CASO

CONTROL OBJETIVOS INFORMACIÓN TECNOLOGÍA RELACIONADA

COBIT

COBIT fue creado para ayudar a las organizaciones a obtener el valor óptimo de
TI manteniendo un balance entre la realización de beneficios, la utilización de
recursos y los niveles de riesgo asumidos. COBIT posibilita que TI sea gobernada
y gestionada en forma holística para toda la organización, tomando en
consideración el negocio y áreas funcionales de punta a punta, así como los
interesados internos y externos. COBIT se puede aplicar a organizaciones de
todos los tamaños, tanto en el sector privado, público o entidades sin fines de
lucro.

COBIT es empleado en todo el mundo por quienes tienen como responsabilidad

primaria los procesos de negocio y la tecnología, aquellos de quien depende la
tecnología y la información confiable, y los que proveen calidad, confiabilidad y
control de TI.

Historia de COBIT (Copyright ISACA)

El nuevo marco se ha vuelto virtualmente “ágil”. Eso no significa que se mantenga

extremadamente delgado, no, al contrario. Es más completo y en sí mismo mucho
más coherente. Sin embargo, con las nuevas “áreas de enfoque” definidas, tiene
la oportunidad de adaptar el sistema de gobierno a las diferentes necesidades y
adaptarlas en consecuencia.

Un área de enfoque describe un problema de gobierno, dominio o problema

particular que se puede abordar a través de una colección de objetivos de
gobierno y administración y sus componentes. Las áreas de enfoque pueden
contener una combinación de componentes de gobierno comunes y variantes. El
número de áreas de enfoque es casi ilimitado. Eso es lo que hace que COBIT esté
abierto. Se pueden agregar nuevas áreas de enfoque según sea necesario o
contribuir como un experto y profesional.

Las áreas de enfoque son, por ejemplo, consideraciones desde un punto de vista
específico, tales como:

Organizaciones de pymes
Seguridad
DevOps (es una práctica de ingeniería de software que tiene como objetivo
unificar el desarrollo de software y la operación del software)
Reguladores

¿QUÉ HA CAMBIADO EN EL NUEVO COBIT 2019?

La versión anterior COBIT 5 se remonta a 2012 y ahora tiene casi 7 años. Como
todos sabemos, el mundo de la informática y la digitalización ha cambiado
bastante.

Se han establecido nuevos métodos y modelos de prestación de servicios, que

eran difíciles de abordar con el marco COBIT 5 existente.

Ahora que los datos y la información están a la vanguardia de todos los esfuerzos
de digitalización, ven la oportunidad de colocar el gobierno en el más alto nivel
corporativo, dada la información y la tecnología (I & T) que necesitan, en lugar de
la responsabilidad olvidable. COBIT 5 se definió como un marco para establecer
un sistema de gestión y gestión de TI para la empresa. Bajo COBIT 2019, el
marco se denomina « GOBIERNO DE LA INFORMACIÓN Y TECNOLOGÍA DE
LAS EMPRESAS (EGIT)». No es lo mismo que I y T. TI: a menudo se refiere al
departamento de organización con responsabilidad principal por la tecnología, en
comparación con I & T, esta es toda la información que la empresa genera,
procesa y utiliza para lograr sus objetivos y la tecnología que la respalda en toda
la empresa. Con COBIT 2019, queremos enfatizar la importancia de la información
en la empresa y la tecnología necesaria.

Además del cambio de nombre, ha habido una serie de cambios notables, que
solo puedo reproducir aquí en la descripción general:

Ahora hay 6 principios del sistema de gobierno y tres principios del marco de
gobierno.
COBIT 5 ha conocido 5 principios, que deben cumplir con un buen marco y
sistema de gobierno. Aquí te has vuelto mucho más preciso en la nueva versión.

Los siguientes seis (6) principios son los requisitos principales de un sistema de
gobierno para administrar la información y la tecnología corporativa.

● Cada empresa necesita un sistema de gobierno para satisfacer las

necesidades de los interesados y agregar valor mediante el uso de TI.

● Un sistema de gobierno para Enterprise I & T consta de una serie

de componentes que pueden ser de diferentes tipos y trabajar juntos de
manera integral.

● Un sistema de gobierno debe ser dinámico. Esto significa que cualquier

cambio en uno o más factores de diseño debe tener en cuenta el impacto
de estos cambios en el sistema.

● Un sistema de gobierno debe distinguir claramente entre el gobierno y las

actividades y estructuras de gestión.
 ● Un sistema de gobierno debe adaptarse a las necesidades de la empresa,
utilizando un conjunto de factores de diseño como parámetros para adaptar
y priorizar los componentes del sistema de gobierno.

● Un sistema de gobierno debe cubrir a toda la empresa, centrándose no solo

en la función de TI, sino en toda la tecnología y el procesamiento de
información que la empresa utiliza para lograr sus objetivos.

Los siguientes tres (3) principios establecen los principios básicos para un marco
de gobierno que se puede utilizar para construir un sistema de gobierno
corporativo:

● Un marco de gobierno debe basarse en un modelo conceptual que

identifique los componentes clave y las relaciones entre los componentes
para maximizar la coherencia y permitir la automatización.

● Un marco de gobierno debe ser abierto y flexible. Debe permitir la adición

de nuevo contenido y brindar la oportunidad de abordar nuevos problemas
de la manera más flexible posible, a la vez que se mantiene la integridad y
la coherencia.

● Un marco de gobierno debe adaptarse a los estándares relevantes, marcos

y regulaciones relevantes

Estos principios pueden parecer un tanto abstractos a primera vista, pero han
abordado conceptos interesantes que ayudan a abordar los aspectos de alguna
manera importantes de la gobernabilidad en los equipos de auto organización a
veces difíciles de controlar de hoy. Primero, ahora hablamos de componentes que
son necesarios para la implementación del sistema de gobierno. Aquí, sin
embargo, el término “habilitador” simplemente se ha reposicionado.

Por otro lado, se han identificado nuevos factores de diseño, que pueden aplicarse
en el diseño del sistema de gobierno. Más abajo.

El libro “Procesos habilitadores” se convierte en “Objetivos de gobierno y gestión”

Como ya se mencionó, los habilitadores se convirtieron en “componentes”.
Siempre se ha criticado de alguna manera que COBIT 5 haya tratado ampliamente
con los «procesos» de habilitador (y también con la «Información» del Habilitador),
pero ha omitido a los otros facilitadores no menos importantes.

Esta circunstancia se ha tenido debidamente en cuenta. El PRM “modelo de

referencia de proceso” ya no existe en este formulario. Hay algo mucho mejor: el
“Objetivo de Gobernanza y Gestión”.

Metas de Gobierno y Gestión (Copyright ISACA)

A primera vista, un “gráfico de objetivos” puede parecer similar al mapa del
proceso COBIT 5. Pero hay mucho más: detrás de cada uno de los más de 40
“Objetivos de gobierno y administración” que se muestran, no solo se describen
los procesos, sino los 7 componentes, así como todo el sistema de destino en
cascada, incluidas las métricas. Por ejemplo, esto incluye los aspectos relevantes
para cada tema, como políticas relevantes, estructuras organizativas, flujos de
información y habilidades necesarias basadas en el “Marco de habilidades para la
era de la información V6”, las herramientas necesarias (Componente: Servicios,
Infraestructura y Aplicaciones).

Descripciones por Gobernanza y Objetivo de Gestión (Copyright ISACA)

Factores de diseño

Un nuevo componente clave de COBIT 2019 son los factores de diseño. Estos
factores influyen en el diseño del sistema de gobierno de una empresa y
contribuyen al éxito de la información y la tecnología utilizada.

COBIT 2018 — Factores de diseño (Copyright ISACA)

Estrategia empresarial: las empresas pueden seguir diferentes estrategias que

pueden expresarse como uno o más de los arquetipos. Las organizaciones
usualmente tienen una estrategia primaria y, a lo sumo, una estrategia secundaria.

objetivos de la empresa para apoyar la estrategia corporativa — La estrategia de

la empresa se realiza mediante el logro (una serie de objetivos de negocio). Estos
objetivos se definen en el marco COBIT, estructuradas de acuerdo con las
dimensiones del cuadro de mando integral (BSC), e incluyen los elementos
mostrados.

perfil de riesgo de la empresa y los problemas actuales relacionados con I & T —

El perfil de riesgo identifica el tipo de riesgo relacionados con el T I y a la que se
suspende la actualidad la empresa e indica qué áreas de riesgo más allá del
apetito por el riesgo.

Problemas relacionados con I&T: una metodología relacionada para una

evaluación de riesgos de I&T para la empresa es examinar los problemas
relacionados con I&T a los que actualmente se enfrenta, o en otras palabras, qué
riesgo corre para I & T.

Panorama de amenazas: el panorama de amenazas en el que opera la empresa

se puede clasificar como una amenaza alta o normal.

Requisitos de cumplimiento: los requisitos de cumplimiento a los que está sujeta

la empresa pueden clasificarse como requisitos de cumplimiento alto, medio o
bajo.
Función de TI: la función de TI para la empresa se puede clasificar como soporte,
entrega, fábrica o estrategia.

Modelo de adquisiciones para TI: el modelo de adquisiciones que utiliza la

empresa puede clasificarse como Outsourcing, Cloud, Insourced, híbrido.

Métodos de implementación de TI: los métodos que utiliza la empresa se pueden

clasificar como Agile, DevOps, tradicional, híbrido.

Estrategia para adoptar la tecnología (estrategia de adaptación) : la estrategia

de adopción de tecnología se puede clasificar como primer motor, seguidor,
adaptador lento.

Tamaño de la empresa: Se definen dos categorías (grande, PYME) para el

diseño del sistema de gobierno de una empresa.

Debido a la influencia del factor de diseño, algunos objetivos de gobierno y gestión

pueden llegar a ser más importantes que otros, en la medida en que se vuelven
insignificantes. En la práctica, esto significa que se deben establecer niveles más
altos de madurez para estas áreas. Algunos factores de diseño pueden afectar la
importancia de uno o más componentes o requerir variaciones específicas. Esto
hace que sea mucho más fácil adaptar un sistema de gobierno a su propia
realidad.
Nuevo sistema de evaluación de capacidades.

Con COBIT 5, se ha introducido un nuevo modelo de evaluación de procesos

basado en la norma ISO15504 o el nuevo ISO / IEC 33000. Esto también publicó
un Modelo de Evaluación de Procesos, un PAM, que cumple exactamente con los
requisitos del Estándar de Evaluación. COBIT se ha limitado deliberadamente a
una evaluación de capacidad, que permite una evaluación de un solo proceso.
Una evaluación de madurez, que permite una madurez a nivel organizacional, fue
deliberadamente no publicada.

Las actividades del proceso están vinculadas a niveles de habilidad. Esto se

incluye en el marco COBIT®2019: Guía de objetivos de gobierno y gestión.

Para otros tipos de componentes de gobierno y administrativos (por ejemplo,

estructuras organizativas, información), también se pueden definir los niveles de
habilidad definidos en futuras directrices.

Los niveles de madurez se asocian con áreas de enfoque (es decir, una colección
de objetivos de gobierno y gestión y componentes subyacentes) y se logran
cuando se alcanzan todas las capacidades requeridas.

Esto significa que los niveles de madurez a nivel organizativo son tales que todos
los procesos de gestión y gestión dentro de un área de enfoque pueden tener un
cierto grado de madurez individual y, si existen todos los procesos, alcanzar un
nivel de madurez definido.
COBIT 2019 se ha convertido en un marco de gobierno completo. La nueva
versión proporciona a las empresas la flexibilidad para desarrollar soluciones
prácticas de gobierno que se adaptan a los objetivos y el contexto de su
organización.

El Modelo de Capacidad y Madurez Integrado -CMMI-

Es un modelo total del proceso, que define las características del proceso que
debe existir si una organización desea establecer un proceso un proceso de
software completo.

Los requisitos detallados de la CMMI deben tomarse en cuenta si una

organización construye sistemas grandes y complejos que impliquen docenas o
cientos de personas por varios años o meses, es posible que la CMMI sea
correcta en ciertas situaciones, si la cultura organizacional es flexible frente a
modelos de procesos estándares y se realiza una gestión para lograr que sea
flexible.

La IMCM es un logro significativo para la ingeniería del software, proporciona una

explosión integral de las actividades y acciones que deben estar presentes cuando
una organización construye un software de computadora, pero si
una organización de software decide no adoptar sus detalles, se debe aprender de
la exposición del proceso y la ingeniería del software.

Realice las siguientes preguntas

Respuestas José Pablo Brenes Valverde:

1. ¿Qué es COBIT y para qué sirve?

R/COBIT es un marco fue creado para ayudar a las organizaciones a obtener

el valor óptimo de TI manteniendo un balance entre la realización de
beneficios, la utilización de recursos y los niveles de riesgo asumidos. COBIT
posibilita que TI sea gobernada y gestionada en forma holística para toda la
organización, tomando en consideración el negocio y áreas funcionales de
punta a punta, así como los interesados internos y externos.

2. ¿Quién utiliza COBIT?

R/ COBIT se puede aplicar a organizaciones de todos los tamaños, tanto en el
sector privado, público o entidades sin fines de lucro. COBIT es empleado en
todo el mundo por quienes tienen como responsabilidad primaria los procesos
de negocio y la tecnología, aquellos de quien depende la tecnología y la
información confiable, y los que proveen calidad, confiabilidad y control de TI.

3. ¿Cuáles son las áreas de enfoque relacionadas al COBIT?

R/ Las áreas de enfoque al COBIT son:

Organizaciones de pymes
Seguridad
DevOps (es una práctica de ingeniería de software que tiene como objetivo
unificar el desarrollo de software y la operación del software)
Reguladores

4. ¿Qué se quiere enfatizar con COBIT 2019?

R/ Con COBIT 2019, queremos enfatizar la importancia de la información en la
empresa y la tecnología necesaria.

5. ¿Cuáles son los 6 principios de COBIT2019?

R/ Cada empresa necesita un sistema de gobierno para satisfacer las
necesidades de los interesados y agregar valor mediante el uso de TI.

Un sistema de gobierno para Enterprise I & T consta de una serie de

componentes que pueden ser de diferentes tipos y trabajar juntos de manera
integral.

Un sistema de gobierno debe ser dinámico. Esto significa que cualquier cambio
en uno o más factores de diseño debe tener en cuenta el impacto de estos
cambios en el sistema.

Un sistema de gobierno debe distinguir claramente entre el gobierno y las

actividades y estructuras de gestión.

Un sistema de gobierno debe adaptarse a las necesidades de la empresa,

utilizando un conjunto de factores de diseño como parámetros para adaptar y
priorizar los componentes del sistema de gobierno.

Un sistema de gobierno debe cubrir a toda la empresa, centrándose no solo en

la función de TI, sino en toda la tecnología y el procesamiento de información
que la empresa utiliza para lograr sus objetivos

6. ¿Cuáles son los principios básicos para construir un sistema de gobierno

corporativo
R/ Los siguientes tres (3) principios establecen los principios básicos para un
marco de gobierno que se puede utilizar para construir un sistema de gobierno
corporativo:

Un marco de gobierno debe basarse en un modelo conceptual que identifique

los componentes clave y las relaciones entre los componentes para maximizar
la coherencia y permitir la automatización.

Un marco de gobierno debe ser abierto y flexible. Debe permitir la adición de

nuevo contenido y brindar la oportunidad de abordar nuevos problemas de la
manera más flexible posible, a la vez que se mantiene la integridad y la
coherencia.

Un marco de gobierno debe adaptarse a los estándares relevantes, marcos y

regulaciones relevantes

7. ¿Qué aspectos relevantes se incluyen con las metas de Gobierno y

Gestión?
R/ Pero hay mucho más: detrás de cada uno de los más de 40 “Objetivos de
gobierno y administración” que se muestran, no solo se describen los
procesos, sino los 7 componentes, así como todo el sistema de destino en
cascada, incluidas las métricas. Por ejemplo, esto incluye los aspectos
relevantes para cada tema, como políticas relevantes, estructuras
organizativas, flujos de información y habilidades necesarias basadas en el
“Marco de habilidades para la era de la información V6”, las herramientas
necesarias (Componente: Servicios, Infraestructura y Aplicaciones).

8. ¿Cuáles son las componentes claves de COBIT 2019 y cómo influyen?

R/Un nuevo componente clave de COBIT 2019 son los factores de diseño.
Estos factores influyen en el diseño del sistema de gobierno de una empresa y
contribuyen al éxito de la información y la tecnología utilizada.

9. ¿Cuáles son los factores de diseño del COBIT 2018, mencione

brevemente?
R/ Estrategia empresarial: las empresas pueden seguir diferentes estrategias
que pueden expresarse como uno o más de los arquetipos.

objetivos de la empresa para apoyar la estrategia corporativa — La estrategia

de la empresa se realiza mediante el logro (una serie de objetivos de negocio).

perfil de riesgo de la empresa y los problemas actuales relacionados con I & T

— El perfil de riesgo identifica el tipo de riesgo relacionados con el T I y a la
que se suspende la actualidad la empresa e indica qué áreas de riesgo más
allá del apetito por el riesgo

Problemas relacionados con I&T: una metodología relacionada para una

evaluación de riesgos de I&T para la empresa es examinar los problemas
relacionados con I&T a los que actualmente se enfrenta

Panorama de amenazas: el panorama de amenazas en el que opera la

empresa se puede clasificar como una amenaza alta o normal.

Función de TI: la función de TI para la empresa se puede clasificar como

soporte, entrega, fábrica o estrategia.
Modelo de adquisiciones para TI: el modelo de adquisiciones que utiliza la
empresa puede clasificarse como Outsourcing, Cloud, Insourced, híbrido.

Métodos de implementación de TI: los métodos que utiliza la empresa se

pueden clasificar como Agile, DevOps, tradicional, híbrido.

Estrategia para adoptar la tecnología (estrategia de adaptación) : la estrategia

de adopción de tecnología se puede clasificar como primer motor, seguidor,
adaptador lento.

Tamaño de la empresa: Se definen dos categorías (grande, PYME) para el

diseño del sistema de gobierno de una empresa.

10. ¿Cuál es la misión de COBIT?

R/COBIT se ha limitado deliberadamente a una evaluación de capacidad, que
permite una evaluación de un solo proceso. Una evaluación de madurez, que
permite una madurez a nivel organizacional, fue deliberadamente no publicada.

11. ¿Qué beneficios conlleva el COBIT?

R/COBIT posibilita que TI sea gobernada y gestionada en forma holística para
toda la organización, tomando en consideración el negocio y áreas funcionales
de punta a punta, así como los interesados internos y externos. COBIT se
puede aplicar a organizaciones de todos los tamaños, tanto en el sector
privado, público o entidades sin fines de lucro.

12. ¿Cómo se desarrolla la estructura del COBIT?

R/Las actividades del proceso están vinculadas a niveles de habilidad. Esto se

incluye en el marco COBIT®2019: Guía de objetivos de gobierno y gestión.

Para otros tipos de componentes de gobierno y administrativos (por ejemplo,

estructuras organizativas, información), también se pueden definir los niveles
de habilidad definidos en futuras directrices.

Los niveles de madurez se asocian con áreas de enfoque (es decir, una
colección de objetivos de gobierno y gestión y componentes subyacentes) y se
logran cuando se alcanzan todas las capacidades requeridas.

13. ¿Qué proporciona la versión COBIT 2019 a la empresa?

R/COBIT 2019 se ha convertido en un marco de gobierno completo. La nueva
versión proporciona a las empresas la flexibilidad para desarrollar soluciones
prácticas de gobierno que se adaptan a los objetivos y el contexto de su
organización.

14. ¿Qué es el modelo de capacidad y madurez integrado CMMI?

R/Es un modelo total del proceso, que define las características del proceso
que debe existir si una organización desea establecer un proceso un proceso
de software completo
15. ¿Por qué se debe tomar en cuenta los requisitos de CMMI?

R/Los requisitos detallados de la CMMI deben tomarse en cuenta si una

organización construye sistemas grandes y complejos que impliquen docenas
o cientos de personas por varios años o meses, es posible que la CMMI sea
correcta en ciertas situaciones, si la cultura organizacional es flexible frente a
modelos de procesos estándares y se realiza una gestión para lograr que sea
flexible.