COBIT para el Liderazgo en Información: Un Marco Esencial para la Gobernanza de TI Empresarial

by on

En el entorno empresarial actual, la tecnología de la información (TI) juega un papel central en la consecución de los objetivos organizacionales. Para garantizar que la TI contribuya eficazmente a la creación de valor, es fundamental contar con un marco robusto de gobernanza. Aquí es donde entra en juego COBIT (Control Objectives for Information and Related Technology), un framework reconocido mundialmente que promueve la gestión transparente, eficiente y segura de los sistemas de TI.

COBIT no solo ofrece normas, procesos y objetivos de control para alinear la tecnología de la información con los objetivos comerciales, sino que también es esencial para profesionales de TI como CIO, CISO y CEO. Este marco ayuda a las organizaciones a optimizar sus procesos, mejorar la productividad y lograr una mayor eficiencia en todos los niveles.

¿Qué es COBIT y para qué sirve?

COBIT es un framework, una guía de buenas prácticas que se utiliza en multitud de negocios. Su acrónimo significa "Control Objectives for Information and Related Technology", que en español se traduce como "Objetivos de Control para Información y Tecnologías Relacionadas". Su principal aplicación se encuentra en que las empresas tengan la oportunidad de gestionar la tecnología TI de una manera conveniente. Al aprovecharlo, las empresas pueden garantizar un rendimiento de éxito gracias a los múltiples recursos que se proporcionan para cubrir todos los aspectos del entorno de la tecnología de la información.

La gobernanza de TI (IT governance) abarca todas las estrategias de gestión que permiten a las empresas dirigir sus sistemas informáticos. Por lo tanto, incluye procesos, procedimientos, organización, seguridad y todo lo relacionado con el sistema de información. COBIT detalla las aplicaciones y procesos que deben utilizarse en una organización para lograr una gobernanza empresarial óptima. Su objetivo es lograr una alineación perfecta entre los sectores de actividad y la tecnología para que la comunicación dentro de la empresa no se vea obstaculizada.

COBIT tiene como objetivo proporcionar a los responsables de TI un modelo que les permita crear valor para las empresas. Les permite implementar las mejores prácticas de gestión de riesgos asociadas con los procesos informáticos en la era digital. Es una herramienta integral de control que se utiliza para organizar la dirección de la organización y todas las funciones de TI para mejorar el rendimiento. También se utiliza en el marco de auditorías de los sistemas de información de la empresa.

Orígenes y Evolución de COBIT

El marco COBIT se desarrolló en 1994 y fue publicado por primera vez en 1996 por ISACA (Information Systems Audit and Control Association). En sus inicios, COBIT se diseñó como un conjunto de objetivos de control de TI para ayudar a la comunidad de auditores financieros a navegar mejor por el crecimiento de los entornos de TI. Su público objetivo inicial eran los auditores de TI.

La evolución de COBIT ha sido constante, adaptándose a las innovaciones y cambios a los que se enfrentan las empresas:

  • 1996: Primera versión, enfocada en objetivos de control para auditores de TI.
  • 1998: Versión 2, ampliando el marco para aplicarlo fuera de la comunidad auditora.
  • Años 2000: Versión 3.
  • 2005: COBIT 4, con actualizaciones en 2007 (COBIT 4.1) que incluyeron más información sobre la gobernanza de las tecnologías de la información y la comunicación.
  • 2012: COBIT 5, una visión empresarial integral del gobierno de las TI empresariales, reflejando el papel central de la información y la tecnología en la creación de valor para empresas de todos los tamaños.
  • 2019: COBIT 2019, la versión más reciente, diseñada para evolucionar constantemente con "actualizaciones más frecuentes y fluidas". Esta versión actualiza el marco para las empresas modernas abordando las nuevas tendencias, tecnologías y necesidades de seguridad.

Una diferencia importante entre COBIT y otros marcos relacionados es que se centra específicamente en la seguridad, la gestión de riesgos y la gobernanza de la información. Esto se enfatiza en COBIT 2019, con mejores definiciones de lo que COBIT es y lo que no es. Por ejemplo, ISACA dice que COBIT 2019 no es un marco para organizar procesos de negocio, gestionar tecnología, tomar decisiones relacionadas con TI o determinar estrategias o arquitectura de TI.

COBIT 2019 también introdujo conceptos de "áreas de enfoque" que describen temas y problemas específicos de gobernanza, que pueden ser abordados por objetivos de gestión o gobernanza. Algunos ejemplos de estas áreas de enfoque incluyen pequeñas y medianas empresas, ciberseguridad, transformación digital y computación en la nube.

Principios de COBIT

COBIT 5 se basa en los siguientes principios:

  • Cumplir las necesidades clave de los interesados.
  • Cubrir la empresa de extremo a extremo.
  • Fomentar un enfoque holístico dentro de los negocios.
  • Integrar múltiples marcos.
  • Mejorar la administración.

COBIT 2019 introdujo tres nuevos principios de gobernanza que giran en torno a la apertura y flexibilidad del marco. El marco establece que las estrategias de gobernanza no solo deben permanecer abiertas y flexibles, sino que también deben basarse en modelos conceptuales y alinearse con las principales normas y reglamentos.

Componentes Principales de COBIT

Los componentes de COBIT se dividen en cinco grandes elementos:

  1. Marco (Framework): Se dedica a la organización de todo el departamento TI, los objetivos y los distintos métodos de trabajo, incluyendo los procesos y las buenas prácticas. Dentro del framework se tienen en cuenta los requisitos que pueda tener la empresa para satisfacer todas sus necesidades a fin de obtener los mejores resultados.
  2. Descripción de Procesos: Un sistema que gestiona y organiza las distintas responsabilidades de la unidad de negocio. Permite a responsables como el CIO, CISO o CEO, entre otros, comprender la terminología, las descripciones y los procesos.
  3. Objetivos de Control: Ofrece una descripción general de los objetivos de alto nivel que los procesos de TI pueden ayudar a desarrollar y mejorar, permitiendo que cada empresa los adapte a sus características particulares.
  4. Directrices de Gestión: Incluye prácticas que pueden ayudar a repartir las tareas y responsabilidades dentro de la organización, aportando pautas relacionadas con la medición del rendimiento.
  5. Modelos de Madurez: Permiten evaluar la madurez de la organización, identificar problemas y predecir cómo seguirá creciendo la empresa en el futuro.

Para que la información y la tecnología contribuyan a los objetivos de la empresa, deberían alcanzarse una serie de objetivos de gobierno y gestión. Los objetivos de gobierno y gestión de COBIT se agrupan en cinco dominios. Los objetivos de gobierno se agrupan en el dominio Evaluar, Dirigir y Monitorizar (EDM). El Marco de referencia COBIT® 2019: Objetivos de gobierno y gestión, describe de forma exhaustiva los 40 objetivos principales del gobierno y la gestión, los procesos incluidos en ellos y otros componentes relacionados.

En el proceso de descubrimiento y comprensión de las bases de esta guía es necesario tener claro también cuáles son los rasgos principales que hacen de ella un elemento crucial para la unidad empresarial. Podemos apreciar que el aprovechamiento de COBIT permite que las empresas vinculen sus metas principales de negocio con los objetivos del departamento TI para que ambos aspectos avancen de la mano. Gracias a la aplicación de las bases de esta guía es posible aprovechar la información y las medidas obtenidas con la intención de identificar cuáles son los aspectos que se pueden potenciar para alcanzar un mejor rendimiento.

Implementación de COBIT

Para implementar COBIT, no hay necesariamente una manera universal de proceder. Lo importante para cada organización es encontrar un equilibrio entre sus objetivos, prioridades y restricciones organizativas en las que se debe aplicar el cambio.

La Guía de implementación de COBIT® 2019: Implementación y optimización de una solución de gobierno de Información y Tecnología, desarrolla una hoja de ruta para la mejora continua del gobierno. COBIT 2019 está diseñado para ser más prescriptivo y guiar a las empresas en el desarrollo de una estrategia de gobernanza, al tiempo que permite a las organizaciones adaptar una estrategia de gobernanza única y adecuada. Define los “componentes para construir y mantener un sistema de gobernanza: procesos, políticas y procedimientos, estructuras organizativas, flujos de información, habilidades, infraestructura, y cultura y comportamientos”, según ISACA.

Pasos para una Implementación Exitosa

  1. Identificar necesidades y objetivos: El CIO o el CISO debe identificar las necesidades específicas de la organización en cuanto a gobernanza y gestión de tecnología de la información, definiendo claramente los objetivos comerciales que se desean alcanzar con COBIT.
  2. Formar un equipo dedicado: Para una implementación exitosa, se debe formar un equipo dedicado a la implementación de COBIT.
  3. Adaptar el marco: El método de implementación y las herramientas utilizadas dependen de la empresa. Es necesario que las organizaciones adopten y adapten COBIT 5 o COBIT 2019 a sus necesidades y contexto específico. Las publicaciones de ISACA son pautas que ayudan a comprender cómo proceder para mejorar la calidad de la gestión de los sistemas informáticos, pero la elección de los procesos y herramientas queda a criterio de la empresa.
  4. División en bloques: Para aplicar de manera conveniente el COBIT, las empresas tienen que ser conscientes de cómo el departamento TI se tiene que dividir en cuatro bloques diferentes:
    • Planificación y organización.
    • Adquisición e implementación.
    • Entrega y soporte.
    • Monitorización y evaluación.

Estos aspectos tienen que ponerse en práctica de manera ordenada y efectiva con la intención de proporcionar el mejor rendimiento corporativo. En el momento en el que se aplican los métodos del framework de COBIT, es posible conseguir que la empresa obtenga mejores resultados y que la gestión de información sea más versátil.

COBIT 2019, actualizaciones y cambios

Beneficios de la Implementación de COBIT

Los beneficios asociados con la implementación de COBIT para una organización o un profesional de TI son numerosos:

  • Mejora de los procesos comerciales: Establecer una buena gobernanza de los sistemas de información permite optimizar eficientemente todos los flujos de trabajo, lo que aumenta la productividad y logra una eficiencia mejorada en todos los niveles.
  • Alineación con objetivos empresariales: La certificación COBIT ayuda a las organizaciones, independientemente de su tamaño, a utilizar TI de manera efectiva para alcanzar sus objetivos comerciales. La TI puede promover la excelencia operativa si está bien gobernada.
  • Retorno de la inversión (ROI): Gracias a COBIT, es más fácil obtener un retorno de la inversión en relación con los gastos de TI dentro de una empresa.
  • Cumplimiento normativo: Estar certificado en COBIT también ayuda a cumplir con las leyes, regulaciones y acuerdos contractuales.
  • Gestión de riesgos: COBIT ayuda a las empresas a alinear los marcos existentes en la organización y a comprender cómo encajará cada marco en la estrategia global, a la vez que permite a los responsables de minimizar el riesgo beneficiarse de que todas las soluciones se manejen bajo un único marco general.
  • Optimización de la auditoría: COBIT optimiza el trabajo de un comité de auditoría porque todos los involucrados trabajan desde el mismo manual de estrategias.
  • Enfoque holístico: Aquellos responsables de desarrollar y mantener procesos se benefician de COBIT porque sus soluciones no se crean en un entorno aislado; se desarrollan de manera holística.

El empleo del marco COBIT le ayuda a satisfacer las necesidades de todas las partes interesadas, incluidos los usuarios finales. También puede guiar y proteger toda la arquitectura empresarial, incluidos todos los elementos de la red y los dispositivos del usuario final.

Desafíos y Soluciones en la Implementación de COBIT

La implementación del marco COBIT dentro de una empresa puede enfrentarse a varios desafíos:

  • La resistencia al cambio por parte de las partes interesadas.
  • La falta de comprensión de los beneficios del marco COBIT.
  • La falta de recursos para la implementación.
  • Las dificultades para establecer una cultura de gobernanza sólida dentro de la organización.

La resistencia al cambio puede ser especialmente significativa si los procesos existentes deben modificarse considerablemente por el marco COBIT. Para superar estos obstáculos, el administrador de TI debe establecer una comunicación efectiva. El objetivo es involucrar activamente a las partes interesadas a todos los niveles y adaptar la implementación de COBIT de manera progresiva. Ajustar los procesos según la retroalimentación también puede contribuir a una adopción exitosa de COBIT dentro de la organización.

Certificaciones COBIT

ISACA promueve diversas certificaciones relacionadas con la gobernanza y auditoría de TI, las cuales se alinean con los principios de COBIT:

  • Certified Information Systems Auditor (CISA): Prueba la capacidad de un candidato para implementar controles para una solución de TI empresarial. Los profesionales de auditoría también utilizan ISACA para asegurarse de que examinan y evalúan todos los componentes necesarios de un sistema de TI.
  • Certified Information Security Manager (CISM): Está a cargo de evaluar las habilidades administrativas y técnicas en seguridad de la información.
  • Certified in the Governance of Enterprise IT (CGEIT): Evalúa el conocimiento de los candidatos sobre las responsabilidades que tiene la alta gerencia en lo que respecta a la gobernanza de un sistema de TI.
  • Certified in Risk and Information Systems Control (CRISC): Se enfoca en los riesgos y peligros que enfrentan las empresas.

El Examen Base COBIT 2019 cubre el "contexto, componentes, beneficios y razones clave por las que COBIT se utiliza como un marco de gobernanza de información y tecnología". ISACA señala que la “familia de productos y capacitación COBIT 2019 está abierta”.

Guías Complementarias de COBIT 2019

COBIT 2019 viene acompañado de una serie de guías complementarias que facilitan su comprensión e implementación:

  • Marco COBIT 2019: Introducción y metodología.
  • Marco COBIT 2019: Gobernanza y objetivos de gestión. Una guía complementaria que se sumerge en el Modelo Básico COBIT y los 40 objetivos de gobernanza y gestión.
  • Guía de Diseño COBIT 2019.
  • Guía de Implementación COBIT 2019. La cuarta guía complementaria del marco, que guía a las empresas a través de la implementación de la estrategia de gobernanza una vez desarrollada.

El marco COBIT 2019 ayuda a las empresas a alinear los marcos existentes en la organización y a comprender cómo encajará cada marco en la estrategia global. También está diseñado para ofrecer a la alta dirección más información sobre cómo la tecnología puede alinearse con los objetivos de la organización. Se pueden relacionar directamente los puntos débiles de la empresa con determinados aspectos del marco, haciendo hincapié en la necesidad de una “TI orientada al control”, según ISACA.

Diferencias Clave entre COBIT 5 y COBIT 2019
Característica COBIT 5 COBIT 2019
Principios de Gobernanza 5 principios 6 principios (con un nuevo enfoque en adaptabilidad)
Procesos 37 procesos 40 procesos
Enfoque de Gestión de Rendimiento Basado en CMMI CMMI con niveles de capacidad y madurez
Áreas de Enfoque No definido explícitamente Introduce "áreas de enfoque" (ciberseguridad, transformación digital, etc.)
Naturaleza del Marco Más general Más prescriptivo y flexible para la adaptación
Actualizaciones Versiones periódicas Actualizaciones más frecuentes y fluidas

COBIT 2019 introdujo tres nuevos procesos, pasando de 37 procesos descritos en COBIT 5 a 40 en COBIT 2019. El marco sigue jugando muy bien con otros marcos de gestión de TI como ITIL, CMMI y TOGAF, lo que lo convierte en una gran opción como marco paraguas para unificar procesos en toda una organización.

tags: #cobit #para #liderazgo #información

Publicaciones populares: