Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Acerca de ISACA
Con casi 50 años de vida, ISACA® (isaca.org) es una organización global que ayuda tanto a individuos como a
empresas a alcanzar el potencial positivo de la tecnología. La tecnología impulsa el mundo de hoy e ISACA
proporciona a los profesionales los conocimientos, credenciales, educación y comunidad para avanzar en sus carreras
profesionales y transformar sus organizaciones. ISACA aprovecha la experiencia de su medio millón de profesionales
dedicados a información y ciberseguridad, gobierno, aseguramiento, riesgo e innovación, así como su filial de
desempeño empresarial, el instituto CMMI®, para contribuir a una mayor innovación a través de la tecnología.
ISACA está presente en más de 188 países, con más de 217 capítulos y oficinas, tanto en Estados Unidos como en
China.
Descargo de responsabilidad
ISACA ha diseñado y creado Guía de diseño COBIT® 2019 : Diseño de una solución de Gobierno de Información y
Tecnología (el «Trabajo») fundamentalmente como un recurso educativo para los profesionales del gobierno
empresarial de información y tecnología(GEIT), aseguramiento, riesgo y seguridad. ISACA no asume ninguna
responsabilidad acerca de que el uso de cualquier parte del Trabajo garantice un resultado exitoso. No debe
considerarse que el Trabajo incluye toda la información, procedimientos y pruebas correctas, ni que excluye otra
información, procedimientos y pruebas que estén orientadas razonablemente hacia la obtención de los mismos
resultados. Para determinar la propiedad de cualquier información, procedimiento o prueba específicos, los
profesionales del gobierno empresarial de información y tecnología (GEIT), aseguramiento, riesgo y seguridad deben
aplicar su propio criterio profesional a las circunstancias específicas de los sistemas o entorno de tecnología de la
información particular.
Copyright
© 2018 ISACA. Todos los derechos reservados. Para acceder a las instrucciones de uso, visite
www.isaca.org/COBITuse.
ISACA
1700 E. Golf Road, Suite 400
Schaumburg, IL 60173, USA
Phone: +1.847.660.5505
Fax: +1.847.253.1755
Contact us: https://support.isaca.org
Website: www.isaca.org
Twitter: http://twitter.com/ISACANews
LinkedIn: www.linkedin.com/company/isaca
Facebook: www.facebook.com/ISACAHQ
Instagram: www.instagram.com/isacanews/
Guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología
ISBN 978-1-60420-793-4
Dedicado a John Lainhart, Presidente del Consejo de Administración de ISACA, 1984-1985. John fue una figura
clave en la creación del marco COBIT® y en los últimos años ejerció como presidente del grupo de trabajo de
COBIT ® 2019, que culminó con la creación de este trabajo. Durante sus cuatro décadas en ISACA, John participó
en distintos aspectos de la organización, además de contar con las certificaciones CISA, CRISC, CISM y CGEIT de
ISACA. John deja un increíble legado personal y profesional, y su trabajo ha tenido un gran impacto en ISACA.
Agradecimientos
ISACA desea agradecer a:
COBIT Working Group (2017-2018)
John Lainhart, Presidente, CISA, CRISC, CISM, CGEIT, CIPP/G, CIPP/US, Grant Thornton, EE. UU.
Matt Conboy, Cigna, EE. UU.
Ron Saull, CGEIT, CSP, Great-West Lifeco & IGM Financial (jubilado), Canadá
Equipo de desarrollo
Steven De Haes, Ph.D., Antwerp Management School, University of Antwerp, Bélgica
Matthias Goorden, PwC, Bélgica
Stefanie Grijp, PwC, Bélgica
Bart Peeters, PwC, Bélgica
Geert Poels, Ph.D., Ghent University, Bélgica
Dirk Steuperaert, CISA, CRISC, CGEIT, IT In Balance, Bélgica
Revisores expertos
Floris Ampe, CISA, CRISC, CGEIT, CIA, ISO27000, PRINCE2, TOGAF, PwC, Bélgica
Graciela Braga, CGEIT, Auditor and Advisor, Argentina
James L. Golden, Golden Consulting Associates, EE. UU.
J. Winston Hayden, CISA, CRISC, CISM, CGEIT, Sudáfrica
Abdul Rafeq, CISA, CGEIT, FCA, Managing Director, Wincer Infotech Limited, India
Jo Stewart-Rattray, CISA, CRISC, CISM, CGEIT, FACS CP, BRM Holdich, Australia
ÍNDICE
Lista de Figuras ..............................................................................................................................................11
Parte I - Proceso de diseño ................................................................................................................15
Capítulo 1. Introducción y propósito .........................................................................................15
1.1 Sistemas de gobierno....................................................................................................................................15
1.2 Estructura de esta publicación ......................................................................................................................15
1.3 Público objetivo de esta publicación ............................................................................................................16
1.4 Documentación Relacionada: Guía de implementación de COBIT ® 2019 .......................................................16
10
LISTA DE FIGURAS
Capítulo 2. Conceptos básicos: Sistema de Gobierno y Componentes
Figura 2.1—Generalidades de COBIT .......................................................................................................................17
Figura 2.2—Modelo Core de COBIT.........................................................................................................................19
Figura 2.3—Niveles de capacidad para los procesos ..................................................................................................21
Figura 2.4—Factores de diseño de COBIT ................................................................................................................22
Figura 2.5—Factor de diseño de estrategia empresarial .............................................................................................22
Figura 2.6—Factor de diseño de metas empresariales ................................................................................................22
Figura 2.7—Factor de diseño del perfil de riesgo (Categorías de riesgo de TI) ...........................................................23
Figura 2.8—Factor de diseño de problemas relacionados con I&T .............................................................................26
Figura 2.9—Factor de diseño del escenario de amenazas ...........................................................................................26
Figura 2.10—Factor de diseño de los requisitos de cumplimiento ..............................................................................27
Figura 2.11—Factor de diseño del rol de TI ..............................................................................................................27
Figura 2.12—Factor de diseño de modelo de abastecimiento de proveedores para TI .................................................27
Figura 2.13—Factor de diseño de métodos de implementación de TI .........................................................................27
Figura 2.14—Factor de diseño de estrategia de adopción de tecnología......................................................................28
Figura 2.15—Factor de diseño de tamaño de la empresa ............................................................................................28
Capítulo 7. Ejemplos
Figura 7.1—Ejemplo 1, Paso 1.1: Estrategia empresarial ...........................................................................................67
Figura 7.2—Ejemplo 1, Paso 1.2: Metas empresariales ..............................................................................................68
Figura 7.3—Ejemplo 1, Paso 1.3: Riesgo Perfil .........................................................................................................69
Figura 7.4—Ejemplo 1, Paso 1.4: I&T-Problemas relacionados .................................................................................70
Figura 7.5—Ejemplo 1, Paso 2.1: Estrategia empresarial ...........................................................................................71
Figura 7.6—Ejemplo 1, Paso 2.1: Importancia derivada de Objetivos de Gobierno/Gestión para
el Factor de diseño 1 Estrategia empresarial ..............................................................................................................72
Figura 7.7—Ejemplo 1, Paso 2.2: Metas empresariales ..............................................................................................73
Figura 7.8—Ejemplo 1, Paso 2.2: Importancia derivada de Objetivos de Gobierno/Gestión para
el Factor de diseño 2 Metas empresariales.................................................................................................................74
Figura 7.9—Ejemplo 1, Paso 2.3: Perfil de riesgo .....................................................................................................75
11
12
Apéndices
Figura A.1—Asignación de estrategia empresarial a objetivos de gobierno y gestión ...............................................137
Figura A.2—Asignación de metas empresariales a metas de alineamiento ................................................................139
Figura A.3—Asignación de metas de alineamiento a objetivos de gobierno y gestión ...............................................140
Figura A.4—Asignación de riesgo de TI a objetivos de gobierno y gestión ..............................................................141
Figura A.5—Asignación de problemas relacionados con I&T a objetivos de gobierno y gestión ...............................143
Figura A.6—Asignación de escenario de amenazas a objetivos de gobierno y gestión ..............................................145
Figura A.7—Asignación de requisitos de cumplimiento a objetivos de gobierno y gestión .......................................146
Figura A.8—Asignación del rol de TI a objetivos de gobierno y gestión ..................................................................147
Figura A.9—Asignación del modelo de abastecimiento de proveedores para TI a objetivos de gobierno y gestión ....148
Figura A.10—Asignación de métodos de implementación de TI a objetivos de gobierno y gestión ...........................149
Figura A.11—Asignación de estrategias de adopción de tecnología a objetivos de gobierno y gestión ......................150
13
14
Parte I
Proceso de diseño
Capítulo 1
Introducción y propósito
Esta publicación describe cómo una empresa puede diseñar una solución de gobierno empresarial para la
información y la tecnología (I&T). Un sistema de gobierno de I&T eficiente y eficaz es el punto de partida para
generar valor. Esto se aplica a todo tipo y tamaño de empresas. El gobierno de un dominio complejo, como la I&T,
requiere de multitud de componentes, incluyendo procesos, estructuras organizativas, flujos de información y
comportamientos. Todos estos elementos deben funcionar al unísono de forma sistémica; por ello, esta publicación
aborda la solución de gobierno personalizada que toda empresa debería crear como «el sistema de gobierno para I&T
de la empresa» o «sistema de gobierno», en su forma abreviada.
No hay un único sistema de gobierno apto para la I&T de todas las empresas. Cada empresa cuenta con su propio
perfil y carácter, que se diferenciarán de otras organizaciones en varios aspectos críticos: el tamaño de la empresa, el
sector industrial, el entorno regulatorio, el escenario de amenazas, el papel de TI en la organización y las opciones
tácticas relacionadas con la tecnología, entre otros. Todos estos aspectos, a los que COBIT® se refiere de forma
conjunta como los factores de diseño, precisan que las organizaciones personalicen sus sistemas de gobierno para
obtener el máximo valor de su uso de la I&T.
Dicha personalización significa que una empresa debe empezar con el modelo Core de COBIT® , y a partir de ahí,
aplicar cambios al marco genérico dependiendo de la relevancia e importancia de una serie de factores de diseño.
Este proceso se denomina «diseñar el sistema de gobierno para la I&T de la empresa».
15
El capítulo 7 ilustra cómo debe aplicarse el flujo de trabajo del capítulo 4 mediante el uso de la herramienta.
Los apéndices de la A a la K contienen varias tablas de asignación usadas durante el proceso de diseño.
El público objetivo de esta publicación incluye una serie de partes interesadas directas en el gobierno de I&T:
miembros del consejo de administración, ejecutivos y alta dirección y profesionales experimentados de la empresa,
no solo del negocio y las TI, sino también de las disciplinas de auditoría, aseguramiento, cumplimiento, seguridad,
privacidad y gestión de riesgos.
Otras partes interesadas indirectamente en el gobierno de I&T incluyen clientes, usuarios y ciudadanos; estos
constituyen los beneficiarios más importantes de un buen gobierno, aunque la mayoría de ellos casi nunca
consultarán esta publicación. Sus intereses los asumen las partes interesadas directas anteriormente mencionadas.
Se requiere un cierto nivel de experiencia y unos conocimientos profundos de la empresa para poder aprovechar esta
guía. Dicha experiencia y conocimientos permiten a los usuarios personalizar las directrices principales de COBIT®
2019 (cuya naturaleza es genérica) en directrices personalizadas y centradas en la empresa, mediante la
consideración del contexto de la empresa.
El público objetivo incluye a aquellos responsables durante todo el ciclo de vida de la solución de gobierno, desde el
diseño inicial a la ejecución y al aseguramiento. De hecho, los proveedores de aseguramiento pueden aplicar la
lógica y el flujo de trabajo desarrollado en esta publicación para crear un programa de aseguramiento bien soportado
para la empresa.
La Guía de implementación COBIT® 2019 está relacionada con esta publicación. Dicha guía describe la hoja de
ruta para la mejora continua del gobierno de I&T en la empresa. El diseño (inicial) de dicho sistema de gobierno, que
en ella se describe, forma parte de las fases iniciales de dicha hoja de ruta.
El capítulo 5 de esta guía profundiza en los vínculos entre ambas publicaciones e ilustra cómo usarlas
conjuntamente.
16
Capítulo 2
Conceptos básicos: Sistema de Gobierno y Componentes
2.1 Introducción
La figura 2.1 muestra las generalidades de COBIT® 2019 y cómo las distintas publicaciones cubren distintos
aspectos.
COBIT® 2019 está basado en COBIT® 5 y otras fuentes fidedignas. COBIT está alineado con una serie de estándares
y marcos relacionados. La lista de estos estándares se incluye en el capítulo 10 del marco de referencia COBIT®
2019: Introducción y metodología. El análisis de estos estándares relacionados y el alineamiento de COBIT con ellos
sustentan la posición consolidada de COBIT de ser el paraguas del marco de gobierno de I&T.
En el futuro, COBIT acudirá a su comunidad de usuarios para que propongan actualizaciones de contenido, que serán
aplicadas como contribuciones controladas de forma continua, para que COBIT esté al día con las últimas
percepciones y evoluciones.
La familia de productos COBIT es abierta. En el momento de la publicación de esta guía, están disponibles las
publicaciones siguientes:
Marco de Referencia COBIT® 2019: Introducción y metodología presenta los conceptos clave de COBIT® 2019.
Marco de Referencia COBIT® 2019: Objetivos de gobierno y gestión describe de forma exhaustiva los 40
objetivos principales del gobierno y la gestión, los procesos incluidos en ellos y otros componentes relacionados.
Esta guía también hace referencia a otros estándares y marcos.
17
La Guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología explora
los factores de diseño que pueden influir en el gobierno e incluye un flujo de trabajo para la planificación de un
sistema de gobierno personalizado para la empresa.
La Guía de implementación de COBIT® 2019: Implementación y optimización de una solución de gobierno de
Información y Tecnología representa una evolución de la guía de Implementación de COBIT® 5 y desarrolla una
hoja de ruta para la mejora continua del gobierno. Puede usarse en combinación con la Guía de diseño COBIT®
2019.
El contenido identificado como áreas prioritarias en la figura 2.1 incluirá una guía más detallada sobre
determinados aspectos. Algunas de estas guías de contenido de áreas prioritarias ya están preparándose; y otras están
previstas. Esta serie de guías de áreas prioritarias es abierta y seguirá evolucionando. Para obtener la información
más reciente sobre publicaciones actualmente disponibles y previstas, así como otros contenidos, visite
www.isaca.org/cobit.
El resto de esta sección describe los conceptos básicos de COBIT® 2019, tal y como se definen en las publicaciones
del marco de referencia COBIT. Los factores de diseño, las áreas prioritarias y los conceptos de variantes se usarán
para diseñar un sistema de gobierno personalizado para la I&T empresarial. Un sistema de gobierno personalizado
basado en COBIT es un sistema que ha tomado los contenidos genéricos de COBIT y ha asignado prioridades
específicas y niveles de capacidad objetivos a los componentes de gobierno y gestión basados en el propio contexto
de la empresa y los valores del factor de diseño. Cuando se precisa, también se ponen en práctica variantes de
componentes de gobierno específicos.
Para que la información y la tecnología contribuyan a los objetivos de la empresa, deben alcanzarse una serie de
objetivos de gobierno y gestión. Los conceptos básicos relacionados con los objetivos de gobierno y gestión son:
Un objetivo de gobierno o gestión siempre está relacionado con un proceso (con un nombre idéntico o similar)
y una serie de componentes relacionados de otros tipos para contribuir a lograr el objetivo.
Un objetivo de gobierno está relacionado con un proceso de gobierno (mostrado en el fondo azul oscuro de la
figura 2.2), mientras que un objetivo de gestión está relacionado con un proceso de gestión (mostrado en el fondo
azul claro de la figura 2.2). Los consejos de administración y la dirección ejecutiva suelen ser responsables de los
procesos de gobierno, mientras que los procesos de gestión pertenecen al dominio de la alta y media gerencia.
18
Los objetivos de gobierno y gestión de COBIT se agrupan en cinco dominios. Los dominios se nombran mediante
verbos que expresan el propósito clave y las áreas de actividad del objetivo contenida en ellos:
Los objetivos de gobierno se agrupan en el dominio Evaluar, Dirigir y Monitorizar (EDM). En este dominio, el
organismo de gobierno evalúa las opciones estratégicas, direcciona a la alta gerencia con respecto a las opciones
estratégicas elegidas y monitoriza la consecución de la estrategia.
Los objetivos de gestión se agrupan en cuatro dominios:
Alinear, Planificar y Organizar (APO) aborda la organización en su conjunto, la estrategia y las actividades de
apoyo para la I&T.
Construir, Adquirir e Implementar (BAI) se encarga de la definición, adquisición e implementación de
soluciones de I&T y su integración en los procesos de negocio.
Entregar, Dar Servicio y Soporte (DSS) aborda la ejecución operativa y el soporte de los servicios de I&T,
incluida la seguridad.
Monitorizar, Evaluar y Valorar (MEA) aborda la monitorización y la conformidad de I&T con los objetivos de
desempeño interno, los objetivos de control interno y los requisitos externos.
Para cumplir con los objetivos de gobierno y gestión, cada empresa debe establecer, personalizar y sostener un
sistema de gobierno creado a partir de una serie de componentes.
19
Estos componentes son factores que, de forma individual y colectiva, contribuyen al buen funcionamiento del
sistema de gobierno de la empresa en cuanto a I&T.
Los componentes interactúan entre sí, lo que da lugar a un sistema holístico de gobierno de I&T.
Los componentes pueden ser de diversos tipos. Los más comunes son los procesos. Sin embargo, los componentes
de un sistema de gobierno incluyen también estructuras organizativas; políticas y procedimientos; elementos de
información; cultura y comportamiento; habilidades y competencias; y servicios, infraestructura y aplicaciones.
Los componentes de cualquier tipo pueden ser genéricos o variantes de los componentes genéricos:
Los componentes Genéricos se describen en el modelo Core de COBIT (ver figura 2.2) y se aplican, en
principio, a cualquier situación. Sin embargo, su naturaleza es genérica y suelen requerir una adaptación antes de
que se puedan implementar en la práctica.
Las variantes se basan en componentes genéricos, pero se adaptan para un propósito o contexto específico
dentro de un área prioritaria (p. ej.: para seguridad de la información, DevOps, una regulación específica).
Un área prioritaria describe un tópico, dominio o asunto de gobierno determinado que puede abordarse como una
serie de objetivos de gobierno y gestión y sus componentes. Algunos de los ejemplos de áreas prioritarias son:
pequeñas y medianas empresas, ciberseguridad, transformación digital, computación en la nube, privacidad, y
DevOps.1 Las áreas prioritarias pueden incluir una combinación de componentes y variantes genéricos de gobierno.
1
La cantidad de áreas prioritarias es prácticamente ilimitada. Esto hace que COBIT sea abierto. Se pueden añadir
nuevas áreas prioritarias cuando se requiera o conforme los expertos y especialistas en la materia contribuyan al
modelo COBIT abierto.
COBIT® 2019 admite un esquema de capacidad de procesos basado en la Integración del modelo de madurez de
capacidad (CMMI®). El proceso dentro de cada objetivo de gobierno y gestión puede funcionar con distintos niveles
de capacidad, que van de 0 a 5. El nivel de capacidad es una medida de lo bien que se ha implementado y ejecuta un
proceso. La figura 2.3 muestra el modelo, los niveles de capacidad incrementales y las características generales de
cada uno.
1
1 DevOps es un ejemplo tanto de una variante de componente como de un área prioritaria. ¿Por qué? DevOPs es un tema de actualidad en el mercado y requiere indudablemente unas directrices específicas, lo que lo convierte en un área prioritaria.
DevOps incluye una serie de objetivos de gobierno y gestión genéricos del modelo Core de COBIT, junto con una serie de variantes de desarrollo, la operación y la monitorización relacionadas con procesos y estructuras organizativas.
20
El modelo Core de COBIT asigna niveles de capacidad a todas las actividades del proceso, permitiendo una clara
definición de los procesos a distintos niveles de capacidad. En esta guía, nos referiremos en ocasiones a niveles de
capacidad «inferiores» o «superiores». A modo de convención en esta guía, cualquier nivel mayor de tres se
denomina «superior» y cualquiera menor de 3 se denomina «inferior».
Los factores de diseño son factores que pueden influir en el diseño del sistema de gobierno de una empresa y
posicionarla para que tenga éxito al usar la I&T. Los factores de diseño se enumeran a continuación y su posible
impacto en el sistema de gobierno se comenta en el capítulo 3.
21
1. Estrategia empresarial—Las empresas pueden contar con distintas estrategias, que pueden expresarse como uno
o más prototipos que se muestran en la figura 2.5. Las organizaciones suelen contar con una estrategia primaria y,
como mucho, una estrategia secundaria.
2. Las metas empresariales que apoyan la estrategia empresarial; la estrategia empresarial se logra mediante la
consecución de (una serie de) metas empresariales. Estos objetivos se definen en el marco de referencia COBIT, se
estructuran en torno a las dimensiones del cuadro de mando integral (balanced scorecard) e incluyen lo siguiente
(figura 2.6):
2
2 Se corresponde con el prospector de la tipología Miles-Snow. Ver “Miles and Snow’s Typology of Defender, Prospector, Analyzer, and Reactor,” Elibrary,
https://ebrary.net/3737/management/miles_snows_typology_defender_prospector_analyzer_reactor.
3
3 Ver Reeves, Martin; Claire Love, Philipp Tillmanns, “Your Strategy Needs a Strategy”, Harvard Business Review, septiembre 2012, https://hbr.org/2012/09/your-strategy-needs-a-strategy, especialmente relacionado con la visión y el modelado.
4
4 Corresponde al liderazgo en costes; ver University of Cambridge, “Porter’s Generic Competitive Strategies (ways of competing),” Institute for Manufacturing (IfM) Management Technology Policy,
https://www.ifm.eng.cam.ac.uk/research/dstools/porters-generic-competitive-strategies/. También corresponde a la excelencia operativa; ver Treacy, Michael; Fred Wiersema, “Customer Intimacy and Other Value Disciplines», Harvard Business
5
5 Corresponde a los defensores de la tipología Miles-Snow. Ver op cit “Miles and Snow’s Typology of Defender, Prospector, Analyzer, and Reactor”.
22
3. El perfil de riesgo de la empresa y los problemas actuales relacionados con la I&T—El perfil de riesgo identifica
los tipos de riesgos relacionados con la I&T a los que está expuesta la empresa en la actualidad e indica qué áreas de
riesgo exceden el apetito al riesgo.
6
6 Modificada de ISACA, The Risk IT Practitioner Guide, EE. UU., 2009
23
Figura 2.7—Factor de diseño del perfil de riesgo (Categorías de riesgo de TI) (cont.)
Referencia Categoría del riesgo Ejemplos de escenarios de riesgo
5 Arquitectura empresarial/TI A. Arquitectura empresarial (AE) compleja e inflexible, que obstaculiza una mayor evolución y
expansión y deriva en oportunidades de negocio perdidas
B. Falla en la adopción y explotación de nuevas infraestructuras o el abandono de infraestructura
obsoleta
B. Falla en adoptar y explotar software nuevo (funcionalidad, optimización, etc.) o al abandonar
aplicaciones obsoletas
D. Arquitectura empresarial no documentada, que conduce a ineficiencias y duplicaciones
E. Número excesivo de excepciones en los estándares de arquitectura empresarial
6 Incidentes de A. Daño accidental de equipos de TI
infraestructura operativa de B. Errores del personal de TI (durante la preparación de copias de seguridad, las actualizaciones de
TI sistemas, el mantenimiento de sistemas, etc.).
C. Información introducida de forma incorrecta por parte del personal de TI o los usuarios del sistema
D. Destrucción del centro de datos (sabotaje, etc.) ocasionado por el personal interno
E. Robo de dispositivo con datos sensibles
F. Robo de un componente clave de infraestructura
G. Configuración errónea de componentes de hardware
H. Manipulación intencional del hardware (dispositivos de seguridad, etc.)
I. Abuso de los derechos de acceso de roles preferentes para acceder a la infraestructura de TI
J. Pérdida de medios de copia de seguridad o no comprobación de la eficacia de las copias de
seguridad
K. Pérdida de la integridad de los datos por parte del proveedor de la nube
L. Interrupción de la operación del servicio por parte de los proveedores de la nube
7 Acciones no autorizadas A. Manipulación del software
B. Modificación intencionada o manipulación del software, que deriva en datos incorrectos
C. Modificación intencionada o manipulación del software, que deriva en acciones fraudulentas
D. Modificación no intencionada del software que deriva en resultados inexactos
E. Configuración no intencionada y errores en la gestión de cambios
8 Problemas de adopción/uso A. No adopción de nuevo software de aplicaciones por parte de los usuarios
de software B. Uso ineficiente de nuevo software por parte de los usuarios
9 Incidentes de hardware A. Inestabilidad del sistema al instalar nueva infraestructura, que deriva en incidentes operativos
(como el programa BYOD)
B. Incapacidad de los sistemas para manejar los volúmenes de transacciones cuando aumentan los
volúmenes de usuarios
C. Incapacidad de los sistemas para manejar la carga del sistema cuando se implementan nuevas
aplicaciones o iniciativas
D. Fallo de servicios (telecomunicaciones, electricidad)
E. Fallo de hardware debido a sobrecalentamiento y/u otras condiciones medioambientales, como la
humedad
F. Daño de los componentes de hardware, lo que lleva a la destrucción de datos por parte del personal
interno
G. Pérdida/divulgación de medios portátiles que contienen datos sensibles (CD, unidades USB, discos
portátiles, etc.)
H. Mayor tiempo de resolución o retraso de soporte en caso de incidentes de hardware
10 Fallos de software A. Incapacidad para usar el software con el fin de lograr los resultados deseados (p. ej., no hacer los
cambios necesarios al modelo de negocio o cambios organizativos)
B. Implementación de software inmaduro (usuarios pioneros, bugs, etc.)
C. Fallos operativos cuando se pone en funcionamiento un nuevo software
D. Falla en el funcionamiento del software regular de aplicaciones críticas
E. Software de aplicación obsoleto (p. ej., tecnología antigua, mal documentada, costosa de mantener,
difícil de expandir, no integrada a la arquitectura actual, etc.)
F. Incapacidad de volver a versiones anteriores en caso de problemas operativos con la nueva versión
G. Base de datos corrupta debido al software con pérdida de acceso a los datos
11 Ataques lógicos [hackeo, A. Usuarios (internos) no autorizados tratando de penetrar los sistemas
malware, etc.] B. Interrupción del servicio debido a un ataque de denegación de servicio (DoS)
C. Defacement del sitio web
D. Ataque de malware
E. Espionaje industrial
F. «Hacktivismo»
G. Un empleado descontento implementa una bomba de tiempo que deriva en la pérdida de datos
H. Los datos de la empresa son robados a través del acceso no autorizado obtenido por un ataque de
phishing
I. Ataques de gobiernos extranjeros a sistemas críticos
24
Figura 2.7—Factor de diseño del perfil de riesgo (Categorías de riesgo de TI) (cont.)
Referencia Categoría del riesgo Ejemplos de escenarios de riesgo
12 Incidentes de A. Rendimiento inadecuado del proveedor en acuerdos de outsourcing a largo plazo y a gran escala (p.
terceros/proveedores ej., por una falta de debida diligencia de los proveedores con respecto a la viabilidad financiera,
capacidad de entrega y sostenibilidad del servicio del proveedor)
B. Aceptación de términos de negocio irrazonables por parte de los proveedores de TI
C. Soporte inadecuado y servicios ofrecidos por los proveedores no alineados con el SLA
D. Incumplimiento con los acuerdos de licencia de software (uso y/o distribución de software sin
licencia)
E. Incapacidad para transferir funciones a proveedores alternativos debido a la dependencia excesiva
con el proveedor actual
F. Compra de servicios de TI (especialmente servicios en la nube) por parte del negocio sin la
consulta/participación del área de TI, lo que deriva en la incapacidad de integrar el servicio con los
servicios internos.
G. SLA inadecuado o incumplido para obtener los servicios acordados y multas en caso de
incumplimiento
13 Incumplimiento A. Incumplimiento de las regulaciones nacionales o internacionales (p. ej., privacidad, contables,
fabricación, medioambiente, etc.)
B. Falta de concienciación sobre los posibles cambios regulatorios que podrían tener un impacto
empresarial
C. Obstáculos operativos causados por las regulaciones
D. Incumplimiento con procedimientos internos
14 Problemas geopolíticos A. Falta de acceso debida a un incidente disruptivo en otras instalaciones
B. Interferencia gubernamental e impacto de políticas nacionales en el negocio
C. Acción dirigida por grupos o agencias auspiciados por el gobierno
4. Problemas relacionados con I&T—Un método asociado para una valoración de riesgos de I&T de la empresa
consiste en considerar a qué problemas relacionados con I&T se enfrenta o, dicho de otro modo, qué riesgo
relacionado con I&T se ha materializado. El problema más común de todos7 incluye la (figura 2.8): 7
7 7 Ver también la Sección 3.3.1 Puntos Típicos de Dolor en la Guía de implementación de COBIT® 2019: Implementación y optimización de una solución de gobierno de Información y Tecnología de ISACA, EE. UU., 2018.
25
5. Escenario de amenazas—El escenario de amenazas bajo el cual opera la empresa puede clasificarse tal como se
muestra en la figura 2.9.
6. Requisitos de cumplimiento—Los requisitos de cumplimiento a los que la empresa está sujeta pueden
clasificarse conforme a las categorías enumeradas en la figura 2.10.
8
8 Este problema está relacionado con la computación de usuario final, que suele surgir de la insatisfacción con respecto a las soluciones y servicios de TI.
26
7. Rol de TI—-El rol de TI para la empresa puede clasificarse tal como se muestra en la figura 2.11.
9. Métodos de implementación de TI—Los métodos que la empresa adopta pueden clasificarse tal como se muestra
en la figura 2.13.
9
9 Los roles incluídos en esta tabla se han extraído de McFarlan, F. Warren; James L. McKenney; Philip Pyburn; “The Information Archipelago—Plotting a Course,” Harvard Business Review, enero 1993, https://hbr.org/1983/01/the-information-
archipelago-plotting-a-course.
27
10. Estrategia de adopción de tecnología—La estrategia de adopción de tecnología puede clasificarse tal como se
muestra en la figura 2.14.
11. Tamaño de la empresa—Se identifican dos categorías, tal como se muestra en la figura 2.15, para el diseño de
un sistema de gobierno de la empresa.10 10
El impacto que los factores de diseño tienen en el diseño de la solución de gobierno se explican en el capítulo 3.
Cada sector industrial posee su propia serie de requisitos en cuanto a las expectativas del uso de I&T. Sin embargo,
es posible captar las características principales de un sector de la industria mediante la combinación de los factores
de diseño que se enumeraron en las tablas anteriores. Por ejemplo:
El sector financiero puede caracterizarse como sigue: TI es un sector altamente regulado, TI juega un rol
estratégico, está compuesto por lo general de grandes empresas y opera en un escenario de grandes amenazas
Los proveedores de servicios de salud (p. ej. hospitales) suelen inclinarse por una combinación de servicio al
cliente/estabilidad y estrategia de innovación, están altamente regulados y son objeto de una serie de áreas de
riesgo específicas (salud, seguridad, privacidad, continuidad, etc.), operan en un escenario de amenazas moderado
(aunque creciente) y dependen estratégicamente cada vez más de TI.
Las organizaciones sin ánimo de lucro son, por lo general, más pequeñas y están menos reguladas, se centran en
los costes y no son pioneros a la hora de innovar en cuanto a adopción de tecnología.
Las agencias del sector público suelen ser organizaciones grandes, con estrategias de servicio al cliente y liderazgo
en costes. Tienen perfiles de riesgo de moderado a alto y están altamente reguladas debido a su propia naturaleza.
El rol de TI puede variar, desde el soporte en agencias conservadoras, a estratégico cuando se trata de iniciativas
gubernamentales digitales (e-government). Los modelos de abastecimiento de proveedores usan cada vez más
servicios externalizados, mientras que suelen seguir la corriente en adopción de tecnología.
10
10 En esta publicación no se han considerado las microempresas, es decir, empresas con menos de 50 empleados.
28
Capítulo 3
Impacto de factores de diseño
3.1 Impacto de los factores de diseño
Los factores de diseño influyen de modo distinto en la personalización del sistema de gobierno de una empresa. Esta
publicación distingue tres tipos distintos de impacto, ilustrados en la figura 3.1.
1. Gestión de prioridad/selección del objetivo—El modelo Core COBIT incluye 40 objetivos de gobierno y
gestión; cada uno consiste en un proceso y una serie de componentes relacionados. Estos son intrínsecamente
equivalentes; no hay ningún orden de prioridad natural entre ellos. Sin embargo, los factores de diseño pueden
influir en esta equivalencia y hacer que algunos objetivos de gobierno y gestión sean más importantes que otros,
a veces hasta el extremo de que algunos objetivos de gobierno y gestión pasen a ser insignificantes. En la
práctica, esta mayor importancia se traduce en el establecimiento de unos niveles de capacidad objetivos más
altos para objetivos de gobierno y gestión importantes.
Ejemplo: Cuando una empresa identifica la(s) meta(s) más relevante(s) de la lista de metas empresariales y aplica la
cascada de metas, esto llevará a una selección de objetivos de gestión prioritarios. Por ejemplo, cuando EG01
Portafolio de productos y servicios competitivos se califica como muy alto por una empresa, hará que el objetivo de
gestión APO05 Gestionar el portafolio sea una parte importante de este sistema de gobierno de la empresa.
29
Ejemplo: Una empresa que es muy adversa al riesgo dará más prioridad a los objetivos de gestión que aspiren a
gobernar y gestionar el riesgo y la seguridad. Los objetivos de gobierno y gestión del EDM03 Garantizar la
optimización del riesgo, APO12 Gestionar riesgos, APO13 Gestionar la seguridad y DSS05 Gestionar los servicios
de seguridad se convertirán en una parte importante de ese sistema de gobierno de la empresa y tendrán unos niveles
de capacidad objetivos más altos definidos para ellos.
Ejemplo: Una empresa que opera en un escenario de grandes amenazas requerirá un alto nivel de capacidad de los
procesos relacionados con la seguridad: APO13 Gestionar la seguridad y DSS05 Gestionar los servicios de
seguridad.
Ejemplo: Una empresa en la que el rol de TI es estratégico y crucial para el éxito del negocio requerirá una alta
participación de los roles relacionados con TI en las estructuras organizativas, un conocimiento profundo del negocio
por parte de los profesionales de TI (y viceversa) y un foco en procesos estratégicos como en APO02 Gestionar la
estrategia y APO08 Gestionar las relaciones.
2. Variación de componentes: Los componentes deben alcanzar los objetivos de gobierno y gestión. Algunos
factores de diseño pueden obligar a variaciones específicas de los componentes o pueden influir en la
importancia de los componentes.
Ejemplo: Las pequeñas y medianas empresas podrían no necesitar un conjunto completo de roles y estructuras
organizativas, como se presenta en el modelo Core COBIT, pero podrían usar un conjunto reducido. Este conjunto
reducido de objetivos de gobierno y gestión y los componentes incluidos se define en el área prioritaria de pequeñas
y medianas empresas.11 1
Ejemplo: Una empresa que opera en un entorno altamente regulado podría atribuir mayor importancia a productos
de trabajo y políticas y procedimientos documentados y algunos roles, como la función de director de cumplimiento.
Ejemplo: Una empresa que usa DevOps en el desarrollo y operación de soluciones requerirá actividades específicas,
estructuras organizativas, cultura, etc., centradas en BAI03 Gestionar la identificación y construcción de soluciones
y DSS01 Gestionar las operaciones.
3. Necesidad de directrices para áreas prioritarias específicas: algunos factores de diseño, como el escenario de
amenazas, riesgo específico, métodos de desarrollo a cumplir y configuración de la infraestructura, impulsará la
necesidad para variar el contenido del modelo Core de COBIT para un contexto determinado.
Ejemplo: Las empresas que adoptan un enfoque DevOps requieren un sistema de gobierno con una variante de
diversos procesos de COBIT genéricos, descritos en la guía del área prioritaria de DevOps12 para COBIT. 2
Ejemplo: Las pequeñas y medianas empresas tienen menos personal, menos recursos de TI y líneas de mando
jerárquicas más cortas y directas, además difieren en muchos aspectos de las empresas grandes. Por ese motivo, su
sistema de gobierno para I&T tendrá que ser menos oneroso, comparado con las grandes empresas. Esto se describe
en la guía del área prioritaria de PYMES de COBIT.13 3
1 11 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de pequeñas y medianas
30
Capítulo 4
Diseño de un sistema de gobierno personalizado
4.1 Introducción
La figura 4.1 ilustra el flujo propuesto para el diseño de un sistema de gobierno personalizado. Cada paso se
comenta con más detalle en los subsecciones siguientes.
2. Determinar
1. Entender el alcance inicial 3. Perfeccionar 4. Finalizar el
el contexto del sistema el alcance del diseño del
y estrategia de gobierno. sistema de sistema de
de la empresa. gobierno. gobierno.
• 1.1 Entender la • 2.1 Considerar la • 3.1 Considerar el escenario • 4.1 Resolver conflictos
estrategia empresarial. estrategia empresarial. de amenazas. de prioridades
• 1.2 Entender las • 2.2 Considerar las • 3.2 Considerar los inherentes.
metas empresariales. metas empresariales requerimientos de • 4.2 Finalizar el diseño
• 1.3 Comprender el y aplicar la cascada cumplimiento. del sistema de
perfil de riesgo. de metas de COBIT. • 3.3 Considerar el rol de TI. gobierno.
• 1.4 Entender los • 2.3 Considerar el • 3.4 Considerar el modelo
problemas actuales perfil de riesgo de de abastecimiento.
relacionados con I&T. la empresa. • 3.5 Considerar los métodos de
• 2.4 Considerar los implementación de TI.
problemas actuales • 3.6 Considerar la estrategia
relacionados con I&T. de adopción de TI.
• 3.7 Considerar el tamaño de la empresa.
Las distintas etapas y pasos del proceso de diseño, como se ilustran en la figura 4.1, resultarán en recomendaciones
para priorizar los objetivos de gobierno y gestión o componentes del sistema de gobierno relacionados con estos,
para alcanzar niveles de capacidad, o para adoptar variantes específicas de un componente del sistema de gobierno.
Algunos de estos pasos o subpasos podría derivar en recomendaciones contradictorias, lo cual es inevitable cuando
se consideran un gran número de factores de diseño, la naturaleza genérica en su conjunto de la guía de factores de
diseño y las tablas de asignación utilizadas.
Se sugiere poner todas las recomendaciones obtenidas durante los distintos pasos en un Canvas de diseño y, en la
última etapa del proceso de diseño, resolver (hasta donde sea posible) los conflictos entre los elementos del Canvas
de diseño y acabar el diseño. No hay una fórmula mágica. El diseño final será una decisión que variará según el caso
y dependerá de todos los elementos del Canvas de diseño. Si siguen estos pasos, las empresas lograrán un sistema de
gobierno adaptado a sus necesidades.
31
Nota 1:: Antes de iniciar el flujo de trabajo del diseño de un sistema de gobierno, es importante articular la unidad
de análisis. Por ejemplo, ¿es la intención diseñar un sistema de gobierno para una unidad de negocio, una empresa
en su conjunto, una red de empresas, etc.?14 1
Nota 2: El flujo de trabajo que se presenta en esta publicación contiene cuatro pasos. Los subpasos dentro de cada
uno de los pasos no son obligatorios. Por ejemplo, una empresa puede decidir diseñar un sistema de gobierno para
abordar una elección estratégica específica (únicamente) o para abordar determinadas áreas de riesgo de TI
(únicamente), sin tener que seguir paso a paso toda la secuencia detallada del flujo de trabajo.
En el primer paso, la empresa examina su contexto, estrategia y entorno de negocio para lograr un mayor
conocimiento de cuatro dominios parcialmente superpuestos, interdependientes y, a menudo, complementarios. Las
siguientes subsecciones describen los subpasos críticos del paso 1:
Estrategia empresarial
Metas empresariales y metas de alineamiento derivadas
Perfil de riesgo de I&T
Problemas actuales relacionados con I&T
La empresa debe decidir cuáles de las estrategias empresariales prototipo encajan mejor en su propia estrategia
empresarial. Las estrategias empresariales prototipo se definen en la sección 2.6, apartado 1 (ver la figura 2.5).
El mecanismo que traslada la estrategia de la empresa a una valoración relativa de la importancia de los objetivos de
gobierno y gestión funciona mejor cuando se eligen opciones claras para los prototipos estratégicos empresariales.
Generalmente, es mejor identificar un prototipo principal y seleccionar solo un prototipo secundario. Cuando se
define una estrategia empresarial como una mezcla de prototipos estratégicos igualmente importante, los objetivos de
gobierno y gestión del modelo Core de COBIT tienden a convertirse en algo más o menos igual de importante,
haciendo que la priorización sea difícil.
La estrategia empresarial se logra mediante la consecución de (una serie de) metas empresariales. COBIT define una
serie de 13 metas empresariales genéricas; cada empresa puede/debería priorizar las metas de su empresa alineadas
con la estrategia empresarial elegida. La lista de metas empresariales se define en la sección 2.6, apartado 2 (ver la
figura 2.6).
Para trasladar las metas empresariales a la valoración relativa de la importancia de los objetivos de gobierno y
gestión (ver la cascada de metas, sección 4.3.3), se deberían tomar decisiones claras a la hora de seleccionar las
metas empresariales. Se recomienda identificar solo unas pocas metas empresariales primarias y un número limitado
de metas empresariales secundarias. Cuando a todas las metas empresariales se asignan prioridades igualmente
importantes, los objetivos de gobierno y gestión del modelo Core de COBIT tienden a convertirse en algo más o
menos igual de importante, haciendo que la priorización sea difícil.
1
14 Entender este alcance está completamente en línea con el diseño del sistema pensando en la recursividad, que se refiere al hecho de que «cualquier sistema de gobierno de TI empresarial viable incluye y es contenido en un sistema de gobierno de TI
empresarial viable»; ver Huygh, T.; S. De Haes; “Using the Viable System Model to Study IT Governance Dynamics: Evidence from a Single Case Study”, Actas de la Conferencia 51 Internacional de Hawái sobre Ciencias de Sistemas, 2018.
32
Otra aportación importante al diseño de un sistema de gobierno es entender el perfil de riesgo de la empresa; es decir,
entender qué escenarios de riesgo podrían afectar a la empresa y cómo evaluar su impacto y probabilidad de
materialización.
Para lograr este conocimiento debería realizarse un análisis de riesgos de alto nivel que incluya:
La identificación de escenarios de riesgo relevantes (que podría basarse en la lista de categorías de escenarios de
riesgo definida en la sección 2.6, apartado 3; ver la figura 2.7)
Evaluación del impacto y probabilidad de que se materialice el escenario, considerando el estado actual de los
controles de mitigación de riesgos
Valoración íntegra del riesgo basada en entradas precedentes
Para ser más eficaz a la hora de decidir el perfil de riesgo adecuado para los propósitos de diseño de gobierno, se
debe hacer una diferenciación clara a la hora de evaluar el riesgo de I&T.
Cuando todo el riesgo de TI se valora como igualmente importante, los objetivos de gobierno y gestión del modelo
de referencia de COBIT tienden a convertirse en algo más o menos igual de importante, por lo que la priorización
será difícil.
Los problemas relacionados con I&T (también denominados puntos de dolor) que sufre la empresa están
estrechamente relacionados con el riesgo de TI. (Estos problemas podrían considerarse riesgos que se han
materializado). Los problemas de TI pueden identificarse o reportarse a través de la gestión de riesgos, la auditoría,
la alta dirección o las partes interesadas externas. Una lista de problemas comunes se define en la sección 2.5,
apartado 4 (ver la figura 2.8).
Debe realizarse una clara diferenciación en la clasificación de problemas de I&T para poder proporcionar los aportes
necesarios para determinar las prioridades del diseño de gobierno.
Cuando todos los problemas de TI se clasifican como igual de graves, los objetivos de gobierno y gestión del modelo
Core de COBIT tienden a convertirse en algo más o menos igual de importante, haciendo que la priorización sea
difícil.
4.2.5 Conclusión
Al final del paso 1, la empresa tendrá una visión clara y consistente de la estrategia empresarial, las metas
empresariales, el riesgo de TI y los problemas actuales de I&T. En el paso siguiente (sección 4.3), esta información
se traducirá en objetivos de gobierno y gestión priorizados para un alcance inicial de un sistema de gobierno
personalizado para la empresa.
Para determinar el alcance inicial del sistema de gobierno, el paso 2 resume la información recopilada durante el
paso 1. Los valores derivados para la estrategia empresarial, las metas empresariales, el perfil de riesgo y los
problemas relacionados con I&T se traducen en una serie de componentes de gobierno priorizados para producir el
sistema inicial de gobierno personalizado para la empresa.
33
El paso 2 presenta una serie de factores de diseño relevantes y valores descriptivos asociados, cuya selección llevará
a la priorización de objetivos de gobierno y gestión. Hay dos opciones básicas para esta evaluación: un enfoque
cualitativo y un enfoque más cuantitativo.
El enfoque cualitativo considera los objetivos de gobierno y gestión más relevantes para los valores de cada factor
de diseño. Después del diseño inicial y los pasos de perfeccionamiento del diseño (para este último, ver la sección
4.4), se toma una decisión cualitativa sobre las prioridades de los objetivos de gobierno y gestión.
El enfoque más cuantitativo implica tablas numéricas de asignación creadas para cada factor de diseño. Las tablas
de asignación cuantifican los valores descriptivos asociados con cada factor de diseño para indicar su correlación con
los objetivos de gobierno y gestión.
Las tablas de asignación de COBIT® 2019 suelen contener valores entre cero (0) y cuatro (4). Cuatro indica la
máxima relevancia de un objetivo de gobierno o gestión con ese valor del factor de diseño determinado; cero
indica que no es relevante.
Trasladar los valores del factor de diseño a la importancia de un objetivo de gobierno y gestión implica el cálculo
de matrices que se deriva en una puntuación para cada objetivo de gobierno y gestión.
Según el método actual preferido, estas puntuaciones pueden manipularse más para su presentación (p. ej.,
normalizarse con determinadas escalas fijas).
Al final de los pasos 2 y 3, los resultados de varios de estos cálculos deben consolidarse. De nuevo, no hay ningún
método objetivamente necesario y fijo para su consolidación; sin embargo, se suele conseguir mejor si se usa una
suma.
El capítulo 7 de esta publicación incluye ejemplos del enfoque cuantitativo. Todos los ejemplos se refieren a un kit
de herramientas Excel® que está disponible en www.isaca.org/COBIT/Pages/COBIT-2019-Design-Guide.aspx y
acompaña a esta Guía de diseño COBIT® 2019.
La figura 4.2 enumera para cada prototipo de estrategia empresarial, los objetivos de gobierno y gestión más
importantes, componentes de gobierno importantes y directrices del área prioritaria relevantes. Cuando la estrategia
empresarial se define como una estrategia híbrida, los objetivos de gobierno y gestión importantes reflejarán una
combinación de elementos.
15 «Importantes» corresponde a un valor de 3 o más en la asignación de la tabla de este factor de diseño a los objetivos de gobierno y gestión
34
4.3.3 Considerar las metas empresariales y aplicar la cascada de metas de COBIT (Factor de
diseño 2)
La estrategia empresarial se logra mediante la consecución de (una serie de) metas empresariales. COBIT® 2019
define 13 metas empresariales genéricas (ver sección 2.6, apartado 2 y figura 4.3); cada empresa debería priorizar
estas metas empresariales en consonancia con la estrategia empresarial.
Este subpaso identifica una serie de objetivos de gobierno y gestión que tienen una mayor importancia para la
empresa, basados en las metas empresariales priorizadas.
Nota: Esta técnica es puramente mecánica, usando tablas de asignación de naturaleza genérica. La empresa debe
interpretar los resultados con precaución, o adaptar las tablas de asignación con base en su propia experiencia y
contexto. En el flujo de trabajo descrito en esta guía, este ajuste se realiza en el paso 4 Finalizar el diseño del
sistema de gobierno.
35
Ejemplos de aplicación de la cascada de metas se incluyen en el Kit de herramientas que acompaña a esta Guía de
diseño COBIT® 2019.16 3
La tabla de asignación del apéndice D relaciona el perfil de riesgo de la empresa con los objetivos de gobierno y
gestión y sus prioridades, utilizando la misma técnica y método de valoración descrita anteriormente.
Ejemplo: El apéndice D ilustra que si la categoría 1 del escenario de riesgo de TI (RISKCAT01) Toma de decisiones
sobre inversiones en TI, definición y mantenimiento del portafolio es una preocupación, entonces los objetivos de
gobierno y gestión siguientes serán importantes:
4.3.5 Considerar los problemas actuales relacionados con la I&T de la empresa (Factor de
diseño 4)
En el paso 1 (ver la sección 4.2.4 Entender los problemas actuales relacionados con I&T), la empresa realizó un
diagnóstico a alto nivel de los problemas relacionados con I&T que experimenta. A continuación, los resultados de
dicho diagnóstico se traducen en prioridades para los objetivos de gobierno y gestión.
El apéndice E incluye una tabla de asignación entre los problemas de I&T y los objetivos de gobierno y gestión de
COBIT® 2019. Como muestra el apéndice E, cada problema relacionado con la I&T está asociado a uno o más
objetivos de gobierno o gestión que pueden influir en el problema relacionado con la I&T. Pueden usarse las mismas
técnicas y mecanismos de valoración descritos anteriormente.
Ejemplo: Cuando el problema relacionado con I&T, «Cambios o proyectos facilitados por TI que con frecuencia no
satisfacen las necesidades del negocio y que se entregan tarde o por encima del presupuesto», preocupa, son
importantes los siguientes objetivos de gobierno y gestión:
APO03
BAI01, BAI02, BAI03, BAI05, BAI11
4.3.6 Conclusión
Al final del paso 2, todos los elementos están disponibles para definir el alcance inicial de un sistema de gobierno
personalizado:
Los objetivos de gobierno y gestión priorizados indican en qué objetivos de gobierno y gestión se debería
enfocar.
Puede que también se incluyan directrices sobre componentes de gobierno específicos en el diseño inicial.
36
La empresa puede elegir elaborar el diseño inicial actual y resolver todas las diferencias entre los distintos aportes, o
puede esperar hasta el paso 4 del flujo de trabajo y combinar los distintos aportes con los refinamientos del alcance
identificados en el paso 3.
El paso 3 identifica los refinamientos / perfeccionamientos del alcance inicial del sistema de gobierno con base en el
conjunto de factores de diseño restantes, conforme se define en la sección 2.6. A lo largo de este capítulo, no todos
los factores de diseño podrían aplicarse a cada empresa. Aquellos factores no aplicables pueden ignorarse.
El resultado de cada consideración de un factor de diseño es una lista clasificada de objetivos de gobierno y gestión,
similar al resultado obtenido en el paso 2. Con las tablas de asignación de los apéndices F a K, se pueden usar las
mismas técnicas y escalas, como se describió anteriormente.
Cuando se considera este factor de diseño deben realizarse los siguientes pasos:
Decidir qué combinación de valores encaja mejor en la situación actual de la empresa, conforme a las entradas
definidas en la figura 4.3.
Considerar las directrices enumeradas para los objetivos, componentes y áreas prioritarias de gobierno y gestión e
incluir la información pertinente en el canvas de diseño para la resolución y conclusión en el paso 4.
4
17 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de seguridad de la información estaba en desarrollo y aún no se había publicado.
37
A la hora de considerar este factor de diseño deben realizarse los siguientes pasos:
Decidir qué combinación de valores encaja mejor en la situación actual de la empresa, conforme a las entradas
definidas en la figura 4.4.
Considerar las directrices enumeradas para los objetivos, componentes y áreas prioritarias de gobierno y gestión e
incluir la información pertinente en el canvas de diseño para la resolución y conclusión en el paso 4.
A la hora de considerar este factor de diseño deben realizarse los pasos siguientes:
Decidir qué combinación de valores encaja mejor en la situación actual de la empresa, conforme a las entradas
definidas en la figura 4.5.
Considerar las directrices enumeradas para los objetivos, componentes y áreas prioritarias de gobierno y gestión e
incluir la información pertinente en el canvas de diseño para la resolución y conclusión en el paso 4.
Figura 4.5—Prioridad de los objetivos de gobierno y gestión asignados al factor de diseño de rol de
TI
Valor del
Prioridad de los objetivos de Variantes del Area
factor de Componentes
gobierno y gestión Prioritaria
diseño
Soporte Según la definición de alcance N/A Modelo Core de COBIT
inicial
Fábrica Entre los objetivos de gobierno y N/A Área prioritaria de
gestión importantes se incluyen: seguridad de la
EDM03 información185
DSS01, DSS02, DSS03, DSS04
Cambio Entre los objetivos de gobierno y N/A Área prioritaria de
gestión importantes se incluyen: DevOPs196
APO02, APO04
BAI02, BAI03
5
18 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de seguridad de la información estaba en desarrollo y aún no se había publicado.
6 19 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de DevOps estaba en desarrollo y no se había publicado.
38
Figura 4.5—Prioridad de los objetivos de gobierno y gestión asignados al factor de diseño de rol de
TI
Valor del
Prioridad de los objetivos de Variantes del Area
factor de Componentes
gobierno y gestión Prioritaria
diseño
Estratégico Entre los objetivos de gobierno y Los componentes bimodales típicos incluyen: Área prioritaria de
gestión importantes se incluyen: Estructuras organizativas transformación digital207
EDM01, EDM02, EDM03 Director de tecnologías digitales
APO02, APO04, APO05, APO12, Habilidades y competencias
APO13 Personal que puede trabajar en un entorno
BAI02, BAI03 ambidiestro que combina tanto la exploración
DSS01, DSS02, DSS03, DSS04, como la explotación
DSS05 Procesos
Un portafolio y un proceso de innovación que
integra la exploración y explotación de las
oportunidades de transformación digitales
7
20 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de transformación digital se estaba considerando como una posible área prioritaria futura.
8
21 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el área prioritaria de gestión de proveedores se estaba considerando como una posible área prioritaria futura.
9
22 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y tecnología, el área prioritaria de la nube se estaba considerando como una posible área prioritaria futura.
39
A la hora de considerar este factor de diseño deben realizarse los siguientes pasos:
Decidir qué combinación de valores encaja mejor en la situación actual de la empresa, conforme a las entradas
definidas en la figura 4.8.
Considerar las directrices enumeradas para los objetivos, componentes y áreas prioritarias de gobierno y gestión e
incluir la información pertinente en el canvas de diseño para la resolución y conclusión en el paso 4.
MEA01
Seguidor (Follower) Entre los objetivos de gobierno y gestión N/A Modelo Core de COBIT
importantes se incluyen:
APO02, APO04
BAI01
Adoptadores lentos Según la definición de alcance inicial N/A Modelo Core de COBIT
(Slow adopter)
A la hora de considerar este factor de diseño deben realizarse los siguientes pasos:
Decidir qué combinación de valores encaja mejor en la situación actual de la empresa, conforme a las entradas
definidas en la figura 4.9.
Considerar las directrices enumeradas para los objetivos, componentes y áreas prioritarias de gobierno y gestión e
incluir la información pertinente en el canvas de diseño para la resolución y conclusión en el paso 4.
23 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el área prioritaria de Agile se estaba considerando como una posible área prioritaria futura.
11
24 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de DevOps estaba en desarrollo y no se había publicado.
12
25 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de transformación digital se estaba considerando como una posible área prioritaria futura.
40
Figura 4.9—Prioridad de los objetivos de gestión y gobierno asignada al factor de diseño de tamaño
de la empresa
Valor del factor de Prioridad de los objetivos de Variantes del
Componentes
diseño gobierno y gestión Area Prioritaria
Ejemplo: si la empresa es una PyME (p. ej., tiene 250 empleados a tiempo completo o menos), debería usar las
directrices contenidas en el área prioritaria de PyMEs para el diseño de su sistema de gobierno.
4.4.8 Conclusión
Al final del paso 3, la empresa habrá identificado una serie de posibles refinamientos para el sistema de gobierno
inicial y los habrá colocado en el canvas para su consolidación durante el paso 4 del flujo de trabajo del diseño.
Los siguientes refinamientos se suelen expresar de forma similar al resultado del paso 2: objetivos de gobierno y
gestión priorizados, componentes importantes para el sistema de gobierno y directrices del área prioritaria específica.
Como último paso del proceso de diseño, el paso 4 reúne todas las entradas de los pasos anteriores para finalizar el
diseño del sistema de gobierno, como se muestra en la figura 4.10. El sistema de gobierno resultante debe reflejar
una cuidadosa consideración de todas las entradas; entender que estas entradas podrían en ocasiones presentar
conflicto.
Perfeccionamiento
Alcance inicial
EDM01—Garantizar el EDM04—Asegurar la EDM05—Asegurar la
EDM02—Asegurar la
del alcance
establecimiento y el EDM03—Asegurar la
realización de beneficios optimización de los transparencia de las
mantenimiento del optimización del riesgo
recursos partes interesadas
marco de gobierno
Paso 4: Finalizar el
la empresa
MEA01—Gestionar la cumplimiento y
supervisión del rendimiento
cumplimiento y
APO09—Gestionar
rendimiento APO08—Gestionar APO010—Gestionar APO011—Gestionar APO012—Gestionar APO013—Gestionar APO013—Gestionar
los acuerdos de
APO09—Gestionar las relaciones servicio los proveedores la calidad el riesgo la seguridad los datos MEA02—Gestionar el
APO08—Gestionar los acuerdos de APO010—Gestionar APO011—Gestionar APO012—Gestionar APO013—Gestionar APO013—Gestionar
las relaciones servicio los proveedores la calidad el riesgo la seguridad los datos sistema de control
BAI02—Gestionar la BAI03—Gestionar la BAI07—Gestionar la interno
BAI01—Gestionar BAI04—Gestionar la BAI05—Gestionar
definición de identificación y BAI06—Gestionar aceptación y la
los programas disponibilidad y los cambios
de gobierno
BAI08—Gestionar BAI09—Gestionar BAI10—Gestionar BAI11—Gestionar MEA03—Gestionar
MEA03— Managedel
BAI08—Managed BAI09—Managed BAI10—Managed
el conocimiento los activos la configuración
EDM01 —Ensured
EDM01—Garantizar el BAI11—Managed
los proyectos cumplimiento
Compliance Withde los
BAI08—Gestionar BAI09—Gestionar BAI10—Gestionar BAI11—Gestionar MEA03—Gestionar el APO01—Gestionar
APO02—Gestionar APO03—Gestionar Knowledge APO05—GestionarAssets APO06—Gestionar
APO04—Gestionar
APO07—Gestionar
el recursos Projects EDM02 —Ensured
EDM02—Asegurar la EDM03—Asegurar la
EDM04—Asegurar larequisitos externos
External
EDM05—Asegurar la
el conocimiento los activos la configuración los proyectos cumplimiento de los el marco de la arquitectura de el presupuestoestablecimiento
y Governance ylos
realización de optimización de los transparencia de las
la estrategia la innovación la cartera mantenimiento delhumanos optimización del riesgo Requirements
requisitos externos gestión de TI la empresa los costes Framework Setting beneficios recursos partes interesadas
marco de gobierno MEA01—Gestionar la
and Maintenance
supervisión del
cumplimiento y
rendimiento
APO09—Gestionar
APO08—Gestionar APO010—Gestionar APO011—Gestionar APO012—Gestionar APO013—Gestionar APO013—Gestionar
las relaciones
los acuerdos de
los proveedores la calidad el riesgoDSS02—Gestionar la seguridad los datos DSS05—Gestionar DSS06—GGestiona DSS02—Gestionar DSS05—Gestionar DSS06—GGestionar
servicio DSS01—Gestionar DSS03—Gestionar DSS04—Gestionar
DSS02—Gestionar
DSS01—Gestionar las solicitudes e
DSS02—Managed DSS03—Gestionar DSS04—Gestionar DSS05—Managed
los servicios de r los controles de MEA04—Gestionar el las solicitudes e los servicios de los controles de MEA04—Gestionar el
DSS05—Gestionar DSS06—GGestiona DSS01—Managed
las operaciones incidentes de DSS03—Managed
los problemas DSS04—Managed
la continuidad seguridad procesos de
DSS01—Gestionar las solicitudes e DSS03—Gestionar DSS04—Gestionar los servicios de r los controles de Operations Service Requests
Problems Continuity
Security aseguramiento las operaciones incidentes de los problemas la continuidad seguridad procesos de negocio aseguramiento
MEA04—Gestionar el servicio negocio
las operaciones incidentes de los problemas la continuidad seguridad procesos de and Incidents APO01—Managed
APO01—Gestionar Services
APO03—Managed
APO03—Gestionar APO06—Gestionar APO07—Gestionar
servicio
aseguramiento APO02—Managed
APO02—Gestionar APO04—Gestionar APO05—Gestionar
servicio negocio el marco de
IT Management Enterprise
la arquitectura de el presupuesto y los recursos
la estrategia
Strategy la innovación la cartera
gestión de TI
Framework los costes humanos
la empresa
Architecture
MEA02—Gestionar el MEA01—Gestionar la
sistema de control supervisión del
BAI02—Gestionar BAI03—Gestionar BAI07—Gestionar interno cumplimiento y
BAI01—Gestionar BAI04—Gestionar BAI05—Gestionar rendimiento
la definición de la identificación y BAI06—Gestionar la aceptación y la
los programas la disponibilidad y los cambios
requisitos creación de los cambios de TI APO09—Gestionar
transición deAPO09—Managed
los
capacidad organizativos APO08—Gestionar
APO08—Managed APO010—Gestionar
APO10—Managed APO011—Gestionar APO012—Gestionar APO013—Gestionar APO013—Gestionar
soluciones cambios de TIlos acuerdos
Servicede
las relaciones
Relationships servicio los proveedores
Vendors la calidad el riesgo la seguridad los datos
Agreements
26 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de pequeñas y medianas empresas
41
4.5.1.1 Propósito
Se considerarán los siguientes resultados de los pasos anteriores antes de llegar a cualquier conclusión:
El diseño inicial del sistema de gobierno, se obtuvo en el paso 2, basado en la estrategia empresarial, las metas
empresariales, el perfil de riesgo y los problemas relacionados con I&T. El diseño inicial puede que refleje
algunas series divergentes de objetivos de gestión priorizados.
Los refinamientos obtenidos en el alcance en el paso 3 a través del análisis de los factores de diseño restantes y
series de prioridades divergentes.
El flujo de trabajo descrito en esta guía puede aplicarse a distintas situaciones y precisa distintas estrategias para
llegar a una conclusión. En resumen, la empresa debe analizar los datos y resultados después de aplicar los factores
de diseño en el contexto de sus metas para implementar un programa de gobierno.
Ejemplo: si la empresa tiene una iniciativa importante y continua (p. ej. una inversión importante en una
aplicación de la empresa, programa de transformación digital, etc.) o quiere centrarse en un tema o asunto muy
específico (p. ej., resolver un problema de seguridad importante, adoptar una estrategia de DevOPs, alinearse o
cumplir con nuevas regulaciones de privacidad, etc.), no necesita aplicar todos los pasos del flujo de trabajo
propuesto con todos los detalles, sino centrarse en áreas específicas de interés.
En el caso de una inversión de desarrollo importante, la empresa puede considerar su estrategia empresarial (factor
de diseño 1) como una estrategia de innovación/diferenciación y decidir, por tanto, trabajar solo en los objetivos de
gobierno y gestión destacados para este factor de diseño.
En caso de nuevas regulaciones de privacidad, una empresa puede centrarse en objetivos de gobierno y gestión que
corresponden a requisitos de cumplimiento altos (factor de diseño 6). Estos objetivos son EDM01 Asegurar el
establecimiento y el mantenimiento del marco de gobierno, EDM03 Garantizar la optimización del riesgo, APO12
Gestionar los riesgos, MEA03 Gestionar el cumplimiento de los requisitos externos y MEA04 Gestionar el
aseguramiento. Además, la empresa deberá centrarse en los objetivos de gobierno y gestión que surjan del análisis
de requisitos de cumplimiento incluidos en MEA03.
Ejemplo: si la empresa requiere una visión amplia, holística y profunda de su sistema de gobierno, se
recomienda que aplique el flujo de trabajo completo, conforme se describe en esta guía, y considere
cuidadosamente todos los factores de diseño.
Cuando se define el diseño de un sistema de gobierno, la empresa debe revisar sus objetivos de gobierno y gestión, y
analizar su(s) nivel(es) de rendimiento actual(es) (como niveles de capacidad para procesos). La empresa entonces
debe tener en cuenta los resultados de estas evaluaciones a la hora de definir la hoja de ruta hacia el sistema de
gobierno objetivo, buscando primero todas las ganancias rápidas (como aquellas iniciativas que implican un esfuerzo
limitado, pero que generan grandes beneficios).
No hay directrices aplicables de forma universal para resolver prioridades contrapuestas o contradictorias, válidas en
todos los contextos empresariales. Sin embargo, algunas recomendaciones para abordar esto son:
42
Incluir a todas las partes interesadas en el debate sobre el diseño del sistema de gobierno: consejo de
administración y dirección ejecutiva, ejecutivos de negocio, dirección de la función de TI y director de
aseguramiento y riesgos.
Considerar la naturaleza genérica de las directrices y las tablas de asignación de COBIT, que no pueden tener en
cuenta todas las especificidades de cada empresa. La empresa puede y debe prepararse para desviarse de algunas
de las prioridades identificadas si piensa que hay razones justificadas para dicho desvío.
De igual modo, tenga en cuenta que el contexto específico de la empresa podría requerir desviarse de las
prioridades estrictamente cuantitativas para los objetivos de gobierno y gestión que se generan por computaciones
genéricas, preprogramadas (p. ej., resultados de cálculos de matrices matemáticas).
La finalización de la fase de diseño debe producir un diseño para el sistema de gobierno para la I&T de la empresa.
Este diseño incluirá:
Objetivos de gobierno y gestión priorizados en los que:
El número de objetivos de alta prioridad se mantiene en un nivel razonable.
Los niveles de capacidad objetivo (o requisitos de rendimiento equivalentes para no procesos) se definen con
niveles de capacidad objetivo más altos para los objetivos más críticos y niveles de capacidad objetivo más bajos
para objetivos menos críticos.
Varios niveles de capacidad objetivo para los procesos (u objetivos de rendimiento equivalentes para otros
componentes). Cuando se definen esos objetivos, no se recomienda aspirar a la calificación más alta, porque:
Para algunos procesos u otros componentes no es posible o no se define una capacidad de nivel cinco (5).
Casi nunca es rentable ni justificable operar un sistema de gobierno con este alto nivel de capacidad en todos los
objetivos.
A muchas organizaciones les parecerá casi imposible implementar la hoja de ruta de un sistema de gobierno con
un nivel de capacidad alto dentro de cualquier tipo de plazo razonable.
Un componente de gobierno que requiera una atención específica debido a un problema o circunstancia
determinada (p. ej. si la privacidad es una preocupación primordial para una empresa, las políticas y
procedimientos de privacidad podrían requerir una atención especial)
Las directrices del área prioritaria que complementan las directrices del Core de COBIT (cuando están
disponibles, son necesarias y son adecuadas)
El resultado del último paso en el flujo de trabajo del diseño de gobierno es un sistema de gobierno bien diseñado.
Sin embargo, un sistema de gobierno es inherentemente dinámico. Las estrategias pueden cambiar, se lanzan
programas de inversión importantes, los escenarios de amenazas cambian, las tecnologías cambian, etc. Esto
significa que el sistema de gobierno debe ser revisado periódicamente y que deben efectuarse cambios en el sistema
siempre que sea necesario.
Esta naturaleza dinámica de cualquier sistema de gobierno también conecta con la Guía de implementación de
COBIT® 2019, que señala un ciclo de mejora continua (ver también el capítulo 5 de esta publicación).
43
44
Capítulo 5
Conectando con la Guía de implementación COBIT ® 2019
La Guía de implementación COBIT® 2019 destaca una visión de gobierno de I&T que abarca toda la empresa,
reconociendo que la I&T está en todas las áreas de las empresas y que no es ni posible ni es una buena práctica
separar las actividades empresariales de las de TI.
El gobierno y gestión de I&T de la empresa debe, por tanto, implementarse como una parte integral del gobierno de
la empresa y debe cubrir todas las áreas del negocio y las áreas funcionales de responsabilidad de TI.
Cuando las implementaciones del sistema de gobierno fallan, una de las razones habituales es que no se inician ni se
gestionan apropiadamente como programas para asegurar que se obtengan beneficios. Los programas de gobierno
deben estar patrocinados por la dirección ejecutiva y deben tener un alcance apropiado, y siempre deberían definir
objetivos que sean alcanzables. Estas provisiones permiten a la empresa asimilar el ritmo del cambio según lo
previsto. La gestión de programas se aborda, por tanto, como una parte íntegra del ciclo de vida de la
implementación.
Si bien se recomienda un enfoque de programa y proyecto para impulsar las iniciativas de mejora de una manera más
efectiva, el objetivo general es establecer una práctica normal de negocio y un enfoque sostenible para gobernar y
gestionar la I&T empresarial (como cualquier otro aspecto del gobierno de la empresa). Por este motivo, el método
de implementación se basa en empoderar a las partes interesadas de la empresa y de TI para que se apropien de las
decisiones y actividades de gobierno y gestión relacionados con I&T facilitando y permitiendo el cambio.
El programa de implementación se cierra cuando el proceso para centrarse en las prioridades relacionadas con TI y la
mejora del gobierno generan un beneficio medible, y cuando los resultados del programa se han integrado en la
actividad empresarial continua.
Puede encontrar más información sobre estas materias en la Guía de implementación de COBIT® 2019.
45
emos 1 ¿Cuáles s
nten
o ma lso? on l
óm pu os
¿C el im im
7 e ladd Iniciar pu
lso
ida un p re
ctiv visión ro gra
Efe re
s?
ma
Estab
ner le
de cer
2¿
ste
So de ca seo el
Dón
Defi portuni
os?
mb
ios
iar
de es
6 ¿Lo logram
efic
rear Identifica
nir p dades
ito n e
on y cesi r l
im
M d
• Gestión del programa
Obtener ben
r a
alua act de d
nuevos ar
tamos ahora?
Formpo de
equi entación
roblemas y
plem
ev
Incorpor
uar
s
(círculo exterior)
y tar
enfoque
Det estado
Implemen
el tual
ar el
erminar
ac
medir
e sta ir
et lo s d o
De e
le m a
s
m
Imp
ivo
nt
el d j
e
s ar (círculo interior)
ult a r
C o n s tr u ir ob
ru ta
le m uso
o
es u n ic
5 ¿C
ad
Pla
m e j o ra s
en
y
ac
m
?
Co r
de
t
nd
star
ión
óm
el ja
ee
Identificar a
se
oc
ho
los r
jec
uc ole s asig n ad os mo
on
la
ión nir
se
e re
fi
De
gu
qu
m
i re
de
os
Progra ón
ll e
ga m a del pla n ¿D
r? 3
4 ¿ Q u é d e b e h a c er s e ?
La fase 1 del método de implementación identifica los impulsores de cambio actuales y crea, a nivel de la gestión
ejecutiva, el deseo de cambiar, que se expresa en un esquema de un caso de negocio. Un impulsor del cambio es un
evento interno o externo, una condición o problema importante que sirve como estímulo para el cambio. Eventos,
tendencias (industria, mercado o técnica), falta de rendimiento, implementaciones de software e incluso las metas
empresariales pueden actuar en su conjunto como impulsores del cambio.
El riesgo asociado a la implementación del programa en sí mismo se describe en el caso de negocio y se gestiona a lo
largo del ciclo de vida. La preparación, mantenimiento y monitorización de un caso de negocio son disciplinas
fundamentales e importantes para justificar, apoyar y, a continuación, garantizar resultados satisfactorios para
cualquier iniciativa, incluida la mejora del sistema de gobierno. Ellos aseguran un foco continuo en los beneficios del
programa y su realización.
La fase 2 alinea los objetivos relacionados con I&T con las estrategias y el riesgo empresarial y prioriza las metas
empresariales, metas de alineamiento y procesos más importantes. La Guía de diseño COBIT® 2019 proporciona
distintos factores de diseño para contribuir a la selección.
Según las metas empresariales y las metas relacionadas con TI seleccionadas y otros factores de diseño, la empresa
debe identificar los objetivos críticos de gobierno y gestión y los procesos subyacentes que tengan la capacidad
suficiente para asegurar resultados satisfactorios. La dirección debe conocer su capacidad actual y dónde podría
haber deficiencias. Esto puede lograrse mediante una evaluación del estado actual de la capacidad de los procesos
seleccionados.
46
La fase 3 establece un objetivo de mejora seguido de un análisis de brechas para identificar posibles soluciones.
Algunas soluciones serán ganancias rápidas y otras serán tareas más desafiantes a largo plazo. La prioridad debe
otorgarse a los proyectos cuya consecución resulte más fácil y que probablemente proporcionen los mayores
beneficios. Las tareas a más largo plazo deben desglosarse en piezas gestionables.
La fase 4 describe cómo planificar soluciones factibles y prácticas mediante la definición de proyectos apoyados por
casos de negocio justificables y un plan del cambio para la implementación. Un caso de negocio bien desarrollado
puede contribuir a garantizar que los beneficios del proyecto se identifiquen y monitoricen continuamente.
La fase 5 contempla la implementación de las soluciones propuestas a través de prácticas diarias y mediante el
establecimiento de medidas y sistemas de monitorización para garantizar que se logra el alineamiento con el negocio,
y poder medir el desempeño.
Para tener éxito se requiere dedicación, concienciación y comunicación, comprensión y compromiso de la alta
dirección, y compromiso de propiedad de los dueños de los procesos de negocio y de TI afectados.
La fase 6 se centra en la transición sostenible de las prácticas mejoradas de gobierno y gestión a operaciones
empresariales normales. Se centra además en monitorizar la consecución de las mejoras usando las métricas de
desempeño y los beneficios esperados.
La fase 7 revisa el éxito global de la iniciativa, identifica otros requisitos de gobierno y gestión y refuerza la
necesidad de una mejora continua. También prioriza más oportunidades para mejorar el sistema de gobierno.
La gestión de programas y proyectos se basa en buenas prácticas y proporciona puntos de control en cada una de las
siete fases, para garantizar que el desempeño del programa va por buen camino, el caso de negocio y el riesgo están
actualizados, y la planificación de la siguiente fase se ha ajustado como corresponde. Se asume que el enfoque
estándar de la empresa se seguirá.
Puede encontrarse más ayuda sobre la gestión de programas y proyectos en los objetivos de gestión de COBIT
BAI01 Gestionar los programas y BAI11 Gestionar los proyectos. Aunque la presentación de informes no se
menciona de forma explícita en ninguna de las fases, se trata de una tarea continua durante todas las fases e
iteraciones.
La Guía de diseño COBIT® 2019 elabora una serie de tareas definidas en la Guía de implementación COBIT® 2019.
La figura 5.2 describe los elementos de conexión entre ambas guías y el propósito de esta tabla es que los usuarios
de la Guía de implementación COBIT® 2019 encuentren directrices más detalladas y adicionales, adecuadas para
determinadas fases y actividades en la Guía de diseño COBIT® 2019.
47
Figura 5.2—Puntos de conexión entre la Guía de diseño COBIT y la Guía de implementación COBIT
la Guía de implementación COBIT la Guía de diseño COBIT
Fase 1: ¿Cuáles son los impulsores? (Tareas de mejora Paso 1: Entender el contexto y estrategia de la empresa.
continua [CI], por sus siglas en inglés)
1 Identificar el contexto actual de gobierno, los puntos de dolor 1.4 Entender los problemas actuales relacionados con
de TI y TI del negocio, eventos y síntomas que desencadenan la I&T.
necesidad de actuar.
2 Identificar los impulsores del negocio y de gobierno y los 1.1 Entender la estrategia empresarial.
requisitos de cumplimiento para mejorar el gobierno 1.2 Entender las metas empresariales.
empresarial de información y tecnología (GEIT) y evaluar las 1.3 Entender el perfil de riesgo.
necesidades actuales de las partes interesadas.
3 Identificar prioridades del negocio y estrategia empresarial 1.1 Entender la estrategia empresarial.
dependientes de TI, incluido cualquier proyecto significativo 1.2 Entender las metas empresariales.
actual. 1.3 Entender el perfil de riesgo.
4 Alinearse con las políticas, estrategias y principios rectores de
la empresa y cualquier iniciativa de gobierno en curso.
5 Aumentar la concienciación a los directivos sobre la
importancia de TI para la empresa y el valor del GEIT. No son pasos de diseño de gobierno exclusivamente, estas
6 Definir la política, objetivos, principios rectores y objetivos de tareas están más relacionadas con tareas de habilitación
mejora de alto nivel del GEIT. del cambio en la Guía de implementación COBIT y están
7 Asegurar que la dirección y el consejo de administración cubiertas de forma adecuada aquí.
entiende y aprueba una estrategia de alto nivel, y aceptar el
riesgo de no tomar ninguna acción ante problemas
significativos.
Fase 2: ¿Dónde estamos ahora? (tareas CI) Paso 2—Determinar el alcance inicial del sistema de
gobierno.
Paso 3—Perfeccionar el alcance del sistema de gobierno.
Paso 4—Finalizar el diseño del sistema de gobierno.
1 Identificar metas empresariales clave y apoyar las metas 2.1 Considerar la estrategia empresarial.
relacionadas con TI claves. 2.2 Considerar las metas empresariales y aplicar la
cascada de metas de COBIT.
2 Establecer la importancia y naturaleza de la contribución de TI 2.2 Considerar las metas empresariales y aplicar la
(soluciones y servicios) requeridos para respaldar los objetivos 3.3 cascada de metas de COBIT.
de negocio. 3.4 Considerar el rol de TI.
3.5 Considerar el modelo de abastecimiento de
3.6 proveedores.
3.7 Considerar los métodos de implementación de TI.
Considerar la estrategia de adopción de
tecnología.
Considerar el tamaño de la empresa.
3 Identificar problemas y debilidades claves de gobierno 2.4 Considerar los problemas actuales relacionados
relacionadas con las soluciones y servicios actuales y con I&T.
requeridos en el futuro, la arquitectura empresarial necesaria
para respaldar las metas relacionadas con TI y cualquier
restricción o limitación.
4 Identificar y seleccionar los procesos críticos para respaldar las 2.1 Considerar la estrategia empresarial.
metas relacionadas con TI y, si corresponde, prácticas de 2.2 Considerar las metas empresariales y aplicar la
gestión clave para cada proceso seleccionado. cascada de metas de COBIT.
5 Evaluar el riesgo de habilitación de beneficios/valor, el riesgo de 2.3 Considerar el perfil de riesgo de la empresa.
realización de programa/proyecto y el riesgo de operaciones de
prestación de servicio/TI relacionados con procesos críticos de
TI.
6 Identificar y seleccionar procesos críticos de TI para 2.3 Considerar el perfil de riesgo de la empresa.
garantizar que se evite el riesgo.
7 Entender la posición de aceptación del riesgo conforme a lo 1.3 Entender el perfil de riesgo.
definido por la dirección. 2.3 Considerar el perfil de riesgo de la empresa.
48
Figura 5.2—Puntos de conexión entre la Guía de diseño COBIT y la Guía de implementación COBIT (cont.)
49
Figura 5.2—Puntos de conexión entre la Guía de diseño COBIT y la Guía de implementación COBIT (cont.)
50
Parte II
Ejecución y ejemplos
Capítulo 6
Kit de herramientas de diseño del sistema de gobierno
6.1 Introducción
Este capítulo introduce el kit de herramientas que acompaña a la Guía de diseño COBIT, una herramienta basada en
hojas de cálculo Excel® , que facilita la aplicación del flujo de trabajo del diseño del sistema de gobierno explicado
en el capítulo 4.
El kit de herramientas se utilizó para ilustrar los tres ejemplos señalados en el capítulo 7 de esta publicación. Esta
introducción debería ayudar a los lectores a obtener un conocimiento básico del kit de herramientas y apreciar cómo
se generaron los resultados en el capítulo 7. Una vez descargado, el kit de herramientas muestra los valores
ilustrados en este capítulo. Para usar la herramienta, cambiar los valores para adaptarlos al contexto de la empresa.
Nota: Existen muchos métodos para cuantificar y clasificar las prioridades para los objetivos de gobierno y
gestión. En esta publicación y el kit de herramientas que la acompaña, se seleccionó un método, pero eso no
excluye otros métodos valiosos que sean capaces de lograr resultados confiables.
El kit de herramientas consiste en una hoja de cálculo Excel. La hoja de cálculo contiene:
Una pestaña de introducción e instrucciones que proporciona información básica sobre cómo usar el kit de
herramientas
Una pestaña del canvas que consolida todos los resultados del flujo de trabajo del diseño del sistema de gobierno
Una pestaña para cada factor de diseño (DF), en la que:
Los valores se pueden introducir y representar gráficamente
Los puntajes de prioridad para los objetivos de gobierno y gestión se calculan y presentan en formato de tabla y
gráficamente en dos diagramas
Dos pestañas de resumen (una después del paso 2 y otra después del paso 3 del flujo de trabajo de diseño del
sistema de gobierno) que representan gráficamente los resultados de cada paso completado
Tablas de asignación para los factores de diseño con valores de entrada usados por otras pestañas (estas pestañas se
ocultan para mejorar la lectura de la hoja de cálculo)
Las tablas de asignación (con la excepción del factor de diseño 2 Metas empresariales) contienen valores entre
cero (0) y cuatro (4), que indican la importancia de cada objetivo de gobierno/gestión para cada valor respectivo
del factor de diseño, escenario de riesgo o problema relacionado con I&T.
- Un valor de 4 significa la máxima relevancia, mientras que un valor de 0 significa que no es relevante.
- Los valores reflejan promedios establecidos por un panel de expertos. Los valores no pueden modelar, y no lo
hacen, cada situación individual y, por tanto, deben usarse con precaución. Sin embargo, pueden dar buenas
indicaciones representativas y pueden considerarse como una guía de orientación.
La tabla de asignación para el factor de diseño 2 Metas empresariales es ligeramente distinta, puesto que
contiene dos tablas de asignación. Una tabla asigna las metas empresariales a las metas de alineamiento, y la otra
tabla asigna las metas de alineamiento a los objetivos de gobierno y gestión (ver los apéndices B y C).
51
En estos pasos del flujo de trabajo de diseño del gobierno, se evalúan la estrategia, metas, perfil de riesgo y
problemas relacionados con la I&T de la empresa. Los pasos evalúan los primeros cuatro factores de diseño
(conforme se definen en el capítulo 4) para determinar su impacto en el diseño inicial de un sistema de gobierno:
1. Estrategia empresarial
2. Metas empresariales (a través de la cascada de metas)
3. Perfil de riesgo de TI
4. Problemas relacionados con I&T
6.3.1 Estrategia empresarial (Factor de diseño 1)
Entrada Cada uno de los cuatro valores posibles para el factor de diseño de la estrategia empresarial
(crecimiento/adquisición, innovación/diferenciación, liderazgo en coste, servicios/estabilidad al cliente)
deben clasificarse entre 1 (nada importante) y 5 (más importante).
Se recomienda mantener la suficiente distancia entre los valores.
Cálculo El kit de herramientas realiza un cálculo de matrices de los valores introducidos para el factor de diseño 1
Estrategia empresarial con la tabla de asignación para el factor de diseño 1, lo que deriva en un puntaje para
cada objetivo de gobierno/gestión.
El kit de herramientas realiza un segundo cálculo de matrices de un conjunto de valores de referencia para
el factor de diseño 1 con la tabla de asignación para el factor de diseño 1, lo que deriva en un puntaje de
referencia para cada objetivo de gobierno/gestión.
El kit de herramientas calcula a continuación la importancia relativa de cada objetivo de gobierno/gestión
como una diferencia relativa entre ambos conjuntos de valores, expresado como un porcentaje y
redondeado a 5. Este número puede ser positivo o negativo, indicando que un objetivo de gobierno/gestión
es más o menos importante a la hora de hacer una comparación con el puntaje de referencia.
Salida La sección de salida de esta pestaña contiene la importancia relativa calculada para cada uno de los 40
objetivos de gobierno y gestión de COBIT® 2019.
Los resultados se representan en formato de tabla, como un diagrama de barras y un diagrama de araña.
52
Entrada Cada una de las trece metas empresariales deben clasificarse entre 1 (nada importante) y 5 (más
importante).
Usando las metas empresariales genéricas se determinan las metas más importantes para la empresa. Es
aconsejable seleccionar las tres a cinco primeras metas empresariales más importantes; demasiadas
metas de alta prioridad producirán unos resultados de la cascada de metas menos significativos.
Se recomienda mantener la suficiente distancia entre los valores.
Cálculo La herramienta realiza un doble cálculo de matrices entre (1) las metas empresariales clasificadas y la
tabla de asignación entre las metas empresariales y las metas de alineamiento de TI, y (2) el resultado del
primer cálculo de matrices y la tabla de asignación entre las metas de alineamiento de TI y los objetivos de
gobierno y gestión.
La herramienta realiza una segunda serie de cálculos de matrices de una serie de valores de referencia para
el factor de diseño 2 Metas empresariales, lo que deriva en un puntaje de referencia para cada objetivo de
gobierno/gestión.
La herramienta calcula a continuación la importancia relativa de cada objetivo de gobierno/gestión como
una diferencia relativa entre ambos conjuntos de valores, expresado como un porcentaje y redondeado a 5.
Este número puede ser positivo o negativo, indicando que un objetivo de gobierno/gestión es más o menos
importante a la hora de hacer una comparación con el puntaje de referencia.
Salida La sección de Salida de esta hoja contiene la importancia relativa calculada para cada uno de los 40
objetivos de gobierno y gestión de COBIT® 2019.
Los resultados se representan en formato de tabla, como un diagrama de barras y un diagrama de araña.
53
Coste y control de TI
Comportamiento, habilidades y conocimiento de TI
Arquitectura de la empresa/TI
Incidentes de infraestructura operativa de TI
Acciones no autorizadas
Adopción de software/problemas de uso
Incidentes de hardware
Fallos de software
ataques lógicos [hackeo, software malintencionado (malware), etc.]
Incidentes de terceros/proveedores
Incumplimiento
Problemas geopolíticos
Acción industrial
Actos de la naturaleza
Innovación tecnológica
Medio ambiente
Gestión de datos e información
Riesgo alto
Riesgo normal
Riesgo bajo
54
Entrada Cada uno de los 20 problemas relacionados con I&T para el factor de diseño de problemas relacionados
con I&T debe valorarse entre 1 (ningún problema) y 3 (problema grave). Los números 1, 2 y 3 deben
introducirse en la herramienta; ésta los traducirá automáticamente en un símbolo, según la tecla de la
herramienta para esa valoración.
Se recomienda mantener la suficiente distancia entre los valores.
Cálculo La herramienta realiza un cálculo de matrices de los valores introducidos para el factor de diseño 4
Problemas relacionados con I&T con la tabla de asignación para el factor de diseño 4, lo que deriva en una
valoración para cada objetivo de gobierno/gestión.
La herramienta realiza un segundo cálculo de matrices de un conjunto de valores de referencia para el
factor de diseño 4 con la tabla de asignación para el factor de diseño 4, lo que deriva en una valoración de
referencia para cada objetivo de gobierno/gestión.
La herramienta calcula a continuación la importancia relativa de cada objetivo de gobierno/gestión como
una diferencia relativa entre ambos conjuntos de valores, expresado como un porcentaje y redondeado a 5.
Este número puede ser positivo o negativo, indicando que un objetivo de gobierno/gestión es más o menos
importante a la hora de hacer una comparación con el puntaje de referencia.
Salida La sección de salida de esta pestaña contiene la importancia relativa calculada para cada uno de los 40
objetivos de gobierno y gestión de COBIT® 2019.
Los resultados se representan en el formato de tabla, como un diagrama de barras y un diagrama de araña.
Importancia
Problema relacionado con I&T (1-3)
Línea base de
referencia
55
6.3.5 Conclusión
Entrada N/A
Cálculo La herramienta realiza una suma ponderada de los puntajes importantes calculados de los objetivos
de gobierno/gestión relacionados con los cuatro primeros factores de diseño.
Las ponderaciones pueden introducirse en la pestaña del canvas y se configuran en 1 por defecto. La
ponderación puede cambiarse si, por ejemplo, la estrategia de la empresa es de mayor importancia
que los objetivos empresariales, el riesgo o los problemas relacionados con I&T.
Los resultados logrados se normalizan entonces en una escala de 100 (tanto positiva como negativa)
y se reflejan en la pestaña de resumen del paso 2.
El valor más alto (positivo o negativo) obtiene un puntaje de 100.
Los demás valores se prorratean con respecto a este valor.
La lista resultante de puntajes no sólo proporciona una visión confiable de la importancia relativa de
todos los objetivos de gobierno/gestión comparados unos con otros, sino que también da una
indicación de la importancia absoluta. Este resultado permite a la empresa no sólo priorizar los
objetivos de gobierno/gestión comparándolos unos con otros, sino también definir niveles de
capacidad objetivo adecuados.
Salida La pestaña resumen del paso 2 contiene la importancia relativa calculada para cada uno de los 40
objetivos de gobierno y gestión de COBIT® 2019.
Los resultados se representan en el formato de tabla (en la pestaña del canvas) y como un diagrama
de barras (pestaña de resumen del paso 2)
56
57
Nota: El gráfico de ejemplo anterior es consistente con los gráficos de ejemplo para cada factor de diseño, ya que
representa el resultado real si los factores del 1 al 4 se introdujeran conforme se muestra en las entradas de ejemplo
proporcionadas en este capítulo 6.
En este paso, se mejora aún más el alcance inicial del sistema de gobierno según la evaluación de los factores de
diseño restantes:
1. Escenario de amenazas
2. Requisitos de cumplimiento
3. Rol de TI
4. Modelo de abastecimiento de proveedores para TI
5. Métodos de implementación de TI
6. Estrategia de adopción de tecnología
7. Tamaño de la empresa (tenga en cuenta que este factor de diseño no se incluye como parte de la herramienta; ver
la sección 6.4.7 para obtener más información)
58
Entrada Cada uno de los dos valores posibles (alto y normal) para el factor de diseño de escenario de amenazas
debe valorarse entre 0% y 100%. La suma de ambos valores debe ser 100%.
Para muchas empresas, 100% se asignará a una de las categorías. La opción está disponible para asignar
porcentajes cuando una parte de las operaciones de la empresa está sujeta a un escenario de amenazas
alto, mientras que otras están sujetas a un escenario de amenazas más normal.
Cálculo La herramienta realiza un cálculo de matrices de los valores introducidos para el factor de diseño 5
Escenario de amenazas con la tabla de asignación para el factor de diseño 5, lo que deriva en una
valoración para cada objetivo de gobierno/gestión.
La herramienta realiza un segundo cálculo de matrices de un conjunto de valores de referencia para el
factor de diseño 5 con la tabla de asignación para el factor de diseño 5, lo que deriva en una valoración de
referencia para cada objetivo de gobierno/gestión.
La herramienta calcula a continuación la importancia relativa de cada objetivo de gobierno/gestión como
una diferencia relativa entre ambos conjuntos de valores, expresado como un porcentaje y redondeado a 5.
Este número puede ser positivo o negativo, indicando que un objetivo de gobierno/gestión es más o menos
importante a la hora de hacer una comparación con la valoración de referencia.
Salida La salida de esta pestaña contiene la importancia relativa calculada para cada uno de los 40 objetivos de
gobierno y gestión de COBIT® 2019.
Los resultados se representan en el formato de tabla, como un diagrama de barras y un diagrama de araña.
59
Entrada Cada uno de los tres valores posibles para el factor de diseño de requisitos de cumplimiento debe valorarse
entre 0% y 100%. La suma de los tres valores debe ser 100%.
Para muchas empresas, 100% se asignará a una de las categorías. Sin embargo, está disponible la opción
de asignar distintos porcentajes, si el entorno de TI empresarial es muy amplio y algunas partes están
sujetas a una regulación de cumplimiento estricta, mientras que otras partes están sujetas a una regulación
menos estricta.
Cálculo La herramienta realiza un cálculo de matrices de los valores introducidos para el factor de diseño 6
Requisitos de cumplimiento con la tabla de asignación para el factor de diseño 6, lo que deriva en una
valoración para cada objetivo de gobierno/gestión.
La herramienta realiza un segundo cálculo de matrices de un conjunto de valores de referencia para el
factor de diseño 6 con la tabla de asignación para el factor de diseño 6, lo que deriva en una valoración de
referencia para cada objetivo de gobierno/gestión.
La herramienta calcula a continuación la importancia relativa de cada objetivo de gobierno/gestión como
una diferencia relativa entre ambos conjuntos de valores, expresado como un porcentaje y redondeado a 5.
Este número puede ser positivo o negativo, indicando que un objetivo de gobierno/gestión es más o menos
importante a la hora de hacer una comparación con la valoración de referencia.
Salida La salida de esta pestaña contiene la importancia relativa calculada para cada uno de los 40 objetivos de
gobierno y gestión de COBIT® 2019.
Los resultados se representan en el formato de tabla, como un diagrama de barras y un diagrama de araña.
60
Entrada Cada uno de los cuatro valores posibles para el factor de diseño de rol de TI (soporte, fábrica, cambio y
estratégico) deben valorarse entre 1 (nada importante) y 5 (más importante).
Se recomienda mantener la suficiente distancia entre los valores.
Cálculo La herramienta realiza un cálculo de matrices de los valores introducidos para el factor de diseño 7 Rol de
TI con la tabla de asignación para el factor de diseño 7, lo que deriva en una valoración para cada objetivo
de gobierno/gestión.
La herramienta realiza un segundo cálculo de matrices de un conjunto de valores de referencia para el
factor de diseño 7 con la tabla de asignación para el factor de diseño 7, lo que deriva en una valoración de
referencia para cada objetivo de gobierno/gestión.
La herramienta calcula a continuación la importancia relativa de cada objetivo de gobierno/gestión como
una diferencia relativa entre ambos conjuntos de valores, expresado como un porcentaje y redondeado a 5.
Este número puede ser positivo o negativo, indicando que un objetivo de gobierno/gestión es más o menos
importante a la hora de hacer una comparación con la valoración de referencia.
Salida La salida de esta pestaña contiene la importancia relativa calculada para cada uno de los 40 objetivos de
gobierno y gestión de COBIT® 2019.
Los resultados se representan en el formato de tabla, como un diagrama de barras y un diagrama de araña.
61
Entrada Cada uno de los tres valores posibles para el factor de diseño de modelo de abastecimiento de proveedores
para TI (externalización, nube y personal interno) debe valorarse entre 0% y 100%. La suma de los tres
valores debe ser 100%.
Observe que hay una cuarta categoría: la clasificación híbrida. Esto no se señala en la herramienta porque,
por definición, los porcentajes asignados a más de uno de los otros tres valores crean un modelo híbrido.
Cálculo La herramienta realiza un cálculo de matrices de los valores introducidos para el factor de diseño 8 Modelo
de abastecimiento de proveedores para TI con su tabla de asignación correspondiente, lo que deriva en una
valoración para cada objetivo de gobierno/gestión.
La herramienta realiza un segundo cálculo de matrices de un conjunto de valores de referencia para el
factor de diseño 8 con la tabla de asignación para el factor de diseño 8, lo que deriva en una valoración de
referencia para cada objetivo de gobierno/gestión.
La herramienta calcula a continuación la importancia relativa de cada objetivo de gobierno/gestión como
una diferencia relativa entre ambos conjuntos de valores, expresado como un porcentaje y redondeado a 5.
Este número puede ser positivo o negativo, indicando que un objetivo de gobierno/gestión es más o menos
importante a la hora de hacer una comparación con la valoración de referencia.
Salida La sección de salida de esta pestaña contiene la importancia relativa calculada para cada uno de los 40
objetivos de gobierno y gestión de COBIT® 2019.
Los resultados se representan en el formato de tabla, como un diagrama de barras y un diagrama de araña.
62
Entrada Cada uno de los tres valores posibles para el factor de diseño de métodos de implementación de TI (Agile,
DevOps y tradicional) debe valorarse entre 0% y 100%. La suma de los tres valores debe ser 100%.
Observe que hay una cuarta categoría: la clasificación híbrida. Esto no se señala en la herramienta porque,
por definición, los porcentajes asignados a más de uno de los otros tres valores crean un modelo híbrido.
Cálculo La herramienta realiza un cálculo de matrices de las valoraciones introducidas para el factor de diseño 9
Métodos de implementación de TI con la tabla de asignación para el factor de diseño 9, lo que deriva en un
puntaje para cada objetivo de gobierno/gestión.
La herramienta realiza un segundo cálculo de matrices de un conjunto de valores de referencia para el
factor de diseño 9 con la tabla de asignación para el factor de diseño 9, lo que deriva en un puntaje de
referencia para cada objetivo de gobierno/gestión.
La herramienta calcula a continuación la importancia relativa de cada objetivo de gobierno/gestión como
una diferencia relativa entre ambos conjuntos de valores, expresado como un porcentaje y redondeado a 5.
Este número puede ser positivo o negativo, indicando que un objetivo de gobierno/gestión es más o menos
importante a la hora de hacer una comparación con el puntaje de referencia.
Salida La sección de salida de esta pestaña contiene la importancia relativa calculada para cada uno de los 40
objetivos de gobierno y gestión de COBIT® 2019.
Los resultados se representan en el formato de tabla, como un diagrama de barras y un diagrama de araña.
63
Entrada Cada uno de los tres valores posibles para el factor de diseño de estrategia de adopción de tecnología
(primero en reaccionar, seguidor y adoptador lento) debe valorarse entre 0% y 100%. La suma de los tres
valores debe ser 100%.
Para muchas empresas, 100% podría asignarse a una de las categorías. Sin embargo, está disponible la
opción de asignar distintos porcentajes si el entorno de TI empresarial es muy amplio, y distintas áreas
adoptan la tecnología a ritmos distintos.
Cálculo La herramienta realiza un cálculo de matrices de los valores introducidos para el factor de diseño 10
Estrategia de adopción de tecnología con la tabla de asignación para el factor de diseño 10, lo que deriva en
un puntaje para cada objetivo de gobierno/gestión.
La herramienta realiza un segundo cálculo de matrices de un conjunto de valores de referencia para el
factor de diseño 10 con la tabla de asignación para el factor de diseño 10, lo que deriva en un puntaje de
referencia para cada objetivo de gobierno/gestión.
La herramienta calcula a continuación la importancia relativa de cada objetivo de gobierno/gestión como
una diferencia relativa entre ambos conjuntos de valores, expresado como un porcentaje y redondeado a 5.
Este número puede ser positivo o negativo, indicando que un objetivo de gobierno/gestión es más o menos
importante a la hora de hacer una comparación con el puntaje de referencia.
Salida La salida de esta pestaña contiene la importancia relativa calculada para cada uno de los 40 objetivos de
gobierno y gestión de COBIT® 2019.
Los resultados se representan en el formato de tabla, como un diagrama de barras y un diagrama de araña.
64
El factor de diseño del tamaño de la empresa únicamente indica si debe usarse la guía del área prioritaria de
pequeñas y medianas empresas, en lugar de la guía Core de COBIT.27 El tamaño de una empresa no tiene impacto en 1
6.4.8 Conclusión
Entrada N/A
Cálculo La herramienta realiza una suma ponderada de los puntajes de importancia de los objetivos de
gobierno/gestión calculadas relacionadas con los factores de diseño del 5 al 10 y la combina con los
resultados del paso 2 Diseño inicial del sistema de gobierno.
Las ponderaciones pueden introducirse en la pestaña del canvas y se configuran en 1 por defecto. La
ponderación puede cambiarse si, por ejemplo, los requisitos de cumplimiento son de mayor
importancia (porque la empresa opera en una industria altamente regulada).
Los resultados logrados se normalizan entonces en una escala de 100.
El valor más alto (positivo o negativo) obtiene un puntaje de 100.
El resto de los valores se prorratea con respecto a este valor.
La lista resultante de puntajes no solo proporciona una visión fiable de la importancia relativa de
todos los objetivos de gobierno/gestión comparados, sino que también da una indicación de la
importancia absoluta. Este resultado permite a la empresa no solo priorizar los objetivos de
gobierno/gestión comparándolos, sino también definir niveles de capacidad objetivo adecuados.
Salida La pestaña resumen del paso 3 contiene la importancia relativa calculada para cada uno de los 40
objetivos de gobierno y gestión de COBIT® 2019.
Los resultados se representan en el formato de tabla (en el canvas del cuadro) y como un diagrama
de barras (en la pestaña de resumen del paso 3)
Nota: El gráfico de ejemplo siguiente es consistente con los gráficos de ejemplo para cada factor de diseño, ya que
representa el resultado real si los factores del 5 al 10 se introdujeran conforme se muestra en los datos de entrada
de este capítulo 6.
1
27 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de pequeñas y medianas empresas estaba en desarrollo y no se había publicado aún.
65
66
Capítulo 7
Ejemplos
7.1 Introducción
En este capítulo, el flujo de trabajo explicado en el capítulo 4 se aplica a los dos ejemplos ficticios y un estudio de
caso, para ilustrar el proceso de diseño del sistema de gobierno. Los ejemplos incluyen:
1. Empresa de manufactura (Sección 7.2)
2. Empresa de innovación de tamaño mediano (Sección 7.3)
3. Agencia gubernamental de alto perfil (Sección 7.4)
La empresa fabrica bienes, es una empresa grande, muy preocupada por los costes y desea ser líder en costes en su
mercado. La empresa considera la I&T como una función puramente de soporte para lograr unas operaciones
eficientes y eficaces. Aunque TI es una función de soporte, la empresa depende críticamente de ella. La empresa
sigue una estrategia tradicional hacia desarrollos y operaciones nuevas y se muestra bastante indecisa a la hora de
adoptar nuevas tecnologías. Recientemente, la empresa se enfrentó a un ataque de malware y sufrió una serie de
problemas operativos de TI. La empresa alberga y opera equipos críticos de TI en sus instalaciones.
El primer paso del flujo de trabajo del diseño de gobierno es resumir el contexto externo e interno de la empresa.
Paso 1.1: Entender la estrategia empresarial—Un enfoque principal en el liderazgo en costes y un enfoque
secundario en el servicio al cliente/estabilidad se muestran en la figura 7.1.
67
Paso 1.2: Entender las metas empresariales—La empresa ha clasificado las 13 metas empresariales genéricas en una
escala del 1 al 5, conforme se muestra en el diagrama siguiente. La figura 7.2 muestra que EG09 Optimización de
costes de los procesos del negocio es la meta empresarial con la clasificación más alta.
68
Paso 1.3: Entender el perfil de riesgo—Un análisis de riesgos de alto nivel ha derivado en un perfil de riesgo, que
identifica las siguientes categorías de riesgo más altas (marcadas con puntos rojos en la columna de clasificación de
riesgos en la figura 7.3): Incidentes de infraestructura operativa de TI, acciones no autorizadas, adopción de
software/problemas de uso, incidentes de hardware, fallos de software y ataques lógicos. (Estas son categorías
amplias. Para obtener información detallada de escenarios de riesgo dentro de cada categoría, vea la sección 2.6)
Fallos de software
Ataques lógicos [hackeo, software malintencionado (malware), etc.]
Incidentes de terceros/proveedores
Incumplimiento
Problemas geopolíticos
Acción industrial
Actos de la naturaleza
Innovación tecnológica
Medio ambiente
Gestión de información y datos
69
Paso 1.4: Entender los problemas actuales relacionados con I&T—Un análisis de la situación actual (en una escala
de 1 a 3) deriva en una evaluación de los problemas actuales relacionados con I&T, como se muestra en la figura
7.4. Estos se perciben como problemas importantes para la empresa: incidentes significativos, problemas de
prestación de servicio por parte de proveedores, coste oculto de TI y coste general de TI.
70
El alcance inicial del sistema de gobierno se determina con la información (parcial o total) recopilada durante el paso
1. El paso 2 traslada esta información sobre las metas empresariales, la estrategia empresarial y el perfil de riesgo a
componentes de gobierno relevantes.
Paso 2.1: Considerar la estrategia empresarial—La figura 7.5 representa la estrategia empresarial, como se identifica
en el paso 1.1. La figura 7.6 muestra la influencia relativa que estas estrategias tienen en los objetivos de gobierno y
gestión.
71
Además de los procesos de gobierno y gestión destacados en la figura 7.6, también requieren atención los siguientes
componentes :
Enfoque sobre habilidades presupuestarias y de costes de TI
Influencia del componente de cultura y comportamiento
Contribución del componente de los servicios, infraestructura y aplicaciones (p. ej. para la automatización de
controles, mejora de la eficiencia)
72
Paso 2.2: Considerar las metas empresariales y aplicar la cascada de metas de COBIT—Llegados a este punto, la
cascada de metas de COBIT se aplica para determinar qué objetivos de gobierno y gestión son relevantes para lograr
las metas empresariales prioritarias, según su clasificación, asignadas en el paso 1.2 (figura 7.7). La figura 7.8
muestra la influencia relativa que estas metas empresariales valoradas tienen en los objetivos de gobierno y gestión.
73
74
Paso 2.3: Considerar el perfil de riesgo de la empresa.—En el paso 1.3, las categorías de riesgo de TI se identificaron
y analizaron en un nivel superior (figura 7.9). Dependiendo de la correspondencia entre el perfil de riesgo y los
objetivos de gobierno y gestión de COBIT (como se explica en la sección 4.2.3 y conforme a la tabla de asignación
incluida en el apéndice D), la figura 7.10 muestra la valoración relativa de los objetivos de gobierno y gestión,
basado de los resultados del análisis de riesgos.
Arquitectura de la empresa/TI
Incidentes de infraestructura operativa de TI
Acciones no autorizadas
Adopción de software/problemas de uso
Incidentes de hardware
Fallos de software
Ataques lógicos [hackeo, software malintencionado (malware), etc.]
Incidentes de terceros/proveedores
Incumplimiento
Problemas geopolíticos
Acción industrial
Actos de la naturaleza
Innovación tecnológica
Medio ambiente
Gestión de información y datos
75
76
Paso 2.4: Considerar los problemas actuales relacionados con I&T—En este paso, los problemas identificados en el
paso 1.4 están relacionados con los objetivos de gobierno y gestión de COBIT a través de una tabla de asignación
(Apéndice E) que asocia cada problema a uno o más objetivos de gobierno o gestión que pueden influir en ese
problema. Basada en esa asignación (como se explica en la sección 4.2.4), la figura 7.12 muestra la valoración
relativa de los objetivos de gobierno y gestión, dependiendo del análisis empresarial de los problemas actuales
relacionados con la I&T. (figura 7.11).
Frustración entre distintas unidades de TI en toda la organización debido a una Sin problema
percepción de baja contribución al valor del negocio
Frustración entre distintos departamentos de la empresa (como el cliente de TI) Problema
y el departamento de TI debido a iniciativas fracasadas o una percepción de baja
Problema
contribución al valor del negocio grave
Incidentes significativos relacionados con TI, como pérdida de datos, violaciones
de seguridad, fallo del proyecto y errores de la aplicación, relacionados con TI
77
78
Paso 2.5: Alcance inicial del sistema de gobierno—Llegados a este punto, es posible combinar las prioridades de
gobierno y gestión resultantes de los cuatro pasos anteriores para producir las prioridades iniciales siguientes para los
objetivos de gobierno y gestión en el sistema de gobierno (figura 7.13).
Figura 7.13—Ejemplo 1, Paso 2.5: Diseño inicial (Resumen) Importancia de los objetivos de
gobierno y gestión
-15 EDM01
-25 EDM02
EDM03 0
EDM04 0
EDM05 0
APO01 0
-40 APO02
-25 APO03
-75 APO04
-30 APO05
APO06 5
-10 APO07
-10 APO08
APO09 30
APO10 30
APO11 25
APO12 55
APO13 45
APO14 25
-40 BAI01
BAI02 0
BAI03 0
-25 BAI04
-25 BAI05
BAI06 25
BAI07 30
-10 BAI08
BAI09 100
BAI10 60
-60 BAI11
DSS01 40
DSS02 70
DSS03 60
DSS04 45
DSS05 45
DSS06 15
MEA01 0
MEA02 15
MEA03 0
MEA04 10
Es probable que los cinco principales objetivos de gestión siguientes sean importantes para el sistema de gobierno
de esta empresa:
BAI09 Gestionar los activos
DSS02 Gestionar las peticiones y los incidentes del servicio
DSS03 Gestionar los problemas
BAI10 Gestionar la configuración
APO12 Gestionar los riesgos
Los objetivos de gestión siguientes parecen (por el momento) los menos importantes:
79
El paso siguiente determinará qué refinamientos se requieren todavía en este alcance inicial del sistema de gobierno.
En el paso 3, se identifican los refinamientos al alcance inicial, según el conjunto de factores de diseño restantes que
deben analizarse. No todos los factores de diseño podrían aplicarse a todas las empresas, en cuyo caso pueden
ignorarse. La figura 7.14 muestra un resumen de los factores de diseño del 5 al 11 que se aplican a la empresa de
manufactura en este ejemplo. Cuando más de un valor era aplicable para un determinado factor de diseño, esto se
indicará en la columna de valor de la figura.
80
Para cada factor de diseño de la figura 7.14, la situación actual evaluada puede combinarse con los objetivos de
gobierno y gestión asignados y otras directrices en la figura 7.14. Los siguientes ejemplos se produjeron usando los
cálculos de matriz entre los valores de entrada y una correspondencia entre estos valores y los objetivos de gobierno
y gestión. Las tablas de asignación se incluyen en los apéndices del F al K de esta publicación. Los diagramas de
araña resultantes, con los objetivos de gobierno y gestión priorizados, representan los niveles de importancia
relativos comparados con un nivel de referencia. Los niveles de importancia relativa se expresan en una escala de -
100 a +100, donde cero (0) indica que no hay ningún impacto en la importancia de un objetivo de gobierno o gestión
y +100 indica que el objetivo se ha vuelto el doble de importante debido al factor de diseño en cuestión.
1
28 Esta figura significa que el 90% de las operaciones y actividades de I&T de la empresa se realizan en un escenario de altas amenazas.
2 29 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de seguridad de la información estaba en desarrollo y aún no se había publicado.
3 30 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de seguridad de la información estaba en desarrollo y aún no se había publicado.
4 31 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de DevOps estaba en desarrollo y no se había publicado.
5 32 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de gestión de proveedores se estaba considerando como una posible área prioritaria futura.
6 33 Esta cifra significa que un 90% de la organización se considera un seguidor en términos de adopción de tecnología.
7 34 Esta cifra significa que se considera que el 10% de las actividades de I&T de la empresa están a un ritmo de adoptadores lentos.
81
Paso 3.1—Considerar el escenario de amenazas —La figura 7.15 muestra el escenario de amenazas bajo el cual se cree que opera la empresa.
La figura 7.16 muestra el impacto en los objetivos de gobierno y gestión del escenario de amenazas evaluado.
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
82
Esta clasificación del escenario de amenazas hace que un número sustancial de objetivos de gobierno y gestión sean
más importantes, conforme a la entrada de la figura 7.14 relacionada con un escenario de altas amenazas. Las
directrices de estos objetivos de gobierno y gestión deberían obtenerse de las directrices del área prioritaria de
seguridad de la información,35 la cual contiene una guía más detallada y específica sobre seguridad de la
8
Design
Factor deFactor
diseño 66Requerimientos
CompliancedeRequirements
cumplimiento
High
Alto Normal
Normal Low
Bajo
25%
75%
8
35 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de seguridad de la información estaba en desarrollo y aún no se había publicado.
83
EDM01 MEA04
EDM02
EDM03 100 MEA03
EDM04 MEA02
EDM05 75
MEA01
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
Paso 3.3—Considerar el rol de TI—La figura 7.19 muestra el rol de TI, que se expresa como fábrica, con una
opción secundaria de cambio, indicando que la empresa tiene una alta operabilidad dependiendo de sus servicios de
TI. La figura 7.20 muestra el impacto del rol de TI evaluado en los objetivos de gobierno y gestión.
84
Además de los objetivos de gobierno y gestión priorizados, las directrices deberían obtenerse de las áreas prioritarias
de seguridad de la información y DevOPs (cuando estén disponibles y sea necesario).
85
20%
80%
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
86
Paso 3.5—Considerar los métodos de implementación de TI—La empresa usa métodos tradicionales de desarrollo y
operaciones de TI (figura 7.23), lo que se traduce en un impacto nulo en los objetivos de gobierno y gestión (figura 7.24).
100%
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
87
Paso 3.6—Considerar la estrategia de adopción de tecnología—La figura 7.25 indica que la empresa es, como
mucho, seguidora cuando se trata de la adopción de nueva tecnología. La figura 7.26 muestra el impacto muy
limitado que esto tiene en las prioridades de los objetivos de gobierno y gestión.
10%
90%
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
88
3.7—Considerar el Tamaño de la Empresa.—La empresa se clasifica como grande. Conforme a la figura 7.14, esto
significa que el modelo Core de COBIT debe usarse como referencia para la definición del sistema de gobierno.
Llegados a este punto, es posible añadir las prioridades de gobierno y gestión derivadas de los pasos 3.1 al 3.7 a los
resultados obtenidos del diseño del sistema inicial de gobierno en los pasos 2.1 al 2.4. Esta síntesis genera las
siguientes prioridades ajustadas para los objetivos de gobierno y gestión en el sistema de gobierno. (figura 7.27).
Figura 7.27—Ejemplo 1, paso 4: Importancia de los objetivos de gobierno y gestión (Todos los
factores de diseño)
89
Es probable que los objetivos de gestión siguientes sean importantes para el sistema de gobierno de esta empresa:
DSS02 Gestionar las peticiones y los incidentes del servicio (100)
APO13 Gestionar la seguridad (80)
DSS04 Gestionar la continuidad (80)
DSS03 Gestionar los problemas (75)
BAI09 Gestionar los activos (75)
BAI10 Gestionar la configuración (75)
Los objetivos más importantes han cambiado ligeramente comparados con la lista identificada en la definición del
alcance inicial del paso 2.5. Algunos objetivos de gobierno/gestión han cambiado de lugar, uno ha desaparecido
(APO12) y se han añadido dos (DSS04 y APO13).
Comparado con los objetivos más importante, la lista de los objetivos menos importantes ha cambiado incluso menos
que la lista identificada en la definición del alcance inicial del paso 2.5. Esto demuestra que el alcance inicial, basado
en los factores de diseño fundamentales ya era bastante preciso y también que tener en cuenta otros factores de
diseño ha conllevado ajustes adicionales.
En sus discusiones, la empresa decide que los valores de importancia generados automáticamente para algunos
objetivos de gobierno/gestión no son los que deben ser y hace los ajustes siguientes:
APO06 Gestionar el presupuesto y los costes: +75
EDM04 Asegurar la optimización de recursos: +75
DSS02 Gestionar las peticiones y los incidentes del servicio: -25
Para concluir, la empresa decide que la primera etapa del diseño de su sistema de gobierno consistirá en los objetivos
de gobierno y gestión (con los procesos que conllevan), que se muestran en la figura 7.28.
90
La figura 7.28 muestra la referencia, el título del objetivo de gobierno y gestión y el nivel de capacidad objetivo al
que deben implementarse los procesos relacionados. Dada la importancia de una serie de procesos, el nivel de
capacidad objetivo se ha configurado en un nivel superior (3 o 4). La lógica aplicada por la empresa era que:
Cualquier objetivo de gobierno/gestión con una valoración de 75 o superior (lo que significa que su importancia
era al menos un 75% superior comparada con una situación de referencia), requeriría un nivel de capacidad 4.
Cualquier objetivo de gobierno/gestión con una valoración de 50 o superior requeriría un nivel de capacidad 3.
Cualquier objetivo de gobierno/gestión con una valoración de 25 o superior requeriría un nivel de capacidad 2.
La empresa deberá prestar especial atención a la implementación robusta de los roles y estructuras siguientes:
Comité de estrategia de seguridad
CISO
La empresa también deberá garantizar una adecuada concienciación sobre seguridad a todos los niveles e
implementar flujos y elementos de información importantes (política de seguridad y estrategia de seguridad).
La empresa usará las directrices siguientes para complementar el modelo Core de COBIT:
Área prioritaria de seguridad de la información36 , dado el alto escenario de amenazas y los resultados del análisis 9
9
36 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y la Tecnología, el contenido del área prioritaria de seguridad de la información estaba en desarrollo y aún no se había publicado.
10
37 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de DevOps estaba en desarrollo y no se había publicado aún, y el área prioritaria de gestión de proveedores se está
contemplando como una posible área prioritaria en el futuro.
91
Este ejemplo es de una empresa de innovación de tamaño mediano que desarrolla dispositivos (appliances) para el
sector automotor. La empresa es relativamente pequeña y se vanagloria de su rápida innovación. Depende de forma
crítica de TI, tanto para desarrollar productos como para fabricar accesorios. La empresa es a la vez usuaria y
desarrolladora de software. Está decidida a beneficiarse de cualquier tecnología nueva disponible e invierte en una
estrategia de DevOps, siempre que le es posible. Ha tomado la decisión estratégica de externalizar todos sus
servicios de TI relacionados con la infraestructura e ir a la nube.
El primer paso del flujo de trabajo del diseño de gobierno es resumir el contexto externo e interno de la empresa.
Paso 1.1: Entender la estrategia empresarial—Un enfoque principal en innovación y diferenciación y un enfoque
secundarioen crecimiento/adquisición se muestran en la figura 7.29.
92
Paso 1.2: Entender las metas empresariales—La empresa ha clasificado las 13 metas empresariales genéricas en una
escala del 1 al 5, según se muestra en la figura 7.30. El diagrama muestra que EG01 Portafolio de productos y
servicios competitivos yEG13 Innovación de producto y negocio son las metas empresariales con la clasificación más
alta.
93
Paso 1.3: Entender el perfil de riesgo—Un análisis de riesgos de alto nivel ha derivado en un perfil de riesgo que
identifica las categorías de riesgo más altas (marcadas con puntos rojos en la columna de valoración de riesgos en la
figura 7.31: Toma de decisiones sobre inversiones en TI, definición y mantenimiento del portafolio; experiencia en
TI; habilidades y comportamiento; innovación basada en la tecnología. (Estas son categorías amplias. Para obtener
información detallada de los escenarios de riesgo dentro de cada categoría, vea la sección 2.6)
Incumplimiento
Problemas geopolíticos
Acción industrial
Actos de la naturaleza
Innovación tecnológica
Medio ambiente
Gestión de información y datos
94
Paso 1.4: Entender los problemas actuales relacionados con I&T—Un análisis de la situación actual (en una escala
de 1 a 3) deriva en una evaluación de los problemas actuales relacionados con I&T, como se muestra en la figura
7.32.. Los siguientes problemas se consideran problemas importantes para la empresa; recursos de TI insuficientes,
problemas de arquitectura de TI y problemas de calidad de datos.
Brecha entre conocimiento tecnológico y empresarial, lo que lleva a que los usuarios
del negocio y/o los especialistas en TI hablen un idioma distinto
Nivel elevado de cómputo para usuarios finales, lo que genera (entre otros problemas)
una falta de supervisión y control de calidad de las aplicaciones que se están
desarrollando e implementando
95
El alcance inicial del sistema de gobierno se determina con la información (parcial o total) recopilada durante el paso
1. El paso 2 traslada esta información sobre la estrategia empresarial, metas empresariales, perfil de riesgo y
problemas relacionados con I&T a componentes de gobierno relevantes.
Paso 2.1: Considerar la estrategia empresarial—La figura 7.33 representa la estrategia empresarial, como se
identifica en el paso 1.1. La figura 7.34 muestra la influencia relativa que estas estrategias tienen en los objetivos de
gobierno y gestión.
Crecimiento/Adquisición 3
Innovación/Diferenciación 5
Liderazgo en costes 2
Servicio al cliente/Estabilidad 2
0 1 2 3 4 5
96
EDM01 MEA04
EDM02
EDM03 100 MEA03
EDM04 MEA02
EDM05 75
MEA01
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
Además de los procesos de gobierno y gestión destacados en la figura 7.34, también requieren atención los
componentes siguientes:
Soporte para el rol de gestión del portafolio con la función responsable de supervisar todas las inversiones
Los roles del arquitecto empresarial y director de tecnologías digitales
Un componente de servicios, infraestructura y aplicaciones para facilitar la automatización y el crecimiento y
lograr economías de escala
Influencia del componente de la cultura y el comportamiento en la innovación
97
Paso 2.2: Considerar las metas empresariales y aplicar la cascada de metas de COBIT—Llegados a este punto, la
cascada de metas de COBIT puede aplicarse para determinar qué objetivos de gobierno y gestión son relevantes para
lograr las metas empresariales prioritarias, según su clasificación, asignadas en el paso 1.2 (figura 7.35). La figura
7.36 muestra la influencia relativa que estas metas empresariales clasificadas tienen en los objetivos de gobierno y
gestión.
98
EDM01 MEA04
EDM02
EDM03 100 MEA03
EDM04 MEA02
EDM05 75
MEA01
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
99
Paso 2.3: Considerar el perfil de riesgo de la empresa.—En el paso 1.3, las categorías de riesgo de TI se identificaron
y analizaron a alto nivel (figura 7.37). Dependiendo de la correspondencia entre el perfil de riesgo y los objetivos de
gobierno y gestión de COBIT (como se explica en la sección 4.2.3 y conforme a la tabla de asignación incluida en el
apéndice D), la figura 7.38 muestra la valoración relativa de los objetivos de gobierno y gestión, dependiendo de los
resultados del análisis de riesgos.
Acciones no autorizadas
Incidentes de hardware
Fallos de software
Incidentes de terceros/proveedores
Incumplimiento
Problemas geopolíticos
Acción industrial
Actos de la naturaleza
Innovación tecnológica
Medio ambiente
100
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
101
Paso 2.4: Considerar los problemas actuales relacionados con I&T—En este paso, los problemas identificados en el paso
1.4 están relacionados con los objetivos de gobierno y gestión de COBIT a través de una tabla de asignación (Apéndice E)
que asocia cada problema a uno o más objetivos de gobierno o gestión que pueden influir en ese problema. Basada en esa
asignación (como se explica en la sección 4.2.4), la figura 7.40 muestra la valoración relativa de los objetivos de gobierno
y gestión, según el análisis de los problemas actuales relacionados con la I&T (figura 7.39).
Nivel elevado de cómputo para usuarios finales, lo que genera (entre otros
problemas) una falta de supervisión y control de calidad de las aplicaciones
que se están desarrollando e implementando
102
EDM01 MEA04
EDM02
EDM03 100 MEA03
EDM04 MEA02
EDM05 75
MEA01
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
103
Paso 2.5: Alcance inicial del sistema de gobierno—Llegados a este punto, es posible combinar las prioridades de
gobierno y gestión resultantes de los pasos anteriores para producir las prioridades iniciales para los objetivos de
gobierno y gestión en el sistema de gobierno (figura 7.41).
Figura 7.41—Ejemplo 2, paso 2.5: Diseño inicial (Resumen) Importancia de los objetivos de gobierno
y gestión
-15 EDM01
EDM02 25
-15 EDM03
EDM04 10
-25 EDM05
APO01 0
APO02 30
-32 APO03 50
APO04 100
APO05 25
-25 APO06
APO07 25
APO08 30
-10 APO09
-10 APO10
-10 APO11
-5 APO12
-5 APO13
-10 APO14
BAI01 0
BAI02 10
BAI03 0
BAI04 0
BAI05 10
BAI06 40
BAI07 25
BAI08 50
BAI09 15
BAI10 45
BAI11 20
DSS01 10
DSS02 0
-10 DSS03
-10 DSS04
-15 DSS05
DSS06 10
-5 MEA01
-10 MEA02
-30 MEA03
-15 MEA04
Es probable que los objetivos de gestión siguientes sean importantes para el sistema de gobierno de esta empresa
(cinco objetivos principales):
APO04 Gestionar la innovación
BAI08 Gestionar el conocimiento
APO03 Gestionar la arquitectura empresarial
BAI10 Gestionar la configuración
BAI06 Gestionar los cambios de TI
104
Los siguientes objetivos de gestión parecen (por el momento) los menos importantes:
MEA03 Gestionar el cumplimiento de los requisitos externos
EDM05 Asegurar el compromiso de las partes interesadas
APO06 Gestionar el presupuesto y los costes
EDM01 Asegurar el establecimiento y el mantenimiento del marco de gobierno
EDM03 Asegurar la optimización del riesgo
DSS05 Gestionar los servicios de seguridad
El paso siguiente determinará qué refinamientos se requieren en este alcance inicial del sistema de gobierno.
En el paso 3, se identifican los refinamientos al alcance inicial, dependiendo del conjunto de factores de diseño
restantes que deben analizarse. (No todos los factores de diseño podrían aplicarse a cada empresa y, por tanto,
algunos pueden ser ignorados). La figura 7.42 resume los factores de diseño del 5 al 11 que se aplican a la empresa
de innovación de tamaño mediano en este ejemplo. Cuando se aplicó más de un valor para un factor de diseño
determinado, esto se indicará en la columna de valor de la figura.
Figura 7.42—Tabla de refinamiento del alcance del sistema de gobierno aplicada al ejemplo 2
Factor de Prioridad de los objetivos de Directriz del área
Ref Valor Componentes
diseño gobierno y gestión prioritaria
DF5 Escenario de amenazas
50 % Entre los objetivos de gobierno y Entre las estructuras Área prioritaria de
gestión importantes se incluyen: organizativas importantes se seguridad de la
EDM01, EDM03 encuentran: información3811
APO01, APO03, APO10, APO12, Comité de estrategia de
APO13, APO14 seguridad
BAI06, BAI10 CISO
DSS02, DSS04, DSS05, DSS06 Entre los aspectos de cultura y
Alto
MEA01, MEA03, MEA04 comportamiento importantes
se encuentran:
Concienciación sobre
seguridad
Flujos de información:
Política de seguridad
Estrategia de seguridad
Según la definición de alcance N/A Modelo Core de
Normal 50%
inicial COBIT
DF6 Requisitos de cumplimiento
Entre los objetivos de gestión N/A Modelo Core de
importantes se incluyen: COBIT
EDM01, EDM03
Normal 100% APO12
MEA03, MEA04
11
38 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de seguridad de la información estaba en desarrollo y aún no se había publicado.
105
Figura 7.42—Tabla de refinamiento del alcance del sistema de gobierno aplicada al ejemplo 2 (cont.)
Para cada factor de diseño de la figura 7.42, la situación actual evaluada puede combinarse con los objetivos de
gobierno y gestión asignados y otras directrices en la figura 7.42. Los ejemplos siguientes se produjeron usando los
cálculos de matriz entre los valores de entrada y una correspondencia entre estos valores y los objetivos de gobierno
y gestión. Las tablas de asignación se incluyen en los apéndices del F al K de esta publicación. Los diagramas de
araña resultantes, con los objetivos de gobierno y gestión priorizados, representan los niveles de importancia
relativos comparados con un nivel de referencia. Los niveles de importancia relativos se expresan en una escala de -
100 a +100, donde cero (0) indica que no hay ningún impacto en la importancia de un objetivo de gobierno o gestión
y +100 indica que el objetivo se ha vuelto el doble de importante debido al factor de diseño en cuestión.
12
39 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de transformación digital se estaba considerando como una posible área prioritaria futura.
13
40 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de la nube se estaba considerando como una posible área prioritaria futura.
14
41 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de DevOps estaba en desarrollo y no se había publicado.
106
Paso 3.1: Considerar el escenario actual de amenazas de TI—La figura 7.43 muestra el escenario de amenazas bajo
el cual se cree que opera la empresa. La figura 7.44 muestra el impacto en los objetivos de gobierno y gestión del
escenario de amenazas evaluado.
Alto Normal
50% 50%
EDM01 MEA04
EDM02
EDM03 100 MEA03
EDM04 MEA02
EDM05 75
MEA01
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
107
Esta clasificación del escenario de amenazas eleva la importancia de un número sustancial de objetivos de gobierno
y gestión, conforme a la entrada de la figura 7.42 relacionada con un escenario alto de amenazas. Las directrices de
estos objetivos de gobierno y gestión deben obtenerse de las directrices del área prioritaria de seguridad de la
información, que contiene directrices más detalladas y específicas sobre ciberseguridad que el modelo Core de
COBIT.42 15
Además, la empresa debe considerar incluir lo siguiente en su diseño del sistema de gobierno:
Entre las estructuras organizativas importantes se encuentran:
Comité de estrategia de seguridad
CISO
Entre los aspectos de cultura y comportamiento importantes se encuentran:
Concienciación sobre seguridad
Flujos de información:
Política de seguridad
Estrategia de seguridad
15 42 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de seguridad de la información estaba en desarrollo y aún no se había publicado.
108
Paso 3.2: Considerar los requisitos de cumplimiento—La figura 7.45 muestra los requisitos de cumplimiento para la
empresa, estimados como normales. La figura 7.46 muestra el impacto de los requisitos de cumplimiento evaluados
en los objetivos de gobierno y gestión. No hay impacto, lo cual es el resultado esperado, ya que normal es la
situación de referencia.
100%
EDM01 MEA04
EDM02
EDM03 100 MEA03
EDM04 MEA02
EDM05 75
MEA01
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
109
Paso 3.3: Considerar el rol de TI—La figura 7.47 muestra el rol de TI, que se expresa como estratégico. La figura
7.48 muestra el impacto del rol de TI evaluado, en los objetivos de gobierno y gestión.
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
110
La empresa debe también considerar los siguientes componentes bimodales típicos, para su inclusión en el diseño del
sistema de gobierno:
Estructuras organizativas: director de tecnologías digitales
Habilidades y competencias: personal que puede trabajar en un entorno ambidiestro que combina tanto la
exploración como la explotación
Procesos: un portafolio y un proceso de innovación que integra la exploración y explotación de las oportunidades
de transformación digitales
Además de los objetivos de gobierno y gestión priorizados, las directrices deben obtenerse del área prioritaria de
transformación digital (cuando estén disponibles).
111
Paso 3.4: Considerar el modelo de abastecimiento de proveedores para TI—La figura 7.49 muestra el modelo de
abastecimiento de proveedores seleccionado de la empresa, que será completamente en la nube. La figura 7.50
muestra el impacto del modelo de abastecimiento de proveedores evaluado en los objetivos de gobierno y gestión. El
diagrama muestra que este impacto se centra solo en tres objetivos de gestión. Además, la empresa tendrá que
recurrir a las directrices del área prioritaria de la nube (cuando esté disponible).
Figura 7.49—Ejemplo 2, paso 3.4: Modelo de abastecimiento de proveedores para TI
100%
EDM01 MEA04
EDM02
EDM03 100 MEA03
EDM04 MEA02
EDM05 75
MEA01
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
112
Paso 3.5: Considerar los métodos de implementación de TI—La empresa usa mayoritariamente un método DevOPs de
implementación para TI (ver la figura 7.51). La figura 7.52 muestra el impacto que esto tiene en los objetivos de gobierno
y gestión. Las directrices deben obtenerse del área prioritaria de gestión de DevOPs, como se indica en la figura 7.42.
15%
15%
70%
Figura 7.52—Ejemplo 2, paso 3.5: Importancia derivada de los objetivos de gobierno/gestión para el
Factor de Diseño 9 Métodos de implementación de TI
EDM01 MEA04
EDM02
EDM03 200 MEA03
EDM04 175 MEA02
EDM05 150 MEA01
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
113
Paso 3.6: Considerar la estrategia de adopción de tecnología—La figura 7.53 indica que la empresa es la primera en
reaccionar (first mover) cuando se trata de la adopción de nueva tecnología. La figura 7.54 muestra el impacto que
esto tiene en las prioridades de los objetivos de gobierno y gestión.
Figura 7.53—Ejemplo 2, paso 3.6: Estrategia de adopción de tecnología
100%
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
114
Además de los objetivos de gobierno y gestión priorizados, las directrices deben obtenerse de las áreas prioritarias de
transformación digital y DevOPs (cuando estén disponibles).
Paso 3.7: Considerar el tamaño de la empresa—La empresa se clasifica como mediana. Conforme a la figura 7.42,
esto significa que el área prioritaria de la pequeña y mediana empresa43 debería usarse como referencia para la 16
El último paso del proceso de diseño requiere que se discutan todos los aportes de los pasos anteriores, se resuelvan
los conflictos y se alcance una conclusión. El sistema de gobierno resultante refleja una cuidadosa consideración de
todos los aportes; hay que tener en cuenta que estos aportes podrían en ocasiones entrar en conflicto y que se debe
elegir entre ellas.
Llegados a este punto, es posible añadir las prioridades de gobierno y gestión derivadas de los pasos 3.1 al 3.7 a los
resultados obtenidos del diseño inicial del sistema de gobierno en los pasos 2.1 al 2.4. Esta síntesis genera las
prioridades ajustadas siguientes para los objetivos de gobierno y gestión en el sistema de gobierno (figura 7.55).
16
43 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de pequeñas y medianas empresas estaba en desarrollo y no se había publicado aún.
115
Figura 7.55—Ejemplo 2, paso 4.1: Importancia de los objetivos de gobierno y gestión (Todos los
factores de diseño)
Es probable que los objetivos de gestión siguientes sean importantes para el sistema de gobierno de esta empresa:
APO03 Gestionar la arquitectura empresarial (100)
APO04 Gestionar la innovación (90)
APO07 Gestionar los recursos humanos (85)
BAI10 Gestionar la configuración (85)
BAI03 Gestionar la identificación y construcción de soluciones (70)
BAI07 Gestionar la aceptación y la transición del cambio de TI (70)
Los objetivos más importantes han cambiado ligeramente comparados con la lista identificada en la definición del
alcance inicial del paso 2.5.
116
A la hora de comparar este resultado con el alcance inicial, pueden hacerse las siguientes observaciones:
En general, la mayoría de los objetivos de gobierno y gestión han logrado una importancia significativa después de
tener en cuenta los factores de diseño adicionales; esto puede explicarse por el escenario de altas amenazas y el
papel estratégico de I&T.
Los objetivos de gobierno/gestión que han tenido una mayor valoración después de la definición del alcance inicial
suelen seguir obteniendo una mayor valoración luego de refinar el alcance.
La empresa decide que está satisfecha con la puntuación de la importancia de los objetivos de gobierno y gestión.
Tras la discusión, la empresa decide que la primera etapa de su diseño del sistema de gobierno consistirá en los
objetivos de gobierno y gestión (con los procesos correspondientes) que se muestran en la figura 7.56.
117
La figura 7.56 muestra la referencia, el título del objetivo de gobierno y gestión y el nivel de capacidad objetivo al
que deben implementarse los procesos relacionados. Dada la importancia de una serie de procesos, el nivel de
capacidad objetivo se ha configurado en un nivel superior (3 o 4). La lógica aplicada por la empresa es la misma que
se ha utilizado en el ejemplo 1:
Cualquier objetivo de gobierno/gestión con una valoración de 75 o superior (lo que significa que su importancia
era al menos un 75% superior comparada con una situación de referencia), requeriría un nivel de capacidad 4.
Cualquier objetivo de gobierno/gestión con una valoración de 50 o superior requeriría un nivel de capacidad 3.
Cualquier objetivo de gobierno/gestión con una valoración de 25 o superior requeriría un nivel de capacidad 2.
La empresa deberá prestar especial atención a la implementación robusta de los roles y estructuras siguientes (junto
con otros componentes) del sistema de gobierno:
Soporte del rol de gestión del portafolio con una oficina de inversión
Los roles del arquitecto empresarial y del director de tecnologías digitales
Un componente de servicios, infraestructura y aplicaciones para facilitar la automatización y el crecimiento y
lograr economías de escala
Influencia del componente de la cultura y el comportamiento en la innovación
Entre las estructuras organizativas importantes se encuentran:
Comité de estrategia de seguridad
CISO
Entre los aspectos de cultura y comportamiento importantes se encuentran:
Concienciación sobre seguridad
Flujos de información:
Política de seguridad
Estrategia de seguridad
Habilidades y competencias: personal que puede trabajar en un entorno ambidiestro que combina tanto la
exploración como la explotación
Procesos: Un portafolio y un proceso de innovación que integra la exploración y explotación de las oportunidades
de transformación digitales
La empresa usará las directrices siguientes para complementar las directrices del modelo Core de COBIT:
Directrices del área prioritaria de pequeñas y medianas empresas, porque se personaliza para su uso por empresas
más pequeñas
118
Directrices del área prioritaria de seguridad de la información, dado el alto escenario de amenazas y los resultados
del análisis de riesgos y los problemas actuales relacionados con la I&T
Directrices de las áreas prioritarias de DevOPs, la nube y transformación digital, cuando y donde sean aplicables y
estén disponibles
Crecimiento/Adquisición 1
Innovación/Diferenciación 1
Liderazgo en costes 3
Servicio al cliente/Estabilidad 5
0 1 2 3 4 5
119
Paso 1.2: Entender las metas empresariales—La agencia ha clasificado las 13 metas empresariales genéricas en una
escala del 1 al 5, conforme se muestra en la figura 7.58. El diagrama muestra que EG02 Gestión de riesgo de
negocio, EG03 Cumplimiento de leyes y regulaciones externas, EG05 Cultura de servicio orientada al cliente y
EG09 Optimización de costes de los procesos del negocio son las metas empresariales con la clasificación más alta.
120
Paso 1.3: Entender el perfil de riesgo—Un análisis de riesgos de alto nivel ha derivado en un perfil de riesgo, que se
muestra en la figura 7.59.
Clasifi-
Impacto Probabilidad cación de
Categoría del escenario de riesgo (1-5) (1-5) riesgos
Toma de decisiones sobre inversiones en TI, definición y
mantenimiento del portafolio Riesgo muy alto
Gestión de ciclo de vida de programas y proyectos Riesgo alto
Coste y auditoría de TI Riesgo normal
Comportamiento, habilidades y conocimiento de TI Riesgo bajo
Arquitectura de la Empresa/TI
Fallos de software
Incumplimiento
Problemas geopolíticos
Acción industrial
Actos de la naturaleza
Innovación tecnológica
Medio ambiente
121
Paso 1.4: Entender los problemas actuales relacionados con I&T—Un análisis de la situación actual derivó en la
evaluación de los problemas relacionados con I&T actuales, como se muestra en la figura 7.60.
122
Crecimiento/Adquisición 1
Innovación/Diferenciación 1
Liderazgo en costes 3
Servicio al cliente/Estabilidad 5
0 1 2 3 4 5
EDM01
EDM02 MEA04
EDM03 100 MEA03
EDM04 MEA02
EDM05 75
MEA01
APO01 50 DSS06
APO02 25 DSS05
APO03
0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
123
Paso 2.2: Considerar las metas empresariales y aplicar la cascada de metas de COBIT—Llegados a este punto, la
cascada de metas de COBIT se aplica para determinar qué objetivos de gobierno y gestión son relevantes para lograr
las metas empresariales prioritarias, según su clasificación, asignadas en el paso 1.2 (figura 7.63). La figura 7.64
muestra la influencia relativa que estas metas empresariales valoradas tienen en los objetivos de gobierno y gestión.
124
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
125
Paso 2.3: Considerar el perfil de riesgo de la empresa.—En el paso 1.3, las categorías de riesgo de IT se identificaron
y analizaron en un alto nivel (la figura 7.65). Dependiendo de la correspondencia entre el perfil de riesgo y los
objetivos de gobierno y gestión de COBIT (como se explica en la sección 4.2.3 y conforme a la tabla de asignación
incluida en el apéndice D), la figura 7.66 muestra la clasificación relativa de los objetivos de gobierno y gestión,
dependiendo de los resultados del análisis de riesgos.
Acciones no autorizadas
Fallos de software
Incidentes de terceros/proveedores
Incumplimiento
Problemas geopolíticos
Acción industrial
Actos de la naturaleza
Innovación tecnológica
Medio ambiente
126
APO01 50 DSS06
APO02 25 DSS05
APO03 0
DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
127
Paso 2.4: Considerar los problemas actuales relacionados con I&T. En este paso, los problemas identificados en el
paso 1.4 están relacionados con los objetivos de gobierno y gestión de COBIT a través de una tabla de asignación
(Apéndice E) que asocia cada problema a uno o más objetivos de gobierno o gestión que pueden influir en ese
problema (figura 7.67). Basada en esa asignación (como se explica en la sección 4.2.4), la figura 7.68 muestra la
valoración relativa de los objetivos de gobierno y gestión, según el análisis empresarial de los problemas actuales
relacionados con la I&T.
128
EDM01 MEA04
EDM02
EDM03 100 MEA03
EDM04 MEA02
75
EDM05 MEA01
APO01 50 DSS06
APO02 25 DSS05
0
APO03 DSS04
-25
APO04 DSS03
-50
APO05 DSS02
-75
APO07 BAI11
APO08 BAI10
APO09 BAI09
APO10 BAI08
APO11 BAI07
APO12 BAI06
APO13 BAI05
APO14 BAI04
BAI01 BAI03
BAI02
Paso 2.5: Alcance inicial del sistema de gobierno. Llegados a este punto, es posible combinar las prioridades de
gobierno y gestión resultantes de los pasos anteriores. Los resultados iniciales se comentarán con la dirección y se
ajustarán para dos objetivos de gestión: APO02 Gestionar la estrategia (cuya prioridad aumentó) y APO09
Gestionar los acuerdos de servicio (cuya prioridad disminuyó). Estos ajustes resultaron en las siguientes prioridades
iniciales para los objetivos de gobierno y gestión en el sistema de gobierno.
129
Figura 7.69—Ejemplo 3, paso 2.5: Diseño inicial Resumen de la Importancia de los objetivos de
gobierno y gestión
EDM01 25
EDM02 25
EDM03 55
-20 EDM04
EDM05 10
APO01 20
-40 APO02
-35 APO03
-40 APO04
-25 APO05
-10 APO06
-25 APO07
APO08 15
APO09 25
-15 APO10
APO11 50
APO12 80
APO13 100
APO14 30
-10 BAI01
BAI02 5
BAI03 5
BAI04 75
BAI05 0
BAI06 25
BAI07 10
-40 BAI08
BAI09 60
BAI10 25
BAI11 20
DSS01 15
DSS02 75
DSS03 50
DSS04 55
DSS05 55
DSS06 35
MEA01 5
MEA02 20
MEA03 25
MEA04 25
Es probable que los siguientes objetivos de gobierno y gestión sean importantes para el sistema de gobierno de esta
agencia, si se tienen en cuenta todos los objetivos de gobierno y gestión con una puntuación de prioridad igual o
superior a 60:
APO13 Gestionar la seguridad (100)
APO12 Gestionar los riesgos (80)
DSS02 Gestionar las peticiones y los incidentes del servicio (75)
BAI04 Gestionar la disponibilidad y la capacidad (75)
BAI09 Gestionar los activos (60)
Los objetivos de gestión siguientes parecen (por el momento) los menos importantes (con una valoración inferior a -25):
APO02 Gestionar la estrategia
APO04 Gestionar la innovación
BAI08 Gestionar el conocimiento
APO03 Gestionar la arquitectura empresarial
130
El paso siguiente determinará qué refinamientos se requieren en este alcance inicial del sistema de gobierno.
Figura 7.70—Tabla de refinamiento del alcance del sistema de gobierno aplicada al ejemplo 3
Factor de Prioridad de los objetivos de Directriz del área
Ref Valor Componentes
diseño gobierno y gestión prioritaria
DF5 Escenario de amenazas
Entre los objetivos de gobierno y Entre las estructuras Área prioritaria de
gestión importantes se incluyen: organizativas importantes se seguridad de la
EDM01, EDM03 encuentran: información4417
APO01, APO03, APO10, APO12, Comité de estrategia de
APO13, APO14 seguridad
BAI06, BAI10 CISO
DSS02, DSS04, DSS05, DSS06 Entre los aspectos de cultura y
Alto 100%
MEA01, MEA03, MEA04 comportamiento importantes
se encuentran:
Concienciación sobre
seguridad
Flujos de información:
Política de seguridad
Estrategia de seguridad
DF6 Requisitos de cumplimiento
Según la definición de alcance N/A Modelo Core de
Baja 100%
inicial COBIT
DF7 Rol de TI
5 de Según la definición de alcance N/A Modelo Core de
una inicial COBIT
Soporte
escala
de 5
DF8 Modelo de abastecimiento de proveedores para TI
Personal Según la definición de alcance N/A Modelo Core de
100%
interno inicial COBIT
DF9 Métodos de implementación de TI
Según la definición de alcance N/A Modelo Core de
Tradicional 100%
inicial COBIT
DF10 Estrategia de adopción de tecnología
Entre los objetivos de gobierno y Procesos que pueden Modelo Core de
gestión importantes se incluyen: ejecutarse a un ritmo más COBIT
Seguidor 100%
APO02, APO04, lento
BAI01
DF11 Tamaño de la empresa
Según la definición de alcance N/A Modelo Core de
Grande
inicial COBIT
En ambos ejemplos anteriores, la aplicación de cada factor de diseño se detalló completamente. Este ejemplo no
incluye los cálculos y diagramas detallados, y solo presenta el resultado final. Además de aplicar los factores de
diseño, conforme a lo explicado en la figura 7.70, se vuelve a destacar la importancia de los procesos de
alineamiento con su estrategia de I&T.
17
44 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de seguridad de la información estaba en desarrollo y aún no se había publicado.
131
Figura 7.71—Ejemplo 3, paso 4: Importancia de los objetivos de gobierno y gestión (Todos los
factores de diseño)
Es probable que los siguientes objetivos de gobierno y gestión sean importantes para el sistema de gobierno de esta
agencia, si se tienen en cuenta todos los objetivos de gobierno y gestión con una valoración de prioridad igual o
superior a 60:
APO13 Gestionar la seguridad (100)
DSS02 Gestionar las peticiones y los incidentes del servicio (70)
132
El resultado final refleja varios cambios relativos a las prioridades en el diseño inicial (obtenido tras el paso 2).
Tras el debate, la agencia decidió que su diseño del sistema de gobierno consistirá en la lista priorizada de objetivos
de gobierno y gestión (con los procesos subyacentes) que se muestran en la figura 7.72. La figura contiene todos los
objetivos de gobierno y gestión de COBIT, el nivel de capacidad sugerido basado en el resultado del paso 3, y la
decisión que ha tomado la dirección sobre los niveles de capacidades objetivo.
133
Es una prerrogativa de la gestión definir los niveles objetivo que difieran de los sugeridos por una estrategia
semi(automática), porque las tablas de asignación y las metas y condiciones genéricas puede que no sean siempre
aptas para el contexto particular de la empresa. En la figura 7.72, el nivel de capacidades objetivo sugerido y el nivel
objetivo decidido eran idénticos (o variaban solo un nivel) en casi el 80 por ciento de los objetivos de gobierno y
gestión.
Las mayores desviaciones sucedieron en los objetivos de gobierno y gestión relacionados con el coste y presupuesto
de TI, los programas y proyectos y la estrategia. Aunque las evaluaciones de la estrategia de la empresa, metas
empresariales, riesgo, problemas de I&T y otros factores de diseño indicaban bajas prioridades para los objetivos de
gobierno y gestión, la dirección decidió dar a estos objetivos mayores metas para abordar los problemas de gobierno
de la agencia.
7.4.4.2 Otros componentes
La agencia deberá prestar especial atención a una robusta implementación de los roles y estructuras siguientes (junto
con otros componentes) del sistema de gobierno:
La agencia establecerá una política de alta dirección que exprese su fuerte respaldo al establecimiento de una
estructura de gobierno de I&T, estándares, políticas y procedimientos de I&T, y para la implementación de los
siguientes estructuras y roles. (El gobierno de I&T actual y las estructuras organizativas implementadas por esta
gran agencia gubernamental de alto perfil se muestra a continuación en la figura 7.73).
En cuanto a las estructuras organizativas, se decidió implementar los roles siguientes:
Consejo de gestión estratégica
Consejo de liderazgo en I&T
Consejo de presupuesto y problemas a corto plazo
Consejo de programación y problemas a largo plazo
Proceso de planificación del personal
Proceso de planificación e inversión de activos de capital
Proceso de desarrollo legislativo
134
Estructuras organizativas
Planificación
Proceso del estratégica
formulación de y proceso
presupuesto de formulación Consejo de Liderazgo
de políticas en Información
y Tecnología
(CLIT)
Proceso de
Proceso de Proceso de
planificación e
planificación desarrollo
inversión de
del personal legislativo
activos de capital Consejo de Consejo de
Presupuesto y programación y
problemas a corto problemas a largo
plazo (CPPCP) plazo (CPPLP)
Reuniones
Consejos
Consejos de de relaciones
Gobierno especializados
Programas / Iniciativas de negocio
de campo (ej. Gestión de
(Ej. Hev, FLITE) (Administración y
datos de SLAs) personal de oficina)
La agencia también garantizará una concienciación adecuada sobre riesgo, seguridad y privacidad en toda la
organización.
La agencia usará las directrices siguientes para complementar las directrices del Modelo Core de COBIT:45 18
El contenido del área prioritaria de riesgo, dado el alto escenario de amenazas y los resultados del análisis de
riesgos y los actuales problemas de la I&T
Directrices del área prioritaria de seguridad de la información, dado el alto escenario de amenazas y los resultados
del análisis de riesgos y los actuales problemas de la I&T
45 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, las áreas prioritarias de riesgo y seguridad de la información estaban en desarrollo y aún no se habían publicado.
135
136
APENDICES
Los siguientes apéndices incluyen las tablas de asignación entre los objetivos de gobierno y gestión y los factores de
diseño que se identificaron en la sección 2.6.
Las asignaciones expresan hasta qué grado los valores del factor de diseño influyen en la importancia de un objetivo
de gobierno o gestión.
Las asignaciones usan una escala de cero (0) a cuatro (4): 4 indica la mayor influencia y 0 indica la ausencia de
cualquier relación.
Ejemplo: Cuando una empresa selecciona una estrategia de crecimiento para DF2 Estrategia empresarial, la
asignación del apéndice A muestra que el objetivo de gestión APO03 Gestionar la arquitectura empresarial será
muy importante (un valor de 4).
137
138
Conocimiento, experiencia
AG13 e iniciativas para la
innovación empresarial
P S S P
Figura A.2—Asignación de metas empresariales a metas de alineamiento
Apéndice B: Tabla de asignación—Metas empresariales a metas de alineamiento
139
APENDICE B
APENDICES
GUÍA DE DISEÑO COBIT® 2019
AG01 AG02 AG03 AG04 AG05 AG06 AG07 AG08 AG09 AG10 AG11 AG12 AG13
I&T
Cumplimiento
compliance
y soporte de Enabling and Ejecución
Habilitar y dar
Delivering de
and support
I&T para el Security of supporting
soporte a programs
programas
Personal
Seguridad de
for business
cumplimiento Realized
Beneficios
obtenidos de
Agility topara
Agilidad turn la
information,
información,
businessde dentro
procesos
del plazo,
on time, on
sin exceder el
Competent and
competente y
compliance
empresarial benefits from
el portafolio de
Qualitydeofla
Calidad Delivery
Prestaciónofde business
convertir los processing processes
infraestructura negocio by presupuesto,
budget andy motivated staff
motivado con un Knowledge,
Conocimiento,
conwith información
las leyes
Gestión de
I&T-enabled
inversiones y technology-
financiera
I&T services
servicios I&T requirements
requerimientos infrastructure
de integrating
mediante la meetingcon Calidad
cumpliendo Quality I&T
de la Cumplimiento
with mutual
entendimiento expertise
experienciaand
e
external
y Managed
riesgo investments
servicios related
relacionada in line with
conforme a los into en procesamiento
del negocio and applications
integración de requirements
los requisitos y of I&T
información de I&T con las understanding
compliance mutuo de la initiatives
iniciativas para
laws and
regulaciones
externas
I&T-related
relacionado and services
relacionados financial
con la business
requerimientos operational
soluciones applications,
y aplicaciones, and y estándares
aplicaciones and quality de management
sobre gestión with internal oftecnología
políticas technology
y el for business
la innovación
regulations risk
con I&T portfolio
con I&T information
tecnología requirements
del negocio solutions
operativas and privacy
y privacidad technology
tecnología standards
calidad information
de I&T policies
internas and business
negocio innovation
empresarial
EDM01 Ensured
Asegurar el governance
establecimiento
framework settingdeland
y el mantenimiento P S P S S
maintenance
marco de gobierno
140
Toma de
decisiones sobre
inversiones en TI, Comporta- «Adopción de
Gestión del ciclo
definición y Coste y soft-
de vida de los miento, Incidentes de
mantenimiento control de TI ware/prob-
programas y habilidades y Arquitectura infraestructura Acciones no Incidentes Fallos de
del portafolio conocimien- lemas de uso»
proyectos de empresa/TI operativa de TI autorizadas de hardware software
to de TI
141
Ataques lógicos
[hackeo,
software
malintenciona- Incidentes de Gestión de
do (malware), terceros/prov Problemas Acción Actos de la Innovación Medio información y
etc.] eedores Incumplimiento geopolíticos industrial naturaleza tecnológica ambiente datos
142
145
146
147
148
149
150
Implementación y
optimización de una solución
de gobierno de información
y tecnología
Acerca de ISACA
Con casi 50 años de vida, ISACA® (isaca.org) es una organización global que ayuda tanto a individuos como a
empresas a alcanzar el potencial positivo de la tecnología. La tecnología impulsa el mundo de hoy e ISACA
proporciona a los profesionales los conocimientos, credenciales, educación y comunidad para avanzar en sus carreras
profesionales y transformar sus organizaciones. ISACA aprovecha la experiencia de su medio millón de profesionales
dedicados a la información y ciberseguridad, gobierno, aseguramiento, riesgo e innovación, así como su filial de
desempeño empresarial, el instituto CMMI®, para contribuir a una mayor innovación a través de la tecnología.
ISACA está presente en más de 188 países, incluidos más de 217 capítulos y oficinas, tanto en Estados Unidos como
en China.
Descargo de responsabilidad
ISACA ha diseñado y creado la Guía de implementación de COBIT® 2019: Implementación y optimización de una
solución de Gobierno de Información y Tecnología (el «Trabajo») fundamentalmente como un recurso educativo para
los profesionales del gobierno empresarial de la información y la tecnología (GEIT), aseguramiento, riesgo y
seguridad. ISACA no asume ninguna responsabilidad acerca de que el uso de cualquier parte del Trabajo garantice un
resultado exitoso. No debe considerarse que el Trabajo incluya toda la información, procedimientos y pruebas
correctas, ni que excluya otra información, procedimientos y pruebas que estén orientadas razonablemente hacia la
obtención de los mismos resultados. Para determinar la propiedad de cualquier información, procedimiento o prueba
específicos, los profesionales de gobierno empresarial de la información y la tecnología (GEIT), aseguramiento,
riesgo y seguridad deberían aplicar su propio criterio profesional a las circunstancias específicas de los sistemas o
entorno de tecnología de la información particular.
Copyright
© 2018 ISACA. Todos los derechos reservados. Para acceder a las instrucciones de uso, visite
www.isaca.org/COBITuse.
ISACA
1700 E. Golf Road, Suite 400
Schaumburg, IL 60173, USA
Phone: +1.847.660.5505
Fax: +1.847.253.1755
Contact us: https://support.isaca.org
Website: www.isaca.org
Twitter: http://twitter.com/ISACANews
LinkedIn: www.linkedin.com/company/isaca
Facebook: www.facebook.com/ISACAHQ
Instagram: www.instagram.com/isacanews/
Guía de implementación de COBIT® 2019: Implementación y optimización de una solución de gobierno de Información y Tecnología
ISBN 978-1-60420-794-1
Dedicado a John Lainhart, Presidente del Consejo de Administración de ISACA, 1984-1985. John fue una figura
clave en la creación del marco de referencia COBIT® y en los últimos años ejerció como presidente del grupo de
trabajo de COBIT® 2019, que culminó con la creación de este trabajo. Durante sus cuatro décadas en ISACA, John
participó en distintos aspectos de la organización, además de contar con las certificaciones CISA, CRISC, CISM y
CGEIT de ISACA. John deja un increíble legado personal y profesional, y su trabajo ha tenido un gran impacto en
ISACA.
Agradecimientos
ISACA desea agradecer a:
COBIT Working Group (2017-2018)
John Lainhart, Presidente, CISA, CRISC, CISM, CGEIT, CIPP/G, CIPP/US, Grant Thornton, EE. UU.
Matt Conboy, Cigna, EE. UU.
Ron Saull, CGEIT, CSP, Great-West Lifeco & IGM Financial (jubilado), Canadá
Equipo de desarrollo
Steven De Haes, Ph.D., Antwerp Management School, University of Antwerp, Bélgica
Matthias Goorden, PwC, Bélgica
Stefanie Grijp, PwC, Bélgica
Bart Peeters, PwC, Bélgica
Geert Poels, Ph.D., Ghent University, Bélgica
Dirk Steuperaert, CISA, CRISC, CGEIT, IT In Balance, Bélgica
Revisores expertos
Floris Ampe, CISA, CRISC, CGEIT, CIA, ISO27000, PRINCE2, TOGAF, PwC, Bélgica
Graciela Braga, CGEIT, Auditor and Advisor, Argentina
James L. Golden, Golden Consulting Associates, EE. UU.
J. Winston Hayden, CISA, CRISC, CISM, CGEIT, Sudáfrica
Abdul Rafeq, CISA, CGEIT, FCA, Managing Director, Wincer Infotech Limited, India
Jo Stewart-Rattray, CISA, CRISC, CISM, CGEIT, FACS CP, BRM Holdich, Australia
ÍNDICE
Lista de figuras ................................................................................................................................................9
Capítulo 1. Introducción .........................................................................................................................11
1.1 Mejora del Gobierno Empresarial de la Información y la Tecnología .............................................................11
1.2 Generalidades de COBIT ..............................................................................................................................12
1.3 Objetivos y alcance de la Guía de implementación ........................................................................................12
1.4 Estructura de esta publicación ......................................................................................................................13
1.5 Público objetivo de esta publicación .............................................................................................................14
1.6 Documentación relacionada: Guía de diseño COBIT ® 2019 ..........................................................................14
LISTA DE FIGURAS
Capítulo 1. Introducción
Figura 1.1—El contexto del gobierno empresarial de la Información y la Tecnología .................................................11
Figura 1.2—Generalidades de COBIT .......................................................................................................................12
10
Capítulo 1
Introducción
A la luz de la transformación digital, la información y la tecnología (I&T)1 se han convertido en algo fundamental
1
para el respaldo, la sostenibilidad y el crecimiento de las empresas. Anteriormente, los consejos de gobierno (comités
de dirección) y la alta gerencia podían delegar, ignorar o evitar las decisiones relacionadas con la I&T. En la mayoría
de sectores e industrias, estas actitudes ahora no son aconsejables. La creación de valor para las partes interesadas
(por ejemplo, la generación de beneficios con un coste óptimo de recursos y un riesgo optimizado) suele venir de la
mano de un alto nivel de digitalización en nuevos modelos de negocio, procesos eficientes, una exitosa innovación,
etc. Las empresas digitales dependen cada vez más de la I&T para su supervivencia y crecimiento.
Dada la importancia de la I&T para la gestión del riesgo empresarial y la generación de valor, en las últimas tres
décadas se ha prestado una atención especial al gobierno empresarial de la información y la tecnología (GEIT). La
GEIT es una parte fundamental del gobierno corporativo. La ejerce el consejo de administración, que supervisa la
definición e implementación de procesos, estructuras y mecanismos de relación en la organización que permiten a la
empresa y al personal de TI desempeñar sus responsabilidades de soporte al alineamiento negocio /TI y la creación
de valor de negocio derivado de las inversiones empresariales posibles gracias a la I&T (figura 1.1).
Source: De Haes, Steven; W. Van Grembergen; Enterprise Governance of Information Technology: Achieving Alignment and Value,
Featuring COBIT 5, 2 ª ed., Springer International Publishing, Switzerland, 2015, https://www.springer.com/us/book/9783319145464
Durante muchos años, ISACA® ha estudiado esta área clave del gobierno de la empresa para mejorar el pensamiento
internacional y proporcionar una guía a la hora de evaluar, dirigir y monitorizar el uso de I&T de la empresa. ISACA
ha desarrollado el marco de referencia COBIT® para ayudar a las empresas a implementar unos componentes de
gobierno y gestión sólidos. De hecho, la implementación de un GEIT bueno es casi imposible sin el uso de un marco
de referencia de gobierno eficaz.
Un GEIT eficaz mejorará el desempeño del negocio y el cumplimiento con los requisitos externos. Aun así, su
implementación satisfactoria sigue sin producirse en muchas empresas. El GEIT es compleja e implica múltiples
facetas. No existe una fórmula milagrosa (ni modo ideal) para diseñar, implementar y mantener un GEIT eficaz
dentro de una organización. Así, los miembros de los consejos directivos y la alta gerencia se ven abocados a adaptar
e implementar sus medidas de GEIT conforme a su contexto y necesidades específicas. Además, deben estar
dispuestos a aceptar una mayor responsabilidad en cuanto a la I&T y crear una mentalidad y cultura distintas para
generar valor a partir de ellas.
1
1
A lo largo de este texto, TI se usa para referirse al departamento de la organización cuya principal responsabilidad es la tecnología. La I&T se usan en
este documento para referirse a toda la información que la empresa genera, procesa y usa para alcanzar sus objetivos, así como la tecnología que lo
hace posible en toda la empresa.
11
El objetivo de esta guía de referencia es proporcionar buenas prácticas para implementar y optimizar un sistema de
gobierno de I&T, basado en una estrategia de ciclo de vida de mejora continua, que debería personalizarse para
adaptarse a las necesidades específicas de la empresa.
• Estrategia empresarial
• Metas empresariales
• Tamaño de la empresa
• Rol de TI
Introducción a COBIT 2019 COBIT 2019 • Modelo de abastecimiento para TI
• Requerimientos de cumplimiento
• Etc.
Contribución de
la comunidad APO01—Gestionar
el marco de
gestión de TI
APO02—Gestionar
la estrategia
APO03—Gestionar la
arquitectura de
la empresa
APO04—Gestionar
la innovación
APO05—Gestionar
la cartera
APO06—Gestionar
el presupuesto y
los costes
APO07—Gestionar
los recursos humanos
MEA01—Gestionar la
supervisión del
cumplimiento
y rendimiento
APO09—Gestionar
APO08—Gestionar APO10—Gestionar APO11—Gestionar APO12—Gestionar APO13—Gestionar APO14—Gestionar
los acuerdos de
Área prioritaria:
las relaciones los proveedores la calidad el riesgo la seguridad los datos
servicio
Objetivos prioritarios
MEA02—Gestionar
el sistema de
BAI03—Gestionar BAI07—Gestionar la control interno
BAI01—Gestionar BAI02—Gestionar BAI04—Gestionar BAI05—Gestionar
la identificación y BAI06—Gestionar aceptación y la
los programas la definición la disponibilidad los cambios
creación de los cambios de TI transición de
de requisitos
soluciones
y capacidad organizativos
los cambios de TI
de gobierno
BAI08—Gestionar BAI09—Gestionar BAI10—Gestionar BAI11—Gestionar
MEA03—Gestionar
el cumplimiento de • PyMEs y gestión
Guía específica de
el conocimiento los activos la configuración los proyectos
los requisitos externos
• Seguridad
• Riesgo las áreas prioritarias
DSS01—Gestionar
las operaciones
DSS02—Gestionar l
as solicitudes
e incidentes
de servicio
DSS03—Gestionar
los problemas
DSS04—Gestionar
la continuidad
DSS05—Gestionar
los servicios
de seguridad
DSS06—Gestionar
los controles de
procesos de negocio
MEA04—Gestionar
el aseguramiento • DevOps Guía de gestión de
• Etc. capacidades y
desempeño objetivos
Los principios de COBIT destacan la visión de gobierno de la I&T en toda la empresa (ver Marco de referencia
COBIT® 2019: Introducción y metodología,). La información y la tecnología no se reducen al departamento de TI;
están presentes en toda la empresa. No es posible ni es una buena práctica separar las actividades relacionadas con
12
I&T del negocio. El gobierno y gestión de la I&T empresarial debería, por ello, implementarse como una parte
integral del gobierno empresarial y cubrir todas las áreas de responsabilidad del negocio y de TI.
Una de las razones comunes por las que algunas implementaciones de sistemas de gobierno fracasan es que no se
inician ni se gestionan apropiadamente como programas para asegurar que se obtengan los beneficios. Los
programas de gobierno deben estar promovidos por la dirección ejecutiva, tener un alcance apropiado y definir
objetivos que sean alcanzables. Esto permite a la empresa asimilar el ritmo del cambio según lo previsto. La gestión
de programas se aborda, por ello, como una parte integral del ciclo de vida de la implementación.
También se asume que, aunque se recomienda un enfoque de programa y proyecto para impulsar de forma eficaz
iniciativas de mejora, la meta es además establecer una práctica empresarial normal y un método sostenible para
gobernar y gestionar la I&T empresarial como cualquier otro aspecto del gobierno de la empresa. Por este motivo, el
método de implementación se basa en empoderar a las partes interesadas de la empresa y de TI y los distintos actores
que se apropien de las decisiones y actividades de gobierno y gestión relacionados con TI para facilitar y permitir el
cambio. El programa de implementación se cierra cuando el proceso para centrarse en las prioridades relacionadas
con TI y la mejora del gobierno genera un beneficio medible y el programa ha pasado a integrarse en la actividad
empresarial continua.
No se pretende que esta publicación sea un enfoque prescriptivo ni una solución completa, sino más bien una guía
para evitar las dificultades, hacer uso de las buenas prácticas más recientes y ayudar en la creación de resultados de
gestión y gobierno exitosos. En gran medida, parte de la Guía de diseño COBIT® 2019, que ayuda a cualquier
empresa a identificar y aplicar su propio plan específico u hoja de ruta, basada en una serie de factores de diseño,
como la estrategia empresarial, los problemas de riesgos y amenazas y el rol de TI.
Determinar el punto de partida actual es igual de importante. Hay muy pocas empresas que no tengan estructuras o
procesos de GEIT activos, incluso si no se reconocen actualmente como tales. Por tanto, el énfasis debe estar en
construir sobre lo que ya existe en la empresa, sobre todo enfoques exitosos ya existentes a nivel empresarial que
puedan adoptarse y, de ser necesario, adaptarse para el gobierno de I&T, en lugar de inventar algo distinto. Además,
cualquier mejora anterior creada con COBIT® 5 u otros estándares y buenas prácticas no necesitan reformularse. En
su lugar, pueden y deben mejorarse a través de COBIT® 2019 como una parte permanente de la mejora continua.
COBIT® 2019 se puede descargar de forma gratuita en www.isaca.org/cobit. En esta página también están
disponibles vínculos para los productos de ISACA que sirven de soporte para la implementación.
Esta publicación refleja un mayor conocimiento y experiencia práctica en las implementaciones del GEIT, las
lecciones aprendidas durante la implementación y el uso de versiones anteriores de COBIT, así como las
actualizaciones realizadas en las guías de ISACA. Sin embargo, la I&T nunca permanecen inmóviles; por ello, los
usuarios de esta guía deberían esperar publicaciones profesionales de ISACA y estándares y buenas prácticas de otras
organizaciones que podrían publicarse de vez en cuando para abordar los nuevos temas emergentes. El contenido
nuevo y futuro del área prioritaria pasará a formar parte de la familia de productos de COBIT y proporcionará una
guía importante de estos temas emergentes.2 2
2
2
En el momento de la publicación de este título, Guía de implementación COBIT® 2019, el contenido del área prioritaria está previsto, pero aún no se
ha publicado.
13
El público objetivo de esta publicación son profesionales de toda la empresa con experiencia, incluidos los
departamentos de negocio, auditoría, seguridad, privacidad, gestión de riesgos, profesionales de TI, profesionales
externos y otros involucrados (o que tienen previsto involucrarse) en la implementación del GEIT.
Se requiere un cierto nivel de experiencia y conocimientos profundos de la empresa para poder aprovechar esta guía.
Dicha experiencia y conocimientos permiten a los usuarios personalizar las directrices principales de COBIT (cuya
naturaleza es genérica) en directrices personalizadas y centradas en la empresa, teniendo en cuenta su contexto
empresarial.
La Guía de diseño COBIT® 2019 está relacionada con esta publicación. Define factores de diseño que pueden
influir en el sistema de gobierno e incluye un flujo de trabajo para diseñar un sistema de gobierno personalizado para
la empresa. El flujo de trabajo que se explica en la Guía de diseño COBIT® 2019 tiene una serie de elementos de
conexión con la Guía de implementación COBIT® 2019; la guía de diseño elabora una serie de tareas definidas en
esta guía de implementación.
El capítulo 5 de la Guía de diseño COBIT® 2019 explora en los vínculos entre ambas publicaciones e ilustra cómo
usarlas conjuntamente.
14
Capítulo 2
Posicionar el gobierno de I&T de la empresa
El gobierno empresarial de información y tecnología (GEIT) no nace de la nada. La implementación tiene lugar bajo
distintas condiciones y circunstancias determinadas por numerosos factores en el entorno interno y externo, como:
La ética y cultura de la comunidad
Las leyes, regulaciones y políticas vigentes
Los estándares internacionales
Las prácticas de la industria
El entorno económico y competitivo
Los avances y la evolución de la tecnología
El escenario de amenazas
La empresa:
Razón de su existencia, misión, visión, objetivos y valores
Políticas y prácticas del gobierno
Estilo de cultura y gestión
Modelos de roles y responsabilidades
Planes de negocio e intenciones estratégicas
Modelo operativo y nivel de madurez
La implementación del GEIT es distinta para cada empresa y es necesario entender el contexto y pensar en diseñar
el entorno de GEIT óptimo nuevo o mejorado. Todo esto se detalla en la Guía de diseño COBIT® 2019.
Los términos gobierno, gobierno empresarial y GEIT pueden tener distintos significados según el contexto
organizativo (madurez, industria y entorno regulatorio) o contexto individual (cargo, educación y experiencia), entre
otros factores. Las explicaciones de este capítulo proporcionan una base para el resto de la guía, pero debe
reconocerse que existen distintos puntos de vista. Es mejor construir y mejorar las estrategias actuales para incluir la
I&T que desarrollar una nueva estrategia solo para I&T.
El término gobierno proviene del verbo griego kubernáo, que significa «dirigir». Un sistema de gobierno permite que
múltiples partes interesadas de una empresa puedan dar su opinión organizada a la hora de evaluar condiciones y
opciones, establecer el rumbo y monitorizar el desempeño con respecto a los objetivos empresariales. Establecer y
mantener la estrategia de gobierno adecuada es responsabilidad del consejo de dirección u órgano equivalente.
3
1
Ver Marco de referencia COBIT® 2019: Introducción y metodología,, sección 1.3.
15
El GEIT no es una disciplina aislada, sino una parte integral del gobierno corporativo. La necesidad de gobierno a
nivel empresarial proviene principalmente de la entrega de valor para las partes interesadas y la exigencia de
transparencia y gestión eficaz del riesgo de la empresa. Las oportunidades significativas, costes y riesgos asociados a
la I&T obligan a centrarse de forma comprometida e integrada con el GEIT. El GEIT permite a la empresa
aprovechar al máximo la I&T, mediante la maximización de los beneficios, la capitalización de las oportunidades y
la obtención de una ventaja competitiva.
A nivel global, las empresas (ya sean públicas o privadas, grandes o pequeñas) son cada vez más conscientes de que
la información es un recurso clave y de que la tecnología es un activo estratégico, ambos críticos para el éxito.
La I&T pueden ser recursos poderosos para ayudar a las empresas a lograr sus objetivos más importantes. Por
ejemplo, la I&T pueden fomentar el ahorro en costes para grandes transacciones, como fusiones, adquisiciones y
esciciones. La I&T pueden facilitar la automatización de procesos clave, como la cadena de suministro. La I&T
pueden ser la piedra angular de estrategias empresariales y nuevos modelos de negocio, y provocar así un aumento
de la competitividad, permitir la innovación y la entrega digital de productos (p. ej. música vendida y entregada a
través de internet). La I&T pueden permitir una mayor intimidad con el cliente, por ejemplo, mediante la
recopilación y extracción de datos en diversos sistemas y proporcionar una visión completa de los clientes. La I&T
son la base de la economía interconectada que corta a través de las ubicaciones geográficas y los silos organizativos
para proporcionar formas nuevas e innovadoras de crear valor. La mayoría de las empresas reconoce la información
y el uso de la I&T como activos críticos que necesitan un gobierno adecuado.
Aunque la I&T pueden transformar el negocio, al mismo tiempo suelen representar una inversión muy significativa.
En muchos casos, el verdadero coste de la I&T no es transparente y los presupuestos se extienden a varias unidades
de negocio, funciones y ubicaciones geográficas, sin una supervisión centralizada. La mayor parte del gasto se
dedica a menudo a mantener en marcha la compañía y financiar el mantenimiento y las operaciones posteriores a la
implementación, en lugar de iniciativas innovadoras o transformadoras. Cuando los fondos se gastan en iniciativas
estratégicas, suelen fallar a la hora de proporcionar los resultados esperados. Muchas empresas siguen fallando a la
hora de demostrar un valor determinado y medible para las inversiones facilitadas por las TI y se centran en el GEIT
como un mecanismo para resolver esta situación.
La economía interconectada presenta un espectro de riesgo relacionado con las TI, incluido el compromiso de
sistemas de negocio de cara al cliente, la divulgación de datos de clientes o propietarios, o pérdida de oportunidades
de negocio debido a una arquitectura inflexible de TI. Gestionar estos u otros tipos de riesgos relacionados con I&T
es otro factor para un mejor GEIT.
EL GEIT puede abordar el entorno regulatorio complejo al que se enfrentan las empresas en muchas industrias y
jurisdicciones hoy en día, lo que suele extenderse de forma directa a las TI. Los requisitos y un examen detallado de
la información financiera llevan a prestar una atención significativa a los controles relacionados con TI. El uso de
buenas prácticas como COBIT se ha exigido en algunos países e industrias. Por ejemplo, la agencia de supervisión y
regulación bancaria (BRSA) de Turquía ha exigido que todos los bancos que operan en Turquía adopten las buenas
prácticas de COBIT cuando gestionen procesos relacionados con TI, así también lo ha hecho la Australian
Prudential Regulation Authority. El informe sobre el gobierno corporativo de Sudáfrica (King IV) incluye un
principio para implementar el GEIT y recomienda la adopción de marcos como COBIT. Un marco de referencia de
gobierno para I&T puede facilitar el cumplimiento de forma más eficaz y eficiente.
Los estudios llevan tiempo demostrando el valor del GEIT. En un extenso estudio de caso en una compañía aérea
internacional, se demostró que los beneficios del GEIT incluían: costes inferiores de continuidad relacionados con
las TI, mayor capacidad innovadora gracias a las TI, mayor alineamiento entre la inversión digital y los objetivos y
estrategia empresariales, mayor confianza entre el negocio y las TI, y un cambio hacia una «mentalidad de valor» en
torno a los activos digitales. 4 2
4
2
De Haes, S.; W. van Grembergen; Enterprise Governance of IT: Achieving Alignment and Value, Featuring COBIT 5, 2ª ed., Springer International
Publishing, Switzerland, 2015, https://www.springer.com/us/book/9783319145464
16
Los estudios han mostrado que las empresas con un pobre diseño o pobres enfoques adoptados para la aplicación del
GEIT tienen un peor desempeño a la hora de alinear el negocio y las estrategias y procesos de I&T. Como resultado,
estas empresas tienen menor probabilidad de cumplir con sus estrategias de negocio previstas y lograr el valor de
negocio que esperan a partir de la transformación digital.5 3
A partir de esto, es obvio que el gobierno debe entenderse e implementarse mucho más allá de la interpretación
(limitada) que solemos encontrarnos y que viene sugerida por el acrónimo de gobierno, riesgo y cumplimiento
(GRC). El acrónimo GRC sugiere de forma implícita que el cumplimiento y el riesgo relacionado representan el
espectro de gobierno.
activos que no están creando suficiente valor. El principio básico del valor de la I&T consiste en ofrecer servicios y
soluciones adecuados, a tiempo y dentro del presupuesto, que generen los beneficios financieros y no financieros
pretendidos. El valor que la I&T ofrecen debería estar directamente alineado con los valores en los que se centra el
negocio. El valor de las TI también debería medirse de forma que muestre el impacto y las contribuciones de las
inversiones habilitadas por TI en el proceso de creación de valor de la empresa.
Optimización de riesgos—Esto implica tener en cuenta el riesgo empresarial asociado al uso, propiedad,
operación, involucramiento, influencia y adopción de la I&T dentro de una empresa. El riesgo empresarial
asociado a la información y la tecnología consiste en eventos relacionados con I&T que podrían llegar a tener un
impacto en el negocio. Mientras que la entrega de valor se centra en la creación de valor, la gestión del riesgo se
centra en la preservación del valor. La gestión de riesgos relacionados con la I&T debería integrarse en la
estrategia de gestión de riesgos empresarial para garantizar que la empresa se enfoca en las TI. También debería
medirse de forma que muestre el impacto y la contribución derivados de la optimización de riesgos empresariales
relacionados con la I&T a la hora de preservar el valor.
Optimización de recursos—Esto asegura que se cuenta con las capacidades adecuadas para ejecutar el plan
estratégico y que se proporcionan recursos suficientes, adecuados y eficaces. La optimización de recursos asegura
que se provea una infraestructura de TI integrada y económica, la introducción de nueva tecnología conforme lo
requiera el negocio y la actualización o sustitución de sistemas obsoletos. Porque reconoce la importancia de las
personas, además del hardware y software, se centra en proporcionar capacitación, fomentar la retención y
garantizar la competencia del personal clave de TI. Los datos y la información son recursos importantes, y su
explotación para obtener un valor óptimo es otro elemento esencial de la optimización de recursos.
A través de la implementación y la práctica del GEIT, el alineamiento estratégico y la medición del desempeño
revisten una importancia primordial y afectan a la totalidad de actividades para garantizar que los objetivos
relacionados con la I&T están alineados con los objetivos de la empresa.
5
3
De Haes S.; A. Joshi; W. van Grembergen; “State and Impact of Governance of Enterprise IT in Organizations: Key Findings of an International Study,”
ISACA® Journal, vol. 4, 2015, https://www.isaca.org/Journal/archives/2015/Volume-4/Pages/state-and-impact-of-governance-of-enterprise-itin-
organizations.aspx. Ver también op cit De Haes and van Grembergen, Enterprise Governance of IT: Achieving Alignment and Value, Featuring COBIT 5
6
4
A lo largo de este texto, TI se usa para referirse al departamento de la organización cuya principal responsabilidad es la tecnología. I&T se usa en este
documento para referirse a toda la información que la empresa genera, procesa y usa para alcanzar sus objetivos, así como la tecnología que lo hace
posible en toda la empresa.
17
Trabajar dentro de un marco de referencia y aprovechar las buenas prácticas permite el desarrollo y la optimización
de procesos de gobierno y otros componentes del sistema de gobierno. Si se personaliza de forma adecuada, el GEIT
funcionará de forma eficaz como parte de la práctica empresarial normal de una empresa, siempre que haya una
cultura de apoyo demostrada por la alta dirección.
COBIT® 2019 no solo destaca una estrategia general, sino que también hace referencia a otros estándares detallados.
El capítulo 10 del Marco de referencia COBIT® 2019: Introducción y metodología, enumera todos los estándares que
están en línea con COBIT® 2019; estos estándares vuelven a aparecer, referenciados detalladamente, en los objetivos
de gobierno y gestión, sus prácticas asociadas y componentes del Marco de referencia COBIT® 2019: Objetivos de
gobierno y gestión.
La alineación con COBIT también debería desembocar en auditorías externas más rápidas y eficientes, ya que
COBIT es ampliamente aceptado como la base de los procedimientos de auditoría de TI.
El marco de referencia COBIT establece la estrategia general; las directrices proporcionadas por estándares
específicos y buenas prácticas pueden entonces aplicarse a procesos, prácticas, políticas y procedimientos
específicos, a medida que la empresa personaliza su implementación. Más concretamente, el sistema de gobierno y
sus componentes deberían alinearse y armonizarse con:
Las políticas, estrategias, gobierno y planes de negocio de la empresa y los enfoques de auditoría
Marco de referencia de gestión de riesgos empresariales (ERM)
Organización, estructuras y procesos de gobierno empresarial existentes
7
5
Huygh, T.; S. De Haes; “Using the Viable System Model to Study IT Governance Dynamics: Evidence from a Single Case Study,” Proceedings of the
51st Hawaii International Conference on System Sciences, 2018, https://scholarspace.manoa.hawaii.edu/bitstream/10125/50501/1/paper0614.pdf
18
4. Diferenciar el
gobierno de
la gestión
Los tres principios para un marco de gobierno son (figura 2.2) son:
1. Un marco de gobierno se debería basar en un modelo conceptual que identifique los componentes principales y
las relaciones entre componentes para maximizar la uniformidad y permitir la automatización.
2. Un marco de gobierno debería ser abierto y flexible. Debería permitir la incorporación de nuevo contenido y la
capacidad para abordar nuevos asuntos de la forma más flexible, mientras mantiene la integridad y uniformidad.
3. Un marco de gobierno debería alinearse con los principales estándares, marcos y regulaciones relacionados.
1. Basado en
2. Abierto y
el modelo
flexible
conceptual
19
Con el objetivo de cumplir con los objetivos de gobierno y gestión, cada empresa debe establecer, personalizar y
sostener un sistema de gobierno creado a partir de una serie de componentes. Varios de los conceptos básicos que
corresponden a los sistemas de gobierno son:
Los componentes pueden ser de diversos tipos. Los componentes más conocidos son los procesos; sin embargo,
también son componentes de un sistema de gobierno y deben considerarse las estructuras organizativas, los
elementos de información, las habilidades y competencias, la cultura y el comportamiento, así como la
infraestructura y las aplicaciones.
Los componentes de cualquier tipo pueden ser genéricos o variantes de los componentes genéricos:
Los componentes genéricos se describen en el modelo core de COBIT (ver Marco de referencia COBIT® 2019:
Introducción y metodología,, figura 4.2) y se aplican, en principio, a cualquier situación. Sin embargo, su
naturaleza es genérica y suelen requerir una adaptación antes de que se puedan implementar en la práctica.
Las variantes se basan en componentes genéricos, pero se adaptan para un propósito o contexto específico dentro
de un área prioritaria (p. ej., para seguridad de la información, DevOps, una regulación específica).
COBIT incluye objetivos de gobierno y gestión y los procesos correspondientes que ayudan a orientar la creación y
el mantenimiento del sistema de gobierno y sus distintos componentes. En este sentido, los dos objetivos de gobierno
y gestión clave son:
EDM01 Asegurar el establecimiento y el mantenimiento del marco de gobierno (cultura, ética y comportamiento;
principios, políticas y marcos; estructuras organizativas y procesos)
APO01 Gestionar el marco de gestión de I&T (cultura, ética y comportamiento; principios, políticas y marcos;
estructuras organizativas y procesos)
Los objetivos de gobierno y gestión de COBIT garantizan que la empresa organiza sus actividades relacionadas con
la I&T de forma repetible y confiable. El modelo Core de COBIT (con cinco dominios, 40 objetivos de gobierno y
gestión, y los procesos correspondientes, que forman la estructura de las directrices detalladas de COBIT, se describe
y desarrolla en el Marco de referencia COBIT® 2019: Objetivos de gobierno y gestión.
20
Capítulo 3
Tomando los primeros pasos hacia el GEIT
Es importante que exista el contexto adecuado a la hora de implementar las mejoras del GEIT. Esto ayuda a
garantizar que la iniciativa se gobierna y se dirige de forma adecuada, y que recibe el apoyo de la dirección. Las
iniciativas de I&T más importantes suelen fracasar debido a una gestión, apoyo y supervisión inadecuada de la
dirección. Las implementaciones de GEIT no son diferentes; hay más oportunidades de tener éxito si se gobiernan y
gestionan bien.
Por ejemplo, un apoyo y una gestión inadecuados de las partes interesadas clave, deriva en iniciativas del GEIT que
producen nuevas políticas y procedimientos sin una propiedad adecuada ni un efecto duradero. No es probable que
las mejoras se conviertan en prácticas normales de negocio sin una estructura de gestión que asigne roles y
responsabilidades, se comprometa con su funcionamiento continuo y monitorice la conformidad.
Por ello, debería crearse y mantenerse un entorno adecuado para garantizar que el GEIT se implemente como parte
Redundante. Redundant de una estrategia integral de gobierno dentro de la empresa. Esto debería incluir una
adecuada dirección y supervisión de la iniciativa de implementación, incluidos los principios rectores. El objetivo es
proporcionar compromiso, dirección y control suficiente de las actividades para que haya un alineamiento con los
objetivos de la empresa y un soporte adecuado del consejo y los directores ejecutivos para la implementación.
La experiencia ha mostrado que, en algunos casos, una iniciativa del GEIT identifica debilidades significativas en el
gobierno empresarial. El éxito del GEIT es mucho más difícil dentro de un entorno de gobierno empresarial débil, de
modo que el apoyo activo y la participación de ejecutivos senior se convierte en algo aún más fundamental. El
consejo y los ejecutivos deberían ser conscientes de conceptos de gobierno corporativo, deberían entender la
necesidad de mejorar el gobierno en general y deberían reconocer el riesgo de fracaso del GEIT si no se atienden las
debilidades.
Independientemente de que la implementación sea una iniciativa pequeña o significativa, la dirección ejecutiva
deben estar involucrada y debe fomentar la creación de las estructuras de gobierno adecuadas. Las actividades
iniciales suelen incluir la evaluación de las prácticas actuales y el diseño de estructuras mejoradas. En algunos casos,
la iniciativa puede provocar la reorganización del negocio, así como de la función de TI y su relación con las
unidades de negocio.
La dirección ejecutiva debería establecer y mantener el marco de gobierno. Esto significa precisar las estructuras,
procesos y prácticas para el GEIT conforme a los principios de diseño de gobierno acordados, los modelos de toma
de decisiones, los niveles de autoridad y la información requerida para tomar decisiones informadas.8 1
La dirección ejecutiva debería asignar roles y responsabilidades claras para dirigir el programa de mejora del GEIT.
Una estrategia común para formalizar el GEIT y proporcionar un mecanismo para la supervisión ejecutiva y del
consejo y la dirección de las actividades relacionadas con la I&T consiste en establecer un Consejo de gobierno de
I&T.9 El consejo de gobierno de I&T actúa en nombre del consejo de dirección (ante el cual rinde cuentas). El
2
consejo de gobierno de I&T es responsable de cómo se usan la I&T dentro de la empresa y de tomar decisiones clave
relacionadas con la I&T que afectan a la empresa. Debería tener un mandato claro y es mejor que lo presida un
ejecutivo de negocios (idealmente un miembro del consejo). Debería estar compuesto por altos ejecutivos de negocio
que representen las principales unidades de negocio , así como por el director de TI (CIO), el director de tecnologías
digitales (CDO), el director de tecnología (CTO) y, si fuera necesario, otros altos directivos de TI. Las funciones de
auditoría interna, seguridad de la información y riesgos deberían proporcionar un rol de asesoría.
8
1
En el apéndice se muestra una matriz de decisión a modo de ejemplo.
9
2
El consejo de gobierno de I&T podría también denominarse comité de dirección de TI, consejo de TI, comité ejecutivo de TI o comité de gobierno de TI.
21
Los ejecutivos deben tomar decisiones basadas en hechos, información confiable y distintas opiniones bien fundadas
de los directivos empresariales y de TI, auditores, clientes, usuarios y otros. El marco de referencia COBIT facilita
estas comunicaciones proporcionando un idioma común para que los ejecutivos expresen las metas, los objetivos y
los resultados esperados.
Las figuras 3.1 y 3.2 ilustran los roles genéricos para las partes interesadas claves y destacan las responsabilidades
de la implementación del entorno adecuado para respaldar el gobierno y garantizar resultados satisfactorios. Se
proporcionan figuras similares para cada fase del ciclo de vida de la implementación, las cuales se presentan en la
sección siguiente.
e I&
ama
to
ci o
trac
ien
od
ogr
e go
os d s de
inis
lim
ern
TI
I
eT
l pr
I
el n
T
Adm
mp
obi
ces rio
e
n de
es d
d
ía d
eg
y cu
pro pieta
os
de
od
cció
ent
utiv
itor
o
go
sej
sej
Pro
s
Ger
Dire
CIO
Aud
C on
Con
Rie
Eje
Actividades clave:
Establecer la dirección del programa. A R R C C I C C C
Proporcionar los recursos para la gestión del programa C A R R C C R R I
Establecer y mantener la dirección y supervisar las estructuras y procesos. C A C I I I I I R
Establecer y mantener el programa. I A R C C I I I R
Alinear las estrategias con las estrategias de la empresa. I A R C C I C C R
Un cuadro de definición de responsabilidades por cargo (RACI)
identifica quién es Responsable, quien rinde cuentas, Consultado y/o Informado.
22
La estrategia del ciclo de vida de mejora continua permite a las empresas abordar la complejidad y los problemas que
se suelen encontrar durante la implementación del GEIT. Hay tres componentes interrelacionados con el ciclo de
vida, como se ilustra en la figura 3.3:
1. El ciclo de vida de mejora continua central del GEIT
2. Habilitación del cambio (atender aspectos de comportamiento y culturales relacionados con la implementación o
mejora)
3. Gestión del programa
La figura 3.3 muestra las iniciativas como ciclos de vida continuos para resaltar el hecho de que no son actividades
aisladas, discontinuas o únicas. Por el contrario, forman un proceso continuo de implementación y mejora que
finalmente se convierte en algo usual para el negocio; llegados a este punto, el programa puede retirarse.
ón del programa
Gesti
d
ilitación el cambio
Hab
Ciclo de
vida de
mejora continua
La figura 3.4 ilustra las siete fases del mapa de ruta de implementación. Las comprobaciones sobre el estado,
evaluaciones y auditorías de alto nivel suelen llevar a impulsar una iniciativa de GEIT y sus resultados pueden
constituir el insumo de la fase 1. Un programa de implementación y mejora suele ser continuo e iterativo. Durante su
última fase, suelen surgir nuevos objetivos y requisitos y puede comenzar un ciclo nuevo.
23
s
nemo 1 ¿Cuáles so
m ante o? n lo
o ls
óm pu sm
¿C el im Iniciar
oti
va
7 fect
ividad un p do
re
la e ro gra
ar
s?
ma
evis
R Estab
?
gar
ner le
de cer
2¿
ste
de ca seo el
o lle
So
Dón
Defi portuni
mb
ios
iar
6 ¿Hemos conseguid
de es
efic
rear Reconoce
nir p dades
ito ne
on y cesi r
im
M d
• Gestión del programa
Obtener ben
r a
alua act de d
nuevas ar
la
tamos ahora?
Formpo de
equi entación
roblemas y
plem
ias
ev
Incorpor
uar
(círculo exterior)
estrateg
el e tual
Eval tado
operar
ar el
ac
medir
s
• Habilitación del cambio
y
je s t a d i r
ti v o
De e
le m a
o
m
nt
el b
e
s ar (círculo interior)
Ope
ult a r
o
ru ta
G e n e ra r o
es u n ic
5 ¿C
ad
ra r
m e j o ra s
Eje
us
?
Co r
y
de
star
ar
cu
óm
el ja
t ar
se
Identificar
oc
ho
los roles clave
mo
pl
el
on
la
an nir
se
e re
fi
De
gu
qu
m
i re
de
os P la n
ll e ificar el programa ón
ga ¿D
r? 3
4 ¿ Q u é e s p re c i s o h a c e r ?
La fase 1 identifica los motivadores actuales del cambio y crea a nivel de la gestión ejecutiva el deseo de cambiar
que se expresa en una descripción de un caso de negocio. Un motivador del cambio es un evento interno o externo,
una condición o un problema importante que sirve como estímulo para el cambio. Eventos, tendencias (industria,
mercado o técnica), falta de rendimiento, implementaciones de software e incluso las metas empresariales pueden
actuar como impulsores del cambio.
El riesgo asociado a la implementación del propio programa se describe en el caso de negocio y se gestiona a lo largo
del ciclo de vida. La preparación, mantenimiento y monitorización de un caso de negocio son disciplinas
fundamentales e importantes para justificar, apoyar y, a continuación, garantizar resultados satisfactorios para
cualquier iniciativa, incluida la mejora del sistema de gobierno. Así se asegura un foco continuo en los beneficios del
programa y su obtención.
Según la empresa seleccionada y los objetivos de alineamiento, además de otros factores de diseño, la empresa debe
identificar los objetivos de gobierno y gestión críticos y los procesos subyacentes que tengan la capacidad suficiente
para asegurar resultados satisfactorios. La dirección debe conocer su capacidad actual y donde podría haber
deficiencias. Esto puede lograrse mediante una evaluación del estado actual de la capacidad de los procesos
seleccionados.
24
Algunas soluciones serán ganancias rápidas y otras serán tareas más complejas a largo plazo. La prioridad debería
otorgarse a los proyectos cuya consecución resulte más fácil y que probablemente proporcionen los mayores
beneficios. Las tareas a más largo plazo deberían desglosarse en piezas gestionables.
Para tener éxito se requiere conciencia, comunicación, comprensión y compromiso de la alta dirección, y propiedad
de los dueños de los procesos del negocio y de TI afectados.
La gestión de programas y proyectos se basa en buenas prácticas y proporciona puntos de control en cada una de las
siete fases para garantizar que el desempeño del programa va por buen camino, el caso de negocio y el riesgo están
actualizados, y la planificación de la fase siguiente se ha ajustado como corresponde. Se asume que el enfoque
estándar de la empresa se seguirá.
Puede encontrarse más ayuda sobre la gestión de programas y proyectos en los objetivos de gestión de COBIT
BAI01 Gestionar los programas y BAI11 Gestionar los proyectos. Aunque la presentación de informes no se
menciona de forma explícita en ninguna de las fases, se trata de un hilo continuo durante todas las fases e iteraciones.
El tiempo dedicado a cada fase diferirá enormemente, según el entorno de la empresa, su madurez y el alcance de la
implementación o iniciativa de mejora (entre otros factores). Sin embargo, el tiempo total dedicado a cada iteración
del ciclo de vida completo no debería exceder los seis meses idealmente, con mejoras aplicadas de forma progresiva.
De no ser así, el programa se arriesga a perder su impulso, foco y aceptación de las partes interesadas. El objetivo es
establecer un ritmo de mejora regular. Las iniciativas a gran escala deben estructurarse como iteraciones múltiples
del ciclo de vida.
Con el tiempo, el ciclo de vida se seguirá de forma iterativa a medida que se construye una estrategia sostenible. Las
fases del ciclo de vida se convierten en actividades diarias; la mejora continua tiene lugar de forma natural y se
convierte en una práctica de negocio habitual.
25
Muchos factores pueden indicar la necesidad de nuevas o revisadas prácticas de GEIT, y cuando se estudia en
detalle, en ocasiones revelan redes complejas de problemas subyacentes. Por ejemplo, si la empresa tiene la
percepción de que los costes de I&T son inaceptablemente elevados, esto puede deberse a problemas de gobierno y/o
gestión (p. ej. el uso de criterios inadecuados a la hora de gestionar la inversión de TI). Sin embargo, el punto de
dolor puede ser un síntoma a largo plazo, una baja inversión en I&T heredada que ahora se manifiesta en un coste
significativo, nuevo o continuo.
El uso de puntos de dolor o eventos detonantes para lanzar iniciativas de GEIT hacen que sea posible relacionar el
caso de negocio para mejorar problemas concretos de las partes interesadas y mejorar, de este modo, su aceptación.
Puede que sea necesario un sentido de urgencia en la empresa para iniciar la implementación. Además, puede
contribuir a obtener ganancias rápidas y demostrar el valor agregado en las áreas que son las más visibles y
reconocibles de la empresa. Las ganancias rápidas, a su vez, proporcionan una plataforma para introducir más
cambios y pueden contribuir a consolidar el compromiso generalizado de la alta dirección, junto con el apoyo para
una mejora más generalizada.
Las prácticas de GEIT nuevas o revisadas generalmente pueden resolver (o ayudar a abordar) los síntomas siguientes, que
también se enumeran en la Guía de diseño COBIT® 2019 bajo el factor de diseño 4 Problemas relacionados con I&T.
(Tenga en cuenta que esta lista no es exhaustiva, y que cada organización debe resolver sus propios problemas).
● Frustración entre distintas unidades de TI a través de la organización debido a una percepción de baja
contribución al valor del negocio—Cada vez existen más empresas con entidades de TI descentralizadas o separadas;
cada una de ellas proporciona determinados (y a veces intermitentes) servicios a sus partes interesadas. Las
dependencias podrían persistir entre los grupos; cuando las dependencias no se gestionan cuidadosamente, podrían
comprometer la eficiencia y eficacia de las TI.
● Frustración entre distintos departamentos de la empresa (por ej. el cliente de TI) y el departamento de TI debido
a iniciativas fallidas o una percepción de baja contribución al valor del negocio—Mientras que muchas empresas
siguen aumentando sus inversiones en I&T, el valor de estas inversiones y el desempeño global de TI se suelen
cuestionar y/o no entender completamente. Esta frustración puede indicar un problema de GEIT y sugiere mejorar la
comunicación entre las TI y el negocio y/o establecer una visión común del papel y el valor de las TI. También puede ser
una consecuencia de un deficiente portafolio y formulación de proyecto, propuesta y mecanismos de aprobación.
● Incidentes significativos relacionados con I&T, como pérdida de datos, brechas de seguridad, fracaso de
proyectos y errores de aplicaciones, vinculados con TI—Incidentes significativos (incluida la pérdida de datos,
brechas de seguridad, fracaso del proyectos y errores de aplicaciones vinculados con las TI) suelen ser la punta del
iceberg y su impacto puede verse empeorado si recibe la atención pública y/o de los medios. Una investigación más a
fondo suele conducir a la identificación de desalineamientos estructurales más profundos o incluso la falta total de una
cultura de conciencia de riesgos de TI dentro de la empresa. Suelen requerirse prácticas de GEIT más sólidas para
entender y gestionar los riesgos relacionados con TI más exhaustivamente.
● Problemas de prestación de servicio por parte del proveedor(es) de TI —Los problemas con la prestación de servicio
de proveedores de servicios externos (por ejemplo, fallas constantes a la hora de cumplir con los niveles de servicio
acordados) podrían deberse a problemas de gobierno. Por ejemplo, los procesos de gestión de servicio prestados por
terceros podrían estar ausentes o mal definidos (incluidos el control y la supervisión) y/o falta de responsabilidades y
rendición de cuentas apropiadas para cumplir con los requisitos empresariales y de servicio de TI.
● Incumplimiento de los requisitos regulatorios o contractuales relacionados con TI—En muchas empresas, los
mecanismos de gobierno ineficaz o ineficientes evitan la integración completa de leyes, regulaciones y términos
contractuales relevantes en los sistemas organizativos. Alternativamente, las leyes, regulaciones y términos contractuales
podrían integrarse, pero la empresa sigue sin contar con una estrategia para gestionarlos. (Las regulaciones y los
requisitos de cumplimiento siguen proliferando a nivel global, y suelen afectar las actividades habilitadas por las TI).
26
● Hallazgos habituales de auditoría u otros informes de evaluación sobre un pobre desempeño de TI o notificación
de problemas en la calidad o el servicio de TI —Las evaluaciones pobres podrían indicar que no se han establecido los
niveles de servicio o que no funcionan bien, o que el negocio no se ha involucrado de forma adecuada en la toma de
decisiones de TI.
● Gasto sustancial oculto y deshonesto en TI—El gasto excesivo fuera de los mecanismos normales de decisión de
inversión en TI y de los presupuestos aprobados suele indicar una falta de control lo suficientemente transparente e
integral sobre los gastos e inversiones en TI. El gasto en TI puede ocultarse o no clasificarse correctamente en los
presupuestos de las unidades de negocio, creando una visión general sesgada de los costes de TI.
● Duplicidades o solapamientos entre varias iniciativas u otras formas de desperdicio de recursos —Los proyectos
duplicados y/o el despliegue redundante de recursos pueden suceder cuando las iniciativas de I&T no se representan
completamente en una visión única, del portafolio. Podría no contarse con las capacidades de proceso y estructuras de
decisión entorno a la gestión y desempeño del portafolio.
● Recursos de TI insuficientes, personal con habilidades inadecuadas y personal agotado/insatisfecho—Se trata de
problemas significativos de recursos humanos de TI que requieren una supervisión eficaz y un buen gobierno para
abordar la gestión del personal y el desarrollo de habilidades de forma efectiva. Estos también podrían indicar
debilidades subyacentes en la gestión de la demanda de TI y las prácticas internas de prestación de servicios (entre otros
problemas latentes).
● Cambios o proyectos habilitados por TI que fallan frecuentemente en satisfacer las necesidades del negocio y que
se ejecutan tarde o por encima del presupuesto—Estos puntos de dolor podrían estar relacionados con problemas de
alineamiento entre TI y la empresa, una mala definición de los requisitos empresariales, la falta de un proceso de
obtención de beneficios, una deficiente implementación o problemas en los procesos de gestión de proyectos/programas.
● Esfuerzos múltiples y complejos de aseguramiento de TI—Este escenario podría indicar una escasa coordinación
entre la empresa y las TI, relativa a la necesidad y la ejecución de revisiones de aseguramiento relacionadas con TI. Un
bajo nivel de confianza empresarial en TI podría llevar a la empresa a iniciar sus propias revisiones. Alternativamente,
podría sugerir una falta de rendición de cuentas del negocio por (o involucramiento en) revisiones de aseguramiento de
las TI, si la empresa simplemente no es consciente de cuándo se están produciendo las revisiones.
● Resistencia de los miembros del consejo de administración, ejecutivos o alta dirección a involucrarse en las TI o
una falta de patrocinadores empresariales comprometidos con TI—Estos puntos de dolor indican a menudo una
falta de comprensión y conocimientos de TI, insuficiente visibilidad de TI en los niveles adecuados o estructuras de
gestión ineficaces. Los puntos de dolor también podrían indicar problemas con los mandatos del consejo, causados a
menudo por una mala comunicación entre la empresa y las TI, y/o falta de comprensión del negocio y de TI por parte de
los patrocinadores de la empresa para I&T.
● Modelo operativo de TI complejo y/o mecanismos de decisión confusos para las decisiones relacionadas con TI—
Las organizaciones de TI descentralizadas o federadas suelen tener distintas estructuras, prácticas y políticas. La
complejidad resultante requiere una especial atención al GEIT para garantizar una toma de decisión de TI óptima y
operaciones efectivas y eficientes. Este punto de dolor se vuelve cada vez más significativo con la globalización: cada
territorio o región podría tener que resolver determinados (y probablemente únicos) factores medioambientales internos
y externos.
● Coste de TI excesivamente alto—TI se suele percibir como un coste para la organización; un coste que debería
mantenerse lo más bajo posible. Este problema ocurre normalmente cuando los presupuestos de TI se gastan
principalmente en proyectos que aportan muy poco valor al negocio, en mantener lo que se tiene, en lugar de brindar
nuevas oportunidades e innovación. La falta de una visión holística a nivel del portafolio de todas las iniciativas de I&T
puede contribuir a un coste excesivo y podría indicar que no se dispone de un proceso ni de las capacidades de la
estructura de decisión sobre el portafolio y la gestión del rendimiento.
● Implementación obstaculizada o fallida de nuevas iniciativas o innovaciones causada por la arquitectura y
sistemas de TI actuales —En muchas organizaciones, la arquitectura heredada de TI no permite mucha flexibilidad en
la implementación de soluciones nuevas e innovadoras. La digitalización requiere a menudo una acción rápida y
respuestas ágiles ante circunstancias cambiantes. Requiere una aproximación nueva y más flexible entre desarrollo y las
operaciones de TI y por tanto, involucra directamente al sistema de gobierno.
● Brecha entre el conocimiento tecnológico y el empresarial—Los usuarios del negocio y los especialistas de TI
normalmente no se entienden. Cuando los usuarios del negocio no obtienen un entendimiento suficiente de I&T o no
logran saber cómo la I&T pueden mejorar el negocio o, a la inversa, cuando los especialistas de TI malinterpretan los
problemas y oportunidades en el contexto empresarial, la empresa no puede crecer e innovar como debería para tener
éxito. Esta situación requiere un buen gobierno para garantizar que la gestión del personal y el desarrollo de habilidades
se aborde de forma efectiva.
27
● Problemas habituales con la calidad de los datos y la integración de datos de distintas fuentes—Las empresas cada
vez son más conscientes del valor potencial que podría estar oculto en su información. Todos los problemas de calidad
de datos o integración de datos pueden tener un impacto sustancial para el éxito de la empresa. El GEIT es clave para
establecer los procesos correctos, roles, responsabilidades, cultura, etc. para entregar valor al negocio a partir de la
información.
● Alto nivel de computación de usuario final, lo que genera (entre otros problemas) una falta de supervisión y
control de calidad sobre las aplicaciones que se están desarrollando y entregando a operación—Un alto nivel de
computación de usuario final podría dificultar la comunicación entre TI y el negocio, y podría suponer perder el control
en la instalación de las aplicaciones del negocio. Podría derivar de una deficiente formulación del portafolio y del
proyecto, y/o propuesta y mecanismos de aprobación inadecuados. El GEIT puede contribuir a establecer una visión
común sobre el rol y el valor de TI para optimizar la seguridad y la funcionalidad de los dispositivos del usuario final.
● Los departamentos del negocio implementan sus propias soluciones de información con poco o ningún
involucramiento del departamento de TI de la empresa. —Este punto de dolor podría estar relacionado con el
problema de computación del usuario final y el uso óptimo de los datos y la información; sin embargo, surge
principalmente de los intentos del negocio para implementar soluciones y servicios más sólidos en el curso normal de la
búsqueda de una ventaja empresarial. La falta de comunicación o confianza entre el negocio y TI puede contribuir a un
desarrollo independiente no autorizado, o acentuar sus síntomas (en forma de problemas del servicio, etc.).
● Ignorancia y/o incumplimiento de las regulaciones de seguridad y privacidad—Mitigar las nuevas amenazas de
seguridad y privacidad debería formar parte de la agenda de cada empresa, no solo por motivos de cumplimiento, sino
también para preservar el valor que la empresa genera. La ignorancia y/ o incumplimiento con las regulaciones puede
perjudicar seriamente a la empresa y debería gestionarse a través de un GEIT adecuado.
● Incapacidad para explotar nuevas tecnologías o innovar utilizando I&T—Una queja común del negocio enmarca a
TI en un rol de soporte, mientras que la empresa necesita que TI innove y proporcione una ventaja competitiva. Dichas
quejas podrían apuntar a una falta de alineamiento bidireccional entre la empresa y las TI, lo cual podría reflejar
problemas de comunicación o la necesidad de incrementar la participación de la empresa en la toma de decisiones de TI.
Alternativamente, la empresa podría involucrar a las TI demasiado tarde en su planificación estratégica o iniciativas de
negocio. El problema suele surgir de forma más enfática cuando las condiciones económicas requieren respuestas
rápidas de la empresa, como la introducción de nuevos productos o servicios.
28
Estos detonantes tienen un vínculo directo con los factores de diseño que se explican en detalle en la Guía de
diseño COBIT® 2019. La empresa construye y personaliza su sistema de gobierno basado en una serie de factores
de diseño. Los cambios en esos factores de diseño desencadenan una revisión del GEIT. Por ejemplo, la estrategia
empresarial es un factor de diseño importante y se correlaciona directamente con eventos desencadenantes como
adquisiciones, cambios en el mercado o una nueva estrategia de negocio. Otro factor de diseño importante es el
nivel de requisitos de cumplimiento a los que está sujeta la empresa y que está directamente vinculado con eventos
como nuevos requisitos regulatorios o de cumplimiento.
Es crítico intentar lograr el compromiso y la aceptación del consejo de administración y la dirección ejecutiva desde
el primer momento. Para hacerlo, el programa de GEIT y sus objetivos y beneficios deben expresarse claramente en
términos de negocio. Debe inculcarse el nivel correcto de urgencia. El consejo de administración y la dirección
ejecutiva deberían ser conscientes del valor que la I&T bien gobernadas y gestionadas pueden aportar a la empresa y
el riesgo de no hacer nada. El compromiso del consejo de administración y la alta dirección también respalda la
consideración de alineamiento desde el principio del programa de GEIT, los objetivos y la estrategia de la empresa,
los objetivos empresariales para las TI, el gobierno de la empresa y las iniciativas ERM (si existen). Identificar y
obtener algunas ganancias rápidas (problemas visibles que pueden abordarse relativamente rápido, y ayudan a
establecer la credibilidad de la iniciativa general demostrando los beneficios) pueden ser un mecanismo útil para
obtener el compromiso del consejo de administración.
Una vez que se ha establecido el rumbo desde la dirección, debería establecerse una visión general de la habilitación
del cambio a todos los niveles. La escala y el alcance del cambio más amplio debe entenderse en un primer momento
en términos puramente empresariales, pero la perspectiva humana y de comportamiento no puede pasarse por alto.
Todas las partes interesadas involucradas en el cambio, o afectadas por éste, deben identificarse, y debe establecerse
su posición con respecto al cambio.
29
Muchas partes interesadas deben colaborar para lograr el objetivo general de mejorar el rendimiento de TI. La
estrategia proporcionada en esta guía contribuirá a desarrollar un entendimiento acordado y común de qué debe
lograrse para satisfacer las preocupaciones específicas de las partes interesadas de forma coordinada y armonizada.
Las partes interesadas más importantes y sus preocupaciones son:
Consejo de administración y dirección ejecutiva—¿Cómo establecemos y definimos la dirección de la empresa
para el uso de la I&T y monitorizamos el establecimiento de componentes relevantes y necesarios del GEIT, para
lograr el valor de negocio y que se mitiguen los riesgos relacionados con las TI?
Alta dirección de negocio, dirección de TI10 y dueños del proceso—¿Cómo facilitamos a la empresa definir las
3
metas de alineamiento para garantizar que se logra el valor de negocio a partir del uso de la I&T y que se mitiguen
los riesgos relacionados con las TI?
Dirección de negocio, dirección de TI y dueños del proceso—¿Cómo planificamos, construimos, ofrecemos y
monitorizamos la información y las soluciones y capacidades de servicio de TI conforme a lo requerido por el
negocio y dirigido por el consejo de administración?
Expertos en riesgo, cumplimiento y legal—¿Cómo garantizamos que la empresa cumple con las políticas,
regulaciones, leyes y contratos y que el riesgo se identifica, evalúa y mitiga?
Auditoría interna—¿Cómo proporcionamos una garantía independiente sobre el valor generado y la mitigación
de riesgos?
La figura 3.5 proporciona una visión general de las partes interesadas internas, sus responsabilidades y rendición de
cuentas de alto nivel más importantes en el proceso de mejora y su interés en los resultados del programa de
implementación. Las partes interesadas siguientes representan ejemplos genéricos; se precisarán algunas
adaptaciones, extensiones y personalizaciones.
10
3
La dirección de TI incluye todos los cargos dentro de la función de TI a nivel ejecutivo.
30
Expertos en riesgo, Participar conforme sea preciso en todo el Estas partes interesadas quieren asegurarse que la
cumplimiento y legal programa y proporcionar la información sobre iniciativa establece o mejora los mecanismos para
cumplimiento, gestión de riesgos y legal en garantizar el cumplimiento legal y contractual así
asuntos relevantes. Garantizar el alineamiento con como la gestión eficaz de riesgos del negocio
toda la estrategia ERM y confirmar que se relacionados con la I&T, y el alineamiento de estos
satisfacen los objetivos de cumplimiento y gestión mecanismos con cualquier estrategia empresarial
de riesgos relevantes, se consideran los problemas que pudiera existir.
y se alcanzan los beneficios. Proporcionar
orientación durante la implementación según sea
necesario.
31
Figura 3.5—Visión general de las partes interesadas internas del GEIT (cont.)
Partes interesadas Rendición de cuentas y responsabilidades Interés en los resultados del programa de
internas importantes de alto nivel implementación
Auditoría interna Participar cuando sea preciso en todo el programa A estas partes interesadas les conciernen los
y proporcionar los aportes de auditoría en asuntos resultados del programa de implementación
relevantes. Proporcionar consejo sobre los relacionados con las prácticas y estrategias de
problemas actuales que se están experimentando control, y cómo los mecanismos establecidos o
y aportes sobre prácticas y estrategias de control. mejorados permitirán abordar los hallazgos de las
Revisar la factibilidad de los casos de negocio y auditorías en curso.
los planes de implementación. Proporcionar
consejos y directrices durante la implementación
según sea necesario.
Capacidad para comprobar los resultados de la
evaluación de forma independiente.
Equipo de Dirigir, diseñar, controlar, orientar y ejecutar el El equipo quiere garantizar que todos los
implementación (equipo programa en su totalidad desde la identificación de resultados esperados de la iniciativa del GEIT se
empresarial y de TI objetivos y requisitos hasta la eventual evaluación obtienen y maximizan.
combinado, formado por del programa con respecto a los objetivos del caso
individuos de categorías de negocio y la identificación de nuevos
de partes interesadas detonantes y objetivos para futuros ciclos de
enumerados implementación o mejora. Garantizar la
anteriormente) transferencia de la experiencia durante la
transición del entorno de implementación al
entorno de operación, uso y mantenimiento.
Usuarios Apoyar al GEIT ejecutando roles y Estas partes interesadas están preocupadas por
responsabilidades específicas asignadas a ellos. en el impacto(s) que la iniciativa tendrá su vida
diaria (sus trabajos, roles y responsabilidades y
actividades).
Clientes Los clientes forman parte de la cadena de valor
extendida y tienen expectativas con respecto a la
entrega de servicios, productos, etc.
Además de las partes interesadas internas enumeradas en la figura 3.5, existen también varias partes interesadas
externas. Aunque estas partes interesadas no rinden cuentas ni tienen responsabilidades directas en el programa de
mejora, pueden tener ciertos requisitos que necesitan ser satisfechos. La figura 3.6 presenta ejemplos genéricos
32
Los directores y partes interesadas de TI deben ser conscientes del rol de los profesionales de aseguramiento. Los
profesionales de aseguramiento pueden ser auditores internos, auditores externos, auditores de estándares de la
Organización Internacional de Normalización/Comisión Electrotécnica Internacional (ISO/IEC), o cualquier
profesional encargado de proporcionar una evaluación de los servicios y procesos de TI. Es importante tener en
cuenta a estas partes interesadas y sus intereses a la hora de definir el plan de implementación del GEIT. Los
consejos de administración y la dirección ejecutiva buscan cada vez más la asesoría y opiniones independientes con
respecto a funciones y servicios críticos de I&T. También existe un aumento generalizado en la necesidad de
demostrar el cumplimiento con las regulaciones nacionales e internacionales.
33
34
Capítulo 4
Identificar Retos y factores de éxito
4.1 Introducción
Las experiencias de las implementaciones del GEIT han mostrado que deben superarse varios problemas prácticos
para que la iniciativa se desarrolle con éxito y para que se mantenga una mejora continua. Este capítulo describe
varios de estos retos, sus causas raíz y los factores que deberían considerarse para garantizar resultados satisfactorios.
La figura 4.1 enumera los retos, sus causas raíz y los factores de éxito de la fase 1.
35
36
37
38
39
Reto Intentar no hacer demasiadas cosas a la vez; resolver problemas extremadamente complejos, difíciles o
simplemente demasiados problemas
Causas raíz Falta de conocimiento del alcance y esfuerzo (también para los aspectos humanos, falta de lenguaje
común)
No entender la capacidad para absorber el cambio (demasiadas iniciativas distintas)
Falta de una planificación y gestión formal del programa; sin crear una base y madurar el esfuerzo a partir
de ahí
Presión indebida para la implementación
No capitalizar las ganancias rápidas
Reinventar la rueda y no usar como base lo que ya hay
Falta de visión dentro de la estructura organizativa
Falta de habilidades
40
La figura 4.5 enumera los retos, causas raíz y factores de éxito de las fases 6 y 7.
41
42
Capítulo 5
Habilitar el cambio
5.1 La necesidad de habilitar el cambio
Para que una implementación o mejora se hagan de forma satisfactoria depende de que a la hora de implementar el
cambio adecuado se haga de forma correcta. En muchas empresas, hay un enfoque significativo en el primer aspecto
(implementar las buenas prácticas), pero no el suficiente en el segundo aspecto, implementar el cambio de forma
correcta, poniendo el énfasis en la gestión de las personas, aspectos culturales y de comportamiento del cambio y
motivando a las partes interesadas a respaldar el cambio. La habilitación del cambio, que incluye la gestión de las
partes interesadas, es una de los mayores retos de la implementación del GEIT.
No debería asumirse que las distintas partes interesadas involucradas, o afectadas por compromisos de gobierno
nuevos o revisados estarán dispuestas necesariamente a aceptar y adoptar el cambio. Debe considerarse la posibilidad
de ignorancia, resistencia al cambio o cansancio frente a los cambios con una estrategia estructurada y proactiva.11 1
Además, debería lograrse una concienciación óptima sobre el programa a través de un plan de comunicación que
defina qué se comunicará, de qué forma, por quién y a quién, a través de las distintas fases del programa.
COBIT define la habilitación del cambio como un proceso holístico y sistemático para garantizar que las partes
interesadas relevantes están preparadas y comprometidas para involucrarse en los cambios que se requieren para
pasar del estado actual al estado futuro deseado.
Todas las partes interesadas clave deberían involucrarse. A alto nivel, la habilitación del cambio suele llevar consigo:
Evaluar el impacto del cambio en la empresa, sus empleados y otras partes interesadas
Establecer el estado futuro (visión) en términos humanos/de comportamiento y las medidas asociadas que lo
describen
Crear planes de respuesta ante los cambios para gestionar los impactos del cambio de forma proactiva y maximizar
el compromiso a lo largo del proceso. Estos planes podrían incluir capacitación, comunicación, diseño de
organización (contenido del trabajo, estructura organizativa), rediseño del proceso y sistemas actualizados de
gestión del desempeño.
Medir continuamente el progreso del cambio hacia el estado futuro deseado.
Aunque cada implementación del GEIT es distinta, un objetivo común de habilitación del cambio es que las partes
interesadas del negocio y de TI den ejemplo y animen al personal de todos los niveles a trabajar de acuerdo al nuevo
modo deseado. Entre los ejemplos de comportamiento deseado se incluyen:
Seguir los procesos acordados
Participar en las estructuras definidas del GEIT, como un comité para aprobar el cambio o un comité consultivo
Hacer cumplir los principios rectores, las políticas, los estándares, los procesos o las prácticas definidas (como la
política relacionada con nuevas inversiones o seguridad)
Esto puede alcanzarse mejor si se logra el compromiso de las partes interesadas (diligencia y cuidado debido,
liderazgo y comunicación y respuesta a los empleados) y se venden los beneficios. Si fuera necesario, podría
requerirse reforzar el cumplimiento. En otras palabras, las barreras humanas, de comportamiento y cultura deben
superarse para establecer un interés común en adoptar adecuadamente esta nueva manera, inculcar la voluntad de
adoptarla y garantizar la habilidad de adoptarla. Podría ser útil aprovechar las habilidades de habilitación del cambio
dentro de la empresa o, si fuera necesario, de consultores externos para facilitar el cambio de comportamiento.
11
1
Cuando se revisó una iniciativa de transformación de TI importante, el Departamento de asuntos de veteranos (VA, por sus siglas en inglés) afirmó
que “el cambio principal al que el VA se enfrentará a la hora de lograr esta transformación será obtener la aceptación y el apoyo de todo el personal de
VA, incluidos los directivos, los cargos intermedios y el personal de campo”. Ver Walters, J.; “Transforming Information Technology at the
Department of Veterans Affairs,” IBM Center for the Business of Government, EE. UU., 2009, http://www.isaca.org/Knowledge-
Center/cobit/Documents/WaltersVAReport-June09.pdf. El VA ha afirmado que su esfuerzo no puede ser exitoso si aborda solo la transformación
tecnológica; reconoce que el factor humano es necesario para lograr la aceptación, cambiar la organización y cambiar la forma en que se llevan a
cabo los negocios es fundamental para el éxito.
43
Con el paso de los años se han definido varias estrategias para habilitar el cambio, que proporcionan una información
valiosa que podría utilizarse durante el ciclo de vida de la implementación. Una de las estrategias más ampliamente
aceptadas para habilitar el cambio es la desarrollada por John Kotter:12 2
La estrategia de Kotter se eligió como ejemplo y se adaptó a los requisitos específicos de una implementación o
mejora del GEIT, como se describe en esta publicación. Los preceptos adaptados de Kotter se ilustran por el ciclo de
vida de la habilitación del cambio de la figura 5.1.
emos 1 ¿Cuáles so
anten ?
o m lso n lo
óm pu sm
¿C el im Iniciar
oti
va
7 ctivid
ad un p do
la efe ro re
gra
ar
s?
ma
evis
R Estab
?
gar
ner le
de cer
2¿
ste
de ca seo el
o lle
So
Dón
Defi portuni
mb
ios
iar
6 ¿Hemos conseguid
de es
efic
rear Reconoce
nir p dades
a
alua act de d
nuevas ar
la
tamos ahora?
Formpo de
equi entación
roblemas y
plem
ias
ev
Incorpor
uar
(círculo exterior)
estrateg
el e tual
Eval tado
operar
ar el
ac
medir
uar
(círculo medio)
I m p ej or
je s t a d i r
ti v o
De e
le m a
o
m
nt
el b
e
s ar (círculo interior)
Ope
ult a r
o
ru ta
G e n e ra r
o
es u n ic
5 ¿C
ad
ra r
m e j o ra s
Eje
us
?
Co r
y
de
star
ar
cu
óm
el
ja
t ar
se
Identificar
oc
ho
pl
el
on
la
an ir
se
fin
e re
De
gu
qu
m
i re
de
os P la n
ll e ificar el programa ón
ga ¿D
r? 3
4 ¿ Q u é e s p re c i s o h a c e r ?
12
Kotter, J.; Leading Change, Harvard Business School Press, EE. UU., 1996, https://www.kotterinc.com/book/leading-change/
44
Las subsecciones siguientes crean una visión de alto nivel, si bien holística, comentando brevemente cada fase del
ciclo de vida de habilitación del cambio, de acuerdo a como se aplica a una implementación típica del GEIT.
5.2 Las fases del ciclo de vida de habilitación del cambio crean el entorno adecuado
Todo el entorno de la empresa debería analizarse para determinar la estrategia de habilitación del cambio más
adecuada. Esto incluye aspectos como el estilo de gestión, cultura, relaciones formales e informales y actitudes.
También es importante entender otras iniciativas empresariales o de I&T en curso o planificadas, para garantizar que
se están teniendo en cuenta las dependencias y los impactos.
Debería garantizarse desde el inicio que las habilidades, competencias y experiencia requeridas para la habilitación
del cambio estén disponibles y se utilicen. Por ejemplo, esto podría significar el involucramiento de recursos del área
de RR. HH. o la obtención de asistencia externa.
Como un resultado de esta fase, se puede diseñar un equilibrio adecuado entre las directivas y las actividades de
habilitación del cambio que se requieren para entregar beneficios sostenibles.
El propósito de esta fase es entender la amplitud y profundidad del cambio previsto, las partes interesadas que son
afectadas, la naturaleza del impacto, y el involucramiento requerido por cada grupo de partes interesadas, además de
la disponibilidad actual y la habilidad para adoptar el cambio.
Los puntos de dolor y los eventos desencadenantes actuales pueden proporcionar una buena base para establecer el
deseo de cambiar. La llamada de atención, una comunicación inicial sobre el programa puede estar relacionada con
problemas del mundo real que la empresa podría estar experimentando. Además, los beneficios iniciales pueden estar
relacionados con áreas que son muy visibles en la empresa, creando una plataforma para impulsar los cambios y así
tener un compromiso y una aceptación más amplios.
Las dimensiones a considerar a la hora de conformar un equipo principal de implementación eficaz implican
involucrar a las áreas adecuadas del negocio y de TI e identificar el conocimiento y la pericia, la experiencia, la
credibilidad y la autoridad de los miembros del equipo. Obtener una visión independiente y objetiva, como la
proporcionada por terceros (como consultores y agentes de cambio) podría también ser muy beneficiosa, mediante su
contribución al proceso de implementación o cubrir brechas de habilidades que pudieran existir en la empresa. Por
Tanto, otra dimensión a considerar es la mezcla adecuada de recursos internos y externos.
45
En esta fase, se desarrolla un plan de habilitación del cambio de alto nivel junto con el plan general del programa. Un
componente clave del plan de habilitación del cambio es la estrategia de comunicación, que considera quiénes son
los grupos de audiencia principal, y sus perfiles de comportamiento y requisitos de información, canales de
comunicación y principios.
La visión deseada para el programa de implementación o mejora debería comunicarse en el idioma de aquellos que
se ven afectados. La comunicación debería incluir la justificación y beneficios del cambio, los impactos de no hacer
el cambio (propósito), así como la visión (perspectiva), el mapa de ruta para hacer realidad la visión (plan) y la
participación necesaria de las distintas partes interesadas (partes).13 La alta dirección debería comunicar mensajes
3
clave (como la visión deseada). La comunicación debería tomar nota de que se abordarán tanto aspectos de
comportamiento/culturales como lógicos y que el énfasis está en la comunicación bidireccional. Deberían captarse
las reacciones, sugerencias y otras retroalimentaciones y deberían tomarse las medidas oportunas.
5.2.4 Fase 4: Empoderar a los roles asignados e identificar las ganancias rápidas
A medida que se diseñan y crean las mejoras, los planes de respuesta al cambio se desarrollan para empoderar a
varios roles asignados. Su alcance podría incluir:
Cambios de diseño organizativo, como el contenido de un puesto de trabajo o estructuras de equipos
Cambios operativos, como flujos de procesos o logística
Cambios en la gestión de personal, como formación y/o cambios requeridos en la gestión del desempeño y los
sistemas de recompensa
La obtención de ganancias rápidas es importante desde el punto de vista de una habilitación del cambio. Estos
podrían estar relacionados con los puntos de dolor y los eventos desencadenantes comentados en el capítulo 3. Las
ganancias rápidas visibles e inequívocas pueden generar una dinámica y una credibilidad para el programa y ayudar
a acabar con cualquier escepticismo que pudiera existir.
Es imprescindible usar una estrategia participativa en el diseño y construcción de las mejoras. Involucrar a los
afectados por el cambio en el diseño (por ejemplo, a través de talleres y sesiones de revisión) podría aumentar la
aceptación.
Así como las iniciativas se implementan dentro del ciclo de vida de implementación principal, también se
implementan los planes de respuesta al cambio. Los éxitos rápidos que se han obtenido se construyen sobre los
aspectos culturales y de comportamiento abordándolos desde el sentido amplio de la transición (temas como el
manejo de los temores de pérdida de responsabilidad, nuevas expectativas y tareas desconocidas).
13
3
En relación a las cuatro «Ps» (propósito, perspectiva, plan y partes), ver Bridges, W.; Managing Transitions: Making the Most of Change, Addison-
Wesley, EE. UU., 1999.
46
Durante el proceso de despliegue de la solución, el mentoring y el coaching son fundamentales para garantizar la
aceptación en el entorno del usuario. Los requisitos y objetivos del cambio que se establecieron al inicio de la
iniciativa deberían volver a revisarse para garantizar que se abordan de forma adecuada.
Las medidas de éxito deberían definirse y deberían incluir tanto medidas difíciles de negocio como medidas de
percepción, que hacen seguimiento a cómo se sienten las personas ante un cambio.
A medida que se logran resultados tangibles, las nuevas formas de trabajo deberían formar parte de la cultura de la
empresa y enraizarse en sus normas y valores («la forma como hacemos las cosas por aquí»). Una forma de lograrlo
es implementar políticas, estándares y procedimientos adecuados. Debería hacerse un seguimiento de los cambios
implementados, debería evaluarse la eficacia de los planes de respuesta ante el cambio y deberían tomarse las
medidas correctivas según corresponda. Esto podría incluir reforzar el cumplimiento cuando aún sea preciso.
Los cambios se sostienen gracias a un refuerzo consciente, una campaña de comunicación continua y un compromiso
continuo de la alta dirección.
En esta fase, se implementan los planes de acciones correctivas, se registran las lecciones aprendidas y se comparte
el conocimiento con toda la empresa.
47
48
Capítulo 6
Ciclo de vida de la implementación
6.1 Introducción
La mejora continua del GEIT se logra usando el ciclo de vida de implementación de siete fases descrito en el
capítulo 3. Cada fase está sustentada en:
Un cuadro que resume las responsabilidades de cada grupo de roles asignados en cada fase. Los roles definidos son
genéricos. No todos los roles deben necesariamente existir como una función específica.
Una tabla que contiene:
El objetivo de la fase
La descripción de la fase
Las tareas de mejora continua (CI, por sus siglas en inglés)
Las tareas de habilitación del cambio (CE, por sus siglas en inglés)
Las tareas de gestión del programa (PM, por sus siglas en inglés)
Ejemplos de las entradas que probablemente van a requerirse
Elementos sugeridos de ISACA y otros marcos de referencia que deben utilizarse
Las salidas que deben producirse
Una matriz (RACI, por sus siglas en inglés) que describe quién es responsable, quien rinde cuentas, quien es
consultado y quien es informado en actividades clave seleccionadas de las tareas de mejora continua (CI),
habilitación del cambio (CE) y gestión del programa (PM), con las correspondientes referencias cruzadas. Las
actividades consideradas en la matriz RACI son las más importantes: aquellas que producen entregables o salidas
para la fase siguiente, tienen un hito asociado con ellas o son críticas para el éxito de toda la iniciativa. Con objeto
de mantener esta guía concisa, no se incluyen todas las actividades.
Esta guía no pretende ser prescriptiva. Por el contrario, constituye un plan genérico por fases y tareas que debería
adaptarse para adecuarse a una implementación específica.
Este capítulo hace referencia a diversos pasos de la Guía de diseño COBIT® 2019 para las tareas de CI de las fases 1
a la 3. La Guía de diseño COBIT® 2019 incluye una guía más detallada de las tareas de CI descritas en este capítulo.
Ambas guías deberían usarse conjuntamente durante las fases iniciales de un programa de mejora del gobierno.
49
emos 1 ¿Cuáles so
nten
o ma lso? n lo
óm pu sm
¿C el im Iniciar
oti
va
7 ctivid
ad un do
la efe pro
gra
re
ar
s?
ma
vis
Re Estab
?
gar
ner le
de cer
2¿
ste
de ca seo el
o lle
So
Dón
Defi portuni
mb
ios
iar
6 ¿Hemos conseguid
de es
efic
ear Reconoc
nir p dades
itor neces er
on y id
im
M
• Gestión del programa
Obtener ben
r a
alua act de d
nuevas ar
la
tamos ahora?
Formpo de
equi entación
roblemas y
plem
ias
ev
Incorpor
uar
(círculo exterior)
estrateg
el e tual
Eval tado
operar
ar el
ac
medir
uar
(círculo medio)
I m p ejor
je s t a d i r
tiv o
De e
le m a
o
m
nt
el b
e
s ar (círculo interior)
Ope
u lt a r
ru t a
G e n e ra r
o
es unic
5 ¿C
ad
ra r
m e j o ra s
Eje
us
?
Co r
y
de
star
ar
cu
óm
el
ja
t ar
se
Identificar
oc
ho
l o s ro l e s c l a v e
mo
pl
el
on
la
an ir
se
fin
e re
De
gu
qu
m
i re
de
os P la n
lle ificar el programa ón
ga ¿D
r? 3
4 ¿ Q u é e s p re c i s o h a c e r ?
Gestión de TI Recopilar los requisitos y los objetivos de todas las partes interesadas, para lograr un consenso
sobre la estrategia y el alcance. Proporcionar asesoramiento y ayuda de expertos sobre asuntos
relacionados con las TI.
Auditoría interna Proporcionar consejos y cuestionar las actividades y acciones propuestas, garantizando que se
tomen decisiones objetivas y equilibradas. Proporcionar información sobre problemas actuales.
Proporcionar asesoría con respecto a los controles y las prácticas y estrategias de gestión de
riesgos.
Riesgo, cumplimiento y Proporcionar asesoría y guía con respecto al riesgo, cumplimiento y los asuntos legales. Asegurar
asuntos legales el enfoque propuesto por la dirección sea apropiado para cumplir con los requisitos legales, de
riesgo y cumplimiento.
50
51
e I&
ama
to
ci o
trac
ien
od
ogr
e go
os d s de
inis
plim
ern
I
TI
T
eT
l pr
el n
Adm
obi
ces rio
e
e
cum
n de
es d
ía d
d
eg
proopieta
os
de
od
cció
itor
ent
utiv
o
go
sej
sej
Aud
s
Ger
Dire
CIO
Pr
C on
Con
Rie
Eje
Actividades Clave
Identificar problemas que desencadenen la necesidad de actuar (CI1).
Identificar las prioridades y estrategias empresariales que afectan a las TI (CI3).
Obtener el acuerdo de la dirección para actuar y obtener patrocinio ejecutivo (CI7). C
Inculcar el nivel apropiado de urgencia para el cambio (CE10).
Elaborar un caso de negocio preliminar convincente (PM3).
Una matriz RACI identifica quién es responsable, quien rinde cuentas,
es consultado y / o informado.
52
emos 1 ¿Cuáles so
nten
o ma lso? n lo
óm pu sm
¿C el im Iniciar
oti
va
7 fect
ividad un pro
do
re
la e gra
ar
s?
ma
evis
R Estab
?
gar
ner le
de cer
2¿
ste
de ca seo el
o lle
So
Dón
Defi portuni
mb
ios
iar
6 ¿Hemos conseguid
de es
efic
rear Reconoce
nir p dades
ito ne
on y cesi r
im
M d
• Gestión del programa
Obtener ben
r a
alua act de d
nuevas ar
la
tamos ahora?
Form
equi entación
roblemas y
plem
ias
ev
Incorpor
uar
(círculo exterior)
estrateg
po de
el e tual
Eval tado
operar
ar el
ac
medir
uar
(círculo medio)
Imp
je s t a d i r
tiv o
De e
l e m ra
o
me
nt
el b
e
j
s ar (círculo interior)
Ope
o u lt a r
ru t a
G e n e ra r
o
es unic
5 ¿C
ad
ra r
m e j o ra s
Eje
us
?
Co r
y
de
star
ar
cu
óm
el
ja
t ar
se
Identificar
oc
ho
l o s ro l e s c l a v e
mo
pl
el
on
la
an ir
se
fin e re
De
gu
qu
m
i re
de
os P la n
lle ificar el programa ón
ga ¿D
r? 3
4 ¿ Q u é e s p re c i s o h a c e r ?
53
54
55
Recursos de ISACA Marco de referencia COBIT® 2019: Introducción y metodología, (objetivos de gobierno y gestión,
cascada de metas, cascada de metas de negocio-metas de alineamiento) www.isaca.org/cobit
Marco de referencia COBIT® 2019: Objetivos de gobierno y gestión (APO01, APO02, APO05, APO12,
BAI01, BAI11, MEA01, MEA02, MEA03, MEA04, usados para la selección de procesos y la valoración
de capacidades de los procesos, así como para la implementación y la planificación de programas)
Capítulo 5, Habilitación del Cambio, en esta publicación
Productos adicionales de soporte de ISACA incluidos actualmente en www.isaca.org
e I&
ama
to
ci o
trac
ien
od
ogr
e go
Aud s de Tde
inis
lim
ern
I
I
T
eT
l pr
el n
s
Adm
mp
obi
ces rio
e
n de
es d
ía d
d
eg
y cu
pro pieta
os
de
o
od
cció
itor
ent
utiv
o
go
sej
sej
Pro
s
Ger
Dire
CIO
c
C on
Con
Rie
Eje
56
s
nemo 1 ¿Cuáles so
m ante o? n lo
o ls
óm pu sm
¿C el im Iniciar
oti
va
7 ctivid
ad un do
efe pro re
r la gra
s?
visa ma
Re Estab
?
gar
ner le
de cer
2¿
ste
de ca seo el
o lle
So
Dón
Defi portuni
mb
ios
iar
6 ¿Hemos conseguid
de es
efic
rear Reconoce
nir p dades
nito nec r
esid
Mo y r
im
• Gestión del programa
Obtener ben
a
alua act de d
nuevas ar
la
tamos ahora?
Form
equi entación
roblemas y
plem
ias
ev
Incorpor
uar
(círculo exterior)
estrateg
po de
el e tual
Eval tado
operar
ar el
ac
medir
s
• Habilitación del cambio
y
uar
(círculo medio)
Imp
je s t a d i r
tiv o
De e
l e m ra
o
me
nt
el b
e
j
s ar (círculo interior)
Ope
u lt a r
o
ru t a
G e n e ra r
o
es unic
5 ¿C
ad
ra r
m e j o ra s
Eje
us
?
Co r
y
de
star
ar
cu
óm
el
ja
t ar
se
Identificar
oc
ho
pl l o s ro l e s c l a v e mo
el
on
la
an ir
se
fin
e re
De
gu
qu
m
i re
de
os P la n
lle ificar el programa ón
ga ¿D
r? 3
4 ¿ Q u é e s p re c i s o h a c e r ?
57
58
Recursos de ISACA Marco de referencia COBIT® 2019: Introducción y metodología, (metas del negocio),
www.isaca.org/cobit
Marco de referencia COBIT® 2019: Objetivos de gobierno y gestión (prácticas y actividades de gestión
para la definición del estado objetivo y el análisis de brecha, APO01, APO02)
Productos adicionales de soporte de ISACA incluidos actualmente en www.isaca.org
59
T
ión
e I&
ama
to
ci o
trac
ien
od
ogr
e go
Aud s de Tde
inis
lim
ern
TI
I
T I
l pr
el n
s
Adm
mp
obi
ces rio
e
n de
es d
ía d
sd
eg
y cu
pro pieta
de
o
tivo
od
cció
itor
ent
o
go
sej
sej
cu
Pro
s
Ger
Dire
CIO
C on
Con
Rie
Eje
Analizar las brechas (CI2).
s
nemo 1 ¿Cuáles so
m ante o? n lo
o ls
óm pu sm
¿C el im Iniciar
oti
va
7 ctivid
ad un p do
la efe ro re
gra
ar
s?
ma
vis
Re Estab
?
gar
ner le
de cer
2¿
ste
de ca seo el
o lle
So
Dón
Defi portuni
mb
ios
iar
6 ¿Hemos conseguid
de es
efic
r Recono
nir p dades
nit orea
neces er c
Mo y uar i
im
nuevas ar
la
actu e
tamos ahora?
al
Form
equi entación
roblemas y
plem
ias
ev
Incorpor
ar
(círculo exterior)
estrateg
po de
el e tual
Eval tado
operar
ar el
ac
medir
uar
(círculo medio)
Imp
je s t a d i r
tiv o
De e
l e m ra
o
me
nt
el b
e
j
s ar (círculo interior)
Ope
u lt a r
o
ru t a
G e n e ra r
o
es unic
5 ¿C
ad
ra r
m e j o ra s
Eje
us
?
Co r
y
de
star
ar
cu
óm
el
ja
t ar
se
Identificar
oc
ho
l o s ro l e s c l a v e
mo
pl
el
on
la
an ir
se
fin
e re
De
gu
qu
m
i re
de
os P la n
lle ificar el programa ón
ga ¿D
r? 3
4 ¿ Q u é e s p re c i s o h a c e r ?
60
61
62
e I&
ama
to
ci o
trac
ien
od
ogr
e go
os d s de
inis
plim
ern
I
eT
eT
l pr
TI
el n
Adm
obi
ces rio
cum
e
n de
es d
d
ía d
eg
pro pieta
os
de
od
cció
ent
utiv
itor
o
go
sej
sej
Pro
s
Ger
Dire
CIO
Aud
C on
Con
Rie
Eje
63
emos 1 ¿Cuáles so
nten
o ma lso? n lo
óm pu sm
¿C el im Iniciar
oti
va
7 fect
ividad un pro
do
re
la e gra
ar
s?
ma
evis
R Estab
?
gar
ner le
de cer
2¿
ste
de ca seo el
o lle
So
Dón
Defi portuni
mb
ios
iar
6 ¿Hemos conseguid
de es
efic
rear Reconoce
nir p dades
ito ne
on y cesi r
im
M d
• Gestión del programa
Obtener ben
r a
alua act de d
nuevas ar
la
tamos ahora?
Formpo de
equi entación
roblemas y
plem
ias
ev
Incorpor
uar
(círculo exterior)
estrateg
el e tual
Eval tado
operar
ar el
ac
medir
uar
(círculo medio)
I m p ejor
je s t a d i r
tiv o
De e
le m a
o
m
nt
el b
e
s ar (círculo interior)
Ope
u lt a r
ru t a
G e n e ra r
o
es unic
5 ¿C
ad
ra r
m e j o ra s
Eje
us
?
Co r
y
de
star
ar
cu
óm
el
ja
t ar
se
Identificar
oc
ho
l o s ro l e s c l a v e
mo
pl
el
on
la
an ir
se
fin
e re
De
gu
qu
m
i re
de
os P la n
lle ificar el programa ón
ga ¿D
r? 3
4 ¿ Q u é e s p re c i s o h a c e r ?
64
Esta fase suele conllevar mayor tiempo y esfuerzo que todas las fases del ciclo de vida. Sin embargo, es
importante garantizar que la fase pueda gestionarse y que los beneficios se obtengan en un plazo de
tiempo razonable, por lo que debe evitarse un tamaño o tiempo total excesivo. Esto es particularmente
cierto en el caso de las primeras iteraciones, que también supondrán una experiencia de aprendizaje
para todos los involucrados.
Debe supervisarse el desempeño de cada proyecto para garantizar que todas las metas están siendo
logradas. El reporte a las partes interesadas a intervalos regulares garantiza que se conoce el progreso y
que se cumple con los plazos.
Tareas de mejora Implementar mejoras:
continua (CI) 1. Desarrollar y, cuando sea necesario, adquirir soluciones que incluyan el alcance completo de las
actividades requeridas. Estas podrían incluir cultura, ética y comportamiento; estructuras
organizativas; principios y políticas; procesos; capacidades de servicio; habilidades y competencias;
e información.
2. Cuando se usen buenas prácticas, adoptar y adaptar las guías disponibles para que se adecúen a la
estrategia de la empresa con respecto a políticas y procedimientos.
3. Poner a prueba la funcionalidad e idoneidad de las soluciones en un entorno de trabajo real.
4. Implementar las soluciones, teniendo en cuenta los procesos actuales y los requisitos de
migración.
Tareas de habilitación Habilitar la operación y el uso:
del cambio (CE) 1. Aprovechar el impulso y la credibilidad que pueden generarse por las ganancias rápidas, e introducir
entonces aspectos de cambio más amplios y complejos.
2. Comunicar los éxitos de las ganancias rápidas y reconocer y recompensar a todos los involucrados
en ellas.
3. Implementar planes de respuesta al cambio.
4. Garantizar que la mayoría de roles asignados cuentan con las habilidades, recursos y
conocimientos, así como la aceptación y el compromiso con respecto al cambio.
5. Equilibrar las intervenciones de grupo e individuales para asegurar que las partes interesadas clave
tengan una visión holística del cambio.
6. Planificar los aspectos de cultura y comportamiento de la transición más amplia (cómo tratar con
los temores de pérdida de responsabilidad/independencia/autoridad en cuanto a toma de
decisiones, nuevas expectativas y tareas desconocidas).
7. Comunicar roles y responsabilidades para su uso.
8. Definir medidas de éxito, incluidas aquellas desde el punto de vista del negocio y medidas de
percepción.
9. Establecer tutorías y coaching para garantizar la aceptación y el convencimiento.
10. Cerrar el círculo y garantizar que se han abordado todos los requisitos del cambio.
11. Supervisar la eficacia de la habilitación del cambio y tomar acciones correctivas donde sea
necesario.
Tareas de gestión del Ejecutar el plan:
programa (PM) 1. Garantizar que la ejecución del programa se base en un plan actualizado e integrado (IT y negocio)
de los proyectos que forman parte del programa.
2. Dirigir y monitorizar la contribución de todos los proyectos del programa para garantizar la
obtención de los resultados esperados.
3. Proporcionar informes regulares de actualización a las partes interesadas para garantizar que se
entienda el progreso y que se cumple con los plazos.
4. Documentar y supervisar el riesgo y problemas significativos del programa y acordar las acciones
correctivas.
5. Aprobar el inicio de cada fase importante del programa y comunicarlo a todas las partes
interesadas.
6. Aprobar cualquier cambio importante al programa y a los planes del proyecto.
65
e I&
ama
to
ci o
trac
ien
od
ogr
e go
os d s de
inis
lim
ern
I
I
I
eT
eT
eT
l pr
el n
Adm
mp
obi
ces rio
ía d
n de
es d
d
eg
y cu
pro pieta
os
de
od
itor
cció
ent
utiv
o
sgo
sej
sej
Pro
Aud
Ger
Dire
CIO
c
C on
Con
Rie
Eje
al cambio (CE3).
66
s
nemo 1 ¿Cuáles so
m ante o? n lo
o ls
óm pu sm
¿C el im Iniciar
oti
va
7 ctivid
ad un p do
la efe ro re
gra
ar
s?
ma
vis
Re Estab
?
gar
ner le
de cer
2¿
ste
de ca seo el
o lle
So
Dón
Defi portuni
mb
ios
iar
6 ¿Hemos conseguid
de es
efic
rear Reconoce
nir p dades
nito nec r
esid
Mo y r
im
• Gestión del programa
Obtener ben
a
alua act de d
nuevas ar
la
tamos ahora?
Formpo de
equi entación
roblemas y
plem
ias
ev
Incorpor
uar
(círculo exterior)
estrateg
el e tual
Eval tado
operar
ar el
ac
medir
uar
(círculo medio)
I m p ejor
je s t a d i r
tiv o
• Ciclo de vida de mejora continua
fi n
De e
le m a
o
m
nt
el b
e
s ar (círculo interior)
Ope
u lt a r
o
ru t a
G e n e ra r
o
es unic
5 ¿C
ad
ra r
m e j o ra s
Eje
us
?
Co r
y
de
star
ar
cu
óm
el
ja
t ar
se
Identificar
oc
l o s ro l e s c l a v e ho
mo
pl
el
on
la
an ir
se
fin e re
De
gu
qu
m
i re
de
os P la n
lle ificar el programa ón
ga ¿D
r? 3
4 ¿ Q u é e s p re c i s o h a c e r ?
67
68
T
ión
e I&
ama
to
ci o
trac
ien
od
ogr
e go
os d s de
inis
plim
iern
I
eT
eT
l pr
I
el n
eT
Adm
ces rio
gob
cum
n de
es d
d
ía d
pro ieta
os
de
de
cció
ent
utiv
itor
sejo
sejo
go
p
Pro
s
Ger
Dire
CIO
Aud
Con
Con
Rie
Eje
Operar
métricas de éxito
propiedad
69
emos 1 ¿Cuáles so
nten
o ma lso? n lo
óm pu sm
¿C el im Iniciar
oti
va
7 fect
ividad un pro
do
re
la e gra
ar
s?
ma
evis
R Estab
?
gar
ner le
de cer
2¿
ste
de ca seo el
o lle
So
Dón
Defi portuni
mb
ios
iar
6 ¿Hemos conseguid
de es
efic
rear Reconoce
nir p dades
ito ne
on y cesi r
im
M d
• Gestión del programa
Obtener ben
r a
alua act de d
nuevas ar
la
tamos ahora?
Form
equi entación
roblemas y
plem
ias
ev
Incorpor
uar
(círculo exterior)
estrateg
po de
el e tual
Eval tado
operar
ar el
ac
medir
uar
(círculo medio)
Imp
je s t a d i r
tiv o
De e
l e m ra
o
me
nt
el b
e
j
s ar (círculo interior)
Ope
u lt a r
ru t a
G e n e ra r
o
es unic
5 ¿C
ad
ra r
m e j o ra s
Eje
us
?
Co r
y
de
star
ar
cu
óm
el
ja
t ar
Identificar se
oc
ho
l o s ro l e s c l a v e
mo
pl
el
on
la
an ir
se
fin
e re
De
gu
qu
m
i re
de
os P la n
lle ificar el programa ón
ga ¿D
r? 3
4 ¿ Q u é e s p re c i s o h a c e r ?
70
71
T
ión
e I&
ama
to
ci o
trac
ien
od
e go
Aud s de Tde
ogr
inis
plim
ern
TI
I
T I
el n
l pr
Adm
obi
ces rio
e
e
cum
es d
ía d
d
n de
de g
pro pieta
os
de
o
itor
oy
ent
utiv
cció
sejo
sejo
sg
Pro
Ger
CIO
Dire
Rie
Con
Eje
Co n
72
APENDICE A
Ejemplo de matriz de decisiones
Este apéndice muestra un ejemplo sobre cómo identificar áreas de temas clave que requieren definir claramente roles
y responsabilidades de toma de decisiones. Se proporciona a modo de guía y puede modificarse y adaptarse para
adecuarse a una empresa con organización y requerimientos específicos.14 1
Gestor de Portafolio
Comité ejecutivo
2
Dirección de TI15
Empleados
Tema de decisión Alcance
Gobierno Integrando con gobierno corporativo A/R R C C R I
Establecer principios, estructuras, objetivos
Estrategia de la Definir metas y objetivos del negocio A/R R C C R I
empresa Decidir cómo y dónde I&T puede habilitar y apoyar los
objetivos de la empresa
Políticas de I&T Proporcionar políticas, procedimientos, guías y otra I A C R C C
documentación precisas, comprensibles y aprobadas a
las partes interesadas
Desarrollar e implementar políticas de I&T
Garantizar que las políticas deriven en resultados
beneficiosos conforme a los principios rectores
Reforzando políticas de I&T
Estrategia de I&T Incorporando la dirección de la empresa y de TI a la hora I A C I R C C
de trasladar los requisitos del negocio a ofertas de
servicio desarrollando estrategias para proporcionar
estos servicios de forma eficaz y transparente.
Involucrando a la dirección del negocio y a la alta
dirección a la hora de alinear la planificación estratégica
de I&T con las necesidades del negocio actuales y
futuras.
Entendiendo las capacidades actuales de I&T
Proporcionar un esquema de priorización para los
objetivos del negocio que cuantifique los requisitos del
negocio
14
1
Este ejemplo se basa en la matriz de GEIT desarrollada por IT Winners. Se ha usado con su autorización.
2
15 La dirección de TI incluye todos los cargos dentro de la función de TI a nivel ejecutivo.
73
Gestor de Portafolio
Comité ejecutivo
3
Dirección de TI15
Empleados
Tema de decisión Alcance
Dirección de I&T Proporcionar las plataformas adecuadas para las I C C A/R C C
aplicaciones y servicios empresariales en línea con la
arquitectura de I&T definida y los estándares de
información y tecnología.
Crear un plan de aprovisionamiento de información y
tecnología
Métodos y marcos Estableciendo estructuras organizativas de TI I C C I I A/R I I
de referencia de I&T transparentes, flexibles y receptivas y definiendo e
implementando los procesos de I&T que integran a los
dueños, roles y responsabilidades en los procesos de
decisión y del negocio
Definir un marco de referencia de procesos práctico para
I&T
Establecer una estructura y órganos organizativos
adecuados
Definir roles y responsabilidades
74
Gestor de Portafolio
Comité ejecutivo
3
Dirección de TI15
Empleados
Tema de decisión Alcance
Priorización de Estableciendo y realizando un seguimiento de los I A R C C/I C/I C/I
inversiones y presupuestos de I&T conforme a las decisiones de
programas inversión y estrategia de I&T
habilitados por I&T Midiendo y evaluando el valor de negocio frente a la
estimación
Definiendo una estrategia de gestión de programas y
proyectos que se aplique a proyectos de negocio
habilitados por I&T, y permitir la participación de las
partes interesadas en, y la monitorización de, el riesgo y el
avance del proyecto
Definiendo y haciendo cumplir los marcos de referencia y
estrategia de programas y proyectos
Publicando guías de gestión de proyectos
Realizando una planificación de proyecto para cada
proyecto detallado en el portafolio de proyectos
15
La dirección de TI incluye todos los cargos dentro de la función de TI a nivel ejecutivo.
75
Gestor de Portafolio
Comité ejecutivo
5
Dirección de TI15
Empleados
Tema de decisión Alcance
Gestión de Identificando soluciones técnicamente factibles y rentables I I C A/R C C
aplicaciones de TI Definiendo los requisitos técnicos y de negocio
Llevando a cabo estudios de factibilidad, conforme se
definen en los estándares de desarrollo
Aprobando (o rechazando) los requisitos y resultados del
estudio de factibilidad
Garantizando que haya un proceso de desarrollo o
adquisición oportuno y rentable
Trasladando los requisitos del negocio a las especificaciones
de diseño
Seleccionando los estándares de desarrollo y mantenimiento
adecuados (Waterfall, Agile, DevOps, etc.) y cumpliendo con
los estándares en todas las modificaciones
Separando las actividades de desarrollo, pruebas y operativas
Gestión de Operando el entorno de TI en línea con los niveles de I I C A/R C C
infraestructuras de TI servicio e instrucciones definidas
Manteniendo la infraestructura de TI
15
5
La dirección de TI incluye todos los cargos dentro de la función de TI a nivel ejecutivo.
76
Gestor de Portafolio
Comité ejecutivo
3
Dirección de TI15
Empleados
Tema de decisión Alcance
Cumplimiento de I&T Identificando todas las leyes aplicables, regulaciones y C/I A C A/R C C/I
contratos vigentes; definiendo el nivel de cumplimiento de
I&T correspondiente; y optimizando los procesos de TI
para reducir el riesgo de incumplimiento
Identificando los requisitos legales, regulatorios y
contractuales relacionados con la I&T
Evaluando el impacto de los requisitos de cumplimiento
Monitorizando e informando sobre el cumplimiento con
estos requisitos
15
La dirección de TI incluye todos los cargos dentro de la función de TI a nivel ejecutivo.
77
78