguaje común que le permite a los ejecutivos de negocios
comunicar sus metas, objetivos y resultados con Auditores, IT y otros
profesionales.
Proporciona las mejores prácticas y herramientas para monitorear y
gestionar las actividades de IT. El uso de sistemas usualmente requiere de una
inversión que necesita ser adecuadamente gestionada.
Ayuda a los ejecutivos a entender y gestionar las inversiones en IT a través
de sus ciclo de vida, así como también proporcionándoles métodos para
asegurarse que IT entregara los beneficios esperados.
La diferencia entre compañías que gestionan adecuadamente sus recursos IT y
las que no es enorme. Cobit permite el desarrollo de políticas claras y buenas
prácticas para la gestión de IT. Su marco de referencia permite gestionar los
riesgos de IT y asegurar el cumplimiento, la continuidad, seguridad y privacidad.
Al ser Cobit reconocida y aceptada internacionalmente como una herramienta de
gestión, su implementación es un indicativo de la seriedad de una organización.
Ayuda a Empresas y profesionales de IT a demostrar su competitividad ante las
demás compañías. Así como existen procesos genéricos de muchos tipos de
negocios, existen estándares y buenas practicas específicos para IT que deben
seguirse por las compañías cuando se soportan en IT, en donde Cobit agrupa
tales estándares y entrega un marco de referencia para su implementación y
gestión.
Una vez se identifican e implementan los principios relevantes de Cobit para una
compañía, se obtiene plena confianza en que todos los recursos de sistemas estan
siendo gestionados efectivamente.
5. Que resultados se obtienen al implementar Cobit? Veamos:
El ciclo de vida de costos de IT será mas transparente y predecible.
IT entregara información de mayor calidad y en menor tiempo.
IT brindara servicios con mayor calidad y todos los proyectos apoyados en
IT serán mas exitosos.
Los requerimientos de seguridad y privacidad serán más fácilmente
identificados, y su implementación podrá ser mas fácilmente monitoreada.
Todos los riesgos asociados a IT serán gestionados con mayor efectividad.
El cumplimiento de regulaciones relacionadas a IT serán una práctica
normal dentro de su gestión.
El marco de referencia Cobit en su versión 4 (a Julio de 2010),incluye lo siguiente:
Marco de referencia: explica como Cobit organiza la Gestión de IT, los
objetivos de control y buenas practicas del negocio por dominios y procesos de
IT, relacionándolos directamente con los requerimientos del negocio. Este marco
de referencia contiene un total de 34 niveles de objetivos de control, uno por
cada proceso de IT, agrupados en cuatro dominios: Planeamiento y Organización,
Adquisición e Implementación, Desarrollo y Soporte y Monitoreo y Evaluación
(Que tal la coincidencia con el ciclo PHVA de las Normas ISO?)
Descripción de procesos: Incluida para cada uno de los 34 procesos de IT,
cubriendo todas las áreas y responsabilidades de IT de principio a fin.
6. Objetivos de Control: Suministra objetivos de gestión basados en las
mejores prácticas para los procesos de IT.
Directrices de Gestión: Incluye herramientas para ayudar a asignar
responsabilidades y medir desempeños.
Modelos de madurez: proporciona perfiles de los procesos de IT
describiendo para cada uno de ellos un estados actual y uno futuro.
1. Los cinco principios
Cobit 5 está basado en cinco principios:
Satisfacer las necesidades de los interesados.
Cubrir la empresa de extremo a extremo.
Aplicar un solo marco integrado.
Habilitar un enfoque holístico.
Separar gobierno de administración.
.
Principio 1 (abarcar las necesidades de los interesados): los indicadores clave de
metas y de proceso, (KGI y KPI, por sus siglas en inglés), que finalmente traducen
las necesidades de los interesados, internos y externos, se transformaron en una
estrategia empresarial llamada “cascada de metas”, que comienza con las metas
de la empresa, continúa con las metas relacionadas de TI, que a su vez recaen en
lo que Cobit llama “habilitadores”, y finalmente se alcanzan al desarrollar las
actividades de las metas.
7. Este esquema de cascada de metas, basado en mapeos y tablas provistas por
Cobit 5, proporciona una guía orientadora para establecer un vínculo coherente
y consistente que permita traducir las necesidades de todos los interesados del
negocio en objetivos específicos de la empresa, que dan origen a objetivos de TI
y a objetivos facilitadores.
.
Principio 2 (cubrir la empresa de extremo a extremo): considera todas las
funciones y procesos dentro de la organización. Cobit 5 no se centra solo en el
gobierno de TI, pues ahora considera la información y las tecnologías
relacionadas como activos que deben ser tratados como cualquier otro.
¿Y cómo lo hace? Gestionando TI como si fuera una empresa, tomando en
consideración los requerimientos para la estrategia, táctica y operación;
integrando de esta forma el gobierno empresarial de TI en el gobierno
corporativo.
.
Principio 3 (aplicar un solo marco integrado): para cumplir con este principio,
Cobit incorpora los estándares y marcos más relevantes de la industria:
COSO (Committee of Sponsoring Organizations of the Treadway
Commission), que ha sido reconocido como un marco apropiado y
exhaustivo para el control interno.
ISO/IEC 9000, estándar para el control de calidad en procesos
empresariales.
ISO/IEC 31000, estándar de administración de riesgos, principios y
directrices, la cual tiene como objetivo ayudar a las organizaciones de todo
tipo y tamaño a gestionar los riesgos empresariales con efectividad.
8. ISO-38500, estándar para el gobierno corporativo de TI.
ITIL, mejores prácticas para servicios de TI con un enfoque de procesos de
TI.
The Open Group Architecture Framework (TOGAF), que proporciona un
enfoque para el diseño, planificación, implementación y gobierno de una
arquitectura empresarial de información.
La familia ISO-27000, enfocada en el tema de seguridad informática con el
establecimiento de un sistema de gestión de seguridad de la información
(SGSI) y los controles asociados.
La idea de contar con todo lo anterior es que las empresas utilicen Cobit como
un marco integrador de gobierno y administración de TI.
.
Principio 4 (habilitar un enfoque holístico): en esta nueva versión se introducen
los habilitadores, que son factores mínimos a cumplir para que el gobierno y la
administración empresarial de TI funcionen de manera correcta al ayudar a
optimizar la información, la inversión en tecnología y su uso para el beneficio de
todos los interesados. Se habla de un enfoque holístico porque los habilitadores
introducidos caen en siete categorías diferentes:
10. 6. Servicios, infraestructura y aplicaciones. Incluyen la infraestructura,
tecnología y aplicaciones que proporcionan a la empresa servicios y
procesamiento de la información.
7. Personas, habilidades y competencias. Son necesarios para completar con
éxito todas las actividades. En este sentido, Cobit incluye una matriz RACI
para todos sus procesos, considerando de manera genérica una base de
perfiles de puestos bastante completa.
.
Principio 5 (separar gobierno de administración): Cobit 5 reconoce que estas dos
disciplinas incluyen tipos de actividades y estructuras organizacionales diferentes,
que sirven para diferentes propósitos. El gobierno es responsabilidad de la junta
directiva, mientras que la administración es responsabilidad de la alta
administración, bajo el liderazgo del CEO. Por eso se agregó un dominio
particular enfocado a gobierno y se actualizaron los cuatro que ya tenía para la
administración.
.
2. Dominio “Evaluar, dirigir y monitorear”
El pentagrama de gobierno de TI, que era un pilar en Cobit 4.1, se transformó en
el nuevo dominio “Evaluar, dirigir y monitorear”, que contiene cinco áreas de
enfoque del gobierno de TI:
1. Alineación estratégica se convirtió en el proceso número uno de este
nuevo dominio: “definir y mantener el marco de gobierno”, mediante
políticas y prácticas de evaluación y dirección de procesos.
2. Entrega de valor quedó como el proceso dos “Garantizar la entrega de
beneficios”.
11. 3. Administración de recursos evolucionó en el proceso cuatro (“Garantizar
la optimización de los recursos”).
4. Administración de riesgos es ahora el proceso tres correspondiente a
“Asegurar la optimización de los niveles de riesgos”.
5. Medición del desempeño, finalmente, corresponde ahora al proceso cinco
“Asegurar la transparencia para los interesados”.
.
3. Modelo de referencia de procesos
El nuevo modelo de referencia se basa en cinco dominios, con uno enfocado,
como ya lo he mencionado antes, exclusivamente a la gobernabilidad. Los otros
cuatro se enfocan a la administración y prácticamente son los mismos de Cobit
4; sin embargo, cambia el número y contenido de sus procesos por lo que
también cambia el número de los objetivos de control de alto nivel, los cuales de
ser treinta y cuatro ahora se convierten en treinta y siete. Y como dicen que una
imagen dice más que mil palabras, a continuación muestro el nuevo modelo:
13. 0. Proceso incompleto
1. Proceso desarrollado.
2. Proceso administrado.
2.1 Administración del desempeño.
2.2 Administración del producto del trabajo.
3. Proceso establecido
3.1 Definición del proceso.
3.2 Desarrollo del proceso.
4. Proceso predecible.
4.1 Administración del proceso.
4.2 Control del proceso.
5. Proceso optimizado.
5.1 Proceso de innovación.
5.2 Optimización del proceso.
Según indica ISACA, Cobit 5 es la mayor evolución estratégica de Cobit y
representa el único marco de trabajo globalmente aceptado para el gobierno de
TI que brinda a los interesados la guía más completa y actualizada para una mejor
administración.
Sin embargo, desde mi punto de vista, el proceso de migración hacia Cobit 5
tiene cierta complejidad para aquellas organizaciones que han implementado
oportunamente Cobit 4, debido principalmente a que los niveles de madurez en
esta nueva versión no corresponden a los anteriores. Por otra parte, aquellas
14. instituciones que pretendan implantar Cobit 5 “desde cero” estarán planteando
un proyecto complejo que deberán planear minuciosamente para tener éxito.
Ya sea para migrar o implantar Cobit 5 es recomendable establecer un proyecto
basado en fases, estableciendo los objetivos empresariales y utilizando los
apéndices B, C y D, para mapearlos a los objetivos y procesos de TI. Las fases
deben responder a las preguntas ¿Dónde estamos ahora?, ¿dónde queremos
estar?, ¿qué necesitamos hacer?, ¿cómo logramos estar donde queremos?, y
¿cómo sabemos que ya lo logramos?, siendo fundamental establecer el nivel de
cumplimiento de métricas y un proceso de mejora continua.