¿Qué es COBIT?

COBIT nace con la misión de investigar, desarrollar, publicar y promover un conjunto de objetivos de control de tecnología de información, guías, actualizados, internacionales y aceptados para ser utilizados diariamente por gerentes de negocio y auditores.

Su misión es consolidarse como líder mundialmente reconocido en materia de gobierno, control y aseguramiento de la gestión de TI.

En 1992 comenzó la actualización de los objetivos de control de ISACA y, en 1996, ISACA proporcionó a los profesionales de TI un marco de prácticas control de la TI generalmente aplicables y aceptadas.

La evolución de COBIT:

1. COBIT1 (1996): Audit
2. COBIT2 (1998): Control
3. COBIT3 (2000): Management
4. COBIT4 (2005/2007): IT Governance
   • Val IT 2.0
   • Risk IT
5. COBIT5 (2012): Governance of Enterprise IT

En respuesta a las necesidades actuales, COBIT ha evolucionado desde una herramienta para auditoría a un marco de buen gobierno de TIC, con la publicación de COBIT 4, en el año 2005, y COBIT 5, en 2012.

COBIT 4

Partiendo de la premisa de que IT necesita entregar la información que la organización necesita para alcanzar sus objetivos, COBIT promueve el enfoque de procesos y propiedad/responsabilidad de procesos. Divide IT en 34 procesos, que se incluyen en 4 dominios, que proporcionan objetivos de control de alto nivel.

COBIT ayuda a cubrir las necesidades fiduciarias, de calidad y seguridad de las organizaciones, proporcionando siete criterios de información que se pueden utilizar para definir genéricamente lo que la empresa requiere de TI.

Finalmente, para cumplir sus objetivos, se apoya en un conjunto de más de 300 objetivos de control detallados.

La gerencia de negocio requiere cumplir con los objetivos marcados, y para ello, necesita que las IT garanticen unos niveles óptimos de la información, al menos en los siguientes requisitos:

Para ello, las IT cuentan con un conjunto de recursos, clasificados en:

1. Aplicaciones: entendido como la suma de las funciones de procedimientos manuales y programados que procesan la información.
2. Información: datos en todas sus formas (insumos, procesados, salidas de los sistemas de información) que sean utilizados por el negocio.
3. Infraestructura: tecnología y entorno (hardware, sistemas operativos, bases de datos, redes, multimedia, etc.) que posibilitan el funcionamiento de las aplicaciones.
4. Personas: habilidades, conocimientos y productividad del personal, tanto para personal interno como para el contratado.

Finalmente, es necesario normalizar la actividad de IT a través de procesos propuestos por COBIT, agrupados en los siguientes dominios:

1. Planificar y organizar (PO).
2. Adquirir e implementar (AI).
3. Entregar y dar soporte (ES).
4. Evaluar y monitorear (M).

COBIT 4 se estructura en 4 dominios, éstos incluyen los 34 procesos necesarios para gobernar las IT, y para cada proceso se describen las actividades o tareas detalladas que permiten cumplir con los objetivos y la finalidad de cada proceso.

Orientación a procesos

Cada proceso, en el ámbito de las IT, debe ser definido formalmente, indicando y describiendo las actividades principales y sub-actividades, la información de entrada necesaria y el resultado esperado del proceso.

Para un correcto control de cada proceso, se deben definir los siguientes elementos:

1. Responsable del proceso: quien responde por el proceso a la gerencia.
2. Metas del proceso: son los KGI definidos.
3. Objetivos de control e indicadores clave de desempeño: son los KPI definidos para cada proceso.

Planificación y organización (PO)

Este dominio abarca la estrategia y la táctica, y se vincula con la identificación de la forma en que la tecnología de información puede contribuir más adecuadamente con el logro de los objetivos de negocio. Además, es preciso planificar, comunicar y administrar la realización de la visión estratégica desde distintas perspectivas. Por último, debe existir una correcta organización e infraestructura tecnológica.

Este domino responde a las siguientes preguntas:

1. ¿IT y la estrategia de negocio están alineadas?
2. ¿La organización está alcanzando un uso óptimo de sus recursos?
3. ¿Todos los miembros de la organización comprenden los objetivos de IT?
4. ¿Los riesgos de IT son comprendidos y administrados?
5. ¿La calidad de los sistemas de IT es apropiada para las necesidades del negocio?

Los procesos definidos para este dominio son los siguientes:  

1. PO1. Definición de un plan estratégico de TI.
2. PO2. Definición de la arquitectura de información.
3. PO3. Determinación de la dirección tecnológica.
4. PO4. Definición de la organización y relaciones de TI.
5. PO5. Administrar las inversiones de TI.
6. PO6. Comunicación de los objetivos y expectativas de la gerencia.
7. PO7. Administración de los recursos humanos.
8. PO8. Garantía del cumplimiento de requisitos externos.
9. PO9. Evaluación de riesgos.
10. PO10. Administración de proyectos.
11. PO11. Administración de la calidad.

Adquirir e implementar (AI)

Para realizar la estrategia de TI, deben identificarse, desarrollarse o adquirirse soluciones de TI y luego implementarse e integrarse en el proceso de negocio. Además, este dominio abarca los cambios y el mantenimiento de los sistemas existentes para garantizar que el ciclo de vida perdure para estos sistemas.

Este domino responde a las siguientes preguntas:

1. ¿Los nuevos proyectos son capaces de entregar soluciones que cumplan con las necesidades del negocio?
2. ¿Los nuevos proyectos son capaces de desarrollarse de acuerdo con los cronogramas y presupuestos establecidos?
3. ¿Los nuevos sistemas operan adecuadamente una vez que se implementan?
4. ¿Se realizan cambios sin considerar el impacto y configuración actual de las operaciones del negocio?
5. ¿La calidad de los sistemas de IT es apropiada para las necesidades del negocio?

Los procesos definidos para este dominio son los siguientes:

1. AI1. Identificación de soluciones.
2. AI2. Adquisición y mantenimiento de software de aplicación.
3. AI3. Adquisición y mantenimiento de la arquitectura tecnológica.
4. AI4. Desarrollo y mantenimiento de TI.
5. AI5. Instalación y acreditación de sistemas.
6. AI6. Administración de cambios.

Entregar y dar soporte (ES)

Este dominio se ocupa de la entrega o prestación eficaz de los servicios requeridos, que comprenden desde las operaciones tradicionales sobre aspectos de seguridad y continuidad, hasta la capacitación. Para prestar los servicios, deben establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento real de los datos por los sistemas de aplicación, a menudo clasificados como controles de aplicaciones.

Este domino responde a las siguientes preguntas:

1. ¿Los servicios de TI están siendo entregados en línea con las prioridades del negocio?
2. ¿Los costos de TI son optimizados?
3. ¿Los sistemas de TI son utilizados en forma productiva y segura por parte de los miembros de la organización?
4. ¿Se cuenta con una adecuada confidencialidad, integridad y disponibilidad a nivel de las tecnologías de información?

Los procesos definidos para este dominio son los siguientes:

1. ES1. Definición de niveles de servicio.
2. ES2. Administrar servicios prestados por terceros.
3. ES3. Administración de capacidad y desempeño.
4. ES4. Garantía de servicio continuo.
5. ES5. Garantía de seguridad de los sistemas.
6. ES6. Identificación y asignación de costos.
7. ES7. Educación y entrenamiento de usuarios.
8. ES8. Apoyo y asistencia a los clientes de TI.
9. ES9. Administración de la configuración.
10. ES10. Administración de problemas e incidentes.
11. ES11. Administración de datos.
12. ES12. Administración de las instalaciones.
13. ES13. Administración de las operaciones.

Evaluar y monitorizar (M)

Es preciso evaluar regularmente todos los procesos de TI, a medida que transcurre el tiempo, para determinar su calidad y el cumplimiento de los requerimientos de control. De este modo, este dominio corresponde a la vigilancia de la función gerencial sobre los procesos de control de la organización y la garantía independiente provista por la auditoría interna y externa, u obtenida de fuentes alternativas.

Este domino responde a las siguientes preguntas:

1. ¿Se mide el desempeño de TI para detectar problemas antes de que sea demasiado tarde?
2. ¿La administración se asegura que los controles internos sean efectivos y eficientes?
3. ¿Es posible establecer la relación entre el desempeño de TI y las metas del negocio?
4. ¿Existen mecanismos para medir y reportar los riesgos, el control, cumplimiento y desempeño de TI?

Los procesos definidos para este dominio son los siguientes:

1. M1. Monitoreo de procesos.
2. M2. Evaluación del control interno.
3. M3. Obtención de certificación independiente.
4. M4. Provisión de auditoría independiente.

Una necesidad básica de toda empresa es entender el estado de sus propios sistemas de IT y decidir qué nivel de administración y control debe proporcionar. Para decidir el nivel correcto, la gerencia debe preguntarse: ¿hasta dónde debemos ir? ¿Está el costo justificado por el beneficio?

Las empresas deben medir dónde se encuentran y dónde se requieren mejoras e implementar un juego de herramientas gerenciales para monitorear esta mejora.

COBIT atiende estos temas a través de:

1. Modelos de madurez que facilitan la evaluación por medio de benchmarking y la identificación de las mejoras necesarias en la capacidad.
2. Metas y mediciones de desempeño para los procesos de IT, que demuestran cómo los procesos satisfacen las necesidades del negocio y de TI, y cómo se usan para medir el desempeño de los procesos internos basados en BSC.
3. Metas de actividades para facilitar el desempeño efectivo de los procesos.

El modelo de madurez para la administración y el control de los procesos de TI se basa en un método de evaluación de la organización de tal forma que se pueda evaluar a sí misma, desde un nivel de no-existente (0) hasta un nivel de optimizado (5). Este enfoque se deriva del modelo de madurez que el Software Engineering Institute definió para la madurez de la capacidad del desarrollo de software.

Cualquiera que sea el modelo, las escalas no deben ser demasiado granulares, ya que eso haría que el sistema fuera difícil de usar y sugeriría una precisión que no es justificable debido a que, en general, el fin es identificar dónde se encuentran los problemas y cómo fijar prioridades para las mejoras.

Los niveles de madurez están diseñados como perfiles de procesos de TI que una empresa reconocería como descripciones de estados posibles actuales y futuros. No están diseñados para ser usados como un modelo limitante, donde no se puede pasar al siguiente nivel superior sin haber cumplido todas las condiciones del nivel inferior.

Con los modelos de madurez de COBIT, a diferencia de la aproximación del CMM original de SEI, no hay intención de medir los niveles de forma precisa o probar a certificar que un nivel se ha conseguido con exactitud. Una evaluación de la madurez de COBIT resultara en un perfil donde las condiciones relevantes a diferentes niveles de madurez se han conseguido.

Esto se debe a que cuando se emplea la evaluación de la madurez con los modelos de COBIT, a menudo algunas implementaciones estarán en diferentes niveles, aunque no esté completa o suficiente.

Utilizando los modelos de madurez desarrollados para cada uno de los 34 procesos IT de COBIT, la gerencia podrá identificar:

1. El desempeño real de la empresa. Dónde se encuentra la empresa hoy.
2. El estatus actual de la industria. La comparación.
3. El objetivo de mejora de la empresa. Dónde desea estar la empresa.