miércoles, 18 de abril de 2012

Novedades de COBIT 5

Hace ya algunos meses anunciabamos que ISACA estaba preparando COBIT , la nueva evolución de los Objetivos de Control para la Información y la Tecnología relacionada. La semana pasada ISACA liberó la documentación final, así que parece conveniente revisar las novedades que incluye esta esperada actualización.

Para quien no haya tenido la ocasión de leer sobre COBIT, diremos que es un un marco de Gobierno de las Tecnologías de la información que permite a la dirección de una organización conectar los requerimientos de negocio y de control con los aspectos técnicos, controlando los riesgos y optimizando los recursos. 

Está basado en en procesos y se enfoca  fuertemente en el control y menos en la ejecución, es decir, indica qué se debe conseguir sin focalizarse en el cómo. Para una descripción más en detalle, se pueden consultar los enlaces indicados en la parte final de este post.

 La primera impresión es que ISACA ha orientado definitivamente COBIT hacia el Gobierno de las TI. En sus primeras versiones, COBIT se definía como un marco de control para auditores de TI. En la revisión del año 2000, COBIT 3, se incluía como producto/documento aparte  las Management Guidelines o  guía de gestión para la dirección, con una orientación más cercana al concepto de Gobierno TI.

La versión 4 de COBIT supuso la configuración definitiva de Cobit como un marco general de Gobierno TI, pero quedaba confusa la relación con otros marcos de ISACA con otra orientación como Val IT (valor de las TI) o RISK IT (riesgos) o con el nuevo estándar de Gobierno TI ISO/IEC 38500.


La nueva versión tiene un carácter clarificador, integrando COBIT 4, Val IT y RISK IT en su modelo de referencia de procesos. Asimismo, COBIT 5 ha sido adaptado para alinearse con la norma ISO/IEC 38500 de Gobierno TI y con el marco GEIT del ITGI (IT Governance Institute).



El nuevo modelo se basa en los siguientes elementos:
    5 Principios
    • Satisfacer las necesidades de los Stakeholders (Interesados)
      Crear valor manteniendo el equilibrio entre realización de beneficios y la optimización del uso de recursos y gestión del riesgo.
    • Cubrir la organización de principio a fin.
      Integrando el Gobierno corporativo con el Gobierno de las TI.Orientación al negocio.
    • Aplicar un único marco de trabajo integrado.
      COBIT cubre todas las necesidades y se integra con otros marcos y buenas prácticas, de forma que puede ser utilizado como marco general.
    •  Aproximación holística.
      Para conseguir una Gestión y Gobierno de las TI con eficiencia y eficacia.
    • Separar Gestión de Gobierno.
      Ambas disciplinas son importantes y complementarias.

    7 Facilitadores

    Son los elementos a tener en cuenta en el modelo
    1. Principios, políticas y marcos
      Son los vehículos para trasladar el comportamiento deseado en una guía práctica para conducir las tareas de gestión TI en el  día a día.
    2. Procesos
      Constituyen un conjunto organizado de prácticas y actividades para conseguir  alcanzar los objetivos establecidos respecto a las tecnologías de la información.
    3. Estructura organizacional
      Son las entidades de la organización que toman las decisiones críticas.
    4. Cultura, Ética y Comportamiento
      Tanto de los individuos como de la organización.Muy a menudo se subestima su influencia en la consecución de los objetivos de Gobierno establecidos.
    5. Información.
      La información invade todos los ámbitos de la organización.Es necesitada por esta para operar y para la toma de decisiones. También puede ser el resultado de la actividad de la organización.
    6. Servicios, Infraestructura y Aplicaciones
      Es la parte más cercana a los profesionales de las TIC.
    7. Personas, habilidades y competencias
      Se asocia a las personas necesarias para realizar las actividades, tomar decisiones y realizar tareas correctivas.

     Procesos

    Guía muy detallada del modelo de procesos que conforman la esencia de COBIT.

    Se sigue manteniendo  la "Cascada de Objetivos", esto es la forma en la que los objetivos y métricas TI se derivan de los objetivos de negocio de alto nivel, permitiendo esa integración TI-Negocio tan característica de ese marco.

    En esta versión de COBIT aparece una separación entre procesos de Gestión y procesos orientados al Gobierno de las TI, en claro alineamiento con la norma ISO/IEC 38500 (Evaluar, Dirigir, Monitorizar).


     Otros cambios:

    Algo que puede resultar impactante es que en COBIT 5 los Objetivos de Control han desaparecido. Realmente se han convertido en prácticas de gestión o de Gobierno de las TI a fin de generalizar el concepto para todos los ámbitos de aplicación, y no únicamente para el Control (más info en este artículo).

    También desaparece el modelo de madurez de capacidades- CMM aplicado a los procesos para introducir un modelo basado en la ISO/IEC 15504.

    Asimismo, se han actualizado los procesos, los modelos de responsabilidad RACI y otros elementos de COBIT para hacer más completo, sencillo e integrado.

    Conclusiones:

    Este es el primer adelanto de COBIT 5. Aunque el marco está completo, se espera que el número de publicaciones oficiales sobre COBIT 5 aumente. En las previsiones de  Isaca se contempla al menos la elaboración de guías específicas para aplicar COBIT en los ámbitos de la Seguridad, de la auditoría y de la gestión del riesgo, aunque seguro que  se añadirán muchas otras para cubrir todas las necesidades de los distintos profesionales de las TI.

    ¡Estaremos atentos!.

    Información relacionada:

             Iso 38500: El camino hacia el Gobierno TI
             Introducción a Cobit
             Ya llega Cobit 5

    12 comentarios:

    Rubén dijo...

    Aún no he digerido del todo mi copia, pero a priori me parece positivo el esfuerzo de homogeneización y simplificación con respecto a COBIT4, donde nunca entendí demasiado la proliferación de metodologías "satélite" para aspectos en mi opinión tan centrales como la gestión orientada al valor, y la gestión del riesgo (ambos van de la mano).

    Con ISO 20000 apartándose de ITIL, y la hipertrofia reciente de esta última, tal vez sea el momento de volver a mirar COBIT con otros ojos.

    Por lo que respecta a las AAPP, mi impresión es que nos sobran herramientas, recomendaciones, estándares, metodologías y buenas prácticas, y tal vez lo que falta es liderazgo institucional para poner cualquiera de ellas, la que sea, al servicio de una estrategia común. Pero esa es otra guerra.

    Andres Pastor dijo...

    Rubén, gracias por tu comentario.

    Creo que en esta versión, han intentado integrar todas las aportaciones de ISACA y el ITGI en un único marco de trabajo y ponerlas en sintonía con ITIL,las ISO 27000 y otras metodologías y estándares.

    Tengo aún que profundizar en el tema, pero creo que han llegado a un buen resultado.

    Hace algún tiempo escribí un trabajo sobre el Gobierno TI en el sector público que me llevó a preguntarme cómo integrar ITIL, PMP, ISO 38500 y la ISO 27000 y me pareció que COBIT era la pieza central que lo permitía de una mejor manera.

    Coincido contigo en que las herramientas y metodologías no son lo más importantes. Las metodologías pueden servir para estructurar las ideas y tener una visión general, para que el árbol no nos impida ver el bosque.

    Lo más importante son las personas y la capacidad de liderazgo de algunas de ellas.

    Un Saludo,

    Andrés Pastor

    Carlos dijo...

    Estaria interesado en ver el trabajo que indicas sobre gobierno TIC en el sector publico ¿Donde puedo encontrarlo?

    Andres Pastor dijo...

    Carlos, si me envías tu dirección de correo te lo remito, aunque el estudio estará algo desactualizado.
    Un saludo y gracias por tu interés

    Anónimo dijo...

    ¿Puedes enviarme a mi tambien el estudio? Mi correo es belen_76@yahoo.com

    Anónimo dijo...

    Andrés me podrías enviar el estudio de gobierno TIC en el sector publico?

    superstar9982(arroba)msn.com

    Saludos y estaré agradecido

    Andres Pastor dijo...

    En vista de que hay varias peticiones, voy a subir el documento al blog, para que sea más fácil el acceso.

    Saludos,

    Andrés Pastor

    Anónimo dijo...

    ¿Con esta esta nueva versión de cobit tendría sentido sacar la certificación de Cobit 4.1?

    Andres Pastor dijo...

    Hola, gracias por el comentario.

    Respecto a lo que preguntas, supongo que depende de lo que busques, es decir, de cuál el propósito de certificarte.

    Cobit 5 es más completo y está más integrado con los estándares y buenas prácticas pero, para aprender sobre Cobit bien puede valer la versión 4.1.

    Sobre la certificación, ya sabes que es como la mayoría de los exámenes. Aprendes ciertos conceptos....que se olvidan en un mes si no los practicas.

    En mi caso, recuerdo haber asistido a un curso de uno o dos días y realizar la certificación al finalizar el curso, esto es, casi no hacía falta estudiar.

    Pero para sacerle provecho a Cobit hay que leer y releer los documentos oficiales tratando de encajarlos en tu experiencia y en tu organización.

    Si lo que necesitas es el certificado (porque esté valorado en la organización donde trabajas, por promoción, etc) yo trataría de ir directamente a la versión 5, aunque descoozco el tiempo que tardarán las empresas de formación en ofrecerlo.

    Te recomendaría hablar con alguna de las empresas que se dedican a esto (ej tecnofor), ver qué plazos manejan y decidir en consecuencia.

    Un Saludo,

    Andrés Pastor

    Anónimo dijo...

    Hola, y las similitudes??

    Andres Pastor dijo...

    En principio, el resto...

    Anónimo dijo...

    Hola Andrés, mi nombre es Rubén Pinto, estoy iniciando mi tesis de grado para ingeniero en sistemas, quiero aplicar Cobit 5 en una Auditoría informática para una empresa de ventas por catálogo y fabricación, sin embargo soy nuevo en el campo y no encuentro un ejemplo de como desarrollar la misma, si tienes ejercicios o información que me permita encaminarme correctamente te lo agradecería infinitamente:
    angel_rubenp@hotmail.com

    Publicar un comentario

    Agradecemos tu comentario