Cobit 4.1 Vs Cobit 5

Cobit 4.1 vs.
Cobit 5
Anlisis comparativo del nuevo marco COBIT.

El presente documento constituye un anlisis comparativo de las dos ltimas
versiones de COBIT, ejercicio de un proceso y la lista de verificacin
correspondiente bajo el nuevo enfoque.

2013
Freddy Esparza Jos Luis Garca Daniel Guerrn Benalczar - Leopoldo Venegas
ESCUELA POLITCNICA DEL EJRCITO
01/04/2013
Cobit 4.1 vs. Cobit 5

Pgina 2

Tabla de contenido
Antecedentes................................................................................................................................. 3
Comparacin COBIT 4.1 vs. COBIT 5. .............................................................................................. 4
Caractersticas Cobit 4.1. ............................................................................................................ 4
Caractersticas Cobit 5. ............................................................................................................... 4
Figura 4. Procesos del Gobierno de TI ......................................................................................... 8
Diferencias y Semejanzas Cobit 4.1 vs. Cobit 5............................................................................ 8
Ejercicio con Objetivo de Control. ................................................................................................ 10
ADQUIRIR E IMPLEMENTAR - Administrar los Cambios (COBIT 4.1) ........................................... 10
AI6 Administrar Cambios ......................................................................................................... 10
DESCRIPCIN DEL PROCESO. .................................................................................................... 10
CONSTRUIR, ADQUIRIR E IMPLEMENTAR Gestionar los Cambios (COBIT 5). .......................... 15
Lista de Verificacin (Construir, Adquirir e Implementar Gestionar los Cambios). ...................... 18
Conclusiones. ............................................................................................................................... 22
Recomendaciones. ....................................................................................................................... 23
ANEXO 1. MAPEO COBIT 4.1 Y COBIT 5. ........................................................................................ 24
ANEXO 2. VENTAJAS Y DESVENTAJAS COBIT 4.1 Y COBIT 5. .......................................................... 26
ANEXO 3. FUENTES DE CONSULTA. .............................................................................................. 28


Pgina 3

Antecedentes.
Con objeto de introducirnos en el tema antes de realizar la comparacin se ha encontrado
importante citar varios conceptos y antecedentes.
COBIT es el acrnimo de Control Objectives for Information and related Technology en espaol
Objetivos de Control para tecnologa de la informacin y relacionada)
Es un modelo para el Gobierno de la TI desarrollado por la Information Systems Audit and Control
Association (ISACA) y el IT Governance Institute (ITGI), Tiene varios objetivos a nivel alto que
cubren lineamientos de control clasificados en varios dominios como Planificacin, Organizacin,
Adquisicin, Entrega, Supervisin y Evaluacin
Enfatiza el cumplimiento normativo, ayuda a las organizaciones a incrementar el valor de TI.,
apoya el alineamiento con el negocio y simplifica la implantacin del COBIT. Esta versin no
invalida el trabajo efectuado con las versiones anteriores del COBIT, sino que mejora el trabajo
hecho.
Representa los esfuerzos de literalmente cientos de expertos de voluntario de en el mundo
entero. Es un marco de gobernacin TI que permite a gerentes acortar el hueco entre exigencias
de control, cuestiones tcnicas y riesgos de negocio. COBIT permite el desarrollo claro de poltica y
la prctica buena para el control de TI en todas partes de organizaciones.
Con el avance progresivo de sus lineamientos acenta el cumplimiento regulador, ayuda a
organizaciones a aumentar el valor logrado de TI, permite la alineacin y simplifica la puesta en
prctica del marco COBIT. Esto no invalida el trabajo hecho basado en las versiones ms
tempranas de COBIT, pero en cambio puede ser usado realzar el trabajo ya hecho basado sobre
aquellas versiones ms tempranas. Cuando actividades principales son planeadas para iniciativas
de gobernacin TI, o cuando una revisin y reparacin del marco de control de la empresa es
esperada (prevista), le recomiendan comenzar fresco con COBIT 4.0. COBIT 4.0 actividades de
regalos en una manera ms dinamizada y prctica tan la mejora continua de la gobernacin TI es
ms fcil que alguna vez para alcanzar.
Independientemente de la realidad tecnolgica de cada caso concreto, COBIT determina, con el
respaldo de las principales normas tcnicas internacionales, un conjunto de mejores prcticas para
la seguridad, la calidad, la eficacia y la eficiencia en TI que son necesarias para alinear TI con el
negocio, identificar riesgos, entregar valor al negocio, gestionar recursos y medir el desempeo, el
cumplimiento de metas y el nivel de madurez de los procesos de la organizacin.
Proporciona a gerentes, interventores, y usuarios TI con un juego de medidas generalmente
aceptadas, indicadores, procesos y las mejores prcticas para ayudar a ellos en el maximizar las
ventajas sacadas por el empleo de tecnologa de informacin y desarrollo de la gobernacin
apropiada TI y el control en una empresa.

Pgina 4

Proporciona adems ventajas a gerentes, TI usuarios, e interventores. Los gerentes se benefician
de COBIT porque esto provee de ellos de una fundacin sobre cual TI las decisiones relacionadas e
inversiones pueden estar basadas. La toma de decisiones es ms eficaz porque COBIT ayuda la
direccin en la definicin de un plan de TI estratgico, la definicin de la arquitectura de la
informacin, la adquisicin del hardware necesario TI y el software para ejecutar una estrategia TI,
la aseguracin del servicio continuo, y la supervisin del funcionamiento del sistema TI. TI usuarios
se benefician de COBIT debido al aseguramiento proporcionado a ellos si los usos que ayudan en la
reunin, el tratamiento, y el reportaje de informacin cumplen con COBIT ya que esto implica
mandos y la seguridad es en el lugar para gobernar los procesos. COBIT beneficia a interventores
porque esto les ayuda a identificar cuestiones de control de TI dentro de la infraestructura TI de
una empresa. Esto tambin les ayuda a corroborar sus conclusiones de auditora.
La misin COBIT es investigar, desarrollar, hacer pblico y promover un juego autoritario,
actualizado, internacional de objetivos de control de tecnologa de informacin generalmente
aceptados para el empleo cotidiano por directores comerciales e interventores. Los gerentes,
interventores, y usuarios se benefician del desarrollo de COBIT porque esto les ayuda a entender
sus sistemas TI y decidir el nivel de seguridad y control que es necesario para proteger el activo de
sus empresas por el desarrollo de un modelo de gobernacin TI.
Comparacin COBIT 4.1 vs. COBIT 5.
Caractersticas Cobit 4.1.
Para ayudar a las organizaciones a satisfacer con xito los desafos de los negocios, el IT
Governance Institute (ITGI) ha publicado la versin de COBIT 4.1
COBIT es un marco de trabajo de Gobierno de TI y un conjunto de herramientas de
soporte para el gobierno de T.I. que les permite a los gerentes cubrir la brecha entre los
requerimientos de control, los aspectos tcnicos y riesgos de negocio.
COBIT hace posible el desarrollo de una poltica clara y las buenas prcticas para los
controles de T.I. a travs de las organizaciones.
COBIT enfatiza en la conformidad a regulaciones, ayuda a las organizaciones a incrementar
el valor alcanzado desde la TI, permite el alineamiento y simplifica la implementacin de la
estructura COBIT.
La versin, COBIT 4.1, enfatiza el cumplimiento normativo, ayuda a las organizaciones a
incrementar el valor de T.I., apoya el alineamiento con el negocio y simplifica la implantacin de
COBIT. Esta versin no invalida el trabajo efectuado con las versiones anteriores del COBIT, sino
que puede ser empleado para mejorar el trabajo previo.
Caractersticas Cobit 5.
Esta es la ms recin versin de COBIT y est basada en procesos, se enfoca fuertemente en el
control y menos en la ejecucin, es decir, indica qu se debe conseguir sin focalizarse en el cmo.

Pgina 5

La primera impresin es que ISACA ha orientado definitivamente COBIT hacia el Gobierno de las TI.
En sus primeras versiones, COBIT se defina como un marco de control para auditores de TI. En la
revisin del ao 2000, COBIT 3, se inclua como producto/documento aparte las Management
Guidelines o gua de gestin para la direccin, con una orientacin ms cercana al concepto de
Gobierno TI.

La versin 4 de COBIT supuso la configuracin definitiva de Cobit como un marco general de
Gobierno TI, pero quedaba confusa la relacin con otros marcos de ISACA con otra orientacin
como Val IT (valor de las TI) o RISK IT (riesgos) o con el nuevo estndar de Gobierno TI ISO/IEC
38500.

Figura 1. Evolucin de Cobit
La nueva versin tiene un carcter clarificador, integrando COBIT 4, Val IT y RISK IT en su modelo
de referencia de procesos. Asimismo, COBIT 5 ha sido adaptado para alinearse con la norma
ISO/IEC 38500 de Gobierno TI y con el marco GEIT del ITGI (IT Governance Institute).
El nuevo modelo se basa en los siguientes elementos:
5 Principios
Satisfacer las necesidades de los Stakeholders (Interesados)
Crear valor manteniendo el equilibrio entre realizacin de beneficios y la optimizacin del
uso de recursos y gestin del riesgo.
Cubrir la organizacin de principio a fin.
Integrando el Gobierno corporativo con el Gobierno de las TI. Orientacin al negocio.

Pgina 6

Aplicar un nico marco de trabajo integrado.
COBIT cubre todas las necesidades y se integra con otros marcos y buenas prcticas, de forma que
puede ser utilizado como marco general.
Aproximacin holstica.
Para conseguir una Gestin y Gobierno de las TI con eficiencia y eficacia:
Separar Gestin de Gobierno.
Ambas disciplinas son importantes y complementarias.

Figura 2. Cobit 5
7 Facilitadores
Son los elementos a tener en cuenta en el modelo:
Principios, polticas y marcos
Son los vehculos para trasladar el comportamiento deseado en una gua prctica para
conducir las tareas de gestin TI en el da a da.
Procesos
Constituyen un conjunto organizado de prcticas y actividades para conseguir alcanzar los
objetivos establecidos respecto a las tecnologas de la informacin.
Estructura organizacional

Pgina 7

Son las entidades de la organizacin que toman las decisiones crticas.
Cultura, tica y Comportamiento
Tanto de los individuos como de la organizacin. Muy a menudo se subestima su influencia
en la consecucin de los objetivos de Gobierno establecidos.
Informacin.
La informacin invade todos los mbitos de la organizacin, es necesitada por esta para
operar y para la toma de decisiones. Tambin puede ser el resultado de la actividad de la
organizacin.
Servicios, Infraestructura y Aplicaciones
Es la parte ms cercana a los profesionales de las TIC.
Personas, habilidades y competencias.
Se asocia a las personas necesarias para realizar las actividades, tomar decisiones y realizar
tareas correctivas.

Figura 3. Principios y Polticas
Procesos
Gua muy detallada del modelo de procesos que conforman la esencia de COBIT.
Se sigue manteniendo la "Cascada de Objetivos", esto es la forma en la que los objetivos y
mtricas TI se derivan de los objetivos de negocio de alto nivel, permitiendo esa integracin TI-
Negocio tan caracterstica de ese marco.

Pgina 8

En esta versin de COBIT aparece una separacin entre procesos de Gestin y procesos orientados
al Gobierno de las TI, en claro alineamiento con la norma ISO/IEC 38500 (Evaluar, Dirigir,
Monitorizar).

Figura 4. Procesos del Gobierno de TI
Diferencias y Semejanzas Cobit 4.1 vs. Cobit 5.
reas de cambio
Los principales cambios en COBIT 5:
1. Nuevos Principios de GEIT.
2. Mayor foco en Habilitadores.
3. Nuevo Modelo de Referencia de Procesos.
4. Nuevos y modificados procesos.
5. Prcticas y Actividades.
6. Metas y Mtricas ms desarrolladas.
7. Entradas y Salidas a nivel de prctica.
8. RACI Charts ms detalladas.
9. Process Capability Maturity Models and Assessments.


Pgina 9

Integracin de Val IT y Risk IT
COBIT 5 ha integrado el contenido de COBIT 4.1, Val IT and Risk IT en un Modelo de Referencia de
Procesos.
Nuevos y modificados procesos
Hay nuevos y modificados procesos, en particular:
APO03 Manage enterprise architecture.
APO04 Manage innovation.
APO05 Manage portfolio.
APO06 Manage budget and costs.
APO08 Manage relationships.
APO13 Manage security.
BAI05 Manage organizational change enablement.
BAI08 Manage knowledge.
BAI09 Manage assets.
DSS05 Manage security service.
DSS06 Manage business process controls.
Prcticas y Actividades
Las prcticas de gobierno y de administracin de COBIT 5 son equivalentes a los objetivos de
control de COBIT 4.1 y los procesos de Val IT y Risk IT.
Las actividades de COBIT 5 son equivalentes a las prcticas de control de COBIT 4.1 y a las prcticas
de administracin de Val IT y Risk IT.
Process Capability Maturity
Models and Assessments
COBIT 5 descontina el COBIT 4.1, Val IT and Risk IT
CMM-based capability maturity modelling approach.
COBIT 5 ser soportado por un nuevo process capability assessment approach basado
en ISO/IEC 15504.
Otros cambios:
o Algo que puede resultar impactante es que en COBIT 5 los Objetivos de Control
han desaparecido. Realmente se han convertido en prcticas de gestin o de
Gobierno de las TI a fin de generalizar el concepto para todos los mbitos de
aplicacin, y no nicamente para el Control.
o Tambin desaparece el modelo de madurez de capacidades- CMM aplicado a los
procesos para introducir un modelo basado en la ISO/IEC 15504.
o Asimismo, se han actualizado los procesos, los modelos de responsabilidad RACI y
otros elementos de COBIT para hacer ms completo, sencillo e integrado.

Pgina 10

Ejercicio con Objetivo de Control.
El objeto del ejercicio es encontrar las variantes que a consecuencia de la nueva versin el proceso
elegido para los talleres de clases tiene, para esto se ha encontrado apropiado enunciar la
conceptualizacin que este tiene en cada versin de COBIT.
ADQUIRIR E IMPLEMENTAR - Administrar los Cambios (COBIT 4.1)
AI6 Administrar Cambios
DESCRIPCIN DEL PROCESO.
Todos los cambios, incluyendo el mantenimiento de emergencia y parches, relacionados con la
infraestructura y las aplicaciones dentro del ambiente de produccin, deben administrarse
formalmente y controladamente. Los cambios (incluyendo procedimientos, procesos, sistema y
parmetros del servicio) se deben registrar, evaluar y autorizar previo a la implantacin y revisar
contra los resultados planeados despus de la implantacin. Esto garantiza la reduccin de riesgos
que impactan negativamente la estabilidad o integridad del ambiente de produccin.

Control sobre el proceso TI de
Administrar cambios
Que satisface el requerimiento del negocio de TI para:
Responder a los requerimientos del negocio de acuerdo con la estrategia de negocio, mientras se
reducen los defectos y la repeticin de trabajos en la prestacin del servicio y en la solucin.
Enfocndose en:
Controlar la evaluacin de impacto, autorizacin e implantacin de todos los cambios a la
infraestructura de TI, aplicaciones y soluciones tcnicas, minimizando errores que se deben a
especificaciones incompletas de la solicitud y detener la implantacin de cambios no autorizados
Se logra con:
La definicin y comunicacin de los procedimientos de cambio, que incluyen cambios de
emergencia

Pgina 11

La evaluacin, la asignacin de prioridad y autorizacin de cambios
Seguimiento del estatus y reporte de los cambios
Y se mide con:
El nmero de interrupciones o errores de datos provocados por especificaciones inexactas
o una evaluacin de impacto incompleta
La repeticin de aplicaciones o infraestructura debida a especificaciones de cambio
inadecuadas
El porcentaje de cambios que siguen procesos de control de cambio formales

OBJETIVOS DE CONTROL
AI6.1 Estndares y Procedimientos para Cambios
Establecer procedimientos de administracin de cambio formales para manejar de manera
estndar todas las solicitudes (incluyendo mantenimiento y parches) para cambios a aplicaciones,
procedimientos, procesos, parmetros de sistema y servicio, y las plataformas fundamentales.
AI6.2 Evaluacin de Impacto, Priorizacin y Autorizacin
Garantizar que todas las solicitudes de cambio se evalan de una estructurada manera en cuanto a
impactos en el sistema operacional y su funcionalidad. Esta evaluacin deber incluir
categorizacin y priorizacin de los cambios. Previo a la migracin hacia produccin, los
interesados correspondientes autorizan los cambios.
AI6.3 Cambios de Emergencia
Establecer un proceso para definir, plantear, evaluar y autorizar los cambios de emergencia que no
sigan el proceso de cambio establecido. La documentacin y pruebas se realizan, posiblemente,
despus de la implantacin del cambio de emergencia.


Pgina 12

AI6.4 Seguimiento y Reporte del Estatus de Cambio
Establecer un sistema de seguimiento y reporte para mantener actualizados a los solicitantes de
cambio y a los interesados relevantes, acerca del estatus del cambio a las aplicaciones, a los
procedimientos, a los procesos, parmetros del sistema y del servicio y las plataformas
fundamentales.
AI6.5 Cierre y Documentacin del Cambio
Siempre que se implantan cambios al sistema, actualizar el sistema asociado y la documentacin
de usuario y procedimientos correspondientes. Establecer un proceso de revisin para garantizar
la implantacin completa de los cambios.


Pgina 13

MODELO DE MADUREZ
La administracin del proceso de Administrar cambios que satisfaga el requerimiento de negocio
de TI de responder a los requerimientos de acuerdo con la estrategia del negocio, mientras que se
reducen los defectos y repeticiones de trabajos en la entrega de soluciones y servicios es:
0 No Existente cuando
No existe un proceso definido de administracin de cambio y los cambios se pueden realizar
virtualmente sin control. No hay conciencia de que el cambio puede causar una interrupcin para
TI y las operaciones del negocio y no hay conciencia de los beneficios de la buena administracin
de cambio.
1 Inicial / Ad Hoc cuando
Se reconoce que los cambios se deben administrar y controlar. Las prcticas varan y es muy
probable que se puedan dar cambios sin autorizacin. Hay documentacin de cambio pobre o no
existente y la documentacin de configuracin es incompleta y no confiable.
Es posible que ocurran errores junto con interrupciones al ambiente de produccin, provocados
por una pobre administracin de cambios.

Pgina 14

2 Repetible pero Intuitivo cuando
Existe un proceso de administracin de cambio informal y la mayora de los cambios siguen este
enfoque; sin embargo, el proceso no est estructurado, es rudimentario y propenso a errores. La
exactitud de la documentacin de la configuracin es inconsistente y de planeacin limitada y la
evaluacin de impacto se da previa al cambio.
3 Definido cuando
Existe un proceso formal definido para la administracin del cambio, que incluye la categorizacin,
asignacin de prioridades, procedimientos de emergencia, autorizacin del cambio y
administracin de liberacin, y va surgiendo el cumplimiento. Se dan soluciones temporales a los
problemas y los procesos a menudo se omiten o se hacen a un lado. An pueden ocurrir errores y
los cambios no autorizados ocurren ocasionalmente. El anlisis de impacto de los cambios de TI en
operaciones de negocio se est volviendo formal, para apoyar la implantacin planeada de nuevas
aplicaciones y tecnologas.
4 Administrado y Medible cuando
El proceso de administracin de cambio se desarrolla bien y es consistente para todos los cambios,
y la gerencia confa que hay excepciones mnimas. El proceso es eficiente y efectivo, pero se basa
en manuales de procedimientos y controles considerables para garantizar el logro de la calidad.
Todos los cambios estn sujetos a una planeacin minuciosa y a la evaluacin del impacto para
minimizar la probabilidad de tener problemas de post-produccin. Se da un proceso de
aprobacin para cambios. La documentacin de administracin de cambios es vigente y correcta,
con seguimiento formal a los cambios. La documentacin de configuracin es generalmente
exacta. La planeacin e implantacin de la administracin de cambios en TI se van integrando con
los cambios en los procesos de negocio, para asegurar que se resuelven los asuntos referentes al
entrenamiento, cambio organizacional y continuidad del negocio. Existe una coordinacin
creciente entre la administracin de cambio de TI y el rediseo del proceso de negocio. Hay un
proceso consistente para monitorear la calidad y el desempeo del proceso de administracin de
cambios.
5 Optimizado cuando
El proceso de administracin de cambios se revisa con regularidad y se actualiza para permanecer
en lnea con las buenas prcticas.
El proceso de revisin refleja los resultados del monitoreo. La informacin de la configuracin es
computarizada y proporciona un control de versin. El rastreo del cambio es sofisticado e incluye
herramientas para detectar software no autorizado y sin licencia. La administracin de cambio de
TI se integra con la administracin de cambio del negocio para garantizar que TI sea un factor que
hace posible el incremento de productividad y la creacin de nuevas oportunidades de negocio
para la organizacin.

Pgina 15

CONSTRUIR, ADQUIRIR E IMPLEMENTAR Gestionar los Cambios (COBIT
5).
BAI06 Gestionar los Cambios
DESCRIPCIN DEL PROCESO
Gestione todos los cambios de una forma controlada, incluyendo cambios estndar y de
mantenimiento de emergencia en relacin con los procesos de negocio, aplicaciones e
infraestructura. Esto incluye normas y procedimientos de cambio, anlisis de impacto, priorizacin
y autorizacin, cambios de emergencia, seguimiento, reporte, cierre y documentacin.
Declaracin del Propsito del Proceso
Posibilitar una entrega de los cambios rpida y fiable para el negocio, a la vez que se mitiga
cualquier riesgo que impacte negativamente en la estabilidad e integridad del entorno en que se
aplica el cambio.
El proceso apoya la consecucin de un conjunto de principales metas TI:
Meta TI Mtricas Relacionadas
04 Riesgos de negocio relacionados con las TI
gestionados
Porcentaje de procesos de negocio crticos,
servicios TI y programas de negocio habilitados
por las TI cubiertos por evaluaciones de riesgos
Nmero de incidentes significativos
relacionados con las TI que no fueron
identificados en la evaluacin de riesgos
Porcentaje de evaluaciones de riesgo de la
empresa que incluyen los riesgos relacionados
con TI
Frecuencia de actualizacin del perfil de
riesgo
07 Entrega de servicios de TI de acuerdo a los
requisitos del negocio
Nmero de interrupciones del negocio
debidas a incidentes en el servicio de TI
Porcentaje de partes interesadas satisfechas
con el cumplimiento del servicio de TI
entregado respecto a los niveles de servicio
acordados
Porcentaje de usuarios satisfechos con la
calidad de los servicios de TI entregados
10 Seguridad de la informacin, infraestructura
de
procesamiento y aplicaciones
Nmero de incidentes de seguridad
causantes de prdidas financieras,
interrupciones del
negocio o prdida de imagen pblica
Nmero de servicios de TI con los requisitos
de seguridad pendientes
Tiempo para otorgar, modificar y eliminar los

Pgina 16

privilegios de acceso, comparado con los
niveles de servicio acordados
Frecuencia de la evaluacin de seguridad
frente a los ltimos estndares y guas

Objetivos y Mtricas del Proceso:
Meta TI Mtricas Relacionadas
1. Los cambios autorizados son realizados de
acuerdo a sus cronogramas respectivos y con
errores mnimos.
Cantidad de trabajo rehecho debido a
cambios fallidos
Reduccin en el tiempo y esfuerzo necesarios
para aplicar los cambios
Nmero y antigedad de peticiones de
cambio en cartera
2. Las evaluaciones de impacto revelan el
efecto de los cambios sobre todos los
componentes afectados.
Porcentaje de cambios sin xito debidos a
evaluaciones de impacto inadecuadas
3. Todos los cambios de emergencia son
revisados y autorizados una vez hecho el
cambio.
Porcentaje sobre el total de cambios que
corresponde a cambios de emergencia
Nmero de cambios de emergencia no
autorizados una vez hecho el cambio
4. Las principales partes interesadas estn
informadas sobre todos los aspectos del
cambio.
Ratios de satisfaccin de las partes
interesadas con las comunicaciones de los
cambios


Pgina 17


Pgina 18

Lista de Verificacin (Construir, Adquirir e Implementar Gestionar
los Cambios).
Para el desarrollo de la siguiente seccin se ha considerado necesario relevar la conceptualizacin
que los procesos tienen en cada una de las versiones de Cobit:


Pgina 19

COBIT 4.1 COBIT 5
ADQUIRIR E IMPLEMENTAR
Administrar los Cambios
CONSTRUIR, ADQUIRIR E
IMPLEMENTAR
Gestionar los Cambios
AI6 Administrar Cambios BAI06 Gestionar los Cambios
Todos los cambios, incluyendo el
mantenimiento de emergencia y parches,
relacionados con la infraestructura y las
aplicaciones dentro del ambiente de
produccin, deben administrarse formalmente
y controladamente.
Los cambios (incluyendo procedimientos,
procesos, sistema y parmetros del servicio) se
deben registrar, evaluar y autorizar previo a la
implantacin y revisar contra los resultados
planeados despus de la implantacin.
Esto garantiza la reduccin de riesgos que
impactan negativamente la estabilidad o
integridad del ambiente de produccin.
Gestione todos los cambios de una forma
controlada, incluyendo cambios estndar y de
mantenimiento de emergencia en relacin
con los procesos de negocio, aplicaciones e
infraestructura.
Esto incluye normas y procedimientos de
cambio, anlisis de impacto, priorizacin y
autorizacin, cambios de emergencia,
seguimiento, reporte, cierre y documentacin.

A continuacin se da a conocer la lista de verificacin para ambas versiones de Cobit y su
aplicabilidad:
LISTA DE VERIFICACIN COBIT 4.1 Y COBIT 5

Objetivos de control
(COBIT 4.1)
Prcticas de gobierno y
de administracin
(COBIT 5)
LISTA DE VERIFICACIN APLICABILIDAD
AI6.1 Estndares y
Procedimientos para
Cambios
BAI06.01 Evaluar, priorizar
y autorizar peticiones de
cambio
Existen procedimientos y formularios estndar para la solicitud
de cambios?
Cobit 4.1 & Cobit 5
Se han definido responsabilidades de la revisin, ajuste y
aprobacin de solicitudes de cambio?
Cobit 4.1 & Cobit 5
Las peticiones de cambio son categorizadas, estas obedecen a
una clasificacin y se conoce claramente el alcance de
afectacin e impacto del cambio?
Cobit 4.1 & Cobit 5
Bajo qu criterios se determina la prioridad de atencin de los
requerimientos de cambio? (Negocio, Cumplimiento,
Oportunidad, etc.)
Cobit 4.1 & Cobit 5
AI6.2 Evaluacin de
Impacto, Priorizacin y
Autorizacin
De qu manera se distinguen los cambios estndar de los
cambios ocasionales?
Cobit 4.1 & Cobit 5
Se analiza el volumen de cambios existente, esfuerzo asociado
y cronogramas para su aplicacin?
Cobit 4.1 & Cobit 5
Como se involucra a los proveedores en los cambios que
afectan servicios de terceros y ponen en riesgo los SLAs?
Cobit 4.1 & Cobit 5
AI6.3 Cambios de
Emergencia
BAI06.02 Gestionar
Cambios de Emergencia
Qu poltica y procedimiento se emplea para declarar,
evaluar, aprobar y autorizar cambios de emergencia?
Cobit 4.1 & Cobit 5
Se ha determinado personal responsable para la aplicacin de
cambios de emergencia?
Cobit 4.1 & Cobit 5
Qu procedimientos se han definido para la revisin y
seguimiento post implementacin?
Cobit 5

Pgina 21

Cul es el nivel de control y material gua para la
implementacin de acciones correctivas ante un cambio
emergente con resultados no previstos?

Cobit 4.1 & Cobit 5
AI6.4 Seguimiento y
Reporte del Estatus de
Cambio
BAI06.03 Hacer
seguimiento e informar
cambios de estado
Cul es el procedimiento empleado para mantener un control
adecuado del inventario de solicitudes de cambio, como se lo
ha clasificado?
Cobit 5
De qu manera se notifica el resultado y rendimiento de los
cambios emergentes?
Cobit 4.1 & Cobit 5
Cmo se mide la efectividad y oportunidad de los cambios de
emergencia?
Cobit 4.1 & Cobit 5
Como se cotejan los informes de estado de cambios con la
realidad? (Pistas de auditora e historial de cambios)
Cobit 5
Qu mtricas se llevan para conocer si la implementacin de
cambios emergentes es efectiva y oportuna?
Cobit 4.1 & Cobit 5
Existen herramientas que permitan conocer el estado de las
peticiones de cambio y muestren estadsticas al respecto?
Cobit 5
AI6.5 Cierre y
Documentacin del
Cambio
BAI06.04 Cerrar y
Documentar los cambios
Cules son los entregables de una peticin de cambio
ejecutada?
Cobit 4.1 & Cobit 5
Existen procedimientos que evidencien las consecuencias de la
implementacin de los cambios, orienten sobre su afectacin,
establezcan actividades de contingencia y procedimientos de
ayuda?
Cobit 4.1 & Cobit 5
Se ha definido categoras de documentacin y tiempos de
conservacin?
Cobit 4.1 & Cobit 5
Qu niveles de revisin existen para la documentacin
generada y cul es el proceso de elaboracin y revisin de la
misma?
Cobit 4.1 & Cobit 5
Se cuenta con un manual de calidad o lineamientos sobre la
estructura, contenido, formato y niveles de revisin y aprobacin
de la informacin generada?
Cobit 4.1 & Cobit 5
Conclusiones.

Para el caso elegido no existen mayores diferencias en cuanto al enfoque, sin embargo de
manera general se puede rescatar que Cobit 5 tiene una conceptualizacin ms sobria, clara y
ordenada respecto a lo que denomina Prcticas de gobierno y organizacin que en Cobit 4.1
son Objetivos de Control.
Con la salida de COBIT 5 se abre una nueva etapa para el gobierno y el management de TI, que
implicar que todos los involucrados, ms all del rol (CEO, CIO, CRO, CISO, CCO, Advisor,
Auditor, etc), evolucin estratgicamente sincronizados con este nuevo estndar.
Cobit 5 es la mayor evolucin estratgica de Cobit 4.1, el nico framework globalmente
aceptado para el IT Governance y brinda a los interesados la gua ms completa y actualizada
para un mejor gerenciamiento de IT.
El marco referencial de Cobit 4 y Cobit 5 consta de Objetivos de control de TI de alto nivel y de
una estructura general para su clasificacin y presentacin.
La aplicacin del marco de referencia COBIT permite al departamento de TI tener la visibilidad
a un nivel detallado la mayora de sus procesos que son repetitivos, intuitivos y crticos al
mismo tiempo evidencia el nivel de maduracin de procesos con la que se trabaja en TI. Con el
avance progresivo de sus lineamientos acenta el cumplimiento regulador, ayuda a
organizaciones a aumentar el valor logrado de TI, permite la alineacin y simplifica la puesta
en marcha de un cambio radical.
El esquema de objetivos de control categorizados en cuatro dominios para definir los procesos
de COBIT es apropiado para integrar actividades similares que se ejecuten en equipos de TI, al
manejarse de manera aislada con definiciones, ejecuciones y evaluaciones diferentes la
aplicacin de COBIT es ineficiente. Debido que COBIT al ser independiente de herramientas
tecnolgicas trata de integrar dentro de un objetivo de control las actividades comunes a
travs de prcticas y polticas que permitan alinear actividades de cada equipo en una sola
definicin, ejecucin y evaluacin.
La inclusin de factores crticos de xito, objetivos de control de bajo nivel, indicadores claves
de desempeo y de resultados, y su seguimiento para cada proceso de TI son factores
importantes que aportan a crear prcticas de monitoreo de procesos que es un punto a
fortalecer en TI y tendr como resultado final alcanzar procesos administrados y medidos que
optimicen la calidad de los servicios ofrecidos por TI.
COBIT al tener como misin investigar, desarrollar, y promover cambios en procesos los
gerentes, interventores, y usuarios se benefician del desarrollo de COBIT porque esto les
ayuda a entender sus sistemas TI y decidir el nivel de seguridad y control que es necesario
para proteger el activo de sus empresas por el desarrollo de un modelo de gobernacin TI.


Pgina 23

Recomendaciones.

Aunque la versin 5 de Cobit es ms estructurada no basta con seguir nicamente estas
pautas, siempre ser nutrido y conveniente el agregar criterios de otras guas como ISO/IEC e
ITIL.
Dentro de la validacin del proceso COBIT se encontr que algunos indicadores claves de
desempeo y de resultados planteados pueden ser representados de manera cualitativa; por
lo cual puede volver subjetiva la medicin de los procesos de TI. Esta situacin se debe a que
el marco de referencia COBIT trata de ser general y abarcar un amplio rango de
consideraciones tcnicas y de negocio en los procesos. Para la aplicacin del proceso COBIT se
recomienda considerar los indicadores claves que puedan ser calificados cuantitativamente.
La aplicacin de COBIT en una empresa con una organizacin y estructura limitada puede
producir resultados no adecuados. Por lo que se recomienda que para una aplicacin de COBIT
en una organizacin se la incluya como parte de un plan estratgico de tecnologa y como
objetivo del negocio; de igual manera cuente con el apoyo e impulso total de la gerencia de TI,
para obtener mejor calidad en sus procesos.
Al detallar el proceso DS9, Administracin de la configuracin, y M1, Monitoreo del proceso;
se encontr en la definicin del proceso segn COBIT se abarca actividades que se ejecutan
una sola vez relacionadas con estrategia, y actividades que son recurrentes y estn
relacionadas con la operacin. Esta limitacin de COBIT puede ocasionar confusin y
ambigedad al momento de definir y documentar un proceso. Se recomienda dividir en
subprocesos, las actividades de un mismo proceso cuya recurrencia y naturaleza puedan ser
distintas; y que se considere estas diferencias al momento de comunicar y monitorear el
rediseo del proceso.
Este anlisis comparativo motivo de este documento permiti visualizar que algunos de los
procesos definidos por COBIT; como la administracin de la configuracin no consta varios
servicios, proyectos o implementaciones que ameriten la evaluacin de cada uno de estos
componentes; por el contrario es preferible aplicar solamente una evaluacin global tanto de
eficacia como de eficiencia para asegurar la medicin completa del proceso. Por esta razn se
recomienda identificar claramente este tipo de procesos en COBIT al momento de aplicar una
propuesta de mejora en la organizacin para obtener una fase de evaluacin alineada con la
naturaleza del negocio


Pgina 24

ANEXO 1. MAPEO COBIT 4.1 Y COBIT 5.

COBIT 4.1 COBIT 5 Cobertura Primaria (P) y Secundaria (S)
PROCESO DESCRPCIN PRIMARIA SECUNDARIA
PO PLANEAR Y ORGANIZAR ALINEAR, PLANEAR Y ORGANIZAR
PO1 Definir un plan
estratgico de TI
APO02 EDM02/APO05
PO2 Definir la arquitectura
de la informacin
APO03 APO01
PO3 Definir la direccin
tecnolgica
APO02/APO04 EDM01/APO03/APO01
PO4 Definir los procesos
organizacin y
relaciones de TI
APO01 APO07/ APO11/DSS06
PO5 Administrar la inversin
en TI
APO06 APO05
PO6 Comunicar las metas y
direccin de la gerencia
APO01 EDM03
PO7 Administrar los recursos
humanos de TI
APO07 APO01
PO8 Administrar la calidad APO11
PO9 Evaluar y administrar los
riesgos de TI
APO12 EDM03/APO01
PO10 Administrar los
proyectos
BAI01
AI ADQUIRIR E
IMPLEMENTAR
CONSTRUIR, ADQUIRIR E IMPLEMENTAR
AI01 Identificar las soluciones
automatizadas
BAI02
AI02 Adquirir y mantener
software aplicativo
BAI03
AI03 Adquirir y mantener la
infraestructura
tecnolgica
BAI03 DSS02
AI04 Facilitar la operacin y
el uso
BAI08 BAI05
AI05 Procurar recursos de TI APO10 BAI03
AI06 Administrar los cambios BAI06
AI07 Instalar y acreditar las
soluciones y cambios
BAI07 BAI05
DS ENTREGAR SERVICIO ENTREGAR SERVICIO Y SOPORTAR
DS1 Definir y administrar los
niveles de servicio
APO09
DS2 Administrar los servicios
de terceros
APO10

Pgina 25

DS3 Administrar el
desempeo y la
capacidad
BAI04
DS4 Asegurar el servicio
continuo
DSS04
DS5 Garantizar la seguridad
de los sistemas
DSS05 APO13
DS6 Identificar y asignar
costos
APO06
DS7 Educar y entrenar a los
usuarios
APO07
DS8 Administrar la mesa de
servicios y los incidentes
DSS02
DS9 Administrar la
configuracin
BAI10 DSS02
DS10 Administrar los
problemas
DSS03
DS11 Administrar los datos DSS04 DSS01/DSS05/DSS06
DS12 Administrar el ambiente
fsico
DSS01/DSS05
DS13 Administrar las
operaciones
DSS01 DSS05/BAI09
ME MONITOREAR Y
EVALUAR
MONITOREAR Y EVALUAR
ME1 Monitorear y evaluar el
desempeo de TI
MEA01
ME2 Monitorear y evaluar el
control interno
MEA02
ME3 Garantizar el
cumplimiento
regulatorio
MEA03
ME4 Proporcionar gobierno
de TI
EDM01/EDM02/EDM03/EDM04/MEA02


Pgina 26

ANEXO 2. VENTAJAS Y DESVENTAJAS COBIT 4.1 Y COBIT 5.


Pgina 27

Modelo de Madurez Cobit 4.1

Modelo de Madurez Cobit 5


Pgina 28

ANEXO 3. FUENTES DE CONSULTA.

2012. Cobit 5 comparativo con Cobit 4 - ISACA. Extrado de:
http://francoitgrc.wordpress.com/2012/04/14/cobit-5-update-por-version-oficial-de-
isaca/
2009. Cobit 4 Slideshare. Extrado de:
http://www.slideshare.net/MarthaLechuga/cobit-4
2007. IT Governance Institute. Extrado de:
http://cs.uns.edu.ar/~ece/auditoria/cobiT4.1spanish.pdf
2012. Presentacin SEGURINFO - ISACA.

Cobit 4.1 Vs Cobit 5

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Cobit 4.1 Vs Cobit 5

Cargado por

Copyright:

Formatos disponibles

Cobit 4.1 vs.

También podría gustarte