Cobit 4.1 vs Cobit 5

5/24/2018 Cobit 4.1 vs Cobit 5

1/28

Cobit 4.1 vs. Cobit 5Anlisis comparativo del nuevo marco COBIT.

El presente documento constituye un anlisis comparativo de las dos ltimasversiones de COBIT, ejercicio de un proceso y la lista de verificacincorrespondiente bajo el nuevo enfoque.

2013

Freddy EsparzaJos Luis GarcaDaniel Guerrn Benalczar - Leopoldo Venegas

ESCUELA POLITCNICA DEL EJRCITO01/04/2013


2/28

Cobit 4.1 vs. Cobit 5

Pgina 2

Tabla de contenidoAntecedentes................................................................................................................................. 3

Comparacin COBIT 4.1 vs. COBIT 5. .............................................................................................. 4

Caractersticas Cobit 4.1. ............................................................................................................ 4

Caractersticas Cobit 5. ............................................................................................................... 4

Figura 4. Procesos del Gobierno de TI ......................................................................................... 8

Diferencias y Semejanzas Cobit 4.1 vs. Cobit 5............................................................................ 8

Ejercicio con Objetivo de Control. ................................................................................................ 10

ADQUIRIR E IMPLEMENTAR - Administrar los Cambios (COBIT 4.1) .......................... ................. 10

AI6 Administrar Cambios ........................ ......................... .......................... ......................... ..... 10DESCRIPCIN DEL PROCESO. .................................................................................................... 10

CONSTRUIR, ADQUIRIR E IMPLEMENTARGestionar los Cambios (COBIT 5). .......................... 15

Lista de Verificacin (Construir, Adquirir e ImplementarGestionar los Cambios). ...................... 18

Conclusiones. ............................................................................................................................... 22

Recomendaciones. ....................................................................................................................... 23

ANEXO 1. MAPEO COBIT 4.1 Y COBIT 5. ........................................................................................ 24

ANEXO 2. VENTAJAS Y DESVENTAJAS COBIT 4.1 Y COBIT 5. ........................ ......................... ......... 26

ANEXO 3. FUENTES DE CONSULTA. ......................... .......................... ......................... .................. 28


3/28


Pgina 3

Antecedentes.Con objeto de introducirnos en el tema antes de realizar la comparacin se ha encontrado

importante citar varios conceptos y antecedentes.

COBIT es el acrnimo deControl Objectives for Information and related Technology en espaol

Objetivos de Control paratecnologa de lainformacin y relacionada)

Es unmodelo para elGobierno de la TI desarrollado por la Information Systems Audit and Control

Association (ISACA) y el IT Governance Institute (ITGI), Tiene varios objetivos a nivel alto que

cubren lineamientos de control clasificados en varios dominios como Planificacin, Organizacin,

Adquisicin, Entrega, Supervisin y Evaluacin

Enfatiza el cumplimiento normativo, ayuda a las organizaciones a incrementar el valor de TI.,

apoya el alineamiento con el negocio y simplifica la implantacin del COBIT. Esta versin no

invalidael trabajo efectuado con las versiones anteriores del COBIT, sino que mejora el trabajo

hecho.

Representa los esfuerzos de literalmente cientos de expertos de voluntario de en el mundo

entero. Es un marco de gobernacin TI que permite a gerentes acortar el hueco entre exigencias

de control, cuestionestcnicas yriesgos de negocio. COBIT permite eldesarrollo claro depoltica y

la prctica buena para el control de TI en todas partes de organizaciones.

Con el avance progresivo de sus lineamientos acenta el cumplimiento regulador, ayuda a

organizaciones a aumentar el valor logrado de TI, permite la alineacin y simplifica la puesta en

prctica del marco COBIT. Esto no invalida el trabajo hecho basado en las versiones ms

tempranas de COBIT, pero encambio puede ser usado realzar el trabajo ya hecho basado sobre

aquellas versiones ms tempranas. Cuando actividades principales son planeadas para iniciativasde gobernacin TI, o cuando una revisin y reparacin del marco de control de la empresa es

esperada (prevista), le recomiendan comenzar fresco con COBIT 4.0. COBIT 4.0 actividades de

regalos en una manera ms dinamizada y prctica tan la mejora continua de la gobernacin TI es

ms fcil que alguna vez para alcanzar.

Independientemente de la realidad tecnolgica de cada caso concreto,COBIT determina, con el

respaldo de las principales normas tcnicas internacionales, un conjunto de mejores prcticas para

laseguridad, lacalidad, laeficacia y laeficiencia en TI que son necesarias para alinear TI con el

negocio, identificar riesgos, entregar valor al negocio, gestionarrecursos y medir eldesempeo,el

cumplimiento de metas y el nivel de madurez de los procesos de laorganizacin.

Proporciona a gerentes, interventores, y usuarios TI con un juego de medidas generalmente

aceptadas,indicadores,procesos y las mejores prcticas para ayudar a ellos en el maximizar las

ventajas sacadas por el empleo de tecnologa de informacin y desarrollo de la gobernacin

apropiada TI y el control en unaempresa.
http://www.monografias.com/trabajos14/control/control.shtmlhttp://www.monografias.com/trabajos16/objetivos-educacion/objetivos-educacion.shtmlhttp://www.monografias.com/Tecnologia/index.shtmlhttp://www.monografias.com/trabajos7/sisinf/sisinf.shtmlhttp://www.monografias.com/trabajos/adolmodin/adolmodin.shtmlhttp://www.monografias.com/trabajos4/derpub/derpub.shtmlhttp://www.monografias.com/trabajos6/napro/napro.shtmlhttp://www.monografias.com/trabajos14/nuevmicro/nuevmicro.shtmlhttp://www.monografias.com/trabajos38/cobit/cobit.shtmlhttp://www.monografias.com/trabajos/fintrabajo/fintrabajo.shtmlhttp://www.monografias.com/trabajos34/el-trabajo/el-trabajo.shtmlhttp://www.monografias.com/trabajos6/juti/juti.shtmlhttp://www.monografias.com/trabajos35/tipos-riesgos/tipos-riesgos.shtmlhttp://www.monografias.com/trabajos12/desorgan/desorgan.shtmlhttp://www.monografias.com/Politica/index.shtmlhttp://www.monografias.com/trabajos2/mercambiario/mercambiario.shtmlhttp://www.monografias.com/trabajos11/empre/empre.shtmlhttp://www.monografias.com/trabajos/histoconcreto/histoconcreto.shtmlhttp://www.monografias.com/trabajos/seguinfo/seguinfo.shtmlhttp://www.monografias.com/trabajos11/conge/conge.shtmlhttp://www.monografias.com/trabajos11/veref/veref.shtmlhttp://www.monografias.com/trabajos11/veref/veref.shtmlhttp://www.monografias.com/trabajos4/refrec/refrec.shtmlhttp://www.monografias.com/trabajos15/indicad-evaluacion/indicad-evaluacion.shtmlhttp://www.monografias.com/trabajos6/napro/napro.shtmlhttp://www.monografias.com/trabajos15/metodos-creativos/metodos-creativos.shtmlhttp://www.monografias.com/trabajos15/valoracion/valoracion.shtml#TEORICAhttp://www.monografias.com/trabajos36/teoria-empleo/teoria-empleo.shtmlhttp://www.monografias.com/trabajos11/empre/empre.shtmlhttp://www.monografias.com/trabajos11/empre/empre.shtmlhttp://www.monografias.com/trabajos36/teoria-empleo/teoria-empleo.shtmlhttp://www.monografias.com/trabajos15/valoracion/valoracion.shtml#TEORICAhttp://www.monografias.com/trabajos15/metodos-creativos/metodos-creativos.shtmlhttp://www.monografias.com/trabajos6/napro/napro.shtmlhttp://www.monografias.com/trabajos15/indicad-evaluacion/indicad-evaluacion.shtmlhttp://www.monografias.com/trabajos4/refrec/refrec.shtmlhttp://www.monografias.com/trabajos11/veref/veref.shtmlhttp://www.monografias.com/trabajos11/veref/veref.shtmlhttp://www.monografias.com/trabajos11/conge/conge.shtmlhttp://www.monografias.com/trabajos/seguinfo/seguinfo.shtmlhttp://www.monografias.com/trabajos/histoconcreto/histoconcreto.shtmlhttp://www.monografias.com/trabajos11/empre/empre.shtmlhttp://www.monografias.com/trabajos2/mercambiario/mercambiario.shtmlhttp://www.monografias.com/Politica/index.shtmlhttp://www.monografias.com/trabajos12/desorgan/desorgan.shtmlhttp://www.monografias.com/trabajos35/tipos-riesgos/tipos-riesgos.shtmlhttp://www.monografias.com/trabajos6/juti/juti.shtmlhttp://www.monografias.com/trabajos34/el-trabajo/el-trabajo.shtmlhttp://www.monografias.com/trabajos/fintrabajo/fintrabajo.shtmlhttp://www.monografias.com/trabajos38/cobit/cobit.shtmlhttp://www.monografias.com/trabajos14/nuevmicro/nuevmicro.shtmlhttp://www.monografias.com/trabajos6/napro/napro.shtmlhttp://www.monografias.com/trabajos4/derpub/derpub.shtmlhttp://www.monografias.com/trabajos/adolmodin/adolmodin.shtmlhttp://www.monografias.com/trabajos7/sisinf/sisinf.shtmlhttp://www.monografias.com/Tecnologia/index.shtmlhttp://www.monografias.com/trabajos16/objetivos-educacion/objetivos-educacion.shtmlhttp://www.monografias.com/trabajos14/control/control.shtml


4/28


Pgina 4

Proporciona adems ventajas a gerentes, TI usuarios, e interventores. Los gerentes se benefician

de COBIT porque esto provee de ellos de una fundacin sobre cual TI las decisiones relacionadas e

inversiones pueden estar basadas. La toma de decisiones es ms eficaz porque COBIT ayuda la

direccin en la definicin de un plan de TI estratgico, la definicin de la arquitectura de la

informacin, la adquisicin delhardware necesario TI y elsoftware para ejecutar unaestrategia TI,

la aseguracin delservicio continuo, y lasupervisin del funcionamiento delsistema TI. TI usuarios

se benefician de COBIT debido al aseguramiento proporcionado a ellos si los usos que ayudan en la

reunin, el tratamiento, y el reportaje de informacin cumplen con COBIT ya que esto implica

mandos y la seguridad es en el lugar para gobernar los procesos. COBIT beneficia a interventores

porque esto les ayuda a identificar cuestiones de control de TI dentro de la infraestructura TI de

una empresa.Esto tambin les ayuda a corroborar sus conclusiones de auditora.

La misin COBIT es investigar, desarrollar, hacer pblico y promover un juego autoritario,

actualizado, internacional de objetivos de control de tecnologa de informacin generalmente

aceptados para el empleo cotidiano por directores comerciales e interventores. Los gerentes,

interventores, y usuarios se benefician del desarrollo de COBIT porque esto les ayuda a entendersussistemas TI y decidir el nivel de seguridad y control que es necesario para proteger el activo de

susempresas por el desarrollo de un modelo de gobernacin TI.

Comparacin COBIT 4.1 vs. COBIT 5.

Caractersticas Cobit 4.1.Para ayudar a las organizaciones a satisfacer con xito los desafos de los negocios, el IT

Governance Institute (ITGI) ha publicado la versin de COBIT 4.1

COBIT es un marco de trabajo de Gobierno de TI y un conjunto de herramientas desoporte para el gobierno de T.I. que les permite a los gerentes cubrir la brecha entre los

requerimientos de control, los aspectos tcnicos y riesgos de negocio.

COBIT hace posible el desarrollo de una poltica clara y las buenas prcticas para loscontroles de T.I. a travs de las organizaciones.

COBIT enfatiza en la conformidad a regulaciones, ayuda a las organizaciones a incrementarel valor alcanzado desde la TI, permite el alineamiento y simplifica la implementacin de la

estructura COBIT.

La versin, COBIT 4.1, enfatiza el cumplimiento normativo, ayuda a las organizaciones a

incrementar el valor de T.I., apoya el alineamiento con el negocio y simplifica la implantacin de

COBIT. Esta versin no invalida el trabajo efectuado con las versiones anteriores del COBIT, sino

que puede ser empleado para mejorar el trabajo previo.

Caractersticas Cobit 5.Esta es la ms recin versin de COBIT y est basada en procesos, se enfoca fuertemente en el

control y menos en la ejecucin, es decir, indica qu se debe conseguir sin focalizarse en el cmo.
http://www.monografias.com/trabajos12/cntbtres/cntbtres.shtmlhttp://www.monografias.com/trabajos12/decis/decis.shtmlhttp://www.monografias.com/trabajos6/arma/arma.shtmlhttp://www.monografias.com/Computacion/Hardware/http://www.monografias.com/Computacion/Software/http://www.monografias.com/trabajos11/henrym/henrym.shtmlhttp://www.monografias.com/trabajos14/verific-servicios/verific-servicios.shtmlhttp://www.monografias.com/trabajos13/conce/conce.shtmlhttp://www.monografias.com/trabajos11/teosis/teosis.shtmlhttp://www.monografias.com/trabajos11/empre/empre.shtmlhttp://www.monografias.com/trabajos7/gepla/gepla.shtmlhttp://www.monografias.com/trabajos11/teosis/teosis.shtmlhttp://www.monografias.com/trabajos11/empre/empre.shtmlhttp://www.monografias.com/trabajos11/empre/empre.shtmlhttp://www.monografias.com/trabajos11/teosis/teosis.shtmlhttp://www.monografias.com/trabajos7/gepla/gepla.shtmlhttp://www.monografias.com/trabajos11/empre/empre.shtmlhttp://www.monografias.com/trabajos11/teosis/teosis.shtmlhttp://www.monografias.com/trabajos13/conce/conce.shtmlhttp://www.monografias.com/trabajos14/verific-servicios/verific-servicios.shtmlhttp://www.monografias.com/trabajos11/henrym/henrym.shtmlhttp://www.monografias.com/Computacion/Software/http://www.monografias.com/Computacion/Hardware/http://www.monografias.com/trabajos6/arma/arma.shtmlhttp://www.monografias.com/trabajos12/decis/decis.shtmlhttp://www.monografias.com/trabajos12/cntbtres/cntbtres.shtml


5/28


Pgina 5

La primera impresin es que ISACA ha orientado definitivamente COBIT hacia el Gobierno de las TI.

En sus primeras versiones, COBIT se defina como un marco de control para auditores de TI. En la

revisin del ao 2000, COBIT 3, se inclua como producto/documento aparte las Management

Guidelines o gua de gestin para la direccin, con una orientacin ms cercana al concepto de

Gobierno TI.

La versin 4 de COBIT supuso la configuracin definitiva de Cobit como un marco general de

Gobierno TI, pero quedaba confusa la relacin con otros marcos de ISACA con otra orientacin

como Val IT (valor de las TI) o RISK IT (riesgos) o con el nuevo estndar de Gobierno TI ISO/IEC

38500.

Figura 1.Evolucin de Cobit

La nueva versin tiene un carcter clarificador, integrando COBIT 4, Val IT y RISK IT en su modelo

de referencia de procesos. Asimismo, COBIT 5 ha sido adaptado para alinearse con la norma

ISO/IEC 38500 de Gobierno TI y con el marco GEIT del ITGI (IT Governance Institute).

El nuevo modelo se basa en los siguientes elementos:

5 Principios

Satisfacer las necesidades de los Stakeholders (Interesados) Crear valor manteniendo el equilibrio entre realizacin de beneficios y la optimizacin del

uso de recursos y gestin del riesgo.

Cubrir la organizacin de principio a fin. Integrando el Gobierno corporativo con el Gobierno de las TI. Orientacin al negocio.


6/28


Pgina 6

Aplicar un nico marco de trabajo integrado.COBIT cubre todas las necesidades y se integra con otros marcos y buenas prcticas, de forma que

puede ser utilizado como marco general.

Aproximacin holstica.

Para conseguir una Gestin y Gobierno de las TI con eficiencia y eficacia:

Separar Gestin de Gobierno. Ambas disciplinas son importantes y complementarias.

Figura 2. Cobit 5

7 Facilitadores

Son los elementos a tener en cuenta en el modelo:

Principios, polticas y marcosSon los vehculos para trasladar el comportamiento deseado en una gua prctica paraconducir las tareas de gestin TI en el da a da.

ProcesosConstituyen un conjunto organizado de prcticas y actividades para conseguir alcanzar los

objetivos establecidos respecto a las tecnologas de la informacin.

Estructura organizacional


7/28


Pgina 7

Son las entidades de la organizacin que toman las decisiones crticas.

Cultura, tica y ComportamientoTanto de los individuos como de la organizacin. Muy a menudo se subestima su influencia

en la consecucin de los objetivos de Gobierno establecidos.

Informacin.La informacin invade todos los mbitos de la organizacin, es necesitada por esta para

operar y para la toma de decisiones. Tambin puede ser el resultado de la actividad de la

organizacin.

Servicios, Infraestructura y AplicacionesEs la parte ms cercana a los profesionales de las TIC.

Personas, habilidades y competencias.Se asocia a las personas necesarias para realizar las actividades, tomar decisiones y realizar

tareas correctivas.

Figura 3.Principios y Polticas

Procesos

Gua muy detallada del modelo de procesos que conforman la esencia de COBIT.

Se sigue manteniendo la "Cascada de Objetivos", esto es la forma en la que los objetivos y

mtricas TI se derivan de los objetivos de negocio de alto nivel, permitiendo esa integracin TI-

Negocio tan caracterstica de ese marco.


8/28


Pgina 8

En esta versin de COBIT aparece una separacin entre procesos de Gestin y procesos orientados

al Gobierno de las TI, en claro alineamiento con la norma ISO/IEC 38500 (Evaluar, Dirigir,

Monitorizar).

Figura 4. Procesos del Gobierno de TI

Diferencias y Semejanzas Cobit 4.1 vs. Cobit 5.reas de cambio

Los principales cambios en COBIT 5:

1. Nuevos Principios de GEIT.2. Mayor foco en Habilitadores.3. Nuevo Modelo de Referencia de Procesos.4. Nuevos y modificados procesos.5. Prcticas y Actividades.6. Metas y Mtricas ms desarrolladas.7. Entradas y Salidas a nivel de prctica.8. RACI Charts ms detalladas.9. Process Capability Maturity Models and Assessments.


9/28


Pgina 9

Integracin de Val IT y Risk IT

COBIT 5 ha integrado el contenido de COBIT 4.1, Val IT and Risk IT en un Modelo de Referencia de

Procesos.

Nuevos y modificados procesos

Hay nuevos y modificados procesos, en particular:

APO03 Manage enterprise architecture. APO04 Manage innovation. APO05 Manage portfolio. APO06 Manage budget and costs. APO08 Manage relationships. APO13 Manage security. BAI05 Manage organizational change enablement. BAI08 Manage knowledge. BAI09 Manage assets. DSS05 Manage security service. DSS06 Manage business process controls.

Prcticas y Actividades

Las prcticas de gobierno y de administracin de COBIT 5 son equivalentes a los objetivos de

control de COBIT 4.1 y los procesos de Val IT y Risk IT.

Las actividades de COBIT 5 son equivalentes a las prcticas de control de COBIT 4.1 y a las prcticasde administracin de Val IT y Risk IT.

Process Capability Maturity Models and Assessments COBIT 5 descontina el COBIT 4.1, Val IT and Risk IT CMM-based capability maturity modelling approach. COBIT 5 ser soportado por un nuevo process capability assessment approach basado

en ISO/IEC 15504.

Otros cambios:o Algo que puede resultar impactante es que en COBIT 5 los Objetivos de Controlhan desaparecido. Realmente se han convertido en prcticas de gestin o de

Gobierno de las TI a fin de generalizar el concepto para todos los mbitos de

aplicacin, y no nicamente para el Control.

o Tambin desaparece el modelo de madurez de capacidades- CMM aplicado a losprocesos para introducir un modelo basado en la ISO/IEC 15504.

o Asimismo, se han actualizado los procesos, los modelos de responsabilidad RACI yotros elementos de COBIT para hacer ms completo, sencillo e integrado.


10/28


Pgina 10

Ejercicio con Objetivo de Control.El objeto del ejercicio es encontrar las variantes que a consecuencia de la nueva versin el proceso

elegido para los talleres de clases tiene, para esto se ha encontrado apropiado enunciar la

conceptualizacin que este tiene en cada versin de COBIT.

ADQUIRIR E IMPLEMENTAR - Administrar los Cambios (COBIT 4.1)

AI6 Administrar Cambios

DESCRIPCIN DEL PROCESO.Todos los cambios, incluyendo el mantenimiento de emergencia y parches, relacionados con la

infraestructura y las aplicaciones dentro del ambiente de produccin, deben administrarse

formalmente y controladamente. Los cambios (incluyendo procedimientos, procesos, sistema y

parmetros del servicio) se deben registrar, evaluar y autorizar previo a la implantacin y revisar

contra los resultados planeados despus de la implantacin. Esto garantiza la reduccin de riesgos

que impactan negativamente la estabilidad o integridad del ambiente de produccin.

Control sobre el proceso TI de

Administrar cambios

Que satisface el requerimiento del negocio de TI para:

Responder a los requerimientos del negocio de acuerdo con la estrategia de negocio, mientras se

reducen los defectos y la repeticin de trabajos en la prestacin del servicio y en la solucin.

Enfocndose en:

Controlar la evaluacin de impacto, autorizacin e implantacin de todos los cambios a la

infraestructura de TI, aplicaciones y soluciones tcnicas, minimizando errores que se deben a

especificaciones incompletas de la solicitud y detener la implantacin de cambios no autorizados

Se logra con:

La definicin y comunicacin de los procedimientos de cambio, que incluyen cambios deemergencia


11/28


Pgina 11

La evaluacin, la asignacin de prioridad y autorizacin de cambios Seguimiento del estatus y reporte de los cambios

Y se mide con:

El nmero de interrupciones o errores de datos provocados por especificaciones inexactaso una evaluacin de impacto incompleta

La repeticin de aplicaciones o infraestructura debida a especificaciones de cambioinadecuadas

El porcentaje de cambios que siguen procesos de control de cambio formales

OBJETIVOS DE CONTROL


AI6.1 Estndares y Procedimientos para Cambios

Establecer procedimientos de administracin de cambio formales para manejar de manera

estndar todas las solicitudes (incluyendo mantenimiento y parches) para cambios a aplicaciones,

procedimientos, procesos, parmetros de sistema y servicio, y las plataformas fundamentales.

AI6.2 Evaluacin de Impacto, Priorizacin y Autorizacin

Garantizar que todas las solicitudes de cambio se evalan de una estructurada manera en cuanto a

impactos en el sistema operacional y su funcionalidad. Esta evaluacin deber incluir

categorizacin y priorizacin de los cambios. Previo a la migracin hacia produccin, los

interesados correspondientes autorizan los cambios.

AI6.3 Cambios de Emergencia

Establecer un proceso para definir, plantear, evaluar y autorizar los cambios de emergencia que no

sigan el proceso de cambio establecido. La documentacin y pruebas se realizan, posiblemente,

despus de la implantacin del cambio de emergencia.


12/28


Pgina 12

AI6.4 Seguimiento y Reporte del Estatus de Cambio

Establecer un sistema de seguimiento y reporte para mantener actualizados a los solicitantes de

cambio y a los interesados relevantes, acerca del estatus del cambio a las aplicaciones, a los

procedimientos, a los procesos, parmetros del sistema y del servicio y las plataformas

fundamentales.

AI6.5 Cierre y Documentacin del Cambio

Siempre que se implantan cambios al sistema, actualizar el sistema asociado y la documentacin

de usuario y procedimientos correspondientes. Establecer un proceso de revisin para garantizar

la implantacin completa de los cambios.


13/28


Pgina 13

MODELO DE MADUREZ


La administracin del proceso de Administrar cambios que satisfaga el requerimiento de negocio

de TI de responder a los requerimientos de acuerdo con la estrategia del negocio, mientras que se

reducen los defectos y repeticiones de trabajos en la entrega de soluciones y servicios es:

0 No Existente cuando

No existe un proceso definido de administracin de cambio y los cambios se pueden realizar

virtualmente sin control. No hay conciencia de que el cambio puede causar una interrupcin para

TI y las operaciones del negocio y no hay conciencia de los beneficios de la buena administracin

de cambio.

1 Inicial / Ad Hoc cuando

Se reconoce que los cambios se deben administrar y controlar. Las prcticas varan y es muy

probable que se puedan dar cambios sin autorizacin. Hay documentacin de cambio pobre o no

existente y la documentacin de configuracin es incompleta y no confiable.

Es posible que ocurran errores junto con interrupciones al ambiente de produccin, provocados

por una pobre administracin de cambios.


14/28


Pgina 14

2 Repetible pero Intuitivo cuando

Existe un proceso de administracin de cambio informal y la mayora de los cambios siguen este

enfoque; sin embargo, el proceso no est estructurado, es rudimentario y propenso a errores. La

exactitud de la documentacin de la configuracin es inconsistente y de planeacin limitada y la

evaluacin de impacto se da previa al cambio.

3 Definido cuando

Existe un proceso formal definido para la administracin del cambio, que incluye la categorizacin,

asignacin de prioridades, procedimientos de emergencia, autorizacin del cambio y

administracin de liberacin, y va surgiendo el cumplimiento. Se dan soluciones temporales a los

problemas y los procesos a menudo se omiten o se hacen a un lado. An pueden ocurrir errores y

los cambios no autorizados ocurren ocasionalmente. El anlisis de impacto de los cambios de TI en

operaciones de negocio se est volviendo formal, para apoyar la implantacin planeada de nuevas

aplicaciones y tecnologas.

4 Administrado y Medible cuando

El proceso de administracin de cambio se desarrolla bien y es consistente para todos los cambios,

y la gerencia confa que hay excepciones mnimas. El proceso es eficiente y efectivo, pero se basa

en manuales de procedimientos y controles considerables para garantizar el logro de la calidad.

Todos los cambios estn sujetos a una planeacin minuciosa y a la evaluacin del impacto para

minimizar la probabilidad de tener problemas de post-produccin. Se da un proceso de

aprobacin para cambios. La documentacin de administracin de cambios es vigente y correcta,

con seguimiento formal a los cambios. La documentacin de configuracin es generalmente

exacta. La planeacin e implantacin de la administracin de cambios en TI se van integrando conlos cambios en los procesos de negocio, para asegurar que se resuelven los asuntos referentes al

entrenamiento, cambio organizacional y continuidad del negocio. Existe una coordinacin

creciente entre la administracin de cambio de TI y el rediseo del proceso de negocio. Hay un

proceso consistente para monitorear la calidad y el desempeo del proceso de administracin de

cambios.

5 Optimizado cuando

El proceso de administracin de cambios se revisa con regularidad y se actualiza para permanecer

en lnea con las buenas prcticas.

El proceso de revisin refleja los resultados del monitoreo. La informacin de la configuracin es

computarizada y proporciona un control de versin. El rastreo del cambio es sofisticado e incluye

herramientas para detectar software no autorizado y sin licencia. La administracin de cambio de

TI se integra con la administracin de cambio del negocio para garantizar que TI sea un factor que

hace posible el incremento de productividad y la creacin de nuevas oportunidades de negocio

para la organizacin.


15/28


Pgina 15

CONSTRUIR, ADQUIRIR E IMPLEMENTAR Gestionar los Cambios (COBIT5).BAI06 Gestionar los Cambios

DESCRIPCIN DEL PROCESO

Gestione todos los cambios de una forma controlada, incluyendo cambios estndar y de

mantenimiento de emergencia en relacin con los procesos de negocio, aplicaciones e

infraestructura. Esto incluye normas y procedimientos de cambio, anlisis de impacto, priorizacin

y autorizacin, cambios de emergencia, seguimiento, reporte, cierre y documentacin.

Declaracin del Propsito del Proceso

Posibilitar una entrega de los cambios rpida y fiable para el negocio, a la vez que se mitiga

cualquier riesgo que impacte negativamente en la estabilidad e integridad del entorno en que se

aplica el cambio.

El proceso apoya la consecucin de un conjunto de principales metas TI:

Meta TI Mtricas Relacionadas04 Riesgos de negocio relacionados con las TIgestionados

Porcentaje de procesos de negocio crticos,servicios TI y programas de negocio habilitadospor las TI cubiertos por evaluaciones de riesgos Nmero de incidentes significativos

relacionados con las TI que no fueronidentificados en la evaluacin de riesgos Porcentaje de evaluaciones de riesgo de la

empresa que incluyen los riesgos relacionadoscon TI Frecuencia de actualizacin del perfil de

riesgo07 Entrega de servicios de TI de acuerdo a losrequisitos del negocio

Nmero de interrupciones del negocio

debidas a incidentes en el servicio de TI Porcentaje de partes interesadas satisfechas

con el cumplimiento del servicio de TIentregado respecto a los niveles de servicio

acordados Porcentaje de usuarios satisfechos con la

calidad de los servicios de TI entregados10 Seguridad de la informacin, infraestructurade

procesamiento y aplicaciones

Nmero de incidentes de seguridad

causantes de prdidas financieras,interrupciones delnegocio o prdida de imagen pblica

Nmero de servicios de TI con los requisitos

de seguridad pendientes Tiempo para otorgar, modificar y eliminar los


16/28


Pgina 16

privilegios de acceso, comparado con losniveles de servicio acordados

Frecuencia de la evaluacin de seguridad

frente a los ltimos estndares y guas

Objetivos y Mtricas del Proceso:

Meta TI Mtricas Relacionadas1. Los cambios autorizados son realizados deacuerdo a sus cronogramas respectivos y conerrores mnimos.

Cantidad de trabajo rehecho debido a

cambios fallidos Reduccin en el tiempo y esfuerzo necesarios

para aplicar los cambios Nmero y antigedad de peticiones de

cambio en cartera2. Las evaluaciones de impacto revelan el

efecto de los cambios sobre todos loscomponentes afectados.

Porcentaje de cambios sin xito debidos a

evaluaciones de impacto inadecuadas

3. Todos los cambios de emergencia sonrevisados y autorizados una vez hecho elcambio.

Porcentaje sobre el total de cambios que

corresponde a cambios de emergencia Nmero de cambios de emergencia no

autorizados una vez hecho el cambio

4. Las principales partes interesadas estninformadas sobre todos los aspectos delcambio.

Ratios de satisfaccin de las partes

interesadas con las comunicaciones de loscambios


17/28


Pgina 17


18/28


Pgina 18

Lista de Verificacin (Construir, Adquirir e Implementar Gestionarlos Cambios).

Para el desarrollo de la siguiente seccin se ha considerado necesario relevar la conceptualizacinque los procesos tienen en cada una de las versiones de Cobit:


19/28


Pgina 19

COBIT 4.1 COBIT 5

ADQUIRIR E IMPLEMENTARAdministrar los Cambios

CONSTRUIR, ADQUIRIR EIMPLEMENTAR

Gestionar los CambiosAI6 Administrar Cambios BAI06 Gestionar los Cambios

Todos los cambios, incluyendo elmantenimiento de emergencia y parches,

relacionados con la infraestructura y lasaplicaciones dentro del ambiente de

produccin, deben administrarse formalmentey controladamente.

Los cambios (incluyendo procedimientos,procesos, sistema y parmetros del servicio) sedeben registrar, evaluar y autorizar previo a la

implantacin y revisar contra los resultadosplaneados despus de la implantacin.

Esto garantiza la reduccin de riesgos queimpactan negativamente la estabilidad ointegridad del ambiente de produccin.

Gestione todos los cambios de una formacontrolada, incluyendo cambios estndar y de

mantenimiento de emergencia en relacincon los procesos de negocio, aplicaciones e

infraestructura.Esto incluye normas y procedimientos de

cambio, anlisis de impacto, priorizacin yautorizacin, cambios de emergencia,

seguimiento, reporte, cierre y documentacin.

A continuacin se da a conocer la lista de verificacin para ambas versiones de Cobit y su

aplicabilidad:


20/28

LISTA DE VERIFICACIN COBIT 4.1 Y COBIT 5

Objetivos de control(COBIT 4.1)

Prcticas de gobierno yde administracin

(COBIT 5)LISTA DE VERIFICACIN APLICABILIDAD

AI6.1 Estndares yProcedimientos para

Cambios

BAI06.01 Evaluar, priorizary autorizar peticiones de

cambio

Existen procedimientos y formularios estndar para la solicitudde cambios? Cobit 4.1 & Cobit 5

Se han definido responsabilidades de la revisin, ajuste yaprobacin de solicitudes de cambio?

Cobit 4.1 & Cobit 5

Las peticiones de cambio son categorizadas, estas obedecen auna clasificacin y se conoce claramente el alcance de

afectacin e impacto del cambio?

Cobit 4.1 & Cobit 5

Bajo qu criterios se determina la prioridad de atencin de losrequerimientos de cambio? (Negocio, Cumplimiento,

Oportunidad, etc.)Cobit 4.1 & Cobit 5

AI6.2 Evaluacin deImpacto, Priorizacin y

Autorizacin

De qu manera se distinguen los cambios estndar de loscambios ocasionales?

Cobit 4.1 & Cobit 5

Se analiza el volumen de cambios existente, esfuerzo asociadoy cronogramas para su aplicacin?

Cobit 4.1 & Cobit 5

Como se involucra a los proveedores en los cambios queafectan servicios de terceros y ponen en riesgo los SLAs? Cobit 4.1 & Cobit 5

AI6.3 Cambios deEmergencia

BAI06.02 GestionarCambios de Emergencia

Qu poltica y procedimiento se emplea para declarar,evaluar, aprobar y autorizar cambios de emergencia?

Cobit 4.1 & Cobit 5

Se ha determinado personal responsable para la aplicacin decambios de emergencia?

Cobit 4.1 & Cobit 5

Qu procedimientos se han definido para la revisin yseguimiento post implementacin?

Cobit 5


21/28


Pgina 21

Cul es el nivel de control y material gua para laimplementacin de acciones correctivas ante un cambio

emergente con resultados no previstos?Cobit 4.1 & Cobit 5

AI6.4 Seguimiento yReporte del Estatus de

Cambio

BAI06.03 Hacerseguimiento e informar

cambios de estado

Cul es el procedimiento empleado para mantener un controladecuado del inventario de solicitudes de cambio, como se lo

ha clasificado?Cobit 5

De qu manera se notifica el resultado y rendimiento de loscambios emergentes?

Cobit 4.1 & Cobit 5

Cmo se mide la efectividad y oportunidad de los cambios deemergencia?

Cobit 4.1 & Cobit 5

Como se cotejan los informes de estado de cambios con larealidad? (Pistas de auditora e historial de cambios)

Cobit 5

Qu mtricas se llevan para conocer si la implementacin decambios emergentes es efectiva y oportuna?

Cobit 4.1 & Cobit 5

Existen herramientas que permitan conocer el estado de laspeticiones de cambio y muestren estadsticas al respecto?

Cobit 5

AI6.5 Cierre yDocumentacin delCambio

BAI06.04 Cerrar yDocumentar los cambios

Cules son los entregables de una peticin de cambioejecutada?

Cobit 4.1 & Cobit 5

Existen procedimientos que evidencien las consecuencias de laimplementacin de los cambios, orienten sobre su afectacin,establezcan actividades de contingencia y procedimientos de

ayuda?

Cobit 4.1 & Cobit 5

Se ha definido categoras de documentacin y tiempos deconservacin? Cobit 4.1 & Cobit 5

Qu niveles de revisin existen para la documentacingenerada y cul es el proceso de elaboracin y revisin de la

misma?

Cobit 4.1 & Cobit 5

Se cuenta con un manual de calidad o lineamientos sobre laestructura, contenido, formato y niveles de revisin y aprobacin

de la informacin generada?Cobit 4.1 & Cobit 5


22/28

Conclusiones.

Para el caso elegido no existen mayores diferencias en cuanto al enfoque, sin embargo demanera general se puede rescatar que Cobit 5 tiene una conceptualizacin ms sobria, clara yordenada respecto a lo que denomina Prcticas de gobierno y organizacin que en Cobit 4.1

son Objetivos de Control.

Con la salida de COBIT 5 se abre una nueva etapa para el gobierno y el management de TI, queimplicar que todos los involucrados, ms all del rol (CEO, CIO, CRO, CISO, CCO, Advisor,

Auditor, etc), evolucin estratgicamente sincronizados con este nuevo estndar.

Cobit 5 es la mayor evolucin estratgica de Cobit 4.1, el nico framework globalmenteaceptado para el IT Governance y brinda a los interesados la gua ms completa y actualizada

para un mejor gerenciamiento de IT.

El marco referencial de Cobit 4 y Cobit 5 consta de Objetivos de control de TI de alto nivel y deuna estructura general para su clasificacin y presentacin.

La aplicacin del marco de referencia COBIT permite al departamento de TI tener la visibilidada un nivel detallado la mayora de sus procesos que son repetitivos, intuitivos y crticos al

mismo tiempo evidencia el nivel de maduracin de procesos con la que se trabaja en TI. Con el

avance progresivo de sus lineamientos acenta el cumplimiento regulador, ayuda a

organizaciones a aumentar el valor logrado de TI, permite la alineacin y simplifica la puesta

en marcha de un cambio radical.

El esquema de objetivos de control categorizados en cuatro dominios para definir los procesosde COBIT es apropiado para integrar actividades similares que se ejecuten en equipos de TI, al

manejarse de manera aislada con definiciones, ejecuciones y evaluaciones diferentes la

aplicacin de COBIT es ineficiente. Debido que COBIT al ser independiente de herramientas

tecnolgicas trata de integrar dentro de un objetivo de control las actividades comunes a

travs de prcticas y polticas que permitan alinear actividades de cada equipo en una sola

definicin, ejecucin y evaluacin.

La inclusin de factores crticos de xito, objetivos de control de bajo nivel, indicadores clavesde desempeo y de resultados, y su seguimiento para cada proceso de TI son factores

importantes que aportan a crear prcticas de monitoreo de procesos que es un punto a

fortalecer en TI y tendr como resultado final alcanzar procesos administrados y medidos que

optimicen la calidad de los servicios ofrecidos por TI.

COBIT al tener como misin investigar, desarrollar, y promover cambios en procesos losgerentes, interventores, y usuarios se benefician del desarrollo de COBIT porque esto les

ayuda a entender sus sistemas TI y decidir el nivel de seguridad y control que es necesario

para proteger el activo de susempresas por el desarrollo de un modelo de gobernacin TI.
http://www.monografias.com/trabajos11/teosis/teosis.shtmlhttp://www.monografias.com/trabajos11/empre/empre.shtmlhttp://www.monografias.com/trabajos11/empre/empre.shtmlhttp://www.monografias.com/trabajos11/teosis/teosis.shtml


23/28


Pgina 23

Recomendaciones.

Aunque la versin 5 de Cobit es ms estructurada no basta con seguir nicamente estaspautas, siempre ser nutrido y conveniente el agregar criterios de otras guas como ISO/IEC e

ITIL.

Dentro de la validacin del proceso COBIT se encontr que algunos indicadores claves dedesempeo y de resultados planteados pueden ser representados de manera cualitativa; por

lo cual puede volver subjetiva la medicin de los procesos de TI. Esta situacin se debe a que

el marco de referencia COBIT trata de ser general y abarcar un amplio rango de

consideraciones tcnicas y de negocio en los procesos. Para la aplicacin del proceso COBIT se

recomienda considerar los indicadores claves que puedan ser calificados cuantitativamente.

La aplicacin de COBIT en una empresa con una organizacin y estructura limitada puedeproducir resultados no adecuados. Por lo que se recomienda que para una aplicacin de COBIT

en una organizacin se la incluya como parte de un plan estratgico de tecnologa y como

objetivo del negocio; de igual manera cuente con el apoyo e impulso total de la gerencia de TI,

para obtener mejor calidad en sus procesos.

Al detallar el proceso DS9, Administracin de la configuracin, y M1, Monitoreo del proceso;se encontr en la definicin del proceso segn COBIT se abarca actividades que se ejecutan

una sola vez relacionadas con estrategia, y actividades que son recurrentes y estn

relacionadas con la operacin. Esta limitacin de COBIT puede ocasionar confusin y

ambigedad al momento de definir y documentar un proceso. Se recomienda dividir en

subprocesos, las actividades de un mismo proceso cuya recurrencia y naturaleza puedan ser

distintas; y que se considere estas diferencias al momento de comunicar y monitorear el

rediseo del proceso. Este anlisis comparativo motivo de este documento permiti visualizar que algunos de los

procesos definidos por COBIT; como la administracin de la configuracin no consta varios

servicios, proyectos o implementaciones que ameriten la evaluacin de cada uno de estos

componentes; por el contrario es preferible aplicar solamente una evaluacin global tanto de

eficacia como de eficiencia para asegurar la medicin completa del proceso. Por esta razn se

recomienda identificar claramente este tipo de procesos en COBIT al momento de aplicar una

propuesta de mejora en la organizacin para obtener una fase de evaluacin alineada con la

naturaleza del negocio


24/28


Pgina 24

ANEXO 1. MAPEO COBIT 4.1 Y COBIT 5.

COBIT 4.1 COBIT 5Cobertura Primaria (P) y Secundaria (S)

PROCESO DESCRPCIN PRIMARIA SECUNDARIA

PO PLANEAR Y ORGANIZAR ALINEAR, PLANEAR Y ORGANIZARPO1 Definir un plan

estratgico de TIAPO02 EDM02/APO05

PO2 Definir la arquitecturade la informacin

APO03 APO01

PO3 Definir la direccintecnolgica

APO02/APO04 EDM01/APO03/APO01

PO4 Definir los procesosorganizacin yrelaciones de TI

APO01 APO07/ APO11/DSS06

PO5 Administrar la inversin

en TI

APO06 APO05

PO6 Comunicar las metas ydireccin de la gerencia

APO01 EDM03

PO7 Administrar los recursoshumanos de TI

APO07 APO01

PO8 Administrar la calidad APO11PO9 Evaluar y administrar los

riesgos de TIAPO12 EDM03/APO01

PO10 Administrar losproyectos

BAI01

AI ADQUIRIR E

IMPLEMENTAR

CONSTRUIR, ADQUIRIR E IMPLEMENTAR

AI01 Identificar las solucionesautomatizadas

BAI02

AI02 Adquirir y mantenersoftware aplicativo

BAI03

AI03 Adquirir y mantener lainfraestructuratecnolgica

BAI03 DSS02

AI04 Facilitar la operacin yel uso

BAI08 BAI05

AI05 Procurar recursos de TI APO10 BAI03

AI06 Administrar los cambios BAI06AI07 Instalar y acreditar lassoluciones y cambios

BAI07 BAI05

DS ENTREGAR SERVICIO ENTREGAR SERVICIO Y SOPORTAR

DS1 Definir y administrar losniveles de servicio

APO09

DS2 Administrar los serviciosde terceros

APO10


25/28


Pgina 25

DS3 Administrar eldesempeo y lacapacidad

BAI04

DS4 Asegurar el serviciocontinuo

DSS04

DS5 Garantizar la seguridadde los sistemas DSS05 APO13

DS6 Identificar y asignarcostos

APO06

DS7 Educar y entrenar a losusuarios

APO07

DS8 Administrar la mesa deservicios y los incidentes

DSS02

DS9 Administrar laconfiguracin

BAI10 DSS02

DS10 Administrar losproblemas

DSS03

DS11 Administrar los datos DSS04 DSS01/DSS05/DSS06

DS12 Administrar el ambientefsico

DSS01/DSS05

DS13 Administrar lasoperaciones

DSS01 DSS05/BAI09

ME MONITOREAR YEVALUAR

MONITOREAR Y EVALUAR

ME1 Monitorear y evaluar eldesempeo de TI

MEA01

ME2 Monitorear y evaluar elcontrol interno

MEA02

ME3 Garantizar elcumplimientoregulatorio

MEA03

ME4 Proporcionar gobiernode TI

EDM01/EDM02/EDM03/EDM04/MEA02


26/28


Pgina 26

ANEXO 2. VENTAJAS Y DESVENTAJAS COBIT 4.1 Y COBIT 5.


27/28


Pgina 27

Modelo de Madurez Cobit 4.1

Modelo de Madurez Cobit 5


28/28


Pgina 28

ANEXO 3. FUENTES DE CONSULTA.

2012. Cobit 5 comparativo con Cobit 4 - ISACA. Extrado de:http://francoitgrc.wordpress.com/2012/04/14/cobit-5-update-por-version-oficial-de-

isaca/

2009. Cobit 4Slideshare. Extrado de:http://www.slideshare.net/MarthaLechuga/cobit-4

2007. IT Governance Institute. Extrado de:http://cs.uns.edu.ar/~ece/auditoria/cobiT4.1spanish.pdf

2012. Presentacin SEGURINFO - ISACA.
http://francoitgrc.wordpress.com/2012/04/14/cobit-5-update-por-version-oficial-de-isaca/http://francoitgrc.wordpress.com/2012/04/14/cobit-5-update-por-version-oficial-de-isaca/http://francoitgrc.wordpress.com/2012/04/14/cobit-5-update-por-version-oficial-de-isaca/http://www.slideshare.net/MarthaLechuga/cobit-4http://www.slideshare.net/MarthaLechuga/cobit-4http://cs.uns.edu.ar/~ece/auditoria/cobiT4.1spanish.pdfhttp://cs.uns.edu.ar/~ece/auditoria/cobiT4.1spanish.pdfhttp://cs.uns.edu.ar/~ece/auditoria/cobiT4.1spanish.pdfhttp://www.slideshare.net/MarthaLechuga/cobit-4http://francoitgrc.wordpress.com/2012/04/14/cobit-5-update-por-version-oficial-de-isaca/http://francoitgrc.wordpress.com/2012/04/14/cobit-5-update-por-version-oficial-de-isaca/

Cobit 4.1 vs Cobit 5

Documents

Transcript of Cobit 4.1 vs Cobit 5