¿Han leído COBIT? Es una de esas lecturas ligeras que pueden llevarse a la playa o para descansar a la sombra de un pino. Es más, si se dispone de la edición de bolsillo pueden llevárselo al dentista para amenizar la espera, no hay nada como la prosa de COBIT para pasar un buen rato. ¿¡Qué dice éste chalao!?, habrán pensado los lectores que conozcan COBIT. Estaba sólo bromeando.
Como ya sabrán, COBIT no es ningún bestseller que podamos llevar a la piscina para pasar un rato entretenido, sino que son las siglas de “Control Objectives for Information and related Technology”. Es un conjunto de mejores prácticas relacionadas con el Gobierno TI que fue creado por ISACA (Information Systemas Audit and Control Association) y por el ITGI (IT Governance Institute). Se han publicado varias versiones de COBIT. La primera versión fue publicada en 1996; la segunda edición en 1998; la tercera edición en 2000; y la cuarta edición en 2005, y la versión 4.1 está disponible desde mayo de 2007.
Este tipo de publicaciones, las que agrupan o recopilan “mejores prácticas”, requieren de actualizaciones para no quedarse desfasadas u obsoletas. Era previsible pensar que una nueva edición de COBIT llegaría en “breve” y si todo sigue según lo previsto, la próxima versión de COBIT (COBIT 5) estará disponible a principios de 2012. A medida que se va concretando la última versión, van surgiendo noticias con las novedades que ésta contendrá. De hecho podemos descargar y consultar un primer borrador en el que se destacan los principales cambios que aportará la nueva versión.
Conexión con los principales estándares o guías de buenas prácticas
COBIT tiene un alcance muy amplio, cubre procesos de todas las áreas de la organización. Un framework de estas características debe ser compatible con estándares específicos de cada una de las áreas. Hoy en día podemos encontrar estándares y guías de buenas prácticas que resuelven muy bien —cada vez mejor— la gestión de ciertos aspectos como puede ser la provisión de servicios TI, por ejemplo ITIL v3 o ISO 20000. Me parece lógico y acertado que frameworks como COBIT procuren mejorar la compatibilidad con esas prácticas en lugar de volver a reinventar la rueda.
COBIT 4.1 hacía referencia a ITIL; CMM, ISO 17799, PMBOK, PRINCE2. Uno de los objetivos de COBIT 5 sigue siendo mejorar la compatibilidad con otras gruías de buenas prácticas y estándares. Esto facilitará a las organizaciones la adopción de modelos de gobierno pudiendo aprovechar lo desarrollado hasta el momento.
Nuevo modelo de madurez
Ésta es una de las cuestiones que más me ha gustado y que probablemente vaya a gustar a los que hayan tratado con COBIT 4.1. Hasta ahora COBIT proponía un modelo propio para medir la “madurez” de los procesos de la organización. En mi opinión este enfoque no era demasiado acertado, creo que el enfoque de CMM o ISO es más adecuado. La nueva versión de COBIT tomará precisamente el modelo de madurez definido por ISO en la norma ISO/IEC 15504 más conocida como SPICE (Software Process Improvement Capability Determination). Los niveles definidos en el modelo SPICE son los siguientes:
- Nivel 0: Incompleto
- Nivel 1: Realizado
- Nivel 2: Gestionado
- Nivel 3: Establecido
- Nivel 4: Predecible
- Nivel 5: Optimizado
Estructura de procesos
La estructura de procesos es similar a la anterior. Tras los cambios, se dispone de un total de 36 procesos (34 en la versión 4.1). Al dar un primer vistazo comprobamos que muchos de los procesos ya están adoptados en nuestra organización: Gestión de proveedores, gestión de cambios, gestión de la configuración, gestión de incidencias, gestión de problemas, etc.
Creo que resulta positivo analizar esos procesos y compararlos con los existentes en nuestra organización en un ejercicio de autoevaluación. Debemos comparar la estructura y organización de nuestros procesos con la propuesta por COBIT, es posible que detectemos puntos de mejora y podamos plantear una estructura de procesos más simple y coherente.
Una vez hayamos comparado los procesos existentes en nuestra organización con los propuestos por COBIT, será adecuado analizar aquellos procesos que no hemos definido y plantearnos si sería conveniente definirlos e implementarlos. De este modo podemos encontrar puntos débiles que no habíamos considerado y dotar de mayor robustez nuestro modelo de gestión.
En muchos casos, comprobaremos que distintos procesos son susceptibles de ser agrupados y que sólo tiene sentido mantenerlos separados cuando se implementan en grandes organizaciones. Por ejemplo, COBIT 5 propone tres procesos para la monitorización y evaluación. Seguramente en muchas organizaciones estos tres procesos estén agrupados e implementados como un único proceso.
Con la información que disponemos hasta el momento sólo podemos hacernos una idea general de lo que será COBIT 5. No obstante, los cambios destacados en el borrador al que tenemos acceso no introducen grandes cambios respecto a COBIT 4.1. Esto nos lleva a pensar que la nueva versión no será muy distinta de la actual y que por lo tanto resultará sencillo adaptar los modelos basados en COBIT 4.1 a COBIT 5.
Hasta aquí llegan las primeras pinceladas sobre lo que será COBIT 5. Nos mantenemos a la espera de que publiquen más detalles sobre la nueva versión.
Quiero hacer un último apunte que resultará interesante para quienes estén familiarizados con los sistemas de gestión basados en las normas ISO. ¿Cuántas normas ISO se requieren para cubrir los 36 procesos de COBIT 5? Dado que existen solapes en los requisitos de dichas normas podremos encontrar más de una respuesta válida, yo me reservo la mía para una futura entrada.
Fuente: SecurityArtWork
No hay comentarios:
Publicar un comentario