Академический Документы
Профессиональный Документы
Культура Документы
ISACA®
Con más de 110.000 asociados en 180 países, ISACA (www.isaca.org) ayuda a las empresas y los líderes de Tecnologías
de la Información a maximizar el valor y gestionar los riesgos relacionados con la Tecnología de Información. Fundada en
1969, ISACA, independiente y sin ánimo de lucro, es una asociación de profesionales relacionados con la seguridad de la
información, aseguramiento, gestión de riesgos y gobierno de TI. Estos profesionales se basan en ISACA como fuente fiable
para el conocimiento de TI, sus redes sociales, estándares profesionales y certificaciones. La asociación que cuenta
mundialmente con 200 Capítulos imparte y valida perfiles críticos de los negocios y conocimiento mediante los globalmente
reconocidos certificados Certified Información Systems Auditor® (CISA®), Certified Información Security Manager®
(CISM®), Certified in the Governance of Enterprise IT® (CGEIT®) and Certified in Risk and Información Systems
ControlTM (CRISCTM). ISACA también desarrolló y actualiza continuamente el Marco de negocio COBIT®, el cual ayuda a
las empresas, con independencia del sector y de ubicación geográfica, a gobernar y administrar su información y
tecnología.
Exclusión de responsabilidad
ISACA ha diseñado y creado COBIT® 5: Información Catalizadora (el ‘Trabajo’) principalmente como recurso educativo
para profesionales del gobierno de IT en empresas (governance of enterprise IT (GEIT)), aseguramiento, riesgo y
seguridad. ISACA no afirma que el uso de cualquier parte del ‘Trabajo’ asegure un resultado exitoso. No debe considerarse
que el ‘Trabajo’ englobe toda la información, procedimientos y pruebas adecuadas, ni que excluya otro tipo de
información, procedimiento y pruebas que puedan ser razonablemente dirigidas para obtener los mismos resultados. Al
determinar la conveniencia de cualquier información específica, procedimiento o prueba, los lectores deberían aplicar su
propio juício profesional en relación al gobierno de IT en empresas (governance of enterprise IT (GEIT)) específico,
aseguramiento, circunstancias de riesgo y seguridad presentadas por particulares sistemas o por el entorno de tecnologías
de información.
ISACA
3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 USA
Teléfono: +1.847.253.1545
Fax: +1.847.253.1443
Email: info@isaca.org
Sitio WEB: www.isaca.org
Comentarios: www.isaca.org/cobit
Participar en el ISACA Knowledge Center: www.isaca.org/knowledge-center
Sigue a ISACA en Twitter: https://twitter.com/ISACANews
Únete a ISACA en LinkedIn: ISACA (Official), http://linkd.in/ISACAOfficial
Me gusta ISACA en Facebook: www.facebook.com/ISACAHQ
ISACA®
With more than 110,000 constituents in 180 countries, ISACA (www.isaca.org) helps business and IT leaders maximize
value and manage risk related to information and technology. Founded in 1969, the non-profit, independent ISACA is an
advocate for professionals involved in information security, assurance, risk management and governance. These
professionals rely on ISACA as the trusted source for information and technology knowledge, community, standards and
certification. The association, which has 200 chapters worldwide, advances and validates business-critical skills and
knowledge through the globally respected Certified Information Systems Auditor® (CISA®), Certified Information Security
Manager® (CISM®), Certified in the Governance of Enterprise IT® (CGEIT®) and Certified in Risk and Information
Systems ControlTM (CRISCTM) credentials. ISACA also developed and continually updates COBIT® a business framework
that helps enterprises in all industries and geographies govern and manage their information and technology.
Disclaimer
ISACA has designed and created COBIT® 5: Enabling Information (the ‘Work’) primarily as an educational resource for
governance of enterprise IT (GEIT), assurance, risk and security professionals. ISACA makes no claim that use of any
of the Work will assure a successful outcome. The Work should not be considered inclusive of all proper information,
procedures and tests or exclusive of other information, procedures and tests that are reasonably directed to obtaining the
same results. In determining the propriety of any specific information, procedure or test, readers should apply their own
professional judgment to the specific governance of enterprise IT (GEIT), assurance, risk and security circumstances
presented by the particular systems or information technology environment.
Copyright
© 2013 ISACA. All rights reserved. For usage guidelines, see www.isaca.org/COBITuse.
ISACA
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 USA
Phone: +1.847.253.1545
Fax: +1.847.253.1443
Email: info@isaca.org
Web site: www.isaca.org
AGRADECIMIENTOS
ISACA quiere reconocer la labor de:
Equipo de Desarrollo
Stefanie Grijp, PwC, Bélgica
Bart Peeters, CISA, PwC, Bélgica
Dirk Steuperaert, CISA, CGEIT, CRISC, IT In Balance BVBA, Bélgica
Participantes de Talleres
Floris Ampe, CISA, CGEIT, CRISC, CIA, ISO 27001, PwC, Bélgica
Sushil Chatterji, CGEIT, Edutech Enterprises, Singapur Peter De Bruyne, CISA, CGEIT, ITIL, ING, Bélgica
Peter De Bruyne, CISA, CGEIT, ITIL, ING, Bélgica
Yalcin Gerek, CISA, CGEIT, CRISC, ITIL Expert, PRINCE2, TAC A.S., Turquía Jurgen Van De Sompel, CGEIT, Bélgica
Jurgen Van De Sompel, CGEIT, Bélgica
Tichaona Zororo, CISA, CISM, CGEIT, CRISC, CIA, CRMA, EGIT | Enterprise Governance of IT (Pty) Ltd., Sudáfrica
Revisores Expertos
Steven A. Babb, CGEIT, CRISC, Betfair, Reino Unido
Goutama Bachtiar, BCIP, BCP, HPCP, Global Innovations and Technology Platform, Indonesia
Sushil Chatterji, CGEIT, Edutech Enterprises, Singapur Peter De Bruyne, CISA, CGEIT, ITIL, ING, Bélgica
Joanne De Vito De Palma, BCMM, The Ardent Group, Estados Unidos de América
Jimmy Heschl, CISA, CISM, CGEIT, ITIL Expert, bwin.party digital entertainment plc, Austria
Ivo Horner, Australia
John Jasinski, CISA, CGEIT, ISO20K, ITIL Expert, SSBB, ITSMBP, Estados Unidos de América
Masatoshi Kajimoto, CISA, CRISC, Japón
Joanna Karczewska, CISA, Polonia
John W. Lainhart IV, CISA, CISM, CGEIT, CRISC, IBM Global Business Services, Estados Unidos de América
Anthony P. Noble, CISA, Viacom, Estados Unidos de América
Jamie Pasfield, CGEIT, ITIL V3, MSP, PRINCE2, Pfizer, Reino Unido
Patricia Prandini, CISA, CRISC, Direccion De Aplicaciones, Argentina
Salomon Rico, CISA, CISM, CGEIT, Deloitte Mexico, Méjico
Paras Kesharichand Shah, CISA, CGEIT, CRISC, CA, Australia
Mark Smalley, Smalley.IT, Holanda
Jurgen Van De Sompel, CGEIT, Bélgica
Greet Volders, CGEIT, Voquals, Bélgica
Tichaona Zororo, CISA, CISM, CGEIT, CRISC, CIA, CRMA, EGIT | Enterprise Governance of IT (Pty) Ltd., Sudáfrica
AGRADECIMIENTOS (CONT.)
Junta de Expertos
Christos K. Dimitriadis, Ph.D., CISA, CISM, CRISC, INTRALOT S.A., Grecia, Presidente
Rosemary M. Amato, CISA, CMA, CPA, Deloitte Touche Tohmatsu Ltd., Holanda
Steven A. Babb, CGEIT, CRISC, Betfair, Reino Unido
Thomas E. Borton, CISA, CISM, CRISC, CISSP, Cost Plus, Estados Unidos de América
Philip J. Lageschulte, CGEIT, CPA, KPMG LLP, Estados Unidos de América
Anthony P. Noble, CISA, Viacom, Estados Unidos de América
Jamie Pasfield, CGEIT, ITIL V3, MSP, PRINCE2, Pfizer, Reino Unido
TABLA DE CONTENIDOS
Lista de Figuras ............................................................................................................................................................................ 8
Capítulo 1. Introducción............................................................................................................................................................ 11
1.1 COBIT 5: Información Catalizadora en la familia de productos COBIT 5 .........................................................................11
1.2 Beneficios de COBIT 5: Información Catalizadora ....................................................................................................... 11
1.3 Público objetivo de esta publicación................................................................................................................................... 12
1.4 Conocimiento requerido previamente .............................................................................................................................. 13
1.5 Visión general y alcance ................................................................................................................................................... 13
Apéndice B. Ejemplo de Elementos de Información que dan soporte a los objetivos de las áreas funcionales ............ 89
Apéndice C. Ejemplo de Elementos de Información que dan soporte a los objetivos relacionados con TI..................... 93
LISTA DE FIGURAS
Figura 1— Familia de productos COBIT 5 ...................................................................................................................................... 11
Figura 2— Público objetivo y beneficios de COBIT 5: Información Catalizadora ................................................................. 12
Figura 3—COBIT 5: Información Catalizadora y Preguntas formuladas frecuentemente (FAQ).......................................... 15
Figura 4—Principios de COBIT 5 .............................................................................................................................................. 17
Figura 5—El objetivo de gobierno: creación de valor............................................................................................................... 19
Figura 6—Cascada de objetivos de COBIT 5 para la empresa ................................................................................................. 20
Figura 7—Objetivos generales de empresa (Marco de referencia COBIT 5) .............................................................................21
Figura 8—Flujos clave de información en una empresa ............................................................................................................ 22
Figura 9—Ejemplos de Elementos de Información en ñps Flujos de Información que soportan los Objetivos de la Cadena de
Valor de la Empresa..................................................................................................................................................................... 23
Figura 10—Objetivos genéricos relacionados con TI ............................................................................................................... 23
Figura 11—Elementos de Información que soportan los objetivos relacionados con las TI .................................................. 25
Figura 12—COBIT 5 Catalizadores ........................................................................................................................................... 26
Figura 13—Catalizadores genéricos de COBIT 5 ..................................................................................................................... 26
Figura 14—Uso práctico del Modelo de Información ............................................................................................................... 31
Figura 15—El Modelo de Información de COBIT 5 ................................................................................................................. 32
Figura 16—Partes interesadas en la información de los datos de clientes ................................................................................ 33
Figura 17—Partes interesadas en la información de Estrategia de TI ...................................................................................... 33
Figura 18—Partes interesadas en la información de los Documentos de Especificaciones de Software de Cadena de
Suministro .................................................................................................................................................................................... 34
Figura 19—Partes interesadas en la información de Registros Médicos de Pacientes ............................................................ 34
Figura 20—Objetivos de Información/Criterios de Calidad ..................................................................................................... 35
Figura 21—Análisis y Ejemplos de los Objetivos de Información/Criterios de Calidad ........................................................ 36
Figura 22—Criterios de Calidad de Información aplicados a la Seguridad ............................................................................. 37
Figura 23—Ciclo de vida de la Información .............................................................................................................................. 37
Figura 24—Flujos de Información clave en una empresa.......................................................................................................... 38
Figura 25—Ejemplo del ciclo de vida de Información para la Información de Proveedores ................................................... 39
Figura 26—Ejemplo del ciclo de vida de Información para los requisitos de retención .......................................................... 39
Figura 27—Ejemplo del ciclo de vida de Información para los datos de gestión de cambios en TI........................................ 40
Figura 28—Atributos de Información ........................................................................................................................................ 42
Figura 29—Atributos de Información de buenas prácticas para datos de clientes ................................................................... 43
Figura 30—Construyendo las especificaciones del Sistema de Información ........................................................................... 44
Figura 31—Definición de los requisitos de protección de la Información .............................................................................. 44
Figura 32—Determinar la facilidad de uso de los datos ............................................................................................................ 44
Figura 33—Prácticas de modelado de control de aplicaciones ................................................................................................. 45
Figura 34—Desarrollo de un sistema de control interno ............................................................................................................ 45
Figura 35—Elementos de Información de perfiles de riesgo .................................................................................................. 46
Figura 36—Formato de discusión para cuestiones de Gobierno y Gestión de la Información ............................................... 51
Figura 37—Objetivos de calidad de la Información del lado de la demanda de Información ................................................. 53
Figura 38—Objetivos en cascada ilustrativos para el lado de la demanda de Información ...................................................... 54
Figura 39—Conjunto ilustrativo de catalizadores para el lado de la demanda de Información ................................................ 54
Figura 40—Relación de objetivos de calidad de la Información ilustrativos para el conocimiento de marketing situacional 56
Figura 41—Cascada ilustrativa de objetivos para el conocimiento de marketing situacional ..................................................... 57
Figura 42—Conjunto ilustrativo de catalizadores para el conocimiento de marketing situacional............................................. 58
Figura 43—Cascada de objetivos de calidad ilustrativa para la detección del fraude ............................................................... 59
Figura 44—Cascada de objetivos ilustrativa para la detección del fraude................................................................................. 59
CAPÍTULO 1
INTRODUCCIÓN
1.1 COBIT 5: Información Catalizadora en la familia de productos COBIT 5
COBIT 5 es un marco integral para ayudar a las empresas a alcanzar sus objetivos en el gobierno y la gestión del tecnología
de información (TI) empresarial. COBIT 5: Información Catalizadora soporta y enriquece la familia de productos del
marco COBIT 5 (figura 1) enfocando en el catalizador de información. Esta guía cubre los atributos del modelo de
información y el ciclo de la vida introducidos en el marco COBIT 5. COBIT 5: Información Catalizadora es una guía de
referencia para pensar en forma estructurada sobre la información y los aspectos típicos de gobierno y gestión de la
información.
El marco COBIT 5 está construido sobre cinco principios básicos, que quedan cubiertos en detalle e incluyen una guía
exhaustiva sobre los catalizadores para el gobierno y la gestión de TI en la empresa.
Esta guía proporciona los tres beneficios clave siguientes a los profesionales de la información:
• Un modelo integral de información, basado en el modelo genérico catalizador de COBIT 5, que integra todos los
aspectos de la información, por ejemplo las partes interesadas (stakeholders), metas (calidad), etapas del ciclo de vida y
buenas prácticas (atributos de la información). El modelo permite a los profesionales considerar y desarrollar, en forma
efectiva, modelos de información relevantes y utilizables, desde un punto de vista del gobierno y de la gestión.
• Una guía para el uso del marco establecido para el gobierno y la gestión (COBIT 5) para abordar las cuestiones de
gobierno y gestión de la información comunes, por ejemplo, “big data”, gestión de los datos maestros, la eliminación
de intermediarios y la privacidad de la información, y para tratar estos asuntos con los principios y conceptos,
especialmente los catalizadores, de COBIT 5.
• La comprensión de los motivos que precisa la información para ser gestionada y gobernada en modo apropiado y sobre
la criticidad de la información contenida en un contexto dado.
Esta guía asiste a las empresas en las cuestiones y desafíos de información, tales como:
• Conjuntos de datos dispares y no coordinados que implican costes y riesgos crecientes por el incumplimiento de plazos en
proyectos, la falta de transparencia y los fallos operacionales.
• La gestión de registros: los equipos de legales y de TI necesitan una base de referencia común para coordinar las
actividades debido a los costes y preocupación crecientes que la retención y las pruebas legales representan para los
gestores, y a que la clasificación de seguridad se solapa con la clasificación de registros.
• El número de elementos de datos con múltiples dimensiones de conformidad es creciente. Cómo puede una empresa
mantener prácticas apropiadas para cumplir con la legislación global y local de aplicación, así como con los requisitos
reglamentarios y de cumplimiento como:
− PCI: Normativa del sector de tarjetas de pago (Payment Card Industry, PCI)
− HIPAA: Ley de Portabilidad y Responsabilidad de Seguros Médicos (Health Insurance Portability and Accountability Act,
HIPAA)
− HITECH: Ley de Tecnología de Información de salud para Salud económica y clínica (Health Información Technology for
Economic and Clinical Health, HITECH Act)
− GLB: Ley de Gramm-Leach-Bliley (GLB) Act
− Directiva Europea (EU) sobre la Protección de Datos.
Específicamente, ¿cómo se ponen en marcha las prácticas en términos de gestión de datos e información? Las empresas
experimentan crecientes dificultades en mantener el control de sus datos para cumplir con los requerimientos legales y
reguladores. ¿Qué tiene que hacerse para tratar esta cuestión?
• Cada vez más, la información se reconoce como un activo o un recurso que provee beneficios a la empresa cuando la
empresa cumple con los objetivos de calidad necesarios. En todo caso, siempre es un reto identificar, definir y priorizar
estos objetivos frente a los costes de calidad.
La intención de esta guía es proporcionar a los lectores un mejor entendimiento de las cuestiones del gobierno y de la
gestión de información, así como mejorar su capacidad para generar beneficio y gestionar los riesgos relacionados con la
información. Esta guía apoya a los lectores en sus esfuerzos en emplear un pensamiento centrado en la información en sus
empresas.
Finalmente, los lectores pueden encontrar más información sobre la gestión de riesgos de la información, la seguridad de la
información y el aseguramiento de la información en las correspondientes guías profesionales de COBIT 5: COBIT 5 para
Riesgos, COBIT 5 para Seguridad de la Información y COBIT 5 para Aseguramiento.
Para proporcionar un enfoque estructurado a la información en esta guía, COBIT 5: Información Catalizadora está dividida
en cuatro capítulos y tres apéndices. A continuación se describe brevemente cada sección y cómo las secciones se
relacionan entre sí:
• Capítulo 1—Introducción
• Capítulo 2—Aplica los principios COBIT 5 a la información. Este capítulo:
− Demuestra la relación entre información y objetivos de la empresa utilizando los objetivos en cascada de COBIT 5.
− Diferencia los tipos de información, distinguiendo entre la información de negocio y la información relacionada con TI,
ilustrando ambas.
− Diferencia el gobierno de la información de su gestión.
− Muestra cómo la información encaja en la visión holística global de una empresa y sus partes constitutivas e introduce
el concepto de los catalizadores COBIT 5.
• Capítulo 3—Profundiza en el modelo de información que presenta el marco COBIT 5, y presenta múltiples ejemplos
sobre cómo aplicar el modelo a todos aspectos del gobierno y de la gestión de información.
• Capítulo 4—Profundiza en un número de los aspectos típicos de gobierno y gestión de información con los que se
encuentran las empresas, explica las cuestiones y su relevancia en el contexto de la empresa, y propone cómo COBIT 5 y
sus catalizadores pueden ayudar en su tratamiento.
• Apéndice A—Referencia otras guías relevantes.
• Apéndice B—Lista completa de elementos de información que están relacionados con todos los procesos de negocio.
• Apéndice C—Lista completa de elementos de información relacionados con TI, sus criterios clave y métricas
relacionadas.
COBIT 5: Información Catalizada pone su foco en el gobierno y la gestión de información a alto nivel y no tiene la
intención de:
• Asistir a las organizaciones mediante unas guías técnicas u operacionales sobre cómo crear un conjunto completo de datos,
elementos de información y artefactos o bases de datos, o sobre cómo operar los sistemas de almacenamiento. Estos
elementos dependen de políticas específicas de la empresa, de estándares de información y de especificaciones de
software.
• Ser completa en cualquier área específica de negocio, por ejemplo en modelos de datos específicos en un sector que
faciliten el intercambio de datos o de información.
Nota: Aunque el pensamiento estructurado puede llevar al desarrollo de buenas prácticas relativas a la información, los
procesos no son el foco de esta guía. Los procesos se encuentran documentados en COBIT 5: Procesos catalizadores.
CAPÍTULO 2
PRINCIPIOS DE COBIT 5 APLICADOS A LA INFORMACIÓN
Este capítulo explica cómo los principios de COBIT 5 se aplican a la información e incluye:
• Los objetivos en cascada de COBIT 5, para explicar la creación de valores y cómo se relaciona con la información y los
demás catalizadores
• Información, un catalizador para la empresa en su conjunto a lo largo de toda la cadena de calor, ilustrada con detalles de
información para los procesos de negocio y la función de TI.
• Aclaraciones sobre los conceptos de gobierno de la información y gestión de la información.
Principio 1: Satisfacer las necesidades de las partes interesadas —La empresa existe para crear valores para sus partes
interesadas manteniendo un equilibrio entre la obtención de beneficios, la optimización del riesgo y el uso de recursos.
COBIT 5 proporciona todos los procesos necesarios y otros catalizadores para apoyar la creación de valor empresarial
mediante el uso de las TI. Dado que cada empresa tiene objetivos diferentes, una empresa puede personalizar COBIT 5
para ajustarse a su propio contexto mediante los objetivos en cascada1, trasladando los objetivos de alto nivel de una
empresa a objetivos relacionados con las TI gestionables y específicos, y el mapeo de éstos a objetivos específicos de los
catalizadores.
trata la información y las tecnologías relacionadas como activos que deben ser tratados como cualquier otro activo por
todos en la empresa.
• Considera que los catalizadores relacionados con TI para el gobierno y la gestión deben ser a nivel de toda la empresa y de
principio a fin, es decir, incluyendo a todos los elementos y personas –internos y externos– que sean relevantes para el
gobierno y la gestión de la información de la empresa y de las TI relacionadas
COBIT 5: Catalizador de Información proporciona un modelo sencillo de estructurar la información aplicable a todos los
tipos de información utilizados por la empresa, incluyendo información usada para funciones de negocio, información
interna para la función de TI e información externa.
Principio 3: Aplicar un Marco de Referencia único e integrado—Hay muchos estándares y buenas prácticas
relacionados con las TI, proporcionando cada uno soporte a un subconjunto de actividades de las TI. COBIT 5 se alinea , a
alto nivel, con otras normas y marcos relevantes, por lo que se puede usar como marco general único para el gobierno y la gestión
de las TI de la empresa.
COBIT 5: Catalizador de Información se alinea con el marco y el modelo de información incluido en COBIT 5. Es un
marco único que no sólo proporciona gobierno y gestión de la información efectivos, sino que además proporciona un
modelo de información único, aplicable a todos los tipos de información usados dentro de la empresa.
Principio 4: Posibilitar un enfoque holístico—El gobierno y la gestión eficiente y eficaz de las TI en entornos
empresariales (y en otros) requieren un enfoque holístico, teniendo en cuenta los distintos componentes que interactúan
entre sí. COBIT 5 define siete categorías de catalizadores que soportan la implementación de un completo sistema de
gobierno y gestión para las TI de la empresa. Los catalizadores se definen generalmente como cualquier cosa que ayude a
alcanzar los objetivos de la empresa:
• Principios, política y marcos de trabajo
• Procesos
• Estructuras organizativas
• Cultura, ética y conducta
• Información
• Servicios, infraestructura y aplicaciones
• Personas, habilidades y competencias
COBIT 5: Catalizador de Información se centra en la información. En esta guía, el catalizador de información se estudia e
ilustra más detalladamente que en la publicación COBIT 5: marco de referencia. Todos los otros catalizadores apoyan
también el catalizador de información.
Principio 5: Separar el Gobierno de la Gestión—El marco de COBIT 5 hace una clara distinción entre gobierno y
gestión, p. ej., abarcan diferentes tipos de actividades, requieren diferentes estructuras de organización y sirven a propósitos
diferentes.
Las empresas tiene muchas partes interesadas, y “crear valor” puede significar cosas diferentes (y a veces
contradictorias) para cada una de las partes. El gobierno en la empresa trata de negociar y decidir sobre los
diferentes intereses de valores de las partes interesadas. En consecuencia, el sistema de gobierno debe tener en
consideración a todas las partes interesadas cuando toma decisiones sobre crear beneficios, riesgos y recursos. Para
cada decisión, se deben preguntar las siguientes cuestiones:
Las necesidades de las partes interesadas deben ser transformadas en acciones concretas dentro de la estrategia de
empresa. Los objetivos en cascada de COBIT 5 son el mecanismo para traducir las necesidades de las partes
interesadas en objetivos específicos, viables y a medida para la empresa, para las TI, y para los catalizadores. Esta
adaptación permite a la empresa preparar objetivos específicos a cualquier nivel y en cada área, como apoyo a los
objetivos generales y a los requerimientos de las partes interesadas.
La Figura 6 muestra una extensión de los objetivos en cascada genéricos de COBIT 5. Los tres pasos en la cascada
de objetivos se explican en los siguientes párrafos.
Las necesidades de los inversores pueden estar relacionadas con un conjunto de objetivos de empresa genéricos.
Estos objetivos de empresa han sido desarrollados usando las dimensiones del cuadro de mando equilibrado (BSC)2,
y representan una lista de objetivos, normalmente usados, que una empresa puede definir para ella misma. Aunque
esta lista no es exhaustiva, la mayoría de los objetivos específicos de una empresa pueden asignarse fácilmente a uno
o más de los objetivos genéricos de empresa.
COBIT 5 define 17 objetivos genéricos, como se muestra en la figura 7, la cual incluye la siguiente información:
• Dimensiones BSC bajo las cuales se ajustan los objetivos de la empresa
• Objetivos de la empresa
• Relación con los tres principales objetivos de gobierno: obtención de beneficios, optimización del riesgo y
optimización de recursos. (“P” significa una relación primaria y “S” una relación secundaria, p.ej., una relación menos
fuerte.)
2
Kaplan, Robert S.;David P. Norton; The Balanced scorecard: Translating strategy into action, Harvard University Press, USA, 1996
Las empresas deben definir sus propios objetivos específicos de empresa basados en las necesidades de sus partes
interesadas.
En los objetivos en cascada, todos los catalizadores (en este caso, Información) deben servir a uno o más objetivos de la
empresa y contribuir así a la provisión de valor en general a la empresa. El Capítulo 3, más adelante, explica
detalladamente los catalizadores.
• La función de TI, mientras da soporte a otras funciones de negocio también requiere de sus propios catalizadores, los
cuales incluyen información. Estos elementos de información3 son de diferente naturaleza comparada con la
información de negocio, es decir, son elementos de información específicamente tecnológica, pero que debe ser
considerada. Ejemplos de esto incluyen los registros de activos, registros de cambios y tickets de incidencias.
Cada proceso, dentro de la cadena de valor, está soportado por las mismas categorías de catalizadores, incluyendo al
catalizador de Información. En el caso de los procesos no tecnológicos, los elementos de información deben estar
basados en los dominios tradicionales del “negocio”, como son las ventas, la logística y el márqueting. Tengamos en
cuenta que todas esta áreas tienen su propia terminología técnica especializada, no entendible por los perfiles
generalistas en sus detalles. Estos elementos de información de negocio suele ser gestionados y soportados por TI, esto
es, por catalizadores COBIT 5 relativos a las TI, como se ha expuesto en puntos anteriores.
La figura 6 ilustra que los conceptos clave de COBIT 5 —objetivos en cascada y catalizadores— no solamente se
aplican a temas relacionados con los procesos tecnológicos y sus objetivos, si no que son aplicables a cualquier otro
proceso de negocio y sus objetivos relacionados. Además, el modelo de información de COBIT 5 puede servir a
cualquier tipo de información generada, procesada, comunicada, etc., por la empresa.
La información no es sólo un recurso para las funciones de negocio, sino que a menudo es una parte del
producto/servicio primario que la empresa produce, esto es, el resultado de un proceso de negocio.
2.1.2.1 Elementos de información específicos (de noegocio) que soportan los objetivos de función del negocio
El término ‘información’ da cabida a un amplio y variado espectro. Una forma de comprender este amplio espectro es
observar el uso clave y principal de un elemento de información en relación con toda la empresa.
La figura 8 muestra el propósito de la comunicación de la información entre las áreas claves de responsabilidad en la
empresa. Este flujo de información puede ser aplicado a cualquier área funcional de la empresa, o sea, a cualquier
proceso de negocio incluyendo el área de TI.
La figura también muestra los tipos de elementos de información fluyendo entre los diferentes niveles de la empresa,
por ejemplo, el órgano de gobierno requiere elementos de información adecuados para dar soporte a los esfuerzos para
establecer la dirección de la gestión.
La Figura 9 muestra ejemplos de elementos de información de negocio que dan soporte a los logros de los objetivos de
las funciones expandidas de Recursos humanos y Compras de la cadena de valor (mostradas en la figura 6) e identifica
si los elementos de información conciernen al órgano de gobierno, gestión, o bien a los niveles de operación y
realización o ejecución. La información se puede referir a cualquier flujo de comunicación representado dentro de la
figura 8, o sea, a información operativa generada/usada durante la operación y la ejecución. (Los elementos de
información que dan soporte a los logros de los objetivos de las funciones tecnológicas son tratadas en la sección 2.1.2.2
y mostradas en la figura 11).
Nota: El Apéndice B contiene una tabla exhaustiva de los elementos de información de negocio que dan soporte a la
consecución de los objetivos de todas las funciones de la cadena de valor mostradas en la figura 6 e identifica, los
niveles de la empresa entre los que los diferentes elementos de información fluyen durante la comunicación.
3
Un elemento de información es cualquier activo individual de información corporativa, o de gobierno y facilitador de gestión que tenga un set específico
definido de atributos. Las entradas y salidas de COBIT 5, como productos de trabajo de proceso o artefactos, pueden ser considerado elementos de información
cuando son vistos a través de los atributos de un catalizador de información. Otros ejemplos de elementos de información pueden verse en los apéndices B y C.
Consultar el apéndice H del marco de trabajo de COBIT 5 para una completa comprensión del glosario de COBIT 5.
Figura 9—Ejemplos de Elementos de información en los Flujos de información que soportan los Objetivos de la
Cadena de Valor de la Empresa
Elementos clave (negocio) de Información requeridos para dar soporte a la Consecución de los Objetivos
Corporativos
2.1.2.2 Elementos de Información, relacionados con las TI, que soportan los Objetivos de las Funciones de TI
La figura 6 nos muestra que la función de TI de la empresa es, también, soportada por los siete catalizadores, incluyendo
la Información.
El logro de los objetivos de negocio requiere de una serie de resultados relacionados con las TI, que están representados
por los objetivos relacionados con estas TI. (La locución “Relacionados con las TI” comprende la información y la
tecnología relacionada). Los objetivos relacionados con las TI se estructuran en función de las dimensiones del Cuadro
de Mando Integral de TI (IT BSC / CMI de TI). Los elementos de información que se requieren para apoyar el logro de
los objetivos relacionados con las TI están relacionados -a menudo internamente- con la función de TI. En el marco de
COBIT 5 se define un conjunto completo que comprende los 17 objetivos genéricos de alto nivel relacionados con TI,
estos objetivos se enumeran en la figura 10. Las empresas deben definir sus propios objetivos específicos basándose en
las necesidades de sus grupos de interés.
El modelo de habilitación por COBIT 5 se basa en siete catalizadores interconectados e interrelacionados (véase el punto
2.1.4 Posibilitar un enfoque holístico). Por lo tanto, el catalizador de Información no se sostiene por sí solo, sino que está
vinculado a los otros catalizadores, como en los siguientes ejemplos:
• Los procesos requieren información como insumos para procesar, y entregar información como salidas.
• Los servicios, infraestructuras y aplicaciones proporcionan los medios por los cuales se procesa la información.
• Las personas tratan la información de manera constante, en los procesos de negocio y en los procesos de TI.
Las descripciones de procesos de COBIT 5 - publicación COBIT 5: Procesos Catalizadores- muestran las entradas y
salidas asociadas en la práctica a cada proceso. Estas entradas y salidas forman un conjunto de elementos de
información necesarios para apoyar los objetivos relacionados con las TI.
La figura 11 muestra ejemplos de cómo cada objetivo relacionado con las TI puede ser soportado y/o favorecido por
elementos de información específicos (relacionados con las TI). La tabla contiene elementos de información de
ejemplo que favorecen o soportan los objetivos genéricos relacionados con las TI del marco COBIT 5 y:
• Criterios de calidad ilustrativos (explicados en el capítulo 3) para el elemento de información
• Métricas potenciales que pueden ser utilizadas para evaluar la calidad de la información
El Apéndice C contiene una tabla completa de los objetivos relacionados con las TI y los elementos de información
clave que favorecen el logro de esos objetivos. La Figura 11 ilustra un extracto de la tabla del apéndice C.
Nota: Los elementos Clave de Información que se requieren para lograr el objetivo relacionado con las TI, incluso
cuando se cumplan todos los criterios de calidad, no son suficientes. Conseguir el objetivo depende también del resto
de catalizadores relacionados.
La tabla no está completa y tiene como objetivo ilustrar el proceso mental que puede ser aplicado para usar la cascada
de objetivos para el catalizador de Información.
Figura 11—Elementos de Información que soportan los Objetivos relacionados con las TI
Elementos clave de
información que favorecen
Objetivos genéricos el logro del objetivo Criterios ilustrativos de
relacionados con las TI relacionado con las TI Calidad Métricas relacionadas
ITG01 Alineación de las TI Plan estratégico de TI • Actualidad Tiempo transcurrido desde la última actualización del plan
con la estrategia de estratégico de TI
negocio Estrategia de la • Integridad Porcentaje de Objetivos relacionados con las TI que se
empresa traducen en posibles programas (road map) de inversión en TI
Tipos y criterios de inversión • Reputación, Comparación de la composición del portfolio de inversiones
• Credibilidad contra otros del sector (informes de análisis de la industria
• Relevancia correspondiente)
Informes de rendimiento • Precisión Facilidad de lectura y comprensión por las partes interesadas
• Actualidad
• Representación concisa
• Relevancia Satisfacción de los interesados con el alcance del portfolio de
• Integridad programas y servicios
ITG02 Cumplimiento de TI • Registro de requisitos • Precisión Costo del incumplimiento por parte TI, incluyendo acuerdos,
con las normas de cumplimiento • Integridad penalizaciones e impactos de la pérdida de reputación
internas y soporte relacionados con las • Actualidad
para el cumplimiento TI • Precisión Número de asuntos de incumplimiento relacionados con TI
del negocio respecto • Informes de • Integridad
al marco legal y aseguramiento del reportados al Comité de Dirección o que hayan causado
• Actualidad publicidad negativa en medios de comunicación
regulatorio externo cumplimiento • Representación concisa
• Interpretabilidad
• Precisión Número de problemas de incumplimiento en relación con los
• Integridad acuerdos contractuales con proveedores de servicios de TI
• Actualidad
• Representación concisa
• Interpretabilidad
• Precisión Cobertura y alcance de las evaluaciones de cumplimiento
• Integridad
• Actualidad
Extracto del apéndice C, figura 72
Nota: Consulte el apéndice C para una tabla completa de los elementos de información típicos que favorecen la
consecución de los 17 objetivos relacionados con las TI de la cascada de objetivos COBIT 5
Otro marco importante en el área de gestión de la información es el Cuerpo de Gestión de Datos del Conocimiento
(DMBOK), patrocinado por la Asociación de Gestión Internacional de Datos (DAMA), la organización profesional
principal que se especializa en el área de la gestión de datos e información. En comparación con DMBOK, COBIT 5:
Catalizador de Información no proporciona la misma cantidad de detalle, pero los conceptos clave en ambos marcos se
alinean bien y sin contradicciones, por lo que estos marcos pueden ser considerados complementarios. En el apéndice A
se puede encontrar más información sobre cómo ambos marcos se complementan entre sí y su comparación entre ellos
Todos los catalizadores definidos en COBIT 5 tienen un conjunto de dimensiones comunes que se ilustran en el
modelo catalizador de COBIT 5 (figura 13). Estas dimensiones:
• Proporcionan una manera simple y estructurada para manejar los catalizadores.
• Permiten a las empresas gestionar sus complejas interacciones.
• Facilitan la obtención de los resultados esperados de los catalizadores.
• Ciclo de vida—Cada catalizador tiene un ciclo de vida, desde el comienzo pasando por su vida útil/operativa hasta su
eliminación. Esto es aplicable a información, estructuras, procesos, políticas, etc. Las fases del ciclo de vida consisten en:
– Planificar (incluye el desarrollo y selección de conceptos)
– Diseñar
– Construir/adquirir/crear/implementar
– Utilizar/operar
– Evaluar/monitorear
– Actualizar/eliminar
• Buenas prácticas—Para cada uno de los catalizadores, se pueden definir buenas prácticas. Las buenas prácticas soportan
la consecución de los objetivos del catalizador. Las buenas prácticas proporcionan ejemplos y sugerencias sobre cómo
implementar de la mejor manera el catalizador y qué productos o entradas y salidas son necesarios. Una vez estas buenas
prácticas están correctamente ajustadas y adecuadamente integradas en la empresa, pueden convertirse, mediante el
seguimiento de los cambios en las necesidades de negocio y un control adecuado, en unas mejores prácticas para la
empresa.
En el capítulo 3, Modelo Catalizador de Información se explica con más detalle y se ilustra con varios ejemplos.
Esta definición refleja el modelo contenido en ISO/IEC 38500, basado en la gobernanza, estando representadas las
tres actividades clave del modelo: evaluar, dirigir y controlar. El control, en el contexto de la gobernanza, significa
asegurar que los resultados del control y del monitoreo se consiguen como soporte de la dirección establecida y de
los objetivos esperados.
Las definiciones de COBIT 5 y DMBOK no están alineadas por completo, algunas actividades de gobierno en las
definiciones de DMBOK se consideran actividades de gestión en COBIT 5, por ejemplo, la planificación es una
actividad de gestión de COBIT 5, mientras que la supervisión y el cumplimiento, en función del contexto, pueden ser
actividades de gestión o estar consideradas como actividades de gobierno.
Basándonos en las descripciones anteriores y siguiendo alineados con la definición general de la gobernanza en
COBIT 5, el gobierno de la información se puede describir de la siguiente manera.
4
Data Management Association International (DAMA), The DAMA Guide to the Data Management Body of Knowledge (DMBOK), USA, 2009
A los efectos de esta guía, la gestión de la información abarca la gestión de los datos estructurados y no estructurados, en
formato electrónico, papel u otros tipos de medios. Puede comprender partes de la gestión del conocimiento como una
capacidad organizativa formal.
En esta definición, "controla" representa el seguimiento de que las actividades de gestión se están llevando a cabo como
se esperaba, en alineación con la planificación, la construcción y las actividades de gestión.
Ambas definiciones están alineadas, aunque la definición de COBIT 5 hace hincapié en que la gestión tiene que alinearse
con la dirección establecida por el órgano de gobierno.
Sobre la base de las descripciones anteriores, siguiendo alineados con la definición general de la gestión en COBIT 5, la
gestión de la información se puede describir de la siguiente manera.
Los planes de gestión de la información, construyen, ejecutan y supervisan las prácticas, los proyectos y las
capacidades que adquieren, controlan, protegen, entregan y mejoran el valor de los datos y de los activos de
información, en alineación con la dirección establecida por el órgano de gobierno de la información.
5
Data Management Association International (DAMA), The DAMA Guide to the Data Management Body of Knowledge (DMBOK), USA, 2009
CAPÍTULO 3
MODELO DE INFORMACIÓN DE COBIT 5
En el capítulo 2, se estableció que la información es relevante en todos los ámbitos de la empresa, y para cualquier
proceso de negocio. De esta afirmación surgen las siguientes cuestiones:
• ¿Cómo deben tratar la información las empresas?
• ¿Qué deben tener en cuenta los profesionales de la información para que la información aporte valor a la empresa?
Estas cuestiones se abordan en el modelo de información de COBIT 5. Este modelo fue desarrollado originalmente en
la publicación del marco de referencia COBIT 5 y cubre todos los tipos de información para empresas de cualquier
tamaño y clase. En la Figura 14 se enumeran los usos prácticos de este modelo para las diferentes partes interesadas.
Arquitectos Empresariales,
CIO y Alta Dirección de TI
Gestión de Riesgos
Operaciones de TI
Soluciones de TI
Negocio
Uso Práctico del Modelo de Información por las Partes Interesadas
Definir y asignar la responsabilidad e imputabilidad en las diferentes etapas del ciclo
de vida de información, por ejemplo, durante la planificación, diseño, construcción,
tratamiento, control, almacenamiento y eliminación de información sensible
Definir criterios de calidad para la información a través de diferentes objetivos de
calidad, por ejemplo, relevancia, integridad, restricción de acceso
Definir todos los atributos de los elementos de información necesarios para un
diseño eficiente y eficaz, así como para el desarrollo y uso de la información por las
diferentes funciones dentro de la empresa
Conocer qué elementos de información (y su criticidad) se gestionan mediante las
aplicaciones que están en operación y soportadas
Conocer qué elementos de información se gestionan mediante las aplicaciones que
están en operación y soportadas y garantizar que se gestionan de acuerdo a su
importancia/criticidad
Vincular los requerimientos de seguridad y disponibilidad con el amplio concepto de
criterios de calidad de información a través de un conjunto de 15 objetivos de calidad
Definir todos los atributos de los elementos de información necesarios para la
protección eficiente y eficaz de la información
Las partes interesadas pueden clasificarse según el papel que juegan en el tratamiento de la información, que puede ir
desde funciones específicas (por ejemplo, funciones concretas de tratamiento de datos o información como arquitecto,
propietario, encargado, administrador, proveedor, beneficiario, modelador, director de calidad o director de seguridad)
a roles de carácter más general, por ejemplo, distinguiendo entre productores de información, custodios de
información y consumidores de información, de la siguiente manera:
Esta clasificación se refiere a actividades específicas con respecto a los recursos de información. Las actividades
dependen de la fase del ciclo de vida de la información. Por lo tanto, para encontrar una clasificación de roles, con un
nivel adecuado de granularidad para el modelo de información, y para asegurar la coherencia interna, se puede utilizar la
dimensión del ciclo de vida en el modelo de información.
Esto significa que los roles de las partes interesadas en la información se pueden definir en términos de las fases del ciclo
de vida de la información, p.ej.:
• Planificadores de la información
• Adquirentes de información
• Usuarios de la información
La dimensión de información de las partes interesadas no es una dimensión totalmente independiente; diferentes fases
del ciclo de vida tienen diferentes partes interesadas. Una característica adicional de este enfoque de definición de los
roles de las partes interesadas en cuanto a las fases del ciclo de la información es el concepto propuesto y utilizado con
frecuencia de "solicitud de información" y "suministro de información".7
Mientras que los roles relevantes dependen de las fases del ciclo de vida de la información, los intereses se pueden
relacionar con las objetivos de la información. Las partes interesadas, es decir, las personas o estructuras organizativas
que asumen los roles de las partes interesadas incluyen a toda la empresa, p.ej. el personal, los clientes, los auditores, los
proveedores de servicios de TI internos o externos, socios de negocios y los reguladores.
6
En este contexto, debe tenerse en cuenta que se utiliza a menudo el concepto ‘propietario de la información’. ‘Productor de información’ incluye al titular
de los datos, quien es en última instancia responsable de la existencia de los tipos de elementos de información, así como otros roles que intervienen en la
creación de los elementos de información actuales.
7
Algunos autores sugieren que estos dos conceptos son equivalentes a los ámbitos de 'negocio' y 'TI' de una organización, pero esta guía no acepta
completamente este enfoque. La información actual determina cual es la parte solicitante y cual la proveedora. La parte de negocio puede ser demandante de
alguna información, pero, al mismo tiempo, proveedor de otra información. La función de TI proporciona servicios de TI, p.ej. el uso de aplicaciones y
fuentes de datos asociadas, al negocio, a partir de los cuales el negocio deriva la información. Así que hay una relación demanda-oferta-uso entre el negocio
(demanda / uso) y TI (oferta), con respecto a los servicios de TI, pero no con respecto a la información (que no sea información de los servicios de TI).
Dentro de la empresa, hay tanto demanda, como oferta, como uso de la información. La función de TI también necesita información para apoyar sus propias
actividades, existiendo también la demanda, la oferta y el uso de la información.
Auditoría • Los auditores se preocupan tanto por la seguridad de los datos de clientes como por su correcta eliminación y
I/E llevan a cabo pruebas que aseguren el cumplimiento tanto de las regulaciones externas como de las políticas
internas.
Clientes Los clientes tienen el derecho de solicitar información acerca de sus datos, solicitar cambios y solicitar su
I/E eliminación.
Reguladores de Los reguladores tienen interés en los datos de clientes desde una perspectiva de privacidad y seguridad.
privacidad E
Figura 18—Partes Interesadas en la información de los Documentos de Especificaciones de Software de Cadena de Suministro
Parte interesada Interna/Externa Descripción/Interés
Gestión de la cadena El gestor de la cadena de suministro debe estar involucrado en la definición de las especificaciones de negocio
de suministro I y funcionalidades de las nuevas herramientas de software que se desarrollan. Estas especificaciones deben
quedar documentadas en el documento de especificaciones.
Arquitectos Los arquitectos empresariales y de información deben participar en la definición de las especificaciones técnicas
empresariales y de I de software para asegurarse de que el diseño se alinea con la arquitectura empresarial.
información
Colaboradores Los desarrolladores externos tienen que ajustar con precisión el diseño de software basado en las
externos de desarrollo E especificaciones técnicas y de negocio que fueron definidas por TI y el gestor de la cadena de suministro.
de TI
Usuarios Los usuarios del software de la cadena de suministro necesitan esta información para poder comprender las
I/E
especificaciones y funcionalidades del nuevo software y poder utilizarlo.
Colaboradores Los colaboradores externos a menudo tienen interfaces o dependencias con la cadena de suministro de la
externos de cadena E organización. Tienen que ser conscientes del uso del nuevo software y de las restricciones u oportunidades que
de suministro conlleva.
Auditoría Los auditores tienen que ser conscientes de las especificaciones de software para entender como apoya a los
I/E
procesos de negocio, qué dependencias existen y qué resultados se esperan.
3.1.2 Objetivos
Los objetivos de la información se expresan como los criterios de calidad que deben alcanzarse. Estos criterios se
dividen en tres subdimensiones por lo que respecta a la calidad: intrínseca, contextual y seguridad/accesibilidad. Cada
subdimensión se divide en varios criterios de calidad, que se definen en la figura 20.
Ejemplo: Podemos asumir que la información del cliente incluye su solvencia o su reputación. Esta
información debe ser objetiva y no estar basada simplemente en juicios o valoraciones personales.
Intrínseco/credibilidad la información es La credibilidad a menudo se relaciona con información altamente agregada, por lo general en los flujos
considerada como de gobierno. Ejemplos: análisis de riesgos, análisis de la competencia y las previsiones del mercado
verdadera y creíble. son elementos de información típicos donde la credibilidad es una meta de calidad clave.
Intrínseco/reputación la información es tomada La reputación podría comprometer seriamente el valor de un elemento de información, por ejemplo, en
en alta consideración en el caso de una fuente de información con una mala reputación es menos probable que la información
términos de su origen o sea utilizada en todo su potencial. Ejemplo de resultado de la mala reputación: "No confío en el
contenido. sistema CRM, ya que no está alineado con el sistema de cuentas a cobrar. Tienes que encontrar
manualmente el cliente en ambos lugares y cambiar la dirección en ambos lugares, además el nombre
ni siquiera es el mismo".
Contextual/relevancia la información es La relevancia es un atributo importante en los procesos de planificación y arquitectura. Debe realizarse
aplicable y útil para la la distinción entre los datos relevantes e irrelevantes, siempre teniendo en cuenta el contexto/propósito
tarea a realizar. de la información. Incluir la información que sirve a un propósito y evitar la inclusión de la información
"porque podemos hacerlo". Ejemplo de resultado de información que no es relevante: "No sé por qué
estamos recopilando y manteniendo el apodo del cliente; no se usa en ningún informe y sólo está
completado en un 0,01% de la base de datos".
Contextual/exhaustividad la información no La exhaustividad es una de las métricas de calidad de datos frecuentemente cuantificada. Podría
tiene carencias y su hacerse cumplir a través de los mecanismos del sistema, pero el riesgo aumenta si las exigencias de
nivel de detalle es exhaustividad merman su valor ocasionando retrasos en la entrada de registros. Ejemplo: Recoger
suficiente para la sólo el nombre y el teléfono del cliente cuando se trata de una perspectiva de ventas. Pedir su
tarea en cuestión. dirección en ese momento podría resultar inapropiado.
La figura 23 muestra como el catalizador de información de COBIT 5 distingue las siguientes fases del ciclo de vida:
• Planificar - Fase en la cual se prepara la creación, adquisición y utilización de los recursos de información. Las
actividades en esta fase incluyen la comprensión del uso de la información en los procesos de negocio
correspondientes, la determinación el valor del activo de información y su clasificación correspondiente, la
identificación de objetivos y la planificación de la arquitectura de la información.
• Diseñar - Fase en la cual se realiza un trabajo más detallado al especificar cómo se mostrará la información y cómo
tendrán que trabajar los sistemas de procesamiento de información. Las actividades en esta fase se pueden referir a la
elaboración de normas y definiciones (p.ej. las definiciones de datos, recopilación de datos, el acceso, los procedimientos
de almacenamiento y características de los metadatos).
• Construir/Adquirir - Fase en la cual se adquiere el recurso de información. Las actividades en esta fase pueden
referirse a la creación de registros de datos, la adquisición de datos y la carga de archivos externos.
• Usar/Operar - Esta fase incluye:
– Almacenar - Fase en la cual la información se mantiene en formato electrónico o en forma impresa (o incluso sólo en
la memoria humana). Las actividades en esta fase pueden referirse al almacenamiento de información en formato
electrónico (p.ej. archivos electrónicos, bases de datos, almacenes de datos) o en copias impresas (p.ej. documentos de
papel).
– Compartir – Fase en la cual la información se pone a disposición para su uso a través de un método de distribución.
Las actividades en esta fase pueden referirse a los procesos involucrados en trasladar la información a los lugares
donde puede ser accedida y utilizada (p.ej. la distribución de documentos por correo electrónico). Para obtener
información almacenado en formato electrónico, esta fase del ciclo de vida puede superponerse en gran medida con la
fase de almacenamiento (p.ej. el intercambio de información a través del acceso de base de datos, servidores de
archivos/documentos).
– Usar - Fase en la cual la información se utiliza para conseguir las objetivos (relacionadas con TI y, por tanto, con la
empresa). Las actividades en esta fase pueden referirse a todos los tipos de uso de la información (p.ej. la toma de
decisiones por gerencia, la ejecución de procesos automatizados), y también incluyen actividades tales como la
recuperación de la información y la conversión de la información de una forma a otra.
El uso de la información, tal como se ha definido en el modelo de información, se corresponde con los propósitos y
necesidades de las partes interesadas de la empresa para asumir sus funciones, cumplir con sus actividades y interactuar
con los demás. Hay diferentes tipos de información y diferentes maneras de clasificarla. Las interacciones entre los
interesados requieren flujos de información. El marco de COBIT 5 regula el flujo de información entre las funciones de
gobierno y gestión, como se muestra en la figura 24.
La información puede referirse a cualquiera de las secuencias de comunicación representadas en la figura 24, incluyendo la
información operativa generada o utilizada durante las operaciones y ejecución.
Las inversiones en información y tecnologías relacionadas se basan en casos de negocio que incluyen el análisis de costo-
beneficio. Los costos y beneficios se refieren no sólo a aquellos factores tangibles y medibles, sino que también tienen en
cuenta factores intangibles como ventaja competitiva, la satisfacción del cliente y la incertidumbre tecnológica. La empresa
obtiene beneficios de los recursos de información solamente cuando los aplica o utiliza, por tanto, el valor de la
información viene determinado únicamente por su uso (internamente o al venderlo), de modo que la información en si
misma no tiene valor intrínseco. Es sólo a través de poner la información en práctica cuando es capaz de generar valor.
• Monitorear—Fase en la cual se asegura que el recurso de información continúa trabajando correctamente (para ser
valiosa). Las actividades en esta fase se pueden referirse a mantener la información actualizada, así como otros tipos de
actividades de gestión de la información (p.ej. la mejora, la limpieza, la fusión, o la eliminación de duplicidades en los
almacenes de datos).
• Desechar—Fase en la cual el recurso de información es transferido o retenido por un periodo determinado, destruido, o tratado
como parte de un archivo cuando sea necesario. Las actividades en esta fase pueden referirse a la retención, archivo o
destrucción de la información.
Por ejemplo: Analíticas sobre los proveedores. Gracias a la consolidación de información de la red de proveedores en relación con el
total de compras, la empresa ha identificado una oportunidad para negociar reducciones de precio con los proveedores.
Supervisar Verificar continuamente y evaluar/valorar los elementos de información de los proveedores para asegurar la alineación continua con el
aprovisionamiento de negocio y la estrategia general. Estos elementos incluyen, por ejemplo:
• Soportes (copia electrónica, en papel)
• Medios
• Canal de acceso
• Lenguaje de códigos
• Tipo
• Vigencia
• Periodo de retención
• Contingencias
• Utilizar contextos
Por ejemplo: La empresa ha decidido no aceptar la información de proveedores en forma impresa y esta decisión será efectiva el
siguiente ciclo de negocio.
Desechar Desechar la información, tal como se indicó durante el diseño de la información de proveedores, teniendo en cuenta los requerimientos
reglamentarios y de retención. Por ejemplo: la empresa requiere la eliminación de los registros de proveedores que superiores a 10
años (el período de retención se determina en la fase de diseño).
La Figura 26 describe el ciclo de vida para el elemento de información requisitos de retención, es decir, un documento de
política que describe los requisitos para la retención de la información empresarial.
Figura 26—Ejemplo del ciclo de vida de información para los requisitos de retención
Etapa Descripción
Planificar Establecer la necesidad de un sistema de retención de registros formalizado. Determinar el alcance, el enfoque y la relación con la
política de la empresa. Examinar y poner en marcha iniciativas de implementación. Por ejemplo: se define un proyecto para detallar los
requisitos de retención e implementar la nueva política dentro de la empresa.
Diseñar Determinar la estructura detallada para la taxonomía de los registros. Determinar las necesidades tecnológicas y de diseño para apoyar
los requisitos de retención. Por ejemplo: Una funcionalidad de archivo se diseña para asegurar que la información requerida se almacena
durante el período de retención mínimo definido.
Construir/adquirir Construir e implementar de acuerdo con las especificaciones de los requisitos de retención. Esto incluye el desarrollo e implementación
de procedimientos operativos, soluciones tecnológicas, etc. Por ejemplo: se implementan procedimientos operativos para el archivo de la
información y la eliminación automática después del período de retención.
Usar/operar: Aplicar los procedimientos operativos y soluciones tecnológicas para cumplir con los requisitos de retención. Por ejemplo: se aplican los
almacenar, compartir, procedimientos operativos para el archivo de la información y la eliminación automática después de período de retención.
Supervisar Supervisar si los requisitos de retención:
• Siguen cumpliendo con las exigencias legales y regulatorias
• Se respetan los requisitos de retención
Por ejemplo: Supervisar si no hay información de proveedores que se haya eliminado dentro del período de retención reglamentario.
Figura 26—Ejemplo del ciclo de vida de información para los requisitos de retención (cont.)
Etapa Descripción
Desechar Los datos de la gestión de registros, en sí, deben mantenerse con fecha efectiva (pista completa de auditoría) a perpetuidad, porque la
empresa puede ser legalmente responsable de informar sobre su programación de retención para cualquier momento dado, sobre datos
de cualquier asunto que la empresa haya tratado en alguna ocasión. Por ejemplo: Si la empresa mantiene los datos del cliente de por
vida + 7 años entre 1990 y 2000, y redujo esto a + 5 años para 2001 en adelante, todavía puede ser necesario el tiempo de retención
efectiva vigente para los años 1990 a 2000 en caso de litigios relacionados con ese periodo de tiempo.
En la Figura 27 se describen las fases del ciclo de vida para la gestión de cambios de datos y la gestión de solicitudes de
cambios.
Figura 27—Ejemplo del ciclo de vida de información para los datos de gestión de cambios en TI
Etapa Descripción
Planificar La gestión de cambios se implementa normalmente como un proceso estándar. Parte del diseño del proceso consiste en especificar el
alcance, las características y la ubicación de los cambios o las solicitudes de cambios en TI. Por ejemplo: La arquitectura de la empresa
debería definir la existencia y la integración de uno o más repositorios de datos sobre cambios (independientes de especial aplicación).
Si se especifican varios repositorios, se deben emplear los principios de gestión del maestro de datos para determinar qué repositorios
están autorizados para originar los datos de cambios (sistema de registro [SOR]) y qué repositorios deben limitarse a reproducir los
datos de cambio de los sistemas de registro autorizados. Si varios sistemas originaran modificaciones (por ejemplo, un entorno de
mainframe mantiene un repositorio separado) deben definirse las reglas específicas de negocio por las cuales los datos se integran en
los diferentes repositorios.
Diseñar Especificar la lógica de los cambios en cuanto a los requisitos del proceso de cambio. Las preguntas específicas incluyen:
• ¿Qué atributos de los datos están asociados con el cambio?
• ¿Qué otras entidades de datos pueden ser relevantes para los cambios?
Establecer las clases de los registros8, en su caso, y definir el período de retención. Evaluar la sensibilidad potencial de los datos de
cambios. En general, el proceso de cambio tiene por objeto informar de un cambio planificado a todas las partes interesadas. A menudo,
el cambio de datos está ampliamente disponible para el personal de TI. Sin embargo, debe considerarse si esta amplia disponibilidad
podría ser un punto de vulnerabilidad. Conocer que un sistema está siendo cambiado podría aprovecharse para realizar un ataque.
Otros cambios podrían estar relacionados con estratégicas confidenciales o iniciativas de seguridad y sólo deben ser reportados sobre
una base de necesidad de conocer.
Definir los informes de cambios, según corresponda. Identificar las métricas de calidad de los datos que reflejan la arquitectura de
procesos y KPI. Ver el proceso BAI06 Gestionar los Cambios en la guía COBIT 5: Procesos Catalizadores. Por ejemplo:
• ¿Los cambios deben de relacionarse con el proyecto que impulsa la iniciativa, con las versiones asociadas, con las peticiones de
servicio, con las órdenes de trabajo, con los elementos de configuración?
• ¿Los cambios deben estar accesibles para toda la organización, para todo el personal de TI, para grupos seleccionados, etc.?
• ¿Se aplica una clasificación de cambios para poder aplicar restricciones de acceso?
Los datos de cambios pueden ser ampliamente compartidos por otros sistemas, tales como gestión de proyectos y versiones, y también
pueden ser importantes para el almacén de datos de TI o funciones analíticas similares. Por el contrario, el sistema puede proporcionar
identificaciones y nombres de proyectos para facilitar la asociación con los cambios, y, del mismo modo, para las versiones, incidencias
y otras entidades primarias de datos de TI.
Deberían establecerse informes para los cambios sin elementos de configuración asociados, cambios cuya ventana de aprobación se ha
superado, cambios sin ningún patrocinador o incidente relacionado, etc.
Construir/adquirir La especificaciones de datos de cambios diseñadas implican determinados requisitos para los proceso de adquisición e implementación.
Por ejemplo: El acceso a las categorías de datos de cambios se debe configurar en los sistemas adecuados para garantizar el acceso
restringido a la información confidencial o estratégica.
Usar/operar: Proporcionar formación sobre el uso apropiado del sistema de cambios y el cumplimiento de los requisitos de diseño (configuración,
almacenar, compartir, almacenamiento, etc.) Asegurar que las interfaces de entrada y de salida están operativas. El sistema de cambios es, en sí, una
utilizar aplicación en producción y sujeto al proceso de cambio, así como a otros procesos y prácticas operativas, como la supervisión, gestión
de la capacidad, gestión del nivel de servicio, entre otros. Por ejemplo: Los datos de cambios se deben introducir de acuerdo con la
documentación del proceso de cambios, que debe especificar claramente que datos se requieren, ya sean recomendados u opcionales.
El sistema debería ser diseñado, tanto como sea posible, para apoyar el usuario en el cumplimiento de los requisitos del proceso. Las
modificaciones requeridas deberán ser ejecutadas con restricciones en la entrada de datos o, al menos, informes de excepción.
Supervisar Supervisar la calidad de los datos de cambios y el cumplimiento de los requisitos de diseño. Informar sobre las excepciones, tanto para
aplicar medidas correctivas como para analizar las causas principales (mejora continua). El proceso de cambios debe ser una prioridad
para la mejora continua de TI. Por ejemplo: Vigilar el cumplimiento de los plazos de realización y aprobación. Adoptar las medidas
oportunas si los interesados no cumplen con el proceso.
8
Teniendo en cuenta el registro de códigos de clase como titular de los datos en sí mismo, introduce el concepto de metadatos, es decir, los datos sobre los
datos. Esto puede ser un concepto difícil de entender, pero es un componente esencial en el gobierno y la gestión de la información.
Figura 27—Ejemplo del ciclo de vida de información para los datos de gestión de cambios en TI (cont.)
Etapa Descripción
Desechar Los datos de cambios deben tener un período de retención definido y ser eliminados de acuerdo con ello. Su sensibilidad e importancia
pueden ser de interés en asuntos judiciales para deliberar entre el equipo de gestión de cambios, los asesores jurídicos y el personal de
gestión de registros.
Tener en cuenta que un periodo de retención largo para algunas agrupaciones de datos de cambios (p.ej. las tasas de éxito/fracaso)
podrían ser aconsejables para el seguimiento de la calidad del servicio de TI. Por ejemplo: La información de solicitud de cambios de
nivel de detalle se mantiene durante tres años y se elimina posteriormente de acuerdo con el proceso de eliminación estándar. Los
informes agregados de cambios pueden ser retenidos de manera indefinida con fines históricos.
En la figura 28 se propone un esquema para estructurar las diferentes propiedades. Se compone de seis niveles o capas,
para definir y describir las propiedades de información. Estos seis niveles presentan una serie de atributos que van desde
el mundo físico de la información, donde los atributos están relacionados con las tecnologías de la información y los
elementos de comunicación para obtener, capturar, almacenar, procesar, distribuir y presentar la información, hasta el
mundo social donde la información adquiere un sentido, se utiliza y se actúa.
El análisis de tendencias en los hábitos de compra de los clientes puede confirmar patrones
conocidos o mostrar las nuevas tendencias.
Pragmático / que información se requiere para Los datos de clientes podrían estar supeditados a otras informaciones (por ejemplo, información
contingencia anteceder a ésta. sobre los productos o los registros de ventas) antes de que puedan ser utilizados como es debido o
puedan convertirse en conocimiento. Algunas empresas pueden distinguir entre los clientes
potenciales y reales, pero, en general, los datos son suficientes por si mismos.
Social/contexto el contexto en el que la información Las pistas de datos de clientes, al más alto nivel: comercialización, ventas, logística, finanzas y
toma sentido: contexto cultural, ciclo de vida del soporte técnico a la entrega del producto. Un cliente podría originarse como
contexto personal, etc. potencial en un sistema de datos de marketing y comercial, convertirse en un verdadero cliente a
través del sistema de venta, ser dirigido a los sistemas de facturación y entregas y, finalmente,
acabar en el sistema de soporte. Otras empresas pueden utilizar un sistema de datos maestros
comunes que puede ser accedido desde todas estas actividades comerciales.
Teniendo en cuenta la dimensión de los responsables combinados con el ciclo de vida de la información, se puede definir quién necesita qué tipo de acceso a los
datos, en qué fase del ciclo de vida de la información, así como las responsabilidades de cada uno de los responsables en cada fase. Cuando se prueba la
aplicación, los probadores pueden comprobar los criterios de calidad de la información para desarrollar un amplio conjunto de casos de prueba.
El uso de estos atributos permite a los grupos de seguridad determinar el nivel de protección y los mecanismos de protección necesarios. Abordar estas
cuestiones efectivamente es esencial porque las empresas las necesitan cada vez más para hacer frente a los problemas de privacidad relacionados con la
información de identificación personal y la protección de otros tipos de valiosos activos de información, por ejemplo, la propiedad intelectual.
En cuanto a otra dimensión del modelo de información, profesionales de la seguridad pueden tener en cuenta los grupos de interés y las etapas del ciclo de vida
de la información, ya que la información debe ser protegida durante todas las fases de su ciclo de vida, así como ser accesible por los interesados apropiados. La
seguridad comienza en la fase de planificación de la información e implica diferentes mecanismos de protección para el almacenamiento, la distribución y
disposición de la información. El modelo de información se asegura de que la información está protegida durante el ciclo de vida completo de esta.
Una revisión que utiliza los criterios de calidad de la información del modelo de información proporciona a la empresa una visión global y completa de la actual
calidad de la información dentro de un proceso de negocio.
Cuando se trata de prácticas de control de la aplicación, el siguiente riesgo debe ser identificado, evaluado y respondido a:
• Capa Física -¿Cuál es el riesgo asociado a los errores o ineficiencias que pueden realizarse durante la captura física de la información?
• Capa Empírica -¿Cuál es el riesgo relacionado con la falta de integridad de los datos, las transacciones procesadas erróneas o ilegítimas, actualizaciones
procesadas no válidas o no autorizadas o cambios indebidos?
• Capa Semántica -¿Cuál es el riesgo cuando se realizan rodeos, anulaciones o entradas manuales para evitar prácticas automatizadas de control de la
aplicación? Estas funciones son inherentes a la mayoría, si no a todas, de las aplicaciones.
• Capa Pragmática - ¿Cuál es el riesgo de pérdida de confidencialidad o falta de disponibilidad de la información cuando esta se requiere?
COSO también remarca que la calidad de la información es clave para alcanzar los objetivos de negocio y, por ejemplo, incluye la determinación de que la
información tiene:
• Calidad intrínseca:
- Precisión - ¿Es correcta la información?
• Contextual y calidad de representación:
- Adecuada - ¿Es la información correcta?
- Oportuna - ¿Está disponible cuando se requiera y se informó en el período de tiempo correcto?
- Corriente - ¿Está disponible la más actual?
• Seguridad / Calidad de accesibilidad:
- Accesible - ¿Pueden sólo las personas autorizadas acceder a ella cuando lo necesitan?
• Estos ejemplos de requisitos y otros que pueden aplicar a la calidad de la información, claramente están relacionados con los objetivos de calidad del modelo
de información.
Ejemplos adicionales de elementos de información específicos para Risk, Assurance y Información Security son
detallados en las respectivas publicaciones de ISACA, COBIT 5 for Risk, COBIT 5 for Assurance and COBIT 5 for
Información Security.
auditoría interna
pertinente y garantizar la integridad / adecuación
Construcción/adquisici Función de riesgos, • CRO: Proporciona los requisitos funcionales y consulta los otros.
ón de la información auditoría interna • Auditoría Interna: Proporciona servicios de asesoramiento de la calidad
en la ejecución.
Uso/operación de Consejo, comité GRE, Auditor externo, • Propietarios de los procesos de negocios, ejecutivos y CIO :
la información: ejecutivo de negocios, regulador Proporcionar de manera eficiente la información relevante
almacenaje, CIO, función de riesgos, • Junta y comité ERM: Para recibir la información pertinente y permitir la
compartición, CISO, dueños de toma de decisiones
uso procesos de negocio,
• La auditoría interna, auditoría externa y el regulador: Recibir
cumplimiento, auditoría
información relevante
interna
• CRO: Supervisa la captación, procesamiento e interpretación de la
información
Monitoreo de la Consejo, comité GRE, Auditor externo • CRO: El monitoreo permanente sobre la adecuación, integridad y
información función de riesgos, exactitud de la información; evaluación semestral de desempeño
auditoría interna (MEA01) y controles (MEA02) para mantener la información
• Auditoría interna: la validación anual de formato y nivel de contenidos
Destrucción de la Función de riesgos • CRO: De acuerdo con la política de retención de datos, asegurar la
información confidencialidad de la información y reducir la cantidad de información
Objetividad No sesgada, sin prejuicios, Alta La información está basada en hechos y sustentación verificables,
imparcial usando la visión de riesgo común establecida en la empresa.
Credibilidad Considerada como cierta y Media La información es de plena confianza
Reputación Considerada como procedente Media Las fuentes de información son seleccionadas de fuentes competentes y
de una fuente verídica y creíble reconocidas.
Relevancia Aplicable y útil para la tarea en Alta El perfil del riesgo se estructura tal y como está definido, y el destinatario
cuestión confirma la relevancia de la información proporcionada.
Integridad Sin carencias y de profundidad Alta El perfil de riesgo cubre completamente el ámbito empresarial y el
y amplitud suficiente para la registro de riesgos. Sin embargo, no toda la información puede estar
tarea disponible y los supuestos deben ser realizados y justificados.
Actualidad Suficientemente actualizada Baja La necesidad de actualización del perfil de riesgo está dirigida por la
Contextuales y de representación
Acceso Restringido correctamente a Alta El acceso al perfil de riesgo es determinado por la función de riesgo y
restringido los agentes autorizados está restringido de este modo:
• Acceso de escritura: Función del riesgo (basado en aportaciones de los
contribuidores)
• Acceso de lectura: Al resto de partes interesadas
* Los valores de la columna relevancia, son específicos de la empresa. Esta es una muestra, pero la importancia real
dependerá del contexto específico de cada empresa.
Semántico Tipo de información Documento estructurado basado en la plantilla y/o un panel de control online con posibilidades de
navegabilidad.
Actualidad de la El perfil de riesgo contiene información histórica, actual y perspectivas de futuro.
Nivel de información El perfil de riesgo agrega datos de toda la empresa, representando únicamente los riesgos más
importantes teniendo en cuenta un umbral predefinido y con cambios significativos a los períodos
anteriores.
Pragmático Periodo de retención El perfil de riesgo debe ser mantenido tanto como los datos/información sobre la que trata deban ser
mantenidos. Las actualizaciones del registro de riesgo deben ser registradas y conservadas tal y
como se define en los requisitos legales, el uso de información como evidencia o la necesidad de
obtener evaluaciones independientes.
Estado de la información La instancia actual es operativa, los anteriores son información histórica.
Novedad El perfil de riesgo combina diferentes fuentes de datos que componen una nueva instancia, por lo
que se tratan como datos nuevos. Debe ser actualizado regularmente (por ejemplo, mensualmente).
Contingencia El perfil de riesgo se basa en que la siguiente información esté disponible y sea comprendida por el
usuario:
• El anhelo de riesgo de la empresa
• Los factores de riesgo que aplican a la empresa
• La taxonomía de riesgos empleada en la empresa
Social Contexto El perfil de riesgo adquiere principalmente su significado al ser empleado en el contexto del GRM,
pero puede también ser usado en otras circunstancias (por ejemplo, durante una fusión).
El registro del riesgo es una entrada para las prácticas de gobernanza y gestión:
• EDM03.02 Gestión directa del riesgo.
• EDM05.02 Comunicación y reporte directo a los actores involucrados.
• APO02.02 Evaluación del entorno actual, capacidades y rendimiento.
• MEA02.08 Ejecución de iniciativas de evaluación.
CAPÍTULO 4
ABORDANDO CUESTIONES DE GOBERNANZA Y
GESTIÓN DE LA INFORMACIÓN CON COBIT 5
El propósito de este capítulo es demostrar cómo el marco COBIT 5 puede ayudar a abordar una serie de cuestiones
comunes de gobernanza y gestión de la información:
Para cada cuestión, se incluyen los siguientes temas (ver figura 36.):
• Descripción y contexto empresarial de la cuestión
• Elementos / grupos de elementos típicos de información afectados, dimensiones de la calidad de la información, que
son relevantes para el tema y los objetivos de la información
• Objetivos afectados más arriba en la cascada de los objetivos, es decir, objetivos de la función (funciones TI y de
negocio) y objetivos de la empresa relacionados con la cuestión. Los objetivos de la empresa relacionados se expresan
como un subconjunto de los objetivos de empresa en COBIT 5, y los objetivos relacionados con la TI se expresan como
un subconjunto de los objetivos relacionados de TI en COBIT 5.
• Catalizadores para abordar la cuestión. COBIT 5 se basa en el principio catalizador, es decir, cualquier cuestión de
negocio se puede resolver mediante una combinación de catalizadores interdependientes. Las siete categorías de
catalizadores de COBIT 5 se utilizan para proporcionar una guía de alto nivel sobre cómo abordar la cuestión de
gobernanza / gestión de la información.
Las empresas deben encontrar la forma de gobernar los big data de manera alineada con los requerimientos del negocio, sin
impedir o limitar el libre flujo de información e innovación. Los datos pueden ser estructurados o no estructurados e incluyen
datos de clientes y empleados, metadatos, secretos comerciales, correos electrónicos, video y audio. La información puede ser:
• Repartida en múltiples silos complejos que se encuentran aislados unos de otros
• Repetida, con copias redundantes de datos (y los procesos de negocio que los utilizan) ubicados en toda la empresa
• Descoordinada y carente de estandarización de términos
Los beneficios del big data son abundantes. Cuando se maneja correctamente, los big data pueden proporcionar una
visión más precisa sobre el desarrollo de productos, los conductas de los consumidores en el mercado, la eficiencia
operativa, etc. Por lo tanto, las predicciones serán más precisas y los proyectos de mejora pueden dirigirse a los puntos
clave críticos exactos.
En la práctica, las cuestiones relativas al big data se pueden clasificar de acuerdo a tres dimensiones:
• Variedad de la Información
• Volumen de la Información
• Velocidad de la Información, como resultado de incrementar la variedad y la velocidad
Además, todas estas dimensiones están creciendo y llegando a ser aún más complejas. La Información proviene de una
variedad cada vez más amplia de canales, sensores y formatos. Las empresas piden procesar los datos con mayor
rapidez, para que puedan responder a ella al momento en que suceden los acontecimientos. La Información puede ser
alterada a un ritmo muy rápido, lo que aumenta la complejidad de la cuestión.
En consecuencia, el big data presenta una serie de desafíos relacionados con su complejidad incluyendo cómo la
empresa puede:
• Comprender y utilizar el big data cuando los datos están en un formato no estructurado, como el texto o vídeo
• Capturar los datos más importantes cuando son creados o adquiridos, y entregarlos a las personas adecuadas en
tiempo real
• Almacenar, proteger y utilizar los datos, y cómo la empresa puede analizar y comprender los datos, dado su
tamaño y capacidad de computación de la empresa
En relación a estas cuestiones básicas, hay muchos otros desafíos, desde la privacidad y la seguridad al acceso y
despliegue. Es un reto construir el caso de negocio para implementar las prácticas más adecuadas para manejar
grandes volúmenes de datos. El valor tiene que ser demostrado con los resultados de los proyectos de big data.
Una cuestión para cada una de las dimensiones de big data se discute en las secciones de la 4.3 a la 4.5 de este
capítulo.
9
ISACA, Big Data: Impact and Benefits, USA, 2013, www.isaca.org/Knowledge-Center/Research/Pages/White-Papers.aspx
La demanda / uso de la información se aplica a muchos sistemas en una empresa. Los ejemplos más comunes son los
almacenes de datos y sus soluciones de BI (Business Intelligence) y los sistemas / portales de gestión de información de la
empresa. Facilitar detalles y matices respecto a los datos es crucial para implantar estas soluciones de una manera óptima.
Además, este problema no se limita a producirse en la fase de desarrollo de una solución, aspecto que es gestionado por lo
general a través de un marco adecuado de gestión de proyectos. Por ejemplo, nuevos informes a partir de almacenes de
datos, por lo general se originan en solicitudes de cambio que se generan de forma continua, independientemente de si el
sistema está todavía en desarrollo.
Ejemplo de solicitud: ¿Cómo puede el director de marketing convertir datos en bruto sobre clientes en informes mensuales
que le permiten obtener mejores conocimientos sobre potenciales necesidades y segmentos de clientes? La solución requiere
un conocimiento profundo del proceso de marketing y una amplia experiencia en soluciones de gestión de relaciones con
clientes (CRM – customer relationship management) y el almacén de datos relacionado que se utilizan para extraer
información relevante. Tanto marketing y TI deben reunir sus conocimientos para configurar los informes que permitan este
tipo de conocimiento del cliente.
Desde el punto de vista de la empresa, diversos escenarios de riesgo potencial pueden ser identificados, como:
• Cuando las decisiones empresariales se basan en la información incluida en los informes configurados
incorrectamente, estas decisiones pueden afectar la ventaja competitiva y ser peligrosos para la empresa.
A pesar de que los casos de negocio están hechos para evaluar los beneficios de los sistemas de información y estos
sistemas se implementan adecuadamente, el mal uso de estos sistemas o la información producida por estos sistemas
una vez están en producción tiene por resultado que los sistemas de información no cumplan con el valor requerido
porque las necesidades de los usuarios no se atienden correctamente. El análisis de beneficios y costos de estos
sistemas de información se convertirán en incorrectos si este riesgo no es gestionado adecuadamente.
• Cuando la información se maneja y configura sin un conocimiento adecuado o con el uso imprudente de la tecnología,
se puede producir accidentalmente la divulgación de información confidencial.
• Una formación deficiente conduce a la pérdida de productividad documentada y sustancial.
• Los usuarios de negocios pueden tener una tendencia a abandonar las soluciones que los hagan sentirse incómodos, lo
que puede dar lugar a otros problemas potenciales, tales como:
− Sensación general de frustración del negocio hacia TI, o viceversa
− Los esfuerzos de desarrollo (costos) no ofrecen ningún valor añadido para la empresa.
− Cuestiones relativas a la utilización óptima de las licencias y el costo asociado
− Los usuarios recurren a soluciones informáticas de usuarios finales o la desintermediación con los consiguientes riesgos
relacionados que se describen en las siguientes secciones.
Estos procesos permiten a una organización disminuir la discrepancia entre el usuario y TI mediante la aclaración de la
responsabilidad de cada parte en la relación.
Estructuras organizativas La responsabilidad clave para superar este problema recae en:
• CIO: Responsable de gestionar la relación entre TI y negocio
• Ejecutivos de negocio
• Propietarios de los procesos de negocio
Otras funciones relacionadas pueden incluir:
• Jefatura de Desarrollo
• Jefatura de operaciones TI
• Dirección de servicio
• Dirección de relaciones de negocio
• Dirección de Información
• Usuarios clave
Figura 40—Relación de objetivos de calidad de la información ilustrativos para el conocimiento de marketing situacional
Ítem de información Dimensión más relevante de Calidad Objetivo de Calidad de Información
Informes de marketing • Relevancia • La empresa basa decisiones importantes en
• Exactitud análisis correctos de mercado.
• Disponibilidad • La percepción del cliente se analiza y usa de
• Actualidad la forma más óptima posible.
• Integridad
• Credibilidad
Estrategias de producto • Relevancia El lanzamiento al mercado de nuevos productos
• Exactitud se planifica cuidadosamente para obtener la
• Disponibilidad máxima exposición y retorno.
• Actualidad
• Integridad
El reto en la obtención de la Información que se necesita es el masivo flujo y alta velocidad de las transacciones; los
patrones deben ser detectados en tiempo real a través de cientos de transacciones por minuto. En términos de datos
grandes, se trata de una cuestión de velocidad.
Las habilidades de narración e inteligencia son los factores de entrada que en última instancia dictan si los beneficios de las tareas
analíticas son digeridas por la organización.
En algunas organizaciones se distingue entre dato de referencia y maestro, en otras, con frecuencia, solo se usa el
término dato maestro para referirse a ambos:
• Dato de Referencia es el utilizado para clasificar o categorizar otros datos10. Este término normalmente se restringe a
algunos valores permitidos también llamados el Dominio de Valores. Pueden definirse internamente (por ejemplo,
estado de solicitud, estado de orden de las ventas) o externamente (por ejemplo, códigos oficiales de país, códigos de
moneda, códigos de procedimiento médico para facturación). Los datos de referencia cambian con poca frecuencia. Los
metadatos sobre los datos de referencia pueden incluir:
− Significado y finalidad del Dominio de valores de referencia
− Tablas de referencia y bases de datos donde se utiliza el dato
− Origen de Datos
− Versión y fecha de la última actualización
− Roles (RACI) respecto al dato
• Dato Maestro es el que proporciona el contexto para las transacciones empresariales. Los tipos comunes incluyen
información sobre:
− Agentes— individuos u organizaciones— y sus funciones (cliente, vendedor, proveedor, empleado, regulador,
ciudadano, etc.)
− Productos
− Estructuras Financieras (entidades financieras, centros de coste, etc.)
− Ubicaciones
La finalidad de los Datos Maestros es identificar o desarrollar y mantener una única fuente auténtica (ocasionalmente
denominada un “registro oro”) para cada ítem relevante de información, por ejemplo, producto, ubicación,
componentes. Los retos en la gestión de los Datos Maestros incluyen respuestas a las cuestiones siguientes:
− ¿Qué datos se comparten?
− ¿Qué componentes, productos, ubicaciones que se usan en las diferentes etapas del proceso empresarial?
− ¿Qué datos describen las mismas cosas?
− ¿Cuál es la fuente de estos datos y donde se almacenan?
− ¿Qué versión es la más exacta, más fiable, más reciente?
− ¿Qué datos de diferentes fuentes pueden integrarse con un beneficio para la organización?
− ¿Cómo los “registros oro” encuentran su camino en los otros sistemas de la empresa?
Los datos de referencia y maestros proporcionan el contexto para los datos transaccionales. Los aspectos habituales sobre
la gestión de datos maestros, por ejemplo las consecuencias de una gestión inadecuada, incluyen:
• Baja calidad de los datos y la información
• Problemas de integridad de los procesos de negocio
• Los resultados de los procesos de negocio no son los esperados
• Problemas en el servicio al cliente resultado de definiciones inconsistentes (atributos, etc.) en los canales de interacción
con el cliente
Consecuentemente las líneas empresariales, relacionadas con los objetivos de empresa para las iniciativas de gestión de
datos maestros, incluyen:
• Mejorar la calidad de datos e integración entre diferentes fuentes.
• Ofrecer una visión consolidada de 360º en la información sobre socios empresariales importantes, productos y
funciones. En especial para los informes, las analíticas y los procesos de decisión resultantes.
Estas iniciativas de gestión de datos maestros las motiva, frecuentemente, una nueva visión (relacionada con cambios de
personal), situaciones problemáticas causadas por problemas en la calidad de datos o un proyecto importante en el que
puede integrarse la gestión de datos maestros.
10
Fuente: Data Management Association International (DAMA), The DAMA Guide to the Data Management Body of Knowledge (DMBOK), USA, 2009
Los procesos identificados aquí no son de responsabilidad exclusiva de la función TI, si una empresa decide orientar la gestión de
datos de referencia, para hacerlo de forma eficiente y efectiva, debe abordar los procesos (y prácticas relacionadas) relacionados
aquí.
Estructuras organizativas Las siguientes estructuras/roles organizativos centrados en la información, son claves para dar soporte a las actividades de gestión
de los datos de referencia y maestros (Nota: no son roles actuales de RACI COBIT 5.):
• Comité de arquitectura de empresa
• Administradores de datos de negocio
• Arquitectos de Datos/Información
• Arquitectos de aplicaciones
• Proveedores de datos
• Arquitectos de integración de datos y desarrolladores
• Clientes de datos, por ejemplo:
– Usuarios de aplicaciones
– Usuarios de BI y de Informes
– Desarrolladores de aplicaciones
11
Fuente: Data Management Association International (DAMA), The DAMA Guide to the Data Management Body of Knowledge (DMBOK), USA, 2009,
Sección 8.3.1
12
Fuente para todos los ejemplos de actividades mostrados en esta tabla: Data Management Association International (DAMA), The DAMA Guide to the Data
Management Body of Knowledge (DMBOK), USA, 2009, Sección 8.3.2
Figura 51–Conjunto ilustrativo de catalizadores para la Gestión de datos de referencia y maestros (cont.)
Cataliza ¿Cómo este catalizador ayuda a abordar la cuestión?
Cultura, Ética y Para controlar la gestión de datos maestros son importantes los hábitos siguientes:
Conducta • Enfoque hacia las personas. Los diferentes grupos de interés tienen necesidades de datos diferentes.
• Habilidades de negociación. Los administradores y arquitectos de datos precisan ser hábiles para negociar entre los diferentes
grupos de interés para avanzar gradualmente.
• Habilidad para pensar sin limitaciones considerando la perspectiva de empresa
Información Algunos ítems de información son esenciales para la gobernar y gestionar las iniciativas en la gestión de datos maestros:
• Diagrama de arquitectura de información
• Modelos de datos
• Métricas de calidad de datos
• Esquema de clasificación de datos
• Seguridad y control de datos
• Procedimientos de integridad de datos
• Reglas de combinación de registros
• Informes de calidad de datos
• Procedimientos de solicitud de cambio de datos, requisitos de datos de referencia y maestros, descripción de
fuentes de datos y colaboradores en éstos.
Servicios, Infraestructura y Un conjunto de servicios (en general suministrados por la función TI) son relevantes en el contexto de la gestión de datos
Aplicaciones maestros, por ejemplo:
• Herramientas de gestión de bases de datos maestros (Microsoft®, Oracle®, etc.)
• Aplicaciones de gestión de datos de referencia
• Aplicaciones de gestión de datos maestros
• Herramientas de modelado de procesos
• Repositorios de metadatos
• Herramientas de depuración de datos
• Herramientas de integración de datos
• Herramientas de gestión del cambio
• Motores de procesos y reglas de negocio
Personas, Habilidades y Algunos requisitos en habilidades y competencias para el manejo de la gestión de datos maestros incluyen a:
Competencias • Arquitectos de información
• Arquitectura de empresa
La informática de usuario final en un contexto de empresa/negocio no cuenta con una definición estricta; puede incluir un
amplio espectro de tecnologías y técnicas que permiten al usuario final construir sus propias aplicaciones de uso personal o
departamental. Muy a menudo, se crean para reemplazar o complementar aplicaciones corporativas que no cubren
adecuadamente los requerimientos de información personal o departamental, o que no los cubren con suficiente rapidez.
Frecuentemente, las aplicaciones de usuario final no se ejecutan en servidores corporativos, sino en estaciones de trabajo de
usuario o similares, utilizando, en la mayoría de casos, hojas de cálculo y aplicaciones basadas en bases de datos.
Los usuarios finales perciben una serie de beneficios en la informática de usuario final, ya que sienten que:
• Se encuentran legitimados y más capacitados para procesar información que cumpla sus propias necesidades
• Pueden obtener la información que requieren para conseguir sus objetivos de negocio mucho más rápido y en el formato
que necesitan
• Tienen mucha más flexibilidad en la obtención y procesamiento de la información que requieren
Desde un punto de vista de empresa, se identifican una serie de potenciales problemas de negocio y riesgos, tales como:
• El caso de negocio para la informática de usuario final acostumbra a ser muy informal y a estar basado en necesidades
departamentales y beneficios. La empresa podría perder la supervisión sobre las aplicaciones que se están desarrollando
y que se pondrán en operación, potencialmente con muchas duplicidades e ineficiencias. Aunque se pueda ganar
eficiencia a nivel departamental, este podría no ser necesariamente el caso a nivel corporativo.
• El control de calidad no tiene el mismo nivel en el desarrollo de informática de usuario final; por consiguiente, los
resultados del procesamiento podrían encontrarse más sujetos a errores, etc. De la misma forma, conseguir aplicaciones de
usuario final estables podría requerir más tiempo y esfuerzo del originalmente planificado (si se llegó a planificar).
• Las tecnologías utilizadas son usualmente más propensas a los errores de forma inherente. El nivel de especificación de
requerimientos y documentación es, a menudo, mucho más informal.
• En muchas ocasiones, la carga de datos en aplicaciones de usuario final no se encuentra automatizada y se realiza mediante
introducción manual; los datos incorporados podrían también malinterpretarse o la estructura de la carga de datos podría
cambiar, etc., con la consecuencia potencial de aplicaciones que devuelven resultados erróneos provenientes de datos de
entrada erróneos.
• El conocimiento de las aplicaciones de usuario final se encuentra habitualmente concentrado en una o unas pocas personas.
• El grado de capacitación de los usuarios finales para el desarrollo de aplicaciones varía ampliamente y no acostumbra a
formar parte del sistema de gestión de habilidades de la empresa (de forma contraria al departamento de TI). En otras
palabras, no existe una visión y gestión adecuada de las habilidades requeridas y, consecuentemente, podría darse una falta
de formación.
• No se asegura el cumplimiento con la arquitectura de información corporativa, la definición de datos y los esquemas de
clasificación; por ejemplo, las aplicaciones de usuario final podrían generar datos/informes que definan ciertos elementos
de información de forma diferente a otras aplicaciones corporativas.
• Habitualmente, el acceso a la información sensible de la empresa se encuentra protegido, pero una vez la información sale
de los sistemas corporativos y entra en las aplicaciones de usuario final, la garantía de la adecuada protección de la
información se pierde, incrementándose el riesgo de fuga de información.
• Relacionado con el riesgo anterior, la información se envía o comparte con todo tipo de nuevos dispositivos,
principalmente móviles, con los problemas de seguridad asociados.
• Con relación al riesgo anterior, la distribución (y el ciclo de vida en general) de la información resultante de aplicaciones
de usuario final es más difícil de gestionar y controlar.
• Dar soporte a una gran variedad de usuarios finales con diversos niveles de habilidades, de usuarios sujetos a un alto grado
de gobierno (controlados) a trabajadores cualificados con un alto grado de autonomía, es un reto.
• Una mayor potencial desvinculación de TI, por ejemplo, por el uso de servicios en la nube, software como un servicio
(SaaS – Software as a Service), etc.
• Gestionar y controlar información (semi)estructurada en hojas de cálculo y aplicaciones relacionadas es un reto. Las
versiones desactualizadas o intermedias no deberían distribuirse a terceros.
• Exposición al riesgo legal debido a incumplimientos normativos y de requisitos de conservación de la información. Se
podrían dar conflictos de propiedad intelectual si un empleado reclama la autoría de alguna aplicación de usuario final.
• Cuando se permite una política de 'trae tu propio dispositivo' (BYOD – Bring Your Own Device), el control sobre la
diseminación de la información resulta incluso más importante.
Cada empresa tiene la responsabilidad de sopesar las potenciales ventajas de la informática de usuario final y su riesgo
relacionado y decidir cómo gestionarlo, consiguiendo los máximos beneficios de la informática de usuario final, con niveles
óptimos de riesgo y recursos.
4.7.2 Información afectada
En términos más generales, las funciones de negocio que utilizan informática de usuario final tienen metas equivalentes, por
ejemplo:
• Disponibilidad de información fiable y útil para la toma de decisiones
• Acceso flexible y oportuno a la información requerida para la gestión de la función de negocio
Metas de Empresa (ME) Las siguientes pueden ser consideradas las metas de empresa más relevantes:
• ME03 Riesgo de negocio gestionados (salvaguarda de activos)
• ME04 Cumplimiento de leyes y regulaciones externas
• ME08 Respuestas ágiles a un entorno de negocio cambiante
• ME09 Toma estratégica de decisiones basadas en información
• ME11 Optimización de la funcionalidad de los procesos de negocio
• ME12 Optimización de los costes de los procesos de negocio
13
En cualquiera de los dos sentidos’ significa que un número de metas pueden ser influenciadas positivamente por una buena implementación de informática
de usuario final y que otras pueden ser influenciadas negativamente por una implementación de menor calidad de la informática de usuario final.
Los procesos identificados aquí no son responsabilidad exclusiva de la función de TI; más bien, si una función de negocio decide
utilizar informática de usuario final, ésta debería al menos participar en los siguientes procesos o poner en práctica sus propios
procesos:
• EDM02 Asegurar la entrega de beneficios.
• EDM03 Asegurar la optimización del riesgo.
• EDM04 Asegurar la optimización de los recursos.
• APO03 Gestionar la arquitectura empresarial.
• APO08 Gestionar las relaciones.
• APO09 Gestionar los acuerdos de servicio.
• APO10 Gestionar los proveedores (cuando las aplicaciones de usuario final y la infraestructura se encuentran subcontratadas).
• APO11 Gestionar la calidad.
• APO13 Gestionar la seguridad.
• BAI03 Gestionar la identificación y construcción de soluciones.
• BAI08 Gestionar el conocimiento.
• BAI09 Gestionar los activos.
• BAI10 Gestionar la configuración.
• DSS02 Gestionar las peticiones y los incidentes del servicio.
• DSS05 Gestionar los servicios de seguridad.
• DSS06 Gestionar los controles de los procesos de negocio.
• MEA01 Supervisar, evaluar y valorar rendimiento y conformidad.
• MEA02 Supervisar, evaluar y valorar el sistema de control interno.
Las aplicaciones de usuario final deberían también estar sujetas a la evaluación de la gestión y a auditorías internas.
Estructuras organizativas La responsabilidad clave en la informática de usuario final pertenece a:
• Los propietarios de los procesos de negocio
Personas, Habilidades y Algunos requisitos de habilidades y competencias para la informática de usuario final incluyen:
Competencias • Deben desarrollarse o adquirirse habilidades adecuadas en las tecnologías utilizadas para la informática de usuario final
• Habilidades básicas de gestión de la calidad y desarrollo de software
• Gestión del conocimiento (documentación para reducir la dependencia excesiva en individuos concretos)
• Habilidades sociales y de comunicación
Los usuarios finales perciben una serie de beneficios en la desintermediación, ya que sienten:
• Que se encuentran capacitados y más valorados para procesar la información según sus propias necesidades y/o se
sienten menos restringidos por el departamento de TI de la empresa
• Que pueden obtener la información que necesitan para lograr sus objetivos de negocio mucho más rápido y en el
formato que requieren
• Que disponen de mucha más flexibilidad en la obtención y procesamiento de la información requerida
Desde un punto de vista empresarial, a menudo se plantean riesgos potenciales, por ejemplo:
• El modelo de negocio de la desintermediación suele ser más informal y basado en necesidades y beneficios
departamentales, sin considerar ninguna dependencia. La empresa podría perder la supervisión sobre las aplicaciones
que se están desarrollando y que se pondrán en operación, potencialmente con muchas duplicidades e ineficiencias.
Aunque se pueda ganar eficiencia a nivel departamental, este podría no ser necesariamente el caso a nivel corporativo.
• Se generan gastos adicionales, p. ej. hay que establecer una serie de actividades de soporte asumidas por el
departamento (centro de ayuda al usuario, soporte, gestión de problemas, formación, mantenimiento de aplicaciones,
relaciones con los proveedores, etc.) que se tienen que incluir y podrían estar o no contabilizados en el caso de negocio.
• No se asegura el cumplimiento con la arquitectura de información corporativa ni las definiciones de datos, p. ej. las
aplicaciones desintermediadas pueden generar información/informes que definen ciertos elementos de información de
forma distinta a otras aplicaciones corporativas. Estos elementos de información pueden ser difíciles de integrar con
otras aplicaciones corporativas.
• Habitualmente, el acceso a los sistemas de información sensibles de la empresa se encuentra protegido, pero una vez
que los datos salen del sistema corporativo y entran en aplicaciones desintermediadas, la garantía de la adecuada
protección de la información se pierde. El control de acceso y la seguridad están parcialmente fuera de control.
• En relación al riesgo anterior, la información se carga o comparte con todo tipo de nuevos dispositivos, principalmente
móviles, con los problemas de seguridad asociados.
• En relación al riesgo anterior, la distribución (y en general el ciclo de vida) de la información resultante de las
aplicaciones de desintermediación es más difícil de gestionar y controlar.
• Hay menos seguridad de que todos los requisitos legales se hayan considerado debidamente, es decir, hay riesgo de
exposición legal, debido a incumplimientos normativos y de requisitos de conservación de la información.
Es responsabilidad de cada empresa sopesar las potenciales ventajas frente al riesgo y decidir cómo manejar la
desintermediación y cómo lograr los máximos beneficios de la desintermediación, con niveles óptimos de riesgo y
recursos.
Las aplicaciones desintermediadas deben ser objeto de evaluación de la gestión y de auditorías internas.
Los procesos identificados aquí no son de exclusiva responsabilidad de la función de TI; más bien, si una función de negocios
decide desintermediar, por lo menos debería participar en los procesos mencionados anteriormente o poner en marcha sus propios
procesos, en base a los mencionados aquí.
Estructuras organizativas La responsabilidad clave en la desintermediación pertenece a:
• Los propietarios de los procesos de negocio
Cumplimiento normativo es el término general usado para describir las políticas y los procesos que tienen las
empresas para garantizar que se sigan las muchas leyes, normas y reglamentos establecidos por los órganos
reguladores que controlan la actividad en cada una de las jurisdicciones.
En el siguiente ejemplo (figura 58) ilustra los tipos de elementos de información que son importantes en relación con
el cumplimiento de las normativas.
El equipo GRC trabaja con sus socios en el departamento de desarrollo de sistemas corporativos y soporte (áreas funcionales) para entender la información que
necesitan y construir la capacidad necesaria. Una lista completa de los aplicativos debería existir y estar actualizada. Sobre esta lista, el equipo de desarrollo
propone agregar un simple 'atributo SOX'. Hecho esto y la presencia o ausencia de este indicador señala al personal y auditoria si el sistema debe cumplir con los
más altos estándares de seguridad, pruebas, mantenimiento y gestión del cambio.
Esta solución funciona bien por un tiempo, y, debido a su éxito, se buscan indicadores reglamentarios adicionales (HIPAA/HITECH y otros). En este momento,
desarrollo propone que, en lugar de agregar una bandera distinta para cada Reglamento (lo que requiere el esfuerzo de desarrollo), una estructura más
generalizada que se pueda mantener administrativamente por el equipo de GRC. Además también se pueden establecer, debates sobre el mantenimiento de los
datos y también establecer controles de calidad de datos.
Este caso ilustra un matiz de gestión de datos crítica de entender para el personal de TI y los equipos de gestión de negocio. Aunque los elementos de mayor
información puedan ser 'portfolio de aplicaciones' y 'normas', el valor se encuentra en su combinación: la normativa aplicable a cada aplicación. Cada elemento de
información puede vivir en conjuntos muy distintos de datos, tal vez en infraestructuras de TI también diferentes, pero las referencias cruzadas requerirían que los
dos sistemas residan en un sistema común. Personal capacitado debe definir un proceso para establecer las referencias cruzadas, y esto, a su vez, puede
conducir los requisitos de capacitación, ya que nadie puede entender todos los elementos de información y sus entornos. Tales requerimientos para incorporarse
o datos de referencia cruzada pueden conducirlo arquitectura y deben entenderse en un proyecto centrado en la información. Estos requisitos también
demuestran la importancia de los modeladores de datos y su participación desde el principio de un proyecto.
14
Organización para la cooperación y desarrollo económicos (OCDE), "Garantiza cumplimiento ambiental", Francia, 2004
Aun cuando ésta libertad frente a la intrusión o la divulgación no autorizada de la información personal está
mundialmente reconocida, existen diferencias entre las legislaciones de cada país por la interpretación de “privacidad”
(a veces expresado como "protección de datos") que cada una realiza al incluir también los derechos de los individuos
respecto a sus datos o información (derecho a ser informado , derecho de modificar la información personal, derecho a
destruir la información personal, etc). Esta diferencia en la traducción legislación crea un desafío adicional para las
empresas multinacionales en la aplicación de los catalizadores necesarios para llevar a cabo el cumplimiento normativo
de la privacidad.
En este sentido, la privacidad es un asunto global que requiere adoptar un enfoque holístico por parte de la empresa, de
la siguiente forma:
• Cumplimiento de la normativa en los requisitos de privacidad - los requisitos legales son importantes; sin
embargo, el iniciador real de la necesidad de privacidad es el individuo implicado. Esto significa que las empresas
deben evaluar si los requisitos normativos con los que cumplirían la legislación son también suficientes para satisfacer
las necesidades de privacidad de los otros requisitos, actores, etc.
• Seguridad de la información – La implantación de la privacidad a menudo está directamente vinculada con la
aplicación de medidas técnicas de seguridad de la información. La protección de la información dentro de la empresa
en términos de confidencialidad es imprescindible para evitar la intrusión o la divulgación no autorizadas. Sin
embargo, otros aspectos son al menos tan importantes para proteger la privacidad de la información, como por ejemplo
la cultura de la organización para sensibilizar del cuidado en el manejo de la información sensible, que no siempre
puede ser protegida únicamente con medidas técnicas.
• El departamento de TI: para proteger eficazmente la vida privada de los individuos, se requiere la cooperación a lo
largo de toda la empresa, incluyendo los recursos legales, los recursos humanos (RRHH) y los departamentos de
marketing y finanzas.
Es evidente que se debe encontrar un equilibrio entre el uso de la información y la privacidad de ésta, ya que la
rentabilidad y la competitividad de una empresa dependen con frecuencia del análisis de la información existente. Desde
un punto de vista empresarial, el incumplimiento de la normativa puede dar lugar sanciones o condenas judiciales y, por
otra parte, el daño a la reputación debido a incidentes de privacidad puede derivar en la pérdida de clientes y afectar
fuertemente a la posición competitiva de la empresa.
APÉNDICE A
OTRA INFORMACIÓN DE REFERENCIA
En este apéndice se proporciona información de referencia sobre el siguiente marco relacionado y estándar y un mapeo
entre las orientaciones y COBIT 5:
• Marco funcional DAMA-DMBOK
• ISO 15489-1:2001
El mapeo consiste en una lista de las cláusulas de la guía de referencia (en un nivel razonable de granularidad) y las
correspondientes secciones pertinentes en COBIT 5: Enabling Información, COBIT 5: Enabling Procesos o el marco de
referencia de COBIT 5.
Estructura DAMA-DMBOK
La estructura de DAMA-DMBOK está basada en los siguientes conceptos:
• Ciclo de vida de datos (Data life cycle)
• Funciones de gestión de datos (Data management functions)
• Elementos ambientales de la gestión de datos (Data management environmental elements)
En general, DAMA-DMBOK contiene una gran cantidad de orientaciones prácticas detalladas que no se encuentran en
COBIT 5.
COBIT 5 y DAMA-DMBOK son bastante complementarias entre sí, por ejemplo:
• Los usuarios de COBIT 5 pueden beneficiarse de esta orientación más detallada mediante la lectura de los temas de
DMBOK relacionados con el área de COBIT 5, en los que se esté interesado.
• Los usuarios de DAMA-DMBOK pueden encontrar un marco de gobierno y de gestión, en general, estructurado de
forma más rigurosa y por lo tanto una mejor posición de sus propias prácticas. Además, pueden encontrar que el
concepto catalizador puede añadir un poco más de valor a sus prácticas establecidas.
El resto de este apéndice describe brevemente cada uno de los conceptos marco de DAMA-DMBOK y cómo cada uno
de ellos se compara con COBIT 5 y / o su figura equivalente a COBIT 5.
Los ciclos de vida no son idénticos, aunque se parecen entre sí de manera razonable y la mayoría de las etapas en cada
ciclo de la vida se pueden mapear la una con la otra Por tanto, es justo concluir que ambos marcos se refieren al ciclo
de vida completo de la información, proporcionando una guía exhaustiva y de extremo a extremo.
En general, los procesos de COBIT 5 que abarcan las funciones definidas en DMBOK permanecen en un nivel más
alto de abstracción comparado con las descripciones de las funciones de gestión de datos en DMBOK, que son
(sustancialmente) más detalladas. La figura 67 muestra cómo las funciones de gestión de datos DMBOK están
cubiertas por los procesos de COBIT 5. El lector deberá tener en cuenta que los procesos de COBIT 5 son a menudo
más abstractos y genéricos y, por lo tanto, menos específicos a la gestión de la información.
COBIT 5 no tiene esta construcción específica, siendo a través de la dimensión del 'catalizador' donde muchos de
estos elementos están cubiertos. La Figura 69 proporciona una comparación de alto nivel.
Figura 69— DMBOK Elementos ambientales comparados con los catalizadores de COBIT 5
DAMA-DMBOK
Componente COBIT 5 Construcciones/Componentes equivalentes
Objetivos y Principios COBIT 5 manifiesta que el gobierno y la gestión de un área se logra a través de la interacción continua entre un número de catalizadores
que funcionen correctamente. Cada catalizador tiene las mismas cuatro dimensiones, donde ‘objetivos’ es una de ellas.
Organización y COBIT 5 establece que el gobierno y la gestión de un área se logra a través de la interacción continua entre un número de catalizadores
Cultura eficaces y eficientes. Ambas, cultura y estructura organizativas, y ética y conducta son catalizadores explícitamente identificados en COBIT
5 y, por lo tanto, siempre se consideran.
Actividades Los procesos son uno de los catalizadores definidos en COBIT 5. Dentro de los procesos, una guía más detallada se proporciona a través
de «procedimientos» y, a un nivel más detallado, las "actividades".
Entregables Los procesos son uno de los catalizadores definidos en COBIT 5. Dentro de cada proceso, las entradas y salidas genéricas se definen
para cada proceso.
Roles y Los procesos son uno de los catalizadores definidos en COBIT 5. Dentro de los procesos, Se proporciona una guía más detallada a través
Responsabilidades de “procedimientos”. Para cada proceso se incluye la matriz RECI, que describe las responsabilidades típicas en cada procedimiento. Las
responsabilidades se asignan a una o varias funciones genéricas que normalmente existen en una organización.
Nota: COBIT 5 define roles con un alto nivel de abstracción. Los roles más específicos, por ejemplo, en el área de gestión de la
información, no se incluyen pero son implícitos. DMBOK proporciona una guía más detallada.
Prácticas y Técnicas COBIT 5 establece que el gobierno y la gestión de un área se logra a través de la interacción continua entre un número de catalizadores
eficaces y eficientes. Este componente de DMBOK está cubierto por el proceso catalizador de COBIT 5, donde se incluyen tres niveles de
detalle: Proceso, Prácticas, Actividades.
Nota: Téngase en cuenta, sin embargo, que las descripciones de los procesos de COBIT 5 son procesos de ejemplo, y sin ninguna
intención de ser presentados como la única mejor práctica.
Tecnología COBIT 5 establece que el gobierno y la gestión de un área se logra a través de la interacción continua entre un número de catalizadores
eficaces y eficientes. El catalizador servicio, infraestructura y aplicaciones interactúa con la tecnología soporte en cualquier tema que les
ocupa - como gestión de la información en este caso.
En conclusión, COBIT 5, con su modelo de catalizador integrado y las siete categorías de catalizadores, se ocupa de
todos los elementos ambientales que se describen en DMBOK, y ambos marcos son equivalentes desde este punto de
vista, es decir, ambos prestan atención no solo a los procesos.
El relativamente alto nivel de abstracción de COBIT 5 y el hecho de que esté en un marco general de gobierno y gestión
de TI de la empresa (en lugar sólo para hacer frente a cuestiones de datos y gestión de la información) hace que ambos
marcos de referencia sean complementarios: COBIT 5 proporciona el marco global, y DMBOK proporciona los detalles
específicos cuando se requiera. Nota: DAMA publicó por primera vez una actualización del marco DMBOK,
DMBOK2, como borrador en abril de 2012. Tras el período de revisión posterior, DMBOK2 está previsto que esté
disponible en el cuarto trimestre de 2013.
ISO 15489-1:2001
ISO 15489-1:2001 Introducción
Norma internacional ISO 15489, Información y Documentación-Records Management (Ginebra, 2001) fue diseñado
para cumplir con los requisitos de gestión de registros en empresas y gobiernos por igual, asegurando que 'se le da la
atención y protección adecuada a todos los registros, y que las pruebas y la Información que contienen puede ser
recuperada de manera más eficiente, utilizando prácticas y procedimientos estándar’.
Los documentos son un subconjunto de todos los elementos de información que una empresa generará durante su
funcionamiento, sirviendo a un propósito muy específico. Como tal, COBIT 5: Posibilitar la información y el modelo
integrado de información se aplica también a ‘documentos’.
86 Personal Copy of: Lic. Manuel Itandeui Flores Ortega
APÉNDICE A
OTRA INFORMACIÓN DE REFERENCIA
Al comparar el marco de referencia COBIT 5 y la norma ISO 15489-1 (figura 70), se deberá tener presente:
• Los procesos COBIT 5 se ocupan principalmente de la información y de TI.
• Los sistemas de gestión documental, como se describe en la norma ISO 15489-1 también contienen procesos
manuales / físicos que no están necesariamente excluidos por COBIT 5, pero se describen menos explícitamente.
Los principios para la gestión de registros y las políticas conexas relacionadas tienen que estar establecidos y mantenidos por
estos procesos.
6.3 Responsabilidades Las descripciones de procesos de COBIT 5 contienen matrices RECI, donde se asignan responsabilidades para los procesos.
Las matrices RECI de COBIT 5 contienen un conjunto exhaustivo de roles y funciones, la mayoría fuera del departamento de
TI. Esto se alinea con las responsabilidades de gestión de documentos sugeridos en la norma ISO 15489, que asignan la
mayoría de los roles a otros departamentos que no son el departamento de TI.
La norma ISO 15489 contiene una asignación sugerida respecto a las responsabilidades de la gestión de documentación, que
se puede traducir fácilmente en una matriz RECI.
7 Requisitos de la gestión de
registros
7.1 Principios de los Principios, Políticas y Marcos de referencia es una de las categorías catalizadoras de COBIT 5, y el aspecto "principios" por lo
programas de gestión tanto está cubierto por COBIT 5. De la misma forma que en la cláusula 6.2, los mismos procesos de COBIT 5 implementan
de registros esto en la práctica.
7.2 Características del El marco COBIT 5 se basa en catalizadores; el modelo describe un marco genérico para todos los catalizadores. En el capítulo
registro 3 de esta guía, este modelo se aplica al catalizador 'Información', más adelante elaborado e ilustrado.
Una de las dimensiones del modelo de catalizador Información es la dimensión de calidad / objetivos, donde se puede definir
un rango de hasta 15 requisitos de calidad de la información.
La “característica del documento” del punto 7.2 corresponde con los criterios de calidad de la información, por ejemplo:
• ‘Autenticidad’ corresponde a la reputación, el acceso restringido y la precisión.
• ‘Fiabilidad’ corresponde a la precisión.
• ‘Integridad’ corresponde a los criterios de exhaustividad y de precisión de COBIT 5.
• ‘Disponibilidad’ es una combinación de la disponibilidad, la facilidad de manipulación, la comprensibilidad y la la capacidad de
ser interpretado.
8 Diseño e implementación de Servicios, Infraestructura y Aplicaciones es una de las categorías catalizadoras de COBIT 5, y por lo tanto cubierta por COBIT
un sistema de 5. Un sistema de gestión documental se puede considerar como una combinación de aplicación(es), infraestructura y servicios,
documentación y por lo tanto queda cubierto por esta categoría catalizadora.
COBIT 5 no entra en el detalle del diseño de cualquier sistema, pero incluye un amplio conjunto de procesos de ejemplo para
dar soporte al ciclo de vida de los sistemas de información, es decir:
• APO03 Gestionar la arquitectura empresarial.
• BAI01 Gestionar programas y proyectos.
• BAI02 Gestionar la definición de requerimientos.
• BAI03 Gestionar la identificación y construcción de soluciones.
• BAI04 Gestionar la disponibilidad y capacidad.
• BAI05 Gestionar que sea posible realizar un cambio organizativo.
• BAI08 Gestionar el conocimiento.
• BAI09 Gestionar los activos.
• BAI10 Gestionar la configuración.
COBIT 5 no describe ni detalla los procesos de negocio, pero hay un proceso importante que vincula los controles de procesos
de negocio al entorno de TI, DSS06 Administrar controles de procesos de negocio.
Este proceso supone que los requerimientos para la gestión de documentos han sido correctamente identificados y traducidos
10 Supervisión y auditoría El dominio Monitorear, Evaluar y Valorar (MEA) describe tres procesos diseñados para monitorear y auditar los sistemas de
gestión documental.
11 Formación El proceso de COBIT 5 BAI05 Gestionar que sea posible el cambio organizativo, trata sobre la formación Además, Personas,
Habilidades y Competencias es una de las categorías catalizadoras de COBIT 5.
APÉNDICE B
EJEMPLO DE ELEMENTOS DE INFORMACIÓN QUE DAN SOPORTE A LOS OBJETIVOS
DE LAS ÁREAS FUNCIONALES
La tabla 71 muestra ejemplos de los elementos de información de negocio que dan soporte a la consecución de
objetivos en las funciones de la cadena de valor de la empresa (que se muestran en la figura 6) y que se comunican a
través de los flujos de información entre los niveles de la empresa. La tabla identifica si los elementos de información
se refieren al cuerpo de gobierno, de gestión, o de los niveles de operación y ejecutivos de la compañía.
Figura 71—Ejemplos de elementos de Información en flujos de Información que soportan los objetivos de la cadena de valor de la empresa
Elementos clave de información (de negocio) necesarios para apoyar la consecución de los objetivos del área funcional
Área Funcional Cuerpo de Gobierno Gestión Operaciones y Ejecución
Infraestructura de • Informes de garantía de cumplimiento • Perfil de riesgo • Registro de requerimientos de
empresa (objetivos) • Apetito de riesgo • Políticas de gestión de riesgos • Informes cumplimiento
• Informes de los auditores financieros de análisis de impacto en el negocio (de • Registro de las acciones de cumplimiento
externos ahora en adelante BIA, del inglés necesarias
• Informes de los auditores internos Business Impact Analysis) • Información de bienes raíces
• Informes de cumplimiento • Estados financieros • Información (TI) de la red / infraestructura
• Informes financieros anuales • Informes internos de la gestión financiera: de comunicación
• Políticas, Procesos y Procedimientos presupuestos, estimaciones revisadas, • Capacidad de infraestructura y el uso de
• Arquitectura y estrategia de la información evaluaciones comparativas información
• Estrategias empresariales (benchmarking), indicadores periódicos • Información sobre la ubicación y la
• Datos de la gestión de la cartera de de cash-flow negativo (burn rates) accesibilidad de la infraestructura
proyectos, programas y proyectos • Arquitectura Empresarial
incluyendo los beneficios y los • Datos de los sistemas de costes basados
componentes de realización de beneficios en las actividades de la compañía.
• Hoja de ruta estratégica • Información de bienes raíces
• Expectativas de retorno de la inversión • Información (TI) de la red / infraestructura
• Informes de desempeño de la cartera de de comunicación
inversión • Capacidad de infraestructura y el uso de
información
• • Información sobre la ubicación y la
accesibilidad de la infraestructura
Recursos Humanos • Presentación de informes sobre la • Acciones correctivas para hacer frente a • Plan de recursos aprobados
(objetivos) asignación y la eficacia de los recursos y las desviaciones de la gestión de • Matriz de habilidades y competencias
capacidades recursos • informe sobre el estado de incidentes y
• Comunicaciones del presupuesto • Plan de operación y utilización tendencias
• Informe de estado y tendencias en el • Causas raíz de errores en la entrega de • Información sobre salarios
cumplimiento de solicitudes calidad • Informes de rendimiento
• Principios rectores para la asignación de • Asignaciones presupuestarias • resultados de una evaluación 360 grados
recursos y capacidades • Presupuesto y planificación de Recursos
• Medidas de éxito y resultados • Presupuesto y planificación de TI
• Información sobre sueldos (estado de • Comunicación de las estrategias de
asignación del coste de personal de cada dotación de recursos
departamento o unidad de negocio) • Matriz de habilidades y competencias
• Ratios de rotación de personal.
• Información sobre salarios (tablas
salariales, análisis del coste de personal)
• Resultados de una evaluación 360ª
Aprovisionamiento • • Casos de negocio • Requerimientos legales y reglamentarios • Información de Proveedor
(objetivos) • • Requerimientos legales y • Requerimientos contractuales • • Solicitudes de información
reglamentarios • Información de Proveedor • • Solicitudes de propuestas
• • Información requerida en la producción • Solicitudes de información • • Propuestas
de bienes y servicios • Solicitudes de propuestas • • Garantías
• • Información sobre mantenimiento • Licitaciones • • Términos del contrato
necesarios, reparaciones y suministros de • Garantías
operaciones • Términos del contrato
• • Estrategia de aprovisionamiento • Estrategia de aprovisionamiento
Figura 71—Ejemplos de elementos de Información en flujos de Información que soportan los objetivos de la cadena de valor de la
empresa (cont.)
Elementos clave de información (de negocio) necesarios para apoyar la consecución de los objetivos del área funcional
Área funcional Cuerpo de Gobierno Cuerpo de Gobierno Cuerpo de Gobierno
Logística interna • Casos de negocio • Requisitos legales y reglamentarios • Información sobre mantenimiento
(objetivos) • Información requerida sobre los bienes y • Requisitos contractuales necesarios, reparaciones y suministros de
servicios de producción • Información sobre mantenimiento operaciones
• Demanda del cliente necesarios, reparaciones y suministros de • Información sobre los bienes de capital y
• Previsión de la demanda de los clientes operaciones servicios requeridos
• Información sobre mantenimiento • Información sobre los bienes de capital y • Información de Almacén
necesarios, reparaciones y suministros de servicios requeridos • Centro de distribución de información
operaciones • Información de Almacén • Información de Inventario
• Información sobre los bienes de capital y • Centro de distribución de información • Información de Proveedor
servicios requeridos • Información de Inventario • Información de Transporte
• Información de Proveedor • Demanda del cliente
• Información de Transporte • Previsión de la demanda de los clientes
• Demanda del cliente
• Previsión de la demanda de los clientes
Operaciones • Casos de negocio • Requisitos legales y reglamentarios • Informes de inactividad
(objetivos) • Requisitos de calidad • Requisitos contractuales • Datos de la mejora continua,
• Demanda del cliente • Acuerdos de Nivel de Servicio (de ahora resultados/registros del proceso Planifica
• Ideas de innovación en adelante ANSs o SLAs del inglés / Haz / Verifica / Actúa
Service Level Agreement) • Datos de la transacción
• Información de Inventario • Información de Inventario
• Información del sistema de gestión de • Información del sistema de gestión de
calidad calidad
• Modelos de procesos de negocios / • Modelos de procesos de negocios /
producción producción
• Demanda del cliente
Logística externa • Casos de negocio • Requisitos legales y reglamentarios • Datos del cliente
(objetivos) • Demanda del cliente • Requisitos contractuales • Información de Almacén
• Previsión de la demanda de los clientes • Información de Almacén • Información del centro de distribución
• Información del centro de distribución • Información de Inventario
• Información de Inventario • Información de Transporte
• Información de Transporte • Demanda del cliente
• Demanda del cliente • Previsión de la demanda de los clientes
• Previsión de la demanda de los clientes
Marketing y ventas • • Datos de satisfacción de las partes • Información de competidores • • Información del cliente
(objetivos) interesadas • Análisis de clientes • • Información de productos y servicios
• • Inteligencia de negocio (evaluaciones • Revisar los resultados de la calidad del • • Tasas de abandono de clientes
comparativas - benchmarking- , servicio, incluyendo comentarios de los • • Tasas de conversión
respuestas de la competencia, nuevas clientes • • Información de Ventas
leyes y reglamentos) • Información sobre el producto • • Coste de Marketing
• • Información sobre producto • Información sobre el precio • • Información del canal de
• • Información sobre el precio • Información sobre el punto de venta comercialización
• • Información sobre el punto de venta • Información sobre la promoción
• • Información sobre la promoción • Información de segmentación del
• • Información de segmentación del mercado
mercado • Tasas de abandono de clientes
• • Modelos de ingresos / precios • Tasas de conversión
• Modelos de ingresos / precios
• Información de Ventas
• Coste de Marketing
• Información del canal de comercialización
Servicio (objetivos) • Reclamaciones e informes de • Encuestas de satisfacción de los clientes • • Plan de continuidad del negocio (de
insatisfacción, número de reclamaciones y del servicio técnico de la compañía ahora en adelante PCN)
resueltas, métricas • Criterios de evaluación (para los • • Resultados de las pruebas de PCN
• Informes SSAE 16 proveedores de servicios) • • Datos del centro de operaciones de la
• Estudio de mercado (entradas a • Encuestas a los clientes (orientado a las empresa, gestión de la disponibilidad
identificación y prestación de servicios) necesidades del negocio, orientado a • • Análisis de clientes
• Evaluaciones comparativas resultados, orientado a satisfacción) • • Catálogo y acuerdos de nivel de servicio
(benchmarking) • ANSs de negocio de la empresa
• Análisis de clientes • • Información de logística inversa
• Catálogo y acuerdos de nivel de servicio
de la empresa
• Información de logística inversa
Figura 71—Ejemplos de elementos de Información en flujos de Información que soportan los objetivos de la cadena de valor de la
empresa (cont.)
Elementos clave de información (de negocio) necesarios para apoyar la consecución de los objetivos del área funcional
Área funcional Cuerpo de Gobierno Cuerpo de Gobierno Cuerpo de Gobierno
Objetivos de TI El apéndice C contiene un ejemplo •
exhaustivo de tabla de asignación que
muestra cómo los objetivos relacionados
con TI se apoyan en una serie de
elementos de información.
APÉNDICE C
EJEMPLO DE ELEMENTOS DE INFORMACIÓN QUE DAN SOPORTE A LOS OBJETIVOS
RELACIONADOS CON TI
La Figura 72 contiene los típicos ítems de información que soportan la consecución de la totalidad de los 17 objetivos
relacionados con TI en la lista de objetivos de COBIT 5 que aparecen en la publicación principal del marco COBIT 5.
La tabla es genérica, pero no completa – cada compañía tiene necesidades de información y definiciones de elementos
específicas.