Cobit 4.1 vs Cobit 5

Cobit 4.1 vs. Cobit 5

Cobit 4.1 vs. Cobit 5

Análisis comparativo del nuevo marco COBIT.

Análisis comparativo del nuevo marco COBIT.

El presente documento constituye un análisis comparativo de las dos últimas

El presente documento constituye un análisis comparativo de las dos últimas

versiones de COBIT, ejercicio de un proceso y la lista de

versiones de COBIT, ejercicio de un proceso y la lista de verificaciónverificación

correspondiente bajo el nuevo

correspondiente bajo el nuevo enfoque.enfoque.

Freddy Esparza

Freddy Esparza – – José Luis García José Luis García – – Daniel Guerrón Benalcázar - Leopoldo Venegas Daniel Guerrón Benalcázar - Leopoldo Venegas

ESCUELA POLITÉCNICA DEL EJÉRCITO

Tabla de contenido

Tabla de contenido

Antecedentes... 3

Antecedentes... 3

Comparación COBIT 4.1 vs. COBIT 5. ... 4

Comparación COBIT 4.1 vs. COBIT 5. ... 4

Características Cobit 4.1. ... 4

Características Cobit 4.1. ... 4

Características Cobit 5. ... 4

Características Cobit 5. ... 4

Figura 4. Procesos del Gobierno de TI ... 8

Figura 4. Procesos del Gobierno de TI ... 8

Diferencias y Semejanzas Cobit 4.1 vs. Cobit 5... 8

Diferencias y Semejanzas Cobit 4.1 vs. Cobit 5... 8

Ejercicio con Objetivo de Control. ... 10

Ejercicio con Objetivo de Control. ... 10

ADQUIRIR E IMPLEMENTAR - Administrar los ADQUIRIR E IMPLEMENTAR - Administrar los Cambios (COBIT 4.1) Cambios (COBIT 4.1) ... ... ... 1010 AI6 AI6 Administrar Administrar Cambios Cambios ... ... ... ... ... 10... 10

DESCRIPCIÓN DEL PROCESO. ... 10

DESCRIPCIÓN DEL PROCESO. ... 10

CONSTRUIR, ADQUIRIR E CONSTRUIR, ADQUIRIR E IMPLEMENTIMPLEMENTARAR – – Gestionar  Gestionar los Cambios (COBIT 5). los Cambios (COBIT 5). ... ... 1515 Lista de Verificación (Construir, Adquirir Lista de Verificación (Construir, Adquirir e Implementare Implementar – – Gestionar los Cambios). ... 18 Gestionar los Cambios). ... 18

Conclusiones. ... 22

Conclusiones. ... 22

Recomendaciones. ... 23

Recomendaciones. ... 23

ANEXO 1. MAPEO COBIT 4.1 Y COBIT 5. ... 24

ANEXO 1. MAPEO COBIT 4.1 Y COBIT 5. ... 24

ANEXO 2. ANEXO 2. VENTAJAS Y DESVENTAJAS Y DESVENTAJAS COBIT 4.1 Y COBIT VENTAJAS COBIT 4.1 Y COBIT 5. 5. ... ... ... 26... 26

ANEXO 3. ANEXO 3. FUENTES FUENTES DE CONSULTA. DE CONSULTA. ... ... ... ... 28... 28

 Antecedentes.

Con objeto de introducirnos en el tema antes de realizar la comparación se ha encontrado importante citar varios conceptos y antecedentes.

COBIT es el acrónimo de  Control Objectives for Information and related Technology en español Objetivos de Control para tecnología de la información y relacionada)

Es un modelo para el Gobierno de la TI desarrollado por la Information Systems Audit and Control Association (ISACA) y el IT Governance Institute (ITGI), Tiene varios objetivos a nivel alto que cubren lineamientos de control clasificados en varios dominios como Planificación, Organización, Adquisición, Entrega, Supervisión y Evaluación

Enfatiza el cumplimiento normativo, ayuda a las organizaciones a incrementar el valor de TI., apoya el alineamiento con el negocio y simplifica la implantación del COBIT.  Esta versión no invalida  el trabajo efectuado con las versiones anteriores del COBIT, sino que mejora el  trabajo hecho.

Representa los esfuerzos de literalmente cientos de expertos de voluntario de en el mundo entero. Es un marco de gobernación TI que permite a gerentes acortar el hueco entre exigencias de control, cuestiones técnicas y riesgos de negocio. COBIT permite el desarrollo claro de política y la práctica buena para el control de TI en todas partes de organizaciones.

Con el avance progresivo de sus lineamientos acentúa el cumplimiento regulador, ayuda a organizaciones a aumentar el valor logrado de TI, permite la alineación y simplifica la puesta en práctica del marco COBIT. Esto no invalida el trabajo hecho basado en las versiones más tempranas de COBIT, pero en cambio puede ser usado realzar el trabajo ya hecho basado sobre aquellas versiones más tempranas. Cuando actividades principales son planeadas para iniciativas de gobernación TI, o cuando una revisión y reparación del marco de control de la empresa es esperada (prevista), le recomiendan comenzar fresco con COBIT 4.0. COBIT 4.0 actividades de regalos en una manera más dinamizada y práctica tan la mejora continua de la gobernación TI es más fácil que alguna vez para alcanzar.

Independientemente de la realidad tecnológica de cada caso concreto, COBIT determina, con el respaldo de las principales normas técnicas internacionales, un conjunto de mejores prácticas para la seguridad, la calidad, la eficacia y la eficiencia en TI que son necesarias para alinear TI con el negocio, identificar riesgos, entregar valor al negocio, gestionar recursos y medir el desempeño, el cumplimiento de metas y el nivel de madurez de los procesos de la organización.

Proporciona a gerentes, interventores, y usuarios TI con un  juego de medidas generalmente aceptadas, indicadores, procesos y las mejores prácticas para ayudar a ellos en el maximizar las ventajas sacadas por el empleo de tecnología de información y desarrollo de la gobernación apropiada TI y el control en una empresa.

Proporciona además ventajas a gerentes, TI usuarios, e interventores. Los gerentes se benefician de COBIT porque esto provee de ellos de una fundación sobre cual TI las decisiones relacionadas e inversiones pueden estar basadas. La  toma de decisiones es más eficaz porque COBIT ayuda la dirección en la definición de un plan de TI estratégico, la definición de la arquitectura de la información, la adquisición del hardware necesario TI y el software para ejecutar una estrategia TI, la aseguración del servicio continuo, y la supervisión del funcionamiento del sistema TI. TI usuarios se benefician de COBIT debido al aseguramiento proporcionado a ellos si los usos que ayudan en la reunión, el tratamiento, y el reportaje de información cumplen con COBIT ya que esto implica mandos y la seguridad es en el lugar para gobernar los procesos. COBIT beneficia a interventores porque esto les ayuda a identificar cuestiones de control de TI dentro de la infraestructura TI de una empresa. Esto también les ayuda a corroborar sus conclusiones de auditoría.

La misión COBIT es investigar, desarrollar, hacer público y promover un juego autoritario, actualizado, internacional de objetivos de control de tecnología de información generalmente aceptados para el empleo cotidiano por directores comerciales e interventores. Los gerentes, interventores, y usuarios se benefician del desarrollo de COBIT porque esto les ayuda a entender sus sistemas TI y decidir el nivel de seguridad y control que es necesario para proteger el activo de sus empresas por el desarrollo de un modelo de gobernación TI.

Comparación COBIT 4.1 vs. COBIT 5.

Características Cobit 4.1.

Para ayudar a las organizaciones a satisfacer con éxito los desafíos de los negocios, el IT Governance Institute® (ITGI) ha publicado la versión de COBIT® 4.1

 COBIT es un marco de trabajo de Gobierno de TI y un conjunto de herramientas de

soporte para el gobierno de T.I. que les permite a los gerentes cubrir la brecha entre los requerimientos de control, los aspectos técnicos y riesgos de negocio.

 COBIT hace posible el desarrollo de una política clara y las buenas prácticas para los

controles de T.I. a través de las organizaciones.

 COBIT enfatiza en la conformidad a regulaciones, ayuda a las organizaciones a incrementar

el valor alcanzado desde la TI, permite el alineamiento y simplifica la implementación de la estructura COBIT.

La versión, COBIT® 4.1, enfatiza el cumplimiento normativo, ayuda a las organizaciones a incrementar el valor de T.I., apoya el alineamiento con el negocio y simplifica la implantación de COBIT. Esta versión no invalida el trabajo efectuado con las versiones anteriores del COBIT, sino que puede ser empleado para mejorar el trabajo previo.

Características Cobit 5.

Esta es la más recién versión de COBIT y está basada en procesos, se enfoca fuertemente en el control y menos en la ejecución, es decir, indica qué se debe conseguir sin focalizarse en el cómo.

La primera impresión es que ISACA ha orientado definitivamente COBIT hacia el Gobierno de las TI. En sus primeras versiones, COBIT se definía como un marco de control para auditores de TI. En la revisión del año 2000, COBIT 3, se incluía como producto/documento aparte las Management Guidelines o guía de gestión para la dirección, con una orientación más cercana al concepto de

Gobierno TI.

La versión 4 de COBIT supuso la configuración definitiva de Cobit como un marco general de Gobierno TI, pero quedaba confusa la relación con otros marcos de ISACA con otra orientación como Val IT (valor de las TI) o RISK IT (riesgos) o con el nuevo estándar de Gobierno TI ISO/IEC 38500.

Figura 1. Evolución de Cobit

La nueva versión tiene un carácter clarificador, integrando COBIT 4, Val IT y RISK IT en su modelo de referencia de procesos. Asimismo, COBIT 5 ha sido adaptado para alinearse con la norma ISO/IEC 38500 de Gobierno TI y con el marco GEIT del ITGI (IT Governance Institute).

El nuevo modelo se basa en los siguientes elementos: 5 Principios

 Satisfacer las necesidades de los Stakeholders (Interesados)

 Crear valor manteniendo el equilibrio entre realización de beneficios y la optimización del

uso de recursos y gestión del riesgo.

 Cubrir la organización de principio a fin.

 Aplicar un único marco de trabajo integrado.

COBIT cubre todas las necesidades y se integra con otros marcos y buenas prácticas, de forma que puede ser utilizado como marco general.

Aproximación holística.

Para conseguir una Gestión y Gobierno de las TI con eficiencia y eficacia:

 Separar Gestión de Gobierno.

 Ambas disciplinas son importantes y complementarias.

Figura 2. Cobit 5 7 Facilitadores

Son los elementos a tener en cuenta en el modelo:

 Principios, políticas y marcos

Son los vehículos para trasladar el comportamiento deseado en una guía práctica para conducir las tareas de gestión TI en el día a día.

 Procesos

Constituyen un conjunto organizado de prácticas y actividades para conseguir alcanzar los objetivos establecidos respecto a las tecnologías de la información.

Son las entidades de la organización que toman las decisiones críticas.

 Cultura, Ética y Comportamiento

Tanto de los individuos como de la organización. Muy a menudo se subestima su influencia en la consecución de los objetivos de Gobierno establecidos.

 Información.

La información invade todos los ámbitos de la organización, es necesitada por esta para operar y para la toma de decisiones. También puede ser el resultado de la actividad de la organización.

 Servicios, Infraestructura y Aplicaciones

Es la parte más cercana a los profesionales de las TIC.

 Personas, habilidades y competencias.

Se asocia a las personas necesarias para realizar las actividades, tomar decisiones y realizar tareas correctivas.

Figura 3. Principios y Políticas Procesos

Guía muy detallada del modelo de procesos que conforman la esencia de COBIT.

Se sigue manteniendo la "Cascada de Objetivos", esto es la forma en la que los objetivos y métricas TI se derivan de los objetivos de negocio de alto nivel, permitiendo esa integración TI-Negocio tan característica de ese marco.

En esta versión de COBIT aparece una separación entre procesos de Gestión y procesos orientados al Gobierno de las TI, en claro alineamiento con la norma ISO/IEC 38500 (Evaluar, Dirigir, Monitorizar).

Figura 4. Procesos del Gobierno de TI

Diferencias y Semejanzas Cobit 4.1 vs. Cobit 5.

Áreas de cambio

Los principales cambios en COBIT 5: 1. Nuevos Principios de GEIT. 2. Mayor foco en Habilitadores.

3. Nuevo Modelo de Referencia de Procesos. 4. Nuevos y modificados procesos.

5. Prácticas y Actividades.

6. Metas y Métricas más desarrolladas. 7. Entradas y Salidas a nivel de práctica. 8. RACI Charts más detalladas.

Integración de Val IT y Risk IT

COBIT 5 ha integrado el contenido de COBIT 4.1, Val IT and Risk IT en un Modelo de Referencia de Procesos.

Nuevos y modificados procesos

Hay nuevos y modificados procesos, en particular:

 APO03 Manage enterprise architecture.

 APO04 Manage innovation.

 APO05 Manage portfolio.

 APO06 Manage budget and costs.

 APO08 Manage relationships.

 APO13 Manage security.

 BAI05 Manage organizational change enablement.

 BAI08 Manage knowledge.

 BAI09 Manage assets.

 DSS05 Manage security service.

 DSS06 Manage business process controls.

Prácticas y Actividades

Las prácticas de gobierno y de administración de COBIT 5 son equivalentes a los objetivos de control de COBIT 4.1 y los procesos de Val IT y Risk IT.

Las actividades de COBIT 5 son equivalentes a las prácticas de control de COBIT 4.1 y a las prácticas de administración de Val IT y Risk IT.

 Process Capability Maturity

 Models and Assessments

 COBIT 5 descontinúa el “COBIT 4.1, Val IT and Risk IT  CMM-based capability maturity modelling approach”.

 COBIT 5 será soportado por un nuevo “process capability assessment approach” basado

en ISO/IEC 15504.

 Otros cambios:

o Algo que puede resultar impactante es que en COBIT 5 los Objetivos de Control

han desaparecido. Realmente se han convertido en prácticas de gestión o de Gobierno de las TI a fin de generalizar el concepto para todos los ámbitos de aplicación, y no únicamente para el Control.

o También desaparece el modelo de madurez de capacidades- CMM aplicado a los

procesos para introducir un modelo basado en la ISO/IEC 15504.

o Asimismo, se han actualizado los procesos, los modelos de responsabilidad RACI y

Ejercicio con Objetivo de Control.

El objeto del ejercicio es encontrar las variantes que a consecuencia de la nueva versión el proceso elegido para los talleres de clases tiene, para esto se ha encontrado apropiado enunciar la conceptualización que este tiene en cada versión de COBIT.

 ADQUIRIR E IMPLEMENTAR - Administrar los Cambios (COBIT 4.1)

 AI6 Administrar Cambios

DESCRIPCIÓN DEL PROCESO.

Todos los cambios, incluyendo el mantenimiento de emergencia y parches, relacionados con la infraestructura y las aplicaciones dentro del ambiente de producción, deben administrarse formalmente y controladamente. Los cambios (incluyendo procedimientos, procesos, sistema y parámetros del servicio) se deben registrar, evaluar y autorizar previo a la implantación y revisar contra los resultados planeados después de la implantación. Esto garantiza la reducción de riesgos que impactan negativamente la estabilidad o integridad del ambiente de producción.

Control sobre el proceso TI de Administrar cambios

Que satisface el requerimiento del negocio de TI para:

Responder a los requerimientos del negocio de acuerdo con la estrategia de negocio, mientras se reducen los defectos y la repetición de trabajos en la prestación del servicio y en la solución.

Enfocándose en:

Controlar la evaluación de impacto, autorización e implantación de todos los cambios a la infraestructura de TI, aplicaciones y soluciones técnicas, minimizando errores que se deben a especificaciones incompletas de la solicitud y detener la implantación de cambios no autorizados Se logra con:

 La definición y comunicación de los procedimientos de cambio, que incluyen cambios de

 La evaluación, la asignación de prioridad y autorización de cambios

 Seguimiento del estatus y reporte de los cambios

Y se mide con:

 El número de interrupciones o errores de datos provocados por especificaciones inexactas

o una evaluación de impacto incompleta

 La repetición de aplicaciones o infraestructura debida a especificaciones de cambio

inadecuadas

 El porcentaje de cambios que siguen procesos de control de cambio formales

OBJETIVOS DE CONTROL AI6 Administrar Cambios

AI6.1 Estándares y Procedimientos para Cambios

Establecer procedimientos de administración de cambio formales para manejar de manera estándar todas las solicitudes (incluyendo mantenimiento y parches) para cambios a aplicaciones, procedimientos, procesos, parámetros de sistema y servicio, y las plataformas fundamentales. AI6.2 Evaluación de Impacto, Priorización y Autorización

Garantizar que todas las solicitudes de cambio se evalúan de una estructurada manera en cuanto a impactos en el sistema operacional y su funcionalidad. Esta evaluación deberá incluir categorización y priorización de los cambios. Previo a la migración hacia producción, los interesados correspondientes autorizan los cambios.

AI6.3 Cambios de Emergencia

Establecer un proceso para definir, plantear, evaluar y autorizar los cambios de emergencia que no sigan el proceso de cambio establecido. La documentación y pruebas se realizan, posiblemente, después de la implantación del cambio de emergencia.

AI6.4 Seguimiento y Reporte del Estatus de Cambio

Establecer un sistema de seguimiento y reporte para mantener actualizados a los solicitantes de cambio y a los interesados relevantes, acerca del estatus del cambio a las aplicaciones, a los procedimientos, a los procesos, parámetros del sistema y del servicio y las plataformas fundamentales.

AI6.5 Cierre y Documentación del Cambio

Siempre que se implantan cambios al sistema, actualizar el sistema asociado y la documentación de usuario y procedimientos correspondientes. Establecer un proceso de revisión para garantizar la implantación completa de los cambios.

MODELO DE MADUREZ AI6 Administrar Cambios

La administración del proceso de Administrar cambios que satisfaga el requerimiento de negocio de TI de responder a los requerimientos de acuerdo con la estrategia del negocio, mientras que se reducen los defectos y repeticiones de trabajos en la entrega de soluciones y servi cios es:

0 No Existente cuando

No existe un proceso definido de administración de cambio y los cambios se pueden realizar virtualmente sin control. No hay conciencia de que el cambio puede causar una interrupción para TI y las operaciones del negocio y no hay conciencia de los beneficios de la buena administración de cambio.

1 Inicial / Ad Hoc cuando

Se reconoce que los cambios se deben administrar y controlar. Las prácticas varían y es muy probable que se puedan dar cambios sin autorización. Hay documentación de cambio pobre o no existente y la documentación de configuración es incompleta y no confiable.

Es posible que ocurran errores junto con interrupciones al ambiente de producción, provocados por una pobre administración de cambios.

2 Repetible pero Intuitivo cuando

Existe un proceso de administración de cambio informal y la mayoría de los cambios siguen este enfoque; sin embargo, el proceso no está estructurado, es rudimentario y propenso a errores. La exactitud de la documentación de la configuración es inconsistente y de planeación limitada y la evaluación de impacto se da previa al cambio.

3 Definido cuando

Existe un proceso formal definido para la administración del cambio, que incluye la categorización, asignación de prioridades, procedimientos de emergencia, autorización del cambio y administración de liberación, y va surgiendo el cumplimiento. Se dan soluciones temporales a los problemas y los procesos a menudo se omiten o se hacen a un lado. Aún pueden ocurrir errores y los cambios no autorizados ocurren ocasionalmente. El análisis de impacto de los cambios de TI en operaciones de negocio se está volviendo formal, para apoyar la implantación planeada de nuevas aplicaciones y tecnologías.

4 Administrado y Medible cuando

El proceso de administración de cambio se desarrolla bien y es consistente para todos los cambios, y la gerencia confía que hay excepciones mínimas. El proceso es eficiente y efectivo, pero se basa en manuales de procedimientos y controles considerables para garantizar el logro de la calidad. Todos los cambios están sujetos a una planeación minuciosa y a la evaluación del impacto para minimizar la probabilidad de tener problemas de post-producción. Se da un proceso de aprobación para cambios. La documentación de administración de cambios es vigente y correcta, con seguimiento formal a los cambios. La documentación de configuración es generalmente exacta. La planeación e implantación de la administración de cambios en TI se van integrando con los cambios en los procesos de negocio, para asegurar que se resuelven los asuntos referentes al entrenamiento, cambio organizacional y continuidad del negocio. Existe una coordinación creciente entre la administración de cambio de TI y el rediseño del proceso de negocio. Hay un proceso consistente para monitorear la calidad y el desempeño del proceso de administración de cambios.

5 Optimizado cuando

El proceso de administración de cambios se revisa con regularidad y se actualiza para permanecer en línea con las buenas prácticas.

El proceso de revisión refleja los resultados del monitoreo. La información de la configuración es computarizada y proporciona un control de versión. El rastreo del cambio es sofisticado e incluye herramientas para detectar software no autorizado y sin licencia. La administración de cambio de TI se integra con la administración de cambio del negocio para garantizar que TI sea un factor que hace posible el incremento de productividad y la creación de nuevas oportunidades de negocio para la organización.

CONSTRUIR, ADQUIRIR E IMPLEMENTAR

_–

 Gestionar los Cambios (COBIT

5).

BAI06 Gestionar los Cambios

DESCRIPCIÓN DEL PROCESO

Gestione todos los cambios de una forma controlada, incluyendo cambios estándar y de mantenimiento de emergencia en relación con los procesos de negocio, aplicaciones e infraestructura. Esto incluye normas y procedimientos de cambio, análisis de impacto, priorización y autorización, cambios de emergencia, seguimiento, reporte, cierre y documentación.

Declaración del Propósito del Proceso

Posibilitar una entrega de los cambios rápida y fiable para el negocio, a la vez que se mitiga cualquier riesgo que impacte negativamente en la estabilidad e integridad del entorno en que se aplica el cambio.

El proceso apoya la consecución de un conjunto de principales metas TI:

Meta TI

Métricas Relacionadas

04 Riesgos de negocio relacionados con las TI gestionados

• Porcentaje de procesos de negocio críticos,

servicios TI y programas de negocio habilitados por las TI cubiertos por evaluaciones de riesgos

• Número de incidentes significativos

relacionados con las TI que no fueron identificados en la evaluación de riesgos

• Porcentaje de evaluaciones de riesgo de la

empresa que incluyen los riesgos relacionados con TI

• Frecuencia de actualización del perfil de

riesgo 07 Entrega de servicios de TI de acuerdo a los

requisitos del negocio

• Número de interrupciones del negocio

debidas a incidentes en el servicio de TI

• Porcentaje de partes interesadas satisfechas

con el cumplimiento del servicio de TI

entregado respecto a los niveles de servicio acordados

• Porcentaje de usuarios satisfechos con la

calidad de los servicios de TI entregados 10 Seguridad de la información, infraestructura

de

procesamiento y aplicaciones

• Número de incidentes de seguridad

causantes de pérdidas financieras,

interrupciones del

negocio o pérdida de imagen pública

• Número de servicios de TI con los requisitos

de seguridad pendientes

privilegios de acceso, comparado con los niveles de servicio acordados

• Frecuencia de la evaluación de seguridad

frente a los últimos estándares y guías

Objetivos y Métricas del Proceso:

Meta TI

Métricas Relacionadas

1. Los cambios autorizados son realizados de acuerdo a sus cronogramas respectivos y con errores mínimos.

• Cantidad de trabajo rehecho debido a

cambios fallidos

• Reducción en el tiempo y esfuerzo necesarios

para aplicar los cambios

• Número y antigüedad de peticiones de

cambio en cartera 2. Las evaluaciones de impacto revelan el

efecto de los cambios sobre todos los componentes afectados.

• Porcentaje de cambios sin éxito debidos a

evaluaciones de impacto inadecuadas 3. Todos los cambios de emergencia son

revisados y autorizados una vez hecho el cambio.

• Porcentaje sobre el total de cambios que

corresponde a cambios de emergencia

• Número de cambios de emergencia no

autorizados una vez hecho el cambio 4. Las principales partes interesadas están

informadas sobre todos los aspectos del cambio.

• Ratios de satisfacción de las partes

interesadas con las comunicaciones de los cambios

Lista de Verificación (Construir, Adquirir e Implementar

_–

 Gestionar

los Cambios).

Para el desarrollo de la siguiente sección se ha considerado necesario relevar la conceptualización que los procesos tienen en cada una de las versiones de Cobit:

COBIT 4.1

COBIT 5

ADQUIRIR E IMPLEMENTAR

Administrar los Cambios

CONSTRUIR, ADQUIRIR E

IMPLEMENTAR

Gestionar los Cambios

AI6 Administrar Cambios BAI06 Gestionar los Cambios

Todos los cambios, incluyendo el mantenimiento de emergencia y parches,

relacionados con la infraestructura y las aplicaciones dentro del ambiente de producción, deben administrarse formalmente

y controladamente.

Los cambios (incluyendo procedimientos, procesos, sistema y parámetros del servicio) se

deben registrar, evaluar y autorizar previo a la implantación y revisar contra los resultados

planeados después de la implantación. Esto garantiza la reducción de riesgos que

impactan negativamente la estabilidad o integridad del ambiente de producción.

Gestione todos los cambios de una forma controlada, incluyendo cambios estándar y de

mantenimiento de emergencia en relación con los procesos de negocio, aplicaciones e

infraestructura.

Esto incluye normas y procedimientos de cambio, análisis de impacto, priorización y

autorización, cambios de emergencia, seguimiento, reporte, cierre y documentación.

A continuación se da a conocer la lista de verificación para ambas versiones de Cobit y su aplicabilidad:

Objetivos de control (COBIT 4.1)

Prácticas de gobierno y de administración

(COBIT 5)

LISTA DE VERIFICACIÓN APLICABILIDAD

AI6.1 Estándares y Procedimientos para

Cambios

BAI06.01 Evaluar, priorizar y autorizar peticiones de

cambio

¿Existen procedimientos y formularios estándar para la solicitud

de cambios? Cobit 4.1 & Cobit 5 ¿Se han definido responsabilidades de la revisión, ajuste y

aprobación de solicitudes de cambio? Cobit 4.1 & Cobit 5 ¿Las peticiones de cambio son categorizadas, estas obedecen a

una clasificación y se conoce claramente el alcance de afectación e impacto del cambio?

Cobit 4.1 & Cobit 5 ¿Bajo qué criterios se determina la prioridad de atención de los

requerimientos de cambio? (Negocio, Cumplimiento, Oportunidad, etc.)

Cobit 4.1 & Cobit 5

AI6.2 Evaluación de Impacto, Priorización y

Autorización

¿De qué manera se distinguen los cambios estándar de los

cambios ocasionales? Cobit 4.1 & Cobit 5 ¿Se analiza el volumen de cambios existente, esfuerzo asociado

y cronogramas para su aplicación? Cobit 4.1 & Cobit 5 Como se involucra a los proveedores en los cambios que

afectan servicios de terceros y ponen en riesgo los SLAs? Cobit 4.1 & Cobit 5

AI6.3 Cambios de Emergencia

BAI06.02 Gestionar Cambios de Emergencia

¿Qué política y procedimiento se emplea para declarar,

evaluar, aprobar y autorizar cambios de emergencia? Cobit 4.1 & Cobit 5 ¿Se ha determinado personal responsable para la aplicación de

cambios de emergencia? Cobit 4.1 & Cobit 5 ¿Qué procedimientos se han definido para la revisión y

seguimiento post implementación? Cobit 5

Cobit 4.1 vs. Cobit 5

¿Cuál es el nivel de control y material guía para la implementación de acciones correctivas ante un cambio

emergente con resultados no previstos? Cobit 4.1 & Cobit 5

AI6.4 Seguimiento y Reporte del Estatus de

Cambio

BAI06.03 Hacer seguimiento e informar

cambios de estado

¿Cuál es el procedimiento empleado para mantener un control adecuado del inventario de solicitudes de cambio, como se lo

ha clasificado?

Cobit 5 ¿De qué manera se notifica el resultado y rendimiento de los

cambios emergentes? Cobit 4.1 & Cobit 5 ¿Cómo se mide la efectividad y oportunidad de los cambios de

emergencia? Cobit 4.1 & Cobit 5 Como se cotejan los informes de estado de cambios con la

realidad? (Pistas de auditoría e historial de cambios) Cobit 5 ¿Qué métricas se llevan para conocer si la implementación de

cambios emergentes es efectiva y oportuna? Cobit 4.1 & Cobit 5 ¿Existen herramientas que permitan conocer el estado de las

peticiones de cambio y muestren estadísticas al respecto? Cobit 5 ¿Cuáles son los entregables de una petición de cambio

ejecutada? Cobit 4.1 & Cobit 5 ¿Existen procedimientos que evidencien las consecuencias de la

implementación de los cambios, orienten sobre su afectación, establezcan actividades de contingencia y procedimientos de

ayuda?

Página 21

¿Cuál es el nivel de control y material guía para la implementación de acciones correctivas ante un cambio

emergente con resultados no previstos? Cobit 4.1 & Cobit 5

AI6.4 Seguimiento y Reporte del Estatus de

Cambio

BAI06.03 Hacer seguimiento e informar

cambios de estado

¿Cuál es el procedimiento empleado para mantener un control adecuado del inventario de solicitudes de cambio, como se lo

ha clasificado?

Cobit 5 ¿De qué manera se notifica el resultado y rendimiento de los

cambios emergentes? Cobit 4.1 & Cobit 5 ¿Cómo se mide la efectividad y oportunidad de los cambios de

emergencia? Cobit 4.1 & Cobit 5 Como se cotejan los informes de estado de cambios con la

realidad? (Pistas de auditoría e historial de cambios) Cobit 5 ¿Qué métricas se llevan para conocer si la implementación de

cambios emergentes es efectiva y oportuna? Cobit 4.1 & Cobit 5 ¿Existen herramientas que permitan conocer el estado de las

peticiones de cambio y muestren estadísticas al respecto? Cobit 5

AI6.5 Cierre y Documentación del

Cambio

BAI06.04 Cerrar y Documentar los cambios

¿Cuáles son los entregables de una petición de cambio

ejecutada? Cobit 4.1 & Cobit 5 ¿Existen procedimientos que evidencien las consecuencias de la

implementación de los cambios, orienten sobre su afectación, establezcan actividades de contingencia y procedimientos de

ayuda?

Cobit 4.1 & Cobit 5 ¿Se ha definido categorías de documentación y tiempos de

conservación? Cobit 4.1 & Cobit 5 ¿Qué niveles de revisión existen para la documentación

generada y cuál es el proceso de elaboración y revisión de la misma?

Cobit 4.1 & Cobit 5 ¿Se cuenta con un manual de calidad o lineamientos sobre la

estructura, contenido, formato y niveles de revisión y aprobación de la información generada?

Cobit 4.1 & Cobit 5

Conclusiones.

 Para el caso elegido no existen mayores diferencias en cuanto al enfoque, sin embargo de

manera general se puede rescatar que Cobit 5 tiene una conceptualización más sobria, clara y ordenada respecto a lo que denomina Prácticas de gobierno y organización que en Cobit 4.1 son Objetivos de Control.

 Con la salida de COBIT 5 se abre una nueva etapa para el gobierno y el management de TI, que

implicará que todos los involucrados, más allá del rol (CEO, CIO, CRO, CISO, CCO, Advisor, Auditor, etc), evolución estratégicamente sincronizados con este nuevo estándar.

 Cobit 5 es la mayor evolución estratégica de Cobit 4.1, el único framework globalmente

aceptado para el IT Governance y brinda a los interesados la guía más completa y actualizada para un mejor gerenciamiento de IT.

 Para el caso elegido no existen mayores diferencias en cuanto al enfoque, sin embargo de

manera general se puede rescatar que Cobit 5 tiene una conceptualización más sobria, clara y ordenada respecto a lo que denomina Prácticas de gobierno y organización que en Cobit 4.1 son Objetivos de Control.

 Con la salida de COBIT 5 se abre una nueva etapa para el gobierno y el management de TI, que

implicará que todos los involucrados, más allá del rol (CEO, CIO, CRO, CISO, CCO, Advisor, Auditor, etc), evolución estratégicamente sincronizados con este nuevo estándar.

 Cobit 5 es la mayor evolución estratégica de Cobit 4.1, el único framework globalmente

aceptado para el IT Governance y brinda a los interesados la guía más completa y actualizada para un mejor gerenciamiento de IT.

 El marco referencial de Cobit 4 y Cobit 5 consta de Objetivos de control de TI de alto nivel y de

una estructura general para su clasificación y presentación.

 La aplicación del marco de referencia COBIT permite al departamento de TI tener la visibilidad

a un nivel detallado la mayoría de sus procesos que son repetitivos, intuitivos y críticos al mismo tiempo evidencia el nivel de maduración de procesos con la que se trabaja en TI. Con el avance progresivo de sus lineamientos acentúa el cumplimiento regulador, ayuda a organizaciones a aumentar el valor logrado de TI, permite la alineación y simplifica la puesta en marcha de un cambio radical.

 El esquema de objetivos de control categorizados en cuatro dominios para definir los procesos

de COBIT es apropiado para integrar actividades similares que se ejecuten en equipos de TI, al manejarse de manera aislada con definiciones, ejecuciones y evaluaciones diferentes la aplicación de COBIT es ineficiente. Debido que COBIT al ser independiente de herramientas tecnológicas trata de integrar dentro de un objetivo de control las actividades comunes a través de prácticas y políticas que permitan alinear actividades de cada equipo en una sola definición, ejecución y evaluación.

 La inclusión de factores críticos de éxito, objetivos de control de bajo nivel, indicadores claves

de desempeño y de resultados, y su seguimiento para cada proceso de TI son factores importantes que aportan a crear prácticas de monitoreo de procesos que es un punto a fortalecer en TI y tendrá como resultado final alcanzar procesos administrados y medidos que optimicen la calidad de los servicios ofrecidos por TI.

 COBIT al tener como misión investigar, desarrollar, y promover cambios en procesos los

gerentes, interventores, y usuarios se benefician del desarrollo de COBIT porque esto les ayuda a entender sus sistemas TI y decidir el nivel de seguridad y control que es necesario para proteger el activo de sus empresas por el desarrollo de un modelo de gobernación TI.

Recomendaciones.

 Aunque la versión 5 de Cobit es más estructurada no basta con seguir únicamente estas

pautas, siempre será nutrido y conveniente el agregar criterios de otras guías como ISO/IEC e ITIL.

 Dentro de la validación del proceso COBIT se encontró que algunos indicadores claves de

desempeño y de resultados planteados pueden ser representados de manera cualitativa; por lo cual puede volver subjetiva la medición de los procesos de TI. Esta situación se debe a que el marco de referencia COBIT trata de ser general y abarcar un amplio rango de consideraciones técnicas y de negocio en los procesos. Para la aplicación del proceso COBIT se recomienda considerar los indicadores claves que puedan ser calificados cuantitativamente.

 La aplicación de COBIT en una empresa con una organización y estructura limitada puede

producir resultados no adecuados. Por lo que se recomienda que para una aplicación de COBIT en una organización se la incluya como parte de un plan estratégico de tecnología y como objetivo del negocio; de igual manera cuente con el apoyo e impulso total de la gerencia de TI, para obtener mejor calidad en sus procesos.

 Al detallar el proceso DS9, Administración de la configuración, y M1, Monitoreo del proceso;

se encontró en la definición del proceso según COBIT se abarca actividades que se ejecutan una sola vez relacionadas con estrategia, y actividades que son recurrentes y están relacionadas con la operación. Esta limitación de COBIT puede ocasionar confusión y ambigüedad al momento de definir y documentar un proceso. Se recomienda dividir en subprocesos, las actividades de un mismo proceso cuya recurrencia y naturaleza puedan ser distintas; y que se considere estas diferencias al momento de comunicar y monitorear el rediseño del proceso.

 Este análisis comparativo motivo de este documento permitió visualizar que algunos de los

procesos definidos por COBIT; como la administración de la configuración no consta varios servicios, proyectos o implementaciones que ameriten la evaluación de cada uno de estos componentes; por el contrario es preferible aplicar solamente una evaluación global tanto de eficacia como de eficiencia para asegurar la medición completa del proceso. Por esta razón se recomienda identificar claramente este tipo de procesos en COBIT al momento de aplicar una propuesta de mejora en la organización para obtener una fase de evaluación alineada con la naturaleza del negocio

 ANEXO 1. MAPEO COBIT 4.1 Y COBIT 5.

COBIT 4.1 COBIT 5 _{– Cobertura Primaria (P) y Secundaria (S)}

PROCESO DESCRPCIÓN PRIMARIA SECUNDARIA

PO PLANEAR Y ORGANIZAR ALINEAR, PLANEAR Y ORGANIZAR

PO1 Definir un plan

estratégico de TI

APO02 EDM02/APO05

PO2 Definir la arquitectura

de la información

APO03 APO01

PO3 Definir la dirección

tecnológica

APO02/APO04 EDM01/APO03/APO01

PO4 Definir los procesos

organización y

relaciones de TI

APO01 APO07/ APO11/DSS06

PO5 Administrar la inversión

en TI

APO06 APO05

PO6 Comunicar las metas y

dirección de la gerencia

APO01 EDM03

PO7 Administrar los recursos

humanos de TI

APO07 APO01

PO8 Administrar la calidad APO11

PO9 Evaluar y administrar los

riesgos de TI

APO12 EDM03/APO01

PO10 Administrar los

proyectos

BAI01

AI ADQUIRIR E

IMPLEMENTAR

CONSTRUIR, ADQUIRIR E IMPLEMENTAR

AI01 Identificar las soluciones

automatizadas

BAI02

AI02 Adquirir y mantener

software aplicativo

BAI03

AI03 Adquirir y mantener la

infraestructura tecnológica

BAI03 DSS02

AI04 Facilitar la operación y

el uso

BAI08 BAI05

AI05 Procurar recursos de TI APO10 BAI03

AI06 Administrar los cambios BAI06

AI07 Instalar y acreditar las

soluciones y cambios

BAI07 BAI05

DS ENTREGAR SERVICIO ENTREGAR SERVICIO Y SOPORTAR

DS1 Definir y administrar los

niveles de servicio

APO09

DS2 Administrar los servicios

de terceros

DS3 Administrar el desempeño y la capacidad BAI04 DS4 Asegurar el servicio continuo DSS04 DS5 Garantizar la seguridad de los sistemas DSS05 APO13 DS6 Identificar y asignar costos APO06

DS7 Educar y entrenar a los

usuarios

APO07

DS8 Administrar la mesa de

servicios y los incidentes

DSS02 DS9 Administrar la configuración BAI10 DSS02 DS10 Administrar los problemas DSS03

DS11 Administrar los datos DSS04 DSS01/DSS05/DSS06

DS12 Administrar el ambiente físico DSS01/DSS05 DS13 Administrar las operaciones DSS01 DSS05/BAI09 ME MONITOREAR Y EVALUAR MONITOREAR Y EVALUAR

ME1 Monitorear y evaluar el

desempeño de TI

MEA01

ME2 Monitorear y evaluar el

control interno MEA02 ME3 Garantizar el cumplimiento regulatorio MEA03

ME4 Proporcionar gobierno

de TI

Modelo de Madurez Cobit 4.1

 ANEXO 3. FUENTES DE CONSULTA.

 2012. Cobit 5 comparativo con Cobit 4 - ISACA. Extraído de:

http://francoitgrc.wordpress.com/2012/04/14/cobit-5-update-por-version-oficial-de-isaca/

 2009. Cobit 4 – Slideshare. Extraído de:

http://www.slideshare.net/MarthaLechuga/cobit-4

 2007. IT Governance Institute. Extraído de:

http://cs.uns.edu.ar/~ece/auditoria/cobiT4.1spanish.pdf