Entrevista a Juan Luis Carselle, Vicepresidente Internacional de ISACA

1. ¿Qué impacto tiene para el Gobierno de TI la evolución de COBIT 4.1 a COBIT 5?

Es un punto muy importante y yo creo que es al revés, justo una de las razones por las que ha ido
evolucionando COBIT es porque el mismo concepto de TI ha evolucionado, pues, es más bien la
evolución ha ido de la mano. El gobierno de TI empezó como una idea y se ha ido convirtiendo
cada vez más en una realidad, aunque para hacer efectos prácticos todavía no está muy adaptado
en todas las organizaciones de todos los países, pero cada vez hay más conciencia de qué desea
tener dentro de la estructura de las tecnologías de información, una estructura de gobierno más
allá de una estructura de operación del día a día de los sistemas y que ese gobierno de TI tiene que
estar alineado al gobierno corporativo.

Antes, en versiones anteriores de COBIT estaba muy alineado a lo que esta en el mercado, se tenia
mucho más la visión de sistema o del área de tecnología de información de servicio que le
preguntaba al negocio a dónde va y digo qué te ofrezco. Eso ha ido evolucionando en el
nacimiento del concepto de Gobierno TI alineado al Gobierno corporativo de la empresa a donde
quiera que se dirija y como parte modular y alineada más como socio y no tanto como proveedor
de servicios hacia el cliente ha hecho que estas metodologías entre los marcos de referencias más
importantes y en este paso en particular COBIT tiene que adaptarse a eso, COBIT 5 abraza algunos
de estos conceptos la idea de ese gobierno TI enfocado y muy alineado al Gobierno Corporativo al
tener una estructura de control, de administración separado en sistemas, obviamente dentro de
sistemas, pero diferente a la estructura que está dando la operación día a día, los que están
manteniendo los sistemas operando, actualizando, etcétera para asegurar que se de un balance y
una separación de funciones y, lo más importante, se han fortalecido los conceptos de que la
Tecnología de Información genere un valor al negocio porque, sino, inundas de conceptos muy
técnicos que la gente de negocio que no conoce de conceptos técnicos, entonces cómo haces esa
traducción de ese valor de recogida de información, que no se convierta en: número de
servidores, número de transacciones, número de clientes, número de computadoras. Sino más
bien el valor real que genera la tecnología y las diferentes soluciones tecnológicas hacia el negocio.

2. Considerando el marco de referencia que propone COBIT, ¿cuál es el nivel de madurez

promedio en el que se encuentran las empresas mexicanas y de Latinoamérica?

Es muy difícil generalizar, porque la verdad hay industrias muy reguladas, industrias financieras,
están muy acostumbrados bajo una gran regulación por lo tanto tienen mucha madurez en
políticas, en procedimientos, no porque quieran sino porque están obligados, así también hay
empresas que están muy reguladas, la farmacéutica talvez, así como hay otras industrias que no
tienen tantas regulaciones a seguir y por lo tanto tienen más flexibilidad. Es muy diferente la
madurez incluso por industria que por país, ya hay más convicción de adaptar esas mejores
practicas o de empezar a tenerlas dentro de la organización, adoptarlas y adaptarlas, una cosa es
adoptarla y otra cosa es cómo tu la estas adaptando a como tu necesitas trabajar, porque muchos
de estos marcos de referencia no tienen una receta perfecta de cómo hacer todo, tienen guías y lo
que tú tienes que hacer es adaptar esas guías a tu manera de operar a tu manera de operar.
Para contestar específicamente la pregunta, yo creo que como una generalidad la mayoría de las
empresas de medianas a grandes, también si la empresa es muy pequeña no puede hacer, mucho
del gobierno TI habla de separación de funciones, de roles muy claros. Es como partir una misma
persona en 7 roles y que, además, tenga separación de funciones. Hace falta como una capacidad,
una base mínima para poder decir “Bueno, de ahí en adelante ya puedes empezar, ahora sí, a
separar roles por personas” porque sino no alcanza. De ahí, si consideramos ese universo y
consideramos las que son muy pequeñas, porque no podrían implementar algo así, yo creo que la
mayoría de las empresas están en un modelo de conciencia de que necesitan hacer esta
separación de funciones. En cierto grado ya se están implementando algunas de las mejores
prácticas, ya sea para entrega de servicios con modelo de referencia estilo ITIL por ejemplo,
también ya se están adoptando mucho los marcos de referencias para administración de
proyectos en el PMBOK y todo este tema de la PMI, y yo creo que también el tema de desarrollo
está muy maduro, si es que estamos hablando de sistemas específicamente, el modelo CMMI para
empezar a implementar formas de operar. Ahora, si lo ves como gobierno, esos son 3 de muchas
de las funciones de TI, yo creo que son las 3 más maduras. Si vemos las demás, talvez no están en
ese grado de madurez y yo pienso que todavía están en una etapa inicial de ser consientes de que
necesitan implementar una mejor práctica y están trabajando todavía en justificar la inversión y el
beneficio, porque lo difícil, y por eso COBIT 5 hace mucho énfasis en generar valor de TI hacia el
negocio, es que cómo le vendes al negocio TI es un área de servicios internamente entonces tiene
que generar un rendimiento y, sino, mantener los gastos controlados para no convertirse en un
peso a la organización que se dedica algo diferente a TI talvez.

3. ¿Qué recomendaciones hace ISACA a las empresas que están utilizando COBIT 4.1 para que
vayan evolucionando a COBIT 5?

COBIT 5 si tiene algunos cambios significativos contra lo que se proponía en COBIT 4 en la forma
de estructurar o medir el mismo nivel de madurez se enfoca más en un nivel de capacidad en
generar este tipo de métricas para darle valor de TI hacia el negocio, hay un crecimiento más claro
en la gestión de riesgos. Entonces es una respuesta difícil, porque depende de en qué etapa estés.
Si ya tienes implementado COBIT 4.1 en la estructura de sistemas, mi recomendación seria hacer
un proyecto para evaluar el esfuerzo que implica migrar a COBIT 5, medir el alcance de lo que se
puede hacer en este año, porque tampoco puedes hacer todo por hacerlo, y entonces
implementar en este año COBIT 5 en los procesos que sea factible implementar dependiendo del
tamaño de la empresa eso puede ser en todo TI o solo en una parte y seguir en el año entrante.

Si estas en el proceso de implementar 4.1, todavía no está maduro, habría que ver si todavía estas
en un punto todavía de detenerlo o si ya es demasiado tarde, es decir, si ya esta implementado, si
ya se hicieron muchos cambios, yo creo que lo mas sano seria seguir con COBIT 4.1 terminar,
operar, dejar que se estabilice y después migrar a COBIT 5. Tampoco es una obligación hacerlo de
forma inmediata, ahora si eso fuera el caso entonces COBIT 5 no solo incluye 4.1, también tiene
algo que ISACA produjo como material que se llama VAL IT, como el valor de IT, y otro que es el
tema de Risk IT, que es lo que si valdría la pena, si estas en una etapa donde ya es muy tarde para
detener la implementación de COBIT 4.1 y migrarla o has recién implementado la gente ya no va a
creer en ti, ya que si acabas de implementar algo y ya les dices que lo vas a cambiar, entonces lo
que si valdría la pena es estudiar o si se puede implementar algo de VAL IT y RISK IT o estudiar
COBIT 5 y si se puede implementar uno de los procesos y, sino, esperar a que madure y luego en el
siguiente ciclo talvez en X meses o hasta en un año hacer el plan para migrar a COBIT 5.

4. ¿Qué ofrece COBIT 5 las organizaciones que buscan fortalecer o formalizar su gobierno de
TI?
Lo que ofrece primero son mejores practicas, ya es una serie de guías que te van a ayudar a
alguien a llegar un objetivo predecible tiempo supongo que tú puedes inventar gobierno TI
con puros conceptos y tratar de hacerlo a tu idea y muy personalizada a tu empresa y
seguramente lo puedes lograr también, pero o vas a dejar algo fuera que no que no considera
está en tu equipo de trabajo o va a ser mucho más doloroso tener que ir por ciertas
iteraciones para llegar a la afinación perfecta como cualquier marco referencia. Pero en
particular el tema gobierno de TI y como probablemente el único que está enfocado en eso
como general COBIT que toda esa herramienta de todas las guías que te permite llegar más
rápido a lo que estás queriendo lograr. Ahora ¿Qué es lo que quieres lograr? ese es el tema
más importante, es lo que estamos diciendo como objetivo principal es alinear los objetivos
del negocio cualquiera que el negoció, la institución, ya sea, pública privada del país que sea.
Conectar esos objetivos con los mismos objetivos de tecnología de información que ya no sean
dos barcos que van en diferentes direcciones y lo más importante es llegar a tus ventas de
utilidad, tu posicionamiento. Si los nombres de los objetivos de negocio están puestos en
términos de negocio la idea es planear en conjunto y que estén alineados con los objetivos
básicos y más importantes sistemas, eso suena muy simple, pero es sumamente complicado
entre más grande son las organizaciones más difíciles es.

5. ¿Qué temas se deben difundir para aclarar conceptos o interpretaciones incorrectas en la

industria?
yo creo que lo más importante y está muy plasmado la estructura específicamente de COBIT
es que hoy en día hay mucha conciencia en las organizaciones reguladas o no de la
implementación de mejores prácticas con todos los temas de cumplimiento con muchos
países están implementando políticas de privacidad algunos temas financieros hay mucha más
conciencia de que es necesario adoptar mejores prácticas e implementarlas en tu organización
entonces empiezan a aparecer muchas cosas si nos dedicamos sólo el tema de tecnología de
información para no irnos por industria pues el solo hecho de pensar en IT que si 2 o 3 el
mismo PMBOOK CMMI y después hablas de ISO, algún ISO para seguridad de 27.000 si estás
hablando luego de tal vez temas enfocados más a la gestión específica de cada una de estas
áreas, yo creo que lo primero que yo diría es ninguno eso se contrapone con COBIT 5 de hecho
justo algo de lo que incluye COBIT 5 como marco de referencia es que en su estructura si tu
implementas con COBIT 5 como viene está perfectamente alineado de hecho en cada uno de
los niveles sólo de los dominios donde están estos servicios está muy alineado con todas las
metodologías que mencioné y muchas más para arquitectura empresariales TOGAF y, además,
permite muy fácilmente después tener los controles implementados para soportar todas estas
metodologías.
6. ¿Qué planes tiene ISACA para promover los temas de seguridad de TI y Gobierno TI este
2013?
que ISACA como asociación sin fines de lucro lo que busca es seguir entregando a la
comunidad a sus miembros e información suficiente, material para poder permear de forma
 consistente digamos todos estos conceptos para que lleguen a todos lados de la misma
manera de una manera clara y que digan lo mismo en todos los lados, entonces ¿Cómo lo
hace ISACA? Primero como marco de referencia siguiendo en el ecosistema COBIT generando
cada vez más productos alrededor de ese marco de referencia no entonces hay guías de
implementación, guías implementación por industria para guías de implementación por
función enfocado al cumplimiento de TI y a la seguridad de TI a la entrega de servicios hay
traducciones de esos hay exámenes para certificar a los que va a estar implementando a
exámenes para certificar los que van a auditar a los implementados
Generar un ecosistema que permita que COBIT esté ahí afuera y todos los elementos puedan
estar listos para entregar algo como homogéneo porque lo peor para un producto que está
basado en propiedad intelectual es que llegue diferente a todos lados no hay quien lo
entienda diferente en general eso es 1 alrededor de COBIT que es digamos que una de las
piedras angulares de la asociación. La otra es vía las certificaciones finalmente, ISACA sigue
trabajando en su certificación de auditoría azysa de seguridad de gestión de seguridad que
es SICM dé gobierno de TI es el tema de CRIT y ahora de gestión de riesgos que eso SIRISK
entonces otro enfoque parte de COBIT es seguir generando más personas certificadas en estas
certificaciones y por lo tanto generando más profesionales que puedan entregar o basados en
estos marcos de referencia en esa propiedad intelectual que tiene ISACA no sólo en COBIT sino
los marcos que tienen para cada una de estas áreas de especialización de profesionales que
puedan entregar el mercado algo homogéneo no y luego atrás como un respaldo tanto para
COBIT como para estas certificaciones pues hay una serie de servicios adicionales entre
muchas publicaciones hay mucha publicación que está generando contenido útil sobre temas
de interés sobre las T… estos de moda entre el cloud, big data, mobile social network el brillo
divice y todos los que están dando vueltas, los móviles hay mucho contenido.
Está generando para que toda esta comunidad de miembros en la que ISACA está dedicado a
darles valor puede tener acceso a toda la información y tengan las herramientas para poder
trabajar en su marca en su ámbito donde quiera que estén y para lograrlo porque eso es el
contenido y digamos las herramientas
La otra cosa que estamos haciendo es enfocarnos mucho en nuestra estructura de capítulos
finalmente tenemos COBIT y las certificaciones y todo este contenido, pero para tener una
cobertura mundial y para eso tenemos los capítulos que están repartidos en todas las ciudades
de las ciudades más importantes del mundo.
7. ¿Cuál es la perspectiva de ISACA para gobierno TI en este 2013, donde las organizaciones
siguen batallando por optimizar sus recursos ante los golpes de la economía?
finalmente yo creo que las crisis siempre traen oportunidad para una organización como
ISACA que se basa en conocimiento de este tipo de marcos de referencia una de las primeras
cosas que le pasa a un país a una comunidad que está en crisis es que necesitas
diferenciadores de darle herramientas a aquellos que quieren diferenciarse para pelear contra
los que no tienen empleo si estás hablando de tasas de empleo contra desempleo o cuánto los
quieres ganar más si el tema es más bien de ingresos contra lo que puedes para mantenerte
en la economía si es que es tema de inflación entonces creo que en las crisis es donde más
tiene las empresas a recortar presupuestos de capacitación y certificación tal vez pero más la
gente busca tener esa su capacitación y certificación para tener un diferenciador y poder
seguir compitiendo en el mercado.