Documentos de Académico
Documentos de Profesional
Documentos de Cultura
La evolución de COBIT:
1. COBIT1 (1996): Audit
2. COBIT2 (1998): Control
3. COBIT3 (2000): Management
4. COBIT4 (2005/2007): IT Governance
o Val IT 2.0
o Risk IT
5. COBIT5 (2012): Governance of Enterprise IT
En respuesta a las necesidades actuales, COBIT ha evolucionado desde una herramienta para
auditoría a un marco de buen gobierno de TIC, con la publicación de COBIT 4, en el año 2005, y
COBIT 5, en 2012.
COBIT 4
Partiendo de la premisa de que IT necesita entregar la información que la organización necesita
para alcanzar sus objetivos, COBIT promueve el enfoque de procesos y
propiedad/responsabilidad de procesos. Divide IT en 34 procesos, que se incluyen en 4
dominios, que proporcionan objetivos de control de alto nivel.
Finalmente, para cumplir sus objetivos, se apoya en un conjunto de más de 300 objetivos de
control detallados.
La gerencia de negocio requiere cumplir con los objetivos marcados, y para ello, necesita que las
IT garanticen unos niveles óptimos de la información, al menos en los siguientes requisitos:
COBIT 4 se estructura en 4 dominios, éstos incluyen los 34 procesos necesarios para gobernar
las IT, y para cada proceso se describen las actividades o tareas detalladas que permiten
cumplir con los objetivos y la finalidad de cada proceso.
Orientación a procesos
Cada proceso, en el ámbito de las IT, debe ser definido formalmente, indicando y describiendo
las actividades principales y sub-actividades, la información de entrada necesaria y el resultado
esperado del proceso.
1. ¿Los servicios de TI están siendo entregados en línea con las prioridades del negocio?
2. ¿Los costos de TI son optimizados?
3. ¿Los sistemas de TI son utilizados en forma productiva y segura por parte de los
miembros de la organización?
4. ¿Se cuenta con una adecuada confidencialidad, integridad y disponibilidad a nivel de las
tecnologías de información?
Los procesos definidos para este dominio son los
siguientes:
1. ES1. Definición de niveles de servicio.
2. ES2. Administrar servicios prestados por terceros.
3. ES3. Administración de capacidad y desempeño.
4. ES4. Garantía de servicio continuo.
5. ES5. Garantía de seguridad de los sistemas.
6. ES6. Identificación y asignación de costos.
7. ES7. Educación y entrenamiento de usuarios.
8. ES8. Apoyo y asistencia a los clientes de TI.
9. ES9. Administración de la configuración.
10. ES10. Administración de problemas e incidentes.
11. ES11. Administración de datos.
12. ES12. Administración de las instalaciones.
13. ES13. Administración de las operaciones.
Una necesidad básica de toda empresa es entender el estado de sus propios sistemas de IT y
decidir qué nivel de administración y control debe proporcionar. Para decidir el nivel
correcto, la gerencia debe preguntarse: ¿hasta dónde debemos ir? ¿Está el costo justificado por el
beneficio?
Cualquiera que sea el modelo, las escalas no deben ser demasiado granulares, ya que eso haría
que el sistema fuera difícil de usar y sugeriría una precisión que no es justificable debido a que,
en general, el fin es identificar dónde se encuentran los problemas y cómo fijar prioridades para
las mejoras.
Los niveles de madurez están diseñados como perfiles de procesos de TI que una empresa
reconocería como descripciones de estados posibles actuales y futuros. No están diseñados para
ser usados como un modelo limitante, donde no se puede pasar al siguiente nivel superior sin
haber cumplido todas las condiciones del nivel inferior.
Con los modelos de madurez de COBIT, a diferencia de la aproximación del CMM original de SEI,
no hay intención de medir los niveles de forma precisa o probar a certificar que un nivel se ha
conseguido con exactitud. Una evaluación de la madurez de COBIT resultara en un perfil donde
las condiciones relevantes a diferentes niveles de madurez se han conseguido.
Esto se debe a que cuando se emplea la evaluación de la madurez con los modelos de COBIT, a
menudo algunas implementaciones estarán en diferentes niveles, aunque no esté completa o
suficiente.