NOTA UPDATE (Abril/2012): Dado que la nueva versión de COBIT 5 oficial publicada por ISACA el 10/Abril, posee algunos cambios en cuanto a cantidad y distribución de procesos respecto a la versión “draft” de Junio 2011, a continuación se actualiza el diagrama de procesos y el mapeo con COBIT 4.1, junto con un resumen a criterio personal de las diferencias principales entre COBIT 5 y la versión de COBIT 4.1, principalmente orientado a la comunidad de habla hispana (desde ya cualquier corrección es bienvenida).
Para comenzar el análisis del Framework de COBIT 5, nada mejor que la “big picture” que nos brinda este mapa mental.
- COBIT 5 Mapa Mental por FrancoIT_GRC (click o guardar para ampliar)
Una vez apreciada la complejidad de las relaciones entre los distintos elementos que componen el nuevo COBIT 5, voy a pronfundizar en esta entrega exclusivamente en los cambios principales respecto a COBIT 4.1, ampliamente utilizado o inclusive en vías de implementación en organizaciones de diversas características.
Para tal fin, vamos a concentrarnos en esta sección del mapa mental:
Mapa COBIT5 por FrancoIT_GRC - Parte 1 vs COBIT 4
La nueva versión de COBIT incluye los siguientes cambios principales respecto a la versión anterior 4.1:
Procesos y Dominios:
A nivel de la estructura de Procesos y Dominios esto es lo más relevante del comparativo entre ambas versiones:
- Existe un nuevo Dominio (ahora son 5), que se enfoca en aspectos de Gobierno de TI, denominado “EDM – Evaluar, Dirigir & Monitorear” y que cubre el antiguo proceso ME4 de COBIT 4.
- La cantidad de procesos se ha incrementado de 34 a 37 (en el draft eran 36, se agregó APO013 “Gestionar Seguridad”).
- Si bien los objetivos de control que corresponden a cada proceso de COBIT 4, se mantienen mayoritariamente dentro del mismo Dominio, existen excepciones como las siguientes:
- PO10 – Administrar los proyectos, pasó al Dominio BAI.
- AI5 – Procurar recursos de IT, pasó al Dominio APO.
- DS1 – Definir y Administrar los niveles de servicio, pasó al Dominio APO.
- DS2 – Administrar los servicios de Terceros, pasó al Dominio APO.
- DS3 – Administrar el desempeño y la capacidad, pasó al Dominio BAI.
- DS6 – Identificar y asignar costos, pasó al Dominio APO.
- DS7 – Educar y Entrenar a los usuarios, pasó al Dominio APO.
- En el dominio APO – Administrar, Planear y Organizar, es donde se observa mayor reorganización interna de los objetivos de control, es decir que un antiguo proceso de COBIT 4, ahora puede estar distribuido como parte de hasta 5 procesos del mismo dominio en COBIT 5.
- El proceso DS12 – Administrar el Ambiente Físico ahora forma parte del DSS5 – Gestionar los Servicios de Seguridad
- Existen nuevos procesos cuyo contenido es mayormente producto de COBIT 5, destacándose:
- EDM1 – Definir el Framework para el Governance
- APO1 – Definir el Framework para el Management
- APO4 – Gestionar Innovación
- APO13 – Gestionar Seguridad (también hay un Proceso DSS05 Gestionar los Servicios de Seguridad)
- BAI8 – Gestión del Conocimiento
A continuación, se expone un cuadro con el mapeo realizado entre los procesos de COBIT 4.1 y su cobertura en COBIT5, destacando que se tomó como fuente el material de ISACA incluido en Anexo de la Guía de Procesos de Referencia, pero dado que estaba desglosado por Objetivo de Control, se lo consolidó a nivel Proceso, destacando como “Primaria” al Proceso de COBIT 5 que mayor cobertura (en %) les brinda a los objetivos de control del antiguo proceso de COBIT 4.1.
Metas de Negocio y Metas de TI:
- Respecto a la relación habitual entre Metas de Negocio y Metas de TI, COBIT 5 ha mejorado en cuanto a la precisión del grado de relevancia de dicho nexo, dado que ahora se la discrimina en “Primaria” o “Secundaria”, mientras que en COBIT 4 sólo se la marcaba con una tilde genérico.
- En COBIT 5 se mantiene la cantidad de Metas de Negocio (17) pero ha cambiado de COBIT 4.1 sus contenidos y la distribución respecto a las Perspectivas del Balanced Scorecard, tal como se detalla a continuación:
- Con respecto a las Metas de TI, COBIT 5 ha efectuado dos cambios importantes comparativamente con COBIT 4.1:
- Disminuyó la cantidad de 28 a 17 Metas.
- Para cada Meta de TI se indica a cuál Perspectivas del Balanced Scorecard corresponde:
El Pentágono de COBIT 4.1 para el Gobierno de TI:
Otro de los cambios significativos es el haber transformado el famoso “Pentágono” del Gobierno de TI de COBIT 4.1 prácticamente en el nuevo dominio denominado “EDM – Evaluar / Dirigir & Monitorear”:
El Cubo de COBIT 4.1 para los Criterios de la Información:
- El último de los cambios fundamentales que presenta la nueva versión COBIT es el novedoso Modelo de la Información que viene a reemplazar a los 7 Criterios que durante toda la vigencia de COBIT 4.1 dieron forma al célebre “cubo”:
El nuevo Modelo de la Información (IM) será descripto ampliamente en las sucesivas entregas de este análisis sobre el nuevo framework provisto por ISACA: COBIT 5.
Modelo de Madurez:
COBIT 5 introduce una nueva forma de medir la madurez de los procesos a través del “Process Capability Model”, basado en el estándar internacionalmente reconocido “ISO/IEC 15504 Software Engineering – Process Assessment Standard”, diferente en su diseño y uso al modelo de madurez que incluía COBIT 4.1.
Modelo de Madurez según COBIT 4.1
Sin embargo, el nuevo “Process Capability Model” de COBIT 5, plantea modificaciones, no sólo de nombres de cada nivel, que no se limitan a lo que se aprecia en el gráfico siguiente:
Nuevo Modelo de Madurez "Process Capability Model" de COBIT 5
Este nuevo modelo plantea las siguientes diferencias:
- Al estar basado en ISO/IEC 15504 es más exigente respecto a lo que debe cumplir cada proceso para ascender de nivel, dado que este estándar plantear que se deben cumplir los 9 atributos definidos para cada proceso, como requisito para acreditar dicho grado de madurez.
- Una evaluación realizada bajo este nuevo modelo no es comparable y no puede ser mezclada con evaluaciones realizadas bajo el modelo de COBIT 4.1, dado que se distorsionarían los resultados por ser distintas las exigencias.
- Generalmente, aplicando este modelo de COBIT 5, deberían dar resultados de niveles más bajos de madurez.
A continuación, se expone el mapeo oficial de ISACA entre ambos modelos de madurez:
Comparación entre ambos Modelos de Madurez
Conclusión del Comparativo:
Según indica ISACA en sus papers “COBIT 5, que saldría para los inicios del 2012, es la mayor evolución estratégica de COBIT 4.1, él único framework globalmente aceptado para el IT Governance y brinda a los interesados la guía más completa y actualizada para un mejor gerenciamiento de IT.”
Sin embargo, el proceso de migración hacia COBIT 5 puede revestir cierta complejidad para aquellas organizaciones que han implementado oportunamente COBIT 4. En este sentido, es importante destacar que aquellas organizaciones que ya habían alcanzado bajo COBIT 4 un nivel de madurez mínimo de 2 (según el criterio de la ISO 15504), encontrarán el upgrade relativamente fácil, mientras que para el resto puede significar un verdadero desafío que justificará evaluar la conveniencia de directamente comenzar con COBIT 5 “desde cero” como nuevo Framework.
Asimismo, cuando una organización ya ha hecho importantes inversiones en implementar COBIT 4.1 y se encuentra a mitad del proyecto, es recomendable que complete dicha iniciativa en lugar de mezclar las 2 versiones.
En conclusión, con la salida de COBIT 5 se abre una nueva etapa para el gobierno y el management de TI, que implicará que todos los involucrados, más alla del rol (CEO, CIO, CRO, CISO, CCO, Advisor, Auditor, etc), evolucionemos estratégicamente sincronizados con este nuevo estándar.
Fuente y más información: http://francoitgrc.wordpress.com